Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad

1.1 Juan Rafael Galán Santisteban USS©2013 Seguridad Informática – Introducción

Seguridad Informática

Tema 02 Principios de Seguridad de la Información:

Confidencialidad, integridad y disponibilidad.

Juan Rafael Galán Santisteban


• Al finalizar este tema, usted sabrá Identificar

los principios de seguridad de la información.

• Conocerá conceptos que le permitirán

emprender acciones para garantizar la

seguridad de la información en la

organización, generando confianza a los

usuarios de los servicios informáticos.

OBJETIVO


Una buena manera de acordarse de la necesidad de seguridad de la información es mediante la sigla “CID", formada por las palabras Confidencialidad, Integridad y

Disponibilidad.

Anónimo


Tiempo

Valor

DP

MIS

IT

60’s 70’s 80’s 90’s 2000

Habilitador

Transformación

Organización

Integrador de Procesos

Procesamiento de Transacciones

Procesamiento de Datos

Alineamiento Estratégico

PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA

2010


Información

Por qué?

Para qué?

Cómo?

Analizar y responder:

• Negocio

• Mercado

• Grupos de Interés

Potenciar:

• Toma de decisiones

• Productividad

• Integración y relaciones

• Activos intangibles

Valor de la anticipación

EL VALOR DE LA INFORMACIÓN…


Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.

ESTRATEGIA DE INFORMACIÓN


CONFIDENCIALIDAD: Asegurar que la información es accesible

sólo para quienes están autorizados.

DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan

acceso a la información y sus recursos asociados cuando se

requiera

INTEGRIDAD: Salvaguardar la exactitud y completitud de la

información y sus métodos de procesamiento.

Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

PRINCIPIOS DE SEGURIDAD INFORMÁTICA


Confidencialidad

Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, computadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.



Integridad

Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.



Disponibilidad

Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran. Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.



Daño a la reputación

debido a compromisos en la

integridad de los datos

Pérdida de negocios debido

a interrupción del servicio

Robo de información

propietaria debido a accesos

no autorizados

Posibles críticas del

clientes debido a controles

inadecuados en la privacidad

Modelo de Negocio

Pérdidas

Financieras

por fraudes

RIESGOS


Hijacking de Sesiones

Sofisticación de

las Herramientas

Falsificación de paquetes

1990 1980

Password Guessing

Autoreplicación de Código

Cracking de Passwords

Explotando Vulnerabilidades

Conocidas

Deshabilitando

Auditoría

Back Doors Sweepers

Sniffers

Diagnóstico no detectable

Conocimiento Técnico

Requerido

Alto

Bajo

2000

AMENAZAS

2010


IDENTIFICACIÓN DESTREZAS

DE

SP

LIE

GU

E

Modelo De

Seguridad Maduro INSTRUMENTACIÓN

•MODELO DE

SEGURIDAD EN

INFORMACIÓN

•DOCUMENTOS

PARA LA GESTIÓN

DE SEGURIDAD

•HERRAMIENTAS

TECNOLOGICAS

ANÁLISIS DE

NECESIDADES DE

SEGURIDAD

•APLICACIÓN DEL

MODELO

•DESARROLLO DE

HABITOS DE

SEGURIDAD

MEJORAMIENTO

CONTINUO

PLAN DE ACCIÓN


DE INFORMACIÓN A ACTIVO DE INFORMACIÓN

• Se establece explícitamente la necesidad de administrar la

información como un activo dentro de la estrategia empresarial y

se fijan metas alcanzables en un plazo determinado.

CLASIFICACIÓN DE LA INFORMACIÓN

CONFIDENCIALIDAD

10%

39%44%

7%

Secreta

Confidencial

Uso interno

Publica

INTEGRIDAD

39%

45%

16%

Altamente Restringida

Restringida

Controlada

DISPONIBILIDAD

27%

24%

36%

13%

CriticaAltaMediaBaja


CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD


ISO 17799

AREAS DE

DESARROLLO

Mantenimiento

y desarrollo de

sistemas Organización de

seguridad

Clasificación

control de activos

Seguridad con

personal

Administración de Redes

y Computadores

Sistemas de

Control de Acceso

Seguridad

Física

Cumplimiento de

políticas y

normatividad legal

Plan de

Continuidad

del negocio

PROCEDIMIENTOS


El estudio de la seguridad informática podemos plantearlo desde dos

enfoques:

Seguridad Lógica: protección de la información en su propio medio.

Los datos deben protegerse aplicando:

– Uso de herramientas de protección de la información en el mismo

medio en el que se genera o transmite.

– Protocolos de autenticación entre cliente y servidor.

– Aplicación de normativas.

Seguridad Física: protección del sistema ante las amenazas físicas,

control de acceso físico, etc.

– Procedimientos de protección física del sistema: acceso personas,

incendio, agua, terremotos, etc.

Medidas de prevención de riesgos tanto físicos como lógicos a través de

una política de seguridad, planes de contingencia, aplicación de

normativas, etc.

Nota: Esta clasificación en la práctica no es tan rigurosa.

ENFOQUES DE LA SEGURIDAD DE LA INFORMACIÓN


Preventivos: Actúan antes de que un hecho ocurra y su función es detener

agentes no deseados.

Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la

presencia de agentes no deseados en algún componente del sistema. Se

caracterizan por enviar un aviso y registrar la incidencia.

Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las

consecuencias.

Clasificación según su función

MECANISMOS DE SEGURIDAD INFORMÁTICA


Encripción o cifrado de datos: Es el proceso que se sigue para enmascarar

los datos, con el objetivo de que sean incomprensibles para cualquier

agente no autorizado.

Los datos se enmascaran usando una clave especial y siguiendo una

secuencia de pasos pre-establecidos, conocida como “algoritmo de cifrado”.

El proceso inverso se conoce como descifrado, usa la misma clave y

devuelve los datos a su estado original.

Ejemplos orientados a fortalecer la confidencialidad



Software anti-virus: Ejercen control preventivo, detectivo y correctivo sobre

ataques de virus al sistema.

Software “firewall”: Ejercen control preventivo y detectivo sobre intrusiones

no deseadas a los sistemas.

Software para sincronizar transacciones: Ejercen control sobre las

transacciones que se aplican a los datos.

Ejemplos orientados a fortalecer la integridad



Planes de recuperación o planes de contingencia: Es un esquema que

especifica los pasos a seguir en caso de que se interrumpa la actividad del

sistema, con el objetivo de recuperar la funcionalidad.

Dependiendo del tipo de contingencia, esos pasos pueden ejecutarlos

personas entrenadas, sistemas informáticos especialmente programados o

una combinación de ambos elementos.

Ejemplos orientados a fortalecer la disponibilidad



Respaldo de los datos: Es el proceso de copiar los elementos de

información recibidos, transmitidos, almacenados, procesados y/o

generados por el sistema.

Existen muchos mecanismos para tomar respaldo, dependiendo de lo que

se quiera asegurar. Algunos ejemplos son: Copias de la información en

dispositivos de almacenamiento secundario, computadores paralelos

ejecutando las mismas transacciones, etc.

Ejemplos orientados a fortalecer la disponibilidad



¿Qué debemos proteger?

Todos los dispositivos que componen el hardware: Procesador, memoria

principal, dispositivos de entrada y de salida, dispositivos de

almacenamiento …

... y los respaldos

Seguridad física



¿Cómo? (Algunos ejemplos)

• Restringir el acceso a las áreas de computadoras

• Restringir el acceso a las impresoras

• Instalar detectores de humo y extintores (fuego)

• Colocar los dispositivos lejos del piso (agua)

• Colocar los dispositivos lejos de las ventanas (lluvia)

• Colocar pararrayos (rayos)

• Proteger las antenas externas (vientos)

Seguridad física



Temas a tener en cuenta en un entorno de Estaciones de Trabajo

• Anclajes a mesas de trabajo.

• Cerraduras.

• Etiquetas con adhesivos especiales.

• Bloqueo de unidad de disco.

• Protectores de teclado.

• Tarjeta de control de acceso al hardware.

• Suministro ininterrumpido de corriente.

• Toma de tierra.

• Protecciones en ventanas.

• Eliminación de la estática... etc.

La Seguridad Física en entornos de Usuario Final



La legislación peruana se ocupa de sancionar a las personas que incurran

en cualquier delito relacionado con sistemas informáticos a través de la

LEY 27309, QUE INCORPORA LOS DELITOS INFORMÁTICOS AL

CÓDIGO PENAL

Un mecanismo correctivo para factores de riesgo humano:

Sanciones legales.


Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad

Documents

Transcript of Si tema 02 - principios de si - confidencialidad, integridad y disponibilidad