Seg Inf Sem01

Seguridad Informática Ing. Álvaro Orihuela


a g e n d a

• Introducción• Seguridad Informática• Los pilares de la seguridad

Informática• Algunos conceptos básicos• Gestión del riesgo


Las Organizaciones y las Tecnología de Información

Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) que la soporta.


De dónde emerge la criticidad...

La creciente dependencia en la información y en los sistemas que proporcionan dicha información

La creciente vulnerabilidad y un amplio espectro de amenazas

La escala de las inversiones en Tecnología

El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones.


Niv

el d

e de

pend

enci

a

Nivel de utilización de TI

A mayor utilización mayor dependencia en

TIy mayores riesgos…..

A mayor utilización mayor dependencia en

TIy mayores riesgos…..

RIESGOSRIESGOS

Vivimos en una relación de dependencia


Encuesta de crímenes informáticos y de seguridad


Seguridad Informática

“Sólo protegemos aquello que creemos tiene un valor importante para nosotros”

Elementos básicos a proteger en cualquier sistema informático son:

Hardware: Facilidades de procesamientoSoftware: Sistemas operativos aplicacionesDatos: El bien más importante.


Seguridad: “cualidad de seguro”.

Seguro: “libre y exento de todo peligro, daño o riesgo”.

¿Cómo definir la seguridad informática?

Seguridad Informática: “Cualidad” de un Sistema Informático que esta “libre y exento de todo peligro, daño o riesgo”.


¿Cómo definir la seguridad informática?

En conjunto constituido por diversas metodologías, documentos, software, hardware, que determinan que los accesos a los recursos de un sistema informático sean realizados exclusivamente por los elementos autorizados a hacerlos

Seguridad de la Información:Preservación de la confidencialidad, integridad y disponibilidad de la información.


Confidencialidad

Pilares de la SSII

Seguridad de la Información

Integridad Disponibilidad


ConfidencialidadConfidencialidadAseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso.

IntegridadIntegridadGarantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento.

DisponibilidadDisponibilidad– Aseguramiento de que los usuarios autorizados

tienen acceso cuando lo requieran a la información y sus activos asociados.

Pilares de SSII


Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de certificados digitales de autenticación.

No repudio


Confidencialidad

Resumen



Datos

Hardware

Software

¿Maximizar los 3

pilares?

Elementos a proteger


Ataques a la seguridad

Interrupción Interceptación Modificación Fabricación (pérdida) (acceso) (cambio) (alteración)

Confidencialidad




Alguno conceptos...

Activo Amenaza Riesgo Vulnerabilidad Contramedida


ActivoTodo recurso del sistema de información o relacionado con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.


AmenazaEvento que puede desencadenar un incidente en la organización, produciendo daños o perdidas materiales o inmateriales en sus activos


Principales amenazas

Ingeniería Social, Repetición de Transacción, Phishing, Backdoors, Escaneo de Puertos, DHCP Starvation Wardialers, Trashing, Código Malicioso, Exploits,

DoS, DoS Distribuido, Ataques de Contraseña, Control Remoto de Equipos, Fraude Informático,

Eavesdropping, Acceso a Información Confidencial Impresa,

Man-in-the-Middle, Daños Físicos al Equipamiento, Robo de Equipamiento, IP - MAC Address Spoofing,

Defacement, Pérdida de Copias de Resguardo,Software Ilegal, entre otras.

Tema de Preguntas - Próxima clase


Ejemplos...


VulnerabilidadEs una falla en el diseño, implementación o configuración de un software, sistema operacional o hardware que, cuando explotada por un atacante, resulta en una violación de la seguridad de un computador. Ejemplos:

Falla en la administración de contraseñas Puertos innecesarios abiertos en el

Firewall Procedimientos de backup errados o

inexistentes Sistemas de log errados o inexistentes Análisis de logs equivocados o errados


RiesgoProbabilidad de que un activo este sujeto a factores e incidentes que puedan devenir en perdidas o daños, comprometiendo la continuidad de las actividades de una organización. Probabilidad de que una amenaza se materialice.

Riesgo Amenazas Vulnerabilidades= x


Impacto

Consecuencia de la materialización de una amenaza sobre un activo de la organización.


ContramedidasLa contramedida o control es una practica, procedimiento o mecanismo que reduce el nivel de riesgo. Preventivas, detección y recuperación.

• Un firewall• Una política de contraseñas• Política de Backups• Dispositivos biométricos como control de acceso.•Etc.


Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.

Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.

Análisis de riesgo


Análisis de riesgo

El Análisis de Riesgos implica:Determinar qué se necesita proteger.De qué hay que protegerlo.Cómo hacerlo.


Análisis de riesgos

1. Identificación de activos y el costo ante posibles pérdidas (L)

Identificar amenazas

2. Determinar susceptibilidad.La probabilidad de pérdida (P)

3. Identificar posibles acciones (gasto) y sus implicaciones (G).Seleccionar acciones a implementar.

¿ G PL ?


NTP - ISO/IEC 17799:2004

Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información.

• Antecedentes

• Introducción

• Objeto y campo de la aplicación

• Términos y definiciones

• Política de seguridad

• Aspectos organizativos para la seguridad

• Clasificación y control de los archivos

• Seguridad ligada al personal

• Seguridad física y del entorno

• Gestión de comunicaciones y operaciones

• Control de accesos

• Desarrollo y mantenimiento de sistemas

• Gestión de continuidad del negocio

• Conformidad


Sistemas de Gestión de la Seguridad de la Información -

SGSIConjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información

La política de seguridad Estructura organizativa Los procedimientos Los procesos Recursos necesarios

SGSI

El Objetivo del SGSI es salvaguardar la información


Ideas finales

La seguridad no es un producto, sino un proceso

“...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier


?

Seg Inf Sem01

Documents

Transcript of Seg Inf Sem01