SEGURIDAD BASICA
INSTITUTO TECNOLOGICO DE CIUDAD JIMENEZ
ELEMENTOS DE LA SEGURIDAD
Los componentes del sistema permanecen inalterados a menos que sean modificados por los
usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.
Privacidad
Los componentes del sistema son accesibles sólo por los usuarios autorizados.
Control
Solo los usuarios autorizados deciden cuando y como permitir el acceso a la información.
Autenticidad
Definir que la información requerida es válida y utilizable en tiempo, forma y distribución.
No Repudio
Evita que cualquier entidad que envió o recibió información alegue, que no lo hizo.
Auditorìa
Determinar qué, cuándo, cómo y quién realiza acciones sobre el sistema.
TIPOS DE RIESGOS Y AMENAZAS
RIESGOS INFORMATICOS
Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
¿QUE SON LOS RIESGOS?
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.
“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”.
VALORACIÓN DE RIESGOS
METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.
METODO B: Con base en juicios: Se toma decisión independiente con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.
• SISTEMA DE CALIFICACIONES
Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.
Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.
TIPOS DE RIESGOS
1. RIESGOS DE INTEGRIDAD
• Interface del usuario
• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información
2. RIESGOS DE RELACION
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.
3. RIESGOS DE ACCESO
• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico
4. RIESGOS DE UTILIDAD
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la información.
5. RIESGOS EN LA INFRAESTRUCTURA
• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio
6. RIESGOS DE SEGURIDAD GENERAL
• Riesgos de choque de eléctrico
• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos
Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos, a los cuales están sometidos los procesos y actividades que participan en el área informática; y por medio de procedimientos de control que puedan evaluar el desempeño del entorno informático.
¿QUE SON LOS RIESGOS?
El riesgo es una condición del mundo real, en el cual hay una exposición a la adversidad conformada por una combinación de circunstancias del entorno donde hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como atentados y amenazas a los sistemas de información.
“La probabilidad de que una amenaza se materialice, utilizando la vulnerabilidad existentes de un activo o grupos de activos, generándoles pérdidas o daños”.
VALORACIÓN DE RIESGOS
METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza las revisiones con base en una evaluación de los factores de riesgo que consideran variables como: Complejidad técnica, extensión del sistema, el cambio en el proceso y la materialización. Estas variables pueden estar ponderadas.
METODO B: Con base en juicios: Se toma decisión independiente con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.
• SISTEMA DE CALIFICACIONES
Priorización de las revisiones con base en una evaluación de factores de riesgo que tienen en cuenta variables (ponderadas o no) como: complejidad técnica, la extensión del sistema, el cambio en el proceso y la materialización.
Estas revisiones se programan de acuerdo con el plan de auditoría anual de auditoría de sistemas.
TIPOS DE RIESGOS
1. RIESGOS DE INTEGRIDAD
• Interface del usuario
• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información
2. RIESGOS DE RELACION
Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones.
3. RIESGOS DE ACCESO
• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico
4. RIESGOS DE UTILIDAD
• Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el procesamiento de la información.
5. RIESGOS EN LA INFRAESTRUCTURA
• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio
6. RIESGOS DE SEGURIDAD GENERAL
• Riesgos de choque de eléctrico
• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos
POLITICAS DE SEGURIDAD
POLITICAS DE SEGURIDAD INFORMATICA
Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.
Las seis caracteristicas fundamentales que debe respetar una politica de seguridad son:
DISPONIBILIDAD
Es necesario garantizar que los recursos del sistema se encuentren disponibles cuando el usuario necesite de ellos.
UTILIDAD
Los recursos del sistema y la informacion manejada en el mismo ha de ser util para alguna funcion.
INTEGRIDAD
La informacion del sistema ha de estar disponible tal y como se almaceno por una persona autorizada
AUTENTICIDAD
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
CONFIDENCIALIDAD
La informacion solo ha de estar disponible para agentes autorizados, especialmente su propietario
POSESION
Los propietarios de un sistema han de ser capaces de controlarlo en todo momento, perder este bien a favor de un usuario no autorizado compromete la seguridad del sistema hacia el resto de usuarios.
ANALISIS DE RIESGOS
Cuando hablamos de un analisis de riesgos estamos intentando analizar que cosas o objetos cumplen estas tres cuestiones:
¿Que queremos proteger?
¿Contra quien o que lo queremos proteger?
¿Como lo queremos proteger?
IDENTIFICACION DE AMENAZAS
Una vez hemos hecho un inventario de todo aquello que es necesario proteger tenemos que analizar las vulnerabilidades y las amenazas. Una vulnerabilidad puede ser un fallo en algun peldaño de nuestro sistema que desemboca en un agujero importante de seguridad en el sistemas. La amenaza seria aquel evento que pondria en jaque a nuestro sistema de seguridad pudiendolo burlar y causar por lo tanto perdidas y destrozos.
MEDIDAS DE PROTECCION
Tras identificar todos los recursos que deseamos proteger, asi como las posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar como proteger nuestros sistemas, sin ofrecer aun implementaciones concretas para protegerlos. Esto implica en primer lugar cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda convertir en realidad.
Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.
Las seis caracteristicas fundamentales que debe respetar una politica de seguridad son:
DISPONIBILIDAD
Es necesario garantizar que los recursos del sistema se encuentren disponibles cuando el usuario necesite de ellos.
UTILIDAD
Los recursos del sistema y la informacion manejada en el mismo ha de ser util para alguna funcion.
INTEGRIDAD
La informacion del sistema ha de estar disponible tal y como se almaceno por una persona autorizada
AUTENTICIDAD
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
CONFIDENCIALIDAD
La informacion solo ha de estar disponible para agentes autorizados, especialmente su propietario
POSESION
Los propietarios de un sistema han de ser capaces de controlarlo en todo momento, perder este bien a favor de un usuario no autorizado compromete la seguridad del sistema hacia el resto de usuarios.
ANALISIS DE RIESGOS
Cuando hablamos de un analisis de riesgos estamos intentando analizar que cosas o objetos cumplen estas tres cuestiones:
¿Que queremos proteger?
¿Contra quien o que lo queremos proteger?
¿Como lo queremos proteger?
IDENTIFICACION DE AMENAZAS
Una vez hemos hecho un inventario de todo aquello que es necesario proteger tenemos que analizar las vulnerabilidades y las amenazas. Una vulnerabilidad puede ser un fallo en algun peldaño de nuestro sistema que desemboca en un agujero importante de seguridad en el sistemas. La amenaza seria aquel evento que pondria en jaque a nuestro sistema de seguridad pudiendolo burlar y causar por lo tanto perdidas y destrozos.
MEDIDAS DE PROTECCION
Tras identificar todos los recursos que deseamos proteger, asi como las posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar como proteger nuestros sistemas, sin ofrecer aun implementaciones concretas para protegerlos. Esto implica en primer lugar cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda convertir en realidad.
MECANISMOS DE SEGURIDAD
SEGURIDAD FÍSICA
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". En un Data Center: Se refiere a los controles y mecanismos de seguridad dentro y alrededor, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
SEGURIDAD LÓGICA
Es la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. La seguridad lógica involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas.
CARACTERÍSTICAS DE LA SEGURIDAD LÓGICA
1. Restringir el acceso a los programas y archivos
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.
CONTROL DE ACCESO A LA RED
Los equipos suelen formar parte de una red de equipos. Una red permite que los equipos conectados intercambien información. Los equipos conectados a la red pueden acceder a datos y demás recursos de otros equipos de la red. Las redes de equipos crean un entorno informático potente y sofisticado. Sin embargo, las redes complican la seguridad de los equipos.
Por ejemplo, dentro de una red de equipos, los sistemas individuales permiten el uso compartido de información. El acceso no autorizado es un riesgo de seguridad. Debido a que muchas personas tienen acceso a una red, el acceso no autorizado es más probable, especialmente como consecuencia de errores del usuario. Un mal uso de contraseñas también puede originar el acceso no autorizado.
Autenticación y autorización para acceso remoto
La autenticación es una manera de restringir el acceso a usuarios específicos cuando acceden a un sistema remoto. La autenticación se puede configurar en el nivel del sistema y en el nivel de red. Después de que un usuario haya obtenido acceso a un sistema remoto, la autorización es una manera de limitar las operaciones que el usuario puede realizar. En la siguiente tabla, se muestran los servicios que proporcionan autenticación y autorización.
Concepto de seguridad perimetral
La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre estos sistemas cabe destacar los radares tácticos, videosensores, vallas sensorizadas, cables sensores, barreras de microondas e infrarrojos, concertinas, etc.
Objetivos de la seguridad perimetral
La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el establecimiento de recursos de segurización en el perímetro externo de la red y a diferentes niveles. Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
La seguridad perimetral:
No es un componente aislado: es una estrategia para proteger los recursos de una organización conectada a la red.
Es la realización práctica de la política de seguridad de una organización. Sin una política de seguridad, la seguridad perimetral no sirve de nada
Condiciona la credibilidad de una organización en Internet
Ejemplos de cometidos de la seguridad perimetral:
Rechazar conexiones a servicios comprometidos
Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos.
Proporcionar un único punto de interconexión con el exterior
Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet
Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet
Auditar el tráfico entre el exterior y el interior
Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos, etc.
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". En un Data Center: Se refiere a los controles y mecanismos de seguridad dentro y alrededor, así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
SEGURIDAD LÓGICA
Es la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. La seguridad lógica involucra todas aquellas medidas establecidas por la administración -usuarios y administradores de recursos- para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas.
CARACTERÍSTICAS DE LA SEGURIDAD LÓGICA
1. Restringir el acceso a los programas y archivos
2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en y por el procedimiento correcto.
4. Que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro.
CONTROL DE ACCESO A LA RED
Los equipos suelen formar parte de una red de equipos. Una red permite que los equipos conectados intercambien información. Los equipos conectados a la red pueden acceder a datos y demás recursos de otros equipos de la red. Las redes de equipos crean un entorno informático potente y sofisticado. Sin embargo, las redes complican la seguridad de los equipos.
Por ejemplo, dentro de una red de equipos, los sistemas individuales permiten el uso compartido de información. El acceso no autorizado es un riesgo de seguridad. Debido a que muchas personas tienen acceso a una red, el acceso no autorizado es más probable, especialmente como consecuencia de errores del usuario. Un mal uso de contraseñas también puede originar el acceso no autorizado.
Autenticación y autorización para acceso remoto
La autenticación es una manera de restringir el acceso a usuarios específicos cuando acceden a un sistema remoto. La autenticación se puede configurar en el nivel del sistema y en el nivel de red. Después de que un usuario haya obtenido acceso a un sistema remoto, la autorización es una manera de limitar las operaciones que el usuario puede realizar. En la siguiente tabla, se muestran los servicios que proporcionan autenticación y autorización.
Concepto de seguridad perimetral
La seguridad perimetral es un concepto emergente asume la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre estos sistemas cabe destacar los radares tácticos, videosensores, vallas sensorizadas, cables sensores, barreras de microondas e infrarrojos, concertinas, etc.
Objetivos de la seguridad perimetral
La seguridad perimetral es uno de los métodos posibles de defensa de una red, basado en el establecimiento de recursos de segurización en el perímetro externo de la red y a diferentes niveles. Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
La seguridad perimetral:
No es un componente aislado: es una estrategia para proteger los recursos de una organización conectada a la red.
Es la realización práctica de la política de seguridad de una organización. Sin una política de seguridad, la seguridad perimetral no sirve de nada
Condiciona la credibilidad de una organización en Internet
Ejemplos de cometidos de la seguridad perimetral:
Rechazar conexiones a servicios comprometidos
Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos.
Proporcionar un único punto de interconexión con el exterior
Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet
Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet
Auditar el tráfico entre el exterior y el interior
Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos, etc.
RESOLUCION DE PROBLEMAS
La seguridad de nuestros equipos informáticos es algo a lo que a veces no se presta atención. Sin embargo, no debemos tener una confianza desmedida en la tecnología. La prevención de los problemas informáticos es la clave del éxito. De las medidas de seguridad que impongamos en nuestra empresa depende que en el futuro tengamos que gastarnos menos en hardware, o no estén espiando nuestros datos, o quitándonos ancho de banda.
- Mal administracion de datos
- Falta de Respaldos
- Duplicacion de datos
- Fallas de suministro de Energia
- Ataques de virus recibidos por correo electronico
- Falta de sistemas de filtrado de usuarios
