Upload
jessicakatherine
View
127
Download
8
Tags:
Embed Size (px)
Citation preview
ALUMNAS:
ALVARADO JESSICA
NAVARRO MARIA
RODRIGUEZ JEIKARI
SILVA AMAURYS
VIZCAYA WENDY
SECCION: 1N01AG
MATERIA:INFORMATICA
REPUBLICA BOLIVARIANA DE VENEZUELAMINISTERIO DEL PODER POPULAR PARA LA DEFENSA
UNIVERSIDAD NACIONAL EXPERIMENTAL POLITECNICA DE LA FUERZA ARMADA
NUCLEO LARAUNEFA
SEGURIDAD DE LA INFORMACION
El término de seguridad de información
(SI) surge por la necesidad de proteger
La información y a los sistemas que la
Administran, bien sean físicos o
Informáticos.
SEGURIDAD DE LA INFORMACION
La confidencialidad: consiste en que la información sea accesible sólo para aquéllos que están autorizados.
La integridad: radica en que la información sólo puede ser creada y modificada por quien esté autorizado a hacerlo.
La disponibilidad: se fundamenta, en que la información debe ser accesible para su consulta o modificación cuando se requiera.
Es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los
sistemas tecnológicos que permiten
resguardar y proteger la información
buscando mantener la confidencialidad, la
disponibilidad e integridad de la misma.
SEGURIDAD DE LA INFORMACION
Limitan el acceso físico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo, e incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida.
TIPOS DE SEGURIDAD DE LA INFORMACION
.
FISICAS
Son controles que se implantan a través de soportes físicos o lógicos difíciles de vencer y que, una vez implantados, pueden funcionar sin la intervención humana. El soporte lógico específico incluye antivirus, firmas digitales, cifrado, programas de control de biblioteca, contraseñas, tarjetas inteligentes, control de acceso de llamadas, seguimiento de huellas o trazas de auditoría y sistemas de detección de intrusiones.
TIPOS DE SEGURIDAD DE LA INFORMACION
TECNICAS
Los Sistemas de Gestión de Seguridad de la Información, integran los principales mecanismos
para brindar confidencialidad, integridad y disponibilidad de la Información.
SISTEMASDE SEGURIDAD DE LAINFORMACION EN LA
ADMINISTRACION PUBLICA
“La Información es un activo que, como cualquier otro
activo importante, es esencial para los negocios de
una organización y en consecuencia necesita estar
protegida adecuadamente. Esto es especialmente
importante en el ambiente de los negocios, cada vez
más interconectados.” ISO/IEC
27002:2007
SISTEMAS DE SEGURIDAD DE LA INFORMACION ISO
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
CARACTERISTICAS
Se aplica a los sistemas de
información de toda la empresa,
incluyendo las mini
computadoras,
computadoras personales y
ambientes distribuidos.
SISTEMA DE SEGURIDAD DE LA
INFORMACION COBIT
Ha sido diseñado como un
estándar habitualmente
aceptado y ajustable a las
buenas prácticas de seguridad
y control.
Suministra herramientas al
responsable de los procesos
que facilitan el cumplimiento
de esta tarea.
Tiene una premisa práctica y
simple: con el fin de facilitar la
información que la
organización requiere para
alcanzar sus objetivos, señala
que los recursos deben ser
administrados por un conjunto
de procesos agrupados en
forma natural.
Es la herramienta innovadora
para el manejo, que ayuda a la
gerencia a
comprender y administrar los
riesgos asociados
Ayuda a proteger las brechas
existentes entre necesidades
de control, riesgos de negocio
y aspectos técnicos.
Proporciona “prácticas sanas”
por medio de un Marco
Referencial de dominios y
procesos; presenta actividades
en una estructura manejable y
lógica.
Las prácticas sanas de COBIT
representan el consenso de los
expertos.
Está desarrollado no solo para
ser utilizado por usuarios y
auditores, sino que en forma
más importante, esta diseñado
para ser utilizado como un
Check List detallado para los
responsables de cada proceso.
CARACTERISTICAS
Asegura que sólo los usuarios autorizados (confidencialidad) tienen
acceso a información precisa y completa (integridad) cuando sea necesario
(disponibilidad).
SISTEMA DE SEGURIDAD DE LA
INFORMACION ISACA
Comprender la misión, los objetivos y los procesos del negocio, los requerimientos de información y de procesamiento tales como la disponibilidad, la integridad y la seguridad además de los requerimientos de la arquitectura de la información. En términos generales, los procesos y la tecnología.
Realizar un análisis de riesgos.
Conducir una revisión de control interno.
Definir el alcance de la auditoría y el (los) objetivo(s) de la auditoría.
Desarrollar el enfoque o la estrategia de auditoría.
Asignar recursos para la auditoría y encarar la logística del trabajo.
CARACTERISTICAS
POLITICAS DE SEGURIDAD DE LA INFORMACION PARA
ORGANISMOS DE LA ADMINISTRACION PUBLICA
En septiembre de 2003, la Oficina Nacional de
Tecnologías de Información (ONTI) convocó a
especialistas en seguridad informática de diversos
Organismos públicos, con el fin de conocer sus
opiniones respecto a una estrategia de seguridad
informática para el Sector Público Nacional. De estas
reuniones surgió la necesidad de que todos los
Organismos del Sector Público Nacional cuenten con
una Política de Seguridad de la Información,
implementada y documentada.
Organización de la Seguridad
Orientado a administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para controlar su implementación.
Clasificación y Control de Activos
Destinado a mantener una adecuada protección de los activos del Organismo.
Seguridad del Personal
Orientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.
Seguridad Física y Ambiental
Destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo.
Gestión de las Comunicaciones y las Operaciones
Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.
Control de Acceso
Orientado a controlar el acceso lógico a la información.
POLITICA
ASPECTOS GENERALES
Desarrollo y Mantenimiento de los Sistemas
Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.
Administración de la Continuidad de las Actividades del Organismo
Orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.
Cumplimiento
Destinado a impedir infracciones y
violaciones de las leyes del derecho
civil y penal; de las obligaciones
establecidas por leyes, estatutos,
normas, reglamentos o contratos; y
de los requisitos de seguridad.
POLITICA
ASPECTOS GENERALES
El incumplimiento de la Política de Seguridad de la Información tendrá como resultado la aplicación de
diversas sanciones, conforme a la magnitud y característica del aspecto no cumplido.
SANCIONES PREVISTAS POR INCUMPLIMIENTO
Las sanciones sólo pueden imponerse mediante un acto administrativo que así lo
disponga cumpliendo las formalidades impuestas por los preceptos
constitucionales, la Ley de Procedimiento Administrativo y demás normativas
específicas aplicables.
Amén de las sanciones disciplinarias o administrativas, el agente que no da debido
cumplimiento a sus obligaciones pueden incurrir también en responsabilidad civil o
patrimonial -cuando ocasiona un daño que debe ser indemnizado- y/o en
responsabilidad penal -cuando su conducta constituye un comportamiento
considerado delito por el Código Penal y leyes especiales.
Es un documento electrónico validado por una autoridad,el cual permite identificar al signatario del mismomediante un conjunto de datos que contiene, enotras palabras no es mas que un sello electrónico
con atributos específicos y únicos.
CRITERIOS PARA LA CERTIFICACION
ELECTRONICA EN VENEZUELA
Firmar electrónicamente un documento.
Identificar el autor de un documento o solicitante
de información
(autenticación, no repudio).
Encriptar (codificar) documentos o comunicaciones.
CERTIFICACIÓN ELECTRÓNICA
CRITERIOS
Tipos de certificados características Principales usos
Personas naturales / jurídicas (software)
Certificados de 1024 bit, 1 año de vida.
Firma y/o autenticación de
personas naturales y/o jurídicas.
Personas naturales / jurídicas (hardware)
Certificado de 1024/2048 bit, 1 a 3 años de vida.
Firma y/o autenticación de
personas naturales y/o jurídicas.
servidores Certificado de 1024 bit o 2048, 3 a 5 años de vida.
Servidores: WED, correo, controladores
de dominio.
Profesional titulado Certificado de 1024 bit, 1 año de vida.
Firma y/o autenticación
ejercicios profesionales.
Firma de código Certificado de 1024 bit o 2048, 1 año de vida.
Autoría del código fuerte.
Correo electrónico Certificación de 1024 bit o 2048, 1 año de vida.
Firma y cifrado de correo.
1. Agentes de control de acceso a la nube.
2. Control de acceso adaptable.
3. Sandboxing (entorno seguro de ejecución acotado) generalizado y confirmación IOC.
4. Detección en el punto final y soluciones de respuestas.
5. El análisis del Big Data en el corazón de las plataformas de seguridad de próxima generación.
TENDENCIASTECNOLÓGICAS DE LA SEGURIDAD DE LA INFORMACIÓN
Agentes de control de acceso a la nube.
Se define esta tecnología como puntos de seguridad on-premise o basados en el Cloud los cuales procuren cumplimiento de las políticas de seguridad en la nube. Estos agentes se situarán en un punto intermedio entre los consumidores y el proveedor de servicio en la nube, e interpondrán las políticas de seguridad a través de las cuales los empleados podrán tener acceso a la nube.
Control de acceso adaptable
Se trata de un control de acceso inteligente que puede equilibrar automáticamente el nivel de confianza según el riesgo que pueda existir en el momento en el que el usuario accede a la información. Lo realiza mediante una combinación de credenciales de confianza y otras dinámicas de mitigación del riesgo.
TENDENCIAS
Sandboxing (entorno seguro de ejecución
acotado) generalizado y confirmación IOC
Muchos ataques pasan por encima de los mecanismos de bloqueo tradicionales y se detectan una vez ya están dentro del sistema. Por eso es vital detectarlos lo antes posible para minimizar la posibilidad de que el hacker infrinja algún daño a la organización o extraiga información sensible
Detección en el punto final y soluciones de respuestas
Este tipo de sistemas mejora en gran medida la supervisión de los equipos, la detección de amenazas y la respuesta a determinados incidentes. Después una herramienta de análisis se encarga de identificar aquellos procesos que puedan mejorar las seguridad y desviar ataques comunes.
TENDENCIAS
TENDENCIAS
El análisis del Big Data en el corazón de las plataformas de seguridad de próxima generación
En el futuro todas las plataformas de protección incluirán el análisis de datos como una característica básica. Los datos de Gartner apuntan a que para el 2020 el 40% de las organizaciones establecerán un “centro de datos para la seguridad”.
Este centro de datos alojará datos que posteriormente serán analizados, para identificar el momento preciso en el que se produjeron cambios en la empresa, ya sean para bien o para mal, de esta forma se establecen patrones que especifican cuál es el comportamiento “normal” de la empresa.
Básicamente, podemos agrupar las amenazas a la información en cuatro grandes categorías:
Factores Humanos (accidentales, errores); Fallas en los sistemas de procesamiento de información;
Desastres naturales y; Actos maliciosos o malintencionados
AMENAZAS EMERGENTESDE LA SEGURIDADDE LA INFORMACION
• Virus informáticos o código malicioso
• Uso no autorizado de Sistemas Informáticos
• Robo de Información
• Fraudes basados en el uso de computadores
• Suplantación de identidad
• Denegación de Servicios (DOS)
• Ataques de Fuerza Bruta
• Alteración de la Información
• Divulgación de Información
• Desastres Naturales
• Sabotaje, vandalismo
• Espionaje
ALGUNAS DE ESAS AMENAZAS SON:
Spyware
(Programas espías): Código malicioso cuyo principal objetivo es recoger información sobre las actividades de un usuario en un computador (tendencias de navegación), para permitir el despliegue sin autorización en ventanas emergentes de propaganda de mercadeo, o para robar información personal (p.ej. números de tarjetas de crédito).
Troyanos, virus y gusanos
Son programas de código malicioso, que de diferentes maneras se alojan en los computadores con el propósito de permitir el acceso no autorizado a un atacante, o permitir el control de forma remota de los sistemas. El virus, adicionalmente, tiene como objetivo principal ser destructivo, dañando la información de la máquina, o generando el consumo de recursos de manera incontrolada para bloquear o negar servicios.
PRINCIPALES AMENAZAS:
Phishing
Es un ataque del tipo ingeniería social, cuyo objetivo principal es obtener de manera fraudulenta datos confidenciales de un usuario, especialmente financieros, aprovechando la confianza que éste tiene en los servicios tecnológicos, el desconocimiento de la forma en que operan y la oferta de servicios en algunos casos con pobres medidas de seguridad.
Spam
Recibo de mensajes no solicitados, principalmente por correo electrónico, cuyo propósito es difundir grandes cantidades de mensajes comerciales o propagandísticos. Se han presentado casos en los que los envíos se hacen a sistemas de telefonía celular – mensajes de texto, o a sistemas de faxes.
PRINCIPALES AMENAZAS:
Botnets (Redes de robots)
Son máquinas infectadas y controladas remotamente, que se comportan como “zombis”, quedando incorporadas a redes distribuidas de computadores llamados robot, los cuales envían de forma masiva mensajes de correo “spam” o código malicioso, con el objetivo de atacar otros sistemas; se han detectado redes de más de 200.000 nodos enlazados y más de 10.000 formas diferentes de patrones de “bots”.
Trashing
Un método cuyo nombre hace referencia al manejo de la basura. No es una técnica relacionada directamente con los sistemas de información, pues los atacantes se valen de otra forma de ingeniería social y para ello, el mecanismo utilizado, es la búsqueda en las canecas de la basura o en los sitios donde se desechan papeles y documentos de extractos bancarios, facturas, recibos, borradores de documentos, etc.
PRINCIPALES AMENAZAS:
PARA MAS
INFORMACION
www.sunai.gob.ve/images/stories/PDF/Ponencias/EF/3_Daniel_sandoval.pdf
www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
http://www.secretaria.usb.ve/sites/default/files/users/lpires/forodocelec2010/presentacion2.pdf
http://smartcio.es/seguridad-de-la-informacion/
http://datateca.unad.edu.co/contenidos/233001/Material/Unidad%20I/DAmenazasInformaticasYSeguridadDeLaInformacion.pdf