Tarea De Redes Ii Seguridad

INTRODUCCION En un mundo en donde la información juega un papel vital en nuestras actividades cotidianas, buscamos los mecanismos necesarios que nos permitan optimizar las operaciones básicas o criticas que una organización ha catalogado como sensibles. En este momento que buscamos la ayuda de la tecnología, tecnología que nos puede ayudar en gran medida, pero que al utilizarla acarrea ciertos riesgos que debemos afrontar. Es aquí donde las organizaciones se preguntan si vale la pena el invertir en tecnología que ayuden al progreso de la institución, pero que en la mayoría de los casos solamente se invierte en la optimización de sus procesos, dejando por un lado los riesgos que esto implica. Es por eso que en este informe se pretende enumerar básicamente, los problemas que se pueden presentar tecnología de comunicación en una organización, pero además algunos consejos que podríamos implementar para prevenirlos.

SEGURIDAD DE LA INFORMACION ¿Porque es necesaria la seguridad de la información? La información y los procesos, sistemas y redes que la soportan, son activos importantes de negocios. La definición, el logro , el mantenimiento y la mejora de la seguridad de la información pueden ser esenciales para mantener su competitividad, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad procedente de una gran variedad de fuentes, incluyendo fraudes asistidos por computador, espionaje, sabotaje, vandalismo, incendios o inundaciones. Las causas de daño tales como códigos maliciosos y ataques de piratería por computador y negocio del servicio se han vuelto mas comunes, mas ambiciosos y cada mas sofisticados.

EVALUACION DE LOS RIEGOS DE SEGURIDAD Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad, los gastos en los controles se deben equilibrar frente a la probabilidad de daños para el negocio que resulta de las fallas en la seguridad. Los resultados de la evaluación de riesgos ayudaran a guiar y a determinar la acción de gestión adecuada y las prioridades para la gestión de los riesgos de la seguridad de la información, así como para implementar los controles seleccionados para la protección contra estos riesgos se debería repetir periódicamente para tratar cualquier cambio que pueda influir en los resultados de la evolución de riesgos

GESTION DE LA SEGURIDAD DE LAS REDES Asegurar la protección de la información en las redes y la protección de la infraestructura de soporte. La gestión segura de la redes, las cuales pueden sobrepasar las fronteras de la organización, exigen la consideración cuidadosa del flujo de datos, las implicaciones legales, el monitoreo y la protección. Los directores de redes deberían implementar controles que garanticen la seguridad de la información sobre las redes y la protección de los servicios conectados contra el acceso no autorizado. En particular, es conveniente tener en cuenta los siguientes elementos: a)La responsabilidad operativa de las redes debería estar separada de las operaciones del computador, según sea apropiado. b) Es necesario establecer las responsabilidad y los procedimientos para la gestión de equipos remotos, incluyendo los equipos en áreas de los usuarios. c) Se debería monitorear y registrar las acciones de seguridad pertinentes. e)Se debería gestionar actividades para monitorear que los controles se apliquen consistentemente en toda la infraestructura del procesamiento de información.

Control de accesos Se pretende controlar el acceso a la información y estos deberían controlar como base en los requisitos de seguridad y del negocio. Las reglas para el control del acceso deberían tener en cuenta las políticas de distribución y autorización de la información. Gestión de accesos a los usuarios: Se pretende asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información. Se deberían establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información. Los procedimientos debería comprender toda la fase del ciclo de vida del acceso del usuario, desde el registro inicial de los usuarios nuevos hasta la cancelación final del registro de usuario que ya no requieren acceso a los servicios a los sistemas de información.

Seguridad fisica y del entorno Se pretende evitar perdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización. Los equipos deberían estar protegidos contra amenazas físicas y ambientales Manejo de los medios. Se pretende evitar la divulgación, modificación, retiro o destrucción de activos no autorizada y la interrupción en las actividades del negocio, estos medios se deberian controlar y proteger de forma física. Para esto se deberían controlar y proteger de forma física. Manejo de la información Se deberían establecer procedimiento para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado.

Se deberían considerar los siguientes elementos: a)Manejo y etiquetado de todos los medios hasta su nivel indicado de

clasificación. b)Restricción de acceso para evitar el acceso de personal no autorizado c)Mantenimiento de un registro formal de los receptores autorizados de los datos. d)Garantizar que los datos de entrada están completos, que el procesamiento se completa adecuadamente y que se aplica la validación de la salida. e) Protección, según su nivel de sensibilidad, de los datos de la memoria temporal que espera su ejecución. f) Almacenamiento de los medios según las especificaciones del fabricante g) Mantenimiento de la distribución de datos en un mínimo h)Rotulado claro de todas las copias de los medios para la autenticación del receptor autorizado. i)Revisión de las listas de distribución y las listas de receptores autorizados a intervalos irregulares

SEGURIDAD INFORMATICA ¿ Está seguro, que su negocio está seguro? ¿ Cuan peligroso es que parte de su información interna caiga en manos de su competencia ? ¿ Es la Tecnología de Información una herramienta estratégica para el posicionamiento de su negocio ? ¿ Cuanto afectaría a su negocio una interrupción en la disponibilidad de sus sistemas informáticos ? ¿ Cuanto le afectaría la pérdida parcial o total de la información interna ?

SEGURIDAD DE INFORMACIÓN

SEGURIDAD R PPP G PP

P R P T P P P P ÓN P NT P

•DETECCIÓ N •PREVENCI ÓN •ELIMINAC IÓN

GESTIÓN DE RIESGOS

SEGURIDAD DE INFORMACIÓN “ PROTECCIÓN DEL PATRIMONIO ANTE LA POSIBLE PERDIDA DE PRIVACIDAD, INTEGRIDAD, DISPONIBILIDAD, Y CONFIABILIDAD DE LA INFORMACIÓN UTILIZADA”.

SEGURIDAD INFORMÁTICA “ PROTECCIÓN PARA EVITAR LOS RIESGOS INCORPORADO POR LA TECNOLOGÍA DE INFORMACIÓN, UTILIZANDO LA TECNOLOGÍA DISPONIBLE”.

PREGUNTAS CLAVES • • • • • • •

QUE PROTEGER?

•

QUIEN SE ENCARGA DE PROTEGER?

CUANTO PROTEGER? DE QUIEN Y DE QUE PROTEGER? COMO PROTEGER?

QUÉ PROTEGER ? IDENTIFICACIÓN DE PROCESOS E INFORMACIÓN CRÍTICA PARA EL NEGOCIO. EQUIPOS, DISPOSITIVOS E INSTALACIONES QUE SEAN VULNERABLES Y CUYA FUNCIONALIDAD SEA IMPRESCINDIBLE.

DE QUÉ PROTEGERSE?

CUALES SON LOS RIESGOS A QUE ESTAMOS EXPUESTOS REALMENTE ? LOS RIESGOS EFECTIVOS DEBERÁN ESTABLECERSE DE ACUERDO A LOS PLANES Y OBJETIVOS DEL NEGOCIO. ES NECESARIO IDENTIFICARLOS. COMO HACERLO ?

RIESGOS =

AMENAZAS X

VULNERABILIDADES

NIVEL DE EXPOS. A RIESGO = PROBAB. DE OCURRENCIA X VALOR DE LA PERDIDA

AMENAZAS : •

ACCIONAR DE LAS PERSONAS ü Condiciones favorables Anonimato Nivel de Instrucción Enojo y/o desencanto Ventajas personales (económicas y/o laborales) Condiciones de trabajo (sobrecarga) ü ü ü ü

•

Diversión / hackeo Abuso de capacidad instalada Robo y espionaje Información contaminada

POSIBILIDAD DE OCURRENCIA DE EVENTOS NO HUMANOS INCONTROLABLES ü ü ü

Falla de equipos o sistemas (eléctricos, aire etc..) Eventos de la naturelaza Accidentes

TIPIFICACIÓN DE AMENAZAS EN CUANTO A SU EFECTO § § § § § § §

INTERRUPCIÓN INTERCEPCIÓN MODIFICACIÓN GENERACIÓN

VULNERABILIDADES §

FALLAS EN EQUIPOS, SISTEMAS Y/O SERVICIOS • • • • • •

Equipos inadecuados Configuraciones incorrectas Proveedores no del todo confiables Externalización no controlada Software de aplicación poco robusto Falta de actualización permanente de hoyos de seguridad de software básicos • Ausencia de monitoreo sobre servicios y tráfico •

§ PROBLEMA ORGANIZACIONALES • • • •

Inexistencia de procedimientos internos Falta de Control y Auditoría Personal sin capacitación Personal poco leal o “influible”

CUANTO PROTEGER?

Ø EXPOSICIÓN A RIESGO Ø INVENTARIO VALORIZADO DE RIESGOS Ø INVERSIÓN POSIBLE

COMO PROTEGER? • Definición de Política de Seguridad de empresa de conocimiento público (internamente). • • • •

Invertir en una Estructura Organizacional formal de Seguridad en la empresa. Utilizar y actualizar Tecnología de Seguridad disponible. Diseño e implementación de esquemas de seguridad perimetral y de monitoreo activo del tráfico.

•

Implementación procedimientos y mecanismos administrativos auditables.

•

Integrar enfoques de Práctica Tradicional, Práctica Internet y Apoyo de Especialidades externos.

•

Desarrollar las áreas de:

• Seguridad general

• Política general de seguridad • Normas generales de seguridad • Capacitación

• Seguridad en Informática • Políticas y normas

• Apoyo en desarrollo de proyectos de seguridad

• Seguridad lógica externa • Control de Acceso Clientes

• Control de Acceso remoto de usuarios internos • Control de Conexión a redes externas

• Seguridad lógica interna • Seguridad de Sistemas Operativos • Seguridad de Aplicaciones • Seguridad de red Interna

• Seguridad ante contingencia • Políticas de respaldo

• Procedimientos de recuperación • Seguridad Física de sistemas • Administración de Planes de Contingencia

SEGURIDAD INFORMÁTICA Mecanismos de protección de seguridad Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø Ø

Políticas procedimientos de seguridad Criptosistemas (encriptación y desencriptación) Firma digital (firma electrónica) Barreras tecnológicas hw/sw (firewall,proxy..) Vigilancia activa Configuración de red, servidores y servicios Auditoría de red, servidores y servicios Auditoría de procesos Auditoría de sistemas Software antivirus Respaldos de datos y sistemas Planes de contingencias Auditoridades certificadoras Protocolos de seguridad

QUIEN DEBE PROTEGER? Realidad actual: La mayoria de las organizaciones posee 2 áreas principales preocupadas por el tema de la seguridad informática. La propia Gerencia de informática quien la administra • Auditoría computacional (quien la controla) • • DESVENTAJAS Se cae permanentemente en la necesidad de dejar la seguridad para después, se toma como un tema eminentemente técnico. Genera dependencia en personal de Informática Administración de seguridad por plataforma, que lleva a modelos de números de USER y número de PASWORD por usuario.

PROPUESTA LOGICA: Generar una unidad especializada a cargo de toda la problemática de la seguridad de la información y de la tecnología que: • • • •

Se encargará de definir la política de seguridad de la empresa Establecerá los modelos de seguridad adecuados Administrará la seguridad Controlará proactivamente a los usuarios y a la Gerencia de Informática

VENTAJAS 1.La Gerencia de Informática se abocará exclusivamente a la Gestión de la tecnología informática. 2.Auditoría Informática controlará tanto el desarrollo de la gestión informática, como el cumplimiento de los controles establecidos por Seguridad. 3.Permite que el tema de la seguridad, en organizaciones altamente dependientes de la tecnología, tome relevancia dentro de las organizaciones. 4.El análisis de seguridad se hace desde una perspectiva del negocio, no solo tecnicamente. •

FACTORES CRÍTICOS DE ÉXITO Ø Ubicación jerárquica de alto nivel Ø Independencia de la gerencia de informática Ø Independencia de auditoría Ø Apoyo a la administración superior Ø Ganar la aceptación de parte de los usuarios