SlideShare una empresa de Scribd logo

Guia de ti7

Descargar como DOCX, PDF
M
Mahonri Dimas

Guia de tecnologias de informacion 7 en la cual se ven temas relacionados con la seguridad fisica y virtual

Tecnología
1 de 21
GUIA de TI7 Principiosde la seguridadeninformática En las propiasempresas,lacrecientecomplejidadyel elevadonúmerode transaccionesrealizadashanpropiciadoel soporteautomatizadode muchosde sus procesos. De ahí la gran importanciaque se deberíaconcederatodoslos aspectosrelacionadosconlaSeguridadInformáticaenunaorganización. Seguridadinformática Cualquiermedidaque impidalaejecuciónde operacionesnoautorizadassobre unsistemaoredinformáticacuyosefectospuedanconllevar dañossobre la información,comprometersu confidencialidad,autenticidadointegridad,disminuirel rendimientode losequiposbloquearel acceso de usuariosautorizadosal sistema. Seguridadde la Información segúnla Norma ISO/IEC 17799 La NormaISO/IEC17799 define laseguridad de lainformacióncomolapreservación de suconfidencialidad,suintegridad ysu disponibilidad(conocidasporsuacrónimo“CIA”) eninglésConfidentiality,Integrity, Availability”) La NormaISO7498 define laSeguridad Informáticacomounaserie de mecanismos que minimizanlavulnerabilidadde bienesyrecursosenunaorganización.
Factoresde seguridadde unsistemainformático. • SensibilizaraDirectivosyResponsables • Conocimientos,capacidadese implicaciónde responsables • Mentalización,formaciónde responsabilidadesde losusuarios • Adaptarlosobjetivosalasnecesidadesde laorganización • Contemplarlaseguridadamenazasdel exteriore interior • Soporte de hardware y software • Limitaciónenasignaciónde permisos yprivilegios.
Objetivosde la seguridad de informática. • Minimizarygestionarriesgosydetectarproblemasyamenazasala seguridad • Garantizar laadecuadautilizaciónde losrecursosyde las aplicacionesde sistema • Limitarlaspérdidasyconseguirlaadecuadarecuperacióndel sistemaencasode unincidente de seguridad • Cumplirconel marco legal y con losrequisitosimpuestosporlosclientesensuscontratos Planos de actuación enla seguridad informática. • PLANOHUMANO Sensibilizaciónyformación Funciones,obligacionesyresponsabilidadesdel personal Control y supervisiónde losempleados • PLANOTÉCNICO Selección,instalación,configuraciónyactualizaciónde solucionesHWySW Criptografía Estandarizaciónde productos Desarrollosegurode aplicaciones • ORGANIZACIÓN Políticas,NormasyProcedimientos Planesde ContingenciayRespuestaaIncidentes RelacionesconTerceros(Clientes,Proveedores,etc) • LEGISLACIÓN
Cumplimientoyadaptaciónala legislaciónvigente. LOPD,LSSI, LGT, Firma electrónica,CódigoPenal,PropiedadIntelectual. LA SEGURIDAD DE INFORMATICACOMO PROCESO Y NO COMO PRODUCTO Seguridadcomo proceso. • Reducirlaposibilidadde que se produzcanincidentesde seguridad • Revisiónyactualizaciónde lasmedidasde seguridadimplantadas(Auditoría) • Conseguirlarápidarecuperaciónde losdañosexperimentados • Minimizarel impactoenel sistemade información • Facilitarlarápidadetecciónde losincidentesde seguridad Serviciosde seguridad de la información. • CONFIDENCIALIDAD • AUTENTICACIÓN • INTEGRIDAD • NO REPUDIACIÓN • DISPONIBILIDAD • AUTORIZACIÓN • AUDITABILIDAD • RECLAMACIÓN DE ORIGEN • RECLAMACIÓN DE PROPIEDAD • ANONIMATOEN EL USO DE LOS SERVICIOS
• PROTECCIÓN A LA RÉPLICA • CONFIRMACIÓN DELA PRESTACIÓN DE UN SERVICIO • REFERENCIA TEMPORAL (CERTIFICACIONESDEFECHAS) • CERTIFICACIÓN MEDIANTETERCEROS DE CONFIANZA PRINCIPIODE “DEFENSA EN PROFUNDIDAD” • Consiste enel diseñoe implantaciónde variosnivelesde seguridaddentrodelsistemainformáticode laorganización. • Seguridadperimetral (Cortafuegos,proxiesyotrosdispositivosque constituyenlaprimera“líneade defensa”.
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN(SGSI) Es aquellaparte del sistemageneral de gestiónque comprende la política,laestructuraorganizativa, losrecursos necesarios,los procedimientosylosprocesosnecesariosparaimplantarlagestiónde laseguridadde lainformaciónenunaorganización. POLÍTICAS GESTIÓNDE LA SEGURIDAD DE LA INFORMACIÓN Está constituidaporel conjuntode normas reguladoras, procedimientos,reglasybuenasprácticas que determinanel modoenque todoslos activosy recursos,incluyendolainformación,songestionados,protegidosydistribuidosdentrode unaorganización.
NIVELES DE MADUREZ EN LA GESTIONDE LA SEGURIDAD DE LA INFORMACIONEN UNA ORGANIZACIÓN. • ETAPA 1 Implantaciónde medidasbásicasde seguridadpor“sentidocomún”: Copiasde seguridad Control de acceso a recursos… • ETAPA 2 Cumplimientode lalegislaciónvigente: LOPD,LSSI, Delitosinformáticos,etc • ETAPA 3 GestiónGlobal de laSeguridadde laInformación: Definiciónde unapolíticade seguridad Implantaciónde planesyprocedimientosde seguridad AnálisisyGestiónde Riesgos Definiciónde unPlande RespuestaaIncidentesyde Continuidadde Negocio • ETAPA 4 Certificaciónde laGestiónde laSeguridad: UNE 71501 y 71502 BS 7799-2 Confianzayverificabilidadporparte de terceros ANALISIS Y GESTIONDE RIESGOS EN UNAORGANIZACIÓN
• Análisisy Detecciónde Vulnerabilidadesdel Sistemade Información Impactoen losactivosafectados • Detecciónde Amenazas Intencionadas No Intencionadas Naturales • Evaluación y Gestióndel Riesgo RECURSOS DEL SISTEMA. Los recursossonlos activosa protegerdel sistemainformáticode laorganización.
• Recursosde Hardware • Recursossoftware • Elementosde Comunicaciones • Informaciónque se almacena,procesaydistribuye sistema • Localesy oficinasdonde se ubicanlosrecursosfísicos AMENAZAS Se consideraamenazaa cualquiereventoaccidental ointencionadoque puedaocasionaralgúndañoenel sistemainformático,provocando pérdidasmateriales,financierasode otrotipoa la organización. • AmenazasNaturales • Amenazasde AgentesExternos • Amenazasde AgentesInternos • Accidente • Errores • Actuacionesmal intencionadas VULNERABILIDADES • Es cualquierdebilidadenel sistemainformáticoque puedapermitiralasamenazascausarle dañosy producirpérdidasenla organización. • Fallosenlossistemasfísicosy/ológicos • Defectosde ubicación,instalación,configuraciónymantenimientode losequipos Aspectosorganizativos(Procedimientos mal definidos,al factorhumano,etc)
INCIDENTES DE SEGURidad • Es cualquiereventoque tengaopuedatenercomoresultadolainterrupciónde losserviciossuministradosporunsistemainformático y/oposiblespérdidasfísicasde activosofinancieras. Es la medicióny valoración del daño que podría producir a la organización un incidente de seguridad. IMPACTOS Alto • Pérdidaso inhabilitaciónde recursos críticos • Interrupciónde los procesosde negocio • Daños en la imageny reputaciónde la organización • Robo o revelaciónde informaciónestratégicao especialmente protegida Moderado • Pérdidasoinhabilitaciónde recursoscríticosperoque cuentanconelementosde respaldo • Caída notable enel rendimientode losprocesosde negociooenlaactividadnormal de la organización • Roboo revelaciónde informaciónconfidencial,peroNOconsideradaestratégica
Bajo • Pérdidaoinhabilitaciónde recursossecundarios • Disminucióndel rendimientode losprocesosde negocio • Roboo revelaciónde informacióninternanopublicada RIESGOS Es la probabilidadde que unaamenazase materialice sobre unavulnerabilidaddel sistemainformático,causandoundeterminadoimpactoenla organización.
DEFENSAS, SALVAGUARDASO MEDIDAS DE SEGURIDAD Es cualquiermedioempleadoparaeliminaro reducirun riesgo.Suobjetivoesreducirlasvulnerabilidadesde losactivos,laprobabilidadde ocurrenciade las amenazasy/oel nivel de impactoenlaorganización.
POLITICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD. PodemosdefinirunaPolíticade Seguridadcomo una “declaraciónde intencionesde altonivel que cubre laseguridadde lossistemas informáticosyque proporcionalasbasespara definiry delimitarresponsabilidades paralasdiversasactuacionestécnicasyorganizativasque se requieren.
Un Plan de Seguridades unconjuntode decisionesque definen cursosde acciónfuturos, así como los mediosque se van a utilizar para conseguirlos. Un Procedimientode Seguridades ladefinicióndetalladade los pasosa ejecutarpara llevara cabo unas tareas determinadas.Los Procedimientosde Seguridadpermiten aplicare implantar las Políticasde Seguridadque hansidoaprobadasporla organización. Políticas Procedimientos Tareas a realizar Proteccióndel ServidorWebde la organizacióncontraaccesosno autorizados Actualizacióndel software del servidorWeb  Revisióndiariade losparches publicadosporel fabricante  Seguimientode lasnoticiassobre posiblesfallosde seguridad Revisiónde losregistrosde actividadenel servidor  Revisiónsemanalde los“logs”del servidorparadetectarsituaciones anómalas  Configuracionesde alertasde seguridadque permitanreaccionar de forma urgente ante determinadostiposde ataquese intentosde intrusión. SEGURIDAD FRENTE AL PERSONAL  Altade Empleados  Baja de Empleados  Funciones,obligacionesyderechosde losusuarios ADQUISICIONDE PRODUCTOS
 Evaluaciónde productosde acuerdocon lasnecesidadesyrequisitosdelsistemainformáticoimplantadoenlaorganización  Evaluaciónde proveedoresydel nivel de servicioque ofrecen:garantías,mantenimiento,asistenciapostventa..  Análisiscomparativode ofertas  Definiciónde lostérminosycondicionesde lacompra,que deberíanestarreflejadosenuncontratopreviamente establecido  Instalaciónyconfiguraciónde losproductos  Formacióny soporte a usuariosya personal técnico  Tareas de soporte y mantenimientopostventa  Actualizaciónde losproductosconnuevasversionesyparchesde seguridad RELACION CON PROVEEDORES Se debe de estipularlascláusulasyexigenciashabitualesenlafirmade contratoscon losproveedores,afinde delimitarlas responsabilidadesy losrequisitosdel serviciocontratado. SEGURIDAD FISICADE LAS INSTALACIONES Debende contemplarenprimerlugarlascaracterísticasde construcciónde losedificiosoinstalacionesdondese vayanaubicar losrecursos informáticosydel Sistemade información,analizandoaspectoscomolossiguientes:  Protecciónfrente adañospor fuego,inundación,explosiones,accesosnoautorizados,etc.  Selecciónde loselementosconstructivosinternosmasadecuados;puertas,paredes,suelosytechosfalsos,canalizacioneseléctricas, canalizacionesde comunicaciones.  Definiciónde distintasáreasozonasde seguridaddentrodel edificio:  Áreas Públicas:puedenaccedersinrestriccionespersonasajenasala organización  Áreas Internas: reservadaalos empleados
 Áreas de Acceso Restringido:áreas críticas a las que solopuedenaccederungruporeducidode empleadosconel nivel de autorizaciónrequerido.  Disponibilidadde zonasdestinadasala carga, descargay almacenamientode suministros  Implantaciónde sistemasde vigilanciabasadoencámarasencircuitocerrado de televisiónyenalarmasy detectoresde movimiento. Control de las condicionesambientalesenlasinstalaciones,medianteunsistemaindependiente de ventilación,calefacción,aire acondicionadoy humidificación /deshumidificación,deberíafuncionarde formaininterrumpida,24 horasal día durante los365 días al año. SISTEMA DE PROTECCION ELECTRICA  Adecuadaconexiónde losequiposalatoma de tierra  Revisiónde lainstalacióneléctricaespecíficaparael sistemainformático,siendorecomendable disponerde tomasprotegidas y estabilizadas  Eliminaciónde laelectricidadestáticaenlassalasdonde se ubiquenlosequiposmásimportantes,comolosservidores  Filtradode ruidose interferenciaselectromagnéticas,que puedenafectarel normal funcionamientode losequipos Utilizaciónde Sistemasde AlimentaciónIninterrumpida(SAI). PROTECCION EN EL ACCESOY CONFIGURACIONDE LOS SERVIDORES  Utilizaciónde unacontraseñaa nivel de BIOSpara protegerel accesoa este elementoque registralaconfiguraciónbásicadel servidor  Utilizaciónde contraseñasde encendidodel equipo  Iniciode sesióncontarjetasinteligentes(“Smartcards”) y/otécnicasbiométricas  Ubicaciónde los servidoresensalasconaccesorestringidoyotrasmedidasde seguridadfísica  Separaciónde losservicioscríticos:losserviciosmásimportantesparalaorganizacióndispongande unaovariasmáquinasenexclusiva  Configuraciónmásrobustaysegurade losservidores:  Desactivaciónde losserviciosylascuentasde usuariosque nose vayana utilizar
 Documentary manteneractualizadalarelaciónde serviciosyaplicacionesque se hayaninstaladoencadaservidor  Cambiarla configuraciónpordefectode fabricante:permisode cuentas,contraseña.Etc.  Instalaciónde losúltimosparchesde seguridadyactualizacionespublicadosporel fabricante  Ejecuciónde losserviciosconlosmínimosprivilegiosnecesarios Enlazar sololosprotocolosyserviciosnecesariosalastarjetasde red o Activaciónde losregistrosde actividadde losservidores(“logs”) o Disponerde unacopiade seguridadcompletadel sistemaoperativode cadaservidortrasunaconfiguracióncorrectay suficientementerobusta o Modificarlosmensajesde iniciode sesiónparaevitarque se puedamostrarinformaciónsobre laconfiguración SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTO Dependiendode laconfiguración de estosdiscosdurosyde otros dispositivosde almacenamiento(libreríasde cintasde copiasde seguridad) podemosdistinguirtrestiposde almacenamiento:  Almacenamientodirectamente conectado(DAS)  Almacenamientoconectadoalared(NAS)  Redesde almacenamiento(SAN)  Comolos discosdurospuedentenerfallosprovocadosporlossistemasmecánicosque loscomponen,se utilizanlossistemasRAIDpara mejorarla toleranciaafallosyla disponibilidadde losmediosde almacenamiento.  RAID (“RedundantArrayof IndependentDisk”) MatrizRedundante de DiscosIndependientes.  Se puedendistinguirvariasalternativasonivelesdentrode latecnologíaRAID,cada unoproporcionaunequilibriodistinto entre toleranciaafallos,rendimientoycoste.
PROTECCION DE LOS EQUIPOS Y ESTACIONESDE TRABAJO Los equiposde losusuarios y estacionesde trabajodebende estarsometidosalas directricesestablecidasenlas Políticasde Seguridadde las organizaciones.  Se deberían utilizarherramientascorporativas, quedandototalmenteprohibidalainstalaciónde otrasaplicacionesde software  Solicitarautorizaciónal Departamentode Informática antesde procederainstalar un nuevo programa  Los usuariosdeberántenerespecial cuidadoconsuequipode trabajo, impidiendoque este puedaserutilizadoporpersonal que no se encuentre debidamente autorizado  Los usuarios no podrán cambiar las configuracionesde susequipos  Limitar el uso de los puertos USBy de lasunidadeslectoras/grabadorasCDsyDVDs,para evitarque se puedagrabar información sensible COPIAS DE SEGURIDAD Por “copiade respaldoode seguridad”(backup) se entiendeunacopiade losdatosde unficheroautomatizadoenunsoporte que posibilite su recuperación. Lo Políticade Copiasde seguridaddeberíaestablecerlaplanificaciónde lascopiasque se deberíanrealizarenfuncióndel volumenytipode informacióngeneradaporel sistemainformático,especificandoel tipode copias(completa,incremental,diferencial yel ciclode estáoperación (diaria,semanal). Las copiasde seguridadde losdatosyficherosde losservidoresdeberíanserrealizadasysupervisadasporpersonal debidamente autorizado. Establecercomose van a inventariaryetiquetarlascintasyotros soportesutilizadosparalascopiasde seguridad. Copia Completa El métodobásicoesel de copia completa o "Full copy" que realizaunacopiadirectade losarchivosydirectorios.Este procesopuede durar horas dependiendodel tamañode losarchivosodirectoriosacopiar,por loque este procesonormalmente se ejecutalaprimeravezocada ciertotiempo.
Copia Diferencial La copiadiferencial únicamentecopialosarchivosydirectoriosque hansidocreadosy/omodificadosdesde laúltimacopiacompleta. Copia Incremental La copiaincremental ( o diferencial incremental ) esla más avanzadaal respecto, yaque únicamente copialosficheroscreadosomodificados desde el últimobackuprealizado,yaseade unacopia completaoincremental,reduciendode este modolosarchivosacopiary el tiempo empleadoenel procesode backup. Normalmente lascopias diferencialesocupanmásespacioque las incrementalesdebidoaque partende la base de un únicopuntofijoenel tiempo( la copiacompletainicial ). IDENTIFICACIONY AUTENTICACIONDE USUARIOS La identificaciónyautenticaciónde usuariosconstituyeunode loselementosdel modelode seguridadconocidocomo“AAA”(Authentication, Autorization&Accounting),que podríamostraducirpor“Autenticación,AutorizaciónyContabilidad(Registro).Este modelooparadigmade seguridadse utilizaparapoderidentificaralos usuariosycontrolarsu acceso a losdistintosrecursosde unsistemainformático. Este modelose basa entreselementosfundamentales:  Identificacióny autenticaciónde losusuarios: La identificaciónesel procesoporel cual el usuariopresentaunadeterminada identidadparaaccedera un sistema,mientrasque la autenticaciónpermite validadlaidentidaddel usuario.  Control de Acceso a losrecursosdel sistemainformático(equipos,aplicaciones,serviciosdatos),mediante laautorizaciónen funciónde lospermisosyprivilegiosde losusuarios Registro del uso de los recursos del sistemaporparte de losusuariosy de lasaplicaciones,utilizandolos“logs”(registrode actividaddel sistema) AUTORIZACIÓNY CONTROL DE ACCESO LOGICO El modelode seguridadaplicadoenel Control de Accesose basaenla definiciónygestiónde determinadosobjetoslógicos(dispositivoslógicos, ficheros,servicios) ysujetos( usuariosygrupos,equipos,procesos,roles) alosque se concedenderechosyprivilegios. Se puedendistinguirdostiposde control de acceso:
 Control de AccesoObligatorio(MAC, MandatoryAccessControl):Lospermisosde accesoson definidosporel sistemaoperativo. Control de Acceso Discrecional (DAC,DiscrecionaryAccessControl):Lospermisosde accesoloscontrolay configurael propietariode cada objeto.

Recomendados

Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 

Recomendados

Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
 
información Segura
información Segurainformación Segura
información SeguraCesar Delgado
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799Lilia Quituisaca-Samaniego
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 

Más contenido relacionado

La actualidad más candente

Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaChenny3
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 

La actualidad más candente (20)

Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cni
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Nist
NistNist
Nist
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
 
información Segura
información Segurainformación Segura
información Segura
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 

Similar a Guia de ti7

Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Kevin Rosales
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Seguridad de los sistemas de información
Seguridad de los sistemas de informaciónSeguridad de los sistemas de información
Seguridad de los sistemas de informaciónDan1el20
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
conceptos sin formato.pptx
conceptos sin formato.pptxconceptos sin formato.pptx
conceptos sin formato.pptxItzel Segoviano
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 

Similar a Guia de ti7 (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Seguridad 405
Seguridad 405Seguridad 405
Seguridad 405
 
Seguridad
SeguridadSeguridad
Seguridad
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Seguridad de los sistemas de información
Seguridad de los sistemas de informaciónSeguridad de los sistemas de información
Seguridad de los sistemas de información
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
conceptos sin formato.pptx
conceptos sin formato.pptxconceptos sin formato.pptx
conceptos sin formato.pptx
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Security
SecuritySecurity
Security
 

Más de Mahonri Dimas

Evidencia2 topicos 2
Evidencia2 topicos 2Evidencia2 topicos 2
Evidencia2 topicos 2Mahonri Dimas
 
Principios de autosuficiencia aplicada
Principios de autosuficiencia aplicadaPrincipios de autosuficiencia aplicada
Principios de autosuficiencia aplicadaMahonri Dimas
 
Quimica 4 integradora
Quimica 4 integradoraQuimica 4 integradora
Quimica 4 integradoraMahonri Dimas
 
Qué es la robótica
Qué es la robóticaQué es la robótica
Qué es la robóticaMahonri Dimas
 
Introducción al algebra
Introducción al algebraIntroducción al algebra
Introducción al algebraMahonri Dimas
 
Los materiales elásticos son conocidos como polímeros
Los materiales elásticos son conocidos como polímerosLos materiales elásticos son conocidos como polímeros
Los materiales elásticos son conocidos como polímerosMahonri Dimas
 

Más de Mahonri Dimas (16)

EVIDENCIA 1.docx
EVIDENCIA 1.docxEVIDENCIA 1.docx
EVIDENCIA 1.docx
 
Evidencia2 topicos 2
Evidencia2 topicos 2Evidencia2 topicos 2
Evidencia2 topicos 2
 
Principios de autosuficiencia aplicada
Principios de autosuficiencia aplicadaPrincipios de autosuficiencia aplicada
Principios de autosuficiencia aplicada
 
Actividad 2 artes
Actividad 2 artesActividad 2 artes
Actividad 2 artes
 
Integradora etapa 4
Integradora etapa 4Integradora etapa 4
Integradora etapa 4
 
Quimica 4 integradora
Quimica 4 integradoraQuimica 4 integradora
Quimica 4 integradora
 
Quimica metales
Quimica metalesQuimica metales
Quimica metales
 
Tipos de hule
Tipos de huleTipos de hule
Tipos de hule
 
Extranet
ExtranetExtranet
Extranet
 
Chemistry
ChemistryChemistry
Chemistry
 
Cuadro de-ètica
Cuadro de-èticaCuadro de-ètica
Cuadro de-ètica
 
Plano cartesiano
Plano cartesianoPlano cartesiano
Plano cartesiano
 
Qué es la robótica
Qué es la robóticaQué es la robótica
Qué es la robótica
 
Introducción al algebra
Introducción al algebraIntroducción al algebra
Introducción al algebra
 
Los materiales elásticos son conocidos como polímeros
Los materiales elásticos son conocidos como polímerosLos materiales elásticos son conocidos como polímeros
Los materiales elásticos son conocidos como polímeros
 
Suma algebraica
Suma algebraicaSuma algebraica
Suma algebraica
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 

Último (15)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 

Guia de ti7

  • 1. GUIA de TI7 Principiosde la seguridadeninformática En las propiasempresas,lacrecientecomplejidadyel elevadonúmerode transaccionesrealizadashanpropiciadoel soporteautomatizadode muchosde sus procesos. De ahí la gran importanciaque se deberíaconcederatodoslos aspectosrelacionadosconlaSeguridadInformáticaenunaorganización. Seguridadinformática Cualquiermedidaque impidalaejecuciónde operacionesnoautorizadassobre unsistemaoredinformáticacuyosefectospuedanconllevar dañossobre la información,comprometersu confidencialidad,autenticidadointegridad,disminuirel rendimientode losequiposbloquearel acceso de usuariosautorizadosal sistema. Seguridadde la Información segúnla Norma ISO/IEC 17799 La NormaISO/IEC17799 define laseguridad de lainformacióncomolapreservación de suconfidencialidad,suintegridad ysu disponibilidad(conocidasporsuacrónimo“CIA”) eninglésConfidentiality,Integrity, Availability”) La NormaISO7498 define laSeguridad Informáticacomounaserie de mecanismos que minimizanlavulnerabilidadde bienesyrecursosenunaorganización.
  • 2. Factoresde seguridadde unsistemainformático. • SensibilizaraDirectivosyResponsables • Conocimientos,capacidadese implicaciónde responsables • Mentalización,formaciónde responsabilidadesde losusuarios • Adaptarlosobjetivosalasnecesidadesde laorganización • Contemplarlaseguridadamenazasdel exteriore interior • Soporte de hardware y software • Limitaciónenasignaciónde permisos yprivilegios.
  • 3. Objetivosde la seguridad de informática. • Minimizarygestionarriesgosydetectarproblemasyamenazasala seguridad • Garantizar laadecuadautilizaciónde losrecursosyde las aplicacionesde sistema • Limitarlaspérdidasyconseguirlaadecuadarecuperacióndel sistemaencasode unincidente de seguridad • Cumplirconel marco legal y con losrequisitosimpuestosporlosclientesensuscontratos Planos de actuación enla seguridad informática. • PLANOHUMANO Sensibilizaciónyformación Funciones,obligacionesyresponsabilidadesdel personal Control y supervisiónde losempleados • PLANOTÉCNICO Selección,instalación,configuraciónyactualizaciónde solucionesHWySW Criptografía Estandarizaciónde productos Desarrollosegurode aplicaciones • ORGANIZACIÓN Políticas,NormasyProcedimientos Planesde ContingenciayRespuestaaIncidentes RelacionesconTerceros(Clientes,Proveedores,etc) • LEGISLACIÓN
  • 4. Cumplimientoyadaptaciónala legislaciónvigente. LOPD,LSSI, LGT, Firma electrónica,CódigoPenal,PropiedadIntelectual. LA SEGURIDAD DE INFORMATICACOMO PROCESO Y NO COMO PRODUCTO Seguridadcomo proceso. • Reducirlaposibilidadde que se produzcanincidentesde seguridad • Revisiónyactualizaciónde lasmedidasde seguridadimplantadas(Auditoría) • Conseguirlarápidarecuperaciónde losdañosexperimentados • Minimizarel impactoenel sistemade información • Facilitarlarápidadetecciónde losincidentesde seguridad Serviciosde seguridad de la información. • CONFIDENCIALIDAD • AUTENTICACIÓN • INTEGRIDAD • NO REPUDIACIÓN • DISPONIBILIDAD • AUTORIZACIÓN • AUDITABILIDAD • RECLAMACIÓN DE ORIGEN • RECLAMACIÓN DE PROPIEDAD • ANONIMATOEN EL USO DE LOS SERVICIOS
  • 5. • PROTECCIÓN A LA RÉPLICA • CONFIRMACIÓN DELA PRESTACIÓN DE UN SERVICIO • REFERENCIA TEMPORAL (CERTIFICACIONESDEFECHAS) • CERTIFICACIÓN MEDIANTETERCEROS DE CONFIANZA PRINCIPIODE “DEFENSA EN PROFUNDIDAD” • Consiste enel diseñoe implantaciónde variosnivelesde seguridaddentrodelsistemainformáticode laorganización. • Seguridadperimetral (Cortafuegos,proxiesyotrosdispositivosque constituyenlaprimera“líneade defensa”.
  • 6. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN(SGSI) Es aquellaparte del sistemageneral de gestiónque comprende la política,laestructuraorganizativa, losrecursos necesarios,los procedimientosylosprocesosnecesariosparaimplantarlagestiónde laseguridadde lainformaciónenunaorganización. POLÍTICAS GESTIÓNDE LA SEGURIDAD DE LA INFORMACIÓN Está constituidaporel conjuntode normas reguladoras, procedimientos,reglasybuenasprácticas que determinanel modoenque todoslos activosy recursos,incluyendolainformación,songestionados,protegidosydistribuidosdentrode unaorganización.
  • 7. NIVELES DE MADUREZ EN LA GESTIONDE LA SEGURIDAD DE LA INFORMACIONEN UNA ORGANIZACIÓN. • ETAPA 1 Implantaciónde medidasbásicasde seguridadpor“sentidocomún”: Copiasde seguridad Control de acceso a recursos… • ETAPA 2 Cumplimientode lalegislaciónvigente: LOPD,LSSI, Delitosinformáticos,etc • ETAPA 3 GestiónGlobal de laSeguridadde laInformación: Definiciónde unapolíticade seguridad Implantaciónde planesyprocedimientosde seguridad AnálisisyGestiónde Riesgos Definiciónde unPlande RespuestaaIncidentesyde Continuidadde Negocio • ETAPA 4 Certificaciónde laGestiónde laSeguridad: UNE 71501 y 71502 BS 7799-2 Confianzayverificabilidadporparte de terceros ANALISIS Y GESTIONDE RIESGOS EN UNAORGANIZACIÓN
  • 8. • Análisisy Detecciónde Vulnerabilidadesdel Sistemade Información Impactoen losactivosafectados • Detecciónde Amenazas Intencionadas No Intencionadas Naturales • Evaluación y Gestióndel Riesgo RECURSOS DEL SISTEMA. Los recursossonlos activosa protegerdel sistemainformáticode laorganización.
  • 9. • Recursosde Hardware • Recursossoftware • Elementosde Comunicaciones • Informaciónque se almacena,procesaydistribuye sistema • Localesy oficinasdonde se ubicanlosrecursosfísicos AMENAZAS Se consideraamenazaa cualquiereventoaccidental ointencionadoque puedaocasionaralgúndañoenel sistemainformático,provocando pérdidasmateriales,financierasode otrotipoa la organización. • AmenazasNaturales • Amenazasde AgentesExternos • Amenazasde AgentesInternos • Accidente • Errores • Actuacionesmal intencionadas VULNERABILIDADES • Es cualquierdebilidadenel sistemainformáticoque puedapermitiralasamenazascausarle dañosy producirpérdidasenla organización. • Fallosenlossistemasfísicosy/ológicos • Defectosde ubicación,instalación,configuraciónymantenimientode losequipos Aspectosorganizativos(Procedimientos mal definidos,al factorhumano,etc)
  • 10. INCIDENTES DE SEGURidad • Es cualquiereventoque tengaopuedatenercomoresultadolainterrupciónde losserviciossuministradosporunsistemainformático y/oposiblespérdidasfísicasde activosofinancieras. Es la medicióny valoración del daño que podría producir a la organización un incidente de seguridad. IMPACTOS Alto • Pérdidaso inhabilitaciónde recursos críticos • Interrupciónde los procesosde negocio • Daños en la imageny reputaciónde la organización • Robo o revelaciónde informaciónestratégicao especialmente protegida Moderado • Pérdidasoinhabilitaciónde recursoscríticosperoque cuentanconelementosde respaldo • Caída notable enel rendimientode losprocesosde negociooenlaactividadnormal de la organización • Roboo revelaciónde informaciónconfidencial,peroNOconsideradaestratégica
  • 11. Bajo • Pérdidaoinhabilitaciónde recursossecundarios • Disminucióndel rendimientode losprocesosde negocio • Roboo revelaciónde informacióninternanopublicada RIESGOS Es la probabilidadde que unaamenazase materialice sobre unavulnerabilidaddel sistemainformático,causandoundeterminadoimpactoenla organización.
  • 12. DEFENSAS, SALVAGUARDASO MEDIDAS DE SEGURIDAD Es cualquiermedioempleadoparaeliminaro reducirun riesgo.Suobjetivoesreducirlasvulnerabilidadesde losactivos,laprobabilidadde ocurrenciade las amenazasy/oel nivel de impactoenlaorganización.
  • 13. POLITICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD. PodemosdefinirunaPolíticade Seguridadcomo una “declaraciónde intencionesde altonivel que cubre laseguridadde lossistemas informáticosyque proporcionalasbasespara definiry delimitarresponsabilidades paralasdiversasactuacionestécnicasyorganizativasque se requieren.
  • 14. Un Plan de Seguridades unconjuntode decisionesque definen cursosde acciónfuturos, así como los mediosque se van a utilizar para conseguirlos. Un Procedimientode Seguridades ladefinicióndetalladade los pasosa ejecutarpara llevara cabo unas tareas determinadas.Los Procedimientosde Seguridadpermiten aplicare implantar las Políticasde Seguridadque hansidoaprobadasporla organización. Políticas Procedimientos Tareas a realizar Proteccióndel ServidorWebde la organizacióncontraaccesosno autorizados Actualizacióndel software del servidorWeb  Revisióndiariade losparches publicadosporel fabricante  Seguimientode lasnoticiassobre posiblesfallosde seguridad Revisiónde losregistrosde actividadenel servidor  Revisiónsemanalde los“logs”del servidorparadetectarsituaciones anómalas  Configuracionesde alertasde seguridadque permitanreaccionar de forma urgente ante determinadostiposde ataquese intentosde intrusión. SEGURIDAD FRENTE AL PERSONAL  Altade Empleados  Baja de Empleados  Funciones,obligacionesyderechosde losusuarios ADQUISICIONDE PRODUCTOS
  • 15.  Evaluaciónde productosde acuerdocon lasnecesidadesyrequisitosdelsistemainformáticoimplantadoenlaorganización  Evaluaciónde proveedoresydel nivel de servicioque ofrecen:garantías,mantenimiento,asistenciapostventa..  Análisiscomparativode ofertas  Definiciónde lostérminosycondicionesde lacompra,que deberíanestarreflejadosenuncontratopreviamente establecido  Instalaciónyconfiguraciónde losproductos  Formacióny soporte a usuariosya personal técnico  Tareas de soporte y mantenimientopostventa  Actualizaciónde losproductosconnuevasversionesyparchesde seguridad RELACION CON PROVEEDORES Se debe de estipularlascláusulasyexigenciashabitualesenlafirmade contratoscon losproveedores,afinde delimitarlas responsabilidadesy losrequisitosdel serviciocontratado. SEGURIDAD FISICADE LAS INSTALACIONES Debende contemplarenprimerlugarlascaracterísticasde construcciónde losedificiosoinstalacionesdondese vayanaubicar losrecursos informáticosydel Sistemade información,analizandoaspectoscomolossiguientes:  Protecciónfrente adañospor fuego,inundación,explosiones,accesosnoautorizados,etc.  Selecciónde loselementosconstructivosinternosmasadecuados;puertas,paredes,suelosytechosfalsos,canalizacioneseléctricas, canalizacionesde comunicaciones.  Definiciónde distintasáreasozonasde seguridaddentrodel edificio:  Áreas Públicas:puedenaccedersinrestriccionespersonasajenasala organización  Áreas Internas: reservadaalos empleados
  • 16.  Áreas de Acceso Restringido:áreas críticas a las que solopuedenaccederungruporeducidode empleadosconel nivel de autorizaciónrequerido.  Disponibilidadde zonasdestinadasala carga, descargay almacenamientode suministros  Implantaciónde sistemasde vigilanciabasadoencámarasencircuitocerrado de televisiónyenalarmasy detectoresde movimiento. Control de las condicionesambientalesenlasinstalaciones,medianteunsistemaindependiente de ventilación,calefacción,aire acondicionadoy humidificación /deshumidificación,deberíafuncionarde formaininterrumpida,24 horasal día durante los365 días al año. SISTEMA DE PROTECCION ELECTRICA  Adecuadaconexiónde losequiposalatoma de tierra  Revisiónde lainstalacióneléctricaespecíficaparael sistemainformático,siendorecomendable disponerde tomasprotegidas y estabilizadas  Eliminaciónde laelectricidadestáticaenlassalasdonde se ubiquenlosequiposmásimportantes,comolosservidores  Filtradode ruidose interferenciaselectromagnéticas,que puedenafectarel normal funcionamientode losequipos Utilizaciónde Sistemasde AlimentaciónIninterrumpida(SAI). PROTECCION EN EL ACCESOY CONFIGURACIONDE LOS SERVIDORES  Utilizaciónde unacontraseñaa nivel de BIOSpara protegerel accesoa este elementoque registralaconfiguraciónbásicadel servidor  Utilizaciónde contraseñasde encendidodel equipo  Iniciode sesióncontarjetasinteligentes(“Smartcards”) y/otécnicasbiométricas  Ubicaciónde los servidoresensalasconaccesorestringidoyotrasmedidasde seguridadfísica  Separaciónde losservicioscríticos:losserviciosmásimportantesparalaorganizacióndispongande unaovariasmáquinasenexclusiva  Configuraciónmásrobustaysegurade losservidores:  Desactivaciónde losserviciosylascuentasde usuariosque nose vayana utilizar
  • 17.  Documentary manteneractualizadalarelaciónde serviciosyaplicacionesque se hayaninstaladoencadaservidor  Cambiarla configuraciónpordefectode fabricante:permisode cuentas,contraseña.Etc.  Instalaciónde losúltimosparchesde seguridadyactualizacionespublicadosporel fabricante  Ejecuciónde losserviciosconlosmínimosprivilegiosnecesarios Enlazar sololosprotocolosyserviciosnecesariosalastarjetasde red o Activaciónde losregistrosde actividadde losservidores(“logs”) o Disponerde unacopiade seguridadcompletadel sistemaoperativode cadaservidortrasunaconfiguracióncorrectay suficientementerobusta o Modificarlosmensajesde iniciode sesiónparaevitarque se puedamostrarinformaciónsobre laconfiguración SEGURIDAD EN LOS DISPOSITIVOS DE ALMACENAMIENTO Dependiendode laconfiguración de estosdiscosdurosyde otros dispositivosde almacenamiento(libreríasde cintasde copiasde seguridad) podemosdistinguirtrestiposde almacenamiento:  Almacenamientodirectamente conectado(DAS)  Almacenamientoconectadoalared(NAS)  Redesde almacenamiento(SAN)  Comolos discosdurospuedentenerfallosprovocadosporlossistemasmecánicosque loscomponen,se utilizanlossistemasRAIDpara mejorarla toleranciaafallosyla disponibilidadde losmediosde almacenamiento.  RAID (“RedundantArrayof IndependentDisk”) MatrizRedundante de DiscosIndependientes.  Se puedendistinguirvariasalternativasonivelesdentrode latecnologíaRAID,cada unoproporcionaunequilibriodistinto entre toleranciaafallos,rendimientoycoste.
  • 18.
  • 19. PROTECCION DE LOS EQUIPOS Y ESTACIONESDE TRABAJO Los equiposde losusuarios y estacionesde trabajodebende estarsometidosalas directricesestablecidasenlas Políticasde Seguridadde las organizaciones.  Se deberían utilizarherramientascorporativas, quedandototalmenteprohibidalainstalaciónde otrasaplicacionesde software  Solicitarautorizaciónal Departamentode Informática antesde procederainstalar un nuevo programa  Los usuariosdeberántenerespecial cuidadoconsuequipode trabajo, impidiendoque este puedaserutilizadoporpersonal que no se encuentre debidamente autorizado  Los usuarios no podrán cambiar las configuracionesde susequipos  Limitar el uso de los puertos USBy de lasunidadeslectoras/grabadorasCDsyDVDs,para evitarque se puedagrabar información sensible COPIAS DE SEGURIDAD Por “copiade respaldoode seguridad”(backup) se entiendeunacopiade losdatosde unficheroautomatizadoenunsoporte que posibilite su recuperación. Lo Políticade Copiasde seguridaddeberíaestablecerlaplanificaciónde lascopiasque se deberíanrealizarenfuncióndel volumenytipode informacióngeneradaporel sistemainformático,especificandoel tipode copias(completa,incremental,diferencial yel ciclode estáoperación (diaria,semanal). Las copiasde seguridadde losdatosyficherosde losservidoresdeberíanserrealizadasysupervisadasporpersonal debidamente autorizado. Establecercomose van a inventariaryetiquetarlascintasyotros soportesutilizadosparalascopiasde seguridad. Copia Completa El métodobásicoesel de copia completa o "Full copy" que realizaunacopiadirectade losarchivosydirectorios.Este procesopuede durar horas dependiendodel tamañode losarchivosodirectoriosacopiar,por loque este procesonormalmente se ejecutalaprimeravezocada ciertotiempo.
  • 20. Copia Diferencial La copiadiferencial únicamentecopialosarchivosydirectoriosque hansidocreadosy/omodificadosdesde laúltimacopiacompleta. Copia Incremental La copiaincremental ( o diferencial incremental ) esla más avanzadaal respecto, yaque únicamente copialosficheroscreadosomodificados desde el últimobackuprealizado,yaseade unacopia completaoincremental,reduciendode este modolosarchivosacopiary el tiempo empleadoenel procesode backup. Normalmente lascopias diferencialesocupanmásespacioque las incrementalesdebidoaque partende la base de un únicopuntofijoenel tiempo( la copiacompletainicial ). IDENTIFICACIONY AUTENTICACIONDE USUARIOS La identificaciónyautenticaciónde usuariosconstituyeunode loselementosdel modelode seguridadconocidocomo“AAA”(Authentication, Autorization&Accounting),que podríamostraducirpor“Autenticación,AutorizaciónyContabilidad(Registro).Este modelooparadigmade seguridadse utilizaparapoderidentificaralos usuariosycontrolarsu acceso a losdistintosrecursosde unsistemainformático. Este modelose basa entreselementosfundamentales:  Identificacióny autenticaciónde losusuarios: La identificaciónesel procesoporel cual el usuariopresentaunadeterminada identidadparaaccedera un sistema,mientrasque la autenticaciónpermite validadlaidentidaddel usuario.  Control de Acceso a losrecursosdel sistemainformático(equipos,aplicaciones,serviciosdatos),mediante laautorizaciónen funciónde lospermisosyprivilegiosde losusuarios Registro del uso de los recursos del sistemaporparte de losusuariosy de lasaplicaciones,utilizandolos“logs”(registrode actividaddel sistema) AUTORIZACIÓNY CONTROL DE ACCESO LOGICO El modelode seguridadaplicadoenel Control de Accesose basaenla definiciónygestiónde determinadosobjetoslógicos(dispositivoslógicos, ficheros,servicios) ysujetos( usuariosygrupos,equipos,procesos,roles) alosque se concedenderechosyprivilegios. Se puedendistinguirdostiposde control de acceso:
  • 21.  Control de AccesoObligatorio(MAC, MandatoryAccessControl):Lospermisosde accesoson definidosporel sistemaoperativo. Control de Acceso Discrecional (DAC,DiscrecionaryAccessControl):Lospermisosde accesoloscontrolay configurael propietariode cada objeto.