Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD ACTIVOS DE UN
INFORMÁTICA
SISTEMA INFORMÁTICO
Nivel 12
INFORMACIÓN
Hardware: Software: Datos o Información:
Infraestructura Base de datos
Sistema operativo
Cableado de red Paquetes de información
Aplicaciones
Equipos de cómputo Copias de seguridad
Programas de cómputo
Servidores Claves
Los activos más valiosos son los datos. Su protección contempla métodos de seguridad contra:
- Extravío, daño o modificación no autorizada
- Propagación o abuso de información confidencial
TÉCNICO EN
SEGURIDAD
VALORACIÓN
INFORMÁTICA
Nivel 12
DE ACTIVOS
Valorizar los activos significa evaluar la importancia que tienen para la organización o la
empresa; y así asignar el tipo de protección correspondiente.
Inventario de activos
Debe contener los siguientes datos:
Identificación
del activo Descripción Localización
Tipo de activo Propietario Señala la
Selecciona un Explica las
código para orde- Reconoce cada características del Establece a los ubicación física
narlos en familias y elemento: hardware, activo de forma clara responsables del del activo o el
así localizarlos software o datos. y sin ambigüedades. activo. equipo donde se
fácilmente. encuentra.
Valoración de activos
Es la asignación de un valor numérico, el cual indica la magnitud de:
Confidencialidad: El nivel de protección que debe tener cada activo contra su uso indebido.
Disponibilidad: El nivel de accesibilidad para usuarios y personal de la empresa.
Integridad: El nivel de restricción de modificaciones al activo, por personal no autorizado.
Base de datos
BD01 5 5 5 5
Por ejemplo, en un banco se tienen los siguientes activos: de clientes
Tipos de vulnerabilidad
Nivel de Valor
vulnerabilidad
Para continuar el análisis, considera qué tan posible es que las vulnerabilidades
se explotenpara causar algún daño a los activos. Nulo 1
Bajo 2
Asigna un valor del 1 al 4 para determinar la vulnerabilidad de cada activo
conforme a la siguiente escala. Medio 3
Alto 4
Ejemplo
Al analizar un servidor de un banco se obtuvieron los siguientes datos:
Mala ubicación. El servidor se encuentra en un lugar, a la vista de cualquier
persona, aunque debiera estar en un lugar seguro.
Valor
Código Activo Vulnerabilidad Nivel de
del
vulnerabilidad
activo
SU01 Servidor de 5 Mala ubicación 3
usuarios
Enfriamiento deficiente 2
Falta de mantenimiento 3
Falta de planta de 4
emergencia
TÉCNICO EN
SEGURIDAD
EVALUACIÓN
DE RIESGOS
INFORMÁTICA
Nivel 2
Una vez que tienes la matriz de análisis de riesgo, lo que debes hacer es identificar los valores más altos,
y después relaciona su columna y fila. Por ejemplo:
• Riesgo Alto (16) de que entre un virus (columna) en las computadoras de recursos humanos (fila).
4 4 8 12 16
3 3 6 9 12
2 2 4 6 8
1 1 2 3 4
1 2 3 4
Escribe las relaciones de tal forma que tengan sentido y preséntalos en una tabla que incluya su valor de riesgo:
Riesgo Factor
Contaminación de virus en las computadoras de RH Alto (16)
La tabla anterior presenta los resultados, apóyate en ella para decidir en qué puntos debes implementar
controles que mitiguen los riesgos que valoraste.
TÉCNICO EN
SEGURIDAD
CONTROLES
INFORMÁTICA
ADICIONALES
Nivel 3
2
El estándar más usado a nivel internacional para definir los niveles de seguridad informática está desarrollado por el Departamento de Defensa de los
Estados Unidos en el TCSEC (Criterios Confiables para la Evaluación de Sistemas Computacionales por sus siglas en inglés), mejor conocido por
Orange Book (libro naranja).
En él se definen las medidas de seguridad que debe seguir una red de equipos informáticos y las clasifica en 4 niveles de seguridad:
Nivel
Protección mínima
D Aquí se encuentran los sistemas informáticos que no son seguros, ya que no cuentan con mecanismos para restringir el acceso
al sistema.
Protección discrecional
C Los sistemas de este nivel son aquellos en los que cada usuario tiene acceso a diferente información. Por ejemplo, un equipo o
red que cuenta con un “Administrador” y varias cuentas de “Usuario”.
Existen dos subclases en este nivel:
Protección de seguridad discrecional: La base de datos del sistema permite que cada usuario
C1 tenga acceso a su información y la protege de otros que podrían leerla, alterarla o borrarla.
Nivel
Protección obligatoria
B Son sistemas que utilizan reglas de control de acceso. La información almacenada tiene un grado de sensibilidad definido
(secreto, privado, etc.), para saber quiénes pueden acceder a ella.
Seguridad etiquetada: Cumple con los requisitos del subnivel C2. Además debe ser capaz de
B1 etiquetar con precisión la información que se envíe. En este subnivel, el control de acceso es
obligatorio. Algunos usuarios tienen un permiso para acceder y modificar datos específicos.
Dominios de seguridad: Los subsistemas con este nivel, todas las medidas de seguridad, tanto
B3 físicas (como cortafuego por hardware) como lógicas (por ejemplo, software de control de
acceso) deben probarse para comprobar que son casi invulnerables ante amenazas de seguridad.
Protección verificada
A
Este nivel requiere que todos los controles de seguridad del sistema se prueben, para asegurar que mantienen segura toda la
información almacenada y procesada.
TÉCNICO EN
CONCEPTOS
SEGURIDAD
INFORMÁTICA
RELACIONADOS
Nivel 4
2
A LA ENCRIPTACIÓN
Texto Plano
Es la secuencia de pasos que se sigue Son los datos a los que se les aplicó el
para “codificar” los datos. algoritmo de encripción.
Una opción sencilla para evitar que los archivos de tus clientes puedan ser leídos por cualquier persona, es instalar
un programa para encriptarlos.