Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
INFORMATICA Y DE LA INFORMACION”
Módulo I:
INTRODUCCIÓN A LA SEGURIDAD
DE LA INFORMACIÓN
INFORMACIÓN
3
Información: Concepto
INTEGRIDAD:
Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este último
caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en
forma pertinente y correcta. La preservación de dicha propiedad garantiza la exactitud,
coherencia y totalidad de la información y los métodos de procesamiento.
Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados,
ya sean recursos de almacenamiento, procesamiento o distribución.
La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.
DISPONIBILIDAD (U OPERATIVIDAD):
Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a
hacerlo lo requiera. La preservación de dicha propiedad garantiza que la información estará
siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento,
por las personas o procesos autorizados.
Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene
operativos, cada vez que una entidad autorizada los necesite.
La preservación de esta propiedad requiere que la información se mantenga correctamente
almacenada, en los formatos preestablecidos para su recuperación en forma satisfactoria,
con el hardware que la contiene y el software correspondiente funcionando normalment66e.
Información: Propiedades
AUTENTICIDAD:
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservación de
esta propiedad permite asegurar el origen de la información, validando a la entidad
emisora de la misma, evitándose el acceso descontrolado a la información y a los
recursos, y la suplantación de identidades.
La aplicación mas evidente de la autenticación es en el control de accesos. En general,
el proceso de control de accesos consiste típicamente de dos etapas: identificación y
autenticación. En la identificación, la entidad (proceso o usuario) dice quién es, y en la
autenticación, la entidad demuestra ser quién dice ser. Hay varios métodos para
autenticar y se abordarán en el capítulo correspondiente.
identificar y autenticar no es lo mismo. Autenticación verifica Identificación.
CONTROL:
Propiedad que permite asegurar que sólo los usuarios autorizados pueden decidir
quién accede a la información, cuándo y cómo.
AUDITABILIDAD:
Propiedad que garantiza que todos los eventos de un sistema sean registrados para
posteriores controles o auditorias.
CONFIABILIDAD:
Propiedad que garantiza que la información generada sea adecuada para sustentar la
toma de decisiones y la ejecución de las misiones y funciones. Garantiza que la
información es válida y utilizable en tiempo, forma y distribución. 7
Información: Propiedades
PROTECCION A LA REPLICA (O A LA DUPLICACION):
Propiedad que garantiza que una transacción sólo puede
realizarse una vez, a menos que se especifique lo contrario. La
preservación de dicha propiedad garantiza que si un intruso
logra atrapar y copiar una transacción con el propósito de
reproducirla simulando ser el remitente original, no pueda
completar satisfactoriamente dichas transacciones.
NO REPUDIO:
Propiedad que garantiza que cualquier entidad que envió o
recibió información, no pueda alegar ante terceros, que no la
envió o no la recibió.
LEGALIDAD:
Propiedad que garantiza que la información se ajusta al
cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto la organización. 8
.
SEGURIDAD
DE LA
INFORMACIÓN
9
Seguridad de la Información: Concepto
Como cualquier otra temática de la seguridad en
tecnología, consiste en la detección y control de
riesgos.
EL BIEN PROTEGIDO ES LA
INFORMACION
11
Seguridad de la Información: Concepto
Conservando las propiedades de confidencialidad,
integridad y disponibilidad de los datos, se puede decir
que estos se mantienen seguros.
12
Seguridad de la Información: Definición
La SEGURIDAD DE LA INFORMACION trata de la
preservación de las propiedades de interés en cada
caso, fundamentalmente:
la confidencialidad,
la integridad y
la disponibilidad.
necesario mantenerlas.
Seguridad de la información: Necesidad
Necesitan algún grado de seguridad de la
información, personas y organizaciones que:
- manejen información,
-hagan uso de la tecnología informática y de
comunicaciones, y
-se interconecten a través de redes y sistemas no
confiables.
Internet.
Seguridad de la información: Necesidad
El gráfico siguiente muestra algunos activos que vulnerados
podrían tener impacto, en distintos tipos de organizaciones.
15
1
5
Seguridad de la información:
Datos de la Realidad
Estadística elaborado por la NSA y el FBI donde se detallan las pérdidas que tienen
las organizaciones ante distintos incidentes ocurridos por la falta de seguridad
de la información.
16
1
6
Lograr la Seguridad de la Información
La seguridad que puede lograrse solo por medios
técnicos es insuficiente: no tienen la posibilidad de
brindar cobertura a la totalidad de aspectos a tener
en cuenta, y aún en los casos donde las soluciones
puedan apoyarse en medios técnicos, estos son
insuficientes por si solos.
Enfoque adecuado: los medios técnicos deben
encontrarse en el marco de un Sistema
Integral de Gestión de Seguridad de la
Información (SGSI), al cuál complementan y
respaldan, y sin el cual no son satisfactorios.
Los medios técnicos son la herramienta con que se
implementan determinados procesos de seguridad
informática 17
.
AREAS DE LA
SEGURIDAD
DE LA
INFORMACIÓN
18
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN
Las normas, procedimientos y herramientas que se utilizan en
seguridad de la información se pueden clasificar en las
siguientes áreas, de acuerdo con el tipo de función que cumplen:
Seguridad Física
Seguridad Legal
19
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Organizativa (o Funcional o
Administrativa):
Asegura el cumplimiento de normas, estándares y
procedimientos físico-técnicos.
Seguridad Lógica (o Técnica):
Actúan directa o indirectamente sobre la información
procesada por los equipos.
Seguridad Física:
Actúan directamente sobre la parte tangible.
Seguridad Legal
Evita las violaciones a cualquier ley; regulación estatutaria,
reguladora o contractual; y cualquier requerimiento de
seguridad. 20
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN
ISO/IEC 27002:2005 (ex ISO/IEC 17799-2005)
7 Gestión de activos
1. Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada protección
de los activos organizacionales.
2. Clasificación de la información. Objetivo: Asegurar que la información reciba un nivel de
protección apropiado.
23
ISO/IEC 27002:2005: Dominios
8 Seguridad de recursos humanos
1. Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan
sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y
reducir el riesgo de robo, fraude y mal uso de los medios.
2. Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras
personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus
responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad
organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.
3. Terminación o cambio de empleo. Objetivo: Asegurar que los usuarios empleados,
contratistas y terceras personas salgan de la organización o cambien de empleo de una
manera ordenada.
15 Cumplimiento
1. Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a
cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier
requerimiento de seguridad.
2. Cumplimiento de las políticas y estándares de seguridad, y cumplimiento
técnico. Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y
estándares de seguridad organizacional.
3. Consideraciones de auditoria de los sistemas de información. Objetivo:
Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de
auditoria del sistema de información.
28
29
2
9
AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO
30
3
0
Normas ISO de Seguridad Informática
RECURSOS DE INFORMACION
a) Activos o recursos software: Todo programa de computador creado o adquirido por la organización.
Son recursos software los sistemas operativos y software del sistema de quipos en general
(computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades,
software de aplicación, suites ofimáticas, etc.
b) activos o recursos físicos: equipo de cómputo, de comunicación, medios removibles. Etc.
c) servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción,
iluminación, energía y aire acondicionado;
d) personal, y sus calificaciones, capacidades y experiencia;
e) intangibles, tales como la reputación y la imagen de la organización.
El inventariado de activos ayuda a asegurar que se realice una protección efectiva
33
3
de los mismos. El proceso de compilar un inventario de activos es un pre-requisito
3
importante de la gestión del riesgo.
SISTEMA DE INFORMACION
Es posible encontrar diversas formas de definir el concepto
tradicional de sistema de información. La siguiente es una
posible:
Sistema de Información se refiere a un conjunto de
Recursos de Tecnologías de la Información
independientes pero organizados para el manejo de la
información según determinados procedimientos,
tanto automatizados como manuales.
36
3
6
Ejemplo aspectos de la Seguridad Informática:
Seguridad en el Desarrollo
Inyección SQL: Autenticación de Usuario en una DB
SISTEMA DE GESTION DE
SEGURIDAD DE LA
INFORMACION
39
EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓN
El ciclo de vida de la seguridad de la información, consta
de las siguientes etapas:
43
4
3
SGSI
Planificar (Plan): Establecer el ISMS
Establecer las políticas, los objetivos, los procesos y procedimientos del
ISMS pertinentes a la gestión de riesgos y la mejora de la seguridad de
la información para entregar resultados de acuerdo con las políticas y
objetivos generales de la organización.
Hacer (Do): Implementar y operar el ISMS
Implementar y operar las políticas, controles, procesos y procedimientos
del ISMS.
Evaluar (Check): monitorear y examinar (revisar) el ISMS
Evaluar y, en cuando sea aplicable, medir el rendimiento de los procesos
encontraste con las políticas y los objetivos del ISMS y la experiencia
práctica, e informar los resultados a la gerencia para su examen.
Actualizar (Act): Mantener y mejorar el ISMS
Tomar acciones correctivas y preventivas, sobre la base de los resultados
de la auditoria interna del ISMS y del examen de la gestión o de otra
información relevante, para lograr la mejora continua del SGSI.
44
SGSI
45
4
5
SGSI
46
SGSI
47
SGSI
..
48
48
Gestión de la Seguridad
.
2) ASEGURAR
• Cortafuegos
• Software fiable
• IPsec
• PKI
5)GESTIONAR y 3) MONITORIZAR y
1) POLITICA de
MEJORAR REACCIONAR
SEGURIDAD
•Administración • IDS
de recursos
4) COMPROBAR
• Escaneo de vulnerabilidades 49
Modelo de Seguridad
50
50