Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
escribirse
13. No escribir las contraseas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso pblico (bibliotecas, cibercafs, telecentros, etc.) 14. Cambiar las contraseas por defecto proporcionadas por desarrolladores/fabricantes
Seguridad organizacional
Administrar la seguridad de la informacin dentro de la organizacin Se debe designar a un grupo de funcionarios la tarea de garantizar que el proceso de seguridad de la informacin se ejecute correctamente. Definir las responsabilidades de todos los funcionarios con respecto a la seguridad de la informacin. Se requiere autorizacin para utilizar informacin de la empresa fuera de las instalaciones. Los dispositivos de procesamiento de informacin personales dentro de las instalaciones de la empresa e podrn utilizar slo con autorizacin previa. El acceso de terceros a la infraestructura de la empresa (lgica y fsica) debe ser autorizado y documentado, con un compromiso de no causar dao al sistema.
Control de Recursos Brindar una proteccin apropiada a los recursos de la organizacin Cada recurso de la organizacin deber estar identificado y registrado. Cada recurso de la organizacin deber tener asignado un responsable. Seguridad del Personal
Asegurar que los usuarios estn al tanto de los riesgos de la seguridad de la informacin y sus consecuencias, controlando el riesgo de fallas humanas, fraude, o mal uso de los recursos Se considerarn las responsabilidades de cada funcionario en la fase de contratacin del personal, se considerar para ello el uso de acuerdos de confidencialidad como parte de los trminos y condiciones de empleo. Todos los empleados deben recibir capacitacin en los requisitos de seguridad de la organizacin, en sus responsabilidades legales y en el correcto uso de las instalaciones de procesamiento de informacin. Los incidentes (o aparentes incidentes) de seguridad debern ser reportados a travs de un proceso formalmente establecido tan pronto como sea detectado. Se establecer un proceso disciplinario formal para funcionarios que han comprometido intencionalmente la seguridad de la organizacin o que han violado los procedimientos o las polticas de seguridad.
Seguridad Fsica Prevenir el acceso no autorizado, dao e interferencia a las premisas del negocio y a la informacin.
Las instalaciones de procesamiento o almacenamiento de informacin crtica o sensible del negocio deben estar en reas seguras bajo controles de entrada. Protegindolas de acceso no autorizado, dao e interferencia. Los visitantes de reas seguras deben ser registrados y supervisados; y, contar con autorizacin para un propsito especfico. El acceso a informacin sensible de la organizacin, y a las instalaciones de procesamiento de informacin debe ser controlado, y llevado a cabo con autorizacin. Se implementar un sistema confiable de deteccin de intrusos en zonas seguras. La informacin de respaldo ser almacenada en otra localidad para limitar el dao causado por un desastre en el sitio principal. El personal no debe conocer los procesos que se realizan dentro de las zonas seguras, a menos que cuenten con una autorizacin basada en la necesidad de dicho conocimiento. Los equipos crticos deben estar protegidos fsicamente de amenazas de seguridad y riesgos ambientales, incluyendo controles para robo y fuego. Los equipos crticos deben estar protegidos de fallas de energa, para ello se consideran los siguientes controles:
Mltiples circuitos para evitar un apagado masivo en caso de sobrecarga de dicho circuito. Sistema de Suministro de energa ininterrumpido Conmutadores de emergencia Se debe almacenar los registros de los mantenimientos realizados Administracin de operaciones y comunicaciones Asegurar la operacin segura y correcta de las instalaciones de procesamiento de informacin Los procesos operativos importantes deben estar debidamente documentados y tratarse como informacin formal cuya edicin requiere autorizacin. Debe tomarse precauciones para evitar que los funcionarios, abusando de sus privilegios, puedan perpetrar fraudes o ataques sin ser detectados. Las demandas de capacidad deben ser monitoreadas, y los requerimientos futuros proyectados, para evitar la saturacin de los recursos y por tanto garantizar la continuidad normal de las operaciones. En caso de requerirse, la contratacin de mayor capacidad debe ser justificada con documentacin tcnica que demuestre que no afectar adversamente el funcionamiento de los sistemas existentes, y que demuestre que sea considerado su efecto en la seguridad global de la organizacin.
Se debe implementar controles para prevencin y deteccin de software malicioso, considerando los siguientes controles: Todo archivo obtenidos de fuentes externas debe ser revisado por el personal de sistemas. Uso de un sistema antivirus Revisin de archivos en correos electrnicos Se deben realizar copias de respaldo de informacin esencial de forma regular para lo que se ha considerado los siguientes controles: Identificar la informacin crtica. Almacenar esta informacin en un sitio remoto junto con procedimientos de restauracin.
Los administradores de red deben implementar controles para garantizar la seguridad en las redes de datos y la proteccin de los servicios de accesos no autorizados, para lo que se debe generar una poltica en relacin al uso de servicios de red incluyendo las redes y servicios de red permitidos, los procesos de autorizacin, y administracin de controles para proteger el acceso a las conexiones de red y a los servicios de red.
Control de Acceso Controlar el acceso a la informacin Se debe establecer reglas para el control de acceso Debe haber un mtodo de registro para obtener acceso a los recursos de la red, el cual establezca seguridades acordes a la aplicacin. Los usuarios deben acceder solamente a los servicios para los que han sido autorizados. Se requiere el desarrollo de polticas de control de acceso para redes compartidas que restringa la capacidad de conexin de los usuarios, para ello se consideran controles basados en firewall, uso del canal y enrutamiento de la red.
Fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc Personal: Acceso slo del personal autorizado. Evitar sobornos, etc. SO: Seguridad a nivel de SO SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.
Un SMBD cuenta con un subsistema de seguridad y autorizacin que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.
Identificar y autorizar a los usuarios: uso de cdigos de acceso y palabras claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc Autorizacin: Usar derechos de acceso dados por el terminal, por la operacin que puede realizar o por la hora del da. Uso de tcnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet. Diferentes tipos de cuentas: En especial del ABD con permisos para: creacin de cuentas, concesin y revocacin de privilegios y asignacin de los niveles de seguridad. Manejo de la tabla de usuarios con cdigo y contrasea, control de las operaciones efectuadas en cada sesin de trabajo por cada usuario y anotadas en la bitcora, lo cual facilita la auditora de la Base de Datos.
Los siguientes siete requisitos son esenciales para la seguridad de la base de datos:
La base de datos debe ser protegida contra el fuego, el robo y otras formas de destruccin. Los datos deben ser re construibles, porque por muchas precauciones que se tomen, siempre ocurren accidentes. Los datos deben poder ser sometidos a procesos de auditora. La falta de auditora en los sistemas de computacin ha permitido la comisin de grandes delitos. El sistema debe disearse a prueba de intromisiones. Los programadores, por ingeniosos que sean, no deben poder pasar por alto los controles. Ningn sistema puede evitar de manera absoluta las intromisiones malintencionadas, pero es posible hacer que resulte muy difcil eludir los controles. El sistema debe tener capacidad para verificar que sus acciones han sido autorizadas. Las acciones de los usuarios deben ser supervisadas, de modo tal que pueda descubrirse cualquier accin indebida o errnea
Un aspecto importante de la seguridad es el de impedir la prdida de informacin, la cual puede producirse por diversas causas: fenmenos naturales, guerras, errores de hardware o de software, o errores humanos. La solucin es una sola: mantener la informacin respaldada, de preferencia en un lugar lejano. Otro aspecto importante de la seguridad, es el que tiene que ver con el uso no autorizado de los recursos:
Lectura de datos.
Modificacin de datos. Destruccin de datos. Uso de recursos: ciclos de CPU, impresora, almacenamiento.