Unidad Iv - Seguridad

Capítulo IV
SEGURIDAD INFORMATICA
Auditoría Informática Prof. Lic. Marco Leiva

ÍNDICE
1. Seguridad Informática
• Características
• Objetivos de la Seguridad Informática
• Términos relacionados con la Seguridad
Informática
2. Políticas de la Seguridad Informática
3. Clasificación de la información
4. Auditoria de la Seguridad Informática
5. Tipos de medidas de seguridad
Medidas Físicas
Medidas Lógica

Seguridad Informática
• Podemos entender como seguridad un estado de
cualquier sistema (informático o no) que nos indica que
ese sistema está libre de peligro, daño o riesgo. Se
entiende como peligro o daño todo aquello que pueda
afectar su funcionamiento directo o los resultados que se
obtienen del mismo.
• Consiste en asegurar que los recursos del sistema de
información (material informático o programas) de una
organización sean utilizados de la manera que se
decidió, y que el acceso a la información allí contenida
así como su modificación sólo sea posible a las personas
que se encuentren acreditadas y dentro de los límites de
su autorización.
SEGURIDAD INFORMATICA
Un sistema de seguridad debe contemplar:
• Definir políticas de seguridad
• Clasificación de los recursos
• Organizar y dividir las responsabilidades
• Contemplar la seguridad física y lógica.
• Definir prácticas de seguridad para el personal.
• Plan de emergencia, plan de evacuación.
• Definir el tipo de pólizas de seguros.
• Definir necesidades de sistemas de seguridad para Hard. y Soft.
• Planificación de los papeles de auditores internos y externos.
• Planificación de equipos de contingencia con carácter
periódico.
• Política de destrucción de papeles, copias, fotocopias, etc.

CARACTERISTICAS
Para que un sistema se pueda definir como seguro
debe tener estas cuatro características:
Integridad: La información sólo puede ser
modificada por quien está autorizado.
Confidencialidad: La información sólo debe ser
legible para los autorizados.
Disponibilidad: Debe estar disponible cuando se
necesita.
Irrefutabilidad: (No-Rechazo o No Repudio) Que
no se pueda negar la autoría.

CARACTERISTICAS
• Confidencialidad, Integridad y Disponibilidad
La Seguridad de la Información es definida en los
términos en que protege la confidencialidad,
integridad y disponibilidad de los sistemas de
información.
Confidencialidad busca asegurar que la
información no es revelada a personas o
procesos sin autorización.
Pérdida de confidencialidad puede ocurrir de
varias maneras tal como, la revelación intencional
de información privada de la organización o por
medio de la mala aplicación de derechos sobre la
red informática.

Características de la seguridad de la información
Integridad se refiere al control de la información a

través de los siguientes tres objetivos:
1. Prevención de modificación de datos por
usuarios sin autorización.
2. Prevención de modificación no autorizada o no
intencional de datos por usuarios con
autorización.
3. Preservación de la consistencia interna y externa
de los sistemas de información.
Consistencia interna asegura de la información
interna del sistema es consistente en sí misma.
Consistencia externa asegura que la información
del sistema es consistente con el mundo real.
Características de la seguridad de la información
Disponibilidad busca asegurar que usuarios

autorizados a un sistema posean acceso oportuno
e ininterrumpido a la información del sistema.
Up and running.

Objetivos de la seguridad
• Objetivos:
Mantener una protección adecuada de los
activos de la organización:
Información
Software
Equipamiento físico
Servicios Básicos
Asegurar que los activos reciben un nivel
apropiado de protección.

Tipos de Activos
• Información
– Bases de datos y archivos de datos
– Contratos y acuerdos
– Documentación impresa o en línea
– Información de investigación
– Manuales y material de entrenamiento
– Procedimientos
– Pistas de Auditoría
• Software
– Software de aplicación
– Software de base
– Herramientas y utilitarios de desarrollo
Tipos de Activos
• Hardware
– Equipos de computación
– Equipos de comunicaciones
– Medios de almacenamiento
– Centros de cableados
• Servicios
– Servicios de computación y comunicaciones
– Servicios de soporte (electricidad, aire acondicionado,
iluminación, calefacción)

Tipos de Activos
• Personas, junto con
– su experiencia,
– calificaciones,
– capacidades y
– competencias
• Bienes Intangibles
– Reputación
– Marcas
– Imagen de la organización

Términos relacionados con la Seguridad Informática
• Amenaza: es un evento que pueden desencadenar

un incidente en la organización, produciendo daños
materiales o pérdidas inmateriales en sus activos.
• Vulnerabilidad: posibilidad de ocurrencia de la
materialización de una amenaza sobre un Activo.
• Ataque: evento, exitoso o no, que atenta sobre el
buen funcionamiento del sistema.
• Desastre o Contingencia: interrupción de la
capacidad de acceso a información y procesamiento
de la misma a través de computadoras necesarias
para la operación normal de un negocio.

Políticas de Seguridad Informática
• La política de seguridad es una declaración de intenciones
de alto nivel que cubre la seguridad de los S.I. y que
proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones técnicas y
organizativas que se requerirán.
La política se refleja en una serie de normas, reglamentos
y protocolos a seguir, donde se definen las distintas
medidas a tomar para proteger la seguridad del sistema,
las funciones y responsabilidades de los distintos
componentes de la organización y los mecanismos para
controlar su correcto funcionamiento.
• Las políticas generalmente son establecidas por la
gerencia y aprobadas por la alta dirección.
Política de seguridad informática
• Objetivo: Proporcionar directrices que soporten y orienten
el proceso de seguridad de la información en la
organización.
Documento con las políticas de seguridad de la
información.
Expresa el enfoque de la organización para manejar
y controlar la seguridad de la información que posee.
Este documento debe ser establecido por la gerencia
de la organización y debe asegurarse su
comunicación a todos los empleados de la
organización
Revisión y evaluación periódica de las políticas.
Asegurar su adecuación a las expectativas de
seguridad de la información de la organización
Algunas reglas básicas a la hora de establecer una
política de seguridad.
• Toda política de seguridad debe ser estratégica, es

decir, debe cubrir todos los aspectos relacionados con el
sistema.
• Debe proteger el sistema en todos los niveles: físico,
lógico, humano y logístico.
• Debe tener en cuenta el entorno del sistema; tipo de
compañía o entidad con que tratamos (comercial,
bancaria, educativa, etc.).
• La política de seguridad debe adecuarse a nuestras
necesidades y recursos, el valor que se le da a los
recursos y a la información, el uso que se hace del
sistema en todas las áreas de la organización.
• Deben evaluarse los riesgos, el valor del sistema
protegido y el coste de atacarlo. Las medidas de
seguridad tomadas deben ser proporcionales a estos
valores.
• Toda política de seguridad debe basarse
fundamentalmente en el sentido común. Es necesario:
Un conocimiento del sistema a proteger y de su
entorno.
Un conocimiento y experiencia en la evaluación de
riesgos y el establecimiento de medidas de
seguridad.
Un conocimiento de la naturaleza humana, de los
usuarios y de sus posibles motivaciones.
Elementos de la Política de Seguridad Informática:
• Alcance de las políticas, incluyendo recursos, sistemas y
personal sobre la cual aplica.
• Objetivos de la política y descripción clara de los elementos
involucrados en su definición.
• Responsabilidades por cada uno de los servicios y recursos
informáticos aplicado a todos los niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad
de los sistemas que abarca el alcance de la política.
• Definición de sanciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la
información a la que tiene acceso.

Política de seguridad de la información
• Revisión y evaluación de las políticas de seguridad de la
información
La política de seguridad debe tener un responsable quien
se encarga de su mantenimiento y revisión de acuerdo a
un proceso predefinido que debe:
Revisar periódicamente para evaluar la efectividad de
las políticas en cuanto a: a) la naturaleza, cantidad e
impacto de los incidentes reportados y b) el costo e
impacto de los controles sobre la efectividad del
negocio.
Revisar cada vez que ocurra un evento que afecte la
seguridad de la información: nuevas vulnerabilidades,
cambios en la infraestructura técnica u organizacional,
ocurrencia de un incidente de seguridad significativo.
Clasificación de la Información
Las razones principales para clasificar la información son:
• Demostrar el compromiso de la organización hacia la
protección de los datos.
• Ayuda a identificar cual información es la más sensible
o vital para la organización.
• Soportar los principios de confidencialidad, integridad
y disponibilidad en lo pertinente a los datos.
• Ayuda a identificar que tipo de protección es aplicable
a que tipo de información.
• Cumplir posibles requerimientos legales o regulatorios.

Los niveles básicos de clasificación de la información son:
Pública cualquier información que no necesita ser
protegida contra su revelación, pero debe ser
protegida contra alteración, destrucción o pérdida
debido a su valor, utilidad, costo de reposición, o
susceptibilidad al fraude, destrucción o abuso.
Confidencial información que, si revelada en forma
no autorizada, puede ocasionar un daño a la
seguridad y reputación de la organización.
Secreta información que, si revelada a terceras
partes en forma no autorizada, puede ocasionar un
serio daño a la organización.
Esquema sencillo de clasificación de la información
Información que es segura de revelar

Uso Público
públicamente
Uso Interno Información que es segura de revelar en

Solamente forma interna pero no externamente
La información más confidencial de la

Confidencial
organización.

Criterios de clasificación
• Valor: principal criterio normalmente utilizado para clasificar
datos. Si la información es valiosa para la organización o
para su competencia, necesitará ser clasificada.
• Tiempo: el criterio de clasificación de la información podrá
disminuir si el valor de ésta decrece con el paso del tiempo.
• Vida útil: si la información se ha vuelto obsoleta debido a
nuevas informaciones, cambios significativos en la
organización, u otras razones, la misma podrá ser
desclasificada.
• Asociación personal: si la información está asociada a
personas específicas o está regida por leyes de privacidad,
deberá ser clasificada.
Existen varios pasos para establecer un esquema de
clasificación de la información, por ejemplo:
• Identificar el administrador / custodio
• Especificar el criterio por el cual se clasificará la información
• Clasificar los datos por sus propietarios
• Documentar las excepciones a la regla de clasificación
• Establecer los controles que se aplicarán para cada nivel de
la clasificación
• Establecer los procedimientos para desclasificar la
información o para transferir la custodia a otra entidad
• Desarrollar un programa de concientización empresarial.
Roles de clasificación
• Propietario: un propietario de información podrá ser un
ejecutivo / gerente quien posee la responsabilidad final
por la protección de los datos. No obstante, la función de
protección de datos se asigna al custodio.
• Algunas responsabilidades del propietario son:
Determinar el nivel de clasificación que requerirá la
información.
Revisar las asignaciones de clasificación de manera
periódica y realizar cambios que sean aplicables.
Delegar la responsabilidad de la protección al
custodio.
• Custodio: se le delega la responsabilidad de protección de
los datos de parte del propietario. Este rol es ejecutado
normalmente por personal de IT. Sus tareas son:
Realizar backups periódicos y probar la restauración de
los datos respaldados.
Restaurar los datos del backup cuando sea necesario.
Mantener la información de acuerdo con el esquema de
clasificación vigente.
Ocasionalmente administrar el esquema de
clasificación.

• Usuarios: un usuario final es considerado aquel que
utiliza la información del sistema en forma rutinaria
como parte de su puesto de trabajo en la
organización.
Los usuarios deben seguir los procedimientos
operativos definidos en la política de seguridad.
Adicionalmente deben practicar el debido cuidado
para mantener segura la información sensible de
acuerdo con la clasificación establecida.

Auditoría de la Seguridad Informática
La Auditoría de la seguridad en la informática abarca los
conceptos de seguridad física y lógica.
• La seguridad física se refiere a la protección del hardware y
los soportes de datos, así como la seguridad de los edificios e
instalaciones que los albergan. El auditor informático debe
contemplar situaciones de incendios, inundaciones, robos,
sabotajes, catástrofes naturales, etc.
• La seguridad lógica se refiere a la seguridad en el uso del
software, la protección de los datos, procesos y programas,
así como la del acceso ordenado y autorizado de los usuarios
a la información.
El auditar la seguridad de los sistemas, también implica que
se debe tener cuidado que no existan copias piratas, o bien
que, al conectarnos en red con otras computadoras, no exista
la posibilidad de transmisión de virus.
TIPOS DE MEDIDAS DE SEGURIDAD
Las medidas de seguridad que pueden

establecerse en un sistema informático son:
• Medidas Físicas
• Medidas Lógicas

TIPOS DE MEDIDAS FÍSICAS:
Aplican mecanismos para impedir el acceso directo o
físico no autorizado al sistema. También protegen al
sistema de desastres naturales o condiciones
medioambientales adversas. Se trata
fundamentalmente de establecer un perímetro de
seguridad al sistema.
Existen tres factores fundamentales a considerar:
• El acceso físico al sistema por parte de personas no
autorizadas
• Los daños físicos por parte de agentes nocivos o
contingencias
• Las medidas de recuperación en caso de fallo
TIPOS DE MEDIDAS FÍSICAS:
Concretando algo más los tipos de controles que se pueden
establecer, estos incluyen:
• Control de las condiciones medioambientales
(temperatura, humedad, polvo, etc....)
• Vigilancia (cámaras, guardias , etc.)
• Sistemas de contingencia (extintores, fuentes de
alimentación ininterrumpida, estabilizadores de corriente,
fuentes de ventilación alternativa, etc.)
• Sistemas de recuperación (copias de seguridad, servidor
redundante, sistemas alternativos geográficamente
separados y protegidos, etc.)

TIPOS DE MEDIDAS LÓGICAS:
Entre los tipos de controles lógicos que es posible incluir en
una política de seguridad podemos destacar los siguientes:
• Establecimiento de una política de control de accesos.
Incluyendo un sistema de identificación y autentificación de
usuarios autorizados y un sistema de control de acceso a
la información.
• Definición de una política de instalación y copia de
software.
• Uso de FireWall para proteger una red local de Internet.
• Definición de una política de copias de seguridad.
• Definición de una política de monitorización y auditoria del
sistema.

Dentro de las medidas lógicas se incluyen también aquellas

relativas a las personas y que podríamos denominar
medidas humanas. Se trata de definir las funciones,
relaciones y responsabilidades de distintos usuarios
potenciales del sistema. Se trataría entonces de
responder a preguntas tales como:
• ¿A quién se le permite el acceso y uso de los recursos?
• ¿Qué recursos puede acceder cada usuario y qué uso
puede hacer de ellos?
• ¿Cuáles son las funciones del administrador del sistema y
del administrador de la seguridad?
• ¿Cuáles son los derechos y responsabilidades de cada
usuario?
A la hora de responder a las preguntas anteriores hemos

de diferenciar cuatro tipos fundamentales de usuarios.
A cada tipo se le aplicará una política distinta de control
de accesos y se le imputaran distinto grado de
responsabilidad sobre el sistema:
• El administrador del sistema y en su caso el
administrador de la seguridad.
• Los usuarios del sistema.
• Las personas relacionadas con el sistema pero sin
necesidad de usarlo
• Las personas ajenas al sistema

Consideraciones de software
• Tener instalado en la máquina únicamente el
software necesario reduce riesgos.
• Tener controlado el software asegura la calidad de
la procedencia del mismo (el software pirata o sin
garantías aumenta los riesgos).
• Un inventario de software proporciona un método
correcto de asegurar la reinstalación en caso de
desastre. El software con métodos de instalación
rápida facilita también la reinstalación en caso de
contingencia.

Consideraciones de una red
• Los puntos de entrada en la red son generalmente el
correo, las páginas web y la entrada de ficheros desde
discos, o de ordenadores ajenos, como portátiles.
• Mantener al máximo el número de recursos de red sólo en
modo lectura, impide que ordenadores infectados
propaguen virus. En el mismo sentido se pueden reducir
los permisos de los usuarios al mínimo.
• Controlar y monitorizar el acceso a Internet puede
detectar, en fases de recuperación, cómo se ha
introducido el virus.

Afirmaciones erróneas respecto de la seguridad
• Mi sistema no es importante para un cracker. Esta

afirmación se basa en la idea de que el no introducir
contraseñas seguras en una empresa no entraña riesgos
pues ¿quién va a querer obtener información mía?. Sin
embargo, dado que los métodos de contagio se realizan por
medio de programas automáticos, desde unas máquinas a
otras, estos no distinguen buenos de malos, interesantes de
no interesantes, etc. Por tanto abrir sistemas y dejarlos sin
claves es facilitar la vida a los virus.
• Como tengo antivirus estoy protegido. En general los
programas antivirus no son capaces de detectar todas las
posibles formas de contagio existentes, ni las nuevas que
pudieran aparecer conforme los ordenadores aumenten las
capacidades de comunicación.
Afirmaciones erróneas respecto de la seguridad
• Como dispongo de un firewall no me contagio. Esto

únicamente proporciona una limitada capacidad de
respuesta. Las formas de infectarse en una red son
múltiples. Unas provienen directamente de accesos al
sistema (de lo que protege un firewall) y otras de
conexiones que se realizan (de las que no me protege).
Emplear usuarios con altos privilegios para realizar
conexiones puede entrañar riesgos.

MUCHAS GRACIAS

Unidad Iv - Seguridad

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Unidad Iv - Seguridad

Cargado por

Copyright:

Formatos disponibles

Capítulo IV

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Integridad se refiere al control de la información a

Disponibilidad busca asegurar que usuarios

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

• Amenaza: es un evento que pueden desencadenar

Auditoría Informática Prof. Lic. Marco Leiva

• Toda política de seguridad debe ser estratégica, es

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Esquema sencillo de clasificación de la información

Información que es segura de revelar

Uso Interno Información que es segura de revelar en

La información más confidencial de la

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Las medidas de seguridad que pueden

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Dentro de las medidas lógicas se incluyen también aquellas

A la hora de responder a las preguntas anteriores hemos

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

• Mi sistema no es importante para un cracker. Esta

• Como dispongo de un firewall no me contagio. Esto

Auditoría Informática Prof. Lic. Marco Leiva

Auditoría Informática Prof. Lic. Marco Leiva

También podría gustarte