Seguridad Informatica En Los Sistemas De InformacióN

Universidad Austral de ChileFacultad de Cs. Económicas y

AdministrativasEscuela de Auditoría

Profesor : Cristian Salazar

Integrantes: Rosa Galindo Herminda Peña Nemorino Mayorga Jorge Skorey

Asignatura: Sistemas de Información Adm. Carrera : Contador Auditor

Seguridad Informática en los Seguridad Informática en los Sistemas de InformaciónSistemas de Información

Seguridad Informática en los Seguridad Informática en los Sistemas de InformaciónSistemas de Información

Valdivia, 10 de Diciembre 2009

IntroducciónIntroducción

Temas a Tratar: Seguridad Física, Delitos Informáticos Seguridad Lógica y Amenazas lógicas amenazas humanas y comunicaciones Protección y Política de seguridad

I. Seguridad Física y Delitos I. Seguridad Física y Delitos InformáticosInformáticos

" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es

la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia”

Leyes de Murphy

Seguridad FísicaSeguridad Física

Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”

Pero este es uno de los aspectos más olvidados a la hora de realizar el diseño de un sistemas informático.

Seguridad FísicaSeguridad Física

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos

deliberados.

Seguridad FísicaSeguridad FísicaTipos de Desastres

Peligros más importantes en un centro de Procesamiento de Información:

Incendios Inundaciones Condiciones Climatológicas Señales de Radar Instalaciones Eléctricas Ergonometría

Seguridad Física Acciones Hostiles

RoboLas computadoras son posesiones valiosas de las empresas y están expuestas, de la

misma forma que lo están las piezas de stock e incluso el dinero. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro.FraudeCada año, millones de dólares son sustraídos de empresas y, donde las computadoras han sido utilizadas como instrumento para dichos fines.SabotajeEl peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros.

Una de las herramientas más utilizadas son los Imanes, ya que con una ligera

pasada la información desaparece.

Seguridad FísicaSeguridad FísicaControl de Accesos

Utilización de GuardiasServicio de vigilancia, encargado del control de acceso a todas las personas de la

empresa.Una de las desventajas de su aplicación es el Soborno por u tercero para tener

acceso a sectores donde no esté habilitado o autorizado.

Utilización de Detectores de MetalesEs un elemento sumamente práctico para la revisión de personas.

Utilización de Sistemas BiométricosTecnología que realiza mediciones en forma electrónica, guarda y compara

características únicas para la identificación de personas. Como son las: manos, ojos, huellas digitales y voz.

Seguridad FísicaSeguridad FísicaControl de Accesos

Verificación Automática de FirmasMientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. Seguridad con AnimalesSon utilizadas en grandes extensiones de terrero, el costo de cuidado y mantenimiento se disminuye considerablemente con este tipo de sistema. Su desventaja es que los animales pueden ser engañados para lograr el acceso deseado.Protección ElectrónicaSe llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de censores conectados a centrales de alarmas. Ejemplos: Barreras Infrarrojas y de Micro-Ondas – Detector Ultrasónico- Detectores Pasivos de alimentación- Sonorización y dispositivo luminoso – Circuito cerrado de televisión – Edificios Inteligentes.

Delitos Informáticos Delitos Informáticos

" (...) ladrón, trabajaba para otros: ladrones más adinerados, patrones que proveían el exótico software requerido para

atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la información.

Ladrón, Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes."

Neuromante

Delitos InformáticosDelitos Informáticos

El uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos: Fraudes cometidos mediante manipulación de computadoras Manipulación de los datos de entrada Daños o modificaciones de programas o datos computarizados

Delitos InformáticosDelitos InformáticosLegislación y Delitos Informáticos en Chile.Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos

Informáticos. La ley 19.223 publicada en el Diario Oficial 7 de junio de 1993. Señala que la destrucción o inutilización de un sistema de tratamiento de información

puede ser castigado con prisión de 1,5 a 5 años.

Si esa acción afectara los datos contenidos en el sistema, la prisión se establecería entre los 3 a 5 años.

El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse, usar o conocer de manera indebida la información contenida en éste, también es pasible de condenas de hasta 5 años de cárcel.

Dar a conocer la información almacenada en un sistema puede ser castigado con prisión de hasta 3 años, pero si el que lo hace es el responsable de dicho sistema puede aumentar a 5 años.

II. II. Seguridad Lógica y Amenazas Seguridad Lógica y Amenazas lógicas lógicas

COBIT Marco de gobierno de Ti que se estableció en 1996 ya esta en su edición 4,1 Para uso cotidiano de auditores y gerentes Objetivos de control de tres niveles:Dominios, procesos, y actividades

Usuarios son también auditores que usan para soportar sus opiniones sobre el control de las empresas y determinar el mínimo control requerido

Son 34 procesos que forman 4 dominios

COBITSon 34 procesos que forman 4 dominios

Planificación y Organización Adquisición e Implementación Reparto Y Soporte Monitoreo (Supervisión) y Evaluación

COBITEl monitoreo siendo el de M1 Monitorear los Procesos. M2 Evaluar lo adecuado del Control Interno. M3 Obtener Aseguramiento Independiente. M4 Proporcionar Auditoría Independiente

Seguridad LógicaControles de Acceso Internos •PRINCIPIO: Integridad

•1. Algo que el usuario conoce•PIN•Contraseña•clave criptográfica

Ejemplo de verificación de PIN


•2. Algo que el usuario posee•Tarjeta magnética•llave

Ejemplo de Tarjeta


•3. Algo que el usuario es•Reconocimiento de voz •Huella digital

Ejemplo huella digital


•4. Algo que el usuario es capaz de hacer•Patrón de escritura

Ejemplo Patrón de Escritura

Seguridad LógicaControles de Acceso Externos

•PRINCIPIO: Confidencialidad

1. Dispositivos de control de puertos• Estos dispositivos autorizan el acceso a un puerto

determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem.

•

• 2. Firewalls/ Puertas de Seguridad• Filtran el flujo de acceso entre dos redes uno privado y

otro externo. Pueden permitir acceso del privado (interno) al externo, mientras bloqueando acceso del externo al privado.

Seguridad LógicaControles de Acceso Externos •PRINCIPIO:

Confidencialidad


•PRINCIPIO: Integridad

3. Control de Acceso a Consultores

• Administración debe tener en cuenta la composición especial de sus perfiles para personal externo contratados


•PRINCIPIO: Confidencialidad

4. Accesos Públicos

• Deben existir medidas de seguridad especiales para prevenir amenazas proveniente de sistemas consultados por el publico

Tal como se hacen las preguntas COBIT al TI se pueden preguntar de Seguridad Lógica•¿Están alineadas las estrategias de SL y del negocio?

•¿La empresa está alcanzando un uso óptimo de sus recursos?

•¿Entienden todas las personas dentro de la organización los objetivos de SL?

•¿Se entienden y administran los riesgos de TI con la política de SL?

•¿Es apropiada la calidad de los sistemas de SL para las necesidades del negocio?

Controles de Acceso PRINCIPIO: Integridad

Seguridad LógicaNiveles de Seguridad Lógica •Principio:

•Nivel D•Este nivel contiene sólo una división •está reservada para sistemas que han sido evaluados •no cumplen con ninguna especificación de seguridad.

Seguridad LógicaNiveles de Seguridad Logica •Principio:

•Nivel C1 PROTECCION DISCRECIONAL


•Nivel C2 PROT. DE ACCESO CONTROLADO


•Nivel B1 SEGURIDAD ETIQUETEADA


•Nivel B2 PROTECCION ESTRUCTURADA


•Nivel B3 DOMINIOS DE SEGURIDAD

Seguridad LógicaNiveles de Seguridad Lógica •Principio:

•Nivel A Nivel A: Protección Verificadael nivel más elevado•un proceso de diseño, control y verificación• mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.•diseño verificado de forma matemática• análisis de canales encubiertos y de distribución

Niveles de Seguridad Lógica

•Hackers•Espías•Terroristas•Espionaje Industrial•Criminales Profesionales•Vándalos (crackers)

Actores incluyen…

Amenazas Lógicas

•Herramientas Integradas/ Distribuidas•Programas o Script•Linea de comando•Agente Autonomo•Intervencion de communicacion

Herramientas que usan…

Amenazas Lógicas

Amenazas Lógicas

AMENAZAS HUMANAS

1. Patas de Palo y ParchesDe esta historia podemos obtener el perfil principal:· Un hacker es a todas luces, alguien con profundos conocimientos sobre la tecnología.· Tiene ansias de saberlo todo, de obtener conocimiento.· Le gusta (apasiona) la investigación.· Disfruta del reto intelectual y de rodear las limitaciones en forma creativa.· Busca la forma de comprender las características del sistema estudiado, aprovechar sus posibilidades y por último modificarlo y observar los resultados.· Dicen NO a la sociedad de la información y SI a la sociedad informada.

2. La actitud del Hacker1. Escriben programas que los otros

hackers opinen que son divertidos y/o útiles y donar la fuente del programa para que sean utizados

2. Ayudar a probar y depurar sofware libre.3. Recolectar y filtrar información útil e

interesante y construir páginas Web o documentos como FAQs y ponerlos a

disposición de los demás.

DEFINICIONES Definición de Hacker: Un Hacker es una

persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información (Free Information), distribución de software sin costo y la globalización de la comunicación.

Crackers: Son hackers cuyas intenciones van más allá de la investigación. Es una persona que tiene fines maliciosos o de venganza, quiere demostrar sus habilidades pero de la manera equivocada o simplemente personas que hacen daño solo por diversión.

DEFINICIONES Phreakers: actividad por medio de la cual algunas

personas con ciertos conocimientos y herramientas de hardware y software, pueden engañar a las compañías telefónicas para que éstas no cobren las llamadas que se hacen.

Carding – Trashing: el carding, es el uso ilegitimo de las tarjetas de crédito pertenecientes a otras personas con el fin de obtener los bienes realizando fraude con ellas. Se relaciona mucho con el hacking y el cracking, mediante los cuales se consiguen los números de las tarjetas. Y el Trashing, consiste en rastrear en las papeleras en busca de información contraseñas o directorios.

Personal: un 70% de los robos, sabotajes o accidentes con los sistemas informático son causados por el propio personal de la organización.

Técnicas para asegurar el sistema

Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.

Vigilancia de red. Zona desmilitarizada Tecnologías repelentes o protectoras:

cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

Consideraciones de software Tener instalado en la máquina únicamente el

software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.

COMUNICACION Consideraciones de una red Los puntos de entrada en la red son generalmente

el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.

Mantener al máximo el número de recursos de red sólo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.

Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.

III. Amenazas humanas y Comunicaciones

"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su

reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques."

Art. 12 Declaración Universal de Derechos Humanos, 1948

IV. Políticas de Seguridad

“Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos

lamentamos de no haber invertido más... Más vale dedicar recursos a la seguridad que convertirse en una estadística.”

2001, A.S.S. B Orghello , C Ri Stian F Abian

RIESGO

CONTROL

PRONOSTICO

PROYECCIÓN

PROGRAMA NORMA

PROCEDIMIENTO

META

ESTRATEGIA

PLAN

DECISIÓN

PSI

Políticas de Seguridad Informática

PSI

“una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.”

Evaluación de Riesgo

“¿Qué puede ir mal?” · “¿Con qué frecuencia puede ocurrir?” · “¿Cuáles serían sus consecuencias?” · “¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?” · “¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?” · “¿Cuál es el costo de una hora sin procesar, un día, una semana...?” · “¿Cuánto, tiempo se puede estar off–line sin que los clientes se vayan a la competencia?” · “¿Se tiene forma de detectar a un empleado deshonesto en el sistema?” · “¿Se tiene control sobre las operaciones de los distintos sistemas?” · “¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?” · “¿A que se llama información confidencial y/o sensitiva?” · “¿La información confidencial y sensitiva permanece así en los sistemas?” · “¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?” · “¿A quien se le permite usar que recurso?” · “¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?” · “¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?” y · ”¿Cómo se actuará si la seguridad es violada?”

Eval. Económica Probabilidad Recurso a Proteger+ +

EjemploUna vez obtenida la lista de cada uno de los riesgos se efectuará un

resumen del tipo:

AmenazasUna vez conocidos los riesgos, los recursos que se deben proteger y como su daño o falta pueden influir en la organización es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no exístela otra tampoco.

Desastre del entorno (Seguridad Física).

Amenazas del sistema (Seguridad Lógica).

Amenazas en la red (Comunicaciones).

Amenazas de personas (Insiders–Outsiders).

Evaluación de Costo

CR > CP

CP > CS

Luego

CR > CP > CS

minimizar

maximizar

Pto. equilibrio

Estrategia de Seguridad¿Proactiva o Reactiva?

•Implantación

•Auditoria y Control

•Plan de Contingencia

•Equipos de Repuestos e Incidentes

•Backups

Conclusiones Unos de los temas abordados fue la seguridad física, donde la adecuada

evaluación y control es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables, los delitos Informáticos. La cuantía de los perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.

Otro punto tratado fue la seguridad lógica tiene como tarea asegurar las metas globales de la seguridad informática: disponibilidad, integridad, y confidencialidad. Esto es alcanzado por el exitoso uso y administración de controles de acceso internos y externos, cumplimiento de estándares, y detección de amenazas lógicas.

Conclusiones

Rosita….

Según estudios de seguridad, muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, donde la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar una solución.

Gracias por su

Atención

Sistema de Información Administrativa.Sistema de Información Administrativa.2° Semestre 20092° Semestre 2009

Profesor Cristian SalazarAlumnos:

Carla PobleteMaría José Sánchez

Lidia Henríquez Herminda PeñaRosita GalindoVíctor Quezada

Jorge SkoreyFernando Quiroz

Nemorino Mayorga

Cristian SalazarCristian Salazar

Nemorino Mayorga

Rosita Galindo

Carla Poblete

María José Sánchez

Herminda Peña

Lidia HenríquezLidia Henríquez

Jorge Skorey

Víctor Quezada

Fernando Quiroz

Se busca…..

El Prof. Cristian y Jorge en el Museo de la Moneda

Luego del Cóctel..preparándose para el Bunker..

Tomando un descanzo..

Jornadas de Acceso

Sin comentarios..

Perversillas…

Frente a la Moneda

Seguridad Informatica En Los Sistemas De InformacióN

Education

Transcript of Seguridad Informatica En Los Sistemas De InformacióN