SlideShare ist ein Scribd-Unternehmen logo

seguridad informática

Als PPTX, PDF herunterladen
Eder Martin Shapiama
Eder Martin Shapiama
Bildung
1 von 38
“AÑO DE LA INTEGRACIÓN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD” CTP COMPUTACIÓN E INFORMÁTICA UNIDAD DIDÁCTICA: SEGURIDAD INFORMÁTICA DOCENTE: ING. SIST. LIZTH CAMPOS CRISPIN
Algunas Definiciones La Seguridad tiene que ver con la protección de objetos de valor. La Seguridad en Sistemas se enfoca en proteger objetos de valor dentro de un sistema informático (información y servicios). Al igual que la seguridad en el “mundo real”, la seguridad en sistemas provee distintos tipos y grados de la misma.
¿Seguridad en Crisis? Todos los días se ven fallas de seguridad... ¿Dónde? Medios amarillistas (TV, Web) Listas de correo, libros! ¿Por qué? ….. Si existe mucha experiencia en el campo. En general se debe a pobres diseños y falta de dinero invertido en seguridad por parte de las compañías. Sin embargo esto está cambiando.......
Seguridad: Línea de Tiempo Los ataques comenzaron en la década del '50. Los primeros atacantes eran personas cercanas a los sistemas (¿ y hoy?.......). 1960 HW de protección de memoria: VM. 1962 Mecanismos de control de acceso a los archivos. 1967 Funciones One-Way (passwords). 1968 Seguridad en kernels (Multics). 1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IP en 1977.
Seguridad: Línea de Tiempo (2) 1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa en mails, 1976 Criptografia de clave pública y firma digital. 1978 RSA (clave pública). 1978 Estudio de contraseñas (inteligente). 1978 Primer protocolo de e-cash. 1983 DNS distribuido (vulnerable al spoofing). 1984 Los Virus empiezan a investigarse. 1985 Esquemas de contraseñas avanzados. 1988 Intemet Worm (6000 computadoras (10% Intemet)). 1988 Autentificación distribuida (Kerberos). 1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).
Seguridad: Línea de Tiempo (3) 1990 Remailers anónimos. 1993 Spooling, sniffing, firewalls. 1994 SSL v 1.0 (Netscape). 1996 Java (Web hacking), 1997 DNSSec. 1998 Programas de barrido de redes. 1998 Ipsec. 1999 Primer ataque DDoS. 2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones). B02k. 2001 Red Code, Nimbda (infección de servidores MS IIS). 2002 Mas I-Worms (en general explotan fallas en Intemet Explorer).
Introducción a la Seguridad Seguridad en una Organización Antaño: Física Administrativa Hoy: Computadoras - necesidad de herramientas que protejan la información. Ej.: time-sharing, redes, dial-up. Esta colección de herramientas diseñadas para este fin y para dificultar la vida del hacker conforman la Seguridad en Sistemas
Introducción a la Seguridad El otro gran cambio: sistemas distribuidos y redes para transportar datos (tty-user y maq.- maq.). Seguridad en Redes No hay un límite claro entre estas dos formas de seguridad: Seguridad en Sistemas y Seguridad en Redes pues todos los sistemas actuales son distribuidos por naturaleza.
Objetivos de la Seguridad de Datos (Relativos a entidades no autorizadas) Privacidad: no accesible Permanente: no borrable, no editable. Confiable: que los cambios puedan detectarse. Pero los datos deben ser accesibles a personas autorizadas! (Probablemente sobre una red, posiblemente sobre la Intemet).
Aspectos de Seguridad Ataque (Seguridad): cualquier acción que comprometa la seguridad de la información perteneciente a una organización. Mecanismo de Seguridad: mecanismo diseñado para prevenir, detectar o recuperarse de un ataque. Servicio de Seguridad: servicio que mejora la seguridad en un sistema de procesamiento de datos y la trasferencia de estos datos. Hace uso de uno o más mecanismos de seguridad.
Instrucciones 1. Lograr acceso (no autorizado) a cierta información. 2. Hacerse pasar por alguien más para evitar responsabilidad. 3. Afirmar haber recibido información de otro usuario que el hacker creó. ( P.e., atribución fraudulenta de responsabilidad). 4. Afirmar haber enviado a un receptor (en un dada fecha) información que nunca fue enviada (o que fue enviada en otro momento). 5. No aceptar haber recibido información que en realidad si fue recibida, o decir que llegó en otro momento. 6. Aumentar la “capacidad” del cheater (mayor acceso, origen, etc.). 7. Modificar (sin tener la autoridad) las "capacidades" de otros para aumentar, restringir, agregar, borrar, etc. su nivel, 8. Ocultar cierta información dentro de otra información (abierta).
Instrucciones 9. Entrometerse (oculto) en la comunicación de otros usuarios. 10. Saber quién y cuando accedió alguien a cierta información. 11. Acusar a un protocolo de integridad revelando información que se supone el cheater no debería conocer. 12. Cambiar el comportamiento de algún SW, usualmente agregando funciones ocultas. 13. Sabotear un protocolo causando fallas (aparentes) en el sistema, 14. Evitar que los usuarios puedan comunicarse. Tal vez provocando 15. fallas atribuibles a problemas en la red, otros usuarios, etc.
Población de Riesgos Defensa Aerea. TV/Radio. Aviones de pasajeros (WTC). Ascensores. Sistemas de Armas (Arg!). Trenes. Bancos. Registros policíacos. Energia eléctrica. Impuestos. Control de tránsito (peajes). Notas (Warning). E-mails. BurgerKing. Historias Clinicas (medicina). Otros. Algunos de estos crímenes son TERRORISTAS
Ataques: Categorías 1. Interrupción Ataque a la Disponibilidad. 2. Intercepción Ataque a la Confidencialidad. 3. Modificación Ataque a la Integridad. 4. Fabricación Ataque a la Autenticidad.
Flujo Normal de la Información Fuente Destino Durante un Flujo Normal de la información, la transferencia (de un archivo, región de memoria, cte.) se hace desde el fuente hacia el destino (otro archivo, memoria, etc.).
Interrupción Fuente Destino Algo de "valor" en el sistema es destruido o se vuelve no disponible. (Ataque a la Disponibilidad). Ejemplos: destrucción de HW, cortado de una línea de comunicación, deshabilitación de un FS (umount).
Intercepción Fuente Destino Alguien no autorizado gana acceso sobre algo de valor (Ataque a la Confidencialidad). El "no-autorizado" puede ser una persona, una máquina o un programa. Ejemplos: captura de información en una red, o una copia no autorizada de archivos.
Modificación Fuente Destino Alguien (o algo) no solo gana acceso sino que también modifica contenido.(Ataque a la Integridad). Ejemplos: cambiar valores en un archivo, alterando un programa para que se comporte diferente, o modificando un mensaje transmitido en una red.
Fabricación Fuente Destino Alguien (o algo) inserta objetos falsos en el sistema. (Ataque a la Autenticidad). Ejemplos: inserción de msgs espúreos en una red o inserción de registros falsos en un archivo.
Ataques Pasivos Eavesdrop ("escuchar" sin que el que “habla“ se entere) o monitoreo de transmisiones. Objetivo: obtener información transmitida. Dos tipos: Liberación de Contenidos: conversación telefónica, e- mail o información confidencial. Análisis de Tráfico: el atacante puede mediante análisis de la comunicación (patrones, long., etc.) tratar de “adivinar” la naturaleza de la comunicación. Ej: si se usa encriptación débil. Dificiles de detectar pues no se altera información. Énfasis en prevención más que en detección.
Ataques Activos Involucra la modificación de datos a la introducción de información falsa. Cuatro tipos: Masquerade: cuando una entidad se hace pasar por otra. Generalmente involucra uno de los siguientes tipos de ataques activos. Repetición (Replay): involucra la captura pasiva de información y la subsecuente retransmisión para lograr un efecto no autorizado. Modificación de mensajes: cuando el atacante gana acceso a algo de valor y lo modifica, retrasa o reordena. Denegación de Servicio (DoS): previene o inhibe el uso normal de cierto servicio de comunicación. Ej: supresión de mensajes hacia Pepe. Énfasis en detección y recuperación.
Servicios (Gráfico Objetivos) Confidencialidad Integridad Disponibilidad
Seguridad: Servicios (ISO) Confidencialidad: protección (de ataques pasivos) sobre la info transmitida. Privacidad. Ej: mensajes entre dos personas. Autentificación: asegurar que la comunicación sea auténtica. Ej: e- mail recibido por un usuario o comunicación terminal-server. Integridad: asegurar que los mensajes recibidos sean iguales a los enviados (modificación de mensajes y DoS (a vece)). Además de detectar estos ataques activos puede participar en la recuperación.
Seguridad: Servicios (ISO) No Repudio: evita que el emisor o el receptor niegue la ocurrencia de un mensaje ("yo no fui"). Control de Aceso: es la capacidad de limitar y controlar el acceso a un sistema. Previene uso inapropiado de recursos. Disponibilidad: una variedad de ataques pueden ser causantes de pérdida parcial o total de la disponibilidad. Algunos pueden prevenirse con autentificación/encriptación o seguridad fisica.
Métodos de Defensa Controles de Software. Ej: acceso limitado a bases de datos, proteger a un usuario de otro (Sistema Operativo). Controles de Hardware. Ej: smartcards. Encriptación. Políticas. Ej: cambio frecuente de contraseñas. Educación. Auditorías. Detección de intrusos. Controles físicos. Amenazas/Defensa Amenazas/Defensa: Bucle Infinito
Auditoria de Sistemas de Información Tecnologías de la Información RIESGOS
Auditoria de Sistemas de Información •Presión para incroporar tecnología en estrategias empresariales •Aumento de la complejidad de los entornos de TI •Infraestructuras TI fragmentadas •Brecha de comunicación entre directivos y gerentes TI •Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos •Costes de TI fuera de control •Productividad y ROI marginales sobre inversiones en TI •Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc •Inflexibilidad organizacional ITGI (2004)
Auditoria de Sistemas de Información • Dependencia creciente de la información y los sistemas que la gestionan • Vulnerabilidades crecientes y amplio espectro de amenazas • Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información • Necesidad de cumplir con leyes y regulaciones • Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes • Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar ITGI (2004)
Auditoria de Sistemas de Información • El IT Governance Institute fue fundado en 1998 para desarrollar normativas de dirección y control de la tecnología de la información en las empresas. • Un Gobierno TI(Tecnologías de la Información) eficaz permite asegurar que las TI soportarán los objetivos de negocio, optimizando la inversión empresarial en TI y gestionando adecuadamente los riesgos y oportunidades relacionados con las TI. • El TI Governance Institute desarrolló el sistema de Objetivos de control de información y tecnologías relacionadas (CobiT) y ofrece casos de investigación y estudio originales para ayudar a líderes empresariales y directivos en sus responsabilidades de gobierno de las TI. ITGI (2004)
Auditoria de Sistemas de Información Gestión de los SI Control y evaluación de esta gestión
Auditoria de Sistemas de Información Para asegurar que las  TI proporcionan valor  Coste, tiempo, funcionalidad esperados  TI no proporcionan sorpresas  Riesgos mitigados  TI contribuyen al negocio  Nuevas oportunidades e innovaciones en productos, procesos y servicios la dirección necesita tener las TI bajo control
Auditoria de Sistemas de Información Perspectiva de la gestión de SI/TIC IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales
Auditoria de Sistemas de Información La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información
Auditoria de Sistemas de Información •Contabilidad desde el inicio de las transacciones comerciales • Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS) • Edad Media y Renacimiento en Italia: Vaticano, República de Venecia, etc. • Contralor de Borgoña, Veedor de Castilla, Account de Inglaterra, etc. • SXVIII: revolución industrial, creación de grandes empresas • SXX: Impulso a las normas de auditoría en EEUU como consecuencia del desarrollo económico y crisis de 1929 • Años 1960: nace la Auditoría Informática Historia
Auditoria de Sistemas de Información AUDITORÍA Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association
Auditoria de Sistemas de Información la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS
Auditoria de Sistemas de Información La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware
Auditoria de Sistemas de Información Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1. La redacción de los procedimientos de control en el área de seguridad lógica 2. La aprobación de nuevos sistemas de gestión 3. Evaluar los riesgos de los sistemas de información 4. Las pruebas del plan de continuidad del negocio

Empfohlen

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
rony
 
Seguridad informática1
Seguridad informática1Seguridad informática1
Seguridad informática1
PatriciaPasiche
 
Seguridad en comunicación de datos
Seguridad en comunicación de datosSeguridad en comunicación de datos
Seguridad en comunicación de datos
Jessica Isaza
 
Trabajo tico
Trabajo ticoTrabajo tico
Trabajo tico
MartaSierra18
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datos
ChenLin7
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privada
mascorroale
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
jemarinoi
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
Carlos Alonso
 

Empfohlen

Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
rony
 
Seguridad informática1
Seguridad informática1Seguridad informática1
Seguridad informática1
PatriciaPasiche
 
Seguridad en comunicación de datos
Seguridad en comunicación de datosSeguridad en comunicación de datos
Seguridad en comunicación de datos
Jessica Isaza
 
Trabajo tico
Trabajo ticoTrabajo tico
Trabajo tico
MartaSierra18
 
Seguridad en la comunicación de datos
Seguridad en la comunicación de datosSeguridad en la comunicación de datos
Seguridad en la comunicación de datos
ChenLin7
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privada
mascorroale
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
jemarinoi
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
Carlos Alonso
 
Seguridad
SeguridadSeguridad
Seguridad
Jennifer López
 
Seguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosSeguridad en Sistemas Distribuidos
Seguridad en Sistemas Distribuidos
Tensor
 
Seguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewallSeguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewall
Egdares Futch H.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
mariagabrielagallegos
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
HECTOR JAVIER
 
6 seguridad
6 seguridad6 seguridad
6 seguridad
st0rcns
 
Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos
Jazmin Lopez
 
Seguridad de red de informacion
Seguridad de red de informacionSeguridad de red de informacion
Seguridad de red de informacion
EdithGeovannaSanguch
 
Criptografia
CriptografiaCriptografia
Criptografia
Yeyi02
 
Trabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informaticaTrabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informatica
Jessy Lopez
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informatica
Flaa Sheando
 
Seguridad y redes
Seguridad y redesSeguridad y redes
Seguridad y redes
Fernando Tricas García
 
Definición de seguridad privada
Definición de seguridad privadaDefinición de seguridad privada
Definición de seguridad privada
mascorroale
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
Elisa Torres Esparza
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridad
Miguel Angel
 
Criptogrfia
CriptogrfiaCriptogrfia
Criptogrfia
supernovaceil
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
Tensor
 
Libertad informática
Libertad informáticaLibertad informática
Libertad informática
kikeper
 
Criptografia
CriptografiaCriptografia
Criptografia
Albaro Javier Cruz Mejia
 
Encriptación de datos, virus y hackers
Encriptación de datos, virus y hackers Encriptación de datos, virus y hackers
Encriptación de datos, virus y hackers
Elizama T
 
Guia iso 27001
Guia iso 27001Guia iso 27001
Guia iso 27001
José María Apellidos
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
Jhon Jairo Hernandez
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
HECTOR JAVIER
 
6 seguridad
6 seguridad6 seguridad
6 seguridad
st0rcns
 
Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos
Jazmin Lopez
 
Trabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informaticaTrabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informatica
Jessy Lopez
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informatica
Flaa Sheando
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridad
Miguel Angel
 

Was ist angesagt? (20)

Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad en Sistemas Distribuidos
Seguridad en Sistemas DistribuidosSeguridad en Sistemas Distribuidos
Seguridad en Sistemas Distribuidos
 
Seguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewallSeguridad Informática: Más allá del firewall
Seguridad Informática: Más allá del firewall
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
6 seguridad
6 seguridad6 seguridad
6 seguridad
 
Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos Seguridad privada y encriptamiento de datos
Seguridad privada y encriptamiento de datos
 
Seguridad de red de informacion
Seguridad de red de informacionSeguridad de red de informacion
Seguridad de red de informacion
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Trabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informaticaTrabajo practico n° 4 seguridad informatica
Trabajo practico n° 4 seguridad informatica
 
Tp seguridad informatica
Tp seguridad informaticaTp seguridad informatica
Tp seguridad informatica
 
Seguridad y redes
Seguridad y redesSeguridad y redes
Seguridad y redes
 
Definición de seguridad privada
Definición de seguridad privadaDefinición de seguridad privada
Definición de seguridad privada
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
 
Investigacion seguridad
Investigacion seguridadInvestigacion seguridad
Investigacion seguridad
 
Criptogrfia
CriptogrfiaCriptogrfia
Criptogrfia
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Libertad informática
Libertad informáticaLibertad informática
Libertad informática
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Encriptación de datos, virus y hackers
Encriptación de datos, virus y hackers Encriptación de datos, virus y hackers
Encriptación de datos, virus y hackers
 

Andere mochten auch

Andere mochten auch (6)

Guia iso 27001
Guia iso 27001Guia iso 27001
Guia iso 27001
 
Plan director seguridad
Plan director seguridadPlan director seguridad
Plan director seguridad
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 

Ähnlich wie seguridad informática

Internet seguro
Internet seguroInternet seguro
Internet seguro
German
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Mini0986
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02
Nelson Araujo
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02
Nelson Araujo
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
Eduardo S. Garzón
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Alejandro
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
Josue Mendez
 

Ähnlich wie seguridad informática (20)

1antonioayestaransnytics.ppt
1antonioayestaransnytics.ppt1antonioayestaransnytics.ppt
1antonioayestaransnytics.ppt
 
Ataque a la red de datos, diapositivas
Ataque a la red de datos, diapositivasAtaque a la red de datos, diapositivas
Ataque a la red de datos, diapositivas
 
Internet seguro
Internet seguroInternet seguro
Internet seguro
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
5to
5to5to
5to
 
1 categorias-ataques
1 categorias-ataques1 categorias-ataques
1 categorias-ataques
 
Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.Unidad 6 Protección y seguridad.
Unidad 6 Protección y seguridad.
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redes
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Seguridades
SeguridadesSeguridades
Seguridades
 
Presentacion segredes iii-1
Presentacion segredes iii-1Presentacion segredes iii-1
Presentacion segredes iii-1
 
Trabajo de internet básico seguridad
Trabajo de internet básico seguridadTrabajo de internet básico seguridad
Trabajo de internet básico seguridad
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02Seguridadenredes jacr-100611122303-phpapp02
Seguridadenredes jacr-100611122303-phpapp02
 
Seguridad informatica y robo de identidad
Seguridad informatica y robo de identidadSeguridad informatica y robo de identidad
Seguridad informatica y robo de identidad
 
Unidad5 investigación seguridad
Unidad5 investigación seguridadUnidad5 investigación seguridad
Unidad5 investigación seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Resumen
ResumenResumen
Resumen
 

Mehr von Eder Martin Shapiama

Desarrollo de sistemas de información
Desarrollo de sistemas de informaciónDesarrollo de sistemas de información
Desarrollo de sistemas de información
Eder Martin Shapiama
 

Mehr von Eder Martin Shapiama (19)

sepsis neonatal.pptx
sepsis neonatal.pptxsepsis neonatal.pptx
sepsis neonatal.pptx
 
LA INVESTIGACIÓN CIENTÍFICA.pdf
LA INVESTIGACIÓN CIENTÍFICA.pdf LA INVESTIGACIÓN CIENTÍFICA.pdf
LA INVESTIGACIÓN CIENTÍFICA.pdf
 
Vbasic6.0
Vbasic6.0Vbasic6.0
Vbasic6.0
 
VISUAL BASIC 6.0
VISUAL BASIC 6.0VISUAL BASIC 6.0
VISUAL BASIC 6.0
 
Desarrollo de sistemas de información
Desarrollo de sistemas de informaciónDesarrollo de sistemas de información
Desarrollo de sistemas de información
 
uml
umluml
uml
 
INTERNET
INTERNETINTERNET
INTERNET
 
EL COMPUTADOR Y SUS COMPONENTES
EL COMPUTADOR Y SUS COMPONENTESEL COMPUTADOR Y SUS COMPONENTES
EL COMPUTADOR Y SUS COMPONENTES
 
Procedimiento de mantenimiento
Procedimiento de mantenimientoProcedimiento de mantenimiento
Procedimiento de mantenimiento
 
scaner
scaner scaner
scaner
 
monitores
monitores monitores
monitores
 
Teclado mause
Teclado mauseTeclado mause
Teclado mause
 
sistema electrico,ups
sistema electrico,upssistema electrico,ups
sistema electrico,ups
 
Disco duro
Disco duroDisco duro
Disco duro
 
Ttarjeta sonido
Ttarjeta sonidoTtarjeta sonido
Ttarjeta sonido
 
Placa madre
Placa madrePlaca madre
Placa madre
 
Fuente de poder
Fuente de poderFuente de poder
Fuente de poder
 
Plan contingencia
Plan contingenciaPlan contingencia
Plan contingencia
 
Mantenimiento del software
Mantenimiento del softwareMantenimiento del software
Mantenimiento del software
 

Kürzlich hochgeladen

Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Francisco158360
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
El Fortí
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
JonathanCovena1
 

Kürzlich hochgeladen (20)

AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Imperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperioImperialismo informal en Europa y el imperio
Imperialismo informal en Europa y el imperio
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática5 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática5 MPG 2024 Ccesa007.pdf
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circular
 
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdfProgramacion Anual Matemática4 MPG 2024 Ccesa007.pdf
Programacion Anual Matemática4 MPG 2024 Ccesa007.pdf
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Estrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxEstrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 

seguridad informática

  • 1. “AÑO DE LA INTEGRACIÓN NACIONAL Y EL RECONOCIMIENTO DE NUESTRA DIVERSIDAD” CTP COMPUTACIÓN E INFORMÁTICA UNIDAD DIDÁCTICA: SEGURIDAD INFORMÁTICA DOCENTE: ING. SIST. LIZTH CAMPOS CRISPIN
  • 2. Algunas Definiciones La Seguridad tiene que ver con la protección de objetos de valor. La Seguridad en Sistemas se enfoca en proteger objetos de valor dentro de un sistema informático (información y servicios). Al igual que la seguridad en el “mundo real”, la seguridad en sistemas provee distintos tipos y grados de la misma.
  • 3. ¿Seguridad en Crisis? Todos los días se ven fallas de seguridad... ¿Dónde? Medios amarillistas (TV, Web) Listas de correo, libros! ¿Por qué? ….. Si existe mucha experiencia en el campo. En general se debe a pobres diseños y falta de dinero invertido en seguridad por parte de las compañías. Sin embargo esto está cambiando.......
  • 4. Seguridad: Línea de Tiempo Los ataques comenzaron en la década del '50. Los primeros atacantes eran personas cercanas a los sistemas (¿ y hoy?.......). 1960 HW de protección de memoria: VM. 1962 Mecanismos de control de acceso a los archivos. 1967 Funciones One-Way (passwords). 1968 Seguridad en kernels (Multics). 1969-89 ARPANET (Admin. Centralizada), Intemet TCP/IP en 1977.
  • 5. Seguridad: Línea de Tiempo (2) 1975 UNIX-UNIX copy protocol (UUCP) y puertas trampa en mails, 1976 Criptografia de clave pública y firma digital. 1978 RSA (clave pública). 1978 Estudio de contraseñas (inteligente). 1978 Primer protocolo de e-cash. 1983 DNS distribuido (vulnerable al spoofing). 1984 Los Virus empiezan a investigarse. 1985 Esquemas de contraseñas avanzados. 1988 Intemet Worm (6000 computadoras (10% Intemet)). 1988 Autentificación distribuida (Kerberos). 1989 Pretty Good Privacy (PGP) y Privacy Enhanced Mail (PEM).
  • 6. Seguridad: Línea de Tiempo (3) 1990 Remailers anónimos. 1993 Spooling, sniffing, firewalls. 1994 SSL v 1.0 (Netscape). 1996 Java (Web hacking), 1997 DNSSec. 1998 Programas de barrido de redes. 1998 Ipsec. 1999 Primer ataque DDoS. 2000 I LoveYou (VBscript) (.5 a 8 millones de infecciones). B02k. 2001 Red Code, Nimbda (infección de servidores MS IIS). 2002 Mas I-Worms (en general explotan fallas en Intemet Explorer).
  • 7. Introducción a la Seguridad Seguridad en una Organización Antaño: Física Administrativa Hoy: Computadoras - necesidad de herramientas que protejan la información. Ej.: time-sharing, redes, dial-up. Esta colección de herramientas diseñadas para este fin y para dificultar la vida del hacker conforman la Seguridad en Sistemas
  • 8. Introducción a la Seguridad El otro gran cambio: sistemas distribuidos y redes para transportar datos (tty-user y maq.- maq.). Seguridad en Redes No hay un límite claro entre estas dos formas de seguridad: Seguridad en Sistemas y Seguridad en Redes pues todos los sistemas actuales son distribuidos por naturaleza.
  • 9. Objetivos de la Seguridad de Datos (Relativos a entidades no autorizadas) Privacidad: no accesible Permanente: no borrable, no editable. Confiable: que los cambios puedan detectarse. Pero los datos deben ser accesibles a personas autorizadas! (Probablemente sobre una red, posiblemente sobre la Intemet).
  • 10. Aspectos de Seguridad Ataque (Seguridad): cualquier acción que comprometa la seguridad de la información perteneciente a una organización. Mecanismo de Seguridad: mecanismo diseñado para prevenir, detectar o recuperarse de un ataque. Servicio de Seguridad: servicio que mejora la seguridad en un sistema de procesamiento de datos y la trasferencia de estos datos. Hace uso de uno o más mecanismos de seguridad.
  • 11. Instrucciones 1. Lograr acceso (no autorizado) a cierta información. 2. Hacerse pasar por alguien más para evitar responsabilidad. 3. Afirmar haber recibido información de otro usuario que el hacker creó. ( P.e., atribución fraudulenta de responsabilidad). 4. Afirmar haber enviado a un receptor (en un dada fecha) información que nunca fue enviada (o que fue enviada en otro momento). 5. No aceptar haber recibido información que en realidad si fue recibida, o decir que llegó en otro momento. 6. Aumentar la “capacidad” del cheater (mayor acceso, origen, etc.). 7. Modificar (sin tener la autoridad) las "capacidades" de otros para aumentar, restringir, agregar, borrar, etc. su nivel, 8. Ocultar cierta información dentro de otra información (abierta).
  • 12. Instrucciones 9. Entrometerse (oculto) en la comunicación de otros usuarios. 10. Saber quién y cuando accedió alguien a cierta información. 11. Acusar a un protocolo de integridad revelando información que se supone el cheater no debería conocer. 12. Cambiar el comportamiento de algún SW, usualmente agregando funciones ocultas. 13. Sabotear un protocolo causando fallas (aparentes) en el sistema, 14. Evitar que los usuarios puedan comunicarse. Tal vez provocando 15. fallas atribuibles a problemas en la red, otros usuarios, etc.
  • 13. Población de Riesgos Defensa Aerea. TV/Radio. Aviones de pasajeros (WTC). Ascensores. Sistemas de Armas (Arg!). Trenes. Bancos. Registros policíacos. Energia eléctrica. Impuestos. Control de tránsito (peajes). Notas (Warning). E-mails. BurgerKing. Historias Clinicas (medicina). Otros. Algunos de estos crímenes son TERRORISTAS
  • 14. Ataques: Categorías 1. Interrupción Ataque a la Disponibilidad. 2. Intercepción Ataque a la Confidencialidad. 3. Modificación Ataque a la Integridad. 4. Fabricación Ataque a la Autenticidad.
  • 15. Flujo Normal de la Información Fuente Destino Durante un Flujo Normal de la información, la transferencia (de un archivo, región de memoria, cte.) se hace desde el fuente hacia el destino (otro archivo, memoria, etc.).
  • 16. Interrupción Fuente Destino Algo de "valor" en el sistema es destruido o se vuelve no disponible. (Ataque a la Disponibilidad). Ejemplos: destrucción de HW, cortado de una línea de comunicación, deshabilitación de un FS (umount).
  • 17. Intercepción Fuente Destino Alguien no autorizado gana acceso sobre algo de valor (Ataque a la Confidencialidad). El "no-autorizado" puede ser una persona, una máquina o un programa. Ejemplos: captura de información en una red, o una copia no autorizada de archivos.
  • 18. Modificación Fuente Destino Alguien (o algo) no solo gana acceso sino que también modifica contenido.(Ataque a la Integridad). Ejemplos: cambiar valores en un archivo, alterando un programa para que se comporte diferente, o modificando un mensaje transmitido en una red.
  • 19. Fabricación Fuente Destino Alguien (o algo) inserta objetos falsos en el sistema. (Ataque a la Autenticidad). Ejemplos: inserción de msgs espúreos en una red o inserción de registros falsos en un archivo.
  • 20. Ataques Pasivos Eavesdrop ("escuchar" sin que el que “habla“ se entere) o monitoreo de transmisiones. Objetivo: obtener información transmitida. Dos tipos: Liberación de Contenidos: conversación telefónica, e- mail o información confidencial. Análisis de Tráfico: el atacante puede mediante análisis de la comunicación (patrones, long., etc.) tratar de “adivinar” la naturaleza de la comunicación. Ej: si se usa encriptación débil. Dificiles de detectar pues no se altera información. Énfasis en prevención más que en detección.
  • 21. Ataques Activos Involucra la modificación de datos a la introducción de información falsa. Cuatro tipos: Masquerade: cuando una entidad se hace pasar por otra. Generalmente involucra uno de los siguientes tipos de ataques activos. Repetición (Replay): involucra la captura pasiva de información y la subsecuente retransmisión para lograr un efecto no autorizado. Modificación de mensajes: cuando el atacante gana acceso a algo de valor y lo modifica, retrasa o reordena. Denegación de Servicio (DoS): previene o inhibe el uso normal de cierto servicio de comunicación. Ej: supresión de mensajes hacia Pepe. Énfasis en detección y recuperación.
  • 22. Servicios (Gráfico Objetivos) Confidencialidad Integridad Disponibilidad
  • 23. Seguridad: Servicios (ISO) Confidencialidad: protección (de ataques pasivos) sobre la info transmitida. Privacidad. Ej: mensajes entre dos personas. Autentificación: asegurar que la comunicación sea auténtica. Ej: e- mail recibido por un usuario o comunicación terminal-server. Integridad: asegurar que los mensajes recibidos sean iguales a los enviados (modificación de mensajes y DoS (a vece)). Además de detectar estos ataques activos puede participar en la recuperación.
  • 24. Seguridad: Servicios (ISO) No Repudio: evita que el emisor o el receptor niegue la ocurrencia de un mensaje ("yo no fui"). Control de Aceso: es la capacidad de limitar y controlar el acceso a un sistema. Previene uso inapropiado de recursos. Disponibilidad: una variedad de ataques pueden ser causantes de pérdida parcial o total de la disponibilidad. Algunos pueden prevenirse con autentificación/encriptación o seguridad fisica.
  • 25. Métodos de Defensa Controles de Software. Ej: acceso limitado a bases de datos, proteger a un usuario de otro (Sistema Operativo). Controles de Hardware. Ej: smartcards. Encriptación. Políticas. Ej: cambio frecuente de contraseñas. Educación. Auditorías. Detección de intrusos. Controles físicos. Amenazas/Defensa Amenazas/Defensa: Bucle Infinito
  • 26. Auditoria de Sistemas de Información Tecnologías de la Información RIESGOS
  • 27. Auditoria de Sistemas de Información •Presión para incroporar tecnología en estrategias empresariales •Aumento de la complejidad de los entornos de TI •Infraestructuras TI fragmentadas •Brecha de comunicación entre directivos y gerentes TI •Niveles de servicio de TI decepcionantes tanto por parte de las funciones internas de TI como los proveedores externos •Costes de TI fuera de control •Productividad y ROI marginales sobre inversiones en TI •Frustración por parte de los usuarios, dando lugar a soluciones ad-hoc •Inflexibilidad organizacional ITGI (2004)
  • 28. Auditoria de Sistemas de Información • Dependencia creciente de la información y los sistemas que la gestionan • Vulnerabilidades crecientes y amplio espectro de amenazas • Escalado y coste de las inversiones actuales y futuras de la información y los sistemas de información • Necesidad de cumplir con leyes y regulaciones • Potencial de las TI para cambiar espectacularmente las organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes • Reconocimiento por parte de muchas organizaciones de los beneficios potenciales que las TI pueden aportar ITGI (2004)
  • 29. Auditoria de Sistemas de Información • El IT Governance Institute fue fundado en 1998 para desarrollar normativas de dirección y control de la tecnología de la información en las empresas. • Un Gobierno TI(Tecnologías de la Información) eficaz permite asegurar que las TI soportarán los objetivos de negocio, optimizando la inversión empresarial en TI y gestionando adecuadamente los riesgos y oportunidades relacionados con las TI. • El TI Governance Institute desarrolló el sistema de Objetivos de control de información y tecnologías relacionadas (CobiT) y ofrece casos de investigación y estudio originales para ayudar a líderes empresariales y directivos en sus responsabilidades de gobierno de las TI. ITGI (2004)
  • 30. Auditoria de Sistemas de Información Gestión de los SI Control y evaluación de esta gestión
  • 31. Auditoria de Sistemas de Información Para asegurar que las  TI proporcionan valor  Coste, tiempo, funcionalidad esperados  TI no proporcionan sorpresas  Riesgos mitigados  TI contribuyen al negocio  Nuevas oportunidades e innovaciones en productos, procesos y servicios la dirección necesita tener las TI bajo control
  • 32. Auditoria de Sistemas de Información Perspectiva de la gestión de SI/TIC IMPACTO en el desarrollo del negocio o actividad empresarial REQUERIMIENTOS de fiabilidad de los servicios REQUERIMIENTOS legales
  • 33. Auditoria de Sistemas de Información La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un mecanismo para valorar y evaluar LA CONFIANZA que se puede depositar en los sistemas de información
  • 34. Auditoria de Sistemas de Información •Contabilidad desde el inicio de las transacciones comerciales • Civilizaciones egipcia, griega, romana, etc. (AUDITOR-ORIS) • Edad Media y Renacimiento en Italia: Vaticano, República de Venecia, etc. • Contralor de Borgoña, Veedor de Castilla, Account de Inglaterra, etc. • SXVIII: revolución industrial, creación de grandes empresas • SXX: Impulso a las normas de auditoría en EEUU como consecuencia del desarrollo económico y crisis de 1929 • Años 1960: nace la Auditoría Informática Historia
  • 35. Auditoria de Sistemas de Información AUDITORÍA Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados American Accounting Association
  • 36. Auditoria de Sistemas de Información la AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS
  • 37. Auditoria de Sistemas de Información La responsabilidad en último extremo, en una empresa sobre la optimización de la calidad de los SI, y la rentabilidad de los recursos informáticos la tiene: 1. La Dirección de la empresa 2. El auditor de SI interno 3. El responsable de las Tecnologías de la Información 4. El vendedor del software y el hardware
  • 38. Auditoria de Sistemas de Información Un Auditor de Sistemas de Información debe, entre sus responsabilidades, realizar: 1. La redacción de los procedimientos de control en el área de seguridad lógica 2. La aprobación de nuevos sistemas de gestión 3. Evaluar los riesgos de los sistemas de información 4. Las pruebas del plan de continuidad del negocio