Sin ttulo de diapositiva

1

ÍNDICE
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
1. INTRODUCCIÓN 2. ANÁLISIS Y GESTIÓN DE
RIESGOS 3. SEGURIDAD DE TI EN LA ORGANIZACIÓN
4. SEGURIDAD DE TI EN LA TECNOLOGÍA 5. MARCO
NORMATIVO 6. MARCO LEGISLATIVO
2


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
INTRODUCCIÓN
López (2003)

• Confianza y seguridad
• Masiva utilización de las TI
• Cuantificación del riesgo/coste económico
• Llamada de atención política en 1992 (CEE y
  OCDE)
• Incorporación en la legislación
• Educación universitaria y profesional
• Esfuerzo de normalización técnica

3


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• PROTECCIÓN DEL CIBERESPACIO
• Formas de criminalidad globales
• Ritmo acelerado que dificulta la adecuación de
  los poderes públicos
• CAMPOS DE ACTUACIÓN
• - Protección de las infraestructuras críticas
• - Lucha contra la criminalidad

4


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• INFRAESTRUCTURA PLANETARIA DE CONFIANZA
• Métodos, criterios y normas técnicas
  universalmente aceptadas
• Certificación de las evaluaciones de la
  seguridad de las TI y de su reconocimiento mutuo
• Acuerdos políticos de cooperación internacional
  y de coordinación
• Armonización de las legislaciones nacionales y
  lucha contra la ciberdelincuencia

5


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• DIMENSIONES
• Confidencialidad
• Integridad
• Disponibilidad
• Autenticación
• No repudio
• Control de accesos
• Sellado de tiempo

6


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
CONCEPTOS BÁSICOS
Del Peso y Ramos (2002).

• Seguridad física
• Seguridad lógica
• Seguridad organizativo-administrativa
• políticas de seguridad
• políticas de personal
• políticas de contratación
• análisis de riesgos
• planes de contigencias
• Seguridad jurídica
• Seguridad psicológica

7


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• SEGURIDAD FÍSICA
• Amenazas sabotaje, vandalismo, terrorismo,
  accidentes, incendios, inundaciones, averías,
  errores, negligencias, impacto de aviones, etc.
• Protecciones físicas
• ubicación del centro de proceso, servidores,
  terminales, portátiles
• diseño, estructura, construcción y distribución
  de edificios
• amenazas de fuego
• controles de detección basados en horario
• contenido de carteras, bolsos, cajas,
• protección de soportes magnéticos y ópticos

8


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• SEGURIDAD LÓGICA
• - biometría
• - contraseñas
• quién asigna la contraseña inicial y sucesivas,
  modo y vías de distribución
• longitud mínima y composición de caracteres
• vigencia
• control para no asignar las X últimas
• números de intentos
• cifrado
• cambio de las contraseñas iniciales
• controles existentes para evitar y detectar
  caballos de Troya
• no cesión, uso individual y responsable de cada
  usuario
• - sistemas de identificación únicos (single
  sign-on)

9


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• SEGURIDAD Y DESARROLLO DE APLICACIONES
• SEGURIDAD EN EL ÁREA DE PRODUCCIÓN
• SEGURIDAD DE LOS DATOS
• Ciclo de vida de los datos origen, proceso,
  salida de resultados, retención de la información
  y protección en función de su clasificación
• Designación de responsables propietarios,
  clasificación de los datos, restricción de uso
  para pruebas, inclusión de muecas. Etc.
• CIFRADO
• Clave privada DES (Data Encryption Standard)
• Clave pública RSA
• SEGURIDAD EN COMUNICACIONES Y REDES
• SEGURIDAD EN SISTEMAS OPERATIVOS

10


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• SEGURIDAD ORGANIZATIVO-ADMINISTRATIVA
• Clasificación de la información
• Por niveles jerárquico más bajo (no
  clasificado), al más alto (alto secreto)
• Por categorías grupos independientes
• Combinada

11


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• Políticas de seguridad
• Las políticas son los cimientos sobre los que se
  construye la seguridad y la base para
  contrastarla
• En todos los ámbitos es necesario disponer de
  normativa
• El marco legal es general, las políticas
  facilitan las medidas organizativo -
  administrativas, de seguridad física, lógica,
• Las políticas matizan a cada entorno la
  legislación
• Sirven para la mentalización y desarrollo de la
  cultura de la seguridad
• Si no hay políticas la seguridad no puede ser
  corporativa
• Sirven para hacer patente el soporte por parte de
  la alta dirección
• Orientan a los administradores respecto a la
  implantación y a los auditores en cuanto a la
  evaluación
• Sirven para establecer la base para incorporar
  cláusulas a contratos de trabajo y para acciones
  disciplinarias
• Sirven de guía para contratos con terceros
• Son útiles para demostrar a internos y externos
  la decisión corporativa de actuar de una forma
  determinada

12


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• Estructura y contenido
• Introducción, propósito, ámbito
• Ámbito de la política centros, plataformas
  técnicas, áreas, tipos de información, soportes,
  tipos de personas afectadas,
• Funciones especialmente afectadas (administración
  de seguridad)
• Clasificación de la información
• Necesidad de designar responsables propietarios
  de ficheros
• Seguridad en las instalaciones y física
• Seguridad lógica y de accesos
• Seguridad de las redes y comunicaciones
• Planificación de contingencias
• Uso adecuado del software propio y del que se
  tenga licencia de uso
• Forma de hacer la difusión de la política

13


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN

• PLANES DE CONTINGENCIA
• La definición de acciones a realizar, recursos a
  utilizar y personal a emplear caso de producirse
  un acontecimiento intencionado o accidental que
  inutilice o degrade los recursos informáticos o
  de transmisión de datos de una organización
  (Ribagorda, 1997)
• Plan de contingencia, plan de continuidad, Plan
  de recuperación ante desastres, Disaster Plan
• Puede ser una parte del Plan General de
  Seguridad, relacionado con
• Plan de protección de registros vitales
• Plan de respaldo
• Plan de evacuación de instalaciones
• Plan de recuperación del centro afectado

14


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
Y RECOMIENDA a los Países Miembros Establecer
nuevas políticas, prácticas, medidas y
procedimientos, o modificar los existentes, para
reflejar y tomar en consideración el contenido de
las Directrices para la Seguridad de Sistemas y
Redes de Información Hacia una Cultura de
Seguridad, mediante la adopción y promoción de
una cultura de seguridad, tal y como se establece
en dichas Directrices Desarrollar esfuerzos
para consultar, coordinar y cooperar a nivel
nacional e internacional, a los efectos de poder
implantar estas Directrices Dar a conocer
dichas Directrices al sector público y privado,
incluyendo gobiernos y empresas, y otras
organizaciones y usuarios individuales, para
promover una cultura de seguridad, y hacer que
todas las partes involucradas asuman su
responsabilidad en la materia, y adopten las
medidas oportunas para ejecutar estas Directrices
en la medida de sus posibilidades
15


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
PROPÓSITOS
- Promover una cultura de seguridad entre todos
los participantes como medio de proteger los
sistemas y redes de información. - Incrementar
la concienciación sobre el riesgo de los sistemas
y redes de información sobre las políticas,
prácticas, medidas y procedimientos disponibles
para poder afrontar estos riesgos así como sobre
la necesidad de adoptarlos y ejecutarlos. -
Promover entre todos los participantes una
confianza mayor en los sistemas y redes de
información, sí como en la forma de operar y de
uso. - Crear un marco general de referencia que
ayude a los participantes en la comprensión de
los aspectos de seguridad y respeto de valores
éticos en el desarrollo y ejecución de políticas
coherentes, así como de prácticas, medidas y
procedimientos para la seguridad de sistemas y
redes de información. - Promover entre todos los
participantes cuando sea posible, la cooperación
y el intercambio de información sobre el
desarrollo y ejecución de políticas de seguridad,
así como de prácticas, medidas y procedimientos. -
Promover el conocimiento en materia de
seguridad como un objetivo importante a lograr
entre todos los participantes involucrados en el
desarrollo y ejecución de normas técnicas.
16


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
PRINCIPIOS
1) Concienciación Los participantes deberán ser
conscientes de la necesidad de contar con
sistemas y redes de información seguros, y tener
conocimiento de los medios para ampliar la
seguridad. 2) Responsabilidad Todos los
participantes son responsables de la seguridad de
los sistemas y redes de información. 3)
Respuesta Los participantes deben actuar de
manera adecuada y conjunta para prevenir,
detectar y responder a incidentes que afecten la
seguridad. 4) Ética Los participantes deben
respetar los intereses legítimos de terceros.
17


INTRODUCCIÓN
SEGURIDAD DE SISTEMAS DE INFORMACIÓN
5) Democracia. La seguridad de los sistemas y
redes de información debe ser compatible con los
valores esenciales de una sociedad
democrática. 6) Evaluación del riesgo Los
participantes deben llevar a cabo evaluaciones de
riesgo. 7) Diseño y realización de la
seguridad. Los participantes deben incorporar la
seguridad como un elemento esencial de los
sistemas y redes de información. 8) Gestión de
la Seguridad. Los participantes deben adoptar una
visión integral de la administración de la
seguridad. 9) Reevaluación Los participantes
deben revisar y reevaluar la seguridad de sus
sistemas y redes de información, y realizar las
modificaciones pertinentes sobre sus políticas,
prácticas, medidas y procedimientos de
seguridad.