Alumno: Rodríguez Cruz Jesús Humberto Principios de la seguridad informática Se puede definir a la seguridad informática como cualquier medida que impida que la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de los usuarios autorizados al sistema. Principio de defensa en profundidad Esto consiste en el diseño e implementación de varios niveles de seguridad dentro del sistema informático de la organización. Objetivos de la seguridad informática Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad. Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema. Limitar las pérdidas y conseguir la adecuada recuperación dl sistema en caso de un incidente de seguridad. Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Políticas, planes y procedimientos de seguridad. Políticas de seguridad: se define como una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieren. Un plan de seguridad es un conjunto de decisiones que define cursos de acción futuros, así como lo medios que se van a utilizar para conseguirlos. Un procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Estos permiten aplicar e implementar las políticas de seguridad que han sido aprobadas por la organización. Elementos de las políticas de seguridad Seguridad frente al personal Alta de empleados: El procedimiento de alta de nuevos empleados requiere prestar atención a aspectos como el adecuado cheque de referencias. Baja de empleados: Antes una baja de un empleado también debería quedar claramente definido, de tal modo que los responsables del sistema informático puedan proceder a la cancelación. Adquisición de productos: L a política de seguridad con la adquisición de productos tecnológicos necesarios para el desarrollo y el mantenimiento de la organización debe contemplar toda una serie de actividades ligadas a al proceso de compra.
Relación con proveedores
En relación con proveedores externos requiere contemplar aspectos como la negociación de los mínimos niveles d servicio y calidad en especial con aquellos proveedores relacionados con la informática. Seguridad física de las instalaciones Los locales donde se ubiquen los ordenadores que contienen o puedan contener a los ficheros y datos más sensibles de la organización deberán contar con los medios mínimos de seguridad que eviten los riesgos de indisponibilidad que pudieran producirse como consecuencia de incidencias fortuitas o intencionadas. Sistema de protección eléctrica Las directrices de seguridad relacionadas con la protección eléctrica de los equipos informáticos deberían definir los siguientes aspectos: Adecuada conexión de los equipos a la toma de tierra. Revisión de instalación eléctrica específica para el sistema informático. Eliminación de la electricidad estático en las salas donde se ubiquen los equipos más importantes, como los servidores. Filtrado de ruidos e interferencias electromagnéticas. Utilización de sistema de alimentación interrumpida. Control de nivel de emisiones electromagnéticas Todos los equipos informáticos y electrónicos emiten señales radioeléctricas que podrían revelar información de interés a aquellos usuarios con os medios para interceptar dichas señales. Vigilancia de la red y de los elementos de conectividad Los hubs, switches, routers o puntos de acceso inalámbricos, podrían facilitar el acceso la red a usuarios no autorizados si no se encuentran protegidos de forma adecuada. Configuración en el acceso y configuración de los servidores. Los servidores, debido a su importancia para el correcto funcionamiento de muchas aplicaciones y servicios de la red de la organización ya que suelen incorporar información sensible.