Manual De Seguridad Fisica

TEMA XIV

Concepto de seguridad

Seguridad: Definiciones
“Sabemos que es hasta que alguien nos pide que lo definamos” (Descartes)‫‏‬ definamos

¿Qué entendemos por seguridad?
Real Academia de la Lengua:
SEGURIDAD: Cualidad de seguro SEGURO: libre y exento de todo peligro, daño o riesgo
Cierto, indubitable y en cierta manera infalible No sospechoso

Definiciones de SeguridadInformática: Consejo Superior de Informática
Conjunto de técnicas y procedimientos que tienen como misión la protección de los bienes informáticos de una organización Bienes informáticos
Hardware Datos Programas

La información
ISO/IEC 17799
La información es un activo que tiene valor para la organización y requiere una protección adecuada. La seguridad de la información la protege de un amplioelenco de amenazas para
asegurar la continuidad del negocio, minimizar los daños a la organización maximizar el retorno de inversiones Y las oportunidades de negocios.

ISO/IEC 17799 formas información
La información adopta diversas formas.
Puede estar impresa o escrita en papel, Almacenada electrónicamente, Transmitida por correo o por medios electrónicos, Mostrada en filmes o hablada enconversación..

Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.

ISO/IEC 17799 Características
La seguridad de la información se caracteriza aquí por la preservación de:
Su confidencialidad, asegurando que solo quien está autorizado puede acceder a la información Su integridad, asegurando que la información y sus métodosde procesos son exactos y completos Su disponibilidad, asegurando que los usuarios autorizados tiene acceso a la información y a sus activos asociados cuando lo requieran

Autentificación:
Dar y reconocer la autenticidad de ciertas informaciones del Dominio y/o la identidad de los actores y/o la autorización por parte de los autorizadores y la verificación
Que los datos, las personas yprogramas son auténticos Verificar la identidad

Confidencialidad:
Condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados Acceso sólo entes autorizados

Disponibilidad:
Grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado Los bienes informáticos pueden serutilizado cuándo y cómo lo requieran los usuarios autorizados Integridad + disponibilidad = confiabilidad

Integridad:
Condición de seguridad que garantiza que la información es modificada, incluyendo su creación y borrado, sólo por personal autorizado Modificación sólo por personal autorizado

Control de acceso
Protección de los recursos del sistema contra accesos no autorizados
El uso delos recursos del sistema están regulados conforme a una política de seguridad Solo es permitido a las entidades autorizadas( usuarios, programas, procesos, otros sistemas..), de acuerdo a la política de seguridad

No repudiación
No poder negar la intervención en una operación o comunicación

Auditoría de actividades
Registro cronológico de las actividades del sistema que permitan lareconstrucción y examen de los eventos ocurridos
Registro de eventos

QUÉ ES SEGURIDAD
Evitar el ingreso de personal no autorizado Sobrevivir aunque “algo” ocurra Cumplir con las leyes y reglamentaciones gubernamentales y de los entes de control del Estado Adherirse a los acuerdos de licenciamiento de software Prevención, Detección y Respuesta contra acciones no autorizadas

Niveles deseguridad
Seguro estaba y se murió Seguridad total
“Queremos que no tenga éxito ningún ataque” Seguridad = Invulnerabilidad Imposible de alcanzar La seguridad total no existe

Existen grados de seguridad acorde con el bien a defender
La política de seguridad siempre es un compromiso entre el nivel de riesgo asumido y el coste requerido

niveles de seguridad

Enfoque de gestión del riesgo...