auditoria de sistemas y seguridad - las tics al … · una recopilación, acumulación y...

Al igual que las finanzas, el personal y la cartera declientes, hoy en día uno de los activos mas valiosos deuna organización es:

LA INFORMACIÓN Y EL CONOCIMIENTO

Información sensible de clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder

Una recopilación, acumulación y evaluaciónde evidencia sobre información y los sistemasde una entidad.

Una sistemática evaluación de las diversasoperaciones y controles de una organización,para determinar si se siguen políticas yprocedimientos aceptados.

De cumplimiento: Analizan y determinan loscontroles del sistema, trabajandodirectamente sobre el comportamiento delmismo.

Sustantivas: Analizan el contenido residenteen medios de almacenamiento

Tipos de controles:

Preventivos: su finalidad es reducir la ocurrencia del hecho.

Detectivos: descubren cuando sucedió el hecho

Correctivos: una vez detectado, intentan corregir el hecho.

Tipos de Riesgos

Naturales

Errores y Omisiones humanos

Actos intencionales

Evitar

Disuadir

Prevenir

Detectar

Recuperar y corregir

Cada sistema es único y por lo tanto la política de seguridad a implementar

no será única

Minimizando la posibilidad de ocurrencia

Reduciendo al mínimo el perjuicio sufrido

Diseño de métodos para la mas rápidarecuperación de los daños experimentados

Riesgo: Toda amenaza que puede atentar contra el logro de un objetivo. ¿Qué puede

fallar-pasar?

Identifico Riesgos

Evalúo y Mido riesgos

Tomo decisiones

Permite mejorar las decisiones de respuestade riesgo

Hace mas previsible a una organización

Permite nivel adecuado de decisión

Deslinda responsabilidad exclusiva delManagement

Medición inherente

Identificacion y evaluacion de controles

Medición residual

Medición inherente Medición residualCONTROLES

Impacto: Conjunto de posibles efectos negativos sobre la organización en todos sus niveles.

Probabilidad de ocurrencia: Manifestación numérica de la posible concreción de un hecho.

Riesgo

Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual

Imp

acto

Pro

bab

ilid

ad

Valo

r ri

esg

o

Pre

ven

tivo

Dete

cti

vo

Man

ual

Sis

tém

ico

Imp

acto

Pro

bab

ilid

ad

Imp

acto

Pro

bab

ilid

ad

Valo

r re

sid

ual

Posibilidad

de que

información

crítica para

la empresa,

se destruya

o modifique,

accidental o

intencional-

mente.

A M A

- Copia de

seguridad

diaria de las

operaciones.

X X X

M M M

- Resguardo

adecuado de

las copias de

seguridad.

X X X

Negocios dependen fuertemente de la tecnología

Sistematización y automatización de procesos

La interrupción de estos, podría causar serias pérdidas financieras, prestigio, clientes, etc.

Un plan de recuperación de desastres es una declaración de acciones consecuentes que se deben realizar antes, durante y después del desastre. Este plan debe ser probado y registrado para asegurar la continuidad de las operaciones y la disponibilidad de los recursos necesarios en caso de desastre.

Estructurar un plan antes de que se llegue a necesitar.

• “Es un conjunto de métodos y herramientasdestinadas a proteger la información, sea cualfuere su tipología ( digital, impresa,conocimientos) y a los procesos, personas,dispositivos, sistemas, etc. Que utilizan dediversas formas esta información, ante cualquiertipo de amenaza que pudiera atentar contra suIntegridad, Confidencialidad y/o Disponibilidad”

• La seguridad informática no es un producto, sinoun PROCESO CONTINUO E INTEGRAL en el cualparticipan diversos actores en forma permanente.(personas, tecnología, procesos)

• Integridad: La información debe ser completa exacta yvalida. Y tiene que ser protegida contra alteraciones,modificaciones, o cambios no autorizados, adicionalmenteno debe ser perdida, modificada o corrompida.

• Confidencialidad: La información sensitiva debe serrevelada solo a los individuos autorizados en el momentoindicado. Es decir, debe ser protegida de divulgación noautorizada o prematura.

• Disponibilidad: La característica de accesibilidad a lainformación para uso inmediato, implica que los sistemasde información funcionan de acuerdo a lo programado, losdatos están disponibles para su uso y son fácilmenterecuperables en caso de pérdida.

NUNCA PASA NADA… HASTA QUE PASA

Principales Amenazas:

1. Desastres Naturales

2. Errores y Omisiones

3. Sabotajes internos y externos

• Riesgo de Incendio

• Materiales ignífugos.

• Detectado por sensores de temperatura y de humo.

• La extinción se puede dar mediante matafuegos,Rociadores de agua (Sprinklers).

• Inundación del área con un gas especial (Bióxido decarbono, Halon 1301, etc.)

• No debe estar permitido fumar en el área de proceso.

Riesgo de Incendio

Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables.

El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

• Pisos de Placas Extraíbles: Los cables de alimentación,comunicaciones, interconexión de equipos, receptáculosasociados con computadoras y equipos de procesamientode datos pueden ser, en caso necesario, alojados en elespacio que, para tal fin se dispone en los pisos de placasextraíbles, debajo del mismo

• Cableado de Alto Nivel de Seguridad: cableados de redesque se recomiendan para instalaciones con grado deseguridad. El objetivo es impedir la posibilidad deinfiltraciones y monitoreo de la información que circulapor el cable. Consta de un sistema de tubos(herméticamente cerrados) por cuyo interior circula aire apresión y el cable. A lo largo de la tubería hay sensoresconectados a una computadora. Si se detecta algún tipo devariación de presión se dispara un sistema de alarma.

• Riesgo de Terremotos e Inundaciones:

• Informes climatológicos que notifique la proximidad deuna catástrofe climática

• Corte de electricidad

• Construir un techo impermeable para evitar el paso deagua desde un nivel superior

• Acondicionar las puertas para contener el agua quebajase por las escaleras

Prevención de robo, intrusión o asalto

Circuito cerrado de televisión (CCTV).

Personal de seguridad.

Sensor de movimiento.

Barreras infrarrojas.

Edificios inteligentes.

La Seguridad Lógica consiste en la "aplicación de barreras yprocedimientos que resguarden el acceso a los datos y sólose permita acceder a ellos a las personas autorizadas parahacerlo."

• Prevenir el acceso indebido a individuos no autorizados• Acceso a sistemas solo para determinadas tareas Controles de acceso Perfiles de usuario

• Identificación: el usuario se da a conocer en el sistema• Autenticación: la verificación que realiza el sistema sobre

esta identificación. • Autorización

ALGO QUE SOY

+

ALGO QUE TENGO

+

ALGO QUE SE

Utilización de sistemas biométricos:

Emisión de Calor: Se mide laemisión de calor del cuerpo(termograma), realizando un mapade valores sobre la forma de cadapersona.

Huella Digital: Basado en elprincipio de que no existen doshuellas dactilares iguales. Elmétodo es sumamente confiable.

Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.

Distintos tonos de voz

Verificación de Patrones Oculares: Estosmodelos pueden estar basados en los patronesdel iris o de la retina y hasta el momento sonlos considerados más efectivos (en 200millones de personas la probabilidad decoincidencia es casi 0).

Verificación Automática deFirmas (VAF): Mientras es posible

para un falsificador producir unabuena copia visual o facsímil, esextremadamente difícil reproducirlas dinámicas de una persona.

La VAF, registra las emisiones acústicas delproceso dinámico de firmar o de escribir, estasconstituyen un patrón único en cada individuo.El equipamiento de colección de firmas es debajo costo y robusto.

Nos permiten ingresar a un lugar o a un sistema

Tarjetas magnéticas

Una llave

Identificación personal

Token

Token: Es un dispositivo del tamaño de un pen drive, con una pantalla de cristal liquido. Un Token OTP funciona mediante un mecanismo que genera una clave distinta y de un solo uso. ("One Time Password", OTP) el usuario ingresa una clave y luego el token muestra un ID que puede ser usado para ingresar a una red. Los IDs cambian cada 60 segundos.

Como crear una Password Fuerte.. Y recordarla

Escribir fonéticamente: magali= emeageaelei

Cuanto más extensas, más eficientes.

No utilizar caracteres secuenciales: 1234, qwerty, etc.

Utilizar mayúsculas y minúsculas.

Utilizar caracteres especiales y números.

Utilizar una frase escondida: A las 6 am tomo café con leche = @6amTC+L

RECURSO BARATO Y EFECTIVO.

Passwords:

• Cambiarlas frecuentemente.

• NUNCA JAMÁS anotarlas en

ningún lugar, ni tampoco

tener un archivo con claves.

• NUNCA NUNCA JAMÁS decirlas o compartirlas.

Encriptación: es un proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave..

La clave es un valor que es independiente deltexto o mensaje a cifrar.

El algoritmo va a producir una salidadiferente para el mismo texto de entradadependiendo de la clave utilizada.

Convencional o de Clave Privada: Consta de dos partes, unalgoritmo y una clave. Una vez cifrado, el mensaje puede sertransmitido. El mensaje original puede ser recuperado através de un algoritmo de desencriptación y la clave usadapara la encriptación.

40

Criptografía de Clave Pública: Los algoritmos de criptografía pública se basan en una clave para encriptación y una clave relacionada pero distinta para la desencriptación.

Riesgo de pérdida o transformación de información

Permite restaurar la información y su sistema después de una catástrofe.

Puedes restaurar datos después de que éstos hayan sido eliminados o dañados imprevistamente.

Los backups pueden hacerse en dispositivos externos:CD, DVD, pendrives, discos rígidos o pueden realizarse en un centro de respaldo propio mediante Internet.

Resguardo de back up en un lugar seguro

No olvidar encriptar el back up!!

Sincronización vs Back up: Sincronizar es tomaruna “foto de la información” El back up es unproceso continuo, en donde se pueden observarlas transformaciones de dicha información

Dia internacional del back up : 31 de Marzohttp://www.worldbackupday.net/

Frecuencia no mas de una semana

Riesgo: Desprotección contra malware e intrusos al conectarse

a Internet.

Manejan el acceso entre dos redes, y si noexistiera, todos las computadoras de la redestarían expuestos a ataques desde el exterior.Esto significa que la seguridad de toda la red,estaría dependiendo de que tan fácil fuera violarla seguridad local de cada maquina interna.

Ancho de banda "consumido" por el traficode la red se utiliza para economizar.

Monitorear la seguridad de la red y generaralarmas de intentos de ataque, eladministrador será el responsable de larevisión de estos monitoreos.

Es el hueco que no se tapa y que coincidentemente ono, es descubierto por un intruso.

No son sistemas inteligentes, actúan de acuerdo aparámetros introducidos por su diseñador

NO es contra humanos", es decir que si un intrusologra entrar a la organización y descubrir passwordso los huecos del Firewall y difunde esta información,el Firewall no se dará cuenta.

El Firewall tampoco provee de herramientas contra lafiltración de software o archivos infectados con virus,aunque es posible dotar a la máquina, donde se alojael Firewall, de antivirus apropiados.

Finalmente, un Firewall es vulnerable, él NO protegede la gente que está dentro de la red interna. ElFirewall trabaja mejor si se complementa con unadefensa interna.

Cuanto mayor sea el tráfico de entrada y salidapermitido por el Firewall, menor será la resistenciacontra los paquetes externos. El único Firewall seguro(100%) es aquel que se mantiene apagado

Amenazas y Riesgos:

Infección por virus, gusanos, troyanos, etc.

Espionaje de información por el uso de Spyware; Robo de identidad; invasión a la privacidad

Quedar en lista negra por “Spammer”

Adulteración, desvío o destrucción de la información

Realizar delitos a terceros con recursos de la empresa, perjudicando la imagen de la firma

Transferencias de fondos no deseadas

Interrupción de las operaciones

Intervención de telecomunicaciones

Pérdida de clientes

El factor mas inseguro es el HUMANOAprovechamiento del comportamiento humano

para la obtención de información:

Exceso de confianza y credibilidad

Desatención

Desprolijidad

Curiosidad

Deshonestidad

Despecho u odio hacia la organización

Temor ante acciones de superiores

Existencia de información pública

Acciones especificas sobre la futura victima:

Seguimiento

Búsquedas en internet

Phishing

Shoulder surfing

Formas de contagio:

Instalación por el usuario, ejecuta elprograma sin darse cuenta

Los gusanos, con los que el programamalicioso actúa replicándose a través de lasredes.

Sólo detección: sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos.

Detección y desinfección: detectan archivos infectados y que pueden desinfectarlos.

Detección y aborto de la acción: detectan archivos infectados y detienen las acciones que causa el virus.

Invocado por el usuario: se activan instantáneamente con el usuario.

Invocado por la actividad del sistema: se activan instantáneamente por la actividad del sistema operativo.

¿Qué es? Es una modalidad de estafa con elobjetivo de intentar obtener de un usuariosus datos, claves, cuentas bancarias,números de tarjeta de crédito, identidades,para luego ser usados de forma fraudulenta.

¿En que consiste? Suplantando la imagen deuna empresa o entidad publica, de estamanera hacen creer a la posible víctima querealmente los datos solicitados proceden delsitio "Oficial" cuando en realidad no lo es.

Software anti phishing muestra el dominio real visitado

Filtros anti spam, reduce el numero de emails phishing

Spear Phishing

¡Gracias!

Preguntas? Tecnología de la Información

FCE – UBA

2011