ceap-ucv seguridad informática
DESCRIPTION
Especialización Mercadeo para Empresas UCV 2009-1. Sistemas de Información, Tema Seguridad Informática.TRANSCRIPT
SEGURIDAD INFORMATICA
Integrantes:Palacios, DorisSantander, Nataly
COMPANIAS
SOCIOS PROVEEDORES
SISTEMAS DE INFORMACION
TERMINOS RELACIONADOS ACTIVO: Recurso del S.I. relacionado con la organización correcta y alcance de objetivos propuesto.
AMENZA: Evento que puede desencadenar incidente en la organización.
IMPACTO: Medir la consecuencia al materializarse una amenza.
RIESGO: Posibilidad de que se produzca un impacto determinado.
VULNERABILIDAD: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
ATAQUE: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
DESASTRE O CONTINGENCIA: Interrupción de la capacidad de acceso a información necesarias para la operación normal de un negocio.
DEFINICIONESTécnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos por personas no autorizadas
Estructura de control establecida para gestionar la disponibilidad, integridad, confidencialidad y consistencia de los datos, sistemas de información y recursos informáticos
IMPORTANCIA Y OBJETIVOS
La S.I. es importante porque:
Asegura que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.OBJETIVOS
Los activos son los elementos que la seguridad informática tiene como objetivo proteger, como mencionamos anteriormente los activos son los recursos del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos
INFORMACION:INFORMACION: En éste grupo se encuentran los activos que conservan la información registrada, bien sean medios físicos o electrónicos.
Desde el punto de vista de la empresa: Estudio de las características y estadísticas del lenguaje que nos permitirá su análisis desde un enfoque matemático, científico y técnico
Desde el punto de vista de sistemas: Conjunto de datos propios que se gestionan y mensajes que se intercambian entre personas y/o maquinas en una organización.
CLASIFICACION DE LOS OBJETIVOS
HARDWARE
IMPORTANCIA Y OBJETIVOS
SOFTWARE
TIPOS DE SEGURIDAD
Desde el punto de vista de la empresa, uno de los problemas más importantes puede ser el que está relacionado con el delito o crimen informático, bien por factores externos o internos.
SEGURIDAD
LOGICOSFISICOS
Seguridad Física: consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial
TIPOS DE SEGURIDAD
Seguridad Lógica: consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.Restringir el acceso a los programas
y archivosAsegurar que los operadores puedan
trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los
archivos que no correspondanAsegurar que se estén utilizados los
datos, archivos y programas correctos en y por el procedimiento
correctoQue la información transmitida sea
recibida sólo por el destinatario al cual ha sido enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida
TIPOS DE SEGURIDAD
ATAQUES Y DELITOS INFORMATICOSSABOTAJEcomprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema
El SABOTAJE va dirigido a causar danos físicos y se debe a fenómenos de:
Se daña, pierde o deja
de funcionar un punto del
sistema, su detección es inmediata.
Ej: Destrucción del Hardware,
Borrado de datos, Fallas en
sistema operativo
INTERRUPCION Acceso a la
información por parte de
personas no autorizadas,
uso de privilegios no adquiridos. Ej: Copias ilícitas de
programas, escucha en
línea de datos
INTERCEPTACION
Acceso no autorizado que
cambia el entorno para su beneficio,
Ej: Modificación de bases de
datos, Modificación de
Mensajes transmitidos en
una red
MODIFICACION
Creación de nuevos objetos
dentro del sistema,
Delitos de falsificación
Ej: Añadir transacciones
en la red, añadir registros
en BD
GENERACION
Cracker: Rompe de forma ilegal la seguridad de un sistema.
Bombas Lógicas: son ejecutadas tras un mandato que da el programador. Eliminación de datos, que se ejecute a una hora especifica.
ATAQUES Y DELITOS INFORMATICOS
Script kiddie: Inexperto que usa programas descargados de Internet para atacar los sistemas.
ATAQUES Y DELITOS INFORMATICOS
FRAUDE INGENIERIA
SOCIALPHISING
ENTORNO WEB
MASCARADAVIRUS-GUSANOS-
CABALLO DE TROYA
ATRIBUTOS
¿Qué se puede hacer con los
activos?
¿Quien podrá acceder a los
activos?
De que manera y cuando se puede
acceder a los activos?
INTEGRIDADINTEGRIDAD CONFIDENCIALIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
DISPONIBILIDAD
NO REPUDIONO REPUDIO AUTENTICACION
AUTENTICACION
SI UN S.I. CUMPLE CON ESTOS PRINCIPIOS DIREMOS QUE LOS
DATOS ESTAN PROTEGIDOS Y SEGUROS
POLITICAS DE SEGURIDAD INFORMATICA
IMPLEMENTACION:
Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.
Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.
Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.
Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza.
PROPORCIONA INFORMACION
ENTRENAMIENTO
POLITICAS DE SEGURIDAD INFORMATICA
AREAS QUE DEBE CUBRIR
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados.
Un procedimiento para administrar las actualizaciones.
Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente.
Un plan de recuperación luego de un incidente.
Un sistema documentado actualizado.
POLITICAS DE SEGURIDAD INFORMATICA
DEFINICION DE NECESIDADES
Análisis de los riesgos Evaluar los riesgos. Estimar probabilidad. Estimar su impacto.ImplementaciónEstablecer métodos y mecanismos para que los sistemas sean seguros.
Identificación de las necesidades Personas y funciones. Materiales, servidores y los servicios que éstos brindan. Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.). Lista de los nombres de dominio de la empresa. Infraestructura de la comunicación (routers, conmutadores, etc.). Información delicada.
POLITICAS DE SEGURIDAD INFORMATICA
MARCO LEGAL EN VENEZUELA
LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOSGACETA 37.33 OCTUBRE 2001
Proteger los sistemas de información.
Prevenir y sancionar los delitos en contra de los sistemas de tecnología de la información.
OBJETIVOS
Art. 6 ACCESOINDEBIDO
Prisión de 1 a 5 años.Multa de 10 a 50 U.T.
Art. 7SABOTAJ
E O DAÑO.
Prisión de 4 a 8 años. Multa de 400 a 800 U.T.
Art. 11ESPIONAJE
INFORMATICO.
Prisión de 4 a 8 años.Multa de 400 a 800 U.T.La pena aumentara si se ve afectada la Seguridad de Estado.
MARCO LEGAL EN VENEZUELA
Importancia de la Seguridad de la Información en las Empresas y el
Mercadeo.
La Información es uno de los activos más importantes de la empresa, Hoy en día muchas empresas usan la información como una valiosa arma competitiva, Conocer a los clientes y saber sus preferencias es un recurso vital en el desarrollo de productos y estrategias de mercadeo. Poder conocer con exactitud los datos básicos de segmentación del cliente (sexo, edad, preferencias básicas, etc) y tal vez poder ir más allá en el conocimiento (preferencias personales, aficiones, gustos básicos, marcas preferidas) resultan recursos muy valiosos para las empresas.
Los datos recogidos de los clientes, formarán bases de clientes, de usuarios registrados y de posibles compradores, quienes serán susceptibles de recibir información actualizada de productos y servicios ofrecidos.
En este entorno, la recopilación de bases de datos servirá a las empresas para:
• Mantener comunicación constante con los clientes (mail, teléfono, correo etc)
• Conocer las tendencias de compra del mercado objetivo. • Personalizar la atención a los usuarios. Es importante destacar que la
"personalización", es considerada como la quinta P en la mezcla de mercadotecnia.
• Generar estrategias de branding y publicidad. Cuando estamos ofreciendo, estamos generando publicidad constante al mismo tiempo.
• Utilizar segmentos específicos de clientes para colocar productos específicos llegando de manera directa al comprador o usuario.
• Comentar las novedades, promociones y noticias relacionadas con el negocio y en algunas ocasiones con el sector al que se dedica la empresa.
En fin, mantener bases de datos, resulta un instrumento de información muy valioso y que puede ser aprovechado efectivamente en la generación de ventas y utilidades.
Importancia de la Seguridad de la Información en las Empresas y el
Mercadeo.
Consejos para disminuir la pérdida de información digital en una empresa
1. Establecer Políticas de Seguridad que cubran toda la Información de la Compañía . Esto incluye identificar al propietario de la información y señalar a que personas se les permite acceder a ella y en qué momento. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, contratistas y a cualquier otra persona asociada a la empresa.
2. Asegurar el "Elemento Humano". Las personas son el elemento más importante de un programa de Seguridad de la Información. Al fin y al cabo, la difusión de información está bajo su control. La mayor cantidad de robos y fraudes en las empresas se realizan desde adentro, es decir, lo llevan a cabo el personal de la misma empresa; también no debemos perder de vista que generalmente los delitos los han cometido personas de “mucha confianza” y que “casualmente” ocupaban cargos muy importantes. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad , son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, éste permite terminar el contrato o demandar. Las empresas deben estar alertas y realizar constantemente auditorias según sea el caso e instalar preventivamente lo que sea necesario según el caso, para mantener en control las herramientas de trabajo
3. Utilizar Barreras Físicas de Seguridad. Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizados para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos etc.
4. Actualizar sus Herramientas Electrónicas de Seguridad. La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso claves en PCs y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos.
5. Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes. El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.
Consejos para disminuir la pérdida de información digital en una empresa
Videos de Consulta
A través de los siguientes link accederás a definiciones, peligros y medidas de seguridad para resguardar la información:
http://www.youtube.com/watch?v=GB8i2-lwgMc
Consejos de Seguridad y peligros que atravesamos en la web:
http://www.youtube.com/watch?v=86cr-EfBz1o
BIBLIOGRAFIA
Servicios de inteligencia en Marketing e Internet (2001). En: http://www.latencia.com/auditorias_seguridad.html. [Consulta: 2009, 15 de mayo.]
Forma PYME. En: http://www.formapyme.com/. [Consulta: 2009, 15 de mayo.]
Wachivia (2009). En: https://www.wachovia.com. [Consulta: 2009, 15 de mayo.]
Delitos Informáticos en Venezuela. (2004). En: http://delitosinformaticosvenezuela.com/empresas. [Consulta: 2009, 15 de mayo.]