ADMINISTRACION DE REDES

TEMA

ENFOQUE DE SEGURIDAD DE LA INFORMACION

PROFESOR: LUIS ROJAS V.
INTEGRANTES:
MENDEZ CRUZ Ral Enrique
PACUSH NEPONUCENO Frank
MORALES QUITO Melina
MAGUIA YTA zena

ENFOQUE DE SEGURIDAD DE LA INFORMACION

ENFOQUE:
En primer lugar, este enfoque debe basarse en una reflexin de nuestro
entorno. La proteccin tradicional se centra en evitar amenazas
externas a la organizacin. A menudo, los profesionales de la
seguridad se quejan de que estn demasiado ocupados reaccionando a
los problemas inmediatos y no tienen tiempo para anticipar lo que
puede estar al acecho a la vuelta de la esquina. Para tener alguna
esperanza de proteger los activos crticos, tanto en el negocio como en
los equipos de seguridad, se debe entender dnde vive la informacin
(puede ser dentro o fuera de la empresa); e identificar cules son los
datos ms importantes y las aplicaciones donde residen, y quines
pueden necesitar acceso a los mismos. Esto permitir entender qu
reas del programa de seguridad son ms vulnerables a los ataques.

UN ENFOQUE DE SEGURIDAD INTEGRADO

El nuevo enfoque de seguridad integrado contiene cinco acciones:
Identificar los riesgos reales
Proteger lo ms importante
Optimizar para el desempeo del negocio
Sustentar un programa empresarial
Habilitar el desempeo del negocio

IDENTIFICAR LOS RIESGOS REALES

Identificar la informacin y aplicaciones ms importantes, en dnde se localizan y
quin tiene o requiere acceso.
Evaluar el panorama de amenazas y elaborar modelos predictivos que resaltan su
exposicin real.
PROTEGER LO MS IMPORTANTE
Elaborar una estrategia de seguridad enfocada en los impulsores de negocio y en proteger los
datos de alto valor.
Aceptar que habr violaciones - mejorar los procesos para planear, proteger, detectar y
responder.
Equilibrar los fundamentos con la administracin de amenazas emergentes.
Establecer y racionalizar los modelos de control de acceso para las aplicaciones e
informacin.

OPTIMIZAR PARA EL DESEMPEO DEL NEGOCIO

Alinear todos los aspectos de la seguridad (informacin, privacidad, continuidad fsica y del
negocio) con la organizacin.
Invertir de manera prudente en controles y tecnologa - invertir ms en gente y procesos.
Considerar selectivamente la posibilidad de subcontratar reas del programa de seguridad
operativa.

SUSTENTAR UN PROGRAMA EMPRESARIAL

Asegurar que las funciones de gobierno sean las adecuadas convertir la seguridad en una
prioridad a nivel del consejo de administracin.
Aceptar los riesgos manejables que mejoran el desempeo.
Permitir que una buena seguridad impulse el cumplimiento y no al revs.
Medir los indicadores lderes para poder identificar los problemas cuando todava son
pequeos.

HABILITAR EL DESEMPEO DEL NEGOCIO

Garantizar que la seguridad sea responsabilidad de todos.
No restringir las nuevas tecnologas utilizarlas fuerzas del cambio para habilitarlas.
Ampliar el programa para adoptar conceptos de administracin de riesgos de informacin
para toda la empresa.
Establecer metas o mtricas del programa de seguridad que impacten el desempeo del
negocio.

LA SEGURIDAD DE LA INFORMACIN
Es el conjunto de medidas preventivas y reactivas de las informaciones y de los sistemas tecnolgicos que
permiten resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e
integridad de la misma
Es importante sealar que su manejo esta basado en la tecnologa y debemos de saber que es confidencial: la
informacin esta centralizada y puede tener un alto valor. puede ser divulgada, mal utilizada, ser robada,
borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo.
La informacin puede ser:
Critica: es indispensable para la operacin de la empresa
Valiosa: es un activo de la empresa muy valiosa
Sensible: debe de ser conocida por las personas autorizadas

LA CORRECTA GESTIN DE LA SEGURIDAD DE LA INFORMACIN

Es el que busca establecer y mantener programas, controles y polticas, que tengan como
finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin, si alguna de
estas caractersticas falla no estamos ante nada seguro. Es preciso anotar, adems, que la
seguridad no es ningn hito, es ms bien un proceso continuo que hay que gestionar conociendo
siempre las vulnerabilidades y las amenazas que se cien sobre cualquier informacin, teniendo
siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, as como el impacto que
puede tener. Una vez conocidos todos estos puntos, y nunca antes, debern tomarse las medidas
de seguridad oportunas.

CONFIDENCIALIDAD
La confidencialidad es la propiedad que impide la divulgacin de informacin a personas o sistemas
no autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a aquellas
personas que cuenten con la debida autorizacin.
INTEGRIDAD
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual
a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con
exactitud la informacin tal cual fue generada, sin ser manipulada o alterada por personas o
procesos no autorizados.
DISPONIBILIDAD
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso
modo, la disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el
momento que as lo requieran.
AUTENTICACIN O AUTENTIFICACIN: es la propiedad que permite identificar el generador de
la informacin, estar seguro de que un mensaje enviado se reciba por la persona correcta y no sea
una suplantacin de identidad .en el sistema informtico se suele conseguir este factor con el uso
de cuentas de usuario y contraseas de acceso

SERVICIOS DE SEGURIDAD
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de
datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn
diseados para contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de
seguridad para proporcionar el servicio.
EL MANEJO DE RIESGOS
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas para
manejar los posibles riegos que un activo o bien puede tener dentro de los procesos de organizacin.
Esta clasificacin lleva el nombre de manejo de riesgos. El manejo de riesgos, conlleva una estructura
bien definida, con un control adecuado y su manejo, habindolos identificado, priorizados y
analizados, a travs de acciones factibles y efectivas. Para ello se cuenta con las siguientes tcnicas de
manejo del riesgo.

EVITAR: El riesgo es evitado cuando la organizacin rechaza aceptarlo, es decir, no se

permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse a
realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que ventajas, ya
que la empresa podra abstenerse de aprovechar muchas oportunidades. Ejemplo:no
instalar empresas en zonas ssmicas.

REDUCIR. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta
opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la
implementacin de controles y su monitoreo constante. Ejemplo:
No fumar en ciertas reas, instalaciones elctricas anti flama, planes de contingencia.

 RETENER, ASUMIR O ACEPTAR EL RIESGO. Es uno de los mtodos ms comunes

del manejo de riesgos, es la decisin de aceptar las consecuencias de la ocurrencia
del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el
reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas
involucradas, esta decisin se da por falta de alternativas. La retencin
involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de
asumir el riesgo: Con recursos propios se financian las prdidas.

TRANSFERIR. Es buscar un respaldo y compartir el riesgo con otros controles o

entidades. Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y
transferirlo a otro, o para minimizar el mismo, compartindolo con otras
entidades. Ejemplo: Transferir los costos a la compaa aseguradora

PRINCIPALES AMENASAS

La seguridad de comunicacin no se debe tan solo a la red de

comunicacin; mejor concebirla como una cadena, en la que cada
enlace necesita proteccin. No todas las amenazas se dejan controlar
por la tecnologa por si sola. A veces, medidas organizacionales son
ms eficaces que la tecnologa. En conclusin: necesitamos una
contramedida para cada amenaza identificada.

El paisaje global de amenazas

La seguridad de comunicacin no se debe tan solo a la red de comunicacin misma; mejor
concebirla como una cadena, en la que cada enlace necesita proteccin. No todas las amenazas
se dejan controlar por la tecnologa por si sola. A veces, medidas organizacionales son ms
eficaces que la tecnologa. En conclusin: necesitamos una contramedida para cada amenaza
identificada.

rea arriesgada 1: La persona con acceso a secretos

El conocimiento de los secretos del estado implica una gran
responsabilidad y expone a estas personas a varios riesgos. Antes de
conceder autorizaciones de seguridad a una persona, hay que examinar
particularmente su lealtad, tipo de carcter, credibilidad y fiabilidad.

Cmo reducir el riesgo?

Hay medidas organizacionales como investigar el carcter y la conducta de un
individuo antes de ceder autorizaciones de seguridad. Esta investigacin debera
examinar los rasgos de la honestidad, credibilidad, fiabilidad, responsabilidad
financiera, actividades criminales, estabilidad emocional y otros factores similares,
pertinentes. Los resultados de la investigacin determinarn el nivel de
autorizacin.

Los procesos de seguridad sensibles como la creacin de identidades criptogrficas

requieren el principio de dos personas.
La fecha, la hora y el autor de cada acceso a la informacin sensible se registra en
estadsticas exhaustivas.
La informacin sensible se clasifica segn los niveles de seguridad. Tan solo los
usuarios con la autorizacin correspondiente pueden acceder los datos sensibles.

rea arriesgada 2: El edificio de las oficinas

Las organizaciones gubernamentales trabajan con informacin secreta en un entorno de
oficinas, lo que puede atraer adversarios que quieran daar la organizacin. Para prevenir el
peligro inminente es necesario desarrollar e implementar un concepto de seguridad claro.

Cmo reducir el riesgo?

La proteccin del edificio de las oficinas requiere un anlisis completo del edificio y
una serie de contramedidas, incluyendo controles de acceso al establecimiento,
pautas para el trato de datos delicados, estrategias de respaldo y recuperacin,
programas de concienciacin para el personal y mucho ms.
La certificacin ISO 27001 garantiza la seguridad dentro de la oficina de manera
probada. Este proceso le gua a travs de todo el paisaje de amenazas para que todos
los aspectos del asunto se tomen en cuenta y ningn factor se pase por alto.

rea arriesgada 3: El terminal de comunicacin

Las computadoras que se utilizan para comunicar son de especial inters para atacantes. Sobre
todo, cuando se conectan a redes globales como el Internet, estos terminales de comunicacin
estn expuestos a numerosas amenazas que hay que prevenir con contramedidas.

Cmo reducir el riesgo?

La proteccin fidedigna de los terminales de comunicacin requiere una combinacin de
medidas organizacionales y tcnicas. Estas incluyen autorizaciones de registro restringidas,
la disponibilidad de los ltimos parches y de las actualizaciones ms recientes, programas
anti-malware, medidas para prevenir el acceso fsico a la computadora y para impedir todo
tipo de ataque desde medios conectados o desconectados.
Nuestra prevencin de seguridad por hardware proveen un ambiente perfectamente
protegido para las operaciones ms sensibles como generar y almacenar las claves o cifrar y
descifrar datos. Adems, prohibe el acceso no autorizado a la informacin sensible

rea arriesgada 4: La red de comunicacin

Sin duda la red de comunicacin significa el mayor riesgo para el intercambio de informacin
sensible. Tan pronto que el mensaje salga de la esfera de la organizacin, ya no se puede
controlar si est interceptada, manipulada o si la lnea de transmisin sea segura.

Cmo reducir el riesgo?

Como no se puede predecir qu pasa con la informacin sensible durante su envo, hay
que tomar las mejores precauciones posibles para protegerla. Los adversarios pueden
interceptar la lnea de transmisin o intentar de manipular su contenido. Las lneas de
comunicacin pueden ser interrumpidas por ataques de denegacin de servicio, por
catstrofes naturales, o, involuntariamente, por trabajos en zanjas o de servicio por
parte del proveedor.
La encriptacin a nivel gubernamental y las medidas de autentificacin garantizan el
fallo de todo intento de interceptar o manipular la informacin sensible.

garanta de la informacin son usados frecuentemente como sinnimos porque todos ellos
persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad
de la informacin. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias
sutiles. Estas diferencias radican principalmente en el enfoque, las metodologas utilizadas, y
las zonas de concentracin. Adems, la seguridad de la informacin involucra la
implementacin de estrategias que cubran los procesos en donde la informacin es el activo
primordial. Estas estrategias deben tener como punto primordial el establecimiento de
polticas, controles de seguridad, tecnologas y procedimientos para detectar amenazas que
puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a
proteger y salvaguardar tanto informacin como los sistemas que la almacenan y
administran. La seguridad de la informacin incumbe a gobiernos, entidades militares,
instituciones financieras, los hospitales y las empresas privadas con informacin confidencial
sobre sus empleados, clientes, productos, investigacin y su situacin financiera.