Embed Size (px)
Citation preview
Seguridad InformáticaActividad 2 Tarea 1
Elías Alemán Alemán
Introducción
Desde el inicio de la informática hasta nuestros tiempos , esta a crecido a pasos agigantados trayendo grandes beneficios tanto a personas particulares como agrandes empresas.
Hoy en día no es necesario salir de casa para realizar transacciones, hacer compras, mandar información de un lugar a otro, todo esto se puede lograr en cuestión de minutos. Cabe mencionar que las mas beneficiadas con esta tecnología son las empresas las cuales manejan cantidad de información, sin embargo es grande su responsabilidad debido a que tienen que protegerlas.
¿Que son activos y su importancia?
Un activo es todo elemento que la empresa
considere de valor e importancia y que
contribuye para su correcto funcionamiento y
el logro de sus objetivos.
Entre los activos de una empresa podemos
mencionar:
• Datos o información
• Personal
• (Equipo) infraestructura, hardware,
software
• Servicios.
Activos: Datos
Los datos e información para una empresa es el activo de mayor valor, debido a que puede tener información importante de los clientes y proveedores así como estudios de mercado, planes estratégicos ventajosos contra la competencia, nuevos proyectos, presupuestos, ganancias, entre otros.
Por tal motivo la seguridad en la información es primordial en todas las empresas, de esta importancia deriva la inversión de parte de las mismas para tener sistemas seguros por lo menos el mayor porcentaje ya que es imposible mantener un sistema 100 % seguro.
Según se implementan técnicas nuevas de seguridad, los hackers o cracker crean métodos nuevos para violarlas e introducirse a los sistemas de los cuales pueden robar información valiosa que pueden vender a la competencia.
Activos: Infraestructura
La infraestructura es otro elemento importante en los activos de la empresas,
esta debe ser segura y estar trabajando continuamente en su seguridad y
protección.
El edificio debe de contar con sistema anti incendio, seguridad personal y los
servidores de datos deben de estar protegidos contra siniestros llámese
naturales o causales.
Activos: Infraestructura
Es muy común que muchas de la infraestructura sea dañada intencional mente.Las cuales pueden ser :
• Físicas. Destrozo de equipo (Hardware), cableado.• Lógica. (Software) Este puede ser dañado mediante virus o códigos maliciosos
que dañan los sistemas y en casos extremos hasta eliminar información importante almacenada en los servidores.
Tanto los ordenadores y los servidores deben de estar en lugares seguros por si llegara a presentarse una amenaza natural
Activos: Personal o empleado
El Activo : Personal en conjuntos con los demás es primordial en los logros de
la empresa, de ahí la importancia de que las empresas cuenten con
reglamentos y leyes internas para los usuarios y trabajadores.
Activos: Servicio
Otros de los activos de una empresa es: Servicio. Este elemento no puede
faltar en una empresa u organización es muy valioso para ellas. Por lo que debe
de cuidarse y proteger.
Fases de seguridad en activos en una organización
El primer paso o fase para implementar la seguridad en los activos
de una empresa es:
• Identificar esos activos y su valor correspondiente para la
organización.
• Evaluar a la Organización en sus elementos críticos.
Es de suma importancia que se analicen todas las vulnerabilidades
posibles y las amenazas a las que se pueden estar expuestas ya que
me diente esta información se puede trabajar en la implementación de
la seguridad.
Fases de seguridad en activos en una organización
El segundo paso o fase es:
Determinar e identificar si es posible con un margen de error mínimo los
tipos de amenaza y el impacto que estas tendrán sobre los activos.
Las etapas que se utilizar en esta fase para lograr esta información es
mediante el Análisis del Impacto y Determinación del Riesgo.
Fases de seguridad en activos en una organización
El paso tres o Fase consiste en estimar y valorar mediante métodos
cualitativos y cuantitativo el análisis de riesgo y el impacto sobre los
activos.
Fases de seguridad en activos en una organización
En el cuarto o ultimo paso o Fase después de analizar la información se
deben de interpretar los resultados y documentarlos para determinar el
grado de seguridad, así mismo se deben de documentar las
recomendaciones que se hagan en pro de una mejor seguridad de los
activos.
Tecnologías usadas para la seguridad de control de activos
Se ha mencionado que los activos son de suma importancia para las empresas (es
lo mas valioso que ellas Tienen) de ahí lo importante de utilizar tecnologías para
protegerlos.
Algunas protecciones tecnológicas son las siguientes.
Backup. Es la copia total o parcial de información importante del disco duro, CDs,
bases de datos u otro medio de almacenamiento.
Instalación de firewall. Dispositivo que funciona como cortafuegos entre redes,
permitiendo o denegando las transmisiones de una red a la otra
Tecnologías usadas para la seguridad de control de activos
Antivirus. Es un programa creado para prevenir o evitar la activación de los virus, así
como su propagación y contagio
Control de acceso. Restringe la apertura o acceso mediante contraseña.
Encriptación de información. La encriptación se hace a través de la aplicación de cierto
tratamiento a los códigos ASCII de los mensajes, de manera que el tratamiento inverso
será el único camino práctico para decodificar el mensaje.
Ejemplo
El robo de información son noticias alarmantes que ponen a las organizaciones, empresas y particulares en que pensar. En una noticia que se publico el 30 de agosto del 2012
El grupo de hackers TeamGhostShell lanzó un comunicado en el que confirma su autoría sobre el robo de más de 1 TB de información de distintas bases de datos con información de más 100 organizaciones, entre ellas, la CIA y el MIT, entre muchas otras, además de gobiernos de Estados Unidos, China y Japón.
La filtración de estos datos forma parte, como indica el comunicado, de la operación Project Hell Fire, que comenzó a principios de este año, y tiene como objetivos a empresas proveedoras de los gobiernos de los citados países. Según el grupo de hackers, entre este Terabyte de información que ahora se ha filtrado, y cuya fecha de robo se desconoce, se encuentras más de 6,000 millones de bases de datos con información sobre los desarrollos tecnológicos del gobierno japonés y chino, así como más de 105,000 millones de datos relacionados con el mercado cambiario estadounidense y datos de acceso a los servidores del Departamento de Seguridad Nacional de los Estados Unidos.
En el comunicado emitido, los hackers también apuntan que piensan continuar con sus actividades y que, a finales de año, podrán en marcha nuevas campañas de ataques conjuntamente con el grupo de hacktivistas Anonymous.
Ejemplo
Estas noticias alarmantes preocupan a las organizaciones las cuales trabajan continuamente en busca de mayor seguridad para su información.
Conclusión
La seguridad informática es un tema que interesa a todos tanto particulares
como a nivel empresarial, es tan importante que aquí en México existe el
Instituto Federal de Acceso a la Información y Protección de Datos (IFAI)
La informática a traído grandes beneficios en el mundo entero sin embargo
aunque tiene sus grandes ventajas conlleva a ser usada por personas mal
intencionadas para robar información e identidad violando así los derechos de
las personas .
Es por eso que día con día se trabaja arduamente para la implementación de una
mayor seguridad en la información así como en los medios de accesos.
Referencias
http://www.slideshare.net/Tcherino/seguridad-informatica-3143924
http://www.slideshare.net/ebonhoure/seguridad-informatica-4164281
http://es.wikipedia.org/wiki/Instituto_Federal_de_Acceso_a_la_Informaci%C3%B3n_y_Protecci%C3%B3n_de_Datos
Seguridad InformáticaActividad 3 Tarea 1
Elías Alemán Alemán
La empresa ComSat ofrece servicio satelitales, actualmente firmo un contrato por tres años para el desarrollo de una televisora, por lo cual debe conseguir un edificio para sus instalaciones, equipo de cómputo, antenas, servidores etc.Supóngase que a usted es consultor y lo contrata para que genere un proyecto de seguridad de sistemas dentro de la empresa como primer paso le piden una presentación del proyecto donde proponga:
• El análisis de riesgo que puede tener el nuevo proyecto en cuestiones de los sistemas de información
• Los errores más comunes en los sistemas de información
Actividad 3 Caso
Planeación
Teniendo a conciencia la finalidad de la empresa.
• Lo primero seria buscar la infraestructura adecuada del edificio y ubicación.
Que se encuentre en un lugar seguro públicamente.
Que la ubicación no sea en lugares bajos o zonas de inundación.
Que cuente con puertas de seguridad con identificación de huella digital y
alarma.
Que tenga extintores y sistema contra incendios.
Que cuente con salidas de emergencias.
Que cuente con cámaras de vigilancia 24 horas los siete días de la semana.
Planeación
Que tenga vigilancia personalizada ( contratar agencia de seguridad )
Protección física de los activos de mayor valor.
Edición e impresión de reglamentos interno de trabajo y uso de los
equipos.
Planeación
Análisis de riesgo
El análisis de riesgo es el proceso encargado de identificar las amenazas y
vulnerabilidades, conocer sus efectos e impacto que producen y conocer la
probabilidad de que ocurran. La información obtenida por este procedimiento
permite identificar los controles de seguridad existentes, calcular vulnerabilidades
y evaluar el efecto de las amenazas en cada área vulnerable.
Para realizar un análisis de riesgo es necesario primeramente conocer los activos
de la empresa en cuestión.
Cabe mencionar que los activo difieren de una empresa a otra aunque algunos
pueden ser comunes.
Análisis de riesgoIdentificación de activos
1. En primera instancia se debe de hacer un listado de los activos de la empresa.
Aquí se evaluaran los distintos activos físicos y de software de la organización,
generando un inventario de aquellos que son considerados como vitales para
el logro de los objetivos.
2. Asignación de prioridades a los activos: Se deben de clasificar los activos según
el impacto que puede sufrir la organización o empresa si faltase o fallara tal
activo.
Análisis de riesgoFactores: Amenazas
Las amenazas a las cuales pueden estar expuestas los activos son tres en las cuales se
encierran muchas mas.
Criminalidad.
Sucesos físicos.
Negligencias y decisiones institucionales.
Análisis de riesgoAmenazas.
Criminalidad: Acciones, causado por la intervención humana, que violan la ley.
Entre estas están.
• Acceso no autorizado a datos (borrado, modificación, etc.)
• Copia no autorizada de un medio de datos.
• Robo de información.
• Sabotaje.
• Virus
• Espionaje
• Allanamiento etc.
Análisis de riesgoAmenazas.
Sucesos físicos. Son todos los eventos naturales y técnicos, incluyendo los
eventos indirectamente causados por la intervención humana.
Entre estos están:
• Los incendios.
• Inundación.
• Sismos.
• Maltrato físico.
• Corte de luz, UPS descargado o variaciones de voltaje.
• Configuración inadecuada de componentes de red .
• Mal mantenimiento, entre otros
Análisis de riesgoAmenazas.
Negligencias y decisiones institucionales. Son todas las acciones, decisiones u
omisiones por parte de las personas que tienen poder e influencia sobre el sistema.
Entre los cuales se encuentran:
• Entrenamiento de usuarios inadecuado
• Faltas de reglas.
• Falta de cifrado de datos.
• Falta de auditorías
• Falta de autenticación
• Falta de confidencialidad, entre otros.
Análisis de riesgoVulnerabilidad.
La Vulnerabilidad es la capacidad, las condiciones y características del sistema mismo
(incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas.
Estas vulnerabilidades se agrupan en cuatro grupos característicos, los cuales son.
Ambiental/ Física
Económica
Social o socio Educativo
Institucional y Política
Análisis de riesgoVulnerabilidad.
Ambiental/ físicas. Estos son los desastres naturales, ubicación y capacitación
técnica.
Económica. Escases y mal manejo de recursos para la implementación de
mayor seguridad.
Análisis de riesgoVulnerabilidad.
Social o socio Educativo. Esta consiste en el comportamiento, método o conducta de las personas.
Institucional y Política. En los procesos, por corrupción y por autonomía
Análisis de riesgo
.
Una vez realizado el análisis de riesgos y vulnerabilidad procederemos a clasificar la información en.
Confidencial. (Personal autorizado)
Privado.(Acceso restringido, personal interno)
O publico.
En base a la información que se obtenga analizamos los riesgos con los siguientes valores:
Alto Riesgo. No existen condiciones internas o externas que impidan el ataqueMedio riesgo. Existen condiciones que hacen probable un ataque en un corto tiempo.Bajo Riesgo. Existen condiciones que hacen muy lejana la probabilidad de amenaza
Análisis de riesgo
Cabe mencionar que debemos de consideran el impacto que tendría cada amenaza en los activos de la empresa si esta llegara a suceder.
Para prevenir esto es necesario implementar medidas de control mediante procedimientos preventivos.
Procedimientos preventivos
Calendario de seguridad de revisión de puertas ( Que estén seguras).
Bitácoras de entrada y salida de personal visitante.
Exámenes de confiabilidad del personal (empleado).
Cámaras de vigilancias ocultas en áreas de trabajos, puertas de entradas y
pasillos.
Revisión semanal del sistema contra incendios.
Copias periódicas de seguridad de la información almacenada en los
servidores.
Actualización constante de antivirus en los equipos.
Actualización del firewall de los servidores.
Revisión de la configuración de seguridad de los equipos semanal mente.
Capacitación del personal para que reporten cualquier anomalía en las
aplicaciones de los sistemas.
Procedimientos preventivos
Capacitación continuo del personal para el uso de sistemas. Creación de manual en el uso del equipo y concientización
del personal en el cuidado del mismo(Equipo) Vigilancia constante del edificio donde se encuentran los
activos.
Políticas de seguridad
Muchos de los riesgos por la cual están comprometidos los activos de una empresa se debe a la falta de reglas y leyes.
Las reglas y leyes de una empresa no son universales, cada empresa en base a sus activos y con el propósito de protegerlos las crea a su conveniencia.
Por ejemplos pueden existir empresas que tengan información confidencial almacenada en sus servidores sin embargo por la confianza que tienen en su personal los accesos no están restringidos, por lo que en ese detalle no existe un reglamento o leyes que les prohíban acceder a ella. Por el contrario puede haber empresas y quizás en la mayoría exista reglamentos donde se prohíbe a personal no autorizado acceder a esa información o parte de alguna área de la empresa.
Políticas de seguridad
![Elementos de Arquitectura y Seguridad Informatica[1]](https://img.pdfslide.es/doc/110x75/5571f44449795947648f4360/elementos-de-arquitectura-y-seguridad-informatica1.jpg)