Evaluación de sistemas de cómputoTemas IX.
Seguridad Física y Lógica
IX. Seguridad Física y lógica
Evaluación de selección
Definición de seguridad Antecedentes Objetivos de la seguridad Responsabilidad en el manejo de información Atributos de la información Principales funciones de la seguridad La información Controles básicos Diseño de seguridad
En algunos casos se requiere comprar software, hardware y equipo de oficina especializado para mantener la seguridad lógica y física de los datos. Esto genera un costo el cual se debe calcular y contemplar en este análisis
Definición Seguridad física y lógica
La siguiente información no es exhaustiva, sólo pretende dar una idea general de conceptos de seguridad.
La seguridad es la tranquilidad que se tiene de que nada malo va a pasar.
Para lograr esta tranquilidad se deben establecer varios mecanismos.
La seguridad física corresponde la implantación de mecanismo que protegen los recursos materiales (edificios, equipo de computo, personal, etc.)
La seguridad logia corresponde la implantación de mecanismos que protegen los recursos no materiales como los datos, la información, etc. La responsabilidad de esta seguridad recae principalmente en el sistema operativo y en el software.
Definición Seguridad física y lógica
Definición
Seguridad Calidad de seguro.
Libre de todo daño.
Que no admite duda o error
Firme, estable.
Garantía que da una
persona a otra de que
cumplirá con algo.
Seguridad
informáticaLa calidad de un sistema de computo involucra suprotección contra un sin
número de fallas y errores. Además de siniestros, robos y
sabotajes.
Nivel Organizacional
Unidad que define y
orienta políticas,
normas y
procedimientos
Definición de Seguridad
SEGURIDAD POR HARDWARE
* SEGURIDAD CONTRA DESASTRE
* SEGURIDAD CONTRA INTRUSOS
SEGURIDAD DE SOFTWARE
* SEGURIDAD PARA ACCESAR
IDENTIFICADOR DEL USUARIO(PASSWORD)
* SEGURIDAD EN LA MEMORIA
DISPONIBILIDAD DE LOS ARCHIVOS - COPIAS DE SEGURIDAD - ARCHIVOS LOGPRIVACIDAD DE LOS ARCHIVOS
Antecedentes
Información
Decisión
Seguridad de la Información = Protección de Activos
•Gente
•Datos
•Software
•Hardware
Mayor
Automatización
Mayor
Dependencia
Mayor
Riesgo
Antecedentes
Resultados de encuestas
5% 11%
79%
5%
Mucho Mas o Menos No Conozco No Opinó
FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000
La seguridad en México
Se están
Desarrollando
47%
Completamente Desarrollados
0%
No Existen
53%
Antecedentes
FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000
¿Cuál es el nivel de desarrollo
de estándares de seguridad
de informática en México?
Antecedentes
FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000
¿Cuál es el grado de
formalización de la función
de seguridad Informática?
Informal
47%Formal
48%
No
Implementada
5%
Por Actos
Origen Interno
76%
externos24%
Ataques a la organización
Es la Administración
y protección de los
recursos cómputo
Establece los controles paradisminuir los
riesgosSu objetivo es elproteger el patrimonio
informático
Seguridad
¿Quién fue?
Ataques
Objetivos de la seguridad
Es la Administración
y protección de los
recursos cómputo
Su objetivo es el
proteger el patrimonio
informático
Establece los
controles para
disminuir los
riesgos
Objetivos de la seguridad
Es el de reducir el impacto de un fenómeno que pueda causar perdidas
económicas y que deberá encontrarse en posibilidades de recuperación
a un mínimo nivel aceptable, a un costo razonable y asegurando la
adecuada estabilización de la operatividad.
Objetivos de la seguridad
Asegurar la integridad y exactitud de los datos.
Proteger la confidencialidad y exactitud de los datos.
Proteger y conservar los activos de la organización fuera
del alcance de riesgos, de desastres naturales o actos
mal intencionados.
Asegurar la capacidad de supervivencia de la
organización ante eventos que pongan en peligro su
existencia.
Proveer el ambiente que asegure el manejo adecuado de
los datos sustantivos.
Clasificación de la Información.
POR NIVEL DE CONFIDENCIALIDAD
• PUBLICA PUBLICA
• INTERNAINTERNA
• CONFIDENCIALCONFIDENCIAL
• RESTRINGIDARESTRINGIDA
• NO CRITICANO CRITICA
• NECESARIANECESARIA
• VITALVITAL
Clasificación de la Información.
PUBLICAPUBLICA
Que puede circular fuera de la organización y que no necesita modificarse para ofrecerse a los clientes o accionistas.
Nivel de riesgo: ninguno
Ejemplo:
Folletos publicitarios
Boletines de prensa
Tipos de cambio
Tasas de interés
INTERNAINTERNA
Circula dentro de la organización. Su divulgación, modificación o destrucción no autorizada podría tener un impacto significativo en la organización, en cualquier cliente o empleado. No requiere protección especial a menos que se quieran prevenir intentos externos de divulgación.
Nivel de riesgo: medio o bajo
Ejemplo:
Manuales administrativos
Memos entre oficinas
Reglamento interno de trabajo
Clasificación de la Información.CONFIDENCIALCONFIDENCIAL
Se usa dentro de la organización. Su divulgación, modificación o destrucción no autorizada podría afectar a la propia organización, clientes y empleados.
Nivel de riesgo: medio o bajo
Ejemplo:
Registros de empleos
Planes de salarios
Información de clientes
Manuales de referencia al sistema y procedimientos
RESTRINGIDARESTRINGIDA
Sirve a la organización para su posicionamiento en el mercado y solo puede ser conocida por un grupo muy pequeño. Su divulgación, modificación o destrucción puede ocasionar perdidas económicas y poner en desventaja competitiva a la organización.
Nivel de riesgo: alto
Ejemplo:Passwords para transferencia de dinero
Características de productos y/o servicios en desarrollo
Diseños de campañas publicitarias
Información acerca de adquisiciones u otras actividades del
Mercado de capitales
Clasificación de la Información.
NO CRITICANO CRITICA
Soporta servicios/procesos que pueden ser interrumpidos por un periodo largo de tiempo.
La actualización de la información desde el punto en que fue interrumpida puede ser:
A. De bajo costo o sin costo.
B. De bajo consumo de tiempo o sin gasto de tiempo.
C. Una combinación de ambas.
Nivel de riesgo: bajo
NECESARIANECESARIA
Soporta servicios/procesos que pueden ser ejecutados por medios manuales con dificultad, pero a un costo tolerable y por un periodo largo de tiempo.
La actualización de la información, una vez que se vuelve a condiciones normales de operación, puede requerir recursos considerables.
Nivel de riesgo: bajo
Clasificación de la Información
VitalVital
Soporta servicio/procesos que pueden ser ejecutados por medios manuales, o por periodos muy cortos de tiempo.
Puede existir una tolerancia intermedia de interrupción entre los necesarios y los críticos.
Una suspensión corta de procesamiento puede ser tolerada, sin embargo, aumentara considerablemente el esfuerzo que será necesario para actualizar los datos desde el momento en que se interrumpieron.
Nivel de riesgo: alto moderado
Medios y formas en que se maneja la información
GRABADA-CINTAS-CARTUCHOS-DISQUETES-COMPAC DISC-DISCOS DUROS-CASSETTES-VIDEOCASSETTES
ORAL-CONFERENCIAS-JUNTAS-EXPOSICIONES-REUNIONES-VIA TELEFONICA-PLATICA INFORMAL
ESCRITA-PAPEL-REPORTES-MICROFICHAS-ACETATOS
TECNOLOGIA PORTATIL
-FAX-FOTOCOPIADO-DIGITALIZADA-CELULARES-BIPERS
Minimizar los riegos de quebrantos y fraudes.
Proteger la información de acuerdo a su importancia y valor.
Asegurar que siempre se incorporen en los proyectos y procedimientos las normas, medidas y procedimientos de prevención y seguridad.
Investigar administrativamente hechos dolosos .
Sancionar conforme a la normatividad interna y al marco jurídico,las acciones dolosas y negligentes de su personal.
Realizar diagnóstico de riesgos y proponer acciones de solución.
Principales funciones de la seguridad
Identificar necesidades y problemática, que afecten de manera general la seguridad de la información.
Definir políticas y procedimientos generales de seguridad informática.
Orientar y dar seguimiento a estrategias y planes de seguridad
Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y liberaciones, en forma conjunta con el auditor en informática (socios del control).
Concientizar y difundir los conceptos de seguridad, en toda la empresa.
Crear un proceso de evaluación y justificación para todos los proyectos de inversión de informática.
Participar en la creación de los planes informáticos institucionales mediante la revisión, adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada área.
Principales Funciones
Lineamientos para el desarrollo de la función de seguridad en informática
• Definición de una política de seguridad
• Aspectos administrativos (pólizas de seguros)
• El control para mantenimiento preventivo y correctivo de los equipos (contratos)
• Deben incluir todos los recursos informáticos, proteger datos, equipo, tecnología y usuarios.
• Establecer una política que impulse al desarrollo de la seguridad.
• Establecer un análisis costo-beneficio sobre controles de seguridad antes de ser instalados.
Definición de Políticas de Seguridad
Estas deben contemplar
• La prevención del rezago administrativo en tiempo y costo por el mal manejo de la tecnología de punta.
• Concientizar la necesidad permanente de aplicar la seguridad en informática.
• Apoyarse en estándares nacionales e internacionales.
• Difundir formalmente los planes de seguridad en informática.
• Evaluar periódicamente el nivel de cumplimiento de la ejecución.
• Actualizar de manera oportuna las políticas de seguridad implantadas.
Nombrar una persona responsable del programa.
Asegurarse de que los gerentes entiendan de que son
responsables de la protección de los activos de su
propia área.
Desarrollar una estrategia.
Anunciar el programa
Tip´s para la Implementación del programa de Tip´s para la Implementación del programa de seguridad informáticaseguridad informática
Estrategia de SeguridadIdentificación
de usuarios
Definición de accesos y facultades
Personalización
de usuarios
Activación y monitoreo de
bitácoras
•Nombre.•No. Nómina.•Ubicación, ext.•Departamento.•Sistema responsable.•Ip/address.
Acceso a :•Volúmenes.•Subvolúmenes•Utilerías•Programas
•De acuerdo a estándar definido.
•Seguimiento a eventos relevantes de seguridad.
Mantenimiento a usuarios
•Bajas.•Cambios. •Modificaciones.
Controles básicos de seguridad informática
Planear y desarrollar políticas, procedimientos, estándares y lineamientos de seguridad informática.
Establecer un programa de capacitación para dar a conocer aspectos de seguridad informática.
Establecer y definir procedimientos para el manejo de la información y un código de ética.
Obtener respaldo y soporte de la alta dirección y de todos los niveles gerenciales.
A. Politicas y concientización
Apoyar el fortalecimiento de las medidas de seguridad en la
información a través del establecimiento de un programa de
concientización y sensibilización, que permita el conocimiento
y desarrollo de las actividades del personal de la empresa o
entidad.
Lograr una cultura de seguridad de la información a nivel
corporativo que permita fortalecer la confidencialidad,
integridad, disponibilidad y auditabilidad de la información.
Hacer del conocimiento del personal los medios y controles
que permitan por medio de su implantación una disminución de
los riesgos.
Controles básicos de Seguridad Informática
Debe de establecerse la función de seguridad informática corporativa.
Deben de establecerse políticas y procedimientos internos donde se definan los conceptos de propietarios de la información y sus responsabilidades.
Establecer coordinadores y administradores de seguridad informática (custodios).
Tener claramente identificados a todos los usuarios de la información.
B. Responsabilidades de la organización
Controles básicos de seguridad informática
Conjuntamente con el área de organización, incluir en las descripciones de puestos, contratos de trabajo conceptos de seguridad informática.
Establecer el comité directivo de seguridad informática.
Conformar y capacitar al staff de seguridad informática
Controles Básicos de Seguridad Informática
Manejar contratos internos de confidencialidad para todo el personal.
Incluir en contratos con proveedores y/o servicios profesionales,cláusulas de confidencialidad y propiedad de la información.
Realizar todos los resguardos necesarios que aseguren los activos informáticos.
C. Resguardos, contratos y convenios
Controles Básicos de Seguridad Informática
Definir principios para realizar auditorías y revisiones de seguridad informática.
Coordinarse con el área de auditoría en informática para realizar revisiones (socios del control).
Desarrollar todo un programa para la administración de riesgos.
Formalizar la generación y tratamiento de reportes de pérdidas y análisis de riesgos.
D. Auditoria de seguridad informática, revisiones y administración de riesgos
Controles Básicos de Seguridad Informática
Establecer políticas y procedimientos sobre todos los aspectos de seguridad física de los recursos informáticos (ubicación, construcción, acceso físico, soporte ambiental, etcétera)
Definir e implementar mecanismos de respaldos de información.
Definir controles de acceso físico y cerraduras, medios intercambiables y tecnología portátil.
E. Seguridad física
Controles Básicos de Seguridad Informática
Preservar la confidencialidad de los datos que pasan a través de cualquier canal de comunicación.
Asegurar que el mensaje permanezca inalterado durante su transmisión.
Verificar que existan los controles para probar que un mensaje transmitido ha recibido exitosamente.
Control de acceso a los componentes y recursos de la red.
En general los controles fundamentales de seguridad son: de integridad, de autenticidad, de confirmación, de confidencialidad, de auditoría y de control de acceso.
F. Seguridad en redes y comunicaciones
Controles Básicos de Seguridad Informática
Establecimiento de políticas y procedimientos de seguridad en las conexiones y para compartir recursos.
Implementar en la metodología de desarrollo de sistemas, controles a considerar en el diseño de aplicaciones distribuidas.
Medidas de seguridad del servidor.
Técnicas de autentificación cliente / servidor.
Mecanismos de protección de datos distribuidos y recursos del sistema.
G. Seguridad en sistemas distribuidos
Controles Básicos de Seguridad Informática
Establecimiento de políticas y procedimientos para la
administración y uso de claves de acceso.
Administración de usuarios y cuentas
Protección de password.
Monitoreo de usuarios y detección de intrusos.
Procedimientos de emergencia y excepción para
identificación y autentificación.
H. Identificación y autentificación de usuarios
Controles Básicos de Seguridad Informática
Registro y monitoreo de seguridad de eventos.
Registro y monitoreo de seguridad de sistemas y aplicaciones.
I. Bitácora de seguridad y monitoreo
Políticas y procedimientos preventivos y correctivos.
Establecimiento y capacitación del uso de software antivirus.
Revisiones periódicas y estadísticas de incidentes de software nocivo.
J. PROTECCION CONTRA SOFTWARE NOCIVO
Controles Básicos de Seguridad Informática
Planes de contingencia.
Capacitación y prueba de planes de contingencia.
Respaldo de datos y protección fuera de sitio.
Respaldo de sistemas para servidores y estaciones de trabajo.
Políticas y procedimientos para el manejo de respaldos de información.
Prevención de emergencias.
Equipo y servicios de recuperación en contingencias.
Financiamiento de contingencias.
K. RESPALDOS Y RECUPERACIÓN
Controles Básicos de Seguridad Informática
Políticas y procedimientos para la adquisición, instalación y uso del software.
Supervisión continua del uso del software oficial.
Inventario de licencias de software y control de versiones
Protección de copias.
Distribución de copias.
L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE
Controles Básicos de Seguridad Informática
Metodologías y estándares de desarrollo
Responsabilidades de los desarrolladores de sistemas.
Diseño de estándares formales de seguridad.
Procedimientos de control de desarrollo y cambios.
Documentación del software desarrollado.
Pruebas de sistemas y control de calidad.
M. DESARROLLO DE SISTEMAS Y ADQUISICION
Controles Básicos de Seguridad Informática
Protección de comunicaciones de larga distancia.
Protección de aparatos de correo de voz.
Monitoreo de llamadas.
N. SEGURIDAD EN SISTEMAS DE VOZ
Controles Básicos de Seguridad Informática
Intentos de violación
O. REPORTES DE EVENTOS DE SEGURIDAD
• Claves de acceso.
• Uso de aplicaciones.
• Ejecución de procesos.
• Acceso a datos y recursos de alto riesgo.
Controles Básicos de Seguridad Informática
Bloqueo de cuentas de usuarios.
Afectación de la disponibilidad de información o recursos
de cómputo
Cambios de atributos de seguridad no autorizados.
Uso indebido de identificadores de usuarios y claves de acceso.
Acceso de usuarios temporales.
Actualización de información fuera del proceso de las aplicaciones.
Ejecución de rutinas y comandos de alto riesgo.
Controles Básicos de Seguridad Informática O. REPORTES DE EVENTOS DE SEGURIDAD
Clasificación de la información de acuerdo con el grado
de riesgo.
Identificar y manejar la información de acuerdo con su
grado de riesgo.
Procedimientos que disminuyan el riesgo de la
información que se maneja en forma verbal, escrita o
grabada.
Capacitación al personal para un manejo adecuado de la
información.
Controles Básicos de Seguridad Informática
P. MANEJO DE INFORMACIÓN
PROPIETARIO
CUSTODIO USUARIO
Responsabilidad en el Manejo de la Información
Autoridad que delega la organización para el
manejo de la información.
Utiliza la información para fines propios de su función.
Responsable del almacenamiento y disponibilidad de la información
Diseño de la seguridad
Definir los elementos que requieren seguridad, (datos, archivos, etc.)
Definir los elementos que pueden poner en peligro la seguridad.
Definir los elementos y procedimientos que ayudarán a establecer la seguridad.
Definir las políticas y procedimientos que sostendrán dicha seguridad.
El ingeniero en informática debe contemplar en el análisis y diseño del sistema de computo procedimientos que eviten fallas, accidentes, acciones que dañen a la información y al mismo software, pasos a seguir en caso de existir problemas, etc.
Algunas consideraciones pueden ser:
Diseño de la seguridad Elaborar una lista de las medidas preventivas y correctivas en
caso de desastre, señalando cada actividad con una prioridad. Generar políticas de seguridad para la información. Organizar y asignar responsabilidades para establecer la
seguridad. Obtener los elementos técnicos que apoyen a la generación
de la seguridad de la información. Generar procedimientos computacionales y administrativos
que establezcan seguridad física y contra catástrofes. Generar o contratar productos de seguridad para el hardware,
software y las comunicaciones.
Diseño de la seguridad Efectuar pláticas con el usuario sobre la seguridad. En
estas pláticas es importante establecer la importancia y responsabilidad del usuario con relación a mantener la seguridad del sistema de computo.
Efectuar prácticas con el cliente sobre seguridad. Contratar pólizas de seguros y contra desastres. Efectuar auditorias periódicas y eventuales al sistema de
cómputo una vez que esta instalado para determinar el nivel de seguridad existente.
El implantar seguridad para los sistemas de cómputo puede reducir la flexibilidad pero no debe reducir la eficiencia.
Ejemplos de medidas de seguridad para el manejo de la informaciónRESTRINGIDA
OALTA SEGURIDAD
CONFIDENCIALO
SEGURIDAD MEDIA
INTERNA O MINIMA SEGURIDAD
PÚBLICA O
SIN SEGURIDADDESCRIPCIÓN ACCESO DOBLE PASSWORD
8 0 MAS DIGITOSDOBLE PASSWORD
4 A 8 DIGITOSPASSWORDENTRADA
SINPASSWORD
TRANSPORTA-CIÓN
CON UN PROPIOO CAMINONETAS DE SEGURIDAD
DENTRO DE BOLSASCERRADAS CONCINTIILLO DESEGURIDAD
EN SOBRESCERRADOS
SINRESTRICCIÓN
ENCRIPCIÓN ARCHIVOPARTICIONADO,ENVIANDOCODIGO Y LLAVEPOR SEPARADO
ENVIO DE CODIGOY LLAVE POR SEPARADO
NOREQUERIDA
NO REQUERIDA
FOTOCOPIADO NORECOMENDADO
CONTROLAR MEDIANTESELLOS EL NUM. DECOPIAS OBTENIDAS
SINRESTRICCIÓN
SINRESTRICCIÓN
CONSULTA DEINFORMACIÓN
PRIVADA YMONITOREADA
PRIVADA Y EN ALGUNOSCASOS CON CONSULTAMONITOREADA
BAJOFACULTADES
SINRESTRICCIÓN
USOTELEFONOCELULAR, FAX
PROHIBIDO SUUSO, CONTRATO DE CONFIDENCIALIDAD
PERMITIDO SÓLO ENPRIVADO O MONITOREADO
EVITARLUGARESPÚBLICOS
SINRESTRICCIÓN
REUNIONESEN PRIVADO Y ENOFICINAS DE LAEMPRESA
EN PRIVADO Y DEPREFERENCIA ENOFICINAS DE LAEMPRESA
EXCLUIRÁREASPUBLICAS
SINRESTRICCIÓN
Diseño de la seguridad
Por último realizar una lista de los datos, archivos, accesos, procesos, áreas, etc. que se debe establecer seguridad y el grado de seguridad requerida.
Elemento(s) a establecer seguridad
(datos, archivos, procesos, etc.)
Nivel de seguridad
Especificación de consideraciones y
procesos de seguridad
------- ---- --------
------- ---- -------
------ ---- ------
Matriz de consideraciones para la seguridad en el sistema de cómputo
Nivel de seguridad
1 – Alta
2 - Media
3 – Mínima4 – Sin seguridad
Administración de la seguridad
Esta debe de contemplar el:
• Confirmar la existencia de una función responsable de la seguridad.
• Decretar políticas y procedimientos aplicados a la utilización de los equipos de cómputo y al aprovechamiento de los bienes y sistemas informáticos.
Actividades una vez establecida la seguridad
La elaboración de planes de trabajo, de asignación de actividades, seguimiento y revisión periódica de documentación y de bitácoras.
• Revisión de las políticas creadas de la metodología para el análisis de sistemas.
• Estandarizar interfaces, funciones de programación y uniformizar los sistemas.
• Elaborar y revisar constantemente bitácoras de procesos ejecutados, de requerimientos, de errores en la implantación y los planes y programas bimestrales y anuales de los procesos que se van a ejecutar.
Costo de seguridad
Una vez que Usted ha determinado el nivel de seguridad que debe incluir su sistema de computo.
Paso 1 - Enlistará los requerimientos de seguridad y si es necesario actualizará y/o añadirá a los requerimientos de generales y los requerimientos funcionales y no funcionales los elementos de seguridad.
Paso 2 – Estimará el costo de la seguridad, efectuando bench mark y eligiendo la mejor opción para el sistema de computo.
Paso 3 – Se agregarán los costos de seguridad al software de aplicación y a los costos técnicos de la operación
Top Related