lunes, 4 de noviembre de 2013



1.2. Elabora el plan de seguridad en computo acorde con los riesgos determinados y estándares de protección.

A) Analiza Modelos Y Buenas prácticas de Seguridad Informática

ITIL

La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL, es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.









COBIT

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.




ISM 3



Pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).
 
B) Analiza Estándares Internacionales de Seguridad Informática.

BS17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

 

SERIE ISO 27000

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.
-ISO27001

La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.

El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.

-ISO 27002

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005

-ISO 20000

La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.

 

C) Definición Del Plan De Seguridad Informático

 
Descripción de los principales elementos de protección


Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos.
Por hardware entendemos el conjunto formado por todos los elementos físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes...) o tarjetas de red.
Por software entendemos el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones.
Por datos el conjunto de información lógica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos.
 
Definición de Las Metas De Seguridad A Alcanzar En Un Periodo De Tiempo Establecido


Se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos.

 
Definición De Políticas
De Acceso Físico A Equipos


Todos los sitios en donde se encuentren sistemas de procesamiento informático o de almacenamiento, deben ser protegidos de accesos no autorizados, utilizando tecnologías de
autenticación, monitoreo y registro de entradas y salidas.

-         
 

De acceso Lógico A Equipos


El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene. La utilización de métodos de seguridad combinados como la autenticación de 2 factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por personal no autorizado. Cada usuario es responsable del mecanismo de control de acceso que le sea proporcionado; esto es, de su identificador de usuario (userID) y contraseña (password) necesarios para acceder a la información y a la infraestructura tecnológica, por lo cual deberá mantenerlo de forma confidencial.

 
-Para La Creación De Cuentas De Usuarios

Todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.







De Protección De Red (Firewall)



Las políticas del cortafuegos le permiten bloquear o permitir determinados tipos de tráfico de red no especificados en una política de excepciones. Una política también define que funciones del cortafuegos se activan o desactivan.

*Paranoica: se controla todo, no se permite nada
*Prudente: se controla y se conoce todo lo que sucede.
*Permisiva: se controla pero se permite demasiado.
*Promiscua: no se controla (o se hace poco) y se permite todo.


-Para La Gestión De Actualizaciones

Programa la instalación de las actualizaciones en los equipos de despacho que se encuentren en el dominio Windows. De esta forma el usuario puede desentenderse de la instalación de las actualizaciones ya que todas ellas son de obligada instalación para mantener una seguridad homogénea en los equipos de despacho.

 

De Control De Cambios

Debe contar en todo momento con un inventario actualizado del software de su propiedad.Todas las aplicaciones se clasificarán en una de las siguientes tres categorías: Misión Crítica (Aplicaciones primordiales para el funcionamiento del negocio), Prioritaria (Aplicaciones complementarias a las de misión crítica) y Requerida(Aplicaciones utilizadas para la administración, operación y control institucionales). Para las de misión crítica y prioritaria deberá permanecer una copia actualizada y su documentación técnica respectiva, como mínimo en un sitio alterno y seguro de custodia.

 

De Almacenamiento

 

·         Al enviar información, se realiza una copia temporal de la información de forma rutinaria para prevenir la pérdida accidental de información debido a fallas en equipos o a error humano.

·         Mantiene activa la información en las bases de datos de registro de usuarios.

·         Cualquier información que hayamos copiado puede permanecer en almacenamiento de respaldo por un tiempo, luego de la solicitud de eliminación. Este puede ser el caso incluso si no existe información de la cuenta en las bases de datos de usuarios activas.




De Respaldo
1. El uso y aprovechamiento del Servidor de Respaldo será destinado únicamente para apoyar las funciones.
2. Queda estrictamente prohibido almacenar, en las carpetas asignadas en el Servidor de Respaldos, archivos de juegos, música, reproductores de música y/o video, programas de cómputo sin licencia y cualquier otra información ajena a la Institución.
3. Invariablemente, el Enlace, debe de registrar los respaldos de información efectuados en el formato de Control de Respaldos, con base al instructivo de llenado previamente definido y proporcionado por la Dirección de Informática.
4. El Enlace debe archivar los formatos de Control de Respaldos en una carpeta especial para tales efectos, conforme a los lineamientos definidos por la Dirección de Informática.
5. En caso de requerir una copia de seguridad de la información resguardada en la Bóveda de Seguridad.
6. Invariablemente la información a respaldar debe estar compactada y debidamente identificada; así mismo, deberá ser registrada en el Control de Respaldos, de acuerdo a lo establecido por la Dirección de Informática.

D) Establece Métricas Y Mecanismos Para La Evaluación De Los Controles Implementados

Define indicadores para evaluar la
 eficiencia de los controles implementados

Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.

El control de gestión se centra en la identificación de los factores claves de éxito de cada proceso.Esto implica que sus miembros identifiquen con claridad, lo que sus clientes, ya sean internos o externos, esperan de ello


Oportunidad
Calidad
Cumplimiento, etc.

 
Define el modo en que los indicadores sean medidos

Un sistema que entregue información regular sobre la calidad de la gestión posibilitará mayor eficiencia en la asignación de recursos físicos, humanos y financieros, proporcionará una base de seguridad y confianza en su desempeño al conjunto de los funcionario implicados en su implementación -en la medida que delimita mejor el campo de sus atribuciones y deberes-, incrementará la autonomía y responsabilidad de los directivos -en tanto cuenten con bases sustentables de información para la toma de decisiones, y ayudará a mejorar la coordinación con los demás niveles del aparato público.
Publicado por en No hay comentarios:

lunes, 30 de septiembre de 2013

         
D) Identifica Y Analiza Niveles De Riesgos En La Organización

Analiza configuraciones de seguridad en grupos y cuentas de usuarios en el sistema operativo.

-Cuestionarios

Es el documento básico para obtener la información en la gran mayoría de las investigaciones y estudios de mercado. El cuestionario es un documento formado por un conjunto de preguntas que deben estar redactadas de forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una determinada planificación, con el fin de que sus respuestas nos puedan ofrecer toda la información que se precisa.
 
 
 
-Entrevistas


 
 
Una de las mejores vías para recolectar información respecto de las actividades de una ocupación o industria es hablar con la gente que trabaja en ese campo. Este proceso se denomina Entrevista informativa o de investigación.
Es usted quien inicia la entrevista informativa; usted hace las preguntas. El propósito es obtener información.
 
 
 
 
-Ficha Técnica

 
Una ficha técnica es un documento en forma de sumario que contiene la descripción de las características de un objeto, material, proceso o programa de manera detallada. Los contenidos varían dependiendo del producto, servicio o entidad descrita, pero en general suele contener datos como el nombre, características físicas, el modo de uso o elaboración, propiedades distintivas y especificaciones técnicas.
 
 
 
Politicas Aplicadas
 
-De Cuenta


Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:
1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.
2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.
 
-De Auditoría
Tiene como objetivo servir como instrumento de trabajo al personal técnico, a fin de unificar criterios y orientarlos en los diversos aspectos a revisar, para comprobar si la dependencia o entidad a evaluar cumple con los objetivos del bienestar social para los cuales fue creada.
 
-Restricciones A Usuarios
Se crean a partir del grupo disponible de valores de configuración de una aplicación, extremo, zona o servidor lógico determinado. Por ejemplo, aunque ninguna restricción predefinida le permite solicitar la activación de la funcionalidad de mantenimiento de conexiones HTTP para el sitio Web en el que se aloja su aplicación, puede crear una restricción definida por el usuario que así lo especifique. Las restricciones definidas por el usuario son restricciones de valor simple porque el valor del elemento que se restringe debe ser igual al valor especificado.
 
-Restricciones de Software
Permiten restringir el uso de software a través de políticas, gracias a esto se puede evitar que se ejecute software no deseado. Estas políticas se pueden aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las necesidades del entorno.




 
-Firewall

Es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios. Se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets.
 
- Antivirus
Los antivirus son aplicaciones de software que han sido diseñados como medida de protección y seguridad para resguardar los datos y el funcionamiento de sistemas informáticos caseros y empresariales de aquellas otras aplicaciones conocidas comúnmente como virus o malware que tienen el fin de alterar, perturbar o destruir el correcto desempeño de las computadoras.

- AntiSpyware

 
Es un programa o aplicación de seguridad, que se dedica especialmente a la protección de la computadora de los programas espías.

Es como un antivirus, sólo que no está dedicado a los virus, sino que está dedicado mayormente a los spyware o programas espías, que hoy por hoy abundan en internet.

Permisos En Carpetas Y Documentos Compartidos.
    Sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo.
Los permisos son:
  • Lectura, es el permiso predefinido en cuanto compartimos una carpeta y se aplica al grupo ‘todos’, este permiso permite ver los nombres de archivo y nombres de subcarpetas; ver los datos del archivo y sus atributos; ejecutar archivos de programa.
  • Cambio, incluye el permiso de Lectura, además permite añadir archivos y subcarpetas; cambiar los datos de los archivos; borrar archivos y subcarpetas.
  • Control Total, todos los anteriores y además permite cambiar permisos NTFS a los archivos y a las carpetas.
Actualizaciones de sistema operativo y aplicaciones



Los sistemas operativos y las aplicaciones presentan fallos y errores que los pueden aprovechar algunos usuarios con fines maliciosos.

Las actualizaciones, además de agregar alguna nueva funcionalidad, sirven para solucionar fallos y agregar nuevas funcionalidades. Por ello estar al día con las actualizaciones de seguridad más importantes ayudará a prevenir ataques maliciosos.

Es importante descargar actualizaciones de sitios que sean de confianza. Descargar actualizaciones de aquellos de los que se dude su reputación o sitios no oficiales aumenta el riesgo de infección.

Siempre que se pueda se recomienda descargar las actualizaciones a través de los mecanismos que ofrece el fabricante.

Respaldos De Información

La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo se copian los ficheros creados o modificados desde el último backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características indispensables:
  • Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

  • Seguro
Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información.

  • Remoto
          Los datos deben quedar alojados en dependencias alejadas de la empresa.

  • Mantenimiento de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de, por ejemplo, versiones diarias, semanales y mensuales de los datos.
 
E) Identifica Riesgos Físicos En La Organización Aplicados A Equipos De Computo Y Comunicaciones.
 
Controles De Acceso


Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.
     
Sincronización de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad.


Caducidad y control:
Este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen.
Listas de Control de AccesoSe refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.
 
Protección Contra Falla Electrica
 Las variaciones de la corriente eléctrica generan el 80 % de daños de sus equipos. Los daños por picos de voltaje se dan ya sea instantáneamente o al paso del tiempo, conforme pequeños picos van causando el deterioro gradual de los circuitos internos.
Conviene tener en cuenta algunos consejos que sirven para  proteger tu computadora.
Para mantenerla existen tres tipos de dispositivos:
  • Las UPS
  • Los estabilizadores de tensión
  • Las zapatollas con fusible


Protección Contra Desastres Naturales.

 
La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
  1. Incendios
  2. Inundaciones
    Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
    Esta es una de las causas de mayores desastres en centros de cómputos.
    Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
    Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
  3. Condiciones Climatológicas
  4. Señales de Radar
    La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.
    Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
    Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.
  5. Ergometría
Administración del Software De La Organización.
 
Gracias al software, su empresa se vuelve más eficiente, sus trabajadores más productivos, y usted puede aprovechar todos los beneficios que ofrece el comercio electrónico.


Por tanto, una adecuada administración del software de su organización ahorra tiempo y dinero, vuelve más productivos a sus empleados, mantiene la compatibilidad de los programas de software y la información en toda la organización, y facilita la adaptación de su empresa al cambio.

Publicado por en 2 comentarios:

lunes, 9 de septiembre de 2013


 
APLICACIÓN DE LA SEGURIDAD DE INFORMÁTICA

UNIDAD 1. APLICACIÓN DE ESTÁNDARES DE PROTECCIÓN DE LA INFORMACIÓN.

1.1. DETERMINA LOS RIESGOS DE SEGURIDAD INFORMÁTICA CON BASE EN LAS CARACTERÍSTICAS DEL EQUIPO Y LAS NECESIDADES DEL USUARIO.

A)Análisis de elementos de la Seguridad Informática.

Concepto de Seguridad



El término seguridad proviene de la palabra securitas del latín. Cotidianamente se puede referir a la seguridad como la ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.
 
Concepto de Información


 
En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Desde el punto de vista de la ciencia de la computación, la información es un conocimiento explícito extraído por seres vivos o sistemas expertos como resultado de interacción con el entorno o percepciones sensibles del mismo entorno. En principio la información, a diferencia de los datos o las percepciones sensibles, tienen estructura útil que modificará las sucesivas interacciones del ente que posee dicha información con su entorno.
 
Concepto de Informática


 
Informática es una ciencia que estudia métodos, procesos, técnicas, con el fin de almacenar, procesar y transmitir información y datos en formato digital. La informática se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito integrado, Internet y el teléfono móvil.
 

Concepto de Seguridad Informática

 
La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, en información privilegiada.
 
-Confidencialidad
 
Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la información únicamente por personas que cuenten con la debida autorización.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
 
-Integridad
 
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información.
 
-Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
 
 
B)Casificación de los principales riesgos de la Seguridad Informática.
 
Concepto de Riesgo
Un riesgo es un problema potencial que puede ocurrir en un procesador segmentado. Típicamente los riesgos se clasifican en tres tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.
 
Tipos de Riesgo



Riesgos de datos

Los riesgos de datos ocurren cuando éstos son modificados. El ignorar riesgos de datos potenciales puede resultar en condiciones de carrera (a veces llamadas riesgos de carrera). Hay tres situaciones en las que puede aparecer un riesgo de datos:
  1. Read after Write (RAW) o dependencia verdadera: Un operando es modificado para ser leído posteriormente. Si la primera instrucción no ha terminado de escribir el operando, la segunda estará utilizando datos incorrectos.
  2. Write after Read (WAR) o anti-dependencia: Leer un operando y escribir en él en poco tiempo. Si la escritura finaliza antes que la lectura, la instrucción de lectura utilizará el nuevo valor y no el antiguo.
  3. Write after Write (WAW) o dependencia de salida: Dos instrucciones que escriben en un mismo operando. La primera en ser emitida puede que finalice en segundo lugar, de modo que el operando final no tenga el valor adecuado.
Los operandos envueltos en riesgos de datos pueden residir en memoria o en registros.

Riesgos estructurales

Un riesgo estructural sucede cuando parte del hardware del procesador es necesario para ejecutar dos o más instrucciones a la vez. Puede ocurrir, por ejemplo, si un programa intenta ejecutar una instrucción de salto seguida de una operación matemática. Puesto que son ejecutadas de forma paralela y los saltos son típicamente lentos (requieren realizar una comparación, operar matemáticamente sobre el contador de programa y escribir en registros), es bastante posible (dependiendo de la arquitectura) que la instrucción de computación y la de salto requieran la ALU (unidad aritmético lógica) al mismo tiempo.

Riesgos de salto o de control

Los riesgos de salto o de control ocurren cuando el procesador se ve obligado a saltar a una instrucción que no tiene por qué ser necesariamente la inmediatamente siguiente en el código. En ese caso, el procesador no puede saber por adelantado si debería ejecutar la siguiente instrucción u otra situada más lejos en el código.
Esto puede resultar en acciones no deseadas por parte de la CPU.
 
Matriz de Riesgo



Constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos que pudieran impactar los resultados y por ende al logro de los objetivos de una organización.
 
Concepto de Vulnerabilidad
 
Son errores que permiten realizar desde afuera actos sin permiso del administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente.
 
Riesgos Lógicos
 
Son aquellos daños que el equipo puede sufrir en su estado lógico, perjudicando directamente a su software.
 
-Códigos Maliciosos



 En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).

Los códigos maliciosos pueden tener múltiples objetivos como:
* Extenderse por la computadora, otras computadoras en una red o por internet.
* Robar información y claves.
* Eliminar archivos e incluso formatear el disco duro.
* Mostrar publicidad invasiva.
-Spam


 Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o despamming.remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina
El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes,Windows live ,etc.
 
-Piratería


La piratería informática consiste en la distribución y/o reproducción ilegales de software. Comprar software significa en realidad comprar una licencia para usar el software, y esta licencia especifica la forma legal de usar dicho software. Cualquier uso que se haga del software más allá de lo estipulado en la licencia constituye una violación de ésta y posiblemente, de las leyes que amparan los derechos de propiedad intelectual. La piratería informática es ilegal y sancionable según la ley, tanto si es deliberada como si no.

 
 
-Fuga de Información

 
Salida no controlada de información que hace que esta llegue a personas no autorizadas o sobre la que su responsable pierde el control. Ocurre cuando un sistema de información o proceso diseñado para restringir el acceso sólo a sujetos autorizados revela parte de la información que procesa o transmite debido a errores en los procedimientos de diseño o trabajo.
 
-Ingeniería Social


 ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes informáticos, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.
 
-Intrusos Informáticos


 
 Los intrusos informáticos, son archivos cuyo propósito es invadir la privacidad de tu computadora, posiblemente dejando daños y alterando el software del equipo.
Ejemplos de intrusos informáticos son: Hackers,Crackers (“blackhats”),sniffers, Phreakers, etcétera.
 


Riesgos Físicos






 
Las principales amenazas que se prevén en la seguridad física son:
 
  1. . Desastres naturales, incendios accidentales tormentas e inundaciones.
  2. Amenazas ocasionadas por el hombre.
  3. Disturbios, sabotajes internos y externos deliberados.

Tener controlado el ambiente y acceso físico permite:
  • disminuir siniestros
  • trabajar mejor manteniendo la sensación de seguridad
  • descartar falsas hipótesis si se produjeran incidentes
  • tener los medios para luchar contra accidentes
C) Recopilación De Información De La Organización
 

 
Objetivos Corporativos

Permiten especificar los propositos de la organizacion e identificar los aspectos que necesariamente se deben controlar y tomar en cuenta para que se pueda lograr, las metas, con el fín de colaborar el cumplimiento de la misión de la institución.
 
Organigramas

Un organigrama es la representación gráfica de la estructura de una empresa o cualquier otra organización. Representa las estructuras departamentales y, en algunos casos, las personas que las dirigen, esquematiza las relaciones jerárquicas y competenciales de vigor en la organización.
El organigrama es un modelo abstracto y sistemático que permite obtener una idea uniforme y sintética de la estructura formal de una organización.
 


Manuales De Proceso
 
Contiene una descripción precisa de como deben desarrollarse las actividades de cada empresa. Ha de ser un documento interno, del que se debe registrar y controlar las copias que de los mismos se realizan. Complementando al manual de procesamientos, están las instrucciones de trabajo que completan o detallan los procesamientos, ya que se utilizan para documentar procesos específicos
 
 


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)