SEGURIDAD DE SISTEMAS INFORMÁTICOS
DESARROLLANDO UNA POLÍTICA DE SEGURIDAD. Es frecuente que las personas involucradas con la seguridad informática tengan una visión estrecha de lo que significa desarrollar políticas de seguridad, pues no basta escribirlas sino poner las en práctica. Existen 11 etapas que pueden ser agrupadas en 4 fases: Fase de desarrollo. Durante esta etapa la política es creada, revisada y aprobada. Esta comprende las 3 primeras etapas. Fase de implementación. En esta fase la política es comunicada y acatada. Comprende de las 4 hasta la 6ta etapa. Fase de mantenimiento. Los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). Comprende desde la etapa 7 hasta la etapa 10. Fase de eliminación. La política se retira cuando no se requiera más. Esta comprende la última etapa.
ETAPAS PARA DESARROLLAR POLÍTICAS DE SEGURIDAD
Seguridad basada en la maquina Contar con una buena instalación eléctrica Conexión correcta del equipo Reguladores y Nobrake Encender y apagar correctamente el equipo Proporcionar al equipo el tiempo suficiente para reaccionar Las computadoras deben estar en un lugar fresco con mueble ideal No deben encontrarse junto a objetos que puedan caer sobre ella. El CPU no debe estar en el piso No dejar disquet o CD dentro del CPU No consumir alimentos dentro del Centro de Computo Cuando no se utiliza el equipo debe estar protegido Limpiar regularmente el equipo (mantenimiento) FORMAS DE ASEGURAR SU SISTEMA.
Seguridad de red SEGURIDAD DE REDES La Seguridad de redes consiste en las políticas adoptadas para prevenir y monitorear el acceso no autorizado, el mal uso, la modificación o la denegación de una red de computadoras y recursos de acceso de red. La seguridad de redes involucra la autorización del acceso a datos en la red, que es controlado por el administrador de red. Los usuarios escogen o son asignados con un ID y una contraseña u otra información de autenticación que les dé acceso a la información y programas dentro de su autoridad. La seguridad de redes cubre una variedad de redes, ya sean públicas o privadas, que se usan en los trabajos de todos los días; llevando a cabo transacciones y comunicación entre negocios, organismos gubernamentales e individuos
Seguridad por oscuridad En criptografía y seguridad informática, la seguridad por oscuridad o por ocultación es un controvertido principio de ingeniería de la seguridad, que intenta utilizar el secreto (de diseño, de implementación, etc.) para garantizar la seguridad. Este principio se puede plasmar en distintos aspectos como, por ejemplo: Mantener el secreto del código fuente del software. Mantener el secreto de algoritmos y protocolos utilizados. Adopción de políticas de no revelación pública de la información sobre vulnerabilidades. Un sistema que se apoya en la seguridad por ocultación puede tener vulnerabilidades teóricas o prácticas, pero sus propietarios o diseñadores creen que sus puntos débiles, debido al secreto que se mantiene sobre los entresijos del sistema, son muy difíciles de encontrar, y por tanto los atacantes tienen muy pocas probabilidades de descubrirlos.
Contingencias frente al delito Plan de Contingencia Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho, los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para cuando falle el sistema", no "por si falla el sistema". Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles. Si bien es cierto que se pueden presentar diferentes niveles de daños, también se hace necesario presuponer que el daño ha sido total, con la finalidad de tener un Plan de Contingencias lo más completo y global posible. Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema, aunque, y por lo general, constan de reemplazos de dichos sistemas.
Informe de sucesos con las medidas de seguridad Una de las cuestiones que resulta interesante conocer para determinar en qué se enfocan las empresas cuando se trata de la Seguridad de la Información, son aquellas preocupaciones por las cuales invierten recursos para evitar problemas. Además de conocer solamente las preocupaciones, es interesante analizar cómo cambian de acuerdo al tamaño de la empresa. Tal como se puede observar en el Gráfico 1, resulta que la mayor preocupación para cerca del 70% de las empresas encuestadas en Latinoamérica son las vulnerabilidades de software y sus sistemas. Esta preocupación se mantiene en el primer lugar independiente del tamaño de la empresa, seguida por la infección con códigos maliciosos. En este caso, cabe resaltar que la infección con malware tiene más impacto como preocupación entre las pequeñas y medianas empresas en comparación con las grandes.
Medidas tomadas ante ataques de virus, troyanos, etc. En la empresa. Instalar, utilizar y mantener actualizados anti-virus y anti-spyware en todos los equipos utilizados en la empresa. Garantizar la seguridad de la conexión a Internet. Instalar, utilizar y mantener actualizados cortafuegos de software en todos los ordenadores utilizados en la empresa. Revisar y mantener al día los parches de seguridad y actualizaciones de los sistemas operativos y aplicaciones. Todos los proveedores de sistemas operativos ofrecen parches y actualizaciones a sus productos para corregir los problemas de seguridad y para mejorar la funcionalidad. Hacer copias de seguridad de todos los datos empresariales importantes. Controlar el acceso físico a los equipos y componentes de la red. Asegurar el punto de acceso inalámbrico a las redes de trabajo, utilizando contraseñas fuertes. Formar a los empleados en los principios básicos de seguridad. Configurar cuentas de usuario individuales para cada empleado en los equipos y en las aplicaciones de la empresa, y que requieren buenas contraseñas. Limitar el acceso de los empleados a los datos y la información específica que necesitan para hacer su trabajo, y limitar la autoridad para instalar software
gracias