Medidas de seguridad: - Política de seguridad. - Seguridad activa y Seguridad pasiva. Luis Villalta Márquez

  • Published on
    03-Feb-2016

  • View
    218

  • Download
    0

Embed Size (px)

Transcript

Diapositiva 1

Medidas de seguridad: - Poltica de seguridad. - Seguridad activa y Seguridad pasiva. Luis Villalta MrquezIntroduccin a la seguridadLos riesgos, en trminos de seguridad, se caracterizan por lo general mediante la siguiente ecuacin. La amenaza representa el tipo de accin que tiende a ser daina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposicin a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no slo son soluciones tcnicas, sino tambin reflejan la capacitacin y la toma de conciencia por parte del usuario, adems de reglas claramente definidas.

Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de accin del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cmo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones.

Objetivos de la seguridad informticaGeneralmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos.

Generalmente, la seguridad informtica consiste en garantizar que el material y los recursos de software de una organizacin se usen nicamente para los propsitos para los que fueron creados y dentro del marco previsto.

La seguridad informtica se resume, por lo general, en cinco objetivos principales: Integridad: garantizar que los datos sean los que se supone que sonConfidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambianDisponibilidad: garantizar el correcto funcionamiento de los sistemas de informacinEvitar el rechazo: garantizar de que no pueda negar una operacin realizada.Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos

Poltica de seguridadMedidas de seguridad: Polticas de SeguridadUna Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indican los trminos generales que estn o no estn permitido en el rea de seguridad durante la operacin general del sistema.

Se debe tener encuenta:Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz.Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.Definicin de violaciones y sanciones por no cumplir con las polticas.Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente. Control, Autenticidad y Utilidad.

Seguridad activa y Seguridad pasiva Medidas de seguridad: Seguridad activa y Seguridad pasiva Seguridad activa: Tiene como objetivo proteger y evitar posibles daos en los sistemas informticos. Podemos encontrar diferentes recursos para evitarlos como:- Una de esas tcnicas que podemos utilizar es el uso adecuado de contraseas, que podemos aadirles nmeros, maysculas, etc.- Tambin el uso de software de seguridad informtica: como por ejemplo ModSecurity, que es una herramienta para la deteccin y prevencin de intrusiones para aplicaciones web, lo que podramos denominar como "firewall web". -Y la encriptacin de los datos.

Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un usuario o malware. Las prcticas de seguridad pasiva ms frecuentes y ms utilizadas hoy en da son: -El uso de hardware adecuado contra accidentes y averas. -Tambin podemos utilizar copias de seguridad de los datos y del sistema operativo. Una prctica tambin para tener seguro nuestra ordenador es hacer particiones del disco duro, es decir dividirlo en distintas partes.GeneralidadesLa seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa.En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva.Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.Definicin de Polticas de Seguridad InformticaUna poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos.Elementos de una Poltica de Seguridad InformticaComo una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos:Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin.Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica.

Definicin de violaciones y sanciones por no cumplir con las polticasResponsabilidades de los usuarios con respecto a la informacin a la que tiene acceso. Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin.

Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc.Definicin de violaciones y sanciones por no cumplir con las polticasParmetros para Establecer Polticas de Seguridad Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos los siguientes aspectos:Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa.Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas.Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea.Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente.Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas. Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica.