Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INF524 Adm CC Jose Amado Unidad 3
INF524 Adm CC Jose Amado Unidad 3
Objetivos
Entender, diseñar y propiciar métodos y mecanismos de
seguridad para la protección de los sistemas de
información y la infraestructura de los centros de
cómputos:
Introducción
Muchas empresas son amenazadas constantemente en sus activos lo que
pudiera representar miles o millones de dólares en pérdidas. Las
vulnerabilidades en nuestros sistemas de información pueden representar
problemas graves, por ello es muy importante comprender los conceptos
necesarios para combatirlos y defendernos de posibles ataques a nuestra
información.
Contenido de la unidad
3.1 Conceptos básicos de seguridad de la información
3.2 Activos de Información
3.3 Seguridad Física y Lógica de la Información
3.4 Principios básicos de la seguridad de la información
3.5 Amenazas y Vulnerabilidades
3.6 Riesgos y Medidas de Seguridad
3.7 Análisis técnico de seguridad
3.8 Establecimiento de políticas de seguridad
3.9 Plan de Continuidad del negocio
Información
Seguridad de
la Información
Equipos Personas
La información
Los equipos que la soportan
Las personas que la utilizan
Información:
En este grupo están los elementos que contienen información registrada, en medio
electrónico o físico, dentro de los más importantes tenemos: Cualquier tipo de
información, sin importar en qué tipo de medio se tenga almacenada, que sea de
importancia para la empresa y sus negocios.
Software:
Este grupo de activos contiene todos los programas de computadora que se
utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y
almacenamiento de la información. Las aplicaciones deberán estar seguras para
que la comunicación entre las bases de datos, otras aplicaciones y los usuarios se
realice de forma segura, atendiendo a los principios básicos de la seguridad de la
información.
Ejemplos Activos de Software:
Aplicaciones comerciales
sistemas operativos ((Unix, Windows, Linux, etc.)
programas de correo electrónico
sistemas de respaldo
Entre otros.
Hardware:
Estos activos representan toda la infraestructura tecnológica que brinda soporte a
la información durante su uso, tránsito y almacenamiento. Los activos que
pertenecen a este grupo son: Cualquier equipo en el cual se almacene, procese o
transmita la información de la empresa.
Ejemplos Activos de Hardware:
Computadoras
Servidores
Equipos portátiles
Mainframes
Medios de almacenamiento
Equipos de conectividad, enrutadores, switchs
Cualquier otro elemento de una red de computadoras por
donde transita la información.
Organización:
En este grupo se incluyen los aspectos que componen la estructura física y
organizativa de las empresas. Se refiere a la organización lógica y física que tiene
el personal dentro de la empresa en cuestión.
Usuarios:
Se refiere a los individuos que utilizan la estructura tecnológica y que manejan la
información. Está orientado hacia la toma de conciencia de formación en el hábito
de la seguridad en los usuarios. Es común encontrarnos con la cita “El personal es
el eslabón más débil de la cadena de seguridad de una empresa”.
Seguridad Física
Existen diferentes factores que afectan la seguridad física, entre los más
relevantes tenemos: Factores ambientales: incendios, inundaciones, sismos,
humedad, etc. Factores humanos: Robos, actos vandálicos, fraude, sabotaje,
terrorismo, etc.
Seguridad Lógica
Se conoce como seguridad lógica, como la manera de aplicar procedimientos que
aseguren que solo podrán tener acceso a los datos las personas o sistemas de
información autorizados para hacerlo.
Integridad de la Información
Nos permite garantizar que la información no ha sido
alterada en su contenido, por tanto, es íntegra. Una
información íntegra es una información que no ha sido
alterada de forma indebida o no autorizada. La integridad
de la información es fundamental para el éxito de la
comunicación, La quiebra de integridad ocurre cuando la
información se corrompe, falsifica o burla.
Confidencialidad de la Información
Tiene como propósito el asegurar que sólo la persona
correcta acceda a la información que queremos distribuir.
Se dice que la información posee un grado de
confidencialidad que se deberá preservar para que
personas sin autorización no la conozcan. Garantizar la
confidencialidad es uno de los factores determinantes para
la seguridad y una de las tareas más difíciles de
implementar, pues involucra a todos los elementos que
forman parte de la comunicación de la información.
Disponibilidad de la Información
Se refiera a la disponibilidad de la información y de toda la
estructura física y tecnológica que permite el acceso,
tránsito y almacenamiento. La disponibilidad de la
información permite que:
- Se utilice cuando sea necesario
- Que esté al alcance de sus usuarios y destinatarios
- Se pueda acceder en el momento en que se necesita
utilizar.
Fuente: Academia Latinoamericana de la Seguridad Informática
Vulnerabilidades
Las vulnerabilidades son los elementos que, al ser explotados por amenazas,
afectan la confidencialidad, disponibilidad e integridad de la información de un
individuo o empresa. Uno de los primeros pasos para la implementación de la
seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología
de la información.
Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los
cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas
para su corrección. Los puntos débiles dependen de la forma en que se organizó
el ambiente en que se maneja la información. La existencia de puntos débiles está
relacionada con la presencia de elementos que perjudican el uso adecuado de la
información y del medio en que la misma se está utilizando.
Podemos comprender ahora otro objetivo de la seguridad de la información: la
corrección de puntos débiles existentes en el ambiente en que se usa la
información, con el objeto de reducir los riesgos a que está sometida, evitando así
la concretización de una amenaza.
Análisis de riesgos
Política de seguridad
Especificación de seguridad
Administración de seguridad
Estaciones de trabajo: Son la forma en que están configuradas para evitar que
los usuarios (con frecuencia de forma inconsciente) permiten la acción de
amenazas. Ejemplos de vulnerabilidades comunes en este tipo de activos:
ausencia de protector de pantallas bloqueado por clave, que permite que las
máquinas dejadas solas no sean utilizadas por personas no autorizadas; ausencia
de configuraciones de seguridad que permitan la instalación o ejecución de
programas maliciosos; periodicidad de actualización de programas antivirus, etc.
Servidores
Los servidores son analizados con prioridades en relación a sus normas de
acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos
a cuál tipo de información, con base en la clasificación y con relación a la
confidencialidad de las informaciones para identificar el exceso o falta de
privilegios para la realización de tareas.
El enfoque principal se encuentra en los archivos de configuración y de definición
de usuarios que tienen derechos de administración del ambiente, una vez que son
los privilegios de administración los que más amenazan los entornos de tecnología
y también son los más anhelados por los invasores.
Equipos de conectividad
El análisis de equipos de conectividad está centrado en la detección de
configuraciones que ponen en riesgo las conexiones realizadas por la red de
comunicación que respalda un proceso de negocio. Se debe identificar en este
análisis la manera en que estos activos han sido configurados: dispositivos de
ruteo, parámetros, módems, estaciones nodales, puentes (bridge) y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general
se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de
configuración a estos activos, el acceso externo a la red del proceso de negocio,
estará naturalmente más protegido.
Conexiones
Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica,
satélite, radio, antenas… Para eso, es importante realizar actividades de análisis
sobre la forma con que las conexiones están configuradas y dispuestas en la
representación topológica de la red. Esto garantiza que la comunicación sea
realizada en un medio seguro, encriptado si fuere necesario, libre de posibilidades
de rastreo de paquetes o mensajes, y también como el desvío de tránsito para
otros destinos indeseados.
Bases de datos
Las bases de datos representan un elemento de importancia extrema en la cadena
comunicativa, pues almacenan informaciones relativas a los procesos de negocio
y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en
que la base de datos conversa con las demás aplicaciones de lectura de sus
informaciones es uno de los primeros elementos que deben ser analizados. En las
bases de datos son evaluados los privilegios de los usuarios con relación a los
permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones
que hacen la lectura y escritura de estas informaciones.
Aplicaciones
Las aplicaciones son los elementos que hacen la lectura de las informaciones de
un proceso de negocio u organización. De esta manera son un elemento muy
crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos
tipos de información con relación a la confidencialidad, integridad y disponibilidad.
Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso
restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas
manipulan, al garantizar que sus configuraciones estén de acuerdo con los
principios de seguridad establecidos con relación a la disponibilidad de la
información.
Una política de seguridad, para que sea efectiva, necesita contar con los
siguientes elementos como base de sustentación:
Cultura
Herramientas
Monitoreo
Como todo proceso de evaluación y posible cambio de las prácticas actuales, una
política debe tener como base una estrategia de medición de eficacia, para poder
evaluar el desempeño de la gestión de seguridad y los puntos débiles que
necesitan ser mejorados.
Para elaborar una política, es necesario delimitar los temas que serán convertidos
en normas. La división de los temas de una política depende de las necesidades
de la organización y su delimitación se hace a partir de:
Debido a que una política de seguridad impacta la forma de trabajo diario de las
personas, esta debe ser:
Por lo tanto, se deben definir medidas preventivas para reducir los riesgos de
interrupción y desarrollar los procedimientos de recuperación necesarios, en caso
de que un desastre ocurra. Es decir, se debe lograr una adecuada
Administración de la Continuidad del Negocio.
Dentro de los factores clave para tener una buena administración de la continuidad
se tienen:
La norma ISO 17799, renombrada como ISO/IEC 27002, fue desarrollada por la
ISO, con el propósito de contar con un conjunto de mejores prácticas en el campo
de seguridad de la información.
Clasificación de procesos
- Sus funciones no pueden ser ejecutadas a menos que
sean remplazadas por recursos idénticos.
Críticos
- No se pueden utilizar métodos manuales.
- Costo de interrupción es muy alto.
- Sus funciones pueden ser ejecutadas manualmente
durante un periodo corto.
Vitales - Mayor tolerancia a las interrupciones.
- Costos de interrupción menores si caída es menor a 3
días.
- Sus funciones pueden ser ejecutadas manualmente
Sensitivos durante un periodo relativamente largo.
- Mientras se hace manualmente requiere staff adicional.
- Costos de interrupción medios.
- Sus funciones pueden ser interrumpidas durante un
No Críticos
periodo relativamente largo, con poco o ningún costo.
Durante el BIA se deben identificar los impactos financieros, es decir los costos
asociados a la continuidad de las operaciones. Estos costos se clasifican en dos
tipos:
Como hemos visto, el BIA es una etapa imprescindible para alinear el Plan de
Recuperación de Desastres, DRP, con los objetivos de la organización.
Estrategias de Recuperación
Listo para operar en pocas horas, tiene el equipo, red y sistemas
Hot site
necesarios. Solo falta el staff, datos y documentación.
Puede operar en menos de un día. Está parcialmente configurado,
Warm site con conexiones de red y equipo periférico seleccionado. Con
capacidad de CPU menor a la de producción normal.
Tiene solo la infraestructura básica: suministro eléctrico, aire
Cold site acondicionado, etc. Está listo para recibir equipo de cómputo y
comunicaciones. Puede tardar varios días en operar.
Acuerdos Son acuerdos de respaldo entre dos ó más organizaciones, para
recíprocos apoyarse cuándo sucede una emergencia.
Bibliografía