seg inf sem01
TRANSCRIPT
![Page 1: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/1.jpg)
Seguridad Informática Ing. Álvaro Orihuela
![Page 2: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/2.jpg)
Seguridad Informática Ing. Álvaro Orihuela
a g e n d a
• Introducción• Seguridad Informática• Los pilares de la seguridad
Informática• Algunos conceptos básicos• Gestión del riesgo
![Page 3: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/3.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Las Organizaciones y las Tecnología de Información
Un elemento crítico para el éxito y la supervivencia de las organizaciones, es la administración efectiva de la información y de la Tecnología de Información (TI) que la soporta.
![Page 4: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/4.jpg)
Seguridad Informática Ing. Álvaro Orihuela
De dónde emerge la criticidad...
La creciente dependencia en la información y en los sistemas que proporcionan dicha información
La creciente vulnerabilidad y un amplio espectro de amenazas
La escala de las inversiones en Tecnología
El potencial que tienen las tecnologías para cambiar radicalmente las organizaciones.
![Page 5: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/5.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Niv
el d
e de
pend
enci
a
Nivel de utilización de TI
A mayor utilización mayor dependencia en
TIy mayores riesgos…..
A mayor utilización mayor dependencia en
TIy mayores riesgos…..
RIESGOSRIESGOS
Vivimos en una relación de dependencia
![Page 6: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/6.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Encuesta de crímenes informáticos y de seguridad
![Page 7: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/7.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Seguridad Informática
“Sólo protegemos aquello que creemos tiene un valor importante para nosotros”
Elementos básicos a proteger en cualquier sistema informático son:
Hardware: Facilidades de procesamientoSoftware: Sistemas operativos aplicacionesDatos: El bien más importante.
![Page 8: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/8.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Seguridad: “cualidad de seguro”.
Seguro: “libre y exento de todo peligro, daño o riesgo”.
¿Cómo definir la seguridad informática?
Seguridad Informática: “Cualidad” de un Sistema Informático que esta “libre y exento de todo peligro, daño o riesgo”.
![Page 9: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/9.jpg)
Seguridad Informática Ing. Álvaro Orihuela
¿Cómo definir la seguridad informática?
En conjunto constituido por diversas metodologías, documentos, software, hardware, que determinan que los accesos a los recursos de un sistema informático sean realizados exclusivamente por los elementos autorizados a hacerlos
Seguridad de la Información:Preservación de la confidencialidad, integridad y disponibilidad de la información.
![Page 10: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/10.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Confidencialidad
Pilares de la SSII
Seguridad de la Información
Integridad Disponibilidad
![Page 11: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/11.jpg)
Seguridad Informática Ing. Álvaro Orihuela
ConfidencialidadConfidencialidadAseguramiento de que la información es accesible solo para aquellos autorizados a tener acceso.
IntegridadIntegridadGarantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento.
DisponibilidadDisponibilidad– Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la información y sus activos asociados.
Pilares de SSII
![Page 12: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/12.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de certificados digitales de autenticación.
No repudio
![Page 13: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/13.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Confidencialidad
Resumen
Seguridad de la Información
Integridad Disponibilidad
Datos
Hardware
Software
¿Maximizar los 3
pilares?
Elementos a proteger
![Page 14: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/14.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ataques a la seguridad
Interrupción Interceptación Modificación Fabricación (pérdida) (acceso) (cambio) (alteración)
Confidencialidad
Seguridad de la Información
Integridad Disponibilidad
![Page 15: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/15.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Alguno conceptos...
Activo Amenaza Riesgo Vulnerabilidad Contramedida
![Page 16: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/16.jpg)
Seguridad Informática Ing. Álvaro Orihuela
ActivoTodo recurso del sistema de información o relacionado con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
![Page 17: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/17.jpg)
Seguridad Informática Ing. Álvaro Orihuela
AmenazaEvento que puede desencadenar un incidente en la organización, produciendo daños o perdidas materiales o inmateriales en sus activos
![Page 18: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/18.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Principales amenazas
Ingeniería Social, Repetición de Transacción, Phishing, Backdoors, Escaneo de Puertos, DHCP Starvation Wardialers, Trashing, Código Malicioso, Exploits,
DoS, DoS Distribuido, Ataques de Contraseña, Control Remoto de Equipos, Fraude Informático,
Eavesdropping, Acceso a Información Confidencial Impresa,
Man-in-the-Middle, Daños Físicos al Equipamiento, Robo de Equipamiento, IP - MAC Address Spoofing,
Defacement, Pérdida de Copias de Resguardo,Software Ilegal, entre otras.
Tema de Preguntas - Próxima clase
![Page 19: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/19.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
![Page 20: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/20.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
![Page 21: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/21.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
![Page 22: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/22.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ejemplos...
![Page 23: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/23.jpg)
Seguridad Informática Ing. Álvaro Orihuela
VulnerabilidadEs una falla en el diseño, implementación o configuración de un software, sistema operacional o hardware que, cuando explotada por un atacante, resulta en una violación de la seguridad de un computador. Ejemplos:
Falla en la administración de contraseñas Puertos innecesarios abiertos en el
Firewall Procedimientos de backup errados o
inexistentes Sistemas de log errados o inexistentes Análisis de logs equivocados o errados
![Page 24: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/24.jpg)
Seguridad Informática Ing. Álvaro Orihuela
RiesgoProbabilidad de que un activo este sujeto a factores e incidentes que puedan devenir en perdidas o daños, comprometiendo la continuidad de las actividades de una organización. Probabilidad de que una amenaza se materialice.
Riesgo Amenazas Vulnerabilidades= x
![Page 25: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/25.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Impacto
Consecuencia de la materialización de una amenaza sobre un activo de la organización.
![Page 26: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/26.jpg)
Seguridad Informática Ing. Álvaro Orihuela
ContramedidasLa contramedida o control es una practica, procedimiento o mecanismo que reduce el nivel de riesgo. Preventivas, detección y recuperación.
• Un firewall• Una política de contraseñas• Política de Backups• Dispositivos biométricos como control de acceso.•Etc.
![Page 27: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/27.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.
Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.
Análisis de riesgo
![Page 28: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/28.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgo
El Análisis de Riesgos implica:Determinar qué se necesita proteger.De qué hay que protegerlo.Cómo hacerlo.
![Page 29: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/29.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgos
1. Identificación de activos y el costo ante posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.La probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones (G).Seleccionar acciones a implementar.
¿ G PL ?
![Page 30: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/30.jpg)
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información.
• Antecedentes
• Introducción
• Objeto y campo de la aplicación
• Términos y definiciones
• Política de seguridad
• Aspectos organizativos para la seguridad
• Clasificación y control de los archivos
• Seguridad ligada al personal
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de accesos
• Desarrollo y mantenimiento de sistemas
• Gestión de continuidad del negocio
• Conformidad
![Page 31: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/31.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Sistemas de Gestión de la Seguridad de la Información -
SGSIConjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información
La política de seguridad Estructura organizativa Los procedimientos Los procesos Recursos necesarios
SGSI
El Objetivo del SGSI es salvaguardar la información
![Page 32: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/32.jpg)
Seguridad Informática Ing. Álvaro Orihuela
Ideas finales
La seguridad no es un producto, sino un proceso
“...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier
![Page 33: Seg Inf Sem01](https://reader035.vdocuments.site/reader035/viewer/2022062313/557abc89d8b42a642f8b4a97/html5/thumbnails/33.jpg)
Seguridad Informática Ing. Álvaro Orihuela
?