“POLITICAS DE SEGURIDAD EN LOS SISTEMAS”

LIC. TERAPIA FÍSICA[pic 1]

PLANTEL VALLARTA

[pic 2]

ENSAYO “POLITICAS DE SEGURIDAD EN LOS SISTEMAS”

STEFANY ABIGAIL QUEZADA ROMERO

6°B TURNO MATUTINO

ENSAYO “POLITICAS DE SEGURIDAD EN LOS SISTEMAS”

1. Resumen Inicial[pic 3]

El presente ensayo está enfocado en los estándares de seguridad de la norma BASC, el cual menciona la seguridad en las tecnologías de la información (protección con contraseñas, responsabilidad y protección a los sistemas y datos). El tema a desarrollar se enfoca en la problemática que conlleva no tener políticas, procedimientos y/o normas de seguridad informática en las empresas certificadas. La protección de datos, documentos y control de acceso a la información es un tema que cada día toma más fuerza en las grandes compañías, debido a las diferentes especialidades de hackers y crackers que roban información de vital importancia para cada empresa.

Los elementos de la información son denominados los activos de una institución los cuales deben ser protegidos para evitar su perdida, modificación o el uso inadecuado de su contenido.

Generalmente se dividen en tres grupos:

Datos e Información: Son los datos e informaciones en sí mismo.[pic 4]

Sistemas e Infraestructura: Son los componentes donde se mantienen o guardan los datos e informaciones.[pic 5]

Personal: Son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles.[pic 6]

No tener una política de seguridad de la información clara y definida, lleva inevitablemente al acceso no autorizado a una red informática o a los equipos que en ella se encuentran y puede ocasionar en la gran mayoría de los casos graves problemas.

El principal riesgo es el robo de información sensible y confidencial, el cual puede ocasionar hasta el cierre de una compañía solida financieramente.

1. La pérdida o mal uso de información confidencial genera daños y repercusiones relacionados con la confidencialidad, integridad y disponibilidad de los archivos para las empresas y a su vez para el titular del documento.

La seguridad informática se distingue por tener dos propósitos de seguridad, la Seguridad de la Información y la Protección de Datos, estos se diferencian debido a que los datos son valores numéricos que soportan la información mientras que la información es aquello que tiene un significado para nosotros. En ambos casos las medidas de protección aplicadas serán las mismas.

1. Introducción

Sin lugar a duda una de las herramientas más importante producida en el siglo XXI ha sido la computadora, este ha provocado cambios agigantados en la sociedad y más aún en el futuro. En la actualidad, el entorno está prácticamente controlado por las nuevas tecnologías, que a medida que transcurre el tiempo avanzan sin límites y en ocasiones son utilizadas incorrectamente provocando daños de grandes dimensiones.[pic 7]

La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo la aparición de nuevas amenazas para los sistemas de información. Hoy es imposible hablar de un sistema 100% seguro, debido a que esta configuración no existe. Por eso las empresas asumen riesgos como perder un negocio o arriesgarse a ser hackeadas.

El delito informático está catalogado como una actividad criminal en los diferentes países, los cuales han tratado de clasificar estos delitos en robos, hurtos, fraudes, falsificaciones, perjuicios, estafas y sabotajes.

Con la constante evolución de las computadoras es fundamental saber que recursos necesitar para obtener seguridad en los sistemas de información. La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.

Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

1. Para Erb, Markus (2014) la seguridad informática está concebida para proteger los activos informáticos como:

La infraestructura computacional: Siendo esta la parte fundamental para el almacenamiento y gestión de la información, debe ser protegida por un área encargada de velar que los equipos funcionen adecuadamente y protegerlos en casos de fallas, robos, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.[pic 8]

Los usuarios: Se les deben diseñar protocolos que permitan proteger la información que manejan, para que esta no se vuelva vulnerable y su vez sea capacitarlos sobre las posibles amenazas existentes no solo surgidas por la programación y el funcionamiento de un dispositivo de almacenamiento sino también por programas maliciosos que puedan ser instalados por alguna circunstancia y abran la posibilidad a virus informáticos o a un programa espía.[pic 9]

Existen también errores de programación pues pueden ser usados como exploits por los crackers produciéndose así el robo de la información o la alteración del funcionamiento.

Según el Computer Security Institute (CSI) de San Francisco; Aproximadamente entre el 60 y el 80% de los incidentes de red son causados desde dentro de la misma.[pic 10]

Las amenazas informáticas del futuro ya no son con la inclusión de troyanos en los sistemas o software espías sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual.

1. Definir una política de seguridad de red significa elaborar procedimientos y planes que salvaguarden los recursos de la red contra pedida y daños. Uno de los enfoques posibles para elaborar dicha política propondrá examinar lo siguiente:

¿Que recursos está usted tratando de proteger?[pic 11]

¿De quienes necesita proteger los recursos?[pic 12]

¿Que tan posibles son las amenazas?[pic 13]

¿Que tan importante es el recurso?[pic 14]

¿Qué medidas puede implementar para proteger sus bienes de forma económica y oportuna?[pic 15]

Examinar periódicamente su política de seguridad de red para ver si han cambiado los objetivos y las circunstancias de la red.[pic 16]

1. Los riesgos deben clasificarse por nivel de importancia y gravedad de la perdida, no debe terminar en una situación en que sea más el gasto de asegurar que el propio valor de lo que estemos protegiendo. En el análisis del riego hay que determinar dos factores:

1. Estimación del riesgo en el momento de perder el recurso.

1. Estimación de la importancia del recurso.

1. El tema se enfoca en que las organizaciones no tienen una política o norma que permita tener un adecuado manejo en la seguridad y protección de datos, o más delicado aun que el personal que labora en las organizaciones no atiende los requerimientos y capacitaciones enfocadas a la protección y control de acceso a los datos.

Cerca de 700 profesionales de los diferentes sectores de empresas, incluyendo empresa privada, sector gobierno y empresas grandes, respondieron una encuesta generada para medir el nivel de seguridad de la información en esta área. Los resultados son alarmantes, ya que dejan claro que los empresarios, no existe conciencia de los pros y los contras que hay en el acceso a mejores tecnologías de la información y las comunicaciones.

81 % de las empresas nunca ha implementado una herramienta para gestión de riesgos.[pic 17]

53% ha instalado antivirus en todas las tecnologías de su empresa incluyendo las móviles.[pic 18]

40% No revisa el marco normativo de seguridad de la información implementando en la empresa.[pic 19][pic 20]

52% no ha implementado en su empresa ningún estándar internacional de Infosec.[pic 21]

47% nunca hizo ningún test de seguridad de las redes (Ethical Hacking, Análisis De Vulnerabilidades y/o Pruebas De Penetración en su empresa).[pic 22]

...