Embed Size (px)
DESCRIPTION
Introducción a la Seguridad Informática. La información le sirve al negocio para:. Tomar decisiones Obtener una ventaja competitiva. - PowerPoint PPT Presentation
Citation preview
Curso: Seguridad de Informática
Ingº Hugo Zumaeta 1
Introducción a la Seguridad Informática
Profesor Hugo Zumaeta 2
La información le sirve al negocio para:
• Tomar decisiones
• Obtener una ventaja competitiva
Por lo tanto la información se convierte en un activo, denominado Activo de Información y que es aquel activo que tiene algún valor para la organización y por tanto debe protegerse
Profesor Hugo Zumaeta 3
¿Qué es la información? Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada
Confidencialidad: La información debe ser accesible sólo a aquellos que se encuentren debidamente
autorizados.
Integridad: La información debe ser completa, exacta y válida.
Disponibilidad: La información debe estar disponible en forma organizada para los usuarios
autorizados cuando sea requerida.
Integridad
Confidencialidad Disponibilidad
Profesor Hugo Zumaeta 4
Que es lo más importante que custodia la Dirección de TI para el negocio?
La información, que le permita una toma de decisiones entre otras y así tener una ventaja competitiva
La información es lo mas valioso de la Organización y
que TI debe protegerla…..,
porque?
Curso: Seguridad de Informática
Ingº Hugo Zumaeta 6
¿Conciencia de la existencia de riesgos, amenazas, debilidades entre otras?
La seguridad informática será un
motivo de preocupación.
... y las empresas, organismos y particulares comienzan a tener verdadera conciencia de su
importancia.
Internas o Externas
amenazas
Curso: Seguridad de Informática
Ingº Hugo Zumaeta 7
Fuente: http://www.rpp.com.pe/detalle.php?nid=317788&mod=2
EJEMPLO
Profesor Hugo Zumaeta 8
Marco Conceptual
9
¿QUÉ ES UNA VULNERABILIDAD?
Ejemplo:
Vulnerabilidad.- (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
Activo VulnerabilidadCod. Act. Descripción Cod. Vul. Descripción
ACT-006 Servidor Dominio Principal VUL-015 Obsolescencia de hardware
VUL-045 Inadecuada condiciones ambientales
VUL-072 Inadecuado soporte de mantenimiento
VUL-125 Actualizaciones no certificadas
Ing. Hugo ZumaetaSeguridad de la Información
10
¿QUÉ ES UNA AMENAZA?
Amenaza.- es un evento o acción no deseable que puede afectar negativamente a la organización para el logro de sus objetivos, metas, etc.
Amenaza.- (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
Ejemplo:Activo Vulnerabilidad AmenazaCod. Act. Descripción Cod. Vul. Descripción Cod.Ame. Descripción
ACT-006 Servidor Dominio Principal
VUL-015 Obsolescencia de hardware AME-012 Interrupción del servicio que presta el servidor de dominio principalVUL-045 Inadecuada condiciones
ambientales
VUL-072 Inadecuado soporte de mantenimiento
VUL-125 Actualizaciones no certificadas
Ing. Hugo ZumaetaSeguridad de la Información
Ing. Hugo Zumaeta 11
¿QUÉ ES UN IMPACTO?
Impacto: Es el conjunto, medida o grado del daño sobre un activo(s) producto de la materialización de una amenaza
Ejemplo:
Seguridad de la Información
Activo Vulnerabilidad Amenaza ImpactoCod. Act. Descripción Cod.
Vul.Descripción Cod.Ame. Descripción
ACT-006 Servidor Dominio Principal
VUL-015 Obsolescencia de hardware
AME-012 Interrupción del servicio que presta el servidor de dominio principal
Muy Alto (si no existe servidores DNS secundarios)
Muy Bajo (Si existe servidores DNS secundarios operativos y en línea)
VUL-045 Inadecuada condiciones ambientales
VUL-072 Inadecuado soporte de mantenimiento
VUL-125 Actualizaciones no certificadas
12
¿QUÉ ES UN RIESGO?
Riesgo.- es una amenaza o acción que puede afectar positivo o negativamente a la organización en el cumplimiento de sus objetivos, metas, indicadores, etc.
Riesgo.- (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía 73:2002]: combinación de la probabilidad de un evento y sus consecuencias
Ing. Hugo ZumaetaSeguridad de la Información
Riesgos de Tecnologías de Información
Profesor Hugo Zumaeta 13
14Curso: Seguridad de Informática Hugo Zumaeta Marín
Resultado de la Evaluación de Riesgo
Implantar controles sobre los riesgos:R15,R9,R8,R16,R10,R6,R14,R4R11, R2, R20, R7 Y R17
15
¿QUÉ ES UN CONTROL?
Son las políticas, estándares, implementación de soluciones, procedimientos, procesos, aplicación
de buenas prácticas, estructuras organizativas, etc. para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumible (Nota: Control es también utilizado como
sinónimo de salvaguarda o contramedida).
Por lo tanto: La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo.
Ing. Hugo ZumaetaSeguridad de la Información
Profesor Hugo Zumaeta 16
Puntos de partida de la seguridad de la información
• Debido a la cantidad de amenazas y vulnerabilidades a las que esta expuesta.
• Los perjuicios que ocasionan los incidentes de seguridad a través de los riesgos.Ejemplo: como: paradas de producción, pérdidas de clientes, pérdida de reputación, perdidas económicas, etc.
• Cumplimiento de controles implementados
• Cumplimiento de la normatividad vigente.
• Identificación de riesgos
La Tendencia ……… Cloud
PerformanceEscalabilidad
Administración.- es la ciencia social, técnica y arte que se ocupa de la planificación, organización, dirección y control de los recursos de la organización, con el fin de obtener el máximo beneficio posible. La administración se base en 4 principios:
Conceptos Generales
• Sistemas Informáticos.- Como todo sistema, es el conjunto de partes interrelacionadas, hardware, software y de Recurso Humano (humanware) con un fin.
El significado de "sistema informático" viene mediante la interconexión. esto es, unirse para convertirse un sistema mayor. La interconexión de sistemas informáticos puede tornarse difícil debido a incompatibilidades.
• Los sistemas informáticos deben realizar las siguientes tres tareas básicas:– Entrada: captación de la información.– Proceso: tratamiento de la información.– Salida: transmisión de resultados.
• Ejemplo: Una computadora más sencilla se clasifica como un sistema informático
Que son los Sistemas Informáticos?
• Front-end.- Es la parte del software que interactúa con el o los usuarios. Es el responsable de recolectar los datos de entrada del usuario, que pueden ser de muchas y variadas formas, y procesarlas de una manera conforme a la especificación que el back-end pueda usar.
• Back-end.- es la parte que procesa la entrada desde el front-end
• El middleware es un software de conectividad que ofrece un conjunto de servicios que hacen posible el funcionamiento de aplicaciones distribuidas sobre plataformas heterogéneas.
• Plataformas informáticas heterogéneas, lo que se denomina como arquitectura orientada a servicios. Estas posibilitan que los sistemas de gestión empresariales puedan estar segmentados por módulos, cada uno de ellos con una funciones específicas y programados con los lenguajes más adecuados para su trabajo.
Conceptos Generales
Disciplinas de GestiónArquitectura SOA
PRESENTACION
BPM
ORQUESTACION
TECNICA
La tendencia: ……utilizar Plataformas de Interoperabilidad ……
Profesor Hugo Zumaeta 22
Organigrama de una empresa modeloCEO - El Chief Executive Officer. Gerente General o Director Ejecutivo.
CIO - El Chief Information Officer. conocido como Director General de Información
Profesor: Hugo Zumaeta Marín 23
Estructura Orgánica de la Dirección de Tecnologías de Información de la Organización
Dirección de TI
Subdirección deDesarrollo
y Soluciones de TI
Jefatura de Aplicaciones de Negocio
Jefatura deAplicaciones
Administrativas
Subdirección de Aseguramiento de la Calidad
Jefatura deCalidad
Jefatura deCertificación
Subdirección deOperaciones
Jefatura deData Center
Jefatura deHelp Desk
Jefatura de Telecomunicaciones
Jefatura de la PMO
Jefatura de Seguridad
de la Información
Funciones dadas en el:- ROF- MOF- MOP o equivalentes
Profesor: Hugo Zumaeta Marín 24
Certificaciones y Especializaciones que puede tener el personal del Área de TI
• Seguridad: CISO, CISM, CISSP, ITIL.
• Redes: CCNA, LPIC, MCSE, CNA, CCNP.
• DBA.: MCDBA, OCA-DBA, .
• Proyectos: PMP, MCSE, CAPM,
• Help Desk: MHD (Manager Help Desk), AHD (Analista Help Desk)
• Desarrollo: MCAD, MCSD, SCJP, SCJD, SCWCD, OCP AppDev, etc.• MCTS (Microsoft Certifed Technology Specialist); MCAD (Microsoft Certified Application
Developer); MCPD (Microsoft Certified Professional Developer)
• Certificación / Testing / Pruebas
• Auditoria: CISA, IRCA,…….
Profesor Hugo Zumaeta 25
Lo que se debe conocer hoy para una Gobernar y Controlar las TI
Ingº Hugo Zumaeta 26
Conclusiones• La Organización debe tomar conocimiento de la importancia de la
seguridad de la información.
• Toda empresa debe velar por la seguridad de la información del negocio.
• La seguridad de la información se logra implementando y gestionando controles
• El Área de TI, debe estar siempre alerta monitoreando e implementado normas y buenas practicas
• La importancia de los sistemas informáticos en el tratamiento de información
• El conocimiento para la administración de sistemas informáticos en tecnologías heterogenias.
27Curso: Verificación y Validación de Software Hugo Zumaeta Marín
Muchas Gracias
