auditoria de sistemas y seguridad - las tics al … · una recopilación, acumulación y...
TRANSCRIPT
Al igual que las finanzas, el personal y la cartera declientes, hoy en día uno de los activos mas valiosos deuna organización es:
LA INFORMACIÓN Y EL CONOCIMIENTO
Información sensible de clientes Competitividad Desarrollo Soporte de decisiones Reputación Poder
Una recopilación, acumulación y evaluaciónde evidencia sobre información y los sistemasde una entidad.
Una sistemática evaluación de las diversasoperaciones y controles de una organización,para determinar si se siguen políticas yprocedimientos aceptados.
De cumplimiento: Analizan y determinan loscontroles del sistema, trabajandodirectamente sobre el comportamiento delmismo.
Sustantivas: Analizan el contenido residenteen medios de almacenamiento
Tipos de controles:
Preventivos: su finalidad es reducir la ocurrencia del hecho.
Detectivos: descubren cuando sucedió el hecho
Correctivos: una vez detectado, intentan corregir el hecho.
Tipos de Riesgos
Naturales
Errores y Omisiones humanos
Actos intencionales
Evitar
Disuadir
Prevenir
Detectar
Recuperar y corregir
Cada sistema es único y por lo tanto la política de seguridad a implementar
no será única
Minimizando la posibilidad de ocurrencia
Reduciendo al mínimo el perjuicio sufrido
Diseño de métodos para la mas rápidarecuperación de los daños experimentados
Riesgo: Toda amenaza que puede atentar contra el logro de un objetivo. ¿Qué puede
fallar-pasar?
Identifico Riesgos
Evalúo y Mido riesgos
Tomo decisiones
Permite mejorar las decisiones de respuestade riesgo
Hace mas previsible a una organización
Permite nivel adecuado de decisión
Deslinda responsabilidad exclusiva delManagement
Medición inherente
Identificacion y evaluacion de controles
Medición residual
Medición inherente Medición residualCONTROLES
Impacto: Conjunto de posibles efectos negativos sobre la organización en todos sus niveles.
Probabilidad de ocurrencia: Manifestación numérica de la posible concreción de un hecho.
Riesgo
Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual
Imp
acto
Pro
bab
ilid
ad
Valo
r ri
esg
o
Pre
ven
tivo
Dete
cti
vo
Man
ual
Sis
tém
ico
Imp
acto
Pro
bab
ilid
ad
Imp
acto
Pro
bab
ilid
ad
Valo
r re
sid
ual
Posibilidad
de que
información
crítica para
la empresa,
se destruya
o modifique,
accidental o
intencional-
mente.
A M A
- Copia de
seguridad
diaria de las
operaciones.
X X X
M M M
- Resguardo
adecuado de
las copias de
seguridad.
X X X
Negocios dependen fuertemente de la tecnología
Sistematización y automatización de procesos
La interrupción de estos, podría causar serias pérdidas financieras, prestigio, clientes, etc.
Un plan de recuperación de desastres es una declaración de acciones consecuentes que se deben realizar antes, durante y después del desastre. Este plan debe ser probado y registrado para asegurar la continuidad de las operaciones y la disponibilidad de los recursos necesarios en caso de desastre.
Estructurar un plan antes de que se llegue a necesitar.
• “Es un conjunto de métodos y herramientasdestinadas a proteger la información, sea cualfuere su tipología ( digital, impresa,conocimientos) y a los procesos, personas,dispositivos, sistemas, etc. Que utilizan dediversas formas esta información, ante cualquiertipo de amenaza que pudiera atentar contra suIntegridad, Confidencialidad y/o Disponibilidad”
• La seguridad informática no es un producto, sinoun PROCESO CONTINUO E INTEGRAL en el cualparticipan diversos actores en forma permanente.(personas, tecnología, procesos)
• Integridad: La información debe ser completa exacta yvalida. Y tiene que ser protegida contra alteraciones,modificaciones, o cambios no autorizados, adicionalmenteno debe ser perdida, modificada o corrompida.
• Confidencialidad: La información sensitiva debe serrevelada solo a los individuos autorizados en el momentoindicado. Es decir, debe ser protegida de divulgación noautorizada o prematura.
• Disponibilidad: La característica de accesibilidad a lainformación para uso inmediato, implica que los sistemasde información funcionan de acuerdo a lo programado, losdatos están disponibles para su uso y son fácilmenterecuperables en caso de pérdida.
NUNCA PASA NADA… HASTA QUE PASA
Principales Amenazas:
1. Desastres Naturales
2. Errores y Omisiones
3. Sabotajes internos y externos
• Riesgo de Incendio
• Materiales ignífugos.
• Detectado por sensores de temperatura y de humo.
• La extinción se puede dar mediante matafuegos,Rociadores de agua (Sprinklers).
• Inundación del área con un gas especial (Bióxido decarbono, Halon 1301, etc.)
• No debe estar permitido fumar en el área de proceso.
Riesgo de Incendio
Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables.
El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.
• Pisos de Placas Extraíbles: Los cables de alimentación,comunicaciones, interconexión de equipos, receptáculosasociados con computadoras y equipos de procesamientode datos pueden ser, en caso necesario, alojados en elespacio que, para tal fin se dispone en los pisos de placasextraíbles, debajo del mismo
• Cableado de Alto Nivel de Seguridad: cableados de redesque se recomiendan para instalaciones con grado deseguridad. El objetivo es impedir la posibilidad deinfiltraciones y monitoreo de la información que circulapor el cable. Consta de un sistema de tubos(herméticamente cerrados) por cuyo interior circula aire apresión y el cable. A lo largo de la tubería hay sensoresconectados a una computadora. Si se detecta algún tipo devariación de presión se dispara un sistema de alarma.
• Riesgo de Terremotos e Inundaciones:
• Informes climatológicos que notifique la proximidad deuna catástrofe climática
• Corte de electricidad
• Construir un techo impermeable para evitar el paso deagua desde un nivel superior
• Acondicionar las puertas para contener el agua quebajase por las escaleras
Prevención de robo, intrusión o asalto
Circuito cerrado de televisión (CCTV).
Personal de seguridad.
Sensor de movimiento.
Barreras infrarrojas.
Edificios inteligentes.
La Seguridad Lógica consiste en la "aplicación de barreras yprocedimientos que resguarden el acceso a los datos y sólose permita acceder a ellos a las personas autorizadas parahacerlo."
• Prevenir el acceso indebido a individuos no autorizados• Acceso a sistemas solo para determinadas tareas Controles de acceso Perfiles de usuario
• Identificación: el usuario se da a conocer en el sistema• Autenticación: la verificación que realiza el sistema sobre
esta identificación. • Autorización
ALGO QUE SOY
+
ALGO QUE TENGO
+
ALGO QUE SE
Utilización de sistemas biométricos:
Emisión de Calor: Se mide laemisión de calor del cuerpo(termograma), realizando un mapade valores sobre la forma de cadapersona.
Huella Digital: Basado en elprincipio de que no existen doshuellas dactilares iguales. Elmétodo es sumamente confiable.
Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.
Distintos tonos de voz
Verificación de Patrones Oculares: Estosmodelos pueden estar basados en los patronesdel iris o de la retina y hasta el momento sonlos considerados más efectivos (en 200millones de personas la probabilidad decoincidencia es casi 0).
Verificación Automática deFirmas (VAF): Mientras es posible
para un falsificador producir unabuena copia visual o facsímil, esextremadamente difícil reproducirlas dinámicas de una persona.
La VAF, registra las emisiones acústicas delproceso dinámico de firmar o de escribir, estasconstituyen un patrón único en cada individuo.El equipamiento de colección de firmas es debajo costo y robusto.
Nos permiten ingresar a un lugar o a un sistema
Tarjetas magnéticas
Una llave
Identificación personal
Token
Token: Es un dispositivo del tamaño de un pen drive, con una pantalla de cristal liquido. Un Token OTP funciona mediante un mecanismo que genera una clave distinta y de un solo uso. ("One Time Password", OTP) el usuario ingresa una clave y luego el token muestra un ID que puede ser usado para ingresar a una red. Los IDs cambian cada 60 segundos.
Como crear una Password Fuerte.. Y recordarla
Escribir fonéticamente: magali= emeageaelei
Cuanto más extensas, más eficientes.
No utilizar caracteres secuenciales: 1234, qwerty, etc.
Utilizar mayúsculas y minúsculas.
Utilizar caracteres especiales y números.
Utilizar una frase escondida: A las 6 am tomo café con leche = @6amTC+L
RECURSO BARATO Y EFECTIVO.
Passwords:
• Cambiarlas frecuentemente.
• NUNCA JAMÁS anotarlas en
ningún lugar, ni tampoco
tener un archivo con claves.
• NUNCA NUNCA JAMÁS decirlas o compartirlas.
Encriptación: es un proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave..
La clave es un valor que es independiente deltexto o mensaje a cifrar.
El algoritmo va a producir una salidadiferente para el mismo texto de entradadependiendo de la clave utilizada.
Convencional o de Clave Privada: Consta de dos partes, unalgoritmo y una clave. Una vez cifrado, el mensaje puede sertransmitido. El mensaje original puede ser recuperado através de un algoritmo de desencriptación y la clave usadapara la encriptación.
40
Criptografía de Clave Pública: Los algoritmos de criptografía pública se basan en una clave para encriptación y una clave relacionada pero distinta para la desencriptación.
Riesgo de pérdida o transformación de información
Permite restaurar la información y su sistema después de una catástrofe.
Puedes restaurar datos después de que éstos hayan sido eliminados o dañados imprevistamente.
Los backups pueden hacerse en dispositivos externos:CD, DVD, pendrives, discos rígidos o pueden realizarse en un centro de respaldo propio mediante Internet.
Resguardo de back up en un lugar seguro
No olvidar encriptar el back up!!
Sincronización vs Back up: Sincronizar es tomaruna “foto de la información” El back up es unproceso continuo, en donde se pueden observarlas transformaciones de dicha información
Dia internacional del back up : 31 de Marzohttp://www.worldbackupday.net/
Frecuencia no mas de una semana
Riesgo: Desprotección contra malware e intrusos al conectarse
a Internet.
Manejan el acceso entre dos redes, y si noexistiera, todos las computadoras de la redestarían expuestos a ataques desde el exterior.Esto significa que la seguridad de toda la red,estaría dependiendo de que tan fácil fuera violarla seguridad local de cada maquina interna.
Ancho de banda "consumido" por el traficode la red se utiliza para economizar.
Monitorear la seguridad de la red y generaralarmas de intentos de ataque, eladministrador será el responsable de larevisión de estos monitoreos.
Es el hueco que no se tapa y que coincidentemente ono, es descubierto por un intruso.
No son sistemas inteligentes, actúan de acuerdo aparámetros introducidos por su diseñador
NO es contra humanos", es decir que si un intrusologra entrar a la organización y descubrir passwordso los huecos del Firewall y difunde esta información,el Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra lafiltración de software o archivos infectados con virus,aunque es posible dotar a la máquina, donde se alojael Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protegede la gente que está dentro de la red interna. ElFirewall trabaja mejor si se complementa con unadefensa interna.
Cuanto mayor sea el tráfico de entrada y salidapermitido por el Firewall, menor será la resistenciacontra los paquetes externos. El único Firewall seguro(100%) es aquel que se mantiene apagado
Amenazas y Riesgos:
Infección por virus, gusanos, troyanos, etc.
Espionaje de información por el uso de Spyware; Robo de identidad; invasión a la privacidad
Quedar en lista negra por “Spammer”
Adulteración, desvío o destrucción de la información
Realizar delitos a terceros con recursos de la empresa, perjudicando la imagen de la firma
Transferencias de fondos no deseadas
Interrupción de las operaciones
Intervención de telecomunicaciones
Pérdida de clientes
El factor mas inseguro es el HUMANOAprovechamiento del comportamiento humano
para la obtención de información:
Exceso de confianza y credibilidad
Desatención
Desprolijidad
Curiosidad
Deshonestidad
Despecho u odio hacia la organización
Temor ante acciones de superiores
Existencia de información pública
Acciones especificas sobre la futura victima:
Seguimiento
Búsquedas en internet
Phishing
Shoulder surfing
Formas de contagio:
Instalación por el usuario, ejecuta elprograma sin darse cuenta
Los gusanos, con los que el programamalicioso actúa replicándose a través de lasredes.
Sólo detección: sólo actualizan archivos infectados, no pueden eliminarlos o desinfectarlos.
Detección y desinfección: detectan archivos infectados y que pueden desinfectarlos.
Detección y aborto de la acción: detectan archivos infectados y detienen las acciones que causa el virus.
Invocado por el usuario: se activan instantáneamente con el usuario.
Invocado por la actividad del sistema: se activan instantáneamente por la actividad del sistema operativo.
¿Qué es? Es una modalidad de estafa con elobjetivo de intentar obtener de un usuariosus datos, claves, cuentas bancarias,números de tarjeta de crédito, identidades,para luego ser usados de forma fraudulenta.
¿En que consiste? Suplantando la imagen deuna empresa o entidad publica, de estamanera hacen creer a la posible víctima querealmente los datos solicitados proceden delsitio "Oficial" cuando en realidad no lo es.
Software anti phishing muestra el dominio real visitado
Filtros anti spam, reduce el numero de emails phishing
Spear Phishing
¡Gracias!
Preguntas? Tecnología de la Información
FCE – UBA
2011