UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA
AUDITORIA DE SISTEMAS INFORMATICOS

SEGURIDAD
INFORMATICA

M. Sc. Miguel Cotaña Mier Lp, Noviembre 2011

6. Políticas de Seguridad
 INSEGURIDAD INFORMATICA

El problema con la seguridad es que, tal como

el arquero de fútbol; solo toma importancia
cuando falla.
Nuestra intuición nos dice que es normal que
no ocurran desastres y el mundo está armado
de modo tal que los desastres son sucesos
excepcionales,. Por eso es tan difícil
implementar políticas de seguridad que
funcionen.
2
 SEGURIDAD INFORMATICA

Una buena política de seguridad evita la ocurrencia

de incidentes por lo que su importancia pasa
desapercibida o tiene poco impacto. Estas políticas
son vistas como complicaciones adicionales más o
menos inútiles que podrían evitarse con solo un
poco de confianza y buena suerte.
No es de extrañar entonces que casi todos los
planes de informática sean reacciones después de
ocurrido un desastre. Mientras mayor ha sido el
desastre más cuidadoso y completo suele ser el
plan que después se implementa.
3
La seguridad
informática (SI) es
el área de la
informática que se
enfoca en la
protección de la
infraestructura
computacional.
4
El concepto de seguridad
de la información no
debe ser confundido con
el de seguridad
informática, ya que este
último sólo se encarga de
la seguridad en el medio
informático, pudiendo
encontrar información en
diferentes medios o
formas. 5
 Qué es lo que se protege

El bien protegido es principalmente la

información, esta podría sufrir ataques:
 Que se revele información que no es pública a
personas no autorizadas. Es un ataque a la
confidencialidad
 Que se cambien datos o la forma en que se
procesan (programas) de manera fraudulenta, o
que se borren datos por efecto de virus. Estos son
ataques a la integridad
 Que se inutilice el sistema y no se pueda obtener
la información. Este es un ataque a la
disponibilidad 6
Principios básicos para proteger la
información:

7
Las amenazas a la seguridad no son siempre
externas ni producto de ataques maliciosos,
de hecho gran parte de los desastres son
producto del descuido, desastres naturales, la
mala operación de los equipos, etc.
La imperfección y el error humano es parte
muy relevante en cuanto a las políticas de
seguridad que se implementan.

8
Si en un momento el objetivo de los ataques
fue cambiar las plataformas tecnológicas
ahora las tendencias cibercriminales indican
que la nueva modalidad es manipular los
significados de la información digital. El área
semántica, era reservada para los humanos,
se convirtió ahora en el núcleo de los ataques
debido a la evolución de la Web 2.0 y las
redes sociales, factores que llevaron al
nacimiento de la generación 3.0. 9
Se puede afirmar que “la Web 3.0 otorga
contenidos y significados de manera tal que
pueden ser comprendidos por las computadoras
(inteligencia artificial) son capaces de emular y
mejorar la obtención de conocimiento, hasta el
momento reservada a las personas”.
Es decir, se trata de dotar de significado a las
páginas Web, y de ahí el nombre de Web
semántica o Sociedad del Conocimiento, como
evolución de la ya pasada Sociedad de la
Información. 10
Las amenazas que viene en el futuro ya no son con
la inclusión de troyanos o espías.
“La Web 3.0, basada en conceptos como elaborar,
compartir y significar, está representando un
desafío para los hackers que ya no utilizan las
plataformas convencionales de ataque, sino que
optan por modificar los significados del contenido
digital. La amenaza ya no solicita la clave de
homebanking del desprevenido usuario, sino que
directamente modifica el balance de la cuenta,
asustando al internauta y, a partir de allí, sí
efectuar el robo del capital”. 11
12
Para no ser presa de esta nueva ola de
ataques más sutiles, Se recomienda:
Mantener las soluciones activadas y
actualizadas;
Evitar realizar operaciones comerciales en
computadoras de uso público;
Verificar los archivos adjuntos de
mensajes sospechosos y evitar su
descarga en caso de duda.
13
 RIESGOS DE SEGURIDAD

Los riesgos varían según la organización:

Información dispersa, con el creciente uso de
PC, la información tiende a almacenarse en
HD, creando a veces problemas de
redundancia e inconsistencia;
Robos y copias no autorizadas, adulteración,
revelación de secretos, sabotaje, etc.;
Pérdidas de información por efecto de virus o
monitoreo remoto con troyanos.
Fallas técnicas del disco, operación inadecuada,
desastres naturales, incendios, inundaciones,
etc. 14
15
 Cómo implementar una política

Se deben implementar en
varios niveles partiendo
por la sensibilización de
los usuarios. Un primer
paso es convencer a la
gente de los beneficios de
seguir políticas seguras y
de los riesgos personales y
organizacionales de no
hacerlo.
16
A las personas les interesa principalmente
como les afecta a ellos los problemas de
seguridad.
Más que los intereses de la organización hay
que enfatizar como perjudica personalmente
al usuario una falla de seguridad pues la
disposición a cuidarse es proporcional al
miedo a las consecuencias de un desastre.
17
Luego debe venir un estudio de las
vulnerabilidades acompañado por un registro
detallado de incidentes que comprometan la
seguridad del sistema. Este registro de
incidentes es una parte importante para el
diseño del plan de seguridad y el personal
debe ser premiado o incentivado de algún
modo para que coopere en ello, de otro modo
no se identificarán debilidades y errores.
18
Una vez detectadas las debilidades internas y
analizado el registro de incidentes se debe
pasar a evaluar estratégica y
económicamente cada una de las amenazas,
a fin de establecer prioridades.
Muchas debilidades no serán detectadas por
incidentes sino por un análisis de debilidades
posibles, que debe llevarse a cabo de manera
paralela al estudio de los incidentes.
19
Por ejemplo se podrían detectar problemas:
Equipos con información sensible que no tienen
restricciones de acceso;
No están claramente establecidas las
responsabilidades de quienes manejan información
sensible ;
Frecuentes interrupciones de energía eléctrica;
Extensiones de corriente por el piso y enchufes
múltiples;
Un equipo con información sensible tiene acceso a
correo electrónico abierto, sin un sistema de vigilancia;
Personas con problemas económicos a cargo de
información sensible y, potencialmente valiosa;
Posibilidad de sabotaje fuera de las horas de trabajo.
20
La legislación, debe obligar a las empresas,
instituciones públicas a implantar una política
de seguridad.
Estos mecanismos permiten saber que los
operadores tienen sólo los permisos que se
les dio.
La seguridad informática debe ser estudiada
para que no impida el trabajo de los usuarios
en lo que les es necesario y que puedan
utilizar el sistema informático con toda
confianza. 21
Por eso en lo referente a elaborar una política
de seguridad, conviene:
Elaborar reglas y procedimientos para
cada servicio de la organización;
Definir las acciones a emprender y elegir
las personas a contactar en caso de
detectar una posible intrusión;
Sensibilizar a los usuarios con los
problemas ligados con la seguridad de los
sistemas informáticos. 22
Los derechos de acceso de los usuarios deben
ser definidos por los responsables jerárquicos y
no por los administradores informáticos, los
cuales tienen que conseguir que los recursos y
derechos de acceso sean coherentes con la
política de seguridad definida. Además, como el
administrador suele ser el único en conocer
perfectamente el sistema, tiene que derivar a la
directiva cualquier problema e información
relevante sobre la seguridad, y aconsejar
estrategias a poner en marcha. 23
 ASIGNACION DE RESPONSABILIDADES

Uno de los principales problemas de la

seguridad, es que muy rara vez las
responsabilidades de las personas están
explícitamente definidas, así como tampoco
existen sanciones previamente establecidas
por violación a las políticas de seguridad.
Cuando ocurre un desastre informático nueve
de cada diez veces al responsable no le
ocurre absolutamente nada, por otra parte
tampoco existen premios o incentivos. 24
A falta de este sistema de castigos e
incentivos, la actitud de los trabajadores hacia
los aspectos de seguridad es usualmente
indiferente.
Un plan de seguridad debe establecer que
quienes operen un equipo de computación
tienen responsabilidades sobre el cuidado de
la información a su cargo.
La excusa "yo no sabía", "nadie me lo dijo“
revela una falla en las políticas de seguridad.
25
 INVENTARIO DE ACTIVOS

Información almacenada;
Equipos computacionales y sus periféricos;
El sistema de respaldos;
El programa de mantención de hardware;
El programa de mantención de software;
El plan de seguridad informática;
Todo el software que se usa;
El recurso humano que opera los equipos;
Los programas y actividades de capacitación
26
 AUDITORIAS INFORMATICAS

Consisten en verificar la correcta operación de

los sistemas, detectando los fraudes de
digitación, la modificación maliciosa de datos
o programas, etc. Las auditorias se traducen
en la práctica en confrontar los datos
ingresados con la documentación física que la
respalda. Existe gran cantidad de sistemas
vulnerables al fraude de digitación o de
modificación maliciosa de los datos y que solo
pueden ser detectados por medio de
auditorias.
27
 ELABORACION DE NORMAS

La regla de oro:
Dígalo por escrito!!!
Las palabras se las lleva el viento, los
acuerdos de las reuniones y lo que se enseña
en la capacitación se olvida fácilmente, no así
los manuales de procedimiento, de normas y
los planes de contingencia.
Lo que está escrito y entregado no puede ser
negado. Los manuales de procedimiento
deben ser cortos, simples y claros. 28
Los planes de contingencia son una clase
especial de manuales de procedimiento que
especifican que se debe hacer en caso de
diversos desastres o incidentes probables, de
modo tal que no ocurra que el usuario, por
desconocimiento, empeore los daños por
reaccionar equivocadamente.
Cada usuario debe disponer de un manual de
procedimiento que detalle sus
responsabilidades, las sanciones e incentivos.
29
 TECNICAS PARA LA SEGURIDAD

Codificar la información: Criptología,

Criptografía, y Criptosistema, contraseñas
difíciles de averiguar a partir de datos
personales del individuo;
Vigilancia de red: Zona desmilitarizada;
Tecnologías repelentes o protectoras:
cortafuegos, IDS, HIDS, NIDS, antispyware,
antovirus, llaves para protección de
software, etc.
Sistema de Respaldo Remoto. 30
 MICROSEGURIDAD de la información

Trata los problemas del día a día, la protección en

cada uno de los frentes tangibles que toda
organización siempre tiene abiertos: usuarios,
redes, servidores, dispositivos móviles, etc.
La microeconomía se centra en la tecnología que
utilizamos para solucionar problemas, los controles
que implantamos para hacer la seguridad
gobernable.
Son aspectos tácticos y operativos de seguridad,
elementos tangibles y sólidos que todo el mundo
entiende ya necesarios para afrontar la
cotidianidad. 31
 MACROSEGURIDAD de la información

Trata los problemas globales, la coordinación

y gestión de las actividades para alcanzar los
objetivos , la planificación y diseño de
estrategias para lograr tener los riesgos bajo
control. Estaríamos al nivel de diseño de
políticas de seguridad.
La macroseguridad es la responsable de hacer
que las decisiones y restricciones se encajen
en la organización, y sobre todo sirvan para
garantizar el cumplimiento de los objetivos
32
33
 SERVICIOS DE SEGURIDAD

El objetivo es mejorar la
seguridad de los sistemas
y la transferencia de
información. Los servicios
de seguridad están
diseñados para
contrarrestar los ataques a
la seguridad y hacen uso
de uno o más mecanismos
de seguridad para
proporcionar el servicio. 34
NORMAS DE SEGURIDAD INFORMATICA

35
 REFERENCIAS

http://www.taringa.net/posts/info/6659029/Seguridad-
Informatica___Seguridad-de-la-Informacion.html
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalog
ue_tc_browse.htm?commid=45306&published=on&develo
pment=on&withdrawn=on
http://sgsi-iso27001.blogspot.com/
http://es.wikipedia.org/wiki/ISO/IEC_27001
http://es.wikipedia.org/wiki/ISO/IEC_27000-series
http://www.scribd.com/doc/6282873/Iso-27000

36