Conceptos básicos de
Riesgos y Seguridad
Seguridad y Auditoria de Sistemas
Ciclo 2009-2
Ing. Yolfer Hernández, CIA
Temario
• Presentación de la asignatura.
• Definición de los temas de
investigación.
• Recursos, Amenazas, Riesgos y
Controles.
Presentación de la asignatura
INGENIERO DE SISTEMAS
Seguridad de Sistemas
Conceptos y definiciones




Herramientas
Métodos
Recomendaciones prácticas.
Tendencias actuales.
Auditoría de Sistemas
Estructura de la Asignatura
 13 Clases de 3 Horas.
 2 Trabajos de Evaluación
continua (sem. 6 y 13-14).
 Evaluación Parcial (sem.8).
 Evaluación Final (sem.15).
Sistema Evaluativo
NF=
0,20*EC1+
0,25*EA+
0,30*EC2+
0,25*EB
Leyenda:
EA: Evaluación Parcial.
EB: Evaluación Final.
EC: Evaluación Contínua.
(Avance, Investigación, Exposición y Sustentación).
Bibliografía
•TIPTON, H. 2000 Information Security
Management Handbook.
•WEBER, Ron. 1998 Information Systems
Control and Audit.
•PIATTINI, Mario. 2001 Auditoria Informática,
un enfoque práctico.
•NASH Andrew, et.al: PKI: Infraestructura de
claves públicas. 2002 Mc Graw Hill
Iberoamericana S.A.
Temas de Investigación
•
•
•
•
Métodos y algoritmos: CRC, Suma de Comprobación, Controles de Paridad, otros.
En Bases de Datos (DBMS)
En Dispositivos: Discos, CDs, USB, Memorias en Tarjetas, etc.
En Comunicaciones: IPSEC, VPN, WAP, WEP, SSH, https, ftps, etc.
•
•
•
•
•
Algoritmos: Hash, MD5, SHA
Simétricos: DES, 3DES, AES, Rijndael, IDEA, RC4, etc
Asimetricos: RSA, Diffie-Hellman, Rabin, ElGamal, etc
Métodos y Herramientas: PKI (Public key Infrastructure), Firma digital, Certificados digitales, SSL, SET
(Secure Electronic Transactions), PGP (Pretty Good Privacy), PMI (Privilege Management Infrastructure).
Criptografía cuántica, fractal, etc.
Computación Cuántica
3
Identificación personal
de acceso
•
•
•
•
Algo que conoces: Firma Digital, PIN, Sistemas Integrales: Para negocios
Algo que tienes: Tarjetas Smart Cards, Rusco, RFID (Radio Frecuencia)
Algo que eres: Sistemas Biométricos, Firma digital
Regulaciones Internacionales y Peruanas sobre Sistemas de Identificación, Protección de Datos, etc.
4
Protección de accesos
según plataformas
tecnológicas
•
•
•
•
Mainframe: OS390, Z10, AS400
UNIX, Linux
Windows 2003, XP, Vista
Servidores de Seguridad: LDAP, Firewall, etc.
•
•
•
Programas intrusivos: Spam, Hoax, Virus: Klez-Elkern, Pharmings, Troyanos, Backdoor, Spyware, Spoofing,
Phreaker, Gusanos, Adware, Malware
Métodos de Ataque: Phishing, Ataque de denegación de servicio, Ingeniería social
Organizaciones: Hackers, Crackers, Hacking ético, Robo de Información, crimen organizado
Vulnerabilidades: Actualizaciones no instaladas, Puertos abiertos, Agujeros de Seguridad en las Redes,
Debilidades de Control
Sistemas y herramientas de prevención y detección: Firewalls, IDS, IPS, DLP, IWSS, IMSS
Regulaciones Internacionales y Peruanas: Políticas de Seguridad, Plan de Seguridad Informática, etc.
•
•
•
Seguridad Física
Plan de Continuidad de Negocios
Regulaciones Internacionales y Peruanas sobre Seguridad Física y Planes de Contingencia
•
Metodologías y software de Gestión de Riesgos: Magerit, PMI-Pmbok (Project Management Inst), MSF
(Microsoft Solution Framework - Risk Management)
Regulaciones Internacionales y Peruanas sobre Riesgos, Basilea II, etc
1
2
5
Integridad de
información
Métodos de
Criptografía y
protección
Intrusión y violación
6
Seguridad física y
continuidad operativa
7
Gestión de Riesgos
•
•
•
•
Recursos
•Instalaciones y Activos |
•Infraestructura Tecnológica
o
Hardware
o
Software
o
Información
• Explotación Tecnológica
• Recursos Humanos
Recursos -
Identificación
Tangibles:
Computadoras,
registros
de
datos,
registros de auditoría, manuales, libros,
discos, etc.
Intangibles:
Seguridad
y
salud
del
personal,
privacidad de usuarios, contraseñas,
imagen pública, etc.
Vulnerabilidades
Debilidades o agujeros en la
seguridad de la organización
• Puntos y control de acceso (lógicos
y físicos)
• Falta de Mantenimiento
• Personal sin conocimiento
• Desactualización de sistemas
críticos
Amenazas / Ataques
• Desastres Naturales
• Errores Humanos y Procedimentales
• Errores Tecnológicos:
Hardware y Software
• Actos Malintencionados
• Entorno de la Empresa: Competidores
Ataques
Provocados por la naturaleza
Lluvias, inundaciones,
terremotos, rayos, etc.
Ataques
Provocados por el hombre
Hackers,
crackers,
piratas.
Virus.
Escucha
electrónica
Ataques
físicos
Proporciones
20%
80%
Externos
Internos
Procedencia de los ataques
• Externa.
Competidores.
Usuarios.
Delincuentes.
• Interna.
Administrativos.
Ingenieros.
Operadores.
Programadores.
Auxiliares.
Posibles acciones de los
competidores
sabotaje
espionaje
soborno
robo de
programas
Posibles acciones de los
usuarios
Obtención de
información.
Entrega de información
a competidores.
Infección viral
Archivo
Infectado
Transmisión
Reproducción INFECCIÓN
Tendencias de los ataques
Tendencias de los ataques
Posibles acciones de los
administrativos
Falsificar
información.
Entrega de información
a externos.
Posibles acciones de los
ingenieros
Activar
defectos.
Acceder a los sistemas
de seguridad.
Posibles acciones de los
operadores
Copiar
archivos.
Destruir archivos.
Posibles acciones de los
programadores
Robar
programas o
datos.
Introducir fallas.
11 3
Posibles acciones de los
auxiliares
Vender reportes o
duplicados.
Buscar informaciones
Riesgos
Es la posibilidad de que
ocurra un acontecimiento
que pudiera afectar el logro
de
los
objetivos
de
la
organización.
El riesgo se mide en términos
de impacto y probabilidad.
Riesgos -Definiciones
Riesgo del Negocio: Aquellos que pueden afectar la
viabilidad a largo plazo de un determinado negocio o
de la empresa en su conjunto.
Riesgo
Inherente:
Posibilidad
de
errores
o
irregularidades significativas, antes de considerar la
efectividad de los sistemas de control.
Riesgo de Control: Posibilidad de que los sistemas de
control en vigencia no puedan detectar o evitar
errores o irregularidades significativas en forma
oportuna.
Riesgo Residual: Es el riesgo que no esta considerado
dentro de los sistemas de control implantados.
Riesgos -
tipos básicos
• Pérdida de confidencialidad
• Pérdida de integridad
• Pérdida de disponibilidad
• Pérdida de Activos
Controles
Procesos, herramientas,
procedimientos, métodos,
acciones, etc. que permiten
mitigar los riesgos en
función al costo / beneficio
definido por la organización.
Sistema de Control
Interno
Mapa de
Recursos
(Procesos)
Evaluación de
Controles
GESTIÓN DEL
NEGOCIO
Modelo de
Controles
Modelo de
Riesgos
Conclusiones
• No existe ninguna organización a
salvo de ataques a sus sistemas
informáticos.
• No existe ningún sistema informático,
ni organización absolutamente
seguros.
• Subjetivo: existe un juicio personal
sobre el nivel de riesgo aceptable y lo
que constituye una amenaza
Descargar

Diapositiva 1 - UPC Tito Personal