clase1,2,3,4 seguridad informatica

UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE INGENIERIA DE SISTEMAS Y COMPUTACION

CURSO: SEGURIDAD INFORMATICA

Mg HENRY DENNYS SANCHEZ CHAVEZ

TEMA 1: SEGURIDAD INFORMATICA

Definición de Seguridad Informática La Real Academia de la Lengua española RAE, dice

seguridad es la “cualidad de seguro”. y seguro es “libre y exento de todo peligro, daño o riesgo”.

la seguridad no es un producto, sino un proceso. Un conjunto de métodos y herramientas destinados a

proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas.

MG. HENRY DENNYS SÁNCHEZ CHÁVEZ

La Solución… Estar Desconectado la seguridad informática no es un bien medible,

pero sí podríamos desarrollar diversas herramientas para cuantificar de alguna forma nuestra inseguridad informática


Amenazas

La seguridad informática se convierte en un nuevo motivo de

preocupación

las empresas, organismos y particulares comienzan a tomar verdadera conciencia de su importancia. Hoy en día, tener un sistema que cumpla con los estándares de gestión de la seguridad es sinónimo de calidad de servicio.

Habrá debilidades tanto internas como externas...

Tomemos Conciencia


A partir de los años 90 el uso del Computador comienza a ser común. por tanto la preocupación por la integridad de los datos.

A finales de los años 90 aparecen los virus y gusanos y se toma conciencia del peligro que nos acecha como usuarios de PCs y equipos conectados a Internet.

Comienzan a proliferar ataques a sistemas informáticos. La palabra hacker aparece incluso en prensa.

Las amenazas se generalizan a finales de los 90; aparecen nuevos gusanos y malware generalizado.

En la actualidad los acontecimientos fuerzan a que se tome muy en serio la seguridad informática.

Que ha cambiado


En los Últimos años El uso masivo de Internet, el tema de la

protección de la información se ha transformado en una necesidad y con ello se populariza la terminología técnica asociada:– Cifrado, descifrado, criptoanálisis, firma digital,

...– Autoridades de Certificación, comercio

electrónico, ... La seguridad es un tema común, cualquier

usuario desea saber, por ejemplo, qué significa firmar un e-mail o qué significa que en una comunicación con su banco aparezca un candado en la barra de tareas de su navegador y le diga que el enlace es SSL con 128 bits.

El software actual viene con seguridad añadida o embebida.MG. HENRY DENNYS SÁNCHEZ CHÁVEZ

Los Delitos InformáticosLos delitos informáticos son muy frecuentes en la actualidad, es un tema complejo dado que muchos países no se ponen de acuerdo, pero hay situaciones comunes a tener en cuenta:

– Objeto pequeño: la información que se ataca está almacenada en contenedores pequeños: no es necesario un camión para robar un banco, llevarse las joyas, el dinero, etc.

– Contacto físico: no existe contacto físico en la mayoría de los casos. Se asegura el anonimato y la integridad física del propio delincuente.

– Alto valor: el objeto codiciado tiene un alto valor. Los datos (el contenido a robar) puede valer mucho más que el soporte que los almacena: servidor, computador, disco, CD, etc.


Seguridad física y Seguridad LógicaEl estudio de la seguridad informática podríamos plantearlo desde dos enfoques distintos y complementarios:

– La Seguridad Física: asociado a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.

– La Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía.

– La gestión de la seguridad está en medio de la dos: los planes de contingencia, políticas de seguridad, normativas, etc.

– Esta clasificación en la práctica no es tan rigurosa. podríamos decir que cada vez está menos claro dónde comienza una y dónde termina la otra.


1er principio de Seguridad Informática

PREGUNTA:

¿Cuáles son los puntos débiles de un sistema informático?

• P1: El intruso al sistema utilizará el artilugio que haga más fácil su acceso y posterior ataque.

• Existirá una diversidad de frentes desde los que puede producirse un ataque, tanto internos como externos. Esto dificultará el análisis de riesgo ya que el delincuente aplicará la filosofía del ataque hacia el punto más débil: el equipo o las personas.


PREGUNTA:¿Cuánto tiempo deberá protegerse un dato?

2do Principio de Seguridad Informática

• P2: los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal.

• Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.

• Esto nos llevará a la fortaleza del sistema de cifra.MG. HENRY DENNYS SÁNCHEZ CHÁVEZ

3er Principio de Seguridad InformáticaP3: las medidas de control se implementan para que tengan un comportamiento efectivo, eficiente, sean fáciles de usar y apropiadas al medio.

– Efectivo: que funcionen en el momento oportuno.

– Eficiente: que optimicen los recursos del sistema.

– Apropiadas: que pasen desapercibidas para el usuario.

• Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo al surgir la necesidad de aplicarlo. Junto con la concientización de los usuarios, éste será uno de los grandes problemas de la Gestión de la Seguridad Informática.

Medidas de control

Seguridad

Informática


Amenazas del sistema Las amenazas afectan

principalmente al hardware, al software y a los datos. Éstas se deben a fenómenos de:– Interrupción– Interceptación– Modificación– Generación


Amenaza de interrupción

• Se daña, pierde o deja de funcionar un punto del sistema.

• Su detección es inmediata.

Interrupción

Intruso

Ejemplos: Destrucción del hardware.Borrado de programas, datos.Fallos en el sistema operativo.


Amenaza de Interceptación

• Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos.

• Su detección es difícil, a veces no deja huellas.

Interceptación

Intruso

Ejemplos: Copias ilícitas de programas.Escucha en línea de datos.


Amenaza de Modificación

Modificación

Intruso

• Acceso no autorizado que cambia el entorno para su beneficio.

• Su detección es difícil según las circunstancias.

Ejemplos: Modificación de bases de datos.Modificación de elementos del HW.


Amenaza de Generación

Generación

Intruso

• Creación de nuevos objetos dentro del sistema. • Su detección es difícil: delitos de falsificación.

Ejemplos: Añadir transacciones en red.Añadir registros en base de datos.


Interrupción Interceptación Modificación Generación

(pérdida) (acceso) (cambio) (alteración)

Datos

Hardware Software

Interrupción (denegar servicio) Modificación (falsificación)

Interceptación (robo) Interrupción (borrado)

Interceptación (copia)

Ejemplos de amenzasLos datos serán la parte más vulnerable del sistema

Escenarios de las Amenazas del sistema


Amenazas mas Comunes

• Hardware: – Agua, fuego, electricidad, polvo, cigarrillos, comida.

• Software:– Además de algunos típicos del hardware, borrados

accidentales o intencionados, estática, fallos de líneas de programa, bombas lógicas, robo, copias ilegales.

• Datos:– Tiene los mismos puntos débiles que el software. Pero

hay dos problemas añadidos: no tienen valor intrínseco pero sí su interpretación y, por otra parte, habrá datos de carácter personal y privado que podrían convertirse en datos de carácter público: hay leyes que lo protegen.


HARDWARE - SOFTWARE - DATOS

MEMORIA - USUARIOS

Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema:

– Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc.

– Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc.

– Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc.

Debilidades del Sistema Informático (1)


– Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc.

– Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc.

Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todas estas amenazas, y que además se entienda y pase desapercibido por los usuarios.

Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.

Debilidades del Sistema Informático (2)


Estos son los tres elementos básicos de la seguridad

informática:• Confidencialidad

– Los componentes del sistema serán accesibles sólo por aquellos usuarios autorizados.

• Integridad– Los componentes del sistema sólo pueden ser

creados y modificados por los usuarios autorizados.

• Disponibilidad– Los usuarios deben tener disponibles todos los

componentes del sistema cuando así lo deseen.

Calidad de la Información


Concepto de Datos Seguros

Confidencialidad Integridad Disponibilidad

Datos Seguros

DATOS DATOS

DATOS

DATOS

Si se cumplen los principios vistos anteriormente, diremos en general que los datos están protegidos y seguros.

Esto se entiende en el siguiente sentido: los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles.






TEMA 3: LA INFORMACION EN LAS ORGANIZACIONES

• Bajo el punto de vista de la ingeniería:– Estudio de las características y estadísticas del

lenguaje que nos permitirá su análisis desde un enfoque matemático, científico y técnico.

• Bajo el punto de vista de la empresa:– Conjunto de datos propios que se gestionan y

se intercambian entre personas y/o máquinas dentro de una organización.

Información


Se entenderá como:– El conjunto de datos y ficheros de la empresa.– Todos los mensajes intercambiados.– Todo el historial de clientes y proveedores.– Todo el historial de productos.– En definitiva, el know-how de la organización.

Si esta información se pierde o deteriora, le será muy difícil a la empresa recuperarse y seguir siendo competitiva. Por eso, es vital que se implanten unas políticas de seguridad y además, se haga un seguimiento de ellas.

La Información en la empresa


El éxito de una empresa dependerá de la calidad de la información que genera y gestiona. Una empresa tendrá una información de calidad si ésta posee, entre otras características, las de confidencialidad, de integridad y de disponibilidad.

La implantación de una política y medidas de seguridad informática en la empresa es muy vital ya que es un factor estratégico en el desarrollo y éxito de la misma.

Importancia de la Información


La información (datos) se verá afectada por muchos factores, incidiendo básicamente en los aspectos de confidencialidad, integridad y disponibilidad de la misma.

Desde el punto de vista de la empresa, uno de los problemas más importantes puede ser el que está relacionado con el delito o crimen informático, bien por factores externos o internos. Habrá que estar muy atentos al factor humano interno.

Vulnerabilidad de la Información


Un empleado descontento...

El tratamiento y vulnerabilidad de la información se verá influida por otros temas, como por ejemplo los aspectos legales vigentes. Además, las empresas cada día dependen más de sus comunicaciones y de su trabajo en red, lo que aumenta su inseguridad.

Hay que implantar Políticas de seguridad


La solución parece muy sencilla: crear y aplicar políticas de seguridad...

... Y solamente ahora comienza a tomarse verdaderamente en

serio.

Política 1

Política 2

Política 3

Solución

Acciones Contra Los Datos


Una persona no autorizada podría:– Clasificar y desclasificar los datos.– Filtrar información.– Alterar la información.– Borrar la información.– Usurpar datos.– Hojear información clasificada.– Deducir datos confidenciales.

Por lo tanto, la protección de datos resulta

obvia

Copias de Seguridad Backup


La medida más elemental para la protección de los datos es determinar una buena política de copias de seguridad o backups:

Copia de seguridad completa Todos los datos (la primera vez).

Copias de seguridad incrementales Sólo se copian los ficheros creados o modificados

desde el último backup.Elaboración de un plan de backup en función del volumen de información generada

Tipo de copias, ciclo de esta operación, etiquetado correcto.

Diarias, semanales, mensuales: creación de tablas. Establecer quién, cómo y dónde se guardan esos

datos.

Hacker, Crackers y script kiddies


Hacker:Persona o Personas que violentan la seguridad de sistemas informáticos para obtener beneficios económicos

Cracker:Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés.

Script kiddies:Un inexperto, normalmente un adolescente, que usará programas que se descarga de Internet para atacar sistemas.

Puntos Vulnerables de la Red


Las empresas relacionadas con las Nuevas Tecnologías de la Información usan varias técnicas y herramientas de redes para el intercambio de datos: Transferencia de ficheros (ftp) Transferencia de datos e información a través de

Internet (http) Conexiones remotas a máquinas y servidores

(telnet) Todo esto presentará importantes riesgos de ataques por parte de delincuentes informáticos, pero ...

¿Donde esta el Enemigo?


Por muy organizados que puedan estar los delincuentes, primero que nada hay que ponerse en el lugar que nos corresponde y no caer en la paranoia.

Debemos de pensar que el peor enemigo puede estar dentro de casa.

Según estadísticas fiables, cerca del 80% de las amenazas de seguridad provienen de la propia organización.

La solución: la puesta en marcha de una adecuada política de seguridad en la empresa.

Ataques y delitos informáticos


Son acciones que vulneran la confidencialidad, integridad y disponibilidad de la información, Los ataques mas comunes a un sistema informático son: Fraude.

Malversación.

Robo. Sabotaje. Espionaje. Chantaje.

Revelación. Mascarada. Virus. Gusanos. C. de Troya. Spam.

Fraude y Sabotaje


Fraude Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica que sufre de esta forma una pérdida económica. El autor del delito logra de esta forma un beneficio normalmente económico.

Sabotaje Acción con la que se desea perjudicar a una empresa entorpeciendo deliberadamente su marcha, averiando sus equipos, herramientas, programas, etc. El autor no logra normalmente con ello beneficios económicos pero pone en jaque mate a la organización.

Chantaje y Mascarada


Chantaje Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer información privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa.Mascarada Utilización de una clave por una persona no autorizada y que accede al sistema suplantando una identidad. De esta forma el intruso se hace dueño de la información, documentación y datos de otros usuarios con los que puede, por ejemplo, chantajear a la organización.

Virus y Gusanos


Virus Código diseñado para introducirse en un programa, modificar o destruir datos. Se copia automáticamente a otros programas para seguir su ciclo de vida. Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos ejecutables. GusanosVirus que se activa y transmite a través de la red. Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM. Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la red.

Caballos de Troya y Spam


Caballos de TroyaVirus que entra a la PC y posteriormente actúa de forma similar a este hecho de la mitología griega, parece ser un programa inofensivo pero en realidad está haciendo otra y expandiéndose.

SpamEl spam o correo no deseado, si bien no lo podemos considerar como un ataque propiamente dicho, lo cierto es que provoca hoy en día pérdidas muy importantes en empresas y muchos dolores de cabeza.

Ataques y Delitos Recientes


Ingeniería social:

correo electrónico en el que “se fuerza” al usuario a que abra un archivo adjunto que supuestamente le interesa o bien está muy relacionado con su trabajo, utilizando así el eslabón más débil de una cadena de seguridad como es el ser humano.

Phising:

simulación, algunas veces perfecta, de una página Web de un banco solicitando el ingreso de claves secretas, con la excusa de la aplicación de nuevas políticas de seguridad de la entidad.

Nuevos Ataques


En los próximos años aparecerán nuevos delitos y ataques a los sistemas informáticos y redes que hoy no sabemos cómo serán ni a qué vulnerabilidad atacarán.

Este constante enfrentamiento entre el lado el mal y el bien, será inevitable en sistemas intercomunicados y abiertos como los actuales.

Las comunicaciones crecerán cada vez más hacia ese entorno abierto, como las actuales redes inalámbricas, con lo que irán apareciendo nuevas amenazas...

Virus Informáticos


Primer ejemplo: John von Neuman en 1949.Primer virus: M. Gouglas de Bell Laboratories crea el Core War en 1960.Primeros ataques a PCs entre 1985 y 1987: Virus Jerusalem y Brain.Inofensivos: (pelotas, letras que se mueven, etc.)Sólo molestan y entorpecen el trabajo pero no destruyen información. Podrían residir en el PC.Malignos: (Viernes 13, Blaster, Nimbda, Netsky, Klez, etc.)Destruyen los datos y afectan a la integridad y la disponibilidad del sistema. Hay que eliminarnos.

Transmisión de Virus y Malware


Se transmiten sólo mediante la ejecución de un programa.

El correo electrónico no puede contener virus al ser sólo texto. No obstante, muchas veces contienen archivos adjuntos y éstos pueden tener incluido un virus.

Existen virus que se ejecutan desde la simple visualización de un gráfico jpg, gif, etc., usando para ello una vulnerabilidad conocida de procesamiento de WMF (Windows Meta File) que permite la ejecución de código arbitrario.

Peligros del Entorno Web


El entorno web es mucho más peligroso. Un enlace puede lanzar un programa que se ejecute en el cliente y nos infecte o comprometa la máquina, dejándola abierta para otros ataques o bien dejarla como un zombie que colabore en otros ataques. Punto más crítico de la seguridad respecto a virus y accesos a Internet: usuario que confiado en la dirección del remitente o de un servidor, por curiosidad, engañado con la denominada ingeniería social, etc., ... abre archivos o entra a ese servidor.

Tipos de ataque de un Virus


Están aquellos que infectan a programas con extensión exe, com y sys, por ejemplo.

Residen en memoria al ejecutarse el huésped y de ahí se propagan a otros archivos.

Y también aquellos que infectan el sistema y el sector de arranque y tablas de entrada (áreas determinadas del disco).

Se instalan directamente allí y por lo tanto residen en memoria.

Algunas Medidas Preventivas


Proteger los discos extraíbles USB con la pestaña de seguridad. Es una protección de escritura fácil y muy elemental.

Instalar un antivirus y actualizarlo de forma periódica. Es muy recomendable que se haga al menos una vez por semana.

Ejecutar el antivirus a todo el disco duro una vez al mes.

Ejecutar siempre el antivirus a todo disco o CD que se introduce al sistema y a los archivos que descargamos desde Internet o vienen adjuntos en un e-mail.

Controlar el acceso de extraños al computador. Aunque esto puede ser más complicado ... use software legal.

Si ya estas infectado


Detener las conexiones remotas. No mover el ratón ni activar el teclado. Apagar el sistema y desconectarlo. Arrancar con un disquete de arranque o emergencia

protegido. Ejecutar luego un programa antivirus. Si es posible, hacer copia de seguridad de sus archivos

para poder compararlas con copias anteriores. Formatear el disco duro Instalar nuevamente el sistema operativo y restaurar

las copias de seguridad... De todas maneras, recuerde que la seguridad

informática total no existe... ¿ha pensado que su disco duro puede quemarse ahora mismo por una repentina subida de voltaje? Y estas cosas son más habituales de lo que piensa.





TEMA 4: GESTION DE RIESGOS

Riesgos


Nivel de Utilización de T.I.

Niv

el d

e D

epen

denc

iaRiesgos

Riesgos


¿Riesgos?

Definiciones Básicas


Amenazas: Peligros potenciales a los que están expuestos los recursos.Riesgo: Evento resultante de la ocurrencia o materialización de las amenazas.Controles: Medidas, normas y procedimientos que se disponen para proteger los recursos contra las amenazas a que están expuestos y contra los riesgos que éstas podrían generar.

Por que Aumentan las Amenazas


Crecimiento exponencial de las Redes y Usuarios Interconectados

Profusión de las BD On-Line Inmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas

Automatizadas de Ataques Nuevas Técnicas de Ataque

Distribuido Técnicas de Ingeniería Social

ALGUNAS CAUSAS

Las Amenazas


Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Destrucción de equipamiento

Las Amenazas


Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

VirusMails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresos

Agujeros de seguridad de redes conectadasFalsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

Y la Vulnerabilidad


Es definida como un fallo en el proyecto, implementación o configuración de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violación de la seguridad de un computador o un sistema computacional

Vulnerabilidad


Las vulnerabilidades son el resultado de bugs o de fallos en el diseño del sistema.

También pueden ser el resultado de las propias limitaciones tecnológicas, porque, en principio, no existe sistema 100% seguro.

Por lo tanto existen vulnerabilidades teóricas y vulnerabilidades reales (conocidas como Malware).

Vulnerabilidades mas Comunes


Inadecuado compromiso de la dirección. Personal inadecuadamente capacitado y

concientizado. Inadecuada asignación de responsabilidades. Ausencia de políticas/ procedimientos. Ausencia de controles (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos). Ausencia de reportes de incidentes y

vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles

Gestión de Riesgos


La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Contiene cuatro fases

Fases de la Gestión de Riesgos


Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.

Análisis de Riesgos



Análisis de Riesgos

Mag

nit

ud

de D

añ

o

Probabilidad de amenaza

Riesgo= Probabilidad de amenaza * Magnitud de Daño

Como Valorar la Probabilidad de Amenaza


Interés o atracción por parte de individuos externos. Nivel de Vulnerabilidad. Frecuencia en que ocurren los incidentes.

Consideraciones:

Valoración de probabilidad de amenazaBaja: Existen condiciones que hacen muy lejana la posibilidad del ataque.Mediana: Existen condiciones que hacen poco probable un ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo.Alta: Ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque

Cuando Hablamos de un Impacto


Se pierde la información. Terceros tienen acceso a la información. Información ha sido manipulada o está incompleta. Información o persona no está disponible. Cambio de legitimidad de la fuente de información.

Como Valorar la Magnitud de Daño


¿Quién sufrirá el daño? Incumplimiento de confidencialidad (interna y

externa) Incumplimiento de obligaciones jurídicas (Contrato,

Convenio) Costo de recuperación (imagen, emocional, recursos:

tiempo, económico)

Consideracion sobre las consecuencias de un Impacto

Valoración de probabilidad de amenazaBajo: Daño aislado, no perjudica ningún componente de la organizaciónMediano: Provoca la desarticulación de un componente de la organización. A largo plazo puede provocar desarticulación de la empresa.Alto: En corto plazo desmoviliza o desarticula a la Organización.



Determina si los riesgos encontrados y los riesgos restantes son aceptables.

Clasificación de Riesgos



Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.

Reduccion del Riesgo



Reduccion del Riesgo

Medidas físicas y técnicasConstrucciones de edificio, Control de acceso, Planta eléctrica, Antivirus, Datos cifrados, Contraseñas inteligentes, ...Medidas personales– Contratación, Capacitación, Sensibilización, Medidas organizativas– Normas y reglas, Seguimiento de control, Auditoría, ...



Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Control del Riesgo

Políticas de seguridad


Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propósito de Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.

Política de Seguridad

Normativa

Implantación

Mecanismos de Seguridad

Políticas de seguridad


La Política de Seguridad debe cubrir, en la medida de sus posibilidades, todos los aspectos que pudieran poner en peligro la información, sin olvidar las medidas de seguridad física.

clase1,2,3,4 seguridad informatica

Documents