IMPORTANCIA DE

LA
GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
CURSO: AUDITORÍA DE
SISTEMAS DE Equipo N°5
INFORMACIÓN Capiso Chipana, Deynis
Fernandez Chozo, Armandina
Graza Evaristo, Diana Milagros AULA: 310 - N
PROF.: Poma Torres, Portugal Guerrero, Alan Milton
Walter Wilfredo Ramos Urtecho, Silvana Linda Flor
Rodriguez Tirado, Bryan Angelo
 Seguridad de la información
Seguridad informática
Agenda 01 Relación entre seguridad de la información y seguridad
informática

Conceptos desde el punto de vista informático

• Activos • Impacto
02 •
•
Vulnerabilidades
Amenazas
•
•
Probabilidad
Riesgos
• Ataques • Desastres

Principios de seguridad informática

03 Políticas de seguridad
Planes de contingencia

Casos prácticos
04 Políticas de seguridad
Plan de contingecia
ASPECTOS
TEÓRICOS
 SEGURIDAD DE
LA INFORMACIÓN

Conjunto de 1. Asegurar la
políticas, continuidad del Dicho de otro
negocio Es un conjunto de
procedimientos, modo, son todas
medidas
organización, 2. Minimizar los aquellas políticas
preventivas y
acciones y demás daños a la de uso y medidas
reactivas que
actividades, organización que afectan
permiten
orientadas a 3. Maximizar el al tratamiento de
resguardar y
proteger la retorno de las los datos que se
proteger la
información de un inversiones y las utilizan en una
información
amplio rango de oportunidades de organización.
amenazas negocio
SEGURIDAD INFORMÁTICA
Definición
Implica el proceso de proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o con intención de obtener ganancias, o
incluso la posibilidad de acceder a ellos por accidente
Hace referencia al área de TI de una compañía la cual es la encargada de preservar equipos de cómputo, manteniendo el software y hardware actualizados
con el fin de cumplir con los pilares de la información

Implementar la seguridad informática en un negocio

Hacer un inventario de activos de información y dispositivos tecnológicos, Realizar pruebas a los sistemas de información para detectar vulnerabilidades y
usuarios, niveles de seguridad. amenazas, e incorporarlos en la gestión de seguridad.
Concientizar al personal sobre la importancia de la seguridad de la Elaborar planes de contingencia para eventos de seguridad de la información.
información. Realizar con frecuencia copia de seguridad de datos.
Implementar firewall.

Beneficios de contar con un sistema para la seguridad informática

Los empleados trabajaran con seguridad
Protección del sistema de información.
Se mejora la eficiencia en las operaciones
Protección de la información confidencial de sus empleados y clientes
Aumentará la confianza de los clientes
SEGURIDAD INFORMÁTICA
Tipos:
La innovación, El hardware
La seguridad para
seguridad para el también necesita
la red
software seguridad
• Es un subtipo de • Se refiere a • Hace referencia
ciberseguridad la protección del a la protección
principalmente software contra de elementos
relacionado con ataques de físicos
la protección de hackers.
datos en red
 RELACIÓN ENTRE EL SISTEMA DE INFORMACIÓN Y EL
SISTEMA INFORMÁTICO
Por un lado la seguridad
de la información
abarca más
dimensiones que la
informática en si,
llegando a tener una
importancia global en
otros aspectos que
La seguridad pueden estar o no
informática es en relacionados.
realidad una rama de un
término más genérico
que es la seguridad de
la información, aunque
en la práctica se suelen Por tanto mientras la
utilizar de forma seguridad de la
indistinta ambos información integra toda
términos. la información
independientemente del
medio en que este, la
seguridad informática
únicamente atiende a la
protección de las
instalaciones
informáticas y de la
información en medios
digitales.
 CONCEPTOS DESDE PUNTO DE VISTA INFORMÁTICO
ACTIVOS
Son los componentes de un sistema de información susceptible de ser atacado de manera deliberada o
accidental con consecuencias para la organización.

Dependencia Dimensiones

Activos esenciales: Activos secundarios: Son:

Información y servicios - Arquitectura del - Confidencialidad
sistema - Integridad
- Datos - Disponibilidad
- Software Mientras para los
- Equipo informático activos esenciales se
- Redes de adicionan:
comunicación - Autenticidad
- Soporte informático - Trazabilidad
- Equipo auxiliar (servicio y acceso a
- Instalaciones la información
- Personal
 AMENAZAS
Las amenazas son los eventos que pueden ocurrir, de Por ello una vez determinado que una
todo lo que puede ocurrir es importante lo que pueda amenaza puede perjudicar un activo, se
causarles daño a los activos de la organización. valora su influencia en dos sentidos:

De origen natural: Ante ellos el sistema es víctima

pasiva.

Del entorno: Ante ellos el sistema es víctima

pasiva, pero no puede permanecer indefenso. Degradación:
Probabilidad:
Cuanto
De que se
perjudicaría al
Defecto de las aplicaciones: Nacen en el materialice.
valor del activo.
equipamiento por defectos en diseño o
implementación. Se les llaman vulnerabilidades.

Causadas por personas de forma accidental: Por

error u omisión.

Causadas por personas de forma deliberada:

Ataques deliberados para beneficiarse o causar
daños.
 VULNERABILIDADES
Una vulnerabilidad de una manera muy general es un fallo
en un sistema que puede ser explotada por un atacante
generando un riesgo para la organización o para el mismo
sistema.
Pudiendo ser:
- Lógicas
- Físicas

Lógicas Físicas Las físicas afectan a

Las lógicas afectan
a la infraestructura la infraestructura de
y desarrollo de la la organización de
operación, manera física y se
pueden mencionar en
pudiendo estar en
este tipo de
la configuración, clasificación a los
actualización y desastres naturales o
desarrollo. controles de acceso.
 ATAQUE MALWARE: El término Malware se refiere de forma genérica a cualquier software

S
Un ataque cibernético es
cuando un individuo o una
malicioso que tiene por objetivo infiltrarse en un sistema para dañarlo.

organización intenta
deliberada y maliciosamente
violar el sistema de
información de otro individuo
u organización. Si bien suele
haber un objetivo económico,
algunos ataques recientes
muestran la destrucción de
datos como un objetivo.
VIRUS: Es un código que infecta los archivos del sistema mediante un código
maligno, pero para que esto ocurra necesita que nosotros, como usuarios, lo
ejecutemos
GUSANOS: Es un programa que, una vez infectado el equipo, realiza
copias de sí mismo y las difunde por la red.
TROYANOS: El troyano lo que busca es abrir una puerta trasera para
favorecer la entrada de otros programas maliciosos.
SPYWARE: Es un programa espía, cuyo objetivo principal es obtener
información

ADDWARE: La función principal del adware es la de mostrar publicidad.

RANSOMWARE: Este es uno de los mas sofisticados y modernos malwares ya que lo

que hace es secuestrar datos (encriptándolos) y pedir un rescate por ellos.
ATAQUE
S
PHISHING: No es un software, se
trata más bien de diversas técnicas
de suplantación de identidad para
obtener datos de privados de las
víctimas Abril 2011 LOS Agosto 2012
ATAQUES
MÁS
Marzo 2018 FAMOSOS Marzo 2019
DENEGACIÓN DE SERVICIO
DISTRIBUIDO (DDOS): No tienen
que superar las medidas de
seguridad que protegen un
servidor, pues no intentan penetrar
en su interior, sólo bloquearlo.
 IMPACTO
Es un indicador de lo que puede
suceder cuando ocurren las
amenazas, siendo la medida del daño
causado por una amenaza cuando la
misma se materializa sobre un activo.
El impacto se estima como en la
siguiente fórmula, conociendo el valor
de los activos y su degradación
causada por las amenazas:
IMPACTO = VALOR x DEGRADACIÓN DEL ACTIVO
PROBABILIDAD
Es la posibilidad de ocurrencia de un
hecho, suceso o acontecimiento. La
frecuencia de ocurrencia implícita se
corresponde con la amenaza. Para
estimar la frecuencia podemos
basarnos en datos empíricos (datos
objetivos) del histórico de la empresa,
o en opiniones de expertos o del
empresario (datos subjetivos).
 ISO 31000: FASES DE LA GESTIÓN DE
RIESGOS RIESGOS

ISO indica que el riesgo es “la

probabilidad de que una amenaza
determinada se materialice
explotando las vulnerabilidades de
un activo o grupo de activos y por
lo tanto causar daño o pérdidas a
la organización”
 DESASTRES
Fallos en Fallos en el
Los desastres IT, entendidos como hardware y
una situación de crisis en las el
los sistemas
suministro
infraestructuras IT de una de
organización, están a la orden del día. C y la red
eléctrica
almacena-
miento
Son un hecho. En cualquier momento
el sistema se puede caer y causar A
daños a la organización, ya sean
directos o colaterales, más o menos U Fallos Fallos de
críticos y más a menos reversibles.
S humanos software

A
S Ataques
maliciosos y Desastres
virus naturales
informáticos
 PRINCIPIOS DE SEGURIDAD INFORMÁTICA

Integridad
Confidencialidad
La integridad es mantener INTEGRIDAD
Se necesita que la
con exactitud la información
información sea solamente
tal cual fue generada, sin ser
conocida por las personas
manipulada ni alterada por
que estén autorizadas.
personas o procesos no
autorizados.

Seguridad
NO REPUDIO Informática CONFIDENCIALIDAD

No repudio
Consiste en implementar un
mecanismo probatorio que
permita demostrar la autoría
y envío de un determinado
mensaje.
Disponibilidad
Capacidad de permanecer
accesible en el sitio, en el
DISPONIBILIDAD momento y en la forma en
que los usuarios que estén
autorizados lo requieran.
 POLÍTICAS DE SEGURIDAD INFORMÁTICA

¿Qué son las políticas de seguridad informática?

Las políticas de seguridad informática son declaraciones formales de las reglas que deben cumplir
las personas que tienen acceso a los activos de tecnología e información de una organización.
Existen dos grupos:
Las que definen lo que tenemos que Las que definen lo que tenemos que
evitar hacer siempre
• Se trata de aquellos • Para mantener un correcto nivel de
comportamientos y prácticas que protección y seguridad.
pueden poner en riego los
sistemas y la información.

Características de las políticas de seguridad

Privacidad de la información, y su protección frente a accesos Concretas: tienen que poderse implementar a través
por parte de personas no autorizadas como hackers. de procedimientos, reglas y pautas claras.
Importancia de
las políticas de Integridad de los datos, y su protección frente a corrupción Claras: tienen que definir de forma clara las
seguridad por fallos de soportes o borrado.
responsabilidades y obligaciones de los distintos
informática tipos de usuarios: personal, administradores y
Disponibilidad de los servicios, frente a fallos técnicos dirección.
internos o externos.
Obligatorias: su cumplimiento tiene que hacerse
respetar, mediante herramientas de seguridad o
sanciones.
 POLÍTICAS DE SEGURIDAD INFORMÁTICA

A. Copias de
respaldo
B. Tratamiento de
la información

En el contenido de los documentos C. Software legal

I. Protección física
deben estar claramente D. Uso de servicio
J. Sanciones por
establecidos: El objetivo, los incumplimientos
de internet y del
correo electrónico
responsables del cumplimiento, las
medidas que se aplicarán en caso
de incumplimiento.
Entre los documentos pueden
citarse los siguientes:

E. Ambientes de
G. Auditorías de
procesamiento
los sistemas
F. Seguridad en
H. Continuidad del
las
procesamiento
comunicaciones
 PLAN DE CONTINGENCIA EN SEGURIDAD
INFORMÁTICA
¿Qué es un plan de contingencia en seguridad
informática?
Se denomina plan de contingencia a la definición de acciones a realizar, recursos a utilizar y personal a
emplear en caso de producirse un acontecimiento intencionado o accidental que inutilice o degrade los
recursos informáticos o de transmisión de datos de una organización.
Un plan de contingencia se encuentra conformado por tres acciones fundamentales:

Prevención Detección Recuperación

• Son acciones que ayudan a prevenir
cualquier eventualidad que afecte las
actividades de las organizaciones de
manera total o parcial a fin de reducir los
impactos producidos.
• Son las acciones que se deben tomar
durante o inmediatamente después de la
materialización de la amenaza a fin de
disminuirla.
• Se definen los procesos o lineamientos a
seguir después de haber controlado la
amenaza. Se realiza la restauración de los
equipos y actividades a su estado inicial
antes de materializarse la amenaza.

Características del plan de contingencia informático:

Pruebas
Responsab.
Respuesta
organizada
Costo – efectiv
Mantenimiento
Flexibilidad
Aprobación
 PLAN DE CONTINGENCIA EN SEGURIDAD
INFORMÁTICA
Fases de un plan de contingencia Identificación
de
informático escenarios
Planificación
de
contingencia
y amenaza

Estrategias
de Evaluación
Protección de riesgos
Tecnológica

Identificación
Identificación de
de controles Vulnerabilida
preventivos des
Tecnológicas

Valoración
Análisis de
de los
riesgo
activos
 CASOS
PRÁCTICOS
 CASO 1: “POLÍTICA DE SEGURIDAD DE
INFORMACIÓN DE SENASA”
POLÍTICA DE SEGURIDAD Políticas Derivadas
DE INFORMACIÓN 1.Política de activos
5.Política de internet
La sección de la Política de los activos de Tecnologías
de la Información (TI), define los requisitos para el
La sección Política de Internet define
manejo adecuado y seguro de todos los Activos de
los requisitos para el acceso
Tecnologías de la Información en la SENASA.
El Servicio Nacional de adecuado y seguro a Internet.
Sanidad Agraria, tiene la
2.Política de control de acceso
necesidad de proteger los
servicios y activos de la 6.Política de antivirus
Establecer los requisitos para el control adecuado
información en sus
de accesos a los Servicios de Tecnologías de la La sección de Política Antivirus define los requisitos
diferentes sedes del país.
Información y la infraestructura del SENASA. para la correcta ejecución del antivirus y otras
formas de protección en la organización.

✔Objetivos 3.Política de control de contraseña

7.Política de acceso remoto
✔Alcance La sección de la Política de Control de
Contraseñas define los requisitos para el
✔Responsabilidades . La sección de la Política de Acceso Remoto define los
correcto y seguro manejo de contraseñas
requisitos para el acceso remoto seguro a recursos
en la Organización.
internos de la Organización.

4.Política de correo electrónico

La sección de la Política de Correo
Electrónico define los requisitos para el uso
correcto y seguro del correo electrónico en
la Organización.
8.Política de subcontratación
La sección de Política de Subcontratación define los
requerimientos necesarios para minimizar los riesgos
asociados con la externalización de un servicio,
funciones y procesos.
 CASO 2: “PLAN DE
CONTINGENCIA Y
SEGURIDAD DE LA
Planificación
INFORMACIÓN DE LA • Diagnóstico
inicial de la
MUNICIPALIDAD situación
actual
PROVINCIAL DE Identificación • Diagnóstico
CANCHIS - CUZCO” de escenarios
de
de
estructura
la

contingencia organización
y amenaza e Evaluación
identificación de Riesgos y
de Análisis de
Vulnerabilidad riesgo
es
Tecnológicas

Identificació
n de
controles PLAN: Plan de Contingencia
Estrategias de
preventivos y Seguridad de la Información
Protección ENTIDAD: Municipalidad
Tecnológica Provincial de Canchis – Cuzco
• Actividades ELABORADO POR: Sub Gerencia
previas al de Tecnología de Información y
desastre Sistemas
• Actividades VERSIÓN: 1.01
durante el FECHA DE EDICIÓN: 03/07/2016
desastre
• Actividades
después del
desastre
GRACIAS!!