Anda di halaman 1dari 53

Evaluación de sistemas

de cómputo
Temas IX.
Seguridad Física y Lógica
Evaluación de selección

IX. Seguridad Física y lógica

 Definición de seguridad
 Antecedentes
 Objetivos de la seguridad
 Responsabilidad en el manejo de información
 Atributos de la información
 Principales funciones de la seguridad
 La información
 Controles básicos
 Diseño de seguridad
Definición Seguridad física y lógica

En algunos casos se requiere comprar


software, hardware y equipo de oficina
especializado para mantener la
seguridad lógica y física de los datos.
Esto genera un costo el cual se debe
calcular y contemplar en este análisis
Definición Seguridad física y lógica
La siguiente información no es exhaustiva, sólo pretende dar una idea
general de conceptos de seguridad.

La seguridad es la tranquilidad que se tiene de que nada malo va


a pasar.

Para lograr esta tranquilidad se deben establecer varios


mecanismos.

La seguridad física corresponde la implantación de mecanismo


que protegen los recursos materiales (edificios, equipo de
computo, personal, etc.)

La seguridad logia corresponde la implantación de mecanismos


que protegen los recursos no materiales como los datos, la
información, etc. La responsabilidad de esta seguridad recae
principalmente en el sistema operativo y en el software.
Definición
Seguridad
informática
La calidad de un sistema
Seguridad de computo involucra su
protección contra un sin
Calidad de seguro.
número de fallas y
Libre de todo daño. errores. Además de
Que no admite duda o error siniestros, robos y
Firme, estable. sabotajes.

Garantía que da una Nivel


persona a otra de que
Organizacional
cumplirá con algo. Unidad que define y
orienta políticas,
normas y
procedimientos
Definición de Seguridad

SEGURIDAD * SEGURIDAD CONTRA DESASTRE


POR
HARDWARE * SEGURIDAD CONTRA INTRUSOS

IDENTIFICADOR DEL USUARIO


* SEGURIDAD (PASSWORD)
PARA ACCESAR
SEGURIDAD
DE
DISPONIBILIDAD DE LOS ARCHIVOS
SOFTWARE * SEGURIDAD - COPIAS DE SEGURIDAD
EN LA - ARCHIVOS LOG
MEMORIA PRIVACIDAD DE LOS ARCHIVOS
Antecedentes
Seguridad de la Información = Protección de Activos
•Gente
Decisión •Datos
•Software
Información •Hardware

Mayor Mayor Mayor


Automatización Dependencia Riesgo
Antecedentes
La
Resultados de encuestas seguridad
en México

5% 5% 11%

79%

Mucho Mas o Menos No Conozco No Opinó

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000


Antecedentes ¿Cuál es el nivel de desarrollo

de estándares de seguridad

de informática en México?
Completamente
Desarrollados
0%

Se están
No Existen Desarrollando
47%
53%

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000


Antecedentes ¿Cuál es el grado de

formalización de la función

No de seguridad Informática?

Implementada

5%
Informal
Formal 47%

48%

FUENTE: PLAN DE DESARROLLO INFORMÁTICO 1995-2000


Ataques a la organización
Por Actos
externos
¿Quién fue?
24%
Ataques

Origen
Interno
76%
Es la Administración
y protección de los Seguridad Establece los
recursos cómputo controles para
disminuir los
Su objetivo es el riesgos
proteger el patrimonio
informático
Objetivos de la seguridad

Es la Administración
Establece los
y protección de los controles para
recursos cómputo disminuir los
riesgos

Su objetivo es el
proteger el patrimonio
informático
Objetivos de la seguridad

Es el de reducir el impacto de un fenómeno que pueda causar perdidas

económicas y que deberá encontrarse en posibilidades de recuperación

a un mínimo nivel aceptable, a un costo razonable y asegurando la

adecuada estabilización de la operatividad.


Objetivos de la seguridad

 Asegurar la integridad y exactitud de los datos.


 Proteger la confidencialidad y exactitud de los datos.
 Proteger y conservar los activos de la organización fuera
del alcance de riesgos, de desastres naturales o actos
mal intencionados.
 Asegurar la capacidad de supervivencia de la
organización ante eventos que pongan en peligro su
existencia.
 Proveer el ambiente que asegure el manejo adecuado de
los datos sustantivos.
Clasificación de la Información.

• PUBLICA
• INTERNA
• CONFIDENCIAL
POR NIVEL DE
CONFIDENCIALIDAD • RESTRINGIDA
• NO CRITICA
• NECESARIA
• VITAL
Clasificación de la Información.

PUBLICA INTERNA
Que puede circular fuera de la Circula dentro de la organización.
organización y que no Su divulgación, modificación o destrucción
necesita modificarse para no autorizada podría tener un impacto
ofrecerse a los clientes o significativo en la organización, en cualquier
accionistas. cliente o empleado. No requiere protección
Nivel de riesgo: ninguno especial a menos que se quieran prevenir
intentos externos de divulgación.
Ejemplo:
Nivel de riesgo: medio o bajo
Folletos publicitarios
Ejemplo:
Boletines de prensa
Manuales administrativos
Tipos de cambio
Memos entre oficinas
Tasas de interés
Reglamento interno de trabajo
Clasificación de la Información.
RESTRINGIDA
CONFIDENCIAL
Sirve a la organización para su
Se usa dentro de la posicionamiento en el mercado y solo
organización. Su divulgación, puede ser conocida por un grupo muy
modificación o destrucción no pequeño. Su divulgación, modificación o
autorizada podría afectar a la destrucción puede ocasionar perdidas
propia organización, clientes y económicas y poner en desventaja
empleados. competitiva a la organización.
Nivel de riesgo: medio o bajo Nivel de riesgo: alto
Ejemplo:
Ejemplo: Passwords para transferencia de
Registros de empleos dinero
Características de productos y/o
Planes de salarios servicios en desarrollo
Información de clientes Diseños de campañas publicitarias
Manuales de referencia al Información acerca de adquisiciones u
sistema y procedimientos otras actividades del
Mercado de capitales
Clasificación de la Información.

NO CRITICA
NECESARIA
Soporta servicios/procesos que pueden
ser interrumpidos por un periodo largo de Soporta servicios/procesos que
tiempo. pueden ser ejecutados por
medios manuales con dificultad,
La actualización de la información desde pero a un costo tolerable y por
el punto en que fue interrumpida puede un periodo largo de tiempo.
ser:
A. De bajo costo o sin costo.
La actualización de la
B. De bajo consumo de tiempo o información, una vez que se
sin gasto de tiempo. vuelve a condiciones normales
C. Una combinación de ambas. de operación, puede requerir
recursos considerables.

Nivel de riesgo: bajo Nivel de riesgo: bajo


Clasificación de la Información

Vital

Soporta servicio/procesos que pueden ser ejecutados por medios


manuales, o por periodos muy cortos de tiempo.
Puede existir una tolerancia intermedia de interrupción entre los
necesarios y los críticos.

Una suspensión corta de procesamiento puede ser tolerada, sin


embargo, aumentara considerablemente el esfuerzo que será
necesario para actualizar los datos desde el momento en que se
interrumpieron.

Nivel de riesgo: alto moderado


Medios y formas en que se maneja la información

GRABADA
-CINTAS ESCRITA
-CARTUCHOS -PAPEL
-DISQUETES -REPORTES
-COMPAC DISC -MICROFICHAS
-DISCOS DUROS -ACETATOS
-CASSETTES
-VIDEOCASSETTES

ORAL TECNOLOGIA
-CONFERENCIAS
PORTATIL
-JUNTAS -FAX
-EXPOSICIONES -FOTOCOPIADO
-REUNIONES -DIGITALIZADA
-VIA TELEFONICA -CELULARES
-PLATICA INFORMAL -BIPERS
Principales funciones de la seguridad
 Minimizar los riegos de quebrantos y fraudes.
 Proteger la información de acuerdo a su importancia y valor.
 Asegurar que siempre se incorporen en los proyectos y
procedimientos las normas, medidas y procedimientos de
prevención y seguridad.
 Investigar administrativamente hechos dolosos .
 Sancionar conforme a la normatividad interna y al marco
jurídico,las acciones dolosas y negligentes de su personal.
 Realizar diagnóstico de riesgos y proponer acciones de
solución.
Principales Funciones
 Identificar necesidades y problemática, que afecten de manera
general la seguridad de la información.
 Definir políticas y procedimientos generales de seguridad informática.
 Orientar y dar seguimiento a estrategias y planes de seguridad
 Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y
liberaciones, en forma conjunta con el auditor en informática (socios del
control).
 Concientizar y difundir los conceptos de seguridad, en toda la empresa.
 Crear un proceso de evaluación y justificación para todos los proyectos de
inversión de informática.
 Participar en la creación de los planes informáticos institucionales
mediante la revisión, adecuación y evaluación del uso de los recursos
tecnológicos requeridos por cada área.
Lineamientos para el desarrollo de la
función de seguridad en informática
• Definición de una política de seguridad
• Aspectos administrativos (pólizas de seguros)
• El control para mantenimiento preventivo y correctivo de los
equipos (contratos)
• Deben incluir todos los recursos informáticos, proteger
datos, equipo, tecnología y usuarios.
• Establecer una política que impulse al desarrollo de la
seguridad.
• Establecer un análisis costo-beneficio sobre controles de
seguridad antes de ser instalados.
Definición de Políticas de Seguridad
Estas deben contemplar
• La prevención del rezago administrativo en tiempo y costo por
el mal manejo de la tecnología de punta.
• Concientizar la necesidad permanente de aplicar la seguridad
en informática.
• Apoyarse en estándares nacionales e internacionales.
• Difundir formalmente los planes de seguridad en informática.
• Evaluar periódicamente el nivel de cumplimiento de la
ejecución.
• Actualizar de manera oportuna las políticas de seguridad
implantadas.
Tip´s para la Implementación del programa de
seguridad informática

 Nombrar una persona responsable del programa.

 Asegurarse de que los gerentes entiendan de que son


responsables de la protección de los activos de su
propia área.

 Desarrollar una estrategia.

 Anunciar el programa
Estrategia de Seguridad
Identificación Definición de Personalización Activación y
accesos y monitoreo de
de usuarios facultades de usuarios bitácoras

•Nombre. Acceso a : •De acuerdo a estándar •Seguimiento a


•No. Nómina. •Volúmenes.
definido. eventos
relevantes de
•Ubicación, ext. seguridad.
•Subvolúmenes
•Departamento.
•Sistema responsable. •Utilerías
•Ip/address. •Programas

Mantenimiento a
usuarios

•Bajas.
•Cambios.
•Modificaciones.
Controles básicos de seguridad informática

A. Politicas y concientización

Planear y desarrollar políticas, procedimientos,


estándares y lineamientos de seguridad
informática.
Establecer un programa de capacitación para dar
a conocer aspectos de seguridad informática.
Establecer y definir procedimientos para el manejo
de la información y un código de ética.
Obtener respaldo y soporte de la alta dirección y
de todos los niveles gerenciales.
Controles básicos de Seguridad Informática
 Apoyar el fortalecimiento de las medidas de seguridad en la
información a través del establecimiento de un programa de
concientización y sensibilización, que permita el conocimiento
y desarrollo de las actividades del personal de la empresa o
entidad.

 Lograr una cultura de seguridad de la información a nivel


corporativo que permita fortalecer la confidencialidad,
integridad, disponibilidad y auditabilidad de la información.

 Hacer del conocimiento del personal los medios y controles


que permitan por medio de su implantación una disminución de
los riesgos.
Controles básicos de seguridad informática
B. Responsabilidades de la organización

 Debe de establecerse la función de seguridad


informática corporativa.
 Deben de establecerse políticas y procedimientos
internos donde se definan los conceptos de
propietarios de la información y sus responsabilidades.
 Establecer coordinadores y administradores de
seguridad informática (custodios).
 Tener claramente identificados a todos los usuarios de
la información.
Controles Básicos de Seguridad Informática

Conjuntamente con el área de organización, incluir


en las descripciones de puestos, contratos de
trabajo conceptos de seguridad informática.
Establecer el comité directivo de seguridad
informática.
Conformar y capacitar al staff de seguridad
informática
Controles Básicos de Seguridad Informática

C. Resguardos, contratos y convenios

Manejar contratos internos de confidencialidad


para todo el personal.
Incluir en contratos con proveedores y/o servicios
profesionales,cláusulas de confidencialidad y
propiedad de la información.
Realizar todos los resguardos necesarios que
aseguren los activos informáticos.
Controles Básicos de Seguridad Informática
D. Auditoria de seguridad informática, revisiones y
administración de riesgos

 Definir principios para realizar auditorías y revisiones


de seguridad informática.
 Coordinarse con el área de auditoría en informática
para realizar revisiones (socios del control).
 Desarrollar todo un programa para la administración de
riesgos.
 Formalizar la generación y tratamiento de reportes de
pérdidas y análisis de riesgos.
Controles Básicos de Seguridad Informática

E. Seguridad física

 Establecer políticas y procedimientos sobre todos los


aspectos de seguridad física de los recursos
informáticos (ubicación, construcción, acceso físico,
soporte ambiental, etcétera)
 Definir e implementar mecanismos de respaldos de
información.
 Definir controles de acceso físico y cerraduras, medios
intercambiables y tecnología portátil.
Controles Básicos de Seguridad Informática
F. Seguridad en redes y comunicaciones

 Preservar la confidencialidad de los datos que pasan a


través de cualquier canal de comunicación.
 Asegurar que el mensaje permanezca inalterado durante su
transmisión.
 Verificar que existan los controles para probar que un
mensaje transmitido ha recibido exitosamente.
 Control de acceso a los componentes y recursos de la red.
 En general los controles fundamentales de seguridad son:
de integridad, de autenticidad, de confirmación, de
confidencialidad, de auditoría y de control de acceso.
Controles Básicos de Seguridad Informática
G. Seguridad en sistemas distribuidos

Establecimiento de políticas y procedimientos de


seguridad en las conexiones y para compartir recursos.
Implementar en la metodología de desarrollo de
sistemas, controles a considerar en el diseño de
aplicaciones distribuidas.
Medidas de seguridad del servidor.
Técnicas de autentificación cliente / servidor.
Mecanismos de protección de datos distribuidos y
recursos del sistema.
Controles Básicos de Seguridad Informática
H. Identificación y autentificación de usuarios

Establecimiento de políticas y procedimientos para la


administración y uso de claves de acceso.

Administración de usuarios y cuentas

Protección de password.

Monitoreo de usuarios y detección de intrusos.

Procedimientos de emergencia y excepción para


identificación y autentificación.
Controles Básicos de Seguridad Informática
I. Bitácora de seguridad y monitoreo

 Registro y monitoreo de seguridad de eventos.


 Registro y monitoreo de seguridad de sistemas y
aplicaciones.
J. PROTECCION CONTRA SOFTWARE NOCIVO

 Políticas y procedimientos preventivos y correctivos.


 Establecimiento y capacitación del uso de software
antivirus.
 Revisiones periódicas y estadísticas de incidentes de
software nocivo.
Controles Básicos de Seguridad Informática
K. RESPALDOS Y RECUPERACIÓN

 Planes de contingencia.
 Capacitación y prueba de planes de contingencia.
 Respaldo de datos y protección fuera de sitio.
 Respaldo de sistemas para servidores y estaciones de
trabajo.
 Políticas y procedimientos para el manejo de respaldos
de información.
 Prevención de emergencias.
 Equipo y servicios de recuperación en contingencias.
 Financiamiento de contingencias.
Controles Básicos de Seguridad Informática

L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE

 Políticas y procedimientos para la adquisición, instalación y


uso del software.
 Supervisión continua del uso del software oficial.
 Inventario de licencias de software y control de versiones
 Protección de copias.
 Distribución de copias.
Controles Básicos de Seguridad Informática

M. DESARROLLO DE SISTEMAS Y ADQUISICION

 Metodologías y estándares de desarrollo

 Responsabilidades de los desarrolladores de sistemas.

 Diseño de estándares formales de seguridad.

 Procedimientos de control de desarrollo y cambios.

 Documentación del software desarrollado.

 Pruebas de sistemas y control de calidad.


Controles Básicos de Seguridad Informática

N. SEGURIDAD EN SISTEMAS DE VOZ

 Protección de comunicaciones de larga distancia.


 Protección de aparatos de correo de voz.
 Monitoreo de llamadas.
Controles Básicos de Seguridad Informática

O. REPORTES DE EVENTOS DE SEGURIDAD

 Intentos de violación

• Claves de acceso.

• Uso de aplicaciones.

• Ejecución de procesos.

• Acceso a datos y recursos de alto riesgo.


Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD
 Bloqueo de cuentas de usuarios.
 Afectación de la disponibilidad de información o recursos
de cómputo
 Cambios de atributos de seguridad no autorizados.
 Uso indebido de identificadores de usuarios y claves de
acceso.
 Acceso de usuarios temporales.
 Actualización de información fuera del proceso de las
aplicaciones.
 Ejecución de rutinas y comandos de alto riesgo.
Controles Básicos de Seguridad Informática
P. MANEJO DE INFORMACIÓN

 Clasificación de la información de acuerdo con el grado


de riesgo.

 Identificar y manejar la información de acuerdo con su


grado de riesgo.

 Procedimientos que disminuyan el riesgo de la


información que se maneja en forma verbal, escrita o
grabada.

 Capacitación al personal para un manejo adecuado de la


información.
Responsabilidad en el Manejo de la Información

Autoridad que delega


la organización para el
manejo de la
información.

PROPIETARIO

Utiliza la
Responsable del
información
almacenamiento CUSTODIO USUARIO
para fines
y disponibilidad
propios de su
de la información
función.
Diseño de la seguridad
El ingeniero en informática debe contemplar en el análisis
y diseño del sistema de computo procedimientos que
eviten fallas, accidentes, acciones que dañen a la
información y al mismo software, pasos a seguir en caso
de existir problemas, etc.
Algunas consideraciones pueden ser:
 Definir los elementos que requieren seguridad, (datos,
archivos, etc.)
 Definir los elementos que pueden poner en peligro la
seguridad.
 Definir los elementos y procedimientos que ayudarán a
establecer la seguridad.
 Definir las políticas y procedimientos que sostendrán dicha
seguridad.
Diseño de la seguridad
 Elaborar una lista de las medidas preventivas y correctivas
en caso de desastre, señalando cada actividad con una
prioridad.
 Generar políticas de seguridad para la información.
 Organizar y asignar responsabilidades para establecer la
seguridad.
 Obtener los elementos técnicos que apoyen a la
generación de la seguridad de la información.
 Generar procedimientos computacionales y administrativos
que establezcan seguridad física y contra catástrofes.
 Generar o contratar productos de seguridad para el
hardware, software y las comunicaciones.
Diseño de la seguridad
 Efectuar pláticas con el usuario sobre la seguridad. En
estas pláticas es importante establecer la importancia y
responsabilidad del usuario con relación a mantener la
seguridad del sistema de computo.
 Efectuar prácticas con el cliente sobre seguridad.
 Contratar pólizas de seguros y contra desastres.
 Efectuar auditorias periódicas y eventuales al sistema de
cómputo una vez que esta instalado para determinar el
nivel de seguridad existente.

El implantar seguridad para los sistemas de cómputo


puede reducir la flexibilidad pero no debe reducir la
eficiencia.
Ejemplos de medidas de seguridad para el manejo de la información
RESTRINGIDA CONFIDENCIAL INTERNA PÚBLICA
O O O MINIMA O
DESCRIPCIÓN ALTA SEGURIDAD SEGURIDAD MEDIA SEGURIDAD SIN SEGURIDAD
 ACCESO DOBLE PASSWORD DOBLE PASSWORD PASSWORD SIN
8 0 MAS DIGITOS 4 A 8 DIGITOS ENTRADA PASSWORD
 TRANSPORTA- CON UN PROPIO DENTRO DE BOLSAS SIN
CIÓN CERRADAS CON EN SOBRES RESTRICCIÓN
O CAMINONETAS
CERRADOS
DE SEGURIDAD CINTIILLO DE
SEGURIDAD
 ENCRIPCIÓN ARCHIVO ENVIO DE CODIGO NO NO REQUERIDA
PARTICIONADO, Y LLAVE POR SEPARADO REQUERIDA
ENVIANDO
CODIGO Y LLAVE
POR SEPARADO
 FOTOCOPIADO NO CONTROLAR MEDIANTE SIN SIN
RECOMENDADO SELLOS EL NUM. DE RESTRICCIÓN RESTRICCIÓN
COPIAS OBTENIDAS
 CONSULTA DE PRIVADA Y PRIVADA Y EN ALGUNOS BAJO SIN
INFORMACIÓN MONITOREADA CASOS CON CONSULTA FACULTADES RESTRICCIÓN
MONITOREADA
 USO PROHIBIDO SU PERMITIDO SÓLO EN EVITAR SIN
TELEFONO USO, CONTRATO DE PRIVADO O LUGARES RESTRICCIÓN
CELULAR, FAX CONFIDENCIALIDAD MONITOREADO PÚBLICOS
 EN PRIVADO Y EN EN PRIVADO Y DE EXCLUIR SIN
REUNIONES OFICINAS DE LA PREFERENCIA EN ÁREAS RESTRICCIÓN
EMPRESA OFICINAS DE LA PUBLICAS
EMPRESA
Diseño de la seguridad
 Por último realizar una lista de los datos, archivos,
accesos, procesos, áreas, etc. que se debe
establecer seguridad y el grado de seguridad
requerida.
Matriz de consideraciones para la seguridad en el Nivel de
sistema de cómputo seguridad
Elemento(s) a Especificación de 1 – Alta
establecer seguridad Nivel de consideraciones y
2 - Media
(datos, archivos, seguridad procesos de seguridad
procesos, etc.) 3 – Mínima
4 – Sin
------- ---- --------
seguridad
------- ---- -------
------ ---- ------
Administración de la seguridad
Esta debe de contemplar el:
• Confirmar la existencia de una función responsable de la
seguridad.
• Decretar políticas y procedimientos aplicados a la utilización de
los equipos de cómputo y al aprovechamiento de los bienes y
sistemas informáticos.
Actividades una vez establecida la seguridad

La elaboración de planes de trabajo, de asignación de actividades, seguimiento


y revisión periódica de documentación y de bitácoras.
• Revisión de las políticas creadas de la metodología para el análisis de
sistemas.
• Estandarizar interfaces, funciones de programación y uniformizar los
sistemas.
• Elaborar y revisar constantemente bitácoras de procesos ejecutados, de
requerimientos, de errores en la implantación y los planes y programas
bimestrales y anuales de los procesos que se van a ejecutar.
Costo de seguridad

Una vez que Usted ha determinado el nivel de seguridad que


debe incluir su sistema de computo.
Paso 1 - Enlistará los requerimientos de seguridad y si es
necesario actualizará y/o añadirá a los requerimientos de
generales y los requerimientos funcionales y no funcionales los
elementos de seguridad.
Paso 2 – Estimará el costo de la seguridad, efectuando bench
mark y eligiendo la mejor opción para el sistema de computo.
Paso 3 – Se agregarán los costos de seguridad al software de
aplicación y a los costos técnicos de la operación