lunes, 26 de enero de 2009

INTRODUCCION A LA SEGURIDAD INFORMATICA


Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información.


Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.


Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.


Seguridad Informatica




  • Área de la informática encargada de asegurar el buen uso de los recursos informáticos y la información como activos de una organización, manteniéndolos libres de peligros, daños o riesgos.

La seguridad informática se puede clasificar en seguridad lógica y seguridad física y busca con la ayuda de políticas y controles mantener la seguridad de los recursos y la información manejando los riesgos, sin embargo cuando se habla de seguridad se debe tener en cuenta que no existe la seguridad 100%.



  • Es un conjunto de sistemas, metodos y herramientas para proteger un bien (en este caso el bien es la informacion), en el que ademas participan personas.


Los componentes de la Seguridad Informatica serian:




  • Lo que se quiere proteger (bienes fisicos, informacion, etc).

  • Riesgos que atentan contra lo que se quiere proteger (desastre natural, terrorismo, malware, etc).

  • Politicas y mecanismos (permite proteger el bien de los riesgos potenciales).


Ahora hablemos brevemente de los antecedentes:



  • Ya en los años 90s proliferan los ataques a Sistemas Informaticos (malware).

  • A finales de los 90s se generalizan las amenazas.

  • En los años 2000 se toma en serio la seguridad informatica, y se empiezan a desarrollar tecnicas que prevengan estas amenzas, apareciendo terminologia como Criptografia (cifrado, descifrado, criptoanalisis, firma digital, Autoridad Certificadora, Comercio Electronico, etc).

Toda organización debe estar a la vanguardia de los procesos de cambio.


Donde disponer de información continua, confiable y a tiempo, constituye una ventaja fundamental.



Donde el hecho de tener la información es tener poder.



Donde la información se reconoce como:



  • Crítica, ya que es indispensable para garantizar la continuidad operativa de la organizacion.

  • Valiosa, ya que es un activo corporativo que tiene valor en sí mismo.

  • Sensitiva, debe ser conocida por las personas que necesitan los datos.

Donde identificar los riesgos de la información es de vital importancia.



Ahora bien, no hay una formula matemática que nos indique que un sistema de información o proceso es 100% seguro, pero si existen cuatro principios que deben mantenerse para decir que existe seguridad en la información.



Por ende la seguridad informática debe garantizar:



  • La Disponibilidad de los sistemas de informacion.

  • El No Repudio de las partes quer conforman la comunicacion.

  • La Integridad de la información.

  • La Confidencialidad de la información

Existen además otros principios que nos permitirán en gran medida la seguridad, estos serian:



  • Secreto: propiedad de la información que la caracteriza por mantenerla fuera de las manos de usuarios no autorizados.

  • Autenticación: mecanismo de control que ayuda a mantener la confidencialidad de la información (secreto), otorgando acceso solo a quien este autorizado.


POR QUE USAR LA SEGURIDAD INFORMATICA



Por fallo o deficiencia de la información, se pone en riesgo la continuidad operativa de las empresas con la consecuente perdida de dinero y tiempo invertidos.




NORMAS DE SEGURIDAD



Son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las politicas de seguridad y a los objetivos desarrollados por estas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno de la organización.



POLITICAS DE SEGURIDAD



Son una forma de comunicación con el personal, ya que las mismas constituyen un canal formal de actuación en relación con los recursos y servicios informaticos de la organización. Estas a su vez establecen la reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diversos daños, sin importar el origen de estos.




TIPOS DE SEGURIDAD



SEGURIDAD FISICA--> Es la protección ante la amenaza física (terremotos, incendios, etc).



Como se puede evitar:



  • Personal de Seguridad.

  • Procedimientos de acceso.

  • Supervision de Aceso.

  • Limitar los dispositivos de entrada de datos.

  • Uso de herramientas de acceso remoto para mejorar la seguridad.

SEGURIDAD LOGICA--> Proteccion de la información (datos, aplicaciones, etc).



Como evitarse:



  • Servicios y funcionalidad requeridos.

  • Configurar las opciones de Seguridad de las aplicaciones.

  • Instalar actualizaciones de seguridad para las aplicaciones.

  • Instalar y actualizar software antivirus.

  • Cifrar los archivos.

  • Limitar el acceso a los datos con acl’s.

  • Mover los archivos de su ubicación por defecto.

SEGURIDAD ORGANIZACIONAL--> Marco formal de seguridad que deb sustentar la institución, incluyendo servicios y contrataciones externas a la infraestructura de seguridad, integrando el recurso humano con la tecnología, denotando responsabilidades y actividades complementarias como respuesta ante situaciones anómalas a la seguridad.



SEGURIDAD LEGAL--> Integra los requerimientos de seguridad que deben cumplir todos los empleados, socios y usuarios de la red institucional bajo la reglamentación de la normativa interna de políticas y manuales de procedimientos en cuanto a recurso humano, sanciones aplicables ante faltas cometidas, asi como cuestiones relacionadas con la legislación del país y contrataciones externas.



TERMINOS RELACIONADOS CON LA SEGURIDAD INFORMATICA



Activo--> recurso del sistema de información, necesario para que la empresa funcione correctamente.



Amenaza--> evento que puede desencadenar un incidente en la empresa, produciendo daños materiales o perdidas inmateriales en sus activos.



Riesgo--> posibilidad de que se produzca un impacto determinado en un activo o en la empresa.
Vulnerabilidad--> posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.



Ataque--> evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.



Plan de Contingencia-->Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.



NORMATIZACION



En el mes de Noviembre se ha publicado la norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".



Tiene como base la norma BS 7799-2 que a principios del 2005 también sufrió ajustes.



En cuanto a ISO, la ISO 17799-1 no se podía certificar y las compañías debían hacerlo sobre la British Standard.



La serie ISO 27000 comprende un conjunto de normas relacionadas con la seguridad de la información y permite a las compañías certificar ISO y no la BS.



El resumen de normas es:



- ISO 27000, vocabulario y definiciones (terminología para el resto de estándares de la serie).



- ISO 27001, especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.



- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información.



- ISO 27003, que contendrá una guía de implementación.



- ISO 27004, estándar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.



- ISO 27005, que proporcionará el estándar base para la gestión del riesgo de la seguridad en sistemas de información.




BS 7799



Estandar para la gestión de seguridad de la información.



BS 7799 es una norma que presenta los requisitos para un Sistema Administrativo de Seguridad de la Información (SASI).



Ayudará a identificar, administrar y minimizar la gama de amenazas a las cuales está expuesta regularmente la información.



1995--> BSI publica el estándar BS 7799.
1998--> BSI publica el estándar BS 7799-2.
1999--> Se revisan las dos partes del BS 7799.
2000--> BS 7799 es adoptado como norma ISO y denominada ISO/IEC 17799.
2002--> Revision de BS 7799-2.



Esta norma se basa en 10 secciones donde cada uno hace referencia a un aspecto de la seguridad de la información:




  • Politicas de Seguridad.


  • Organización de activos y recursos.


  • Clasificacion y Control de activos.


  • Seguridad del Personal.


  • Seguridad ambiental y física.


  • Comunicaciones y Administracion de Operaciones.


  • Control de Acceso.


  • Sistemas de Desarrollo e Informacion.


  • Administracion de Continuidad del Negocio.


  • Auditoria.

ISO/IEC 17799



ISO 17799 es un conjunto de buenas prácticas en seguridad de la información. Contiene 133 controles aplicables.



La ISO 17799 no es certificable, ni fue diseñada para tal fin.



La versión de 2005 del estándar incluye las siguientes once secciones principales:



  • Política de seguridad

  • Aspectos organizativos para la seguridad

  • Clasificación y control de activos

  • Seguridad ligada al personal

  • Seguridad física y del entorno

  • Gestión de comunicaciones y operaciones

  • Control de accesos

  • Desarrollo y mantenimiento de sistemas

  • Gestión de incidentes de seguridad de la información

  • Gestión de continuidad de negocio

  • Conformidad

COMPARACION DE NORMAS



La nueva serie ISO 27000 es una familia de estándares internacionales, que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua.



De esta serie ya se mencionan seis normas, encabezada por la ISO 27001, esta norma muestra como aplicar los controles propuestos en la ISO 17799.



La norma ISO 27002 es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.



No es certificable.



Será la sustituta de la ISO 17799:2005.



La norma ISO 27001 contiene un anexo que resume los controles de ISO 17799:2005.