Instituto de Educación Superior Tecnológico
“Huaycán”
•Definir que es la seguridad
informática.
•Conocer
malignos
los
softwares
SEGURIDAD DE LA INFORMACIÓN
Políticas, procedimientos y técnicas
Asegurar
Preservación
Confidencialidad,
integridad y
disponibilidad
Los sistemas
implicados en su
tratamiento
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
Confidencialidad
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
Integridad
Modificada por
quien
está
autorizado y de
manera
controlada.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
Disponibilidad
Términos (virus informáticos,
spyware, hacker, crakers
Phishing…
Firewall (Contrafuegos)
Elemento de red
Asegurar
que solamente
¿De qué puede proteger
un Firewall?
las
autorizadas
comunicaciones
son las permitidas.
• Ataques externos.
• Accesos no deseados.
Se trata de aplicaciones
destinadas a prevenir que
penetren en la PC elementos no
deseados vía Internet.
Bloquear las comunicaciones no
autorizadas y registrarlas.
Firewall (Contrafuegos)
Elemento de red
¿De qué NO puede proteger un Firewall?
• Ataques internos en la misma red.
• Mala configuración de zonas desmilitarizadas.
• Falta de mantenimiento de las políticas.
• Virus informáticos.
• Inexperiencia del administrador.
¿Qué es un virus informático?
•Programa informático que se reproduce a sí
mismo y ataca al sistema.
•Puede reproducirse por la red.
•Puede ser programado para dañar gravemente un
sistema (Bombas lógicas)
• Puede camuflarse en programas ‘conocidos’ (Troyanos)
¿Qué es un antivirus?
Son las herramientas específicas para
solucionar el problema de los virus
¿De qué me protege un antivirus?
• Alteración del
funcionamiento.
correcto
• Ejecución de códigos nocivos en
el equipo.
CICLO DE VIDA DE UN VIRUS
CREACIÓN
GESTACIÓN
ERRADICACIÓN
REPRODUCCIÓN
ASIMILACIÓN
DESCUBRIMIENTO
ACTIVACIÓN
12
13
14
HACKERS
manejo del ordenador
Lenguaje ensamblador
Expertos
15
SPAM
SPYWARE
software
información
que
recopila
Después
transmite
información
Sin permiso
Entidad externa
esta
PISHING
Se conoce como ‘phishing’ a la suplantación de
identidad.
PROPÓSITOS
Apropiarse de datos confidenciales de los usuarios.
Ejemplo de un intento de phishing, haciéndose pasar por un e-mail oficial,
trata de engañar a los miembros del banco para que den información acerca
de su cuenta con un enlace a la página del phisher.
Procedimientos para protegerse del "phishing“:
•
Nunca responda a solicitudes de información personal a través de
correo electrónico. Si tiene alguna duda, póngase en contacto con
la entidad que supuestamente le ha enviado el mensaje.
•
Para visitar sitios Web, introduzca la dirección URL en la barra de
direcciones.
•
Asegúrese de que el sitio Web utiliza cifrado.
•
Consulte frecuentemente los saldos bancarios y de sus tarjetas de
crédito.
•
Comunique los posibles delitos relacionados con su información
personal a las autoridades competentes.
Procedimientos para protegerse del "phishing“:
• Nunca responda a solicitudes de información personal a través de
correo electrónico.
• Para visitar sitios Web, introduzca la dirección URL en la barra de
direcciones.
•Asegúrese de que el sitio Web utiliza cifrado.
Casos Reales
Casos Reales
Instituto De Educación Superior
Tecnológico “Huaycán”
Gestión de la Seguridad
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
SGSI (El Sistema de Gestión de Seguridad de la Información)
La seguridad de la información, según ISO 27001, consiste en
la preservación de su confidencialidad, integridad y
disponibilidad, así como de los sistemas implicados en su
tratamiento, dentro de una organización.
Seguridad de la información:
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
¿Qué es ISO?
(International Organization for Standardization)
ISO garantiza un marco de amplia aceptación
mundial a través de los 3000 grupos
técnicos y 50.000 expertos que colaboran en
el desarrollo de normas.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
ISO 27000
Normas relacionadas con sistemas de
gestión
de
seguridad
de
la
información.
ISO 27003
Guía de implantación
de un SGSI.
ISO 27005
ISO 27004
métricas y técnicas de medida
de la efectividad de un SGSI
Guía para la gestión del
riesgo de seguridad de la
información
ISO 27006
(proceso de acreditación de entidades
certificación y el registro de SGSIs).
de
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
¿Qué es la norma ISO 27001?
Proporciona un modelo para establecer,
implementar, utilizar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión
de Seguridad de la Información (SGSI).
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
Ciclo de Deming)
• Se basa en un
ciclo de vida PDCA
de
mejora
continua.
• Es un estándar
certificable,
es
decir,
cualquier
organización que
tenga implantado
un SGSI según
este modelo puede
solicitar
una
auditoría externa
por parte de una
entidad acreditada
y, tras superar con
éxito la misma,
recibir
la
certificación
en
ISO 27001.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
¿Qué aporta la ISO 27001 a la seguridad de la información de
una empresa?
• Aplica una arquitectura de gestión de la seguridad que
identifica y evalúa los riesgos que afectan al negocio, con el
objetivo
de
implantar
contramedidas,
procesos
y
procedimientos para su apropiado control y mejora continua.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
¿Qué aporta la ISO 27001 a la seguridad de
la información de una empresa?
• Ayuda a la empresa a Gestionar de una
forma eficaz la seguridad de la
información, evitando las inversiones
innecesarias, ineficientes o mal dirigidas
que se producen por contrarrestar
amenazas sin una evaluación previa, por
desestimar riesgos, por la falta de
contramedidas, por implantar controles
desproporcionados y de un coste más
elevado del necesario, por la falta de
claridad en la asignación de funciones y
responsabilidades sobre los activos de
información, etc.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE
LA INFORMACIÓN
Quiero implantar ISO 27001, ¿por dónde empiezo?
Hacer un "gap
analysis" (análisis
diferencial) inicial de su
estado actual con los
controles de ISO 27002.
http://www.iso.org
Curso de información
((de introducción a la
norma, a su implantación
y su auditoría). )
Recopilar información WWW.
Para certificar su
sistema frente a ISO
27001, debe ponerse
en contacto con una o
varias entidades de
certificación
acreditadas para
pedir formalmente la
visita de auditoría
Una vez implantado
el sistema y en
funcionamiento,
deberá recopilar
evidencias al menos
durante tres meses
antes de pasar a la
auditoría de
certificación.
servicios de una
empresa consultora
Concienciar a todo
el personal.
pasar por todas las tareas
propias de implantación de un
SGSI: definición de política,
determinación del alcance,
análisis de riesgos,
tratamiento de riesgos, etc.
Instituto de Educación Superior Tecnológico
“Huaycán”
Software empleados en la actualidad para la
seguridad informática.
Políticas de seguridad.
•Reconocer software actuales de
seguridad.
•Definir las políticas y normas de
seguridad. Elaborar políticas de
seguridad
para la conservación y
preservación de la información
Software empleados en la actualidad para la
seguridad informática
Sistema de Protección contra Malware, el
Small Office Security, que ofrece protección
óptima y control central para PCs y
servidores.
Proteger a las empresas contra el software malicioso y, al
mismo tiempo, aumenta la productividad de los empleados
Limitar el uso de redes sociales a ciertas horas del día
Software empleados en la actualidad para la
seguridad informática
Detección y prevención de
intrusiones para aplicaciones
web,“firewall web”.
Software empleados en la actualidad para la
seguridad informática
Snort es un IDS
o Sistema de
detección de
intrusiones
basado en red
(NIDS).
Implementa un motor de detección de ataques y barrido de puertos que permite registrar,
alertar y responder ante cualquier anomalía previamente definida como patrones que
corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de
protocolos, etc.(Tiempo real).
•Seguridad integral de redes ofrece protección a la velocidad de su
negocio.
•Integran firewall, antivirus, antiphishing, antispam, filtrado de
contenidos y calidad de servicio (QoS). También plantea soluciones
de protección completa para correo electrónico, acceso remoto
seguro a recursos de la red y control remoto de los equipos.
Políticas y Normas de Seguridad
Política: Son instrucciones mandatarias
que indican la intención de la alta
gerencia respecto a la operación de la
organización.
Puede prohibir o
(información - áreas)
permitir
acceder
Están en base a un análisis de riesgo al que esta expuesto la empresa o el sistema,
basándose en lo siguiente
¿De qué o quién proteger?
¿Cómo proteger?
¿Qué proteger?
Etapas de las Políticas
Fase de
desarrollo
se retira
cuando no se
requiera más
Fase de
eliminación:
Etapas
de las
Políticas
Fase de
mantenimie
nto
política es creada,
revisada y
aprobada
Fase de
implementac
ión
actualizarla
comunicada y
acatada
SE TIENEN EN CUENTA …
Física






La seguridad de los equipos y medios
de comunicaciones.
Controles de acceso a las instalaciones.
Mecanismos de Contingencias
La seguridad de las bases de datos.
La seguridad de las aplicaciones.
Los controles de acceso a los
programas y datos.
Lógica
NORMAS DE SEGURIDAD
Políticas de seguridad
Previa aprobación
Documentación
Entidades correspondientes además
competentes al área jurídica,
aplicándolo y haciendo cumplir
dichas políticas.
NORMAS DE SEGURIDAD
Permite la
dirección
eficaz del
sistema de
seguridad
Impiden que
existan vacíos
acerca de la
seguridad
Permiten un
manejo
excelente de
las
instalaciones y
equipos
Facilitar la
comunicación y
la seguridad,
aumentan el
sentido de
seguridad en el
usuario
Facilitan la
rápida
formación y
concientización
del personal
Homogenizan
medios y
procedimientos
GUÍA
MEDIDAS TÉCNICAS
referentes
Características de los productos
La calidad
La terminología
La seguridad o
las dimensiones
Los símbolos
Consistentes en la imposición
de requisitos relativos a las
formalidades administrativas
Requisitos de embalaje,
marcado y el etiquetado de
los productos
PROCEDIMIENTOS
Delinear los pasos que deben
ser
seguidos
por
una
dependencia.
Son
desarrollados,
implementados y supervisados.
Los procedimientos por el dueño del proceso seguirán las políticas de la
organización, los estándares, las mejores prácticas y las guías tan cerca como les
sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos
establecidos dentro de la dependencia donde ellos se aplican.
LA IMPLANTACIÓN DE SEGURIDAD
DE SISTEMAS INCLUYEN
Políticas
+
Procedimientos
+
Medidas técnicas
.. Y SU APLICACIÓN
CORRECTA PERMITE:
.. ENTONCES
Seguridad
Inversión
Auditoria
Descargar

Presentación1 - WordPress.com