riesgos, seguridad y recuperación ante desastres
Post on 05-Feb-2016
28 Views
Preview:
DESCRIPTION
TRANSCRIPT
Riesgos,seguridad yrecuperaciónante desastres
Administración De CentrosDe Información
RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRESAdministración De Centros De Información
Del mismo modo que se ha extendido el uso de los sistemas deinformación basados en computadoras, así ha aumentado laamenaza para la integridad de los datos y la confiabilidad de lainformación. Las organizaciones deben enfrentar con seriedad losriesgos de las amenazas de la naturaleza y del hombre. Un expertoen computadoras señaló una vez: “el único sistemaverdaderamente seguro está apagado, encerrado en un bloque deconcreto y sellado en una habitación metálica con guardiasarmados. E incluso así tengo mis dudas”. En realidad, no hay unmodo de asegurar por completo un sistema de información contraalgún percance potencial; sin embargo, hay modos de reducir demanera significativa los riesgos y de recuperarse de las pérdidas.
01
METAS DE SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información
Como ya ha visto, el desarrollo, la implementación y el mantenimiento de los IS constituyen una parte grande y creciente del costo de
realizar negocios; proteger esos recursos es una preocupación principal. La mayor dependencia en los IS, junto con la conexión al
mundo externo mediante una red pública, Internet, vuelve cada vez más desafiante la seguridad de los IS corporativos. La función de
los controles y la seguridad de la computadora es proteger los sistemas contra incidentes accidentales y el robo intencional y el daño
de datos y las aplicaciones, al igual que ayudar a las organizaciones a asegurar que sus operaciones de IT acaten la ley y cumplan con
las expectativas de privacidad de los empleados y los clientes.
En junio del 2005, los hackers invadieron las bases dedatos de CardSystems Solutions, una compañía queprocesa transacciones de tarjetas de crédito. Los datosde alrededor de 200 000 suscriptores de MasterCard,Visa y otros emisores de tarjetas de crédito fueronrobados.
“
02
METAS DE SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información
Reducir el riesgode que los
sistemas y lasorganizaciones
dejen de operar
Mantener laconfidencialidad
de la información.
Asegurar elcumplimiento de laspolíticas y las leyesacerca de laseguridad y laprivacidad.
Asegurar ladisponibilidadininterrumpida delos recursos de datosy las operaciones enlínea.
Asegurar laintegridad y laconfiabilidad de losrecursos de datos.
03
RIESGOS PARA LOS SISTEMAS DE INFORMACIÓNAdministración De Centros De Información
RIESGOS PARAEL HARDWARE
04
• Desastres naturales• Interrupciones
prolongadas ymomentáneas delsuministro eléctrico
• Vandalismo
RIESGOS PARA LOS SISTEMAS DE INFORMACIÓNAdministración De Centros De Información
RIESGOS PARALOS DATOS Y
LASAPLICACIONES
05
• Robo de información yRobo de identidad
• Alteración ydestrucción de losdatos y deformaciónen la Web
• Virus, gusanos ybombas lógicas
• Percances que no sonmalintencionados
RIESGOS PARA LAS OPERACIONES EN LÍNEAAdministración De Centros De Información
26%China
17%EEUU
11%Rusia
Los ataques de denegación de servicio (se abreen nueva ventana) o DoS (Denial of Service) sonuno de los tipos de incidentes de seguridad mástípicos y siguen siendo muy utilizados. Llevar acabo un ataque de denegación de servicio norequiere, en muchos casos, conocimientosavanzados.
Negación del servicio
06
50%Malware
25%Troyano
15%Virus
El secuestro de una computadora significautilizar una parte o todos sus recursosconectados a una red pública sin laautorización del dueño.
Secuestro de una computadora
Solidez de unprograma y
controles deintroducción de
datos
CONTROLES
Controles deacceso
PARA PROTEGER
Rastros deverificaciones
contables
DE RIESGOS
Transaccionesatómicas
LOS SISTEMAS
Respaldo
COMUNES
CONTROLESAdministración De Centros De Información
07
MEDIDAS DE SEGURIDADAdministración De Centros De Información
Se utiliza un protocolo llamado Seguridad de Capa deTransporte (TLS) para las transacciones en la Web. La
TLS es la sucesora de la Capa de Sockets Segura (SSL)
SEGURIDAD DE CAPA DE TRANSPORTE
La autenticación es el proceso de asegurar que lapersona que envía un mensaje a o recibe un mensaje de
usted es en esencia tal persona.
AUTENTICACIÓN Y CIFRADO
La mejor defensa contra el acceso no autorizado a lossistemas por Internet es un firewall, el cual es hardware y
software que bloquean el acceso a los recursos decómputo..
FIREWALLS Y SERVIDORES PROXY
Los certificados digitales son archivos de computadoraque equivalen a las tarjetas de identificación, porqueasocian la identidad de una persona con la clave públicade esa persona.
CERTIfiCADOS DIGITALES
Una firma digital es un modo de autenticar los mensajesen línea, similar a una firma física en un papel, peroimplementada con cifrado de clave pública.
FIRMAS DIGITALES
08
DESVENTAJA DE LAS MEDIDAS DE SEGURIDADAdministración De Centros De Información
Las medidas de seguridad tienen un costo.
Hacen lentas las comunicaciones de datos y requieren
disciplina del usuario.
Los empleados tienden a olvidar sus contraseñas, sobre
todo si deben cambiarlas cada 30 o 90 días.
Una solución más sencilla es un método llamado SSO
El cifrado hace más lenta la comunicación porque el
software debe cifrar y descifrar todos los mensajes
09
LAS MEDIDAS DE RECUPERACIÓNAdministración De Centros De Información
Las medidas de seguridad pueden reducir los incidentes indeseables, pero nadie puede controlar todos los desastres. Con el fin de
estar preparadas para los desastres cuando ocurran, las organizaciones deben contar con medidas de recuperación. Las
organizaciones que dependen mucho de sus IS para sus actividades diarias suelen usar la redundancia; es decir, ejecutan todos los
sistemas y transacciones en dos computadoras en paralelo como protección contra la pérdida de datos y de negocios. Si una
computadora falla, el trabajo continúa en la otra. La redundancia hace que el sistema sea tolerante a fallas. Sin embargo, en los
sistemas distribuidos, es muy costoso duplicar todos los recursos de cómputo, de modo que deben tomarse otras medidas.
En 2005, una encuesta de SunGard en el Reino Unidoencontró que 52% de las empresas participantesinvirtieron en medidas de continuidad empresarialprincipalmente debido a las nuevas normas.El temor al terrorismo fue la principal razón para 33%de las compañías.
“
10
OBTENER ELCOMPROMISO DE LAADMINISTRACIÓN CON ELPLAN
PLAN DE RECUPERACIÓN EMPRESARIALAdministración De Centros De Información
11
REALIZAR UNAVALORACIÓN DE RIESGOSY UN ANÁLISIS DEIMPACTOS
ESTABLECER UNCOMITÉ DE
PLANIFICACIÓN
PRIORIZAR LASNECESIDADES DE
RECUPERACIÓN
SELECCIONAR UNPLAN DERECUPERACIÓN
SELECCIONAR LOSVENDEDORES
DESARROLLAR EIMPLEMENTAR EL
PLAN
PROBAR Y EVALUAR DEMANERA CONTINUA
PROBAR EL PLAN
Las compañías que eligen nodesarrollar por completo su propioplan de recuperación puedensubcontratarlo con empresas que seespecializa en planificar larecuperación ante desastres o ensuministrar sitios alternos. .
PLANEACIÓN DE LA RECUPERACIÓN Y PROVEEDORES DE SITIOS ALTERNOSAdministración De Centros De Información
12
LA ECONOMÍA DE LA SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información
Las medidas de seguridad deben enfrentarse de una manera similar a la compra de un seguro. El gasto en las medidas debe ser
proporcional al daño potencial. Las organizaciones también necesitan valorar la tasa mínima de tiempo de interrupción del sistema y
asegurar que en lo económico resisten ese tiempo de interrupción del servicio.
Fredrickson International es una agencia de cobranzalíder. Al haber implementado ISO/IEC 27001 tiene ahorauna mayor consciencia de la seguridad a través de laorganización. La certificación ha reducidosignificativamente el tiempo que toma hacer la ofertapara los contratos y ha ofrecido confianza al mercadode sus prácticas de seguridad en la información.
“
13
¿CUÁNTA SEGURIDAD ES SUFICIENTE?Administración De Centros De Información
Desde sólo el punto de vista del costo, ¿cuánto debe gastar una
organización en medidas de seguridad de los datos? Existen dos
tipos de costos que deben considerarse para responder esta
pregunta: el costo del daño potencial y el costo de implementar
una medida preventiva. El costo del daño es el agregado de todos
los daños potenciales multiplicados por sus probabilidades
respectivas.
14
GRACIASACI - 2015A
top related