SEGURIDAD INFORMATICA

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

AUDITORIA DE SISTEMAS INFORMATICOS

M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011

6. Políticas de Seguridad

2

El problema con la seguridad es que, tal como el arquero de fútbol; solo toma importancia cuando falla. Nuestra intuición nos dice que es normal que no ocurran desastres y el mundo está armado de modo tal que los desastres son sucesos excepcionales,. Por eso es tan difícil implementar políticas de seguridad que funcionen.

INSEGURIDAD INFORMATICA

3

Una buena política de seguridad evita la ocurrencia de incidentes por lo que su importancia pasa desapercibida o tiene poco impacto. Estas políticas son vistas como complicaciones adicionales más o menos inútiles que podrían evitarse con solo un poco de confianza y buena suerte. No es de extrañar entonces que casi todos los planes de informática sean reacciones después de ocurrido un desastre. Mientras mayor ha sido el desastre más cuidadoso y completo suele ser el plan que después se implementa.

SEGURIDAD INFORMATICA

4

La seguridad informática (SI) es el área de la informática que se enfoca en la protección de la infraestructura computacional.

5

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

6

El bien protegido es principalmente la información, esta podría sufrir ataques: Que se revele información que no es pública a

personas no autorizadas. Es un ataque a la confidencialidad

Que se cambien datos o la forma en que se procesan (programas) de manera fraudulenta, o que se borren datos por efecto de virus. Estos son ataques a la integridad

Que se inutilice el sistema y no se pueda obtener la información. Este es un ataque a la disponibilidad

Qué es lo que se protege

Principios básicos para proteger la información:

7

8

Las amenazas a la seguridad no son siempre externas ni producto de ataques maliciosos, de hecho gran parte de los desastres son producto del descuido, desastres naturales, la mala operación de los equipos, etc. La imperfección y el error humano es parte muy relevante en cuanto a las políticas de seguridad que se implementan.

9

Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0.

10

Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras (inteligencia artificial) son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas”. Es decir, se trata de dotar de significado a las páginas Web, y de ahí el nombre de Web semántica o Sociedad del Conocimiento, como evolución de la ya pasada Sociedad de la Información.

11

Las amenazas que viene en el futuro ya no son con la inclusión de troyanos o espías. “La Web 3.0, basada en conceptos como elaborar, compartir y significar, está representando un desafío para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital. La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el robo del capital”.

12

13

Para no ser presa de esta nueva ola de ataques más sutiles, Se recomienda: Mantener las soluciones activadas y

actualizadas; Evitar realizar operaciones comerciales en

computadoras de uso público; Verificar los archivos adjuntos de

mensajes sospechosos y evitar su descarga en caso de duda.

14

Los riesgos varían según la organización: Información dispersa, con el creciente uso de

PC, la información tiende a almacenarse en HD, creando a veces problemas de redundancia e inconsistencia; Robos y copias no autorizadas, adulteración,

revelación de secretos, sabotaje, etc.; Pérdidas de información por efecto de virus o

monitoreo remoto con troyanos. Fallas técnicas del disco, operación inadecuada,

desastres naturales, incendios, inundaciones, etc.

RIESGOS DE SEGURIDAD

15

16

Se deben implementar en varios niveles partiendo por la sensibilización de los usuarios. Un primer paso es convencer a la gente de los beneficios de seguir políticas seguras y de los riesgos personales y organizacionales de no hacerlo.

Cómo implementar una política

17

A las personas les interesa principalmente como les afecta a ellos los problemas de seguridad. Más que los intereses de la organización hay que enfatizar como perjudica personalmente al usuario una falla de seguridad pues la disposición a cuidarse es proporcional al miedo a las consecuencias de un desastre.

18

Luego debe venir un estudio de las vulnerabilidades acompañado por un registro detallado de incidentes que comprometan la seguridad del sistema. Este registro de incidentes es una parte importante para el diseño del plan de seguridad y el personal debe ser premiado o incentivado de algún modo para que coopere en ello, de otro modo no se identificarán debilidades y errores.

19

Una vez detectadas las debilidades internas y analizado el registro de incidentes se debe pasar a evaluar estratégica y económicamente cada una de las amenazas, a fin de establecer prioridades. Muchas debilidades no serán detectadas por incidentes sino por un análisis de debilidades posibles, que debe llevarse a cabo de manera paralela al estudio de los incidentes.

20

Por ejemplo se podrían detectar problemas: Equipos con información sensible que no tienen

restricciones de acceso; No están claramente establecidas las

responsabilidades de quienes manejan información sensible ; Frecuentes interrupciones de energía eléctrica; Extensiones de corriente por el piso y enchufes

múltiples; Un equipo con información sensible tiene acceso a

correo electrónico abierto, sin un sistema de vigilancia; Personas con problemas económicos a cargo de

información sensible y, potencialmente valiosa; Posibilidad de sabotaje fuera de las horas de trabajo.

21

La legislación, debe obligar a las empresas, instituciones públicas a implantar una política de seguridad. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los usuarios en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza.

22

Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para

cada servicio de la organización; Definir las acciones a emprender y elegir

las personas a contactar en caso de detectar una posible intrusión; Sensibilizar a los usuarios con los

problemas ligados con la seguridad de los sistemas informáticos.

23

Los derechos de acceso de los usuarios deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y aconsejar estrategias a poner en marcha.

24

Uno de los principales problemas de la seguridad, es que muy rara vez las responsabilidades de las personas están explícitamente definidas, así como tampoco existen sanciones previamente establecidas por violación a las políticas de seguridad. Cuando ocurre un desastre informático nueve de cada diez veces al responsable no le ocurre absolutamente nada, por otra parte tampoco existen premios o incentivos.

ASIGNACION DE RESPONSABILIDADES

25

A falta de este sistema de castigos e incentivos, la actitud de los trabajadores hacia los aspectos de seguridad es usualmente indiferente. Un plan de seguridad debe establecer que quienes operen un equipo de computación tienen responsabilidades sobre el cuidado de la información a su cargo. La excusa "yo no sabía", "nadie me lo dijo“ revela una falla en las políticas de seguridad.

26

Información almacenada; Equipos computacionales y sus periféricos; El sistema de respaldos; El programa de mantención de hardware; El programa de mantención de software; El plan de seguridad informática; Todo el software que se usa; El recurso humano que opera los equipos; Los programas y actividades de capacitación

INVENTARIO DE ACTIVOS

27

Consisten en verificar la correcta operación de los sistemas, detectando los fraudes de digitación, la modificación maliciosa de datos o programas, etc. Las auditorias se traducen en la práctica en confrontar los datos ingresados con la documentación física que la respalda. Existe gran cantidad de sistemas vulnerables al fraude de digitación o de modificación maliciosa de los datos y que solo pueden ser detectados por medio de auditorias.

AUDITORIAS INFORMATICAS

28

La regla de oro: Dígalo por escrito!!!

Las palabras se las lleva el viento, los acuerdos de las reuniones y lo que se enseña en la capacitación se olvida fácilmente, no así los manuales de procedimiento, de normas y los planes de contingencia. Lo que está escrito y entregado no puede ser negado. Los manuales de procedimiento deben ser cortos, simples y claros.

ELABORACION DE NORMAS

29

Los planes de contingencia son una clase especial de manuales de procedimiento que especifican que se debe hacer en caso de diversos desastres o incidentes probables, de modo tal que no ocurra que el usuario, por desconocimiento, empeore los daños por reaccionar equivocadamente. Cada usuario debe disponer de un manual de procedimiento que detalle sus responsabilidades, las sanciones e incentivos.

30

Codificar la información: Criptología, Criptografía, y Criptosistema, contraseñas difíciles de averiguar a partir de datos personales del individuo; Vigilancia de red: Zona desmilitarizada; Tecnologías repelentes o protectoras:

cortafuegos, IDS, HIDS, NIDS, antispyware, antovirus, llaves para protección de software, etc. Sistema de Respaldo Remoto.

TECNICAS PARA LA SEGURIDAD

31

Trata los problemas del día a día, la protección en cada uno de los frentes tangibles que toda organización siempre tiene abiertos: usuarios, redes, servidores, dispositivos móviles, etc. La microeconomía se centra en la tecnología que utilizamos para solucionar problemas, los controles que implantamos para hacer la seguridad gobernable. Son aspectos tácticos y operativos de seguridad, elementos tangibles y sólidos que todo el mundo entiende ya necesarios para afrontar la cotidianidad.

MICROSEGURIDAD de la información

32

Trata los problemas globales, la coordinación y gestión de las actividades para alcanzar los objetivos , la planificación y diseño de estrategias para lograr tener los riesgos bajo control. Estaríamos al nivel de diseño de políticas de seguridad. La macroseguridad es la responsable de hacer que las decisiones y restricciones se encajen en la organización, y sobre todo sirvan para garantizar el cumplimiento de los objetivos

MACROSEGURIDAD de la información

33

34

El objetivo es mejorar la seguridad de los sistemas y la transferencia de información. Los servicios de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.

SERVICIOS DE SEGURIDAD

35

NORMAS DE SEGURIDAD INFORMATICA

36

http://www.taringa.net/posts/info/6659029/Seguridad-Informatica___Seguridad-de-la-Informacion.html http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?commid=45306&published=on&development=on&withdrawn=on http://sgsi-iso27001.blogspot.com/ http://es.wikipedia.org/wiki/ISO/IEC_27001 http://es.wikipedia.org/wiki/ISO/IEC_27000-series http://www.scribd.com/doc/6282873/Iso-27000

REFERENCIAS