jueves, 15 de marzo de 2012

SEGURIDAD INFORMATICA


SEGURIDAD


La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.


La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran:


  • La información contenida

Se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres.

  • La infraestructura computacional

Una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

  • Los usuarios

Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad.


La seguridad no es solo cosas de parches, programas o actualizaciones, sino principalmente es un problema nuestro como usuarios. En todos los estudios realizados los descuidos o imprudencias son la principal fuente de las brechas de seguridad, tanto desde el punto de vista del usuario personal como de las empresas.

La seguridad informática se resume, por lo general, en cinco objetivos principales:

  • Integridad: garantizar que los datos sean los que se supone que son
  • Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian
  • Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información
  • Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  • Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos


Las 10 leyes inmutables de las seguridad.

Ley 1: Si un intruso lo puede persuadir para que usted ejecute el programa de él en su computadora, ésta ya deja de ser su computadora.

Cuando un programa se ejecuta en el ordenador hace lo que el programador le ha dicho que haga, no lo que creemos que tiene que hacer. Por lo tanto, si permitimos que un programa se ejecute en nuestro ordenador tendrá las mismas capacidades de realizar cambios, incluidos los dañinos, que nosotros tenemos como usuarios y los hará según las instrucciones de su programador.


Ley 2: Si un intruso puede alterar el sistema operativo de su computadora, ésta ya deja de ser su computadora.

El sistema operativo no deja de ser un programa más acompañado por un conjunto de ficheros de configuración, que están protegidos pero que a la larga puede ser modificados. Si permitimos cambios en el sistema nuestro ordenador ya no estará bajo nuestro control


Ley 3: Si un intruso tiene acceso físico sin restricción a su computadora, ésta ya no es su computadora.
Tomar las mejores precauciones para protegernos de los intrusos que pueden acceder a nuestro ordenador a través de Internet no vale nada si el intruso puede acceder tranquilamente a nuestro ordenador y sentarse a teclear. Es algo que en ocasiones descuidamos, pero un elemento básico de la seguridad. En el artículo de TechNet dan una lista de lo que un “intruso” puede hacer si tiene acceso al ordenador.


Ley 4: Si usted le permite a un intruso subir programas a su sitio Web, éste deja de ser suyo

El intruso es el que entra en el servidor e intenta cambiar nuestra página web. Conseguirá así extender el contagio de un virus o malware. La responsabilidad de un usuario que mantenga un sitio web incluye controlar que los usuarios de la web no puedan agregar programas y mantener actualizado el software con los parches de seguridad adecuados.

.Ley 5: Las contraseñas débiles atentan contra la seguridad fuerte.

Es uno de los eslabones más débiles de la cadena de seguridad. Si para identificarnos utilizamos contraseñas fáciles de averiguar, los sistemas de seguridad que hayamos instalado no servirán de nada. Hay que tener la precaución de que siempre en nuestro sistema el administrador requiera contraseña.


Ley 6: Una máquina es tan segura como confiable sea el administrador

Todo ordenador tiene su administrador, aunque en muchos casos el administrador seamos nosotros. El edministrador es el que instala el software, modifica el sistema operativo y establece las políticas de seguridad. En el decálogo de Technet se advierte que un administrador intruso puede frustrar cualquier medida de seguridad que tomemos nosotros.


Ley 7: Los datos encriptados son tan seguros como la clave de desencriptación.

Una versión distinta del problema de las passwords. La encriptación es una excelente herramienta para proteger nuestros datos y se utiliza en las transacciones que se realizan en Internet, pero en el caso de los programas de encriptación, hay que tener cuidado dónde se almacenan. Lo mejor es utilizar claves que memorizaremos o almacenarlas en un dispositivo externo a nuestro ordenador para que sean difíciles de localizar.


Ley 8: Un escáner de virus desactualizado sólo es ligeramente mejor que ningún escáner de virus en absoluto.

En Internet van apareciendo y mutando nuevos virus y malware a un ritmo muy alto. Por eso hoy más que nunca, cuando pasamos más tiempo conectados a Internet, es muy importante disponer de un antivirus actualizado. Uno que no esté puesto al día nos protegerá solamente de amenazas obsoletas pero no será una herramienta de protección fiable.


Ley 9: El anonimato absoluto no es práctico, ni en la vida real ni en la Web

Las herremientas que permiten conseguir un grado de anonimato importante en Internet son muchas, como los proxies o conversores de direcciones IP que hacen que no podamos ser localizados o los navegadores web que no dejan rastros de nuestra actividad. Hay que tener cuidado con qué servicios utilizamos para conseguir el anonimato, porque puede que estemos consiguiendo precisamente lo contrario.


Ley 10: La tecnología no es una panacea.

Una lección que es necesario aprender a pesar de los grandes adelantos tecnológicos que estamos viviendo y en el campo de la seguridad en particular. Como adelantábamos al principio, a pesar de toda esta tecnología tan sofisticada y los avances en el software de seguridad, no podemos encomendar nuestra seguridad totalmente a la tecnología


CONCEPTOS BASICOS DE SEGURIDAD INFORMATICO
  • · Confidencialidad La información solo debe ser legible para personal autorizado p Evita que exista una intercepción de esta y que pueda ser leída por una persona no autorizada
  • · Disponibilidad p Garantiza el acceso Irrefutabilidad No se puede negar la autoría n Autenticación p Solo individuos autorizados tienen acceso a los recursos
  • · Integridad Garantizar que los datos sean los que se suponen que son y no se hayan alterados in situ o durante una transmisión


La información almacenada en el sistema, así como los recursos físicos del sistema de computación, tienen que protegerse contra acceso no autorizado, destrucción o alteración mal intencionada, y la introducción accidental de inconsistencia.

La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar a cubierto frente a contingencias adversas.

El uso creciente y la confianza en los computadores en todo el mundo ha hecho surgir una preocupación legítima con respecto a la seguridad informática. El uso de los computadores ha extendido en ambientes comerciales, gubernamentales, militares e incluso en los hogares. Grandes cantidades de datos vitales sensibles se están confiando y almacenado cada vez más en computadores. Entre ellos se incluyen registros sobre individuos, negocios y diferentes registros públicos y secretos gubernamentales y militares. Grandes transacciones monetarias tienen lugar diariamente en forma de transferencia electrónicas de fondos. Más recientemente, informaciones tales como notificaciones de propiedad intelectual y datos comerciales estratégicos son también almacenados, procesados y diseminados mediante computadores. Entre ellos se incluyen diseños de ventas, contratos legales y muchos otros.

La seguridad, no solo requiere un sistema de protección apropiado, sino también considerar el entorno externo en el que el sistema opera. La protección interna no es útil si la consola del operador está al alcance de personal no autorizado, o si los archivos se pueden sacar simplemente del sistema de computación y llevarse a un sistema sin protección. Estos problemas de seguridad son esencialmente de administración, no problemas del sistema operativo.

Información de un atacante

Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización.

Para minimizar el impacto negativo provocado por ataques, existen procedimientos y mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen notablemente el campo de acción de los ataques.

Uno de los pasos más importantes en seguridad, es la educación. Comprender cuáles son las debilidades más comunes que pueden ser aprovechadas y cuáles son sus riesgos

asociados, permitirá conocer de qué manera se ataca un sistema informático ayudando a identificar las debilidades y riesgos para luego desplegar de manera inteligente estrategias de seguridad efectivas.


La mayoría de las organizaciones son hemorragias de datos; las empresas dan libremente demasiada información que puede ser utilizada en su contra a través de diversos tipos de ataques lógicos y físicos. Aquí sólo se encuentran algunos de los ejemplos más comunes de la información que un atacante puede obtener sobre su organización, por lo general, en cuestión de minutos:Fallos de los productos, problemas con el personal, publicaciones internas, políticas de la empresa y muchos más desde blogs, comentarios, críticas de la empresa y servicios de inteligencia competitiva.

  • Los nombres de sus altos ejecutivos y de cualquier empleado llamativo pueden ser obtenidos examinando sus comunicados de prensa.

  • La dirección de la empresa, números telefónicos y números de fax desde el registro de nombres de dominio.
  • El proveedor de servicio a Internet.
  • La dirección de la casa de los empleados, sus números telefónicos, currículo vita que de los empleados, los miembros de su familia,antecedentes penales y mucho más buscando sus nombres en varios sitios de investigación gratuitos y pagos.
    • Los sistemas operativos, los principales programas utilizados, los lenguajes de programación, plataformas especiales, fabricantes de los dispositivos de red utilizados y mucho más desde los anuncios en sitios de empleos.
    • Debilidades físicas, puntos de ventaja, señales activas, formas de entrada, coberturas para los caminos de acceso y más a través de imágenes satelitales de su empresa y las direcciones de los empleados.
    • Nombres de usuario, direcciones de correo electrónico, números de teléfono, estructura de archivos, nombres de archivos, tipos de sistemas operativos, la plataforma del servidor web, lenguajes de script, entornos de aplicaciones web y más con escaners de sitios web.
    • Documentos confidenciales accidentalmente enviados a un sitio web como archivo.org o Google Hacking.

    Seguridad de los sistemas de información.
    La complejidad de la seguridad de los sistemas de información precisa la preparación de estrategias que permitan que la información circule libremente, garantizando al mismo tiempo la seguridad del uso de los sistemas de información en toda la Comunidad. A este respecto, la presente Decisión establece un plan de acción en el ámbito de la seguridad de los sistemas de información y crea un comité encargado de asesorar a la Comisión sobre actuaciones en este ámbito.

    SÍNTESIS

    Mediante la presente decisión se adopta una acción en el ámbito de la seguridad de los sistemas de información. Dicha acción incluye los dos elementos siguientes:
    • la aplicación de un plan de acción durante un período inicial de 24 meses. El importe de los recursos financieros comunitarios considerado necesario para la aplicación de este plan de acción durante el período previsto asciende a doce millones de ecus;
    • la creación de un comité de altos funcionarios que tendrá la misión a largo plazo de asesorar a la Comisión sobre acciones en materia de seguridad de los sistemas de información.


     
    Plan de acción
    El plan de acción tendrá como finalidad el desarrollo de estrategias globales destinadas a proporcionar a los usuarios y a los productores de información almacenada, procesada o transmitida electrónicamente la protección adecuada de los sistemas de información contra amenazas accidentales o deliberadas.
    El plan de acción se ejecutará en estrecha colaboración con los protagonistas del sector. Tendrá en cuenta y complementará las actividades en curso a nivel mundial para la normalización en este ámbito.
    El plan incluye las siguientes líneas de actuación:
    • desarrollo de un marco estratégico para la seguridad de los sistemas de información;
    • definición de las necesidades de los usuarios y de los prestadores de servicios en materia de seguridad de los sistemas de información;
    • elaboración de soluciones para determinadas necesidades a corto y medio plazo de los usuarios, proveedores y prestadores de servicios;
    • elaboración de especificaciones, normas y pruebas de certificación respecto a la seguridad de los sistemas de información;
    • innovaciones técnicas y de funcionamiento en materia de seguridad de los sistemas de información en un marco estratégico general;
    • puesta en práctica de la seguridad de los sistemas de información.
    El anexo adjunto a la decisión presenta en detalle las líneas de actuación del plan de acción.
    Comité
    El comité será consultado sistemáticamente por la Comisión sobre los asuntos relacionados con la seguridad de los sistemas de información de las distintas actividades de la Comisión, en particular la definición de las estrategias y los programas de trabajo.
    • Publicado por en

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)