Professional Documents
Culture Documents
TECNOLOGIAS DE
INFORMACION
SEGURIDAD EN TECNOLOGIAS DE
INFORMACION
1. INTRODUCCION
2. RIESGOS Y CONTROLES
EN AMBIENTES
COMPUTARIZADOS
1.
2.
3.
Redes
Aplicaciones en
funcionamiento
Exposiciones y controles
ambientales
Introduccin a la
Seguridad
Informtica
ENTONCES . . . . . .
ARQUITECTURA DE
SEGURIDAD
ACCESO
ESTRUCTURA
CAMBIOS
CONTINUIDAD
de
los
mtodos
de
Cumplimiento
Auditabilidad
(intencional
accidental),
Disuadir
Disuadir. .. .. .es
esinspirar
inspirarrespecto
respecto
Prevenir
Prevenir. .. .. .inconvenientes
inconvenientes
IMPORTANCIA DE LA ADMON DE
SEG
FUNCIONES DE LA SEGURIDAD INFORMATICA
Detectar
Detectar. .. .. .acciones
accionesincorrectas
incorrectas
Recuperar
Recuperaryycorregir
corregir. .. .. .para
para
continuar
continuarlalaoperatividad
operatividad
Ante
inconvenientes
equipo y/o programas.
de
IMPORTANCIA DE LA ADMON DE
SEG
ESTADISTICAS
El 65 % de los
problemas de
Seguridad
Informtica son
internos, el
resto es desde
Internet
35%
INTERNO
65%
EXTERNO
IMPORTANCIA DE LA ADMON DE
SEG
IMPORTANCIA DE LA ADMON DE
SEG
Incidentes de Seguridad
Estadsticas de incidentes del CERT
Publicaciones del CERT (Computer Emergency Response Team) sobre incidentes seguridad en los
ltimos aos.
250000
200000
150000
INCIDENTES
100000
50000
0
1998
2000
2002
2004
IMPORTANCIA DE LA ADMON DE
SEG
Incidentes de Seguridad
Theft of Proprietary Information
Denial of Service
Financial Fraud
Virus
Sabotage
Insider Net Abuse
System Penetration
Laptop Theft
Telecom Fraud
Unauthorized Insider Access
$ 1,150,752
591,381
166,990
107,804
84,402
65,373
31,300
27,322
20,632
5,643
IMPORTANCIA DE LA ADMON DE
SEG
La informacin
es uno de los
mayores activos
con los que
cuentan las
empresas
Ethical
Hacking
Backup,
Recuperacin
y Plan de
Contingencias
Seguridad
Fsica
Aplicaciones
Lotus
Notes
DB2
Adabas
SQL
/Server
Oracle
Otras
B.D.
Windows
NT
Unix
OS/400
OS/390
VMS
Otros
S.O.
Comunicaciones
Seguridad
de las
Comunicaciones
Internet
Seguridad en
E-Commerce
Integridad
de la Base
de Datos
Implantacin
herramienta
s
de seguridad
Seguridad
del
Sistema
Operativo
Seguridad
en
Internet
Ethical
Hacking
Aplicaciones
Lotus
Notes
DB2
Adabas
SQL
Otras
Oracle
/Server
B.D.
Comunicaciones
RIESGOS Y
CONTROLES
EN REDES E
INTERNET
Otros
S.O.
Internet
Gusanos
son programas destructivos que puede
destruir los datos o utilizar recursos
excesivos de computadora y de
comunicacin pero no se replican como los
virus
Bombas Lgicas
Puertas Traseras
son puertas de salida de un programa autorizado
que permiten la insercin de una lgica especfica,
como por ejemplo, el programa se interrumpe para
permitir una revisin de datos durante el
procesamiento. Estos huecos permiten tambin la
insercin de lgica no autorizada.
Ataques Asncronos
Las transmisiones de datos deben esperar a que la
lnea se desocupe antes de ser transmitidas. Los
datos que estn en espera son susceptibles de
accesos no autorizados llamados ataques asncronos
Cierre de la Computadora
consiste en apagar el sistema sin autorizacin
Negacin del Servicio
Empleando trafico legitimo contra un solo sitio, lo cual no afecta la
integridad ni la confidencialidad sino la disponibilidad del servico,
es un ataque que interrumpe o niega por completo el servicio a los
usuarios legtimos, redes, sistemas, o a otros recursos
Acceso remoto
Llamada remota para coneccin al servidor
Terminales en lnea
Estaciones de trabajo en ambientes cliente-servidor
Hackers
Crackers
Empleados (autorizados o no autorizados)
Personal de Tecnologa
Usuarios finales
Personal de tiempo parcial y temporal
Ex-empleados
Personas externas interesadas
Vendedores y consultores
Ignorantes accidentales
INTERNET
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES PASIVOS
Analisis de trfico
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES ACTIVOS
Enmascaramiento spoofing
Reenvio de paquetes
Negacin de servicio
Explotacion de vulnerabilidades
RIESGOS EN INTERNET
AMENAZAS EN LA RED
1.
ATAQUES ACTIVOS
Spyware
Key Logger
Pishing
CONTROLES
CONTROLES
Son todas las acciones
orientadas a minimizar
la probabilidad de
ocurrencia de un riesgo
o el impacto de estos
La capacidad de ejercer
influencia o restriccin
sobre una accin
CONTROLES
Es la accin que se toma para
condicionar una operacin
de acuerdo a un plan
Son las polticas, prcticas y las
estructuras organizativas
diseadas para brindar
garanta adicional de que se
lograrn los objetivos del
negocio y se impedirn o se
detectarn o corregirn los
acontecimientos no
deseados
CONTROLES
Los controles son acciones o medidas adoptadas dentro de una
entidad para:
Salvaguardar activos
CONTROLES
Fundamentos de la
seguridad
informatica:
Autenticacin
Privacidad y
Confidencialidad
Integridad
No Repudiacin
Disponibilidad
Seguridad de la Informacin:
Autenticacin
Manera de identificar a un
usuario. Comnmente se
utiliza un nombre de
usuario y una clave de
acceso (contrasea). Esta
informacin es
comparada con una base
de datos con lo cual se
permite o niega el acceso
al usuario.
AAA Autenticacin,
Autorizacin y
Accountability
(contabilidad de acciones)
AUTENTICACION
AUTENTICACION
Funcionalidad del SW de control de acceso lgico
Funciones generales de los sistemas de control de acceso:
Aplicar mecanismos para identificacin y
autenticacin para los usuarios
Limitacin de terminales especficas para Logon Ids
especficas as como el acceso sobre la base de horas
predeterminadas
Establecer reglas para el acceso especfico a los
recursos de informacin (e.g., system-level
application resources and data)
Crear o cambiar perfiles de usuario
Registro de eventos
Registro de actividades del usuario
Capacidad de emitir reportes
Su nombre y nmero de
cuenta.
Autenticacin- Los usuarios deben probar que son quienes
dicen ser.. Por ejemplo: los usuarios pueden suministrar la
siguiente informacin:
Informacin que debe recordar como el nombre, nmero de
cuenta y contrasea
Objetos como, tarjeta plstica y llave
Caractersticas personales como la huella digital, la voz y la
firma
Verficacin de autorizacin
CRACKING DE PASSWORDS
A una velocidad de 100.000 contraseas por segundo
Reglas de acceso
El acceso debe darse sobre una base documentada a
"necesito saber, necesito hacer".
REGLAS DE ACCESO
Restricciones de acceso a nivel de
archivos
Leer, consultar o copiar solamente
Escribir, crear, actualizar o eliminar
solamente
Ejecutar solamente
Combinacin de las anteriores
Identificacin y autenticacin
Single sign-on (SSO)
SSO es el proceso dc consolidacin de la plataforma de la
empresa basada en la funcin de administracin,
autenticacin y autorizacin a travs de SSO el cual tiene
interfaz con:
Sistemas distribuidos y cliente /servidor
Aplicaciones mainframe
Seguridad del Host
Seguridad de las estaciones
Seguridad de red incluyendo el acceso remoto
Identificacin y autenticacin
Ventajas del Single sign-on (SSO)
No se requieren claves mltiples, por ello el usuario
debe utilizar claves mas fuertes
Optimiza la habilidad del administrador para
administrar las cuentas y las autorizaciones asociadas
a todo el sistema
Reduce la sobrecarga de trabajo del administrador
relacionado con el borrado de claves olvidadas sobre
mltiples plataformas y aplicaciones.
Reduce el tiempo que le toma a los usuarios ingresar a
multiples aplicaciones y plataformas.
Identificacin y autenticacin
Desventajas del Single sign-on (SSO)
El soporte en la mayora de los ambientes de los
sistemas operativos es dificil
Los costos asociados con el desarrollo de SSO puede
ser significativo cuando consideramos la naturaleza
y extensin del desarrollo y mantenimiento de
interfases que son necesarias.
La naturaleza centralizada de SSO presenta la
posibilidad de un nico punto de falla que puede
comprometer la totalidad de la informacin de la
organizacin
Puertos de Llamada
Red de Telecomunicaciones
Seguridad de la Informacin:
Privacidad y confidencialidad
Proveer el debido cuidado a la
informacin de los usuarios/clientes
Se podr compartir informacin de
clientes?
Con quien se podr compartir la
informacin? (gobierno, instituciones
financieras, otros comercios?).
Es un punto crtco en las transacciones
por Internet.
PRIVACIDAD Y CONFIDENCIALIDAD
Encripcin
Elementos claves de los Sistemas de
Encripcin
Algoritmo de Encripcin
Llaves de Encripcin
Longitud de la llave
PRIVACIDAD Y CONFIDENCIALIDAD
Encripcin
SIMETRICA
PRIVACIDAD Y CONFIDENCIALIDAD
Encripcin
ASIMETRICA
PRIVACIDAD Y CONFIDENCIALIDAD
RED PRIVADA VIRTUAL
PRIVACIDAD Y CONFIDENCIALIDAD
FIREWALLS
PRIVACIDAD Y CONFIDENCIALIDAD
Seguridad Firewall
Problemas que enfrentan las organizaciones
Seguridad de la Informacin:
Integridad
Necesitmos mecanismos y
procedimientos que garanticen que
al ingresar un 1 se procese,
transmita y almacene ese mismo 1.
El evadir este tema puede llevar al
fracaso a cualquier iniciativa de
comercio electrnico.
Hashes MD5
HASH Y MAC
HASH Y MAC
FUNCION UNIDIRECCIONAL PARA PRODUCIR UN CODIGO
ASOCIADO AL MENSAJE.
CUANDO INTERVIENE UNA LLAVE SE LLAMA MAC.
EJEMPLOS: MD5 (128 bits) Y SHA-1 (160 bits)
HASH
MAC
Seguridad de la Informacin: No
repudiacin
Concepto fundamental en transacciones
electrnicas ya que no existe una
validacin fsica con en el comercio
tradicional.
Requerimos mecanismos que nos
garanticen que una compra fue realizada
efectivamente por quien dice ser.
Los primeros fraudes en Internet se dieron
por evadir el tema de no repudiacin.
Firmas digitales
FIRMA DIGITAL
HASH ENCRIPTADO CON LA LLAVE PRIVADA EN EL
ESQUEMA ASIMETRICO.
FIRMA DIGITAL
CERTIFICADO DIGITAL
Seguridad de Internet
El remitente realiza:
Genera el cdigo de comprobacin a partir del
mensaje.
Encripta el cdigo de comprobacin usando su llave
privada.
Encripta el mensaje y cdigo de comprobacin con
llave secreta.
Consigue la llave pblica del destinatario y verifica
la autenticidad de su certificado digital con una AC.
Encripta la llave secreta con la llave pblica del
destinatario
Seguridad de la Informacin:
Plan de Continuidad de
Operaciones (BCP)
La disponibilidad es
pieza clave en el
xito de cualquier
iniciativa de
Comercio
Electrnico es por
esto que un Plan de
Continuidad de
Operaciones es
bsico.
Seguridad de la Informacin:
Anlsis de Vulnerabilidades
Pruebas a los sistemas
expuestos y crticos que
soportan los procesos de
Comercio Electrnico con
el objetivo de identificar
vulnerabilidades que
pudieran permitir el
comprometer ya sea uno,
varios o todos los
sistemas.
Seguridad de la Informacin:
Plan de Respuesta a Incidentes
Seguridad de la Informacin:
Polticas
La Poltica de
Seguridad Informtica
es nuestra primera
lnea de defensa ya
que define la postura
del Negocio en cuanto
al tema de Seguridad
Informtica.
Seguridad de la Informacin:
Polticas
Requiere el patrocionio de la
Direccin General, recordar que la
Seguridad Informtica es un aspecto de
Negocio y no puramente Tecnolgico.
Define la estrategia de Seguridad
Informtica y la manera de cumplir los
lineamientos.
Seguridad de la Informacin:
Polticas
Un conjunto bien definido de polticas y
procedimientos de seguridad pueden prevenir
perdidas y ahorrar dinero
Las polticas son responsabilidad de la alta gerencia
Seguridad de la Informacin:
Polticas
Componentes de una Poltica de
Seguridad
Seguridad de la Informacin:
Separacin de Funciones
Eliminar la posibilidad de
que una sola persona sea el
responsable de todo un
proceso crtico (segregacin
de funciones).
Establecer doble verificacin
y consolidaciones.
Aplicar el concepto de
mnimo privilegio.
Seguridad de la Informacin:
Administracin de usuarios
Un nmero importante de violaciones
de seguridad es debido a una mala
administracin de usuarios, as como a
la asignacin de sus privilegios.
Poltica de Contraseas.
Seguridad de la Informacin:
Educacin en todo el ciclo de vida
Se requiere que todos los
involucrados en la
planeacin, desarrollo,
prueba, puesta en
produccin y operacin de
las iniciativas de Comercio
Electrnico tengan
conocimientos de
Seguridad Informtica
para que en todo
momento entiendan los
riesgos de las decisiones
tomadas.
Seguridad de la Informacin:
Anlisis de Riesgos en todo el ciclo
de vida
Es fundamental realizar anlisis de
riesgos durante la planeacin, desarrollo,
prueba, puesta en produccin y operacin
de las iniciativas de Comercio Electrnico.
Cualquier decisin por mnima que
parezca puede ocasionar graves
problemas en el futuro si no se analiza en
trminos de riesgo.
Seguridad de la Informacin:
Monitoreo y Auditora
Procedimientos y
mecanismos
adecuados para el
monitoreo de los
sistemas y las
transacciones que en
estos se realizan
Identificar eventos
inusuales
Seguridad de la Informacin:
Seguridad Fsica
Una vez que un
intruso ha logrado
entrar al centro de
cmputo el negocio
puede estar en
grave riesgo.
Generalmente se
utilizan tcnicas de
ingeniera social
para sobrepasar los
controles fsicos.
Seguridad de la Informacin:
Actualizaciones de Seguridad
Es indispensable
establecer los
procedimientos
adecuados para
mantener al da los
sistemas expuestos a
Internet y los sistemas
internos que soportan
los procesos crticos.
Tener la informacin o el
servicio cuando se requiera
2.1 APLICACIONES EN
FUNCIONAMIENTO
Riesgos
Controles
APLICACIONES EN FUNCIONAMIENTO
RIESGOS EN LAS APLICACIONES
1. RIESGO DE ACCESO
2.INGRESO DE DATOS
3. ITEMS RECHAZADOS
4. PROCESAMIENTO
5. SALIDA DE INFORMACIN
6. ESTRUCTURA DE SISTEMAS
7. CAMBIO DE SOFTWARE
8. CONTINUIDAD DEL PROCESO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: DE ACCESO
ACCESO GENERAL
ACCESO A FUNCIONES DE PROCESAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: DE ACCESO
ACCESO GENERAL:
Personas no autorizadas pueden accesar los archivos o programas
CONSECUENCIAS:
APLICACIONES EN FUNCIONAMIENTO
Riesgo: DE ACCESO
CONSECUENCIAS(continuacin):
Ingreso de virus
Generacin y distribucin de informacin a personal no autorizado
APLICACIONES EN FUNCIONAMIENTO
Riesgo: DE ACCESO
ACCESO A FUNCIONES DE PROCESAMIENTO
Personas no autorizadas pueden accesar las funciones de procesamiento
CONSECUENCIAS
El usuario que modifica tablas y archivos maestros puede tambin
modificar transacciones
Posibilidad de que una persona no autorizada consulte inf.
confidencial
El usuario autorizado a determinados aplicativos modifique otros
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
CONSECUENCIAS:
Perdida de transacciones por interrupciones en el procesamiento
Falta de confianza en los resultados obtenidos del procesamiento
Generacin y distribucin de repotes incompleto
Errores por deterioro de los medios magnticos utilizados
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo:CONTINUIDAD DE OPERACIONES
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: DE ACCESO
MEDIOS DE CONTROL
Asegura el acceso por parte de personal autorizado
Software de control de acceso lgico
Anlisis de logs
Control de acceso fsico
Proteccin de datos
APLICACIONES EN FUNCIONAMIENTO
MEDIOS DE CONTROL
ADECUADA ESTRUCTURA
C AR G O 1
E s c r ib a a q u e l c a r g o
C AR G O 2
E s c r ib a a q u e l c a r g o
C AR G O 3
E s c r ib a a q u e l c a r g o
C AR G O 3
E s c r ib a a q u e l c a r g o
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
SEGREGACION DE FUNCIONES
Otorgar acceso solo a quienes no tengan
funciones incompatibles
Impedir accesos no autorizados para asegurar la
separacin
Adecuada
estructura
Software de
control de
acceso
Segregacin
efectiva
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: INGRESO DE DATOS
APLICACIONES EN FUNCIONAMIENTO
Riesgo: INGRESO DE DATOS
Digito verificador
Multiplica cada digito por su posicin y
suma
Dividir por el mdulo
El complemento del resto frente al
mdulo es el digito verificador
APLICACIONES EN FUNCIONAMIENTO
Riesgo: INGRESO DE DATOS
2.Controles de Lote
Se agrupan las transacciones de entrada
y se calculan totales de control. Se
pueden basar en:
Totales monetarios
Total de registros o elementos
Total de documentos
Totales calculados
APLICACIONES EN FUNCIONAMIENTO
Control de datos
Ingreso de datos
nro tipo
lote reg
002 30
003 20
validaciones
total
2000
600
CONCILIACION
Recha
zos
informe
de
control
Acept
ado
APLICACIONES EN FUNCIONAMIENTO
DATOS
3.DOBLE INGRESO
COMPARACION
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Correccin oportuna
Ingreso de los datos corregidos
Validacin de las correcciones
Aprobacin de las correcciones
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Reclculos manuales
Una muestra de transacciones puede ser calculada
manualmente para asegurar su procesamiento
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Edicin
Una subrutina que prueba que los datos ingresados
y procesados por una aplicacin son correctos,
completos y vlidos
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Controles Programados
Controles realizados directamente por el software
para detectar e iniciar accin correctiva Ej. Archivo
incorrecto
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Controles de balanceo
Maestro
Novedad
Maestro
actializado
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Abril
Febrero
Marzo
Abril
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
001 001
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
CONTROLES DE TRANSMISION DE DATOS
Verificacin de paridad (Parity check). Se agrega un bit adicional a
cada carcter antes de la transmisin. El rceptor lo calcula y
compara
Verificacin de suma de bloque (block sum check) Un conjunto
adicional de bits de paridad es agregado al bloque
Verificacin cclica de redundancia (CRC) un solo conjunto de dgitos
de verificacin son anexado al final del marco
APLICACIONES EN FUNCIONAMIENTO
Riesgo: PROCESAMIENTO
Procedimientos de recuperacin
APLICACIONES EN FUNCIONAMIENTO
APLICACIONES EN FUNCIONAMIENTO
CONTROLES
Registro y almacenamiento de formularios sensitivos y crticos
en lugar seguro
Generacin automatizada de instrumentos negociables,
formularios y firmas debidamente controlada
Distribucin de reportes de acuerdo con los parmetros de
distribucin autorizada, los reportes deben ser registrados
antes de su entrega.
APLICACIONES EN FUNCIONAMIENTO
CONTROLES
Control sobre los spooles.
Control en la destruccin de los reportes
Control en la retencin de reportes
Verificacin de recibo de reportes sensitivos
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Asegurar operaciones efectivas y eficientes realizadas por personal
calificado y responsable
Medios de control
Segregacin de funciones
en el departamento de sistemas
C AR G O 1
C AR G O 2
C AR G O 3
C ARG O 4
Controles y procedimientos
operativos
Operacin
Sistemas
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
Segregacin de funciones en el departamento de
sistemas:
Segregacin de las funciones de los usuarios
Segregacin dentro del departamento de sistemas
Administracin de la base de datos
Funciones de programacin
Funciones de operacin
Administrador de seguridad
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
Controles y procedimientos operativos
* Manuales de operacin
* Controles operativos diarios
. Supervisin
6 AM 2 PM
2 PM 10PM
10 PM
6 AM
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
Controles y procedimientos operativos
. Cronogramas de operacin
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
Controles y procedimientos operativos
Form 2
Form 1
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
* Controles operativos diarios
. Rtulos internos
. Separacin de librerias
Fecha cre
Nombre
Aplicaci
Expiracin
Desarrollo Produccin
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Estructura organizativa
Medios de control
Controles y procedimientos operativos
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Cambios a los programas
Garantizar que solo cambios autorizados seran realizados en
los aplicativos
Medios de control
Modificacin
NO
Procedimientos de
Iniciacin, aprobacin
y documentacin
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Cambios a los programas
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Cambios a los programas
PRUEBAS
Completas
Documentadas
Realizado por las personas apropiadas
Errores corregidos
Certificacin de los resultaddos
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Cambios a los programas
DOCUMENTACION
MANUALES DE USUARIO Y DE SOPORTE
Asegurar que la disponibilidad de manuales de
usuario y soporte.
Deben existir diferentes niveles de
documentacin de preferencia magntica
Documentacion tcnica adecuada.
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Cambios a los programas
APROBACION
Certificacion
Aprobacin por autoridad competente
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Continuidad de operaciones
Asegurar que el negocio continue funcionando en caso de
una interrupcin y sobrevivan a una interrupcin desastrosa
Medios de control
Desarrollar y documentar el plan de contingencias
Procedimientos de backup
Contratos de mantenimiento
Documentacin actualizada de aplicaciones
Utilizar UPS
Convenios de soporte con otras empresas
Polizas de seguros
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Continuidad de operaciones
APLICACIONES EN FUNCIONAMIENTO
Riesgo: Continuidad de operaciones
Habilidad de la Organizacin
para continuar con las
operaciones
Cubrir todas las funciones y activos
requeridos para continuar como una
organizacin viable
ASALTO
ROBO
FRAUDE
ABUSO DE CONFIANZA
ABUSO DE FACULTADES
HECHOS CATASTROFICOS
ERROR
Construcci no infamable
Antisismica
Muebles y separaciones no combustibles
Controles de acceso
Puertas/Exclusas
Controles biomtricos
Circuito de television
Vigilancia
barreras
de
acceso
Control de temperatura
Equipo de aire acondicionado
Control de humedad
Protector de voltaje
Prevencin
Deteccion
Supresion
Construccin antisismica
Cortes de energia
Mobiliario anclado a la pared
en
instalaciones
3. ARQUITECTURA DE SEGURIDAD
Definicin
COMPONENTES
La seguridad se basa en:
Autenticacin
Confidencialidad
Disponibilidad
Integridad
No repudiacin
Auditora
Cumplimiento
Definicin
BRECHA DE SEGURIDAD
Definicin
CERRAR LA BRECHA DE SEGURIDAD
Riesgos Informticos
LISTA DE ERRORES DE SEGURIDAD
CONTRASEAS DBILES
ERRORES DE LOS USUARIOS
Riesgos Informticos
LISTA DE ERRORES DE SEGURIDAD
Arquitectura de Seguridad
Estrategias
Herramientas
Caminos de Acceso
Plataformas
Polticas
Programa de Conocimiento
Organizacin
Seguridad Fsica
Procesos
Plan de Contingencias
GESTIN DE
RIESGOS
TECNOLOGA
COMPONENTES
MONITOREO &
REPORTAJE
Responsabilidades
Eventos de Rastreo
Proceso
Respuesta
ADMINISTRACIN
Arquitectura de Seguridad
Las nueve partes de la seguridad
1. POLTICAS DE SEGURIDAD
1. POLTICAS DE SEGURIDAD
6.Admon de
La seguridad
Control de la
Red
Proteccin
Antivirus
Revision de
vulnerabilidades
5.Control de
seguridad
Deteccin de
Intrusos
4.Conectividad
segura
Comunicaciones
Seguras
VPN
Entrada nica
Administracin
de certificados
Autorizacin y
Autenticacin
2.Identidad
Firewall
3.Seguridad
Del perimetro
Arquitectura de Seguridad
Algoritmos
HMD5-SHA
Monitoreo
Certificados y
firmas digitales
Polticas de
acceso
Serv
idor
Tokens
Passwords
SmartCards
Biometra
Polticas de
Seguridad
Plan de Continuidad
Encripcin
HW - SW VPNs
es
PCs
Telecomunicaciones
Auditoria
Ne
g
rkin
o
tw
Integridad
No repudiacin
Fundamentos de Seguridad
Control de acceso
Disponibilidad
Confidencialidad
Autenticacin
Propuesta de Prioridades
Requerimientos de Seguridad en la Empresa
Seguridad Alta
Seguridad Media
Seguridad Baja
Bases de Seguridad