Seguridad de Los Sistemas de informacion

26/02/201026/02/2010 INFORMATICA / Cristian BaileyINFORMATICA / Cristian Bailey 11

SEGURIDAD DE LOS SEGURIDAD DE LOS SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION

SSISSI

INFORMATICAINFORMATICA

CRISTIAN BAILEY


INDICEINDICESEGURIDAD DE LOS SISTEMAS DE INFORMACION.SEGURIDAD DE LOS SISTEMAS DE INFORMACION.SITUACION ACTUAL.SITUACION ACTUAL.QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS PRACTICAS.PRACTICAS.IMPLEMENTACION DEL NUEVO ESQUEMA DE RED Y IMPLEMENTACION DEL NUEVO ESQUEMA DE RED Y SEGURIDADSEGURIDAD


INTRODUCCIONINTRODUCCIONHoy en día se denomina a la sociedad del siglo XXI como sociedad de la información pues el volumen de datos que es procesado, almacenado y transmitido es inmensamente mayor a cualquier época anterior.

La información esta catalogada como un activo de la empresa y es por ello que le brinda un trato totalmente diferente.

Los datos se convierten en información, dicha información oportuna es la diferencia entre una decisión pro activa o reactiva.

La información es Poder

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


OBJETIVOS SSIOBJETIVOS SSI1. Introducir los procedimientos adecuados para el acceso a la información de

la empresa.

2. Introducir el concepto de sistemas de información, sus principales componentes y tipos de información manejados.

3. Definir los conceptos básicos involucrados en la seguridad informática.

4. Definir cuales son las principales amenazas y vulnerabilidades de un sistema informático.

5. Concepto de políticas de seguridad informática.

6. Estar preparados para una auditoria de seguridad informática.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


ReflexiReflexióón: n:

Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad.

Cuando algo sucede, nos lamentamos de no haber invertido mas.

Mas vale dedicar recursos a la seguridad que convertirse en una estadística.


FUNDAMENTOS SSIFUNDAMENTOS SSIConfidencialidad.Integridad.Disponibilidad.Autenticidad.Imposibilidad de Rechazo.Consistencia.Aislamiento.Auditoria.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


ReflexiReflexióón:n:

Un experto es aquel que sabe cada vez mas sobre menos Un experto es aquel que sabe cada vez mas sobre menos cosas, hasta que sabe absolutamente todo sobre nada cosas, hasta que sabe absolutamente todo sobre nada …… es es la persona que evita los errores pequela persona que evita los errores pequeñños mientras sigue os mientras sigue su avance inexorable hacia la gran falacia.su avance inexorable hacia la gran falacia.

Ley de Murphy.Ley de Murphy.


VULNERABILIDADES, AMENAZAS, VULNERABILIDADES, AMENAZAS, CONTRAMEDIDASCONTRAMEDIDAS

TIPOS DE VULNERABILIDADES

Vulnerabilidad física Vulnerabilidad comunicaciones

Vulnerabilidad natural

Vulnerabilidad humana Vulnerabilidad emanación

Vulnerabilidad del hardware y del software

Vulnerabilidad de los medios o dispositivos

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


SEGURIDAD INFORMATICASEGURIDAD INFORMATICASeguridad es un concepto asociado a la Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. certeza, falta de riesgo o contingencia. Conviene aclarar que no siendo posible la Conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo esta certeza absoluta, el elemento de riesgo esta siempre presente, independiente de las siempre presente, independiente de las medidas que tomemos, por lo que debemos medidas que tomemos, por lo que debemos hablar de niveles de seguridad. hablar de niveles de seguridad. La seguridad absoluta no es posible y en La seguridad absoluta no es posible y en adelante entenderemos que la seguridad adelante entenderemos que la seguridad informinformáática es un conjunto de ttica es un conjunto de téécnicas cnicas encaminadas a obtener altos niveles de encaminadas a obtener altos niveles de seguridad en los sistemas informseguridad en los sistemas informááticos.ticos.


RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD INFORMATICAINFORMATICA

Definir un puesto dedicado al control de la seguridad Definir un puesto dedicado al control de la seguridad informinformáática.tica.

Definir un comitDefinir un comitéé de seguridad informde seguridad informáática de tipo tica de tipo multidisciplinarmultidisciplinarííoo..

Definir en blanco y negro las polDefinir en blanco y negro las polííticas de informticas de informáática.tica.Hacerlas publicas y firmadas por los usuarios y Hacerlas publicas y firmadas por los usuarios y visitas de la organizacivisitas de la organizacióón.n.

Definir auditoria de seguridad y tipo de estDefinir auditoria de seguridad y tipo de estáándar a ndar a utilizar.utilizar.


SEGURIDAD FISICASEGURIDAD FISICALa seguridad fLa seguridad fíísica es uno de los aspectos msica es uno de los aspectos máás olvidados a la hora del s olvidados a la hora del disediseñño de un sistema informo de un sistema informáático. Si bien algunos de los aspectos tico. Si bien algunos de los aspectos tratados a continuacitratados a continuacióón se prevn se prevéén, otros, como la deteccin, otros, como la deteccióón de un n de un atacante interno a la empresa que intenta a acceder fatacante interno a la empresa que intenta a acceder fíísicamente a sicamente a una sala de operaciones de la misma.una sala de operaciones de la misma.AsAsíí, la Seguridad F, la Seguridad Fíísica consiste en la "sica consiste en la "aplicaciaplicacióón de barreras n de barreras ffíísicas y procedimientos de control, como sicas y procedimientos de control, como medidas de prevencimedidas de prevencióón y contramedidas ante n y contramedidas ante amenazas a los recursos e informaciamenazas a los recursos e informacióón n confidencialconfidencial" " Se refiere a los controles y mecanismos de seguridad dentro y Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Calrededor del Centro de Cóómputo asmputo asíí como los medios de acceso como los medios de acceso remoto al y desde el mismo; implementados para proteger el remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.hardware y medios de almacenamiento de datos.


PRINCIPALES AMENAZASPRINCIPALES AMENAZASDesastres naturales, incendios accidentales tormentas e inundaciDesastres naturales, incendios accidentales tormentas e inundaciones. ones. Amenazas ocasionadas por el hombre. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Disturbios, sabotajes internos y externos deliberados. Incendios Incendios InundacionesInundacionesCondiciones ClimatolCondiciones Climatolóógicas gicas SeSeññales de Radarales de RadarInstalaciones ElInstalaciones Elééctricas ctricas Acciones Hostiles Acciones Hostiles Robo Robo FraudeFraudeSabotajeSabotaje


CONTRA MEDIDASCONTRA MEDIDASControl de AccesosControl de AccesosUtilizaciUtilizacióón de Guardias Utilizacin de Guardias Utilizacióón de Detectores de Metalesn de Detectores de MetalesUtilizaciUtilizacióón de Sistemas Biomn de Sistemas Bioméétricos tricos VerificaciVerificacióón Automn Automáática de Firmas tica de Firmas Seguridad con AnimalesSeguridad con AnimalesProtecciProteccióón Electrn ElectróónicanicaCCáámaras de vigilancia sensibles al movimiento.maras de vigilancia sensibles al movimiento.Alarma de protecciAlarma de proteccióón centro cn centro cóómputo.mputo.Censores de Movimiento.Censores de Movimiento.Accesos Accesos BiometricosBiometricos Cruzados / Manos y FotografCruzados / Manos y Fotografíía.a.


AREAS DE CONTROL FISICOAREAS DE CONTROL FISICOEl edificioEl edificio

Los suministros de energLos suministros de energíía del edificioa del edificioLos enlaces de comunicaciones del edificioLos enlaces de comunicaciones del edificioLos accesos fLos accesos fíísicos al edificiosicos al edificioEl acceso al centro de computaciEl acceso al centro de computacióónnLa estructura del edificioLa estructura del edificioLa seguridad contra incendios y otros desastresLa seguridad contra incendios y otros desastresPlanes de evacuaciPlanes de evacuacióón del personaln del personalSeguridad fSeguridad fíísica de los backupssica de los backupsSistemas de redundancia de servidores y almacenamiento de datosSistemas de redundancia de servidores y almacenamiento de datosSistemas distribuidos con localizaciSistemas distribuidos con localizacióón en diferentes edificiosn en diferentes edificiosAlojamiento y backup de datos crAlojamiento y backup de datos crííticos fuera del edificioticos fuera del edificioControl de marcado de edificios y Control de marcado de edificios y WarchalkingWarchalking = polic= policíías cuenta pasosas cuenta pasos


AREAS DE CONTROL FISICOAREAS DE CONTROL FISICOEl entorno fEl entorno fíísico del hardwaresico del hardware

Suministro de energSuministro de energíía para el hardwarea para el hardwareComunicaciones: InterconexiComunicaciones: Interconexióón de redes y sistemasn de redes y sistemasAcceso fAcceso fíísico al hardwaresico al hardwareLocalizaciLocalizacióón fn fíísica del hardwaresica del hardwareControl de acceso al hardware. Control de acceso del personalControl de acceso al hardware. Control de acceso del personalInteracciInteraccióón del hardware con el suministro de energn del hardware con el suministro de energíía y aguaa y aguaSistemas de control del hardware y su integridadSistemas de control del hardware y su integridadSeguridad contra incendios y otros desastres a nivel de hardwareSeguridad contra incendios y otros desastres a nivel de hardwarePlanes de evacuaciPlanes de evacuacióón de hardware y equiposn de hardware y equiposEl entorno de trabajo del personal y su interacciEl entorno de trabajo del personal y su interaccióón con el hardwaren con el hardwarePlanificaciPlanificacióón de espacio para hardware y dispositivos. Montaje en Racksn de espacio para hardware y dispositivos. Montaje en RacksControl de la temperatura y la humedad del entorno. MonitorizaciControl de la temperatura y la humedad del entorno. MonitorizacióónnMaquinas y dispositivos de escritorioMaquinas y dispositivos de escritorio


AREAS DE CONTROL FISICOAREAS DE CONTROL FISICOEl entorno fEl entorno fíísico del hardwaresico del hardware

Servidores y dispositivos concentradores, Servidores y dispositivos concentradores, enrutadoresenrutadores y pasarelasy pasarelasCableado elCableado elééctricoctricoCableado de telefonCableado de telefonííaaCableado de redesCableado de redesSistemas distribuidos dentro del edificioSistemas distribuidos dentro del edificioLlaves, cerraduras y armariosLlaves, cerraduras y armariosCCáámaras de seguridad y su monitorizacimaras de seguridad y su monitorizacióónnControl de ventanas y visibilidad desde el exteriorControl de ventanas y visibilidad desde el exteriorControl de desechos y basuraControl de desechos y basura


AREAS DE CONTROL FISICOAREAS DE CONTROL FISICOLa seguridad fLa seguridad fíísica del hardwaresica del hardware

Acceso fAcceso fíísico a las maquinas y dispositivos de redsico a las maquinas y dispositivos de redRacks y armariosRacks y armariosLas cajas de las computadorasLas cajas de las computadorasSeguridad del Seguridad del biosbios. . PasswordPassword de de biosbiosEquipamiento hardware de las maquinasEquipamiento hardware de las maquinasAcceso al interior de los equiposAcceso al interior de los equiposRedundancia de maquinas y sistemas de almacenamientoRedundancia de maquinas y sistemas de almacenamientoSistemas de backupSistemas de backupSistemas UPSSistemas UPSRedundancia a nivel de hardwareRedundancia a nivel de hardwareRedundancia a nivel de red y conectividadRedundancia a nivel de red y conectividadAlojamiento fAlojamiento fíísico de las maquinassico de las maquinasControl de calidad de las maquinas y dispositivos de redControl de calidad de las maquinas y dispositivos de redControl y seguridad de portControl y seguridad de portáátilestiles


AREAS DE CONTROL FISICOAREAS DE CONTROL FISICOLa seguridad fLa seguridad fíísica del hardwaresica del hardware

KeycatchersKeycatchers y otros sistemas de captaciy otros sistemas de captacióón de datosn de datosConcentradores, bocas de red y conectividadConcentradores, bocas de red y conectividadSistemas de alta disponibilidadSistemas de alta disponibilidadSeguridad fSeguridad fíísica del cableadosica del cableadoDispositivos Dispositivos TapTap para captura de datospara captura de datosMonitorizaciMonitorizacióón de equipos y dispositivos de redn de equipos y dispositivos de redMonitorizaciMonitorizacióón del hardware. SMART y sistemas SNMPn del hardware. SMART y sistemas SNMPControl remoto de hardwareControl remoto de hardwareAcceso a datos tAcceso a datos téécnicos de la red y del hardwarecnicos de la red y del hardwareGrabaciGrabacióón de datos. Grabadoras de CD, disqueteras, n de datos. Grabadoras de CD, disqueteras, etcetcToken USB y Sistemas de Almacenamiento USB. Sistemas serie o parToken USB y Sistemas de Almacenamiento USB. Sistemas serie o paraleloaleloSistemas de radiofrecuencia. Sistemas de radiofrecuencia. TecnologiaTecnologia WirelessWireless y y BluetoothBluetoothDispositivos de mano. Palms y Dispositivos de mano. Palms y PocketPCsPocketPCsControl del acceso del personal externo contratado al hardwareControl del acceso del personal externo contratado al hardware


CONCLUSIONESCONCLUSIONESEvaluar y controlar permanentemente la seguridad fEvaluar y controlar permanentemente la seguridad fíísica del edificio es la sica del edificio es la base para o comenzar a integrar la seguridad como una funcibase para o comenzar a integrar la seguridad como una funcióón primordial n primordial dentro de cualquier organismo.dentro de cualquier organismo.Tener controlado el ambiente y acceso fTener controlado el ambiente y acceso fíísico permite: sico permite: disminuir siniestros disminuir siniestros trabajar mejor manteniendo la sensacitrabajar mejor manteniendo la sensacióón de seguridad n de seguridad descartar falsas hipdescartar falsas hipóótesis si se produjeran incidentes tesis si se produjeran incidentes tener los medios para luchar contra accidentes tener los medios para luchar contra accidentes Las distintas alternativas estudiadas son suficientes para conocLas distintas alternativas estudiadas son suficientes para conocer en todo er en todo momento el estado del medio en el que nos desempemomento el estado del medio en el que nos desempeññamos; y asamos; y asíí tomar tomar decisiones sobre la base de la informacidecisiones sobre la base de la informacióón brindada por los medios de n brindada por los medios de control adecuados. control adecuados.


SEGURIDAD LOGICASEGURIDAD LOGICALuego de ver como nuestro sistema puede verse afectado por la faLuego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Flta de Seguridad Fíísica, es sica, es importante recalcar que la mayorimportante recalcar que la mayoríía de los daa de los dañños que puede sufrir un centro de cos que puede sufrir un centro de cóómputos no mputos no serseráá sobre los medios fsobre los medios fíísicos sino contra informacisicos sino contra informacióón por n por éél almacenada y procesada. l almacenada y procesada.

AsAsíí, la Seguridad F, la Seguridad Fíísica, ssica, sóólo es una parte del amplio espectro que se debe cubrir para no lo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacivivir con una sensacióón ficticia de seguridad. Como ya se ha mencionado, el activo mn ficticia de seguridad. Como ya se ha mencionado, el activo máás s importante que se posee es la informaciimportante que se posee es la informacióón, y por lo tanto deben existir tn, y por lo tanto deben existir téécnicas, mcnicas, máás alls alláá de de la seguridad fla seguridad fíísica, que la aseguren. Estas tsica, que la aseguren. Estas téécnicas las brinda la Seguridad Lcnicas las brinda la Seguridad Lóógica. gica.

Es decir que la Seguridad LEs decir que la Seguridad Lóógica consiste en la "gica consiste en la "aplicaciaplicacióón de barreras y n de barreras y procedimientos que resguarden el acceso a los datos y sprocedimientos que resguarden el acceso a los datos y sóólo se lo se permita acceder a ellos a las personas autorizadas para hacerlopermita acceder a ellos a las personas autorizadas para hacerlo."."

Existe un viejo dicho en la seguridad informExiste un viejo dicho en la seguridad informáática que dicta que "todo lo que no esttica que dicta que "todo lo que no estáá permitido permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridadebe estar prohibido" y esto es lo que debe asegurar la Seguridad Ld Lóógica. gica.


Los objetivos que se plantean serLos objetivos que se plantean seráán:n:

Restringir el acceso a los programas y archivos. Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisiAsegurar que los operadores puedan trabajar sin una supervisióón minuciosa y no n minuciosa y no puedan modificar los programas ni los archivos que no correspondpuedan modificar los programas ni los archivos que no correspondan. an. Asegurar que se estAsegurar que se estéén utilizados los datos, archivos y programas correctos en y n utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. por el procedimiento correcto. Que la informaciQue la informacióón transmitida sea recibida sn transmitida sea recibida sóólo por el destinatario al cual ha sido lo por el destinatario al cual ha sido enviada y no a otro. enviada y no a otro. Que la informaciQue la informacióón recibida sea la misma que ha sido transmitida. n recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisiQue existan sistemas alternativos secundarios de transmisióón entre diferentes n entre diferentes puntos. puntos. Que se disponga de pasos alternativos de emergencia para la tranQue se disponga de pasos alternativos de emergencia para la transmisismisióón de n de informaciinformacióón. n.


SEGURIDAD LOGICASEGURIDAD LOGICA

Controles de Acceso Controles de Acceso

Estos controles pueden implementarse en el Sistema Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicaciOperativo, sobre los sistemas de aplicacióón, en bases de n, en bases de datos, en un paquete especdatos, en un paquete especíífico de seguridad o en cualquier fico de seguridad o en cualquier otro utilitario. otro utilitario.

IdentificaciIdentificacióón y Autentificacin y Autentificacióónn



RolesRoles

El acceso a la informaciEl acceso a la informacióón tambin tambiéén puede n puede controlarse a travcontrolarse a travéés de la funcis de la funcióón o rol del n o rol del usuario que requiere dicho acceso.usuario que requiere dicho acceso.

Algunos ejemplos de roles serAlgunos ejemplos de roles seríían los siguientes: an los siguientes: programador, lprogramador, lííder de proyecto, gerente de un der de proyecto, gerente de un áárea usuaria, administrador del sistema, etc.rea usuaria, administrador del sistema, etc.



TransaccionesTransacciones

TambiTambiéén pueden implementarse n pueden implementarse controles a travcontroles a travéés de las transacciones, s de las transacciones, por ejemplo solicitando una clave al por ejemplo solicitando una clave al requerir el procesamiento de una requerir el procesamiento de una transaccitransaccióón determinada. n determinada.


SEGURIDAD LOGICASEGURIDAD LOGICALimitaciones a los ServiciosLimitaciones a los Servicios

Estos controles se refieren a las restricciones que Estos controles se refieren a las restricciones que dependen de pardependen de paráámetros propios de la utilizacimetros propios de la utilizacióón de n de la aplicacila aplicacióón o preestablecidos por el administrador n o preestablecidos por el administrador del sistema.del sistema.Un ejemplo podrUn ejemplo podríía ser que en la organizacia ser que en la organizacióón se n se disponga de licencias para la utilizacidisponga de licencias para la utilizacióón simultn simultáánea nea de un determinado producto de software para cinco de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema personas, en donde exista un control a nivel sistema que no permita la utilizacique no permita la utilizacióón del producto a un sexto n del producto a un sexto usuario. usuario.



Modalidad de Acceso Modalidad de Acceso

UbicaciUbicacióón y Horarion y HorarioEl acceso a determinados recursos del El acceso a determinados recursos del sistema puede estar basado en la ubicacisistema puede estar basado en la ubicacióón n ffíísica o lsica o lóógica de los datos o personas.gica de los datos o personas.Control de Acceso Interno Control de Acceso Interno

Control de Acceso Externo Control de Acceso Externo

AdministraciAdministracióón n



Niveles de Seguridad InformNiveles de Seguridad Informááticatica

El estEl estáándar de niveles de seguridad mas ndar de niveles de seguridad mas utilizado internacionalmente es el utilizado internacionalmente es el COBIT e COBIT e ITIL.ITIL.

Los niveles describen diferentes tipos de Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se seguridad del Sistema Operativo y se enumeran desde el menumeran desde el míínimo grado de nimo grado de seguridad al mseguridad al mááximo. ximo.


AUDITORIA DE SISTEMASAUDITORIA DE SISTEMASSe encarga de llevar a cabo la evaluaciSe encarga de llevar a cabo la evaluacióón de normas, controles, n de normas, controles, ttéécnicas y procedimientos que se tienen establecidos en una emprescnicas y procedimientos que se tienen establecidos en una empresa a para lograr confiabilidad, oportunidad, seguridad y confidencialpara lograr confiabilidad, oportunidad, seguridad y confidencialidad de idad de la informacila informacióón que se procesa a travn que se procesa a travéés de los sistemas de s de los sistemas de informaciinformacióón.n.La auditorLa auditoríía de sistemas es una rama especializada de la auditora de sistemas es una rama especializada de la auditoríía que a que promueve y aplica conceptos de auditorpromueve y aplica conceptos de auditoríía en el a en el áárea de sistemas de rea de sistemas de informaciinformacióón.n.La auditorLa auditoríía de los sistemas de informacia de los sistemas de informacióón se define como cualquier n se define como cualquier auditorauditoríía que abarca la revisia que abarca la revisióón y evaluacin y evaluacióón de todos los aspectos (o de n de todos los aspectos (o de cualquier porcicualquier porcióón de ellos) de los sistemas automn de ellos) de los sistemas automááticos de procesamiento ticos de procesamiento de la informacide la informacióón, incluidos los procedimientos no automn, incluidos los procedimientos no automááticos relacionados ticos relacionados con ellos y las interfaces correspondientes.con ellos y las interfaces correspondientes.El objetivo final que tiene el auditor de sistemas es dar recomeEl objetivo final que tiene el auditor de sistemas es dar recomendaciones a ndaciones a la alta gerencia para mejorar o lograr un adecuado control interla alta gerencia para mejorar o lograr un adecuado control interno en no en ambientes de tecnologambientes de tecnologíía informa informáática con el fin de lograr mayor eficiencia tica con el fin de lograr mayor eficiencia operacional y administrativa.operacional y administrativa.


AUDITORIA DE SISTEMASAUDITORIA DE SISTEMASObjetivos:Objetivos:

1. Participaci1. Participacióón en el desarrollo de nuevos sistemas.n en el desarrollo de nuevos sistemas.2. Evaluaci2. Evaluacióón de la seguridad en el n de la seguridad en el áárea informrea informáática.tica.3. Evaluaci3. Evaluacióón de suficiencia en los planes de contingencia.n de suficiencia en los planes de contingencia.4. Opini4. Opinióón de la utilizacin de la utilizacióón de los recursos informn de los recursos informááticos.ticos.5. Control de modificaci5. Control de modificacióón a las aplicaciones existentes.n a las aplicaciones existentes.6. Participaci6. Participacióón en la negociacin en la negociacióón de contratos con los proveedores.n de contratos con los proveedores.7. Revisi7. Revisióón de la utilizacin de la utilizacióón del sistema operativo y los programasn del sistema operativo y los programas8. Auditor8. Auditoríía de la base de datos.a de la base de datos.9. Auditor9. Auditoríía de la red.a de la red.10. Desarrollo de software de auditor10. Desarrollo de software de auditoríía.a.


Marco de Referencia Marco de Referencia Se define como el conocimiento de la situaciSe define como el conocimiento de la situacióón pasada, y presente n pasada, y presente de una organizacide una organizacióón, y que tiene la visin, y que tiene la visióón de su futuro. El detalle de n de su futuro. El detalle de los planes futuros se define en la planeacilos planes futuros se define en la planeacióón estratn estratéégica. Pero se gica. Pero se toma en cuenta en las entrevistas para determinar a donde se toma en cuenta en las entrevistas para determinar a donde se dirige la organizacidirige la organizacióón. n.


ITILITILITILITIL nace como un cnace como un cóódigo de digo de buenas prbuenas práácticas dirigidas a cticas dirigidas a alcanzar esas metas mediante:alcanzar esas metas mediante:

Un enfoque sistemUn enfoque sistemáático del tico del servicio TI centrado en los servicio TI centrado en los procesos y procedimientos procesos y procedimientos

El establecimiento de estrategias El establecimiento de estrategias para la gestipara la gestióón operativa de la n operativa de la infraestructura TI infraestructura TI


COBITCOBITCOBIT, lanzado en 1996, es una herramienta de gobierno de TI queCOBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha ha cambiado la forma en que trabajan los profesionales de TI. Vincucambiado la forma en que trabajan los profesionales de TI. Vinculando lando tecnologtecnologíía informa informáática y prtica y práácticas de control, COBIT consolida y armoniza cticas de control, COBIT consolida y armoniza estestáándares de fuentes globales prominentes en un recurso crndares de fuentes globales prominentes en un recurso críítico para la tico para la gerencia, los profesionales de control y los auditores.gerencia, los profesionales de control y los auditores.COBIT se aplica a los sistemas de informaciCOBIT se aplica a los sistemas de informacióón de toda la empresa, n de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambiincluyendo las computadoras personales, mini computadoras y ambientes entes distribuidos. distribuidos. Esta basado en la filosofEsta basado en la filosofíía de que los recursos de TI necesitan a de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupser administrados por un conjunto de procesos naturalmente agrupados ados para proveer la informacipara proveer la informacióón pertinente y confiable que requiere una n pertinente y confiable que requiere una organizaciorganizacióón para lograr sus objetivos.n para lograr sus objetivos.MisiMisióón: Investigar, desarrollar, publicar y promover un conjunto n: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnolointernacional y actualizado de objetivos de control para tecnologgíía de a de informaciinformacióón que sea de uso cotidiano para gerentes y auditoresn que sea de uso cotidiano para gerentes y auditores


PLANEACION ESTRATEGICA PLANEACION ESTRATEGICA TECNOLOGIATECNOLOGIA

Los mLos méétodos formales de planificacitodos formales de planificacióón se desarrollaron para ofrecer apoyo a los n se desarrollaron para ofrecer apoyo a los gerentes y ejecutivos en el proceso de desarrollo de sistemas degerentes y ejecutivos en el proceso de desarrollo de sistemas deinformaciinformacióón que ayuden a alcanzar las metas de la organizacin que ayuden a alcanzar las metas de la organizacióón mediante n mediante estos mestos méétodos se describen directrices a nivel organizacional para los todos se describen directrices a nivel organizacional para los sistemas de informacisistemas de informacióón de la empresa.n de la empresa.

Dentro de la PlaneaciDentro de la Planeacióón de sistemas el analista debe incluir los siguientes n de sistemas el analista debe incluir los siguientes aspectos:aspectos:

IdentificaciIdentificacióón de elementos clave de los que dependen las aplicaciones como n de elementos clave de los que dependen las aplicaciones como su desarrollo.su desarrollo.DescripciDescripcióón de las relaciones entre estos elementos y la documentacin de las relaciones entre estos elementos y la documentacióón de n de las necesidades actuales de informacilas necesidades actuales de informacióón o el bosquejo de futuros planes de n o el bosquejo de futuros planes de la empresa.la empresa.Alinearse a la Alinearse a la MisionMision y y visionvision de la empresa, de la empresa, asiasi como a las normas de la como a las normas de la misma.misma.Crear una Crear una misionmision y y visionvision de IT vinculada a la de la empresa.de IT vinculada a la de la empresa.Definir donde estaremos en el futuro segDefinir donde estaremos en el futuro segúún IT y la empresa. n IT y la empresa.


INFRAESTRUCTURAINFRAESTRUCTURA

TELECOMUNICACIONES RED MAN RED LAN SERVIDORES DESKTOPS

DOMINIO MS CORREO ELECTRONICO BASE DATOS ACCESO INTERNET

SERVICIOS DE INFRAESTRUCTURA INFORMATICASERVICIOS DE INFRAESTRUCTURA INFORMATICA

CAPA DE INFRAESTRUCTURA DE DATOSCAPA DE INFRAESTRUCTURA DE DATOS

Son todos aquellos sistemas que sirven de base para el funcionaSon todos aquellos sistemas que sirven de base para el funcionamiento miento de la organizacide la organizacióón.n.


TELECOMUNICACIONESTELECOMUNICACIONESEste tipo de tecnologEste tipo de tecnologíía en este nuevo siglo a en este nuevo siglo esta representada por los satesta representada por los satéélites, los lites, los cuales hacen que toda la informacicuales hacen que toda la informacióón se n se transmita en menos de un segundo de un transmita en menos de un segundo de un lugar a otro. Tambilugar a otro. Tambiéén se encuentra la n se encuentra la telefontelefoníía que ha tenido un desarrollo muy a que ha tenido un desarrollo muy importante desde la fibra importante desde la fibra óóptica hasta los ptica hasta los dispositivos dispositivos WiFiWiFi (redes inal(redes inaláámbricas), con mbricas), con los cuales tenemos un sin fin de ventajas los cuales tenemos un sin fin de ventajas como son: el aspecto econcomo son: el aspecto econóómico, la velocidad mico, la velocidad de transmiside transmisióón.n.


SISTEMAS DE NEGOCIOSSISTEMAS DE NEGOCIOSSistemas de negocios son todos aquellos sistemas que procesan daSistemas de negocios son todos aquellos sistemas que procesan datos y la convierten en tos y la convierten en informaciinformacióón n úútil para la toma de desiciones de una organizacitil para la toma de desiciones de una organizacióón. Tales como un:n. Tales como un:

ERPERPCRMCRMSCMSCMRRHHRRHHEtc.Etc.

ERP RRHH CRM SCM MPR

PKIBPM EDI KGI--SCF

DWHBCS

CAPA DE SISTEMAS DE NEGOCIOCAPA DE SISTEMAS DE NEGOCIO

SISTEMAS DE NEGOCIOSSISTEMAS DE NEGOCIOS

BI



IntercepciónModificaciónInterrupciónGeneraciónAmenazas naturales o físicasAmenazas involuntariasAmenazas intencionadas

TIPOS DE AMENAZASExisten personas que se dedican a buscar las vulnerabilidades de una red corporativa con el afán de apoderarse de la información para diversos usos.Se les denomina Hackers.

Hacker: Un Hacker es una persona que estásiempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión información con diversos fines.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.



Medidas físicasMedidas lógicasMedidas administrativasMedidas legales

TIPOS DE CONTRAMEDIDAS

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE HACKERSTIPOS DE HACKERSBlack Hacker:Black Hacker: El Hacker negro muestra sus habilidades en informática rompiendo computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos Hacking. Disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa.

White Hackers:White Hackers: Es quien busca las vulnerabilidades de los sistemas informáticos con el afán de informar a las empresas fabricantes, para que mejoren las mismas.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE HACKERSTIPOS DE HACKERSLammer Hackers:Lammer Hackers: Son aquellas personas que pretenden ser hackers pero no poseen los conocimientos necesarios para realizar este tipo de actividades, y se dedican a descargar programas para realizar actividades de Hacker, pero lo único que logran es corromper su sistema o red, ya que los programas que descargan son producto de un hacker que si persigue apoderarse de otros sistemas. Para ello utilizan un Troyano.Luser Hackers:Luser Hackers: Son usuarios Comunes que navegan en los sistemas de las empresas buscando en carpetas compartidas cualquier tipo de información, y que finalmente muestra las vulnerabilidades de la red corporativa.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE HACKERSTIPOS DE HACKERS

Phreaking HackersPhreaking Hackers: : Son aquellos que se dedican a interferir en teléfonos móviles o redes de comunicación celular, tomando el control de la unidad o clonando la misma, para su beneficio.

Newbie Hackers:Newbie Hackers: Son jóvenes que inician como los LUSER pero a diferencia de ellos estudian las estructuras de los sistemas y no se jactan de lo que hacen, pero si burlan las pocas medidas de seguridad, generalmente son personal de mucha confianza en las organizaciones.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE HACKERSTIPOS DE HACKERS

Craker IT Hackers:Craker IT Hackers: Son los denominados piratas informáticos que si persiguen obtener programas, información, música, sin las respectivas licencias, y tienen lucro de la venta ilegal de este tipo de programas.

NINJA Hackers:NINJA Hackers: Son lo más parecido a una amenaza pura. Sabe lo que busca, donde encontrarlo y cómo lograrlo. Hace su trabajo por encargo y a cambio de dinero, no tienen conciencia de comunidad y no forman parte de los clanes reconocidos por los hackers.SE

GURI

DAD

DE LO

S SI

STEM

AS D

E INF

ORMA

CION

.


TIPOS DE HACKERSTIPOS DE HACKERSBroken Hackers:Broken Hackers: Empleados molestos con la organización y que buscan información que pueda dañar o comprometer a la misma.Phishing Hackers:Phishing Hackers: Son aquellos que buscan información de usuarios para poder realizar fraudes con la misma, por ejemplo tarjetas de crédito, cuentas bancarias, identidades, etc. Generalmente están en cafés Internet, aeropuertos, correos electrónicos falsos de los bancos, etc. Blue Hackers:Blue Hackers: Son expertos en seguridad que se dedican a monitorear las actividades de las redes mundiales para establecer el comportamiento de los Black Hackers, Crackers, Phishing, etc. Son el lado bueno de la Ley. Generalmente trabajan para el FBI, CIA, DEA, SCI, al igual que los demás tipos de Hackers tienen un alto coeficiente intelectual generalmente son egresados del MIT.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE HACKERSTIPOS DE HACKERSIdealista Hackers:Idealista Hackers: Generalmente son personas que por temas Religiosos o Ambientalistas atacan a organizaciones.

PolPolíítico Hackers:tico Hackers: Por desacuerdos políticos atacan a una organización.

Attack Hackers:Attack Hackers: Son personas que están molestas con organizaciones u empresas y que conocen su modo de operar y buscan como afectar las mismas.

Terrorista Hackers:Terrorista Hackers: Con fines de hacer daño a las organizaciones lanzan ataques por medio de Troyanos o virus.

La nueva modalidad es combinarLa nueva modalidad es combinarIngeniería social con los ataquescon los ataquesSorpresa de las redes.Sorpresa de las redes.

Usan Virus, Troyanos, etc., para ingresar a redes de su interés

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


AREAS DE POSIBLES ATAQUESAREAS DE POSIBLES ATAQUESVisitas externas a la empresa. En una portátil no se conoce que puede contener y afectar nuestra red.Cafés Internet.Aeropuertos.Empresas externas.Redes Wireless.Memorias USB.CD´sDVD´sDisketesInternet Correo Electrónico


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESVirus:

Un virus es un archivo ejecutable capaz de realizar acciones sin el consentimiento del usuario. Un virus puede reproducirse, auto ejecutarse, ocultarse, infectar otros tipos de archivos, encriptarse, cambiar de forma (polimórficos), residir en memoria, etc. Los archivos que sólo contienen datos, no pueden ser infectados, dado que no pueden ejecutar ninguna rutina, pero sí pueden ser dañados.

Gusano:Los gusanos tienen ciertas similitudes con los virus informáticos, pero también diferencias fundamentales. Un gusano se parece a un virus en que su principal función es reproducirse, pero por el contrario de cómo lo hacen los virus, en lugar de copiarse dentro de otros archivos, un gusano crea nuevas copias de si mismo para replicarse.

En síntesis, lo que caracteriza a un gusano es que para reproducirse genera nuevas copias de si mismo dentro del mismo sistema infectado o en otros sistemas remotos, a través de algún medio de comunicación, como bien puede ser Internet o una red informática.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUES

Rootkit

TroyanosEstos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger).

La principal utilización de los troyanos es para obtener acceso remoto a un sistema infectado a través de una puerta trasera. Este tipo de troyano es conocido como Backdoor.

Los rootkits se iniciaron bajo los sistemas operativos Unix, basándose en un conjunto de herramientas específicamente modificadas para ocultar la actividad de quien las utilizará.

Por esto, se define a rootkit como un conjunto de herramientas especiales que permiten esconder procesos activos, archivos en uso, modificaciones al sistema, etc., de manera que las utilidades de seguridad tradicionales no puedan detectarlas una vez en el sistema.

Cuando se habla de “técnicas rootkit” en un código malicioso, básicamente nos referimos al hecho de que el malware en cuestión es capaz de aprovechar funciones propias o de herramientas externas para esconder parte o todo su funcionamiento.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESAdware:

Spyware:

Es todo aquel software que incluye publicidad, como banners, mientras se estáejecutando. Normalmente se confunde este término con el de Spyware; la diferencia es que el Adware no recolecta información del equipo donde estáinstalado, sino que se limita a mostrar publicidad mientras que el usuario estáutilizando una aplicación.

Software espía. Es todo aquel programa o aplicación que sin el conocimiento del usuario recolecta información de su equipo o de lo que hace al utilizar Internet. Normalmente utilizado con fines de publicidad o marketing. Son programas que invaden la privacidad de los usuarios y también la seguridad de sus computadoras.

Actualmente, este tipo de software es incluido junto a aplicaciones gratuitas de gran difusión, como las utilizadas herramientas de intercambio de archivos.

Podría considerarse una rama de la familia de los troyanos dado que básicamente su función es similar a la de estos.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESPhishing:

Se utiliza el término "phishing" para referirse a todo tipo de prácticas utilizadas para obtener información confidencial (como números de cuentas, de tarjetas de crédito, contraseñas, etc.).

La gran parte de estos ataques son llevados a cabo a través de un e-mail falso (spam), enviado por el atacante, que notifica al usuario la necesidad de que confirme cierta información sobre su cuenta.

Estos mensajes pueden parecer muy reales ya que muchas veces incluyen logos de la entidad bancaría y una gráfica muy profesional.

Debido a ciertas vulnerabilidades en los principales navegadores, los atacantes puede redireccionar al usuario a un servidor falso sin que este note la diferencia.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESWebBugs:

Los WebBugs son una analogía de aquellos, pero aplicados al correo electrónico. Suelen ser imágenes GIF de 1x1 pixeles, que al ser generadas con algún lenguaje de programación dinámico, permiten obtener datos de quien abre el mensaje, como su dirección IP, nombre de equipo, navegador, y sistema operativo utilizado, entre otras cosas.

También suelen insertarse en sitios de Internet, sobre todo junto a publicidades de terceras partes, que le permiten analizar el comportamiento de un usuario mientras navegue por lugares donde dichas publicidades se encuentren.

Son una de las principales formas de violar la privacidad de losusuarios en Internet, y sin una forma sencilla de detectarlos y deshacerse de ellos.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUES

P2P

Malware

Es la abreviatura de Malicious software, y es la denominación normalmente utilizada para llamar a todo aquel programa o código de computadora cuya función es dañar un sistema o causar un mal funcionamiento. Dentro de este grupo de software normalmente se incluyen los virus informáticos.

Es un modelo de comunicaciones en el cual cada parte tiene las mismas capacidades y cualquiera de ellas puede iniciar la comunicación. Generalmente son una puerta trasera para que ingresen a las computadoras o redes. Transmitiendo Virus, Spyware, troyanos etc.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESJoke:

Los Jokes, o programas de broma, son aplicaciones inofensivas que simulan ser virus informáticos. Como su nombre lo indica, su fin primordial es embromar a quien las recibe y las ejecuta. Usualmente, este tipo de programas son pequeñas animaciones que intentan hacer creer al usuario que su disco está siendo borrado o, en algunos casos, realizan acciones como abrir y cerrar la unidad de CD-Rom.

Algunos antivirus detectan este tipo de programas, lo cual produce cierta confusión al usuario inexperto que no sabe si lo detectado es dañino o no. Para ser catalogado como un Joke, el programa no debe causar daño alguno ni realizar acciones maliciosas.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


TIPOS DE VIRUS Y ATAQUESTIPOS DE VIRUS Y ATAQUESSpam:

Es llamado Spam al correo basura, el cual llega a nuestras casillas de correo sin que nosotros lo hayamos solicitado.

Generalmente estos mensajes contienen anuncios publicitarios sobre productos, sitios Web, o cualquier otra actividad comercial que puedan imaginarse. Con estos envíos masivos el "anunciante" logra llegar a una gran cantidad de usuarios que de otra manera no se enterarían de su producto o servicio.

Los Spamers, personas dedicadas al envío de correo basura, van generando base de datos de direcciones de correo electrónico las cuales son obtenidas de diferentes formas.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


PRINCIPIOS FUNDAMENTALES DE LA PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMSEGURIDAD INFORMÁÁTICATICA

Principio de menor privilegioLa seguridad no se obtiene a través de la oscuridadPrincipio del eslabón más débilDefensa en profundidadPunto de control centralizado

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.



Este es quizás el principio más fundamental de la seguridad, y no solamente de la informática. Básicamente, el principio de menor privilegio afirma que cualquier objeto (usuario, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más.

Principio de menor privilegio:

Un sistema no es más seguro porque escondamos sus posibles defectos o vulnerabilidades, sino porque los conozcamos y corrijamos estableciendo las medidas de seguridad adecuadas. El hecho de mantener posibles errores o vulnerabilidades en secreto no evita que existan, y de hecho evita que se corrija.

La seguridad no se obtiene a través de la oscuridad:

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.



Principio del eslabón más débil:

Defensa en profundidad:

En todo sistema de seguridad, el máximo grado de seguridad es aquel que tiene su eslabón más débil. Al igual que en la vida real la cadena siempre se rompe por el eslabón más débil, en un sistema de seguridad el atacante siempre acaba encontrando y aprovechando los puntos débiles o vulnerabilidades. EL USUARIO.

La seguridad de nuestro sistema no debe depender de un solo mecanismo por muy fuerte que este sea, sino que es necesario establecer varias mecanismos sucesivos. De este modo cualquier atacante tendrá que superar varias barreras para acceder a nuestro sistema.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.



Punto de control centralizado:Se trata de establecer un único punto de acceso a nuestro sistema, de modo que cualquier atacante que intente acceder al mismo tenga que pasar por él. No se trata de utilizar un sólo mecanismo de seguridad, sino de "alinearlos" todos de modo que el usuario tenga que pasar por ellos para acceder al sistema.

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.

Seguridad en caso de Fallo:

Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro. Por ejemplo, si nuestros mecanismos de control de acceso al sistema fallan, es mejor que como resultado no dejen pasar a ningún usuario que dejen pasar a cualquiera aunque no esté autorizado.


PRINCIPIOS FUNDAMENTALES DE PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD INFORMLA SEGURIDAD INFORMÁÁTICATICA

SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.

Participación Universal:

Simplicidad

Para que cualquier sistema de seguridad funcione es necesaria laparticipación universal, o al menos no la oposición activa, de los usuarios del sistema. Prácticamente cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperlo.

La simplicidad es un principio de seguridad por dos razones. En primer lugar, mantener las cosas lo más simples posibles, las hace más fáciles de comprender. Si no se entiende algo, difícilmente puede saberse si es seguro. En segundo lugar, la complejidad permite esconder múltiples fallos. Los programas más largos y complejos son propensos a contener múltiples fallos y puntos débiles.


ESTRUCTURA OPTIMA INFORMATICAESTRUCTURA OPTIMA INFORMATICASE

GURI

DAD

DE LO

S SI

STEM

AS D

E INF

ORMA

CION

.

TELECOMUNICACIONES RED MAN RED LAN SERVIDORES DESKTOPS

DOMINIO MS CORREO ELECTRONICO BASE DATOS ACCESO INTERNET

ERP RRHH CRM SCM MPR

PKIBPM EDI

CUENTAS DE ACCESO

ACCESO REMOTO

SERVICIOS PUBLICADOS

SEGUIMIENTO PEDIDOS DATOS CLIENTE

ACCESO PRIVADO REPORTES JIT SCM

HELP DESKIT

INTRANET

RECURSOSCOMPARTIDOS

POLITICAS IT/ ITIL + COBIT

DIRECTORIO MAESTRO

PERSONAL IS-IT

BACK UP INFORMACION

SEGURIDADINTERNA LAN

SEGURIDAD PERIMETRALIS-IT

PAGINA WEBPAGINA WEBEMPRESAEMPRESA

SERVICIOS DE INFRAESTRUCTURA INFORMATICASERVICIOS DE INFRAESTRUCTURA INFORMATICA

SERVICIOS WEB PARA CLIENTESSERVICIOS WEB PARA CLIENTESSERVICIOS IT ADMONSERVICIOS IT ADMON

KGI--SCF

BI DWHBCS

SISTEMAS DE NEGOCIOSSISTEMAS DE NEGOCIOS

CAPA DE SERVICIOS A CLIENTESCAPA DE SERVICIOS A CLIENTES

CAPA DE SISTEMAS DE NEGOCIOCAPA DE SISTEMAS DE NEGOCIO

CAPA DE INFRAESTRUCTURA DE DATOSCAPA DE INFRAESTRUCTURA DE DATOS



SEGU

RIDA

D DE

LOS

SIST

EMAS

DE I

NFOR

MACI

ON.


SITUACION ACTUALSITUACION ACTUALEsta se resume en pocas palabras. XXXXXXXXXX posee una infraestructura básica de redes y comunicaciones. En Peligro por las diversas vulnerabilidades.

Además de no poseer herramientas implementadas para el tema de seguridad. Es importante resaltar que no solo es SOFTWARE el que se necesita para llegar a donde se desea, se necesita participación de la GERENCIA para aprobar las políticas Estándar de seguridad, y que las mismas se conviertan en una regulación de la empresa, con la combinación de las 2 se logra llegar a un nivel estándar de seguridad.


QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR

BUENAS PRACTICAS.BUENAS PRACTICAS.Las empresas dependen cada vez más de la informática para la gestión de su negocio. La contabilidad, personal y nómina, proveedores y clientes son cada vez más documentados y gestionados con medios informáticos. La conexión a Internet aumenta las facilidades y necesidades de uso de medios informáticos, no solo de consultas en general y búsquedas anónimas, sino también su uso profesional en la gestión de impuestos cotizaciones, gestiones con bancos y aseguradoras, etc. La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como:

Identificación y control de acceso.Respaldo de datos.Planes de contingencia.

Detección de intrusos. Software a utilizar.Instalación de software.


QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR

BUENAS PRACTICAS.BUENAS PRACTICAS.A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. Las políticas son obligatorias, mientras que las recomendaciones o directrices son más bien opcionales.

¿Por qué son importantes las políticas?

A. Por que aseguran la aplicación correcta de las medidas de seguridad B. Por que guían el proceso de selección e implantación de los

productos de seguridadC. Por que demuestran el apoyo de la Presidencia y de la Junta

DirectivaD. Para evitar responsabilidades legalesE. Para lograr una mejor seguridad


QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO QUE SIGNIFICA CAMBIAR LAS COSTUMBRES EN EL MANEJO DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS DE EQUIPOS INFORMATICOS Y ADOPTAR BUENAS

PRACTICAS.PRACTICAS.

1.- Software Legal.2.- Seguridad Física.3.- Seguridad Lógica.4.- Políticas de Manejo seguro en La información.5.- Divulgación y compromiso de los usuarios con el manejo seguro de la información.6.- Planes de Respaldo de la información.7.- Seguridad Interna y Perimetral.8.- Planes de contingencia en casos de no acceso a la información.9.- Derechos y Obligaciones en el manejo de los recursos.10.- Marco Legal y Administrativo del uso de recursos Informáticos.

Los buenos hábitos que se deben de adquirir están estrechamente ligados a las siguientes grandes áreas:


BENEFICIO DE LAS BUENAS BENEFICIO DE LAS BUENAS PRACTICASPRACTICAS

Correo electrCorreo electróónica Estandarizado.nica Estandarizado.

Intranet accesible desde los diferentes puntos de la Intranet accesible desde los diferentes puntos de la empresa.empresa.

Acceso al Internet regulado y optimizado.Acceso al Internet regulado y optimizado.

Seguridad perimetralSeguridad perimetralPolPolííticas sanas de gestiticas sanas de gestióón y manejo de la informacin y manejo de la informacióón.n.

EstandarizaciEstandarizacióón de la base tecnologn de la base tecnologíía. a.


BENEFICIOS DE UN NUEVO ESQUEMA BENEFICIOS DE UN NUEVO ESQUEMA DE REDDE RED

EstandarizaciEstandarizacióón de plataforma.n de plataforma.Redundancia en Servicios de administraciRedundancia en Servicios de administracióón.n.Transparencia usuario 3 empresasTransparencia usuario 3 empresasAcceso a Internet controlado.Acceso a Internet controlado.Una sola cuenta de correo para la corporaciUna sola cuenta de correo para la corporacióón.n.Disponibilidad universal de correo.Disponibilidad universal de correo.OptimizaciOptimizacióón de recursos de la estacin de recursos de la estacióón de trabajon de trabajoOptimizaciOptimizacióón del tiempo de trabajo del empleado al no tener n del tiempo de trabajo del empleado al no tener herramientas de distracciherramientas de distraccióón instaladasn instaladas. .


BENEFICIOS DE UN NUEVO ESQUEMA BENEFICIOS DE UN NUEVO ESQUEMA DE REDDE RED

OWA: Outlook Web Access para revisar su correo de forma OWA: Outlook Web Access para revisar su correo de forma remota.remota.Control de accesos a estaciones de trabajo y redes. Control de accesos a estaciones de trabajo y redes. ReducciReduccióón del costo en el tiempo de soporte.n del costo en el tiempo de soporte.Seguridad interna y externa.Seguridad interna y externa.Fortalecimiento de polFortalecimiento de polííticas organizacionales. ticas organizacionales. Uso adecuados de los recursos de informUso adecuados de los recursos de informáática. tica. OptimizaciOptimizacióón del tiempo de respuesta de TI. n del tiempo de respuesta de TI. Filtrado de contenidoFiltrado de contenidoHorarios de Internet para usuarios.Horarios de Internet para usuarios.


BUENAS PRACTICAS BUENAS PRACTICAS SEGURIDAD INFORMATICASEGURIDAD INFORMATICA

El poseer licencias de los programas que se utilizan garantizan que la organización esta respaldada en el uso adecuado de una herramienta de Software.

La correcta instalación del Software en un equipo de la empresa debe ser realizada por personal autorizado y capacitado, Ya que cualquier Software puede contener un Virus o tipo diferente de amenaza, que podría en riesgo el resto de equipos de la organización.

Tomar en cuenta que el Software descargado de Internet puede estar contaminado y generar vulnerabilidades dentro de la empresa.

Hay que prever los riesgos que se tiene al instalar un software por mas sencillo que se crea que es, ya que por ejemplo los descanzadores de pantallas son un caballo de Troya utilizado por los Hackers para ingresar a los sistemas, Ya que con los mismo establecen una puerta trasera de ingreso.

Software Legal:



Seguridad Física:

Se refiere a la protección adecuada del Hardware y su entorno, es importante considerar que entre mas robustas sena las medidas de seguridad física es menos posible que ocurran percances. Hay que tomar factores como Energía Eléctrica, acceso a las áreas de Server, detectores de Humo, monitoreo de área de Server como Cámaras para chequear el acceso al mismo, monitoreo de la temperatura.

La seguridad Física es relativamente practica, pero depende de quien la aplica y como se respeta la misma.

•Control de accesos al área de Server.•Detector de Humo.•Vigilancia por Video.•Reglamento de acceso.•Reglamento de Limpieza.



Seguridad Lógica:

Es mas compleja ya que inicia desde el LOGIN del usuario al sistema, ya que en ese momento se esta firmando en una red de usuarios, por lo cual las actividades que realiza son monitoreadas a través de su firma.

El LOGIN y PASSWORD son personales e intransferibles para una persona, es una buena practica cambiarlos cada 45 días promedio.

La seguridad Lógica va desde el acceso de una estación de trabajo, hasta el monitoreo de accesos a programas de un servidor, es por ello que se debe tener una estructura de seguridad lógica bien diseñada y estructurada , para que los permisos sean correctos y oportunos a los diversos recursos de la organización.

AntivirusFirewallIDS – IPSWEB SECURITY

El usuario debe evitar anotar sus claves en un lugar accesible para terceros.



Políticas de Manejo de la Información:

Las políticas consisten de declaraciones genéricas, mientras las normas hacen referencia específica a tecnologías, metodologías, procedimientos de implementación y otros aspectos en detalle. Además las políticas deberían durar durante muchos años, mientras que las normas y procedimientos duran menos tiempo. Las normas y procedimientos necesitan ser actualizadas más a menudo que las políticas porque hoy día cambian muy rápidamente las tecnologías informáticas, las estructuras organizativas, los procesos de negocios y los procedimientos.



Divulgación y compromiso de los usuarios con el manejo seguro de la información.

Los usuarios de servicios de informática deben de haber leído y comprendido las políticas de uso adecuado de la información, las cuales están contenidas en el documento de Derechos y obligaciones del uso de la información y recursos informáticos.



Planes de Respaldo de la información.Back up diario de la información en:•Estaciones de trabajo•Servidores.•Agentes de monitoreo y respaldo

Seguridad Interna y Perimetral.•Antivirus•Firewall.•IDS•IPS•Monitoreo de trafico de red.


ESTRUCTURA ACTUAL DE LAS REDESESTRUCTURA ACTUAL DE LAS REDES


ESTRUCTURA ACTUAL DE LAS REDESESTRUCTURA ACTUAL DE LAS REDESGSIGUAGSIGUA


DIAGRAMA NUEVA RED CORPORATIVADIAGRAMA NUEVA RED CORPORATIVA


DIAGRAMA NUEVA RED DIAGRAMA NUEVA RED CORPORATIVACORPORATIVA


CASO PRACTICOCASO PRACTICOUna empresa dedicada a la Agricultura que tiene operaciones Una empresa dedicada a la Agricultura que tiene operaciones

en 15 en 15 paisespaises del mundo posee una del mundo posee una infrainfra estructura estructura tecnologiatecnologia muy muy basicabasica pero operativa, la directiva de esa pero operativa, la directiva de esa empresa quiere estandarizar su empresa quiere estandarizar su areaarea informaticainformatica para que para que su activo mas valioso se preservado.su activo mas valioso se preservado.Defina que actividades debe de realizar el nuevo Defina que actividades debe de realizar el nuevo responsable de realizar la responsable de realizar la reingenieriareingenieria de de InformaticaInformatica..Defina que como Defina que como realizariarealizaria el plan el plan estrategicoestrategico de de tecnologiatecnologiade la empresa.de la empresa.


CASO PRACTICOCASO PRACTICOLa empresa no posee La empresa no posee estandaresestandares de manejo de de manejo de informacioninformacion, ,

pero esta realizando un pero esta realizando un proncesopronceso de de certificacioncertificacion ISO 14001 ISO 14001 para convertirse en una empresa Verde y para convertirse en una empresa Verde y tambientambien esta esta certificando sus procesos con Normas de sustentabilidad.certificando sus procesos con Normas de sustentabilidad.

¿¿ Que Que estandaresestandares utilizara para certificar la empresa en el utilizara para certificar la empresa en el manejo de manejo de informacioninformacion??

¿¿ Como Como manejariamanejaria la la serguridadserguridad informaticainformatica??¿¿ Como Como lograrialograria que cada uno de los que cada uno de los paisespaises integrantes de la integrantes de la

corporacioncorporacion tengan el mismo tengan el mismo estandarestandar??


CASO PRACTICOCASO PRACTICO

¿¿ Como Como lograrialograria tener control centralizado de los sistemas?tener control centralizado de los sistemas?

¿¿ Defina la parte mas importante de la seguridad Defina la parte mas importante de la seguridad informaticainformatica??¿¿ Identifique cual es el actor que tiene mas papel en el manejo Identifique cual es el actor que tiene mas papel en el manejo

de de InformacionInformacion??

¿¿ Indique que Infra estructura FIndique que Infra estructura Fíísica necesitarsica necesitaríía la a la corporacioncorporacion para trabajar segpara trabajar segúún lo requerido?n lo requerido?

¿¿Indique que Indique que infrainfra estructura lestructura lóógica necesitargica necesitaríía la a la corporacioncorporacion para trabajar segpara trabajar segúún lo requerido?n lo requerido?


PREGUNTASPREGUNTAS


FINFIN

Seguridad de Los Sistemas de informacion

Documents

Transcript of Seguridad de Los Sistemas de informacion