UNIVERSIDAD NACIONAL DE TRUJILLO

FACULTAD DE INGENIERA
ESCUELA ACADEMICO PROFESIONAL DE INGENIERA DE SISTEMAS

GESTION DE LA SEGURIDAD DE LA INFORMACION

CURSO

:
GERENCIA DE SISTEMAS

INTEGRANTES :
CRDENAS PINO, Csar Ivn
1
1
1
1
DOCENTE :
Ing. MENDOZA DE LOS SANTOS, Alberto
TRUJILLO PERU
2014
LA IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIN:

El crecimiento de internet y de servicios telemticos, han hecho que hoy

en da muchas de la actividades que se realizan de forma cotidiana
(laboral y profesional) dependan en mayor o menor medida de sistemas
y de redes informticas; los cuales podran ser los servicios financieros,
el control de la produccin, los medios de transporte, la sanidad o hasta
la propia administracin publica estn soportados por sistemas y redes
informticas y muchos de ellos han eliminado o reducido de forma
notable los papeles y procesos manuales.
Debido a la creciente complejidad y elevado nmero de transacciones
realizadas manualmente han propiciado el soporte automatizado e
informatizado de muchos de sus procesos; de ah la gran importancia
que se debera tener con la seguridad informtica en una organizacin.
Podemos definir a la seguridad informtica como cualquier medida que
impida la ejecucin de operaciones no autorizadas sobre un sistema o
red informtica o bloquear el acceso de usuarios autorizados al
sistema, adems es necesario considerar el:
Cumplimiento de las regulaciones legales, dependiendo del marco
legal de cada pas.
Control en el acceso a los servicios y la informacin guardada por
el sistema.
Identificacin de los autores de la informacin o de los mensajes.
Registro del uso de los servicios de un sistema informtico, etc.
Segn la norma ISO/IEC 17799 define a la Seguridad de la Informacin
como la preservacin de la confidencialidad, su integridad y su
disponibilidad; dependiendo del tipo de informacin manejada y de los
procesos realizados por una organizacin.
Debemos tener en cuenta que la seguridad de un sistema informtico
depender de diversos factores, como:
La sensibilidad de los directivos y responsables de la organizacin.
Los conocimientos, capacidades e implicacin de los responsables
del sistema.
La mentalizacin.
La correcta instalacin, configuracin y mantenimiento de los
equipos.
La limitacin en la asignacin de los permisos y privilegios de los
usuarios.
El soporte de los fabricantes de hardware y software.
Contemplar no solo a las amenazas externas, sino tambin las
internas de la empresa.
2

 La adaptacin de los objetivos de seguridad y del conjunto de

actividades.

OBJETIVOS DE LA SEGURIDAD INFORMATICA

Minimizar y gestionar los riesgos, detectar los posibles problemas
y amenazas a la seguridad.
Garantizar la utilizacin adecuada de los recursos y de las
aplicaciones del sistema.
Limitar prdidas y conseguir la adecuada recuperacin del
sistema.
Cumplir con el marco legal y con los requisitos impuesto por los
Cliente en sus contratos.
Para cumplir con estos objetivos una organizacin debe contemplar
cuatro planos de actuacin:

Tcnico.
Legal.
Humano.
Organizativo

CONSECUENCIAS DE LA FALTA DE SEGURIDAD

Una organizacin persegua salvaguarda propiedades y personas
contra el robo, fuego, todos los disturbios sociales que ponen en
peligro el progreso e incluso la vida del negocio
En la actualidad el negocio y el desarrollo de las actividades
dependen de los datos y de la informacin registrada en sus
sistemas informticas, as como el soporte adecuado de las TIC para
facilitar su almacenamiento, procesamiento y distribucin; es por ello
que es necesario trasladar a los directivos la importancia de valorar y
proteger la informacin de sus empresas.
Las posibles consecuencias de la ausencia o deficientes medidas de
seguridad informtica, adems de los posibles daos ocasionados a
3

la informacin guardada, a los equipos y dispositivos de red,

deberamos tener en cuenta otros importantes perjuicios para la
organizacin:
Horas de trabajo invertidas en reparaciones.
Prdidas ocasionadas por la indisponibidad de diversas
aplicaciones y servicios.
Robo de informacin confidencial.
Filtracin de datos personal de usuarios registrados en el
sistema.
Retrasos en los procesos de produccin, perdida de pedidos.
Posibles daos a la salud de las personas
La creacin y difusin de programas informticos maliciosos a
travs de internet (virus, troyanos, gusano) ha representado un
coste financiero de unos 110 000 millones de dlares.
De hecho es posible contemplar otros posibles problemas que se
podran derivar del compromiso o toma de control de algunas de los
equipos de una organizacin:
Utilizacin de los equipos y redes de una organizacin para
llevar a cabo ataques contra redes de otras empresas y
organizaciones.
Almacenamiento de contenidos ilegales en los equipos
comprometidos, con la posibilidad de instalar un servidor FTP
sin la autorizacin del legtimo propietario de estos.
Utilizacin de los equipos de una organizacin para realizar
envos masivos de correo no solicitado, etc.

Riesgos
El riesgo es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informtico.
El nivel de riesgo depende del anlisis previo de vulnerabilidades del sistema,
de las amenazas y del posible impacto que estas puedan tener en el
funcionamiento de la organizacin.

Figura 1: Esquema Propuesto por la metodologa CRAMM

Por otra parte tambin se han propuesto otras herramientas y metodologas

que permiten evaluar el riesgo.

OCTAVE: Metodologa de anlisis y evaluacin de riesgos.

RiskWatch: Software de evaluacin del riesgo que contempla los
controles previstos por la norma ISO 17799.
COBRA: Software de evaluacin del riesgo que tambin contempla los
controles previstos por la norma ISO 17799.

Defensas,
seguridad

salvaguardas

medidas

de

Una defensa, salvaguarda o medida de seguridad es cualquier medio

empleado para eliminar o reducir un riesgo. Su objetivo es reducir las
vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas
y/o el nivel de impacto en la organizacin.
Medida de seguridad activa es cualquier medida utilizada para anular o
reducir el riesgo de una amenaza. Las medidas activas podran, a su vez
clasificarse en medidas de prevencin y medidas de deteccin.
5

Medida de seguridad pasiva es cualquier medida empleada, para reducir el

impacto cuando se produzca un incidente de seguridad. Tambin se las conoce
como medidas de correccin.
Las defensas fsicas son medidas que implican el control de acceso fsico a
los recursos y de las condiciones ambientales en que tienen que ser utilizados.
Las defensas lgicas estn relacionadas con la proteccin conseguida
mediante distintas herramientas y tcnicas informticas.
Por ultimo tras la correcta implantacin de las medidas de seleccionadas, la
organizacin deber determinar el Nivel de Riesgo Residual, obtenido tras
un nuevo proceso de evaluacin de riesgos teniendo en cuenta que los
recursos ya se encuentran protegidos por las medidas de seguridad
seleccionadas.
Si para un determinado activo el riesgo sigue siendo demasiado alto para los
objetivos fijados por la organizacin, medidas de seguridad adicionales y
repetir el proceso.
El nivel de riesgo residual es el nivel de riesgo que la organizacin estara
dispuesta a aceptar.

Figura 2: Proceso de Evaluacin y Gestin de Riesgos

Transferencia del riesgo a terceros

Se hace mediante la contratacin de una pliza de seguros especializada o
bien la subcontratacin de un proveedor especializado en ofrecer determinados
servicios de seguridad informtica.
En lo que refiere a contratacin de un seguro frente a daos o ataques
informticos, es necesario una valoracin externa del sistema de seguridad,
redefinir sus polticas de seguridad, a la adquisicin de un software y hardware
6

especficos y la implementacin de una serie de procedimientos y controles de

seguridad rutinarios.
Por otra parte la contratacin de una empresa especializada en ofrecer
determinados Servicios de Seguridad Informtica, se encargara del
mantenimiento de las alarmas, el control del acceso del personal a las
instalaciones o vigilancia nocturna y durante los fines de semana.
Teniendo en cuenta que hoy en da es imprescindible dominar mltiples
tecnologas, en un entorno complejo y cambiante, caracterizado por un
mercado en el que se ofrecen gran cantidad de productos y servicios de
seguridad, la alternativa de la subcontratacin de determinados servicios de
seguridad podra mejorar, en general, la Gestin de la seguridad de la
informacin, contribuyendo a reducir y controlar los costes para la
organizacin.

DEFINICION DE LA IMPLEMENTACIN DE LAS POLTICAS

DE SEGURIDAD
Una Poltica de Seguridad como una declaracin de intenciones de alto
nivel que cubre la seguridad de los sistemas informticos y que proporciona las
bases para definir y delimitar responsabilidades para las diversas actuaciones
tcnicas y organizativas que se requieran
Un Plan de seguridad es un conjunto de decisiones que definen cursos de
accin futuros, as como los medios que se van a utilizar para conseguirlos.
Un Procedimiento de seguridad es la definicin detallada de los pasos a
ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de
Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido
aprobadas por la organizacin.

Figura 3: Polticas, Planes y Procedimientos de Seguridad

A la hora de definir las Polticas de Seguridad en una organizacin, sera

conveniente contemplar todos los aspectos que se enumeran a continuacin:

Alcance: recursos, instalaciones y procesos de la organizacin sobre los

que se aplican.
Objetivos perseguidos y prioridades de seguridad.
Compromiso de la direccin de la organizacin e identificacin de los
activos a proteger.
Anlisis y gestin de riesgos.
Elementos y agentes involucrados en la implantacin de las medidas de
seguridad.
Asignacin de responsabilidades en los distintos niveles organizativos.
Definicin clara y precisa de los comportamientos exigidos y de los que
estn prohibidos.
Identificacin de las medidas, normas y procedimientos de seguridad a
implantar.
Gestin de las relaciones con terceros.
Gestin de incidentes.
Planes de contingencia y de continuidad del negocio.
Cumplimiento de la legislacin vigente.
Definicin de las posibles violaciones y de las consecuencias derivadas
del incumplimiento.

Agentes de la organizacin implicados en las polticas de seguridad:

Directivos y responsables de las diferentes reas.

Personal del departamento de informtica y de comunicaciones
Miembros del equipo de respuesta a incidentes de seguridad informtica.
Representantes de los usuarios.
Consultores externos en seguridad informtica.

Aspectos importantes con respecto al usuario:

La difusin
Es necesario que el personal que labora en la empresa tenga conocimiento de
los planes, normas, procedimientos y polticas de seguridad que se manejan, es
por ello la necesidad en la que se ve implicada el rea de TI (Informtica) en
difundir dichas normas para que el usuario tome conciencia de ello.

Polticas de
seguridad
Planes
Normas
La documentacin

Procedimientos

Ante la llegada de usuarios nuevos a la empresa es necesario hacerles llegar

saber cules son las polticas de seguridad bajo las cuales la organizacin est
sujeta y por ello es necesaria la documentacin detallada. Es necesaria que la
documentacin sea redactada en formato simple y entendible para que el
usuario sea capaz de percibir las consecuencias que acarreara el no estar
sujeto a dichas normas.
Tambin es necesario que dichas polticas estn sujetas a un marco legal; cada
poltica con su respectiva sancin segn en coordinacin con RRHH y la alta
directiva de la organizacin; lo cual se le har llegar al usuario para que se
comprometa a cumplirlo.

Auditorias y actualizaciones de las polticas de seguridad

9

Es necesario que el rea de informtica este siempre pendiente de las

revisiones y actualizaciones de las polticas de seguridad dado el mundo
cambiante ante el cual nos encontramos, las nuevas tecnologas han permitido
la vida fcil al usuario, pero tambin aumentan las vulnerabilidades y es
necesario que se tomen las medidas necesarias para el uso de los nuevos
equipos que llegan a formar parte de la organizacin.
El factor humano en la seguridad informtica
Usted puede tener la mejor tecnologa, firewalls, sistemas de deteccin de
ataques, dispositivos biomtricos Lo nico que se necesita es una llamada a
un empleado desprevenido y acceden al sistema sin ms. Tienen todo en sus
manos Kevin Mitnick
Son las palabras del mayor hacker en la historia, el usuario es en gran manera
el responsable del 75% de los problemas en seguridad.
Un usuario no capacitado y no advertido es capaz de involucrar en serios
problemas a la empresa donde labora, si bien es cierto ya existen marcos
legales donde hacen responsable a la organizacin de los actos de sus
empleados sancionados con fuertes sumas de dinero (LOPD, LSSI-CE)

Algunos marcos legales en el Pas de Espaa

Envos de comunicaciones comerciales no solicitadas (spam), que

pueden tener como consecuencia para sus responsables sanciones
econmicas de hasta 150 000 euros, al incumplir con los preceptos de la
LSSI.

Cesiones no autorizadas de datos de carcter personal, con multas de

hasta 600 000 euros por no seguir las directivas previstas por la LOPD

Delitos contra la propiedad intelectual, si se instalan y utilizan

programas de intercambio de ficheros P2P, (como Kazaa, e-Mule, etc.)

10

Responsabilidad por la comisin de delitos informticos, como sera el

caso de aquellos ataques e intentos de intrusin contra otros equipos
que se lleven a cabo desde la propia red informtica de la empresa.

Descarga de herramientas de hacking, acceso a pornografa o a

contenidos tipificados como ilegales en el pas.

Envi a terceros de informacin confidencial de la empresa o de sus

posibles clientes y proveedores.

En el Per el 3 de Julio de 2011 se promulg ley PDP. Mediante Decreto

Supremo N 003-2013-JUS, aprueban Reglamento de la Ley N 29733 Ley de
Proteccin de Datos Personales, la norma desarrolla la Ley disponiendo su
cumplimiento obligatorio a todas las entidades pblicas y privadas, incluyendo
nuevas definiciones y obligaciones ya dispuestas en la Ley.
El Reglamento ha conservado en su mayora las propuestas presentadas en la
ltima versin publicada en el mes de setiembre y ltima versin comentada
en el mes de diciembre (Ver: Nuevas consideraciones al Proyecto de
Reglamento de Ley de Proteccin de Datos Personales), as se mantiene la
adicin de nuevas definiciones y ampliacin de ciertos trminos ya previstos en
la Ley.

La proteccin de datos de carcter personal

Si bien es cierto la proteccin de datos fue reconocido en la Declaracin
Universal de Derechos Humanos de 1948 ha generado gran polmica dado que
algunos pases han adoptado su propia forma de cmo proteger los datos.
Un ejemplo simple lo podemos encontrar en un grupo de pases liderados por
la Unin Europea donde adoptan una postura llamada hardlaw donde aquellos
que incumplan con las normas establecidas son fuertemente sancionados. En
cambio Estados Unidos ha adoptado la postura softlaw donde abogan por una
autorregulacin y la elaboracin de cdigos ticos de conducta ms que una
sancin fuerte. Dado las diferencias de marcos legales supone un conflicto
dado que las leyes de ambos pases no se ajustan a sus normas.

11