si tema 02 - principios de si - confidencialidad, integridad y disponibilidad
DESCRIPTION
TRANSCRIPT
1.1 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Seguridad Informática
Tema 02 Principios de Seguridad de la Información:
Confidencialidad, integridad y disponibilidad.
Juan Rafael Galán Santisteban
1.2 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
• Al finalizar este tema, usted sabrá Identificar
los principios de seguridad de la información.
• Conocerá conceptos que le permitirán
emprender acciones para garantizar la
seguridad de la información en la
organización, generando confianza a los
usuarios de los servicios informáticos.
OBJETIVO
1.3 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Una buena manera de acordarse de la necesidad de seguridad de la información es mediante la sigla “CID", formada por las palabras Confidencialidad, Integridad y
Disponibilidad.
Anónimo
1.4 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Tiempo
Valor
DP
MIS
IT
60’s 70’s 80’s 90’s 2000
Habilitador
Transformación
Organización
Integrador de Procesos
Procesamiento de Transacciones
Procesamiento de Datos
Alineamiento Estratégico
PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA
2010
1.5 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Información
Por qué?
Para qué?
Cómo?
Analizar y responder:
• Negocio
• Mercado
• Grupos de Interés
Potenciar:
• Toma de decisiones
• Productividad
• Integración y relaciones
• Activos intangibles
Valor de la anticipación
EL VALOR DE LA INFORMACIÓN…
1.6 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.
ESTRATEGIA DE INFORMACIÓN
1.7 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
CONFIDENCIALIDAD: Asegurar que la información es accesible
sólo para quienes están autorizados.
DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan
acceso a la información y sus recursos asociados cuando se
requiera
INTEGRIDAD: Salvaguardar la exactitud y completitud de la
información y sus métodos de procesamiento.
Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:
PRINCIPIOS DE SEGURIDAD INFORMÁTICA
1.8 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Confidencialidad
Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.
PRINCIPIOS DE SEGURIDAD INFORMÁTICA
1.9 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Integridad
Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.
PRINCIPIOS DE SEGURIDAD INFORMÁTICA
1.10 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Disponibilidad
Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran. Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.
PRINCIPIOS DE SEGURIDAD INFORMÁTICA
1.11 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Daño a la reputación
debido a compromisos en la
integridad de los datos
Pérdida de negocios debido
a interrupción del servicio
Robo de información
propietaria debido a accesos
no autorizados
Posibles críticas del
clientes debido a controles
inadecuados en la privacidad
Modelo de Negocio
Pérdidas
Financieras
por fraudes
RIESGOS
1.12 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Hijacking de Sesiones
Sofisticación de
las Herramientas
Falsificación de paquetes
1990 1980
Password Guessing
Autoreplicación de Código
Cracking de Passwords
Explotando Vulnerabilidades
Conocidas
Deshabilitando
Auditoría
Back Doors Sweepers
Sniffers
Diagnóstico no detectable
Conocimiento Técnico
Requerido
Alto
Bajo
2000
AMENAZAS
2010
1.13 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
IDENTIFICACIÓN DESTREZAS
DE
SP
LIE
GU
E
Modelo De
Seguridad Maduro INSTRUMENTACIÓN
•MODELO DE
SEGURIDAD EN
INFORMACIÓN
•DOCUMENTOS
PARA LA GESTIÓN
DE SEGURIDAD
•HERRAMIENTAS
TECNOLOGICAS
ANÁLISIS DE
NECESIDADES DE
SEGURIDAD
•APLICACIÓN DEL
MODELO
•DESARROLLO DE
HABITOS DE
SEGURIDAD
MEJORAMIENTO
CONTINUO
PLAN DE ACCIÓN
1.14 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
DE INFORMACIÓN A ACTIVO DE INFORMACIÓN
• Se establece explícitamente la necesidad de administrar la
información como un activo dentro de la estrategia empresarial y
se fijan metas alcanzables en un plazo determinado.
CLASIFICACIÓN DE LA INFORMACIÓN
CONFIDENCIALIDAD
10%
39%44%
7%
Secreta
Confidencial
Uso interno
Publica
INTEGRIDAD
39%
45%
16%
Altamente Restringida
Restringida
Controlada
DISPONIBILIDAD
27%
24%
36%
13%
CriticaAltaMediaBaja
1.15 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD
1.16 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
ISO 17799
AREAS DE
DESARROLLO
Mantenimiento
y desarrollo de
sistemas Organización de
seguridad
Clasificación
control de activos
Seguridad con
personal
Administración de Redes
y Computadores
Sistemas de
Control de Acceso
Seguridad
Física
Cumplimiento de
políticas y
normatividad legal
Plan de
Continuidad
del negocio
PROCEDIMIENTOS
1.17 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
El estudio de la seguridad informática podemos plantearlo desde dos
enfoques:
Seguridad Lógica: protección de la información en su propio medio.
Los datos deben protegerse aplicando:
– Uso de herramientas de protección de la información en el mismo
medio en el que se genera o transmite.
– Protocolos de autenticación entre cliente y servidor.
– Aplicación de normativas.
Seguridad Física: protección del sistema ante las amenazas físicas,
control de acceso físico, etc.
– Procedimientos de protección física del sistema: acceso personas,
incendio, agua, terremotos, etc.
Medidas de prevención de riesgos tanto físicos como lógicos a través de
una política de seguridad, planes de contingencia, aplicación de
normativas, etc.
Nota: Esta clasificación en la práctica no es tan rigurosa.
ENFOQUES DE LA SEGURIDAD DE LA INFORMACIÓN
1.18 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Preventivos: Actúan antes de que un hecho ocurra y su función es detener
agentes no deseados.
Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la
presencia de agentes no deseados en algún componente del sistema. Se
caracterizan por enviar un aviso y registrar la incidencia.
Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las
consecuencias.
Clasificación según su función
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.19 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Encripción o cifrado de datos: Es el proceso que se sigue para enmascarar
los datos, con el objetivo de que sean incomprensibles para cualquier
agente no autorizado.
Los datos se enmascaran usando una clave especial y siguiendo una
secuencia de pasos pre-establecidos, conocida como “algoritmo de cifrado”.
El proceso inverso se conoce como descifrado, usa la misma clave y
devuelve los datos a su estado original.
Ejemplos orientados a fortalecer la confidencialidad
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.20 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Software anti-virus: Ejercen control preventivo, detectivo y correctivo sobre
ataques de virus al sistema.
Software “firewall”: Ejercen control preventivo y detectivo sobre intrusiones
no deseadas a los sistemas.
Software para sincronizar transacciones: Ejercen control sobre las
transacciones que se aplican a los datos.
Ejemplos orientados a fortalecer la integridad
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.21 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Planes de recuperación o planes de contingencia: Es un esquema que
especifica los pasos a seguir en caso de que se interrumpa la actividad del
sistema, con el objetivo de recuperar la funcionalidad.
Dependiendo del tipo de contingencia, esos pasos pueden ejecutarlos
personas entrenadas, sistemas informáticos especialmente programados o
una combinación de ambos elementos.
Ejemplos orientados a fortalecer la disponibilidad
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.22 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Respaldo de los datos: Es el proceso de copiar los elementos de
información recibidos, transmitidos, almacenados, procesados y/o
generados por el sistema.
Existen muchos mecanismos para tomar respaldo, dependiendo de lo que
se quiera asegurar. Algunos ejemplos son: Copias de la información en
dispositivos de almacenamiento secundario, computadores paralelos
ejecutando las mismas transacciones, etc.
Ejemplos orientados a fortalecer la disponibilidad
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.23 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
¿Qué debemos proteger?
Todos los dispositivos que componen el hardware: Procesador, memoria
principal, dispositivos de entrada y de salida, dispositivos de
almacenamiento …
... y los respaldos
Seguridad física
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.24 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
¿Cómo? (Algunos ejemplos)
• Restringir el acceso a las áreas de computadoras
• Restringir el acceso a las impresoras
• Instalar detectores de humo y extintores (fuego)
• Colocar los dispositivos lejos del piso (agua)
• Colocar los dispositivos lejos de las ventanas (lluvia)
• Colocar pararrayos (rayos)
• Proteger las antenas externas (vientos)
Seguridad física
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.25 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
Temas a tener en cuenta en un entorno de Estaciones de Trabajo
• Anclajes a mesas de trabajo.
• Cerraduras.
• Etiquetas con adhesivos especiales.
• Bloqueo de unidad de disco.
• Protectores de teclado.
• Tarjeta de control de acceso al hardware.
• Suministro ininterrumpido de corriente.
• Toma de tierra.
• Protecciones en ventanas.
• Eliminación de la estática... etc.
La Seguridad Física en entornos de Usuario Final
MECANISMOS DE SEGURIDAD INFORMÁTICA
1.26 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción
La legislación peruana se ocupa de sancionar a las personas que incurran
en cualquier delito relacionado con sistemas informáticos a través de la
LEY 27309, QUE INCORPORA LOS DELITOS INFORMÁTICOS AL
CÓDIGO PENAL
Un mecanismo correctivo para factores de riesgo humano:
Sanciones legales.
MECANISMOS DE SEGURIDAD INFORMÁTICA