Concepto de seguridad
Seguridad: Definiciones
Sabemos que es hasta que alguien nos pide que lo definamos (Descartes) definamos
La informacin
ISO/IEC 17799
La informacin es un activo que tiene valor para la organizacin y requiere una proteccin adecuada. La seguridad de la informacin la protege de un amplio elenco de amenazas para
asegurar la continuidad del negocio, minimizar los daos a la organizacin maximizar el retorno de inversiones Y las oportunidades de negocios.
Debera protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
Autentificacin:
Dar y reconocer la autenticidad de ciertas informaciones del Dominio y/o la identidad de los actores y/o la autorizacin por parte de los autorizadores y la verificacin
Que los datos, las personas y programas son autnticos Verificar la identidad
Confidencialidad:
Condicin que asegura que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados Acceso slo entes autorizados
Disponibilidad:
Grado en el que un dato est en el lugar, momento y forma en que es requerido por el usuario autorizado Los bienes informticos pueden ser utilizado cundo y cmo lo requieran los usuarios autorizados Integridad + disponibilidad = confiabilidad
Integridad:
Condicin de seguridad que garantiza que la informacin es modificada, incluyendo su creacin y borrado, slo por personal autorizado Modificacin slo por personal autorizado
Control de acceso
Proteccin de los recursos del sistema contra accesos no autorizados
El uso de los recursos del sistema estn regulados conforme a una poltica de seguridad Solo es permitido a las entidades autorizadas( usuarios, programas, procesos, otros sistemas..), de acuerdo a la poltica de seguridad
No repudiacin
No poder negar la intervencin en una operacin o comunicacin
Auditora de actividades
Registro cronolgico de las actividades del sistema que permitan la reconstruccin y examen de los eventos ocurridos
Registro de eventos
QU ES SEGURIDAD
Evitar el ingreso de personal no autorizado Sobrevivir aunque algo ocurra Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado Adherirse a los acuerdos de licenciamiento de software Prevencin, Deteccin y Respuesta contra acciones no autorizadas
Niveles de seguridad
Seguro estaba y se muri Seguridad total
Queremos que no tenga xito ningn ataque Seguridad = Invulnerabilidad Imposible de alcanzar La seguridad total no existe
niveles de seguridad
Anlisis de riesgos
Objetivo:
Identificar los riesgos Cuantificar su impacto Evaluar el coste para mitigarlos Servir de gua para tomar decisiones
Definiciones
ACTIVO: Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. AMENAZA: Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos. VULNERABILIDAD: debilidades que pueden permitir que una amenaza se materialice RIESGO: Posibilidad de que una amenaza se materialice. IMPACTO: Consecuencia sobre un activo de la materializacin de una amenaza. CONTROL o SALVAGUARDA: Prctica, procedimiento o mecanismo que reduce el nivel de riesgo.
Modelo PDCA
Niveles
Todo el mundo tiene acceso a todo Dos niveles: privilegiado y normal Varios niveles de acceso
Medidas legales
Metodologas de seguridad
Normas de seguridad
Pregunta:
Hay alguna norma sobre seguridad de los sistemas de informacin para las Administraciones Pblicas?
Respuesta:
si
Magerit Mtrica V3
Seguridad MAGERIT:
definicin
EL Consejo Superior de Informtica ha elaborado: Metodologa de Anlisis y GEstin de los Riesgos de los sistemas de Informacin de las AdminisTraciones Pblicas MAGERIT
Seguridad MAGERIT:
Objetivos
Objetivos
Estudiar los riesgos que soporta un sistema de informacin y el entorno asociable con l Recomendar las medidas apropiadas que deberan adoptarse para conocer, prevenir, impedir, reducir o controlar los riesgos investigados
Un panel de herramientas de apoyo, con sus correspondientes Guas de Uso y con la Arquitectura de Informacin y Especificaciones de la Interfaz para el Intercambio de datos.
Magerit: tratamiento
Estndares ISO
ISO 17799/UNE 71501 ISO 27000
http://www.iso27000.es/index.html