Seguridad De La información
Click here to load reader
-
Upload
liliana-perez-barajas -
Category
Documents
-
view
1.165 -
download
0
Transcript of Seguridad De La información
SEGURIDAD DE LA INFORMACION
Jorge A. Rojas HernándezLiliana Pérez Barajas
Ingeniería de Sistemas IIIDatos
F.U.S.M
Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.
CONCEPCION DE LA SEGURIDAD DE LA INFORMACIÓN
La información es poder, y según las posibilidades estratégicas que ofrece tener a acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones.
Seguridad: Es una forma de protección contra los riesgos.
Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. La confidencialidad es el acceso a la información únicamente por personas que cuenten con la debida autorización.
CONFIDENCIALIDAD
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
INTEGRIDAD
Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que lo requieran.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad informativa del negocio.
DISPONIBILIDAD
Es la propiedad que me permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.
AUTENTICACIÓN Ó AUTENTIFICACIÓN
No Repudio
Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está estandarizado en la ISO-7498-2
Protocolos de Seguridad de la Información
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad, autenticación y el no repudio de la información. Se componen de:
Criptografía (Cifrado de datos).
Lógica (Estructura y secuencia).
Autenticación.
SERVICIOS DE SEGURIDAD
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
PLANIFICACIÓN DE LA SEGURIDAD
Creación de un Plan de respuesta a incidentes
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Acción inmediata para detener o minimizar el incidente
Investigación del incidente
Restauración de los recursos afectados
Reporte del incidente a los canales apropiados
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)
Una estrategia legal revisada y aprobada
Soporte financiero de la compañía
Soporte ejecutivo de la gerencia superior
Un plan de acción factible y probado
Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo
El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos identificado, priorizados y analizados, a través de acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo:
EvitarReducirRetener, Asumir o Aceptar el riesgoTransferir.
MANEJO DE RIESGOS
El mejor en soluciones de su clase permite una respuesta rápida a las amenazas emergentes, tales como:
Malware propagación por e-mail y Spam.
La propagación de malware y botnets.
Los ataques de phishing alojados en sitios web.
Los ataques contra el aumento de lenguaje de marcado extensible (XML) de tráfico, arquitectura orientada a servicios (SOA) y Web Services.
Los delitos cometidos mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son:
Fraudes
Falsificación
Venta de información
MEDIOS DE TRANSMISION DE ATAQUES A LOS SISTEMAS DE SEGURIDAD
Un hackerUn crackerUn lammer Un copyhacher' Un "bucanero" Un phreaker Un newbie o "novato de red" Un script kiddie o skid kiddieUn tonto o descuidado
ACTORES QUE AMENAZAN LA
SEGURIDAD
Las principales tecnologías referentes a la seguridad de la información en informática son:
Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto
TECNOLOGÍAS
ISO/IEC 27000-series ISO/IEC 27001 ISO/IEC 17799
Otros estándares relacionados
COBIT ISACA ITIL
ESTÁNDARES DE SEGURIDAD DE LA
INFORMACIÓN
CISM - CISM Certificaciones: Certified Information Security Manager
CISSP - CISSP Certificaciones: Security Professional Certification
GIAC - GIAC Certificaciones: Global Information Assurance Certification
CERTIFICACIONES
Certificaciones independientes en seguridad de la información:
CISA- Certified Information Systems Auditor, ISACA
CISM- Certified Information Security Manager, ISACA
Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
CISSP - Certified Information Systems Security Professional, ISC2
SECURITY+, COMPTia - Computing Technology Industry Association
CEH - Certified Ethical Hacker
PCI DSS - PCI Data Security Standard
¡GRACIAS!