Professional Documents
Culture Documents
Diplomado en Seguridad
Informática
LA SEGURIDAD
INFORMÁTICA
Consideración de “Seguridad”
• La seguridad es una meta ambiciosa es considerada
por otros estudios una herramienta dentro del
ámbito en la que se la estudia, ya que como materia
no existe.
• Muchos se arriesgan ha que esta teoría es tan amplia,
compleja y abstracta como la pobreza, la belleza o el
amor y ni si quiera se arriesgan a dar su definición.
• El Dr. MANUNTA en su libro: “Seguridad: Una
Introducción” dice:
“La Seguridad hoy en día es una profesión
compleja con funciones especializadas”.
• Podemos decir que la seguridad es un problema
antagonista (de rivalidad, oposición substancial) y de
la competencia.
Concepto: “Seguridad”
Seguridad, certeza, confianza.
Certeza: Conocimiento seguro y claro de
alguna cosa.
Firme adhesión de la mente a algo
conocible, sin temor de errar.
Confianza: Esperanza firme que se tiene
de una persona o
cosa/Ánimo, aliento, vigor para obrar.
La cualidad de estar Libre y protegido u
exento de todo peligro, daño o riesgo.
Cierto, indubitable y en cierta manera infalible.
Condición de ese o aquel en que se puede
fiarse.
Concepto: “Informática”
• La Informática es la ciencia que estudia el tratamiento
automático de la información en computadoras,
dispositivos electrónicos y sistemas informáticos.
• Proviene del francés “informatique” y fue acuñado por
el ingeniero Philippe Dreyfus en 1962. Formó una
conjunción entre las palabras "information" y
"automatique".
Sistemas Informáticos
• Cada día más los sistemas informáticos resuelven por
nosotros cada día más problemas.
• Esto implica dos consecuencias:
– Los Sistemas Informáticos manejan información
vital para individuos y organizaciones.
– Muchas veces es imprescindible que los Sistemas
Informáticos de una organización estén disponibles.
La mayoría del mundo informático desconoce
la magnitud de los problemas a los que se enfrenta; y
generalmente no se invierte capital económico
y humano necesarios para prevenir
principalmente el daño de la perdida de
información.
“Seguridad Informática”
• Seguridad informática es un conjunto de
soluciones técnicas a problemas no técnicos.
• Seguridad Informática es el conjunto de reglas,
planes y acciones que permiten asegurar la
información contenida en un sistema computacional.
Seguridad informática es un conjunto de soluciones
técnicas a problemas no técnicos.
• Como se sabe el problema nunca se resuelve: ya
que la energía no desaparece solo se transforma en
solución; estará dada en transformación de
problemas diferentes y aceptables.
“Seguridad Informática” (SI)
Autenticidad
La información fue producida, expedida, cambiada o destruida
por una determinada persona física, o por determinado sistema
o entidad;
Relación con otros aspectos…
• No repudio: Es la protección contra la falsa
negación del involucramiento en una asociación, o
sea, garantizar la autoría de determinadas acciones
impidiendo el repudio (negación) de la misma;
• Auditoria: Es la capacidad de determinar que
acciones o procesos se están llevando en el
sistema, así como quien y cuando las realiza.
• Protección a la Replicas: Asegurar que una
transacción pueda realizarse una sola vez (a menos
que se especifique lo contrario).
• Consistencia: Se debe asegurar que el sistema se
comporte como se supone que debe hacerse ante
los usuarios que corresponda.
Términos Relacionados..1
• Activo: recurso del sistema de
información o relacionado con éste,
necesario para que la organización
funcione correctamente y alcance los
objetivos propuestos.
• Amenaza: es un evento que puede
desencadenar un incidente en la
organización, produciendo daños
materiales o pérdidas inmateriales en
sus activos.
Términos Relacionados..2
• Impacto: medir la consecuencia al
materializarse una amenaza.
• Riesgo: posibilidad de que se
produzca un impacto determinado en
un Activo, en un Dominio o en toda la
Organización.
• Vulnerabilidad: posibilidad de
ocurrencia de la materialización de
una amenaza sobre un Activo.
Términos Relacionados..3
• Ataque: evento, exitoso o no,
que atenta sobre el buen
funcionamiento del sistema.
• Desastre/Contingencia:
interrupción de la capacidad de
acceso a información y
procesamiento de la misma a
través de computadoras
necesarias para la operación
normal de un negocio.
Seguridad de que…
• Se trata de la protección de los activos informáticos (ISO
27001):
1. Información
– Es el objeto de mayor valor para una organización, el objetivo
es el resguardo de la información, independientemente del
lugar en donde se encuentre registrada, en algún medio
electrónico o físico.
– Registros electrónicos o físicos.
– Todo lo importante para el negocio.
2. Equipos que la soportan.
– Software, hardware y organización.
3. Usuarios
– Individuos que utilizan la estructura tecnológica y de
comunicaciones que manejan la información.
• Esto implica:
– Protección de información.
– Asegurar la continuidad de los sistemas informáticos que dan
soporte a las operaciones de una organización.
1.Información •Impresos o escritos en papel.
•Almacenada electrónicamente.
•Transmite por correo o en forma
electrónica.
•La que se muestra en videos corporativos.
• Tipos de Información •Lo que se habla en conversaciones.
•Estructura corporativa de información.
•Documentos, informes, libros, manuales,
código de programación, lineas de
Valor de la Información (Vi) comando, planilla de sueldos de
empleados, …etc.
Establecer el valor de la
información es algo totalmente
relativo, pues es un recurso que no
se valora adecuadamente debido a
su intangibilidad, cosa totalmente
diferente que no ocurre con
equipos, aplicaciones y
documentación que la soportan.
Vi=CR+CNT
CR=Costo de Recuperación
CNT=Costo de No Tenerla
1. Clasificación de la Información
– Existe información que no puede La Información es un activo que
ser pública: puede ser visualizada como cualquier otro activo
por otra persona; y aquella que debe
ser privada solo puede ser importante del negocio, tiene
visualizada por un grupo selecto de valor para la organización,
personas.
consecuentemente necesita
– Esta ultima debe ser a la vez
subclasificada de acuerdo a las “Protección Adecuada”.
siguientes características:
• Es Critica: es indispensable Riesgos de la Información
para garantizar la continuidad •Robo de información vital para
operativa. el negocio,
• Es valiosa: es un activo con
valor en si misma. •Perdida de información
• Es sensitiva: Debe ser sensible,
conocida por personas que la •Pérdida de archivos,
procesan y sólo por ellas.
Falsificación de Documentos:
puede producirse la alteración
de contenidos, introducción de
datos falsos, manipulación
fraudulenta de datos, etc.
2.Equipos: Software
Software.
Todos los programas usados para automatizar procesos.
Riesgos de Hardware
•Denegación de servicios necesarios para la operativa.
•Fallas eléctricas que dañen los equipos, inundaciones en
centros de cómputo, robo de equipos portátiles.
•Pueden producirse errores intermitentes, conexiones
suelta, desconexión de tarjetas, etc.
2.Equipos: Organización
Organización.
•Todos los aspectos que componen la estructura física y
organizativa de las empresas
•La organización lógica y física que tiene el personal dentro
de la empresa
Ej.: la estructura departamental y funcional, el cuadro de
asignación de funcionarios, la distribución de funciones y los
flujos de información de la empresa, ambiente físico
Riesgos Organización
Inseguridad en la ubicación FISICA: documentos, equipos o
personas.
Estructura organizacional que no permita los cambios en materia
de seguridad.
3. Usuarios
Organización.
•Todos los individuos que utilizan la estructura tecnológica y
de comunicación de la empresa y que manejan la
información
•Enfocado a la toma de conciencia de formación del hábito
de la seguridad
Ej.: Empleados del área de contabilidad, directivos de la
empresa
Riesgos de Organización
Robo de Información por: No usar contraseñas complejas o No
bloquear el computador.
Falta de cooperación por parte de los usuarios en materia de
seguridad.
Descuido de parte de los usuarios en el manejo de la
información.
La Ingeniería Social: Como conocer o aprender detalles
operativos internos. Debilidad humana toman ventaja de:
descuidos internos, Debilidad humana toman ostentosa o
aparente autoridad, exceso de colaboración y otros.
¿Todos estos riesgos ocurren?
Si y es más frecuentemente de lo que en principio imaginamos.
Gestión de la Seguridad
La GS de la Información es obtenida a partir de la implementación de un
conjunto de controles adecuados, incluyendo políticas, normas,
procedimientos, procesos, estructuras organizacionales y funciones de
hardware y software;
Proporcionar
Proporcionar
divulgación,
divulgación,
Conscientización, Provisión
Provisiónde Adoción
Conscientización, de Adociónde deindicadores
indicadores
entrenamiento
entrenamientoyy Recursos para
Recursos paralalaMedición
Medicióndedelala
Educación
Educación financieros
financierospara
paralala Seguridad;
Seguridad;
adecuados;
adecuados; Seguridad;
Seguridad;
PNP
PNP
Documento fundamental que forma el
establecimiento, direccionamiento y
soporte administrativo necesario para la
gestión de la seguridad de la información.
La Política de Seguridad Informática (PSI)
es un conjunto de leyes, reglas, guías y
prácticas que regulan cómo una
organización u entidad maneja, protege y
Política distribuye información sensitiva.
SEGURIDAD FÍSICA Y
LÓGICA
Tipo de Seguridad con
respecto a la naturaleza de la
Existen amenaza
dos tipos de
seguridad con respecto a la naturaleza de la
amenaza:
Puntos débiles
Preventivas
evitar los puntos
Tipos de Medida débiles
de Seguridad Perceptivas
encontrar actos que
provoquen riesgo
Correctivas
corrección de
problemas cuando
Medidas de Seguridad
Son un conjunto de prácticas
1. Análisis de riesgos
– busca rastrear vulnerabilidades en los
activos que puedan ser explotados por
amenazas
– Resultado: recomendaciones para
corrección de activos
2. Política de seguridad
– establecer los estándares de seguridad
a ser seguidos por todos los
involucrados con el uso y
mantenimiento de los activos
– aumentar la conciencia de la
seguridad de las personas
Medidas de Seguridad
3. Especificación de seguridad
Busca la correcta implementación de un nuevo
ambiente tecnológico, por medio del detalle de sus
elementos constituyentes
Incluso su disposición para seguir los principios de
la Seguridad Informática.
4. Administración de seguridad
– Es gestión de los riesgos de un ambiente
– Involucra a todas las medidas mencionadas
anteriormente, en forma preventiva, perceptiva y
correctiva
Ciclo de Vida de la Seguridad Informática
Ciclo de vida de la Seguridad
Informática
• Evaluación (Assess):
– Identificación de amenazas
– Visualización de los puntos débiles
– Exponiendo los activos a riesgos de seguridad
– Potencial impactos en el negocio de la empresa
– Medidas de seguridad para reducir puntos débiles e
impacto en el negocio.
Fases del proceso de seguridad.
Evaluación
• Evaluación (Assess):
– Análisis de Riesgos basados en el OCTAVE
method.
– Identificación de las Amenazas de Seguridad y
Visualización de Puntos Débiles en Seguridad
Informática (ej., auditorias, evaluación de
Vulnerabilidades, pruebas de penetración, revisión
de aplicaciones)
– Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.
Evaluación
• Debilidades:
– Determinar el estado de la
seguridad en dos áreas
principales: Técnica y No
Técnica.
– No técnica: Evaluación de
políticas.
– Técnica: Evaluación de
Seguridad física, diseño de
seguridad en redes, matriz de
habilidades.
Fases del proceso de seguridad.
Evaluación
• Administración de Riesgos:
– Método lógico y sistemático de establecer el contexto,
identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad,
función o procesos para minimizar pérdidas.
– La Administración de Riesgos se puede basar en el
Estándar Australiano AS/NZ 4360:1999.
Fases del proceso de seguridad.
Evaluación
• Necesitamos políticas?
– Empleados accesando Internet?
– Problemas con el uso de la red o el email?
– Empleados utilizando información confidencial o privada?
– Acceso remoto a la organización?
– Dependencia de los recursos informáticos?
• Políticas define que prácticas son o no son aceptadas.
Fases del proceso de seguridad.
Diseño
• Como concientizar?
– En persona, por escrito o través de la Intranet.
– Reuniones por departamento.
– Publicar artículos, boletines, noticias.
– Crear un espacio virtual para sugerencias y comentarios.
– Enviar emails con mensajes de concientización.
– Pegar letreros en lugares estratégicos.
– Dar premios a empleados.
– Exámenes On-line.
– Crear eventos de Seguridad Informática.
Fases del proceso de seguridad.
Diseño
• Logs en Firewalls.
• Se requiere Sistemas de detección de Intrusos?
• O necesitamos Sistemas de prevención de
Intrusos?
• Firma digital para envío de documentos?
Fases del proceso de seguridad.
Implementar
• Manejo de Incidentes:
– Organización,
– Identificación,
– Encapsulamiento,
– Erradicación,
– Recuperación y
– Lecciones aprendidas.
Fases del proceso de seguridad.
Capacitación continua