El documento trata sobre la seguridad informática. Explica las diferencias entre la seguridad física y lógica, con la seguridad física refiriéndose a barreras para acceder al hardware y la seguridad lógica aplicando procedimientos para controlar el acceso a la información. También discute normas de seguridad física y lógica, tipos de cifrado como simétrico y de clave pública, metodologías para análisis de riesgos como MAGERIT y planes de continuidad del negocio.
3. Seguridad física y lógica
Fisca.
La seguridad física son las barreras físicas
(como muros, puertas, edificios ente otros)
para acceder al hardware que contiene la
base de datos o el centro de datos, sus
principales amenazas son:
• Desastres naturales.
• Disturbios deliberados.
• Amenazas ocasionadas por el hombre
Lógica.
Esta seguridad aplica procedimientos para
que solo personal autorizado acceder a
determinada información y está directamente
relacionada con los antivirus, antispam y
antispyware y su fines principales son:
• Evitar acceso a toda persona no autorizada
• Proteger equipo de computo para no
modificar su configuración
• Verificar que la información enviada y
recibida entre usuarios sea autorizada.
Tener controlado el ambiente y acceso físico permite disminuir siniestros y tener los medios para luchar contra
accidentes. La seguridad lógica de un sistema informático consiste en la aplicación de barreras y procedimientos
que protejan el acceso a los datos y al información contenida en él.
4. Normas de seguridad físicas
NOM (2012). Norma oficial mexicana, instalaciones
eléctricas (utilización)
NMX-I-9241-1-NYCE-2011 Tecnología de la
información
NOM-002-STPS-2010, Condiciones de seguridad
UNE-EN ISO 9241-112:2017 Ergonomía de la
interacción hombre-sistema
Normas de seguridad Logica
ISO 27005:2008 (IEC-lnternacional)
UNE 71504:2008 (AENOR-España)
OCTAVE (SEI Carnegie Mellon University-USA)
CRAMM (Siemens Insight Consulting-UK)
EBIOS (DCSSl-Francia)
IT Baseline Protection Manual (BSI-AIemania)
NIST SP800-30 (NIST-USA)
Seguridad física y lógica
En México y en el Mundo existen normas de referencia para la protección de datos y para la seguridad en
edificios.
6. • Del griego criptos (oculto) y logos (tratado), la criptología se puede
definir como la ciencia que estudia las bases teóricas y las
implementaciones prácticas para garantizar la privacidad en el
intercambio de información.
• La criptología puede dividirse en dos partes fundamentales: la
criptografía y el criptoanálisis. La criptografía se centra en las técnicas
para cifrar la información, mientras que el criptoanálisis se basa en los
mecanismos utilizados para descodificar dicha información, es decir,
busca romper los procedimientos de cifrado y así conseguir el
mensaje original.
Criptografía
7. Criptografía
El cifrado simétrico (también conocido como cifrado
de clave privada o cifrado de clave secreta) consiste
en utilizar la misma clave para el cifrado y el
descifrado. El cifrado consiste en aplicar una
operación (un algoritmo) a los datos que se desea
cifrar utilizando la clave privada para hacerlos
ininteligibles
El cifrado de clave pública utiliza un par de claves
relacionadas matemáticamente. Un mensaje cifrado con la
primera clave debe descifrarse con la segunda clave y un
mensaje cifrado con la segunda clave debe descifrarse con
la primera clave.
Cada participante en un sistema de claves públicas dispone
de un par de claves. Una clave se designa como clave
privada y se mantiene secreta. La otra clave se distribuye a
quien lo desee; esta clave es la clave pública.
Cualquier usuario puede cifrar un mensaje utilizando su
clave pública, pero sólo usted puede leerlo. Cuando recibe
el mensaje, lo descifra utilizando la clave privada.
8. Metodologías para el análisis de riesgos en
Seguridad Informática
Existen diferentes métodos para el análisis de riesgos de la
seguridad informática. Algunos de los métodos o metodologías
son:
Metodología MAGERIT.
Metodología CORAS
Metodología NIST SP 800-30.
Metodología OCTAVE.
9. Fases de las metodologías
• Inicio y administración del proyecto
• Evaluación y control del riesgo
• Análisis de impacto al negocio (BIA)
• Desarrollo de estrategias de continuidad del negocio
• Respuesta a la emergencia y estabilización
• Desarrollo e implementación de planes de continuidad del negocio
• Programas de concientización y entrenamiento
• Prueba y mantenimiento de los planes de continuidad del negocio
• Relaciones públicas y coordinación de la crisis
• Coordinación con las autoridades públicas
Metodologías para el análisis de riesgos en
Seguridad Informática
10. Plan de continuidad del negocio BPC
Por sus siglas en inglés BCP, (Business Continuity Plan) es un plan
logístico para la práctica de cómo una organización debe recuperar y
restaurar sus funciones críticas parcialmente o totalmente
interrumpidas dentro de un tiempo predeterminado después de una
interrupción no deseada.
Metodologías para el análisis de riesgos en
Seguridad Informática
11. Plan de Recuperación de Desastre
El Plan de recuperación de desastres es un conjunto de estrategias
definidas para asegurar la reanudación oportuna y ordenada de los
servicios informáticos críticos en caso de contingencia. Su método de
gestión depende de varios departamentos de una empresa y de
diferentes fases: analizar, desarrollar, ejecutar y mantener (Chapman,
2006).
Metodologías para el análisis de riesgos en
Seguridad Informática
12. Conclusiones
Lo mas interesante de todos los conceptos aprendidos durante el
desarrollo de los temas de esta materia es que la seguridad no solo es
un concepto que aplica a la informática es un concepto que se puede
aplicar en la vida profesional y personal.
La seguridad informática no es exclusiva de las grandes empresas
con secretos industriales, es un tema que nos confiere a todos al
exponer en cualquier medio de comunicación digital nuestros datos
personales ya sean bancaron o de identidad todos ellos son
importantes para cada uno de nosotros y desgraciadamente para los
que se dedican a dar mal uso de dicha información.