Seguridad de la Informacin
1. 2.
2.
La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.
El propsito de la Seguridad Fsica es prevenir el acceso fsico no autorizado, daos a las instalaciones e interrupciones al procesamiento de informacin.
Controles Fsicos
Las reas de procesamiento deben contar con controles de acceso que aseguren el ingreso solo a personal autorizado. Los siguientes controles deben ser considerados:
Exigencia de portar la identificacin al momento del ingreso y durante el periodo en que se encuentra en la instalacin. Supervisin para los visitantes y personal que no cumple labores frecuentes. Registro con fecha y hora de entrada y salida de personal. Los derechos de acceso deben ser peridicamente revisados y actualizados.
Seguridad Lgica
Control de Acceso: su propsito es evitar el acceso no autorizado a la informacin digital e instalaciones de procesamiento de datos. Administracin de usuarios; El nivel de acceso asignado debe ser consistente con el propsito del negocio. Todo usuario que acceda a los sistemas de informacin de la empresa, debe tener asignado un identificador nico (user ID), que permita establecer responsabilidades individuales en el uso de los sistemas de informacin. Los permisos asignados a los usuarios deben estar adecuadamente registrados y protegidos.
Seguridad Lgica
Administracin de usuarios (continuacin) Cualquier cambio de posicin o funcin de un rol, amerita evaluacin de los permisos asignados, con el fin de realizar las modificaciones que correspondan en forma oportuna . Los sistemas de informacin de la organizacin, deben contar con mecanismos robustos de autenticacin de usuarios, sobre todo de aquellos usuarios conectados desde redes externas. La creacin, modificacin y eliminacin de claves debe ser controlada a travs de un procedimiento formal.
Seguridad Lgica
Control de red La empresa debe contar con controles que protejan la informacin dispuesta en las redes de informacin y los servicios interconectados, evitando as accesos no autorizados (ejemplo; firewalls). Debe existir un adecuado nivel de segregacin funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad. Deben existir Loas de eventos que permita el monitoreo de incidentes de seguridad en redes.
Seguridad Lgica
Control de datos La empresa debe contar con controles que protejan la informacin dispuesta en las bases de datos de las aplicaciones, evitando as accesos no autorizados. Debe existir un adecuado nivel de segregacin de funciones que regule las actividades ejecutadas por los administradores de datos. Se debe mantener un Log de actividades que registre las actividades de los administradores de los administradores d datos. Los usuarios deben acceder a la informacin contenida en las bases de datos, nicamente a travs de aplicaciones que cuentan con mecanismos de control que aseguren el acceso a la informacin autorizada (clave de acceso a la aplicacin)
Seguridad Lgica
Encriptacin El nivel de proteccin de informacin debe estar basado en un anlisis de riesgo. Este anlisis debe permitir identificar cuando es necesario encriptar la informacin, el tipo, calidad del algoritmo de encriptacin y el largo de las claves criptogrficas a ser usadas. Toda informacin clasificada como restringida y confidencial debe ser almacenada, procesada y transmitida en forma encriptada. Todas las claves criptogrficas deben estar protegidas contra modificacin, perdida y destruccin.
Seguridad Lgica
Administracin de claves Las claves deben estar protegidas contra accesos y modificacin no autorizada, perdida y destruccin. El equipamiento utilizado para generar y almacenar las claves debe estar fsicamente protegido. La proteccin de las claves debe impedir su visualizacin, aun si se vulnera el acceso al medio que la contiene .
Seguridad Lgica
Uso de Passwords; Las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte, debe utilizar una clave segura para el acceso a los sistemas de la organizacin. Esta clave segura tiene la condicin de personal e intransferible. Se considera una clave dbil o no segura cuando: La clave contiene menos de ocho caracteres. La clave es encontrada en un diccionario. La clave es una palabra de uso comn tal como: nombre de un familiar, mascota, amigo, colega, etc. La clave es fecha de cumpleaos u otra informacin personal como direcciones y nmeros telefnicos.
Seguridad Lgica
Se considera una clave segura cuando; La clave contiene may de ocho caracteres. La clave contiene caracteres en minscula y mayscula. La clave tiene dgitos de puntuacin, letras y nmeros intercalados. La clave no obedece a una palabra o lenguaje, dialecto o jerga Fcil de recordar.
Seguridad Lgica
Intercambio de Informacin; prevenir la perdida, modificacin o acceso no autorizado y el mal uso de la informacin que la empresa intercambia como parte de sus procesos de negocio.
Acuerdos de intercambio; en todos los casos de intercambio de informacin sensible, se deben tomar todos los resguardos que eviten su revelacin no autorizada. Todo intercambio de informacin debe estar autorizada expresamente por el dueo de esta.
Seguridad Lgica
Intercambio de Informacin (continuacin). Seguridad de los medios removibles; El dueo de la informacin es quien autoriza a travs de algn medio removible desde la organizacin. Los dispositivos que permiten a los computadores manejar medios removibles, deben ser habilitados cuando haya una razn de negocio para hacerlo y previa autorizacin del dueo de la informacin.
Seguridad Lgica
Seguridad en el comercio electrnico. La informacin involucrada en comercio electrnico y que pasa por redes publicas, debe estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad Lgica
El correo electrnico es provisto por la empresa a los empleados y terceras partes, para facilitar el desempeo de sus funciones. La asignacin de esta herramienta de trabajo debe hacerse considerando una evaluacin de riesgo. El correo es personalizado, es decir no es aceptable la utilizacin del correo de otra persona, por tanto se asume responsable del envo al remitente (DE:) y no quien lo firma.