El documento habla sobre los principios de la seguridad informática. Define la seguridad informática como cualquier medida que impida operaciones no autorizadas sobre sistemas o redes que puedan causar daños a la información, comprometiendo su confidencialidad, autenticidad o integridad. Explica los conceptos de confidencialidad, integridad y disponibilidad de la información. También describe los procesos y técnicas utilizados para gestionar la seguridad informática como controles de acceso, cifrado, copias de seguridad y cortafue

1. Principios de la Seguridad
Informática
2017

2. Qué se entiende por Seguridad?
● Cada día más soporte de actividades en redes
y sistemas (ERP,…)
● “Correcto funcionamiento”
● Conocer términos:
– Virus y su distribución en Internet, ataquese
incidentes, etc.

3. Definición
● Seguridad informática: cualquier medida que
impida la ejecución de operaciones no
autorizadas sobre un sistema o red, cuyos
efectos puedan conllevar daños sobre la
información, comprometer su confidencialidad,
autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema.

4. Otros aspectos
● Normativa legal del país
● Control de acceso a servicios e información
● Respetar Derechos de autor
● Identificación de autores (info y mensajes)
● Registro del uso de servicios,
● Etc.

5. ISO/IEC 17799
● Seguridad de la Información (CIA):
– Confidencialidad
– Integridad
– Disponibilidad (Availability)
● INFOSEC Glosario 2000:
– “Son las medidas y controles que aseguran la CIA de
los activos de los sistemas de información; software,
hardware, firmware y aquella información que
procesan, almacenan y comunican.”

6. 2. Objetivos de la Seguridad
Informática
● Min. Y gestionar riesgos y amenazas
● Garantizar adecuada utilización de recursos
● Limitar pérdidas y adecuada recuperación
● Cumplir con el marco legal.

7. Planos de actuación
● Técnico
– Instalación y actualización HW y SW, criptografía,
estándares, desarrollo seguro
● Legal: IEPI, firmas electrónicas
● Humano
– Sensibilización y formación; obligaciones y
responsabilidades; Control y supervisión
● Organizativo
– Políticas y normas; planes de contingencia; relaciones
con terceros

8. Problemática
● Centralización, des centralización del sistema
● Funcionamiento continuo
● Nivel de sensibilidad de datos y recursos
● Entornos hostiles (Internet)
● Cumplir marco legal (info de personas, autor)
● Certificaciones (ISO 27001)

9. Proceso

10. 3. Servicios
● Confidencialidad
● Autenticación
● Integridad
● No repudiación
● Disponibilidad
● Autorización (ACL)
● Audatibilidad (trazas)
● Protección a la réplica
● Confirmación de
prestación de servicio
● Referencia temporal
● Certificación 3ros
Confiables.
● Reclamación de
Propiedad (intelectual)

11. Técnicas y mecanismos
● Id de usuarios y política de contraseñas
● Copias de seguridad, centros de respaldo
● Cifrado de trasmisiones, huella digital de mensj.
● Firma electrónica, sellado temporal de mensaje.
● Criptografía, Proxy’s, cortafuegos, antivirus
● Sistema de detección de intrusiones (IDS)

12. Consecuencias de la falta de
seguridad
● Función empresarial como producción y
comercialización. Proteger activos (información)
● Evaluación costo-beneficio
– ¿Qué puede ir mal?¿Con qué frecuencia?
¿consecuencias?
– Horas de trabajo necesarias; pérdidas por costo de
oportunidad; robo de información; filtración datos
personales; impacto en la imagen de la empresa;
daños a la salud de personas; daños a 3ros (legal)

13. Costo financiero
● 44% de los ataques provienen del interior (FBI),
24k USD en 2005.
● 50 000 millones euros anuales por virus y DoS.

14. Otros problemas derivados
● Usar red para realizar
ataques
● Almacenar contenido
ilegal
● Generar spam
● etc
● Importante
sensibilizar e informar
al personal sobre las
medidas de
seguridad

15. Defensa en profundidad

16. Gestión de la seguridad de la Info.
● Sistema de Gestión de la seguridad de la
información SGSI.
– Parte del sistema de gestión
– Comprende la política, la estructura organizativa,
los recursos, procedimientos y procesos para
implantar la gestión de la seguridad de la
información en una organización.

17. Políticas de gestión de Seguridad
de la Información
● Apoyo de la dirección (CEO)
– CISO (Chief Information Security Officer)
● Aspectos
– Formalizar
– Analizar y gestionar riesgos
– Establecer procesos de gestión PDCA
● Plan, Do, Check, Act
– Certificación

18. Otros aspectos

19. Niveles de madurez
Etapa 1
Implantación de medidas
Por “sentido común”
- Copias de seguridad
- Control de acceso a
recursos
Etapa 2
Cumplimiento de la
Legislación vigente:
-Protección datos
personales
- Delitos informáticos
- Propiedad intelectual
Etapa 3
Gestión global de la
Seguridad de la Información:
-Política de seguridad
-Planes y procedimiento
de seguridad
- Análisis y gestión de riesgos
- Definición de Plan de
Respuesta a incidentes y
Continuidad del Negocio
Etapa 4
Certificación de la
Gestión de la Seguridad:
-Confianza y verificalidad por
parte de terceros
- ISO 27001

20. Issea.org
● Systems Security Engineering – Capability
Maturity Model
– N1: prácticas de seguridad informales
– N2: Planificación y seguimiento de prácticas
– N3: Definición de políticas y procedimientos
– N4: seguridad por controles y objetivos de calidad
– N5: Proceso de mejora contínua
● Buscar HIPAA