Fundamentos tericos de Seguridad de la Informacin - PowerPoint PPT Presentation

1 / 64
About This Presentation
Title:

Fundamentos tericos de Seguridad de la Informacin

Description:

... procedimientos, estructuras organizacionales y funciones de hardware y software; ... Vulnerabilidades de Hardware: Desgaste de piezas; Falla del Equipo; ... – PowerPoint PPT presentation

Number of Views:87
Avg rating:3.0/5.0
Slides: 65
Provided by: C536
Category:

less

Transcript and Presenter's Notes

Title: Fundamentos tericos de Seguridad de la Informacin


1
Fundamentos teóricos de Seguridad de la
Información
Argentina - Mayo de 2009
2
Tópicos
  • Histórico
  • Seguridad de la Información
  • Gestión Seguridad de la Información
  • Política Seguridad de la Información
  • Tratamiento de la Información
  • Clasificación de Información
  • Amenazas y Vulnerabilidades
  • Incidentes
  • Códigos Maliciosos
  • Conclusión

3
Objetivo
  • Presentar los principales fundamentos teóricos de
    la Seguridad de la Información

4
Histórico
  • Desde el início de la civilización humana,
    siempre hubo una preocupación con las
    informaciones y con los conocimientos
    proporcionados por ella
  • El proceso de la escrita de algunos pueblos
    antiguos já utilizaban maneras de garantizar la
    seguridad en las informaciones

5
Histórico
  • Los Egípcios utilizaban la escrita con señales
    para proteger y perpetuar su conocimiento
  • Los primeros métodos de criptografía aparecieron
    en esta época
  • La preocupación crecio considerablemente en la
    era moderna, con surgimiento de los ordenadores

6
Histórico
  • Negócios muy dependientes de la información y de
    los sistemas computacionales
  • Ambientes cada vez mais complejos, heterogenereos
    e integrados.

7
Seguridad de la Información
  • La información, los sistemas y las redes de
    ordenadores son activos fundamentales para los
    negócios. La información tiene tanto o más valor
    que cualquier otro bien de la organización

8
Seguridad de la Información
  • Seguridad Condición de ese o aquel en que se
    puede fiarse.
  • Información cualquier bien, tangible o
    intangible, que tenga valor para una persona
    física, entidad o empresa, incluyendo
  • base de datos y documentos
  • físicos o electrónicos
  • aplicativos, sistemas
  • herramientas de desarrollo y utilitarios
  • equipos en general
  • servicios de computación
  • servicios de transmisión y recepción.

9
Seguridad de la Información
  • Las acciones que vengan a viabilizar y asegurar
    la disponibilidad, la integridad, la
    confidenciabilidad y la autenticidad de la
    Información

10
Seguridad de la Información
Disponibilidad
  • propiedad de que la información esté accesible y
    utilizable sobre la demanda por una persona
    física o determinado sistema o entidad

11
Seguridad de la Información
Integridad
  • propiedad de que la información no fue cambiada,
    incluso cuanto al origem y al destino, o
    destruída

12
Seguridad de la Información
Confidencialidad
  • propiedad de que la información no esté
    disponible o enunciada a la persona física,
    sistema o entidad no autorizado y credenciado

13
Seguridad de la Información
Autencidad
  • propiedad de que la información fue producida,
    expedida, cambiada o destruida por una
    determinada persona física, o por determinado
    sistema o entidad

14
Seguridad de la Información
DICA
15
Seguridad de la Información
No Repugnación
  • propiedad de la protección contra la falsa
    negación del envolucramiento en una asociación, o
    sea, garantizar la autoria de determinadas
    acciones impidiendo el repúdio (negación) de la
    misma

16
Evolución de la Seguridad de la Información
  • Seguridad no es solamente un problema
    tecnológico, pero una gestión inteligente de la
    información en todos los ambientes

17
Seguridad de la Información
Personas
18
ABNT NBR ISO/IEC 27002
  • Seguridad de la información es la protección de
    las informaciones de los diversos tipos de
    amenazas para minimizar daño al negócio y
    garantizar su continuidad, maximizando el returno
    de las inversiones y las oportunidades de negócio

19
La Gestión de la Seguridad de la Información
  • La Gestión de la Seguridad de la Información es
    obtenida a partir de la implementación de um
    conjunto de controles adecuados, incluyendo
    políticas, procesos, procedimientos, estructuras
    organizacionales y funciones de hardware y
    software

20
La Gestión de la Seguridad de la Información
  • Apoyo de la alta dirección
  • Política de la seguridad que refleje los
    objetivos del negócio
  • Comprometimiento y apoyo visible de todos los
    niveles de la organización
  • Buen entendimiento de los requisitos de seguridad
    y gestión de riesgos
  • Proporcionar divulgación, conscientización,
    entrenamiento y educación adecuados
  • Provisión de recursos financieros
  • Adoción de indicadores

21
Política de Seguridad de la Información
  • documento fundamental para el establecimiento de
    la gestión de seguridad de la información
  • fornece el direccionamiento y soporte
    administrativo necesario para la gestión da
    Seguridad de la Información
  • documento de fácil entendimiento y necesita ser
    creada a partir de la realidad y necesidades del
    negócio de la organización
  • Direcciona e integra el conjunto de documentos
    para la gestión de la seguridad

22
Política de Seguridad de la Información
  • Todos estos documentos (normas, modelos,
    procedimientos y orientaciones) deben ser creados
    y mantenidos, de acuerdo con la jerarquia de la
    documentación de la organización

23
Política de Seguridad de la Información
  • La política de la seguridad trae los seguintes
    benefícios
  • Orientar las acciones de la seguridad
  • Definir el alcance de la seguridad en la
    organización
  • Auxiliar en la identificación del real valor de
    los recursos e informaciones asociados con el
    negócio
  • Permitir la adocción de soluciones integradas y
    homogeneas
  • Servir de referencia para la auditoria, apuración
    y evaluación de responsabilidad

24
Política de Seguridad de la Información
25
Seguridad de la Información en su trabajo
  • Tratamento de la información
  • Seguridad Física
  • Seguridad Lógica
  • Criptografía
  • Amenazas, Vulnerabilidades e Incidentes

26
Conclusión
  • Seguridad de la Información es
  • un problema tecnológico y humano
  • um problema cíclico
  • la protección de todos los activos
    igualitariamente
  • administrar los riesgos
  • una inversión necesaria
  • es fator crítico de éxito!

27
Gracias! LUIZ ANTONIO RECH Gerente
Operacional Loterías CAIXA ECONOMICA
FEDERAL Brasil luiz.rech_at_caixa.gov.br
28
(No Transcript)
29
Tratamiento de la Información
  • Procedimentos que contemplan el procesamiento,
    almazenaje, transmisión, clasificación,
    reclasificación y destruicción de las
    informaciones
  • Define como debe ser tratada las informaciones en
    su ciclo de vida y en los diversos tipos de
    soporte
  • Reproducción, Expedicción, Divulgación Interna y
    Externa, Transporte, Armazenamiento, Transmisión,
    Archivamento y Descarte
  • Papel,Microformas,Medio magnético, óptico y otros
    medios eletronicos,Correo eletronico,Archivo
    electronico y Telas de sistemas informatizados

30
Clasificación de la Información
  • Proceso básico para la gestión de la seguridad de
    la información
  • Enfoque en los aspectos de sigilo de la
    información y no en las cuestiones de
    archivamento y documentación
  • Procura dar protección adecuada a la información
    en función de su valor, requisitos legales
    asociados, sensibilidad y criticidad para la
    organización

31
Clasificación de la Información
  • La clasificación define como la información será
    tratada a lo largo de su ciclo de vida
  • Cuanto mayor el grado de sigilo más sensible la
    información
  • Cuanto mayor el grado de sigilo más grande el
    cuidado a ser tomado, mayor costo para mantenerla
    DICA

32
Seguridad Física
  • Conjunto de medidas vueltas para la prevención y
    la obstrucción de las acciones u ocurencias
    adversas de cualquier naturaleza que puedan
    comprometer las áreas o las instalaciones donde
    sean tratadas las informaciones

33
Credenciamiento
  • Habilitación de personas físicas o entidades para
    el tratamiento de Informaciones sigilosas
  • Identificación,credencial, catraca,etc

34
Seguridad Lógica
  • Conjunto de medidas vueltas para la prevención y
    la obstrucción de las acciones u ocorrencias
    adversas de cualquier naturaleza que puedan
    comprometer medios computacionales donde sean
    tratadas las Informaciones

35
Seguridad Lógica
  • Autorización
  • define quien puede tener acceso, sobre cuales
    condiciones y lo que puede ser realizado. Esta
    definición debe ser basada en los princípios
    necesidad de conocer y privilégios mínimos
  • Identificación y Autenticación
  • la identificación es el nombre por el cual el
    usuário es conocido o se presenta para el sistema
    y la autenticación es la confirmación de la
    identidad del usuário (seña).

36
Criptografia
  • Es un de los más utilizados mecanismos para
    asegurar la confidencialidad e integridad
  • Princípios, medios y métodos de transformación de
    la información con el objetivo de mascarar su
    contenido, impedir modificaciones, uso no
    autorizado y acceso inapropriado

37
Amenazas
  • Son los agentes o condiciones que causan
    incidentes que comprometen las informaciones y
    sus activos por medio de la exploración de la
    vulnerabilidad
  • Comprometen la DICA
  • Causan impacto en los negócios de la organización

38
Vulnerabilidades
  • Son fragilidades presentes o asociadas a los
    activos que manipulan informaciones que, cuando
    exploradas por amenaza, permite la ocurrencia de
    un incidente de seguridad, afectando
    negativamente uno o más princípios de la
    seguridad de la información - DICA

39
Amenaza Vulnerabilidad
Incidentes
40
Amenazas
  • Amenazas externas o internas
  • La amenazas siempre existirán
  • Independiente de los controles de seguridad
  • Los controles pueden eliminar las
    vulnerabilidades y reducir/neutralizar las
    amenazas

41
Amenazas
  • Clasificación de las amenazas
  • Intencionales
  • Accidentales
  • Internas
  • Externas

42
Amenazas
  • Las amenazas son
  • Procedimiento inadecuado de funcionários
  • Funcionários mal entrenados
  • Contaminación por vírus
  • Pirataría
  • Robo de informaciones
  • Fraudes de funcionários
  • Otras acciones intencionales

43
Vulnerabilidades
  • Vulnerabilidades son pasivas
  • Son problemas en potencial
  • La vulnerabilidade sola no es un problema
  • La vulnerabilidade necesita ser explorada
  • El agente causador o condición favorable
  • Amenazas!!!

44
Vulnerabilidades
  • Clasificación de las Vulnerabilidades
  • Físicas
  • Naturales
  • De hardware
  • De software
  • De mídia
  • De comunicación
  • Humanas

45
Vulnerabilidades
  • Vulnerabilidades Físicas
  • Instalaciones edificales fuera del modelo
  • CPD mal planeado
  • Falta de extintores de incendio
  • Falta de detectores de humo
  • Riesgo de explosiones
  • Riesgo de escapes, etc

46
Vulnerabilidades
  • Vulnerabilidades Naturales
  • Inundación
  • Terremotos
  • Falta de energia
  • Acúmulo de polvo
  • Humedad
  • Temperatura

47
Vulnerabilidades
  • Vulnerabilidades de Hardware
  • Desgaste de piezas
  • Falla del Equipo
  • Error de instalación
  • Mal utilización

48
Vulnerabilidades
  • Vulnerabilidades de Software
  • Error de instalación
  • Error de configuración
  • Salida de informaciones
  • Pierda de datos
  • Indisponibilidad del recurso

49
Vulnerabilidades
  • Vulnerabilidades de Mídia
  • Radiación eletromagnética
  • Pierda de mídia
  • Danificación de mídia

50
Vulnerabilidades
  • Vulnerabilidades de Comunicación
  • Acceso no autorizado
  • Pierda de comunicación
  • Fallas en el canal de seguridad

51
Vulnerabilidades
  • Vulnerabilidades Humanas
  • Falta de entrenamiento
  • Salida de informaciones confidenciales
  • No ejecutar procedimientos de seguridad
  • Error u omisiones
  • Huelgas

52
Incidentes
  • Un levantamiento del CERT-BR (Centro de Estudios,
    Respuesta y Tratamiento de Incidentes de
    Seguridad en Brasil www.cert.br) demonstró que
    los incidentes relacionados a la Seguridad de la
    Información crecieron de forma considerable en
    los últimos años, pasando de poco más de 3.100 en
    1999 para aproximadamente 198.000 en 2006

53
Incidentes
Total de Incidentes Reportados al CERT.br por
año Año (1999 hasta Junio de 2007)
54
Incidentes
  • Tipos de Incidentes
  • Interrupción
  • Interceptación
  • Modificación
  • Fabricación

55
Incidentes
Cual relación de los incidentes y las
propriedades de seguridad?
Interrupción
Disponibilidad
Modificación
Integridad
Interceptación
Confidencialidad
Fabricación
Autenticidad
56
Incidentes
  • Para agilizar la exploración de
    vulnerabilidades, los atacantes desarrollan
    códigos maliciosos
  • Código Malicioso
  • Son programas desarrollados para acciones danosas

57
Códigos Maliciosos
  • Principales tipos de Códigos Maliciosos
  • Vírus
  • Caballos de Troya
  • Spywares
  • Backdoors
  • Bots
  • Keyloggers
  • Worms

58
Códigos Maliciosos
  • Vírus
  • Programas que contaminan articulos o programas
  • Usuário abre el articulo o ejecuta el programa
  • Depende de un hospedero

59
Códigos Maliciosos
  • Worm (verme)
  • No contamina otros articulos
  • No necesita ser explicitamente ejecutado para
    propagarse
  • Explora vulnerabilidades de software
  • Se propaga automaticamente

60
Códigos Maliciosos
  • Caballo de Troya
  • Programa que hace más de que parece
  • Tarjeta virtual, juego, protector de tela, álbun,
    agenda, etc
  • Pueden instalar keyloogers, backdoors, robar
    señas, destruir archivos, etc
  • Es más utilizado para robo de señas de accesso al
    Internet Banking

61
Códigos Maliciosos
  • Spywares
  • Monitoran actividades del sistema
  • Enviar las informaciones para terceros
  • Pueden instalar otros spywares
  • Monitorar teclas o regiones de tela
  • Capturar señas
  • Monitorar URLs accesadas

62
Códigos Maliciosos
  • Backdoors (puerta del fondo)
  • Crean canales de entrada en los sistemas
  • Atacante instala backdoor para poder volver a los
    sistemas
  • Abre una puerta TCP en el sistema
  • Puede ser instalado por um caballo de Troya

63
Códigos Maliciosos
  • Bots
  • Semejante a los worms
  • Posue un dispositivo de comunicación con el
    atacante
  • Puede ser controlado remotamente
  • El controlador del Bot puede
  • Disparar una negación del servicio
  • Procurar archivos
  • Etc

64
Códigos Maliciosos
  • Botnets
  • Son redes infectadas por bots
  • Aumentan mucho el poder de ataque
  • Atacante posue control sobre vários ordenadores
Write a Comment
User Comments (0)
About PowerShow.com