República Bolivariana de Venezuela
Ministerio del Poder Popular para la Educación Superior
Aldea Universitaria “Manuel Felipe Rúgeles”
Profesora: Elba Reyes
Integrante:
Vera Liliana
Machiques Enero 2013
RESUMEN
El área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ésta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, meta datos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable. El reto es asignar estratégicamente los recursos para cada equipo de seguridad y bienes que intervengan, basándose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información, la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor Web público pueden poseer los requisitos de confidencialidad de baja (ya que toda la información es pública),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de planificación de recursos empresariales (ERP), sistema puede poseer alto puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia. No existe la “verdad absoluta” en Seguridad Informática. No es posible eliminar todos los riesgos. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores En mi compañía ya tenemos seguridad porque.... implementamos un firewall. contratamos una persona para el área. en la última auditoría de sistemas no me sacaron observaciones importantes. ya escribí las políticas. hice un penetración testing y ya arreglamos todo. Tiene valor para una organización y por consiguiente debe ser debidamente protegida. “Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades” “La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema. Una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. • Abre los correos electrónicos sólo cuando conozcas al remitente. Asimismo, debes ser particularmente cuidadoso con los correos electrónicos que traen un archivo adjunto, incluso alguien conocido puede remitirte, por accidente, un correo electrónico con virus. • Debes estar alerta de correos electrónicos fraudulentos. Estos parecen ser de empresas respetables o de amigos que, sin ser intencional porque en la mayoría de las ocasiones ellos mismos lo desconocen, tienen el propósito de descargar algún virus o de pedir información confidencial. Recuerda que NUNCA se debe enviar información CONFIDENCIAL de tu usuario, cuentas y/o claves por este medio. • Sospecha inmediatamente de correos electrónicos que te pidan tu “password” aunque aparentemente provengan de la misma institución, empresas conocidas o amigos. Recuerda que tu “password” o clave es confidencial, por tanto, nunca debes proporcionarlo por esta vía al igual que cualquier otra información sensitiva. NUNCA deberás responder a correos electrónicos que soliciten información personal. • Te sugerimos no reenvíes correos masivos que recibas con contenidos de chistes, deseos de buena suerte o cadenas de cualquier índole. Toma en cuenta que ésta es la principal fuente de captura de direcciones de correo electrónico para los estafadores. Éstas generalmente son capturadas y utilizadas como fuente de correos para mensajes fraudulentos Un proceso continuo que debe ser controlado, gestionado y monitorizado. Con el objetivo de ilustrar el contenido de la guía, se analizará a lo largo de los Diferentes capítulos el caso de una PYME murciana del sector servicios, que opera en la Región de Murcia y que se plantea abordar una estrategia de seguridad de la Información para proteger sus datos e información. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quien se le comunica y los efectos que se hubieran derivado de la misma. Se deben establecer procedimientos documentados de comunicación formal de incidencias de seguridad. Todos los empleados, contratistas usuarios terceros deben conocer dichos procedimientos, para identificarlos distintos tipos de incidencias y debilidades que podrían tener unimpacto sobre la seguridad del sistema de información de la organización. Se debe requerir que ellos comuniquen cualquier incidencia de seguridad de la información, tan rápidamente como sea posible, al punto de contacto designado Confidencialidad Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la información únicamente por personas que cuenten con la debida autorización. Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados Disponibilidad La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. Autenticación o autentificación Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis post-mortem, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades. Ejemplo: No instalar empresas en zonas sísmicas Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla. Se consigue optimizando los procedimientos, la implementación de controles y su monitoreo constante. Ejemplo: No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de contingencia. Es uno de los métodos más comunes del manejo de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisión se da por falta de alternativas. La retención involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el riesgo: Con recursos propios se financian las pérdidas. La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran. La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad
