UNIVERSIDAD NACIONAL DE TRUJILLOFACULTAD DE INGENIERAESCUELA ACADEMICO PROFESIONAL DE INGENIERA DE SISTEMAS

GESTION DE LA SEGURIDAD DE LA INFORMACION

CURSO: GERENCIA DE SISTEMASINTEGRANTES: CRDENAS PINO, Csar Ivn 1 1 1 1

DOCENTE: Ing. MENDOZA DE LOS SANTOS, Alberto

TRUJILLO PERU2014LA IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIN:El crecimiento de internet y de servicios telemticos, han hecho que hoy en da muchas de la actividades que se realizan de forma cotidiana (laboral y profesional) dependan en mayor o menor medida de sistemas y de redes informticas; los cuales podran ser los servicios financieros, el control de la produccin, los medios de transporte, la sanidad o hasta la propia administracin publica estn soportados por sistemas y redes informticas y muchos de ellos han eliminado o reducido de forma notable los papeles y procesos manuales.Debido a la creciente complejidad y elevado nmero de transacciones realizadas manualmente han propiciado el soporte automatizado e informatizado de muchos de sus procesos; de ah la gran importancia que se debera tener con la seguridad informtica en una organizacin.Podemos definir a la seguridad informtica como cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica o bloquear el acceso de usuarios autorizados al sistema, adems es necesario considerar el: Cumplimiento de las regulaciones legales, dependiendo del marco legal de cada pas. Control en el acceso a los servicios y la informacin guardada por el sistema. Identificacin de los autores de la informacin o de los mensajes. Registro del uso de los servicios de un sistema informtico, etc.Segn la norma ISO/IEC 17799 define a la Seguridad de la Informacin como la preservacin de la confidencialidad, su integridad y su disponibilidad; dependiendo del tipo de informacin manejada y de los procesos realizados por una organizacin.Debemos tener en cuenta que la seguridad de un sistema informtico depender de diversos factores, como: La sensibilidad de los directivos y responsables de la organizacin. Los conocimientos, capacidades e implicacin de los responsables del sistema. La mentalizacin. La correcta instalacin, configuracin y mantenimiento de los equipos. La limitacin en la asignacin de los permisos y privilegios de los usuarios. El soporte de los fabricantes de hardware y software. Contemplar no solo a las amenazas externas, sino tambin las internas de la empresa. La adaptacin de los objetivos de seguridad y del conjunto de actividades.

OBJETIVOS DE LA SEGURIDAD INFORMATICA Minimizar y gestionar los riesgos, detectar los posibles problemas y amenazas a la seguridad. Garantizar la utilizacin adecuada de los recursos y de las aplicaciones del sistema. Limitar prdidas y conseguir la adecuada recuperacin del sistema. Cumplir con el marco legal y con los requisitos impuesto por los Cliente en sus contratos.Para cumplir con estos objetivos una organizacin debe contemplar cuatro planos de actuacin: Tcnico. Legal. Humano. Organizativo

CONSECUENCIAS DE LA FALTA DE SEGURIDADUna organizacin persegua salvaguarda propiedades y personas contra el robo, fuego, todos los disturbios sociales que ponen en peligro el progreso e incluso la vida del negocioEn la actualidad el negocio y el desarrollo de las actividades dependen de los datos y de la informacin registrada en sus sistemas informticas, as como el soporte adecuado de las TIC para facilitar su almacenamiento, procesamiento y distribucin; es por ello que es necesario trasladar a los directivos la importancia de valorar y proteger la informacin de sus empresas.Las posibles consecuencias de la ausencia o deficientes medidas de seguridad informtica, adems de los posibles daos ocasionados a la informacin guardada, a los equipos y dispositivos de red, deberamos tener en cuenta otros importantes perjuicios para la organizacin: Horas de trabajo invertidas en reparaciones. Prdidas ocasionadas por la indisponibidad de diversas aplicaciones y servicios. Robo de informacin confidencial. Filtracin de datos personal de usuarios registrados en el sistema. Retrasos en los procesos de produccin, perdida de pedidos. Posibles daos a la salud de las personasLa creacin y difusin de programas informticos maliciosos a travs de internet (virus, troyanos, gusano) ha representado un coste financiero de unos 110 000 millones de dlares.De hecho es posible contemplar otros posibles problemas que se podran derivar del compromiso o toma de control de algunas de los equipos de una organizacin: Utilizacin de los equipos y redes de una organizacin para llevar a cabo ataques contra redes de otras empresas y organizaciones. Almacenamiento de contenidos ilegales en los equipos comprometidos, con la posibilidad de instalar un servidor FTP sin la autorizacin del legtimo propietario de estos. Utilizacin de los equipos de una organizacin para realizar envos masivos de correo no solicitado, etc.

RiesgosEl riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informtico.El nivel de riesgo depende del anlisis previo de vulnerabilidades del sistema, de las amenazas y del posible impacto que estas puedan tener en el funcionamiento de la organizacin.

Figura 1: Esquema Propuesto por la metodologa CRAMMPor otra parte tambin se han propuesto otras herramientas y metodologas que permiten evaluar el riesgo. OCTAVE: Metodologa de anlisis y evaluacin de riesgos. RiskWatch: Software de evaluacin del riesgo que contempla los controles previstos por la norma ISO 17799. COBRA: Software de evaluacin del riesgo que tambin contempla los controles previstos por la norma ISO 17799.Defensas, salvaguardas o medidas de seguridadUna defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto en la organizacin.Medida de seguridad activa es cualquier medida utilizada para anular o reducir el riesgo de una amenaza. Las medidas activas podran, a su vez clasificarse en medidas de prevencin y medidas de deteccin.Medida de seguridad pasiva es cualquier medida empleada, para reducir el impacto cuando se produzca un incidente de seguridad. Tambin se las conoce como medidas de correccin.Las defensas fsicas son medidas que implican el control de acceso fsico a los recursos y de las condiciones ambientales en que tienen que ser utilizados.Las defensas lgicas estn relacionadas con la proteccin conseguida mediante distintas herramientas y tcnicas informticas.Por ultimo tras la correcta implantacin de las medidas de seleccionadas, la organizacin deber determinar el Nivel de Riesgo Residual, obtenido tras un nuevo proceso de evaluacin de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medidas de seguridad seleccionadas.Si para un determinado activo el riesgo sigue siendo demasiado alto para los objetivos fijados por la organizacin, medidas de seguridad adicionales y repetir el proceso.El nivel de riesgo residual es el nivel de riesgo que la organizacin estara dispuesta a aceptar. Figura 2: Proceso de Evaluacin y Gestin de RiesgosTransferencia del riesgo a tercerosSe hace mediante la contratacin de una pliza de seguros especializada o bien la subcontratacin de un proveedor especializado en ofrecer determinados servicios de seguridad informtica.En lo que refiere a contratacin de un seguro frente a daos o ataques informticos, es necesario una valoracin externa del sistema de seguridad, redefinir sus polticas de seguridad, a la adquisicin de un software y hardware especficos y la implementacin de una serie de procedimientos y controles de seguridad rutinarios.Por otra parte la contratacin de una empresa especializada en ofrecer determinados Servicios de Seguridad Informtica, se encargara del mantenimiento de las alarmas, el control del acceso del personal a las instalaciones o vigilancia nocturna y durante los fines de semana.Teniendo en cuenta que hoy en da es imprescindible dominar mltiples tecnologas, en un entorno complejo y cambiante, caracterizado por un mercado en el que se ofrecen gran cantidad de productos y servicios de seguridad, la alternativa de la subcontratacin de determinados servicios de seguridad podra mejorar, en general, la Gestin de la seguridad de la informacin, contribuyendo a reducir y controlar los costes para la organizacin.DEFINICION DE LA IMPLEMENTACIN DE LAS POLTICAS DE SEGURIDADUna Poltica de Seguridad como una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requieranUn Plan de seguridad es un conjunto de decisiones que definen cursos de accin futuros, as como los medios que se van a utilizar para conseguirlos.Un Procedimiento de seguridad es la definicin detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido aprobadas por la organizacin.

Figura 3: Polticas, Planes y Procedimientos de SeguridadA la hora de definir las Polticas de Seguridad en una organizacin, sera conveniente contemplar todos los aspectos que se enumeran a continuacin: Alcance: recursos, instalaciones y procesos de la organizacin sobre los que se aplican. Objetivos perseguidos y prioridades de seguridad. Compromiso de la direccin de la organizacin e identificacin de los activos a proteger. Anlisis y gestin de riesgos. Elementos y agentes involucrados en la implantacin de las medidas de seguridad. Asignacin de responsabilidades en los distintos niveles organizativos. Definicin clara y precisa de los comportamientos exigidos y de los que estn prohibidos. Identificacin de las medidas, normas y procedimientos de seguridad a implantar. Gestin de las relaciones con terceros. Gestin de incidentes. Planes de contingencia y de continuidad del negocio. Cumplimiento de la legislacin vigente. Definicin de las posibles violaciones y de las consecuencias derivadas del incumplimiento.

Agentes de la organizacin implicados en las polticas de seguridad: Directivos y responsables de las diferentes reas. Personal del departamento de informtica y de comunicaciones Miembros del equipo de respuesta a incidentes de seguridad informtica. Representantes de los usuarios. Consultores externos en seguridad informtica.Aspectos importantes con respecto al usuario:La difusinEs necesario que el personal que labora en la empresa tenga conocimiento de los planes, normas, procedimientos y polticas de seguridad que se manejan, es por ello la necesidad en la que se ve implicada el rea de TI (Informtica) en difundir dichas normas para que el usuario tome conciencia de ello.Polticas de seguridadPlanesNormasProcedimientos

La documentacinAnte la llegada de usuarios nuevos a la empresa es necesario hacerles llegar saber cules son las polticas de seguridad bajo las cuales la organizacin est sujeta y por ello es necesaria la documentacin detallada. Es necesaria que la documentacin sea redactada en formato simple y entendible para que el usuario sea capaz de percibir las consecuencias que acarreara el no estar sujeto a dichas normas.Tambin es necesario que dichas polticas estn sujetas a un marco legal; cada poltica con su respectiva sancin segn en coordinacin con RRHH y la alta directiva de la organizacin; lo cual se le har llegar al usuario para que se comprometa a cumplirlo.

Auditorias y actualizaciones de las polticas de seguridadEs necesario que el rea de informtica este siempre pendiente de las revisiones y actualizaciones de las polticas de seguridad dado el mundo cambiante ante el cual nos encontramos, las nuevas tecnologas han permitido la vida fcil al usuario, pero tambin aumentan las vulnerabilidades y es necesario que se tomen las medidas necesarias para el uso de los nuevos equipos que llegan a formar parte de la organizacin.El factor humano en la seguridad informticaUsted puede tener la mejor tecnologa, firewalls, sistemas de deteccin de ataques, dispositivos biomtricos Lo nico que se necesita es una llamada a un empleado desprevenido y acceden al sistema sin ms. Tienen todo en sus manos Kevin MitnickSon las palabras del mayor hacker en la historia, el usuario es en gran manera el responsable del 75% de los problemas en seguridad.Un usuario no capacitado y no advertido es capaz de involucrar en serios problemas a la empresa donde labora, si bien es cierto ya existen marcos legales donde hacen responsable a la organizacin de los actos de sus empleados sancionados con fuertes sumas de dinero (LOPD, LSSI-CE)

Algunos marcos legales en el Pas de Espaa Envos de comunicaciones comerciales no solicitadas (spam), que pueden tener como consecuencia para sus responsables sanciones econmicas de hasta 150 000 euros, al incumplir con los preceptos de la LSSI. Cesiones no autorizadas de datos de carcter personal, con multas de hasta 600 000 euros por no seguir las directivas previstas por la LOPD Delitos contra la propiedad intelectual, si se instalan y utilizan programas de intercambio de ficheros P2P, (como Kazaa, e-Mule, etc.) Responsabilidad por la comisin de delitos informticos, como sera el caso de aquellos ataques e intentos de intrusin contra otros equipos que se lleven a cabo desde la propia red informtica de la empresa. Descarga de herramientas de hacking, acceso a pornografa o a contenidos tipificados como ilegales en el pas. Envi a terceros de informacin confidencial de la empresa o de sus posibles clientes y proveedores.En el Per el 3 de Julio de 2011 se promulg ley PDP. Mediante Decreto Supremo N 003-2013-JUS, aprueban Reglamento de la Ley N 29733 Ley de Proteccin de Datos Personales, la norma desarrolla la Ley disponiendo su cumplimiento obligatorio a todas las entidades pblicas y privadas, incluyendo nuevas definiciones y obligaciones ya dispuestas en la Ley.El Reglamento ha conservado en su mayora las propuestas presentadas en la ltima versin publicada en el mes de setiembre y ltima versin comentada en el mes de diciembre (Ver:Nuevas consideraciones al Proyecto de Reglamento de Ley de Proteccin de Datos Personales), as se mantiene la adicin de nuevas definiciones y ampliacin de ciertos trminos ya previstos en la Ley.

La proteccin de datos de carcter personalSi bien es cierto la proteccin de datos fue reconocido en la Declaracin Universal de Derechos Humanos de 1948 ha generado gran polmica dado que algunos pases han adoptado su propia forma de cmo proteger los datos.Un ejemplo simple lo podemos encontrar en un grupo de pases liderados por la Unin Europea donde adoptan una postura llamada hardlaw donde aquellos que incumplan con las normas establecidas son fuertemente sancionados. En cambio Estados Unidos ha adoptado la postura softlaw donde abogan por una autorregulacin y la elaboracin de cdigos ticos de conducta ms que una sancin fuerte. Dado las diferencias de marcos legales supone un conflicto dado que las leyes de ambos pases no se ajustan a sus normas.

9