Centros de Estudios Tecnológicos
Industriales
y de Servicios
Asignatura:
Seguridad Informática
Maestro:
García López Juan Pablo
Tema: Seguridad
informática en el laboratorio de cómputo basado en las normas y estándares
internacionales e ISO 17799
Subtemas: Introducción,
problema de investigación, justificación e importancia de la investigación,
marco teórico, conclusión
Integrantes del equipo 4
del 3 ° I:
- Noyola Roque Aldair
- Uribe Rentería Rodolfo
- De la Rosa Gonzales Luis Fernando
- Mendoza Salinas Alexis Osvaldo
- Rodríguez Mota Alberto
- Ramirez Gonzalez Getsemani
- Flores Valadez Regina
- Vinalay Olea María del Pilar
Introducción
En
el presente informe hablaremos sobre la importancia que tiene la seguridad e
informática , también veremos sobre que es cobti 4.1 y cobit 5 e iso 17799 en
los sistemas e informática que nos sirven para saber información que contiene
sobre accesos no autorizados, daños etc. Y que una de esas es la perdida de
datos y gracias a esto sabremos como recopilar y tener copias de seguridad por
si suele pasar.
Problema de investigación
Los
problemas que más hay es en el laboratorio de computo B del cetís 116nseria que
le falta mantenimiento, es decir, que no se le hacen mucho porque ya que la
escuela no le toma mucha importancia pero
a nosotros sí porque hay computadoras o sea software que necesitan
revisión o hasta actualizaciones por qué hay algunas que las prendes y se
apagan por si solas y hay algunos teclados que también fallan y de que también falta
internet ya que casi nuca hay falla mucho y la escuela tarda en arreglarlo ya que a esto no podemos hacer nuestro trabajo.
Justificación e Importancia de la Investigación
Justificación:
Como pueden saber o ver es que hoy en día existen muchos riesgos que pueden
dañar a la seguridad e informática del laboratorio B del cetís 116 y es muy necesario
saber de los riesgos y como detenerlos de ellos para evitar daños de esto en el
laboratorio B del cetís 116 hay que tener conocimiento de ello.
Importancia: Es
muy importante saber de los riesgos que hay en la seguridad e informática que
puede dañar los recursos informáticos del laboratorio B del cetís 116 y como evitarlos.
También saber sobre del daño que hace un virus en los sistemas operativos y de
os riesgos y consecuencias que tienen.
Marco Teórico
Marcoreferencial
Las empresas poseen un capital activo muy valioso: información y tecnología. Cada vez
en mayor medida, el éxito de una empresa depende de la comprensión de ambos
componentes. Las buenas
prácticas concentradas
en el marco de referencia COBIT, permiten que los
negocios se alineen con la tecnología de la información para así alcanzar los
mejores resultados.
La información y la
tecnología que la soporta representan los activos más valiosos de muchas
empresas, aunque con frecuencia son poco entendidos. Las
empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor
de sus interesados (stakeholders). Estas empresas también entienden y
administran los riesgos asociados, es decir, el aumento en los requerimientos
regulatorios, así como también una gran dependencia de muchos de los procesos
de negocio en TI. Pero todos estos elementos son clave para el gobierno de la
empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI
Marco Conceptual
Para
el desarrollo de esta investigación es importante saber de ciertos términos que
son usados por su desarrollo:
Información: está constituida por un
grupo de datos ya supervisados y ordenados, que sirven para construir un
mensaje basado en un cierto fenómeno o ente. La información permite resolver
problemas y tomar decisiones, ya que su aprovechamiento racional es la base del
conocimiento.
COBIT: es precisamente un
modelo para auditar la gestión y control de los sistemas de información y
tecnología, orientado a todos los sectores de una organización, es decir,
administradores IT, usuarios y por supuesto, los auditores involucrados en el
proceso.
Iso 17799:
Estándar para la seguridad de la información, una guía de buenas prácticas de
seguridad informática que presenta una extensa serie de controles de seguridad.
Es la única norma que no sólo cubre la problemática de la TI sino que hace una
aproximación holística a la seguridad de la información abarcando todas las
funcionalidades de una organización en cuanto a que puedan ser afectadas por la
seguridad informática.
Vulnerabilidad:
Son errores que permiten realizar desde afuera actos sin permiso del
administrador del equipo, incluso se puede suplantar al usuario, actualmente,
ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya
sea para hacerlos servidores ilegales de Spam o para robar información, de los
agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y
Blaster se diseminaron rápidamente.
Seguridad de las redes:
Violaciones seguridad del sistema o red están prohibidas, y puede dar lugar a
responsabilidad penal y civil. Los ejemplos incluyen, pero no se limitan a lo
siguiente: El acceso no autorizado, uso, prueba, o exploración de las medidas
de seguridad o sistemas de autenticación, datos o tráfico.
Seguridad física:
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos
(generalmente de prevención y detección)destinados a proteger físicamente
cualquier recurso del sistema; estos recursos son desde un simple teclado hasta
una cinta de backup con toda la información que hay en el sistema, pasando por
la propia CPU de la máquina.
Seguridad
informática.
Lo que se entiende
por seguridad
informática al conjunto
de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad,
confidencialidad y buen uso de la información que reside en un sistema
de información.
Cada día más
y más personas mal intencionadas intentan tener acceso a los datos de nuestros ordenadores.
El acceso no
autorizado a una red informática o a los equipos que en ella se encuentran
pueden ocasionar en la gran mayoría de los casos graves problemas.
Uno de las
posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos
trastornos, sobre todo si no estamos al día de las copias de seguridad. Y aunque estemos al día, no siempre es posible
recuperar la totalidad de los datos.
Otro de los
problemas más dañinos es el robo
de información sensible y confidencial. La divulgación de la
información que posee una
empresa sobre
sus clientes puede acarrear demandas millonarias contra
esta, o un ejemplo mas cercano a usted es el de nuestras contraseñas de
las cuentas de correo por las que intercambiamos
información con otros.
Con la constante evolución de las computadoras es fundamental saber que recursos necesitar para obtener seguridad en los sistemas
de información.
En el
presente informe hablaremos sobre la importancia de seguridad
informática, haremos referencias sobre a las formas que existen para proteger
los sistemas informáticos y la información que contienen
sobre accesos no autorizados, daños, modificaciones o destrucciones.
La seguridad
informática: es la disciplina que se Ocupa de diseñar las normas,
procedimientos,métodos y técnicas, orientados a proveer condiciones seguras y confiables,
para el procesamiento de datos en sistemas informáticos.
consiste en
asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y
que el acceso a la información allí contenida, así como su modificación, sólo
sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.
Principios de
Seguridad Informática:
Para lograr
sus objetivos la seguridad informática se fundamenta en
tres principios, que debe cumplir todo sistema informático:
Confidencialidad: Se refiere a la privacidad de los elementos
de información almacenados y procesados en un sistema informático, Basándose en
este principio, las herramientas de seguridad informática deben proteger el
sistema de invasiones y accesos por parte de personas o programas no
autorizados. Este principio es particularmente importante en sistemas
distribuidos, es decir,
aquellos en los que los usuarios , computadores y datos residen en localidades
diferentes , pero están física y lógicamente interconectados.
Integridad: Se refiere a la validez y consistencia de los
elementos de información almacenados y procesador en un sistema informático. Basándose en este
principio, las herramientas de seguridad informática deben asegurar que
los procesos de actualización estén bien sincronizados y
no se dupliquen, de forma que todos los elementos del sistema manipulen
adecuadamente los mismos datos. Este principio es importante en sistemas
descentralizados, es decir, aquellos en los que diferentes usuarios ,
computadores y procesos comparten la misma información.
Disponibilidad: Se refiere a la continuidad de acceso a los
elementos de información almacenados y procesados en un sistema informático.
Basándose en este principio, las herramientas de seguridad informática deber
reforzar la permanencia del sistema informático, en condiciones de actividad
adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación
que requieran, este principio es importante en sistemas informáticos cuyos
compromiso con el usuario, es prestar servicio permanente.
Objetivo de la Seguridad Informática
·
El presente
informe tiene como objetivo comprender los conceptos básicos de seguridad
informática
·
Describir los
principales problemas de seguridad informática con los que se enfrentas los
usuarios de computadoras.
·
Conocer los
conceptos de Integridad, confiabilidad y disponibilidad de la información.
·
Conocer los
factores de riegos
·
Conocer los
mecanismos de seguridad informática existentes.
·
Concientizar sobre
los riesgos a los que las organizaciones y usuarios de computadoras se enfrentan
en materia de seguridad de la información
·
Y por ultimo
ampliar o enriquecer los conocimientos a cerca de la seguridad informática.
COBIT 4.1
COBIT es un marco de trabajo y un conjunto de
herramientas de Gobierno de Tecnología de Información (TI) que permite a la
Gerencia cerrar la brecha entre los requerimientos de control, aspectos
técnicos y riesgos de negocios. COBIT habilita el desarrollo de políticas
claras y buenas prácticas para el control de TI a lo largo de las
organizaciones.COBIT fue publicado por primera vez por ITGI en abril de 1996.
Su última actualización – COBIT® 4.1 hace énfasis en el cumplimiento
reglamentario, ayudando a la organizaciones a incrementar el valor de TI,
destacando los vínculos entre los objetivos del negocio y TI, y simplificando
la implementación del marco de trabajo COBIT .
Cobit
El estándar Cobit Objetivos de Control para la
Información y Tecnologías Relacionadas ofrece un conjunto de “mejores
prácticas” para la gestión de los Sistemas de Información de las
organizaciones.
El objetivo principal de Cobit consiste en
proporcionar una guía a alto nivel sobre puntos en los que establecer controles
internos con tal de:
Asegurar el buen gobierno, protegiendo los
intereses de los stakeholders (clientes, accionistas, empleados, etc.)
Garantizar el cumplimiento normativo del sector al
que pertenezca la organización
Mejorar la eficacia i eficiencia de los procesos y
actividades de la organización
Garantizar la confidencialidad, integridad y
disponibilidad de la información
El estándar define el término control como:
“Políticas, procedimientos, prácticas y estructuras organizarles diseñadas
para proveer aseguramiento razonable de que se lograrán los objetivos del
negocio y se prevendrán, detectarán y corregirán los eventos no deseables”
Por tanto, la definición abarca desde aspectos
organizativos (p.ej. flujo para pedir autorización a determinada información,
procedimiento para reportar incidencias, selección de proveedores, etc.) hasta
aspectos más tecnológicos y automáticos (p.ej. control de acceso a los sistemas,
monitorización de los sistemas mediante herramientas automatizadas, etc.).
Por otra parte, todo control tiene por naturaleza
un objetivo. Es decir, un objetivo de control es un propósito o resultado
deseable como por ejemplo: garantizar la continuidad de las operaciones ante
situaciones de contingencias.
En consecuencia, para cada objetivo de control de
nuestra organización podremos implementar uno o varios controles (p.ej.
ejecución de copias de seguridad periódicas, traslado de copias de seguridad a
otras instalaciones, etc.) que nos garanticen la obtención del resultado
deseable (por ejemplo continuidad de las operaciones en caso de contingencias).
Obviamente, los ejemplos expuestos son muy
generalistas y poco detallados, pero creo que muestran de forma práctica las
diferentes definiciones.
Cobit clasifica los procesos
de negocio relacionados
con las Tecnologías de la Información en 4 dominios:
Planificación y Organización
Adquisición e Implementación
Entrega y Soporte
Supervisión y Evaluación
En definitiva, cada dominio contiene procesos de
negocio (desglosables en actividades) para los cuales se pueden establecer
objetivos de control e implementar controles organizativos o automatizados:
Por otra parte, la organización dispone de recursos
(aplicaciones, información, infraestructura y personas) que son utilizados por
los procesos para cubrir los requisitos del negocio:
Efectividad (cumplimiento de objetivos)
Eficiencia (consecución de los objetivos con el
máximo aprovechamiento de los recursos)
Confidencialidad
Integridad
Disponibilidad
Cumplimiento regulatorio
Fiabilidad
Cabe destacar que, Cobit también ofrece mecanismos
para la medición de las capacidades de los procesos con objeto de conseguir una
mejora continua. Para ello, proporciona indicaciones para valorar la madurez en
función de la misma clasificación utilizada por estándares como ISO 15504:
Nivel 0 – Proceso incompleto: El proceso no existe
o no cumple con los objetivos
Nivel 1 – Proceso ejecutado
Nivel 2 – Proceso gestionado: el proceso no solo se
encuentra en funcionamiento, sino que es planificado, monitorizado y ajustado.
Nivel 3 – Proceso definido: el proceso, los
recursos, los roles y responsabilidades se encuentran documentados y
formalizado.
Nivel 4 – Proceso predecible: se han definido
técnicas de medición de resultados y controles.
Nivel 5 – Proceso optimizado: todos los cambios son
verificados para determinar el impacto, se han definido mecanismos para la
mejora continua, etc.
En general, gran parte de los puntos que se exponen
a continuación pueden ser mapeados a los controles definidos en el
estándar ISO 27002.
Planificación y Organización
La dirección de la organización debe implicarse en
la definición de la estrategia a seguir en el ámbito de los sistemas de
información, de forma que sea posible proporcionar los servicios que requieran
las diferentes áreas de negocio. Para ello, Cobit presenta 10 procesos:
- Definición de un plan estratégico: gestión del valor, alineación con las necesidades del negocio, planes estratégicos y tácticos.
- Definición de la arquitectura de información: modelo de arquitectura, diccionario de datos, clasificación de la información, gestión de la integridad.
- Determinar las directrices tecnológicas: análisis de tecnologías emergentes, monitorizar tendencias y regulaciones.
- Definición de procesos IT, organización y relaciones: análisis de los procesos, comités, estructura organizativa, responsabilidades, propietarios de la información, supervisión, segregación de funciones, políticas de contratación.
- Gestión de la inversión en tecnología: gestión financiera, priorización de proyectos, presupuestos, gestión de los costes y beneficios.
- Gestión de la comunicación: políticas y procedimientos, concienciación de usuarios.
- Gestión de los recursos humanos de las tecnologías de la información: contratación, competencias del personal, roles, planes de formación, evaluación del desempeño de los empleados.
- Gestión de la calidad: mejora continua, orientación al cliente, sistemas de medición y monitorización de la calidad, estándares de desarrollo y adquisición.
- Validación y gestión del riesgo de las tecnologías de la información
- Gestión de proyectos: planificación, definición de alcance, asignación de recursos, etc.
Podemos encontrar puntos de conexión con otros
estándares y marcos de trabajo que nos pueden servir de soporte:
Adquisición e Implementación
Con el objeto de garantizar que las adquisiciones
de aplicaciones comerciales, el desarrollo de herramientas a medida y su
posterior mantenimiento se encuentre alineado con las necesidades del negocio,
el estándar Cobit define los siguientes 7 procesos:
- Identificación de soluciones: análisis funcional y técnico, análisis del riesgo, estudio de la viabilidad.
- Adquisición y mantenimiento de aplicaciones: Diseño, controles sobre la seguridad, desarrollo, configuración, verificación de la calidad, mantenimiento.
- Adquisición y mantenimiento de la infraestructura tecnológica: Plan de infraestructuras, controles de protección y disponibilidad, mantenimiento.
- Facilidad de uso: Formación a gerencia, usuarios, operadores y personal de soporte.
- Obtención de recursos tecnológicos: control y asignación los recursos disponibles, gestión de contratos con proveedores, procedimientos de selección de proveedores.
- Gestión de cambios: Procedimientos de solicitud/autorización de cambios, verificación del impacto y priorización, cambios de emergencia, seguimiento de los cambios, actualización de documentos.
- Instalación y acreditación de soluciones y cambios: Formación, pruebas técnicas y de usuario, conversiones de datos, test de aceptación por el cliente, traspaso a producción.
Es posible identificar relaciones entre los
procesos de este apartado con los presentados por el estándar ISO 12207:
COBIT
|
ISO 12207
|
|
5.1
Adquisición
|
|
5.1
Adquisición, 5.2 Suministro, 5.3 Desarrollo, 5.5 Mantenimiento, 6.2 Gestión
de configuraciones
|
|
5.1
Adquisición, 5.2 Suministro, 5.5 Mantenimiento, 7.2 Infraestructura
|
|
6.1
Documentación, 6.8 Resolución de problemas, 7.1 Gerencia, 7.4 Formación
|
|
7.2
Infraestructuras
|
|
5.2
Suministro, 5.5 Mantenimiento, 7.3 Mejoras
|
|
6.3
Verificación de la calidad, 6.4 Verificación, 6.5 Validación, 6.6
Integración, 6.7 Auditoría
|
Como soporte a los procesos de este
apartado es posible utilizar metodologías
de desarrollo y modelos de capacidad como ISO 15504 y CMMI.
Entrega y Soporte
La entrega y soporte de servicios se
encuentran constituidos por diversos procesos orientados a asegurar la eficacia
y eficiencia de los sistemas de información.
El estándar Cobit ha definido 13
procesos diferentes:
- Definición y gestión de los niveles de servicio: SLA con usuarios/clientes
- Gestión de servicios de terceros: gestión de las relaciones con proveedores, valoración del riesgo monitorización del servicio.
- Gestión del rendimiento y la capacidad: planes de capacidad, monitorización del rendimiento, disponibilidad de recursos.
- Asegurar la continuidad del servicio: plan de continuidad, recursos críticos, recuperación de servicios, copias de seguridad.
- Garantizar la seguridad de los sistemas: gestión de identidades, gestión de usuarios, monitorización y tests de seguridad, protecciones de seguridad, prevención y corrección de software malicioso, seguridad de la red, intercambio de datos sensibles.
- Identificar y asignar costes
- Formación a usuarios: identificar necesidades, planes de formación.
- Gestión de incidentes y HelpDesk: registro y escalado de incidencias, análisis de tendencias.
- Gestión de configuraciones: definición de configuraciones base, análisis de integridad de configuraciones.
- Gestión de problemas: identificación y clasificación, seguimiento, integración con la gestión de incidentes y configuraciones.
- Gestión de los datos: acuerdos para la retención y almacenaje de los datos, copias de seguridad, pruebas de recuperación.
- Gestión del entorno físico: acceso físico, medidas de seguridad, medidas de protección medioambientales.
- Gestión de las operaciones: planificación de tareas, mantenimiento preventivo.
En general, gran parte de los
aspectos descritos se encuentran relacionados con las guías proporcionadas
por ITIL (Tecnología de la Información
En marco de árbol de) y el estándar ISO 20000.
Por otra parte, existen procesos
determinados que pueden ser vinculados a otros estándares:
Supervisión y Evaluación
El último dominio se centra en la
supervisión de los sistemas con tal de:
Garantizar la alineación con la
estratégica del negocio
Verificar las desviaciones en base a
los acuerdos del nivel de servicio
Validar el cumplimiento regulatorio
Esta supervisión implica
paralelamente la verificación de los controles por parte de auditores (internos
o externos), ofreciendo una visión objetiva de la situación y con independencia
del responsable del proceso.
El estándar Cobit define los
siguientes 4 procesos:
- Monitorización y evaluación del rendimiento
- Monitorización y evaluación del control interno
- Asegurar el cumplimiento con requerimientos externos
- Buen gobierno
COBIT
5
un modelo de gobernanza para la TI empresarial,
introduce un marco que está centrado mejor en seguridad de la información.
La Ley Sarbanes-Oxley de 2002 (SOX) fortaleció la
presencia de COBIT en la empresa. Antes de SOX, las organizaciones que cotizan
en bolsa vieron muy poca supervisión de auditoría de la utilización de recursos
de datos electrónicos y la seguridad. Los profesionales de seguridad en su
lugar se basó en gran medida en los estándares de las mejores prácticas, tales
como la norma ISO 27002 e ITIL para salvaguardar los recursos. Sin embargo, los
auditores decidieron utilizar las directrices limitadas de COBIT 4 de gobernar
el cumplimiento de SOX. Mientras COBIT 4 proporciona algunas orientaciones
sobre seguridad de la información (INFOSEC), carecía de la cobertura completa
de las normas tradicionales. Esto cambió con la publicación de COBIT 5.
COBIT5
Con COBIT 5, ISACA introdujo un marco para la
seguridad de la información. Incluye todos los aspectos de garantía de la
seguridad razonable y apropiado para los recursos de información. Su fundación
es un conjunto de principios en los que una organización debe construir y
políticas de seguridad de prueba, normas, directrices, procesos y controles:
Satisfacer las necesidades de las partes interesadas
Cubriendo la de extremo a extremo de la empresa
La aplicación de un solo marco integrado
Habilitación de un enfoque holístico
La separación de la gobernabilidad de la gestión
Las
necesidades de las partes interesadas de reuniones
Un grupo de actores incluye a cualquier individuo o
grupo afectado por el estado actual o el estado futuro de un proceso, sistema,
política, etc. análisis de los interesados es el proceso de identificación de
las partes interesadas a fin de que su entrada se puede garantizar que los
requisitos de los partidos los resultados. Este es un paso importante tanto en
la planificación de proyectos y la gestión de riesgos. Si no se involucra a
todos los interesados, incluidos InfoSec y equipos de auditoría, por lo
general resulta en menos de resultados óptimos en el mejor. Resultados peor de
los casos incluyen proyectos fallidos o deficiencias de auditoría material.
El éxito de los resultados del análisis de las
partes interesadas en maximizar los beneficios, minimizar el riesgo o más allá
de los resultados esperados, y la optimización de los recursos. Además,
asegurar la integración de los requerimientos del negocio y de aseguramiento de
la información en el desarrollo o la adquisición de una solución es siempre
preferible a tratar de "colgar" algo sobre una-pero terminó
incompleto-sistema, la red, o un marco de controles físicos.
Cubrir
la de extremo a extremo de la empresa
Seguridad de la información se aplica a menudo como
serie de soluciones puntuales, como se define en más detalle en el Principio 3.
Sin embargo, la aplicación general de las mejores prácticas de seguridad y de
garantía exige una revisión de seguridad como parte de todos los procesos de
negocio y de TI las actividades de desarrollo e implementación. Esto no es sólo
una integración horizontal. Por el contrario, todos los niveles de gestión deben
incluir InfoSec en todas las actividades de planificación estratégica y
operativa del negocio.
Por ejemplo, uno de los vicepresidentes departamento
podría implementar un nuevo proceso de negocio sin consultar a la auditoría o
la seguridad. Si la organización cuenta con un programa de seguridad sólida, el
vicepresidente es consciente de y apoya, y los ejecutivos de nivel C son claros
en su exigencia de que cada proceso de negocio debe cumplir con el programa, a
continuación, el nuevo proceso es probable que cumplir con los resultados
esperados de seguridad: incluso sin seguridad y auditoría opiniones. Sin
embargo, con la participación InfoSec y equipos de auditoría para revisar los
principales cambios en el proceso es siempre una buena idea: independientemente
de lo "seguro" o "insignificante" parece el cambio.
La
aplicación de un solo marco integrado
La aplicación de los controles de seguridad es a
menudo una actividad de apuntar y disparar. Muchas organizaciones tienden a
solucionar problemas específicos y sin dar un paso atrás y la aplicación de
políticas y controles que afectan múltiples vulnerabilidades en la red o
sistema de ataque superficies. El diseño de un marco completo incluye todos los
aspectos de almacenamiento de información, el flujo y el procesamiento,
proporcionando una base para la aplicación de control más eficiente.
Conclusión
A la conclusión que llegamos todo el equipo fue que la seguridad
informática en un PC pero tratándose del
equipo de una empresa es uno de los puntos mas importantes que debe de estar
presente gracias a la SI una computadora funciona muy bien claro que se debe al
antivirus u otras aplicaciones que debe de tener para su mejor funcionamiento
un ejemplo muy claro la computadora de una empresa tiene que estar muy bien
protegida por alguna información que tengan de ella misma en el equipo.
Bibliografías
http://www.bitcompany.biz/que-es-cobit/#.VFpCXDSG9x0
No hay comentarios.:
Publicar un comentario