SEGURIDAD EN INFORMATICA

Cristo Ramn Pantoja Algarn

cp.udc8@yahoo.es

SEGURIDAD EN INFORMATICA
Objetivos Concepto de seguridad en informtica Pasos para el diseo de la seguridad Componentes de la seguridad en los CIS Niveles de control de la seguridad en los CIS Principios, propiedades y funciones de la seguridad La seguridad informtica y las responsabilidades Funciones del control preventivo y detectivo Software de seguridad

SEGURIDAD EN INFORMATICA
Objetivos Proteger la integridad del ente econmico, los recursos tecnolgicos, las operaciones, los datos y los resultados del EDP, contra errores, daos fortuitos o provocados y desastres naturales. Utilizar la tecnologa de la informacin y las telecomunicaciones en un ambiente controlado basado en una cultura de control.

EL CONCEPTO DE SEGURIDAD
La seguridad en informtica no es aislada ni independiente, es parte integral del sistema de seguridad de la entidad. La seguridad en informtica incluye todas las medidas de proteccin que se establezcan para los componentes del CIS: Personas, datos/informacin, software, hardware, instalaciones y normware.

EL CONCEPTO DE SEGURIDAD
La seguridad en informtica debe construirse considerando integralmente soluciones tcnicas y administrativas. Riesgo Variables Control

Seguridad

DEFINICIONES
La seguridad es el resultado de dos procesos:

(1) Identificar y evaluar los riesgos

(2) Seleccionar e implantar los controles La seguridad en informtica es el resultado de las medidas de proteccin que se establecen sobre las causas de los riesgos a que estn expuestos los recursos empresariales y, especialmente, el CIS.

PASOS PARA EL DISEO DE LA SEGURIDAD

(1) Identificacin de los riesgos. 2) Evaluacin de su importancia y clasificacin de acuerdo con el potencial de prdidas que podran ocasionar a la entidad.

(3) Seleccin de los controles para eliminar las causas de los riesgos evitables y minimizar el efecto de los que no puedan evitarse.

COMPONENTES DE LA SEGURIDAD DEL CIS

1. Controles de seguridad fsica y procedimental

2. Controles de exactitud
3. Controles de confidencialidad 4. Controles de privacidad

1. Controles de seguridad fsica y procedimental Controles de seguridad fsica a) Acceso fsico controlado b) Localizacin fsica de las instalaciones c) Dispositivos de proteccin fsica

Controles de seguridad procedimental

Normas y procedimientos de control relacionados con el uso, custodia y disposicin de los recursos tecnolgicos.

2. Controles de exactitud
Para evitar errores e irregularidades en las entradas y los procesos.

3. Controles de confidencialidad
Aseguran que los datos que se procesan y la informacin, se reciban nicamente por las personas autorizadas.

4. Controles de privacidad
Mecanismos para proteger el derecho de las personas para determinar la informacin privada que puede proporcionarse a otros.

NIVELES DE CONTROL DE LA SEGURIDAD EN LOS CIS

1. Controles tcnicos construidos en el software 2. Controles de seguridad fsica 3. Controles administrativos 4. Controles del ambiente social y jurdico

1. Controles tcnicos construidos en el software Los controles incluidos en el software del sistema proporcionan la seguridad lgica y los del software aplicativo, la seguridad funcional. 2. Controles de seguridad fsica Refuerzan la seguridad lgica y estn constituidos por cerraduras en las puertas, guardias, alarmas y otros mecanismos para prevenir/impedir accesos no autorizados, como precauciones contra incendio, proteccin de software y datos almacenados en archivos magnticos.

3. Controles administrativos Se encargan de asegurar que el sistema se utilice correctamente. Incluyen las reas usuarias de los sistemas, los auditores y la administracin. 4. Controles del ambiente social y jurdico Tienen que ver con la privacidad, exactitud y confidencialidad de los datos en el ambiente social y jurdico en que operan los sistemas.

PRINCIPIOS BASICOS DE LA SEGURIDAD

1. Segregar funciones entre mltiples personas. 2. No permitir el acceso de una misma persona a combinaciones sensitivas de recursos.

3. Evitar que una persona est en posicin de ocultar activos y convertirlos en dinero.
4. Un mismo individuo no debe originar y aprobar transacciones.

PROPIEDADES DE LA SEGURIDAD DEL CIS

1. Integridad
Un sistema debe hacer lo que est previsto que haga y nada ms. 2. Auditabilidad Permite verificar las actividades del sistema en cualquier tiempo. 3. Controlabilidad Cada mdulo auditable debe ser controlable individualmente.

FUNCIONES DE LA SEGURIDAD DEL CIS

1. Identificacin
2. Autenticacin 3. Autorizacin

4. Delegacin
5. Registro de pistas de las transacciones (journaling) 6. Vigilancia

1. Identificacin Establece identificadores para cada usuario por medio de nombres, cdigos y otros mecanismos. 2. Autenticacin Es la validacin aceptable de la identidad. 3. Autorizacin Establece a quien le est permitido hacer algo a un recurso dado.

4. Delegacin
Establece quien y bajo qu circunstancias puede habilitar o cambiar las reglas de autorizacin. 5. Registro de pistas de las transacciones (journaling) Proporcionan evidencias escritas del uso de los recursos del sistema. 6. Vigilancia Alguien debe revisar los journals, logs y actividades de EDP y hacer que se tomen los correctivos.

RESPONSABLES DE LA SEGURIDAD
La alta direccin Debe proporcionar los recursos para que el CIS tenga un apropiado sistema de controles. Personal de sistemas Es responsable de disear, implantar y dar mantenimiento a los controles del CIS.

Usuarios de los sistemas Deben asumir el papel de propietarios de los datos/informacin procesados por el CIS. Auditora Evala y supervisa la capacidad de los controles para evitar errores e irregularidades.

FUNCIONES DEL CONTROL PREVENTIVO Y DETECTIVO

La auditora de sistemas cumple un papel preventivo, promoviendo el establecimiento de controles para eliminar los riegos y/o minimizar el impacto de los que no puedan eliminarse.
Aunque no es su objetivo principal, acta como un control detectivo, toda vez que los resultados de sus pruebas conducen a identificar errores, irregularidades y desviaciones con respecto a las polticas y estndares de la entidad. Colabora con la administracin en la determinacin de sus causas, efectos financieros y diseo de controles.

COSTO/BENEFICIO DE LA SEGURIDAD
La seguridad de una empresa empieza por sus polticas de administracin de personal. Los altos niveles de seguridad son relativamente costosos; mientras que las medidas de seguridad bsica cuestan muy poco. Todos los sistemas no necesitan el mismo grado de proteccin, por cual se recomienda asignar un presupuesto razonable para la seguridad.

ELEMENTOS DE UN ANALISIS DE SEGURIDAD DEL CIS

Un anlisis de seguridad en informtica involucra tres elementos: 1. Los componentes del sistema: Personas, datos, software, hardware, instalaciones y normware. 2 Los riesgos a que estn expuestos los recursos tecnolgicos. 3. Los controles que se establecen para eliminar o minimizar las causas de los riesgos.

SOFTWARE DE SEGURIDAD
Los sistemas operacionales incluyen niveles de proteccin bsicos que, en algunos casos, se consideran adecuados mientras que en otros no son suficientes. Cuando la seguridad de los S/O no es apropiada para salvaguardar los recursos/operaciones en una entidad, se debe recurrir a software de seguridad. Se consigue software de seguridad para todo sistema y/o ambiente tecnolgico, por lo cual se recomienda identificar claramente los recursos a proteger y el grado de proteccin necesario.

SEGURIDAD CONTRA AGENTES EXTERNOS

La entidad debe implantar las medidas necesarias para protegerse contra agentes externos, como desastres naturales, actos de sabotaje tanto fsicos como lgicos, virus, hackers, krackers y dems elementos que amenazan sus sistemas. En los intentos de sabotajes lgicos, los software de seguridad desempean un papel muy importante, toda vez que entre sus funciones y propsitos se encargan de impedir/bloquear los accesos de los intrusos.

MUCHAS GRACIAS