UNIDAD 1 INTRODUCCIN

M.T.I. Lenin Lpez Fernndez de Lara

Temas
1. Conceptos de seguridad 2. Polticas generales de seguridad 3. Cmo establecer los niveles de riesgo de los recursos

involucrados?

Conceptos de seguridad
1. Valor de los datos 2. Definiciones 3. Seguridad global 4. Impacto en la organizacin 5. Visibilidad del proceso

6. Implementacin
7. Apostilla

 Las polticas de seguridad informtica (PSI) surgen como

una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y la sensibilidad de la informacin y servicios crticos que favorecen el desarrollo de la organizacin y su buen funcionamiento.

Valor de los datos

Enviar informacin de mi tarjeta de crdito a travs de

Internet para hacer una compra. Algunos expertos opinan que se corre ms peligro cuando se entrega una tarjeta de crdito al empleado de un restaurante o cuando se le emplea telefnicamente para efectuar alguna compra. Deben de existir normativas para el buen uso de la informacin

Definiciones
Mantener la provisin de informacin libre de riesgo y brindar servicios para un determinado fin.

Es mantener baja proteccin los recursos y la informacin con que se cuenta en la red, a travs de procedimientos basados en una poltica de seguridad tales que permitan el control de lo actuado.

Seguridad global
Es mantener bajo proteccin todos los componentes de una red global.

Siempre hay que tener en cuenta que la seguridad comienza y termina con personas.

Impacto en la organizacin
La implementacin de un sistema de seguridad conlleva a

incrementar la complejidad en la operatoria de la organizacin, tato tcnica como administrativa. La disminucin de la funcionalidad o el decremento de la operatividad tal vez sea uno de los mayores problemas.

Visibilidad del proceso

Los problemas de seguridad
Errores de los empleados 50% Empleados deshonestos 15% Empleados descuidados 15% Otros 20% (intrusos 10%; integridad fsica en las instalaciones 10%)

80% de los problemas personas de la organizacin

Problemas por ignorancia Problemas por haraganera Problemas por malicia

Visibilidad del proceso

Es permitir el aporte de las personas de la organizacin y

dar a conocer las acciones tomadas. Tenemos que asegurar que los hechos son visibles al resto de la organizacin y tener el apoyo de la alta gerencia

Implementacin
La implementacin de medidas de seguridad, es un proceso tcnicoadministrativo.

Sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen. Otorgar visibilidad a los actos de la administracin.

Implementacin
Proponer o identificar una poltica de seguridad requiere

de un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.

Apostilla
El 25% de los responsables de la informacin en

empresas de ms de 100 empleados, a la seguridad no se le da una prioridad alta dentro de la organizacin y, en los casos en que se da esta prioridad, creen que el resto de la organizacin no presta a este tema la atencin que requiere.

Arquitectura del modelo OSI

La arquitectura de Seguridad OSI esta basada en

la recomendacin X.800 y el RFC 2828, la esencia de la arquitectura se basa en la necesidad de las organizaciones de tener polticas de seguridad y servicios que les permitan evaluar todo lo relacionado con la seguridad de su informacin

Autentic acin

Control de acceso

Confiden cialidad

Integrida d

No repudio

Autenticacin
Confirma que la identidad de una o ms entidades conectadas a una o ms entidades sea verdadera. Entindase por entidad un usuario, proceso o sistema. De igual forma corrobora a una entidad que la informacin proviene de otra entidad verdadera.

Control de acceso
Protege a una entidad contra el uso no autorizado de sus recursos. Este servicio de seguridad se puede aplicar a varios tipos de acceso, por ejemplo el uso de medios de comunicacin, la lectura, escritura o eliminacin de informacin y la ejecucin de procesos

Confidencialidad
Protege a una entidad contra la revelacin deliberada o accidental de cualquier conjunto de datos a entidades no autorizadas

Integridad
Asegura que los datos almacenados en las computadoras y/o transferidos en una conexin no fueron modificados

No repudio
Este servicio protege contra usuarios que quieran negar falsamente que enviaran o recibieran un mensaje

Polticas generales de seguridad

1. Qu son las polticas de seguridad informtica (PSI)? 2. Elementos 3. Algunos parmetros para establecer polticas de

seguridad 4. Por qu las polticas de seguridad informtica generalmente no consiguen implantarse? 5. Niveles de trabajo 6. Algoritmo

Qu son las polticas de seguridad informtica (PSI)?

Es una forma de comunicarse con los usuarios y los

gerentes. Establecen el canal formal de actuacin del personal, en relacin con el uso y limitaciones de los recursos (fsicos y lgicos) y servicios informticos, importantes de la organizacin (crticos de la compaa). Una descripcin de lo que deseamos proteger y el por qu de ello.

Elementos

Alcance

Objetivos

Responsabilidades

Requerimientos mnimos

Sanciones

Algunos parmetros para establecer polticas de seguridad

Anlisis de riesgo

Involucrar a las reas propietarias Difusin a todo el personal

Monitoreo peridico de las directrices Identificar a la autoridad mxima

Diagrama para el anlisis de un sistema de seguridad

Por qu las polticas de seguridad informtica generalmente no consiguen implantarse?

No estn convencidos los altos ejecutivos

Tecnicismos informticos

Falta de estrategias de mercadeo

Recomendaciones para concientizar sobre la seguridad informtica.

Ejemplos Afectacin en la imagen Valoracin costo-beneficio

Recomendaciones para concientizar sobre la seguridad informtica

Los activos claves de la organizacin

Niveles de trabajo
Confidencialidad Integridad Autenticidad

Consistencia

Disponibilidad

No repudio

Control de acceso a los recursos

Auditora

Ejemplos

Ejemplos

Ejemplos

Ejemplos