UNIDAD 5
TÓPICOS AVANZADOS DE SEGURIDAD
•5.1
Metodologías para la implementación de
Seguridad
La metodologia que presento el equipo expositor fue:
MAGERIT
MAGERIT es la metodología de análisis y gestión de riesgos
elaborada por el Consejo Superior de Administración Electrónica, como respuesta
a la percepción de que la Administración, y, en general, toda la sociedad,
dependen de forma creciente de las tecnologías de la información para el
cumplimiento de su misión.
REFLEXIÓN...
•5.2
Legislación Mexicana e Internacional
Derecho
Informático
Es la rama del
derecho que se ocupa de estudiar las consecuencias jurídicas que pueden
derivarse del uso de los sistemas (hardware) y aplicaciones (software)
informáticas, así como de la interrelación de las diversas ramas del derecho
con la informática y tecnologías de información.
Reforma Código Penal Federal en México
Artículo
205 Bis.
Para poder hacer efectiva
la sanción contenida en este artículo, deberá reconocerse como prueba el uso y
aceptación de medios informáticos o electrónicos para la difusión de pornografía en el Código Federal de
Procedimientos Penales (CFPP), de lo contrario la reforma de este artículo
podría verse seriamente limitada por la falta de una disposición expresa en la
legislación procedimental penal federal que reconozca el uso y admisión de medios
informáticos o electrónicos como medios de prueba en materia penal, se le impondrá de
tres a ocho años de prisión y de cincuenta a doscientos días multa.
Reforma Código de Comercio en México
Capítulo
I.
Nos habla de los Mensajes
de Datos; este nos dice que en los actos de comercio y en la formación de los
mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra
tecnología. Y nos ofrece conceptos utilizados en este rubro:
Certificado:
Todo Mensaje de Datos
u otro registro que confirme el vínculo entre un Firmante y los datos de
creación de Firma Electrónica.
REFLEXIÓN...
Es muy importante conocer las legislaciones para poder hacer algo en internet sin tener problemas legales.
•5.3
Hacker ético
Pero, ¿qué es el hacking ético?
El hacking ético es en sí una auditoría efectuada por
profesionales de seguridad de la información, quienes reciben el nombre de
“pentester”. A la actividad que realizan se le conoce como “hacking ético” o
“pruebas de penetración”.
Las pruebas de penetración surgieron como respuesta a la
presencia y realización de los primeros ataques informáticos a las
organizaciones, los cuales trajeron graves consecuencias, como pérdidas
monetarias y de reputación. Es aquí donde interviene el trabajo de un “hacker
ético”, ya que su labor es buscar vulnerabilidades en los sistemas de la
organización para, posteriormente, poder mitigarlos y evitar fugas de
información sensible.
REFLEXIÓN...
Me gusto el ejemplo practico que mostraron los compañeros con el software llamado "FOCA" ademas de que pues un hacker no precisamente es malo ya que existe una clasificación de estos.
•5.4
Estándares: ISO 27001, ISO 17799, COBIT,
El estándar de seguridad de la información ISO 17799, es descendiente
del BS 7799 – Information Security Management Standard – de la BSI (British
Standard Institute) que publicó su primera versión en Inglaterra en 1995, con
actualizaciones realizadas en 1998 y 1999, consiste de dos partes:
Parte 1. Código de prácticas.
Parte 2. Especificaciones del sistema de administración de
seguridad de la información.
Por la necesidad generalizada de contar con un estándar de
carácter internacional que permitiera reconocer o validar el marco de
referencia de seguridad aplicado por las organizaciones, se elaboró el estándar
ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida
como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El ISO 17799, al definirse como una guía en la
implementación del sistema de administración de la seguridad de la información,
se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad. Asegurar que únicamente personal
autorizado tenga acceso a la información.
Integridad. Garantizar que la información no será alterada,
eliminada o destruida por entidades no autorizadas.
Disponibilidad. Asegurar que los usuarios autorizados
tendrán acceso a la información cuando la requieran.
Estos principios en la protección de los activos de
información constituyen las normas básicas deseables en cualquier organización,
sean instituciones de gobierno, educativas e investigación; no obstante,
dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán
especial énfasis en algún dominio o área del estándar ISO 17799.
ISO 27000.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o
en fase de desarrollo- por ISO (International Organization for Standardization)
e IEC (International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar
británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:
ISMS(Information Security Management System).
Valoración de Riesgo.
Controles.
A semejanza de otras normas ISO, la 27000 es realmente una
serie de estándares.
ISO 27000: En fase de desarrollo. Contendrá términos y
definiciones que se emplean en toda la serie 27000. La aplicación de cualquier
estándar necesita de un vocabulario claramente definido, que evite distintas
interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita,
a diferencia de las demás de la serie, que tendrán un coste.
ISO 27001: Es la norma principal de requisitos del sistema
de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002
y es la norma con arreglo a la cual se certifican por auditores externos los
SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye
a la BS 7799-2, habiéndose establecido unas condiciones de transición para
aquellas empresas certificadas en esta última.
Un servicio de seguridad es aquel que mejora la seguridad de
un sistema de información y el flujo de información de una organización. Los
servicios están dirigidos a evitar los ataques de seguridad y utilizan uno o
más mecanismos de seguridad para proveer el servicio.
Clasificación.
Una clasificación muy utilizada de los servicios de
seguridad es la siguiente:
Confidencialidad
Autenticación
Integridad
No repudio
Control de acceso
Disponibilidad
REFLEXIÓN...
En esta exposición nos hablaron de los diferentes estándares que existen para la seguridad informática
•5.5
Dispositivos de seguridad
Introduccion.
Al combinar las ventajas de varios productos de protección
informática, los dispositivos de seguridad son poderosas herramientas que se
interponen entre un sistema informático y una cantidad de gusanos, virus y
otros intrusos maliciosos. Aunque dichos dispositivos pueden reparar el daño
que infligen las brechas de seguridad, su valor real proviene sobre todo de la
prevención de ataques.
El delito informático saca una gran tajada de la
productividad empresarial. Los equipos - que en realidad son dispositivos con
un diseño tipo servidor - pueden atender asuntos de seguridad mucho más
eficazmente que distintos componentes independientes de hardware y software.
También hay problemas ocasionados por tiempos de
inactividad. Todo virus, gusano o ataque cibernético que logra penetrar su
empresa puede paralizar las operaciones durante horas - e incluso por días -
mientras que el personal de informática y consultores logra restaurar las
cosas.
La seguridad informática, es el área de la informática que
se enfoca en la protección de la infraestructura computacional y todo lo
relacionado con ésta (incluyendo la información contenida). Para ello existen una
serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la
información. La seguridad informática comprende software, bases de datos,
metadatos, archivos y todo lo que la organización valore (activo) y signifique
un riesgo si ésta llega a manos de otras personas. Este tipo de información se
conoce como información privilegiada o confidencial.
El concepto de seguridad de la información no debe ser
confundido con el de seguridad informática, ya que este último sólo se encarga
de la seguridad en el medio informático, pero la información puede encontrarse
en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de
diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir
un sistema de información seguro y confiable.
REFLEXIÓN...
Nos hablaron de los diferentes dispositivos que permiten que tengamos una mejor seguridad para la protección en nuestra información
•5.6
Diseño de una arquitectura de seguridad
La infraestructura informática de las compañías requiere que
el desempeño cada vez más sea óptimo, de acuerdo con las necesidades planteadas
del negocio. Esto normalmente conlleva a un descuido en el establecimiento de
las medidas de seguridad que la protegen, violando el equilibrio entre
funcionalidad y seguridad. Con el fin de equiparar estas características, se
hace necesaria la definición de una arquitectura de seguridad que cumpla las
siguientes premisas:
Definición del esquema de identificación, autenticación y
acceso (AAA)
Definición de seguridad perimetral
Definición de conectividad segura
Definición de monitoreo
Definición de administración Centralizada
REFLEXIÓN...
Se hablo sobre la protección de datos frente a modificaciones no autorizada, frente a perdidas y repeticiones.
•5.7
Controles administrativos
El objetivo preliminar de la revisión del marco de control
de la administración de las instalaciones computacionales es ver si la
administración realiza bien su trabajo. La calidad de la administración tiene
una influencia sobre la calidad del control a nivel detallado y en la medida en
que los datos son salvaguardados, conservados íntegros y en que el sistema
funcione eficiente y efectivamente.
Examinar evaluar el marco de control es importante por dos
razones:
El auditor puede usar la evaluación como una base para
determinar la naturaleza y extensión de las pruebas detalladas para ser
utilizadas por los sistemas de aplicación. La calidad del marco de control
administrativo afecta la calidad del procesamiento de datos en el futuro. El
auditor puede formase una idea de si los sistemas de aplicación son candidatos
para degradarse en el futuro.
REFLEXIÓN...
Se expusieron las politicas de seguridad los documentos PSI los planes de contingencias aunque estos temas ya se habian visto anteriormente.
No hay comentarios.:
Publicar un comentario