Post on 30-Jan-2020
1
2. Seguridad en el área de cómputo
M. en C. Mario Farias-Elinos
Contenido
• Política definida sobre seguridad en cómputo
• Organización y división de las responsabilidades
• Política hacia el personal• Seguros• Auditoría y control
2
Política definida sobre seguridaden cómputo
• Inexistencia o mala definición de políticas de seguridad
• Dependencia de la integridad de los individuos• Falsedad de la “Seguridad total”• Instalaciones de cómputo con diferentes
exigencias de seguridad• Iniciar las políticas de seguridad
– Establecer el grado de riesgo
Política definida sobre seguridaden cómputo
• Definir los tipos de riesgos– Mal manejo de la información– Ataques deliberados
• Robo• Fraude• Sabotaje• Huelga
• La seguridad debe garantizar– Prevención y/o detección de algún ataque– Existencia de medidas para afrontar el desastre– Restablecer el funcionamiento
3
Política definida sobre seguridaden cómputo
• Inversión equivalente al nivel del riesgo que se tiene
• La falta de una política de seguridad es razón para no aceptar alguna otra
• Clasificación de las instalaciones– Alto riesgo– Medio riesgo– Bajo riesgo
Política definida sobre seguridaden cómputo
• Pasos para la cuantificación– Clasificar las instalaciones (riesgos)– Identificar aplicaciones de alto riesgo– Cuantificación en el procesamiento de la
aplicación– Formular las medidas de acuerdo a los niveles
de riesgo– Justificar costos de las medidas
4
Políticas de seguridad (PSC)
• Conjunto de reglas y principios que gobiernan una identidad u organismo
• Cada regla define una acción, mecanismo y/oprocedimiento
• Lograr la seguridad, órden y buen uso de los sistemas de información
• Especifícan las condiciones, derechos yobligaciones sobre el uso de los sistemas decómputo
¿Porqué de las PSC?
• Prevenir la pérdida de la información• Tener un uso adecuado y eficiente de los
sistemas de cómputo y de las telecomunicaciones
• Una forma de poder ir a la par con latecnología y una respuesta a la falta delegislación informática
5
Ventajas de las PSC's
• Ayudan a la adquisición del HW y del SW• Permiten actuar a las autoridades en el caso
de una violación de la seguridad• Permite tener procedimientos
– Para eventualidades– Para llevar acabo una auditoría
• Evita la excusa llamada ignorancia
Características de las PSC's
• Documentar con vigencia permanente yactualizable periodicamente
• Debe ser referencia para otros esquemas deseguridad
• Enfocada a la problemática particular decada organización
• Tener una estructira bien definida• Debe de tener fecha y versión
6
Características de las PSC's
• Aceptada como documento oficial por las autoridades y la comunidad
• Debe ser clara, exacta, precisa, concisa• Establecer condiciones aceptables y no
aceptables• Accesible a toda la comunidad• Aprobada por todas las personas afectadas
Características de las PSC's
• Establecer obligaciones y derechos– Administradores– Usuarios
• Investigadores• Alumnos• Personal administrativo• Docentes• Soporte técnico• Desarrolladores• Etc.
7
¿Cómo realizar una PSC?
• Detectar la problemática• Respondre a las preguntas
– ¿Qué se debe de proteger?– ¿Contra qué se debe de proteger?– ¿Qué tipo de usuarios se tienen?– ¿Quién debe de poder usar los recursos?– ¿Qué constituye un uso adecuado de los recursos?– ¿Quién debe proporcionar acceso al sistema?
¿Cómo realizar una PSC?
– ¿Quién debe tener privilegios de administrador?– ¿Cuales son los derechos y responsabilidades de
los administradores?– ¿Cómo debe de manejarse la información
sensible?
8
Desarrollo de una PSC
– Preparación– Redacción– Edición– Aprobación– Difusión– Revisión– Aplicación– Actualizacion
Contenido de una PSC
• Ámbito de aplicación• Análisis de riesgo• Enunciados de políticas• Sanciones• Sección de sus éticos de los recursos
informáticos• Sección de procedimientos para el manejo
de incidentes
9
Ejemplos de políticas
• De cuentas– Otorgada a usuarios legítimos– Conformada por un nombre y una contraseña– Tiempo de vida
• De contraseñas– Longitud mínima de 8 caracteres– Contener metacaracteres– No permitir la repetibilidad
Ejemplos de políticas
• De control de acceso– Uso de aplicaciones de comunicación segura
(SSH)– Usar cuentas propias– Esquemas de autenticación
• De uso adecuado– No se aceptan copias no autorizadas– No se permiten transferir archivos que no
tengan relación con la organización.
10
Ejemplos de políticas
• De respaldos– Almacenamiento seguro de las cintas– Gardar por lo menos dos versiones anteriores
• De correo electrónico– El usuario es el único autorizado para leer su
correo– Se prohíbe el uso con fines no laborales– Los correos deben de estar “firmados” (Digital
ID, PGP)
Ejemplo de políticas
• De monitoreo del sistema (acounting)– Activación y registro de bitácoras– Realizar un corte semanal de las actividades del
registradas– Análisis de la información de las bitácoras
(estadística)
11
¿Quienes participan en la PSC?
• Administradores de sistema• Persona con autoridad• Regresentante jurídico• Editor / Redactor• Usuario típico (docente, secretaria,
desarrollador, etc.)• Procedimiento técnico que apoye a las
PSC's.
Instalaciones de alto riesgo
• Caraterísticas– Datos y programas confidenciales (nacional o
valor competitivo)– Pérdidas financieras potenciales para la
comunidad – Pérdida potencial para la institución y amenaza
potencial para el subsistema
12
Instalaciones de medio riesgo
• Interrupciones prolognadas generan– Grandes inconvenientes– Incremento del costo– Pocas pérdidas materiales
Instalaciones de bajo riesgo
• Interrupciones causan– Baja costo– Poco efecto durante la interrupción
13
Política definida sobre seguridaden cómputo
• Elaborar una lista de aplicaciones– Por órden de riesgo– Incluir
• Título o descripción• Programas claves y naturaleza del riesgo
– Aspectos secretos o interes nacional– Valores competitivos en el mercado
• Información de los archivos– Aspectos secretos o interes nacional– Confidencialidad interna o valor de mercado– Niveles de riesgo y evaluación de consecuencias
Política definida sobre seguridaden cómputo
• Cuantificación del riesgo– Pedir a los directivos afectados la cuantifiación
del impacto– Tomar una escala medible
14
Política definida sobre seguridaden cómputo
• Obtener concenso sobre los niveles de riesgo– Lograr un compromiso de la dirección con el nivel de
riesgo
• El riesgo justifica el costo de la medida• Estrategia global a seguir
– Aplicaciones, programas y archivos específicos– Planes de detección y métodos para previnir abusos o
desastres– Prioridades
Política definida sobre seguridaden cómputo
• Documentar con la información obtenida– Justificar el proyecto de seguridad– Que sea claro para la dirección
• Definir quién tiene la responsabilidad general– Asunto de riesgo técnico de la computadora– Area de soporte– Problemas de coordinación administrativas y técnicas
15
Política definida sobre seguridaden cómputo
• Formar un comité de seguridad• Actividades
– Definir la asignación de responsabilidades– Participar en la determinación de la política de
seguridad– Seguimiento de los logros y detallar los medios
correctivos– Revisar y coprobar en forma periódica la
seguridad en computación
Organización y división de las responsabilidades
• Aspectos de la seguridad– División de responsabilidades– Sistemas de control interno– Asignación de responsabilidades– Sustitución de personal clave
16
División de responsabilidades
• Permite la revisión y el balance sobre la calidad del trabajo
• Elementos que mejoran la calidad del control– El personal de datos no deberá tener acceso a
las actividades de operaciones– Los analistas y programadores no deben de
tener acceso a las actividades de operación, y viceversa
División de responsabilidades
• Elementos que mejoran la calidad del control– Los operadores no deben tener acceso irrestricto– Los operadores no deben tener los controles únicos del
procesamiento– Prohibir a los operadores corregir errores
• El grado de división depende del nivel de seguridad
17
División de responsabilidades
• Actividades claves en la computación– Desarrollo de los sistemas– Programación– Mantenimiento de los programas– Preparación de datos– Operaciones centrales y remotas– Control– Preservación de archivos
• La división debe aplicarse a nivel usuario
División de responsabilidades
• Realizar un diseño meticuloso para no afectar la eficiencia
• Elementos claves– Función de archivos– Función de control
• Estas funciones deben ser autónomas
18
Sistemas de control interno
• Formado por:– División de responsabilidades– Sistemas de verificación internos
• Sistema de verificación– Comprobar el trabajo de acuerdo a las
divisiones y jerarquías
Sistema de control interno
• Verificación documentada– Modificaciones autorizadas a los programas y probados– Documentación progresiva de los sistemas nuevos– Verificación de los datos y documentación por parte de
los departamentos– Revisión de los datos de entrada de acuerdo con los
datos aceptados para el procesamiento– Documentar errores y autorizar corecciones
19
Sistema de control interno
• Participación de auditores– Internos– Externos
• Actividades– Revisar las divisiones de responsabilidad y los
procedimientos– Realizar pruebas que garanticen el
funcionamiento de los procedimientos
Asignación de responsabilidades
• Participación de todos los departamentos• Funciones
– Supervisión de seguridad– Oficial de seguridad– Auditor de seguridad– Analista de seguridad– Coordinador de seguridad en la red
20
Asignación de responsabilidades
XXProtección sist. red
XXXAlar., acc. reportes
XXEval. Sol. Seguridad
XXEval. Serv. Seguridad
XXXXXAnalista de riesgo
CSAnSAuSOSSSOrganizaciónFunciones
Sustitución de personal clave
• Garantizar que el pesonal clave tenga una sustitución adecuada
• Atención especial a los programadores del sistema
• Apoyo adecuado a los puestos claves
21
Política hacia el personal
• Personal inapropiado aumenta el riesgo de accidentes
• Politicas a conciderar– Política de contratación
• Verificación de referencias y antecedentes de seguridad• Pruebas psicologicas• Examen médico
– Procedimientos para evaluar el desempeño– Políticas para permisos– Rotación de puestos– Evaluación de actividades del personal
Seguros
• Aspectos a comtemplar– Areas de riesgo asegurables– Los servicios de seguros especializados– Seguimiento en los cambios de los tipos de
riesgos
22
Areas de riesgo asegurables
• Ambiente• Equipo• Programas y datos• Interrupción comercial y su recuperación• Personal• Responsabilidades de terceras personas
Servicios de seguros especializados
• Daños materiales al equipo– Causas naturales– Robo sin violencia, hurto– Interrupción en el suministro– Deterioro gradual
• Portadores externos de datos• Incremento en el costo de operación
23
Seguimiento en los cambio de los tipos de riesgos
• Cubrir los nuevos riesgos• Asegurarse que se encuentren cubiertos por
el seguro
Auditoría y control
• Generar un grupo de auditores con personal de la misma empresa
• Contratar personal externo para una auditoría• Realización de autorías periódicas
– Revisar los procedimientos– Evaluación– Supervisión– Aseguramiento