Académique Documents
Professionnel Documents
Culture Documents
UNIDAD N 5
Integrantes del grupo Bringas, Paola Corbelini, Silvana Mndez, Adriana Maldonado, Claudia Ortega, Romina Ortiz, Vernica Zann, Valeria
INTRODUCCIN
La informacin es uno de los activos ms importantes de las entidades, y de modo especial en algunos sectores de actividad. Los sistemas de informacin de cualquier Organizacin estn sometidos a amenazas ms o menos destructivas. Amenazas que van desde fallos tcnicos y accidentes no intencionados (pero no menos peligrosos), hasta acciones intencionadas, ms o menos lucrativas, de curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude. Todas las opiniones aseguran que las amenazas a la seguridad de los sistemas de informacin y a la informacin misma sern cada vez ms ambiciosas y sofisticadas. La informacin es un bien econmico, por lo cual requiere normas de proteccin
Los objetivos que persigue la seguridad de los Sistemas de Informacin es proteger los recursos informticos del dao, la alteracin, el robo y la prdida. Incluyendo en esto los equipos, medios de almacenamiento, software, listados de impresora y los datos. El objeto o propsito de la seguridad de los sistemas de informacin consiste sobre todo en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. Asimismo intentar minimizar tanto el costo global de la ejecucin de dichos procesos como las prdidas de los recursos asignados a su funcionamiento.
Recuperar y Corregir: Es fundamental contar con las medidas que posibiliten su recuperacin ante cualquier falla del hardware, software, errores de operacin, etc.
informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados". La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o Privacidad, cuando esa Informacin se refiere a personas fsicas.
informacin es modificada, incluyendo su creacin y borrado, slo por el personal autorizado". La integridad est vinculada a la fiabilidad funcional del sistema de informacin (o sea su eficacia para cumplir las funciones del sistema de organizacin soportado por aqul). La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar.
Disponibilidad: Se define como el "grado en el que un dato est en el lugar, momento y forma en que es requerido por el usuario autorizado. Situacin que se
produce cuando se puede acceder a un Sistema de Informacin en un periodo de tiempo considerado aceptable". Se asocia a menudo a la fiabilidad tcnica (tasa de fallos) de los componentes del sistema de informacin. La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio.
Autentificacin o no repudio: Se define como "el mecanismo que permite conocer si la persona que esta accediendo a un sistema, es realmente quien debe acceder
y no un extrao". El no repudio se refiere a los que se hacen sobre temas de correo electrnico para garantizar la autenticidad del remitente ( un mecanismo son las firmas digitales). Adicionalmente pueden considerarse algunos aspectos adicionales, relacionados con los anteriores, pero que importan algunos aspectos particulares: Proteccin a la rplica: mediante la cual se asegura que una transaccin slo puede realizarse una vez, a menos que se especifique lo contrario. No se deber poder grabar una transaccin para luego reproducirla, con el propsito de copiar la transaccin para que parezca que se recibieron mltiples peticiones del mismo remitente original. No repudio: mediante la cual se evita que cualquier entidad que envi o recibi informacin alegue, ante terceros que no la envi o recibi. Consistencia: se debe poder asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda. Aislamiento: est relacionado ntimamente relacionado con la Confidencialidad, permite regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso del mismo.
Auditoria: es la capacidad de determinar qu acciones o procesos se estn llevando a cabo en el sistema, as como quin y cuando las realiza.
Amenazas para la Humanas Maliciosas Externas Internas No Maliciosas Empleados Ignorantes Desastres Naturales Incendios Terremotos Inundaciones
FACTORES QUE AFECTAN LA INTEGRIDAD. etc. Fallas Humanas: Accidentes, inexperiencias, estrs, problemas de comunicacin, venganza, inters personal. Fallas en la red: Controladores, tarjetas, componentes, radiacin Problemas de SW o lgicos: Requerimientos mal definidos, corrupcin de Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc. Fallas de Hadware: Discos, controladores, energa, memoria, dispositivos
archivos, errores de programas o aplicaciones, problemas de almacenamiento, errores de SO. FACTORES QUE AFECTAN LA SEGURIDAD DE LOS DATOS. Autentificacin : La forma en que se hace el proceso de acceso a los Basados en cables: Todos los cables son "pinchables" es decir se accede sistemas, passwords, perfiles de usuario. fcilmente a los datos que circulan de un nodo a otro en una red , para esto se utilizan las tcnicas de encriptacin. etc. Programacin: Aplicaciones mal construidas, los bugs en el software de la industria que necesita de parches para reducir el riesgo de perder los datos. Puertas Falsas: En la mayora de los software existen puertas falsas que permiten alterar o manipular los datos con los cuales estos trabajan ( ej: manipulacin de las tablas en las bases de datos) Fsicas: averas en los componentes fsicos, robo, espionaje industrial
Activos
Los Activos: "recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin" se pueden as estructurar en 5 categoras: 1) El entorno del Sistema de Informacin necesario para su funcionamiento: instalacin fsica, infraestructura de comunicaciones y otras, suministros, personal operacional o desarrollador de aplicaciones. 2) El Sistema de Informacin (hardware, redes propias, software bsico, aplicaciones). 3) La propia Informacin. 4) Las Funcionalidades de la Organizacin que justifican y dan finalidad a la existencia de los Sistemas de Informacin, incluido el personal usuario o los objetivos propuestos por la direccin. 5) Otros Activos (por ejemplo la credibilidad de una persona jurdica o fsica, su intimidad, la imagen ) El fallo de un Activo de una categora o nivel pueden generar cadenas de fallos en otros niveles. As, fallos en Activos del Entorno (1) provocaran otros fallos en el Sistema de Informacin (2); stos inciden en fallos de la Informacin (3), que soporta las Funcionalidades de la Organizacin (4) y sas condicionan los otros Activos (5). Una frase comn a la cual se suele recurrir es que "Una cadena se rompe por el eslabn ms dbil" lo mismo ocurre en materia de seguridad no importa que la seguridad para un activo sea alta si para otro esta es dbil. ETAPAS DE LA GESTIN DE RIESGOS 1)Identificacin de Riesgos Es la primera etapa a emprender, para abordarla, hay que listar los recursos con los que cuente la organizacin, en segundo lugar se deben identificar las amenazas que constituyen riesgos para la organizacin, despus de determinar las amenazas es necesario estimar qu tan factible es que suceda cada una de ellas. 2)Anlisis de Riesgos En el anlisis de riesgos se debe determinar la probabilidad de ocurrencia del riesgo y evaluar el impacto que tendra en el negocio en el caso de pasar a un siniestro. Tal determinacin depende del conocimiento que se tenga del fenmeno en particular. 3) Priorizacin de Riesgos Esta etapa se lleva a cabo una vez concluida la de anlisis de riesgos y tiene
6
como objetivo determinar donde se centrar el esfuerzo en nuestro plan de gestin, en funcin de nuestros recursos y los objetivos de nuestro negocio 4) Resolucin del Riesgo Aqu se decide cmo hacer frente al riesgo, se debe adoptar un camino, con la evaluacin del costo que puede tener para seguirlo. Entre las resoluciones que se puede estar: Evitar que el riesgo exista Trasladar el Riesgo ( por ej.: pasarlo de un proceso critico a uno que Asumir el riesgo ( Aqu se establecen planes de contingencia ) Comunicar el Riesgo Recordar el Riesgo Eliminar el Riesgo
no lo sea)
5) Planificacin del Control de Riesgos El objetivo de la planificacin es obtener una serie de medidas ( ya sean polticas, planes de contingencia, reglas etc ) para limitar los riesgos que atentan contra los SI ( disminuir su probabilidad de ocurrencia). 6) Monitoreo de Riesgos Esta etapa debe estar en continua ejecucin y servir como medio para evaluar los efectos de los mecanismos de seguridad implantados, permitir ir mejorando el plan de control de riesgos como tambin permitir que se reevaluen las probabilidades de ocurrencia de ciertos riesgos, existiendo la posibilidad que algunos desaparezcan o tambin que surjan nuevos riesgos que obligarn a la empresa a modificar su plan para hacerles frente. ANOTACIONES SOBRE LA IMPLEMENTACIN DE LA SEGURIDAD FSICA, LGICA Y CONDICIONES DE USUARIOS EN LAS REAS DE CMPUTO.
como:
A nivel preventivo Acceso controlado al equipo en base a diversas polticas tales como Uso del equipo por personal autorizado.
Solo podr tener acceso al equipo aquel personal que cuente con conocimientos mnimos sobre computacin. Introduccin de clave personal del usuario mediante la portacin de una tarjeta con sus datos personales e historial la cual se aloja en una base de datos de todo el personal el cual da sea de su estado y condicin dentro de la empresa. Esto con el objetivo de saber el uso exacto de cada equipo y por parte de cada usuario. Respaldo continuo de la informacin al poder contar con mas de un servidor de base de datos lo cual asegure la integridad total de la informacin. Ubicacin de las instalaciones que cumplan con normas internacionales de calidad (ISO 9000). del sistema red. Control de alarma la cual notifique en todo momento sobre la integridad fsica No guardar informacin delicada en sistemas que tengan conexin a modem o
Otra seguridad fsica consiste en proteger el equipo de agentes externos como fuego, polvo, agua, etc. A nivel correctivo El aseguramiento del equipo en alguna agencia de seguros para que en caso de posible siniestro no exista una perdida total por parte de los elementos fsicos que controlan y dan soporte al sistema. Seguridad Lgica
Se ocupa de garantizar el funcionamiento confiable y sin interrupcin del sistema de computo y de la integridad de los programas y datos. Se implementa mediante: La construccin de contraseas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso
En base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar adems a nivel cdigo, algoritmos que generen claves para poder encriptar los archivos de contraseas dentro del sistema lo cual me permita mayor seguridad en un entorno de red.
Generar un mdulo del sistema para la emisin de reportes para el administrador del sistema en donde se muestre tablas de uso del sistema as como los usuarios y los niveles de acceso por parte de los tales para poder determinar el uso y acceso al sistema. Conducta del usuario
Para asegurar el xito del sistema es necesario establecer campaas constantes sobre la funcionalidad y logros que se alcanzaran con el sistema los cuales creen una conciencia en el usuario y logren forman en el un inters en el uso del sistema. Mediante boletines, videos, conferencias que no entran en el adiestramiento sino que sirven para reforzar el uso y " amor " hacia el sistema por parte de los usuarios.
Tambin es importante el anlisis del uso y trayecto del sistema por parte de los usuarios para poder detectar fugas de informacin y posibles problemas con los datos accesados del sistema. Es importante remarcar que cada una de estas tcnicas parten de la premisa de que no existe el 100 % de seguridad esperado o deseable .
CONCLUSIONES
Los Mecanismos de Seguridad de la Informacin buscan proteger a la informacin
de las diversas amenazas a las que se ve enfrentada. De acuerdo con las tendencias actuales la informacin se ve amenazada cada da por una cantidad mayor de factores que definitivamente pueden producir una situacin dentro de la CPD, y esto indudablemente afectara a la Organizacin. Es responsabilidad del Administrador de la Informacin definir, comunicar y controlar los riesgos que existen para as asignarle una mayor confiabilidad a las personas de la empresa que trabajan con los datos. Adems, debe luchar contra un conjunto de factores de diversa naturaleza que pueden impedir que la informacin sea protegida, entre ellos podemos mencionar: La Organizacin no le da realmente a la Seguridad de la Informacin la importancia que merece No existe una conciencia de parte tanto de los Administradores, como de los Usuarios que ayuden a cumplir con los objetivos de las polticas Existe incompetencia o desconocimiento por parte de los Administradores Hay amenazas de origen natural (terremotos, tormentas, etc.), origen humano (deseos de venganza, problemas psicolgicos, entre otros) y origen tcnico (fallas de SW, alta tensin,). Esto lleva a que la funcin de definir los planes a seguir en cuestin de seguridad debe ser una tarea realmente completa. Concluyendo, la puesta en marcha de los planes a seguir es responsabilidad del encargado de la seguridad, pero tambin debe existir un compromiso de parte de los usuarios de sistema de informacin, ejecutivos y todas las personas que de alguna u otra forma ayudan a que este sistema satisfaga a los requerimientos que se ve enfrentado, manteniendo sobretodo la integridad y confidencialidad (si es necesario) de la informacin. catastrfica
10