Issuu on Google+

YURIDIA ORTIZ MALDONADO 26 DE JUNIO DE 2011,


Desde siempre, la seguridad de los sistemas de informaci贸n ha sido confiada a la red y a los sistemas, olvidando los criterios de seguridad sobre las aplicaciones que soportan al negocio.


Los sistemas de información concentran los datos en archivos de computadoras, por ello, los daros automatizados son más susceptibles a destrucción, fraude, error y abuso. Cuando los sistemas de computación fallan o no funcionan como es debido, las compañías que dependen mucho de ellos experimentan la perdida grave de su capacidad para operar.


En la actualidad son muchos los factores a tener en cuenta en lo relativo a la seguridad de la información, un área que día a día va adquiriendo más protagonismo en los presupuestos e inversiones empresariales. Los planes de contingencia y de continuidad de negocio cobran especial relevancia a la hora de abordar cualquier proyecto TIC. Ya son muchos y muy frecuentes los escenarios donde la pérdida de información puede ocasionar daños importantes en los desarrollos corporativos. A lo anterior se suman los ataques externos que vulneran el funcionamiento correcto de los sistemas, incluso la interrupción esporádica de ciertos sistemas y servicios, puede ocasionar importantes pérdidas económicas.


La complejidad de la seguridad de los sistemas de información precisa la preparación de estrategias que permitan que la información circule libremente, garantizando al mismo tiempo la seguridad del uso de los sistemas de información en toda la Comunidad. A este respecto, la presente Decisión establece un plan de acción en el ámbito de la seguridad de los sistemas de información y crea un comité encargado de asesorar a la Comisión sobre actuaciones en este ámbito.


POR QUÉ SON VULNERABLES LOS SITEMAS Cuando se almacenan grandes cantidades de datos en forma electrónica, estos son vulnerable a muchos tipos de amenazas. Su origen puede estar en factores técnicos, de organización y del entorno, combinados con las malas decisiones gerenciales.


AMENAZA A LOS SISTEMAS DE INFORMACIÓN COMPUTARIZADO Fallos de hardware – Incendio Fallos de software Problemas eléctricos Acciones del personal  Errores de usuario Penetración por terminales Cambios de programas Robo de datos Servicios  equipo  Problemas de telecomunicaciones


DELITOS ACCIDENTALES E INCIDENTALES Los delitos cometidos tienen la peculiaridad de ser descubiertos en un 95% de forma casual. Podemos citar a los principales delitos hechos por computadora o por medio de computadoras estos son: Fraudes Falsificación Venta de información


EL VIRUS INFORMÁTICO

El virus informático es un programa elaborado accidental o intencionalmente, que se introduce y se transmite a través de diskettes o de la red telefónica de comunicación entre ordenadores, causando diversos tipos de daños a los sistemas computarizados. Muchos casos muestran que al realizar una auditoría se debe estudiar con mucho cuidado lo que significan los virus, conocer los diferentes tipos como ser: caballo de troya, gusano, trampilla, bomba de tiempo, bomba lógica y los recientes macro virus y conocer también el ambiente propicio para el cultivo del crimen. Pero como principal punto de partida se debe observar que el sistema: No tenga copias ilegales o piratas Que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes. El acceso de unidades de disco flexible sea restringido solo a quienes la necesitan.


LA ADMINISTRACIÓN DE LA SEGURIDAD La administración de la seguridad debe estar basada en la evaluación del riesgo y ser dinámica, debe comprender todos los niveles de las actividades de los participantes y todos los aspectos de sus operaciones. Debe incluir posibles respuestas anticipadas a riesgos emergentes y considerar la prevención, detección y respuesta a incidentes que afecten la seguridad, recuperación de sistemas, mantenimiento permanente, revisión y auditoría. Las políticas de seguridad de los sistemas de información, redes, así como las prácticas, medidas y procedimientos deben estar coordinadas e integradas para crear un sistema coherente de seguridad. Los requerimientos en la administración de la seguridad dependen de los niveles de participación, del papel que desempeñan los participantes, del riesgo implicado y de los requerimientos del sistema.


BENEFICIOS SEGURIDAD

DE

UN

SISTEMA

DE

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad Aumento de la motivación del personal Compromiso con la misión de la compañía  Mejora de las relaciones laborales  Ayuda a formar equipos competentes Mejora de los climas laborales para los RR.HH.


PLAN DE SEGURIDAD IDEAL Un plan de seguridad para un sistema de seguridad integral debe contemplar;  El plan de seguridad debe asegurar la integridad y exactitud de los datos. Debe permitir identificar la información que es confidencial Debe contemplar áreas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organización para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administración contra acusaciones por imprudencia


En la Actualidad existen softward para la seguridad de sistemas de informacion como: eGAM Seguridad es un software de altas prestaciones diseñado para administrar el sistema de gestión de seguridad de la información, de acuerdo a la Norma ISO/IEC 27001, que aumenta su eficacia y simplifica su manejo al reducir drásticamente las horas de dedicación del personal, la burocracia y los costes de funcionamiento


Gestión de los procesos de seguridad de la información El software eGAM Seguridad permite a las empresas y entidades la implantación, el mantenimiento y la certificación de un sistema de gestión de seguridad de la información (SGSI) según Norma UNE-ISO/IEC 27001:2007, con el fin de minimizar los riesgos y asegurar los requerimientos en materia de seguridad de los sistemas de información: propiedad industrial e intelectual, confidencialidad, protección de datos personales, servicios para la sociedad de la información, integridad y disponibilidad de la información, etc.


Funcionalidades del software eGAM Seguridad Documentación del sistema de gestión: procedimientos, registro. Responsabilidad de la dirección: compromiso, política de seguridad, comunicación Gestión de los recursos: humanos, infraestructura y ambiente de trabajo. Implementación y operación: planificación, diseño y desarrollo, compras, producción Seguimiento y revisión: seguimiento, control, no conformidades, auditoría Anexo: dominios y controles de seguridad aplicables a la organización


AUDITORIA DE INFORMACION.

SEGURIDAD

DE

SISTEMAS

DE

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.


Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad. FASES DE UNA AUDITORÍA Los servicios de auditoría constan de las siguientes fases: *Enumeración de redes, topologías y protocolos *Identificación de los sistemas operativos instalados *Análisis de servicios y aplicaciones *Detección, comprobación y evaluación de vulnerabilidades *Medidas específicas de corrección *Recomendaciones sobre implantación de medidas preventivas


Gracias por su atenci贸n.


Seguridad en el Desarrollo de Sistemas