Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de...
-
Upload
daniel-castillo-blazquez -
Category
Documents
-
view
217 -
download
0
Transcript of Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de...
![Page 1: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/1.jpg)
Nuevas TecnologíasSistemas de Información
Riesgos
Alonso Hernández
Madrid, 13 de noviembre de 2007
![Page 2: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/2.jpg)
RIESGO
Contingencia o posibilidad de que ocurra un daño.
![Page 3: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/3.jpg)
AMENAZA
Ataque:Posibilidad de
un daño.Materialización
de una amenaza.
![Page 4: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/4.jpg)
VULNERABILIDAD
Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresión sobre dicho activo.
![Page 5: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/5.jpg)
PROBABILIDAD
Cifra que expresa el grado en que un hecho sea absolutamente seguro que ocurra o no.
Suele expresarse entre cero y uno.
![Page 6: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/6.jpg)
DAÑO (IMPACTO)
Consecuencia para un activo de la materialización de una amenaza.
![Page 7: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/7.jpg)
UNA AMENZA PRODUCE UN
Riesgo = Vulnerabilidad x Probabilidad x Impacto
Popularidad Simplicidad Impacto
![Page 8: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/8.jpg)
CLASES DE RIESGO
FÍSICO LÓGICO
INTERNO
EXTERIOR
![Page 9: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/9.jpg)
TIPOS DE VULNERABILIDADES
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
![Page 10: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/10.jpg)
TIPOS DE VULNERABILIDADES
asegurar que la información es accesible sólo para aquellos autorizados a tener acceso
Confidencialidad
Integridad DisponibilidadSalvaguardar la
información tanto en calidad como en cantidad
Asegurar que los usuarios autorizados tienen acceso a la
información y a los activos asociados cuando es requerido
![Page 11: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/11.jpg)
PRINCIPALES AMENAZAS
¿Qué es Malware?
Por similitud es el hardware o software que produce o puede producir daño al sistema.
![Page 12: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/12.jpg)
PRINCIPALES AMENAZAS
Es la suma de:
Virus informáticos+
Spyware+
Ingeniería social
![Page 13: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/13.jpg)
VIRUS INFORMÁTICOS
Virus programa que está diseñado para “infectar” a otros programas o archivos.
El término infectar se refiere a que el virus insertará una copia de sí mismo dentro del un archivo “sano”.
![Page 14: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/14.jpg)
VIRUS INFORMÁTICOS
Gusanos son diseñados para propagarse de forma masiva, a través de e-mail y/o redes.
![Page 15: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/15.jpg)
SPYWARE
Son programas que se dedican a espiar, obtener y mandar información del ordenador o red que afectan.
Sus principales actividades son: Enviar publicidad agresiva Robar direcciones de e-mail Robar información bancaria
![Page 16: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/16.jpg)
TIPOS DE SPYWARE
Caballos de Troya (software maligno disfrazado de legítimo)
Puertas traseras (facilita la entrada a usuarios sin autorización)
Pop ups (ventanas que muestran publicidad)
Keyloggers (capturador de teclas)
Marcadores (marca número telefónico para acceder a través de módem)
Adware (envía publicidad)
DoS (Denegación de servicios)
![Page 17: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/17.jpg)
INGENIERÍA SOCIAL
Incluye todas las técnicas, métodos y medios que puede usar un atacante para engañar.
Desde buscar información en la basura, hasta la creación de sitios web falsos.
Promover amistad con usuarios.
![Page 18: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/18.jpg)
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos
4. Enumeración
![Page 19: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/19.jpg)
HACKERS
Preparación de un ataque:1. Seguir el rastro
Recopilar información sobre el objetivo Acceso remoto Arquitectura intranet – internet – extranet Determinar el alcance Enumeración de la red Interrogación del DNS Reconocimiento de red
![Page 20: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/20.jpg)
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración Sistemas activos Sistemas accesibles
3. Exploración de puertos
4. Enumeración
![Page 21: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/21.jpg)
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos Conexión TCP
4. Enumeración
![Page 22: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/22.jpg)
HACKERS
Preparación de un ataque:1. Seguir el rastro
2. Exploración
3. Exploración de puertos
4. Enumeración Cuentas de usuario válidas Cuentas compartidas mal protegidas
![Page 23: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/23.jpg)
CONTROLES O DEFENSAS
Establecer política de seguridad. No instalar programas de dudoso origen. Mantener actualizado el sistema operativo. Tener programa antivirus y firewall. Cuentas de usuarios con pocos privilegios. Hacer copias de respaldo. Principio de Deming.
![Page 24: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/24.jpg)
PRINCIPIO DE DEMING
Plan
Do
Check
Act
Gestión de la continuidad del
negocio
Clasificación y control de
activos
Política de Seguridad
Organización de la
seguridad
Aspectos de la seguridad relativos
al personalSeguridad física
y del entorno
Gestión de las comunicaciones y operaciones
Control de acceso
Mantenimiento y desarrollo de sistemas
Conformidad
![Page 25: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/25.jpg)
ELEMENTOS DE DEFENSA (BIENWARE)
Cortafuegos Proxy Password Cifrado Antivirus Inalámbrico
![Page 26: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/26.jpg)
FRAUDE
Consiste en un acto ilegal consciente, la ocultación de ese acto y la obtención de beneficio por ese acto.
![Page 27: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/27.jpg)
FRAUDE – Clases
AICPA distingue dos clases distintas:
1. Manifestación errónea voluntaria sobre información financiera.
2. Robo.
![Page 28: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/28.jpg)
FRAUDE – Concepto legal
Concepto legal:
Cuando una persona a sabiendas realiza una manifestación falsa en la que la víctima confía que resulta en prejuicio para la víctima.
![Page 29: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/29.jpg)
FRAUDE – Tipos de cargos
Los cargos legales pueden ser diversos:
Fraude Robo Malversación Desfalco
![Page 30: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/30.jpg)
FRAUDE
Razones por las que se comete fraude:
Oportunidad
Presión Justificación• Financiera
• Controles débiles• Posición de confianza
• No es un crimen• Está justificado• Préstamo• Lo hace todo el mundo
![Page 31: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/31.jpg)
FRAUDE
Al auditor deben serle familiares las precondiciones para detectar el fraude:
Determinar el riesgo de fraude, estudiando el sistema de controles.
Conocer detalladamente los síntomas de fraude.
Estar alerta a estos síntomas.
![Page 32: Nuevas Tecnologías Sistemas de Información Riesgos Alonso Hernández Madrid, 13 de noviembre de 2007.](https://reader035.fdocument.pub/reader035/viewer/2022062500/5665b4e31a28abb57c947b9a/html5/thumbnails/32.jpg)