Post on 25-Jun-2015
description
Universidad Austral de ChileFacultad de Cs. Económicas y
AdministrativasEscuela de Auditoría
Profesor : Cristian Salazar
Integrantes: Rosa Galindo Herminda Peña Nemorino Mayorga Jorge Skorey
Asignatura: Sistemas de Información Adm. Carrera : Contador Auditor
Seguridad Informática en los Seguridad Informática en los Sistemas de InformaciónSistemas de Información
Seguridad Informática en los Seguridad Informática en los Sistemas de InformaciónSistemas de Información
Valdivia, 10 de Diciembre 2009
IntroducciónIntroducción
Temas a Tratar: Seguridad Física, Delitos Informáticos Seguridad Lógica y Amenazas lógicas amenazas humanas y comunicaciones Protección y Política de seguridad
I. Seguridad Física y Delitos I. Seguridad Física y Delitos InformáticosInformáticos
" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es
la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia”
Leyes de Murphy
Seguridad FísicaSeguridad Física
Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”
Pero este es uno de los aspectos más olvidados a la hora de realizar el diseño de un sistemas informático.
Seguridad FísicaSeguridad Física
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos
deliberados.
Seguridad FísicaSeguridad FísicaTipos de Desastres
Peligros más importantes en un centro de Procesamiento de Información:
Incendios Inundaciones Condiciones Climatológicas Señales de Radar Instalaciones Eléctricas Ergonometría
Seguridad Física Acciones Hostiles
RoboLas computadoras son posesiones valiosas de las empresas y están expuestas, de la
misma forma que lo están las piezas de stock e incluso el dinero. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.FraudeCada año, millones de dólares son sustraídos de empresas y, donde las computadoras han sido utilizadas como instrumento para dichos fines.SabotajeEl peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros.
Una de las herramientas más utilizadas son los Imanes, ya que con una ligera
pasada la información desaparece.
Seguridad FísicaSeguridad FísicaControl de Accesos
Utilización de GuardiasServicio de vigilancia, encargado del control de acceso a todas las personas de la
empresa.Una de las desventajas de su aplicación es el Soborno por u tercero para tener
acceso a sectores donde no esté habilitado o autorizado.
Utilización de Detectores de MetalesEs un elemento sumamente práctico para la revisión de personas.
Utilización de Sistemas BiométricosTecnología que realiza mediciones en forma electrónica, guarda y compara
características únicas para la identificación de personas. Como son las: manos, ojos, huellas digitales y voz.
Seguridad FísicaSeguridad FísicaControl de Accesos
Verificación Automática de FirmasMientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. Seguridad con AnimalesSon utilizadas en grandes extensiones de terrero, el costo de cuidado y mantenimiento se disminuye considerablemente con este tipo de sistema. Su desventaja es que los animales pueden ser engañados para lograr el acceso deseado.Protección ElectrónicaSe llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de censores conectados a centrales de alarmas. Ejemplos: Barreras Infrarrojas y de Micro-Ondas – Detector Ultrasónico- Detectores Pasivos de alimentación- Sonorización y dispositivo luminoso – Circuito cerrado de televisión – Edificios Inteligentes.
Delitos Informáticos Delitos Informáticos
" (...) ladrón, trabajaba para otros: ladrones más adinerados, patrones que proveían el exótico software requerido para
atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la información.
Ladrón, Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes."
Neuromante
Delitos InformáticosDelitos Informáticos
El uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.
La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos: Fraudes cometidos mediante manipulación de computadoras Manipulación de los datos de entrada Daños o modificaciones de programas o datos computarizados
Delitos InformáticosDelitos InformáticosLegislación y Delitos Informáticos en Chile.Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos
Informáticos. La ley 19.223 publicada en el Diario Oficial 7 de junio de 1993. Señala que la destrucción o inutilización de un sistema de tratamiento de información
puede ser castigado con prisión de 1,5 a 5 años.
Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los 3 a 5 años.
El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, también es pasible de condenas de hasta 5 años de cárcel.
Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta 3 años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a 5 años.
II. II. Seguridad Lógica y Amenazas Seguridad Lógica y Amenazas lógicas lógicas
COBIT Marco de gobierno de Ti que se estableció en 1996 ya esta en su edición 4,1 Para uso cotidiano de auditores y gerentes Objetivos de control de tres niveles:Dominios, procesos, y actividades
Usuarios son también auditores que usan para soportar sus opiniones sobre el control de las empresas y determinar el mínimo control requerido
Son 34 procesos que forman 4 dominios
COBITSon 34 procesos que forman 4 dominios
Planificación y Organización Adquisición e Implementación Reparto Y Soporte Monitoreo (Supervisión) y Evaluación
COBITEl monitoreo siendo el de M1 Monitorear los Procesos. M2 Evaluar lo adecuado del Control Interno. M3 Obtener Aseguramiento Independiente. M4 Proporcionar Auditoría Independiente
Seguridad LógicaControles de Acceso Internos •PRINCIPIO: Integridad
•1. Algo que el usuario conoce•PIN•Contraseña•clave criptográfica
Ejemplo de verificación de PIN
Seguridad LógicaControles de Acceso Internos •PRINCIPIO: Integridad
•2. Algo que el usuario posee•Tarjeta magnética•llave
Ejemplo de Tarjeta
Seguridad LógicaControles de Acceso Internos •PRINCIPIO: Integridad
•3. Algo que el usuario es•Reconocimiento de voz •Huella digital
Ejemplo huella digital
Seguridad LógicaControles de Acceso Internos •PRINCIPIO: Integridad
•4. Algo que el usuario es capaz de hacer•Patrón de escritura
Ejemplo Patrón de Escritura
Seguridad LógicaControles de Acceso Externos
•PRINCIPIO: Confidencialidad
1. Dispositivos de control de puertos• Estos dispositivos autorizan el acceso a un puerto
determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.
•
• 2. Firewalls/ Puertas de Seguridad• Filtran el flujo de acceso entre dos redes uno privado y
otro externo. Pueden permitir acceso del privado (interno) al externo, mientras bloqueando acceso del externo al privado.
Seguridad LógicaControles de Acceso Externos •PRINCIPIO:
Confidencialidad
Seguridad LógicaControles de Acceso Externos
•PRINCIPIO: Integridad
3. Control de Acceso a Consultores
• Administración debe tener en cuenta la composición especial de sus perfiles para personal externo contratados
Seguridad LógicaControles de Acceso Externos
•PRINCIPIO: Confidencialidad
4. Accesos Públicos
• Deben existir medidas de seguridad especiales para prevenir amenazas proveniente de sistemas consultados por el publico
Tal como se hacen las preguntas COBIT al TI se pueden preguntar de Seguridad Lógica•¿Están alineadas las estrategias de SL y del negocio?
•¿La empresa está alcanzando un uso óptimo de sus recursos?
•¿Entienden todas las personas dentro de la organización los objetivos de SL?
•¿Se entienden y administran los riesgos de TI con la política de SL?
•¿Es apropiada la calidad de los sistemas de SL para las necesidades del negocio?
Controles de Acceso PRINCIPIO: Integridad
Seguridad LógicaNiveles de Seguridad Lógica •Principio:
•Nivel D•Este nivel contiene sólo una división •está reservada para sistemas que han sido evaluados •no cumplen con ninguna especificación de seguridad.
Seguridad LógicaNiveles de Seguridad Logica •Principio:
•Nivel C1 PROTECCION DISCRECIONAL
Seguridad LógicaNiveles de Seguridad Logica •Principio:
•Nivel C2 PROT. DE ACCESO CONTROLADO
Seguridad LógicaNiveles de Seguridad Logica •Principio:
•Nivel B1 SEGURIDAD ETIQUETEADA
Seguridad LógicaNiveles de Seguridad Logica •Principio:
•Nivel B2 PROTECCION ESTRUCTURADA
Seguridad LógicaNiveles de Seguridad Logica •Principio:
•Nivel B3 DOMINIOS DE SEGURIDAD
Seguridad LógicaNiveles de Seguridad Lógica •Principio:
•Nivel A Nivel A: Protección Verificadael nivel más elevado•un proceso de diseño, control y verificación• mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.•diseño verificado de forma matemática• análisis de canales encubiertos y de distribución
Niveles de Seguridad Lógica
•Hackers•Espías•Terroristas•Espionaje Industrial•Criminales Profesionales•Vándalos (crackers)
Actores incluyen…
Amenazas Lógicas
•Herramientas Integradas/ Distribuidas•Programas o Script•Linea de comando•Agente Autonomo•Intervencion de communicacion
Herramientas que usan…
Amenazas Lógicas
Amenazas Lógicas
AMENAZAS HUMANAS
1. Patas de Palo y ParchesDe esta historia podemos obtener el perfil principal:· Un hacker es a todas luces, alguien con profundos conocimientos sobre la tecnología.· Tiene ansias de saberlo todo, de obtener conocimiento.· Le gusta (apasiona) la investigación.· Disfruta del reto intelectual y de rodear las limitaciones en forma creativa.· Busca la forma de comprender las características del sistema estudiado, aprovechar sus posibilidades y por último modificarlo y observar los resultados.· Dicen NO a la sociedad de la información y SI a la sociedad informada.
2. La actitud del Hacker1. Escriben programas que los otros
hackers opinen que son divertidos y/o útiles y donar la fuente del programa para que sean utizados
2. Ayudar a probar y depurar sofware libre.3. Recolectar y filtrar información útil e
interesante y construir páginas Web o documentos como FAQs y ponerlos a
disposición de los demás.
DEFINICIONES Definición de Hacker: Un Hacker es una
persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información (Free Information), distribución de software sin costo y la globalización de la comunicación.
Crackers: Son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión.
DEFINICIONES Phreakers: actividad por medio de la cual algunas
personas con ciertos conocimientos y herramientas de hardware y software, pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que se hacen.
Carding – Trashing: el carding, es el uso ilegitimo de las tarjetas de crédito pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el hacking y el cracking, mediante los cuales se consiguen los números de las tarjetas. Y el Trashing, consiste en rastrear en las papeleras en busca de información contraseñas o directorios.
Personal: un 70% de los robos, sabotajes o accidentes con los sistemas informático son causados por el propio personal de la organización.
Técnicas para asegurar el sistema
Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
Vigilancia de red. Zona desmilitarizada Tecnologías repelentes o protectoras:
cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
Consideraciones de software Tener instalado en la máquina únicamente el
software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.
Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.
COMUNICACION Consideraciones de una red Los puntos de entrada en la red son generalmente
el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
III. Amenazas humanas y Comunicaciones
"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su
reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques."
Art. 12 Declaración Universal de Derechos Humanos, 1948
IV. Políticas de Seguridad
“Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos
lamentamos de no haber invertido más... Más vale dedicar recursos a la seguridad que convertirse en una estadística.”
2001, A.S.S. B Orghello , C Ri Stian F Abian
RIESGO
CONTROL
PRONOSTICO
PROYECCIÓN
PROGRAMA NORMA
PROCEDIMIENTO
META
ESTRATEGIA
PLAN
DECISIÓN
PSI
Políticas de Seguridad Informática
PSI
“una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.”
Evaluación de Riesgo
“¿Qué puede ir mal?” · “¿Con qué frecuencia puede ocurrir?” · “¿Cuáles serían sus consecuencias?” · “¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?” · “¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?” · “¿Cuál es el costo de una hora sin procesar, un día, una semana...?” · “¿Cuánto, tiempo se puede estar off–line sin que los clientes se vayan a la competencia?” · “¿Se tiene forma de detectar a un empleado deshonesto en el sistema?” · “¿Se tiene control sobre las operaciones de los distintos sistemas?” · “¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?” · “¿A que se llama información confidencial y/o sensitiva?” · “¿La información confidencial y sensitiva permanece así en los sistemas?” · “¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?” · “¿A quien se le permite usar que recurso?” · “¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?” · “¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?” y · ”¿Cómo se actuará si la seguridad es violada?”
Eval. Económica Probabilidad Recurso a Proteger+ +
EjemploUna vez obtenida la lista de cada uno de los riesgos se efectuará un
resumen del tipo:
AmenazasUna vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no exístela otra tampoco.
Desastre del entorno (Seguridad Física).
Amenazas del sistema (Seguridad Lógica).
Amenazas en la red (Comunicaciones).
Amenazas de personas (Insiders–Outsiders).
Evaluación de Costo
CR > CP
CP > CS
Luego
CR > CP > CS
minimizar
maximizar
Pto. equilibrio
Estrategia de Seguridad¿Proactiva o Reactiva?
•Implantación
•Auditoria y Control
•Plan de Contingencia
•Equipos de Repuestos e Incidentes
•Backups
Conclusiones Unos de los temas abordados fue la seguridad física, donde la adecuada
evaluación y control es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables, los delitos Informáticos. La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.
Otro punto tratado fue la seguridad lógica tiene como tarea asegurar las metas globales de la seguridad informática: disponibilidad, integridad, y confidencialidad. Esto es alcanzado por el exitoso uso y administración de controles de acceso internos y externos, cumplimiento de estándares, y detección de amenazas lógicas.
Conclusiones
Rosita….
Según estudios de seguridad, muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, donde la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar una solución.
Gracias por su
Atención
Sistema de Información Administrativa.Sistema de Información Administrativa.2° Semestre 20092° Semestre 2009
Profesor Cristian SalazarAlumnos:
Carla PobleteMaría José Sánchez
Lidia Henríquez Herminda PeñaRosita GalindoVíctor Quezada
Jorge SkoreyFernando Quiroz
Nemorino Mayorga
Cristian SalazarCristian Salazar
Nemorino Mayorga
Rosita Galindo
Carla Poblete
María José Sánchez
Herminda Peña
Lidia HenríquezLidia Henríquez
Jorge Skorey
Víctor Quezada
Fernando Quiroz
Se busca…..
El Prof. Cristian y Jorge en el Museo de la Moneda
Luego del Cóctel..preparándose para el Bunker..
Tomando un descanzo..
Jornadas de Acceso
Sin comentarios..
Perversillas…
Frente a la Moneda