3.6 abonos orgánicos - mexico Alonso hernández para la red de UDCA
Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de...
-
Upload
daniel-castillo-blazquez -
Category
Documents
-
view
220 -
download
0
Transcript of Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de...
Nuevas TecnologíasSistemas de Información
Riesgos
Alonso Hernández
Madrid, 13 de noviembre de 2007
RIESGO
Contingencia o posibilidad de que ocurra un daño.
AMENAZA
Ataque:Posibilidad de
un daño.Materialización
de una amenaza.
VULNERABILIDAD
Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo.
PROBABILIDAD
Cifra que expresa el grado en que un hecho sea absolutamente seguro que ocurra o no.
Suele expresarse entre cero y uno.
DAÑO (IMPACTO)
Consecuencia para un activo de la materialización de una amenaza.
UNA AMENZA PRODUCE UN
Riesgo = Vulnerabilidad x Probabilidad x Impacto
Popularidad Simplicidad Impacto
CLASES DE RIESGO
FÍSICO LÓGICO
INTERNO
EXTERIOR
TIPOS DE VULNERABILIDADES
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
TIPOS DE VULNERABILIDADES
asegurar que la información es accesible sólo para aquellos autorizados a tener acceso
Confidencialidad
Integridad DisponibilidadSalvaguardar la
información tanto en calidad como en cantidad
Asegurar que los usuarios autorizados tienen acceso a la
información y a los activos asociados cuando es requerido
PRINCIPALES AMENAZAS
¿Qué es Malware?
Por similitud es el hardware o software que produce o puede producir daño al sistema.
PRINCIPALES AMENAZAS
Es la suma de:
Virus informáticos+
Spyware+
Ingeniería social
VIRUS INFORMÁTICOS
Virus programa que está diseñado para “infectar” a otros programas o archivos.
El término infectar se refiere a que el virus insertará una copia de sí mismo dentro del un archivo “sano”.
VIRUS INFORMÁTICOS
Gusanos son diseñados para propagarse de forma masiva, a través de e-mail y/o redes.
SPYWARE
Son programas que se dedican a espiar, obtener y mandar información del ordenador o red que afectan.
Sus principales actividades son: Enviar publicidad agresiva Robar direcciones de e-mail Robar información bancaria
TIPOS DE SPYWARE
Caballos de Troya (software maligno disfrazado de legítimo)
Puertas traseras (facilita la entrada a usuarios sin autorización)
Pop ups (ventanas que muestran publicidad)
Keyloggers (capturador de teclas)
Marcadores (marca número telefónico para acceder a través de módem)
Adware (envía publicidad)
DoS (Denegación de servicios)
INGENIERÍA SOCIAL
Incluye todas las técnicas, métodos y medios que puede usar un atacante para engañar.
Desde buscar información en la basura, hasta la creación de sitios web falsos.
Promover amistad con usuarios.
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos
4. Enumeración
HACKERS
Preparación de un ataque:1. Seguir el rastro
Recopilar información sobre el objetivo Acceso remoto Arquitectura intranet – internet – extranet Determinar el alcance Enumeración de la red Interrogación del DNS Reconocimiento de red
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración Sistemas activos Sistemas accesibles
3. Exploración de puertos
4. Enumeración
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos Conexión TCP
4. Enumeración
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos
4. Enumeración Cuentas de usuario válidas Cuentas compartidas mal protegidas
CONTROLES O DEFENSAS
Establecer política de seguridad. No instalar programas de dudoso origen. Mantener actualizado el sistema operativo. Tener programa antivirus y firewall. Cuentas de usuarios con pocos privilegios. Hacer copias de respaldo. Principio de Deming.
PRINCIPIO DE DEMING
Plan
Do
Check
Act
Gestión de la continuidad del
negocio
Clasificación y control de
activos
Política de Seguridad
Organización de la
seguridad
Aspectos de la seguridad relativos
al personalSeguridad física
y del entorno
Gestión de las comunicaciones y operaciones
Control de acceso
Mantenimiento y desarrollo de sistemas
Conformidad
ELEMENTOS DE DEFENSA (BIENWARE)
Cortafuegos Proxy Password Cifrado Antivirus Inalámbrico
FRAUDE
Consiste en un acto ilegal consciente, la ocultación de ese acto y la obtención de beneficio por ese acto.
FRAUDE – Clases
AICPA distingue dos clases distintas:
1. Manifestación errónea voluntaria sobre información financiera.
2. Robo.
FRAUDE – Concepto legal
Concepto legal:
Cuando una persona a sabiendas realiza una manifestación falsa en la que la víctima confía que resulta en prejuicio para la víctima.
FRAUDE – Tipos de cargos
Los cargos legales pueden ser diversos:
Fraude Robo Malversación Desfalco
FRAUDE
Razones por las que se comete fraude:
Oportunidad
Presión Justificación• Financiera
• Controles débiles• Posición de confianza
• No es un crimen• Está justificado• Préstamo• Lo hace todo el mundo
FRAUDE
Al auditor deben serle familiares las precondiciones para detectar el fraude:
Determinar el riesgo de fraude, estudiando el sistema de controles.
Conocer detalladamente los síntomas de fraude.
Estar alerta a estos síntomas.