/*weeee*/

lunes, 12 de mayo de 2014

OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

  • Minimizar y gestionar los riesgos
  • Garantizar el adecuado uso de recursos y aplicaciones del sistema
  • Limitar las pérdidas
  • Cumplirconel marco legalPlanos de actuación para lograr estos objetivos:
    • Técnico, tanto es aspectos de hardware como de software
    • Legal, implantando medidas obligatorias de seguridad
    • Humano, mediante sensibilización, concienciación, formación,...
    • Organizativo, mediante definición de políticas, normas de funcionamiento interno,...
La organización debe entender la Seguridad Informática como un proceso iterativo

miércoles, 7 de mayo de 2014

NIVELES DE SEGURIDAD INFORMÁTICA

Implantación de medidas de seguridad requieren esfuerzo económico para las organizaciones. Factores


  • Tiempos de configuración y de reparación  
  • Pérdidas de tiempo  por indisponibilidad de servicios informáticos 
  • Indemnizaciones y responsabilidades penales
El objetivo:  el coste de ataque sea mayor que aquello que se protege 
Departamento de Defensa de EE.UU. desarrolla en 1983 un estándar de medidas de seguridad 

Este estándar se denomina TCSEC Orange Book  Define diferentes niveles de seguridad que son la base para el desarrollo de estándares europeos (ITSEC/ITSEM) e internacionales (ISO/IEC)
  • NIVEL D         Sin exigencias
  • NIVEL C1        Protección discrecional Autenticación de usuarios para acceder a información 
  • NIVEL C2         Protección de acceso controlado Identificación y autenticación de accesos 
  • NIVEL B1         Seguridad etiquetada Identificación de cada objeto del sistema 
  • NIVEL B2           Protección estructurada Herencia de permisos 
  • NIVEL B3         Dominios de seguridad medios de conexión seguros en las estaciones de trabajo 
  • NIVEL  1         Protección verificada Requiere de un equipo cualificado que supervise y verifique 

PRINCIPIO DE “DEFENSA EN PROFUNDIDAD”

Diseño e implantación de varios niveles de seguridad dentro del sistema informático

  • Seguridad perimetral 
  • Separación de redes
  • Configuración robusta de equipos 
  • Gestión de usuarios
  • Encriptado
  • Activos

Etiquetas: ,

CONSECUENCIAS DE LA FALTA DE SEGURIDAD

La actividad de muchas organizaciones depende de los datos e información registrados en sus sistemas informáticos.
El daño de dicha información, recursos o instalaciones (robos; sabotajes) puede causar grandes pérdidas económicas en una empresa.
Vital indicar a la dirección de la empresa el impacto y el coste de los incidentes de seguridad en términos económicos, defendiendo la idea de la inversión en seguridad informática como  gasto necesario.

Además de posibles daños ocasionados a la información, instalaciones, equipos, otros importantes perjuicios para la organización:


  • Horas de trabajo invertidas 
  • Pérdidas causadas por indisponibilidad de servicios informáticos
  • Revelación de información confidencial, filtración de datos 
  • Impacto en la imagen de la empresa 
  • Pago de indemnizaciones por daños y perjuicios 
Etiquetas: ,

TÉRMINOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA:


  •  Activo: Recurso para el funcionamiento de la organización
  • Amenaza: Hecho desencadenante de incidentes 
  • Riesgo: Posibilidad de que un hecho afecte a un activo
  • Ataque: Suceso que atente contra la integridad de los activos o el funcionamiento  del sistema
  • Desastre: Interrupción de acceso al sistema o a los recursos
  • Plan de Seguridad Informática: Decisiones que definen los métodos de acción futuros 
  • Plan de contingencia: Actuaciones necesarias para garantizar la continuidad del negocio   (humanas, técnicas y organizativas)  
Etiquetas: ,

CONSECUENCIAS DE LA FALTA DE SEGURIDAD

La actividad de muchas organizaciones depende de los datos e información registrados en sus sistemas informáticos.
El daño de dicha información, recursos o instalaciones (robos; sabotajes) puede causar grandes pérdidas económicas en una empresa.
Vital indicar a la dirección de la empresa el impacto y el coste de los incidentes de seguridad en términos económicos, defendiendo la idea de la inversión en seguridad informática como  gasto necesario.
Además de posibles daños ocasionados a la información, instalaciones, equipos, otros importantes perjuicios para la organización:

  • Horas de trabajo invertidas 
  • Pérdidas causadas por indisponibilidad de servicios informáticos 
  • Revelación de información confidencial, filtración de datos
  • Impacto en la imagen de la empresa 
  • Pago de indemnizaciones por daños y perjuicios
LA SEGURIDAD INFORMÁTICA COMO UN PROCESO:


Etiquetas: ,

ASPECTOS A TENER EN CUENTA AL DEFINIR UN SISTEMA INFORMÁTICO:

  • Reconocimiento: Identificación de usuarios
  • Aislamiento: Datos específicos por usuario
  • Integridad: Funcionamiento correcto del sistema
  • Auditabilidad: Comprobación o inspección del sistema
  • Recuperación: Restablecimiento ante problemas 
  • Administración: Monitorización y seguimiento 
2 OBJETIVOS DE LA SEGURIDAD INFORMÁTICA: 
Minimizar y gestionar los riesgos
Garantizar el adecuado uso de recursos y aplicaciones del sistema
Limitar las pérdidas
Cumplir con el marco legal  Planos de actuación para lograr estos objetivos:
Técnico, tanto es aspectos de hardware como de software
Legal, implantando medidas  obligatorias de seguridad
Humano, mediante sensibilización, concienciación, formación,…
Organizativo, mediante definición de políticas, normas de funcionamiento interno,…

 La organización debe entender la Seguridad Informática como un proceso iterativo 
Etiquetas: ,
Suscribirse a: Entradas (Atom)