2. ¿Qué es la Seguridad Informática?
Es el área de la informática que se enfoca en la
protección de la infraestructura computacional
(ACTIVOS) y todo lo relacionado con esta incluyendo la
información contenida. La seguridad informática
comprende:
SEGURIDAD
INFORMÁTICA
SOFTWARE
BASE DE
DATOS
ARCHIVOS
METADATOS
3. La seguridad informática está concebida para
proteger los activos informáticos, entre los que se
encuentran:
• Acceso
• Pérdida
La información
• Fallas
• Robos
• Entre otros
Infraestructura
• Establecer las
normas que
minimicen el
riesgo
Usuarios
4.
5. Seguridad de la información
La información es un recurso que, como el resto
de los activos, tiene valor para una organización
y por consiguiente debe ser debidamente
protegida.
La seguridad de la información protege ésta de
una amplia gama de amenazas, a fin de garantizar
la confidencialidad, integridad y disponibilidad.
6. El objetivo de la protección de nuestros Sistemas de Información
debe ser el de preservar la:
Confidencialidad
Solo las personas
autorizadas tendrán
acceso a la
información
Integridad
Salvaguarda la
exactitud y
totalidad de la
información y los
métodos de
procesamiento.
Disponibilidad
Garantiza que los
usuarios autorizados
tengan acceso a la
información y
a los recursos
relacionados con ella
cada vez que se
requiera.
7.
8. Asegura que la información es accesible sólo a las personas
autorizadas a usarla, leerla o escucharla. Su objetivo es
proteger la información contra accesos o divulgación no
autorizadas. (control de accesos).
La falta de confidencialidad puede darse por indiscreciones
voluntarias e involuntarias en cualquier tipo de soporte (digital
o papel).
9. La no implementación de la confidencialidad puede tener las
siguientes consecuencias:
Responsabilidad civil o administrativa del propietario del
sistema siniestrado por los perjuicios causados a terceros.
Pérdidas de fondos patrimoniales:
Datos o programas no recuperables
Información confidencial
Daños perjudiciales tanto software
como hardware
10. La medida principal, de carácter preventivo, para preservar la
confidencialidad, a considerar en la concepción y desarrollo del
sistema, es el diseño del control de accesos lógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles
de seguridad, asignando a cada uno, los tipos de accesos permitidos
(lectura, modificación, registros)
Inhabilitación del acceso por inactividad del computador , utilización de
protectores de pantalla con clave.
Inclusión dentro de la aplicación, como mínimo, del identificativo del
usuario que realiza la transacción (sirve también como pista de
auditoria), terminal, fecha y hora.
11. Garantizar
Velar
Puede darse por errores en la captura o validación de la información, por un
mal funcionamiento del sistema, mala voluntad (transacción aceptada pero no
autorizada, archivo alterado fraudulentamente, etc.)
12. La no implementación de la integridad puede tener las
siguientes consecuencias:
Pérdidas de fondos patrimoniales:
Datos o programas no recuperables
información confidencial
Responsabilidad civil o administrativa del propietario
del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Credibilidad
Prestigio
Imagen
13. Las medidas a tener en cuenta en el momento de concebir y
desarrollar el sistema, principalmente en el ámbito de la
protección, para aminorar el impacto que puede provocar la
falta de integridad de la información del S.I., son:
•La detección y tratamiento
de errores.
•La implantación de pistas de
auditoria.
14. En el ámbito de la detección y tratamiento de errores es necesario diseñar los
controles que permitan:
Garantizar la integridad de los datos en la entrada, edición y validación.
Identificar los posibles errores, establecer sus consecuencias y las acciones
correctoras a realizar
Establecer la realización de pruebas para asegurar que se mantiene la integridad
de archivos después de un fallo de programa .
Diseñar los procedimientos de conversión que permitan:
Planificar la implantación del nuevo sistema en paralelo con el anterior, previendo
la disponibilidad de copias de seguridad y planificando las marchas atrás .
En fin, garantizar que no se pierde información, que no se duplica y que la
integridad de las bases de datos no haya sido afectada.
15. En el ámbito de la implantación de pistas de auditoria:
Establecer las pistas de auditoría necesarias para verificar el
flujo de las diversas transacciones por los procesos del SI de
forma que se posibilite el seguimiento de las transacciones .
Definir campos de datos y registros para las pistas de
auditoría, y su forma de almacenamiento.
16. Asegura que los usuarios autorizados
tienen acceso en todo momento a la
información cuando es requerida.
17. La indisponibilidad de datos, informaciones y del
sistema de información, sin elementos alternativos
que permitan la continuidad del servicio, puede
provocar las siguientes consecuencias:
•Pérdidas de información vital
•Retardo en los procesos de la organización
•Inconformidad de los usuarios
18. Las medidas a tener en cuenta en el momento de
concebir y desarrollar el sistema, principalmente en el
ámbito de la protección, para aminorar el impacto que
puede provocar la indisponibilidad de alguno de los
elementos del SI, son :
•La salvaguarda de los datos.
•Respaldo en dispositivos de almacenamiento.
A fin de cumplir con este principio, se debe actuar de modo
previsible de tal forma que el SI sea capaz de recuperarse de
interrupciones de manera rápida y segura, a fin de que la
productividad no se vea afectada negativamente.
19. En la salvaguarda de datos:
Establecer la política a seguir y diseñar los procedimientos para
la realización de las copias de seguridad de la información y los
programas del SI, con la periodicidad que se estime necesaria
para garantizar la recuperación de la misma a la situación
anterior a detectar cualquier incidencia.
Diseñar los procedimientos de recuperación de las copias
anteriores para cada base de datos, librerías del programa.
20. En el respaldo de elementos periféricos:
Estudiar las consecuencias de indisponibilidad o fallos en el
hardware como impresoras, terminales, servidores, servicios
esenciales (energía eléctrica), comunicaciones -y diseñar los
procedimientos de respaldo que permitan la continuidad del
servicio con medios alternativos.
22. Es un estándar para la seguridad de la información publicado
por primera vez como ISO/IEC 17799:2000 por la
International Organization for Standardization y por la
Comisión Electrotécnica Internacional en el año 2000, con el
título de Information technology - Security techniques - Code
of practice for information security management.
23. Tras un periodo de revisión y actualización de los contenidos
del estándar, se publicó en el año 2005 el documento
actualizado denominado ISO/IEC 17799:2005. El estándar
ISO/IEC 17799 tiene su origen en el British Standard BS 7799-
1 que fue publicado por primera vez en 1995.
25. Posibles controles relacionados a tener en cuenta:
10.4. Protección contra software malicioso y código móvil
10.6 Gestión de redes
11.4 Control de acceso en red
12.3 Controles criptográficos
www.iso27002.es
26. Posibles controles relacionados a tener en cuenta :
5.1.1 Documento de política de seguridad de la información
08. Seguridad ligada a los Recursos Humanos
9.2.5 Seguridad de equipos fuera de los locales de la
Organización
10.4. Protección contra software malicioso y código móvil
10.8 Intercambio de información y software
11.2 Gestión de acceso de usuario
11.3 Responsabilidades del usuario
11.7 Informática móvil y teletrabajo
12.3 Controles criptográficoswww.iso27002.es
27. Posibles controles relacionados a tener en cuenta:
9.2.5 Seguridad de equipos fuera de los locales de la Organización
9.2.6 Seguridad en la reutilización o eliminación de equipos
9.2.7 Traslado de activos
10.5 Gestión interna de soportes y recuperación
10.7 Utilización y seguridad de los soportes de información
10.8 Intercambio de información y software
10.9.3 Seguridad en información pública
12.3 Controles criptográficos
www.iso27002.es
28. Posibles controles relacionados a tener en
cuenta:
6.2 Terceros
10.2 Supervisión de los servicios contratados a
terceros
10.8.3 Soportes físicos en tránsito
10.8.5 Sistemas de información empresariales
10.9 Servicios de comercio electrónico
99.1 Cloud Computing
www.iso27002.es
29. Posibles controles relacionados a tener en
cuenta:
9.1 Áreas seguras
9.2.1 Instalación y protección de equipos
9.2.2 Suministro eléctrico
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de equipos
www.iso27002.es
30. Posibles controles relacionados a tener en cuenta :
9.2.4 Mantenimiento de equipos
10.1 Procedimientos y responsabilidades de operación
10.3. Planificación y aceptación del sistema
10.5 Gestión interna de soportes y recuperación
10.7 Utilización y seguridad de los soportes de información
10.10. Monitorización
12.2 Seguridad de las aplicaciones del sistema
12.4 Seguridad de los ficheros del sistema
12.5. Seguridad en los procesos de desarrollo y soporte
12.6. Gestión de las vulnerabilidades técnicas
13. Gestión de Incidentes de Seguridad de la Información
15.2. Revisiones de la política de seguridad y de la conformidad
técnica
15.3. Consideraciones sobre la auditoria de sistemas
www.iso27002.es
31. Posibles controles relacionados a tener en cuenta:
6.2.1. Identificación de los riesgos derivados del acceso de
terceros
9.2 Seguridad de los equipos
10.3 Planificación y aceptación del sistema
10.4 Protección contra software malicioso y código móvil
10.10 Monitorización
11.6.2 Aislamiento de sistemas sensibles
11.3.2.Equipo informático de usuario desatendido
11.3.3 Políticas para escritorios y monitores sin información
www.iso27002.es
32. Posibles controles relacionados a tener en cuenta :
6.2.2 Tratamiento de la seguridad en la relación con los clientes
10.4 Protección contra software malicioso y código móvil
10.5 Gestión interna de soportes y recuperación
10.8.1 Políticas y procedimientos de intercambio de información y
software
10.8.5 Sistemas de información empresariales
10.9 Servicios de comercio electrónico
11.2 Gestión de acceso de usuario
11.5 Control de acceso al sistema operativo
11.6 Control de acceso a las aplicaciones
12. Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información
15.3.2 Protección de las herramientas de auditoria de sistemas
www.iso27002.es
33. Posibles controles relacionados a tener en cuenta:
6.1.5 Acuerdos de confidencialidad
6.2.1 Identificación de los riesgos derivados del acceso de terceros
07. Gestión de Activos
8.3.2 Restitución de activos
9.1 Áreas seguras
9.2.7 Traslado de activos
10.1.1 Documentación de procedimientos operativos
10.5.1 Recuperación de la información
10.7 Utilización y seguridad de los soportes de información
10.8.1 Políticas y procedimientos de intercambio de información y
software
10.8.2.Acuerdos de intercambio
11.7.2 Teletrabajo. www.iso27002.es
34. Posibles controles relacionados a tener en cuenta:
05. Política de Seguridad
6.1 Organización Interna
07. Gestión de Activos
10.1 Procedimientos y responsabilidades de operación
11.1 Requerimientos de negocio para el control de accesos
12.1 Requisitos de seguridad de los sistemas
12.3 Controles criptográficos
13. Gestión de Incidentes de Seguridad de la Información
14. Gestión de Continuidad del Negocio
15.1 Conformidad con los requisitos legales
www.iso27002.es
35. Posibles controles relacionados a tener en cuenta:
5.1.1 Documento de política de seguridad de la información
08. Seguridad ligada a los Recursos Humanos
10.1 Procedimientos y responsabilidades de operación
11.2 Gestión de acceso de usuario
11.3 Responsabilidades del usuario
13.1 Comunicación de eventos y debilidades en la seguridad de la
información
www.iso27002.es
36. Técnicamente es imposible lograr un
sistema de información ciento por ciento
seguro, pero buenas medidas de seguridad
evitan daños y problemas que pueden
ocasionar intrusos.