SlideShare una empresa de Scribd logo

Seguridad de la Información en las AAPP: Conceptos Clave

Manuel Fernandez Barcell
Manuel Fernandez Barcell

conceptos de seguridad

Gobierno y org. sin ánimo de lucro
1 de 49
Descargar para leer sin conexión
Tema III Recursos Tecnológicos para la Administración Electrónica Concepto de seguridad de la información
Seguridad: Definiciones • “Sabemos que es hasta que alguienSabemos que es hasta que alguien nos pide que lo definamosnos pide que lo definamos” (Descartes) • ¿Qué entendemos por seguridad? – Real Academia Española: • SEGURIDAD: Cualidad de seguro • SEGURO: Libre y exento de todo peligro, daño o riesgo – Cierto, indubitable y en cierta manera infalible – No sospechoso
Visiones sobre la seguridad de la Información ● Podemos hablar de Seguridad desde diferentes enfoques: – Seguridad Informática • Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las amenazas de carácter fundamentalmente tecnológico – Es un concepto muy conocido pero que está obsoleto. – Seguridad TIC • Incorpora el concepto de redes o infraestructura de comunicaciones – Seguridad de la Información • Lo fundamental es proteger la información • Tiene en cuenta, además de la seguridad tecnológica, la seguridad desde el punto de vista jurídico, desde el punto de vista normativo y desde el punto de vista organizativo. • La Seguridad de la Información tiene en cuenta la protección de la información desde tres puntos de vista: – Técnico, organizativo y legal – Vídeo • http://www.youtube.com/v/7MqTpfEreJ0&autoplay=1
Definiciones de Seguridad de la información • Para el Consejo Superior de Administración Electrónica – Conjunto de técnicas y procedimientos que tienen como misión la protección de los bienes informáticos de una organización • Bienes informáticos – Hardware – Datos – Programas • Para ISO-7498/OSI – Seguridad informática: mecanismos que minimizan la vulnerabilidad de bienes y recursos • Bien: – Algo de valor • Vulnerabilidad: – Debilidad que se puede explotar para violar un sistema o la información que contiene.
European Network and Information Security Agency ● REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 ● Seguridad de las redes y de la información: – La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
SEGURIDAD de la Información según ISO/IEC 17799 ● La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones software. ― Estos controles deberían establecerse para asegurar que se cumplen los objetivos específicos de seguridad de la organización
La información según ISO/IEC 17799 • La información es un activo que tiene valor para la organización y requiere una protección adecuada. • La seguridad de la información la protege de un amplio elenco de amenazas para – Asegurar la continuidad del negocio, – Minimizar los daños a la organización – Maximizar el retorno de inversiones – Y las oportunidades de negocios.
ISO/IEC 17799 Formas de información • La información adopta diversas formas. – Puede estar impresa – Almacenada electrónicamente – Transmitida por correo o por medios electrónicos – Mostrada en vídeo o hablada • Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
ISO/IEC 17799 Características de la seguridad de la información • La seguridad de la información se caracteriza aquí por la preservación de: – Su confidencialidad, • Asegurando que solo quien está autorizado puede acceder a la información – Su integridad, • Asegurando que la información y sus métodos de procesos son exactos y completos – Su disponibilidad, • Asegurando que los usuarios autorizados tiene acceso a la información y a sus activos asociados cuando lo requieran
Confidencialidad/secreto • Condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados – Consiste en evitar que personas, programas o sistemas no autorizados puedan acceder a ella sin autorización • Proporciona protección de los datos para evitar que sean revelados accidental o deliberadamente a un usuario no autorizado. – Acceso sólo para entes autorizados – Actúa contra las filtraciones
Disponibilidad • Grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado • Propiedad de un sistema o recurso de estar accesible y utilizable a entidades autorizadas. • Consiste en que la información esté accesible, y disponible para su utilización cuando sea necesaria – Los bienes informáticos pueden ser utilizado cuándo y cómo lo requieran los usuarios autorizados – Contra la interrupción del servicio Integridad + disponibilidad = confiabilidad
Integridad • Condición de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por personal autorizado – Consiste en que la información no sea alterada o modificada sin autorización. • Este servicio garantiza al receptor de los datos que los datos recibidos coinciden con los enviados por el emisor, pudiendo detectar si se ha producido algún añadido, sustracción o cambio. – Modificación sólo por personal autorizado – Actúa contra las manipulaciones
Firma electrónica para garantizar la integridad
Los conceptos principales en torno a la protección de los datos, informaciones y servicios utilizados en medios electrónicos de las AAPP ● Además de los Ya comentados – Integridad, Confidencialidad y Disponibilidad ● Adicionales – Identificación: • La correcta identificación de remitente y destinatario. – Que los datos de identidad estén completos de modo que no pueda haber ambigüedad a la hora de establecer la identidad de una persona física o jurídica.
No Repudio ● Mecanismo que impide que las entidades que participan en una comunicación nieguen haberlo hecho ― Imposibilidad de rechazar la autoría de una determinada acción o documento • No poder negar la intervención en una operación o comunicación • Con prueba de origen – El receptor del mensaje adquiere una prueba, demostrable ante terceros, del origen de los datos recibidos. • Con prueba de envío – El receptor o el emisor del mensaje adquieren una prueba demostrable de la fecha y hora del envío. • Con prueba de entrega – El emisor del mensaje adquiere una prueba, demostrable ante terceros, de que los datos han sido entregados al receptor adecuado
Control de Acceso • Protección de los recursos del sistema contra accesos no autorizados • Basados en identidad o en capacidades – Identificación • La entidad indica su identidad – Autenticación /acreditación • El sistema comprueba que la identidad puede ser considerada cierta – Autorización • El sistema consulta en un ACL,( access control list: lista de control de acceso) qué puede hacer esa entidad con ese objeto • Sirve para evitar el uso no autorizado de los recursos – ¿Quién puede hacer qué? – Solo está permitido el acceso a las entidades autorizadas (usuarios, programas, procesos, otros sistemas..), de acuerdo a la política de seguridad – El uso de los recursos del sistema están regulados conforme a una política de seguridad
Anonimato ● Trata de mantener oculta la identidad de la persona que realiza una determinada operación telemática. – Buzón de sugerencias/quejas. – Encuestas. – Votación electrónica. – Dinero electrónico
Otros conceptos protección de datos ― Trazabilidad: • Se refiere a la información histórica que es importante conocer y conservar,  ¿qué cambios ha sufrido la información?, ¿quién ha accedido a ella?, etc. ― Conservación: • La correcta conservación y archivo de la información de modo que se encuentre disponible e integra aún después de que hayan pasado largos periodos de tiempo.
Auditoría de actividades • Registro cronológico de las actividades del sistema que permitan la reconstrucción y examen de los eventos ocurridos – Registro de eventos – Ser capaz de perseguir las violaciones y aprender de las experiencias (trazabilidad)
Relación de los servicios de seguridad ● En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de más abajo, no puede aplicarse el superior. ― La disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación
En resumen: ¿QUÉ ES SEGURIDAD? ● Evitar el ingreso de personal no autorizado ● Sobrevivir aunque “algo” ocurra ● Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado ● Adherirse a los acuerdos de licenciamiento de software ● Prevención, Detección y Respuesta contra acciones no autorizadas
Sistema Seguro ● Un sistema informático (hardware, software, red) es seguro si sus usuarios pueden confiar en que se comportará de la manera esperada – Si espero acceder a mis datos, pero no puedo, esto es un fallo de seguridad. Tanto si la causa es un intruso, un fallo en el software o un incendio ● El estado actual de las tecnologías de seguridad permite ofrecer en las redes telemáticas una protección superior en varios órdenes de magnitud a la que se ofrece en el mundo ordinario del intercambio de documentos en papel.
Niveles de seguridad • Seguro estaba y se murió • Seguridad total • “Queremos que no tenga éxito ningún ataque” • La Seguridad = Invulnerabilidad • Es Imposible de alcanzar • La seguridad total no existe • Con la suficiente motivación /tiempo /dinero/ habilidad/suerte un atacante siempre podrá comprometer un sistema • Existen grados de seguridad acorde con el bien a defender • La política de seguridad siempre es un compromiso entre el nivel de riesgo asumido y el coste requerido
Niveles de seguridad
El uso de una solución en niveles – Disponemos de distintas barreras de protección que hay que superar – Aumenta la posibilidad de que se detecten los intrusos – Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Directivas, procedimientos y concienciación Seguridad físicaSeguridad física PerimetralPerimetral Red internaRed interna EquipoEquipo AplicaciónAplicación DatosDatos
Enfoque de Gestión del Riesgo  Preguntas clave para mejorar la seguridad de nuestro sistema  ¿Que intento proteger y cuanto vale para mi?  ¿Que necesito para protegerlo?  ¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?  El riesgo no puede eliminarse completamente, pero puede reducirse  Es necesario el apoyo de la dirección de la empresa/organismo, en autoridad y recursos
Qué es necesario ● Identificación de los activos (assets) y de su valor ― Tangibles: • El hardware (ordenadores, Los soportes de información, equipos de comunicaciones y cableado), • Los datos (información) , backups, libros, • Software comprado, los procesos, el sistema operativo • Las instalaciones • El personal ― Intangibles: • Salud e integridad física del persona, privacidad, contraseñas, reputación, disponibilidad
Análisis de Riesgos • Identificación de las amenazas • Calculo de los riesgos – Mediante análisis coste-beneficio • Calcular el coste de la pérdida de un activo • Calcular la probabilidad de una pérdida • Calcular el coste de la prevención • Decidir con todo ello las medidas a tomar mediante practicas recomendables • Objetivo: – Identificar los riesgos – Cuantificar su impacto – Valorar las consecuencias de una amenaza – Evaluar el coste para mitigarlos – Cómo el impacto y el riesgo afectan al negocio – Servir de guía para tomar decisiones – Organizarse y actuar • Riesgo = Activo x Amenaza x Vulnerabilidad
Definiciones • ACTIVO: – Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. • AMENAZA: – Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos. • VULNERABILIDAD: – Debilidades que pueden permitir que una amenaza se materialice • RIESGO: – Posibilidad de que una amenaza se materialice. • IMPACTO: – Consecuencia sobre un activo de la materialización de una amenaza. • CONTROL o SALVAGUARDA: – Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
ISO: Análisis de Riesgos Entorno de Análisis de Riesgos
Valoración cuantitativa del Riesgo
Opciones de tratamiento ● Evitar – Eliminar información / servicios / activos ● Mitigar – Prevenir / reaccionar / recuperar ● Transferir o compartir – En términos cualitativos (externalización) – En términos cuantitativos (seguros) ● Aceptar – El riesgo es parte del negocio
Ejemplos de Amenazas ● Malware, crackers, etc ● No disponibilidad de personal: – Enfermedad: individual o epidemia. Bajas ● No disponibiliad de un servicio: – Red, energía ● Inundación, fuego, sabotaje, vandalismo ● Robo de soporte de datos, ordenadores de escritorio, portátiles ● Desaparición de proveedor de bienes o servicios ● Fallo hardware ● Fallo software ● …
Consecuencias ● Fallos de confidencialidad – Fugas de información • No hay reparación posible • Si se detecta, tenemos la opción de perseguir (disuasorio) ● Fallos de integridad – Datos manipulados • Si se detecta, tenemos la opción de recuperar [de otra fuente] ● Fallos de disponibilidad – Interrupción del servicio • Medios alternativos • Restauración de los medios habituales
Ejemplos de salvaguardas ● Seguridad física: – Todo acceso físico al equipo de red debe estar convenientemente protegido: • Acceso a estancias, armarios, llaves, etc. ● Todas las aplicaciones, SSOO y drivers deben actualizarse con regularidad ● Todas las contraseñas deben ser de calidad ● El acceso remoto debe limitarse por usuario y por dirección IP ● Avisos legales en pantallas de login, constancia de que las normas han sido comunicadas y aceptadas, etc. ● Cierta monitorización de la actividad de los usuarios ● Timeout adecuado para el cierre de sesiones por inactividad
● Deshabilitación de todos los servicios no necesarios ● Tráfico inalámbrico cifrado correctamente ● Uso correcto de cortafuegos ● Uso correcto de antivirus (especialmente a la entrada de la red) ● Uso de VPN para tráfico que circule por redes públicas ● Uso de VLAN si es necesario segregar servicios y/o usuarios dentro de la organización ● Control de dirección IP/MAC por parte de los switches ● Uso de versiones seguras de los protocolos. Actualización de rutas, DNS, etc ● Mecanismos de auditoría funcionando correctamente ● Test de intrusión, preferentemente realizado por especialista externo Mas ejemplos
Metodología de Análisis de Riesgo MAGERIT • Definición: – Metodología de Análisis y GEstión de los Riesgos de los sistemas de Información de las AdminisTraciones Públicas • Objetivos – Estudiar los riesgos que soporta un sistema de información y el entorno asociable con él – Recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados • ¿Donde conseguirla? • http://administracionelectronica.gob.es/pae_ Home/pae_Documentacion/pae_Metodolog/pae_Mag erit.html#.VQK2pI9MJnc
Elementos de MAGERIT V3 – Un conjunto de tres Guías • Método • Catálogo de elementos • Guía de Técnicas – Un panel de herramientas de apoyo, con sus correspondientes Guías de Uso y con la Arquitectura de Información y Especificaciones de la Interfaz para el Intercambio de datos. • La herramienta EAR (ENTORNO DE ANÁLISIS DE RIESGOS)/PILAR – Procedimiento informático-lógico para el análisis del riesgo entorno de análisis de riesgos  https://www.ccn-cert.cni.es/index.php?option=com_wrappe r&view=wrapper&Itemid=247&lang=es
Modelo PDCA
Estándares ISO ISO 17799/UNE 71501(seguridad) ISO 27000 (seguridad)  http://www.iso27000.es/index.html
Normas ISO 27000 ● NACE LA FAMILIA DE LAS NORMAS ISO 27000 ― ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn) ― ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007 ― ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005 ― ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005 ― ISO/IEC 27005:2008 (riesgos)
Consejos Generales de INTECO ● 1. Manténgase informado sobre las novedades y alertas de seguridad. ● 2. Mantenga actualizado su equipo, tanto el Sistema Operativo como cualquier aplicación que tenga instalada. ● 3. Haga copias de seguridad con cierta frecuencia, para evitar la pérdida de datos importante. ● 4. Utilice software legal que le suelen ofrecer garantía y soporte. ● 5. Utilice contraseñas fuertes en todos los servicios, para dificultar la suplantación de su usuario (evite nombres, fechas, datos conocidos o deducibles, etc.). ● 6. Utilice herramientas de seguridad que le ayudan a proteger / reparar su equipo frente a las amenazas de la Red. ● 7. Cree diferentes usuarios, cada uno de ellos con los permisos mínimos necesarios para poder realizar las acciones permitidas
Certificados de Calidad ● Actualmente, en el sector de las tecnologías de la información el catálogo de AENOR está compuesto, entre otros, por los certificados de: ― Sistemas de Gestión de Seguridad de la Información (ISO 27001), ― Calidad del Software (ISO 15504) y ― Accesibilidad web (UNE 139803).
Enlaces Página de seguridad de Microsoft  http://www.microsoft.com/es-es/securi ty/default.aspx Hispasec  http://www.hispasec.com
Seguridad de la Información en las AAPP: Conceptos Clave

Recomendados

Tp3
Tp3Tp3
Tp3apino89
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJorge Hernan Martinez Ruiz
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAlexacruz17
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 

Recomendados

Tp3
Tp3Tp3
Tp3apino89
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJorge Hernan Martinez Ruiz
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAlexacruz17
 
Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Seguridad informática (Gestión de la seguridad Informatica)
Seguridad informática (Gestión de la seguridad Informatica)Ana Pino
 
Segu
SeguSegu
Segualu4leal
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de infcoromoto16
 
DSEI_ACD_GURV
DSEI_ACD_GURVDSEI_ACD_GURV
DSEI_ACD_GURVramirezguill
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuelainstituto universitario de tecnologia antonio jose de sucre
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionIvonne Soledad Gonzales
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
La Seguridad Logica
La Seguridad LogicaLa Seguridad Logica
La Seguridad Logicabrenda carolina
 
Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machalaTito98Porto
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacionG Hoyos A
 
Conceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaConceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaMarita Terán
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónEliasRamosMendez1
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaDanielSanmartin17
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informaticamaria9218
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logicajel_69
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informaticaBilly varon -cun
 
Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013Sandra Robles
 
T04 05 notificaciones
T04 05 notificacionesT04 05 notificaciones
T04 05 notificacionesManuel Fernandez Barcell
 

Más contenido relacionado

La actualidad más candente

Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de infcoromoto16
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticauriel plata
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machalaTito98Porto
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacionG Hoyos A
 
Conceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaConceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaMarita Terán
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónEliasRamosMendez1
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informaticamaria9218
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Daniel Pecos Martínez
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadelvis castro diaz
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logicajel_69
 

La actualidad más candente (20)

Segu
SeguSegu
Segu
 
Seguridad de sistemas de inf
Seguridad de sistemas de infSeguridad de sistemas de inf
Seguridad de sistemas de inf
 
DSEI_ACD_GURV
DSEI_ACD_GURVDSEI_ACD_GURV
DSEI_ACD_GURV
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuela
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
La Seguridad Logica
La Seguridad LogicaLa Seguridad Logica
La Seguridad Logica
 
Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machala
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacion
 
Conceptos de-seguridad-informatica
Conceptos de-seguridad-informaticaConceptos de-seguridad-informatica
Conceptos de-seguridad-informatica
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
La seguridad informatica
La seguridad informaticaLa seguridad informatica
La seguridad informatica
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidadSi tema 02 - principios de si - confidencialidad, integridad y disponibilidad
Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logica
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 

Destacado

Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013Sandra Robles
 
sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionManuel Fernandez Barcell
 

Destacado (20)

Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013Conceptos básicos de firma digital catedra-2013
Conceptos básicos de firma digital catedra-2013
 
T04 05 notificaciones
T04 05 notificacionesT04 05 notificaciones
T04 05 notificaciones
 
T04 03 marcadetiempo
T04 03 marcadetiempoT04 03 marcadetiempo
T04 03 marcadetiempo
 
T03 04 firmaelectronica
T03 04 firmaelectronicaT03 04 firmaelectronica
T03 04 firmaelectronica
 
viajes 2.0
viajes 2.0viajes 2.0
viajes 2.0
 
medios pago en internet
medios pago en internetmedios pago en internet
medios pago en internet
 
Tema 05 datosabiertos
Tema 05 datosabiertosTema 05 datosabiertos
Tema 05 datosabiertos
 
Redes Lan
Redes LanRedes Lan
Redes Lan
 
publicidad en internet
publicidad en internetpublicidad en internet
publicidad en internet
 
Tema 08 estandares abiertos
Tema 08 estandares abiertosTema 08 estandares abiertos
Tema 08 estandares abiertos
 
T04 04 sede
T04 04 sedeT04 04 sede
T04 04 sede
 
T04 03 ens
T04 03 ensT04 03 ens
T04 03 ens
 
sistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacionsistemas informaticos para la agroalimentacion
sistemas informaticos para la agroalimentacion
 
Redes t1 conceptos
Redes t1 conceptosRedes t1 conceptos
Redes t1 conceptos
 
T04 07 clave
T04 07 claveT04 07 clave
T04 07 clave
 
Firma electronica
Firma electronicaFirma electronica
Firma electronica
 
La Firma Digital
La Firma DigitalLa Firma Digital
La Firma Digital
 
Tema 08 gobiernoabierto
Tema 08 gobiernoabiertoTema 08 gobiernoabierto
Tema 08 gobiernoabierto
 
T06 01 interoperabilidad
T06 01 interoperabilidadT06 01 interoperabilidad
T06 01 interoperabilidad
 
Redes t02 normas
Redes t02 normasRedes t02 normas
Redes t02 normas
 

Similar a Seguridad de la Información en las AAPP: Conceptos Clave

Clase_1_Seguridad_de_la_Informacion.pptx
Clase_1_Seguridad_de_la_Informacion.pptxClase_1_Seguridad_de_la_Informacion.pptx
Clase_1_Seguridad_de_la_Informacion.pptxStuardQuiroz
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Funcion de la seguridad informatica
Funcion de la seguridad informaticaFuncion de la seguridad informatica
Funcion de la seguridad informaticaElizabeth De Bunbury
 
Unidad 5 elementos de computación
Unidad 5 elementos de computaciónUnidad 5 elementos de computación
Unidad 5 elementos de computaciónOyarce Katherine
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaCarlos Viteri
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticacarlos910042
 
Tecnología de la información
Tecnología de la informaciónTecnología de la información
Tecnología de la informaciónprofesg
 
slideshare de seguridad informatica.pptx
slideshare de seguridad informatica.pptxslideshare de seguridad informatica.pptx
slideshare de seguridad informatica.pptxAntonioPalaciosHernn
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informáticaJorge Pfuño
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdfArturoLazarteVilcama
 
Controles de seguridad.pptx
Controles de seguridad.pptxControles de seguridad.pptx
Controles de seguridad.pptxNoelysMeneses1
 

Similar a Seguridad de la Información en las AAPP: Conceptos Clave (20)

Clase_1_Seguridad_de_la_Informacion.pptx
Clase_1_Seguridad_de_la_Informacion.pptxClase_1_Seguridad_de_la_Informacion.pptx
Clase_1_Seguridad_de_la_Informacion.pptx
 
Auditorias
AuditoriasAuditorias
Auditorias
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Funcion de la seguridad informatica
Funcion de la seguridad informaticaFuncion de la seguridad informatica
Funcion de la seguridad informatica
 
Unidad 5 elementos de computación
Unidad 5 elementos de computaciónUnidad 5 elementos de computación
Unidad 5 elementos de computación
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Tecnología de la información
Tecnología de la informaciónTecnología de la información
Tecnología de la información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
slideshare de seguridad informatica.pptx
slideshare de seguridad informatica.pptxslideshare de seguridad informatica.pptx
slideshare de seguridad informatica.pptx
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informática
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
 
Presentación1
Presentación1Presentación1
Presentación1
 
Segu
SeguSegu
Segu
 
Controles de seguridad.pptx
Controles de seguridad.pptxControles de seguridad.pptx
Controles de seguridad.pptx
 

Más de Manuel Fernandez Barcell

Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Manuel Fernandez Barcell
 

Más de Manuel Fernandez Barcell (13)

T04 02 dnielectronico
T04 02 dnielectronicoT04 02 dnielectronico
T04 02 dnielectronico
 
T04 01 pki
T04 01 pkiT04 01 pki
T04 01 pki
 
T03 03 certificados_digitales
T03 03 certificados_digitalesT03 03 certificados_digitales
T03 03 certificados_digitales
 
T03 02 criptografia
T03 02 criptografiaT03 02 criptografia
T03 02 criptografia
 
Ae t01 introduccion_ae
Ae t01 introduccion_aeAe t01 introduccion_ae
Ae t01 introduccion_ae
 
Redes tcp/ip
Redes tcp/ipRedes tcp/ip
Redes tcp/ip
 
Analítica y metrica web
Analítica y metrica webAnalítica y metrica web
Analítica y metrica web
 
SEM, SMO marketing digital
SEM, SMO marketing digitalSEM, SMO marketing digital
SEM, SMO marketing digital
 
posiciomamiento SEO
posiciomamiento SEOposiciomamiento SEO
posiciomamiento SEO
 
dominios y alojamientos web
dominios y alojamientos webdominios y alojamientos web
dominios y alojamientos web
 
conceptos de ebusiness
conceptos de ebusinessconceptos de ebusiness
conceptos de ebusiness
 
Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.Tema 4: Procesamiento paralelo.
Tema 4: Procesamiento paralelo.
 
Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.Tema 3: Procesadores VLIW y procesadores vectoriales.
Tema 3: Procesadores VLIW y procesadores vectoriales.
 

Último

POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxPOLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxBeyker Chamorro
 
artedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfartedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfsamuelmorales61
 
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfPedro Martinez
 
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfRÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfmarcusdabsh
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfSUSMAI
 
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...FAUSTODANILOCRUZCAST
 
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVHISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVFlorMezones
 
Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024acjg36
 
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfPlan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfGabrich4
 
Revista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfRevista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfEjército de Tierra
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de BielsaPhilippe Villette
 
La paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfLa paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfyehinicortes
 

Último (12)

POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptxPOLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
POLÍTICA CRIMINAL - SEGURIDAD CIUDADANA Y TECNOLOGÍA.pptx
 
artedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdfartedelaguerraelectoral-090503210726-phpapp01.pdf
artedelaguerraelectoral-090503210726-phpapp01.pdf
 
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdfLey 27430 - Reforma tributaria - Impuesto tabaco.pdf
Ley 27430 - Reforma tributaria - Impuesto tabaco.pdf
 
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdfRÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
RÚBRICA DE EVALUACIÓN PARA EDUCACIÓN BÁSICA COMUNITARIA_INICIAL.pdf
 
Presupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdfPresupuesto asignado a fracking 2018-2024.pdf
Presupuesto asignado a fracking 2018-2024.pdf
 
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
CIRCULAR 11-2024 ENTREGA DE UTILES ESCOLARES NIVELES PREPRIMARIA PRIMARIA Y M...
 
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVVHISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
HISTORIA DE PIURA PERIODO INCAICO VVVVVVVVV
 
Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024Instructivo Plan Operativo Anual Alcaldías 2024
Instructivo Plan Operativo Anual Alcaldías 2024
 
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdfPlan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
Plan de Desarrollo Municipal y Ordenamiento Territorial - Antigua Guatemala.pdf
 
Revista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdfRevista Ejército nº 989 mar-abr 2024.pdf
Revista Ejército nº 989 mar-abr 2024.pdf
 
17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa17emes journees commemoratives de la Bolsa de Bielsa
17emes journees commemoratives de la Bolsa de Bielsa
 
La paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdfLa paz total, en la presidencia de gustavo Petro.pdf
La paz total, en la presidencia de gustavo Petro.pdf
 

Seguridad de la Información en las AAPP: Conceptos Clave

  • 1. Tema III Recursos Tecnológicos para la Administración Electrónica Concepto de seguridad de la información
  • 2. Seguridad: Definiciones • “Sabemos que es hasta que alguienSabemos que es hasta que alguien nos pide que lo definamosnos pide que lo definamos” (Descartes) • ¿Qué entendemos por seguridad? – Real Academia Española: • SEGURIDAD: Cualidad de seguro • SEGURO: Libre y exento de todo peligro, daño o riesgo – Cierto, indubitable y en cierta manera infalible – No sospechoso
  • 3. Visiones sobre la seguridad de la Información ● Podemos hablar de Seguridad desde diferentes enfoques: – Seguridad Informática • Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las amenazas de carácter fundamentalmente tecnológico – Es un concepto muy conocido pero que está obsoleto. – Seguridad TIC • Incorpora el concepto de redes o infraestructura de comunicaciones – Seguridad de la Información • Lo fundamental es proteger la información • Tiene en cuenta, además de la seguridad tecnológica, la seguridad desde el punto de vista jurídico, desde el punto de vista normativo y desde el punto de vista organizativo. • La Seguridad de la Información tiene en cuenta la protección de la información desde tres puntos de vista: – Técnico, organizativo y legal – Vídeo • http://www.youtube.com/v/7MqTpfEreJ0&autoplay=1
  • 4.
  • 5. Definiciones de Seguridad de la información • Para el Consejo Superior de Administración Electrónica – Conjunto de técnicas y procedimientos que tienen como misión la protección de los bienes informáticos de una organización • Bienes informáticos – Hardware – Datos – Programas • Para ISO-7498/OSI – Seguridad informática: mecanismos que minimizan la vulnerabilidad de bienes y recursos • Bien: – Algo de valor • Vulnerabilidad: – Debilidad que se puede explotar para violar un sistema o la información que contiene.
  • 6. European Network and Information Security Agency ● REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 ● Seguridad de las redes y de la información: – La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
  • 7. SEGURIDAD de la Información según ISO/IEC 17799 ● La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones software. ― Estos controles deberían establecerse para asegurar que se cumplen los objetivos específicos de seguridad de la organización
  • 8. La información según ISO/IEC 17799 • La información es un activo que tiene valor para la organización y requiere una protección adecuada. • La seguridad de la información la protege de un amplio elenco de amenazas para – Asegurar la continuidad del negocio, – Minimizar los daños a la organización – Maximizar el retorno de inversiones – Y las oportunidades de negocios.
  • 9. ISO/IEC 17799 Formas de información • La información adopta diversas formas. – Puede estar impresa – Almacenada electrónicamente – Transmitida por correo o por medios electrónicos – Mostrada en vídeo o hablada • Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
  • 10. ISO/IEC 17799 Características de la seguridad de la información • La seguridad de la información se caracteriza aquí por la preservación de: – Su confidencialidad, • Asegurando que solo quien está autorizado puede acceder a la información – Su integridad, • Asegurando que la información y sus métodos de procesos son exactos y completos – Su disponibilidad, • Asegurando que los usuarios autorizados tiene acceso a la información y a sus activos asociados cuando lo requieran
  • 11. Confidencialidad/secreto • Condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados – Consiste en evitar que personas, programas o sistemas no autorizados puedan acceder a ella sin autorización • Proporciona protección de los datos para evitar que sean revelados accidental o deliberadamente a un usuario no autorizado. – Acceso sólo para entes autorizados – Actúa contra las filtraciones
  • 12.
  • 13. Disponibilidad • Grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado • Propiedad de un sistema o recurso de estar accesible y utilizable a entidades autorizadas. • Consiste en que la información esté accesible, y disponible para su utilización cuando sea necesaria – Los bienes informáticos pueden ser utilizado cuándo y cómo lo requieran los usuarios autorizados – Contra la interrupción del servicio Integridad + disponibilidad = confiabilidad
  • 14. Integridad • Condición de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por personal autorizado – Consiste en que la información no sea alterada o modificada sin autorización. • Este servicio garantiza al receptor de los datos que los datos recibidos coinciden con los enviados por el emisor, pudiendo detectar si se ha producido algún añadido, sustracción o cambio. – Modificación sólo por personal autorizado – Actúa contra las manipulaciones
  • 16. Los conceptos principales en torno a la protección de los datos, informaciones y servicios utilizados en medios electrónicos de las AAPP ● Además de los Ya comentados – Integridad, Confidencialidad y Disponibilidad ● Adicionales – Identificación: • La correcta identificación de remitente y destinatario. – Que los datos de identidad estén completos de modo que no pueda haber ambigüedad a la hora de establecer la identidad de una persona física o jurídica.
  • 17. No Repudio ● Mecanismo que impide que las entidades que participan en una comunicación nieguen haberlo hecho ― Imposibilidad de rechazar la autoría de una determinada acción o documento • No poder negar la intervención en una operación o comunicación • Con prueba de origen – El receptor del mensaje adquiere una prueba, demostrable ante terceros, del origen de los datos recibidos. • Con prueba de envío – El receptor o el emisor del mensaje adquieren una prueba demostrable de la fecha y hora del envío. • Con prueba de entrega – El emisor del mensaje adquiere una prueba, demostrable ante terceros, de que los datos han sido entregados al receptor adecuado
  • 18. Control de Acceso • Protección de los recursos del sistema contra accesos no autorizados • Basados en identidad o en capacidades – Identificación • La entidad indica su identidad – Autenticación /acreditación • El sistema comprueba que la identidad puede ser considerada cierta – Autorización • El sistema consulta en un ACL,( access control list: lista de control de acceso) qué puede hacer esa entidad con ese objeto • Sirve para evitar el uso no autorizado de los recursos – ¿Quién puede hacer qué? – Solo está permitido el acceso a las entidades autorizadas (usuarios, programas, procesos, otros sistemas..), de acuerdo a la política de seguridad – El uso de los recursos del sistema están regulados conforme a una política de seguridad
  • 19. Anonimato ● Trata de mantener oculta la identidad de la persona que realiza una determinada operación telemática. – Buzón de sugerencias/quejas. – Encuestas. – Votación electrónica. – Dinero electrónico
  • 20. Otros conceptos protección de datos ― Trazabilidad: • Se refiere a la información histórica que es importante conocer y conservar,  ¿qué cambios ha sufrido la información?, ¿quién ha accedido a ella?, etc. ― Conservación: • La correcta conservación y archivo de la información de modo que se encuentre disponible e integra aún después de que hayan pasado largos periodos de tiempo.
  • 21. Auditoría de actividades • Registro cronológico de las actividades del sistema que permitan la reconstrucción y examen de los eventos ocurridos – Registro de eventos – Ser capaz de perseguir las violaciones y aprender de las experiencias (trazabilidad)
  • 22. Relación de los servicios de seguridad ● En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de más abajo, no puede aplicarse el superior. ― La disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación
  • 23. En resumen: ¿QUÉ ES SEGURIDAD? ● Evitar el ingreso de personal no autorizado ● Sobrevivir aunque “algo” ocurra ● Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado ● Adherirse a los acuerdos de licenciamiento de software ● Prevención, Detección y Respuesta contra acciones no autorizadas
  • 24. Sistema Seguro ● Un sistema informático (hardware, software, red) es seguro si sus usuarios pueden confiar en que se comportará de la manera esperada – Si espero acceder a mis datos, pero no puedo, esto es un fallo de seguridad. Tanto si la causa es un intruso, un fallo en el software o un incendio ● El estado actual de las tecnologías de seguridad permite ofrecer en las redes telemáticas una protección superior en varios órdenes de magnitud a la que se ofrece en el mundo ordinario del intercambio de documentos en papel.
  • 25. Niveles de seguridad • Seguro estaba y se murió • Seguridad total • “Queremos que no tenga éxito ningún ataque” • La Seguridad = Invulnerabilidad • Es Imposible de alcanzar • La seguridad total no existe • Con la suficiente motivación /tiempo /dinero/ habilidad/suerte un atacante siempre podrá comprometer un sistema • Existen grados de seguridad acorde con el bien a defender • La política de seguridad siempre es un compromiso entre el nivel de riesgo asumido y el coste requerido
  • 27. El uso de una solución en niveles – Disponemos de distintas barreras de protección que hay que superar – Aumenta la posibilidad de que se detecten los intrusos – Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Directivas, procedimientos y concienciación Seguridad físicaSeguridad física PerimetralPerimetral Red internaRed interna EquipoEquipo AplicaciónAplicación DatosDatos
  • 28. Enfoque de Gestión del Riesgo  Preguntas clave para mejorar la seguridad de nuestro sistema  ¿Que intento proteger y cuanto vale para mi?  ¿Que necesito para protegerlo?  ¿Cuanto tiempo, esfuerzo y dinero estoy dispuesto a emplear?  El riesgo no puede eliminarse completamente, pero puede reducirse  Es necesario el apoyo de la dirección de la empresa/organismo, en autoridad y recursos
  • 29. Qué es necesario ● Identificación de los activos (assets) y de su valor ― Tangibles: • El hardware (ordenadores, Los soportes de información, equipos de comunicaciones y cableado), • Los datos (información) , backups, libros, • Software comprado, los procesos, el sistema operativo • Las instalaciones • El personal ― Intangibles: • Salud e integridad física del persona, privacidad, contraseñas, reputación, disponibilidad
  • 30. Análisis de Riesgos • Identificación de las amenazas • Calculo de los riesgos – Mediante análisis coste-beneficio • Calcular el coste de la pérdida de un activo • Calcular la probabilidad de una pérdida • Calcular el coste de la prevención • Decidir con todo ello las medidas a tomar mediante practicas recomendables • Objetivo: – Identificar los riesgos – Cuantificar su impacto – Valorar las consecuencias de una amenaza – Evaluar el coste para mitigarlos – Cómo el impacto y el riesgo afectan al negocio – Servir de guía para tomar decisiones – Organizarse y actuar • Riesgo = Activo x Amenaza x Vulnerabilidad
  • 31. Definiciones • ACTIVO: – Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. • AMENAZA: – Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos. • VULNERABILIDAD: – Debilidades que pueden permitir que una amenaza se materialice • RIESGO: – Posibilidad de que una amenaza se materialice. • IMPACTO: – Consecuencia sobre un activo de la materialización de una amenaza. • CONTROL o SALVAGUARDA: – Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
  • 32. ISO: Análisis de Riesgos Entorno de Análisis de Riesgos
  • 34.
  • 35. Opciones de tratamiento ● Evitar – Eliminar información / servicios / activos ● Mitigar – Prevenir / reaccionar / recuperar ● Transferir o compartir – En términos cualitativos (externalización) – En términos cuantitativos (seguros) ● Aceptar – El riesgo es parte del negocio
  • 36. Ejemplos de Amenazas ● Malware, crackers, etc ● No disponibilidad de personal: – Enfermedad: individual o epidemia. Bajas ● No disponibiliad de un servicio: – Red, energía ● Inundación, fuego, sabotaje, vandalismo ● Robo de soporte de datos, ordenadores de escritorio, portátiles ● Desaparición de proveedor de bienes o servicios ● Fallo hardware ● Fallo software ● …
  • 37. Consecuencias ● Fallos de confidencialidad – Fugas de información • No hay reparación posible • Si se detecta, tenemos la opción de perseguir (disuasorio) ● Fallos de integridad – Datos manipulados • Si se detecta, tenemos la opción de recuperar [de otra fuente] ● Fallos de disponibilidad – Interrupción del servicio • Medios alternativos • Restauración de los medios habituales
  • 38. Ejemplos de salvaguardas ● Seguridad física: – Todo acceso físico al equipo de red debe estar convenientemente protegido: • Acceso a estancias, armarios, llaves, etc. ● Todas las aplicaciones, SSOO y drivers deben actualizarse con regularidad ● Todas las contraseñas deben ser de calidad ● El acceso remoto debe limitarse por usuario y por dirección IP ● Avisos legales en pantallas de login, constancia de que las normas han sido comunicadas y aceptadas, etc. ● Cierta monitorización de la actividad de los usuarios ● Timeout adecuado para el cierre de sesiones por inactividad
  • 39. ● Deshabilitación de todos los servicios no necesarios ● Tráfico inalámbrico cifrado correctamente ● Uso correcto de cortafuegos ● Uso correcto de antivirus (especialmente a la entrada de la red) ● Uso de VPN para tráfico que circule por redes públicas ● Uso de VLAN si es necesario segregar servicios y/o usuarios dentro de la organización ● Control de dirección IP/MAC por parte de los switches ● Uso de versiones seguras de los protocolos. Actualización de rutas, DNS, etc ● Mecanismos de auditoría funcionando correctamente ● Test de intrusión, preferentemente realizado por especialista externo Mas ejemplos
  • 40. Metodología de Análisis de Riesgo MAGERIT • Definición: – Metodología de Análisis y GEstión de los Riesgos de los sistemas de Información de las AdminisTraciones Públicas • Objetivos – Estudiar los riesgos que soporta un sistema de información y el entorno asociable con él – Recomendar las medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados • ¿Donde conseguirla? • http://administracionelectronica.gob.es/pae_ Home/pae_Documentacion/pae_Metodolog/pae_Mag erit.html#.VQK2pI9MJnc
  • 41. Elementos de MAGERIT V3 – Un conjunto de tres Guías • Método • Catálogo de elementos • Guía de Técnicas – Un panel de herramientas de apoyo, con sus correspondientes Guías de Uso y con la Arquitectura de Información y Especificaciones de la Interfaz para el Intercambio de datos. • La herramienta EAR (ENTORNO DE ANÁLISIS DE RIESGOS)/PILAR – Procedimiento informático-lógico para el análisis del riesgo entorno de análisis de riesgos  https://www.ccn-cert.cni.es/index.php?option=com_wrappe r&view=wrapper&Itemid=247&lang=es
  • 43. Estándares ISO ISO 17799/UNE 71501(seguridad) ISO 27000 (seguridad)  http://www.iso27000.es/index.html
  • 44. Normas ISO 27000 ● NACE LA FAMILIA DE LAS NORMAS ISO 27000 ― ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn) ― ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007 ― ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005 ― ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005 ― ISO/IEC 27005:2008 (riesgos)
  • 45. Consejos Generales de INTECO ● 1. Manténgase informado sobre las novedades y alertas de seguridad. ● 2. Mantenga actualizado su equipo, tanto el Sistema Operativo como cualquier aplicación que tenga instalada. ● 3. Haga copias de seguridad con cierta frecuencia, para evitar la pérdida de datos importante. ● 4. Utilice software legal que le suelen ofrecer garantía y soporte. ● 5. Utilice contraseñas fuertes en todos los servicios, para dificultar la suplantación de su usuario (evite nombres, fechas, datos conocidos o deducibles, etc.). ● 6. Utilice herramientas de seguridad que le ayudan a proteger / reparar su equipo frente a las amenazas de la Red. ● 7. Cree diferentes usuarios, cada uno de ellos con los permisos mínimos necesarios para poder realizar las acciones permitidas
  • 46. Certificados de Calidad ● Actualmente, en el sector de las tecnologías de la información el catálogo de AENOR está compuesto, entre otros, por los certificados de: ― Sistemas de Gestión de Seguridad de la Información (ISO 27001), ― Calidad del Software (ISO 15504) y ― Accesibilidad web (UNE 139803).
  • 47.
  • 48. Enlaces Página de seguridad de Microsoft  http://www.microsoft.com/es-es/securi ty/default.aspx Hispasec  http://www.hispasec.com