presentacion 2
TRANSCRIPT
• ESPECIALIDAD : COMPUTACION E INFORMATICA
• PRIMER CICLO
• ALUMNA : ANGELA GUTIERREZ VILCA
• PROFESOR : HENRY CORONEL HUAMAN
SEGURIDAD INFORMATICA
1.- INFORMATICA
Informática : TV
Radio
PC
Impresora
Fotocopiadora
Internet ( Recursos/ Servicios)
Protección Luzer
HACKER
EGO Persona de alto conocimiento en el sector informativo
ROBO cuyo fin tiene interrumpir la información.
2.- INFORMACION* Datos* Contratos* Planillas* Cuentas Bancarias* Web
ETHICAL HACKINGEs el método permitido por la empresa para proteger al sistema informativo .
Fotos IMEI: 15 dígitosDocumentos identificación del celular
IP : 192.168.031.052identificación del equipo en la red
Sistema Operativo Linux« Puertos de Enlace »
Sistema Empresa
web
a.- Seguridad Informática
b.- Seguridad Información
Normas ISO
Generalidades
La Familia ISO
Normas ISO 9000
Normas ISO 14000
Normas ISO 27000
NORMAS ISO
La información estándar de ISO tiene sus siglas como significado
Organización Internacional de Estandarización.
NORMAS ISO
Certificación de Calidad
Evalúa los productos que ofrece los
proveedores para su exportación
a nivel Internacional.
ISO 9000 .- Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, en diseño, fabricación, inspección
Instalada, servicio pros vente, para la mejora del desempeño.
ISO 14000.- Sistema de gestión ambiental de las organizaciones, principios
ambientales, etiquetada ambiental. Siglo de vida del producto, programa de revisión ambiental, auditorias.Hackear = Obtener información de forma experta.Logear = Actividad de extraer el login más el pasword.Crakear = Romper la licencia de un Software.
ISO 27000.- En que da desarrollo; su fecha prevista de publicación el noviembre del 2008. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma esta previsto que sea gratuita, a diferencia de los demás de la serie que tendrá un costo
BENEFICIOS
Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
Los clientes tienen acceso a la información a través de medidas de seguridad.
Los riesgos y sus controles son continuamente revisadas.
Confianza y reglas claras para las personas de la organización, aumento de la motivación y satisfacción del personal.
BENEFICIOS ISO 9000• Incrementa la libre competencia en muchos mercados alrededor del mundo.
• Proporcionan tecnología y bases científicas sobre la salud, seguridad y legislación ambiental.
• Asegurar para los consumidores al cumplimiento de sus requisitos ( seguridad, confiabilidad y calidad ). Conformidad de productos y/o servicios con el estándar internacional.
• Posicionamiento de mercado potencial.
• Mantener la satisfacción der necesidades y exceder expectativas de cliente.
• Disminución de productos o servicios que no cumplen requisitos.
• Reducción de quejas.
• Crean niveles de igualdad de los mercados ( regionales y globales
• Son fuentes importantes para construir conocimientos tecnológicos de punta ( know- now ) y definir las características de productos y servicios.
Es un proceso el cual se garantiza y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos.
Mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayo de muestras tomadas en fábrica y de los productos finales.
¿ Para que sirve una CERTIFICACION DE PRODUCTO ?
• Comunicar la calidad de los productos y servicios certificados.
• Argumentar la selección de productos.
• Garantizar a nuestros clientes una « SEGURIDAD ALIMENTARIA ».
SOLICITUD DE CERTIFICACION
AUDITORIA DE CERTIFICACION
CONSESION DEL CERTIFICADO DE
PRODUCTO
ACCIONES CORRECTORAS
EVALUACION Y DICTAMEN
REVISION DE LA DOCUMENTACION
¿ QUE ES EL ONGEI ?« OFICINA NACIONAL DE GOBIERNO ELECTRICO E INFORMATICO », apoya a las entidades públicas, boletines de alertas de Antivirus. Presentaciones técnicas sobre seguridad.
TIPOS DE AMENAZAS :
- Fraudes Informáticos.
- Hacking de centrales telefónicos.
- Key Logging.
- Puertos vulnerables abiertos.
- Exploits.
- Backups inexistentes.
- Escalamientos de privilegios.
- Pasword Cracking.
- Virus
- Clasificación de Información para terceros.
- Intercepción , modificación y violación de e- mail.
Tecnología de la información : Código de buenas prácticas para la gestión de la seguridad de la Información en entidades del Sistema Nacional de Informática.
2004: Se actualiza con fecha 23 de junio del 2004 la PCH a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana HTP- ISO/ IEC 17799 : 2004 EDI.
2007: Se actualizo el 25 de Agosto del 2007 con la Norma Técnica Peruana NTP-ISO/ IEC 17799: 2007 EDI.
BPHVA
HACER
PLANIFICAR
ACTUARVERIFICAR
DOCUMENTO DE POLITICA DE S.I.
- CONTROL
Aprobar, publicar y comunicar
- GUIA DE IMPLEMENTACION
Objetivo: Dirigir y dar soporte a la S.I.
a) Definición general S.I.
Objetivos Globales.
b) El soporte es de aspecto gerencial.
c) Evaluación y Riesgo.
d) Breve explicación de los Políticos.
e) Responsabilidades e Incidencias.
f) Referencias y Sustentación.
REVISION Y EVALUACION
- CONTROL
Revisión y planificación con el fin de asegurar su uso
continuo.
- GUIA DE IMPLEMENTACION
a) Retroalimentación.
b) Resultados.
c) Acciones preventivas y correctivas.
d) Resultados de revisiones.
e) Desarrollo del proceso y Cumplimiento.
f) Posibles cambios que pueden afectar el alcance de la organización.
g) Tendencias relacionadas con amenazas y vulnerabilidades.
h) Incidentes reportados de S.I.
i) Recomendaciones dadas por las autoridades.
2.1 Organización Interna.- Su objetivo es :
• Establecerse una estructura de gestión iniciar y controlar la implantación de la información dentro de la organización.
• Organizar foros de gestión adecuados con las gerencias para aprobar la política de información.
• Asignar roles de seguridad y coordinar la implantación de la seguridad en toda la organización.
• Facilitarse el acceso dentro de la organización a un equipo de consultores especializadas en S.I.
• Desarrollarse contactos externos en seguridad para mantenerse al día en las tendencias de la : Industria, Evolución de normas y Métodos de Evaluación.
• Fomentarse un enfoque multidisciplinario de la S.I.
2.1.1 Comité de Gestión de Seguridad de la Información
CONTROL: La gerencia debe apoyar activamente en la seguridad dentro de la organización, demostrando compromiso, asignaciones explícitas y reconocimiento de las responsabilidades de la S.I.
GUIA DE IMPLEMENTACIÓN:
a.- Asegurar que las metas de la S.I. sean identificadas , relacionarlas con las exigencias organizacionales.
b.- Formular, revisar y aprobar la política de S.I.
C.- Revisión de la efectividad en la implementación de la política de información.
d.- Proveer direcciones claras y un visible apoyo en la gestión para iniciativas de seguridad.
e.- Aprobar asignaciones de roles específicos y responsabilidades para S.I.
CONTROL: Las actividades deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
GUIA DE IMPLEMENTACION:
a.- Asegurar que las actividades de seguridad sean ejecutadas.
b.- Identificar como manejar los no cumplimiento.
c.- Aprobar metodologías y procesos para S.I.
d.- Identificar cambios significativos de amenazas y exposición de información.
e.- Evaluar la adecuación y coordinar la implantación de los controles de la S.I.
f.- Promocionar efectivamente educación entrenamiento y concientizar en S.I. a través de la organización.
g.- Evaluar información de seguridad recibida de monitorearse y revisar.
2.1.3 ASIGNACION DE RESPONSABILIDADES S.I.
• Proceso de autorización de recursos para el tratamiento de la información.
• Acuerdos de confidencialidad.
• Contactos con Autoridades.
• Revisión Independiente de la Seguridad de Información.
• Seguridad en los Accesos de terceras partes.
• Identificación de Riesgos por el Acceso de terceros.
• Requisitos de Seguridad.
• ¿INVENTARIO?
• Un inventario es una recopilación de actos (recaudación) en el cual se detallan especificaciones concretas.
• IMPORTANCIA
• Su magnitud es frecuente o parcialmente con el fin de conocer con que recursos, herramienta o materiales cuenta la empresa.
• ¿Cuáles son los procedimientos para realizar in inventario adecuado de los recursos de información?
• PROCEDIMIENTO
• * Sugerencia, formar grupos
• * imprimir listado para inventario físico.
• * generar reporte. ONGEI
• Búsqueda de recomendaciones. 2004 2007
• NTP-ISO 17999
Planificar recopilar analizar evaluar comunicar implantar y revisión continua.ASPECTOS GENERALES
• ¿Qué es la S.I?
• La S.I consiste en proteger uno de los principales activos de cualquier empresa la información.
La S.I es requisito previo para la existencia o largo plazo de cualquier negocio o entidad, es usada en ámbito empresariales. Los cuales dependen de su almacenamiento, procesado y presentación.
Tres fundamentos básicos de la S.I son:
• confidencialidad.
• Integridad
• Disponibilidad.
¿ que tiene que ver la seguridad con RRHH?
Principalmente cubre 2 áreas las cuales son de vital importancia en seguridad las cuales son:*AREA DE MARKETING – la cual se centra en la protección de la imagen corporativa.
* AREA COMERCIAL – cuya protección esta centrada en los datos del cliente.
• Esta conformada únicamente por 2 ciclos de vida de todo empleado en una organización las cuales son:
• INICIO Y FINALIZACION.
RECLUTAMIENTO
La cual esta conformada por una serie de tareas, y puntos principales las cuales toda empresa debe cumplir con el empleado al ingresar.
• Definición de puesto
• Selección
• Contrato
• Comienzo
• Accesos
SALIDA DE EMPLEADO
La salida de un empleado modelo «disgustado» es critico de riesgo para la organización, por lo tanto la empresa debe evitar esto. Mediante un procedimiento de bajas que tenga en cuenta los sgt aspectos de seguridad.
CLASIFICACION DE LAS BAJAS (baja normal, cautelar, critica)
COMUNICACIÓN DE LAS BAJAS (RRHH debe comunicar las bajas d personal a seguridad)
GESTION DE LAS BAJAS ( Accesos físicos – Accesos lógicos)