Upload File

principios de la seguridad informática - causa-efectos

  • Home
  • Documents
  • Principios de la Seguridad Informática - Causa-Efectos
Download Principios de la Seguridad Informática - Causa-Efectos

If you can't read please download the document

Upload: marco-antonio-cabrera-tapia

Post on 03-Jul-2015

996 views

Category:

Documents


1 download

Report

TRANSCRIPT

Principios de la Seguridad InformticaEl objetivo de la proteccin de nuestros Sistemas de Informacin debe ser el de preservar la: - Confidencialidad: Asegurando que la informacin es accesible slo a las personas autorizadas. Proteger la informacin contra accesos o divulgacin no autorizadas. (control de accesos) La falta de confidencialidad puede darse por indiscreciones voluntarias e involuntarias en cualquier tipo de soporte (magntico o papel) y su no preservacin puede tener las siguientes consecuencias: * Responsabilidad civil o administrativa del propietario del sistema siniestrado por los perjuicios causados a terceros * Prdidas cualitativas en distintos campos: * Deontologa * Credibilidad * Prestigio * Imagen * Prdidas de fondos patrimoniales: * Datos o programas no recuperables * Informacin confidencial * 'know-how' * Prdidas de explotacin: * Reduccin de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza. La medida principal, de carcter preventivo, para preservar la confidencialidad, a considerar en la concepcin y desarrollo del sistema, es el diseo del control de accesos lgicos. En su diseo se deben de tener en cuenta las siguientes consideraciones: * Establecer los grupos de usuarios (estratificacin de usuarios) por niveles de seguridad, asignando a cada uno, los tipos de accesos permitidos (lectura, modificacin, tratamientos, perifricos) * El acceso lgico al entorno corporativo se realiza bajo el control del producto R.A.C.F., por tanto es preciso disear los controles R.A.C.F. (posibles grupos a considerar y las medidas de auditora a implementar) para la inclusin del sistema en desarrollo en el R.A.C.F. * Si las funcionalidades anteriores. no se consideran suficientes ser preciso crear un sistema de seguridad propio de la aplicacin, diseando: * El acceso a las distintas aplicaciones y sus funciones por medio del sistema general de mens. * nuevas funcionalidades, como por ejemplo, el control a nivel campos de transaccin * las necesidades de administracin del sistema a crear * los procedimientos de peticiones de autorizaciones de acceso al sistema. * En el diseo del sistema de control de accesos debe considerarse la posibilidad de establecer controles extraordinarios para acceder al sistema, como por ej.: * Especializacin de terminales en entornos o transacciones especificas (autorizacin por terminales) * Especializacin de terminales por perfiles de usuario * Asignacin de terminal a un usuario * Utilizacin de dispositivos de acceso fsico (tarjetas, llaves, lector de huellas,...) * Acceso con restricciones temporales * No simultaneidad de terminales para un tipo de funcionalidad * Inhabilitacin del acceso por inactividad de terminal, utilizacin de protectores de pantalla con clave,... * Inclusin dentro de la aplicacin, como mnimo, del identificativo del usuario que realiza la transaccin, incluyndolo en la propia transaccin (sirve tambin como pista de auditoria), terminal, fecha y hora. * Se propondr, en caso necesario, el sistema a implantar para la deteccin de intentos de violacin, y las acciones a tomar (investigacin, bloqueos, revocaciones, suspensiones,....) * Se disearan las medidas a implantar para el control de las modificaciones en necesidades de acceso al sistema, como por ej.: bajas, traslados, personal externo,... * La disponibilidad de la informacin del sistema para su tratamiento con herramientas de usuario final, puede acarrear la falta de confidencialidad de la misma. Por tanto, en el diseo del sistema se plantear el tipo posible de informacin a transferir al entorno microinformtico, as como las medidas indispensables para preservar su confidencialidad (control de accesos con herramientas de usuario final, rastros a mantener en caso de transferencia de informacin a ordenadores personales,...) - Integridad: Salvaguardando la precisin y exactitud de la informacin en todo momento. La integridad est relacionada con la garanta de la exactitud y la exhaustividad de los datos del sistema de informacin.

Puede darse por errores en la captura o validacin, por un mal funcionamiento del sistema, mala voluntad (transaccin aceptada pero no autorizada, programa ilegtimamente modificado, fichero alterado fraudulentamente, etc.) y puede tener consecuencias catastrficas para la empresa. La falta de integridad de la informacin puede acarrear las siguientes consecuencias: * Prdidas de explotacin: *reduccin de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza * Prdidas de fondos patrimoniales: *datos o programas no recuperables *informacin confidencial *'know-how' * Responsabilidad civil o administrativa: *del propietario del sistema siniestrado por los perjuicios causados a terceros * Prdidas cualitativas en distintos campos: *Deontologa *Credibilidad *Prestigio *imagen Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el mbito de la proteccin, para aminorar el impacto que puede provocar la falta de integridad de la informacin del S.I., son: la deteccin y tratamiento de errores y la implantacin de pistas de auditoria. A continuacin se detallan algunas de las consideraciones a tener en cuenta relacionadas con las mencionadas medidas. En el mbito de la deteccin y tratamiento de errores: * Disear los controles que permitan: *garantizar la integridad de los datos en la entrada, edicin y validacin *asegurar que todas las entradas se procesan a travs de controles de entrada, tales como nmero de secuencia, totales de control, etc. *asegurar la totalidad y exactitud de los datos transmitidos por teleproceso y en el proceso de transacciones. Estos controles pueden consistir en: nmeros de secuencias, control de totales, caracteres de inicio y final, confirmaciones de envo. En el caso de que la transmisin sea errnea deben estar preparadas las acciones correctoras a llevar a cabo (reinicio manual o automtico de la transmisin, borrado de la informacin errnea.) *comprobar la veracidad de la informacin de importes y cantidades *garantizar el tratamiento de ficheros con datos rechazados, en suspenso, errneos. una vez resueltas sus deficiencias. *asegurar la accesibilidad a informacin interrelacionada en caso de borrado de alguna de ella *Identificar los posibles errores, establecer sus consecuencias y las acciones correctoras a realizar *Establecer reglas para el tratamiento y correccin de tratamientos incompletos e inexactos *Establecer cuadres o controles a realizar entre aplicaciones *Establecer la realizacin de pruebas para detectar omisiones en nmeros de secuencias, totales batch errneos, datos omitidos, datos que no corresponden a la fecha de tratamiento *Establecer la realizacin de pruebas para asegurar que se mantiene la integridad de ficheros despus de un fallo de programa * Disear los procedimientos de conversin que permitan: *Planificar la implantacin del sistema en paralelo con el anterior, preveyendo la disponibilidad de copias de seguridad y planificando las marchas atrs *comparar los resultados de ambos procesos *realizar unas rutinas de validacin de datos a utilizar en la conversin, verificando que los datos se convierten en su totalidad *identificar todos los posibles errores a encontrar en el proceso de conversin *mantener un rastro de auditoria de las actividades de operacin durante los procesos de conversin *Establecer un plan de retorno al sistema antiguo en el caso de que la conversin no funcione * Disear los procedimientos de recuperacin y rearranque que permitan: *establecer el tiempo a mantener los documentos fuente utilizados por el usuario para reconstruir transacciones en caso necesario *definir las acciones a tomar en caso de procesos contra bases de datos que terminen de forma anormal *establecer los criterios de los procesos de recuperacin de transacciones *garantizar que no se pierde informacin, que no se duplica y que la integridad de las bases de datos no ha sido afectada. En el mbito de la implantacin de pistas de auditoria: * Establecer las pistas de auditora necesarias para verificar el flujo de las diversas transacciones por los procesos del SI de forma que se posibilite el seguimiento de las transacciones desde el documento origen hasta el total de

control y viceversa * Definir campos de datos y registros para las pistas de auditora, y su forma de almacenamiento * Definir las caractersticas de las pistas de auditora establecidas: *las instrucciones para su utilizacin *las instrucciones para la realizacin de pruebas *el tiempo que se guardar *las generaciones a mantener *cuando y como borrarlas cuando ya no son necesarias Establecer las acciones a llevar a cabo con el log del sistema (revisin, conservacin,...) - Disponibilidad: Asegurando que los usuarios autorizados tienen acceso en todo momento a la informacin y a los activos cuando son requeridos. La disponibilidad de los sistemas de informacin est relacionada con la continuidad del servicio. Tiene en cuenta toda indisponibilidad prolongada, total o parcial, del sistema de informacin y puede lanzar, en funcin de su duracin, una serie de actividades o procedimientos que aseguren la continuidad de dicho servicio. La indisponibilidad de datos, informaciones y sistemas de informacin, sin elementos alternativos que permitan la continuidad del servicio, puede provocar las siguientes consecuencias: * Prdidas de explotacin: *reduccin de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza * Responsabilidad civil o administrativa: *del propietario del sistema siniestrado por los perjuicios causados a terceros * Prdidas cualitativas en distintos campos: *Deontologa *Credibilidad *Prestigio *Imagen Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el mbito de la proteccin, para aminorar el impacto que puede provocar la indisponibilidad de alguno de los elementos del SI, son : la salvaguarda de los datos y respaldo de dispositivos perifricos. A continuacin se detallan algunas de las consideraciones a tener en cuenta relacionadas con las mencionadas medidas. En la salvaguarda de datos: * Establecer la poltica a seguir y disear los procedimientos para la realizacin de las copias de seguridad de la informacin y los programas del SI, con la periodicidad que se estime necesaria para garantizar la recuperacin de la misma a la situacin anterior a detectar cualquier incidencia. Se debe considerar: *la responsabilidad del usuario en la realizacin peridica de copias de seguridad en el caso de la informtica distribuida del SI y las consignas para su custodia *la periodicidad (diaria, semanal, mensual, aperidica), el tipo de copia (total o incremental), el nmero de generaciones a conservar para garantizar la recuperacin, los periodos de retencin, los diferentes niveles (aplicaciones, datos,...), ... * Disear los procedimientos de recuperacin de las copias anteriores para cada base de datos, fichero, librera de programa,... estableciendo: *el plan de pruebas a seguir para comprobar la correcta recuperacin de las copias *la informacin que se perdera *las acciones a realizar por los usuarios para recuperar la informacin perdida. * Establecer los procedimientos de funcionamiento degradado, para que en caso de fallo del sistema se permita un servicio limitado. En el respaldo de elementos perifricos: * Estudiar las consecuencias de indisponibilidad o fallos en el hardware local (impresoras, terminales, servidores, unidades de control,...), servicios esenciales (energa elctrica), comunicaciones - teleproceso,...y disear los procedimientos de respaldo que permitan la continuidad del servicio con medios alternativos * Establecer por funcionalidades del sistema el posible servicio degradado, considerando: el tiempo mximo sin servicio, las fechas crticas de disponibilidad, el grupo mnimo de usuarios, las funcionalidades mnimas a mantener, incremento de tiempos de respuesta,.. Finalmente recalcar que el objetivo final de la Seguridad, debe ser la proteccin eficaz y eficiente, mediante un enfoque preventivo, proactivo, reactivo y dinmico de uno de los activos ms valiosos para los procesos de negocio.

El presente informe forma parte de un plan de accin llevado a cabo en mi empresa y del que soy responsable. El contenido de este informe tiene como objetivo - asegurar que la seguridad est imbuida dentro de los sistemas de informacin. Esto se tendr que considerar en las fases de diseo e implantacin de los procesos de negocio que se lleven a cabo. Resultando as ms econmico en cuanto a costes y por supuesto ms seguro desde el principio hasta el final de cada proyecto. Todos los requerimientos de seguridad deben ser incluidos y tenidos en cuenta desde la fase de Requerimientos de un proyecto que se consensuarn y documentarn, formando parte del proceso de negocio global para un sistema de informacin La finalidad es comprobar el grado de cumplimiento de dicha normativa, y elaborar unas conclusiones o recomendaciones para futuras mejoras al respecto. Se hablar con todos los responsables de desarrollo para la correcta implantacin de estas normas en todos los nuevos desarrollos y asegurar que se ha tenido en cuenta en los ya existentes. 2.1.2- Anlisis y especificacin de los requerimientos de seguridad Se deben especificar los requerimientos de control, as como considerar los controles que han de ser incorporados en el sistema. Estas consideraciones tambin tendrn efecto a la hora de evaluar paquetes de software para aplicaciones del negocio. Los controles de implementacin de estas mediadas de seguridad resultan menos costosos a la hora de implantarlos si se realizan en la fase de diseo. 2.1.3- Recomendaciones Se recomienda la participacin del equipo de seguridad en las fases de anlisis de los nuevos desarrollos. Se realizar un informe por parte de Seguridad Informtica para dar el visto bueno en los controles implantados antes del arranque del proyecto, manifestando las implicaciones de seguridad. En resumen, deberamos participar en el anlisis, evaluacin y aprobacin de todos los proyectos de envergadura que se lleven a cabo as como en las adquisiciones de nuevo SW.


Causa/Efectoworkstorming.com.ar/publicaciones pdf/Publicacion - Causa...Causa/Efecto Diagrama de Causa y Efecto Herramienta bÆsica para la mejora de la Calidad El diagrama de Causa

Informática y ética informática

ESPECIALISTA EN DESARROLLO ORGANIZACIONALbiblioteca2.ucab.edu.ve/anexos/biblioteca/marc/texto/AAS7566.pdf · Ejemplo de los efectos recursivos entre Causa-Efectos en el clima organizacional

Excelsior Dra. Magister Clara María Antúnez Ramíreztendenciasenmedicina.com/Imagenes/imagenes12p/art_08.pdf · • 106.000 personas mueren a causa de los efectos secundarios negativos

SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA

crmedicine.com · enfermedades autoinmunes, degenerativas, postraumáticas, huérfanas y raras. No causa efectos secundarios, ya que utiliza los mismos ... órgano afectado por especialista

Arsenico (causa, efectos, contaminación ambiental, vías de ingreso al organismo, medidas de mitigacion,)

“EFECTOS EN LA ESTABILIDAD Y DURABILIDAD DEL COLOR A …bdigital.unal.edu.co/65029/1/1. Tesis_Maestría... · “efectos en la estabilidad y durabilidad del color a causa de factores

Principios sobre el clima - Rainforest Alliance · determinar causas y efectos • ... es la causa principal del incremento de las tem- ... Estos combustibles incluyen la gasolina,

Unidad 5 - login · 2011. 11. 18. · Efecto síntoma observado Causa posible 3 Causa posible 4 Causa posible 2 Causa posible. 1 Figura 5.1 El diagrama de causa y efecto se construye

cdigital.dgb.uanl.mxcdigital.dgb.uanl.mx/la/1080019183/1080019183_03.pdf · Efectos tales, sóIO el amor los causa: bien ohaya siempreAa pasión á que más crea- ... mitables; la

EFECTOS DEL CONFINAMIENTO SOCIAL OBLIGATORIO A CAUSA …

El Arbol Causa y Efectos

Efectos del Azúcar en los Dientes, ¿Causa caries o no?

Ataxia Cerebelosa Subaguda en - serviciopediatria.com · tipo2, Tay-sachs, Abetalipoproteinemia) ... - Puede ser causa de ataxia por sus efectos sobre el sistema ... Slide 1 Author:

INFORMÁTICA-G INGENIERÍA INFORMÁTICA

causa y efectos del Matoneo escolar

MIGRACION NO OBLIGATORIA, DESPLAZAMIENTO FORZADO Y … · 2ª. Desplazamiento forzado hacia Bogotá 2b. Efectos en ordenamiento territorial a causa de migración no obligatoria y

Arbol de Causa y Efectos Yaulii

Mesotelioma benigno como causa de · perpetuándose así el proceso inflamatorio. Se cree que los efectos locales de las citoquinas liberadas a causa de los cambios inflamatorios

Perspectivas Futuras del Trasplante Hepático · no ha mostrado toxicidad directa sobre ningún órgano, aunque en combinación puede ser causa de efectos adversos por sobreinmunosupresión15

Educca - siar.regionjunin.gob.pesiar.regionjunin.gob.pe/sites/default/files/archivos/public/docs/... · efectos adversos en la salud. ... • En las ciudades, la causa ... Así se

DEPURACIÓN CORPORAL · SUMARIO PRIMERA PARTE: LA TOXEMIA CORPORAL ! Desequilibrios orgánicos: causa y efectos ! La intoxicación cotidiana ! La renovación permanente ! Célula,

1 / 58 - udc.es · Luis María Hervella Nieto Decano de la Facultad de Informática Tipo Documento Número Documento NIF 33995287E 2. DIRECCIÓN A EFECTOS DE NOTIFICACIÓN A los efectos

ONCOLOGÍA - Iniciodata.salud.cdmx.gob.mx/portal/images/infosalud/archivos/cuadro... · La ciclofosfamida también tiene efectos inmunosupresores. La ciclofosfamida causa linfopenia

LEGITIMACIÓN EN LA CAUSA / LEGITIMACIÓN EN LA CAUSA DE

causa-efecto - El Rincón De Aprender · CAUSA-EFECTO EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA EFECTO CAUSA He abierto el paraguas

CAUSA FIN Y CAUSA MOTIVO Derecho Privado II La causa en las obligaciones 1

Ingeniería Informática · Investigación y resolución de incidentes de seguridad y análisis forense para determinar la causa raíz (FTK Imager, enCase, volatility, etc.) Extracción

Anemia Et Causa Hematemesis Melena Et Causa Gastritis

Estudio del Potencial - bashanfoundation.org€¦ · Se recomienda seguir aplicando el mismo metodo de cosecha, debido a que no causa efectos ... alimentos enlatados, ... de Isla

Lesiones por Causa Externa - Ministerio de Salud y ...€  155 LESIONES POR CAUSA EXTERNA IIntroducciónntroducción L os efectos de la violencia y lesiones por causa externa1 tienen

EFECTOS PSICOSOCIALES ORIGINADOS A CAUSA DEL

ANÁLISIS DE LA INCIDENCIA DE EFECTOS ADVERSOS POR PARACETAMOL, COMO CAUSA DE INGRESO HOSPITALARIO, EN RELACIÓN CON LA TENDENCIA EVOLUTIVA DE SU PRESCRIPCIÓN

INFORMACIONISMO Y ASIMILACIÓN NEURONAL …eprints.rclis.org/5427/1/Madrid14.pdf · Norbert Henrichs [15], relaciona la informática con el hombre cuando dice que por causa de su