Funadamentos De Seguridad
-
Upload
nelson-ali -
Category
Documents
-
view
214 -
download
0
description
Transcript of Funadamentos De Seguridad
![Page 1: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/1.jpg)
FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
![Page 2: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/2.jpg)
Hoja de Vida José Marcial Flores Guerrero
• Licenciado en Informática – UMSA • Maestría en Finanzas Tec. Monterey - EMI • Certificado CISA Cerified Information System Auditor – ISACA Internacional • Certificado CGEIT Certified in the Governance of Enterprise IT – ISACA Internacional • Diplomado en Administración de la Seguridad de la Información de la Universidad
Privada Boliviana UPB • Diplomado en Educación Superior - UMSA • 25 años de experiencia Laboral en: CENACO, BCB, ETARE-Bco Mundial, Contaduría
General, Superintendencia de Bancos y Entidades Financieras hoy ASFI • Docente EMI - postgrado • Docente UMSA – postgrado • Docente UNIVALLE – postgrado • Docente UMSS - postgrado • Docente UNSLP pregrado • Mail: [email protected]
![Page 3: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/3.jpg)
Reglas del Juego: Horario: Lunes a Viernes de 19:00 a 22:00
Criterios de Evaluación
Evaluación Continua 70 %
Estudio de Casos en aula
Trabajos periódicos
Trabajo Final
Evaluación Final 30%
Examen
![Page 4: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/4.jpg)
Como encararemos el módulo
CISA CISSP
Otros CISM
![Page 5: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/5.jpg)
FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
![Page 6: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/6.jpg)
Aspectos Previos
Gobierno y Gestión de TI
![Page 7: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/7.jpg)
SEGURIDAD DE LA INFORMACION
![Page 8: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/8.jpg)
¿Que es la Seguridad Informática ?
¿Que es la Seguridad de la Información ?
![Page 9: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/9.jpg)
Que es la Seguridad Informática ?
La seguridad informática concierne a la
protección de la información que se encuentra en una computadora o en una red de ellas y también a la protección del
acceso a todos
los recursos del sistema.
![Page 10: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/10.jpg)
Se ejecuten operaciones no deseadas
ni autorizadas sobre un ordenador…
¿Qué es la seguridad informática?
Cualquier medida que evite que:
![Page 11: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/11.jpg)
Conllevar daños sobre la información,
…Cuyos efectos puedan:
¿Qué es la seguridad informática?
![Page 12: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/12.jpg)
comprometer la confidencialidad,
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
![Page 13: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/13.jpg)
Disminuir el rendimiento,
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
![Page 14: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/14.jpg)
Bloquear el acceso de usuarios autorizados.
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
![Page 15: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/15.jpg)
¿Que es la Seguridad de la Información ?
![Page 16: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/16.jpg)
Seguridad de la Información
• Un conjunto de políticas, normas, procedimientos, sistemas, métodos y herramientas destinados a proteger la información en una organización
![Page 17: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/17.jpg)
Administración de la Seguridad de la Información
• Función rectora para garantizar que la información y los recursos de procesamiento de la información estén debidamente protegidos
• Incluye la implementación de programas de seguridad de TI a nivel de la organización. Planes de continuidad y recuperación de desastres para procesos críticos.
![Page 18: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/18.jpg)
Seguridad La seguridad depende de 3 factores: Procesos:
• Procedimientos y operaciones del entorno de la organización
Personas
• Principales actores, sus acciones por error u omisión
• Deliberadas o por error
Tecnología: • Componentes técnicos, Estándares (TCP/IP) • Productos de los fabricantes (IIS,Apache) • Desarrollos personales
Organización • Gobierno • Cultura • Arquitectura
![Page 19: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/19.jpg)
Factores de la Seguridad de la Información
![Page 20: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/20.jpg)
Principios
• Existen tres principios básicos relacionados con la seguridad de la información :
– el del acceso más fácil,
– el de la caducidad del secreto y
– el de la eficiencia de las medidas tomadas.
![Page 21: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/21.jpg)
1er principio
“El intruso al sistema utilizará cualquier
debilidad que haga más fácil su acceso y
posterior ataque”
Existirá una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el análisis de riesgos porque el delincuente aplicará la filosofía del ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos débiles
de un sistema informático?
![Page 22: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/22.jpg)
2º principio
• “Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal”
• Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.
PREGUNTA: ¿Cuánto tiempo deberá
protegerse un dato?
![Page 23: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/23.jpg)
3er principio
• “Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio”
– Que funcionen en el momento oportuno.
– Que lo hagan optimizando los recursos del sistema.
– Que pasen desapercibidas para el usuario.
– Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo.
![Page 24: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/24.jpg)
Seguridad
Si voy a proteger mi Sistema Informático, debo conocer a mi posible atacante, saber quién es, qué hace, qué conoce de la institución, debo ... “conocer a mi enemigo” y aceptar que deberé convivir con él.
Mas
![Page 25: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/25.jpg)
“La seguridad es una cadena, tan débil como el más débil de sus eslabones”
![Page 26: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/26.jpg)
“La seguridad es una cadena, tan débil como el más débil de sus eslabones”
![Page 27: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/27.jpg)
ARQUITECTURA DE SEGURIDAD
![Page 28: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/28.jpg)
ARQUITECTURA DE SEGURIDAD
![Page 29: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/29.jpg)
Los pilares de la seguridad
Confidencialidad • La información puede ser accedida
únicamente por las personas que tienen autorización para hacerlo.
Integridad • Cuando nos referimos a integridad,
queremos decir que estamos totalmente seguros de que la información no ha sido borrada o alterada, no sólo en su trayecto, sino también desde su origen.
![Page 30: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/30.jpg)
Los pilares de la seguridad
Disponibilidad
• Este término hace referencia al método de
precaución contra posibles daños tanto en
la información como en el acceso a la
misma y que el acceso a los activos de
información en un tiempo razonable está
garantizado para usuarios autorizados
![Page 31: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/31.jpg)
Administración de la Seguridad de la Información
![Page 32: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/32.jpg)
Administración de la Seguridad de la Información
Objetivos • Asegurar la continua disponibilidad de sus sistemas de
información. • Asegurar la integridad de la información almacenada en sus
sistemas informáticos. • Preservar la confidencialidad de los datos sensibles. • Asegurar el cumplimiento de las leyes, regulaciones y
estándares aplicables. • Preservar la confidencialidad de los datos sensitivos
almacenados y en tránsito.
![Page 33: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/33.jpg)
Administración de la Seguridad de la Información
Los elementos clave relacionados
• Compromiso y soporte de la alta gerencia
• Políticas y Procedimientos
• Organización
• Conciencia de la Seguridad y Educación
• Monitoreo y cumplimiento
• Tratamiento y respuesta a incidentes
![Page 34: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/34.jpg)
Administración de la Seguridad de la Información
Inventarios de Activos de Información
• Una identificación clara y distintiva del activo
• Su ubicación
• Su clasificación de seguridad /riesgo
• Su grupo de activos (cuando el activo forma parte de un sistema más grande de información)
• Su propietario
![Page 35: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/35.jpg)
Administración de la Seguridad de la Información
Clasificación de los Activos de Información • Quién es el propietario del activo de información
• Quién tiene derechos de acceso y derecho a hacer qué
• El nivel de acceso a ser otorgado
• Quién es responsable de determinar los derechos de acceso y los niveles de acceso
• Qué aprobaciones se necesitan para tener acceso
![Page 36: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/36.jpg)
Administración de la Seguridad de la Información
Permisos de Acceso al Sistema
• Basado en acceso Físico, lógico
• Basado en la necesidad de saber
• Seguridad por Capas (Red, Plataforma, Base de Datos, Aplicación)
• Control de acceso a Recursos
• Capacidades de acceso lógico
• Revisiones de autorizaciones de acceso
![Page 37: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/37.jpg)
Administración de la Seguridad de la Información
Controles de Acceso Obligatorios y Discrecionales
• Obligatorios Hace cumplir la política corporativa de la seguridad
Compara la sensibilidad de los recursos de la información
• Discrecionales - Hace cumplir datos-dueño-definicion para compartir recursos
de informacion.
![Page 38: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/38.jpg)
Administración de la Seguridad de la Información
Seguridad de Información y Terceros
• Identificación de riesgos asociados con terceros
• Dirección de seguridad al tratar con los clientes
• Dirección de seguridad en acuerdos con terceros
![Page 39: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/39.jpg)
Administración de la Seguridad de la Información
La Seguridad de los Recursos Humanos y Terceros
• Filtrado
• Términos y Condiciones de Empleo
• Durante el Empleo
• Retiro de los Derechos de Acceso
![Page 40: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/40.jpg)
Administración de la Seguridad de la Información
Problemas y Exposiciones del Delito Informático • Las amenazas al negocio incluyen:
Perdida Financiera Repercusiones Legales Pérdida de credibilidad o ventaja competitiva Chantaje /espionaje industrial Revelación de información confidencial,
sensitiva o embarazosa Sabotaje
![Page 41: Funadamentos De Seguridad](https://reader034.fdocuments.us/reader034/viewer/2022051623/55cf85cd550346484b917d16/html5/thumbnails/41.jpg)
Administración del Riesgo