2. Seguridad en el área de cómputomario.elinos.org.mx/docencia/segfis/chap02a.pdf · 1 2....

1

2. Seguridad en el área de cómputo

M. en C. Mario Farias-Elinos

Contenido

• Política definida sobre seguridad en cómputo

• Organización y división de las responsabilidades

• Política hacia el personal• Seguros• Auditoría y control

2

Política definida sobre seguridaden cómputo

• Inexistencia o mala definición de políticas de seguridad

• Dependencia de la integridad de los individuos• Falsedad de la “Seguridad total”• Instalaciones de cómputo con diferentes

exigencias de seguridad• Iniciar las políticas de seguridad

– Establecer el grado de riesgo


• Definir los tipos de riesgos– Mal manejo de la información– Ataques deliberados

• Robo• Fraude• Sabotaje• Huelga

• La seguridad debe garantizar– Prevención y/o detección de algún ataque– Existencia de medidas para afrontar el desastre– Restablecer el funcionamiento

3


• Inversión equivalente al nivel del riesgo que se tiene

• La falta de una política de seguridad es razón para no aceptar alguna otra

• Clasificación de las instalaciones– Alto riesgo– Medio riesgo– Bajo riesgo


• Pasos para la cuantificación– Clasificar las instalaciones (riesgos)– Identificar aplicaciones de alto riesgo– Cuantificación en el procesamiento de la

aplicación– Formular las medidas de acuerdo a los niveles

de riesgo– Justificar costos de las medidas

4

Políticas de seguridad (PSC)

• Conjunto de reglas y principios que gobiernan una identidad u organismo

• Cada regla define una acción, mecanismo y/oprocedimiento

• Lograr la seguridad, órden y buen uso de los sistemas de información

• Especifícan las condiciones, derechos yobligaciones sobre el uso de los sistemas decómputo

¿Porqué de las PSC?

• Prevenir la pérdida de la información• Tener un uso adecuado y eficiente de los

sistemas de cómputo y de las telecomunicaciones

• Una forma de poder ir a la par con latecnología y una respuesta a la falta delegislación informática

5

Ventajas de las PSC's

• Ayudan a la adquisición del HW y del SW• Permiten actuar a las autoridades en el caso

de una violación de la seguridad• Permite tener procedimientos

– Para eventualidades– Para llevar acabo una auditoría

• Evita la excusa llamada ignorancia

Características de las PSC's

• Documentar con vigencia permanente yactualizable periodicamente

• Debe ser referencia para otros esquemas deseguridad

• Enfocada a la problemática particular decada organización

• Tener una estructira bien definida• Debe de tener fecha y versión

6


• Aceptada como documento oficial por las autoridades y la comunidad

• Debe ser clara, exacta, precisa, concisa• Establecer condiciones aceptables y no

aceptables• Accesible a toda la comunidad• Aprobada por todas las personas afectadas


• Establecer obligaciones y derechos– Administradores– Usuarios

• Investigadores• Alumnos• Personal administrativo• Docentes• Soporte técnico• Desarrolladores• Etc.

7

¿Cómo realizar una PSC?

• Detectar la problemática• Respondre a las preguntas

– ¿Qué se debe de proteger?– ¿Contra qué se debe de proteger?– ¿Qué tipo de usuarios se tienen?– ¿Quién debe de poder usar los recursos?– ¿Qué constituye un uso adecuado de los recursos?– ¿Quién debe proporcionar acceso al sistema?

¿Cómo realizar una PSC?

– ¿Quién debe tener privilegios de administrador?– ¿Cuales son los derechos y responsabilidades de

los administradores?– ¿Cómo debe de manejarse la información

sensible?

8

Desarrollo de una PSC

– Preparación– Redacción– Edición– Aprobación– Difusión– Revisión– Aplicación– Actualizacion

Contenido de una PSC

• Ámbito de aplicación• Análisis de riesgo• Enunciados de políticas• Sanciones• Sección de sus éticos de los recursos

informáticos• Sección de procedimientos para el manejo

de incidentes

9

Ejemplos de políticas

• De cuentas– Otorgada a usuarios legítimos– Conformada por un nombre y una contraseña– Tiempo de vida

• De contraseñas– Longitud mínima de 8 caracteres– Contener metacaracteres– No permitir la repetibilidad


• De control de acceso– Uso de aplicaciones de comunicación segura

(SSH)– Usar cuentas propias– Esquemas de autenticación

• De uso adecuado– No se aceptan copias no autorizadas– No se permiten transferir archivos que no

tengan relación con la organización.

10


• De respaldos– Almacenamiento seguro de las cintas– Gardar por lo menos dos versiones anteriores

• De correo electrónico– El usuario es el único autorizado para leer su

correo– Se prohíbe el uso con fines no laborales– Los correos deben de estar “firmados” (Digital

ID, PGP)

Ejemplo de políticas

• De monitoreo del sistema (acounting)– Activación y registro de bitácoras– Realizar un corte semanal de las actividades del

registradas– Análisis de la información de las bitácoras

(estadística)

11

¿Quienes participan en la PSC?

• Administradores de sistema• Persona con autoridad• Regresentante jurídico• Editor / Redactor• Usuario típico (docente, secretaria,

desarrollador, etc.)• Procedimiento técnico que apoye a las

PSC's.

Instalaciones de alto riesgo

• Caraterísticas– Datos y programas confidenciales (nacional o

valor competitivo)– Pérdidas financieras potenciales para la

comunidad – Pérdida potencial para la institución y amenaza

potencial para el subsistema

12

Instalaciones de medio riesgo

• Interrupciones prolognadas generan– Grandes inconvenientes– Incremento del costo– Pocas pérdidas materiales

Instalaciones de bajo riesgo

• Interrupciones causan– Baja costo– Poco efecto durante la interrupción

13


• Elaborar una lista de aplicaciones– Por órden de riesgo– Incluir

• Título o descripción• Programas claves y naturaleza del riesgo

– Aspectos secretos o interes nacional– Valores competitivos en el mercado

• Información de los archivos– Aspectos secretos o interes nacional– Confidencialidad interna o valor de mercado– Niveles de riesgo y evaluación de consecuencias


• Cuantificación del riesgo– Pedir a los directivos afectados la cuantifiación

del impacto– Tomar una escala medible

14


• Obtener concenso sobre los niveles de riesgo– Lograr un compromiso de la dirección con el nivel de

riesgo

• El riesgo justifica el costo de la medida• Estrategia global a seguir

– Aplicaciones, programas y archivos específicos– Planes de detección y métodos para previnir abusos o

desastres– Prioridades


• Documentar con la información obtenida– Justificar el proyecto de seguridad– Que sea claro para la dirección

• Definir quién tiene la responsabilidad general– Asunto de riesgo técnico de la computadora– Area de soporte– Problemas de coordinación administrativas y técnicas

15


• Formar un comité de seguridad• Actividades

– Definir la asignación de responsabilidades– Participar en la determinación de la política de

seguridad– Seguimiento de los logros y detallar los medios

correctivos– Revisar y coprobar en forma periódica la

seguridad en computación

Organización y división de las responsabilidades

• Aspectos de la seguridad– División de responsabilidades– Sistemas de control interno– Asignación de responsabilidades– Sustitución de personal clave

16

División de responsabilidades

• Permite la revisión y el balance sobre la calidad del trabajo

• Elementos que mejoran la calidad del control– El personal de datos no deberá tener acceso a

las actividades de operaciones– Los analistas y programadores no deben de

tener acceso a las actividades de operación, y viceversa


• Elementos que mejoran la calidad del control– Los operadores no deben tener acceso irrestricto– Los operadores no deben tener los controles únicos del

procesamiento– Prohibir a los operadores corregir errores

• El grado de división depende del nivel de seguridad

17


• Actividades claves en la computación– Desarrollo de los sistemas– Programación– Mantenimiento de los programas– Preparación de datos– Operaciones centrales y remotas– Control– Preservación de archivos

• La división debe aplicarse a nivel usuario


• Realizar un diseño meticuloso para no afectar la eficiencia

• Elementos claves– Función de archivos– Función de control

• Estas funciones deben ser autónomas

18

Sistemas de control interno

• Formado por:– División de responsabilidades– Sistemas de verificación internos

• Sistema de verificación– Comprobar el trabajo de acuerdo a las

divisiones y jerarquías

Sistema de control interno

• Verificación documentada– Modificaciones autorizadas a los programas y probados– Documentación progresiva de los sistemas nuevos– Verificación de los datos y documentación por parte de

los departamentos– Revisión de los datos de entrada de acuerdo con los

datos aceptados para el procesamiento– Documentar errores y autorizar corecciones

19

Sistema de control interno

• Participación de auditores– Internos– Externos

• Actividades– Revisar las divisiones de responsabilidad y los

procedimientos– Realizar pruebas que garanticen el

funcionamiento de los procedimientos

Asignación de responsabilidades

• Participación de todos los departamentos• Funciones

– Supervisión de seguridad– Oficial de seguridad– Auditor de seguridad– Analista de seguridad– Coordinador de seguridad en la red

20

Asignación de responsabilidades

XXProtección sist. red

XXXAlar., acc. reportes

XXEval. Sol. Seguridad

XXEval. Serv. Seguridad

XXXXXAnalista de riesgo

CSAnSAuSOSSSOrganizaciónFunciones

Sustitución de personal clave

• Garantizar que el pesonal clave tenga una sustitución adecuada

• Atención especial a los programadores del sistema

• Apoyo adecuado a los puestos claves

21

Política hacia el personal

• Personal inapropiado aumenta el riesgo de accidentes

• Politicas a conciderar– Política de contratación

• Verificación de referencias y antecedentes de seguridad• Pruebas psicologicas• Examen médico

– Procedimientos para evaluar el desempeño– Políticas para permisos– Rotación de puestos– Evaluación de actividades del personal

Seguros

• Aspectos a comtemplar– Areas de riesgo asegurables– Los servicios de seguros especializados– Seguimiento en los cambios de los tipos de

riesgos

22

Areas de riesgo asegurables

• Ambiente• Equipo• Programas y datos• Interrupción comercial y su recuperación• Personal• Responsabilidades de terceras personas

Servicios de seguros especializados

• Daños materiales al equipo– Causas naturales– Robo sin violencia, hurto– Interrupción en el suministro– Deterioro gradual

• Portadores externos de datos• Incremento en el costo de operación

23

Seguimiento en los cambio de los tipos de riesgos

• Cubrir los nuevos riesgos• Asegurarse que se encuentren cubiertos por

el seguro

Auditoría y control

• Generar un grupo de auditores con personal de la misma empresa

• Contratar personal externo para una auditoría• Realización de autorías periódicas

– Revisar los procedimientos– Evaluación– Supervisión– Aseguramiento

2. Seguridad en el área de cómputomario.elinos.org.mx/docencia/segfis/chap02a.pdf · 1 2....

Documents

Transcript of 2. Seguridad en el área de cómputomario.elinos.org.mx/docencia/segfis/chap02a.pdf · 1 2....