2. El Módulo les permitirá conocer los fundamentos básicos de la
seguridad informática y de información, la gestión de la seguridad
en proyectos informáticos y las políticas de seguridad que deben
aplicarse a todo sistema . A continuación las metas a alcanzar:
1.- Reconocer la importancia de la seguridad informática en un
sistema de información.
2.- Analizar los riesgos y vulnerabilidades a las que están
expuestos los sistemas de información.
3.- Diagnosticar los riesgos en un Proyecto
Sociotecnológico (PST) seguridad empleadas en sistemas
4.-Conocer las políticas de
vulnerables . las políticas de seguridad que deben ser aplicadas a
5.- Planificar
un PST basándose en el diagnóstico.
6.- Realizar un Informe final tanto de los riesgos como
vulnerabilidades y políticas necesarias para solventar ambas
situaciones
3.
4.
5. ¿Qué es la Seguridad Informática?
Es el área de la informática que se enfoca en la
protección de la infraestructura computacional
(ACTIVOS) y todo lo relacionado con esta
incluyendo la información contenida. La
seguridad informática comprende:
6. La seguridad informática está concebida para
proteger los activos informáticos, entre los que se
encuentran:
7.
8. Seguridad de la información
La información es un recurso que, como el resto de los
activos, tiene valor para una organización y por
consiguiente debe ser debidamente protegida.
La seguridad de la información protege ésta de una
amplia gama de amenazas, a fin de garantizar la
confidencialidad, integridad y disponibilidad.
9. El objetivo de la protección de nuestros Sistemas de Información
debe ser el de preservar la:
Integridad
Confidencialidad
Solo las personas
autorizadas tendrán
acceso a la
información
Salvaguarda la
exactitud y totalidad
de la información y los
métodos de
procesamiento.
Disponibilidad
Garantiza que los
usuarios autorizados
tengan acceso a la
información y
a los recursos
relacionados con ella
cada vez que se
requiera.
10.
11. Asegura que la información es accesible sólo a las personas autorizadas a
usarla, leerla o escucharla. Su objetivo es proteger la información contra
accesos o divulgación no autorizadas. (control de accesos).
La falta de confidencialidad puede darse por indiscreciones voluntarias e
involuntarias en cualquier tipo de soporte (digital o papel).
12. La no implementación de la confidencialidad puede tener las
siguientes consecuencias:
Responsabilidad civil o administrativa del propietario del
sistema siniestrado por los perjuicios causados a terceros.
Pérdidas de fondos patrimoniales:
Información confidencial
Datos o programas no recuperables
Daños perjudiciales tanto software como hardware
13. La medida principal, de carácter preventivo, para preservar la
confidencialidad, a considerar en la concepción y desarrollo del sistema,
es el diseño del control de accesos lógicos.
En su diseño se deben de tener en cuenta las siguientes consideraciones:
Establecer los grupos de usuarios (estratificación de usuarios) por niveles
de seguridad, asignando a cada uno, los tipos de accesos permitidos
(lectura, modificación, registros)
Inhabilitación del acceso por inactividad del computador , utilización de
protectores de pantalla con clave.
Inclusión dentro de la aplicación, como mínimo, del identificativo del
usuario que realiza la transacción (sirve también como pista de auditoria),
terminal, fecha y hora.
14. Garantizar
Velar
Puede darse por errores en la captura o validación de la información, por un
mal funcionamiento del sistema, mala voluntad (transacción aceptada pero no
autorizada, archivo alterado fraudulentamente, etc.)
15. La no implementación de la integridad puede tener las
siguientes consecuencias:
Pérdidas de fondos patrimoniales:
Datos o programas no recuperables
información confidencial
Responsabilidad civil o administrativa del propietario
del sistema siniestrado por los perjuicios causados a terceros
Pérdidas cualitativas en distintos campos:
Credibilidad
Prestigio
Imagen
16. Las medidas a tener en cuenta en el momento de concebir y
desarrollar el sistema, principalmente en el ámbito de la
protección, para aminorar el impacto que puede provocar la
falta de integridad de la información del S.I., son:
•La detección y tratamiento
de errores.
•La implantación de pistas de
auditoria.
17. En el ámbito de la detección y tratamiento de errores es necesario diseñar los
controles que permitan:
Garantizar la integridad de los datos en la entrada, edición y validación.
Identificar los posibles errores, establecer sus consecuencias y las acciones
correctoras a realizar
Establecer la realización de pruebas para asegurar que se mantiene la integridad de
archivos después de un fallo de programa .
Diseñar los procedimientos de conversión que permitan:
Planificar la implantación del nuevo sistema en paralelo con el anterior, previendo la
disponibilidad de copias de seguridad y planificando las marchas atrás .
En fin, garantizar que no se pierde información, que no se duplica y que la integridad
de las bases de datos no haya sido afectada.
18. En el ámbito de la implantación de pistas de auditoria:
Establecer las pistas de auditoría necesarias para verificar el
flujo de las diversas transacciones por los procesos del SI de
forma que se posibilite el seguimiento de las transacciones .
Definir campos de datos y registros para las pistas de
auditoría, y su forma de almacenamiento.
19. Asegura que los usuarios autorizados tienen
acceso en todo momento a la información cuando
es requerida.
20. La indisponibilidad de datos, informaciones y del
sistema de información, sin elementos alternativos
que permitan la continuidad del servicio, puede
provocar las siguientes consecuencias:
•Pérdidas de información vital
•Retardo en los procesos de la organización
•Inconformidad de los usuarios
21. A fin de cumplir con este principio, se debe actuar de modo
previsible de tal forma que el SI sea capaz de recuperarse de
interrupciones de manera rápida y segura, a fin de que la
productividad no se vea afectada negativamente.
Las medidas a tener en cuenta en el momento de
concebir y desarrollar el sistema, principalmente en el
ámbito de la protección, para aminorar el impacto
que puede provocar la indisponibilidad de alguno de
los elementos del SI, son :
•La salvaguarda de los datos.
•Respaldo en dispositivos de almacenamiento.
22. En la salvaguarda de datos:
Establecer la política a seguir y diseñar los procedimientos para
la realización de las copias de seguridad de la información y los
programas del SI, con la periodicidad que se estime necesaria
para garantizar la recuperación de la misma a la situación
anterior a detectar cualquier incidencia.
Diseñar los procedimientos de recuperación de las copias
anteriores para cada base de datos, librerías del programa.
23. En el respaldo de elementos periféricos:
Estudiar las consecuencias de indisponibilidad o fallos en el
hardware como impresoras, terminales, servidores, servicios
esenciales (energía eléctrica), comunicaciones -y diseñar los
procedimientos de respaldo que permitan la continuidad del
servicio con medios alternativos.
24.
25. Técnicamente es imposible lograr un
Técnicamente es imposible lograr un
sistema de información ciento por ciento
sistema de información ciento por ciento
seguro, pero buenas medidas de seguridad
seguro, pero buenas medidas de seguridad
evitan daños y problemas que pueden
evitan daños y problemas que pueden
ocasionar intrusos.
ocasionar intrusos.