Este documento trata sobre la seguridad de la información. Define la seguridad de la información como el conjunto de medidas técnicas, organizativas y legales que permiten asegurar la confidencialidad, integridad y disponibilidad del sistema de información de una organización. Explica los roles y responsabilidades en materia de seguridad de la información, como el directorio, gerencia general, oficial de seguridad de la información, propietarios de información y usuarios. También describe diversos mecanismos de seguridad como la clasificación de información,
2. Seguridad de Información UPT
1
Ivonne Gonzales Nina
INTRODUCCION
Existen muchas definiciones del término seguridad. Simplificando,
y en general, podemos definir la seguridad como: "Característica
que indica que un sistema está libre de todo peligro, daño o
riesgo." (Villalón)
Cuando hablamos de seguridad de la información estamos
indicando que dicha información tiene una relevancia especial en
un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Información se puede definir como conjunto de
medidas técnicas, organizativas y legales que permiten a la
organización asegurar la confidencialidad, integridad y
disponibilidad de su sistema de información.
Hasta la aparición y difusión del uso de los sistemas informáticos,
toda la información de interés de una organización se guardaba
en papel y se almacenaba en grandes cantidades de abultados
archivadores. Datos de los clientes o proveedores de la
organización, o de los empleados quedaban registrados en papel,
con todos los problemas que luego acarreaba su almacenaje,
transporte, acceso y procesado.
“La seguridad informática consiste en la implantación de un
conjunto de medidas técnicas destinadas a preservar la
confidencialidad, la integridad y la disponibilidad de la información,
pudiendo, además, abarcar otras propiedades, como la
autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
3. Seguridad de Información UPT
2
Ivonne Gonzales Nina
DESARROLLO
1. SEGURIDAD DE LA INFORMACION
La seguridad informática es el área de la informática que se encarga de la protección
de la infraestructura computacional incluyendo la información contenida. Maneja la
protección de aspectos tales como: confidencialidad, integridad, autenticidad y
disponibilidad. La seguridad informática protege software, bases de datos, archivos,
datos, etc. de que caiga en manos de personas inescrupulosas o no autorizadas. En
las empresas existe un componente fundamental en el proceso del negocio: La
información, uno de los mayores retos de las organizaciones y en especial de los
departamentos de sistemas e informática es garantizar la seguridad de la información
y de los recursos informáticos.
Los objetivos de la seguridad informática son:
Proteger la información contenida, es uno de los elementos más importantes
dentro de una organización; son todos los datos ingresados por el usuario (ya
sea un administrador, supervisor u otra persona que le esté permitido anexar o
modificar dicha información) para que no le sean permitidos ver a personas
ajenas a el acceso de la información.
Proteger al usuario: Son las personas que utilizan la estructura tecnológica,
zona de comunicaciones y gestiona la información .el usuario es el mayor
afectado si la información es hurtada, ya que es el responsable de ella.
2. ¿CÓMO ESTABLECER LOS REQUISITOS DE SEGURIDAD?
Es esencial que la organización identifique sus requisitos de seguridad. Existen tres
fuentes principales.
1. La primera fuente procede de la valoración de los riesgos de la organización,
tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se
identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de
su ocurrencia y se estima su posible impacto.
4. Seguridad de Información UPT
3
Ivonne Gonzales Nina
2. La segunda fuente es el conjunto de requisitos legales, estatutos,
regulaciones y contratos que debería satisfacer la organización, sus socios
comerciales, los contratistas y los proveedores de servicios.
3. La tercera fuente está formada por los principios, objetivos y requisitos que
forman parte del tratamiento de la información que la organización ha desarrollado
para apoyar sus operaciones.
3. OBJETIVO DE LA SEGURIDAD INFORMÁTICA
El objetivo de la seguridad informática es proteger los recursos informáticos
valiosos de la organización, tales como la información, el hardware o el software. A
través de la adopción de las medidas adecuadas, la seguridad informática ayuda a la
organización cumplir sus objetivos, protegiendo sus recursos financieros, sus
sistemas, su reputación, su situación legal, y otros bienes tanto tangibles como
inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad informática
como algo que dificulta la consecución de los propios objetivos de la organización,
imponiendo normas y procedimientos rígidos a los usuarios, a los sistemas y a los
gestores. Sin embargo debe verse a la seguridad informática, no como un objetivo en
sí mismo, sino como un medio de apoyo a la consecución de los objetivos de la
organización.
En general el principal objetivo de las empresas, es obtener beneficios y el de
las organizaciones públicas, ofrecer un servicio eficiente y de calidad a los usuarios.
En las empresas privadas, la seguridad informática debería apoyar la consecución de
beneficios.
Para ello se deben proteger los sistemas para evitar las potenciales pérdidas
que podrían ocasionar la degradación de su funcionalidad o el acceso a los sistemas
por parte de personas no autorizadas.
De igual forma, las organizaciones públicas deben proteger sus sistemas para
garantizar la oferta de sus servicios de forma eficiente y correcta.
5. Seguridad de Información UPT
4
Ivonne Gonzales Nina
4. ROLES SOBRE LA SEGURIDAD
¿Quién es el responsable por la seguridad de la información?
Directorio:
Revisar y aprobar la política de seguridad de la información asegurando que sea
adecuada para la institución.
Evaluar y aprobar las iniciativas principales para mejorar la seguridad de la
información.
Evaluar el rendimiento de la gestión de seguridad de la información.
Gerencia General:
Difundir de una manera adecuada la Política de Seguridad de la Información.
Asegurar el correcto entendimiento de la Política de Seguridad de la
Información y que todo el personal de la institución se comprometa al
cumplimiento de la misma.
Oficial de Seguridad de la Información:
6. Seguridad de Información UPT
5
Ivonne Gonzales Nina
Direccionar, recomendar y aconsejar a todos los usuarios de los sistemas de
información en cuanto a la seguridad de la información.
Realizar investigaciones de incidentes y ayudar a resolver problemas de
seguridad de la información.
Desarrollar métodos y técnicas para monitorear efectivamente los sistemas de
seguridad de la información y reportar periódicamente su efectividad al Comité
de Gestión de SI.
Evaluar, recomendar y desarrollar especificaciones técnicas para la seguridad
de los sistemas de información.
Coordinar el desarrollo, mantenimiento y prueba del plan de Contingencia
Informático
Gerentes y Jefes:
Difundir de una manera adecuada la Política de Seguridad de la Información
asegurando su correcto entendimiento.
Controlar los términos de seguridad de la información en contratos con terceros
y en la relación con los clientes externos.
Propietarios de Información:
Aceptar la responsabilidad por toda la información que está bajo su control.
Analizar el valor e impacto de la información a su cargo
Clasificar la información de acuerdo a los estándares establecidos.
Autorizar accesos sobre la información
Determinar tiempos de retención y métodos de destrucción de la información.
Comunicar requerimientos de control y protección de la información al Oficial
de Seguridad.
Establecer los niveles mínimos de servicio cuando se requiere recuperar
información en casos de desastres.
Custodios:
7. Seguridad de Información UPT
6
Ivonne Gonzales Nina
Cumplir con los requerimientos de protección de la Información
Utilizar herramientas y mecanismos de seguridad físicos y de procedimientos
automatizados para proteger la información del acceso, divulgación,
modificación o destrucción no autorizados, ya sea accidental o
intencionalmente.
Preparar respaldos de información y guardarlos en localizaciones seguras.
Participar en la evaluación de riesgos junto con los propietarios de la
información y el Oficial de Seguridad.
Preparar planes de recuperación de la información.
En caso de contingencias, notificar a los usuarios propietarios de la información
la incapacidad de cumplir con los niveles de servicio establecidos.
Usuarios:
Usar solamente la información para los propósitos autorizados por la
organización.
Cumplir con los requerimientos de seguridad establecidos
Informar a los propietarios de la información y/o el Oficial de Seguridad
cualquier exposición de la seguridad ya sea real o potencial.
Controlar los términos de seguridad de la información en contratos con terceros
y en la relación con nuestros clientes.
5. MECANISMOS DE SEGURIDAD
Medidas de Protección
Los controles deben asegurar que los riesgos son reducidos a un nivel de
riesgo aceptable tomando en cuenta:
Requerimientos y limitaciones de la legislación y regulación nacional e
internacional
Objetivos organizacionales
8. Seguridad de Información UPT
7
Ivonne Gonzales Nina
Requerimientos y limitaciones operativas
Costo de implementación y operación
Balance entre la inversión y el daño probable en caso de fallas
Clasificación de la Información:
La información debería clasificarse para indicar la necesidad, prioridades
y grado de protección
Privado
Confidencial
Uso interno
Público
Seguridad en la zona de trabajo
Guardar los documentos y medios de almacenamiento de
información cuando estos no se estén utilizando.
Guardar información confidencial o privada en lugar seguro y bajo
llave.
Bloquear su computador en caso de ausencia temporal en la oficina.
Apagar su computadora al final de su jornada de trabajo
Seguridad de equipos dentro y fuera de la Organización
Utilizar los equipo sólo para la ejecución de funciones asignadas
Vigilar condiciones eléctricas y ambientales
Evitar fumar, beber y comer
Equipos fuera de los locales
Solicitar autorización para retirar equipo
No dejarlos desatendidos en sitios públicos
9. Seguridad de Información UPT
8
Ivonne Gonzales Nina
No desactivar mecanismos de protección
Acceso a las computadoras
Está prohibido utilizar una identidad distinta a la propia
Los dispositivos de almacenamiento removibles (grabadoras de
CD/DVD, memoria USB) están restringidos.
Está prohibido el compartir carpetas sin asignar contraseñas o
permisos de acceso.
Sólo el personal de Soporte Técnico podrá ingresar remotamente a
las computadoras, con la autorización del usuario o por orden de la
Gerencia General.
Acceso a la Red de Datos y Sistemas de Información
Todo acceso debe estar autorizado por el Gerente o Jefe.
El acceso a los sistemas de información debe ser autorizado los
correspondientes propietarios.
Las cuentas y contraseñas de acceso a red, correo, sistemas y otros
servicios son confidenciales, personales e intransferibles
Las contraseñas deben ser difíciles de adivinar, tener al menos 6
dígitos, cambiarse por lo menos cada 90 días y bloquearse al tercer
intento fallido.
Protección contra software malicioso
No introducir virus o software malicioso en los equipos de cómputo.
No deshabilitar o desinstalar los programas antivirus, sin autorización
No instalar software adicional.
10. Seguridad de Información UPT
9
Ivonne Gonzales Nina
Comunicar inmediatamente al área de Soporte Técnico la detección
de virus o software malicioso.
Uso de Correo Electrónico Interno
El correo electrónico institucional es personal y de uso exclusivo para
las funciones encomendadas.
Está prohibido transmitir contenido invasor a la intimidad, que
contravenga disposiciones legales u ofensivas.
Está prohibido enviar mensajes spams, con fines lucrativos o cadenas.
Eliminar correos electrónicos externos no solicitados y/o recibidos de
fuentes desconocidas.
No ejecutar archivos adjuntos de programas, scripts o extensiones
desconocidas (Ejemplo: exe, com, vbs, bat)
No transmitir información confidencial sin autorización del jefe
inmediato superior.
Uso de Internet
El acceso a Internet es para uso exclusivo de las funciones
encomendadas
Está prohibido:
Ingresar a páginas improductivas que no estén relacionadas a las
funciones
Descargar e instalar programas sin autorización
Utilizar aplicaciones Peer-to-peer
Utilizar mensajería instantánea sin autorización
Todo acceso puede ser monitoreado
11. Seguridad de Información UPT
10
Ivonne Gonzales Nina
Seguridad de Equipos Ofimáticos
Recoger inmediatamente los documentos que se impriman o
fotocopien.
Destruir copias de documentos confidenciales (Cuando ya no sean
necesarias)
Identificar y supervisar los equipos ofimáticos de su área
Evitar fuga de información
No enviar información confidencial por fax, sin autorización
Otras formas de Comunicación de tipo confidencial
No dejar grabados mensajes con información confidencial en
máquinas contestadoras
Evitar conversar sobre temas sensibles o confidenciales en presencia
de terceros
Evitar discutir temas sensibles o confidenciales por teléfonos
inalámbricos o celulares
12. Seguridad de Información UPT
11
Ivonne Gonzales Nina
CONCLUSIONES
La Seguridad de la Información es importante por la conservación
de la integridad de la información y el equipo en sí, piensa en los
virus como algo dañino que puede dañar tu sistema operativo y
dejar tu pc sin posibilidades de uso, así como la perdida de la
información almacenada.
Se está tomando Énfasis al ISO 27002 porque proporciona
recomendaciones de las mejores prácticas en la gestión de la
seguridad de la información a todos los interesados y
responsables en iniciar, implantar o mantener sistemas de gestión
de la seguridad de la información.
13. Seguridad de Información UPT
12
Ivonne Gonzales Nina
WEB GRAFÍA
http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-
iso-27001-y-la-iso-27002
http://es.wikipedia.org/wiki/ISO/IEC_27002
http://seguridadit.blogspot.com/
http://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci%C
3%B3n_y_la_comunicaci%C3%B3n
http://es.wikipedia.org/wiki/Tic