Evaluaci - PowerPoint PPT Presentation

1 / 53
About This Presentation
Title:

Evaluaci

Description:

Evaluaci n de sistemas de c mputo Temas IX. Seguridad F sica y L gica En algunos casos se requiere comprar software, hardware y equipo de oficina especializado ... – PowerPoint PPT presentation

Number of Views:74
Avg rating:3.0/5.0
Slides: 54
Provided by: SergioFue8
Category:

less

Transcript and Presenter's Notes

Title: Evaluaci


1
Evaluación de sistemas de cómputo
Temas IX. Seguridad Física y Lógica
2
Evaluación de selección
IX. Seguridad Física y lógica
  • Definición de seguridad
  • Antecedentes
  • Objetivos de la seguridad
  • Responsabilidad en el manejo de información
  • Atributos de la información
  • Principales funciones de la seguridad
  • La información
  • Controles básicos
  • Diseño de seguridad

3
Definición Seguridad física y lógica
  • En algunos casos se requiere comprar software,
    hardware y equipo de oficina especializado para
    mantener la seguridad lógica y física de los
    datos. Esto genera un costo el cual se debe
    calcular y contemplar en este análisis

4
Definición Seguridad física y lógica
  • La siguiente información no es exhaustiva, sólo
    pretende dar una idea general de conceptos de
    seguridad.
  • La seguridad es la tranquilidad que se tiene de
    que nada malo va a pasar.
  • Para lograr esta tranquilidad se deben establecer
    varios mecanismos.
  • La seguridad física corresponde la implantación
    de mecanismo que protegen los recursos materiales
    (edificios, equipo de computo, personal, etc.)
  • La seguridad logia corresponde la implantación de
    mecanismos que protegen los recursos no
    materiales como los datos, la información, etc.
    La responsabilidad de esta seguridad recae
    principalmente en el sistema operativo y en el
    software.

5
Definición
Seguridad informática La calidad de un sistema
de computo involucra su protección contra un
sin número de fallas y errores. Además de
siniestros, robos y sabotajes.
Seguridad Calidad de seguro. Libre de todo
daño. Que no admite duda o error Firme,
estable. Garantía que da una persona a otra de
que cumplirá con algo.
Nivel Organizacional Unidad que define y
orienta políticas, normas y procedimientos
6
Definición de Seguridad
7
Antecedentes
Seguridad de la Información Protección de
Activos
  • Gente
  • Datos
  • Software
  • Hardware

Mayor Automatización
8
AntecedentesResultados de encuestas
5
5
11
79
Mucho
Mas o Menos
No Conozco
No Opinó
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
9
Antecedentes
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
10
Antecedentes
FUENTE PLAN DE DESARROLLO INFORMÁTICO 1995-2000
11
Ataques a la organización
Es la Administración y protección de
los recursos cómputo
Establece los controles para disminuir
los riesgos
Seguridad
Su objetivo es el proteger el patrimonio informáti
co
12
Objetivos de la seguridad
Es la Administración y protección de
los recursos cómputo
Establece los controles para disminuir
los riesgos
Su objetivo es el proteger el patrimonio informáti
co
13
Objetivos de la seguridad
Es el de reducir el impacto de un fenómeno que
pueda causar perdidas económicas y que deberá
encontrarse en posibilidades de recuperación a
un mínimo nivel aceptable, a un costo razonable y
asegurando la adecuada estabilización de la
operatividad.
14
Objetivos de la seguridad
  • Asegurar la integridad y exactitud de los datos.
  • Proteger la confidencialidad y exactitud de los
    datos.
  • Proteger y conservar los activos de la
    organización fuera del alcance de riesgos, de
    desastres naturales o actos mal intencionados.
  • Asegurar la capacidad de supervivencia de la
    organización ante eventos que pongan en peligro
    su existencia.
  • Proveer el ambiente que asegure el manejo
    adecuado de los datos sustantivos.

15
Clasificación de la Información.
  • PUBLICA
  • INTERNA
  • CONFIDENCIAL
  • RESTRINGIDA
  • NO CRITICA
  • NECESARIA
  • VITAL

POR NIVEL DE CONFIDENCIALIDAD
16
Clasificación de la Información.
PUBLICA Que puede circular fuera de la
organización y que no necesita modificarse para
ofrecerse a los clientes o accionistas. Nivel de
riesgo ninguno Ejemplo Folletos
publicitarios Boletines de prensa Tipos de
cambio Tasas de interés
INTERNA Circula dentro de la organización.
Su divulgación, modificación o destrucción
no autorizada podría tener un impacto
significativo en la organización, en cualquier
cliente o empleado. No requiere protección
especial a menos que se quieran prevenir intentos
externos de divulgación. Nivel de riesgo medio o
bajo Ejemplo Manuales administrativos Memos
entre oficinas Reglamento interno de trabajo
17
Clasificación de la Información.
RESTRINGIDA Sirve a la organización para su
posicionamiento en el mercado y solo puede ser
conocida por un grupo muy pequeño. Su
divulgación, modificación o destrucción puede
ocasionar perdidas económicas y poner en
desventaja competitiva a la organización. Nivel
de riesgo alto Ejemplo Passwords para
transferencia de dinero Características de
productos y/o servicios en desarrollo Diseños
de campañas publicitarias Información acerca de
adquisiciones u otras actividades del Mercado
de capitales
CONFIDENCIAL Se usa dentro de la organización. Su
divulgación, modificación o destrucción no
autorizada podría afectar a la propia
organización, clientes y empleados. Nivel de
riesgo medio o bajo Ejemplo Registros de
empleos Planes de salarios Información de
clientes Manuales de referencia al sistema y
procedimientos
18
Clasificación de la Información.
NO CRITICA Soporta servicios/procesos que pueden
ser interrumpidos por un periodo largo de
tiempo. La actualización de la información desde
el punto en que fue interrumpida puede ser A.
De bajo costo o sin costo. B. De bajo consumo de
tiempo o sin gasto de tiempo. C. Una
combinación de ambas. Nivel de riesgo bajo
NECESARIA Soporta servicios/procesos que pueden
ser ejecutados por medios manuales con
dificultad, pero a un costo tolerable y por un
periodo largo de tiempo. La actualización de la
información, una vez que se vuelve a condiciones
normales de operación, puede requerir recursos
considerables. Nivel de riesgo bajo
19
Clasificación de la Información
Vital Soporta servicio/procesos que pueden ser
ejecutados por medios manuales, o por periodos
muy cortos de tiempo. Puede existir una
tolerancia intermedia de interrupción entre los
necesarios y los críticos. Una suspensión corta
de procesamiento puede ser tolerada, sin embargo,
aumentara considerablemente el esfuerzo que será
necesario para actualizar los datos desde el
momento en que se interrumpieron. Nivel de
riesgo alto moderado
20
Medios y formas en que se maneja la información
21
Principales funciones de la seguridad
  • Minimizar los riegos de quebrantos y fraudes.
  • Proteger la información de acuerdo a su
    importancia y valor.
  • Asegurar que siempre se incorporen en los
    proyectos y procedimientos las normas, medidas y
    procedimientos de prevención y seguridad.
  • Investigar administrativamente hechos dolosos .
  • Sancionar conforme a la normatividad interna y al
    marco jurídico,las acciones dolosas y negligentes
    de su personal.
  • Realizar diagnóstico de riesgos y proponer
    acciones de solución.

22
Principales Funciones
  • Identificar necesidades y problemática, que
    afecten de manera general la seguridad de la
    información.
  • Definir políticas y procedimientos generales de
    seguridad informática.
  • Orientar y dar seguimiento a estrategias y planes
    de seguridad
  • Dar seguimiento al cumplimiento de estrategias,
    normas,requerimientos y liberaciones, en forma
    conjunta con el auditor en informática (socios
    del control).
  • Concientizar y difundir los conceptos de
    seguridad, en toda la empresa.
  • Crear un proceso de evaluación y justificación
    para todos los proyectos de inversión de
    informática.
  • Participar en la creación de los planes
    informáticos institucionales mediante la
    revisión, adecuación y evaluación del uso de los
    recursos tecnológicos requeridos por cada área.

23
Lineamientos para el desarrollo de la función de
seguridad en informática
  • Definición de una política de seguridad
  • Aspectos administrativos (pólizas de seguros)
  • El control para mantenimiento preventivo y
    correctivo de los equipos (contratos)
  • Deben incluir todos los recursos informáticos,
    proteger datos, equipo, tecnología y usuarios.
  • Establecer una política que impulse al desarrollo
    de la seguridad.
  • Establecer un análisis costo-beneficio sobre
    controles de seguridad antes de ser instalados.

24
  • Definición de Políticas de Seguridad
  • Estas deben contemplar
  • La prevención del rezago administrativo en tiempo
    y costo por el mal manejo de la tecnología de
    punta.
  • Concientizar la necesidad permanente de aplicar
    la seguridad en informática.
  • Apoyarse en estándares nacionales e
    internacionales.
  • Difundir formalmente los planes de seguridad en
    informática.
  • Evaluar periódicamente el nivel de cumplimiento
    de la ejecución.
  • Actualizar de manera oportuna las políticas de
    seguridad implantadas.

25
Tips para la Implementación del programa de
seguridad informática
  • Nombrar una persona responsable del programa.
  • Asegurarse de que los gerentes entiendan de que
    son responsables de la protección de los activos
    de su propia área.
  • Desarrollar una estrategia.
  • Anunciar el programa

26
Estrategia de Seguridad
Identificación de usuarios
Definición de accesos y facultades
Personalización de usuarios
Activación y monitoreo de bitácoras
  • Nombre.
  • No. Nómina.
  • Ubicación, ext.
  • Departamento.
  • Sistema responsable.
  • Ip/address.
  • Acceso a
  • Volúmenes.
  • Subvolúmenes
  • Utilerías
  • Programas
  • De acuerdo a estándar definido.
  • Seguimiento a eventos relevantes de seguridad.

Mantenimiento a usuarios
  • Bajas.
  • Cambios.
  • Modificaciones.

27
Controles básicos de seguridad informática
A. Politicas y concientización
  • Planear y desarrollar políticas, procedimientos,
    estándares y lineamientos de seguridad
    informática.
  • Establecer un programa de capacitación para dar
    a conocer aspectos de seguridad informática.
  • Establecer y definir procedimientos para el
    manejo de la información y un código de ética.
  • Obtener respaldo y soporte de la alta dirección y
    de todos los niveles gerenciales.

28

Controles básicos de Seguridad Informática
  • Apoyar el fortalecimiento de las medidas de
    seguridad en la información a través del
    establecimiento de un programa de concientización
    y sensibilización, que permita el conocimiento y
    desarrollo de las actividades del personal de la
    empresa o entidad.
  • Lograr una cultura de seguridad de la información
    a nivel corporativo que permita fortalecer la
    confidencialidad, integridad, disponibilidad y
    auditabilidad de la información.
  • Hacer del conocimiento del personal los medios y
    controles que permitan por medio de su
    implantación una disminución de los riesgos.

29
Controles básicos de seguridad informática
B. Responsabilidades de la organización
  • Debe de establecerse la función de seguridad
    informática corporativa.
  • Deben de establecerse políticas y procedimientos
    internos donde se definan los conceptos de
    propietarios de la información y sus
    responsabilidades.
  • Establecer coordinadores y administradores de
    seguridad informática (custodios).
  • Tener claramente identificados a todos los
    usuarios de la información.

30
Controles Básicos de Seguridad Informática
  • Conjuntamente con el área de organización,
    incluir en las descripciones de puestos,
    contratos de trabajo conceptos de seguridad
    informática.
  • Establecer el comité directivo de seguridad
    informática.
  • Conformar y capacitar al staff de seguridad
    informática

31
Controles Básicos de Seguridad Informática
C. Resguardos, contratos y convenios
  • Manejar contratos internos de confidencialidad
    para todo el personal.
  • Incluir en contratos con proveedores y/o
    servicios profesionales,cláusulas de
    confidencialidad y propiedad de la información.
  • Realizar todos los resguardos necesarios que
    aseguren los activos informáticos.

32
Controles Básicos de Seguridad Informática
D. Auditoria de seguridad informática, revisiones
y administración de riesgos
  • Definir principios para realizar auditorías y
    revisiones de seguridad informática.
  • Coordinarse con el área de auditoría en
    informática para realizar revisiones (socios del
    control).
  • Desarrollar todo un programa para la
    administración de riesgos.
  • Formalizar la generación y tratamiento de
    reportes de pérdidas y análisis de riesgos.

33
Controles Básicos de Seguridad Informática
E. Seguridad física
  • Establecer políticas y procedimientos sobre todos
    los aspectos de seguridad física de los recursos
    informáticos (ubicación, construcción, acceso
    físico, soporte ambiental, etcétera)
  • Definir e implementar mecanismos de respaldos de
    información.
  • Definir controles de acceso físico y cerraduras,
    medios intercambiables y tecnología portátil.

34
Controles Básicos de Seguridad Informática
F. Seguridad en redes y comunicaciones
  • Preservar la confidencialidad de los datos que
    pasan a través de cualquier canal de
    comunicación.
  • Asegurar que el mensaje permanezca inalterado
    durante su transmisión.
  • Verificar que existan los controles para probar
    que un mensaje transmitido ha recibido
    exitosamente.
  • Control de acceso a los componentes y recursos de
    la red.
  • En general los controles fundamentales de
    seguridad son de integridad, de autenticidad, de
    confirmación, de confidencialidad, de auditoría y
    de control de acceso.

35
Controles Básicos de Seguridad Informática
G. Seguridad en sistemas distribuidos
  • Establecimiento de políticas y procedimientos de
    seguridad en las conexiones y para compartir
    recursos.
  • Implementar en la metodología de desarrollo de
    sistemas, controles a considerar en el diseño de
    aplicaciones distribuidas.
  • Medidas de seguridad del servidor.
  • Técnicas de autentificación cliente / servidor.
  • Mecanismos de protección de datos distribuidos y
    recursos del sistema.

36
Controles Básicos de Seguridad Informática
H. Identificación y autentificación de usuarios
  • Establecimiento de políticas y procedimientos
    para la administración y uso de claves de acceso.
  • Administración de usuarios y cuentas
  • Protección de password.
  • Monitoreo de usuarios y detección de intrusos.
  • Procedimientos de emergencia y excepción para
    identificación y autentificación.

37
Controles Básicos de Seguridad Informática
I. Bitácora de seguridad y monitoreo
  • Registro y monitoreo de seguridad de eventos.
  • Registro y monitoreo de seguridad de sistemas y
    aplicaciones.

J. PROTECCION CONTRA SOFTWARE NOCIVO
  • Políticas y procedimientos preventivos y
    correctivos.
  • Establecimiento y capacitación del uso de
    software antivirus.
  • Revisiones periódicas y estadísticas de
    incidentes de software nocivo.

38
Controles Básicos de Seguridad Informática
K. RESPALDOS Y RECUPERACIÓN
  • Planes de contingencia.
  • Capacitación y prueba de planes de contingencia.
  • Respaldo de datos y protección fuera de sitio.
  • Respaldo de sistemas para servidores y estaciones
    de trabajo.
  • Políticas y procedimientos para el manejo de
    respaldos de información.
  • Prevención de emergencias.
  • Equipo y servicios de recuperación en
    contingencias.
  • Financiamiento de contingencias.

39
Controles Básicos de Seguridad Informática
L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE
  • Políticas y procedimientos para la adquisición,
    instalación y uso del software.
  • Supervisión continua del uso del software
    oficial.
  • Inventario de licencias de software y control de
    versiones
  • Protección de copias.
  • Distribución de copias.

40
Controles Básicos de Seguridad Informática
M. DESARROLLO DE SISTEMAS Y ADQUISICION
  • Metodologías y estándares de desarrollo
  • Responsabilidades de los desarrolladores de
    sistemas.
  • Diseño de estándares formales de seguridad.
  • Procedimientos de control de desarrollo y
    cambios.
  • Documentación del software desarrollado.
  • Pruebas de sistemas y control de calidad.

41
Controles Básicos de Seguridad Informática
N. SEGURIDAD EN SISTEMAS DE VOZ
  • Protección de comunicaciones de larga distancia.
  • Protección de aparatos de correo de voz.
  • Monitoreo de llamadas.

42
Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD
  • Intentos de violación
  • Claves de acceso.
  • Uso de aplicaciones.
  • Ejecución de procesos.
  • Acceso a datos y recursos de alto riesgo.

43
Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD
  • Bloqueo de cuentas de usuarios.
  • Afectación de la disponibilidad de información o
    recursos de cómputo
  • Cambios de atributos de seguridad no autorizados.
  • Uso indebido de identificadores de usuarios y
    claves de acceso.
  • Acceso de usuarios temporales.
  • Actualización de información fuera del proceso de
    las aplicaciones.
  • Ejecución de rutinas y comandos de alto riesgo.

44
Controles Básicos de Seguridad Informática
P. MANEJO DE INFORMACIÓN
  • Clasificación de la información de acuerdo con el
    grado de riesgo.
  • Identificar y manejar la información de acuerdo
    con su grado de riesgo.
  • Procedimientos que disminuyan el riesgo de la
    información que se maneja en forma verbal,
    escrita o grabada.
  • Capacitación al personal para un manejo adecuado
    de la información.

45
Responsabilidad en el Manejo de la Información
Autoridad que delega la organización para el
manejo de la información.

PROPIETARIO
Utiliza la información para fines propios de su
función.
Responsable del almacenamiento y disponibilidad
de la información
CUSTODIO
USUARIO
46
Atributos de la Información
1. Asegura el acceso a personal autorizado de
acuerdo a funciones y responsabilidades.
1. CONFIDENCIALIDAD
5 MONITOREO
4 AUDITABILIDAD
2. Certifica que la información es genuina,
completa y exacta.
3. Asegura la continuidad y oportunidad en el
otorgamiento del SERVICIO.
2. INTEGRIDAD
4. Permite rastrear y registrar los eventos
ocurridos.
5. Registro de eventos fuera de parámetros
permitidos.
3. DISPONIBILIDAD
6. Manejo y control de los recursos. Permite
rastrear y registrar los eventos ocurridos.
47
Diseño de la seguridad
El ingeniero en informática debe contemplar en el
análisis y diseño del sistema de computo
procedimientos que eviten fallas, accidentes,
acciones que dañen a la información y al mismo
software, pasos a seguir en caso de existir
problemas, etc. Algunas consideraciones pueden
ser
  • Definir los elementos que requieren seguridad,
    (datos, archivos, etc.)
  • Definir los elementos que pueden poner en peligro
    la seguridad.
  • Definir los elementos y procedimientos que
    ayudarán a establecer la seguridad.
  • Definir las políticas y procedimientos que
    sostendrán dicha seguridad.

48
Diseño de la seguridad
  • Elaborar una lista de las medidas preventivas y
    correctivas en caso de desastre, señalando cada
    actividad con una prioridad.
  • Generar políticas de seguridad para la
    información.
  • Organizar y asignar responsabilidades para
    establecer la seguridad.
  • Obtener los elementos técnicos que apoyen a la
    generación de la seguridad de la información.
  • Generar procedimientos computacionales y
    administrativos que establezcan seguridad física
    y contra catástrofes.
  • Generar o contratar productos de seguridad para
    el hardware, software y las comunicaciones.

49
Diseño de la seguridad
  • Efectuar pláticas con el usuario sobre la
    seguridad. En estas pláticas es importante
    establecer la importancia y responsabilidad del
    usuario con relación a mantener la seguridad del
    sistema de computo.
  • Efectuar prácticas con el cliente sobre
    seguridad.
  • Contratar pólizas de seguros y contra desastres.
  • Efectuar auditorias periódicas y eventuales al
    sistema de cómputo una vez que esta instalado
    para determinar el nivel de seguridad existente.
  • El implantar seguridad para los sistemas de
    cómputo puede reducir la flexibilidad pero no
    debe reducir la eficiencia.

50
Ejemplos de medidas de seguridad para el manejo
de la información
51
Diseño de la seguridad
  • Por último realizar una lista de los datos,
    archivos, accesos, procesos, áreas, etc. que se
    debe establecer seguridad y el grado de seguridad
    requerida.

Matriz de consideraciones para la seguridad en el
sistema de cómputo
Nivel de seguridad 1 Alta 2 - Media 3
Mínima 4 Sin seguridad
Elemento(s) a establecer seguridad (datos, archivos, procesos, etc.) Nivel de seguridad Especificación de consideraciones y procesos de seguridad
------- ---- --------
------- ---- -------
------ ---- ------
52
  • Administración de la seguridad
  • Esta debe de contemplar el
  • Confirmar la existencia de una función
    responsable de la seguridad.
  • Decretar políticas y procedimientos aplicados a
    la utilización de los equipos de cómputo y al
    aprovechamiento de los bienes y sistemas
    informáticos.

53
  • Actividades una vez establecida la seguridad
  • La elaboración de planes de trabajo, de
    asignación de actividades, seguimiento y revisión
    periódica de documentación y de bitácoras.
  • Revisión de las políticas creadas de la
    metodología para el análisis de sistemas.
  • Estandarizar interfaces, funciones de
    programación y uniformizar los sistemas.
  • Elaborar y revisar constantemente bitácoras de
    procesos ejecutados, de requerimientos, de
    errores en la implantación y los planes y
    programas bimestrales y anuales de los procesos
    que se van a ejecutar.

54
Costo de seguridad Una vez que Usted ha
determinado el nivel de seguridad que debe
incluir su sistema de computo. Paso 1 -
Enlistará los requerimientos de seguridad y si es
necesario actualizará y/o añadirá a los
requerimientos de generales y los requerimientos
funcionales y no funcionales los elementos de
seguridad. Paso 2 Estimará el costo de la
seguridad, efectuando bench mark y eligiendo la
mejor opción para el sistema de computo. Paso 3
Se agregarán los costos de seguridad al software
de aplicación y a los costos técnicos de la
operación
Write a Comment
User Comments (0)
About PowerShow.com