Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relacionados con el control de acceso.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relacionados con el control de acceso.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
¿De que trata?
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que los eliminen -lo que generalmente no es posible- o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
¿De que trata?
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que los eliminen -lo que generalmente no es posible- o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
La naranja mecánica (Andrea Martín N - Jakub Tarasiewicz) 2014-Psicologíafilolacabrera
Tras ver en clase de Psicología la plelícula de Kubrik, a propósito del tema del conocimiento (y el condicionamiento), Andrea Martín Nogales y Jakub Tarasiewicz hacen una exposición sobre el film, presentando sus contenidos desde la perspectiva del tema mencionado.
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
La (in)seguridad de los sistemas de control de procesos publicado en 2013 Diego Martín Arcos
Debido a las amenazas existentes, la ciberseguridad se ha convertido en una prioridad para los entornos de control. Originariamente, los sistemas de control de procesos fueron creados como sistemas independientes y aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con la estandarización de Internet y el uso de los protocolos IP, el diseño ha cambiado hasta el punto de que, en muchos casos, la red de control ha pasado a ser una extensión protegida de la red corporativa, siendo potencialmente accesible desde Internet y vulnerable a los riesgos que esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un entorno seguro para reducir las amenazas existentes.
SEGURIDAD LÓGICA
Controles de acceso
Identificación y autentificación
Roles
Transacciones
Limitaciones a los servicios
Modalidad de acceso
Ubicación
Palabras claves (passwords)
Encriptación
Listas de control de accesos
Limites sobre la interface de usuario
Etiquetas de seguridad
Control de acceso externo
Dispositivos de control de puertos
Firewalls o puertas de seguridad
Acceso de personal contratado o consultores
Accesos públicos
NIVELES DE SEGURIDAD INFORMÁTICA
Nivel D
Nivel C1: protección discrecional
Nivel C2: protección de acceso controlado
Nivel B1: seguridad etiquetada
Nivel B2: protección estructurada
Nivel B3: dominios de seguridad
Nivel A: protección verificada
El Cloud Computing es una nueva forma de prestación de los servicios de tratamiento de la información que puede ser utilizada tanto por empresas ya sean públicas o privadas.
Una solución Cloud Computing permite al usuario optimizar la asignación y el costo de los recursos asociados a sus necesidades de tratamiento de información. El usuario no tiene necesidad de realizar inversiones en infraestructura informática sino que utiliza la que pone a su disposición el prestador del servicio, garantizando de que no se generen situaciones de falta o exceso de recursos informáticos, y por consiguiente el incremento en los costos.
En un ambiente de Cloud Computing, la gestión de la información se encuentra de manera virtual en manos del cliente que contrata los servicios en la nube y que trata la información a través de internet accediendo a soluciones de bases de datos, correo electrónico, aplicaciones diversas como nóminas, contabilidad, recursos humanos, facturación electrónica, ERP,CRM, etc.
La calidad de los sistemas de información se puede contemplar como una disciplina más de la Ingeniería de Software y el principal instrumento para garantizar la calidad de las aplicaciones es sin lugar a dudas el Plan de Calidad el cual se debe basar en normas o estándares genéricos y procedimientos particulares que pueden variar de acuerdo a la organización; pero lo importante es que estén escritos, personalizados, adaptados a los procesos propios, y lo más importante es que sean cumplidos a cabalidad.
Los continuos avances de la tecnología han propiciado la evolución de los sistemas a aplicaciones cada vez más complejas en términos de estructura, funcionalidad e interfaz.
La comunidad de Ingeniería de Software reconoce que las aplicaciones web poseen características que las diferencian de las tradicionales; estas características se deben al tamaño y complejidad de las aplicaciones, el carácter multidisciplinario del equipo de desarrollo, tiempo de entrega del proyecto, requerimientos, etc. Dichas características hacen que los procesos, modelos y métricas existentes para evaluar la calidad tengan que ser adaptados por consecuencia lógica de los cambios en las nuevas tecnologías.
La importancia de implementar estándares de calidad en los sistemas de información es asegurar que: satisfaga los requerimientos del negocio, disminuir los retrasos en la entrega, no exceda el presupuesto original, sea funcional, tenga alto grado de usabilidad, tenga alto rendimiento, y disminuyan el grado de fallas e incrementar el grado de confianza en las aplicaciones y marca o empresa que los desarrolla.
De acuerdo a lo anterior, podemos inferir que el análisis de requerimientos es la base de las métricas de calidad.
La calidad de los sistemas de información se puede contemplar como una disciplina más de la Ingeniería de Software y el principal instrumento para garantizar la calidad de las aplicaciones es sin lugar a dudas el Plan de Calidad el cual se debe basar en normas o estándares genéricos y procedimientos particulares que pueden variar de acuerdo a la organización; pero lo importante es que estén escritos, personalizados, adaptados a los procesos propios, y lo más importante es que sean cumplidos a cabalidad.
Los continuos avances de la tecnología han propiciado la evolución de los sistemas a aplicaciones cada vez más complejas en términos de estructura, funcionalidad e interfaz.
La comunidad de Ingeniería de Software reconoce que las aplicaciones web poseen características que las diferencian de las tradicionales; estas características se deben al tamaño y complejidad de las aplicaciones, el carácter multidisciplinario del equipo de desarrollo, tiempo de entrega del proyecto, requerimientos, etc. Dichas características hacen que los procesos, modelos y métricas existentes para evaluar la calidad tengan que ser adaptados por consecuencia lógica de los cambios en las nuevas tecnologías.
La importancia de implementar estándares de calidad en los sistemas de información es asegurar que: satisfaga los requerimientos del negocio, disminuir los retrasos en la entrega, no exceda el presupuesto original, sea funcional, tenga alto grado de usabilidad, tenga alto rendimiento, y disminuyan el grado de fallas e incrementar el grado de confianza en las aplicaciones y marca o empresa que los desarrolla.
Artículo Estándares de Calidad en los Sistemas de InformaciónArlu Flex
El hablar de modelos y estándares enfocados al aseguramiento de la calidad en los sistemas de información es de gran relevancia, dado que en la actualidad la calidad es un factor fundamental en el desarrollo del negocio de toda organización pública o privada y de modo particular en los sistemas de información.
Uno de los principales problemas a los que nos enfrentamos a la hora de hablar de la calidad de los sistemas de información es: ¿Existe un conjunto de propiedades que nos de una indicación de su calidad?
¿Cómo introducir nuevas iniciativas para el desarrollo de sistemas de información al diseño clásico de software?, ¿El uso sistemático de técnicas para la especificación, diseño y desarrollo resolverá el problema de la producción? ¿Se podrá disminuir el indicador de la cantidad de esfuerzo perdido en el desarrollo y los errores que producen altos costos?
La Calidad de los Sistemas de Información debe implementarse en todo el ciclo de vida del mismo; es decir desde el análisis de requerimientos, aplicación de la metodología y técnicas de desarrollo, reutilización de procesos, prueba de sistemas, ajustes a los estándares de desarrollo, control de cambios, mediciones y gestión de informes sobre control de calidad.
El hablar de modelos y estándares enfocados al aseguramiento de la calidad en los sistemas de información es de gran relevancia, dado que en la actualidad la calidad es un factor fundamental en el desarrollo del negocio de toda organización pública o privada y de modo particular en los sistemas de información.
Uno de los principales problemas a los que nos enfrentamos a la hora de hablar de la calidad de los sistemas de información es: ¿Existe un conjunto de propiedades que nos de una indicación de su calidad?
¿Cómo introducir nuevas iniciativas para el desarrollo de sistemas de información al diseño clásico de software?, ¿El uso sistemático de técnicas para la especificación, diseño y desarrollo resolverá el problema de la producción? ¿Se podrá disminuir el indicador de la cantidad de esfuerzo perdido en el desarrollo y los errores que producen altos costos?
La Calidad de los Sistemas de Información debe implementarse en todo el ciclo de vida del mismo; es decir desde el análisis de requerimientos, aplicación de la metodología y técnicas de desarrollo, reutilización de procesos, prueba de sistemas, ajustes a los estándares de desarrollo, control de cambios, mediciones y gestión de informes sobre control de calidad.
El Cloud Computing es una nueva forma de prestación de los servicios de tratamiento de la información que puede ser utilizada tanto por empresas ya sean públicas o privadas.
Una solución Cloud Computing permite al usuario optimizar la asignación y el costo de los recursos asociados a sus necesidades de tratamiento de información.
El usuario no tiene necesidad de realizar inversiones en infraestructura informática sino que utiliza la que pone a su disposición el prestador del servicio, garantizando de que no se generen situaciones de falta o exceso de recursos informáticos, y por consiguiente el incremento en los costos.
El Cloud Computing es una nueva forma de prestación de los servicios de tratamiento de la información que puede ser utilizada tanto por empresas ya sean públicas o privadas.
Una solución Cloud Computing permite al usuario optimizar la asignación y el costo de los recursos asociados a sus necesidades de tratamiento de información. El usuario no tiene necesidad de realizar inversiones en infraestructura informática sino que utiliza la que pone a su disposición el prestador del servicio, garantizando de que no se generen situaciones de falta o exceso de recursos informáticos, y por consiguiente el incremento en los costos.
En un ambiente de Cloud Computing, la gestión de la información se encuentra de manera virtual en manos del cliente que contrata los servicios en la nube y que trata la información a través de internet accediendo a soluciones de bases de datos, correo electrónico, aplicaciones diversas como nóminas, contabilidad, recursos humanos, facturación electrónica, ERP,CRM, etc.
1. MAPA MENTAL DEL LIBRO NARANJA DEPARTAMENTO DE DEFENSA CRITERIOS DE EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS INFORMÁTICOS
Universidad Autónoma de Querétaro
Maestría en Sistemas de Información : Gestión y Tecnología
Raúl Deanda Quintero
Agosto 2014
2. Libro Naranja, Criterios de evaluación de la seguridad en los Sistemas Informáticos.
REQUISITOS FUNDAMENTALES DE LA SEGURIDAD DE CÓMPUTO
PROPÓSITOS
Medición
Dirección
Adquisición
3. D
Protección Mínima
A
Protección Controlada
C
Protección Discrecional
B
Protección
Obligatoria
Reservada para los sistemas que han sido evaluados, pero que no pueden cumplir los requisitos para una clase más alta de evaluación.
Necesidad de identificación, inclusión de capacidades de auditoría, responsabilidad de los usuarios de las actividades que realiza.
CLASES
C -1
Protección de Seguridad Discrecional
Separación de Usuarios y Datos, Incorpora mecanismos de Control y Acreditación, restricciones de acceso a base individual.
C -2
Protección de Acceso Controlado
Responsabilidad de las acciones de los usuarios en base a procedimientos de conexión, aislamiento de recursos, revisión de eventos relevantes de seguridad.
Requiere que el sistema de protección sea obligatorio y no solo discrecional.
B-1
Protección de Seguridad por Etiquetas
B-2
Protección
Estructurada
B-3
Protección por Dominios
Requieren todas las características de C- 2, modelo de la política de seguridad, etiquetas de los datos y control de acceso.
Estructurado en elementos de protección críticos y no críticos, mecanismos de autentificación, recursos seguros, funciones de administrador y operador.
Monitoreo de acceso de usuarios a objetos, Administrador de seguridad, mecanismos de auditoria, procedimientos de recuperación de sistemas. altamente impenetrable
Uso de métodos formales para verificación de seguridad, garantizar controles de seguridad , protección de información clasificada y sensitiva.