En Ciencias Informáticas
Páginas: 7 (1563 palabras)
Publicado: 9 de noviembre de 2012
Curso de Seguridad Informática
Introducción a la Administración de Seguridad
1
Introducción a la administración de seguridad
Es esencial una estrategia integral de administración de seguridad de lal información para perdurar en el “ecosistema” actual de información Aspectos Principales:
Objetivos de la administración de seguridad Requisitos de la empresa relacionados Control deriesgos Administración de identidades y accesos Políticas y procedimientos de seguridad Amenazas y vulnerabilidades Administración de dominios de seguridad
2
Introducción a la administración de seguridad
3
Objetivos de la administración de seguridad
La información específica de administración de seguridad variará según los requisitos de cada organización; sin embargo, existen tresprincipios que subyacen a todos los programas de seguridad:
Disponibilidad Integridad Confidencialidad (De la información!)
4
Evitar las interrupciones no controladas a través de pasos preventivos, tales como:
Desarrollo de sistemas de detección de malware y métodos de reparación Uso de sistemas de prevención y detección de intrusiones para monitorear y controlar el tráfico de redDefinición de políticas y procedimientos relacionados con los servicios de red Detención de servicios innecesarios del sistema operativo (SO) en los servidores
5
Pese a las medidas para asegurar disponibilidad, los sistemas fallan.
Una administración de seguridad efectiva requiere atención a la recuperación y, cuando es posible, a la degradación del rendimiento de los sistemas. La informáticaorientada a la recuperación desarrolla técnicas para recuperar, más que para evitar fallas en los sistemas. El diseño de mecanismos de recuperación constituye principalmente una responsabilidad de los arquitectos de sistemas e ingenieros de software La comprensión, implementación y administración de estos mecanismos corresponden al área de los administradores de sistemas y gerentes de seguridad.
6 La distribución de datos introduce nuevos desafíos para mantener la integridad de la información, inclusive los puntos múltiples de fallas y una gran cantidad de vulnerabilidades potenciales.
7
Control de Riesgos
El control de riesgos es la práctica de equilibrar necesidades y de seleccionar medidas de seguridad. El control de los riesgos que atentan contra la seguridad de lainformación es un proceso de cinco pasos:
1. Determinación del valor de la infraestructura y de los activos de información 2. Clasificación de las amenazas a la infraestructura y a los activos de información 3. Estimación de las probabilidades de que se materialice una amenaza
8
Confidencialidad de la Información
Hay datos que deben limitarse a reducidos grupos de usuarios como, por ejemplo,la información clasificada del gobierno, los secretos comerciales y la información regulada como datos de atención médica.
Hay datos que se comparten libremente: comunicados de prensa, presentaciones públicas y contenido de sitios web.
Muchos datos se encuentran en ambas categorías.
9
Continuación…
Las reglas para clasificar información se basan en las necesidades de trabajo y enregulaciones gubernamentales.
Los secretos comerciales están protegidos por la ventaja competitiva. La información de los clientes está protegida debido a que los clientes y los riesgos de responsabilidad así lo demandan.
Por ejemplo, en la atención médica en USA, las regulaciones son claras en relación con los datos que deben ser protegidos y cómo se deben hacerlo.
Ejemplo: se protege eldato de que a José Pérez se le receta el medicamento A, mientras que no se protege la información de que se recetó un medicamento A a un hombre de 35 años de edad, ya que ésta “no revela la identidad del
10
Prevenciones Básicas
Las infracciones pueden ser tan sofisticadas como irrumpir en la red de una empresa a través de una puerta trasera en una aplicación, o tan simples como oír una...
Introducción a la Administración de Seguridad
1
Introducción a la administración de seguridad
Es esencial una estrategia integral de administración de seguridad de lal información para perdurar en el “ecosistema” actual de información Aspectos Principales:
Objetivos de la administración de seguridad Requisitos de la empresa relacionados Control deriesgos Administración de identidades y accesos Políticas y procedimientos de seguridad Amenazas y vulnerabilidades Administración de dominios de seguridad
2
Introducción a la administración de seguridad
3
Objetivos de la administración de seguridad
La información específica de administración de seguridad variará según los requisitos de cada organización; sin embargo, existen tresprincipios que subyacen a todos los programas de seguridad:
Disponibilidad Integridad Confidencialidad (De la información!)
4
Evitar las interrupciones no controladas a través de pasos preventivos, tales como:
Desarrollo de sistemas de detección de malware y métodos de reparación Uso de sistemas de prevención y detección de intrusiones para monitorear y controlar el tráfico de redDefinición de políticas y procedimientos relacionados con los servicios de red Detención de servicios innecesarios del sistema operativo (SO) en los servidores
5
Pese a las medidas para asegurar disponibilidad, los sistemas fallan.
Una administración de seguridad efectiva requiere atención a la recuperación y, cuando es posible, a la degradación del rendimiento de los sistemas. La informáticaorientada a la recuperación desarrolla técnicas para recuperar, más que para evitar fallas en los sistemas. El diseño de mecanismos de recuperación constituye principalmente una responsabilidad de los arquitectos de sistemas e ingenieros de software La comprensión, implementación y administración de estos mecanismos corresponden al área de los administradores de sistemas y gerentes de seguridad.
6 La distribución de datos introduce nuevos desafíos para mantener la integridad de la información, inclusive los puntos múltiples de fallas y una gran cantidad de vulnerabilidades potenciales.
7
Control de Riesgos
El control de riesgos es la práctica de equilibrar necesidades y de seleccionar medidas de seguridad. El control de los riesgos que atentan contra la seguridad de lainformación es un proceso de cinco pasos:
1. Determinación del valor de la infraestructura y de los activos de información 2. Clasificación de las amenazas a la infraestructura y a los activos de información 3. Estimación de las probabilidades de que se materialice una amenaza
8
Confidencialidad de la Información
Hay datos que deben limitarse a reducidos grupos de usuarios como, por ejemplo,la información clasificada del gobierno, los secretos comerciales y la información regulada como datos de atención médica.
Hay datos que se comparten libremente: comunicados de prensa, presentaciones públicas y contenido de sitios web.
Muchos datos se encuentran en ambas categorías.
9
Continuación…
Las reglas para clasificar información se basan en las necesidades de trabajo y enregulaciones gubernamentales.
Los secretos comerciales están protegidos por la ventaja competitiva. La información de los clientes está protegida debido a que los clientes y los riesgos de responsabilidad así lo demandan.
Por ejemplo, en la atención médica en USA, las regulaciones son claras en relación con los datos que deben ser protegidos y cómo se deben hacerlo.
Ejemplo: se protege eldato de que a José Pérez se le receta el medicamento A, mientras que no se protege la información de que se recetó un medicamento A a un hombre de 35 años de edad, ya que ésta “no revela la identidad del
10
Prevenciones Básicas
Las infracciones pueden ser tan sofisticadas como irrumpir en la red de una empresa a través de una puerta trasera en una aplicación, o tan simples como oír una...
Leer documento completo
Regístrate para leer el documento completo.