Title: Informtica Aplicada a los Negocios
1Informática Aplicada a los Negocios
- Seguridad en los
- Sistemas de Información
- MBA Luis Elissondo
2Que les interesa a las empresas
3Seguridad en los Sistemas
4Seguridad
- Que debe cubrir la seguridad (es posible la
seguridad absoluta?) - Seguridad respecto de la destrucción revelación y
procesamiento - Privacidad que inf. se comparte
- Confidencialidad importancia de la información
- Integridad
5Que debe contemplar una estrategia de seguridad
- Minimizar la posibilidad de ocurrencia
- Reducir el perjuicio
- Establecer métodos de recuperación
- Lograr un adecuado aprovechamiento de la
información.
6Riesgos
- No continuidad del Negocio
- el acceso indebido a los datos (a veces a través
de redes), - la cesión no autorizada de soportes magnéticos
con información crítica (algunos dicen
"sensible"), - los daños por fuego, por agua (del exterior como
puede ser una inundación, opor una tubería
interior), - la variación no autorizada de programas, su copia
indebida, y tantos otros,persiguiendo el propio
beneficio o causar un daño, a veces por venganza.
7Determinación de los Riesgos
- Qué se necesita proteger
- De quién protegerlo
- Cómo protegerlo
8Seguridad ámbitos de acción
- Seguridad física abarca al hardware utilizado en
la organización. - Seguridad lógica comprende la protección de
acceso a los programas
9Seguridad física
- Riesgo de incendio y riesgos naturales
- Ubicación física (lay out)
- Protección (sensores, extintores, etc)
- Almacenamiento de medios magnéticos
- Estrategias de Backup de equipos y programas.
10Seguridad lógica
- Controles físicos
- Identificación y autentificación de usuarios
- Bases del proceso
- Algo conocido por el usuario
- Algo que el usuario posee
- Algo que el usuario es
- Definición del perfil de usuario
- Administración de usuarios y claves
11Claves Reutilizables
- La clave es secreta
- Tamaño adecuado para su memorización
- No se debe mostrar por pantalla
- Almacenada criptográficamente
- Debe ser periódicamente actualizada
- Se debe evitar la repetición de claves en la
actualización.
12Incidentes de Seguridad
Nota se admite más de una respuesta Base 1.600
profesionales de seguridad y TI Datos ENCUESTA
DE SEGURIDAD GLOBAL DE PRICEWATERHOUSECOOPERS
INFORMATIONWEEK - 1998
13Tipos de atacantes
Nota se admite más de una respuesta Base 1.600
profesionales de seguridad y TI Datos ENCUESTA
DE SEGURIDAD GLOBAL DE PRICEWATERHOUSECOOPERS
INFORMATIONWEEK - 1998
14Seguridad en Pymes
Observatorio TICs Univ La Plata 2005
15Rutas hacia el objetivo
Factor amenaza
Punto de ataque
Medida correctiva de seguridad
Sistema objeto
Método de ataque
Imitación de IP
Firewall
Procedimientos de seguridad
Procedimientos
Ataque por discado
Dial-back
Social
Política
Exploración
Encripción
Detección de contraseñas
Señales
16Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
Organizativa
CIS
17Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
MEDIOS DE CONTROL
Segregación de funciones en el Dpto. CIS
Organizativa
CIS
18Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Medios de control de acceso
19Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
SEGREGACION DE FUNCIONES
Software de
Adecuada
Adecuada estructura organizativa
Software de control de acceso
Software de
Adecuada
Segregación efectiva
control de
estructura
control de
efectiva
estructura
efectiva
acceso
organizativa
acceso
organizativa
Accesos permitidos
Estructura Organizativa
Permisos
Usuario
USER1
XX40/X XX1
USER2
XX41
USERn
YY41/X X40
20Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
21Que son las Politicas de Seguridad Informática?
- Una política de seguridad informática es una
forma de comunicarse con los usuarios y los
gerentes. Las PSI establecen el canal formal de
actuacióndel personal, en relación con los
recursos y servicios informáticos, importantes de
la organización. - No se trata de una descripción técnica de
mecanismos de seguridad, ni de una expresión
legal que involucre sanciones a conductas de los
empleados. Es más bien una descripción de los que
deseamos proteger y el por qué de ello. - Cada PSI es consciente y vigilante del personal
por el uso y limitaciones de los recursos y
servicios informáticos críticos de la compañía.
22Elementos que debe contener una política de Seg.
Inf.
- Alcance de las políticas, incluyendo
facilidades, sistemas y personal sobre la cual
aplica. Es una invitación de la organización a
cada uno de sus miembros a reconocer la
información como uno de sus principales activos
así como, un motor de intercambio y desarrollo en
el ámbito de sus negocios. - Objetivos de la política y descripción clara de
los elementos involucrados en su definición. - Responsabilidades por cada uno de los servicios
y recursos informáticos a todos los niveles de la
organización. - Requerimientos mínimos para configuración de la
seguridad de los sistemas que cobija el alcance
de la política. - Definición de violaciones y de las consecuencias
del no cumplimiento de la política. - Responsabilidades de los usuarios con respecto a
la información a la que ella tiene acceso.
23Ejemplo de una Política
- Todos los usuarios deben estar adecuadamente
registrados y acceder solo a los recursos que le
fueron asignados.
24Ejemplo de un Procedimiento
- Procedimiento de alta de cuenta de usuario
- Cuando un elemento de la organización requiere
una cuenta de operación en el sistema, debe
llenar un formulario que contenga, al menos los
siguientes datos - Nombre y Apellido
- Puesto de trabajo
- Jefe inmediato superior que avale el pedido
- Descripción de los trabajos que debe realizar
en el sistema - Explicaciones breves, pero claras de cómo
elegir su password. - Asimismo, este formulario debe tener otros
elementos que conciernen a la parte - de ejecución del área encargada de dar de alta la
cuenta, datos como - Tipo de cuenta
- Fecha de caducidad
- Fecha de expiración
- Datos referentes a los permisos de acceso (por
ejemplo, tipos de - permisos a los diferentes directorios y/o
archivos) - Si tiene o no restricciones horarias para el uso
de algunos recursos y/o para el - ingreso al sistema.
25Controles de Aplicación
26Riesgo 2 INGRESO DE DATOS
Riesgo 2 INGRESO DE DATOS
"Los
datos
permanentes
y
de
transacciones
ingresados
para
el
procesamiento
pueden
ser
imprecisos,
incompletos
o
ingresados
más
de
una
vez".
Importe30774,01
20
Fecha 30/02/90
?
20
M
40
Code
023
024
025
10
026
20
30
27Riesgo 2 INGRESO DE DATOS
MEDIOS DE CONTROL
Controles de edición y validación
Fecha 30/02/99
Importe30.774,01
?
023
Code 024
025
026
28Riesgo 2 INGRESO DE DATOS
29Riesgo 2 INGRESO DE DATOS
30Riesgo 2 INGRESO DE DATOS
31Plan de Contingencia
32Plan de Contingencia
- Plan de Contingencia del Negocio
- Plan de Contigencia Tecnológica
33Diferencia
Plan de Contingencia del Negocio
Plan de Contingencia Tecnológico
Riesgo
Tecnología
Negocio
34Porque es necesario un Plan de Contingencia?
- Estadísticas
- Impacto
- Ejemplos
- Un problema cultural?
35Desarrollo de Planes de Continuidad del Negocio
- Definición del Proyecto
- Analisis del impacto en el Negocio
- Selección de estrategias
- Desarrollo de planes
- Pruebas y Mantenimiento
36Metod. Definición del Proyecto
- Objetivo
- Alcance
- Supuesto (Peor de los escenarios)
37Metod. Análisis del Impacto en el Negocio
- Análisis de riesgo
- Operacional
- Físico
- Evaluación del Impacto
- Financiero
- Intangibles (imagen, reputación, legal, salud
pública, etc) - Identificación de Procesos y Aplicativos Críticos
(metodos alternativos) - Asignación de RTOs (Recovery Time Objetives)
- Evaluación de coberturas de seguros y contratos
38Metod.Selección de Estrategias
- Identificación de recursos
- Evaluación de backups
- RTOs
- Solución Interna vs. Externa
- Ventajas y Desventajas
39Metod. Desarrollo de Planes
- Planes de Emergencia
- Plan de Sistemas
- Planes por Unidad de Negocios
40Metod. Pruebas y Matenimiento
- Política de Matenimiento
- Plan de Pruebas
41Conclusiones y Preguntas
?
?
?
?
?