Post on 11-Nov-2023
transcript
SEGURIDAD DE LA INFORMACIÓN
La información en la pirámide estratégica – Principal moneda de una empresa
Propiedades centrales: Confiabilidad: certeza de recibir datos reales y protegidos Disponibilidad: facilidad de acceso a la información Integridad: garantía de seguridad de la información La seguridad de la información es reactiva Educación profesional, procesos y tecnología trio de seguridad de la información
CAPAS DE SEGURIDAD Aumento de nuevas herramientas tecnológicas genera mayores
brechas o vulnerabilidades en una empresa Las compañías deben garantizar la protección del usuario Elaboración de un plan maestro de seguridad
PLAN MAESTRO DE SEGURIDAD Objetivos: Verificación de recursos de seguridad de la empresa Analizar vulnerabilidades Elaboración de estrategias humano, tecnológico y físico
PLAN MAESTRO DE SEGURIDAD Un plan maestro consta de las siguientes etapas:
1. Inventario de activos de la empresa 2. Determinar políticas de seguridad 3. Infraestructura de tecnologías 4. Fase de administración
HERRAMIENTAS DE SEGURIDAD
ANTIVIRUS: Escaneo de archivos maliciosos difundidos por Internet o correo electrónico
BALANCEO DE CARGA: Equilibra la capacidad de operación de los servidores
FIREWALL: Control de accesos – Software o Hardware – Reglas SISTEMA DETECTOR DE INTRUSIONES: Monitoreo del trafico continuo
de la red HERRAMIENTAS DE ESCANEO: Hallazgo de brechas en los sistemas RED PRIVADA VIRTUAL: Canales encapsulados – trafico de datos
encriptados
HERRAMIENTAS DE SEGURIDAD
CRIPTOGRAFIA AUTENTICACION SERVICIOS DE SEGURIDAD SISTEMAS ANTI-SPAM SOFTWARE PARA COPIAS DE SEGURIDAD
ESTANDARES DE CALIDAD PARA EL AREA DE SEGURIDAD 1995 – Lenguaje de negocios en la Internet – Gestión de seguridad –
British Standard Institute BSI BS 7799 Norma Inglesa – 10 dominios – 127 controles. Conjunto de
practicas a seguir Internacional Organization for Standarization creo ISO 17799 en el
año 2000. ISO 17799 proceso en ingles ISO 27002 evolución de la ISO 17799 – Guía de Buenas practicas ISO 27799 – Guia de seguridad en la industria de la Salud
VULNERABILIDADES CORPORATIVAS Las personas principal amenaza de las transacciones corporativas –
Falta de información, falta de capacitación Vulnerabilidades Tecnológicas:
Contraseñas débiles – Sistemas de autenticación Copias de seguridad fallidas – Mantenimiento físicos de las copias Puertos abiertos – Auditoria de Servidores Brechas en los Sistemas Operativos – Eliminación de software innecesario
– Bloqueo de puertos Fallo en logs – Identificación de acontecimientos – historial de sucesos Wi-Fi desprotegido – Estándares de comunicación Falla en etapas de seguridad – Plan maestro de seguridad
SEGURIDAD EN REDES INALAMBRICAS Aumento de las comunicación a nivel inalámbrico Hasta 2001 se uso el estándar WEP. En 2003 WiFi Alliance divulgo el estándar WPA Wi-Fi – Wireless Fidelity – Estandarización universal de las
comunicaciones inalámbricas
SEGURIDAD EN REDES INALAMBRICAS La seguridad de una red inalámbrica se implementa teniendo en
cuenta sus puntos frajiles. Uno de los principales vulnerabilidades es el circuito integrador auxiliar chipset.
Conexión entre el punto de acceso y los dispositivos – Verificacion y uso de MAC Address para determinar que equipos pueden acceder a la red
Criptografia de Datos: codificación de la información. Estandares de encriptación : Advanced Encryption Standard (AES) y
Data Encryption Standard (DES) Mayor criptografía y volumen de datos – Mayor tiempo de
procesamiento
SEGURIDAD EN REDES INALAMBRICAS Establecimiento de políticas de seguridad para redes inalámbricas:
Configuración minuciosa de equipos utilizados Limitación de dispositivos que acceden a los servicios Uso de criptografía y redes VPN
TERCERIZACION DE LA SEGURIDAD DE LA INFORMACIÓN Tercerizar aquello que sea operativo Áreas de soporte, monitoreo, administración y contingencia Centros de operación de seguridad – Especialistas en tercerización de
la SI Menor costo en equipo interno – inversiones compartidas con otras
compañías – Respuestas rapidas Calidad de servicio en contratos – Service Level Agreements Barrera cultural empresas vs Organizacion
LIMITES DE MONITOREO
Amenazas centrales: Baja productividad de sus empleados Vulnerabilidades ante el acceso aleatorio a Internet
Control de acceso en línea: filtrado de sitios web, contenidos de Internet y email
Control interno – Reglas claras en contrato – Políticas de SI – Auditoria
TENDENCIAS EN SEGURIDAD DE LA INFORMACIÓN Según estudios de CISO indican que hay Incremento en numero de
vulnerabilidades Una compañía recibe en promedio 60.000 ataques por día Incremento en gasto de seguridad Fraudes – Phishing – Virus Virus poliformicos: disfraces dentro de la maquina, para explorar las
vulnerabilidades de los sistemas Información patrimonio de la empresa