SEGURIDAD DE LA INFORMÁTICA

9-4-2016

Seguridad de la Informática Unidad 1

Actividad 1: Importancia de la protección de los sistemas

Reynaldo Esparza García (AL10506795)Universidad abierta y a distancia de mexicoINGENIERIA EN DESARROLLO DE SOFTWARE

SEGURIDAD DE LA INFORMÁTICAUnidad 1: Principios básicos de la seguridad informáticaActividad 1: Importancia de la protección de los sistemas

ContenidoIntroducción....................................................................................................................................................................1

Instrucciones...................................................................................................................................................................2

Desarrollo........................................................................................................................................................................4

Identificación de los recursos del sistema...................................................................................................................4

Análisis de riesgos........................................................................................................................................................5

Ejemplo de la tríada de la seguridad informática........................................................................................................6

Conclusiones....................................................................................................................................................................6

Fuente de consulta..........................................................................................................................................................7

Introducción

Muchas de las actividades que se realizan de forma cotidiana en los países desarrollados dependen en mayor o menor medida de sistemas y de redes informáticas. El espectacular crecimiento de Internet y de los servicios telemáticos ha contribuido a popularizar aún más el uso de la informática y de las redes de ordenadores.

Por otra parte, servicios críticos para una sociedad moderna, como podrían ser los servicios financieros, el control de la producción y suministro eléctrico, los medios de transporte, la sanidad, las redes de abastecimiento o la propia administración pública están soportados en su práctica totalidad por sistemas y redes informáticas.

Por todo ello, en la actualidad las actividades cotidianas de las empresas y de las distintas Administraciones Públicas, así como de los propios ciudadanos, requieren de correcto funcionamiento de los sistemas y redes informáticas que las soportan y, en especial de su seguridad.

De ahí la gran importancia que se debería conceder a todos los aspectos relacionados con la seguridad informática en una organización.


Instrucciones

En esta actividad identificarás los recursos o activos involucrados en un caso de sistema informático que deba protegerse, para evaluar los riesgos asociados a éste e identificar las medidas de seguridad pertinentes. Tu Docente en línea te hará llegar las instrucciones necesarias. Una vez que cuentes con ellas, sigue estos pasos:

1. Identifica los activos con los que cuenta el sistema informático que se protegerá.2. Analiza los riesgos asociados a cada situación presentada.3. Ejemplifica con base en un caso la tríada de la seguridad informática.4. Menciona el tipo de medida de seguridad para la protección de los activos, exponiendo:

a. Nivel de seguridad que se requiereb. Beneficios al aplicar las medidas de seguridad

5. Ejemplifica, con base en un caso, las actividades del área informática en relación con la seguridad de un sistema informático:a. Análisis y diseño de sistemasb. Programaciónc. Funcionamiento de sistemasd. Codificación de datose. Captura de datosf. Operación de sistemasg. Control de documentos fuenteh. Control de documentación de sistemasi. Control de inventarios y suministros informáticosj. Control de resultadosk. Mantenimiento de equipos

Ejemplo de planteamiento de caso.

El propósito básico del análisis de riesgo es identificar los activos involucrados en una organización, así como las metodologías y procesos para evaluar el riesgo asociado.

De acuerdo a esto, analiza un sencillo ejemplo del Sistema de Información siguiente:

La biblioteca de la UnADM cuenta con mobiliario, libros, revistas, videos y varios equipos de cómputo para consultas en internet, además de una computadora extra para consultar códigos, títulos, referencias y ubicación del material bibliográfico.

Entonces, ¿qué riesgos existen y qué medidas de seguridad pueden aplicarse a cada situación?

Derivado de una falla eléctrica,


La persona encargada de actualizar el sistema bibliográfico de la biblioteca borra accidentalmente parte de la información existente.

La computadora asignada para consultar el material bibliográfico tiene un virus. Por olvido, se quedan abiertas algunas ventanas de la biblioteca durante el periodo de lluvias, por lo que se

inunda el área de cómputo.

¿Qué medidas generales se pueden tomar para garantizar la integridad de la información?


Desarrollo

Identificación de los recursos del sistemaLos recursos son los activos a proteger del sistema informático de la organización, básicamente, los recursos son los siguientes:

• Recursos de hardware: Se conforman de servidores, estaciones de trabajo, computadoras personales y portátiles, impresoras, escáneres y otros periféricos.

• Recursos de software: Se conforman de sistemas operativos, herramientas ofimáticas, software de gestión, herramientas de programación, aplicaciones desarrolladas a medida, entre otros.

• Elementos de comunicaciones: Dispositivos de conectividad (hubs, switches, routers), armarios con paneles de conexión, cableado, puntos de acceso a la red, líneas de comunicación con el exterior, etcétera.

• Información: La información que se almacena, procesa y distribuye a través del sistema (activo de naturaleza intangible).

• Espacios físicos: Locales y oficinas donde se ubican los recursos físicos y desde los que acceden al sistema los usuarios finales.

• Usuarios: Personas que utilizan y se benefician directa o indirectamente del funcionamiento del sistema de información.

• Imagen y prestigio de la organización: La manera en la que los clientes perciben la organización, derivada del resultado de los objetivos establecidos.

En esta actividad podemos identificar los siguientes recursos:

Tipo de Recurso

Hardware Varios equipos de cómputo, computadora extra para para consulta de códigos.

Software No se especifica, pero cada computadora debe contar con su sistema operativo, paquete de ofimática, navegador web, antivirus.

Comunicaciones No se especifica, pero la biblioteca para poderse conectar a internet debe contar con un modem para el acceso a internet, cableado para conectar los diferentes equipos de cómputo, routers y/o switches para distribuir la señal de internet.

Información Base de datos de empleados, base de datos de usuarios y base de datos del acervo cultural (libros, revistas, etc.).

Espacios físicos Las instalaciones que ocupa la biblioteca.

Usuarios Alumnos, facilitadores y comunidad de la UnADM en general.


Análisis de riesgosEl riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización.

Se considera una amenaza a cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas materiales, financieras o de otro tipo a la organización. Las amenazas pueden tener la siguiente clasificación:

• Amenazas naturales (inundación, incendio, tormenta, fallo eléctrico, explosión, etc.)• Amenazas de agentes externos (virus, ataques criminales, sabotajes, robos, estafas, etc.)• Amenazas de agentes internos (empleados descuidado, errores en la utilización de los recursos)

Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización.

Un análisis de riesgo de seguridad es un procedimiento para estimar el riesgo de los activos de cómputo relacionados y la pérdida debido a la manifestación de las amenazas. El procedimiento primer determina el nivel de vulnerabilidad del activo tras identificar y evaluar el efecto de los controles colocados en el lugar. Un nivel de vulnerabilidad de activo para cierta amenaza se determina con controles que se encuentran en el lugar en el momento en el que se realiza el análisis del riesgo.

Un análisis de riesgos de seguridad define el ambiente actual y realiza acciones correctivas recomendadas si el riesgo residual no es aceptable; es un parte virtual de cualquier programa de manejo de riesgo de seguridad. El proceso de análisis de riesgo debe ser realizado con suficiente regularidad para asegurar que cada aproximación del manejo del riesgo de la organización sea respuesta real a los riesgos actuales asociados con la información de sus activos. El manejo de riesgos debe decir si acepta el riesgo residual o implementa las actividades recomendadas.

Para poder clasificar los acontecimientos de la actividad actual, correspondiente a la biblioteca de la UnADM, podemos utilizar la siguiente tabla:

Daño del acontecimiento Grado del daño Calcificación

Insignificante Sin impacto 0

Menor No se requiere un esfuerzo extra para reparar 1

Significante Daño tangible, esfuerzo extra requerido para reparar 2

Dañino Gasto significante requerido de recursos. Daño a la reputación y la confianza 3

Serio Pérdida de la conexión. Compromiso de grandes cantidades de datos o servicios 4

Grave Apagado permanente. Compromiso total 5


Incidentes Grado del daño Medidas de seguridad.

Derivado de una falla eléctrica Menor (1)Se debe contar con No brakes y UPS’s, que puedan

alimentar de corriente eléctrica en caso de presentarse una falla

La persona encargada de actualizar el sistema bibliográfico de la biblioteca borra accidentalmente parte de la información existente

Serio (4)Elaboración de planes de respaldo e identificación

del ciclo de vida de la información que determiné la necesidad periodica de los respaldos en los planes

La computadora asignada para consultar el material bibliográfico tiene un virus

Significante (2)

Instalar antivirus como medida preventiva, y además poder aislar ésta computadora, con la finalidad de que no contamine a otras y poder

limpiarla

Por olvido, se quedan abiertas algunas ventanas de la biblioteca durante el periodo de lluvias, por lo que se inunda el área de cómputo

Serio (4)

Planes de revisión de instalaciones, apoyadas por el área de seguridad del edificio, así como un seguro para los equipos, para que en caso de daño físico sean reemplazados sin desembolsar el costo total

del mismo

¿Qué medidas generales se pueden tomar para garantizar la integridad de la información?

<<

Que es integridad de la información:

Es la exactitud y coherencia de los datos almacenados, evidenciada por la ausencia de datos alterados entre dos actualizaciones de un mismo registro de datos. La integridad de los datos se establece en la etapa de diseño de una base de datos mediante la aplicación de reglas y procedimientos estándar, y se mantiene a través del uso de rutinas de validación y verificación de errores.

Las posibles causas de la falta de integridad de la información son:

1. Introducción, creación y/o adquisición de datos.2. Procesamiento y/o derivación de datos.3. Almacenamiento, replicación y distribución de datos.4. Archivado y recuperación de datos.5. Realización de copias de respaldo y restablecimiento de datos.6. Borrado, eliminación y destrucción de datos.

Las medidas que se deben tomar para garantizar que lo anterior no ocurra:

1. Contar con niveles de seguridad, definiendo los perfiles de usuarios que tendrán acceso a la información


2. El administrador de la base de datos será el responsable de realizar las copias de respaldo y a su vez el posible reestablecimiento de datos, en caso de que se requiera por una falla o pérdida de información, así como de adicionar nuevas colecciones a la biblioteca y las modificaciones necesarias.

3. Los estudiantes solo tendrán un perfil de consulta4. El borrado y eliminación de información quedará registrado en una tabla de auditoria, con la que pueda

rescatar la historia de quién, cuándo y qué fue lo que se eliminó

>>

Ejemplo de la tríada de la seguridad informática<<

Confidencialidad

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

En este caso de la biblioteca de la UNAD, los títulos disponibles son protegidos por derechos de autor, por lo que deberá contarse con un mecanismo para que no pueda obtenerse el material sin automáticamente colocar un comentario de que el material fue copiado de la fuente original, con lo que se garantiza se den los créditos al autor que se está consultando.

La pérdida de la confidencialidad de la información puede ser practicada varias formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.


Integridad

Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

Los perfiles de acceso para cada usuario, ayudarán a que la integridad de la biblioteca de la UNAD se mantenga intacta, debido a que solo la persona autorizada realizará las modificaciones requeridas y los demás usuarios solo podrán realizar la consulta de la misma.

La violación de integridad se presenta cuando un usuario, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la huella digital Es uno de los pilares fundamentales de la seguridad de la informacion

Disponibilidad

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

El mantener disponible en todo momento la Biblioteca UNAD, dependerá de los planes bien establecidos y las medidas que se tomen de presentarse los riesgos que se definieron, ya sea por un daño físico de los equipos, de un daño a la información ya sea intencional o no, siempre deberá contarse con medidas que garanticen se pueda reestablecer la información lo más pronto posible.

>>

Conclusiones

<<PENDIENTE>>


Fuente de consulta

• Gómez, V. A. (2011). Enciclopedia de la seguridad informática. 2ª Edición. México: Alfaomega-Ra-Ma.• Capacítate para el empleo - Técnico en seguridad informática (análisis de riesgos)

https://capacitateparaelempleo.org/pages.php?r=.tema&tagID=2841 https://cdn1.capacitateparaelempleo.org/assets/ugdeb6m.pdf

• UNAM, Facultad de Ingeniería, Laboratorio de Redes y Seguridad http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php

http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php

https://cdn1.capacitateparaelempleo.org/assets/ugdeb6m.pdf

https://capacitateparaelempleo.org/pages.php?r=.tema&tagID=2841

Documents

SEGURIDAD DE LA INFORMÁTICA