Universidad Politcnica Salesiana

Control Interno Seguridad Informtica (Parte I)

Temtica
Introduccin reas de la seguridad informtica Glosario de trminos

Introduccin
La Seguridad Informtica permite compartir los Sistemas de Informacin de la empresa entre sus empleados, e incluso con terceros, pero garantizando su proteccin

Introduccin
La Seguridad tiene tres aspectos bsicos que son esenciales para el crecimiento del negocio, el cumplimiento de la legalidad vigente y la imagen de la propia empresa:

Introduccin
1. CONFIDENCIALIDAD: Protege los Activos de Informacin contra accesos o divulgacin no autorizados.

Introduccin
2. INTEGRIDAD: Garantiza la exactitud de los Activos de Informacin contra alteracin, prdida o destruccin, ya sea de forma accidental o fraudulenta.

Introduccin
3. DISPONIBILIDAD: Asegura que los Recursos Informticos y los Activos de Informacin pueden ser utilizados en la forma y tiempo requeridos. Bajo el punto de vista de Seguridad, la disponibilidad se refiere a su posible recuperacin en caso de desastre (Recuperabilidad), y no al concepto de Nivel de Servicio empleado en otras reas

reas de la Seguridad Informtica

La SI se divide en:
Polticas y organizacin de seguridad Clasificacin de activos de informacin Proteccin fsica Proteccin Lgica Conexiones externas

Polticas y organizacin de seguridad

Objetivos:

Establecer las Polticas y Normas de Seguridad Informtica y definir los responsables de su desarrollo, implantacin y gestin. Analizar los riesgos existentes sobre los Sistemas de Informacin y establecer las acciones necesarias para su reduccin o eliminacin. Establecer la funcin de Seguridad Informtica para gestionar la proteccin de los Recursos Informticos y los Activos de Informacin de la empresa.

Clasificacin de activos de informacin

Objetivo:
Definir un mtodo de clasificacin de los Activos de Informacin de la empresa, para su proteccin frente a prdida, divulgacin no autorizada o cualquier otra forma de uso indebido, ya sea de modo accidental o intencionado.

Clasificacin de activos de informacin

La informacin adopta muchas formas, tanto en los sistemas como fuera de ellos. Puede ser:
almacenada, en los sistemas o en medios portables; transmitida, a travs de redes o entre sistemas; impresa o escrita, en papel y o hablada, en conversaciones

Clasificacin de activos de informacin

Bajo el punto de vista de Seguridad, la proteccin adecuada debe ser aplicada a todas y cada una de las formas relacionadas con un Sistema de Informacin, es decir, a la tratada por medios informticos

Clasificacin de activos de informacin

Previamente a su clasificacin, debe realizarse un inventario de Activos de Informacin asociados a cada Sistema de Informacin

Proteccin Fsica

Objetivo:
Evitar riesgos potenciales de ataque, prdida, robo o dao a los Sistemas de Informacin de la empresa, accidentales o intencionados, que puedan ocasionar la interrupcin, total o parcial, de las actividades de negocio.

Proteccin Lgica

Objetivo:
Proteger los Activos de Informacin de la empresa para que sean siempre utilizados de forma autorizada, y slo por razones de negocio, y evitar acciones que puedan provocar su alteracin, borrado o divulgacin no autorizados, de forma accidental o intencionada

Proteccin Lgica

El acceso de un usuario a los Sistemas de Informacin de la empresa tiene que estar basado, en cada caso, en una vigente necesidad de uso por razones del negocio de la propia la empresa

Proteccin Lgica

Los usuarios tienen que estar informados de los aspectos siguientes:

Los Sistemas de la empresa slo pueden ser usados para fines del negocio de la propia empresa. El uso de los Sistemas para cualquier otro fin, no de negocio o personal, debe ser previamente aprobado por la Direccin. El uso no autorizado de los Sistemas es una violacin de los derechos de la empresa y se considera un abuso de confianza que debe ser sancionado.

Proteccin Lgica

Para ello, en la pantalla inicial de conexin debe aparecer una leyenda advirtiendo que "Los sistemas slo pueden ser usados por razones de negocio u otros fines aprobados por la direccin", o cualquier otra equivalente.

Proteccin Lgica

Deben quedar sujetos a revisin en todo momento, por parte de la Direccin de la empresa, las actividades realizadas por los usuarios en los Sistemas de la propia empresa, u otros ajenos a ella para los que tenga autorizacin de uso, y la utilizacin en ambos casos de los medios de almacenamiento correspondientes

Conexiones externas

Objetivo:
Mantener los niveles de proteccin de los Sistemas de Informacin cuando, de forma autorizada, sean accedidos por usuarios ajenos a la empresa o por empleados en conexin desde terminales no controlados por la empresa

Conexiones externas

Las facilidades que la informtica y las comunicaciones ofrecen a los usuarios, permiten ampliar cada vez ms el campo de accin y la obtencin de informacin conectndose a redes externas pblicas que ofrecen servicios de proceso, red e informacin.

Conexiones externas

Al mismo tiempo, las empresas van estableciendo acuerdos de colaboracin que implican la autorizacin de acceso y utilizacin de Recursos Informticos y Activos de Informacin, bajo determinadas condiciones y en los que la conexin telemtica es imprescindible.

Conexiones externas

Por todo lo anterior, se deduce que, al utilizar una red de comunicaciones externa y no controlada por la empresa, se estn utilizando facilidades que pueden representar un riesgo para los Sistemas de Informacin de la empresa.

Recuperacin de desastres

Objetivo:
Asegurar la continuidad de las aplicaciones crticas de negocio, en caso de desastre, total o parcial, del Sistema que las procesa

Glosario de trminos
Sistema de Informacin. Son los Recursos Informticos y Activos de Informacin de que dispone la empresa para su correcto funcionamiento y la consecucin de los objetivos propuestos por la Direccin. Amenaza. Cualquier evento que, pueda provocar daos en los Sistemas de Informacin, produciendo a la empresa prdidas materiales o financieras. Vulnerabilidad. Cualquier debilidad en los Sistemas de Informacin que pueda permitir a las amenazas para causarles dao y producir prdidas a la empresa. Impacto. Es la medicin (y valoracin) del dao que podra producir a la empresa la materializacin de una amenaza sobre los Sistemas de Informacin. La valoracin global se obtendr sumando el coste de reposicin de los daos tangibles y la estimacin, que siempre ser subjetiva, de los daos intangibles. Riesgo. Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del Sistema de Informacin, causando un impacto en la empresa. Defensa. Cualquier medio, fsico o lgico, empleado para eliminar o reducir un riesgo. Debe realizarse una valoracin cuantitativa de su coste.

Glosario de trminos
Router: Es un procesador de redes interconectadas que encamina paquetes de datos entre dos, o ms, redes conectadas. El router IP encamina datagramas entre redes directamente conectadas o adyacentes. Gateway: Referido al contexto de la interconexin de redes se asimila a un Router Cortafuegos (Firewall): Sistema (o router) diseado para manejar de forma segura la conexin entre la red interna protegida y redes inseguras, pblicas o sub-redes de la propia empresa. FTP: Protocolo de Transferencia de Activos (File Transfer Protocol). Mtodo estndar para mover Activos de gran volumen usando Internet. FTP utiliza una arquitectura Cliente/Servidor en la que los usuarios pueden cargar y descargar Activos de Informacin. Servidor FTP ANNIMO (ANONYMOUS FTP SERVER): Un sistema de Internet que permite el acceso pblico a Activos disponibles y su transferencia mediante FTP. IP: Protocolo Internet (Internet Protocol). El nivel de red requerido para conectarse con Internet. DIRECCIN IP (IP ADDRESS): La direccin fsica de un sistema Internet, expresada en el formato siguiente: xxxx.xxxx.xxxxx.xxxxx. Cada sistema tiene una nica direccin IP.

Glosario de trminos
TCP/IP: Protocolo de Control de Transmisin/Protocolo Internet (Transmission Control Protocol/Internet Protocol). El protocolo de comunicaciones original de Internet y su espina dorsal. Es el ms utilizado en el mundo de las comunicaciones y fue desarrollado bajo las directrices del Departamento de Defensa de los EE.UU. Internet: Red de comunicaciones mundial basada en el protocolo TCP/IP y originalmente fundada por la Agencia de Proyectos de Investigacin Avanzados de la Defensa, la cual es parte del Departamento de Defensa de los EE.UU. Internet ha aceptado recientemente el trfico de operaciones comerciales y de negocio. TELNET: Una aplicacin que sirve para conectarse a Sistemas que, a su vez, estn conectados a Internet. SERVIDOR TELNET: Aquel que permite el acceso Telnet. WWW (WORLD WIDE WEB): Tambin llamado Web o W3. Una aplicacin Internet cliente/servidor que permite a los usuarios navegar por Internet usando documentos de hipertexto. Requiere un cliente llamado popularmente 'browser'.

Investigar
Consultar los siguientes trminos:
Hacker (White hat) Cracker (Black hat) Phreaker Lammer Script Kiddie Exploit