martes, 15 de marzo de 2016

1. PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA



¿Qué se entiende por seguridad informática? 

Podemos definir la seguridad informática como cualquier medida, tanto lógica como física, que impida la ejecución de operaciones son autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso a usuarios autorizados al sistema.
Los aspectos o cuestiones relacionados cuando se habla de seguridad informática son:
  • Cumplimiento de las regularizaciones legales, aplicables a cada sector(Ley de protección de datos 1999, Ley de propiedad intelectual 1996 ,Ley de correo electrónico 2002 (En España)).
  • Control en el acceso de los servicios ofrecidos, y la información guardada con un sistema informático.
  • Control en el acceso y utilización de ficheros protegido por la ley.
  • Identificación de los autores de la información o de los mensajes.
Registro del uso de los servicios de un sistema informático.


Por su parte la norma ISO 7498 ((Normas ISO (normas de estandarización a nivel internacional de calidad)) define la seguridad de la informática como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos.
La seguridad de un sistema informático depende de varios factores:
  • La sensibilización de los directivos y responsables de la organización.
  • Conocimientos capacidades e implicación de los responsables del sistema informático.
  • La formación y responsabilidad de todos los usuarios del sistema.
  • La correcta instalación, configuración y mantenimiento de equipos.
  • La limitación de la asignación de los permisos y privilegios de los usuarios, utilizando el denominado “mínimos privilegios”
  • Mantenernos al día con el HW y SW según indicaciones del fabricante.
  • Contemplar no solo la seguridad contra amenazas del exterior sino también las amenazas procedentes del interior, principio de defensa en profundidad*.
Adaptación de los objetivos de seguridad a las necesidades reales de la empresa. 


Objetivos de la seguridad informática
Podemos destacar 4:
  • Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas.
  • Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
  • Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.
  • Cumplir con el marco legal y los requisitos impuestos en el contrato con los clientes.
Para cumplir estos objetivos se deben contemplar cuatro planes de actuación:
  • Plano técnico: tanto a nivel físico como lógico.
  • Plano legal: lo que obliguen las leyes.
  • Plano humano: sensibilización y formación y empleados  definiendo funciones y obligaciones del personal. 
  •  Plan organizativo: definición e implantación de políticas de seguridad, planes, normas, procedimientos y buenas prácticas de actuación.

PRINCIPIO DE DEFENSA EN PROFUNDIDAD
Consiste en el diseño e implantación de varios niveles de seguridad dentro de un sistema informático dentro de una organización. 




  • Seguridad perimetral: corresponde a la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles
    Ejemplo: camaras de videovigilancia en un CPD
  • Segmentación de redes: consiste en dividir una red en subredes para poder aumentar el número de ordenadores conectados a ella y así aumentar el rendimiento, tomando en cuenta que existe una única topología, un mismo protocolo de comunicación y un solo entorno de trabajo..Ejemplo: en un colegio cada aula con equipos pertenece a una red.
  • Configuración robusta de equipos: Consiste en preparar adecuadamente un equipo acorde a las necesidades y datos a los que tiene acceso.Ejemplo: en el caso de un puesto de trabajo protegido por un cortafuegos y un antivirus contra los accesos no autorizados provenientes de Internet, el antivirus constituye la segunda barrera frente a un intento de colocar un código malicioso por intrusión, pero se transforma en la primera barrera si el vector utilizado es el correo electrónico, puesto que el mensaje de correo electrónico es autorizado por el cortafuegos. Efectivamente, en el marco de la seguridad informática, los medios de protección (en este caso, el cortafuegos) son más un filtro que verdaderas barreras.
  • Gestión de usuarios: Trata de proporccionar a los usuarios unicamente los privilegios y el acceso a datos sensibles que necesiten.Ejemplo: Otorgación de minimos preivilegios a un usuario final.
  • Encriptación de datos sensibles: Es el proceso mediante el cual cierta información o texto sin formato es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros.Ejemplo: Encriptación de los datos de financiación y desarrollo de una empresa mediante un software de encriptación en el servidor que contenga dichos datos.

  
Servicios de seguridad de la información
Serie de servicios que permite que los procesos de seguridad puedan funcionar:
  • Confidencialidad: mediante este servicio se garantiza que cada mensaje transmitido o almacenado solo podrá ser leído por su legítimo destinatario.
  • Autenticación: garantiza que la identidad el creador de un mensaje o documento es legítima.
  • Integridad: se encarga de garantizar que el mensaje o fichero no ha sido modificado durante su transmisión.
  • No repudiación: consiste en implementar un mecanismo probatorio que permita demostrar su envío para que más tarde no pueda negar el envío.
  •  Disponibilidad: la disponibilidad del sistema informático es una cuestión de vital importancia ya que el sistema debe de ser robusto para garantizar su correcto funcionamiento y pueda estar a disposición de los usuarios.
  •  Autorización: este servicio pretende controlar el acceso de los usuarios.
  •  Auditabilidad/trazabilidad: permite registrar y monitorizar la ubicación de los distintos recursos del sistema.
  • Reclamación de origen: se permite probar quien es el creador de un determinado mensaje o documento.
  • Reclamación de propiedad: este servicio permite probar que un determinado documento o contenido digital está protegido por derechos de autor.
  • Anonimato en el uso de los servicios: También, a veces es conveniente garantizar el anonimato de los usuarios que acceden a los recursos.
  • Protección a la replica: servicio el cual pretende proteger los recursos y/o servicios de ataques de repetición o por fuerza bruta.
  • Confirmación de la prestación de un servicio: este servicio pretende confirmar/balizar la realización de un servicio mediante algún tipo de notificación.
  • Referencia temporal.
  • Certificación mediante terceros de confianza (ejemplo: paypal) tercero con confianza en el mercado.

Gestión de la seguridad de la información

Podemos definir el sistema de gestión de la seguridad de la información (SGSI) como aquella parte del sistema general que comprende la política, la estructura organizativa, los procesos, los procedimientos y los recursos necesarios para implantar la gestión de seguridad de la información  en una organización.


Metodología PDCA:

Es una metodología de trabajo
  • Plan: selección y definición de medidas y procedimientos
  • Do: implantación de medidas y procedimientos
  • Check: comprobación y verificación de las medidas implantadas
  • Act: actuación para corregir las deficiencias detectadas

Análisis de riesgo (primero a realizar) después se utiliza la metodología PDCA
SGSI segun la metodología PDCA:



  • Personas:sensibilización y formación
    • Obligaciones y responsabilidad del personal.
    • Control y supervisión.
    • Colectivos a considerar.
  • Legislación
    • Cumplimiento y adaptación a la legislación vigente.
  • Tecnología:
    • Selección
    • Instalación
    • Configuración
    • Actualización
    • Criptografía
    • Estandarización de productos
  • Organización
    • Políticas
    • Normas
    • Procedimientos
    • Plan de contingencia y respuesta a incidentes
    • Relaciones con terceros
Niveles de madurez en gestión de la seguridad dela información:
  • 1ª etapa. Implantación de medidas básicas de seguridad (medidas de sentido común): copias de seguridad y control de acceso.
  • 2ª atapa. Cumplimiento de la legislación vigente.
  • 3ª etapa. Gestión global de la seguridad de la información.
    • Definición de la política de la seguridad
    • Implantación de planes y procedimientos de seguridad
    •  Análisis y gestión de riesgos 
    •   Definición de plan de respuesta de incidentes y de continuidad del negocio.
  • 4ª etapa. Certificación de la gestión de la seguridad (verificable por terceros).
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)