Evaluacin de

sistemas de
cmputoTemas IX.
Seguridad Fsica y Lgica
 Evaluacin de
seleccin
IX. Seguridad Fsica y lgica
Definicin de seguridad
Antecedentes
Objetivos de la seguridad
Responsabilidad en el manejo de informacin
Atributos de la informacin
Principales funciones de la seguridad
La informacin
Controles bsicos
Diseo de seguridad
Definicin Seguridad fsica y lgica

En algunos casos se requiere comprar

software, hardware y equipo de oficina
especializado para mantener la
seguridad lgica y fsica de los datos.
Esto genera un costo el cual se debe
calcular y contemplar en este anlisis
Definicin Seguridad fsica y lgica
La siguiente informacin no es exhaustiva, slo pretende dar una idea
general de conceptos de seguridad.

La seguridad es la tranquilidad que se tiene de que nada malo va

a pasar.

Para lograr esta tranquilidad se deben establecer varios

mecanismos.

La seguridad fsica corresponde la implantacin de mecanismo

que protegen los recursos materiales (edificios, equipo de
computo, personal, etc.)

La seguridad logia corresponde la implantacin de mecanismos

que protegen los recursos no materiales como los datos, la
informacin, etc. La responsabilidad de esta seguridad recae
principalmente en el sistema operativo y en el software.
 Definicin
Seguridad
informtica
La calidad de un sistema
Seguridad de computo involucra su
Calidad de seguro. proteccin contra un sin
nmero de fallas y
Libre de todo dao.
errores. Adems de
Que no admite duda o error siniestros, robos y
Firme, estable. sabotajes.
Garanta que da una
Nivel
persona a otra de que
Organizacional
cumplir con algo.
Unidad que define y
orienta polticas,
normas y
procedimientos
Definicin de Seguridad

SEGURIDAD * SEGURIDAD CONTRA DESASTRE

POR
HARDWARE * SEGURIDAD CONTRA INTRUSOS

IDENTIFICADOR DEL USUARIO

* SEGURIDAD (PASSWORD)
PARA ACCESAR
SEGURIDAD
DE
SOFTWARE DISPONIBILIDAD DE LOS ARCHIVOS
* SEGURIDAD - COPIAS DE SEGURIDAD
EN LA - ARCHIVOS LOG
MEMORIA PRIVACIDAD DE LOS ARCHIVOS
Antecedentes
Seguridad de la Informacin = Proteccin de Activos
Gente
Decisin Datos
Software
Informacin Hardware

Mayor Mayor Mayor

Automatizacin Dependencia Riesgo
Antecedentes
La
Resultados de encuestas seguridad
en Mxico

5% 5% 11%

79%

Mucho Mas o Menos No Conozco No Opin

FUENTE: PLAN DE DESARROLLO INFORMTICO 1995-2000

Antecedentes Cul es el nivel de desarrollo

de estndares de seguridad

de informtica en Mxico?
Completamente
Desarrollados
0%

Se estn
No Existen Desarrollando
47%
53%

FUENTE: PLAN DE DESARROLLO INFORMTICO 1995-2000

Antecedentes Cul es el grado de

formalizacin de la funcin

No de seguridad Informtica?

Implementada

5%
Informal
Formal 47%

48%

FUENTE: PLAN DE DESARROLLO INFORMTICO 1995-2000

Ataques a la
organizacin
Por Actos
externos
Quin fue?
24%
Ataques

Origen
Interno
76%
Es la Administracin
y proteccin de los Seguridad Establece los
recursos cmputo controles para
disminuir los
Su objetivo es el riesgos
proteger el patrimonio
informtico
 Objetivos de la seguridad

Es la Administracin
Establece los
y proteccin de los
controles para
recursos cmputo disminuir los
riesgos

Su objetivo es el
proteger el patrimonio
informtico
 Objetivos de la seguridad

Es el de reducir el impacto de un fenmeno que pueda causar perdidas

econmicas y que deber encontrarse en posibilidades de recuperacin

a un mnimo nivel aceptable, a un costo razonable y asegurando la

adecuada estabilizacin de la operatividad.

Objetivos de la seguridad

Asegurar la integridad y exactitud de los datos.

Proteger la confidencialidad y exactitud de los datos.
Proteger y conservar los activos de la organizacin fuera
del alcance de riesgos, de desastres naturales o actos
mal intencionados.
Asegurar la capacidad de supervivencia de la
organizacin ante eventos que pongan en peligro su
existencia.
Proveer el ambiente que asegure el manejo adecuado de
los datos sustantivos.
Clasificacin de la Informacin.

PUBLICA
INTERNA

POR NIVEL DE CONFIDENCIAL

CONFIDENCIALIDA RESTRINGIDA
D NO CRITICA
NECESARIA
VITAL
 Clasificacin de la Informacin.

PUBLICA INTERNA
Que puede circular fuera de la Circula dentro de la organizacin.
organizacin y que no Su divulgacin, modificacin o destruccin
necesita modificarse para no autorizada podra tener un impacto
ofrecerse a los clientes o significativo en la organizacin, en cualquier
accionistas. cliente o empleado. No requiere proteccin
Nivel de riesgo: ninguno especial a menos que se quieran prevenir
intentos externos de divulgacin.
Ejemplo:
Nivel de riesgo: medio o bajo
Folletos publicitarios
Ejemplo:
Boletines de prensa
Manuales administrativos
Tipos de cambio
Memos entre oficinas
Tasas de inters
Reglamento interno de trabajo
 Clasificacin de la Informacin.
CONFIDENCIAL
Se usa dentro de la
organizacin. Su divulgacin,
modificacin o destruccin no
autorizada podra afectar a la
propia organizacin, clientes y
empleados.
Nivel de riesgo: medio o bajo
Ejemplo:
Registros de empleos
Planes de salarios
Informacin de clientes
Manuales de referencia al
sistema y procedimientos
RESTRINGIDA
Sirve a la organizacin para su
posicionamiento en el mercado y solo
puede ser conocida por un grupo muy
pequeo. Su divulgacin, modificacin o
destruccin puede ocasionar perdidas
econmicas y poner en desventaja
competitiva a la organizacin.
Nivel de riesgo: alto
Ejemplo:
Passwords para transferencia de
dinero
Caractersticas de productos y/o
servicios en desarrollo
Diseos de campaas publicitarias
Informacin acerca de adquisiciones u
otras actividades del
Mercado de capitales
Clasificacin de la Informacin.
NO CRITICA
Soporta servicios/procesos que pueden
ser interrumpidos por un periodo largo de
tiempo.
La actualizacin de la informacin desde
el punto en que fue interrumpida puede
ser:
A. De bajo costo o sin costo.
B. De bajo consumo de tiempo o
sin gasto de tiempo.
C. Una combinacin de ambas.
Nivel de riesgo: bajo
NECESARIA
Soporta servicios/procesos que
pueden ser ejecutados por
medios manuales con dificultad,
pero a un costo tolerable y por
un periodo largo de tiempo.
La actualizacin de la
informacin, una vez que se
vuelve a condiciones normales
de operacin, puede requerir
recursos considerables.
Nivel de riesgo: bajo
Clasificacin de la Informacin

Vital

Soporta servicio/procesos que pueden ser ejecutados por medios

manuales, o por periodos muy cortos de tiempo.
Puede existir una tolerancia intermedia de interrupcin entre los
necesarios y los crticos.

Una suspensin corta de procesamiento puede ser tolerada, sin

embargo, aumentara considerablemente el esfuerzo que ser
necesario para actualizar los datos desde el momento en que se
interrumpieron.

Nivel de riesgo: alto moderado

Medios y formas en que se maneja la
informacin

GRABADA
-CINTAS ESCRITA
-CARTUCHOS -PAPEL
-DISQUETES -REPORTES
-COMPAC DISC -MICROFICHAS
-DISCOS DUROS -ACETATOS
-CASSETTES
-VIDEOCASSETTES

ORAL TECNOLOGIA
-CONFERENCIAS
PORTATIL
-JUNTAS -FAX
-EXPOSICIONES -FOTOCOPIADO
-REUNIONES -DIGITALIZADA
-VIA TELEFONICA -CELULARES
-PLATICA INFORMAL -BIPERS
Principales funciones de la
seguridad
Minimizar los riegos de quebrantos y fraudes.
Proteger la informacin de acuerdo a su importancia y valor.
Asegurar que siempre se incorporen en los proyectos y
procedimientos las normas, medidas y procedimientos de
prevencin y seguridad.
Investigar administrativamente hechos dolosos .
Sancionar conforme a la normatividad interna y al marco
jurdico,las acciones dolosas y negligentes de su personal.
Realizar diagnstico de riesgos y proponer acciones de
solucin.
Principales Funciones
Identificar necesidades y problemtica, que afecten de manera
general la seguridad de la informacin.
Definir polticas y procedimientos generales de seguridad informtica.
Orientar y dar seguimiento a estrategias y planes de seguridad
Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y
liberaciones, en forma conjunta con el auditor en informtica (socios del
control).
Concientizar y difundir los conceptos de seguridad, en toda la empresa.
Crear un proceso de evaluacin y justificacin para todos los proyectos de
inversin de informtica.
Participar en la creacin de los planes informticos institucionales
mediante la revisin, adecuacin y evaluacin del uso de los recursos
tecnolgicos requeridos por cada rea.
Lineamientos para el
desarrollo de la funcin de
seguridad en deinformtica
Definicin de una poltica seguridad
Aspectos administrativos (plizas de seguros)
El control para mantenimiento preventivo y correctivo de los
equipos (contratos)
Deben incluir todos los recursos informticos, proteger
datos, equipo, tecnologa y usuarios.
Establecer una poltica que impulse al desarrollo de la
seguridad.
Establecer un anlisis costo-beneficio sobre controles de
seguridad antes de ser instalados.
Definicin de Polticas de Seguridad
Estas deben contemplar
La prevencin del rezago administrativo en tiempo y costo por
el mal manejo de la tecnologa de punta.
Concientizar la necesidad permanente de aplicar la seguridad
en informtica.
Apoyarse en estndares nacionales e internacionales.
Difundir formalmente los planes de seguridad en informtica.
Evaluar peridicamente el nivel de cumplimiento de la
ejecucin.
Actualizar de manera oportuna las polticas de seguridad
implantadas.
Tips para la Implementacin del programa de
seguridad informtica

Nombrar una persona responsable del programa.

Asegurarse de que los gerentes entiendan de que son

responsables de la proteccin de los activos de su
propia rea.

Desarrollar una estrategia.

Anunciar el programa
 Estrategia de Seguridad
Identificacin Definicin de Personalizacin Activacin y
accesos y monitoreo de
de usuarios facultades de usuarios bitcoras

Nombre. Acceso a : De acuerdo a estndar Seguimiento a

No. Nmina. definido. eventos
Volmenes. relevantes de
Ubicacin, ext. Subvolmenes seguridad.
Departamento.
Utileras
Sistema responsable.
Ip/address. Programas

Mantenimiento a
usuarios

Bajas.
Cambios.
Modificaciones.
Controles bsicos de seguridad
informtica
A. Politicas y concientizacin

Planear y desarrollar polticas, procedimientos,

estndares y lineamientos de seguridad
informtica.
Establecer un programa de capacitacin para dar
a conocer aspectos de seguridad informtica.
Establecer y definir procedimientos para el manejo
de la informacin y un cdigo de tica.
Obtener respaldo y soporte de la alta direccin y
de todos los niveles gerenciales.
Controles bsicos de Seguridad
Informtica
Apoyar el fortalecimiento de las medidas de seguridad en la
informacin a travs del establecimiento de un programa de
concientizacin y sensibilizacin, que permita el conocimiento
y desarrollo de las actividades del personal de la empresa o
entidad.
Lograr una cultura de seguridad de la informacin a nivel
corporativo que permita fortalecer la confidencialidad,
integridad, disponibilidad y auditabilidad de la informacin.
Hacer del conocimiento del personal los medios y controles
que permitan por medio de su implantacin una disminucin de
los riesgos.
Controles bsicos de seguridad
informtica
B. Responsabilidades de la organizacin

Debe de establecerse la funcin de seguridad

informtica corporativa.
Deben de establecerse polticas y procedimientos
internos donde se definan los conceptos de
propietarios de la informacin y sus responsabilidades.
Establecer coordinadores y administradores de
seguridad informtica (custodios).
Tener claramente identificados a todos los usuarios de
la informacin.
Controles Bsicos de Seguridad
Informtica
Conjuntamente con el rea de organizacin, incluir
en las descripciones de puestos, contratos de
trabajo conceptos de seguridad informtica.
Establecer el comit directivo de seguridad
informtica.
Conformar y capacitar al staff de seguridad
informtica
Controles Bsicos de Seguridad
Informtica
C. Resguardos, contratos y convenios

Manejar contratos internos de confidencialidad

para todo el personal.
Incluir en contratos con proveedores y/o servicios
profesionales,clusulas de confidencialidad y
propiedad de la informacin.
Realizar todos los resguardos necesarios que
aseguren los activos informticos.
Controles Bsicos de Seguridad
Informtica
D. Auditoria de seguridad informtica, revisiones y
administracin de riesgos
Definir principios para realizar auditoras y revisiones
de seguridad informtica.
Coordinarse con el rea de auditora en informtica
para realizar revisiones (socios del control).
Desarrollar todo un programa para la administracin de
riesgos.
Formalizar la generacin y tratamiento de reportes de
prdidas y anlisis de riesgos.
Controles Bsicos de Seguridad
Informtica
E. Seguridad fsica

Establecer polticas y procedimientos sobre todos los

aspectos de seguridad fsica de los recursos
informticos (ubicacin, construccin, acceso fsico,
soporte ambiental, etctera)
Definir e implementar mecanismos de respaldos de
informacin.
Definir controles de acceso fsico y cerraduras, medios
intercambiables y tecnologa porttil.
Controles Bsicos de Seguridad
Informtica
F. Seguridad en redes y comunicaciones
Preservar la confidencialidad de los datos que pasan a
travs de cualquier canal de comunicacin.
Asegurar que el mensaje permanezca inalterado durante su
transmisin.
Verificar que existan los controles para probar que un
mensaje transmitido ha recibido exitosamente.
Control de acceso a los componentes y recursos de la red.
En general los controles fundamentales de seguridad son:
de integridad, de autenticidad, de confirmacin, de
confidencialidad, de auditora y de control de acceso.
Controles Bsicos de Seguridad
Informtica
G. Seguridad en sistemas distribuidos

Establecimiento de polticas y procedimientos de

seguridad en las conexiones y para compartir recursos.
Implementar en la metodologa de desarrollo de
sistemas, controles a considerar en el diseo de
aplicaciones distribuidas.
Medidas de seguridad del servidor.
Tcnicas de autentificacin cliente / servidor.
Mecanismos de proteccin de datos distribuidos y
recursos del sistema.
Controles Bsicos de Seguridad
Informtica
H. Identificacin y autentificacin de usuarios

Establecimiento de polticas y procedimientos para la

administracin y uso de claves de acceso.

Administracin de usuarios y cuentas

Proteccin de password.

Monitoreo de usuarios y deteccin de intrusos.

Procedimientos de emergencia y excepcin para

identificacin y autentificacin.
Controles Bsicos de Seguridad
Informtica
I. Bitcora de seguridad y monitoreo

Registro y monitoreo de seguridad de eventos.

Registro y monitoreo de seguridad de sistemas y
aplicaciones.
J. PROTECCION CONTRA SOFTWARE NOCIVO

Polticas y procedimientos preventivos y correctivos.

Establecimiento y capacitacin del uso de software
antivirus.
Revisiones peridicas y estadsticas de incidentes de
software nocivo.
Controles Bsicos de Seguridad
Informtica
K. RESPALDOS Y RECUPERACIN

Planes de contingencia.
Capacitacin y prueba de planes de contingencia.
Respaldo de datos y proteccin fuera de sitio.
Respaldo de sistemas para servidores y estaciones de
trabajo.
Polticas y procedimientos para el manejo de respaldos
de informacin.
Prevencin de emergencias.
Equipo y servicios de recuperacin en contingencias.
Financiamiento de contingencias.
Controles Bsicos de Seguridad
Informtica

L. ADMINISTRACIN Y CONFIGURACIN DE SOFTWARE

Polticas y procedimientos para la adquisicin, instalacin y

uso del software.
Supervisin continua del uso del software oficial.
Inventario de licencias de software y control de versiones
Proteccin de copias.
Distribucin de copias.
Controles Bsicos de Seguridad
Informtica
M. DESARROLLO DE SISTEMAS Y ADQUISICION

Metodologas y estndares de desarrollo

Responsabilidades de los desarrolladores de sistemas.

Diseo de estndares formales de seguridad.

Procedimientos de control de desarrollo y cambios.

Documentacin del software desarrollado.

Pruebas de sistemas y control de calidad.

Controles Bsicos de Seguridad
Informtica

N. SEGURIDAD EN SISTEMAS DE VOZ

Proteccin de comunicaciones de larga distancia.

Proteccin de aparatos de correo de voz.
Monitoreo de llamadas.
Controles Bsicos de Seguridad
Informtica
O. REPORTES DE EVENTOS DE SEGURIDAD

Intentos de violacin

Claves de acceso.

Uso de aplicaciones.

Ejecucin de procesos.

Acceso a datos y recursos de alto riesgo.

Controles Bsicos de Seguridad
Informtica
O. REPORTES DE EVENTOS DE SEGURIDAD
Bloqueo de cuentas de usuarios.

Afectacin de la disponibilidad de informacin o recursos

de cmputo
Cambios de atributos de seguridad no autorizados.
Uso indebido de identificadores de usuarios y claves de
acceso.
Acceso de usuarios temporales.
Actualizacin de informacin fuera del proceso de las
aplicaciones.
Ejecucin de rutinas y comandos de alto riesgo.
Controles Bsicos de Seguridad
Informtica
P. MANEJO DE INFORMACIN

Clasificacin de la informacin de acuerdo con el grado

de riesgo.

Identificar y manejar la informacin de acuerdo con su

grado de riesgo.

Procedimientos que disminuyan el riesgo de la

informacin que se maneja en forma verbal, escrita o
grabada.

Capacitacin al personal para un manejo adecuado de la

informacin.
 Responsabilidad en el Manejo de la
Informacin
Autoridad que delega
la organizacin para el
manejo de la
informacin.

PROPIETARIO

Utiliza la
Responsable del
informacin
almacenamiento CUSTODIO USUARIO
para fines
y disponibilidad
propios de su
de la informacin
funcin.
Diseo de la seguridad
El ingeniero en informtica debe contemplar en el anlisis
y diseo del sistema de computo procedimientos que
eviten fallas, accidentes, acciones que daen a la
informacin y al mismo software, pasos a seguir en caso
de existir problemas, etc.
Algunas consideraciones pueden ser:
Definir los elementos que requieren seguridad, (datos, archivos,
etc.)
Definir los elementos que pueden poner en peligro la seguridad.
Definir los elementos y procedimientos que ayudarn a
establecer la seguridad.
Definir las polticas y procedimientos que sostendrn dicha
seguridad.
Diseo de la seguridad
Elaborar una lista de las medidas preventivas y correctivas en
caso de desastre, sealando cada actividad con una prioridad.
Generar polticas de seguridad para la informacin.
Organizar y asignar responsabilidades para establecer la
seguridad.
Obtener los elementos tcnicos que apoyen a la generacin
de la seguridad de la informacin.
Generar procedimientos computacionales y administrativos
que establezcan seguridad fsica y contra catstrofes.
Generar o contratar productos de seguridad para el hardware,
software y las comunicaciones.
Diseo de la seguridad
Efectuar plticas con el usuario sobre la seguridad. En
estas plticas es importante establecer la importancia y
responsabilidad del usuario con relacin a mantener la
seguridad del sistema de computo.
Efectuar prcticas con el cliente sobre seguridad.
Contratar plizas de seguros y contra desastres.
Efectuar auditorias peridicas y eventuales al sistema de
cmputo una vez que esta instalado para determinar el nivel
de seguridad existente.

El implantar seguridad para los sistemas de cmputo

puede reducir la flexibilidad pero no debe reducir la
eficiencia.
 Ejemplos de medidas de seguridad para el manejo de la informacin
RESTRINGIDA CONFIDENCIAL INTERNA PBLICA
O O O MINIMA O
DESCRIPCIN ALTA SEGURIDAD SEGURIDAD MEDIA SEGURIDAD SIN SEGURIDAD
ACCESO DOBLE PASSWORD DOBLE PASSWORD PASSWORD SIN
8 0 MAS DIGITOS 4 A 8 DIGITOS ENTRADA PASSWORD
TRANSPORTA- CON UN PROPIO DENTRO DE BOLSAS SIN
EN SOBRES
CIN O CAMINONETAS CERRADAS CON RESTRICCIN
CERRADOS
DE SEGURIDAD CINTIILLO DE
SEGURIDAD
ENCRIPCIN ARCHIVO ENVIO DE CODIGO NO NO REQUERIDA
PARTICIONADO, Y LLAVE POR SEPARADO REQUERIDA
ENVIANDO
CODIGO Y LLAVE
POR SEPARADO
FOTOCOPIADO NO CONTROLAR MEDIANTE SIN SIN
RECOMENDADO SELLOS EL NUM. DE RESTRICCIN RESTRICCIN
COPIAS OBTENIDAS
CONSULTA DE PRIVADA Y PRIVADA Y EN ALGUNOS BAJO SIN
INFORMACIN MONITOREADA CASOS CON CONSULTA FACULTADES RESTRICCIN
MONITOREADA
USO PROHIBIDO SU PERMITIDO SLO EN EVITAR SIN
TELEFONO USO, CONTRATO DE PRIVADO O LUGARES RESTRICCIN
CELULAR, FAX CONFIDENCIALIDAD MONITOREADO PBLICOS
EN PRIVADO Y EN EN PRIVADO Y DE EXCLUIR SIN
REUNIONES OFICINAS DE LA PREFERENCIA EN REAS RESTRICCIN
EMPRESA OFICINAS DE LA PUBLICAS
EMPRESA
Diseo de la seguridad
Por ltimo realizar una lista de los datos, archivos,
accesos, procesos, reas, etc. que se debe
establecer seguridad y el grado de seguridad
requerida.
Matriz de consideraciones para la seguridad en el Nivel de
sistema de cmputo seguridad
Elemento(s) a Especificacin de 1 Alta
establecer seguridad Nivel de consideraciones y
(datos, archivos, procesos de seguridad 2 - Media
seguridad
procesos, etc.) 3 Mnima
4 Sin
------- ---- --------
seguridad
------- ---- -------
------ ---- ------
Administracin de la seguridad
Esta debe de contemplar el:
Confirmar la existencia de una funcin responsable de la
seguridad.
Decretar polticas y procedimientos aplicados a la utilizacin de
los equipos de cmputo y al aprovechamiento de los bienes y
sistemas informticos.
Actividades una vez establecida la seguridad

La elaboracin de planes de trabajo, de asignacin de actividades, seguimiento

y revisin peridica de documentacin y de bitcoras.
Revisin de las polticas creadas de la metodologa para el anlisis de
sistemas.
Estandarizar interfaces, funciones de programacin y uniformizar los
sistemas.
Elaborar y revisar constantemente bitcoras de procesos ejecutados, de
requerimientos, de errores en la implantacin y los planes y programas
bimestrales y anuales de los procesos que se van a ejecutar.
Costo de seguridad

Una vez que Usted ha determinado el nivel de seguridad que

debe incluir su sistema de computo.
Paso 1 - Enlistar los requerimientos de seguridad y si es
necesario actualizar y/o aadir a los requerimientos de
generales y los requerimientos funcionales y no funcionales los
elementos de seguridad.
Paso 2 Estimar el costo de la seguridad, efectuando bench
mark y eligiendo la mejor opcin para el sistema de computo.
Paso 3 Se agregarn los costos de seguridad al software de
aplicacin y a los costos tcnicos de la operacin