Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Seguridad en plataformas TIC

No description
by

David López Fernández

on 19 November 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Seguridad en plataformas TIC

Contenido
Introducción
Concepto Seguridad TI
Objetivo
Requerimientos de seguridad
Estándares y normas
Parámetros creación de políticas de seguridad
Modelo de control de riesgos
Fases
Vulnerabilidad
Herramientas
Amenazas
Técnicas de aseguramiento
Conclusiones
Conclusiones
Las actividades consideradas en el modelo son la base para establecer un “Gobierno de TI” en las organizaciones.
Referencias
1)http://2.bp.blogspot.com/-DtDm6y27wV4/TcqZ8YPsG1I/AAAAAAAAABo/u0-XosXIP5c/s200/tic.jpg
2)http://espectadornegocios.com/media/xcore//84695_1347475718_converged_infrastructure1-5.jpg
3)http://ramazen.files.wordpress.com/2011/02/confidencial-g.jpg
4)http://www.isotools.org/wp-content/uploads/2012/05/Fotolia_9804318_Subscription_L.jpg
5)http://mediacenter.pandasecurity.com/mediacenter/wp-content/uploads/2013/05/email-chain.jpg
6)http://1.bp.blogspot.com/-MghderlWt5g/T5X9aX0BFJI/AAAAAAAAAC4/bJsu0PloFUM/s1600/24.png
7)http://www.salesianoselpilar.com/Archivos/Galerias/Mis_Galerias/Album%20Permanente/manual-de-normas-de-conduta-na-academia.jpg
8)http://fixcom.web44.net/imagenes/categorias/Seguridad%20informatica.png
9)http://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http%3A%2F%2Fwww.ipmglobal.net%2Fdocument-control%2Fproject-management-software-submittals.htm&ei=J8FfVJGOE8miNqelgeAI&bvm=bv.79189006,d.eXY&psig=AFQjCNEJ1M-AWiM4LkUEP0lb7Dy9ESkvng&ust=1415647899319599
10)http://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http%3A%2F%2Fjcvalda.wordpress.com%2F2013%2F01%2F29%2Fcontrol-y-seguimiento-de-tu-negocio%2F&ei=YcFfVIbQA8GjNrvhg9AI&bvm=bv.79189006,d.eXY&psig=AFQjCNEJ1M-AWiM4LkUEP0lb7Dy9ESkvng&ust=1415647899319599
11)http://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http%3A%2F%2Fcisisc.com%2Fcongresotics%2F&ei=IKFfVPfdMsWcgwS4xIHAAQ&bvm=bv.79189006,d.eXY&psig=AFQjCNGnbBVy6c9Yl8FtYrbu03eTURnbjg&ust=1415639699629105
12)http://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http%3A%2F%2Fimgarcade.com%2F1%2Fcyber-security-icon%2F&ei=ziRgVILFEIKjgwSIs4K4BQ&bvm=bv.79189006,d.eXY&psig=AFQjCNHPZSWMJxofFVDaRpIBpVpEBsgpdg&ust=1415673353468639
13)https://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=https%3A%2F%2Fcontactcentermulticanal.wordpress.com%2F2012%2F06%2F15%2Fdefinicion-del-call-center-al-contact-center%2F&ei=mTRgVP_WJoKdNpHigpAP&bvm=bv.79189006,d.eXY&psig=AFQjCNF0yJ5UkdgUHrkfIbM6ODDLsB8xlw&ust=1415677443873967
14)http://www.google.com.co/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http%3A%2F%2Fthesmadruga2.blogspot.com%2F2012%2F11%2Fla-empresa.html&ei=aqVgVLDiIYWkNr-vgqAE&bvm=bv.79189006,d.eXY&psig=AFQjCNGAwoD_HrzjxjeEXcwRGZP93FVbEA&ust=1415706311842146
15)http://previews.123rf.com/images/_fla/_fla1206/_fla120600318/14019095-abstract-label-with-the-word-danger-written-inside.jpg
16)https://www.countyofdane.com/committees/img/committee_meeting.gif
17)http://news.virginia.edu/sites/default/files/Teaching_Workshop_01_CG.jpg
18)http://www.aconstructoras.com/images/politicasempresariales.jpg
19)http://www.capemiac.org/web/wp-content/uploads/2014/07/descarga-de-documentos.png
20)http://www.iconarchive.com/show/qetto-icons-by-ampeross/control-panel-icon.html
21)http://2.bp.blogspot.com/-Np3-bnp_Occ/ULd3q_0EobI/AAAAAAAAAAc/oRC51XH1tf0/s1600/aud.fin.gif
22)http://www.therapi.eu/wp-content/uploads/2012/04/lupas.jpg
23)http://www.plusformacion.com/sites/default/files/cv.jpg
24)http://files.aprendercastellano.webnode.es/200000070-18c3419bd7/instrucciones%20claras.jpg
25)http://recursostic.educacion.es/observatorio/web/images/upload/elvira_mifsud/Introduccion_seguridad_html_m3824b9db.png


http://ceur-ws.org/Vol-488/paper13.pdf
http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica?start=7
http://noticias.iberestudios.com/%C2%BFque-son-las-tic-y-para-que-sirven/
http://es.wikipedia.org/wiki/Plataforma_%28inform%C3%A1tica%29
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.bluradio.com/28309/anonymous-y-colombian-hackers-las-principales-amenazas-digitales-de-colombia
http://www.mapsofworld.com/around-the-world/recent-hacking-incidents.html
Requerimientos de Seguridad
Seguridad en plataformas TIC
David López Fernández
10 de Noviembre 2014

Seguridad en Plataformas TIC
Introducción
Una empresa sin controles de seguridad corre peligrosos riesgos.


Existen amenazas externas e internas, y aparecen más con el tiempo.


Hay estándares y normas que ayudan a evitar o disminuir los fallos.


El departamento de TI debe tener la habilidad de identificar y eliminar vulnerabilidades.
Tecnologias de Información y Comunicación
Plataforma
Confidencialidad
Integridad
Que no se realicen modificaciones por personas no autorizadas a los datos o procesos.
Disponibilidad
Busca asegurar acceso confiable y oportuno a los datos o recursos para el personal apropiado.
Busca prevenir el acceso no autorizado ya sea en forma intencional o no intencional a la información.
Que los datos sean consistentes tanto interna como externamente.
Que no se realicen modificaciones no autorizadas por personal autorizado a los datos o procesos.
Estándares y normas
ISO 17.799
COBIT
ITIL
LEY SOX
COSO
ISO Serie 27000
Parámetros Políticas de Seguridad

Aspectos a considerar:
Detallar el alcance de las políticas para evitar situaciones de tensión al momento de establecer los mecanismos de seguridad.
Efectuar un análisis de riesgos informáticos.
Reunirse con los departamentos dueños de los recursos, para establecer el alcance y definir las violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas.
Identificar quién tiene la autoridad para tomar decisiones en cada departamento.
Monitorear periódicamente los procedimientos y operaciones de la empresa, para actualizar las políticas oportunamente.
Modelo PDCA
Modelo de control de Riesgos
La Seguridad en plataformas de TI es de gran importancia porque un fallo en este aspecto puede afectar la organización de manera traumática, pudiendo incluso determinar la continuidad de ésta.
Debe haber un experto encargado específicamente de la seguridad de TI en un empresa, especialmente en las medianas y grandes.
Seguridad
Ciencia interdisciplinaria, encargada de evaluar, estudiar y gestionar los riesgos a los que se encuentra sometido una persona un bien o el ambiente
Sistema base para hacer funcionar determinados módulos de hardware o software con los que es compatible.
Todas aquellas herramientas y programas que almacenan, procesan y transmiten la información mediante soportes tecnológicos.
Ciencia encargada de evaluar, estudiar y gestionar riesgos a los que está sometida una plataforma de TI
Reconocer actividades que impacten la seguridad de la información de la organización.
Actividad
Tarea
Etapa
Detección necesidades
Identificar y evaluar vulnerabilidades relacionados con las TIC.
Análisis de riesgos
Presentar resultados de las etapas anteriores para conseguir aprobación y concretar la implementación de seguridad.
Apoyo directivo
Entregar constante información (alertas) a la organización sobre la importancia de mantener la seguridad de la información y el resguardo de todas las actividades de TI.
Sensibilización
Se diseñan las políticas de seguridad de acuerdo a la información recolectada.
Políticas de Seguridad
Desarrollo de documentos que formalicen como se deben realizar las actividades y la información a retener como evidencia para dar conformidad a las PSI.
Procedimientos, instructivos, registros
Controles
presupuestos

personal

capacitación
Oficial de Seguridad Informática
Controlar y regula la seguridad de la información.
Propone y define esquemas que reduzcan incidentes.
Planea, coordina y administra los procesos de seguridad informática.
Se recurre a él en caso de algún problema de seguridad.
Encargado de difundir las alertas.
Procesos
Objetivos de control
Controles
Evidencia formal
Sustento a revisiones y auditorías
Evaluación y auditoría
Evidencia
Informes
Planes de acción
Se realiza, prepara y desarrolla la revisión que avale que todos los procesos de TI se están cumpliendo y llevando a cabo adecuadamente.
Verificar de manera adecuada que todos los registros de TI para todos sus procesos y controles estén disponibles para cualquier tipo de revisión.
Se crean informes del proceso de revisión que derivarán en actividades de mejora al modelo y adecuados planes de acción.
Revisión y ajustes de todo tipo de actividades:
Seguridad
Evidencias
Políticas
Cualquier otra actividad
Aplicación de los planes de acción conforme a los plazos y actividades que fueron indicados en la auditoría
Estándar ISO
Objetivo
Buen funcionamiento de equipos
Anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico, etc

Proteger los activos informáticos:
Personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información.
Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
Vulnerabilidad
Debilidad que compromete la seguridad del sistema.
Políticas de seguridad deficientes e inexistentes.
Errores de programación
Disponibilidad de herramientas que facilitan los ataques.
Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solución “conocida”, pero se sabe como explotarla.
Herramientas
Nessus
En Windows está el MBSA “Microsoft Baseline Security Analyzer”
Analiza externamente e internamente la red teniendo en cuenta los accesos inalámbricos.

Hace monitoreo de servicios de red como el DNS y la disponibilidad de los portales web de las organizaciones.
Amenazas
Ingeniería Social

Usuarios
Virus, gusano, troyano, bomba lógica, spyware,

Errores de programación
Intrusos
Un (robo, incendio, inundación)
Una mala manipulación
Una mala intención

Derivan a la pérdida del material o de los archivos.
Técnicos de sistemas
Administradores de bases de datos Técnicos de desarrollo, etc.

Motivos: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Rayos, terremotos, inundaciones, rayos cósmicos.

Técnicas de aseguramiento


Proceso lógico y/o físico mediante el cual se elimina información considerada sensible o confidencial de un medio ya sea físico o magnético, ya sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.
Técnicas de desarrollo
Se transportan por ella: correo electrónico, conversaciones telefónica (VoIP), mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos.
Cortafuegos
Sistema de detección de intrusos - antispyware
Antivirus
Llaves para protección de software

Redundancia y descentralización
Actualizaciones.
Sistemas anti incendios
Sigilancia de los centros de proceso de datos
Sistemas de protección contra inundaciones
Protecciones eléctricas contra apagones y sobretensiones
Sistemas de control de accesos
Puntos de entrada, control de equipos conectados

Criptología, criptografía y criptociencia.
Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger.

Contraseñas difíciles
La infraestructura computacional
Los usuarios
La información
Es el principal activo
Diseño
Debilidad en el diseño de protocolos utilizados en las redes.
Implementación
Existencia de “puertas traseras” en los sistemas informáticos.
Descuido de los fabricantes.
Uso
Mala configuración de los sistemas informáticos.
Falta de sensibilización de usuarios.
Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero

Dispone de una base de datos de patrones de ataques para lanzar contra una máquina o conjunto de máquinas con el objetivo de localizar sus vulnerabilidades.
Catbird

No afecta directamente a los ordenadores, sino a sus usuarios,
Saltándose toda la infraestructura creada para combatir otras amenazas.
Catástrofes naturales
Software malicioso
Siniestro
Personal técnico interno
Deben cumplir con los criterios de seguridad para todo el software usado.

Estándares, personal formado.
Sanitización
medidas de seguridad físicas:
Codificación
Tecnologías repelentes o protectoras
Vigilancia de red
Full transcript