Seguridad informaticafinal

174 views
110 views

Published on

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
174
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad informaticafinal

  1. 1. DOSSIER TEMA: SEGURIDAD INFORMÁTICA GRUPO DE TRABAJO: 2 1. ANTECEDENTES Antecedentes Legales Propuestas o Modelos de Organizaciones Internacionales A finales del siglo veinte e inicios del siglo veintiuno tanto las empresas, organismos e incluso particulares comienzan a tomar verdadera conciencia de su importancia. Hoy en día, tener un sistema que cumpla con los estándares de gestión de la seguridad es sinónimo de calidad de servicio. En la seguridad informática, encontramos diversos documentos que se constituyen en estándares, códigos de prácticas y leyes que delinean las directrices bajo las cuales se debe de gestionar las medidas de control y gobierno de los sistemas de información. Los principales estándares conocidos son: ISO, NIST, Common Criteria, COBIT, ITIL, las variantes entre uno y otro estándar de seguridad se basan en la subestructura de alcances, metodologías, marcos de referencia, modelos de auditoría y métricas de cumplimiento. El desarrollo de las Tecnologías de la Información (TI) en América Latina, ha permitido advertir la adaptación a normas ISO que estandarizan los requerimientos específicos para productos, servicios, procesos, materiales y sistemas, buscando una adecuada evaluación gerencial y practica organizacional1 en diferentes aplicaciones informáticas, los cuales aspiran finalmente proteger 3 elementos: información, soporte informático y usuarios de los servicios. Si bien las políticas de seguridad de información buscan sentar una base sólida para el desarrollo y aplicación de prácticas de seguridad dentro de una organización, la seguridad de la información está compuesta por más que tecnología utilizada para solucionar problemas específicos o puntuales. Un adecuado modelo de seguridad debe incluir políticas, procedimientos y estándares definidos de acuerdo con las características de la organización, a la vez debe contar con un plan que fomente la cultura de seguridad, ya que las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización. En ese sentido, debe considerarse tres aspectos: la Seguridad Física (asociada a la protección del 1 En la actualidad, el estándar que hace la métrica del Sistema de Gestión de Seguridad de la Información es el ISO/IEC 27001
  2. 2. sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.); la Seguridad Lógica (asociada a la protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de criptografía.); finalmente, la Gestión de la Seguridad (planes de contingencia, políticas de seguridad, normativas, etc.). Para la Alianza Internacional de Consultores de Servicios Especializados e la Seguridad e Inteligencia Informática por ejemplo, una eficiente política de seguridad de la información es la norma ISO/IEC 27001 que contiene definiciones básicas, puntos de partida, controles, alcance, categorías de seguridad, evaluación y tratamiento de Riesgos, política de seguridad, organización de la seguridad de la información, administración de activos, seguridad del Recurso Humano, seguridad Física y Ambiental, administración de comunicaciones y operaciones, procedimientos y responsabilidades operacionales, control de accesos, adquisición, desarrollo y mantenimiento de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y cumplimiento. Finalmente, internacionalmente se destacan documentos de la Cumbre Mundial de la Sociedad de la Información (Ginebra 2003 y Túnez 2005) y la estrategia para la sociedad de la información en América Latina y el Caribe (ELAC 2007 y 2010) los cuales forman parte de asociaciones internacionales que buscan darle un carácter integrador a la propia naturaleza de la sociedad de la información que estamos tratando de crear. Para el caso de América Latina, las estrategias que vienen siendo recogidas, son las de eLAC la cual concibe a las Tecnologías de Información y de Comunicaciones (TIC) como instrumentos de desarrollo económico e inclusión social. Es una estrategia con visión de largo plazo (hacia 2015) acorde con los objetivos de desarrollo del Milenio (ODM) y la Cumbre Mundial de la Sociedad de la Información (CMSI). Legislación extranjera /Proyectos de legislación
  3. 3. Las aplicaciones sobre seguridad han sido establecidas en diversas normas al interior de las administraciones en el mundo. Sin embargo, hemos rescatado las siguientes normas que contienen en su contenido, materias relativas a los servicios de información y comunicación, protección de datos personales, protección de usuarios y regulación del acceso a lo servicios electrónicos estatales, niveles de seguridad de la información reservada en los gobiernos y comercio electrónico. Las normas destacadas son: Marco Normativo y requisitos para implementar la Seguridad de la Información Tomado de: The Importance of Defining and Documenting Information Security Roles and Responsibilities; Charles Cresson Wood, CISSP, CISA, CISM; pp. 7 Normas Internacionales que contienen en sus aplicaciones disposiciones Sobre Seguridad Informática
  4. 4. Alemania Information and Communication Services Act; (Informations-und Kommunikationsdienstegesetz - IuKDG) Argentina Ley de Protección de Datos Personales 25.326 España Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (B.O.E. núm. 150, de 23 de junio de 2007). Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información. Ecuador Proyecto de ley del sistema nacional de datos públicos de los registros de la propiedad, mercantiles y de prendas especiales de comercio, presentado con fecha 18 de agosto del 2009 Portugal Decreto-Ley n.º 104/2002 del DR n.º 86, I Serie A, de 12 de abril Aprueba el régimen de adquisición de bienes por vía electrónica por parte de los organismos públicos. - Adquisición de bienes y servicios. Orden Ministerial n.º 701-F/2008, de 29 de julio, I Serie. Regula la constitución, funcionamiento y gestión del portal único de Internet dedicado a los contratos públicos (Portal de los Contratos Públicos). Despacho n.º 32639-A/2008 de, 26 de Dezembro, II Série. Atribui as funções de entidade supervisora das plataformas electrónicas previstas no Código dos Contratos Públicos ao Centro de Gestão da Rede Informática do Governo. Colombia Ley 527 – 1999 sobre Mensajes de Datos, Comercio Electrónico y Firma Digital Singapur Electronic Transactions Act, 1998 Hong Kong Electronic Transactions Ordinance, 2000 y su enmienda de 2004 India Information Technology Act 2000 Chile Ley sobre Documentos Electrónicos Reglamento sobre el secreto o reserva de los actos y documentos de la administración del Estado. Legislación nacional/Proyectos presentados
  5. 5. Perú Decreto Supremo 052-2008-PCM, Reglamento de la Ley de Firmas y Certificados Digitales Resolución Ministerial Nº 360-2009-PCM Crean el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en redes teleinformáticas de la Administración Pública del Perú (Pe-CERT) Resolución Ministerial Nº 037-2009-PCM Aprueban “Formulación y Evaluación del Plan Operativo Informático de las Entidades de la Administración Pública para el Año 2009” Resolución Ministerial Nº 381-2008-PCM Aprueban lineamientos y mecanismos para implementar la interconexión de equipos de procesamiento electrónico de información entre las entidades del Estado Resolución Ministerial Nº 246-2007-PCM Aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática (Esta norma reemplazó a la Resolución Ministerial Nº 224-2004-PCM que aprobó el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 1era. Edición). Antecedentes Doctrinales Comentarios referidos a legislación o documentos académicos 1. Irvine, Chin y Frincke en su artículo Integrating Security into the Curriculum, Revista IEEE, diciembre de 1998, comentaban que: “La Seguridad Informática podría ser el objetivo principal de un curriculum que debería investigar los fundamentos y enfoques técnicos de la seguridad con una profundidad considerable”. 2. (…) El concepto de "sociedad de la información" hace referencia a un paradigma que está produciendo profundos cambios en nuestro mundo al comienzo de este nuevo milenio. Esta transformación está impulsada principalmente por los nuevos medios disponibles para crear y divulgar información mediante tecnologías digitales. Los flujos de información, las comunicaciones y los mecanismos de coordinación se están digitalizando en muchos sectores de la sociedad, proceso que se traduce en la aparición progresiva de nuevas formas de organización social y productiva.2 2 CEPAL: “Los caminos hacia una Sociedad de la Información en América Latina y el Caribe”. 2003.
  6. 6. 3. (…) La seguridad informática es un conjunto de procesos, procedimientos, tareas y actividades implementados conjuntamente con elementos de computación y telecomunicaciones para controlar y proteger contra amenazas que pongan en riesgo los recursos informáticos (información, equipos, etc.) ubicados en un sitio específico, durante su estadía en un medio de almacenamiento o durante su transmisión, en sus aspectos de integridad, disponibilidad, confidencialidad y autenticidad. En seguridad informática, se pueden pensar en tres momentos diferentes para realizarla: Prevenir. Consiste en evitar que un ataque tenga éxito, a esta categoría pertenecen todas las acciones que se realicen en la organización tendientes a no permitir que ocurra un incidente de seguridad. Detectar. Cuando no es posible o no se desea prevenir un ataque, es posible que lo que se busque sea darse cuenta de que está recibiendo un ataque durante el mismo momento en el que se está presentado, en este caso lo que se desea es detectar el ataque para así tomar acciones al respecto. Recuperar. La tercera y última alternativa es recuperar, en este caso, ya se ha realizado el ataque. Lo que se debe realizar es una revisión de lo que aconteció y tratar de poner en producción nuevamente todos los sistemas afectados, para lo cual se cuenta con dos alternativas: - Parar el ataque (evitar que continúe) y entrar a reparar cualquier daño causado por el ataque - Continuar la operación normal e ir defendiéndose del ataque. Los requerimientos básicos de seguridad son disponibilidad, integridad, confidencialidad o privacidad y autenticidad. Disponibilidad: Es la garantía de que la información será accesible por los usuarios a los servicios de la red según su perfil en el momento requerido y sin degradaciones. Integridad: Tiene que ver con la protección que se da a los activos informáticos para que solo puedan ser modificados por las personas autorizadas. Confidencialidad o Privacidad: Propiedad o requerimiento de la seguridad que exige que la información sea accedida por cada usuario en razón de su área del negocio. Autenticidad: Propiedad fundamental de la información de ser confrontada en cualquier momento de su ciclo de vida contra su origen real (Verdadero/falso).3 4. Para Eduardo Gelbstein Ahmad Kamal quienes elaboraron el texto “INFORMATION INSECURITY, A survival guide to the uncharted territories of cyber-threats and cyber-security” existen tres principios de seguridad: alcanzar el 100% de seguridad es inalcanzable, el riesgo existente y los gastos a considerar de sus contingencias deben ser equilibrados y la seguridad y los inconvenientes tienen que ser equilibradas. 3 TOVAR ORTÍZ, Martín Ernesto; Compendio Legislativo sobre Seguridad Informática en México; Maestría en Tecnologías de la Información, México, 2007.
  7. 7. 5. Para Ekmekdian4 , los desafíos jurídicos frente al uso de la Informática son tres: La Brecha Digital, La Seguridad Informática y la Protección de datos personales. 6. Para Bidart Campos “los derechos informáticos constitucionales precisan defensa, confidencialidad, preservación, discreción, vigilancia y control, y en ese ámbito (el derecho constitucional procesal y el procesal constitucional) (…)”5 . Por ello, tanto el Derecho de la protección de datos personales, no tienden a la tutela de dichos datos en sí, como pareciera inferirse de su nombre o "etiqueta", sino que sólo sirven como instrumentos para la defensa de otros bienes jurídicos, entre los cuales se hallan inmersos los Principios Rectores de los Derechos Humanos (Libertad, Dignidad e Igualdad) y variados derechos fundamentales (Intimidad, Identidad, Honor). 7. Heredero Higueras citado por Pérez Luño6 afirmaba a mediados de los años noventas que, “La denominación de este nuevo derecho no ha encontrado, (…) una unanimidad total. El término privacidad supuso un primer intento de superar el concepto restringido de intimidad, pero pronto mostró sus insuficiencias. Las legislaciones recurren, en segundo lugar, a «conceptos como ‘integridad’ (ley sueca), ‘identidad’ (ley francesa), ‘derecho a la personalidad’». Cabe aludir finalmente a la progresiva consolidación de los conceptos de «protección de datos» y «autodeterminación informativa».” Nótese que el autor en esa época empleaba el término “Autodeterminación Informativa” (disposición de datos personales) en vez de la terminología moderna: “Libertad Informática”, que es más amplio porque no sólo abarca la disposición sino el control exclusivo de dichos datos (Derecho de actualización, Derecho de información, Derecho de acceso, Derecho de oposición, Derecho de confidencialidad, Derecho de rectificación, Derecho de cancelación, Derecho de indemnización por daños). Antecedentes Jurisprudenciales Jurisprudencia Internacional/ extranjera / nacional 1. Perú 4 EKMEKDIAN, Miguel Ángel. La Garantía del Habeas Data en el Proyecto de Ley de Unificación de la Legislación Civil y Comercial. En Revista Jurídica de la Universidad de Buenos Aires Nro II. p. 40. Buenos Aires 1989 5Tomado de: Comentarios al libro de Oscar PUCCINELLI; Protección de datos de carácter personal, 1995 6 PEREZ LUÑO, Antonio Enrique. Los Derechos Humanos en la Sociedad Tecnológica. Centro de Estudios Constitucionales. p.18. Madrid. 2005
  8. 8. Tribunal Constitucional (Exp. N° 1797-2002-HD/TC del 29 de enero de 2003), en el tercer fundamento lo instauraba como un derecho distinto a la intimidad, a la imagen y a la identidad personal. Dicho argumento fue usado como cimiento para la instauración del inc. 2 del art. 61 del reciente Código Procesal Constitucional. 2. Chile el caso sobre «espionaje informático» seguido contra la empresa Inverlink S.A.; el periodísticamente denominado caso «coimas», seguido en contra del Ministerio de Obras Públicas, son sólo algunos de los que aparecen a diario en los noticieros. 3. Argentina Juzgado Nacional de Primera Instancia en la Civil y Comercial Federal nº 7, Sec. nº 13, 26 noviembre 1997 Caso "Freddo" en el que se dicta medida cautelar disponiendo la suspensión preventiva del Nombre de Dominio "Freddo.com.ar en el registro NIC- ARgentina y autoriza al accionante Freddo Saica para inscribir preventivamente dicha designación como nombre de dominio propio. Cámara Nacional Civil y Comercial Federal, Sala II, 22 diciembre 1998, Nº 50.251 Cadaveira, Enrique Adrian c. Banco Central de la República Argentina sobre Habeas Data. Distribución de datos falsos. Cámara Nacional Criminal y Correccional Federal . Sala I. de fecha 27 de junio de 2002. Delitos Informáticos, Hacking de una intranet privado, utilización de una línea telefónica, intento de aplicación del tipo contenido en el Art. 197 del Código Penal, improcedencia. Corte Suprema de Justicia de la Nación, 12 de junio de 2007. Responsabilidad de los Bancos y del Registro Nacional de las Personas y al Registro Civil por sustracción del DNI en el trámite de renovación de su titular. S. 2790. XXXVIII. Originario. "Serradilla, Raúl Alberto c/ Mendoza, Provincia de y otro s/ daños y perjuicios". 4. Alemania
  9. 9. Sentencia de 15 de diciembre 1983. ley del censo. derecho a la personalidad y dignidad humana. Limitaciones de este derecho a la “autodeterminación informativa” 4. Francia Tribunal de Grande Instance de Paris, 9 juillet 2004, Sté AREVA c/ Association Greenpeace France, Association Greenpeace New Zealand et SA Internet FR. Droit des marques. Tribunal de Commerce de Paris, 5 mai 2004, Microsoft Corp. et AOL France c/ Monsieur K. Spam - spamming - webmail. Cour de cassation Chambre sociale Arrêt du 2 juin 2004 , Marc X... / Spot image . Contenus illicites - messagerie électronique - injures - licenciement. Otros Antecedentes Un análisis comparativo de las iniciativas de ciberseguridad en el mundo. Seguridad vs Privacidad, un análisis comparativo de Canadá, Reino Unido y Los Estados Unidos. Informe del Congreso de los Estados Unidos donde se publica el Informe Anual 2009 donde cita las tendencias de los intereses económicos de EE.UU. y la seguridad nacional, y ofrece 42 recomendaciones para la acción del Congreso. Se advierte además las vulnerabilidades que ofrece su sistema de seguridad ante las amenazas del espionaje internacional. 2. OBJETIVOS Los textos coinciden que son tres objetivos principales de la Seguridad Informática: a) Confidencialidad: Que la información llegue en cantidad, calidad y oportunidad sólo y a todos los que está previsto. b) Integridad: Se refiere a que la información producida tiene los contenidos en calidad y cantidad con que fue diseñada (contrario a fraude). c) Disponibilidad: Es la oportunidad en la cual se dispone de la información. Completa el concepto de Integridad. c) Integridad: garantizar que los datos sean los que se supone que son Dos objetivos accesorios d) Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
  10. 10. e) Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos d) JUSTIFICACIÓN El uso masivo de Internet, el tema de la protección de la información se ha transformado en una necesidad y con ello se vuelve de uso frecuente el uso de herramientas al interior de las tecnologías que permitan acceso más fácil y seguro a la información entre los estados, las organizaciones y los ciudadanos. Estos nuevos procesos, requieren actores que administren, suministren y validen cada uno de los procesos informáticos. Por ello, se requiere implementar autoridades de certificación y definir entre otras cosas los intercambios comerciales que se desarrollaran vía electrónica. 3. BENEFICIOS Y RIESGOS BENEFICIOS DE LA SEGURIDAD INFORMÁTICA 1. Prevenir la pérdida de la información. 2. Uso adecuado y eficiente de los sistemas de cómputo y de las telecomunicaciones. 3. Paralelismo con la tecnología y una respuesta a la falta de legislación informática. BENEFICIOS DE TENER POLÍTICAS DE SEGURIDAD EN UNA ORGANIZACIÓN: 1. En la Adquisición del HARDWARE y SOTFWARE 2. Acciones en caso de una violación de la seguridad. 3. Procedimientos para eventualidades y para llevar a cabo una auditoria informática. RIESGOS Según el trabajo “Introducción a la Seguridad Informática” Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación. La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza.
  11. 11. Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas. Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones.

×