Escolar Documentos
Profissional Documentos
Cultura Documentos
sistemas de
cmputoTemas IX.
Seguridad Fsica y Lgica
Evaluacin de
seleccin
IX. Seguridad Fsica y lgica
Definicin de seguridad
Antecedentes
Objetivos de la seguridad
Responsabilidad en el manejo de informacin
Atributos de la informacin
Principales funciones de la seguridad
La informacin
Controles bsicos
Diseo de seguridad
Definicin Seguridad fsica y lgica
5% 5% 11%
79%
de estndares de seguridad
de informtica en Mxico?
Completamente
Desarrollados
0%
Se estn
No Existen Desarrollando
47%
53%
formalizacin de la funcin
No de seguridad Informtica?
Implementada
5%
Informal
Formal 47%
48%
Origen
Interno
76%
Es la Administracin
y proteccin de los Seguridad Establece los
recursos cmputo controles para
disminuir los
Su objetivo es el riesgos
proteger el patrimonio
informtico
Objetivos de la seguridad
Es la Administracin
Establece los
y proteccin de los
controles para
recursos cmputo disminuir los
riesgos
Su objetivo es el
proteger el patrimonio
informtico
Objetivos de la seguridad
PUBLICA
INTERNA
PUBLICA INTERNA
Que puede circular fuera de la Circula dentro de la organizacin.
organizacin y que no Su divulgacin, modificacin o destruccin
necesita modificarse para no autorizada podra tener un impacto
ofrecerse a los clientes o significativo en la organizacin, en cualquier
accionistas. cliente o empleado. No requiere proteccin
Nivel de riesgo: ninguno especial a menos que se quieran prevenir
intentos externos de divulgacin.
Ejemplo:
Nivel de riesgo: medio o bajo
Folletos publicitarios
Ejemplo:
Boletines de prensa
Manuales administrativos
Tipos de cambio
Memos entre oficinas
Tasas de inters
Reglamento interno de trabajo
Clasificacin de la Informacin.
RESTRINGIDA
CONFIDENCIAL
Sirve a la organizacin para su
Se usa dentro de la posicionamiento en el mercado y solo
organizacin. Su divulgacin, puede ser conocida por un grupo muy
modificacin o destruccin no pequeo. Su divulgacin, modificacin o
autorizada podra afectar a la destruccin puede ocasionar perdidas
propia organizacin, clientes y econmicas y poner en desventaja
empleados. competitiva a la organizacin.
Nivel de riesgo: medio o bajo Nivel de riesgo: alto
Ejemplo:
Ejemplo: Passwords para transferencia de
Registros de empleos dinero
Caractersticas de productos y/o
Planes de salarios servicios en desarrollo
Informacin de clientes Diseos de campaas publicitarias
Manuales de referencia al Informacin acerca de adquisiciones u
otras actividades del
sistema y procedimientos
Mercado de capitales
Clasificacin de la Informacin.
NO CRITICA
NECESARIA
Soporta servicios/procesos que pueden
ser interrumpidos por un periodo largo de Soporta servicios/procesos que
tiempo. pueden ser ejecutados por
medios manuales con dificultad,
La actualizacin de la informacin desde pero a un costo tolerable y por
el punto en que fue interrumpida puede un periodo largo de tiempo.
ser:
A. De bajo costo o sin costo.
La actualizacin de la
B. De bajo consumo de tiempo o informacin, una vez que se
sin gasto de tiempo. vuelve a condiciones normales
C. Una combinacin de ambas. de operacin, puede requerir
recursos considerables.
Vital
GRABADA
-CINTAS ESCRITA
-CARTUCHOS -PAPEL
-DISQUETES -REPORTES
-COMPAC DISC -MICROFICHAS
-DISCOS DUROS -ACETATOS
-CASSETTES
-VIDEOCASSETTES
ORAL TECNOLOGIA
-CONFERENCIAS
PORTATIL
-JUNTAS -FAX
-EXPOSICIONES -FOTOCOPIADO
-REUNIONES -DIGITALIZADA
-VIA TELEFONICA -CELULARES
-PLATICA INFORMAL -BIPERS
Principales funciones de la
seguridad
Minimizar los riegos de quebrantos y fraudes.
Proteger la informacin de acuerdo a su importancia y valor.
Asegurar que siempre se incorporen en los proyectos y
procedimientos las normas, medidas y procedimientos de
prevencin y seguridad.
Investigar administrativamente hechos dolosos .
Sancionar conforme a la normatividad interna y al marco
jurdico,las acciones dolosas y negligentes de su personal.
Realizar diagnstico de riesgos y proponer acciones de
solucin.
Principales Funciones
Identificar necesidades y problemtica, que afecten de manera
general la seguridad de la informacin.
Definir polticas y procedimientos generales de seguridad informtica.
Orientar y dar seguimiento a estrategias y planes de seguridad
Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y
liberaciones, en forma conjunta con el auditor en informtica (socios del
control).
Concientizar y difundir los conceptos de seguridad, en toda la empresa.
Crear un proceso de evaluacin y justificacin para todos los proyectos de
inversin de informtica.
Participar en la creacin de los planes informticos institucionales
mediante la revisin, adecuacin y evaluacin del uso de los recursos
tecnolgicos requeridos por cada rea.
Lineamientos para el
desarrollo de la funcin de
seguridad en deinformtica
Definicin de una poltica seguridad
Aspectos administrativos (plizas de seguros)
El control para mantenimiento preventivo y correctivo de los
equipos (contratos)
Deben incluir todos los recursos informticos, proteger
datos, equipo, tecnologa y usuarios.
Establecer una poltica que impulse al desarrollo de la
seguridad.
Establecer un anlisis costo-beneficio sobre controles de
seguridad antes de ser instalados.
Definicin de Polticas de Seguridad
Estas deben contemplar
La prevencin del rezago administrativo en tiempo y costo por
el mal manejo de la tecnologa de punta.
Concientizar la necesidad permanente de aplicar la seguridad
en informtica.
Apoyarse en estndares nacionales e internacionales.
Difundir formalmente los planes de seguridad en informtica.
Evaluar peridicamente el nivel de cumplimiento de la
ejecucin.
Actualizar de manera oportuna las polticas de seguridad
implantadas.
Tips para la Implementacin del programa de
seguridad informtica
Anunciar el programa
Estrategia de Seguridad
Identificacin Definicin de Personalizacin Activacin y
accesos y monitoreo de
de usuarios facultades de usuarios bitcoras
Mantenimiento a
usuarios
Bajas.
Cambios.
Modificaciones.
Controles bsicos de seguridad
informtica
A. Politicas y concientizacin
Proteccin de password.
Planes de contingencia.
Capacitacin y prueba de planes de contingencia.
Respaldo de datos y proteccin fuera de sitio.
Respaldo de sistemas para servidores y estaciones de
trabajo.
Polticas y procedimientos para el manejo de respaldos
de informacin.
Prevencin de emergencias.
Equipo y servicios de recuperacin en contingencias.
Financiamiento de contingencias.
Controles Bsicos de Seguridad
Informtica
Intentos de violacin
Claves de acceso.
Uso de aplicaciones.
Ejecucin de procesos.
PROPIETARIO
Utiliza la
Responsable del
informacin
almacenamiento CUSTODIO USUARIO
para fines
y disponibilidad
propios de su
de la informacin
funcin.
Diseo de la seguridad
El ingeniero en informtica debe contemplar en el anlisis
y diseo del sistema de computo procedimientos que
eviten fallas, accidentes, acciones que daen a la
informacin y al mismo software, pasos a seguir en caso
de existir problemas, etc.
Algunas consideraciones pueden ser:
Definir los elementos que requieren seguridad, (datos, archivos,
etc.)
Definir los elementos que pueden poner en peligro la seguridad.
Definir los elementos y procedimientos que ayudarn a
establecer la seguridad.
Definir las polticas y procedimientos que sostendrn dicha
seguridad.
Diseo de la seguridad
Elaborar una lista de las medidas preventivas y correctivas en
caso de desastre, sealando cada actividad con una prioridad.
Generar polticas de seguridad para la informacin.
Organizar y asignar responsabilidades para establecer la
seguridad.
Obtener los elementos tcnicos que apoyen a la generacin
de la seguridad de la informacin.
Generar procedimientos computacionales y administrativos
que establezcan seguridad fsica y contra catstrofes.
Generar o contratar productos de seguridad para el hardware,
software y las comunicaciones.
Diseo de la seguridad
Efectuar plticas con el usuario sobre la seguridad. En
estas plticas es importante establecer la importancia y
responsabilidad del usuario con relacin a mantener la
seguridad del sistema de computo.
Efectuar prcticas con el cliente sobre seguridad.
Contratar plizas de seguros y contra desastres.
Efectuar auditorias peridicas y eventuales al sistema de
cmputo una vez que esta instalado para determinar el nivel
de seguridad existente.