Seguridad Informática

Taller de Empleo Microinformática. 2013-2014. La Rinconada

Tema 1

Seguridad Informática



ConfidencialidadIntegridad

Disponibilidad

C I A


Son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo Hardware, Software, firmware y aquella información que procesan, almacenan y comunican.



ISO 17799 No certificableEnlace al documento 17799

UNE 71502 Norma certificable

Normas


ISO 17799 No certificableEnlace al documento 17799

UNE 71502 Norma certificable

Metodologia Magerit


Seguridad Informática• FACTORES QUE INFLUYEN• Sensibilización Directores/

Directivos• Conocimiento de la tecnología• Correcta instalación y

Mantenimiento• Limitar Permisos usuarios• Actualizaciones / Parches

correctas


Seguridad Informática• Sigue…

• Proteger respecto a amenazas internas (ej.: Proteger puertos USB)

• Adaptar las reglas genéricas a las necesidades específicas de la empresa


Seguridad InformáticaOBJETIVOS

• Minimizar y gestionar los riesgos• Detectar las amenazas.• Garantizar correcta utilización de

los recursos.• Limitar las pérdidas en caso de

accidente o ataque.• Cumplir con el marco legal.


Seguridad InformáticaPARA CONSEGUIRLOS… (Pág. 19)

• A NIVEL TECNICO

• A NIVEL LEGAL

• A NIVEL HUMANO

• A NIVEL ORGANIZATIVO


Seguridad InformáticaLa SEGURIDAD ES UN PROCESO

LA SEGURIDAD NO ES UN PRODUCTO

SE HACE “DIA A DIA”(Filósofo Silvester Stallone. “Película RAMBO III”)


LA SEGURIDAD COMO PROCESO


Funciones de la SeguridadConfidencialidad

AutenticaciónIntegridad

No RepudiaciónDisponibilidadAutorizaciónAuditabilidad

Reclamación de OrigenReclamación de Propiedad

Anonimato en el UsoProtección a la Réplica

Confirmación de la Prestación de un ServicioReferencia de Tiempo

Certificación mediante terceros


Técnicas de SeguridadIdentificación Usuarios y Contraseñas

Control de acceso a los recursosCopias de SeguridadCentros de Respaldo

Cifrado transmisionesHuella digital de Mensajes

Sellado Temporal de mensajesUtilización de la Firma Electrónica

Protocolos CriptográficosAnálisis y Filtrado del Tráfico (Firewall)

Servidores ProxySistema de detección de Intrusiones

Antivirus


Fallos de Seguridad

NEW YORK 2.001


Fallos de Seguridad

MADRID 2.005


Fallos de Seguridad

MADRID 2.005

El incendio provocó la pérdida de los soportes documentales de una auditoría realizada por Deloitte al Grupo FG, que habían sido solicitados por la Fiscalía Anticorrupción un día antes del siniestro


En consecuencia…El gasto en prevención, para aumentar la seguridad informática, es similar a un seguro contra incendios, contra robos. No produce valor a la empresa, pero minimiza la posibilidad de que se produzca un incidente que haga perder la capacidad productiva de la empresa.

“Es un dinero bien gastado”


Pensar que…El gasto en prevención, nunca puede ser mayor que el valor de los activos a proteger…

“Mal negocio sino”


Pensar que…- Horas de trabajo para reparar y

reconfigurar- Perdidas ocasionadas por tener el

sistema inoperativo.- Perdidas por robo de formulas,

documentos.- Perdida de credibilidad, imagen.- Perdida de pedidos.- Perdidas humanas (en el limite).- Pago de indemnizaciones.


Pensar que…- En un proyecto que tenga que ver con

los sistemas informáticos, siempre tengamos en cuenta un apartado de “Seguridad de la informacion” referido a este proyecto.

- Imprescindible el contar con el apoyo de la Dirección, y como no, con la colaboración de los usuarios.


Defensa en Profundidad- Si utilizamos un sistema de

seguridad tipo “cebolla”, con varias capas de seguridad, esto va a redundar en nuestro beneficio, y va a mantener alejados a los SCRIPT KIDDIES.

Personas que utilizan algún programa bajado de internet para atacar sistemas, sin tener los suficientes conocimientos de Sistemas Informáticos.


S G S I- Sistema de Gestión de Seguridad

de la Información.

- Es una parte del sistema de gestión, que comprende “LO NECESARIO” para implantar la

GESTION DE LA SEGURIDAD en la Organización


Sistema Seguro- Sistema apagado, en caja fuerte

de Titanio, en un bloque de cemento, rodeado de gas nervioso, custodiado por guardias bien pagados. Y no apostaría mi vida en ello.

- Gene Spafford


POLITICAS DE GSI- Conjunto de Normas,

procedimientos, buenas prácticas que determinan como protegemos todo el SGI.


POLITICAS DE GSI- Es importante Formalizar la

gestión- Establecer Procesos PDCA

- Plan ( Planificar )- Do ( Hacer )- Check ( Chequear )- Act ( Actualizar )


Etapas en la GSI1)Medidas Básicas de Sentido

ComúnAlguna copia de seguridad

Algun control de usuario/contraseña

2)Adaptación al Marco legalLopdDelitos informáticos


Etapas en la GSI3) Gestión Integral de la Seg. Inf.

Politica de seguridadPlanes y ProcedimientosAnálisis de riesgosPlan de continuidad de Negocio

4) Certificación en SeguridadAdaptación a ISO 27001UNE71501, UNE71502


LA PRIVACIDAD

ACCESO A VIDEOTUTORIALES DE PRIVACIDAD

WEB DE REFERENCIA: WWW.AGPD.ES

Nota: Documentos varios del tema 01

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/protegetuprivacidad/index-ides-idphp.php




ANEXONORMATIVAS RELACIONADAS

ISO27001LOPDLSSI

LEY DE PROPIEDAD INTELECTUAL


ANEXO iiSoftware de Encriptacion

TRUE CRYPT

Ejercicio: Instalar y Evaluar


ANEXO iiiSoftware de Protección USB

USB manager

Ejercicio: Instalar y Evaluar

Technology

Seguridad Informática