REPBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD EXPERIMENTAL NACIONAL POLITCNICA DE LA FUERZA ARMADA

NACIONAL BOLIVARIANA VALERA EDO. TRUJILLO

SEGURIDAD OPERACIONAL EN EL REA DE INFORMTICA

Integrantes

Kayrelys Snchez Leidy Bentez Liana Ruiz Jennifer Palencia Kismart gil Meiby pacheco Valera, enero 2014

INTRODUCCIN

A finales del siglo XX, los Sistemas Informticos se han constituido en las herramientas ms poderosas para materializar uno de los conceptos ms vitales y necesarios para cualquier organizacin empresarial, los Sistemas de Informacin de la empresa. La Informtica hoy da, est subsumida en la gestin integral de la empresa, y por eso las normas y estndares propiamente informticos deben estar, por lo sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a aplicaciones independientes. En este caso interviene la Auditora Informtica de Datos, o la seguridad operacional de la informacin

IMPACTOS Los impactos son los efectos nocivos contra la informacin de la organizacin al materializarse una amenaza informtica. Al suceder incidentes contra la seguridad informtica pueden devenir en: Disrupcin en las rutinas y procesos de la organizacin con posibles consecuencias a su capacidad operativa. Prdida de la credibilidad y reputacin de la organizacin por parte del consejo directivo de la organizacin, pblico en general, medios de informacin, etctera. Costo poltico y social derivado de la divulgacin de incidentes en la seguridad informtica. Violacin por parte de la organizacin a la normatividad acerca de confidencialidad y privacidad de datos de las personas. Multas, sanciones o fincado de responsabilidades por violaciones a normatividad de confidencialidad. Prdida de la privacidad en registros y documentos de personas. Prdida de confianza en las tecnologas de informacin por parte del personal de la organizacin y del pblico en general. Incremento sensible y no programado en gastos emergentes de seguridad. Costos de reemplazo de equipos, programas, y otros activos informticos daados, robados, perdidos o corrompidos en incidentes de seguridad. Cada uno de estos efectos nocivos puede cuantificarse de tal forma de ir estableciendo el impacto de ellos en la informacin y consecuentemente en la organizacin. En resumen, la seguridad informtica pretende identificar las amenazas y reducir los riesgos al detectar las vulnerabilidades nulificando o minimizando as el impacto o efecto nocivo sobre la organizacin. Si

analizamos y juntamos todo lo anterior creo que estamos ya en posibilidad de comprender porqu la "seguridad informtica" se defini entonces como "el proceso de establecer y observar un conjunto de estrategias, polticas, tcnicas, reglas, guas, prcticas y procedimientos tendientes a prevenir, proteger y resguardar de dao, alteracin o sustraccin a los recursos informticos de una organizacin y que administren el riesgo al garantizar en la mayor medida posible el correcto funcionamiento ininterrumpido de esos recursos".

AMENAZAS INFORMTICAS Las amenazas, como ya hemos mencionado, consisten en la fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en dao a los insumos informticos de la organizacin y ulteriormente a ella misma. Entre ellas, identificamos como las principales: El advenimiento y proliferacin de "malware" o "malicious software", programas cuyo objetivo es el de infiltrase en los sistemas sin conocimiento de su dueo, con objeto de causar dao o perjuicio al comportamiento del sistema y por tanto de la organizacin. La prdida, destruccin, alteracin, o sustraccin de informacin por parte de personal de la organizacin debido a negligencia, dolo, mala capacitacin, falta de responsabilidad laboral, mal uso, ignorancia, apagado o elusin de dispositivos de seguridad y/o buenas prcticas. La prdida, destruccin, alteracin, sustraccin, consulta y divulgacin de informacin por parte de personas o grupos externos

malintencionados. El acceso no autorizado a conjuntos de informacin. La prdida, destruccin o sustraccin de informacin debida a vandalismo.

 Los ataques de negacin de servicio o de intrusin a los sistemas de la organizacin por parte de cibercriminales: personas o grupos malintencionados quienes apoyan o realizan actividades criminales y que usan estos ataques o amenazan con usarlos, como medios de presin o extorsin. Los "phishers", especializados en robo de identidades personales y otros ataques del tipo de "ingeniera social". Los "spammers" y otros mercadotecnistas irresponsables y egostas quienes saturan y desperdician el ancho de banda de las organizaciones. La prdida o destruccin de informacin debida a accidentes y fallas del equipo: fallas de energa, fallas debidas a calentamiento, aterrizamiento, desmagnetizacin, rayadura o descompostura de dispositivos de almacenamiento, etctera. La prdida o destruccin de informacin debida a catstrofes naturales: inundaciones, tormentas, incendios, sismos, etctera. El advenimiento de tecnologas avanzadas tales como el cmputo quantum, mismas que pueden ser utilizadas para desencriptar documentos, llaves, etctera al combinar complejos principios fsicos, matemticos y computacionales.

Las tecnologas de la informacin son herramientas indispensables para las Organizaciones, sin embargo las mismas pueden verse afectadas por situaciones o amenazasque pueden poner en riesgo la continuidad operativa del negocio. Estas amenazas pueden ser tanto externas como internas, como por ejemplo: La ingeniera social

El phishing Introduccin de software malicioso Hacking / cracking Infidelidad del personal Adulteracin, prdida o sustraccin de la informacin

Podemos incluir tambin dentro de los riesgos, la no previsin de planes contingentes que cubran tanto el procesamiento de la informacin como el resguardo de los sistemas y datos Si las Organizaciones toman conciencia de estos riesgos y de las problemticas que produciran, deberan iniciar conforme a sus necesidades, tamao de la organizacin y limitaciones, el desarrollo de normas o polticas de seguridad que posibiliten minimizar los riesgos que pueden sufrir sus activos. Sin embargo, cabe aclarar que no sera viable proponer o instrumentar un procesamiento totalmente seguro de la informacin ya que su costo seria altsimo por lo cual, las Organizaciones, debern cuantificar el riesgo que pueden asumir sin que afecte o perjudique al negocio. Es decir obtener la evaluacin econmica del impacto que estos sucesos pueden causar versus el costo que pueden asumir para lograr la proteccin de la informacin.

LA FUNCIN DE SEGURIDAD INFORMTICA EN LA EMPRESA Este siempre ha sido un tema complicado porque cada organizacin es distinta y no hay un acuerdo sobre la mejor manera de organizar un rea de seguridad informtica en una empresa. Por lo tanto lo que les expongo aqu no es una mejor prctica, simplemente se trata de algunas sugerencias basadas en mi experiencia.

Componentes principales de un rea de seguridad informtica: Existen diversas funciones que debe desempear un rea de seguridad informtica y stas se pueden agrupar de la siguiente manera:

Hay un par de reas que no son tan comunes y que estn en color gris en el diagrama: normatividad y desarrollo. Al revisar las responsabilidades y funciones de cada rea quedar ms claro el por qu. Por lo pronto les comento que es menos probable encontrar estas 2 reas en empresas medianas o pequeas, mientras que en empresas grandes es ms comn que existan las 4 reas junto con la figura del lder de rea. Lder de rea, a la cual se le suele conocer como CISO (Chief Information Security Officer - Oficial de Seguridad informtica). Entre sus responsabilidades se encuentran:

Administracin del presupuesto de seguridad informtica Administracin del personal

 Definicin de la estrategia de seguridad informtica (hacia dnde hay que ir y qu hay que hacer) y objetivos Administracin de proyectos Deteccin de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solucin El lder es quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con el mejor costo beneficio para la empresa.

Normatividad Es el rea responsable de la documentacin de polticas,

procedimientos y estndares de seguridad as como del cumplimiento con estndares internacionales y regulaciones que apliquen a la organizacin. Dado que debe interactuar de forma directa con otras reas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las reas pero todas reportan al CISO. Por esta razn se le suele ver como un rea que asiste al CISO en las labores de cumplimiento. Operaciones Es el rea a cargo de llevar a cabo las acciones congruentes con la estrategia definida por el CISO lograr los objetivos del rea (en otras palabras, la "gente que est en la trinchera"). Entre sus responsabilidades se encuentran:

Implementacin, configuracin y operacin de los controles de seguridad informtica (Firewalls, IPS/IDS, antimalware, etc.) Monitoreo de indicadores de controles de seguridad

 Primer nivel de respuesta ante incidentes (tpicamente a travs de acciones en los controles de seguridad que operan) Soporte a usuarios Alta, baja y modificacin de accesos a sistemas y aplicaciones Gestin de parches de seguridad informtica (pruebas e instalacin) Supervisin Es el rea responsable de verificar el correcto funcionamiento de las medidas de seguridad as como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho del rea de

normatividad). Entre sus responsabilidades se encuentran: Evaluaciones de efectividad de controles Evaluaciones de cumplimiento con normas de seguridad Investigacin de incidentes de seguridad y cmputo forense (2 nivel de respuesta ante incidentes) Atencin de auditores y consultores de seguridad Noten que las actividades de monitoreo las realiza el rea de operaciones y no el rea de supervisin. Esto es porque el monitoreo se refiere a la vigilancia del estado de la seguridad de la empresa a travs de los controles, pero las actividades del rea de supervisin se limitan a la vigilancia de las actividades de seguridad que realizan otras reas. La nica excepcin es la investigacin de incidentes. Operaciones no investiga porque en algunos casos podran se juez y parte. Por ejemplo, en el caso de una intrusin no es vlido que el mismo personal que operaba los controles que protegan el servidor investiguen el suceso porque no puede haber objetividad (aunque no sea el propsito de la investigacin, de cierta manera los resultados de la misma podran calificar

indirectamente la efectividad del personal del rea de operaciones). La razn por la cual es preferible que esta rea sea el punto de contacto con auditores y consultores es porque sus labores son afines y es ms probable que tengan a la mano la informacin que requieran o sepan quin la tiene. Desarrollo Es el rea responsable del diseo, desarrollo y adecuacin de controles de seguridad informtica (tpicamente controles de software). Entre sus responsabilidades se encuentran:

Diseo y programacin de controles de seguridad (control de acceso, funciones criptogrficas, filtros, bitcoras de seguridad de aplicativos, etc.). Preparacin de libreras con funciones de seguridad para su uso por parte del rea de Desarrollo de Sistemas Soporte de seguridad para el rea de Desarrollo de Sistemas Consultora de desarrollos seguros (integracin de seguridad en aplicaciones desarrolladas por Sistemas). Bsicamente se trata de un rea de desarrollo enfocada a cuestiones de seguridad. La razn de requerir un rea dedicada para esto es que la integracin de controles efectivos en software es una tarea muy compleja; el perfil de un programador promedio no incluye experiencia ni conocimientos en seguridad (y particularmente en criptografa). Esta es la razn por la cual slo las grandes empresas cuentan con un rea de desarrollo de seguridad que est formada por especialistas en vez de programadores ordinarios.

Dnde debe estar la funcin de Seguridad Informtica?

Este es otro problema para el cual no hay una respuesta nica. Podemos empezar por listar las reas o direcciones de las cuales no debe de depender el rea de Seguridad Informtica: Sistemas - Mucho de lo que vigila el rea de operaciones de seguridad

son precisamente los sistemas y las redes de telecomunicacin. El rea de sistemas tiene como prioridad la operacin, y los controles tienden a impactar de cierta forma el desempeo y flujo operativo (pero no por esto dejan de ser necesarios). El hecho de que Seguridad Informtica dependa del rea o Direccin de Sistemas genera conflictos de inters. Auditora Interna - La funcin de auditora es verificar la efectividad y

existencia de controles en todas las reas de la organizacin (incluyendo Seguridad). Auditora no opera, pero el rea de Operaciones de Seguridad s, por lo que habra conflictos de inters (Auditora revisara en parte algo que ella misma hace, lo que la convertira en juez y parte) Unidades operativas del negocio - por la misma razn que para el rea

de Sistemas. Por supuesto hay algunas reas que no hace mucho sentido que incluyan la funcin de Seguridad Informtica (Recursos Materiales y Recursos Humanos, por ejemplo), pero hay reas donde s puede colocarse esta funcin, como por ejemplo: Cumplimiento Cumplimiento no es Auditora. El rea de

Cumplimiento define establece las normas internas y supervisa su aplicacin de la misma manera que las reas de Normatividad y Supervisin lo hacen dentro de la funcin de Seguridad Informtica. Jurdico - Esta rea atiende todos los asuntos legales de la empresa.

Como tal el tener al rea de Seguridad dentro de la misma constituye un excelente apoyo para implementar controles que garanticen el cumplimiento de la ley.

Finanzas - Esta rea se asegura del buen uso del dinero de la

empresa. Contar con un rea de Seguridad Informtica le permite asegurar la implementacin adecuada de controles para minimizar riesgos que tengan impacto econmico (fraudes, fugas de informacin, etc.). Dada la dependencia de los sistemas informticos para el manejo de las finanzas en la actualidad este esquema es una buena opcin para algunas empresas. Riesgos - El rea de Seguridad Informtica dependiendo del rea de

riesgos permite controlar y evaluar la mitigacin de aquellos riesgos que afectan a los sistemas informticos y la informacin que se almacena, procesa, genera o transmite a travs de los mismos. Dada la dependencia que tienen muchos procesos productivos de los sistemas de informacin en la actualidad, sta es una buena opcin tambin para muchas empresas. Direccin General - Permite tener un estricto control de los recursos

informticos de la Empresa. Desafortunadamente este esquema es difcil por la diferencia de lenguajes y niveles entre ambas reas as como las prioridades y el poco tiempo que suele tener la Direccin General, pero algunas organizaciones as lo tienen (por ejemplo, algunos Bancos). Podra parecer que la existencia de las reas de Operaciones y Desarrollo de Seguridad generan un conflicto de inters en los casos anteriores, pero no es as, ya que el conflicto est controlado por la separacin interna de funciones dentro de la misma rea de Seguridad; con respecto al resto de las reas, no se interfiere con su operacin y existe separacin de funciones, ya que el rea de Operaciones de Seguridad realiza nicamente funciones de soporte al negocio y no interviene de forma directa en dichos procesos. Adicionalmente, la existencia de un rea de Auditora Interna separada permite una revisin imparcial de las funciones de Seguridad que dependa de cualquiera de las 3 reas mostradas anteriormente. En ninguno de los casos anteriores la implementacin y

supervisin de controles de seguridad informtica es un factor tan importante debido a su orientacin a controlar; a diferencia del caso de Sistemas, donde su orientacin es a produccin. De todas maneras, no hay un rea ideal de dnde colgar al rea de Seguridad Informtica (si la hubiera, todo mundo lo hara as) quizs la dependencia directa de la Direccin General pero no es viable o fcil de lograrla en muchas empresas.

Funcin centralizada La funcin centralizada permite un mejor control y desempeo de las funciones de seguridad informtica, sin embargo, este esquema tambin suele generar algunos roces con otras reas de la empresa, particularmente con el rea de Sistemas. En mi opinin esta es una mejor opcin para reas donde el control sea esencial (incluso requerido por regulacin) y se pueda sacrificar algo de desempeo en produccin a costa de una mejor vigilancia. Algunos sectores que donde este esquema puede ser benfico son: Financiero, Farmacutico, Salud, Gobierno, Organismos Militares y Organismos Policiales. Existe tambin la opinin de muchos especialistas de no slo mantener una funcin central de Seguridad informtica, sino incluso fusionarla con el rea de Seguridad Fsica. Mi opinin al respecto es que debe existir integracin entre ambas funciones de seguridad, pero en mi experiencia la dependencia de una de la otra no genera siempre buenos resultados. Lo ideal en mi opinin es integrar ambas bajo un mismo lder, el famoso CSO (Chief Security Officer).

El nico cambio que yo vera en la integracin de ambas funciones es el pasar la responsabilidad de implementacin de los controles de seguridad fsica al rea de Seguridad Informtica (lo mismo con el desarrollo de controles si es el caso). Esto debido a que hoy en da, la mayora de los controles de seguridad fsica se basan en sistemas informticos (control de acceso, CCTV, alarmas de intrusin, etc.) y es ms eficiente realizar estas funciones a travs de gente con conocimientos y experiencia en sistemas. En este caso, el rea de Seguridad (fsica e informtica) podra distribuirse de la siguiente manera:

Funcin Distribuida Para algunas organizaciones hace ms sentido distribuir la funcin de la seguridad ya que esto permite tener un mejor desempeo operativo a costa de menor control y desempeo en la seguridad informtica. Algunos ejemplos de sectores de empresas donde esto suele suceder son: Manufactura, Servicios, Consultora, Telecomunicaciones y Comercial.

En este esquema podemos pasar algunas funciones a reas que normalmente no deberan contar con toda la funcin de seguridad informtica. Por ejemplo, podramos pasar las reas de Operaciones de Seguridad y Desarrollo de Seguridad al rea de Sistemas, integrndolas en las funciones correspondientes, siempre y cuando exista un lder de Seguridad Informtica separado y que la funcin de Supervisin tambin se encuentre separada. El rea de Normatividad de Seguridad podra recaer en el rea de Cumplimiento y el rea de Supervisin de Seguridad podra pasarse al rea de Auditora Interna (igualmente, slo si las reas de Operaciones de Seguridad y Desarrollo de Seguridad estn en otro lado). Finalmente el CISO puede depender de alguna de las reas antes mencionadas.

ECONOMA DE SEGURIDAD INFORMTICA La economa de la seguridad informtica estudia los aspectos econmicos de la privacidad y la seguridad en cmputo e informacin. La economa de seguridad informtica busca comprender las decisiones y comportamientos individuales u organizacionales con respecto a la seguridad y la privacidad como decisiones de mercado.

La Inversin en Seguridad Informtica De acuerdo con Anderson (2001) existen tres caractersticas fundamentales asociadas con el mercado de tecnologas de informacin (TI): El valor de un producto para un usuario depende de cuntos lo han adoptado. La tecnologa tiene altos costos fijos y bajos costos marginales. Existen frecuentemente altos costos para los usuarios con el cambio de tecnologas. Dichas caractersticas establecen una competencia de los

proveedores por conquistar segmentos de mercado importantes, sabiendo que el ganador se lleva todo. Pero la pregunta es: Quin es el beneficiado de esta dinmica? La empresa? El mercado de productos? La seguridad informtica, no es ajena a estas caractersticas propias del mercado de TI, pues, como comentamos previamente, el hardware, el software y los servicios especializados, son parte de la dinmica de la funcin de seguridad informtica en las organizaciones. La inversin en seguridad informtica es un reto para los encargados de este tema en las organizaciones. Surgen preguntas alrededor del tema de presupuesto, impacto y retorno de la inversin que en la actualidad causan revuelo y establecen muchos interrogantes para aquellos que se hayan en la tarea de justificar presupuestos de seguridad informtica. La matriz sugiere como elementos de anlisis dos componentes: riesgo/visibilidad e impacto/ganancia. El primero entendido de la manera tradicional establecida en el modelo de riesgos y controles donde la inversin se concentrar en atender las zonas valoradas como de mayor riesgo con el

fin de mitigar los mismos a travs de medidas de control que permitan atenderlos adecuadamente. En esta medida, al atender estos riesgos se aumenta la visibilidad del rea de seguridad, por su diligencia y debido cuidado en el mantenimiento de bajos niveles de riesgo asociados con la arquitectura de cmputo que apoyan las funciones de negocio. El segundo expone la importancia desde el punto de vista del negocio y las ganancias (tangibles e intangibles) que se puedan derivar del proyecto mismo. Es la zona donde los gerentes confirman y entienden en trminos de estrategias de negocio cmo el proyecto hace parte de la cadena de valor que se plantea para el producto o servicio en el cliente.

CONCLUSIN

Se

entiende

por seguridad

operacional que

al

conjunto tienen

de normas, procedimientos y herramientas,

como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la informacin que reside en un sistema de informacin. La seguridad operacional consiste en las diferentes polticas y

procedimientos implementados por la administracin de la instalacin computacional. Cada da hay ms personas mal intencionadas que intentan tener

acceso a los datos de nuestros ordenadores. El acceso no autorizado a una red informtica o a los equipos que en ella se encuentran puede ocasionar en la gran mayora de los casos

graves problemas. Uno de las posibles consecuencias de una intrusin es la prdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al da de las copias de seguridad. Y aunque estemos al da, no siempre es posible recuperar la totalidad de los datos.

Otro de los problemas ms dainos es el robo de informacin sensible y confidencial. La divulgacin de la informacin que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, un ejemplo ms cercano es el de nuestras contraseas de las cuentas de correo por las que intercambiamos informacin con otros. Con la constante evolucin de las computadoras es fundamental saber que recursos necesita informacin. para obtener seguridad en los sistemas de

BIBLIOGRAFA

http://www.monografias.com/trabajos82/la-seguridadinformatica/la-seguridad-informatica.shtml

http://investigaciongrado.wikispaces.com/file/view/SMS+con+Indic adores.pdf

http://www.fcca.umich.mx/descargas/apuntes/Academia%20de%2 0Informatica.../Adm%C3%B3n%20de%20Centros%20de%20Com puto%20%20%20R.C.M/UNIDAD%20III.pdf