SlideShare ist ein Scribd-Unternehmen logo

Seguridad en los Sistemas de Información

I
Iván Castillo

Los tipos de ataques cibernéticos o delitos computaciones, seguridad en un Sistema de Información, importancia de auditoría en el área de seguridad informática y leyes aplicadas a la seguridad de datos en países con énfasis en Colombia.

Software
1 von 49
Downloaden Sie, um offline zu lesen
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Carlos Barrera Iván Castillo Jeferson Domínguez Diego Poveda
CONTENIDO 1. Delincuentes de la información. 2. Vulnerabilidad. 3. Amenazas internas. 4. Valor de negocios de la seguridad y el control. 2
Delincuentes de la informática
Hackers y delitos computacionales ● ¿Que es un hacker? Un hacker es un individuo que intenta obtener acceso sin autorización a un sistema computacional. ● Algunas actividades de los hackers: - Ataque de denegación de servicio - Delitos por computadora - Fraude del clic - Spoofing y Sniffing - Robo de identidad 4
Hackers y delitos computacionales ● Ataque de denegación de servicio: Es un ataque a un sistema de computadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, es decir los hackers envían demasiadas solicitudes que hace colapsar la conexión a internet (ancho de banda). 5
Hackers y delitos computacionales ● Delitos por computadora: Son los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos. 6
Hackers y delitos computacionales ● Fraude del clic: El fraude del clic es un tipo de delito por internet que ocurre en los sistemas de pago por clic, cuando se intenta engañar al sistema generando clics falsos, obteniendo así grandes sumas de dinero. 7
Hackers y delitos computacionales ● Spoofing: Es el uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. - Suplantación de IP - Suplantación de ARP - Suplantación de DNS - Suplantación de web - Suplantación de correo electrónico - Suplantación de GPS 8
Hackers y delitos computacionales ● Sniffing: Es un tipo de programa espía que monitorea la información que viaja a través de una red. 9
Hackers y delitos computacionales ● Robo de identidad: es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito, para hacerse pasar por alguien más. 10
Software Maliciosos El software malicioso, también conocido como programa malicioso o malware, contiene virus, spyware y otros programas indeseados que se instalan en su computadora, teléfono o aparato móvil sin su consentimiento. Los principales malware que pueden afectar a un S.I son: ▸ Virus ▸ Gusano ▸ Caballo de troya ▸ Spyware 11
Software Maliciosos ▸ Virus: un virus de computadora es un programa malicioso desarrollado por programadores que infecta un sistema para realizar alguna acción determinada. Puede dañar el sistema de archivos, robar o secuestrar información o hacer copias de si mismo e intentar esparcirse a otras computadoras utilizando diversos medios. 12
Software Maliciosos ▸ Gusano: Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Un gusano informático se aprovecha de un archivo o de características de transporte de tu sistema, para viajar. 13
Software Maliciosos ▸ Caballo de troya: Caballo de Troya es un programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. 14
Software Maliciosos ▸ Spyware: El spyware es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. 15
Vulnerabilidad y abusos de los sistemas Los sistemas de información son vulnerables proporcionalmente al número de accesos o tamaño que tenga dicho sistema, si los datos están de forma física su seguridad es mayor a tenerlos de forma digital debido a que muchos puntos pueden tener acceso a la información, estos múltiples puntos con algunas personas malintencionadas pueden provocar que la información se dañe, se elimine o se deteriore. 16
Vulnerabilidad del internet ▸ Al estar abiertas al mundo, las redes públicas están mucho más expuestas. ▸ Cuando las redes corporativas se conectan a Internet, sus sistemas de información son vulnerables a ataques de extraños. ▸ El servicio telefónico IP, al no estar encriptado, es altamente vulnerable ▸ El correo electrónico puede ser atacado y admitir software malicioso o accesos no autorizados a los sistemas corporativos internos. 17
Seguridad inalámbrica o seguridad wifi ▸ Si no está encriptada, el acceso a la red puede ser atacado por un hacker que se encuentre cerca. ▸ Los intrusos pueden penetrar fácilmente a las redes Wi-Fi. ▸ Los sistemas de seguridad están reforzando la encriptación y sistemas de autenticación más fuertes. 18
Seguridad en las redes ▸ En la red se deben obedecer ciertos protocolos para defenderse de ataques (DDoS, cumpleaños). ▸ El usuario tiene que estar advertido y no caer en phishing que afecte la red. 19
Autenticación Proceso que debe seguir un usuario para tener acceso a los recursos de un sistema o de una red de computadores. Este proceso implica identificación (decirle al sistema quién es) y autenticación (demostrar que el usuario es quien dice ser). 20
Software Antivirus y Firewall 21
Amenazas internas Evaluación del riesgo - Política de seguridad - continuidad de negocios - controles -La función de la auditoría 22
Evaluación del riesgo. Una evaluación del riesgo determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la mayoría de las empresas podrán adquirir cierta comprensión de los riesgos a los que se enfrentan 23
24
25 Como los riesgos son tantos y de diferente naturaleza hay unidades de gestión de riesgo que os han clasificado y catalogado. Por ejemplo la Unidad de Riesgo y Seguridad (URS) de la Universidad de Costa Rica. https://www.conare.ac.cr/images/docs/fondos_sistemas/formulacion/Catlogo%20de%20Riesgos%20de%20Sistemas%20de%20Informacin.pdf
Políticas de seguridad. Una política de seguridad consiste de enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. 26 ¿Quién genera y controla esa información en la empresa? ¿Qué nivel de riesgo está dispuesta la gerencia a aceptar para cada uno de estos activos? ¿Vale la pena mantener información de clientes de más de 10 años?
27 desde el ministerio de las TIC nos ilustran con formatos en donde encontramos mínimos aceptables para un política de seguridad e incluso los procesos de implementación que deben seguir estas políticas. https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf Desarrollo de las políticas ▸ Justificación de la creación de política ▸ Alcance ▸ Roles y Responsabilidades ▸ Revisión de la política ▸ Aprobación de la Política
Continuidad del negocio. Si opera una empresa, necesita planificar los eventos, como los cortes en el suministro eléctrico, las inundaciones, los terremotos o los ataques terroristas que evitarán que sus sistemas de información y su empresa puedan operar. La planificación de recuperación de desastres idea planes para restaurar los servicios de cómputo y comunicaciones después de haberse interrumpido. 28
Controles de los sistemas de información. Los controles de los sistemas de información pueden ser manuales y automatizados; consisten tanto de controles generales como de aplicación. 29 Los controles de aplicación controles de entrada controles de procesamiento controles de salida
30
Auditoria. ¿Cómo sabe la gerencia que la seguridad y los controles de los sistemas de información son efectivos? Para responder a esta pregunta, las organizaciones deben llevar a cabo auditorías exhaustivas y sistemáticas. Una auditoría detallada puede incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa. 31
Importancia de la protección de la información Proteger los sistemas de información es algo tan imprescindible para la operación de la empresa que merece considerarse. 32
Incidentes en Sistemas de Información 33 La consultora Cambridge Analytica obtuvo en 2014 la información de más de 50 millones de usuarios de Facebook en Estados Unidos, y la usó para construir un programa informático destinado a predecir las decisiones de los votantes e influir en ellas. https://www.eluniversal.com.co/tecnologia/analisis-el-escandalo-de-facebook-con-cambridge-analytica
Incidentes en Sistemas de Información 34 Robo por ciberataque de aproximadamente 42 millones de dólares. La intrusión afectó el Sistema de Pagos Electrónicos Interbancarios (SPEI) mediante el cual se procesan cientos de miles de transferencias de dinero entre bancos todos los días. https://www.elespectador.com/tecnologia/los-principales-casos-de-robo-de-datos-personales-articulo-755788 Robo por ciberataque de aproximadamente 10 millones de dólares. Los atacantes introdujeron un virus informático como señuelo, identificado como “Malware Swapq”, que impidió el correcto funcionamiento de los sistemas de la institución.
Incidentes en Sistemas de Información 35 https://www.xataka.com.co/seguridad/empresas-y-entidades-publicas-colombianas-tambien-son-victimas-de-ataques-de-ransomware Ataque Ransoware mundial afecta a empresas y organizaciones públicas. ▸ Telefónica ▸ INSC ▸ minTIC ▸ Entre otros
Valor de negocios de la seguridad y el controlRequerimientos legales y regulatorios para la administración de registros digitales Evidencia electrónica y análisis forense de sistemas 36
Responsabilidad legal ▸ Un control y seguridad inadecuados pueden provocar una responsabilidad legal grave. ▸ Los negocios deben proteger no sólo sus propios activos de información, sino también los de sus clientes, empleados y socios de negocios. Si no hicieran esto, las firmas podrían involucrarse en litigios costosos por exposición o robo de datos. 37
Marco de trabajo sólido: Seguridad y Control Un marco de trabajo sólido de seguridad y control que proteja los activos de información de negocios puede: ▸ Producir un alto rendimiento sobre la inversión. ▸ Incrementan la productividad de los empleados y reducen los costos de operación. 38
Requerimientos legales Requerimientos legales y regulatorios para la administración de registros digitales 39
Requerimientos legales La legislación requiere que las firmas consideren la seguridad de los sistemas de información y otros controles requeridos para asegurar la integridad, confidencialidad y precisión de sus datos. ▸ Asegurar la red corporativa. ▸ Evitar el acceso sin autorización a los sistemas y datos. ▸ Disponibilidad de los datos en caso de desastre u otro tipo de interrupción del servicio. 40
Leyes de Regulación de tratamiento de datos - EE. UU. Ley HIPAA Describe las reglas de seguridad y privacidad médica. Además de los procedimientos para la facturación de servicios médicos. Ley Gramm-Leach-Bliley Requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de los clientes. Ley Sarbanes-Oxley Se diseñó para proteger a los inversionistas y otras compañías que cotizan en la bolsa. 41
Ley 1266 de 2008 - Ley 1581 de 2012 Habeas data en Colombia “La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.” ▸ Dato Público ▸ Dato Semiprivado ▸ Dato Privado ▸ Dato Sensible 42 http://www.sic.gov.co/sobre-la-proteccion-de-datos-personales
RGPD - Reglamento General de Protección de Datos Unión Europea Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Los países de la UE han creado organismos nacionales responsables de proteger los datos personales. ▸ Empresas ▸ Organizaciones ▸ Derechos de los ciudadanos 43 https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_es
Evidencia electrónica La seguridad, el control y la administración de los registros digitales se han vuelto fundamentales para responder a las acciones legales. En una acción legal: Una empresa se ve obligada a responder a una solicitud de exhibición de pruebas para acceder a la información que se puede utilizar como evidencia, y la compañía debe por ley entregar esos datos. Los juzgados pueden imponer serios castigos financieros y hasta penales. 44
Evidencia electrónica Una política efectiva de retención de documentos electrónicos asegura que los documentos electrónicos, el correo electrónico y otros registros: ▸ Estén bien organizados ▸ Sean accesibles ▸ No se retengan demasiado tiempo ni se descarten demasiado pronto. 45
Análisis forense de Sistemas ▸ Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial. ▸ Almacenar y manejar con seguridad los datos electrónicos recuperados. ▸ Encontrar información importante en un gran volumen de datos electrónicos. ▸ Presentar la información a un juzgado (Proceso para un plan de contingencia). 46
La información y su valor de confidencialidad Las compañías tienen activos de información muy valiosos por proteger Información confidencial 47 Las repercusiones pueden ser devastadoras si se pierden, destruyen o ponen en las manos equivocadas.
48 ¡GRACIAS!
Bibliografia 49 ● Definición de hacker tomada de: https://prezi.com/7ftmkjih30zv/los-hackers-y-los-delitos-computacionales/ ● Virus maliciosos, tomado de: https://www.consumidor.ftc.gov/articulos/s0011-software-malicioso ● Fraude del clic, tomado de: http://www.alegsa.com.ar/Dic/fraude_del_clic.php ● Spoofing y Sniffing, tomado de: http://www.internetmania.net/int0/int93.htm ● Libro guía: https://juanantonioleonlopez.files.wordpress.com/2017/08/sistemas-de-informacic3b3n- gerencial-12va-edicic3b3n-kenneth-c-laudon.pdf

Empfohlen

Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridadAlfredo Vela Zancada
 
Adrián puerta
Adrián puertaAdrián puerta
Adrián puertaI.E.S Teobaldo Power
 
Marco
MarcoMarco
Marcomarco080030557
 
Marco
MarcoMarco
Marcomarco080030557
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
Politica e informatica 1
Politica e informatica 1Politica e informatica 1
Politica e informatica 1castillodelrosario12
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICApaomurciascarpetta
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridadmaldonado2411
 

Empfohlen

Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridadAlfredo Vela Zancada
 
Adrián puerta
Adrián puertaAdrián puerta
Adrián puertaI.E.S Teobaldo Power
 
Marco
MarcoMarco
Marcomarco080030557
 
Marco
MarcoMarco
Marcomarco080030557
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
Politica e informatica 1
Politica e informatica 1Politica e informatica 1
Politica e informatica 1castillodelrosario12
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICApaomurciascarpetta
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridadmaldonado2411
 
Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slpDavid Gtz
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingJose Manuel Acosta
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaAbel Caín Rodríguez Rodríguez
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTICCduarte75
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Foro kodak
Foro kodakForo kodak
Foro kodakMao Sierra
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuelainstituto universitario de tecnologia antonio jose de sucre
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guinglamgnathaly7
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctorI.E.S Teobaldo Power
 
seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informaticajorgeivantombe
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridadArgimiro Dominguez
 
Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Ana Bruna
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticaromeprofe
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASFIDOMULTRAXD
 
Marco
Marco Marco
Marco marco080030557
 
Marco
MarcoMarco
Marcomarco080030557
 
Resumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell LopezResumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell LopezMegaOne1
 
Seminario
SeminarioSeminario
SeminarioEdilberto bland?
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slpDavid Gtz
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingJose Manuel Acosta
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTICCduarte75
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guinglamgnathaly7
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctorI.E.S Teobaldo Power
 
seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informaticajorgeivantombe
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersOBS Business School
 
Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Ana Bruna
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticarchacon
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticaromeprofe
 

Was ist angesagt? (17)

Seguridad informatica en_slp
Seguridad informatica en_slpSeguridad informatica en_slp
Seguridad informatica en_slp
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical Hacking
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Trabajo Final MINTIC
Trabajo Final MINTICTrabajo Final MINTIC
Trabajo Final MINTIC
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuela
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Mirella guingla
Mirella guinglaMirella guingla
Mirella guingla
 
Seguridad informática en la red héctor
Seguridad informática en la red héctorSeguridad informática en la red héctor
Seguridad informática en la red héctor
 
seguridad en informatica
seguridad en informaticaseguridad en informatica
seguridad en informatica
 
Informe OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y HackersInforme OBS: Ciberseguridad y Hackers
Informe OBS: Ciberseguridad y Hackers
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 

Ähnlich wie Seguridad en los Sistemas de Información

RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASFIDOMULTRAXD
 
Resumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell LopezResumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell LopezMegaOne1
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaAmandaRC13
 
Lección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónLección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónOriol Borrás Gené
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaFelipefdez
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Alexader
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetAna Ledezma
 
Mandamientos del hacker diez principios éticos
Mandamientos del hacker diez principios éticosMandamientos del hacker diez principios éticos
Mandamientos del hacker diez principios éticosJuanPaez68
 
Auditoria jd
Auditoria jdAuditoria jd
Auditoria jdJdgc2304
 
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdf
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdfDISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdf
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdfNicki Nicole
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaPiPe DiAz
 
Resumen nelson manaure
Resumen nelson manaureResumen nelson manaure
Resumen nelson manaurenmanaure
 
seguridad informatica
seguridad informatica seguridad informatica
seguridad informatica Anita Blacio
 

Ähnlich wie Seguridad en los Sistemas de Información (20)

RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORASRIESGO Y SEGURIDAD EN LAS COMPUTADORAS
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
 
Marco
Marco Marco
Marco
 
Marco
MarcoMarco
Marco
 
Resumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell LopezResumen de Seguridad Informatica - Rachell Lopez
Resumen de Seguridad Informatica - Rachell Lopez
 
Seminario
SeminarioSeminario
Seminario
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Lección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusiónLección 9.1: Delitos informáticos e intrusión
Lección 9.1: Delitos informáticos e intrusión
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Mandamientos del hacker diez principios éticos
Mandamientos del hacker diez principios éticosMandamientos del hacker diez principios éticos
Mandamientos del hacker diez principios éticos
 
Auditoria jd
Auditoria jdAuditoria jd
Auditoria jd
 
Webinar Ciberseguridad_Cambratgn.pptx
Webinar Ciberseguridad_Cambratgn.pptxWebinar Ciberseguridad_Cambratgn.pptx
Webinar Ciberseguridad_Cambratgn.pptx
 
Unidad 1
Unidad 1Unidad 1
Unidad 1
 
Informatica
InformaticaInformatica
Informatica
 
Fraudes informaticos
Fraudes informaticosFraudes informaticos
Fraudes informaticos
 
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdf
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdfDISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdf
DISTINTOS TIPOS DE ATAQUE Y AMENAZAS A LOS SISTEMAS - copia.pdf
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Resumen nelson manaure
Resumen nelson manaureResumen nelson manaure
Resumen nelson manaure
 
seguridad informatica
seguridad informatica seguridad informatica
seguridad informatica
 

Mehr von Iván Castillo

Minería en colombia visto desde un enfoque cibernético y social
Minería en colombia visto desde un enfoque cibernético y socialMinería en colombia visto desde un enfoque cibernético y social
Minería en colombia visto desde un enfoque cibernético y socialIván Castillo
 
Interpolación de Lagrange: Aplicación y Algoritmo
Interpolación de Lagrange: Aplicación y AlgoritmoInterpolación de Lagrange: Aplicación y Algoritmo
Interpolación de Lagrange: Aplicación y AlgoritmoIván Castillo
 
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]Iván Castillo
 
Integración de Datos - Base de datos. Conceptos y Definición.
Integración de Datos - Base de datos. Conceptos y Definición.Integración de Datos - Base de datos. Conceptos y Definición.
Integración de Datos - Base de datos. Conceptos y Definición.Iván Castillo
 
Efecto compton. Definición y Ejercicios
Efecto compton. Definición y EjerciciosEfecto compton. Definición y Ejercicios
Efecto compton. Definición y EjerciciosIván Castillo
 
Killer Whale [Save the World]
Killer Whale [Save the World]Killer Whale [Save the World]
Killer Whale [Save the World]Iván Castillo
 
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTA
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTASEGUNDA GUERRA MUNDIAL - RESUMEN - CORTA
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTAIván Castillo
 

Mehr von Iván Castillo (7)

Minería en colombia visto desde un enfoque cibernético y social
Minería en colombia visto desde un enfoque cibernético y socialMinería en colombia visto desde un enfoque cibernético y social
Minería en colombia visto desde un enfoque cibernético y social
 
Interpolación de Lagrange: Aplicación y Algoritmo
Interpolación de Lagrange: Aplicación y AlgoritmoInterpolación de Lagrange: Aplicación y Algoritmo
Interpolación de Lagrange: Aplicación y Algoritmo
 
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]
Crisis en Siria - Antecedentes y Actualidad de la Guerra Civil [Resumen]
 
Integración de Datos - Base de datos. Conceptos y Definición.
Integración de Datos - Base de datos. Conceptos y Definición.Integración de Datos - Base de datos. Conceptos y Definición.
Integración de Datos - Base de datos. Conceptos y Definición.
 
Efecto compton. Definición y Ejercicios
Efecto compton. Definición y EjerciciosEfecto compton. Definición y Ejercicios
Efecto compton. Definición y Ejercicios
 
Killer Whale [Save the World]
Killer Whale [Save the World]Killer Whale [Save the World]
Killer Whale [Save the World]
 
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTA
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTASEGUNDA GUERRA MUNDIAL - RESUMEN - CORTA
SEGUNDA GUERRA MUNDIAL - RESUMEN - CORTA
 

Seguridad en los Sistemas de Información

  • 1. SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN Carlos Barrera Iván Castillo Jeferson Domínguez Diego Poveda
  • 2. CONTENIDO 1. Delincuentes de la información. 2. Vulnerabilidad. 3. Amenazas internas. 4. Valor de negocios de la seguridad y el control. 2
  • 4. Hackers y delitos computacionales ● ¿Que es un hacker? Un hacker es un individuo que intenta obtener acceso sin autorización a un sistema computacional. ● Algunas actividades de los hackers: - Ataque de denegación de servicio - Delitos por computadora - Fraude del clic - Spoofing y Sniffing - Robo de identidad 4
  • 5. Hackers y delitos computacionales ● Ataque de denegación de servicio: Es un ataque a un sistema de computadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos, es decir los hackers envían demasiadas solicitudes que hace colapsar la conexión a internet (ancho de banda). 5
  • 6. Hackers y delitos computacionales ● Delitos por computadora: Son los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos. 6
  • 7. Hackers y delitos computacionales ● Fraude del clic: El fraude del clic es un tipo de delito por internet que ocurre en los sistemas de pago por clic, cuando se intenta engañar al sistema generando clics falsos, obteniendo así grandes sumas de dinero. 7
  • 8. Hackers y delitos computacionales ● Spoofing: Es el uso de técnicas a través de las cuales un atacante, generalmente con usos maliciosos o de investigación, se hace pasar por una entidad distinta a través de la falsificación de los datos en una comunicación. - Suplantación de IP - Suplantación de ARP - Suplantación de DNS - Suplantación de web - Suplantación de correo electrónico - Suplantación de GPS 8
  • 9. Hackers y delitos computacionales ● Sniffing: Es un tipo de programa espía que monitorea la información que viaja a través de una red. 9
  • 10. Hackers y delitos computacionales ● Robo de identidad: es un crimen en el que un impostor obtiene piezas clave de información personal, como números de identificación del seguro social, números de licencias de conducir o números de tarjetas de crédito, para hacerse pasar por alguien más. 10
  • 11. Software Maliciosos El software malicioso, también conocido como programa malicioso o malware, contiene virus, spyware y otros programas indeseados que se instalan en su computadora, teléfono o aparato móvil sin su consentimiento. Los principales malware que pueden afectar a un S.I son: ▸ Virus ▸ Gusano ▸ Caballo de troya ▸ Spyware 11
  • 12. Software Maliciosos ▸ Virus: un virus de computadora es un programa malicioso desarrollado por programadores que infecta un sistema para realizar alguna acción determinada. Puede dañar el sistema de archivos, robar o secuestrar información o hacer copias de si mismo e intentar esparcirse a otras computadoras utilizando diversos medios. 12
  • 13. Software Maliciosos ▸ Gusano: Los gusanos informáticos se propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la ayuda de una persona. Un gusano informático se aprovecha de un archivo o de características de transporte de tu sistema, para viajar. 13
  • 14. Software Maliciosos ▸ Caballo de troya: Caballo de Troya es un programa creado y que opera bajo un aspecto inofensivo y útil para el usuario, afecta negativamente al sistema al incluir un módulo capaz de destruir datos. 14
  • 15. Software Maliciosos ▸ Spyware: El spyware es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. 15
  • 16. Vulnerabilidad y abusos de los sistemas Los sistemas de información son vulnerables proporcionalmente al número de accesos o tamaño que tenga dicho sistema, si los datos están de forma física su seguridad es mayor a tenerlos de forma digital debido a que muchos puntos pueden tener acceso a la información, estos múltiples puntos con algunas personas malintencionadas pueden provocar que la información se dañe, se elimine o se deteriore. 16
  • 17. Vulnerabilidad del internet ▸ Al estar abiertas al mundo, las redes públicas están mucho más expuestas. ▸ Cuando las redes corporativas se conectan a Internet, sus sistemas de información son vulnerables a ataques de extraños. ▸ El servicio telefónico IP, al no estar encriptado, es altamente vulnerable ▸ El correo electrónico puede ser atacado y admitir software malicioso o accesos no autorizados a los sistemas corporativos internos. 17
  • 18. Seguridad inalámbrica o seguridad wifi ▸ Si no está encriptada, el acceso a la red puede ser atacado por un hacker que se encuentre cerca. ▸ Los intrusos pueden penetrar fácilmente a las redes Wi-Fi. ▸ Los sistemas de seguridad están reforzando la encriptación y sistemas de autenticación más fuertes. 18
  • 19. Seguridad en las redes ▸ En la red se deben obedecer ciertos protocolos para defenderse de ataques (DDoS, cumpleaños). ▸ El usuario tiene que estar advertido y no caer en phishing que afecte la red. 19
  • 20. Autenticación Proceso que debe seguir un usuario para tener acceso a los recursos de un sistema o de una red de computadores. Este proceso implica identificación (decirle al sistema quién es) y autenticación (demostrar que el usuario es quien dice ser). 20
  • 21. Software Antivirus y Firewall 21
  • 22. Amenazas internas Evaluación del riesgo - Política de seguridad - continuidad de negocios - controles -La función de la auditoría 22
  • 23. Evaluación del riesgo. Una evaluación del riesgo determina el nivel de riesgo para la firma si no se controla una actividad o proceso específico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero la mayoría de las empresas podrán adquirir cierta comprensión de los riesgos a los que se enfrentan 23
  • 24. 24
  • 25. 25 Como los riesgos son tantos y de diferente naturaleza hay unidades de gestión de riesgo que os han clasificado y catalogado. Por ejemplo la Unidad de Riesgo y Seguridad (URS) de la Universidad de Costa Rica. https://www.conare.ac.cr/images/docs/fondos_sistemas/formulacion/Catlogo%20de%20Riesgos%20de%20Sistemas%20de%20Informacin.pdf
  • 26. Políticas de seguridad. Una política de seguridad consiste de enunciados que clasifican los riesgos de información, identifican los objetivos de seguridad aceptables y también los mecanismos para lograr estos objetivos. 26 ¿Quién genera y controla esa información en la empresa? ¿Qué nivel de riesgo está dispuesta la gerencia a aceptar para cada uno de estos activos? ¿Vale la pena mantener información de clientes de más de 10 años?
  • 27. 27 desde el ministerio de las TIC nos ilustran con formatos en donde encontramos mínimos aceptables para un política de seguridad e incluso los procesos de implementación que deben seguir estas políticas. https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf Desarrollo de las políticas ▸ Justificación de la creación de política ▸ Alcance ▸ Roles y Responsabilidades ▸ Revisión de la política ▸ Aprobación de la Política
  • 28. Continuidad del negocio. Si opera una empresa, necesita planificar los eventos, como los cortes en el suministro eléctrico, las inundaciones, los terremotos o los ataques terroristas que evitarán que sus sistemas de información y su empresa puedan operar. La planificación de recuperación de desastres idea planes para restaurar los servicios de cómputo y comunicaciones después de haberse interrumpido. 28
  • 29. Controles de los sistemas de información. Los controles de los sistemas de información pueden ser manuales y automatizados; consisten tanto de controles generales como de aplicación. 29 Los controles de aplicación controles de entrada controles de procesamiento controles de salida
  • 30. 30
  • 31. Auditoria. ¿Cómo sabe la gerencia que la seguridad y los controles de los sistemas de información son efectivos? Para responder a esta pregunta, las organizaciones deben llevar a cabo auditorías exhaustivas y sistemáticas. Una auditoría detallada puede incluso simular un ataque o desastre para evaluar la respuesta de la tecnología, el personal de sistemas de información y los empleados de la empresa. 31
  • 32. Importancia de la protección de la información Proteger los sistemas de información es algo tan imprescindible para la operación de la empresa que merece considerarse. 32
  • 33. Incidentes en Sistemas de Información 33 La consultora Cambridge Analytica obtuvo en 2014 la información de más de 50 millones de usuarios de Facebook en Estados Unidos, y la usó para construir un programa informático destinado a predecir las decisiones de los votantes e influir en ellas. https://www.eluniversal.com.co/tecnologia/analisis-el-escandalo-de-facebook-con-cambridge-analytica
  • 34. Incidentes en Sistemas de Información 34 Robo por ciberataque de aproximadamente 42 millones de dólares. La intrusión afectó el Sistema de Pagos Electrónicos Interbancarios (SPEI) mediante el cual se procesan cientos de miles de transferencias de dinero entre bancos todos los días. https://www.elespectador.com/tecnologia/los-principales-casos-de-robo-de-datos-personales-articulo-755788 Robo por ciberataque de aproximadamente 10 millones de dólares. Los atacantes introdujeron un virus informático como señuelo, identificado como “Malware Swapq”, que impidió el correcto funcionamiento de los sistemas de la institución.
  • 35. Incidentes en Sistemas de Información 35 https://www.xataka.com.co/seguridad/empresas-y-entidades-publicas-colombianas-tambien-son-victimas-de-ataques-de-ransomware Ataque Ransoware mundial afecta a empresas y organizaciones públicas. ▸ Telefónica ▸ INSC ▸ minTIC ▸ Entre otros
  • 36. Valor de negocios de la seguridad y el controlRequerimientos legales y regulatorios para la administración de registros digitales Evidencia electrónica y análisis forense de sistemas 36
  • 37. Responsabilidad legal ▸ Un control y seguridad inadecuados pueden provocar una responsabilidad legal grave. ▸ Los negocios deben proteger no sólo sus propios activos de información, sino también los de sus clientes, empleados y socios de negocios. Si no hicieran esto, las firmas podrían involucrarse en litigios costosos por exposición o robo de datos. 37
  • 38. Marco de trabajo sólido: Seguridad y Control Un marco de trabajo sólido de seguridad y control que proteja los activos de información de negocios puede: ▸ Producir un alto rendimiento sobre la inversión. ▸ Incrementan la productividad de los empleados y reducen los costos de operación. 38
  • 39. Requerimientos legales Requerimientos legales y regulatorios para la administración de registros digitales 39
  • 40. Requerimientos legales La legislación requiere que las firmas consideren la seguridad de los sistemas de información y otros controles requeridos para asegurar la integridad, confidencialidad y precisión de sus datos. ▸ Asegurar la red corporativa. ▸ Evitar el acceso sin autorización a los sistemas y datos. ▸ Disponibilidad de los datos en caso de desastre u otro tipo de interrupción del servicio. 40
  • 41. Leyes de Regulación de tratamiento de datos - EE. UU. Ley HIPAA Describe las reglas de seguridad y privacidad médica. Además de los procedimientos para la facturación de servicios médicos. Ley Gramm-Leach-Bliley Requiere que las instituciones financieras garanticen la seguridad y confidencialidad de los datos de los clientes. Ley Sarbanes-Oxley Se diseñó para proteger a los inversionistas y otras compañías que cotizan en la bolsa. 41
  • 42. Ley 1266 de 2008 - Ley 1581 de 2012 Habeas data en Colombia “La Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada.” ▸ Dato Público ▸ Dato Semiprivado ▸ Dato Privado ▸ Dato Sensible 42 http://www.sic.gov.co/sobre-la-proteccion-de-datos-personales
  • 43. RGPD - Reglamento General de Protección de Datos Unión Europea Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Los países de la UE han creado organismos nacionales responsables de proteger los datos personales. ▸ Empresas ▸ Organizaciones ▸ Derechos de los ciudadanos 43 https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_es
  • 44. Evidencia electrónica La seguridad, el control y la administración de los registros digitales se han vuelto fundamentales para responder a las acciones legales. En una acción legal: Una empresa se ve obligada a responder a una solicitud de exhibición de pruebas para acceder a la información que se puede utilizar como evidencia, y la compañía debe por ley entregar esos datos. Los juzgados pueden imponer serios castigos financieros y hasta penales. 44
  • 45. Evidencia electrónica Una política efectiva de retención de documentos electrónicos asegura que los documentos electrónicos, el correo electrónico y otros registros: ▸ Estén bien organizados ▸ Sean accesibles ▸ No se retengan demasiado tiempo ni se descarten demasiado pronto. 45
  • 46. Análisis forense de Sistemas ▸ Recuperar datos de las computadoras y preservar al mismo tiempo la integridad evidencial. ▸ Almacenar y manejar con seguridad los datos electrónicos recuperados. ▸ Encontrar información importante en un gran volumen de datos electrónicos. ▸ Presentar la información a un juzgado (Proceso para un plan de contingencia). 46
  • 47. La información y su valor de confidencialidad Las compañías tienen activos de información muy valiosos por proteger Información confidencial 47 Las repercusiones pueden ser devastadoras si se pierden, destruyen o ponen en las manos equivocadas.
  • 49. Bibliografia 49 ● Definición de hacker tomada de: https://prezi.com/7ftmkjih30zv/los-hackers-y-los-delitos-computacionales/ ● Virus maliciosos, tomado de: https://www.consumidor.ftc.gov/articulos/s0011-software-malicioso ● Fraude del clic, tomado de: http://www.alegsa.com.ar/Dic/fraude_del_clic.php ● Spoofing y Sniffing, tomado de: http://www.internetmania.net/int0/int93.htm ● Libro guía: https://juanantonioleonlopez.files.wordpress.com/2017/08/sistemas-de-informacic3b3n- gerencial-12va-edicic3b3n-kenneth-c-laudon.pdf