Protección de los Sistemas de Información

Sistemas de Información

Alta dependencia de los SI Redes y medios de comunicación Acceso masivo Cultura informática de los usuarios Para operar un negocio se necesita

hacer prioridad la seguridad y los controles

IMPORTANCIA DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION

Seguridad

Se refiere a las políticas, procedimientos

y medidas técnicas utilizadas para

impedir el acceso no autorizado, la

alteración, el robo o el daño físico a los

sistemas de información.

Controles

Consisten en todos los métodos, políticas

y procedimientos organizacionales que

garantizan la seguridad de los activos de

la organización; la precisión y

confiabilidad de sus registros contables, y

el apego de las operaciones a las normas

de la administración.

OBJETIVOS DE UN SISTEMA SEGURO

Confidencialidad

Integridad

Disponibilidad

Ciclo de la Seguridad Informática

Medidas de Seguridad

Amenazas

Vulnerabilidades

Impactos

Incidentes

Activos

Riesgos

EXPONEN

PÉRDIDACAUSAN

LIMITAN

IMPIDEN EXPLOTAN

AUMENTAN

AUMENTAN

AUMENTAN

AUMENTAN

DISMINUYEN

POR QUE SON VULNERABLES LOS SISTEMAS

Retos Y Vulnerabilidades De La Seguridad Contemporánea

BaseDe

DatosHardware

Sistemas OperativosSoftware

Sistemas Corporativos

Cliente(usuario)

Líneas decomunicaciones

Servicios Corporativos

* Acceso no autorizado* Errores

* Virus y Spyware

* Intervención telefónica

*Husmeo de la red* Alteración de

mensajes* Robo y fraude

* Piratería informática

* Virus y gusanos*Robo y fraude

*Vandalismo

* Robo de datos*Copiado de datos

* Alteración de datos* Falla del Hardware * Falla del Software

VULNERABILIDAD

Las amenazas mas comunes pueden derivarse de factores técnicos, organizacionales y del entorno combinados con decisiones administrativas deficientes.

Vulnerabilidad es la debilidad de un sistema informático que permite que sus propiedades de sistema seguro sean violadas

Puede originarse en el diseño, la implementación o en los procedimientos para operar y administrar el sistema

RIESGO

Pérdidas potenciales derivadas de amenazas y vulnerabilidades

Busca representar las pérdidas en términos cuantitativos y/o cualitativos:

• Frecuencia• Importancia• Valor

INCIDENTES

Acciones que violan la política de la organización

Algunos son crímenes Mal uso o abuso interno o externo:

– Acceso sin autoridad– Acceso por exceso de autoridad– Acceso con autoridad

Se entiende por Auditoria “una sistemática

evaluación de las diversas operaciones y controles

de una organización, para determinar si se siguen

políticas y procedimientos aceptables, si se siguen

las normas establecidas, si se utilizan los recursos

eficientemente y si se han alcanzado los objetivos

de la organización. (B.Sawyer)”.

AUDITORIA

La auditoría informática evalúa y comprueba los controles y

procedimientos informáticos más complejos, desarrollando y

aplicando técnicas mecanizadas de auditoría, incluyendo el

uso de software

Los distintos tipos de auditorías que se pueden realizar

se clasifican en:

Financieras

Verificativas

Operativas o de Gestión

Técnicas.

Auditorias financieras las que se hacen con el fin de

asegurar el adecuado registro de las transacciones, el

cumplimiento de los principios de Contabilidad

generalmente aceptados y los planes y regulaciones

contables y financieros, que obligan a la organización.

Las auditorias verificativas o de cumplimiento tratan

de asegurar a la dirección de la organización, que sus

políticas, programas y normas se cumplen

razonablemente en todo el ámbito de la misma.

La auditoría operativa o de gestión es una revisión

que comprende las actividades, sistemas y controles

dentro de la empresa para conseguir economía,

eficiencia, eficacia u otros objetivos.

La auditoría técnica o de métodos es una revisión de

los métodos y técnicas utilizadas en la realización de

las operaciones de la empresa.

La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos.

La auditoría interna constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:

Au

dit

orí

a in

form

átic

a1.1.- Concepto de Auditoria

La salvaguardia del inmovilizado material e inmaterial de la entidad.

La exactitud y fiabilidad de los registros contables. El fomento de la eficiencia operativa La adhesión a las políticas de la entidad y el

cumplimiento de sus obligaciones legales.

Au

dit

orí

a in

form

átic

a1.1.- Concepto de Auditoria

El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.

Au

dit

orí

a in

form

átic

a1.1.- Concepto de Auditoria

La auditoría externa constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.

Au

dit

orí

a in

form

átic

a1.1.- Concepto de Auditoria

El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera.

VULNERABILIDADES Software malicioso (malware): Virus: software mal intencionado que se

adjunta a programas o archivo de datos con el proposito de ejecutarse

Gusanos: son programas independientes no necesitan del humano para ejecutarse por eso se esparcen mas rapido que los virus

Caballos de troya: es un programa de software parece ser benigno pero hace algo inesperado

Spyware: vigilan las actividades de navegacion del usuario en la web y presentan publicidad

Hackers: individuo que intenta obtener acceso no autorizado a un sistema de computo(craker: es con intenciones cirminales

Spoofing : redireccionamiento en la web Snifer: programa que vigila la inf. Que

viaja en una red Cibervandalismo Delito informático Amenazas internas Vulnerabilidad del software

MECANISMOS DE PROTECCIÓN

Contra-ataques Cualquier técnica, procedimiento y otra medida que

reduce la vulnerabilidad Debilitan las amenazas o las hacen menos probables Las medidas de protección administrativas se llaman

controles

POLÍTICAS DE SEGURIDAD

Especifica las características de seguridad que un sistema debe observar y proveer

Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse

Aplica a los activos de información y otros activos

Entorno de la Seguridad InformáticaAseguramiento de la continuidad del

negocio

Educación

Plano Normativo

ArquitecturaArquitecturaD

isp

on

ibilid

ad

Co

nfid

en

cia

lida

d

Inte

grid

ad

Procedimientos

&

Requerimientos

Infraestructura Física y de Servicios(Electricidad, Agua, Aire Acondicionado, Telefonía)

Comunicaciones( Ruteadores, Cableado, Concentradores)

Usu

ario

s Rem

oto

sSistemasSistemas OperativosOperativos(Windows, Unix, Netware)

AplicacionesAplicaciones

Servidores Web

Herramientas de apoyo(Base de Datos, Compiladores, Mensajería)

Pla

n d

e c

on

tin

ge

nc

ia

Res

gu

ard

o

Mo

nit

ore

oProcesoscontinuos

Seguridad Lógica

Seguridad Física

6

Arquitectura de seguridadArquitectura de seguridad

Activos Informáticos- Información en Bases de Datos,

Bases documentarias y archivos- Sistemas Operativos- Información que circula por equipos de

red (ruteadores, cableado, switches,conmutador telefónico)

- Mensajes y buzones de Correo Electrónico

- Servicios de Web

Usuarios y custodios

- Grupo de Control- Oficina de Seguridad- Unidades Informáticas- Administradores de Infraestructura- Soporte- Responsables de Información- Usuarios

UsanCreanProtegenAdministran

Objetivos de Seguridad

Control de Acceso

Confiden-cialidad

Integridad de datos

NoRepudio

Disponi-bilidad

Identificacióny

Autenticación

• Contraseñas · Redundancia • Listas de Control de Acceso · Réplicas de información•Tarjetas inteligentes · Respaldo de información• Firewall · Antivirus• Cifrado de datos · Monitoreo

Técnicas y mejores prácticas

Man

ejo

de

Po

líti

cas

Vig

ilan

cia,

Co

ntr

ol y

Seg

uim

ien

to d

eL

inea

mie

nto

s d

e S

eg

uri

da

d I

nfo

rmát

ica

Administración

Co

nci

enti

zac

ión

y c

ult

ura

de

seg

uri

da

d

PARA DISCUTIR:

¿Cuál es el rol de la Alta Gerencia en la seguridad informática?

¿Cuál es el rol del usuario en la seguridad informática?

¿ Cuál es el rol de la auditoría?

¿Encriptación y certificados digitales?