Seguridad de los sistemas de información

Seguridad en los Sistemas de Información Cap. 8 Lara Scarlett Norori Contenido CONCEPTOS BÁSICOS 2 VULNERABILIDAD DE INFORMACIÓN 3 OF8 ss p VALOR DE NEGOCIOS DE LA SEGURIDAD Y EL CONTROL 4 MARCO DE 5 RABAJO PARA LA SEGURIDAD Y EL TECNOLOGIAS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACIÓN 1. – Concentos básicos de la seguridad de 75% Divulgación de Contraseñas 57% Hackers 44 % Empleados Insatisfechos Accesos Indebidos 6 Filtración De Información 33% 7 Errores y Accidentes grandes. La principal fuente es la complejidad del código de toma de decisiones.

Porque los Sistemas de Información on vulnerables 5. – Vulnerabilidades de medios de almacenaje Cd-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que está registrado en papel. Los medios de almacenamiento podrán ser afectados por puntos débiles que podrán dañarlos e incluso dejarlos indispuestos. – plazo de validezy caducidad – defecto de fabricación uso incorrecto – lugar de almacenamiento en locales insalubres o con alto nivel de humedad, magnetismo o estática, moho, etc. on vulnerables. 6. – Vulnerabilidades de comunicación Este tipo de punto débil abarca todo el tránsito de la información usencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada. La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad a pudiera provocar 3 que no alcanzaran el desti o bien se interceptara débiles, uso compartido del usuario y la contraseña. geniería Social • Los estudios han encontrado que la falta de conocimiento de los usuarios es la principal causa de fugas de seguridad en las redes. • Muchos empleados olvidan sus contraseñas para acceder a os sistemas computacionales o permiten que sus compañeros de trabajo las utilicen, lo cual compromete al sistema. • Algunas veces los intrusos maliciosos que buscan acceder al sistema engañan a los empleados para que revelen sus contraseñas al pretender ser miembros legítimos de la compañía que necesitan información.

Delitos Informáticos Los Hackers : – Hacen robo de bienes e información, asi como daños en los sistemas y cibervandalismo: la interrupción, desfiguración o destrucción intencional de un sitio Web o sistema de información corporativo. Software malicioso: Tabla 8-1. Pág 297. – Virus ( depende de un programa), gusanos (opera por si mismo), caballos de troya, spyware, keyloogers. nvección SQL: (DOS), los hackers inundan un servidor de red o de Web con muchos miles de comunicaciones o solicitudes de servicios falsas para hacer que la red falle.

Robo de identidad es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito, para hacerse pasar por alguien mas. Fraude del clic ocurre cuando un individuo o programa de omputadora hace clic de manera fraudulenta en un anuncio en línea, sin intención de aprender más sobre el anunciante o de realizar una compra. Ejemplos en Honduras www. themegallery. com 3. – Valor de Negocios de la Seguridad y el Control.

Las empresas a veces se reúsan a invertir mucho en seguridad debido a que creen que no se relaciona de manera directa con los ingresas de ventas. Y es importante darle a conocer a la alta gerencia cual es el valor de la seguridad y el control para proteger los sistemas de información donde se 5 almacenan sus datos sobr os de las personas, los en Honduras indica a las mpresas nuevas obligaciones legales en cuanto a la retención para el almacenaje de registros electrónicos. Evidencia electrónica y análisis forense de sistemas.

La auditorias y casos legales dependen cada vez mas de la evidencia que se representa en forma de datos digitales o almacenados en discos flexibles portátiles, CD y discos duros de computadora, así como en correo electrónico. 4. – Marco de trabajo para la Seguridad y e Control en las empresas. Análisis de riesgos. – Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

Políticas y procedimientos. Es una medida que busca establecer los estándares y normas seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos. Es el primer paso para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos. realizarce una conciliación del software instalado versus el dquirido. • Los usuarios finales no deben tener accesos de administradores a los computadores. ?? El Bios de los computadores deben estar protegidos con contraseñas. • Los Pc deben tener desactivada la opción de arranque por Cd rom o USB. • Los respaldos de realicen de acuerdo a los definido en la politica de respaldos. • Los facilidades de IT son protegidos en contra de factores ambientales y accesos no autorizados. • Monitoreo del rendimientos de los equipos es realizado en base a la criticidad. • Los respaldos sean almacenados en un lugar seguro, con acceso restringido. ?? Control de acceso a los sistemas. • Administración de cintas de respaldos, vigencias y rotación. ?? Uso de una metodología para la implementación de sistemas donde se controla presupuesto, tiempos, que los usuarios sean entrenados, el manejo del cambio y pruebas a los sistemas, el log de fallas y como se solucionaron. • Toda compra de activos de TI sean autorizados y justificados. • Firma de contratos con provedores por la compra o mantenimientos de los activos de TI. • Definición de SLA (Acuerdos de Niveles de servicio). • Administración del presupuesto. 5. TECNO OG[AS Y HERRAMIENTAS PARA PROTEGER LOS RECURSOS DE INFORMACION redes privadas.

Es una combinación de hardware y software que controla el flujo de tráfico entrante y saliente en una red. – Los sistemas de detección de Intrusos contienen herramientas de monitoreo de tiempo completo y real que se colocan en los puntos mas vulnerables de las redes, se analizan una serie de logs o eventos, y a través de reglas el sistema genera una alarma si se encuentra un evento sospechoso o anormal fuera de la norma establecida. – El software antivirus están diseñados para revisar los sistemas computacionales y las nidades en busca de la presencia de virus de computadora.

ASEGURAMIENTO DE LA CALIDAD DEL SOFTWARE. – Mejorar la calidad y confiabilidad del sistema al emplear métrica de software y un proceso riguroso de prueba de software. Conclusiones En la actualidad los sistemas de información de la empresa, deben ser protegidos por procedimientos, políticas y controles, no solo por el área de TI, sino debe ser un trabajo coordinado con la alta gerencia, RRHH y usuarios de diferentes áreas. No necesariamente se requiere una inversión para iniciar con el proceso de implementación de seguridad de la información en una empresa. 8