Ingeniero en sistemas
Páginas: 38 (9353 palabras)
Publicado: 24 de febrero de 2012
La gestión de la seguridad abarca las actividades administrativas y de procedimiento destinadas a proteger los activos corporativos e información de toda la compañía. Facilita la visión de seguridad de la empresa mediante la formalización de la infraestructura, la definición de las actividades, y la aplicación de las herramientas y técnicas necesarias para controlar, supervisar y coordinar losesfuerzos de seguridad en toda la organización.
Fundamentalmente, garantizar la seguridad de la información es un asunto de negocios que debe ser abordado en el contexto de la gestión de negocios de la empresa. Este documento proporciona una visión general de los retos que limitan la gestión de la seguridad responsable y las estrategias de ofertas, así como herramientas y técnicas específicas parala evaluación, control y aplicación de la seguridad en toda la empresa. Los temas que se incluyen los siguientes:
• Principios fundamentales de la seguridad de la información
• Terminología de seguridad fundamental
• Roles y responsabilidades de seguridad
• Las políticas de seguridad, procedimientos, normas y directrices
• Seguridad de la gestión del riesgo
Principiosfundamentales de la Seguridad de la Información
El aseguramiento de la información se basa en tres principios básicos:
* Figura [ 1 ]
Figura 1
Confidencialidad: evitar la divulgación no autorizada de información confidencial de los datos en reposo, en tránsito o durante la transformación. Solo personas autorizadas pueden leer los datos por medios o métodos autorizados.
* Integridad:evitar la alteración, sustitución, la corrupción o la destrucción de los sistemas y la información. Solo personas autorizadas pueden hacer cambios por medios y métodos autorizados.
* Disponibilidad: evitar la interrupción del servicio y la productividad, frente a las amenazas que podrían hacer los sistemas inaccesibles. Los datos están disponibles para las personas autorizadas cuándo éstaslos necesitan.
La triada inversa de CIA (Confidentiality Integrity Avaliability) es DAD (Disclosure Alteration Destruction- Divulgación Alteración Destrucción)
Otros conceptos importantes son:
* Identificación. Los medios por los cuales los usuarios afirman su identidad a un sistema. Se usa más comúnmente para el control de acceso, la identificación es necesaria para la autenticación yautorización.
* Autenticación. La prueba o la conciliación de la evidencia de la identidad de un usuario. Se establece la identidad del usuario y garantiza que los usuarios son quienes dicen ser.
* Rendición de cuentas. La capacidad de un sistema para determinar las acciones y comportamientos de un individuo dentro de un sistema y para identificar a esa persona en particular. Las pistas deauditoría y rendición de cuentas los registros de apoyo.
* Autorización. Los derechos y permisos concedidos a una persona o proceso que permite el acceso a un recurso de la computadora. Una vez que la identidad del usuario y la autenticación se establecen los niveles de autorización determinarán el alcance de los derechos que un usuario puede tener en el sistema.
* Privacidad. El nivel deprotección de la confidencialidad y la privacidad dado a un usuario en un sistema. Esto es a menudo un componente importante de controles de seguridad. Privacidad no sólo garantiza el principio fundamental de la confidencialidad de los datos de una empresa, sino que también garantiza el nivel de privacidad en los datos, que están siendo utilizados por el operador.
Objetivos de controles deseguridad
El objetivo de los controles de seguridad es reducir la vulnerabilidad a un nivel tolerable y minimizar el efecto de un ataque. Para lograr esto, la organización debe determinar el impacto que un ataque podría tener en una organización y la probabilidad de que la pérdida podría ocurrir. El proceso que analiza diversos escenarios de amenazas y produce un valor representativo de la...
Fundamentalmente, garantizar la seguridad de la información es un asunto de negocios que debe ser abordado en el contexto de la gestión de negocios de la empresa. Este documento proporciona una visión general de los retos que limitan la gestión de la seguridad responsable y las estrategias de ofertas, así como herramientas y técnicas específicas parala evaluación, control y aplicación de la seguridad en toda la empresa. Los temas que se incluyen los siguientes:
• Principios fundamentales de la seguridad de la información
• Terminología de seguridad fundamental
• Roles y responsabilidades de seguridad
• Las políticas de seguridad, procedimientos, normas y directrices
• Seguridad de la gestión del riesgo
Principiosfundamentales de la Seguridad de la Información
El aseguramiento de la información se basa en tres principios básicos:
* Figura [ 1 ]
Figura 1
Confidencialidad: evitar la divulgación no autorizada de información confidencial de los datos en reposo, en tránsito o durante la transformación. Solo personas autorizadas pueden leer los datos por medios o métodos autorizados.
* Integridad:evitar la alteración, sustitución, la corrupción o la destrucción de los sistemas y la información. Solo personas autorizadas pueden hacer cambios por medios y métodos autorizados.
* Disponibilidad: evitar la interrupción del servicio y la productividad, frente a las amenazas que podrían hacer los sistemas inaccesibles. Los datos están disponibles para las personas autorizadas cuándo éstaslos necesitan.
La triada inversa de CIA (Confidentiality Integrity Avaliability) es DAD (Disclosure Alteration Destruction- Divulgación Alteración Destrucción)
Otros conceptos importantes son:
* Identificación. Los medios por los cuales los usuarios afirman su identidad a un sistema. Se usa más comúnmente para el control de acceso, la identificación es necesaria para la autenticación yautorización.
* Autenticación. La prueba o la conciliación de la evidencia de la identidad de un usuario. Se establece la identidad del usuario y garantiza que los usuarios son quienes dicen ser.
* Rendición de cuentas. La capacidad de un sistema para determinar las acciones y comportamientos de un individuo dentro de un sistema y para identificar a esa persona en particular. Las pistas deauditoría y rendición de cuentas los registros de apoyo.
* Autorización. Los derechos y permisos concedidos a una persona o proceso que permite el acceso a un recurso de la computadora. Una vez que la identidad del usuario y la autenticación se establecen los niveles de autorización determinarán el alcance de los derechos que un usuario puede tener en el sistema.
* Privacidad. El nivel deprotección de la confidencialidad y la privacidad dado a un usuario en un sistema. Esto es a menudo un componente importante de controles de seguridad. Privacidad no sólo garantiza el principio fundamental de la confidencialidad de los datos de una empresa, sino que también garantiza el nivel de privacidad en los datos, que están siendo utilizados por el operador.
Objetivos de controles deseguridad
El objetivo de los controles de seguridad es reducir la vulnerabilidad a un nivel tolerable y minimizar el efecto de un ataque. Para lograr esto, la organización debe determinar el impacto que un ataque podría tener en una organización y la probabilidad de que la pérdida podría ocurrir. El proceso que analiza diversos escenarios de amenazas y produce un valor representativo de la...
Leer documento completo
Regístrate para leer el documento completo.