Evaluaci

1
Evaluación de sistemas de cómputo
Temas IX. Seguridad Física y Lógica
2
Evaluación de selección
IX. Seguridad Física y lógica

• Definición de seguridad
• Antecedentes
• Objetivos de la seguridad
• Responsabilidad en el manejo de información
• Atributos de la información
• Principales funciones de la seguridad
• La información
• Controles básicos
• Diseño de seguridad

3
Definición Seguridad física y lógica

• En algunos casos se requiere comprar software,
  hardware y equipo de oficina especializado para
  mantener la seguridad lógica y física de los
  datos. Esto genera un costo el cual se debe
  calcular y contemplar en este análisis

4
Definición Seguridad física y lógica

• La siguiente información no es exhaustiva, sólo
  pretende dar una idea general de conceptos de
  seguridad.
• La seguridad es la tranquilidad que se tiene de
  que nada malo va a pasar.
• Para lograr esta tranquilidad se deben establecer
  varios mecanismos.
• La seguridad física corresponde la implantación
  de mecanismo que protegen los recursos materiales
  (edificios, equipo de computo, personal, etc.)
• La seguridad logia corresponde la implantación de
  mecanismos que protegen los recursos no
  materiales como los datos, la información, etc.
  La responsabilidad de esta seguridad recae
  principalmente en el sistema operativo y en el
  software.

5
Definición
Seguridad informática La calidad de un sistema
de computo involucra su protección contra un
sin número de fallas y errores. Además de
siniestros, robos y sabotajes.
Seguridad Calidad de seguro. Libre de todo
daño. Que no admite duda o error Firme,
estable. Garantía que da una persona a otra de
que cumplirá con algo.
Nivel Organizacional Unidad que define y
orienta políticas, normas y procedimientos
6
Definición de Seguridad
7
Antecedentes
Seguridad de la Información Protección de
Activos

• Gente
• Datos
• Software
• Hardware

Mayor Automatización
8
AntecedentesResultados de encuestas
5
5
11
79
Mucho
Mas o Menos
No Conozco
No Opinó
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
9
Antecedentes
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
10
Antecedentes
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
11
Ataques a la organización
Es la Administración y protección de
los recursos cómputo
Establece los controles para disminuir
los riesgos
Seguridad
Su objetivo es el proteger el patrimonio informáti
co
12
Objetivos de la seguridad
Es la Administración y protección de
los recursos cómputo
Establece los controles para disminuir
los riesgos
Su objetivo es el proteger el patrimonio informáti
co
13
Objetivos de la seguridad
Es el de reducir el impacto de un fenómeno que
pueda causar perdidas económicas y que deberá
encontrarse en posibilidades de recuperación a
un mínimo nivel aceptable, a un costo razonable y
asegurando la adecuada estabilización de la
operatividad.
14
Objetivos de la seguridad

• Asegurar la integridad y exactitud de los datos.
• Proteger la confidencialidad y exactitud de los
  datos.
• Proteger y conservar los activos de la
  organización fuera del alcance de riesgos, de
  desastres naturales o actos mal intencionados.
• Asegurar la capacidad de supervivencia de la
  organización ante eventos que pongan en peligro
  su existencia.
• Proveer el ambiente que asegure el manejo
  adecuado de los datos sustantivos.

15
Clasificación de la Información.

• PUBLICA
• INTERNA
• CONFIDENCIAL
• RESTRINGIDA
• NO CRITICA
• NECESARIA
• VITAL

POR NIVEL DE CONFIDENCIALIDAD
16
Clasificación de la Información.
PUBLICA Que puede circular fuera de la
organización y que no necesita modificarse para
ofrecerse a los clientes o accionistas. Nivel de
riesgo ninguno Ejemplo Folletos
publicitarios Boletines de prensa Tipos de
cambio Tasas de interés
INTERNA Circula dentro de la organización.
Su divulgación, modificación o destrucción
no autorizada podría tener un impacto
significativo en la organización, en cualquier
cliente o empleado. No requiere protección
especial a menos que se quieran prevenir intentos
externos de divulgación. Nivel de riesgo medio o
bajo Ejemplo Manuales administrativos Memos
entre oficinas Reglamento interno de trabajo
17
Clasificación de la Información.
RESTRINGIDA Sirve a la organización para su
posicionamiento en el mercado y solo puede ser
conocida por un grupo muy pequeño. Su
divulgación, modificación o destrucción puede
ocasionar perdidas económicas y poner en
desventaja competitiva a la organización. Nivel
de riesgo alto Ejemplo Passwords para
transferencia de dinero Características de
productos y/o servicios en desarrollo Diseños
de campañas publicitarias Información acerca de
adquisiciones u otras actividades del Mercado
de capitales
CONFIDENCIAL Se usa dentro de la organización. Su
divulgación, modificación o destrucción no
autorizada podría afectar a la propia
organización, clientes y empleados. Nivel de
riesgo medio o bajo Ejemplo Registros de
empleos Planes de salarios Información de
clientes Manuales de referencia al sistema y
procedimientos
18
Clasificación de la Información.
NO CRITICA Soporta servicios/procesos que pueden
ser interrumpidos por un periodo largo de
tiempo. La actualización de la información desde
el punto en que fue interrumpida puede ser A.
De bajo costo o sin costo. B. De bajo consumo de
tiempo o sin gasto de tiempo. C. Una
combinación de ambas. Nivel de riesgo bajo
NECESARIA Soporta servicios/procesos que pueden
ser ejecutados por medios manuales con
dificultad, pero a un costo tolerable y por un
periodo largo de tiempo. La actualización de la
información, una vez que se vuelve a condiciones
normales de operación, puede requerir recursos
considerables. Nivel de riesgo bajo
19
Clasificación de la Información
Vital Soporta servicio/procesos que pueden ser
ejecutados por medios manuales, o por periodos
muy cortos de tiempo. Puede existir una
tolerancia intermedia de interrupción entre los
necesarios y los críticos. Una suspensión corta
de procesamiento puede ser tolerada, sin embargo,
aumentara considerablemente el esfuerzo que será
necesario para actualizar los datos desde el
momento en que se interrumpieron. Nivel de
riesgo alto moderado
20
Medios y formas en que se maneja la información
21
Principales funciones de la seguridad

• Minimizar los riegos de quebrantos y fraudes.
• Proteger la información de acuerdo a su
  importancia y valor.
• Asegurar que siempre se incorporen en los
  proyectos y procedimientos las normas, medidas y
  procedimientos de prevención y seguridad.
• Investigar administrativamente hechos dolosos .
• Sancionar conforme a la normatividad interna y al
  marco jurídico,las acciones dolosas y negligentes
  de su personal.
• Realizar diagnóstico de riesgos y proponer
  acciones de solución.

22
Principales Funciones

• Identificar necesidades y problemática, que
  afecten de manera general la seguridad de la
  información.
• Definir políticas y procedimientos generales de
  seguridad informática.
• Orientar y dar seguimiento a estrategias y planes
  de seguridad
• Dar seguimiento al cumplimiento de estrategias,
  normas,requerimientos y liberaciones, en forma
  conjunta con el auditor en informática (socios
  del control).
• Concientizar y difundir los conceptos de
  seguridad, en toda la empresa.
• Crear un proceso de evaluación y justificación
  para todos los proyectos de inversión de
  informática.
• Participar en la creación de los planes
  informáticos institucionales mediante la
  revisión, adecuación y evaluación del uso de los
  recursos tecnológicos requeridos por cada área.

23
Lineamientos para el desarrollo de la función de
seguridad en informática

• Definición de una política de seguridad
• Aspectos administrativos (pólizas de seguros)
• El control para mantenimiento preventivo y
  correctivo de los equipos (contratos)
• Deben incluir todos los recursos informáticos,
  proteger datos, equipo, tecnología y usuarios.
• Establecer una política que impulse al desarrollo
  de la seguridad.
• Establecer un análisis costo-beneficio sobre
  controles de seguridad antes de ser instalados.

24

• Definición de Políticas de Seguridad
• Estas deben contemplar
• La prevención del rezago administrativo en tiempo
  y costo por el mal manejo de la tecnología de
  punta.
• Concientizar la necesidad permanente de aplicar
  la seguridad en informática.
• Apoyarse en estándares nacionales e
  internacionales.
• Difundir formalmente los planes de seguridad en
  informática.
• Evaluar periódicamente el nivel de cumplimiento
  de la ejecución.
• Actualizar de manera oportuna las políticas de
  seguridad implantadas.

25
Tips para la Implementación del programa de
seguridad informática

• Nombrar una persona responsable del programa.
• Asegurarse de que los gerentes entiendan de que
  son responsables de la protección de los activos
  de su propia área.
• Desarrollar una estrategia.
• Anunciar el programa

26
Estrategia de Seguridad
Identificación de usuarios
Definición de accesos y facultades
Personalización de usuarios
Activación y monitoreo de bitácoras

• Nombre.
• No. Nómina.
• Ubicación, ext.
• Departamento.
• Sistema responsable.
• Ip/address.

• Acceso a
• Volúmenes.
• Subvolúmenes
• Utilerías
• Programas

• De acuerdo a estándar definido.

• Seguimiento a eventos relevantes de seguridad.

Mantenimiento a usuarios

• Bajas.
• Cambios.
• Modificaciones.

27
Controles básicos de seguridad informática
A. Politicas y concientización

• Planear y desarrollar políticas, procedimientos,
  estándares y lineamientos de seguridad
  informática.
• Establecer un programa de capacitación para dar
  a conocer aspectos de seguridad informática.
• Establecer y definir procedimientos para el
  manejo de la información y un código de ética.
• Obtener respaldo y soporte de la alta dirección y
  de todos los niveles gerenciales.

28

Controles básicos de Seguridad Informática

• Apoyar el fortalecimiento de las medidas de
  seguridad en la información a través del
  establecimiento de un programa de concientización
  y sensibilización, que permita el conocimiento y
  desarrollo de las actividades del personal de la
  empresa o entidad.
• Lograr una cultura de seguridad de la información
  a nivel corporativo que permita fortalecer la
  confidencialidad, integridad, disponibilidad y
  auditabilidad de la información.
• Hacer del conocimiento del personal los medios y
  controles que permitan por medio de su
  implantación una disminución de los riesgos.

29
Controles básicos de seguridad informática
B. Responsabilidades de la organización

• Debe de establecerse la función de seguridad
  informática corporativa.
• Deben de establecerse políticas y procedimientos
  internos donde se definan los conceptos de
  propietarios de la información y sus
  responsabilidades.
• Establecer coordinadores y administradores de
  seguridad informática (custodios).
• Tener claramente identificados a todos los
  usuarios de la información.

30
Controles Básicos de Seguridad Informática

• Conjuntamente con el área de organización,
  incluir en las descripciones de puestos,
  contratos de trabajo conceptos de seguridad
  informática.
• Establecer el comité directivo de seguridad
  informática.
• Conformar y capacitar al staff de seguridad
  informática

31
Controles Básicos de Seguridad Informática
C. Resguardos, contratos y convenios

• Manejar contratos internos de confidencialidad
  para todo el personal.
• Incluir en contratos con proveedores y/o
  servicios profesionales,cláusulas de
  confidencialidad y propiedad de la información.
• Realizar todos los resguardos necesarios que
  aseguren los activos informáticos.

32
Controles Básicos de Seguridad Informática
D. Auditoria de seguridad informática, revisiones
y administración de riesgos

• Definir principios para realizar auditorías y
  revisiones de seguridad informática.
• Coordinarse con el área de auditoría en
  informática para realizar revisiones (socios del
  control).
• Desarrollar todo un programa para la
  administración de riesgos.
• Formalizar la generación y tratamiento de
  reportes de pérdidas y análisis de riesgos.

33
Controles Básicos de Seguridad Informática
E. Seguridad física

• Establecer políticas y procedimientos sobre todos
  los aspectos de seguridad física de los recursos
  informáticos (ubicación, construcción, acceso
  físico, soporte ambiental, etcétera)
• Definir e implementar mecanismos de respaldos de
  información.
• Definir controles de acceso físico y cerraduras,
  medios intercambiables y tecnología portátil.

34
Controles Básicos de Seguridad Informática
F. Seguridad en redes y comunicaciones

• Preservar la confidencialidad de los datos que
  pasan a través de cualquier canal de
  comunicación.
• Asegurar que el mensaje permanezca inalterado
  durante su transmisión.
• Verificar que existan los controles para probar
  que un mensaje transmitido ha recibido
  exitosamente.
• Control de acceso a los componentes y recursos de
  la red.
• En general los controles fundamentales de
  seguridad son de integridad, de autenticidad, de
  confirmación, de confidencialidad, de auditoría y
  de control de acceso.

35
Controles Básicos de Seguridad Informática
G. Seguridad en sistemas distribuidos

• Establecimiento de políticas y procedimientos de
  seguridad en las conexiones y para compartir
  recursos.
• Implementar en la metodología de desarrollo de
  sistemas, controles a considerar en el diseño de
  aplicaciones distribuidas.
• Medidas de seguridad del servidor.
• Técnicas de autentificación cliente / servidor.
• Mecanismos de protección de datos distribuidos y
  recursos del sistema.

36
Controles Básicos de Seguridad Informática
H. Identificación y autentificación de usuarios

• Establecimiento de políticas y procedimientos
  para la administración y uso de claves de acceso.
• Administración de usuarios y cuentas
• Protección de password.
• Monitoreo de usuarios y detección de intrusos.
• Procedimientos de emergencia y excepción para
  identificación y autentificación.

37
Controles Básicos de Seguridad Informática
I. Bitácora de seguridad y monitoreo

• Registro y monitoreo de seguridad de eventos.
• Registro y monitoreo de seguridad de sistemas y
  aplicaciones.

J. PROTECCION CONTRA SOFTWARE NOCIVO

• Políticas y procedimientos preventivos y
  correctivos.
• Establecimiento y capacitación del uso de
  software antivirus.
• Revisiones periódicas y estadísticas de
  incidentes de software nocivo.

38
Controles Básicos de Seguridad Informática
K. RESPALDOS Y RECUPERACIÓN

• Planes de contingencia.
• Capacitación y prueba de planes de contingencia.
• Respaldo de datos y protección fuera de sitio.
• Respaldo de sistemas para servidores y estaciones
  de trabajo.
• Políticas y procedimientos para el manejo de
  respaldos de información.
• Prevención de emergencias.
• Equipo y servicios de recuperación en
  contingencias.
• Financiamiento de contingencias.

39
Controles Básicos de Seguridad Informática
L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE

• Políticas y procedimientos para la adquisición,
  instalación y uso del software.
• Supervisión continua del uso del software
  oficial.
• Inventario de licencias de software y control de
  versiones
• Protección de copias.
• Distribución de copias.

40
Controles Básicos de Seguridad Informática
M. DESARROLLO DE SISTEMAS Y ADQUISICION

• Metodologías y estándares de desarrollo
• Responsabilidades de los desarrolladores de
  sistemas.
• Diseño de estándares formales de seguridad.
• Procedimientos de control de desarrollo y
  cambios.
• Documentación del software desarrollado.
• Pruebas de sistemas y control de calidad.

41
Controles Básicos de Seguridad Informática
N. SEGURIDAD EN SISTEMAS DE VOZ

• Protección de comunicaciones de larga distancia.
• Protección de aparatos de correo de voz.
• Monitoreo de llamadas.

42
Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD

• Intentos de violación

• Claves de acceso.
• Uso de aplicaciones.
• Ejecución de procesos.
• Acceso a datos y recursos de alto riesgo.

43
Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD

• Bloqueo de cuentas de usuarios.
• Afectación de la disponibilidad de información o
  recursos de cómputo
• Cambios de atributos de seguridad no autorizados.
• Uso indebido de identificadores de usuarios y
  claves de acceso.
• Acceso de usuarios temporales.
• Actualización de información fuera del proceso de
  las aplicaciones.
• Ejecución de rutinas y comandos de alto riesgo.

44
Controles Básicos de Seguridad Informática
P. MANEJO DE INFORMACIÓN

• Clasificación de la información de acuerdo con el
  grado de riesgo.
• Identificar y manejar la información de acuerdo
  con su grado de riesgo.
• Procedimientos que disminuyan el riesgo de la
  información que se maneja en forma verbal,
  escrita o grabada.
• Capacitación al personal para un manejo adecuado
  de la información.

45
Responsabilidad en el Manejo de la Información
Autoridad que delega la organización para el
manejo de la información.

PROPIETARIO
Utiliza la información para fines propios de su
función.
Responsable del almacenamiento y disponibilidad
de la información
CUSTODIO
USUARIO
46
Atributos de la Información
1. Asegura el acceso a personal autorizado de
acuerdo a funciones y responsabilidades.
1. CONFIDENCIALIDAD
5 MONITOREO
4 AUDITABILIDAD
2. Certifica que la información es genuina,
completa y exacta.
3. Asegura la continuidad y oportunidad en el
otorgamiento del SERVICIO.
2. INTEGRIDAD
4. Permite rastrear y registrar los eventos
ocurridos.
5. Registro de eventos fuera de parámetros
permitidos.
3. DISPONIBILIDAD
6. Manejo y control de los recursos. Permite
rastrear y registrar los eventos ocurridos.
47
Diseño de la seguridad
El ingeniero en informática debe contemplar en el
análisis y diseño del sistema de computo
procedimientos que eviten fallas, accidentes,
acciones que dañen a la información y al mismo
software, pasos a seguir en caso de existir
problemas, etc. Algunas consideraciones pueden
ser

• Definir los elementos que requieren seguridad,
  (datos, archivos, etc.)
• Definir los elementos que pueden poner en peligro
  la seguridad.
• Definir los elementos y procedimientos que
  ayudarán a establecer la seguridad.
• Definir las políticas y procedimientos que
  sostendrán dicha seguridad.

48
Diseño de la seguridad

• Elaborar una lista de las medidas preventivas y
  correctivas en caso de desastre, señalando cada
  actividad con una prioridad.
• Generar políticas de seguridad para la
  información.
• Organizar y asignar responsabilidades para
  establecer la seguridad.
• Obtener los elementos técnicos que apoyen a la
  generación de la seguridad de la información.
• Generar procedimientos computacionales y
  administrativos que establezcan seguridad física
  y contra catástrofes.
• Generar o contratar productos de seguridad para
  el hardware, software y las comunicaciones.

49
Diseño de la seguridad

• Efectuar pláticas con el usuario sobre la
  seguridad. En estas pláticas es importante
  establecer la importancia y responsabilidad del
  usuario con relación a mantener la seguridad del
  sistema de computo.
• Efectuar prácticas con el cliente sobre
  seguridad.
• Contratar pólizas de seguros y contra desastres.
• Efectuar auditorias periódicas y eventuales al
  sistema de cómputo una vez que esta instalado
  para determinar el nivel de seguridad existente.
• El implantar seguridad para los sistemas de
  cómputo puede reducir la flexibilidad pero no
  debe reducir la eficiencia.

50
Ejemplos de medidas de seguridad para el manejo
de la información
51
Diseño de la seguridad

• Por último realizar una lista de los datos,
  archivos, accesos, procesos, áreas, etc. que se
  debe establecer seguridad y el grado de seguridad
  requerida.

Matriz de consideraciones para la seguridad en el
sistema de cómputo
Nivel de seguridad 1 Alta 2 - Media 3
Mínima 4 Sin seguridad
Elemento(s) a establecer seguridad (datos, archivos, procesos, etc.) Nivel de seguridad Especificación de consideraciones y procesos de seguridad
------- ---- --------
------- ---- -------
------ ---- ------
52

• Administración de la seguridad
• Esta debe de contemplar el
• Confirmar la existencia de una función
  responsable de la seguridad.
• Decretar políticas y procedimientos aplicados a
  la utilización de los equipos de cómputo y al
  aprovechamiento de los bienes y sistemas
  informáticos.

53

• Actividades una vez establecida la seguridad
• La elaboración de planes de trabajo, de
  asignación de actividades, seguimiento y revisión
  periódica de documentación y de bitácoras.
• Revisión de las políticas creadas de la
  metodología para el análisis de sistemas.
• Estandarizar interfaces, funciones de
  programación y uniformizar los sistemas.
• Elaborar y revisar constantemente bitácoras de
  procesos ejecutados, de requerimientos, de
  errores en la implantación y los planes y
  programas bimestrales y anuales de los procesos
  que se van a ejecutar.

54
Costo de seguridad Una vez que Usted ha
determinado el nivel de seguridad que debe
incluir su sistema de computo. Paso 1 -
Enlistará los requerimientos de seguridad y si es
necesario actualizará y/o añadirá a los
requerimientos de generales y los requerimientos
funcionales y no funcionales los elementos de
seguridad. Paso 2 Estimará el costo de la
seguridad, efectuando bench mark y eligiendo la
mejor opción para el sistema de computo. Paso 3
Se agregarán los costos de seguridad al software
de aplicación y a los costos técnicos de la
operación