Un dato
▪ Un dato es una unidad primaria de información
▪ Un dato para transformarse en información necesita un contexto, una utilidad o un propósito que ayuden a la toma de decisiones
Características que la hacen
valiosa
▪ Íntegra▪ Completa, exacta y válida
▪ Confidencial▪ Sólo accesible para los individuos autorizados
▪ Oportuna▪ Disponible para su uso inmediato
La información como activo
▪ Clientes
▪ Competitividad
▪ Desarrollo
▪ Soporte de decisiones
▪ Reputación
▪ Poder
▪ Base física
▪ Base lógica
Definición
▪ Métodos y herramientas para proteger de los riesgos a las
características que transforman datos en información
Objetivos de la seguridad
▪ Minimizar la ocurrencia de riesgos▪ Evitar
▪ Mitigar
▪ Disuadir
▪ Reducir el perjuicio▪ Detectar
▪ Recuperar
▪ Corregir
▪ Transferir
Amenazas y vulnerabilidades
Integridad física
▪ Amenazas naturales▪ Inundación
▪ Terremoto
▪ Amenazas humanas▪ Sabotajes
▪ Vulnerabilidades▪ Mantenimiento insuficiente
Integridad lógica
▪ Amenazas▪ Virus
▪ Ingeniería social
▪ Vulnerabilidades▪ Descuidos
▪ Capacitación insuficiente
▪ Desarrollos pobres
Valor del riesgo: Probabilidad x Impacto
Probabilidad
▪ Es la posibilidad de que el riesgo pueda ocurrir
Impacto
▪ Es el efecto sobre todos los activos afectados, los directamente impactados y los relacionados.
Evaluación de riesgos
▪ Medición inherente
▪ Identificación y evaluación de controles
▪ Medición residual
Medición inherente
ControlesMedición residual
Riesgo
Riesgo Inherente Controles Tipo de control Reduce Riesgo Residual
Imp
acto
Pro
bab
ilid
ad
Val
or
ries
go
Pre
ven
tivo
Det
ecti
vo
Man
ual
Sist
émic
o
Imp
acto
Pro
bab
ilid
ad
Imp
acto
Pro
bab
ilid
ad
Val
or
resi
du
al
Destrucción de la información
A M A
Copia de seguridad diaria de las operaciones
X X X
M M M
Resguardo adecuado de las copias de seguridad
X X X
Robo deinformación
A M AUso de contraseñas
X X X A B M
Incendio A B MDetectores de humo
X X X M B B
Riesgo de incendio
▪ Materiales y muebles ignífugos.
▪ Prohibición de fumar
▪ Piso y techo impermeables
▪ Cableado bajo piso de placas extraíbles
▪ Sensores de temperatura y de humo.
▪ Extinción▪ Matafuegos y rociadores de agua (Sprinklers)
▪ Inundación con gas especial (Bióxido de carbono, Halon 1301, etc.)
Riesgo de inundaciones
▪ Informes climatológicos
▪ Techo impermeable
▪ Acondicionar las puertas
▪ Corte automático de electricidad
Prevención de robo, intrusión
o asalto
▪ Circuito cerrado de televisión (CCTV).
▪ Personal de seguridad.
▪ Sensor de movimiento.
▪ Barreras infrarrojas.
▪ Edificios inteligentes.
▪ Cableado de seguridad
Definición
▪ Barreras y procedimientos que resguardan el acceso a los datos
▪ Sólo se permita acceder a personas autorizadas
▪ Prevenir el acceso indebido a individuos no autorizados
▪ Acceso a sistemas sólo para determinadas tareas
Herramientas
▪ Controles de acceso
▪ Perfiles de usuario▪ Ver
▪ Hacer
Identificar Autentificar Autorizar
Algo que soy:Sistemas
biométricos
▪ Emisión de Calor
▪ Huella Digital
▪ Verificación de Voz
▪ Verificación de Patrones Oculares
▪ Verificación Automática de Firmas (VAF)
Algo que sé: Contraseñas
▪ Recomendaciones:▪ Cambiarlas frecuentemente.
▪ No anotarlas.
▪ No compartirlas.
▪ Contraseñas fuertes:▪ Escribir fonéticamente: soledad =
eseoeledeade
▪ Cuanto más extensas, más eficientes.
▪ No utilizar caracteres secuenciales: 1234, qwerty, etc.
▪ Utilizar mayúsculas, minúsculas, caracteres especiales y números.
▪ Frase escondida: A las 6 am tomo café con leche = @6amTC+L
▪ L33t
Encriptación
Definición
▪ Proceso para volver ilegible información considera importante.
▪ La información una vez encriptada sólo puede leerse aplicándole una clave.
Componentes
▪ Clave:▪ valor independiente del texto o
mensaje a cifrar.
▪ Algoritmo▪ Pasos seguidos para convertir el
texto virgen en texto cifrado. Va a producir una salida diferente para el mismo texto de entrada dependiendo de la clave utilizada.
Modelo de clave privada
Hola mundo!
Yo
413dfn9u&&//
413dfn9u&&//
Otro
Hola mundo!
Vos
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Modelo de clave pública: Mensaje seguro
Hola mundo!
Yo
413dfn9u&&//
413dfn9u&&//
Otro
Hola mundo!
Banco
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Modelo de clave pública: Firma digital
Hola mundo!
Banco
413dfn9u&&//
Hola mundo!
Otro
Hola mundo!
Yo
413dfn9u&&//Canal inseguro
Encriptación Desencriptación
Desencriptación
Clave digital en Argentina
http://www.firmadigital.gba.gov.ar/
https://pki.jgm.gov.ar/app/
http://www.firmadigital.com.ar/
Back up: Respaldo /
Copia de seguridad
▪ Minimiza el perjuicio del riesgo de pérdida o transformación de información
▪ Permite restaurar la información y su sistema si ha sido eliminada o dañada imprevistamente.
▪ Sincronización vs Back up
Back up: Copia de Seguridad
▪ Herramientas:▪ Dispositivos externos portátiles
▪ Servidores
▪ Cloud
▪ Frecuencia no más de una semana
▪ Encriptar
▪ Resguardar en un lugar seguro
▪ http://www.worldbackupday.net/
Seguridad lógica:
Amenazas
▪ Micro targeting
▪ Ingeniería social▪ Confianza
▪ Autoridad
▪ Curiosidad
▪ Vulnerabilidades de día cero
▪ Anulación de barreras de defensa
▪ Accesos no autorizados
Consecuencias
▪ Espionaje de información
▪ Robo de identidad
▪ Invasión a la privacidad
▪ Corrupción de la información
▪ Realizar delitos a terceros con recursos de la empresa
▪ Transferencias de fondos no deseadas
▪ Interrupción de las operaciones
El usuario
▪ El administrador no es un paranoico
▪ Mi máquina también es importante
▪ El hacker no es un genio, no requiere grandes habilidades
▪ Todos los programas tienen vulnerabilidades
▪ Soy el eslabón más débil
Protección contra usuarios
▪ El 70% de robos, sabotajes y accidentes informáticos están vinculados al personal de la empresa.
▪ Recomendaciones:▪ Control de referencias
▪ Need to know
▪ Dual control
▪ Rotación de funciones
▪ Separación de funciones
▪ Cancelación inmediata de cuenta
Definición
▪ Herramientas para bloquear los
accesos no autorizados y permitir los autorizados
▪ Examina cada mensaje entrante y saliente
▪ Bloquea aquellos que no cumplen los criterios de seguridad especificados por su
configuración.
Firewall: Beneficios y limitaciones
Beneficios
▪ Economía: Baja ancho de banda "consumido" por el trafico de la red.
▪ Seguridad: Monitorear la seguridad de la red y generar alarmas de intentos de ataque.
Limitaciones
▪ Su eficacia depende de su configuración
▪ Cuanto mayor sea el tráfico permitido menor será la resistencia.
▪ No protege de virus.
▪ No protege la red interna.
▪ No protege de amenazas humanas.
Definición
Tipos
▪ Malware
▪ Ransomware
▪ Spyware
▪ Worms
Características
▪ Contagio▪ Instalación por el usuario
▪ Replicación automática en la red
▪ Activación▪ Invocado por el usuario
▪ Invocado por el sistema