Clase1,2,3,4 Seguridad Informatica

UNIVERSIDAD PERUANA
LOS ANDES
FACULTAD DE INGENIERIA
DE SISTEMAS Y
COMPUTACION
CURSO:
SEGURIDAD
INFORMATICA
TEMA 1: SEGURIDAD
INFORMATICA
Mg HENRY DENNYS SANCHEZ
CHAVEZ
Definicin de Seguridad Informtica

La Real Academia de la Lengua espaola
RAE, dice
seguridad es la cualidad de seguro. y seguro es libre y
exento de todo peligro, dao o riesgo.
la seguridad no es un producto, sino un proceso.
Un conjunto de mtodos y herramientas destinados a
proteger la informacin y por ende los sistemas
informticos ante cualquier amenaza, un proceso en el cual
participan adems personas.
MG. HENRY DENNYS SNCHEZ

CHVEZ
La Solucin Estar Desconectado

la seguridad informtica no es un bien medible, pero s
podramos desarrollar diversas herramientas para
cuantificar de alguna forma nuestra inseguridad
informtica

CHVEZ
Tomemos Conciencia
Habr debilidades tanto internas como externas...
Amenazas
La seguridad informtica
se convierte en un nuevo
motivo de preocupacin
las empresas, organismos y particulares comienzan a

tomar verdadera conciencia de su importancia. Hoy
en da, tener un sistema que cumpla con los
estndares de gestin de la seguridad es sinnimo de
calidad de servicio.
CHVEZ
Que ha cambiado
A partir de los aos 90 el uso del Computador comienza a
ser comn. por tanto la preocupacin por la integridad de los
datos.
A finales de los aos 90 aparecen los virus y gusanos y se
toma conciencia del peligro que nos acecha como usuarios de
PCs y equipos conectados a Internet.
Comienzan a proliferar ataques a sistemas informticos. La
palabra hacker aparece incluso en prensa.
Las amenazas se generalizan a finales de los 90; aparecen
nuevos gusanos y malware generalizado.
En la actualidad los acontecimientos fuerzan a que se tome
muy en serio la seguridad informtica.

CHVEZ
En los ltimos aos

El uso masivo de Internet, el tema de la proteccin de
la informacin se ha transformado en una necesidad y
con ello se populariza la terminologa tcnica asociada:
Cifrado, descifrado, criptoanlisis, firma digital, ...
Autoridades de Certificacin, comercio
electrnico, ...
La seguridad es un tema comn, cualquier usuario
desea saber, por ejemplo, qu significa firmar un email o qu significa que en una comunicacin con su
banco aparezca un candado en la barra de tareas de
su navegador y le diga que el enlace es SSL con 128
bits.
El software actual viene con seguridad aadida o
embebida.
CHVEZ
Los Delitos Informticos

Los delitos informticos son muy frecuentes en la actualidad, es un
tema complejo dado que muchos pases no se ponen de acuerdo,
pero hay situaciones comunes a tener en cuenta:
Objeto pequeo: la informacin que se ataca est almacenada
en contenedores pequeos: no es necesario un camin para
robar un banco, llevarse las joyas, el dinero, etc.
Contacto fsico: no existe contacto fsico en la mayora de
los casos. Se asegura el anonimato y la integridad fsica del
propio delincuente.
Alto valor: el objeto codiciado tiene un alto valor. Los datos
(el contenido a robar) puede valer mucho ms que el soporte
que los almacena: servidor, computador, disco, CD, etc.

CHVEZ
Seguridad fsica y Seguridad

Lgica
El estudio de la seguridad informtica podramos plantearlo desde
dos enfoques distintos y complementarios:

La Seguridad Fsica: asociado a la proteccin del sistema ante
las amenazas fsicas, incendios, inundaciones, edificios,
cables, control de accesos de personas, etc.
La Seguridad Lgica: proteccin de la informacin en su
propio medio, mediante el enmascaramiento de la misma
usando tcnicas de criptografa.
La gestin de la seguridad est en medio de la dos: los planes
de contingencia, polticas de seguridad, normativas, etc.
Esta clasificacin en la prctica no es tan rigurosa. podramos
decir que cada vez est menos claro dnde comienza una y
dnde termina la otra.

CHVEZ
1er principio de Seguridad

Informtica
PREGUNTA:
Cules son los puntos dbiles
de un sistema informtico?
P1: El intruso al sistema utilizar el artilugio que
haga ms fcil su acceso y posterior ataque.
Existir una diversidad de frentes desde los que
puede producirse un ataque, tanto internos como
externos. Esto dificultar el anlisis de riesgo ya
que el delincuente aplicar la filosofa del ataque
hacia el punto ms dbil: el equipo o las personas.

CHVEZ
2do Principio de Seguridad

Informtica
PREGUNTA:
Cunto tiempo deber
protegerse un dato?
P2: los datos confidenciales deben protegerse slo
hasta que ese secreto pierda su valor como tal.
Se habla, por tanto, de la caducidad del sistema de
proteccin: tiempo en el que debe mantenerse la
confidencialidad o secreto del dato.
Esto nos llevar a la fortaleza del sistema de cifra.

CHVEZ
3er Principio de Seguridad

las medidas Informtica
de control se implementan para
P3:
que
tengan un comportamiento efectivo, eficiente, sean
fciles de usar y apropiadas al medio.
Efectivo: que funcionen en el momento oportuno.
Eficiente: que optimicen los recursos del sistema.
Apropiadas: que pasen desapercibidas para el
usuario.
Y lo ms importante: ningn sistema de
control resulta efectivo hasta que
debemos utilizarlo al surgir la
ad
d
i
r
ca
gu
Se rmti
necesidad de aplicarlo. Junto con la
Info
concientizacin de los usuarios, ste
ser uno de los grandes problemas de la
Medidas de control Gestin de la Seguridad Informtica.
CHVEZ
Amenazas del sistema

Las
amenazas
afectan
principalmente al hardware, al
software y a los datos. stas
se deben a fenmenos de:
Interrupcin
Interceptacin
Modificacin
Generacin

CHVEZ
Amenaza de interrupcin
Interrupcin
Intruso
Se daa, pierde o deja de funcionar un punto del

sistema.
Su deteccin es inmediata.
Ejemplos:
Destruccin del hardware.
Borrado de programas, datos.
Fallos en el sistema operativo.

CHVEZ
Amenaza de Interceptacin
Interceptacin
Intruso
Acceso a la informacin por parte de personas no

autorizadas. Uso de privilegios no adquiridos.
Su deteccin es difcil, a veces no deja huellas.
Ejemplos:
Copias ilcitas de programas.
Escucha en lnea de datos.

CHVEZ
Amenaza de Modificacin
Modificacin
Intruso
Acceso no autorizado que cambia el entorno para su

beneficio.
Su deteccin es difcil segn las circunstancias.
Ejemplos:
Modificacin de bases de datos.
Modificacin de elementos del HW.

CHVEZ
Amenaza de Generacin
Generacin
Intruso
Creacin de nuevos objetos dentro del sistema.

Su deteccin es difcil: delitos de falsificacin.
Ejemplos:
Aadir transacciones en red.
Aadir registros en base de datos.

CHVEZ
Escenarios de las Amenazas del

sistema
Interrupcin
(prdida)
Interceptacin
(acceso)
Datos
Modificacin
(cambio)
Generacin
(alteracin)
Ejemplos de amenzas
Los datos sern la parte ms

vulnerable del sistema
Hardware
Interrupcin (denegar servicio)
Interceptacin (robo)

CHVEZ
Software
Modificacin (falsificacin)
Interrupcin (borrado)
Interceptacin (copia)
Amenazas mas Comunes
Hardware:
Agua, fuego, electricidad, polvo, cigarrillos, comida.
Software:
Adems de algunos tpicos del hardware, borrados
accidentales o intencionados, esttica, fallos de lneas de
programa, bombas lgicas, robo, copias ilegales.
Datos:
Tiene los mismos puntos dbiles que el software. Pero hay
dos problemas aadidos: no tienen valor intrnseco pero s su
interpretacin y, por otra parte, habr datos de carcter
personal y privado que podran convertirse en datos de
carcter pblico: hay leyes que lo protegen.

CHVEZ
Debilidades del Sistema

Informtico (1)
HARDWARE - SOFTWARE - DATOS
MEMORIA - USUARIOS
Los tres primeros puntos conforman el llamado Tringulo
de Debilidades del Sistema:
Hardware: pueden producirse errores intermitentes,
conexiones sueltas, desconexin de tarjetas, etc.
Software: puede producirse la sustraccin de
programas, ejecucin errnea, modificacin, defectos
en llamadas al sistema, etc.
Datos: puede producirse la alteracin de contenidos,
introduccin de datos falsos, manipulacin fraudulenta
de datos, etc.
CHVEZ
Debilidades del Sistema

Informtico (2)
Memoria: puede producirse la introduccin de un
virus, mal uso de la gestin de memoria, bloqueo del
sistema, etc.
Usuarios: puede producirse la suplantacin de
identidad, el acceso no autorizado, visualizacin de
datos confidenciales, etc.
Es muy difcil disear un plan que contemple minimizar de
forma eficiente todas estas amenazas, y que adems se
entienda y pase desapercibido por los usuarios.
Debido al principio de acceso ms fcil, el responsable de
seguridad informtica no se deber descuidar ninguno de
los cinco elementos susceptibles de ataque al sistema.

CHVEZ
Calidad de la Informacin
Estos son los tres elementos bsicos de la seguridad
informtica:
Confidencialidad
Los componentes del sistema sern accesibles slo
por aquellos usuarios autorizados.
Integridad
Los componentes del sistema slo pueden ser
creados
y modificados por los usuarios
autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los
componentes del sistema cuando as lo deseen.

CHVEZ
Concepto de Datos Seguros

Si se cumplen los principios vistos anteriormente,
diremos en general que los datos estn protegidos y
seguros.
DATOS
Confidencialidad
DATOS
Integridad
DATOS
Datos Seguros

CHVEZ
DATOS
Disponibilidad
Esto se entiende en el
siguiente sentido: los datos
slo pueden ser conocidos por
aquellos usuarios que tienen
privilegios sobre ellos, slo
usuarios
autorizados
los
podrn crear o bien modificar,
y tales datos debern estar
siempre disponibles.
UNIVERSIDAD PERUANA
LOS ANDES
DE SISTEMAS Y
COMPUTACION
CURSO:
SEGURIDAD
INFORMATICA
TEMA 3: LA INFORMACION EN
LAS ORGANIZACIONES
CHAVEZ
Informacin
Bajo el punto de vista de la ingeniera:
Estudio de las caractersticas y estadsticas del
lenguaje que nos permitir su anlisis desde un
enfoque matemtico, cientfico y tcnico.
Bajo el punto de vista de la empresa:
Conjunto de datos propios que se gestionan y se
intercambian entre personas y/o mquinas dentro
de una organizacin.

CHVEZ
La Informacin en la empresa
Se entender como:
El conjunto de datos y ficheros de la empresa.
Todos los mensajes intercambiados.
Todo el historial de clientes y proveedores.
Todo el historial de productos.
En definitiva, el know-how de la organizacin.
Si esta informacin se pierde o deteriora, le ser muy difcil
a la empresa recuperarse y seguir siendo competitiva. Por
eso, es vital que se implanten unas polticas de seguridad y
adems, se haga un seguimiento de ellas.

CHVEZ
Importancia de la Informacin
El xito de una empresa depender de la calidad de la
informacin que genera y gestiona. Una empresa tendr
una informacin de calidad si sta posee, entre otras
caractersticas, las de confidencialidad, de integridad y
de disponibilidad.
La implantacin de una poltica y medidas de seguridad
informtica en la empresa es muy vital ya que es un
factor estratgico en el desarrollo y xito de la misma.

CHVEZ
Vulnerabilidad de la Informacin
La informacin (datos) se ver afectada por muchos
factores, incidiendo bsicamente en los aspectos de
confidencialidad, integridad y disponibilidad de la misma.
Desde el punto de vista de la empresa, uno de los
problemas ms importantes puede ser el que est
relacionado con el delito o crimen informtico, bien por
factores externos o internos. Habr que estar muy
atentos al factor humano interno.
Un empleado
descontento...

CHVEZ
Hay que implantar Polticas de

seguridad
El tratamiento y vulnerabilidad de la informacin se ver
influida por otros temas, como por ejemplo los aspectos

legales vigentes. Adems, las empresas cada da
dependen ms de sus comunicaciones y de su trabajo en
red, lo que aumenta su inseguridad.
Solucin
La solucin parece
muy sencilla: crear
y aplicar polticas
de seguridad...
CHVEZ
Poltica 1
Poltica 2
Poltica 3
... Y solamente ahora

comienza a tomarse
verdaderamente en serio.
Acciones Contra Los Datos

Una persona no autorizada podra:
Clasificar y desclasificar los datos.
Filtrar informacin.
Alterar la informacin.
Por lo tanto, la
proteccin de
Borrar la informacin.
datos resulta
Usurpar datos.
obvia
Hojear informacin clasificada.
Deducir datos confidenciales.

CHVEZ
Copias de Seguridad Backup

La medida ms elemental para la proteccin de los datos es
determinar una buena poltica de copias de seguridad o backups:
Copia de seguridad completa Todos los datos (la primera
vez).
Copias de seguridad incrementales
Slo se copian los ficheros creados o modificados desde el
ltimo backup.
Elaboracin de un plan de backup en funcin del volumen de
informacin generada
Tipo de copias, ciclo de esta operacin, etiquetado
correcto.
Diarias, semanales, mensuales: creacin de tablas.
Establecer quin, cmo y dnde se guardan esos datos.

CHVEZ
Hacker, Crackers y script kiddies

Hacker:
Persona o Personas que violentan la seguridad de
sistemas informticos para obtener beneficios
econmicos
Cracker:
Persona que intenta de forma ilegal romper la
seguridad de un sistema por diversin o inters.
Script kiddies:
Un inexperto, normalmente un adolescente, que
usar programas que se descarga de Internet para
atacar sistemas.
CHVEZ
Puntos Vulnerables de la Red

Las empresas relacionadas con las Nuevas Tecnologas
de la Informacin usan varias tcnicas y herramientas
de redes para el intercambio de datos:
Transferencia de ficheros (ftp)
Transferencia de datos e informacin a travs de
Internet (http)
Conexiones remotas a mquinas y servidores (telnet)
Todo esto presentar importantes riesgos de ataques
por parte de delincuentes informticos, pero ...

CHVEZ
Donde esta el Enemigo?

Por muy organizados que puedan estar los
delincuentes, primero que nada hay que ponerse en el
lugar que nos corresponde y no caer en la paranoia.
Debemos de pensar que el peor enemigo puede estar
dentro de casa.
Segn estadsticas fiables, cerca del 80% de las
amenazas de seguridad provienen de la propia
organizacin.
La solucin: la puesta en marcha de una adecuada
poltica de seguridad en la empresa.

CHVEZ
Ataques y delitos informticos

Son acciones que vulneran la confidencialidad,
integridad y disponibilidad de la informacin, Los
ataques mas comunes a un sistema informtico son:
Fraude.
Malversacin.
Robo.
Sabotaje.
Espionaje.
Chantaje.
Revelacin.
Mascarada.
Virus.
CHVEZ
Fraude y Sabotaje
Fraude
Acto deliberado de manipulacin de datos perjudicando a
una persona fsica o jurdica que sufre de esta forma una
prdida econmica. El autor del delito logra de esta forma
un beneficio normalmente econmico.
Sabotaje
Accin con la que se desea perjudicar a una empresa
entorpeciendo deliberadamente su marcha, averiando sus
equipos, herramientas, programas, etc. El autor no logra
normalmente con ello beneficios econmicos pero pone en
jaque mate a la organizacin.

CHVEZ
Chantaje y Mascarada
Chantaje
Accin que consiste en exigir una cantidad de dinero a
cambio de no dar a conocer informacin privilegiada o
confidencial y que puede afectar gravemente a la
empresa, por lo general a su imagen corporativa.
Mascarada
Utilizacin de una clave por una persona no autorizada y
que accede al sistema suplantando una identidad. De
esta forma el intruso se hace dueo de la informacin,
documentacin y datos de otros usuarios con los que
puede, por ejemplo, chantajear a la organizacin.

CHVEZ
Virus y Gusanos
Virus
Cdigo diseado para introducirse en un programa,
modificar o destruir datos. Se copia automticamente a
otros programas para seguir su ciclo de vida. Es comn
que se expanda a travs de plantillas, las macros de
aplicaciones y archivos ejecutables.
Gusanos
Virus que se activa y transmite a travs de la red.
Tiene como finalidad su multiplicacin hasta agotar el
espacio en disco o RAM. Suele ser uno de los ataques
ms dainos porque normalmente produce un colapso en
la red.

CHVEZ
Caballos de Troya y Spam

Caballos de Troya
Virus que entra a la PC y posteriormente acta
de forma similar a este hecho de la mitologa
griega, parece ser un programa inofensivo pero
en realidad est haciendo otra y expandindose.
Spam
El spam o correo no deseado, si bien no lo
podemos
considerar como un ataque
propiamente dicho, lo cierto es que provoca hoy
en da prdidas muy importantes en empresas y
muchos dolores de cabeza.

CHVEZ
Ataques y Delitos Recientes

Ingeniera social:
correo electrnico en el que se fuerza al usuario a que abra
un archivo adjunto que supuestamente le interesa o bien
est muy relacionado con su trabajo, utilizando as el eslabn
ms dbil de una cadena de seguridad como es el ser
humano.
Phising:
simulacin, algunas veces perfecta, de una pgina Web de un
banco solicitando el ingreso de claves secretas, con la
excusa de la aplicacin de nuevas polticas de seguridad de la
entidad.

CHVEZ
Nuevos Ataques
En los prximos aos aparecern nuevos delitos y
ataques a los sistemas informticos y redes que hoy no
sabemos cmo sern ni a qu vulnerabilidad atacarn.
Este constante enfrentamiento entre el lado el mal y el
bien, ser inevitable en sistemas intercomunicados y
abiertos como los actuales.
Las comunicaciones crecern cada vez ms hacia ese
entorno abierto, como las actuales redes inalmbricas,
con lo que irn apareciendo nuevas amenazas...

CHVEZ
Virus Informticos
Primer ejemplo: John von Neuman en 1949.
Primer virus: M. Gouglas de Bell Laboratories crea
el Core War en 1960.
Primeros ataques a PCs entre 1985 y 1987:
Virus Jerusalem y Brain.
Inofensivos: (pelotas, letras que se mueven, etc.)
Slo molestan y entorpecen el trabajo pero no
destruyen informacin. Podran residir en el PC.
Malignos: (Viernes 13, Blaster, Nimbda, Netsky,
Klez, etc.)
Destruyen los datos y afectan a la integridad y la
disponibilidad del sistema. Hay que eliminarnos.

CHVEZ
Transmisin de Virus y Malware

Se transmiten slo mediante la ejecucin de un
programa.
El correo electrnico no puede contener virus al
ser slo texto. No obstante, muchas veces
contienen archivos adjuntos y stos pueden tener
incluido un virus.
Existen virus que se ejecutan desde la simple
visualizacin de un grfico jpg, gif, etc., usando
para ello una vulnerabilidad conocida de
procesamiento de WMF (Windows Meta File) que
permite la ejecucin de cdigo arbitrario.

CHVEZ
Peligros del Entorno Web

El entorno web es mucho ms peligroso. Un enlace puede
lanzar un programa que se ejecute en el cliente y nos
infecte o comprometa la mquina, dejndola abierta para
otros ataques o bien dejarla como un zombie que colabore
en otros ataques.
Punto ms crtico de la seguridad respecto a virus y
accesos a Internet: usuario que confiado en la direccin
del remitente o de un servidor, por curiosidad, engaado
con la denominada ingeniera social, etc., ... abre archivos
o entra a ese servidor.

CHVEZ
Tipos de ataque de un Virus

Estn aquellos que infectan a programas con
extensin exe, com y sys, por ejemplo.
Residen en memoria al ejecutarse el husped y
de ah se propagan a otros archivos.
Y tambin aquellos que infectan el sistema y el
sector de arranque y tablas de entrada (reas
determinadas del disco).
Se instalan directamente all y por lo tanto
residen en memoria.

CHVEZ
Algunas Medidas Preventivas

Proteger los discos extrables USB con la pestaa de
seguridad. Es una proteccin de escritura fcil y muy
elemental.
Instalar un antivirus y actualizarlo de forma peridica. Es
muy recomendable que se haga al menos una vez por semana.
Ejecutar el antivirus a todo el disco duro una vez al mes.
Ejecutar siempre el antivirus a todo disco o CD que se
introduce al sistema y a los archivos que descargamos desde
Internet o vienen adjuntos en un e-mail.
Controlar el acceso de extraos al computador.
Aunque esto puede ser ms complicado ...
use software legal.

CHVEZ
Si ya estas infectado
Detener las conexiones remotas.

No mover el ratn ni activar el teclado.
Apagar el sistema y desconectarlo.
Arrancar con un disquete de arranque o emergencia
protegido.
Ejecutar luego un programa antivirus.
Si es posible, hacer copia de seguridad de sus archivos para
poder compararlas con copias anteriores.
Formatear el disco duro
Instalar nuevamente el sistema operativo y restaurar las
copias de seguridad...
De todas maneras, recuerde que la seguridad informtica
total no existe... ha pensado que su disco duro puede
quemarse ahora mismo por una repentina subida de voltaje?
Y estas cosas son ms habituales de lo que piensa.

CHVEZ
UNIVERSIDAD PERUANA
LOS ANDES
DE SISTEMAS Y
COMPUTACION
CURSO:
SEGURIDAD
INFORMATICA
TEMA 4: GESTION DE RIESGOS

CHAVEZ
Riesgos
Nivel de Dependencia
Riesgo
s
Nivel de Utilizacin de
T.I.
CHVEZ
Riesgos
Riesgos?

CHVEZ
Definiciones Bsicas
Amenazas: Peligros potenciales a los que estn expuestos
los recursos.
Riesgo: Evento resultante de la ocurrencia o materializacin
de las amenazas.
Controles: Medidas, normas y procedimientos que se
disponen para proteger los recursos contra las amenazas a
que estn expuestos y contra los riesgos que stas podran
generar.

CHVEZ
Por que Aumentan las Amenazas
ALGUN
AS
CAUSA
S

CHVEZ
Crecimiento exponencial de las Redes y

Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido
Tcnicas de Ingeniera Social
Las Amenazas
Password cracking
Escalamiento de privilegios
Puertos vulnerables abiertos

Man in the middle
Exploits
Violacin de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados
Desactualizacin
Backups inexistentes
Destruccin de equipamiento
Keylogging
Port scanning
Hacking de Centrales Telefnicas

CHVEZ
Las Amenazas
Spamming
Violacin de contraseas
Virus
Intercepcin y modificacin y violacin de e-mails
Captura de PC desde el exterior
Incumplimiento de leyes y regulaciones
Mails annimos con agresiones
Interrupcin de los servicios
Ingeniera social
Programas bomba, troyanos
Destruccin de soportes documentales
Acceso clandestino a redes

Acceso indebido a documentos impresos
Robo o extravo de notebooks, palms
Robo de informacin
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Indisponibilidad de informacin clave

CHVEZ
Y la Vulnerabilidad
Es definida como un fallo en el proyecto, implementacin o
configuracin de un software o sistema operativo que,
cuando es descubierta por un atacante, resulta en la
violacin de la seguridad de un computador o un sistema
computacional

CHVEZ
Vulnerabilidad
Las vulnerabilidades son el resultado de bugs o de fallos
en el diseo del sistema.
Tambin pueden ser el resultado de las propias
limitaciones tecnolgicas, porque, en principio, no existe
sistema 100% seguro.
Por lo tanto existen vulnerabilidades tericas y
vulnerabilidades reales (conocidas como Malware).

CHVEZ
Vulnerabilidades mas Comunes
Inadecuado compromiso de la direccin.

Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles (fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos).
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles

CHVEZ
Gestin de Riesgos
La Gestin de Riesgo es un mtodo para determinar,
analizar, valorar y clasificar el riesgo, para posteriormente
implementar mecanismos que permitan controlarlo. Contiene
cuatro fases

CHVEZ
Fases de la Gestin de Riesgos

Anlisis de Riesgos
Determina los componentes de un sistema que requiere
proteccin, sus vulnerabilidades que lo debilitan y las
amenazas que lo ponen en peligro, con el resultado de revelar
su grado de riesgo.

CHVEZ

Anlisis de Riesgos
Magnitud de Dao
Riesgo= Probabilidad de amenaza * Magnitud de Dao
Probabilidad de amenaza
CHVEZ
Como Valorar la Probabilidad de

Consideraciones:
Amenaza
Inters o atraccin por parte de individuos externos.
Nivel de Vulnerabilidad.
Frecuencia en que ocurren los incidentes.
Valoracin de probabilidad de amenaza

Baja: Existen condiciones que hacen muy lejana la
posibilidad del ataque.
Mediana: Existen condiciones que hacen poco probable un
ataque en corto plazo, pero no son suficientes para evitarlo
en el largo plazo.
Alta: Ataque es inminente. No existen condiciones internas
y externas que impidan el desarrollo del ataque

CHVEZ
Cuando Hablamos de un Impacto
Se pierde la informacin.
Terceros tienen acceso a la informacin.
Informacin ha sido manipulada o est incompleta.
Informacin o persona no est disponible.
Cambio de legitimidad de la fuente de informacin.

CHVEZ
Como Valorar la Magnitud de Dao

Consideracion sobre las consecuencias de un Impacto
Quin sufrir el dao?
Incumplimiento de confidencialidad (interna y externa)
Incumplimiento de obligaciones jurdicas (Contrato,
Convenio)
Costo de recuperacin (imagen, emocional, recursos:
tiempo, econmico)
Valoracin de probabilidad de amenaza

Bajo: Dao aislado, no perjudica ningn componente de la
organizacin
Mediano: Provoca la desarticulacin de un componente de la
organizacin. A largo plazo puede provocar desarticulacin
de la empresa.
Alto: En corto plazo desmoviliza o desarticula a la
Organizacin.
CHVEZ

Clasificacin de Riesgos
Determina si los riesgos encontrados y los riesgos restantes
son aceptables.

CHVEZ

Reduccion del Riesgo
Define e implementa las medidas de proteccin. Adems
sensibiliza y capacita los usuarios conforme a las medidas.

CHVEZ

Reduccion del Riesgo
Medidas fsicas y tcnicas
Construcciones de edificio, Control de acceso,
Planta elctrica, Antivirus, Datos cifrados,
Contraseas inteligentes, ...
Medidas personales
Contratacin, Capacitacin, Sensibilizacin,
Medidas organizativas
Normas y reglas, Seguimiento de control,
Auditora, ...

CHVEZ

Control del Riesgo
Analiza el funcionamiento, la efectividad y el cumplimiento
de las medidas, para determinar y ajustar las medidas
deficientes y sanciona el incumplimiento.

CHVEZ
Polticas de seguridad
Todo el proceso est basado en las llamadas polticas de
seguridad, normas y reglas institucionales, que forman el
marco operativo del proceso, con el propsito de Potenciar
las capacidades institucionales, reduciendo la vulnerabilidad
y limitando las amenazas con el resultado de reducir el
riesgo.
Poltica de
Seguridad
Normativa
Implantacin
Mecanismos de
Seguridad
CHVEZ
Polticas de seguridad
La Poltica de Seguridad debe cubrir, en la medida de sus
posibilidades, todos los aspectos que pudieran poner en
peligro la informacin, sin olvidar las medidas de seguridad
fsica.

CHVEZ

Clase1,2,3,4 Seguridad Informatica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Clase1,2,3,4 Seguridad Informatica

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD PERUANA

Definicin de Seguridad Informtica

MG. HENRY DENNYS SNCHEZ

La Solucin Estar Desconectado

MG. HENRY DENNYS SNCHEZ

las empresas, organismos y particulares comienzan a

MG. HENRY DENNYS SNCHEZ

En los ltimos aos

Los Delitos Informticos

MG. HENRY DENNYS SNCHEZ

Seguridad fsica y Seguridad

dos enfoques distintos y complementarios:

MG. HENRY DENNYS SNCHEZ

1er principio de Seguridad

MG. HENRY DENNYS SNCHEZ

2do Principio de Seguridad

MG. HENRY DENNYS SNCHEZ

3er Principio de Seguridad

Amenazas del sistema

MG. HENRY DENNYS SNCHEZ

Se daa, pierde o deja de funcionar un punto del

MG. HENRY DENNYS SNCHEZ

Acceso a la informacin por parte de personas no

MG. HENRY DENNYS SNCHEZ

Acceso no autorizado que cambia el entorno para su

MG. HENRY DENNYS SNCHEZ

Creacin de nuevos objetos dentro del sistema.

MG. HENRY DENNYS SNCHEZ

Escenarios de las Amenazas del

Los datos sern la parte ms

MG. HENRY DENNYS SNCHEZ

Amenazas mas Comunes

MG. HENRY DENNYS SNCHEZ

Debilidades del Sistema

Debilidades del Sistema

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

Concepto de Datos Seguros

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

Hay que implantar Polticas de

influida por otros temas, como por ejemplo los aspectos

... Y solamente ahora

Acciones Contra Los Datos

MG. HENRY DENNYS SNCHEZ

Copias de Seguridad Backup

MG. HENRY DENNYS SNCHEZ

Hacker, Crackers y script kiddies

Puntos Vulnerables de la Red

MG. HENRY DENNYS SNCHEZ

Donde esta el Enemigo?

MG. HENRY DENNYS SNCHEZ

Ataques y delitos informticos

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ

Caballos de Troya y Spam

MG. HENRY DENNYS SNCHEZ

Ataques y Delitos Recientes

MG. HENRY DENNYS SNCHEZ

MG. HENRY DENNYS SNCHEZ