Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información.
Los mismos procedimientos se aplican
cuando se permite el acceso a la compañía a través de Internet.
Además, debido a la tendencia creciente
hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados
conectarse a los sistemas de información casi desde cualquier lugar, se pide a
los empleados que lleven consigo parte del sistema de información fuera de la
infraestructura segura de la compañía.
Seguridad Informatica
- Área
de la informática encargada de asegurar el buen uso de los recursos
informáticos y la información como activos de una organización,
manteniéndolos libres de peligros, daños o riesgos.
La seguridad informática se puede clasificar
en seguridad lógica y seguridad física y busca con la ayuda de políticas y
controles mantener la seguridad de los recursos y la información manejando los
riesgos, sin embargo cuando se habla de seguridad se debe tener en cuenta que
no existe la seguridad 100%.
- Es
un conjunto de sistemas, metodos y herramientas para proteger un bien (en
este caso el bien es la informacion), en el que ademas participan
personas.
Los componentes de la Seguridad Informatica serian:
- Lo
que se quiere proteger (bienes fisicos, informacion, etc).
- Riesgos
que atentan contra lo que se quiere proteger (desastre natural,
terrorismo, malware, etc).
- Politicas
y mecanismos (permite proteger el bien de los riesgos potenciales).
Ahora hablemos brevemente de los
antecedentes:
- Ya
en los años 90s proliferan los ataques a Sistemas Informaticos (malware).
- A
finales de los 90s se generalizan las amenazas.
- En
los años 2000 se toma en serio la seguridad informatica, y se empiezan a
desarrollar tecnicas que prevengan estas amenzas, apareciendo terminologia
como Criptografia (cifrado, descifrado, criptoanalisis, firma digital,
Autoridad Certificadora, Comercio Electronico, etc).
Toda organización debe estar a la
vanguardia de los procesos de cambio.
Donde disponer de información continua,
confiable y a tiempo, constituye una ventaja fundamental.
Donde el hecho de tener la información
es tener poder.
Donde la información se reconoce como:
- Crítica,
ya que es indispensable para garantizar la continuidad operativa de la
organizacion.
- Valiosa,
ya que es un activo corporativo que tiene valor en sí mismo.
- Sensitiva,
debe ser conocida por las personas que necesitan los datos.
Donde identificar los riesgos de la
información es de vital importancia.
Ahora bien, no hay una formula
matemática que nos indique que un sistema de información o proceso es 100%
seguro, pero si existen cuatro principios que deben mantenerse para decir que
existe seguridad en la información.
Por ende la seguridad informática debe
garantizar:
- La
Disponibilidad de los sistemas de informacion.
- El
No Repudio de las partes quer conforman la comunicacion.
- La
Integridad de la información.
- La
Confidencialidad de la información
Existen además otros principios que nos
permitirán en gran medida la seguridad, estos serian:
- Secreto:
propiedad de la información que la caracteriza por mantenerla fuera de las
manos de usuarios no autorizados.
- Autenticación:
mecanismo de control que ayuda a mantener la confidencialidad de la
información (secreto), otorgando acceso solo a quien este autorizado.
POR QUE USAR LA SEGURIDAD INFORMÁTICA
Por fallo o deficiencia de la
información, se pone en riesgo la continuidad operativa de las empresas con la
consecuente perdida de dinero y tiempo invertidos.
NORMAS DE SEGURIDAD
Son un conjunto de lineamientos, reglas,
recomendaciones y controles con el propósito de dar respaldo a las politicas de
seguridad y a los objetivos desarrollados por estas, a través de funciones,
delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde
a las necesidades de seguridad establecidas para el entorno de la organización.
POLITICAS DE SEGURIDAD
Son una forma de comunicación con el
personal, ya que las mismas constituyen un canal formal de actuación en
relación con los recursos y servicios informaticos de la organización. Estas a
su vez establecen la reglas y procedimientos que regulan la forma en que una
organización previene, protege y maneja los riesgos de diversos daños, sin
importar el origen de estos.
TIPOS DE SEGURIDAD
SEGURIDAD FISICA-->
Es la protección ante la amenaza física (terremotos, incendios, etc).
Como se puede evitar:
- Personal
de Seguridad.
- Procedimientos
de acceso.
- Supervision
de Aceso.
- Limitar
los dispositivos de entrada de datos.
- Uso
de herramientas de acceso remoto para mejorar la seguridad.
SEGURIDAD LOGICA-->
Proteccion de la información (datos, aplicaciones, etc).
Como evitarse:
- Servicios
y funcionalidad requeridos.
- Configurar
las opciones de Seguridad de las aplicaciones.
- Instalar
actualizaciones de seguridad para las aplicaciones.
- Instalar
y actualizar software antivirus.
- Cifrar
los archivos.
- Limitar
el acceso a los datos con acl’s.
- Mover
los archivos de su ubicación por defecto.
SEGURIDAD ORGANIZACIONAL-->
Marco formal de seguridad que deb sustentar la institución, incluyendo
servicios y contrataciones externas a la infraestructura de seguridad,
integrando el recurso humano con la tecnología, denotando responsabilidades y
actividades complementarias como respuesta ante situaciones anómalas a la
seguridad.
SEGURIDAD LEGAL-->
Integra los requerimientos de seguridad que deben cumplir todos los empleados,
socios y usuarios de la red institucional bajo la reglamentación de la
normativa interna de políticas y manuales de procedimientos en cuanto a recurso
humano, sanciones aplicables ante faltas cometidas, asi como cuestiones
relacionadas con la legislación del país y contrataciones externas.
TERMINOS RELACIONADOS CON LA SEGURIDAD INFORMATICA
Activo-->
recurso del sistema de información, necesario para que la empresa funcione
correctamente.
Amenaza-->
evento que puede desencadenar un incidente en la empresa, produciendo daños
materiales o perdidas inmateriales en sus activos.
Riesgo-->
posibilidad de que se produzca un impacto determinado en un activo o en la
empresa.
Vulnerabilidad--> posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.
Vulnerabilidad--> posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.
Ataque-->
evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Plan de Contingencia-->Un
Plan de Contingencia de Seguridad Informática consiste los pasos que se deben
seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad
funcional del sistema aunque, y por lo general, constan de reemplazos de dichos
sistemas.
NORMATIZACION
En el mes de Noviembre se ha publicado
la norma ISO 27001:2005 denominada "Requisitos para la
especificación de sistemas de gestión de la seguridad de la información
(SGSI)".
Tiene como base la norma BS 7799-2
que a principios del 2005 también sufrió ajustes.
En cuanto a ISO, la ISO 17799-1
no se podía certificar y las compañías debían hacerlo sobre la British
Standard.
La serie ISO 27000 comprende un
conjunto de normas relacionadas con la seguridad de la información y permite a
las compañías certificar ISO y no la BS.
El resumen de normas es:
- ISO 27000, vocabulario y
definiciones (terminología para el resto de estándares de la serie).
- ISO 27001, especificación del
sistema de gestión de la seguridad de la información (SGSI). Esta norma será
certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO
17799, que describe el Código de buenas prácticas para la gestión de la
seguridad de la información.
- ISO 27003, que contendrá una
guía de implementación.
- ISO 27004, estándar relacionado
con las métricas y medidas en materia de seguridad para evaluar la efectividad
del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el
estándar base para la gestión del riesgo de la seguridad en sistemas de
información.
BS 7799
Estandar para la gestión de seguridad de
la información.
BS 7799
es una norma que presenta los requisitos para un Sistema Administrativo de
Seguridad de la Información (SASI).
Ayudará a identificar, administrar y
minimizar la gama de amenazas a las cuales está expuesta regularmente la
información.
1995--> BSI publica el
estándar BS 7799.
1998--> BSI publica el estándar BS 7799-2.
1999--> Se revisan las dos partes del BS 7799.
2000--> BS 7799 es adoptado como norma ISO y denominada ISO/IEC 17799.
2002--> Revision de BS 7799-2.
1998--> BSI publica el estándar BS 7799-2.
1999--> Se revisan las dos partes del BS 7799.
2000--> BS 7799 es adoptado como norma ISO y denominada ISO/IEC 17799.
2002--> Revision de BS 7799-2.
Esta norma se basa en 10 secciones donde
cada uno hace referencia a un aspecto de la seguridad de la información:
- Politicas
de Seguridad.
- Organización
de activos y recursos.
- Clasificacion
y Control de activos.
- Seguridad
del Personal.
- Seguridad
ambiental y física.
- Comunicaciones
y Administracion de Operaciones.
- Control
de Acceso.
- Sistemas
de Desarrollo e Informacion.
- Administracion
de Continuidad del Negocio.
- Auditoria.
ISO/IEC 17799
ISO 17799
es un conjunto de buenas prácticas en seguridad de la información. Contiene 133
controles aplicables.
La ISO 17799 no es certificable,
ni fue diseñada para tal fin.
La versión de 2005 del estándar incluye
las siguientes once secciones principales:
- Política
de seguridad
- Aspectos
organizativos para la seguridad
- Clasificación
y control de activos
- Seguridad
ligada al personal
- Seguridad
física y del entorno
- Gestión
de comunicaciones y operaciones
- Control
de accesos
- Desarrollo
y mantenimiento de sistemas
- Gestión
de incidentes de seguridad de la información
- Gestión
de continuidad de negocio
- Conformidad
COMPARACION DE NORMAS
La nueva serie ISO 27000 es una
familia de estándares internacionales, que propone requerimientos de sistemas
de gestión de seguridad de la información, gestión de riesgo, métricas y
medidas, guías de implantación, vocabulario y mejora continua.
De esta serie ya se mencionan seis
normas, encabezada por la ISO 27001, esta norma muestra como aplicar los
controles propuestos en la ISO 17799.
La norma ISO 27002 es una guía de
buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información.
No es certificable.
Será la sustituta de la ISO
17799:2005.
La norma ISO 27001 contiene un
anexo que resume los controles de ISO 17799:2005
