Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Amenazas
Amenazas
Temario
Amenazas a la Seguridad de la Informacin Confidencialidad Integridad Disponibilidad Polticas de Seguridad de la Informacin Normas vigentes Mecanismos de control de acceso a los sistemas de informacin Administracin de claves de acceso Poltica de pantalla y de escritorios limpios Ingeniera Social Cdigo Malicioso Amenazas en la navegacin por Internet Uso seguro del correo electrnico Reporte de incidentes de seguridad
2
Qu se debe Asegurar?
La informacin debe considerarse un activo importante con el que cuentan las Organizaciones para satisfacer sus objetivos, razn por la cual, tiene un alto valor para las mismas y es crtica para su desempeo y subsistencia. Por tal motivo, al igual que el resto de los activos organizacionales, debe asegurarse que est debidamente protegida.
3
Vulnerabilidades y Amenazas
Una vulnerabilidad es una debilidad en un activo.
Una amenaza es una violacin potencial de la seguridad. No es necesario que la violacin ocurra para que la amenaza exista. Las amenazas explotan vulnerabilidades.
Amenazas
Naturales
AMENAZAS
Externas
Impericia
6
Qu se debe garantizar?
1. CONFIDENCIALIDAD
Qu se debe garantizar?
2. INTEGRIDAD
Qu se debe garantizar?
3. DISPONIBILIDAD
Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados toda vez que lo requieran.
9
PSI
Planificacin de actividades
A travs de la actuacin de distintos actores las Organizaciones pueden armar una efectiva planificacin de las actividades a desarrollar, con el objetivo de hacer ms seguros sus sistemas. Esto es importante pues no slo asegura que se abarquen todas las reas relevantes, si no tambin el cumplimiento de los objetivos.
Mejora Continua
La PSI describe, no solamente los aspectos a tener en cuenta en el proceso del alcance de los objetivos en materia de Seguridad de la Informacin, sino tambin los criterios de revisin y mejora continua para mantenerlos.
11
PSI
Involucramiento
Ud. es muy importante para la organizacin, y como tal debe involucrarse en el cumplimiento de la PSI.
Conocimiento
Es necesario que ud. conozca y comprenda la PSI de su Organizacin.
12
DA 669/2004
Todos los organismos de la APN deben contar con:
13
14
15
Consentimiento libre, expreso e informado del Titular de los datos Existen algunas excepciones al consentimiento, tales como DNI, Nombre, ocupacin, domicilio, etc.
Qu protege?
Los derechos de autor de los programas de computacin fuente y objeto; las compilaciones de datos o de otros materiales.
Consecuencias
Los funcionarios pblicos nicamente podrn utilizar material autorizado por el Organismo. El Organismo solo podr autorizar el uso de material conforme los trminos y condiciones de las licencias de uso. La infraccin a estos derechos puede tener como resultado acciones legales que podran derivar en demandas penales.
17
Documento Digital
... Representacin digital de actos o hechos con independencia del soporte utilizado para su fijacin, almacenamiento o archivo ...
Firma Digital
... Resultado de aplicar a un documento digital un procedimiento matemtico que requiere informacin de exclusivo conocimiento del firmante
18
Firma Digital
Conjunto de datos expresados en formato digital, utilizados como mtodo de identificacin de un firmante y de verificacin de la integridad del contenido de un documento digital, que cumpla con los siguientes requisitos: haber sido generado exclusivamente por su titular utilizando una clave que se encuentre bajo su absoluto y exclusivo control ser susceptible de verificacin estar vinculado a los datos del documento digital poniendo en evidencia su alteracin
19
20
Clave de Acceso
Es un conjunto de caracteres escrito por el usuario siguiendo una norma preestablecida, que lo identificarn ante el sistema de informacin.
Debe ser: personal secreta intransferible modificable solo por su titular difcil de averiguar
22
No utilice terminologa tcnica conocida (admin) Combine caracteres alfabticos, maysculas y minsculas, nmeros, caracteres especiales. Constryalas utilizando al menos 8 caracteres.
Mejor an, si la frase origen no es conocida por otros: Verano del 42: Verdel4ydos Elija una palabra sin sentido, aunque pronunciable.
(galpo-glio)
Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte. (arGentina6-0)
24
Escritorio Limpio
Durante el da:
Guarde los documentos sensibles bajo llave.
Escritorio Limpio
No deje accesible documentos impresos que
Escritorio Limpio
Al terminar el da, tmese unos minutos para:
Juntar y guardar en forma segura el material sensible. Cerrar con llave gabinetes, cajones y oficinas. Asegurar el equipo costoso (notebook, PDA, etc.). Destruir en forma efectiva los documentos sensibles que tir al canasto de basura (usar mquinas picadoras de papel, etc). Revisar que deja su lugar de trabajo en orden, los equipos apagados y ningn documento sin guardar, antes de irse definitivamente de su oficina.
29
Pantalla Blanca
Nunca deje desatendida su terminal. Si debe abandonar, aunque sea momentneamente, su puesto de trabajo, bloquee su terminal con las facilidades que provee el sistema operativo o con un salvapantallas que solicite el ingreso de una clave para desbloquear la terminal.
30
Ingeniera Social
La Ingeniera Social (literalmente del ingls: Social Engineering) es un conjunto de acciones que se realizan con el fin de obtener informacin a travs de la manipulacin de usuarios legtimos. Es un conjunto de trucos, engaos o artimaas que permiten confundir a una persona para que entregue informacin confidencial, ya sea los datos necesarios para acceder a sta o la forma de comprometer seriamente un sistema de seguridad.
31
Ingeniera Social
La mejor manera de estar prevenido, es tener conocimiento del tema
Todo el personal debe ser educado, desde los operadores de computadoras hasta el personal de limpieza. No informar telefnicamente a nadie (por ms que se arroguen cargos directivos o funciones especificas de tecnologa) de las caractersticas tcnicas de la red, nombre de personal a cargo, claves de acceso, etc. Controlar el acceso fsico al sitio donde se encuentran los equipos de procesamiento y comunicaciones.
32
Cdigo Malicioso
Programa de computadora escrito para producir inconvenientes, destruccin, o violar la poltica de seguridad. Tipos
Virus: Necesita interaccin del usuario Troyanos: Doble funcionalidad: Una conocida y una oculta. Gusanos: Autoreplicacin Etc
Nota: Ningn antivirus puede detectar todo los programas maliciosos!
33
Cdigo Malicioso
Ejemplos de cosas que puede hacer:
Borrar archivos del disco rgido para que la computadora se vuelva inoperable. Infectar una computadora y usarla para atacar a otras. Obtener informacion sobre ud., los sitios web que visita, sus hbitos en la computadora. Capturar sus conversaciones activando el microfono. Ejecutar comandos en la computadora, como si lo hubiera hecho ud. Robar archivos del equipo, por ejemplo aquellos con informacin personal, financiera, etc.
34
35
Chequear con el remitente la razn por la cual nos envi un archivo adjunto.
38
40
@ @
Algunos son malas traducciones del ingls u otro idioma (traductores automticos)
Nos piden que lo reenviemos !!!
43
SPAM: Recomendaciones
No deje su direccin de correo electrnico en cualquier formulario o foro de Internet.
Configure filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.
No configure respuesta automtica para los pedidos de acuse de recibo. No responda a los pedidos de acuse de recibo de orgenes dudosos.
45
Incidente
Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por una falla en algn mecanismo de seguridad, un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc.
48
Incidentes
Los usuarios de servicios de informacin, al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad, son responsables de registrar y comunicar las mismas al Responsable de Seguridad de la Informacin o a las Autoridades del Organismo.
49
51
Realizar pruebas para detectar y/o utilizar una supuesta debilidad o falla de seguridad. Tratar de solucionar por su cuenta los problemas que pudieran aparecer.
52