viernes, 23 de octubre de 2015

TEMA 1. PRINCIPIOS DE LA SEGURIDAD INFORMATICA (parte1)


¿QUE SE ENTIENDE POR SEGURIDAD INFORMÁTICA?

Podemos definir la seguridad informática como una disciplina que se encarga de proteger la integridad y la privacidad de la información que esté en el sistema informático, pero aunque intentes poner la máxima seguridad nunca obtendrás el 100% en seguridad ya que todos los sistemas formativos son violables. Puedes protegerles de una forma tanto lógica como física, pero las maquinas pueden ser infectadas tanto por programas instalados en la misma maquina como por via remota a través de Internet pudiendo que cambien el rendimiento de los equipos o bloquear el usuario del sistema.

Hay ciertos aspectos o cuestiones que están relaciones cuando hablas de seguridad informática como:

  1. El cumplimiento de las regularizaciones legales dentro de cada ámbito.
  2. Mantener un control en el acceso de los servicios que ofrecen y tener la información guardada en un sistema informático.
  3. Controlar el acceso y la utilización de ficheros protegidos por la ley.
  4. Solicitar la identificación del autor de los mensajes o de la información.
  5. Realizar un registro del uso de los servicios de un sistema informático.


La seguridad de la información se define como la conservación de :








  • Confidencialidad: Asegurar que la información es accesible solo para aquellos autorizados a tener acceso.

  • Integridad: garantizar la exactitud de la información y de los métodos de su procesamiento.

  • Disponibilidad: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.





LAS  NORMAS ISO


Las normas ISO son estándares o normas de seguridad que son establecidas por la Organizacion Internacional para la Estandarización (ISO).

LA FAMILIA ISO

 Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad:
  • ISO 9000: Sistemas de Gestión de Calidad. Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseño, fabricación, inspección, instalación, venta, servicio post venta, directrices para la mejora del desempeño.
Mas información en : WIKIPEDIA
  • ISO 10000: Guías para implementar Sistemas de Gestión de Calidad/ Reportes Técnicos.Guía para planes de calidad, para la gestión de proyectos, para la documentación de los SGC, para la gestión de efectos económicos de la calidad, para aplicación de técnicas estadísticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medición, aseguramiento de la medición.
Mas información en: WIKIPEDIA
  • ISO 14000: Sistemas de Gestión Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisión ambiental, auditorias.
Mas información: MONOGRAFIAS
  • ISO 19011: Directrices para la Auditoria de los SGC y/o Ambiental
Mas información en: HEREDEROS CONSULTORES



De todas las normas ISO la que nos interesa para la seguridad informática es la norma ISO-7498 que define la seguridad informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos informáticos. 

La seguridad es un sistema informático que depende de múltiples factores como:
  1. La sensibilización de los directivos y responsables de la organización.
  2. Los conocimientos, capacidades e implantaciones de los responsables del sistema informático.
  3. La formación y responsabilidad de todos los usuarios del sistema.
  4. La correcta instalación, configuración y mantenimiento de equipos
  5. La restricción de la asignación de los permisos y privilegios de los usuarios usando el denominado "mínimo de privilegios".
  6. Mantener actualizado al día el hardware y el software según las indicaciones del fabricante.
  7. Observar la seguridad frente a las amenazas en general ( tanto como del exterior como del interior). Ha esto se le llama: "Principio de defensa en profundidad".
  8. La acomodación de los objetivos de seguridad a las necesidades reales de la empresa.
PRINCIPIOS DE DEFENSA EN SEGURIDAD

Consiste en la implantación y diseño de varios niveles de seguridad dentro del sistema informatico de la organización. Los datos es nuestra prioridad ya que son lo mas sensible y tenemos que proteger.



Objetivos de la seguridad informática

Como objetivo principal, la seguridad informática, pretende minimizar los riesgos, gestionarlos y detectar posibles amenazas o problemas en la información o infraestructuras informática. Otros objetivos son:

  • Garantizar la conveniente utilización de los recursos y de las aplicaciones del sistema.
  • Limitar los daños y conseguir la conveniente recuperación del sistema en caso de un percance de seguridad.
  • Cumplir con el marco legal y los requisitos impuestos por los clientes
Para cumplir estos objetivos se deben de completar cuatro planes de actuación:
  1. Plano técnico, tanto a nivel físico como lógico
  2. plano legal, lo que obliguen las leyes
  3. Plano humano, sensibilización y formación de empleados funciones y obligaciones del personal.
  4. Plan organizativo, definición e implantación de políticas de seguridad.(Planes, normas, procedimientos y buenas practicas de actuación)





Servicios de seguridad de la información



  • Confidencialidad: A través de este servicio se garantiza que cada mensaje trasmitido o almacenado solo se podrá leer por el propio destinatario. Ejemplo: cifrado y ocultación de comunicación.

  • Autenticación: La autenticación garantiza que la identidad del creador de un mensaje o documento es legítima. Ejemplo: entregar en mano a quién quiero darle un usuario y contraseña en concreto.
  • Integridad: Se encarga de garantizar que el mensaje o fichero no ha sido modificado durante su transmisión. Ejemplo: para modificar que te pida unos datos requeridos, un chequeo de validez o un tipo de integridad, ya sea entidad o referencial.

  • No repudiación: Consiste en implementar un mecanismo acreditativo que permita demostrar su envió para que mas tarde no pueda impedir en envió. Ejemplo: certificados digitales, como por ejemplo la firma digital.

  • Disponibilidad: Los recursos del sistema informático es un tema de especial importancia ya que el sistema debe ser robusto para asegurar su correcto funcionamiento y puede estar a disposición de los usuarios. (Mecanismos para solucionar este problema.) Ejemplo: tener una segunda fuente de energía como mínimo, más conocida como SAI, también llamado Sistemas de Alimentación Interrumpida.

  • Autorización: Este servicio intenta controlar el acceso de los usuarios. Ejemplo: para ello se suelen crear las denominadas ACL (Listas de Control de Acceso).

  • Auditación: (También denominado trazabilidad) Permite registrar y monitorizar el empleo de los distintos recursos del sistema. Ejemplo: utilizar programas que auditen lo que queremos saber para tener la información necesaria.

  • Reclamación de origen: Se permite probar quien es el creador del documento o mensaje determinado. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

  • Reclamación de propiedad: Este servicio permite probar que cierto documento con contenido digital está protegido por derechos de autor. Ejemplo: a través de los certificados digitales, al mismo tiempo también podemos utilizar la firma digital.

  • Anonimato en el uso de los servicios: También a veces es conveniente garantizar el anonimato de los usuarios que acceden a los recursos. Ejemplo: utilizar una VPN.

  • Protección a la replica: mediante este servicio se trata de impedir la realización de ataques de repetición. Ejemplo: con autenticaciones como Captcha.

  • Confirmación de la prestación de un servicio: este servicio de seguridad permite confirmar la realización de una operación o transacción reflejando los usuarios o entidades que han intervenido en ella.  Ejemplo: tener acceso digital digital a la información detallada que necesites para poder ver todas las operaciones y transacciones.

  • Referencia temporal: mediante este servicio se consigue demostrar el instante concreto en que se ha enviado un mensaje o se ha realizado una determinada operación. Ejemplo: utilizar un proxy.

  • Certificación mediante terceros de confianza: la realización de todo tipo de transacciones a través de medios electrónicos requieren nuevos requisitos de seguridad para garantizar las partes que intervienen. Existe una figura llamada tercero de confianza que suele ser un organismo que se encarga de certificar la realización y contenido de las operaciones.  Ejemplo: realizar pagos mediante Pay-Pal.


METODOLOGIAS

    1. PDCA: 


  1. PLAN: Selección y definición de medidas y procedimientos
  2. DO: implantación de medidas y procedimiento
  3. CHECK: Comprobación y verificación de las medidas instauradas.
  4. ACT: Actuación para corregir los defectos detectados.
Mas información en : WIKIPEDIA

     2.SGSI:
       
               El SGSI es la abreviatura utilizada para referirse a un sistema de gestion de la información

  • Personas: sensibilización e información, obligaciones y responsabilidad del personal, control y supervisión, y colectivos a considerar.
  • Legislación: Cumplimiento y adaptación a la legislación vigente.
  •  Organización: Políticas, normas y procedimientos; Planes de contingencia y respuesta a incidentes; relaciones con terceros.
  • Tecnología: Selección, instalación, configuración y actualización de hardware y software; encriptación; estandarización del producto.
      Mas información en: WIKIPEDIA



NIVELES DE MADUREZ EN LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

     1ª etapa: Implantación de medidas básicas de seguridad: 
                    De sentido común como copias de seguridad, control de acceso...

     2º etapa: Cumplimiento de la legislación vigente

     3º etapa: Gestión global de la seguridad de la información

     4º etapa: Certificación de la gestión de la seguridad.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)