Informtica Aplicada a los Negocios - PowerPoint PPT Presentation

1 / 41
About This Presentation
Title:

Informtica Aplicada a los Negocios

Description:

Alcance de las pol ticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. ... de la seguridad de los sistemas que cobija el alcance de la pol tica. ... – PowerPoint PPT presentation

Number of Views:199
Avg rating:3.0/5.0
Slides: 42
Provided by: luiseli
Category:

less

Transcript and Presenter's Notes

Title: Informtica Aplicada a los Negocios


1
Informática Aplicada a los Negocios
  • Seguridad en los
  • Sistemas de Información
  • MBA Luis Elissondo

2
Que les interesa a las empresas
3
Seguridad en los Sistemas
4
Seguridad
  • Que debe cubrir la seguridad (es posible la
    seguridad absoluta?)
  • Seguridad respecto de la destrucción revelación y
    procesamiento
  • Privacidad que inf. se comparte
  • Confidencialidad importancia de la información
  • Integridad

5
Que debe contemplar una estrategia de seguridad
  • Minimizar la posibilidad de ocurrencia
  • Reducir el perjuicio
  • Establecer métodos de recuperación
  • Lograr un adecuado aprovechamiento de la
    información.

6
Riesgos
  • No continuidad del Negocio
  • el acceso indebido a los datos (a veces a través
    de redes),
  • la cesión no autorizada de soportes magnéticos
    con información crítica (algunos dicen
    "sensible"),
  • los daños por fuego, por agua (del exterior como
    puede ser una inundación, opor una tubería
    interior),
  • la variación no autorizada de programas, su copia
    indebida, y tantos otros,persiguiendo el propio
    beneficio o causar un daño, a veces por venganza.

7
Determinación de los Riesgos
  • Qué se necesita proteger
  • De quién protegerlo
  • Cómo protegerlo

8
Seguridad ámbitos de acción
  • Seguridad física abarca al hardware utilizado en
    la organización.
  • Seguridad lógica comprende la protección de
    acceso a los programas

9
Seguridad física
  • Riesgo de incendio y riesgos naturales
  • Ubicación física (lay out)
  • Protección (sensores, extintores, etc)
  • Almacenamiento de medios magnéticos
  • Estrategias de Backup de equipos y programas.

10
Seguridad lógica
  • Controles físicos
  • Identificación y autentificación de usuarios
  • Bases del proceso
  • Algo conocido por el usuario
  • Algo que el usuario posee
  • Algo que el usuario es
  • Definición del perfil de usuario
  • Administración de usuarios y claves

11
Claves Reutilizables
  • La clave es secreta
  • Tamaño adecuado para su memorización
  • No se debe mostrar por pantalla
  • Almacenada criptográficamente
  • Debe ser periódicamente actualizada
  • Se debe evitar la repetición de claves en la
    actualización.

12
Incidentes de Seguridad
Nota se admite más de una respuesta Base 1.600
profesionales de seguridad y TI Datos ENCUESTA
DE SEGURIDAD GLOBAL DE PRICEWATERHOUSECOOPERS
INFORMATIONWEEK - 1998
13
Tipos de atacantes
Nota se admite más de una respuesta Base 1.600
profesionales de seguridad y TI Datos ENCUESTA
DE SEGURIDAD GLOBAL DE PRICEWATERHOUSECOOPERS
INFORMATIONWEEK - 1998
14
Seguridad en Pymes
Observatorio TICs Univ La Plata 2005
15
Rutas hacia el objetivo
Factor amenaza
Punto de ataque
Medida correctiva de seguridad
Sistema objeto
Método de ataque
Imitación de IP
Firewall
Procedimientos de seguridad
Procedimientos
Ataque por discado
Dial-back
Social
Política
Exploración
Encripción
Detección de contraseñas
Señales
16
Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
Organizativa
CIS
17
Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
MEDIOS DE CONTROL
Segregación de funciones en el Dpto. CIS
Organizativa
CIS
18
Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Medios de control de acceso
19
Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
Riesgo 1 ACCESO A FUNCIONES DE
PROCESAMIENTO
SEGREGACION DE FUNCIONES
Software de
Adecuada
Adecuada estructura organizativa
Software de control de acceso
Software de
Adecuada
Segregación efectiva
control de
estructura
control de
efectiva
estructura
efectiva
acceso
organizativa
acceso
organizativa
Accesos permitidos
Estructura Organizativa
Permisos
Usuario
USER1
XX40/X XX1
USER2
XX41
USERn
YY41/X X40
20
Riesgo 1 ACCESO A FUNCIONES DE PROCESAMIENTO
21
Que son las Politicas de Seguridad Informática?
  • Una política de seguridad informática es una
    forma de comunicarse con los usuarios y los
    gerentes. Las PSI establecen el canal formal de
    actuacióndel personal, en relación con los
    recursos y servicios informáticos, importantes de
    la organización.
  • No se trata de una descripción técnica de
    mecanismos de seguridad, ni de una expresión
    legal que involucre sanciones a conductas de los
    empleados. Es más bien una descripción de los que
    deseamos proteger y el por qué de ello.
  • Cada PSI es consciente y vigilante del personal
    por el uso y limitaciones de los recursos y
    servicios informáticos críticos de la compañía.

22
Elementos que debe contener una política de Seg.
Inf.
  • Alcance de las políticas, incluyendo
    facilidades, sistemas y personal sobre la cual
    aplica. Es una invitación de la organización a
    cada uno de sus miembros a reconocer la
    información como uno de sus principales activos
    así como, un motor de intercambio y desarrollo en
    el ámbito de sus negocios.
  • Objetivos de la política y descripción clara de
    los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios
    y recursos informáticos a todos los niveles de la
    organización.
  • Requerimientos mínimos para configuración de la
    seguridad de los sistemas que cobija el alcance
    de la política.
  • Definición de violaciones y de las consecuencias
    del no cumplimiento de la política.
  • Responsabilidades de los usuarios con respecto a
    la información a la que ella tiene acceso.

23
Ejemplo de una Política
  • Todos los usuarios deben estar adecuadamente
    registrados y acceder solo a los recursos que le
    fueron asignados.

24
Ejemplo de un Procedimiento
  • Procedimiento de alta de cuenta de usuario
  • Cuando un elemento de la organización requiere
    una cuenta de operación en el sistema, debe
    llenar un formulario que contenga, al menos los
    siguientes datos
  • Nombre y Apellido
  • Puesto de trabajo
  • Jefe inmediato superior que avale el pedido
  • Descripción de los trabajos que debe realizar
    en el sistema
  • Explicaciones breves, pero claras de cómo
    elegir su password.
  • Asimismo, este formulario debe tener otros
    elementos que conciernen a la parte
  • de ejecución del área encargada de dar de alta la
    cuenta, datos como
  • Tipo de cuenta
  • Fecha de caducidad
  • Fecha de expiración
  • Datos referentes a los permisos de acceso (por
    ejemplo, tipos de
  • permisos a los diferentes directorios y/o
    archivos)
  • Si tiene o no restricciones horarias para el uso
    de algunos recursos y/o para el
  • ingreso al sistema.

25
Controles de Aplicación
26
Riesgo 2 INGRESO DE DATOS
Riesgo 2 INGRESO DE DATOS
"Los
datos
permanentes
y
de
transacciones
ingresados
para
el
procesamiento
pueden
ser
imprecisos,
incompletos
o
ingresados
más
de
una
vez".
Importe30774,01
20

Fecha 30/02/90
?
20
M
40
Code
023
024
025
10
026
20
30
27
Riesgo 2 INGRESO DE DATOS
MEDIOS DE CONTROL
Controles de edición y validación
Fecha 30/02/99
Importe30.774,01
?
023
Code 024
025
026
28
Riesgo 2 INGRESO DE DATOS
29
Riesgo 2 INGRESO DE DATOS
30
Riesgo 2 INGRESO DE DATOS
31
Plan de Contingencia
32
Plan de Contingencia
  • Plan de Contingencia del Negocio
  • Plan de Contigencia Tecnológica

33
Diferencia
Plan de Contingencia del Negocio
Plan de Contingencia Tecnológico
Riesgo
Tecnología
Negocio
34
Porque es necesario un Plan de Contingencia?
  • Estadísticas
  • Impacto
  • Ejemplos
  • Un problema cultural?

35
Desarrollo de Planes de Continuidad del Negocio
  • Definición del Proyecto
  • Analisis del impacto en el Negocio
  • Selección de estrategias
  • Desarrollo de planes
  • Pruebas y Mantenimiento

36
Metod. Definición del Proyecto
  • Objetivo
  • Alcance
  • Supuesto (Peor de los escenarios)

37
Metod. Análisis del Impacto en el Negocio
  • Análisis de riesgo
  • Operacional
  • Físico
  • Evaluación del Impacto
  • Financiero
  • Intangibles (imagen, reputación, legal, salud
    pública, etc)
  • Identificación de Procesos y Aplicativos Críticos
    (metodos alternativos)
  • Asignación de RTOs (Recovery Time Objetives)
  • Evaluación de coberturas de seguros y contratos

38
Metod.Selección de Estrategias
  • Identificación de recursos
  • Evaluación de backups
  • RTOs
  • Solución Interna vs. Externa
  • Ventajas y Desventajas

39
Metod. Desarrollo de Planes
  • Planes de Emergencia
  • Plan de Sistemas
  • Planes por Unidad de Negocios

40
Metod. Pruebas y Matenimiento
  • Política de Matenimiento
  • Plan de Pruebas

41
Conclusiones y Preguntas
?
?
?
?
?
Write a Comment
User Comments (0)
About PowerShow.com