1 / 31

Seguridad y Auditoria de Sistemas Ciclo 2009-2

Conceptos básicos de Riesgos y Seguridad. Seguridad y Auditoria de Sistemas Ciclo 2009-2. Ing. Yolfer Hernández, CIA. Temario. Presentación de la asignatura. Definición de los temas de investigación. Recursos, Amenazas, Riesgos y Controles. Presentación de la asignatura.

abe
Download Presentation

Seguridad y Auditoria de Sistemas Ciclo 2009-2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conceptos básicos de Riesgos y Seguridad Seguridad y Auditoria de SistemasCiclo 2009-2 Ing. Yolfer Hernández, CIA

  2. Temario • Presentación de la asignatura. • Definición de los temas de investigación. • Recursos, Amenazas, Riesgos y Controles.

  3. Presentación de la asignatura INGENIERO DE SISTEMAS Conceptos y definiciones Seguridad de Sistemas Auditoría de Sistemas • Herramientas • Métodos • Recomendaciones prácticas. • Tendencias actuales.

  4. Estructura de la Asignatura • 13 Clases de 3 Horas. • 2 Trabajos de Evaluación continua (sem. 6 y 13-14). • Evaluación Parcial (sem.8). • Evaluación Final (sem.15).

  5. Sistema Evaluativo NF= 0,20*EC1+ 0,25*EA+ 0,30*EC2+ 0,25*EB Leyenda: EA: Evaluación Parcial. EB: Evaluación Final. EC: Evaluación Contínua. (Avance, Investigación, Exposición y Sustentación).

  6. Bibliografía • TIPTON, H. 2000Information Security Management Handbook. • WEBER, Ron. 1998 Information Systems Control and Audit. • PIATTINI, Mario. 2001 Auditoria Informática, un enfoque práctico. • NASH Andrew, et.al: PKI: Infraestructura de claves públicas. 2002 Mc Graw Hill Iberoamericana S.A. 

  7. Temas de Investigación

  8. Recursos • Instalaciones y Activos | • Infraestructura Tecnológica • Hardware • Software • Información • Explotación Tecnológica • Recursos Humanos

  9. Recursos - Identificación Tangibles: Computadoras, registros de datos, registros de auditoría, manuales, libros, discos, etc. Intangibles: Seguridad y salud del personal, privacidad de usuarios, contraseñas, imagen pública, etc.

  10. Vulnerabilidades • Debilidades o agujeros en la seguridad de la organización • Puntos y control de acceso (lógicos y físicos) • Falta de Mantenimiento • Personal sin conocimiento • Desactualización de sistemas críticos

  11. Amenazas / Ataques • Desastres Naturales • Errores Humanos y Procedimentales • Errores Tecnológicos: Hardware y Software • Actos Malintencionados • Entorno de la Empresa: Competidores

  12. Lluvias, inundaciones, terremotos, rayos, etc. AtaquesProvocados por la naturaleza

  13. Escucha electrónica Hackers, crackers, piratas. Virus. Ataques físicos AtaquesProvocados por el hombre

  14. Proporciones 20% 80% Externos Internos

  15. Competidores. Usuarios. Delincuentes. Administrativos. Ingenieros. Operadores. Programadores. Auxiliares. Procedencia de los ataques • Externa. • Interna.

  16. sabotaje espionaje robo de programas soborno Posibles acciones de los competidores

  17. Obtención de información. Posibles acciones de los usuarios Entrega de información a competidores.

  18. Archivo Infectado Transmisión Reproducción INFECCIÓN Infección viral

  19. Tendencias de los ataques

  20. Tendencias de los ataques

  21. Falsificar información. Posibles acciones de los administrativos Entrega de información a externos.

  22. Activar defectos. Acceder a los sistemas de seguridad. Posibles acciones de los ingenieros

  23. Copiar archivos. Destruir archivos. Posibles acciones de los operadores

  24. Robar programas o datos. Introducir fallas. Posibles acciones de los programadores

  25. Vender reportes o duplicados. Buscar informaciones Posibles acciones de los auxiliares

  26. Riesgos Es la posibilidad de que ocurra un acontecimiento que pudiera afectar el logro de los objetivos de la organización. El riesgo se mide en términos de impacto y probabilidad.

  27. Riesgos -Definiciones Riesgo del Negocio: Aquellos que pueden afectar la viabilidad a largo plazo de un determinado negocio o de la empresa en su conjunto. Riesgo Inherente: Posibilidad de errores o irregularidades significativas, antes de considerar la efectividad de los sistemas de control. Riesgo de Control: Posibilidad de que los sistemas de control en vigencia no puedan detectar o evitar errores o irregularidades significativas en forma oportuna. Riesgo Residual: Es el riesgo que no esta considerado dentro de los sistemas de control implantados.

  28. Pérdida de confidencialidad Pérdida de integridad Pérdida de disponibilidad Pérdida de Activos Riesgos - tipos básicos

  29. Controles Procesos, herramientas, procedimientos, métodos, acciones, etc. que permiten mitigar los riesgos en función al costo / beneficio definido por la organización.

  30. Mapa de Recursos (Procesos) Evaluación de Controles Modelo de Riesgos GESTIÓN DEL NEGOCIO Modelo de Controles Sistema de Control Interno

  31. Conclusiones • No existe ninguna organización a salvo de ataques a sus sistemas informáticos. • No existe ningún sistema informático, ni organización absolutamente seguros. • Subjetivo: existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza

More Related