Seguridad Informática Auditoría de Sistemas · Sistemas biométricos Emisión de Calor Huella...
50
Lic. María Soledad Ruiz Catelli Tecnología de la información 2017 Auditoría y Seguridad Informática
Transcript of Seguridad Informática Auditoría de Sistemas · Sistemas biométricos Emisión de Calor Huella...
Lic. María Soledad Ruiz Catelli
Tecnología de la información 2017
Auditoría y Seguridad Informática
Un dato
▪ Un dato es una unidad primaria de información
▪ Un dato para transformarse en información necesita un contexto, una utilidad o un propósito que ayuden a la toma de decisiones
Información
Características que la hacen
valiosa
▪ Íntegra▪ Completa, exacta y válida
▪ Confidencial▪ Sólo accesible para los individuos autorizados
▪ Oportuna▪ Disponible para su uso inmediato
La información como activo
▪ Clientes
▪ Competitividad
▪ Desarrollo
▪ Soporte de decisiones
▪ Reputación
▪ Poder
▪ Base física
▪ Base lógica
Seguridad de la información
Definición
▪ Métodos y herramientas para proteger de los riesgos a las
características que transforman datos en información
Objetivos de la seguridad
▪ Minimizar la ocurrencia de riesgos▪ Evitar
▪ Mitigar
▪ Disuadir
▪ Reducir el perjuicio▪ Detectar
▪ Recuperar
▪ Corregir
▪ Transferir
Identificar riesgos
Riesgos
Amenazas y vulnerabilidades
Integridad física
▪ Amenazas naturales▪ Inundación
▪ Terremoto
▪ Amenazas humanas▪ Sabotajes
▪ Vulnerabilidades▪ Mantenimiento insuficiente
Integridad lógica
▪ Amenazas▪ Virus
▪ Ingeniería social
▪ Vulnerabilidades▪ Descuidos
▪ Capacitación insuficiente
▪ Desarrollos pobres
Medir riesgos
Riesgos
Valor del riesgo: Probabilidad x Impacto
Probabilidad
▪ Es la posibilidad de que el riesgo pueda ocurrir
Impacto
▪ Es el efecto sobre todos los activos afectados, los directamente impactados y los relacionados.
Evaluación de riesgos
▪ Medición inherente
▪ Identificación y evaluación de controles
▪ Medición residual
Medición inherente
ControlesMedición residual
Riesgo
Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual
Imp
acto
Pro
bab
ilid
ad
Val
or
ries
go
Pre
ven
tivo
Det
ecti
vo
Man
ual
Sist
émic
o
Imp
acto
Pro
bab
ilid
ad
Imp
acto
Pro
bab
ilid
ad
Val
or
resi
du
al
Destrucción de la información
A M A
Copia de seguridad diaria de las operaciones
X X X
M M M
Resguardo adecuado de las copias de seguridad
X X X
Robo deinformación
A M AUso de contraseñas
X X X A B M
Incendio A B MDetectores de humo
X X X M B B
Control de riesgos
Seguridad física
Riesgo de incendio
▪ Materiales y muebles ignífugos.
▪ Prohibición de fumar
▪ Piso y techo impermeables
▪ Cableado bajo piso de placas extraíbles
▪ Sensores de temperatura y de humo.
▪ Extinción▪ Matafuegos y rociadores de agua (Sprinklers)
▪ Inundación con gas especial (Bióxido de carbono, Halon 1301, etc.)
Riesgo de inundaciones
▪ Informes climatológicos
▪ Techo impermeable
▪ Acondicionar las puertas
▪ Corte automático de electricidad
Prevención de robo, intrusión
o asalto
▪ Circuito cerrado de televisión (CCTV).
▪ Personal de seguridad.
▪ Sensor de movimiento.
▪ Barreras infrarrojas.
▪ Edificios inteligentes.
▪ Cableado de seguridad
Pautas de seguridad lógica
“Todo lo que no está permitido debe estar prohibido”
Minimización de vulnerabilidadesControl de acceso
Encriptación
Copias de seguridad
Definición
▪ Barreras y procedimientos que resguardan el acceso a los datos
▪ Sólo se permita acceder a personas autorizadas
▪ Prevenir el acceso indebido a individuos no autorizados
▪ Acceso a sistemas sólo para determinadas tareas
Control de acceso
Herramientas
▪ Controles de acceso
▪ Perfiles de usuario▪ Ver
▪ Hacer
Identificar Autentificar Autorizar
Autentificación
Eficaz
Algo que soy
Algo que tengo
Algo que sé
Algo que soy:Sistemas
biométricos
▪ Emisión de Calor
▪ Huella Digital
▪ Verificación de Voz
▪ Verificación de Patrones Oculares
▪ Verificación Automática de Firmas (VAF)
Algo que tengo
▪ Tarjetas magnéticas
▪ Una llave
▪ Identificación personal
▪ Token
Algo que sé: Contraseñas
▪ Recomendaciones:▪ Cambiarlas frecuentemente.
▪ No anotarlas.
▪ No compartirlas.
▪ Contraseñas fuertes:▪ Escribir fonéticamente: soledad =
eseoeledeade
▪ Cuanto más extensas, más eficientes.
▪ No utilizar caracteres secuenciales: 1234, qwerty, etc.
▪ Utilizar mayúsculas, minúsculas, caracteres especiales y números.
▪ Frase escondida: A las 6 am tomo café con leche = @6amTC+L
▪ L33t
Encriptación (Cifrado)
Encriptación
Definición
▪ Proceso para volver ilegible información considera importante.
▪ La información una vez encriptada sólo puede leerse aplicándole una clave.
Componentes
▪ Clave:▪ valor independiente del texto o
mensaje a cifrar.
▪ Algoritmo▪ Pasos seguidos para convertir el
texto virgen en texto cifrado. Va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada.
Modelo de clave privada
Hola mundo!
Yo
413dfn9u&&//
413dfn9u&&//
Otro
Hola mundo!
Vos
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Modelo de clave pública: Mensaje seguro
Hola mundo!
Yo
413dfn9u&&//
413dfn9u&&//
Otro
Hola mundo!
Banco
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Modelo de clave pública: Firma digital
Hola mundo!
Banco
413dfn9u&&//
Hola mundo!
Otro
Hola mundo!
Yo
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Desencriptación
Clave digital en Argentina
http://www.firmadigital.gba.gov.ar/
https://pki.jgm.gov.ar/app/
http://www.firmadigital.com.ar/
Copia de seguridad
Back up: Respaldo /
Copia de seguridad
▪ Minimiza el perjuicio del riesgo de pérdida o transformación de información
▪ Permite restaurar la información y su sistema si ha sido eliminada o dañada imprevistamente.
▪ Sincronización vs Back up
Back up: Copia de Seguridad
▪ Herramientas:▪ Dispositivos externos portátiles
▪ Servidores
▪ Cloud
▪ Frecuencia no más de una semana
▪ Encriptar
▪ Resguardar en un lugar seguro
▪ http://www.worldbackupday.net/
Protección contra amenazas
Seguridad lógica:
Amenazas
▪ Micro targeting
▪ Ingeniería social▪ Confianza
▪ Autoridad
▪ Curiosidad
▪ Vulnerabilidades de día cero
▪ Anulación de barreras de defensa
▪ Accesos no autorizados
Consecuencias
▪ Espionaje de información
▪ Robo de identidad
▪ Invasión a la privacidad
▪ Corrupción de la información
▪ Realizar delitos a terceros con recursos de la empresa
▪ Transferencias de fondos no deseadas
▪ Interrupción de las operaciones
EL usuario
Amenazas
El usuario
▪ El administrador no es un paranoico
▪ Mi máquina también es importante
▪ El hacker no es un genio, no requiere grandes habilidades
▪ Todos los programas tienen vulnerabilidades
▪ Soy el eslabón más débil
Protección contra usuarios
▪ El 70% de robos, sabotajes y accidentes informáticos están vinculados al personal de la empresa.
▪ Recomendaciones:▪ Control de referencias
▪ Need to know
▪ Dual control
▪ Rotación de funciones
▪ Separación de funciones
▪ Cancelación inmediata de cuenta
Firewall
Vulnerabilidades
Definición
▪ Herramientas para bloquear los
accesos no autorizados y permitir los autorizados
▪ Examina cada mensaje entrante y saliente
▪ Bloquea aquellos que no cumplen los criterios de seguridad especificados por su
configuración.
Firewall: Beneficios y limitaciones
Beneficios
▪ Economía: Baja ancho de banda "consumido" por el trafico de la red.
▪ Seguridad: Monitorear la seguridad de la red y generar alarmas de intentos de ataque.
Limitaciones
▪ Su eficacia depende de su configuración
▪ Cuanto mayor sea el tráfico permitido menor será la resistencia.
▪ No protege de virus.
▪ No protege la red interna.
▪ No protege de amenazas humanas.
Virus
Amenazas
Definición
Tipos
▪ Malware
▪ Ransomware
▪ Spyware
▪ Worms
Características
▪ Contagio▪ Instalación por el usuario
▪ Replicación automática en la red
▪ Activación▪ Invocado por el usuario
▪ Invocado por el sistema
Antivirus
▪ Sólo detección▪ sólo actualizan archivos infectados, no
pueden eliminarlos o desinfectarlos.
▪ Detección y desinfección▪ detectan archivos infectados y que pueden
desinfectarlos.
▪ Detección y aborto de la acción▪ detectan archivos infectados y detienen las
acciones que causa el virus.
