Title: Riesgos, Seguridad y Recuperaci
1Riesgos, Seguridad y Recuperación de Desastres
2Objetivos
- Describir las metas primordiales de seguridad de
la información - Enumerar los riesgos principales de los sistemas
de información - Citar los diferentes tipos de ataques en una red
de sistemas de información
3Objetivos (Cont.)
- Describir los controles que se necesitan para
asegurar la integridad de los datos en contextos
como el comercio electrónico - Describir los diferentes tipos de medidas de
seguridad que se deben tomar para proteger los
datos de un Sistema de Información - Señalar los principios de como las organizaciones
desarrollan planes de recuperación de desastres - Explicar los aspectors económicos de la seguridad
de la información
4Metas de la seguridad de la información
- Reducir el riesgo para que los sistemas y las
organizaciones detengan sus actividades - Mantener la confidencialidad de la información
- Asegurar la integridad de los datos
- Asegurar la disponibilidad ininterrumpida de los
datos y de las aplicaciones en línea
5Riesgos de los Sistemas de Información
- Riesgos de Hardware
- Desastres naturales
- Vandalismo
6Riesgos de los Sistemas de Información (Cont.)
- Riesgos de las aplicaciones y de los datos
- Robo de información
- Ingeniería social y robo de identidad
- Alteración de datos, destrucción de datos,
modificación de páginas web - Virus de computadoras, gusanos y bombas lógicas
- Eventos no maliciosos
7Riesgos de las operaciones en línea
- Denegación de servicio
- Control de los sistemas
- Engaños
8Riesgos de las operaciones en línea
9Controles
10Controles (Cont.)
- Software Robusto y controles de acceso
- Mostrar una clara interface para el usuario
- Menus y límites
- Backup (respaldo)
- Duplicación periódica de todos los datos
- Controles de acceso
- Asegurar que sólo personal autorizado tenga
acceso a los datos y a los sistemas - Códigos de acceso y passwords
11Controles (Cont.)
- Transacciones atómicas
- Asegurar que durante las transacciones los datos
sean registrados correctamente en todos los
archivos para asegurar la integridad - Bitácoras
- Registrar todas las transacciones para que se
puedan revisar gente, tiempo y autorizaciones
12Controles (Cont.)
13Medidas de seguridad
- Firewalls
- Defensa contra accesos no autorizados a los
sistemas en Internet. - Controles de comunicación entre redes de
confianza y redes que no son de confianza. - Proxy Server representa otro servidor para toda
la información requerida y actúa como un buffer
14Medidas de seguridad (Cont.)
15Autoidentificación y Cifrado
- Mantener comunicaciones secretas
- Autoidentificación el proceso para asegurar que
la identidad de la persona que envía los
mensajes. - Cifrado codificar el mensaje de una manera que
no sea legible para algún interceptor
16Autoidentificación y Cifrado (Cont.)
17Autoidentificación y Cifrado (Cont.)
- Fuerza del cifrado
- Restricciones de distribución
- Llaves públicas de cifrado
- Secure Sockets Layer (SSL) y protocolo de
transporte seguro en Hipertexto (Web)
18Autoidentificación y Cifrado (Cont.)
19Autoidentificación y Cifrado (Cont.)
20Firmas y Certificados Digitales
21Firmas y Certificados Digitales
22El plan de recuperación
- Obtener la aprobación de los directivos para el
plan - Establecer el comité del plan
- Análisis de impacto y conocimiento del
comportamiento del riesgo - Dar prioridades a las necesidades de
recuperación críticas, vitales, sensibles, no
críticas
23El plan de recuperación (Cont.)
- Selección del plan de recuperación
- Selección de proveedores
- Desarrollo e implementación del plan
- Pruebas del plan
- Continuamente probar y evaluar
24Proveedores de planes de recuperación
- Compañías que se especializan en planes de
recuperación o provisión de sitios alternativos - Pequeñas compañías pueden preferir servicios
basados en Web
25Presupuesto para la seguridad de un Sistema de
Información
26Presupuesto para la seguridad de un Sistema de
Información (Cont.)
- Cuánta seguridad es suficiente para estar seguros
? - Calcular tiempos muertos
27Presupuesto para la seguridad de un Sistema de
Información (Cont.)
28Resumen
- Seguridad de información tiene metas importantes
- Hay diferentes riesgos en sistemas de información
- Hay varios tipos de ataques a los sistemas en red
- Hay diferentes tipos de controles que aseguran el
acceso, la integridad de los datos y el comercio
electrónico - Hay varias medidas que pueden proteger datos y
los Sistemas de información