1 / 52

Mag. Yovana Connie Roca Avila.

Instituto de Educación Superior Tecnológico “Huaycán”. Seguridad Informática. Mag. Yovana Connie Roca Avila. Definir que es la seguridad informática. Conocer los softwares malignos. SEGURIDAD DE LA INFORMACIÓN. Políticas, procedimientos y técnicas . Asegurar. Preservación.

nyoko
Download Presentation

Mag. Yovana Connie Roca Avila.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Instituto de Educación Superior Tecnológico “Huaycán” SeguridadInformática Mag. Yovana Connie Roca Avila.

  2. Definir que es la seguridad informática. • Conocer los softwares malignos

  3. SEGURIDAD DE LA INFORMACIÓN Políticas, procedimientos y técnicas Asegurar Preservación Confidencialidad, integridad y disponibilidad Los sistemas implicados en su tratamiento

  4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Confidencialidad

  5. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Integridad Modificada por quien está autorizado y de manera controlada.

  6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Disponibilidad

  7. Términos (virus informáticos, spyware, hacker, crakers Phishing…

  8. Firewall (Contrafuegos) Elemento de red ¿De quépuedeproteger un Firewall? Asegurar que solamente las comunicacionesautorizadas son las permitidas. • Ataques externos. • Accesos no deseados. Se trata de aplicaciones destinadas a prevenir que penetren en la PC elementos no deseados vía Internet. Bloquear las comunicaciones no autorizadas y registrarlas.

  9. Firewall (Contrafuegos) Elemento de red ¿De quéNOpuedeproteger un Firewall? • Ataques internos en la mismared. • Mala configuración de zonasdesmilitarizadas. • Falta de mantenimiento de las políticas. • Virus informáticos. • Inexperiencia del administrador.

  10. ¿Qué es un virus informático? • Programa informático que se reproduce a sí mismo y ataca al sistema. • Puede reproducirse por la red. • Puede ser programado para dañar gravemente un sistema (Bombas lógicas) • Puede camuflarse en programas ‘conocidos’ (Troyanos)

  11. ¿Qué es un antivirus? Son las herramientas específicas para solucionar el problema de los virus ¿De qué me protege un antivirus? • Alteración del correcto funcionamiento. • Ejecución de códigos nocivos en el equipo.

  12. CICLO DE VIDA DE UN VIRUS

  13. HACKERS Expertos manejo del ordenador Lenguaje ensamblador

  14. SPAM

  15. SPYWARE software que recopila información Después transmite esta información Sin permiso Entidad externa

  16. Pishing Se conoce como ‘phishing’ a la suplantación de identidad. PROPÓSITOS Apropiarse de datos confidenciales de los usuarios.

  17. Ejemplo de un intento de phishing, haciéndose pasar por un e-mail oficial, trata de engañar a los miembros del banco para que den información acerca de su cuenta con un enlace a la página del phisher.

  18. Procedimientos para protegerse del "phishing“: • Nunca responda a solicitudes de información personal a través de correo electrónico. Si tiene alguna duda, póngase en contacto con la entidad que supuestamente le ha enviado el mensaje. • Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. • Asegúrese de que el sitio Web utiliza cifrado. • Consulte frecuentemente los saldos bancarios y de sus tarjetas de crédito. • Comunique los posibles delitos relacionados con su información personal a las autoridades competentes.

  19. Procedimientos para protegerse del "phishing“: • Nunca responda a solicitudes de información personal a través de correo electrónico. • Para visitar sitios Web, introduzca la dirección URL en la barra de direcciones. • Asegúrese de que el sitio Web utiliza cifrado.

  20. Casos Reales

  21. Casos Reales

  22. Instituto De Educación Superior Tecnológico “Huaycán” Gestión de la Seguridad SeguridadInformática Mag. Yovana Roca Avila

  23. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

  24. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SGSI (El Sistema de Gestión de Seguridad de la Información) La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Seguridad de la información:

  25. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es ISO? (International Organization for Standardization) ISO garantiza un marco de amplia aceptación mundial a través de los 3000 grupos técnicos y 50.000 expertos que colaboran en el desarrollo de normas.

  26. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27000 ISO 27003 Normas relacionadas con sistemas de gestión de seguridad de la información. Guía de implantación de un SGSI. ISO 27005 ISO 27004 Guía para la gestión del riesgo de seguridad de la información métricas y técnicas de medida de la efectividad de un SGSI ISO 27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).

  27. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ¿Qué es la norma ISO 27001? Proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

  28. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN • Se basa en un ciclo de vida PDCA de mejora continua. • Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001. Ciclo de Deming)

  29. Riesgo

  30. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN • ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa? • Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua.

  31. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN • ¿Qué aporta la ISO 27001 a la seguridad de la información de una empresa? • Ayuda a la empresa a Gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, etc.

  32. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

  33. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Quiero implantar ISO 27001, ¿por dónde empiezo? Hacer un "gap analysis" (análisis diferencial) inicial de su estado actual con los controles de ISO 27002. Curso de información ((de introducción a la norma, a su implantación y su auditoría). ) http://www.iso.org Recopilar información WWW. servicios de una empresa consultora Para certificar su sistema frente a ISO 27001, debe ponerse en contacto con una o varias entidades de certificación acreditadas para pedir formalmente la visita de auditoría Una vez implantado el sistema y en funcionamiento, deberá recopilar evidencias al menos durante tres meses antes de pasar a la auditoría de certificación. pasar por todas las tareas propias de implantación de un SGSI: definición de política, determinación del alcance, análisis de riesgos, tratamiento de riesgos, etc. Concienciar a todo el personal.

  34. Instituto de Educación Superior Tecnológico “Huaycán” Software empleados en la actualidad para la seguridad informática. Políticas de seguridad. SeguridadInformática Mag. Yovana Connie Roca Avila

  35. Reconocer software actuales de seguridad. • Definir las políticas y normas de seguridad. Elaborar políticas de seguridad para la conservación y preservación de la información

  36. Software empleados en la actualidad para la seguridad informática Sistema de Protección contra Malware, el Small Office Security, que ofrece protección óptima y control central para PCs y servidores. Administración del uso de la Internet por los empleados Proteger a las empresas contra el software malicioso y, al mismo tiempo, aumenta la productividad de los empleados Limitar el uso de redes sociales a ciertas horas del día

  37. Software empleados en la actualidad para la seguridad informática Detección y prevención de intrusiones para aplicaciones web,“firewall web”.

  38. Software empleados en la actualidad para la seguridad informática Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos, etc.(Tiempo real). • Seguridad integral de redes ofrece protección a la velocidad de su negocio. • Integran firewall, antivirus, antiphishing, antispam, filtrado de contenidos y calidad de servicio (QoS). También plantea soluciones de protección completa para correo electrónico, acceso remoto seguro a recursos de la red y control remoto de los equipos.

  39. Políticas y Normas de Seguridad Política: Son instrucciones mandatarias que indican la intención de la alta gerencia respecto a la operación de la organización. Puede prohibir o permitir acceder (información - áreas) Están en base a un análisis de riesgo al que esta expuesto la empresa o el sistema, basándose en lo siguiente

  40. Etapas de las Políticas política es creada, revisada y aprobada se retira cuando no se requiera más comunicada y acatada actualizarla

  41. Física Lógica Se tienen en cuenta … • La seguridad de los equipos y medios de comunicaciones. • Controles de acceso a las instalaciones. • Mecanismos de Contingencias • La seguridad de las bases de datos. • La seguridad de las aplicaciones. • Los controles de acceso a los programas y datos.

  42. normas de seguridad Políticas de seguridad Previa aprobación Entidades correspondientes además competentes al área jurídica, aplicándolo y haciendo cumplir dichas políticas. Documentación

  43. normas de seguridad Permite la dirección eficaz del sistema de seguridad Facilitan la rápida formación y concientización del personal Impiden que existan vacíos acerca de la seguridad Facilitar la comunicación y la seguridad, aumentan el sentido de seguridad en el usuario Permiten un manejo excelente de las instalaciones y equipos Homogenizan medios y procedimientos

  44. gUÍA deben Es una declaración general utilizada Recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Considerarse al implementar la seguridad.

  45. MEDIDAS TÉCNICAS referentes Características de los productos Consistentes en la imposición de requisitos relativos a las formalidades administrativas La seguridad o las dimensiones La calidad Requisitos de embalaje, marcado y el etiquetado de los productos La terminología Los símbolos

  46. Procedimientos Delinear los pasos que deben ser seguidos por una dependencia. Son desarrollados, implementados y supervisados. Los procedimientos por el dueño del proceso seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.

  47. La implantación de seguridad de sistemas incluyen Políticas + Procedimientos + Medidas técnicas

More Related