UPT

Derecho Informático

Seguridad de la Información

Ivonne Gonzales Nina

11/10/2013

.

Seguridad de Información UPT

INTRODUCCION

Existen muchas definiciones del término seguridad. Simplificando,

y en general, podemos definir la seguridad como: "Característica

que indica que un sistema está libre de todo peligro, daño o

riesgo." (Villalón)

Cuando hablamos de seguridad de la información estamos

indicando que dicha información tiene una relevancia especial en

un contexto determinado y que, por tanto, hay que proteger.

La Seguridad de la Información se puede definir como conjunto de

medidas técnicas, organizativas y legales que permiten a la

organización asegurar la confidencialidad, integridad y

disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos,

toda la información de interés de una organización se guardaba

en papel y se almacenaba en grandes cantidades de abultados

archivadores. Datos de los clientes o proveedores de la

organización, o de los empleados quedaban registrados en papel,

con todos los problemas que luego acarreaba su almacenaje,

transporte, acceso y procesado.

“La seguridad informática consiste en la implantación de un

conjunto de medidas técnicas destinadas a preservar la

confidencialidad, la integridad y la disponibilidad de la información,

pudiendo, además, abarcar otras propiedades, como la

autenticidad, la responsabilidad, la fiabilidad y el no repudio.”

1

Ivonne Gonzales Nina

Seguridad de Información UPT

DESARROLLO

1. SEGURIDAD DE LA INFORMACION

La seguridad informática es el área de la informática que se encarga de la protección

de la infraestructura computacional incluyendo la información contenida. Maneja la

protección de aspectos tales como: confidencialidad, integridad, autenticidad y

disponibilidad. La seguridad informática protege software, bases de datos, archivos,

datos, etc. de que caiga en manos de personas inescrupulosas o no autorizadas. En

las empresas existe un componente fundamental en el proceso del negocio: La

información, uno de los mayores retos de las organizaciones y en especial de los

departamentos de sistemas e informática es garantizar la seguridad de la información

y de los recursos informáticos.

Los objetivos de la seguridad informática son:

Proteger la información contenida, es uno de los elementos más importantes

dentro de una organización; son todos los datos ingresados por el usuario (ya

sea un administrador, supervisor u otra persona que le esté permitido anexar o

modificar dicha información) para que no le sean permitidos ver a personas

ajenas a el acceso de la información.

Proteger al usuario: Son las personas que utilizan la estructura tecnológica,

zona de comunicaciones y gestiona la información .el usuario es el mayor

afectado si la información es hurtada, ya que es el responsable de ella.

2. ¿CÓMO ESTABLECER LOS REQUISITOS DE SEGURIDAD?

Es esencial que la organización identifique sus requisitos de seguridad. Existen tres

fuentes principales.

1. La primera fuente procede de la valoración de los riesgos de la organización,

tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se

identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de

su ocurrencia y se estima su posible impacto.

2

Ivonne Gonzales Nina

Seguridad de Información UPT

2. La segunda fuente es el conjunto de requisitos legales, estatutos,

regulaciones y contratos que debería satisfacer la organización, sus socios

comerciales, los contratistas y los proveedores de servicios.

3. La tercera fuente está formada por los principios, objetivos y requisitos que

forman parte del tratamiento de la información que la organización ha desarrollado

para apoyar sus operaciones.

3. OBJETIVO DE LA SEGURIDAD INFORMÁTICA

El objetivo de la seguridad informática es proteger los recursos informáticos

valiosos de la organización, tales como la información, el hardware o el software. A

través de la adopción de las medidas adecuadas, la seguridad informática ayuda a la

organización cumplir sus objetivos, protegiendo sus recursos financieros, sus

sistemas, su reputación, su situación legal, y otros bienes tanto tangibles como

inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad informática

como algo que dificulta la consecución de los propios objetivos de la organización,

imponiendo normas y procedimientos rígidos a los usuarios, a los sistemas y a los

gestores. Sin embargo debe verse a la seguridad informática, no como un objetivo en

sí mismo, sino como un medio de apoyo a la consecución de los objetivos de la

organización.

En general el principal objetivo de las empresas, es obtener beneficios y el de

las organizaciones públicas, ofrecer un servicio eficiente y de calidad a los usuarios.

En las empresas privadas, la seguridad informática debería apoyar la consecución de

beneficios.

Para ello se deben proteger los sistemas para evitar las potenciales pérdidas

que podrían ocasionar la degradación de su funcionalidad o el acceso a los sistemas

por parte de personas no autorizadas.

De igual forma, las organizaciones públicas deben proteger sus sistemas para

garantizar la oferta de sus servicios de forma eficiente y correcta.

3

Ivonne Gonzales Nina

Seguridad de Información UPT

4. ROLES SOBRE LA SEGURIDAD

¿Quién es el responsable por la seguridad de la

información?

Directorio:

Revisar y aprobar la política de seguridad de la información asegurando que sea

adecuada para la institución.

Evaluar y aprobar las iniciativas principales para mejorar la seguridad de la

información.

Evaluar el rendimiento de la gestión de seguridad de la información.

Gerencia General:

Difundir de una manera adecuada la Política de Seguridad de la Información.

Asegurar el correcto entendimiento de la Política de Seguridad de la

Información y que todo el personal de la institución se comprometa al

cumplimiento de la misma.

Oficial de Seguridad de la Información:

4

Ivonne Gonzales Nina

Seguridad de Información UPT

Direccionar, recomendar y aconsejar a todos los usuarios de los sistemas de

información en cuanto a la seguridad de la información.

Realizar investigaciones de incidentes y ayudar a resolver problemas de

seguridad de la información.

Desarrollar métodos y técnicas para monitorear efectivamente los sistemas de

seguridad de la información y reportar periódicamente su efectividad al Comité

de Gestión de SI.

Evaluar, recomendar y desarrollar especificaciones técnicas para la seguridad

de los sistemas de información.

Coordinar el desarrollo, mantenimiento y prueba del plan de Contingencia

Informático

Gerentes y Jefes:

Difundir de una manera adecuada la Política de Seguridad de la Información

asegurando su correcto entendimiento.

Controlar los términos de seguridad de la información en contratos con terceros

y en la relación con los clientes externos.

Propietarios de Información:

Aceptar la responsabilidad por toda la información que está bajo su control.

Analizar el valor e impacto de la información a su cargo

Clasificar la información de acuerdo a los estándares establecidos.

Autorizar accesos sobre la información

Determinar tiempos de retención y métodos de destrucción de la información.

Comunicar requerimientos de control y protección de la información al Oficial

de Seguridad.

Establecer los niveles mínimos de servicio cuando se requiere recuperar

información en casos de desastres.

Custodios:

5

Ivonne Gonzales Nina

Seguridad de Información UPT

Cumplir con los requerimientos de protección de la Información

Utilizar herramientas y mecanismos de seguridad físicos y de procedimientos

automatizados para proteger la información del acceso, divulgación,

modificación o destrucción no autorizados, ya sea accidental o

intencionalmente.

Preparar respaldos de información y guardarlos en localizaciones seguras.

Participar en la evaluación de riesgos junto con los propietarios de la

información y el Oficial de Seguridad.

Preparar planes de recuperación de la información.

En caso de contingencias, notificar a los usuarios propietarios de la información

la incapacidad de cumplir con los niveles de servicio establecidos.

Usuarios:

Usar solamente la información para los propósitos autorizados por la

organización.

Cumplir con los requerimientos de seguridad establecidos

Informar a los propietarios de la información y/o el Oficial de Seguridad

cualquier exposición de la seguridad ya sea real o potencial.

Controlar los términos de seguridad de la información en contratos con terceros

y en la relación con nuestros clientes.

5. MECANISMOS DE SEGURIDAD

Medidas de Protección

Los controles deben asegurar que los riesgos son reducidos a

un nivel de riesgo aceptable tomando en cuenta:

Requerimientos y limitaciones de la legislación y regulación

nacional e internacional

Objetivos organizacionales

Requerimientos y limitaciones operativas

6

Ivonne Gonzales Nina

Seguridad de Información UPT

Costo de implementación y operación

Balance entre la inversión y el daño probable en caso de

fallas

Clasificación de la Información:

La información debería clasificarse para indicar la necesidad,

prioridades y grado de protección

Privado

Confidencial

Uso interno

Público

Seguridad en la zona de trabajo

Guardar los documentos y medios de almacenamiento de

información cuando estos no se estén utilizando.

Guardar información confidencial o privada en lugar seguro y

bajo llave.

Bloquear su computador en caso de ausencia temporal en la

oficina.

Apagar su computadora al final de su jornada de trabajo

Seguridad de equipos dentro y fuera de la Organización

Utilizar los equipo sólo para la ejecución de funciones

asignadas

Vigilar condiciones eléctricas y ambientales

Evitar fumar, beber y comer

Equipos fuera de los locales

Solicitar autorización para retirar equipo

No dejarlos desatendidos en sitios públicos

No desactivar mecanismos de protección

7

Ivonne Gonzales Nina

Seguridad de Información UPT

Acceso a las computadoras

Está prohibido utilizar una identidad distinta a la propia

Los dispositivos de almacenamiento removibles (grabadoras

de CD/DVD, memoria USB) están restringidos.

Está prohibido el compartir carpetas sin asignar contraseñas

o permisos de acceso.

Sólo el personal de Soporte Técnico podrá ingresar

remotamente a las computadoras, con la autorización del

usuario o por orden de la Gerencia General.

Acceso a la Red de Datos y Sistemas de Información

Todo acceso debe estar autorizado por el Gerente o Jefe.

El acceso a los sistemas de información debe ser autorizado

los correspondientes propietarios.

Las cuentas y contraseñas de acceso a red, correo, sistemas

y otros servicios son confidenciales, personales e

intransferibles

Las contraseñas deben ser difíciles de adivinar, tener al

menos 6 dígitos, cambiarse por lo menos cada 90 días y

bloquearse al tercer intento fallido.

Protección contra software malicioso

No introducir virus o software malicioso en los equipos de

cómputo.

No deshabilitar o desinstalar los programas antivirus, sin

autorización

No instalar software adicional.

Comunicar inmediatamente al área de Soporte Técnico la

detección de virus o software malicioso.

8

Ivonne Gonzales Nina

Seguridad de Información UPT

Uso de Correo Electrónico Interno

El correo electrónico institucional es personal y de uso

exclusivo para las funciones encomendadas.

Está prohibido transmitir contenido invasor a la intimidad,

que contravenga disposiciones legales u ofensivas.

Está prohibido enviar mensajes spams, con fines lucrativos o

cadenas.

Eliminar correos electrónicos externos no solicitados y/o

recibidos de fuentes desconocidas.

No ejecutar archivos adjuntos de programas, scripts o

extensiones desconocidas (Ejemplo: exe, com, vbs, bat)

No transmitir información confidencial sin autorización del

jefe inmediato superior.

Uso de Internet

El acceso a Internet es para uso exclusivo de las funciones

encomendadas

Está prohibido:

Ingresar a páginas improductivas que no estén relacionadas

a las funciones

Descargar e instalar programas sin autorización

Utilizar aplicaciones Peer-to-peer

Utilizar mensajería instantánea sin autorización

Todo acceso puede ser monitoreado

Seguridad de Equipos Ofimáticos

Recoger inmediatamente los documentos que se impriman o

fotocopien.

Destruir copias de documentos confidenciales (Cuando ya no

sean necesarias)

9

Ivonne Gonzales Nina

Seguridad de Información UPT

Identificar y supervisar los equipos ofimáticos de su área

Evitar fuga de información

No enviar información confidencial por fax, sin autorización

Otras formas de Comunicación de tipo confidencial

No dejar grabados mensajes con información confidencial en

máquinas contestadoras

Evitar conversar sobre temas sensibles o confidenciales en

presencia de terceros

Evitar discutir temas sensibles o confidenciales por teléfonos

inalámbricos o celulares

10

Ivonne Gonzales Nina

Seguridad de Información UPT

CONCLUSIONES

La Seguridad de la Información es importante por la conservación

de la integridad de la información y el equipo en sí, piensa en los

virus como algo dañino que puede dañar tu sistema operativo y

dejar tu pc sin posibilidades de uso, así como la perdida de la

información almacenada.

Se está tomando Énfasis al ISO 27002 porque proporciona

recomendaciones de las mejores prácticas en la gestión de la

seguridad de la información a todos los interesados y

responsables en iniciar, implantar o mantener sistemas de gestión

de la seguridad de la información.

11

Ivonne Gonzales Nina

Seguridad de Información UPT

WEB GRAFÍA

http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la-

iso-27001-y-la-iso-27002

http://es.wikipedia.org/wiki/ISO/IEC_27002

http://seguridadit.blogspot.com/

http://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci

%C3%B3n_y_la_comunicaci%C3%B3n

http://es.wikipedia.org/wiki/Tic

12

Ivonne Gonzales Nina