Académique Documents
Professionnel Documents
Culture Documents
SEGURIDAD
INFORMATICA
6. Políticas de Seguridad
INSEGURIDAD INFORMATICA
7
Las amenazas a la seguridad no son siempre
externas ni producto de ataques maliciosos,
de hecho gran parte de los desastres son
producto del descuido, desastres naturales, la
mala operación de los equipos, etc.
La imperfección y el error humano es parte
muy relevante en cuanto a las políticas de
seguridad que se implementan.
8
Si en un momento el objetivo de los ataques
fue cambiar las plataformas tecnológicas
ahora las tendencias cibercriminales indican
que la nueva modalidad es manipular los
significados de la información digital. El área
semántica, era reservada para los humanos,
se convirtió ahora en el núcleo de los ataques
debido a la evolución de la Web 2.0 y las
redes sociales, factores que llevaron al
nacimiento de la generación 3.0. 9
Se puede afirmar que “la Web 3.0 otorga
contenidos y significados de manera tal que
pueden ser comprendidos por las computadoras
(inteligencia artificial) son capaces de emular y
mejorar la obtención de conocimiento, hasta el
momento reservada a las personas”.
Es decir, se trata de dotar de significado a las
páginas Web, y de ahí el nombre de Web
semántica o Sociedad del Conocimiento, como
evolución de la ya pasada Sociedad de la
Información. 10
Las amenazas que viene en el futuro ya no son con
la inclusión de troyanos o espías.
“La Web 3.0, basada en conceptos como elaborar,
compartir y significar, está representando un
desafío para los hackers que ya no utilizan las
plataformas convencionales de ataque, sino que
optan por modificar los significados del contenido
digital. La amenaza ya no solicita la clave de
homebanking del desprevenido usuario, sino que
directamente modifica el balance de la cuenta,
asustando al internauta y, a partir de allí, sí
efectuar el robo del capital”. 11
12
Para no ser presa de esta nueva ola de
ataques más sutiles, Se recomienda:
Mantener las soluciones activadas y
actualizadas;
Evitar realizar operaciones comerciales en
computadoras de uso público;
Verificar los archivos adjuntos de
mensajes sospechosos y evitar su
descarga en caso de duda.
13
RIESGOS DE SEGURIDAD
Se deben implementar en
varios niveles partiendo
por la sensibilización de
los usuarios. Un primer
paso es convencer a la
gente de los beneficios de
seguir políticas seguras y
de los riesgos personales y
organizacionales de no
hacerlo.
16
A las personas les interesa principalmente
como les afecta a ellos los problemas de
seguridad.
Más que los intereses de la organización hay
que enfatizar como perjudica personalmente
al usuario una falla de seguridad pues la
disposición a cuidarse es proporcional al
miedo a las consecuencias de un desastre.
17
Luego debe venir un estudio de las
vulnerabilidades acompañado por un registro
detallado de incidentes que comprometan la
seguridad del sistema. Este registro de
incidentes es una parte importante para el
diseño del plan de seguridad y el personal
debe ser premiado o incentivado de algún
modo para que coopere en ello, de otro modo
no se identificarán debilidades y errores.
18
Una vez detectadas las debilidades internas y
analizado el registro de incidentes se debe
pasar a evaluar estratégica y
económicamente cada una de las amenazas,
a fin de establecer prioridades.
Muchas debilidades no serán detectadas por
incidentes sino por un análisis de debilidades
posibles, que debe llevarse a cabo de manera
paralela al estudio de los incidentes.
19
Por ejemplo se podrían detectar problemas:
Equipos con información sensible que no tienen
restricciones de acceso;
No están claramente establecidas las
responsabilidades de quienes manejan información
sensible ;
Frecuentes interrupciones de energía eléctrica;
Extensiones de corriente por el piso y enchufes
múltiples;
Un equipo con información sensible tiene acceso a
correo electrónico abierto, sin un sistema de vigilancia;
Personas con problemas económicos a cargo de
información sensible y, potencialmente valiosa;
Posibilidad de sabotaje fuera de las horas de trabajo.
20
La legislación, debe obligar a las empresas,
instituciones públicas a implantar una política
de seguridad.
Estos mecanismos permiten saber que los
operadores tienen sólo los permisos que se
les dio.
La seguridad informática debe ser estudiada
para que no impida el trabajo de los usuarios
en lo que les es necesario y que puedan
utilizar el sistema informático con toda
confianza. 21
Por eso en lo referente a elaborar una política
de seguridad, conviene:
Elaborar reglas y procedimientos para
cada servicio de la organización;
Definir las acciones a emprender y elegir
las personas a contactar en caso de
detectar una posible intrusión;
Sensibilizar a los usuarios con los
problemas ligados con la seguridad de los
sistemas informáticos. 22
Los derechos de acceso de los usuarios deben
ser definidos por los responsables jerárquicos y
no por los administradores informáticos, los
cuales tienen que conseguir que los recursos y
derechos de acceso sean coherentes con la
política de seguridad definida. Además, como el
administrador suele ser el único en conocer
perfectamente el sistema, tiene que derivar a la
directiva cualquier problema e información
relevante sobre la seguridad, y aconsejar
estrategias a poner en marcha. 23
ASIGNACION DE RESPONSABILIDADES
Información almacenada;
Equipos computacionales y sus periféricos;
El sistema de respaldos;
El programa de mantención de hardware;
El programa de mantención de software;
El plan de seguridad informática;
Todo el software que se usa;
El recurso humano que opera los equipos;
Los programas y actividades de capacitación
26
AUDITORIAS INFORMATICAS
La regla de oro:
Dígalo por escrito!!!
Las palabras se las lleva el viento, los
acuerdos de las reuniones y lo que se enseña
en la capacitación se olvida fácilmente, no así
los manuales de procedimiento, de normas y
los planes de contingencia.
Lo que está escrito y entregado no puede ser
negado. Los manuales de procedimiento
deben ser cortos, simples y claros. 28
Los planes de contingencia son una clase
especial de manuales de procedimiento que
especifican que se debe hacer en caso de
diversos desastres o incidentes probables, de
modo tal que no ocurra que el usuario, por
desconocimiento, empeore los daños por
reaccionar equivocadamente.
Cada usuario debe disponer de un manual de
procedimiento que detalle sus
responsabilidades, las sanciones e incentivos.
29
TECNICAS PARA LA SEGURIDAD
El objetivo es mejorar la
seguridad de los sistemas
y la transferencia de
información. Los servicios
de seguridad están
diseñados para
contrarrestar los ataques a
la seguridad y hacen uso
de uno o más mecanismos
de seguridad para
proporcionar el servicio. 34
NORMAS DE SEGURIDAD INFORMATICA
35
REFERENCIAS
http://www.taringa.net/posts/info/6659029/Seguridad-
Informatica___Seguridad-de-la-Informacion.html
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalog
ue_tc_browse.htm?commid=45306&published=on&develo
pment=on&withdrawn=on
http://sgsi-iso27001.blogspot.com/
http://es.wikipedia.org/wiki/ISO/IEC_27001
http://es.wikipedia.org/wiki/ISO/IEC_27000-series
http://www.scribd.com/doc/6282873/Iso-27000
36