Embed Size (px)
DESCRIPTION
Presentación para la clase de Seguridad de Sistemas y Redes.
Citation preview
Seguridad de Sistemas y Redes Universidad Centroamericana, Managua, Nicaragua
Según la RAE: 12. f. Orientaciones o directrices que rigen la
actuación de una persona o entidad en un asunto o campo determinado.
Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información.
Forma parte de su política general y, por tanto, ha de ser aprobada por la dirección.
(Aguilera López)
El objetivo principal de este documento es concienciar al personal de una organización (y en especial a los involucrados en el sistema de información) en la necesidad de conocer los principios de seguridad y las normas que ayudan a cumplir los objetivos de ésta.
Se redacta de forma clara y precisa para que sea entendida por todo el personal.
No todas las políticas son iguales, dependen siempre del giro de negocio de la organización.
Existen estándares por países y por áreas (gobierno, medicina, militar, etc.).
La ISO (International Organization for Standardization) define algunas normas de carácter internacional.
ISO 7498-2:1989 Information processing systems -- Open Systems Interconnection
Contendrá los objetivos de la empresa en materia de seguridad del sistema de información.
Estos objetivos se engloban en cuatro grupos:
•Necesidades de seguridad.
•Riesgos que amenazan al sistema.
•Evaluar impactos ante un ataque. Identificar
•Medidas de seguridad para afrontar riesgos de activos o grupo de activos. Relacionar
•Perspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentos. Proporcionar
•Vulnerabilidades del sistema de información.
•Controlar los fallos producidos. Detectar
La definición del plan de contingencias es uno de los resultados y parte de la política de seguridad.
Esta norma define una política de autorización genérica, la cual puede formularse de la siguiente forma:
“La información no puede darse, ni puede permitirse el acceso a ella, ni se puede permitir que sea inferida, ni se puede utilizar ningún recurso por parte de personas o entidades que no están autorizadas de forma apropiada.”
Esta ISO constituye una base posible para políticas mas detalladas. No cubre la disponibilidad (Ejemplo, cuestiones de DDOS)
Distingue dos tipos de políticas de seguridad:
Políticas basadas en identidad:
Determinación del acceso y uso de los recursos en base a las identidades de los usuarios y recursos.
Políticas basadas en reglas:
El acceso a los recursos se controla a través de reglas globales impuestas a todos los usuarios, por ejemplo, utilizando etiquetas de seguridad.
Define cinco categorías principales de servicios de seguridad:
Autenticación, tanto de entidades como de origen.
Control de acceso.
Confidencialidad de los datos.
Integridad de los datos.
No repudio
Es una análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades.
Su objetivo es verificar que se cumpla la política de seguridad.
Proporciona una imagen real y actual del estado de seguridad del sistema de información.
Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente: Descripción y característica de los activos y
procesos analizados.
Análisis de las relaciones y dependencias entre activos o en el proceso de la información.
Relación y evaluación de las vulnerabilidades detectadas en cada activo o subconjunto de activo y proceso.
Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente:
Verificación del cumplimiento de la normativa en el ámbito de seguridad.
Propuesta de medidas preventivas y de corrección.
Para evaluar la seguridad de un sistema se necesitan de herramientas de análisis tales como:
Manuales (activos, procesos, mediciones, entrevistas, cuestionarios, cálculos, pruebas).
Software Específico para Auditorías (Computer Assited Audit Techniques, CAAT).
La auditoría puede ser total, en todo el SI, o parcial, sobre determinados activos o procesos.
La auditoría de un sistema de información puede realizarse:
Por personal capacitado perteneciente a la propia empresa.
Por una empresa externa.
Instrumento de gestión que contiene las medidas (tecnológicas, humanas y de organización) que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que amenazan o recuperándolo tras un impacto.
Consta de tres subplanes independientes:
Plan de Respaldo: crear y conservar en un lugar seguro copias de seguridad de la información.
Plan de Emergencia: qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse.
Consta de tres subplanes independientes:
Plan de Recuperación: medidas que se aplicaran cuando se ha producido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible.
La elaboración de este plan no puede dejar por fuera a los miembros de la organización, el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto.
Aguilera López, P. (s.f.). Seguridad Informática. Madrid: Editex.
Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid: Paraninfo.
Gracias por su atención.
