SlideShare uma empresa Scribd logo

Unidad 1: Introducción a la Seguridad Informática

Transferir como PPTX, PDF
D
DarbyPC

Unidad 1 del módulo de Seguridad Informática del Ciclo Formativo de Grado Medio en Sistemas Microinformáticos y Redes.

Educação
1 de 79
Seguridad informática Introducción a la seguridad informática (Unidad1)
Indice  Objetivos  Caso práctico inicial  Contenidos  Sistemas de información y sistemas informáticos  Seguridad  Análisis de riesgos  Control de riesgos  Herramientas de análisis y gestión de riesgos  Práctica profesional  Mundo laboral  Esquema-Resumen
Objetivos  Distinguir entre sistema de información y sistema informático  Conocer el significado de Seguridad:  En el amplio concepto de sistema de información  En el concreto concepto de sistema de informático  Conocer las propiedades de un sistema seguro  Entender los conceptos: activo, amenaza, riesgo, vulnerabilidad, ataque e impacto  Entender lo que son servicios, mecanismos y herramientas de seguridad  Obtener la base necesaria para profundizar en el mundo de la seguridad informática
Caso práctico inicial  Situación de partida:  Una clínica dental se dirige a un empresa de servicios informáticos solicitando un estudio de sus equipo e instalaciones para determinar el grado de seguridad informática y los ajustes que se consideren necesarios.  Un trabajador de la empresa informática se dirige a la clínica y mantiene una entrevista con el titular de la misma, quien le informa de los siguientes aspectos:
Caso práctico inicial (II)  Situación de partida: (Cont.)  El personal de la clínica está formado por:  eltitular, médico especializado en odontología.  Como contratados:  otro odontólogo,  dos auxiliares de clínica y  un auxiliar administrativo, que también ejerce como recepcionista,  y una persona para la limpieza.
Caso práctico inicial (III)  Situación de partida: (Cont.)  La clínica cuenta con dos consultas, cada una de ellas con un especialista en odontología. En cada consulta hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como el auxiliar de clínica que trabaja en esa consulta.  En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y anotar las citas.  En un despacho aparte están los archivos en soporte papel y donde se encuentra el servidor.
Caso práctico inicial (IV)  Situación de partida: (Cont.)  Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.  El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos de los pacientes.
Caso práctico inicial (V)  Estudio del caso: 1. Elabora un listado de los activos de la clínica.  ¿Cuáles son los activos? 2. Observa que sistemas de seguridad física y lógica están protegiendo actualmente el sistema. Si están revisados y actualizados.  ¿Qué es la seguridad física y lógica? 3. Comprueba cuales son las vulnerabilidades del sistema informático, tanto en software, como en el hardware, el personal y las instalaciones.  ¿Qué propiedades debe tener el sistema de información para ser seguro?  ¿Qué amenazas y riesgos existen?  ¿Qué vulnerabilidades tiene el sistema?
Caso práctico inicial (VI)  Estudio del caso: (Cont.) 4. Elabora un listado de servicios y mecanismos que incrementarían la seguridad de la información.  ¿Qué servicios de seguridad se necesitan y qué mecanismos son necesarios para asegurar esos servicios? 5. Investiga si la clínica dispone de una política de seguridad o un plan de contingencias.  ¿Está informado todo el personal de la política de seguridad?  ¿Se realizan ensayos y simulacros según el plan de contingencias? 6. Determina si la clínica requiere una auditoría informática.  ¿En que consistirá la auditoría?  ¿Se realizará con algún software específico para auditoría informática?
Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
1. Sistemas de información y sistemas informáticos  Sistema de información (SI)  Conjunto de elementos  Recursos físicos (PC’s, periféricos, etc) y lógicos (SO’s y aplicaciones) Información  Equipo humano  Información (Datos organizados de la Actividades empresa, independientemente OBJETIVOS del soporte) Personal de la EMPRESA  Actividades (de la empresa, informáticas o no)  Organizados, relacionados y Recursos coordinados entre sí  Facilitan el funcionamiento global de una empresa u actividad humana para conseguir sus objetivos
1. Sistemas de información y sistemas informáticos (II)  Sistema informático  Conjunto de elementos:  Físicos  Hardware, Dispositivos, Periféricos y Conexiones  Lógicos (software)  Sistemas operativos, Aplicaciones, Protocolos, etc.  Humanos  Personal experto que maneja hardware y software
1. Sistemas de información y sistemas informáticos (III) Actividad en un sistema informático Procesamiento Calcular Entrada Entrada Almacenamiento Salida Ordenar Clasificar Retroalimentación
1. Sistemas de información y sistemas informáticos (IV)  Conclusiones:  Sistema Informático  Subconjunto del Sistema de Información  Sistema de Información  No siempre contiene elementos informáticos (Difícil hoy en día, que no lo incluya)
Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
2. Seguridad  Definición:  RAE:  Libre y exento de todo peligro daño y riesgo  CLASE:  Disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable  SIEMPREexiste un margen de riesgo (Pese a las medidas de seguridad)
2. Seguridad (II)  ¿Qué necesitamos saber? (En el establecimiento de un sistema de seguridad):  Que elementos componen el sistema  Interacción con responsables de la empresa  Apreciación directa  Que peligros, accidentales o provocados, afectan al sistema  Extrapolados desde la información recibida  Realización de pruebas sobre la empresa  Que medidas deberían adoptarse para conocer, prevenir, impedir, reducir, o controlar los riesgos potenciales.  Estudio de Riesgos + Implantación de medidas + Seguimiento periódico (Revisión y actualización de medidas adoptadas)
2. Seguridad (III)  Fallos de seguridad  Afecta a cualquier elemento  Hardware  Reemplazables  Software  Reinstalable  Información  Factor mas vulnerable  No siempre recuperable  Afecta a:  Economía de la organización  Imagen de la organización  Personas  Factor Humano  Origen mayoritario
2. Seguridad (IV)
2. Seguridad (V)  Tipos de seguridad:  Activa  Objetivo:evitar o reducir los riesgos que amenazan al sistema  Ej: usuario/password, antivirus, encriptación, etc.  Pasiva  Objetivo: minimizar repercusiones y facilitar recuperación del sistema (pos-incidente)  Ej: Realización de copias de seguridad.
2. Seguridad (VI)  Fallo de seguridad:  Consecuencias de un fallo de seguridad  Origen:  Fortuito  usuario, fallo luz, desastre natural, etc.  Fraudulento robo, intrusos, software malicioso, etc.  Propiedades de un SI seguro:  Integridad  Confidencialidad  Disponibilidad
2. Seguridad (VII)  Propiedades: (cont.)  Integridad  Autenticidad y precisión de la información en todo momento  Datos alterados solo de manera autorizada  Medidas:  Prevención y detección de fallos  Tratamiento y resolución de errores detectados
2. Seguridad (VIII)  Propiedades: (cont. II)  Confidencialidad  Datos e información al alcance sólo  De las personas, entidades o mecanismos autorizados, (QUIEN)  En los momentos autorizados (CUANDO)  De la manera autorizada (COMO)  Medidas:  Diseñar un control de acceso al sistema  QUIEN puede acceder  DONDE puede acceder (a que parte del sistema)  CUANDO puede acceder (en que momento)  COMO puede acceder (operaciones que podrá realizar
2. Seguridad (IX)  Propiedades: (cont. III)  Disponibilidad  Para los usuarios autorizados cuando la necesiten  Asociada a la fiabilidad técnica de los componentes del sistema de información  MAGERIT  Metodología de análisis y gestión de riesgos de los sistemas de información  Def. ‘‘Grado en el que un dato está en el lugar, momento y forma en que es requerido por un usuario autorizado’’  Medidas:  Copias de seguridad  Mecanismos de restauración de datos dañados
2. Seguridad (X) 1. La biblioteca pública de una ciudad tiene mobiliario, libros, revistas, microfilms, varios ordenadores para los usuarios en donde pueden consultar libros electrónicos, y un ordenador en el que la bibliotecaria consulta títulos, códigos, referencias y ubicación del material bibliográfico. Indica a continuación de cada elemento con un sí, si forma parte del sistema informático de la biblioteca y con un no sino forma parte de él: a) Libros y revistas de las estanterías b) Mobiliario. c) Microfilms d) Libros electrónicos e) Ordenadores de los usuarios f) Ordenador de la bibliotecaria g) Datos almacenados en el ordenador de la bibliotecaria h) Bibliotecaria.
2. Seguridad (XI) 2. De los elementos relacionados en la pregunta anterior, ¿cuáles pertenecen el sistema de información de la biblioteca? 3. Un incendio fortuito destruye completamente todos los recursos de la biblioteca. ¿En qué grado crees que se verían comprometidas la integridad, la confidencialidad y la disponibilidad de la información? 4. El informático que trabaja para la biblioteca, ¿forma parte del sistema informático de la misma? 5. El ordenador de la biblioteca tiene un antivirus instalado. ¿eso lo hace invulnerable? 6. ¿A qué se deben la mayoría de los fallos de seguridad?. Razona tu respuesta. 7. ¿Podrías leer un mensaje encriptado que no va dirigido a ti? Busca en Internet algunos programas que encriptan mensajes. 8. ¿La copia de seguridad es una medida de seguridad pasiva? 9. ¿Qué propiedades debe cumplir un sistema seguro? 10. ¿Qué garantiza la integridad?
Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
3. Análisis de riesgos  Análisis de vulnerabilidad  de todos los elementos  frente a distintas amenazas  valoración del impacto que un ataque sobre el sistema
3. Análisis de riesgos (II)  Elementos de estudio  Activos  Recursos del sistema de información o relacionados con este  Facilitan el funcionamiento y consecución de objetivos  Importancia de la interrelación entre ellos  Tipos:  Datos, software, hardware, redes, soportes, instal aciones, personal y servicios.
3. Análisis de riesgos (III)  Elementos de estudio (Activos) (cont.)  Datos.  Núcleo de la organización  Resto de activos buscan su protección  Organizados en Bases de Datos  Almacenamiento en soportes diversos  Tipos: Económicos, fiscales, de recursos humanos, clientes o proveedores, etc.  Cada tipo merece un estudio independiente de riesgo  Repercusiones diferentes frente a la pérdida o deterioro (Ej.- Datos de índole confidencial
3. Análisis de riesgos (IV)  Elementos de estudio (Activos) (cont.)  Software.  Sistemas Operativos  Aplicaciones instaladas en los equipos  Reciben y gestionan los datos  Hardware  Equipos (servidores y terminales)  Contienen aplicaciones y datos  Inclusión de los periféricos
3. Análisis de riesgos (V)  Elementos de estudio (Activos) (cont.)  Redes.  Locales, metropolitanas, Internet  Vía de comunicación y transmisión de datos  Soportes  Registro/almacenamiento de información  Temporal/permanentemente  Ej.- CD, DVD, Tarjetas, HD, papel, etc.  Instalaciones  Ubicación de los S. de Información y Comunicaciones  Ej.- Despachos, locales, edificios, vehículos, otros medios de desplazamiento, etc.
3. Análisis de riesgos (VI)  Elementos de estudio (Activos) (cont.)  Personal.  Interactúan con el Sistema de Información  Producen más fallos de seguridad que la tecnología.  Ej.- Administradores, programadores, usuarios internos y externos, etc.  Servicios.  Se ofrecen a clientes o usuarios  Productos, sitios web, foros, correo electrónico y otros (comunicaciones, información, seguridad)
3. Análisis de riesgos (VII)  Elementos de estudio  Amenazas.  Presencia de uno o más factores que atacarán al sistema produciendo daños  Factores: personas, máquinas, sucesos  Situación: frente a cualquier vulnerabilidad  Tipos:  Físicos  Cortes eléctricos, fallos hardware, riesgos ambientales  Errores:  Intencionados o no de usuarios  Software malicioso  Virus, troyanos, gusanos  Robo, destrucción, modificación de la información  Etc.
3. Análisis de riesgos (VIII)  Elementos de estudio (Amenazas)  Clasificación: Según los efectos sobre la información  De Interrupción.  Objetivo: Deshabilitar acceso a información  Ejemplos:  Destrucción de hardware (Disco Duro)  Bloqueo de acceso a los datos  Corte/saturación de canales de comunicación  De Interceptación.  Objetivos:  Acceder a recursos del sistema  Captar información confidencial:  Programas, datos o identidad de personas  Origen:  Personas, programas o equipos no autorizados
3. Análisis de riesgos (IX)  Elementos de estudio (Amenazas) (cont.)  De Modificación.  Objetivo:  Acceder a recursos del sistema  Modificación de programas o datos  Origen:  Personas, programas o equipos no autorizados  De Fabricación.  Agregarían información falsa en el conjunto de información del sistema
3. Análisis de riesgos (X)  Elementos de estudio (Amenazas)  Clasificación: Según el origen de las amenazas  Accidentales:  Accidentes meteorológicos, Incendios, Inundaciones  Fallos en los equipos, en las redes  Fallos en los S.O. o en el software  Errores humanos  Intencionadas:  Origen:  Acción humana  Interna o externa a la organización  Ejemplos:  Introducir software malicioso (incluso automatizado)  Intrusión informática  Robos o hurto
3. Análisis de riesgos (XI)  Elementos de estudio  Riesgos.  Posibilidadde que se materialice una amenaza aprovechando una vulnerabilidad  Sin vulnerabilidad no hay riesgo frente a la amenaza  Cursos de acción:  No hacer nada  El perjuicio no tiene valor alguno  Medidas más costosas que reparación del daño  Aplicar medidas para disminuirlo o anularlo  Transferirlo  Contratando un seguro, por ejemplo.
3. Análisis de riesgos (XII)  Elementos de estudio  Vulnerabilidades.  Probabilidad de que una amenaza se materialice contra un activo  Activos vulnerables a amenazas distintas  Tener en cuenta las de cada activo  Ejemplos:  Datos  hackers  Instalación electrica  cortocircuito
3. Análisis de riesgos (XIII)  Elementos de estudio  Ataques.  Materialización de una amenaza  Accidental o deliberado  Clasificación:  Según impacto causado a activos  Activos:  Modifican, dañas, suprimen o agregan información  Bloquean o saturan canales de comunicación  Pasivos:  Accesos no autorizados a datos del sistema  Mayor dificultad de detección  Según «atacante»:  Directo  Desde el atacante a elemento victima (directamente)  Indirecto  A través de recursos o personas intermediarias.  Ej.- un hacker que usa ordenadores intermediarios para ocultar su identidad (IP)
3. Análisis de riesgos (XIV)  Elementos de estudio  Impactos.  Daños causados  (Consecuencia de la materialización de una(s) amenaza(s) sobre un(os) activo(s) aprovechando una vulnerabilidad del sistema)  Tipos:  Cuantitativos  Se pueden cuantificar económicamente.  Cualitativos  Daños no cuantificables  Ej.- contra los derechos fundamentales de las personas
3. Análisis de riesgos (XV)  Proceso de análisis de riesgos  El esquema lógico para implantar una política de seguridad es: 1. Hacer inventario y valoración de los activos 2. Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos 3. Identificar y evaluar las medidas de seguridad existentes 4. Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan 5. Identificar los objetivos de seguridad de la organización 6. Determinar los sistemas de medición de riesgos 7. Determinar el impacto que produciría un ataque 8. Identificar y seleccionar las medidas de protección
3. Análisis de riesgos (XVI)  Actividades: 11. La ventana de un centro de cálculo en donde se encuentran la mayor parte de los ordenadores y el servidor de una organización se quedó mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una amenaza o una vulnerabilidad? Razona tu respuesta 12. Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de éstas propiedades se verían afectadas por: a) Una amenaza de interrupción b) Una amenaza de interceptación c) Una amenaza de modificación d) Una amenaza de fabricación 13. Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se considera de poca relevancia y que explique de alguna manera que «La cadena siempre se rompe por el eslabón más débil» 14. ¿Qué elementos se estudian para hacer análisis de riesgos?
3. Análisis de riesgos (XVII)  ACTIVIDAD EXTRA: (Búsqueda en la Web)
Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
4. Control de riesgos  Objetivo: Sistema Seguro  ¿Qué servicios son necesarios?  ¿Qué mecanismos habrá que implementar?
4. Control de riesgos (II)  Servicios de Seguridad  Integridad  Datos no han sido alterados ni cancelados  Por personal no autorizado  Contenido de mensajes recibidos correcto  Confidencialidad  Evitar revelación (accidental/deliberada) de datos en una comunicación  Disponibilidad  Siempre que lo requiera el personal autorizado  Autenticación (Identificación)  Capacidad de verificar que el usuario esta autorizado  Tanto en entidad origen como destino de la información
4. Control de riesgos (III)  Servicios de Seguridad (cont.)  No repudio (irrenunciabilidad)  Imposibilidad de negación del envío/recepción de información  Tipos:  En Origen.  Emisor no puede negar envío  Receptor tiene pruebas certificadas del envío y la identidad del emisor  Pruebas emitidas por el emisor  En Destino.  Destinatario no puede negar la recepción  Emisor tiene pruebas infalsificables del envío e identidad del destinatario  Receptor crea las pruebas  Control de acceso  Solo accede personal autorizado
4. Control de riesgos (IV)  Mecanismos de Seguridad  Clasificación (según función desempeñada)  Preventivos.  Actúan antes de que se produzca el ataque.  Tratan de evitar los ataques.  Detectores.  Actúan cuando el ataque se ha producido y antes de que haya daños  Correctores.  Actúan tras un ataque con daños  Corrigen las consecuencias del daño
4. Control de riesgos (V)  Mecanismos de Seguridad (cont.)  1 Mecanismo  1 o + servicios (ofrece)  Dependencia de elección de mecanismos  Función de cada Sistema de Información  Posibilidades económicas de la organización  Riesgos a los que está expuesto el sistema
4. Control de riesgos (VI)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Protección digital directa de la información)  Control de acceso  Usuario / contraseña  Cifrado de datos (Encriptacion)  Clave conocida por emisor / receptor  Mayor confidencialidad  Antivirus  Detectan/impiden software malicioso  Infección  Elimina / arregla daños  Protege integridad información  Preventivo, detector, corrector
4. Control de riesgos (VII)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Protección digital directa de la información) (cont.)  Cortafuegos (Firewall)  Hardware / Software / Ambos  Restringen / Permiten / Deniegan acceso al sistema  Protegen integridad información  Firma digital  Usado en:  Transmisiones telemáticas  Gestión de documentos electrónicos  Identificación segura de persona/equipo responsable de mensaje/documento  Protege integridad y confidencialidad de la información  Certificado digitales  Documentos digitales, mediante entidad intermediaria, garantiza que persona/entidad es quien dice ser  Aval mediante verificación de clave pública  Protege integridad y confidencialidad información
4. Control de riesgos (VIII)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Seguridad WiFi)  Uso de SSID  Service Set Identifier  Nombre de red  Recomendable cambio frecuente  Protección de red con claves encriptadas  WEP (Wired Equivalent Privacy)  Consume más recursos  Fácilmente descifrable  Necesidad de cambio frecuente  WPA (WiFi Protected Access)  Encriptación dinámica  Cambio periódico de clave  Filtrado MAC  Control de acceso hardware  NO es infalible (Enmascaramiento)
4. Control de riesgos (VIII)  Mecanismos de Seguridad (cont.)  Seguridad Física  Tareas y mecanismos físicos para proteger sistema (e información) de peligros físicos y lógicos  Tipos:  Respaldo de datos  Copias de seguridad en lugar seguro  Disponibilidad  Dispositivos físicos de protección  Riesgos no humanos  Pararrayos, detectores de humo, extintores, etc.  Cortafuegos hardware  Alarmas contra intrusos  Sistemas de alimentación ininterrumpida (SAI), etc  Riesgos humanos  Acceso restringido a instalaciones  Ej.- Vigilantes jurado / dispositivos discriminatorios en la entrada
4. Control de riesgos (IV)  Actividades: 15. Investiga el término war driving, que también puede expresarse como wardriving o war xing. ¿Crees qué el war driving constituye un riesgo contra la confidencialidad? 16. ¿Qué relación hay entre servicios de seguridad y mecanismos de seguridad? 17. ¿Qué es el SSID de una red WiFi? 18. ¿Podrías explicar qué significa encriptar un mensaje? Inventa un sencillo sistema de encriptación (codificación). Imagina que envías a otra persona unas palabras codificadas según tu sistema inventado. ¿Qué necesita tener o saber esa persona que recibe tu mensaje para poder descifrarlo? 19. De los siguientes dispositivos indica cuales son los preventivos, detectores o correctores: a) Cortafuegos (firewall) b) Antivirus c) Extintor de fuegos d) Detector de humos e) Firma digital
4. Control de riesgos (V)  Relación entre mecanismos y servicios de seguridad y activos y peligros.
4. Control de riesgos (VI)  Actividades: 20. Imagina esta situación: quieres preguntar a tu jefe una brillante idea que puede interesar a la competencia, pero te encuentras de fin de semana en un pueblecito donde los teléfonos móviles no funcionan, por suerte te has llevado tu portátil y el hotel rural donde te encuentras alojado dispone de servicio de internet. Así que decides enviarle un correo electrónico pero sin encriptar. Explica los peligros de este procedimiento. 21. Investiga que es la esteganografía. 22. ¿Cómo escogerías una clave segura de acceso al ordenador de un empresa donde se guardan datos confidenciales de clientes?
4. Control de riesgos (VII)  Actividades: (cont.) 23. Trabajas como técnico de informática y te llega una llamada de una oficina. Un empleado hacía cada semana una copia de seguridad de la carpeta Documentos Importantes. La copia la guardaba en otra partición del mismo disco duro. Una tormenta eléctrica ha dañado el disco y un experto en informática no ha hallado modo de restablecer su funcionamiento. Te piden que te acerques a la oficina para ver si existe la posibilidad de recuperar al menos los datos. a) ¿Podrás recuperar los datos originales? b) En su defecto, ¿podrán recuperarse los que hay en la copia de seguridad? c) A tu juicio, el empleado ha cometido alguna imprudencia con la copia de seguridad?
4. Control de riesgos (VIII)  Enfoque global de seguridad:  Información  núcleo del SI  Necesidad de mecanismos y servicios de seguridad a todos los niveles  Niveles: (Exterior  Información)  Ubicación física  Ubican los demás niveles  Edificio, plantas, habitaciones.  Hardware / componentes de red  En el interior del entorno físico  Contienen, soportan, distribuyen la información  S.O. / Software  Gestiona la información  Conexión a internet  Contacta el SI y el exterior  Información
4. Control de riesgos (IX)  Enfoque global de la seguridad: (cont.)  Internet está presente en todo:  Edificio:antenas, cableado de los muros, etc.  Hardware: routers, switches, servidores, etc.  S.O. / Software: gestiona el acceso a la web  Información:  Acceso a parte de ella por internet  Acceso sólo mediante autorización  Personal:  Interactúa en todos los niveles
4. Control de riesgos (X)
Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
5. Herramientas de análisis y gestión de riesgos  Política de seguridad:  Directrices u objetivos de la empresa respecto a la seguridad de la información  Parte de la política general  Aprobada por la dirección de la empresa  Debe ser comprensible por todo el personal  Objetivo:  Concienciar al personal de la organización  Importancia especial: personal directo del S.I.  Conocer principios que rigen la seguridad de ésta  Conocer las normas para alcanzar los objetivos de seguridad
5. Herramientas de análisis y gestión de riesgos (II)  Política de seguridad: (cont.)  Depende de la realidad/necesidades de la organización  Existen estándares  por países y áreas (gobierno, medicina, etc.)  Internacionales (ISO)
5. Herramientas de análisis y gestión de riesgos (III)  Política de seguridad: (cont.)  Grupos de objetivos:  Identificación:  Necesidades de seguridad  Riesgos que amenazan al sistema de información  Evaluación del impacto de un ataque  Relacionar:  Medidas de seguridad que deban implementarse  Mejor afrontación de los riesgos de activos (grupo de activos)  Perspectiva general de reglas y procedimientos a aplicar frente a riesgos de cada departamento  Detección de todas las vulnerabilidades del SI  Control de fallos de activos  Definición de un plan de contingencias
5. Herramientas de análisis y gestión de riesgos (III)  Auditoría:  Análisis pormenorizado de un sistema de información  Permite descubrir, identificar y corregir vulnerabilidades  En activos  En procesos  Finalidad:  Verificar que se cumplen los objetivos de la política de seguridad.  Proporciona imagen real y actual del estado de seguridad de un SI.
5. Herramientas de análisis y gestión de riesgos (IV)  Auditoría: (cont.)  Informe:  Activos y procesos:  Descripción y características  Análisis de relaciones y dependencias  Relación y evaluación de vulnerabilidades detectadas  Verificación del cumplimiento de la normativa de seguridad  Propuesta de medidas preventivas y de corrección  Tipos Parcial / Total  Realización  Interna / externa
5. Herramientas de análisis y gestión de riesgos (V)  Auditoría: (cont.)  Herramientas de análisis:  Permiten evaluar la seguridad de un sistema de información  Tipos:  Manuales  Observación (activos, procesos, comportamientos), mediciones, entrevistas, cuestionarios, cálculos, pruebas de funcionamiento.  Software específico para auditoría  CAAT  Computer Assisted Audit Techniques  Aplicables a parte o la totalidad del SI  Realizan imagen en tiempo real del SI  Realizan pruebas de control  Emiten informes sobre vulnerabilidades  Informan del incumplimiento de las normativas
5. Herramientas de análisis y gestión de riesgos (VI)  Actividades: 24. Investiga que es un test de intrusión. 25. Tu jefe te dice que ha detectado que el rendimiento de los trabajadores ha bajado considerablemente desde que la empresa tiene acceso a internet. Te pide que propongas una solución: (Solución real) 26. En tu empresa acaban de crear una claves de seguridad para los empleados. Dichas claves se envían por correo electrónico. ¿Esto es desconocimiento de las prácticas de seguridad?  (VER EJEMPLOS DE LA PLATAFORMA MOODLE)
5. Herramientas de análisis y gestión de riesgos (VII)  Plan de contingencias:  Instrumento de gestión frente a la posible no continuidad del negocio  Contiene medidas tecnológicas, humanas y de organización.  Garantiza continuidad  Protegen el sistema de información de los peligros que los amenazan  Recuperan el sistema de información tras un impacto
5. Herramientas de análisis y gestión de riesgos (VIII)  Plan de contingencias: (cont.)  Subplanes  Plan de Respaldo  Amenaza  Medidas preventivas  Evitan daños  Ej,. backup en lugar seguro, pararrayos, simulacros de incendio.  Plan de Emergencia  Amenaza materializada  Medidas correctivas/paliativas  Ej.- Restaurar Backup, sistema automático de extinción de incendios.  Plan de recuperación  Desastre producido Medidas restauradoras  Evaluar impacto  volver a normalidad  Ej.- Lugar de trabajo alternativo, sustituir material, etc.  Personal.  Estará informado del plan  Estará entrenado para actuar en lo que se le encomiende
5. Herramientas de análisis y gestión de riesgos (IX)  Actividades: 27. El hecho de preparar un plan de contingencias, ¿implica un reconocimiento de la ineficiencia en la gestión de la empresa? 28. ¿Cuál es la orientación principal de un plan de contingencia? 29. Investiga: diferencias entre redes cableadas y redes inalámbricas (WiFi). 30. ¿En qué se basa la recuperación de la información? 31. Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Qué deberá contemplar? 32. Trabajas en una empresa donde además de la ofician central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? 33. En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse del portátil en un taxi, el robo del ordenador. ¿crees qué cubrir estos puntos es acertado?
5. Herramientas de análisis y gestión de riesgos (X)  Modelos de seguridad:  Expresión formal de un política de seguridad  NOTA: Formal implica que está redactado en términos técnico y matemáticos  Utilizado como directriz de evaluación de sistemas de información  Clasificación:  Según las funciones/operaciones sobre las que se ejerce mayor control)  Grupos:  Matriz de Acceso  Acceso basado en funciones de control  Multinivel
5. Herramientas de análisis y gestión de riesgos (XI)  Modelos de seguridad: (cont.)  Matriz de acceso:  Elementos básicos: sujeto, objeto y tipo de acceso  Aplicación: cualquier SI, controla confidencialidad e integridad de los datos  Acceso basado en funciones de control  RBAC  Role Access Base Control  Modalidad del anterior  Acceso por función, no por sujeto  Ej.- usua rio que es alumno/profesor  Aplicación: controla confidencialidad e integridad de los datos
5. Herramientas de análisis y gestión de riesgos (XII)  Modelos de seguridad: (cont.)  Multinivel:  Basado en la jerarquización de los datos  Igual importancia en los datos  Distinta privacidad de los datos  Ej.- Datos personales frente a nombres de productos  Acceso de usuarios  según nivel autorizado  Mejor control del flujo de datos entre niveles  Ejemplos:  Modelo Bell-LaPadula (confidencialidad)  Modelo Biba (integridad)
5. Herramientas de análisis y gestión de riesgos (XIII)  Actividades: 34. ¿Una misma política de seguridad puede servir a todo tipo de empresas? 35. ¿De qué modo debe ser redactada la política de seguridad de una organización? 36. Define con tus propias palabras que es un plan de contingencias. 37. Investiga en internet sobre empresas especializadas en auditorias de sistemas de información (sugerencias: Hipasec, Audisis). Escoge una de estas empresas y contesta las siguientes preguntas: a) ¿En qué fases realiza auditoría? b) ¿Qué tipos de auditoría realiza? c) ¿Ofrece revisiones periódicas del sistema? 38. Investiga en internet para encontrar el software de auditoria: CaseWare, WizSoft, Ecora, ACL, AUDAP y otros. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo la auditoría. 39. Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe la definición que hace del modelo.
PRACTICA PROFESIONAL
MUNDO LABORAL  Lectura del artículo:  http://lta.reuters.com/article/internetNews/i dLTASIE56L08920090722
Unidad 1: Introducción a la Seguridad Informática

Recomendados

Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Cuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaCuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaBilly2010
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de softwareCentro Líbano
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Requerimientos no funcionales
Requerimientos no funcionalesRequerimientos no funcionales
Requerimientos no funcionalesAngel Minga
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de tiRuben Robles
 

Recomendados

Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Cuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaCuestionario para una Auditoria Informática
Cuestionario para una Auditoria InformáticaBilly2010
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
Auditoriade basededatos
Auditoriade basededatosAuditoriade basededatos
Auditoriade basededatosBlanca Lopez
 
Estrategias prueba de software
Estrategias prueba de softwareEstrategias prueba de software
Estrategias prueba de softwareCentro Líbano
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Requerimientos no funcionales
Requerimientos no funcionalesRequerimientos no funcionales
Requerimientos no funcionalesAngel Minga
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de tiRuben Robles
 
BASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCIONBASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCIONejjsm
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJoannamar
 
Tema 6
Tema 6Tema 6
Tema 6Carmelo Branimir España Villegas
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Métricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxMétricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxEduardo Robayo
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del softwareINSTITUTO GEOGRAFICO DE VENEZUELA SIMÓN BOLÍVAR
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOivanvelascog
 
Tema 3
Tema 3Tema 3
Tema 3Carmelo Branimir España Villegas
 
Iso 25000
Iso 25000Iso 25000
Iso 25000Espinosa Benilda
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Iso 25000
Iso 25000Iso 25000
Iso 25000Miguel Angel Marin Naranjo
 
Semana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitosSemana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitosvictdiazm
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del SoftwareJuan Pablo Bustos Thames
 
Verificación y Validación de Software
Verificación y Validación de SoftwareVerificación y Validación de Software
Verificación y Validación de SoftwareJeniffer Manosalvas
 
Metricas Ingenieria De Software
Metricas Ingenieria De SoftwareMetricas Ingenieria De Software
Metricas Ingenieria De SoftwareRicardo
 
Fundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - IntroducciónFundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - IntroducciónProfessional Testing
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Softwarealbert317
 
Métrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigoMétrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigoJesús E. CuRias
 
Tareas materia seguridad informatica
Tareas materia seguridad informaticaTareas materia seguridad informatica
Tareas materia seguridad informaticaTecnologico Superior Vida Nueva
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 

Mais conteúdo relacionado

Mais procurados

BASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCIONBASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCIONejjsm
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJoannamar
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Métricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxMétricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxEduardo Robayo
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticasyomito_2
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOivanvelascog
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Semana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitosSemana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitosvictdiazm
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Verificación y Validación de Software
Verificación y Validación de SoftwareVerificación y Validación de Software
Verificación y Validación de SoftwareJeniffer Manosalvas
 
Metricas Ingenieria De Software
Metricas Ingenieria De SoftwareMetricas Ingenieria De Software
Metricas Ingenieria De SoftwareRicardo
 
Fundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - IntroducciónFundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - IntroducciónProfessional Testing
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Softwarealbert317
 
Métrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigoMétrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigoJesús E. CuRias
 

Mais procurados (20)

BASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCIONBASE DE DATOS INTRODUCCION
BASE DE DATOS INTRODUCCION
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tema 6
Tema 6Tema 6
Tema 6
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Métricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptxMétricas de Calidad del Software.pptx
Métricas de Calidad del Software.pptx
 
18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas18646089 tipos-y-clases-de-auditorias-informaticas
18646089 tipos-y-clases-de-auditorias-informaticas
 
Arquitectura del software
Arquitectura del softwareArquitectura del software
Arquitectura del software
 
PERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICOPERFIL DEL AUDITOR INFORMÁTICO
PERFIL DEL AUDITOR INFORMÁTICO
 
Tema 3
Tema 3Tema 3
Tema 3
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
Iso 25000
Iso 25000Iso 25000
Iso 25000
 
Semana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitosSemana 5 y 6 cursores implícitos y explícitos
Semana 5 y 6 cursores implícitos y explícitos
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Pruebas del Software
Pruebas del SoftwarePruebas del Software
Pruebas del Software
 
Verificación y Validación de Software
Verificación y Validación de SoftwareVerificación y Validación de Software
Verificación y Validación de Software
 
Metricas Ingenieria De Software
Metricas Ingenieria De SoftwareMetricas Ingenieria De Software
Metricas Ingenieria De Software
 
Fundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - IntroducciónFundamentos de Pruebas de Software - Introducción
Fundamentos de Pruebas de Software - Introducción
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Software
 
Métrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigoMétrica de punto de función y lineas de codigo
Métrica de punto de función y lineas de codigo
 

Destaque

Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingJose Manuel Acosta
 
Unidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad PasivaUnidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad Pasivavverdu
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Neila Rincon
 
Las amenazas en informática
Las amenazas en informáticaLas amenazas en informática
Las amenazas en informáticacarla zeña
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informáticapersonal
 
Analisis foda, admon, informatica caso real
Analisis foda, admon, informatica caso realAnalisis foda, admon, informatica caso real
Analisis foda, admon, informatica caso realOlga Luz Lopez Lopez
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Fol solucionario
Fol solucionarioFol solucionario
Fol solucionariomagnetotan
 
Publicidad y propaganda
Publicidad y propagandaPublicidad y propaganda
Publicidad y propagandamadeana81
 

Destaque (16)

Tareas materia seguridad informatica
Tareas materia seguridad informaticaTareas materia seguridad informatica
Tareas materia seguridad informatica
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
 
Encriptacion
EncriptacionEncriptacion
Encriptacion
 
Seguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical HackingSeguridad Informatica y Ethical Hacking
Seguridad Informatica y Ethical Hacking
 
Unidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad PasivaUnidad 2 - Seguridad Pasiva
Unidad 2 - Seguridad Pasiva
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Las amenazas en informática
Las amenazas en informáticaLas amenazas en informática
Las amenazas en informática
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informática
 
Analisis foda, admon, informatica caso real
Analisis foda, admon, informatica caso realAnalisis foda, admon, informatica caso real
Analisis foda, admon, informatica caso real
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Fol solucionario
Fol solucionarioFol solucionario
Fol solucionario
 
Publicidad y propaganda
Publicidad y propagandaPublicidad y propaganda
Publicidad y propaganda
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 

Semelhante a Unidad 1: Introducción a la Seguridad Informática

Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informaticaDaniel Gonzalez
 
Act6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufinoAct6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufinoguadalupegrande
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
preguntasseguridadinformtica.pdf
preguntasseguridadinformtica.pdfpreguntasseguridadinformtica.pdf
preguntasseguridadinformtica.pdfZoilaNagua1
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario romanmariosk8love
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticablegro
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeejohanna mc gee
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 

Semelhante a Unidad 1: Introducción a la Seguridad Informática (20)

Conferencia seguridad informatica
Conferencia seguridad informaticaConferencia seguridad informatica
Conferencia seguridad informatica
 
Act6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufinoAct6.ma.guadalupe grande rufino
Act6.ma.guadalupe grande rufino
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Ut1 conceptos basicos
Ut1 conceptos basicosUt1 conceptos basicos
Ut1 conceptos basicos
 
preguntasseguridadinformtica.pdf
preguntasseguridadinformtica.pdfpreguntasseguridadinformtica.pdf
preguntasseguridadinformtica.pdf
 
Seguridad informatica mario roman
Seguridad informatica mario romanSeguridad informatica mario roman
Seguridad informatica mario roman
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgeeEdicion decontenido informaticaaplicadaalaeducacion_johannamcgee
Edicion decontenido informaticaaplicadaalaeducacion_johannamcgee
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodes
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
SI
SISI
SI
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 

Mais de DarbyPC

Componentes Hardware del Smartphone
Componentes Hardware del SmartphoneComponentes Hardware del Smartphone
Componentes Hardware del SmartphoneDarbyPC
 
Componentes Hardware Secundarios
Componentes Hardware SecundariosComponentes Hardware Secundarios
Componentes Hardware SecundariosDarbyPC
 
Proyecto de Mobile Learning
Proyecto de Mobile LearningProyecto de Mobile Learning
Proyecto de Mobile LearningDarbyPC
 
Presentacion (Redes Locales)
Presentacion (Redes Locales)Presentacion (Redes Locales)
Presentacion (Redes Locales)DarbyPC
 
Unidad 01: Aplicaciones Web De Escritorio
Unidad 01: Aplicaciones Web De EscritorioUnidad 01: Aplicaciones Web De Escritorio
Unidad 01: Aplicaciones Web De EscritorioDarbyPC
 
Unidad 01: Introducción y Caracterización de las Redes Locales
Unidad 01: Introducción y Caracterización de las Redes LocalesUnidad 01: Introducción y Caracterización de las Redes Locales
Unidad 01: Introducción y Caracterización de las Redes LocalesDarbyPC
 

Mais de DarbyPC (7)

Componentes Hardware del Smartphone
Componentes Hardware del SmartphoneComponentes Hardware del Smartphone
Componentes Hardware del Smartphone
 
Componentes Hardware Secundarios
Componentes Hardware SecundariosComponentes Hardware Secundarios
Componentes Hardware Secundarios
 
Proyecto de Mobile Learning
Proyecto de Mobile LearningProyecto de Mobile Learning
Proyecto de Mobile Learning
 
Prueba
PruebaPrueba
Prueba
 
Presentacion (Redes Locales)
Presentacion (Redes Locales)Presentacion (Redes Locales)
Presentacion (Redes Locales)
 
Unidad 01: Aplicaciones Web De Escritorio
Unidad 01: Aplicaciones Web De EscritorioUnidad 01: Aplicaciones Web De Escritorio
Unidad 01: Aplicaciones Web De Escritorio
 
Unidad 01: Introducción y Caracterización de las Redes Locales
Unidad 01: Introducción y Caracterización de las Redes LocalesUnidad 01: Introducción y Caracterización de las Redes Locales
Unidad 01: Introducción y Caracterización de las Redes Locales
 

Último

Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularMooPandrea
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfPaolaRopero2
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfFrancisco158360
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
Estrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxEstrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxdkmeza
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 

Último (20)

Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Presentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza MultigradoPresentacion Metodología de Enseñanza Multigrado
Presentacion Metodología de Enseñanza Multigrado
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Ley 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circularLey 21.545 - Circular Nº 586.pdf circular
Ley 21.545 - Circular Nº 586.pdf circular
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
Estrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptxEstrategias de enseñanza-aprendizaje virtual.pptx
Estrategias de enseñanza-aprendizaje virtual.pptx
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 

Unidad 1: Introducción a la Seguridad Informática

  • 1. Seguridad informática Introducción a la seguridad informática (Unidad1)
  • 2. Indice  Objetivos  Caso práctico inicial  Contenidos  Sistemas de información y sistemas informáticos  Seguridad  Análisis de riesgos  Control de riesgos  Herramientas de análisis y gestión de riesgos  Práctica profesional  Mundo laboral  Esquema-Resumen
  • 3. Objetivos  Distinguir entre sistema de información y sistema informático  Conocer el significado de Seguridad:  En el amplio concepto de sistema de información  En el concreto concepto de sistema de informático  Conocer las propiedades de un sistema seguro  Entender los conceptos: activo, amenaza, riesgo, vulnerabilidad, ataque e impacto  Entender lo que son servicios, mecanismos y herramientas de seguridad  Obtener la base necesaria para profundizar en el mundo de la seguridad informática
  • 4. Caso práctico inicial  Situación de partida:  Una clínica dental se dirige a un empresa de servicios informáticos solicitando un estudio de sus equipo e instalaciones para determinar el grado de seguridad informática y los ajustes que se consideren necesarios.  Un trabajador de la empresa informática se dirige a la clínica y mantiene una entrevista con el titular de la misma, quien le informa de los siguientes aspectos:
  • 5. Caso práctico inicial (II)  Situación de partida: (Cont.)  El personal de la clínica está formado por:  eltitular, médico especializado en odontología.  Como contratados:  otro odontólogo,  dos auxiliares de clínica y  un auxiliar administrativo, que también ejerce como recepcionista,  y una persona para la limpieza.
  • 6. Caso práctico inicial (III)  Situación de partida: (Cont.)  La clínica cuenta con dos consultas, cada una de ellas con un especialista en odontología. En cada consulta hay un ordenador desde el que pueden consultar la base de datos de pacientes tanto el especialista como el auxiliar de clínica que trabaja en esa consulta.  En recepción hay otro ordenador con un programa de tipo agenda para consultar las horas libres y anotar las citas.  En un despacho aparte están los archivos en soporte papel y donde se encuentra el servidor.
  • 7. Caso práctico inicial (IV)  Situación de partida: (Cont.)  Todos los ordenadores tienen sistema operativo Windows, excepto el servidor que es Linux.  El objetivo de la clínica es proteger la información, especialmente la relativa a los historiales médicos de los pacientes.
  • 8. Caso práctico inicial (V)  Estudio del caso: 1. Elabora un listado de los activos de la clínica.  ¿Cuáles son los activos? 2. Observa que sistemas de seguridad física y lógica están protegiendo actualmente el sistema. Si están revisados y actualizados.  ¿Qué es la seguridad física y lógica? 3. Comprueba cuales son las vulnerabilidades del sistema informático, tanto en software, como en el hardware, el personal y las instalaciones.  ¿Qué propiedades debe tener el sistema de información para ser seguro?  ¿Qué amenazas y riesgos existen?  ¿Qué vulnerabilidades tiene el sistema?
  • 9. Caso práctico inicial (VI)  Estudio del caso: (Cont.) 4. Elabora un listado de servicios y mecanismos que incrementarían la seguridad de la información.  ¿Qué servicios de seguridad se necesitan y qué mecanismos son necesarios para asegurar esos servicios? 5. Investiga si la clínica dispone de una política de seguridad o un plan de contingencias.  ¿Está informado todo el personal de la política de seguridad?  ¿Se realizan ensayos y simulacros según el plan de contingencias? 6. Determina si la clínica requiere una auditoría informática.  ¿En que consistirá la auditoría?  ¿Se realizará con algún software específico para auditoría informática?
  • 10. Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 11. 1. Sistemas de información y sistemas informáticos  Sistema de información (SI)  Conjunto de elementos  Recursos físicos (PC’s, periféricos, etc) y lógicos (SO’s y aplicaciones) Información  Equipo humano  Información (Datos organizados de la Actividades empresa, independientemente OBJETIVOS del soporte) Personal de la EMPRESA  Actividades (de la empresa, informáticas o no)  Organizados, relacionados y Recursos coordinados entre sí  Facilitan el funcionamiento global de una empresa u actividad humana para conseguir sus objetivos
  • 12. 1. Sistemas de información y sistemas informáticos (II)  Sistema informático  Conjunto de elementos:  Físicos  Hardware, Dispositivos, Periféricos y Conexiones  Lógicos (software)  Sistemas operativos, Aplicaciones, Protocolos, etc.  Humanos  Personal experto que maneja hardware y software
  • 13. 1. Sistemas de información y sistemas informáticos (III) Actividad en un sistema informático Procesamiento Calcular Entrada Entrada Almacenamiento Salida Ordenar Clasificar Retroalimentación
  • 14. 1. Sistemas de información y sistemas informáticos (IV)  Conclusiones:  Sistema Informático  Subconjunto del Sistema de Información  Sistema de Información  No siempre contiene elementos informáticos (Difícil hoy en día, que no lo incluya)
  • 15. Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 16. 2. Seguridad  Definición:  RAE:  Libre y exento de todo peligro daño y riesgo  CLASE:  Disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable  SIEMPREexiste un margen de riesgo (Pese a las medidas de seguridad)
  • 17. 2. Seguridad (II)  ¿Qué necesitamos saber? (En el establecimiento de un sistema de seguridad):  Que elementos componen el sistema  Interacción con responsables de la empresa  Apreciación directa  Que peligros, accidentales o provocados, afectan al sistema  Extrapolados desde la información recibida  Realización de pruebas sobre la empresa  Que medidas deberían adoptarse para conocer, prevenir, impedir, reducir, o controlar los riesgos potenciales.  Estudio de Riesgos + Implantación de medidas + Seguimiento periódico (Revisión y actualización de medidas adoptadas)
  • 18. 2. Seguridad (III)  Fallos de seguridad  Afecta a cualquier elemento  Hardware  Reemplazables  Software  Reinstalable  Información  Factor mas vulnerable  No siempre recuperable  Afecta a:  Economía de la organización  Imagen de la organización  Personas  Factor Humano  Origen mayoritario
  • 20. 2. Seguridad (V)  Tipos de seguridad:  Activa  Objetivo:evitar o reducir los riesgos que amenazan al sistema  Ej: usuario/password, antivirus, encriptación, etc.  Pasiva  Objetivo: minimizar repercusiones y facilitar recuperación del sistema (pos-incidente)  Ej: Realización de copias de seguridad.
  • 21. 2. Seguridad (VI)  Fallo de seguridad:  Consecuencias de un fallo de seguridad  Origen:  Fortuito  usuario, fallo luz, desastre natural, etc.  Fraudulento robo, intrusos, software malicioso, etc.  Propiedades de un SI seguro:  Integridad  Confidencialidad  Disponibilidad
  • 22. 2. Seguridad (VII)  Propiedades: (cont.)  Integridad  Autenticidad y precisión de la información en todo momento  Datos alterados solo de manera autorizada  Medidas:  Prevención y detección de fallos  Tratamiento y resolución de errores detectados
  • 23. 2. Seguridad (VIII)  Propiedades: (cont. II)  Confidencialidad  Datos e información al alcance sólo  De las personas, entidades o mecanismos autorizados, (QUIEN)  En los momentos autorizados (CUANDO)  De la manera autorizada (COMO)  Medidas:  Diseñar un control de acceso al sistema  QUIEN puede acceder  DONDE puede acceder (a que parte del sistema)  CUANDO puede acceder (en que momento)  COMO puede acceder (operaciones que podrá realizar
  • 24. 2. Seguridad (IX)  Propiedades: (cont. III)  Disponibilidad  Para los usuarios autorizados cuando la necesiten  Asociada a la fiabilidad técnica de los componentes del sistema de información  MAGERIT  Metodología de análisis y gestión de riesgos de los sistemas de información  Def. ‘‘Grado en el que un dato está en el lugar, momento y forma en que es requerido por un usuario autorizado’’  Medidas:  Copias de seguridad  Mecanismos de restauración de datos dañados
  • 25. 2. Seguridad (X) 1. La biblioteca pública de una ciudad tiene mobiliario, libros, revistas, microfilms, varios ordenadores para los usuarios en donde pueden consultar libros electrónicos, y un ordenador en el que la bibliotecaria consulta títulos, códigos, referencias y ubicación del material bibliográfico. Indica a continuación de cada elemento con un sí, si forma parte del sistema informático de la biblioteca y con un no sino forma parte de él: a) Libros y revistas de las estanterías b) Mobiliario. c) Microfilms d) Libros electrónicos e) Ordenadores de los usuarios f) Ordenador de la bibliotecaria g) Datos almacenados en el ordenador de la bibliotecaria h) Bibliotecaria.
  • 26. 2. Seguridad (XI) 2. De los elementos relacionados en la pregunta anterior, ¿cuáles pertenecen el sistema de información de la biblioteca? 3. Un incendio fortuito destruye completamente todos los recursos de la biblioteca. ¿En qué grado crees que se verían comprometidas la integridad, la confidencialidad y la disponibilidad de la información? 4. El informático que trabaja para la biblioteca, ¿forma parte del sistema informático de la misma? 5. El ordenador de la biblioteca tiene un antivirus instalado. ¿eso lo hace invulnerable? 6. ¿A qué se deben la mayoría de los fallos de seguridad?. Razona tu respuesta. 7. ¿Podrías leer un mensaje encriptado que no va dirigido a ti? Busca en Internet algunos programas que encriptan mensajes. 8. ¿La copia de seguridad es una medida de seguridad pasiva? 9. ¿Qué propiedades debe cumplir un sistema seguro? 10. ¿Qué garantiza la integridad?
  • 27. Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 28. 3. Análisis de riesgos  Análisis de vulnerabilidad  de todos los elementos  frente a distintas amenazas  valoración del impacto que un ataque sobre el sistema
  • 29. 3. Análisis de riesgos (II)  Elementos de estudio  Activos  Recursos del sistema de información o relacionados con este  Facilitan el funcionamiento y consecución de objetivos  Importancia de la interrelación entre ellos  Tipos:  Datos, software, hardware, redes, soportes, instal aciones, personal y servicios.
  • 30. 3. Análisis de riesgos (III)  Elementos de estudio (Activos) (cont.)  Datos.  Núcleo de la organización  Resto de activos buscan su protección  Organizados en Bases de Datos  Almacenamiento en soportes diversos  Tipos: Económicos, fiscales, de recursos humanos, clientes o proveedores, etc.  Cada tipo merece un estudio independiente de riesgo  Repercusiones diferentes frente a la pérdida o deterioro (Ej.- Datos de índole confidencial
  • 31. 3. Análisis de riesgos (IV)  Elementos de estudio (Activos) (cont.)  Software.  Sistemas Operativos  Aplicaciones instaladas en los equipos  Reciben y gestionan los datos  Hardware  Equipos (servidores y terminales)  Contienen aplicaciones y datos  Inclusión de los periféricos
  • 32. 3. Análisis de riesgos (V)  Elementos de estudio (Activos) (cont.)  Redes.  Locales, metropolitanas, Internet  Vía de comunicación y transmisión de datos  Soportes  Registro/almacenamiento de información  Temporal/permanentemente  Ej.- CD, DVD, Tarjetas, HD, papel, etc.  Instalaciones  Ubicación de los S. de Información y Comunicaciones  Ej.- Despachos, locales, edificios, vehículos, otros medios de desplazamiento, etc.
  • 33. 3. Análisis de riesgos (VI)  Elementos de estudio (Activos) (cont.)  Personal.  Interactúan con el Sistema de Información  Producen más fallos de seguridad que la tecnología.  Ej.- Administradores, programadores, usuarios internos y externos, etc.  Servicios.  Se ofrecen a clientes o usuarios  Productos, sitios web, foros, correo electrónico y otros (comunicaciones, información, seguridad)
  • 34. 3. Análisis de riesgos (VII)  Elementos de estudio  Amenazas.  Presencia de uno o más factores que atacarán al sistema produciendo daños  Factores: personas, máquinas, sucesos  Situación: frente a cualquier vulnerabilidad  Tipos:  Físicos  Cortes eléctricos, fallos hardware, riesgos ambientales  Errores:  Intencionados o no de usuarios  Software malicioso  Virus, troyanos, gusanos  Robo, destrucción, modificación de la información  Etc.
  • 35. 3. Análisis de riesgos (VIII)  Elementos de estudio (Amenazas)  Clasificación: Según los efectos sobre la información  De Interrupción.  Objetivo: Deshabilitar acceso a información  Ejemplos:  Destrucción de hardware (Disco Duro)  Bloqueo de acceso a los datos  Corte/saturación de canales de comunicación  De Interceptación.  Objetivos:  Acceder a recursos del sistema  Captar información confidencial:  Programas, datos o identidad de personas  Origen:  Personas, programas o equipos no autorizados
  • 36. 3. Análisis de riesgos (IX)  Elementos de estudio (Amenazas) (cont.)  De Modificación.  Objetivo:  Acceder a recursos del sistema  Modificación de programas o datos  Origen:  Personas, programas o equipos no autorizados  De Fabricación.  Agregarían información falsa en el conjunto de información del sistema
  • 37. 3. Análisis de riesgos (X)  Elementos de estudio (Amenazas)  Clasificación: Según el origen de las amenazas  Accidentales:  Accidentes meteorológicos, Incendios, Inundaciones  Fallos en los equipos, en las redes  Fallos en los S.O. o en el software  Errores humanos  Intencionadas:  Origen:  Acción humana  Interna o externa a la organización  Ejemplos:  Introducir software malicioso (incluso automatizado)  Intrusión informática  Robos o hurto
  • 38. 3. Análisis de riesgos (XI)  Elementos de estudio  Riesgos.  Posibilidadde que se materialice una amenaza aprovechando una vulnerabilidad  Sin vulnerabilidad no hay riesgo frente a la amenaza  Cursos de acción:  No hacer nada  El perjuicio no tiene valor alguno  Medidas más costosas que reparación del daño  Aplicar medidas para disminuirlo o anularlo  Transferirlo  Contratando un seguro, por ejemplo.
  • 39. 3. Análisis de riesgos (XII)  Elementos de estudio  Vulnerabilidades.  Probabilidad de que una amenaza se materialice contra un activo  Activos vulnerables a amenazas distintas  Tener en cuenta las de cada activo  Ejemplos:  Datos  hackers  Instalación electrica  cortocircuito
  • 40. 3. Análisis de riesgos (XIII)  Elementos de estudio  Ataques.  Materialización de una amenaza  Accidental o deliberado  Clasificación:  Según impacto causado a activos  Activos:  Modifican, dañas, suprimen o agregan información  Bloquean o saturan canales de comunicación  Pasivos:  Accesos no autorizados a datos del sistema  Mayor dificultad de detección  Según «atacante»:  Directo  Desde el atacante a elemento victima (directamente)  Indirecto  A través de recursos o personas intermediarias.  Ej.- un hacker que usa ordenadores intermediarios para ocultar su identidad (IP)
  • 41. 3. Análisis de riesgos (XIV)  Elementos de estudio  Impactos.  Daños causados  (Consecuencia de la materialización de una(s) amenaza(s) sobre un(os) activo(s) aprovechando una vulnerabilidad del sistema)  Tipos:  Cuantitativos  Se pueden cuantificar económicamente.  Cualitativos  Daños no cuantificables  Ej.- contra los derechos fundamentales de las personas
  • 42. 3. Análisis de riesgos (XV)  Proceso de análisis de riesgos  El esquema lógico para implantar una política de seguridad es: 1. Hacer inventario y valoración de los activos 2. Identificar y valorar las amenazas que puedan afectar a la seguridad de los activos 3. Identificar y evaluar las medidas de seguridad existentes 4. Identificar y valorar las vulnerabilidades de los activos a las amenazas que les afectan 5. Identificar los objetivos de seguridad de la organización 6. Determinar los sistemas de medición de riesgos 7. Determinar el impacto que produciría un ataque 8. Identificar y seleccionar las medidas de protección
  • 43. 3. Análisis de riesgos (XVI)  Actividades: 11. La ventana de un centro de cálculo en donde se encuentran la mayor parte de los ordenadores y el servidor de una organización se quedó mal cerrada. Durante una noche de tormenta, la ventana abierta ¿constituye un riesgo, una amenaza o una vulnerabilidad? Razona tu respuesta 12. Teniendo en cuenta las propiedades de integridad, disponibilidad y confidencialidad, indica cuales de éstas propiedades se verían afectadas por: a) Una amenaza de interrupción b) Una amenaza de interceptación c) Una amenaza de modificación d) Una amenaza de fabricación 13. Pon un ejemplo de como un sistema de información podría ser seriamente dañado por la presencia de un factor que se considera de poca relevancia y que explique de alguna manera que «La cadena siempre se rompe por el eslabón más débil» 14. ¿Qué elementos se estudian para hacer análisis de riesgos?
  • 44. 3. Análisis de riesgos (XVII)  ACTIVIDAD EXTRA: (Búsqueda en la Web)
  • 45. Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 46. 4. Control de riesgos  Objetivo: Sistema Seguro  ¿Qué servicios son necesarios?  ¿Qué mecanismos habrá que implementar?
  • 47. 4. Control de riesgos (II)  Servicios de Seguridad  Integridad  Datos no han sido alterados ni cancelados  Por personal no autorizado  Contenido de mensajes recibidos correcto  Confidencialidad  Evitar revelación (accidental/deliberada) de datos en una comunicación  Disponibilidad  Siempre que lo requiera el personal autorizado  Autenticación (Identificación)  Capacidad de verificar que el usuario esta autorizado  Tanto en entidad origen como destino de la información
  • 48. 4. Control de riesgos (III)  Servicios de Seguridad (cont.)  No repudio (irrenunciabilidad)  Imposibilidad de negación del envío/recepción de información  Tipos:  En Origen.  Emisor no puede negar envío  Receptor tiene pruebas certificadas del envío y la identidad del emisor  Pruebas emitidas por el emisor  En Destino.  Destinatario no puede negar la recepción  Emisor tiene pruebas infalsificables del envío e identidad del destinatario  Receptor crea las pruebas  Control de acceso  Solo accede personal autorizado
  • 49. 4. Control de riesgos (IV)  Mecanismos de Seguridad  Clasificación (según función desempeñada)  Preventivos.  Actúan antes de que se produzca el ataque.  Tratan de evitar los ataques.  Detectores.  Actúan cuando el ataque se ha producido y antes de que haya daños  Correctores.  Actúan tras un ataque con daños  Corrigen las consecuencias del daño
  • 50. 4. Control de riesgos (V)  Mecanismos de Seguridad (cont.)  1 Mecanismo  1 o + servicios (ofrece)  Dependencia de elección de mecanismos  Función de cada Sistema de Información  Posibilidades económicas de la organización  Riesgos a los que está expuesto el sistema
  • 51. 4. Control de riesgos (VI)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Protección digital directa de la información)  Control de acceso  Usuario / contraseña  Cifrado de datos (Encriptacion)  Clave conocida por emisor / receptor  Mayor confidencialidad  Antivirus  Detectan/impiden software malicioso  Infección  Elimina / arregla daños  Protege integridad información  Preventivo, detector, corrector
  • 52. 4. Control de riesgos (VII)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Protección digital directa de la información) (cont.)  Cortafuegos (Firewall)  Hardware / Software / Ambos  Restringen / Permiten / Deniegan acceso al sistema  Protegen integridad información  Firma digital  Usado en:  Transmisiones telemáticas  Gestión de documentos electrónicos  Identificación segura de persona/equipo responsable de mensaje/documento  Protege integridad y confidencialidad de la información  Certificado digitales  Documentos digitales, mediante entidad intermediaria, garantiza que persona/entidad es quien dice ser  Aval mediante verificación de clave pública  Protege integridad y confidencialidad información
  • 53. 4. Control de riesgos (VIII)  Mecanismos de Seguridad (cont.)  Seguridad Lógica (Seguridad WiFi)  Uso de SSID  Service Set Identifier  Nombre de red  Recomendable cambio frecuente  Protección de red con claves encriptadas  WEP (Wired Equivalent Privacy)  Consume más recursos  Fácilmente descifrable  Necesidad de cambio frecuente  WPA (WiFi Protected Access)  Encriptación dinámica  Cambio periódico de clave  Filtrado MAC  Control de acceso hardware  NO es infalible (Enmascaramiento)
  • 54. 4. Control de riesgos (VIII)  Mecanismos de Seguridad (cont.)  Seguridad Física  Tareas y mecanismos físicos para proteger sistema (e información) de peligros físicos y lógicos  Tipos:  Respaldo de datos  Copias de seguridad en lugar seguro  Disponibilidad  Dispositivos físicos de protección  Riesgos no humanos  Pararrayos, detectores de humo, extintores, etc.  Cortafuegos hardware  Alarmas contra intrusos  Sistemas de alimentación ininterrumpida (SAI), etc  Riesgos humanos  Acceso restringido a instalaciones  Ej.- Vigilantes jurado / dispositivos discriminatorios en la entrada
  • 55. 4. Control de riesgos (IV)  Actividades: 15. Investiga el término war driving, que también puede expresarse como wardriving o war xing. ¿Crees qué el war driving constituye un riesgo contra la confidencialidad? 16. ¿Qué relación hay entre servicios de seguridad y mecanismos de seguridad? 17. ¿Qué es el SSID de una red WiFi? 18. ¿Podrías explicar qué significa encriptar un mensaje? Inventa un sencillo sistema de encriptación (codificación). Imagina que envías a otra persona unas palabras codificadas según tu sistema inventado. ¿Qué necesita tener o saber esa persona que recibe tu mensaje para poder descifrarlo? 19. De los siguientes dispositivos indica cuales son los preventivos, detectores o correctores: a) Cortafuegos (firewall) b) Antivirus c) Extintor de fuegos d) Detector de humos e) Firma digital
  • 56. 4. Control de riesgos (V)  Relación entre mecanismos y servicios de seguridad y activos y peligros.
  • 57. 4. Control de riesgos (VI)  Actividades: 20. Imagina esta situación: quieres preguntar a tu jefe una brillante idea que puede interesar a la competencia, pero te encuentras de fin de semana en un pueblecito donde los teléfonos móviles no funcionan, por suerte te has llevado tu portátil y el hotel rural donde te encuentras alojado dispone de servicio de internet. Así que decides enviarle un correo electrónico pero sin encriptar. Explica los peligros de este procedimiento. 21. Investiga que es la esteganografía. 22. ¿Cómo escogerías una clave segura de acceso al ordenador de un empresa donde se guardan datos confidenciales de clientes?
  • 58. 4. Control de riesgos (VII)  Actividades: (cont.) 23. Trabajas como técnico de informática y te llega una llamada de una oficina. Un empleado hacía cada semana una copia de seguridad de la carpeta Documentos Importantes. La copia la guardaba en otra partición del mismo disco duro. Una tormenta eléctrica ha dañado el disco y un experto en informática no ha hallado modo de restablecer su funcionamiento. Te piden que te acerques a la oficina para ver si existe la posibilidad de recuperar al menos los datos. a) ¿Podrás recuperar los datos originales? b) En su defecto, ¿podrán recuperarse los que hay en la copia de seguridad? c) A tu juicio, el empleado ha cometido alguna imprudencia con la copia de seguridad?
  • 59. 4. Control de riesgos (VIII)  Enfoque global de seguridad:  Información  núcleo del SI  Necesidad de mecanismos y servicios de seguridad a todos los niveles  Niveles: (Exterior  Información)  Ubicación física  Ubican los demás niveles  Edificio, plantas, habitaciones.  Hardware / componentes de red  En el interior del entorno físico  Contienen, soportan, distribuyen la información  S.O. / Software  Gestiona la información  Conexión a internet  Contacta el SI y el exterior  Información
  • 60. 4. Control de riesgos (IX)  Enfoque global de la seguridad: (cont.)  Internet está presente en todo:  Edificio:antenas, cableado de los muros, etc.  Hardware: routers, switches, servidores, etc.  S.O. / Software: gestiona el acceso a la web  Información:  Acceso a parte de ella por internet  Acceso sólo mediante autorización  Personal:  Interactúa en todos los niveles
  • 61. 4. Control de riesgos (X)
  • 62. Contenidos 1. Sistemas de información y sistemas informáticos 2. Seguridad 3. Análisis de riesgos 4. Control de riesgos 5. Herramientas de análisis y gestión de riesgos
  • 63. 5. Herramientas de análisis y gestión de riesgos  Política de seguridad:  Directrices u objetivos de la empresa respecto a la seguridad de la información  Parte de la política general  Aprobada por la dirección de la empresa  Debe ser comprensible por todo el personal  Objetivo:  Concienciar al personal de la organización  Importancia especial: personal directo del S.I.  Conocer principios que rigen la seguridad de ésta  Conocer las normas para alcanzar los objetivos de seguridad
  • 64. 5. Herramientas de análisis y gestión de riesgos (II)  Política de seguridad: (cont.)  Depende de la realidad/necesidades de la organización  Existen estándares  por países y áreas (gobierno, medicina, etc.)  Internacionales (ISO)
  • 65. 5. Herramientas de análisis y gestión de riesgos (III)  Política de seguridad: (cont.)  Grupos de objetivos:  Identificación:  Necesidades de seguridad  Riesgos que amenazan al sistema de información  Evaluación del impacto de un ataque  Relacionar:  Medidas de seguridad que deban implementarse  Mejor afrontación de los riesgos de activos (grupo de activos)  Perspectiva general de reglas y procedimientos a aplicar frente a riesgos de cada departamento  Detección de todas las vulnerabilidades del SI  Control de fallos de activos  Definición de un plan de contingencias
  • 66. 5. Herramientas de análisis y gestión de riesgos (III)  Auditoría:  Análisis pormenorizado de un sistema de información  Permite descubrir, identificar y corregir vulnerabilidades  En activos  En procesos  Finalidad:  Verificar que se cumplen los objetivos de la política de seguridad.  Proporciona imagen real y actual del estado de seguridad de un SI.
  • 67. 5. Herramientas de análisis y gestión de riesgos (IV)  Auditoría: (cont.)  Informe:  Activos y procesos:  Descripción y características  Análisis de relaciones y dependencias  Relación y evaluación de vulnerabilidades detectadas  Verificación del cumplimiento de la normativa de seguridad  Propuesta de medidas preventivas y de corrección  Tipos Parcial / Total  Realización  Interna / externa
  • 68. 5. Herramientas de análisis y gestión de riesgos (V)  Auditoría: (cont.)  Herramientas de análisis:  Permiten evaluar la seguridad de un sistema de información  Tipos:  Manuales  Observación (activos, procesos, comportamientos), mediciones, entrevistas, cuestionarios, cálculos, pruebas de funcionamiento.  Software específico para auditoría  CAAT  Computer Assisted Audit Techniques  Aplicables a parte o la totalidad del SI  Realizan imagen en tiempo real del SI  Realizan pruebas de control  Emiten informes sobre vulnerabilidades  Informan del incumplimiento de las normativas
  • 69. 5. Herramientas de análisis y gestión de riesgos (VI)  Actividades: 24. Investiga que es un test de intrusión. 25. Tu jefe te dice que ha detectado que el rendimiento de los trabajadores ha bajado considerablemente desde que la empresa tiene acceso a internet. Te pide que propongas una solución: (Solución real) 26. En tu empresa acaban de crear una claves de seguridad para los empleados. Dichas claves se envían por correo electrónico. ¿Esto es desconocimiento de las prácticas de seguridad?  (VER EJEMPLOS DE LA PLATAFORMA MOODLE)
  • 70. 5. Herramientas de análisis y gestión de riesgos (VII)  Plan de contingencias:  Instrumento de gestión frente a la posible no continuidad del negocio  Contiene medidas tecnológicas, humanas y de organización.  Garantiza continuidad  Protegen el sistema de información de los peligros que los amenazan  Recuperan el sistema de información tras un impacto
  • 71. 5. Herramientas de análisis y gestión de riesgos (VIII)  Plan de contingencias: (cont.)  Subplanes  Plan de Respaldo  Amenaza  Medidas preventivas  Evitan daños  Ej,. backup en lugar seguro, pararrayos, simulacros de incendio.  Plan de Emergencia  Amenaza materializada  Medidas correctivas/paliativas  Ej.- Restaurar Backup, sistema automático de extinción de incendios.  Plan de recuperación  Desastre producido Medidas restauradoras  Evaluar impacto  volver a normalidad  Ej.- Lugar de trabajo alternativo, sustituir material, etc.  Personal.  Estará informado del plan  Estará entrenado para actuar en lo que se le encomiende
  • 72. 5. Herramientas de análisis y gestión de riesgos (IX)  Actividades: 27. El hecho de preparar un plan de contingencias, ¿implica un reconocimiento de la ineficiencia en la gestión de la empresa? 28. ¿Cuál es la orientación principal de un plan de contingencia? 29. Investiga: diferencias entre redes cableadas y redes inalámbricas (WiFi). 30. ¿En qué se basa la recuperación de la información? 31. Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Qué deberá contemplar? 32. Trabajas en una empresa donde además de la ofician central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? 33. En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse del portátil en un taxi, el robo del ordenador. ¿crees qué cubrir estos puntos es acertado?
  • 73. 5. Herramientas de análisis y gestión de riesgos (X)  Modelos de seguridad:  Expresión formal de un política de seguridad  NOTA: Formal implica que está redactado en términos técnico y matemáticos  Utilizado como directriz de evaluación de sistemas de información  Clasificación:  Según las funciones/operaciones sobre las que se ejerce mayor control)  Grupos:  Matriz de Acceso  Acceso basado en funciones de control  Multinivel
  • 74. 5. Herramientas de análisis y gestión de riesgos (XI)  Modelos de seguridad: (cont.)  Matriz de acceso:  Elementos básicos: sujeto, objeto y tipo de acceso  Aplicación: cualquier SI, controla confidencialidad e integridad de los datos  Acceso basado en funciones de control  RBAC  Role Access Base Control  Modalidad del anterior  Acceso por función, no por sujeto  Ej.- usua rio que es alumno/profesor  Aplicación: controla confidencialidad e integridad de los datos
  • 75. 5. Herramientas de análisis y gestión de riesgos (XII)  Modelos de seguridad: (cont.)  Multinivel:  Basado en la jerarquización de los datos  Igual importancia en los datos  Distinta privacidad de los datos  Ej.- Datos personales frente a nombres de productos  Acceso de usuarios  según nivel autorizado  Mejor control del flujo de datos entre niveles  Ejemplos:  Modelo Bell-LaPadula (confidencialidad)  Modelo Biba (integridad)
  • 76. 5. Herramientas de análisis y gestión de riesgos (XIII)  Actividades: 34. ¿Una misma política de seguridad puede servir a todo tipo de empresas? 35. ¿De qué modo debe ser redactada la política de seguridad de una organización? 36. Define con tus propias palabras que es un plan de contingencias. 37. Investiga en internet sobre empresas especializadas en auditorias de sistemas de información (sugerencias: Hipasec, Audisis). Escoge una de estas empresas y contesta las siguientes preguntas: a) ¿En qué fases realiza auditoría? b) ¿Qué tipos de auditoría realiza? c) ¿Ofrece revisiones periódicas del sistema? 38. Investiga en internet para encontrar el software de auditoria: CaseWare, WizSoft, Ecora, ACL, AUDAP y otros. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo la auditoría. 39. Averigua que información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe la definición que hace del modelo.
  • 78. MUNDO LABORAL  Lectura del artículo:  http://lta.reuters.com/article/internetNews/i dLTASIE56L08920090722