Merged
Merged
Merged
R
CQ
Es en ella donde:
a) Se identifican objetivos
a−
b) Se establecen los recursos humanos que participarán en el ataque
ic
c) Se decide hora,fecha y lugar para llevarlo a cabo
s
Bá
d) Se diseña uno o varios planes alternativos por si el planteamiento principal no
sale como se esperaba
a
e) Se consideran los recursos monetarios para auspiciar dicho ataque
ic
át
f) Se analizan otros recursos que intervendrán en el ataque (tiempo, medios de
transporte, medios de comunicación, otros bienes como equipos de cómputo, discos
rm
exitoso
In
Esta etapa es la que más tiempo de preparación requiere porque deben tomarse en
cuenta todos los puntos involucrados en el ambiente donde se encuentra el bien que
se desea dañar.
ad
Pueden existir diversas actividades que permitan llevar a cabo el daño, algunos
ejemplos son:
Seguridad Informática Básica M.C. Cintia Quezada Reyes
c) Derramamiento de líquidos
R
CQ
d) Conversaciones que permitan obtener algún tipo de información.
e) Interrupciones
a−
3. Ejecución: en esta etapa se observan los resultados de llevar a cabo el ataque.
ic
Esta etapa se lleva a cabo DESPUÉS del ataque
s
Bá
Es indispensable que en esta etapa se realice un análisis de lo obtenido, es decir,
debe concientizarse sobre las ganancias que obtuvo el atacante, dichas ganancias no
necesariamente son de tipo monetario, puede verse involucrado el prestigio, el
a
tiempo invertido, los objetivos logrados. Lo anterior permite saber si el bien está
ic
fuertemente protegido o no, lo cual podría dar pie a que el mismo atacante vuelva a
causarle algún otro daño o que diferentes atacantes fácilmente puedan acceder al
át
bien y esto representa un alto riesgo. Con ello se puede entender que el bien es
sumamente vulnerable y que las verdaderas amenazas no han sido identificadas.
rm
Desde el punto de vista del atacado esta etapa indica cuáles fueron las pérdidas que
fo
será exitoso ya que es posible que el bien esté parcialmente protegido o no cuente
con alguna protección contra las verdaderas amenazas que lo rodean.
ad
Un ataque no intencionado contempla solo dos de las tres etapas o fases mencionadas. Las
id
Cuando se trata de entender cómo ocurrió algún tipo de ataque para identificar las
actividades realizadas y saber con exactitud cómo fue que actuó el perpetrador, es
g
etapas y reportar los hallazgos en cada una, de tal manera que detectemos la forma en la
que el atacante preparó, activó y logró realizar el ataque, de esta manera es posible tomar
decisiones adecuadas que permitan implementar (en caso de no existir) o reforzar (en caso
de existir) el esquema de seguridad más adecuado.
Pensar como el atacante e intentar recrear los pasos y actividades que este llevó a cabo y el
orden en que los fue haciendo se le conoce como Psicología del intruso.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
Mecanismos de seguridad
R
CQ
Recordemos que los servicios de seguridad especifican "qué" controles son
requeridos y los mecanismos de seguridad especifican "cómo" deben ser
a−
ejecutados los controles.
ic
Por lo que los mecanismos de seguridad contestan la tercera pregunta de
s
seguridad: ¿Cómo lo voy a proteger?
Bá
Es importante considerar que no existe un único mecanismo capaz de proveer
todos los servicios, por lo que, la relación entre los servicios de seguridad y
a
los mecanismos de seguridad se observa en la siguiente tabla:
ic
át
Servicios de Mecanismos de
seguridad seguridad
rm
1 1
1 N
fo
N 1
N M
In
ad
Confidencialidad
Disponibilidad
Integridad
Seguridad Informática Básica M.C. Cintia Quezada Reyes
No repudio
Autenticación
Control de acceso
R
CQ
Controles disuasivos: reducen la probabilidad de un ataque
deliberado.
a−
Controles preventivos: protegen vulnerabilidades y hacen que un
ic
ataque fracase o reduzca su impacto.
s
Controles correctivos: reducen el efecto de un ataque.
Bá
Controles detectores: descubren ataques y disparan controles
preventivos o correctivos.
a
ic
át
c) Por su cobertura y especificidad:
rm
d) Por su importancia:
id
Los controles por las acciones que realizan se pueden relacionar con las
amenazas, vulnerabilidades, ataques mediante el siguiente modelo relacional
simple:
CONTROL CONTROL
R
AMENAZA
DISUASIVO CORRECTIVO
CQ
reduce la explota
probabilidad de
a−
disminuye
ic
VULNERABILIDAD
CONTROL
s
DETECTOR descubre
Bá
crea
dispara
causa
ATAQUE
a
ic
CONTROL protege
át
PREVENTIVO
IMPACTO
reduce
rm
fo
posiblemente podrían ser generadoras de otras, esto debido a que no existe una
seguridad al 100%
ur
Tema IV
Políticas de seguridad informática de la organización
R
adecuar los recursos previstos en la planificación para conseguir sus objetivos.
CQ
En la actualidad, la dependencia de las organizaciones en su información ha crecido al
a−
punto de ser considerada como uno de sus activos más importantes. A través del tiempo, las
necesidades del intercambio electrónico de información ha sido uno de los principales retos
ic
de cualquier organización, como respuesta a dichas necesidades se establece una
s
infraestructura que permita brindar los servicios necesarios a sus clientes, socios
Bá
comerciales y empleados. Esta infraestructura se basa, principalmente, en el
establecimiento de redes, que son grupos de computadoras y dispositivos periféricos
relacionados (impresoras, unidades de CD-ROM, etcétera) –conectados a través de un canal
a
ic
de comunicaciones–, los cuales son capaces de compartir archivos y otros recursos entre
varios usuarios.
át
rm
El principal objetivo de la organización es dar protección y seguridad a sus bienes, para ello
es necesario establecer las normas, políticas y estándares de seguridad para los sistemas y
que procesan, almacenan y transmiten información, así como las actividades o procesos que
fo
confidencialidad y disponibilidad.
Las ventajas que ofrece el plantear objetivos o misiones1 en la organización, garantiza que
ad
los bienes manejados dentro y fuera del sistema central de la organización, cuente con los
id
1
Misión: Apostolado, predicación. Deber moral que a cada hombre le impone su condición o estado.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una
R
organización previene, protege y maneja los riesgos a los que se puede enfrentar. Permite
CQ
identificar qué recursos son valiosos y qué medidas deben tomarse para prevenir y manejar
las pérdidas, así como los siniestros que pueden tener un impacto sobre los bienes de la
a−
misma.
ic
Conforme las tecnologías de la información siguen su avance, las organizaciones se han
s
visto en la necesidad de desarrollar políticas que ayuden a la protección de los bienes que
Bá
incluyen a estas nuevas tecnologías. Al desarrollo de este tipo de políticas orientadas a la
protección de las diferentes tecnologías de la información y a los bienes que incluyen, se le
denomina políticas de seguridad informática.
a
ic
Por otra parte, es necesario resaltar la creencia acerca de que este tipo de políticas solo
át
están orientadas a proteger la información contenida, tratada, procesada o almacenada por
medios digitales, no obstante, esto no es del todo correcto. Este tipo de pensamiento llega a
rm
causar confusión dentro de las organizaciones y puede llegar a causar desánimo por el
hecho de que no solo habría que desarrollar políticas de seguridad, sino que además hay
fo
Ideas como el pensar que las políticas de seguridad informática son un apartado o que
tienen que desarrollarse aisladas de la organización u orientarse únicamente hacia los
ad
medios digitales, o que solo tienen que ver con las tecnologías de la información, son un
error común.
id
ur
Hablar de manera exclusiva acerca de recursos informáticos no es del todo correcto, ya que
existe información sensible que no se encuentra únicamente en medios digitales o que
concierne solo a los recursos informáticos o son referentes a las diferentes tecnologías de la
información. Existe información dentro de toda la organización que se cree que no es
importante o que simplemente no se piensa acerca de su importancia, dicha información es
toda aquella que las personas que laboran dentro de la organización conocen.
R
Por esto, es que las políticas de seguridad y las políticas de seguridad informática están
CQ
íntimamente ligadas por el hecho de que la información es uno de los bienes más
importantes que las organizaciones tienen y que si no es protegida de manera adecuada,
a−
representa una vulnerabilidad para la empresa que puede llegar a causar todo tipo de daños.
ic
Las políticas de seguridad informática tienen como objetivo proteger todo tipo de
información que tenga que ver con la organización, ya sean sus bienes, el personal que
s
Bá
labora o con el que se comparte algún tipo de información, para que esta información no
pueda ser utilizada para otro tipo de fines diferentes a los cuales está destinada. En
ocasiones, la información llega a ser más valiosa incluso que los otros bienes que la
a
organización tiene, puede ser decisiva en la toma de decisiones, las cuales pueden afectar
ic
en gran manera a la misma organización, así como a otras con las que se puede tener una
át
relación de cualquier tipo.
rm
Proteger la información de una organización es una meta complicada por el hecho de que la
esta se encuentra en diversas formas y formatos; es decir, la información que tiene o maneja
fo
como pueden ser contratos, memorandos, correo de todo tipo, notas, manuales,
documentación, etcétera, es por esto que la políticas de seguridad informática y las políticas
ad
de seguridad deben ser consideradas como un todo y no de manera separada. Sin embargo,
el hacer énfasis en la informática delimita y hace que las políticas sean más puntuales, con
id
una mejor organización o administradas de una manera conveniente para ser más efectivas,
ur
además de poder abarcar algunas otras políticas que aparentemente pueden no estar
relacionadas, pero que son necesarias para tener un buen nivel de seguridad informática.
g
Se
A diferencia de las políticas de seguridad, este tipo de políticas busca proteger cualquier
tipo de información relacionada con la organización y que pueda ser usada para obtener un
beneficio a costa de la misma.
Teniendo este panorama general sobre las políticas de seguridad informática es necesario el
contar con una definición formal.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
Las políticas de seguridad informática son parte de una estrategia en la que se establecen
reglas, recomendaciones, estándares y normas que una organización utiliza para la
implementación de medidas de seguridad informática para la protección de los diferentes
bienes de la organización, enfocando este esfuerzo a implementar un nivel adecuado de
seguridad informática, de tal manera que cualquier tipo de información sea empleada de
manera adecuada. Asimismo, describe las actividades aceptables, las sanciones que se
aplicarán si estas no son respetadas, el cómo es qué la organización reaccionará, dará
R
seguimiento y se reincorporará para seguir con sus actividades, además de crear conciencia
CQ
en los usuarios acerca de la seguridad informática, capacitando de esta forma al usuario
para la protección de cualquier tipo de información de la que sea responsable.
a−
Una política de seguridad informática debe fielmente representar una política del mundo
ic
real y además debe interactuar con la política de recursos, por ejemplo, políticas en el
manejo de bases de datos o de transacciones. En ella se deben considerar las amenazas
s
Bá
contra las computadoras, especificando cuáles son dichas amenazas y cómo contraatacarlas.
Así mismo, una política de seguridad debe ser expresada en un lenguaje en el que todas las
personas involucradas (quienes crean la política, quienes la van a aplicar y quienes la van a
cumplir) puedan entender.
a
ic
át
rm
fo
In
ad
id
g ur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
los recursos en una organización.
CQ
Por lo tanto una política de seguridad es un conjunto de reglas que gobiernan
a−
una identidad donde cada regla define una acción un mecanismo.
ic
Las políticas de seguridad y las políticas de seguridad en cómputo (PSC)
s
deben estar contenidas en un documento donde se establezcan reglas y
Bá
principios a seguir para lograr seguridad, orden y buen uso de los recursos de
la organización, ya que en este documento se especifican condiciones,
derechos y obligaciones.
a
ic
Los objetivos que persiguen las políticas de seguridad se listan a continuación:
át
tecnológico.
In
inconformidad.
id
R
seguridad.
CQ
c. Permite contar con procedimientos que se deben llevar a cabo cuando se
presenten eventualidades
a−
ic
d. Permite que el proceso de auditoría se lleve a cabo de manera más
ordenada.
s
Bá
e. Evita la excusa llamada ignorancia
a
Al diseñar las políticas de seguridad es indispensable que cuenten con las
siguientes características:
ic
át
El documento debe contar con vigencia permanente y se tiene que
rm
actualizar periódicamente
fo
Deben ser aprobadas por la alta dirección y aplicar a todas las personas
que laboran.
R
principio implica que la gente que está plenamente identificada debe estar
CQ
consciente de sus actividades, debido a que sus acciones son registradas,
guardadas y examinadas.
a−
ic
2. Autorización: son reglas explícitas acerca de quién y de qué manera puede
s
utilizar los recursos.
Bá
3. Mínimo privilegio: la gente debe estar autorizada única y exclusivamente
a
para acceder a los recursos que necesita para hacer su trabajo.
ic
4. Separación de obligaciones: las funciones deben estar divididas entre las
át
diferentes personas relacionadas a la misma actividad o función, con el fin
rm
1. Detectar la problemática
R
más se presentan debido a que no hay reglas que se sigan y permitan
CQ
regular las actividades para evitar esas acciones no deseadas o que
existan huecos en la aplicación de ciertas penalizaciones al observar que
a−
van en contra de la misión o visión de la empresa y que impiden el
correcto cumplimiento de los objetivos.
s ic
2. Detectar la cobertura
Bá
Siempre estar consciente de lo que abarcarán las políticas, en dónde
aplicarán estas, es decir, si aplicarán a todo el personal de la
a
organización, a todas las actividades de ella o solamente a los miembros
ic
de un cierto departamento o proyecto, a las actividades de ciertos
át
departamentos o de cierta figura del organigrama, etcétera.
rm
Considerar que una vez identificados los bienes que se quieren proteger
en una organización, es menester detectar todo aquello que puede
dañarlo a detalle como son las amenazas y vulnerabilidades, de tal
manera que las políticas eviten en mayor medida que se generen ataques
en esos bienes.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
Por ejemplo en la Facultad de Ingeniería existen las siguientes figuras:
CQ
Investigadores
Personal Administrativo
a−
Docentes
ic
Alumnos
Becarios
s
Servicio social
Bá
Para realizar las políticas de seguridad se deben hacer ciertas consideraciones
a
y para ello es conveniente hacerse preguntas para redactar correctamente las
ic
políticas dando contestación a ellas, algunos ejemplos de preguntas son los
át
siguientes:
rm
R
Debe tomarse en cuenta que las preguntas anteriores no son todas ni las
CQ
únicas, pues como ya se había comentado, depende de la organización, su
giro, figuras que se toman en cuenta, la cobertura de las políticas, entre otras.
a−
El diseño de las políticas no es algo trivial, por lo que deben seguirse los
ic
siguientes consejos para desarrollarlas correctamente SIEMPRE.
s
1. Elegir una filosofía básica
Bá
Solo se debe elegir una de las dos filosofías y las políticas se redactan
a
con base en ella, NO pueden combinarse políticas siguiendo una y otra
de manera simultánea.
ic
át
Al realizar las políticas siempre debe indicarse el tipo de filosofía que
rm
algunas cuantas.
g
b) Filosofía permisiva
R
En esta filosofía TODAS las actividades están permitidas y
CQ
solamente se prohíben algunas cuantas, lo que puede provocar que
varias restricciones no se consideren al momento de redactar las
políticas.
a−
ic
Las políticas se redactan empleando los términos: se prohíbe, está
prohibido, se le prohíbe, se les prohíbe, etcétera. NUNCA se
s
emplean los términos se permite, está permitido, se puede, puede, se
Bá
le permite, se les permite, etcétera.
a
Debido a lo anterior los usuarios consideran la política menos
ic
amigable porque solo leen prohibiciones. Sin embargo, realmente la
át
cobertura de permisos es más amplia aunque la mayoría de las veces
no estén conscientes de ello.
rm
fo
Se aconseja que las políticas se redacten en presente para evitar que los
usuarios tomen en tono de burla o sarcasmo una redacción en futuro,
g
realmente?
5. Asignar un dueño
6. Ser positivo
R
CQ
En las políticas JAMÁS se emplea la palabra NO para negar alguna
actividad, se debe redactar de tal manera que se prohíba o niegue dicha
actividad pero sin emplear el término mencionado. Pues el término está
a−
relacionado con la psicología inversa, la cual basa su eficacia en la
ic
reactancia (Se trata de un proceso motivacional a través del cual
defendemos nuestra libertad y nos revelamos contra aquellos que
s
creemos que intentan reprimirnos). Los seres humanos reaccionamos
Bá
mejor cuando algo se lee de manera positiva aunque sea alguna
negación de cierta actividad ya que a nadie le gusta perder algo que
tiene valor.
a
ic
át
7. Evitar hostigamientos en los empleados
rm
emocionalmente.
8. Concentrarse en la capacitación
ad
id
La redacción de las políticas debe ser clara, sin tecnicismos ya que debe
ser entendida por los todos los miembros de la organización a quienes
van dirigidas sin importar la formación de ellos.
10. Actualización
R
CQ
Las políticas deben actualizarse periódicamente por ejemplo, cada que
se crea un nuevo departamento, haya fusión de éstos o existan cambios
importantes o radicales en la empresa como la implementación de
a−
nuevas actividades o uso de nuevas tecnologías.
s ic
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
siguen la filosofía prohibitiva, esto es: “Todo está prohibido excepto lo que
CQ
esté específicamente permitido”
a−
a) Sobre las contraseñas
Las contraseñas son otorgadas por el administrador la
ic
primera vez a usuarios legítimos de la organización una
s
vez que estos empiezan a trabajar en la organización.
Bá
El usuario debe cambiar su contraseña una vez que le sea
entregada.
a
ic
Deben estar conformadas por una longitud mínima de 8
át
caracteres.
rm
correo.
ad
Observar que en algunas políticas del apartado sobre las contraseñas omitimos
ur
sobre lo que se está hablando, esto puede realizarse ya que está implícito
g
R
CQ
Un error común es observar políticas como las siguientes:
No correr
a−
ic
No gritar
s
No empujar
Bá
Estas violan las consideraciones y principios fundamentales vistos en los
escritos de las clases anteriores ya que:
a
ic
át
1. No hay responsabilidad individual.
rm
siguen la filosofía prohibitiva, esto es: “Todo está prohibido excepto lo que
esté específicamente permitido”
ur
R
A toda persona que se encuentre dentro de la organización en horario
CQ
laborable o no laborable y se presente algún tipo de eventualidad,
debe desalojar el lugar con calma, en silencio y sin empujar.
a−
Dichas políticas también pueden redactarse correctamente de la siguiente
ic
manera:
s
Las siguientes políticas entran en vigor a partir del 16 de abril de 2020 y
Bá
siguen la filosofía permisiva, esto es: “Todo está permitido excepto lo que esté
específicamente prohibido”
a
ic
A toda persona que se encuentre dentro de la organización en horario
át
laborable o no laborable y se presente algún tipo de eventualidad, se
le prohíbe desalojar el lugar corriendo.
rm
Diseño de políticas
R
por:
CQ
1. Persona con autoridad
a−
Puede involucrar al dueño, gerente, subgerente de la organización o
ic
jefes responsables de las áreas, esto se decide con base en el alcance de
las políticas que se diseñan, puede ser que incluso estén todos o algún
s
representante que se designe.
Bá
2. Representante jurídico
a
ic
Importante que exista la persona que entienda sobre las leyes para evitar
át
la violación de contratos, códigos, leyes federales, gubernamentales,
internacionales, etcétera.
rm
3. Editor / Redactor
fo
uso adecuado del lenguaje, de tal manera que sea comprendido por todo
el personal de la organización evitando así ambigüedades y malos
entendidos.
ad
id
4. Psicólogos
ur
Los psicólogos laborales ayudan a plantear las reglas para evitar daños
psicológicos y que en todo momento motiven al personal a seguirlas y
g
5. Administradores de sistemas
Personal experto que sabe lo que debe tomarse en cuenta con respecto al
ámbito informático, de tal manera que se minimicen los riesgos.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
6. Usuario típico
Estos usuarios pueden ayudar a probar las políticas o a dar ideas sobre
las actividades comunes realizadas en el ámbito laboral que podrían
ocasionar problemas o brechas en la seguridad. Tomar en cuenta su
opinión ayuda a diseñar políticas más realistas y a motivar su
cumplimiento por el simple hecho de haber sido considerado como
R
parte de equipo que las diseña o prueba.
CQ
a−
s ic
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
I. Planteamiento de objetivos
R
Es importante tomar en cuenta los objetivos de la organización y los
CQ
objetivos propios del entorno, área, proyecto, actividad, etcétera, donde
se estarán aplicando dichas políticas, de otra manera el alcance podrá no
a−
ser el adecuado.
ic
II. Preparación
s
Bá
En este paso es conveniente tomar en cuenta al personal que va a
desarrollarlas (ya indicado en clases anteriores), lugares, hora y
frecuencia de la reunión para acordar actividades y discutir los
diferentes puntos de vista y avances.
a
ic
át
III. Redacción
rm
IV. Edición
In
V. Aprobación
Se
VI. Difusión
R
forma de difundirlas dependerá de cada una de las organizaciones con
CQ
base en sus propios recursos, algunos ejemplos: realización de posters,
imágenes, señalética, trípticos, manuales, etcétera, que son distribuidos
de manera impresa o digital con acuse de recibo, colocación en las
a−
paredes de la organización, envío a los correos electrónicos, publicación
ic
en la intranet, entre otros.
s
VII. Revisión
Bá
Las políticas, así como la forma en la que son difundidas, deben
a
probarse o examinarse para hacer las correcciones necesarias en caso de
ic
que haya errores u omisiones o seguirlas manteniendo en caso de que
át
estén funcionando correctamente. Es en este punto en el que se puede
observar que probablemente sea adecuado incluir nuevas políticas de
rm
ampliar su alcance.
In
VIII. Aplicación
ad
IX. Actualización
g
Se
1. Ámbito de aplicación
R
toda la organización, a un área o a un departamento en específico.
CQ
2. Análisis de riesgo
a−
Se basa en el análisis de riesgo realizado, una justificación de por qué se
ic
decidieron los apartados que se muestran y por qué se conjuntaron de
esa manera las distintas políticas, si existe un análisis de riesgo
s
realizado es aquí donde debe indicarse como conclusión lo que se
Bá
observó en él y hacer referencia dónde puede encontrarse, cuándo se
realizó, etcétera. Por ejemplo: Con base en el análisis de riesgos
a
realizado el 15-diciembre-2019, el cual arrojó que en la organización
los problemas más frecuentes son:…….
ic
át
3. Enunciados de políticas
rm
Tomando en cuenta los consejos para diseñarlas, así como los principios
fo
4. Sanciones
ad
Incluir un apartado con las sanciones que deben ser aplicadas en caso de
id
7. Glosario de términos
R
varios textos que son difíciles de comprender, junto con su significado o
CQ
algún comentario para evitar ambigüedades o desconocimientos.
8. Anexos
a−
ic
Se pueden incluir tablas, imágenes, legistaciones, códigos, que puedan
servir en la comprensión o como complemento a las políticas de
s
seguridad en caso de ser necesario.
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
CQ
Los modelos de seguridad pueden ser de dos tipos:
a−
a) Modelo abstracto: se ocupa de las entidades abstractas como sujetos y
objetos.
s ic
b) Modelo concreto: traduce las entidades abstractas a entidades de un
Bá
sistema real como procesos y archivos.
a
Además, los modelos sirven a tres propósitos en la seguridad informática:
ic
át
1. Proveer un sistema que ayude a comprender los diferentes conceptos.
Los modelos diseñados para este propósito usan diagramas, analogías,
rm
cartas.
fo
R
mantiene.
CQ
Soportar la creación y verificación del sistema: un sistema basado
a−
en un modelo debe ser razonable para construirse y debe trabajar de
manera adecuada.
s ic
Permitir que los sistemas sean modelados en partes y después
Bá
unirlas: debe ser posible modelar sistemas complejos en partes y
después unir estas partes, de esta manera cada parte será más clara
a
y su verificación simple y correcta.
ic
át
Tipos de modelos
rm
Los modelos de control de acceso identifican las reglas necesarias para que un
In
sistema lleve a cabo el proceso que asegura que todo acceso a los recursos sea
un acceso autorizado. Los modelos de control de acceso son:
ad
Sujetos: son las entidades activas del modelo como los usuarios
o los procesos ejecutados por el usuario.
R
La matriz de acceso está formada por un renglón para cada sujeto y una
CQ
columna para cada objeto, la celda especifica los derechos que el sujeto
s tiene sobre el objeto o. Por lo que un renglón de la matriz de acceso
a−
corresponde a una lista de capacidad (lista de todos los derechos del
ic
sujeto) y una columna corresponde a una lista de control de acceso
s
(lista de todos los derechos que tiene el sujeto sobre el objeto).
Bá
Este modelo puede representar muchas políticas de control de acceso
que aseguran la confidencialidad y la integridad. En este modelo se
a
especifica quién eres y con quién estás relacionado, además de que el
ic
sistema indica lo que te está permitido hacer.
át
rm
Objetos
o
Sujetos
fo
Lista de capacidad
s Leer para “s”
In
Escribir
ad
b) Modelo HRU
g
Se
R
CQ
Un conjunto de comandos, donde un comando cuenta con una parte
condicional y una principal. La condicional prueba la presencia de
a−
ciertos derechos en la matriz de acceso, si la prueba es exitosa la parte
ic
principal se ejecuta realizando una serie de operaciones primitivas que
s
cambian la configuración de protección. Las operaciones primitivas
Bá
crean y destruyen objetos y sujetos, añaden o borran derechos en la
matriz de acceso.
a
ic
El modelo HRU es sencillo y se encuentra diseñado para contestar
át
preguntas fundamentales. Además, mejora la seguridad puesto que
verifica si realmente se trata de un sujeto autorizado y contempla que un
rm
c) Modelo Take-Grant
Ya que un renglón de la matriz de acceso puede ser visto como una lista
ad
R
Un modelo Take-Grant especifica un conjunto de reglas para indicar
CQ
cómo un sujeto concede derechos a otro (reglas Grant (conceder)) e
indicar cómo un sujeto adquiere los derechos de otros (reglas Take
a−
(tomar)).
s ic
d) Modelo Bell-LaPadula
Bá
Una de las limitaciones del control de acceso discreto (DAC) es su
vulnerabilidad a los ataques de los Caballos de Troya, esto se debe a
a
que este se ejecuta con los derechos del usuario que lo invoca sin
ic
desearlo ni saberlo, por lo tanto, el control de acceso es incapaz de
át
protegerse contra esto. Para intentar resolver dicho problema, se recurre
rm
en 1976.
ad
R
CQ
a−
s ic
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
Las causas pueden ser variadas y pasan por un problema informático, una falla
CQ
en la correcta circulación de la información, la falta de provisión de servicios
básicos tales como energía eléctrica, gas, agua y telecomunicaciones, etcétera.
a−
El hecho de preparar un plan de contingencias no implica un reconocimiento
ic
de la ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un
s
importante avance a la hora de superar todas aquellas situaciones descritas con
Bá
anterioridad y que pueden provocar importantes pérdidas, no sólo materiales
sino aquellas derivadas de la paralización del negocio durante un período más
o menos largo.
a
ic
át
A medida que las empresas se han vuelto cada vez más dependientes de las
rm
total.
R
2. Puede requerir la construcción o adaptación de un sitio para los equipos
CQ
computacionales.
a−
éstos deben ser compatibles con las operaciones existentes. Se hará
ic
participar a personal de muchos departamentos diferentes, el cual debe
s
trabajar en conjunto cuando se desarrolle e implemente la solución.
Bá
4. Implicará un compromiso entre costo, velocidad de recuperación,
a
medida de la recuperación y alcance de los desastres cubiertos.
ic
Como con cualquier proyecto de diseño, un método estructurado ayuda a
át
asegurar que se toman en cuenta todos estos factores y que se les trata
rm
adecuadamente.
fo
procedimientos:
id
R
rápidamente posible con el objetivo de evitar costos y daños
CQ
mayores. Comúnmente éste se lleva a cabo por el instinto de
supervivencia sin que haya una planificación, pues en ocasiones no
a−
se sabe con certeza cómo se reaccionará ante una eventualidad
hasta que ya se presenta.
s ic
En un plan de contingencias que permite la continuación o el reinicio de las
Bá
operaciones se observan las siguientes ventajas:
a
Reduce al mínimo los daños que cualquier eventualidad pueda producir.
ic
át
Permite alcanzar una normalización de las actividades normales de la
organización en un menor tiempo.
rm
El plan de contingencias también se conoce por las siglas DRP, del inglés
Disaster Recovery Plan (Plan de recuperación de desastres).
R
de recuperación (con las medidas que se deben aplicar una vez que el ataque
CQ
ha sido controlado).
a−
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA
(plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un
ic
análisis de riesgo donde, entre otras amenazas, se identifican aquellas que
s
afectan a la continuidad de las empresas. Sobre dicha base se seleccionan las
Bá
contramedidas más adecuadas entre diferentes alternativas, siendo plasmadas
en el plan de contingencias junto con los recursos necesarios para ponerlo en
a
marcha. El plan debe ser revisado periódicamente. Generalmente, la revisión
ic
será consecuencia de un nuevo análisis de riesgo. En cualquier caso, el plan
át
de contingencias siempre es cuestionado cuando se materializa una amenaza,
rm
eficiencia.
ad
1. El plan de respaldo
Contempla las contramedidas preventivas antes de que se materialice
una amenaza. Su finalidad es evitar dicha materialización.
R
2. El plan de emergencia
CQ
Contempla las contramedidas necesarias durante la materialización de
una amenaza, o inmediatamente después. Su finalidad es minimizar los
efectos adversos de la amenaza.
a−
ic
3. El plan de recuperación
s
Contempla las medidas necesarias después de materializada y
Bá
controlada la amenaza. Su finalidad es restaurar el estado de las cosas
tal y como se encontraban antes de la materialización de la amenaza.
a
ic
Por otra parte, el plan de contingencias no debe limitarse a estas medidas
át
organizativas. También debe expresar claramente:
rm
1. Identificación de riesgos
2. Evaluación de riesgos
R
3. Asignación de prioridades a las aplicaciones
CQ
4. Establecimiento de los requerimientos de recuperación
5. Elaboración de la documentación
a−
6. Verificación e implementación del plan
7. Distribución y mantenimiento del plan
s ic
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
para identificar las consecuencias probables o los riesgos asociados con las
CQ
vulnerabilidades y, de esta forma, lograr un manejo del riesgo tras la
implementación y el mantenimiento de controles que reduzcan los efectos de este
a−
a un nivel aceptable.
ic
El proceso del análisis de riesgo le da al manejo del riesgo la información
s
necesaria para hacer juicios sobre la seguridad de la información de una
Bá
organización. Este procedimiento identifica los controles de seguridad existentes,
calcula vulnerabilidades y evalúa el efecto de las amenazas en cada área
a
vulnerable, en la mayoría de los casos, el análisis del riesgo intenta mantener un
ic
balance económico entre el impacto de los riesgos y el costo de las soluciones de
át
un programa efectivo de seguridad destinadas a manejarlos.
rm
1. Activo: es todo aquello con valor para una organización y que necesita
In
protección
–datos, infraestructura, hardware, software, personal y su experiencia,
ad
información, servicios–.
id
R
año
CQ
0 Ninguna
1-3 Baja
4-7 Media
a−
8-14 Alta
ic
15-19 Crítica
s
20-30 Extrema
Bá
a
ic
TABLA 1.2 UN EJEMPLO DEL IMPACTO DEL ACONTECIMIENTO
át
Daño del Grado del daño Clasificación
acontecimiento
rm
reparar
Significante Daño tangible, esfuerzo extra 2
In
recursos
Daño a la reputación y a la confianza
id
datos o servicios
Grave Apagado permanente 5
g
Se
Compromiso total
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
Muy bajo 2-3 veces cada 5 años 1
CQ
Bajo < = una vez por año 2
Medio < = una vez cada 6 3
meses
a−
Alto < = una vez por mes 4
ic
Muy alto = > una vez por mes 5
s
Extremo = > una vez por día 6
Bá
5. Manejo del riesgo: proceso de identificación, control y minimización o
a
eliminación de riesgos de seguridad que pueden afectar sistemas de
ic
información, por un costo aceptable.
át
manifestación de la amenaza.
g ur
1
Que puede suceder o existir, pero no existe aún.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
cumplimiento de las políticas de seguridad de la organización. Un mismo
CQ
control puede ser implementado para una o varias políticas de seguridad, lo
cual indica que la relación forzosamente no es uno a uno.
a−
ic
Un análisis del riesgo de seguridad es un procedimiento para estimar el riesgo de
s
los activos de cómputo relacionados y la pérdida debido a la manifestación de las
Bá
amenazas. El procedimiento primero determina el nivel de vulnerabilidad del
activo tras identificar y evaluar el efecto de los controles colocados en el lugar.
a
Un nivel de vulnerabilidad del activo para cierta amenaza se determina con
ic
controles que se encuentran en el lugar en el momento en el que se realiza el
át
análisis del riesgo. A continuación, la información detallada acerca del activo se
utiliza para determinar el significado de las vulnerabilidades sobre dicho activo,
rm
esto incluye cómo es o será utilizado el activo, los niveles de sensibilidad de los
datos (véase la tabla 6.4), misión crítica, interconectividad, etcétera. Finalmente,
fo
Clasificación
l
g
0 No clasificado
Se
R
del riesgo debe ser realizado con suficiente regularidad para asegurar que cada
CQ
aproximación del manejo del riesgo de la organización sea una respuesta real a
los riesgos actuales asociados con la información de sus activos. El manejo del
a−
riesgo debe decidir si acepta el riesgo residual o implementa las acciones
ic
recomendadas.
s
Bá
Las relaciones entre los elementos de un análisis del riesgo se muestran en la
figura 1.1.
a
ic
El objetivo del análisis del riesgo es tener la capacidad de:
át
rm
R
VULNERABILIDAD
CQ
CONTROLES
a−
ic
ACTIVO
s
Bá
Destrucción
a
IMPACTO
ic Denegación de servicio
át
Revelación
rm
Modificación
fo
La seguridad en cualquier sistema debe guardar una proporción con respecto a sus
id
riesgos. Sin embargo, el proceso para determinar qué controles de seguridad son
ur
R
sensibles.
CQ
Posteriormente, el análisis cuantitativo del riesgo hace uso del término
Expectativa de Pérdida Anual (ALE) o Costo Anual Estimado (EAC), el cual es
a−
calculado para un cierto acontecimiento simplemente multiplicando la frecuencia
de la ocurrencia de la amenaza por el valor del activo o clasificación del daño.
ic
Para esto, es necesario recolectar con detalle estimaciones exactas utilizando
s
Bá
técnicas matemáticas y estadísticas.
a
De esta forma, se puede decidir si los controles existentes son adecuados o si se
ic
requiere la implementación de otros, esto se observa cuando el producto obtenido
át
tras multiplicar el valor del activo por la frecuencia de la ocurrencia de la
amenaza en un determinado periodo por la duración del control es menor que el
rm
posteriormente, tomar las decisiones más convenientes. Los problemas con este
tipo de análisis del riesgo se asocian generalmente a la falta de fiabilidad2 y a la
ad
inexactitud de los datos, debido a que es difícil lograr una figura representativa de
la pérdida o daño que se tiene como resultado de las brechas de seguridad. La
id
2
Probabilidad del buen funcionamiento de una cosa.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
En lugar de establecer valores exactos se dan notaciones como alto, bajo, medio
que representa la frecuencia de ocurrencia y el valor de los activos. Un problema
en este tipo de análisis es el consenso que debe realizarse para jerarquizar la
información, los controles y decidir sus valores, otra dificultad es la comparación
de la pérdida potencial con el costo de implementación de controles para
minimizarla, así como qué tan factible resulta aplicar los controles y en qué
R
niveles de información.
CQ
Ambos tipos del análisis del riesgo hacen uso de los siguientes elementos
a−
interrelacionados:
s ic
a) Amenazas: las amenazas están siempre presentes en cada sistema.
Bá
b) Vulnerabilidades: Las vulnerabilidades permiten que un sistema sea más
a
propenso a ser atacado por una amenaza o que un ataque tenga mayor
ic
probabilidad de tener cierto éxito o impacto.
át
c) Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
El actual nivel de riesgo.
CQ
Las consecuencias probables.
a−
Qué hacer con el riesgo residual si es muy alto.
ic
Para ser útil, una metodología de análisis del riesgo debe producir una sentencia
s
Bá
cuantitativa del impacto de un riesgo o del efecto de los problemas específicos de
seguridad. Los tres elementos principales en un análisis de riesgo son:
a
ic
1. Un balance del impacto o del costo de alguna dificultad específica si esta
sucede.
át
identificados.
In
datos, los valores, los controles dentro del lugar, la configuración del sistema o
id
El primer paso para todas las evaluaciones del riesgo es identificar y asignar un
valor a los activos que necesitan protección. El valor de los activos es un factor
significante en la decisión para realizar cambios operacionales o para incrementar
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
2. Identificar las amenazas correspondientes
CQ
Después de identificar los activos que requieren protección, las amenazas a estos
a−
deben ser identificarse y examinarse para determinar cuál sería la pérdida si
ic
dichas amenazas se presentan. Este paso envuelve la identificación y la
descripción de las amenazas correspondientes al sistema o red que está siendo
s
Bá
utilizado y se estima qué tan seguido se pueden presentar. Esto incluye como
mínimo, el acceso no autorizado, revelación de información, denegación de
a
servicio, puntos de acceso, desconfiguración de sistemas, amenazas internas,
ic
errores de programación en el software.
át
rm
3. Identificar/describir vulnerabilidades
Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto.
Las pérdidas son catalogadas en áreas de impacto llamadas:
g
Se
5. Controles en el lugar
R
El crédito debe darse a los controles en el lugar. La identificación de los controles
CQ
es parte del proceso de recolección de datos en cualquier proceso de análisis del
riesgo. Existen dos tipos principales:
a−
Controles requeridos: todos los controles en esta categoría pueden ser
ic
definidos con base en una o más reglas escritas. La clasificación de los
s
Bá
datos almacenados y procesados en un sistema o red y su modo de
operación determinan qué reglas aplicar, y estas indican cuáles son los
a
controles requeridos. ic
át
Controles discrecionales: este tipo de controles es elegido por los
administradores. En muchos casos los controles requeridos no reducen
rm
Una vez que el riesgo residual haya sido determinado, el siguiente paso es
R
identificar la forma más efectiva y menos costosa para reducir el riesgo a un nivel
CQ
aceptable. Un intercambio operacional –el cual puede tomar la forma de costo,
conveniencia, tiempo, o una mezcla de los anteriores– debe realizarse al mismo
a−
tiempo que los controles adicionales son implementados. Las recomendaciones
son:
s ic
Bá
Recomendación de controles requeridos: controles requeridos u
obligatorios que no se encuentran en el lugar son la primera
a
recomendación. ic
át
Recomendación de controles discrecionales: la segunda recomendación
generalmente identifica los controles discrecionales necesarios para
rm
protectoras y minimiza los efectos del riesgo y asigna un costo a cada control. El
ur
proceso de análisis del riesgo también determina si los controles son efectivos.
Cuando el análisis está completo, un informe de la evaluación del riesgo debe
g
Se
prepararse. Los detalles técnicos del reporte deben incluir como mínimo:
Niveles de vulnerabilidad.
Amenazas correspondientes y su frecuencia.
El ambiente usado.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
El análisis del riesgo de seguridad es fundamental en la seguridad de cualquier
CQ
organización ya que es un método formal para investigar los riesgos de un
sistema informático y recomendar las medidas apropiadas que deben adoptarse
a−
para controlar estos riesgos. Es esencial asegurarse que los controles y el gasto
ic
que implican sean completamente proporcionales a los riesgos a los cuales se
s
expone la organización.
Bá
En cualquier análisis del riesgo deben tomarse en cuenta tres costos o valores
fundamentales:
a
ic
át
1. Costo del sistema informático (Cr): valor de los recursos y la información a
rm
proteger.
fo
2. Costo de los medios necesarios (Ca): qué medios y el costo respectivo que
un criptoanalista requiere para romper las medidas de seguridad
In
establecidas en el sistema.
ad
Para que la política de seguridad del sistema sea lógica, debe cumplirse la
g
siguiente relación:
Se
Ca > Cr > Cs
Seguridad Informática Básica M.C. Cintia Quezada Reyes
El que Ca sea mayor que Cr significa que el ataque al sistema debe ser más
costoso que su valor. Por lo que los beneficios obtenidos al romper las medidas
de seguridad no compensan el costo de desarrollar el ataque.
El que Cr sea mayor que Cs significa que no debe costar más la información que
la información protegida. Si esto ocurre, resultaría conveniente no proteger el
R
sistema y volver a obtener la información en caso de pérdida.
CQ
a−
s ic
Bá
a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
CQ
a) MAGERIT
a−
MAGERIT es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información de las Administraciones Públicas”. Es una metodología de carácter público,
ic
perteneciente al Ministerio de Administraciones Públicas y fue elaborado por un equipo
s
interdisciplinar del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento
Bá
Automatizado de Datos Personales (SSITAD), del Consejo Superior de Informática.
Se trata de una metodología para conocer el riesgo al que está sometida una información y qué
a
tan segura (o insegura) está.
ic
át
MAGERIT responde a las necesidades de un amplio espectro de intereses de usuarios con un
rm
- Situación. Dentro del “ciclo de estudio”: marco estratégico, planes globales, análisis de
grupos de múltiples activos, gestión de riesgos de activos concretos, determinación de
In
adoptada.
ur
R
CQ
Establecimiento de la Determinación de la
Planificación de la Organización de la
Seguridad de los Sistemas Seguridad de los Sistemas
de de
a−
Información Información
s ic
Implantación de Concientización de Todos
Salvaguardas y otras en la Seguridad de los
Bá
medidas de Seguridad de Sistemas de Información
los Sistemas de
Información
a
ic
át
Seguimiento, Gestión de Reacción a cada evento,
rm
Información
In
ad
Estructura de MAGERIT
id
Modelo de MAGERIT
R
6 entidades básicas: 3 tipos principales: 4 etapas tipificadas:
CQ
- Activos - Estático - Planificación
- Amenazas - Dinámico - Análisis de Riesgos
a−
- Vulnerabilidades organizativo - Gestión de Riesgos
- Impactos - Dinámico físico - Selección de
- Riesgos salvaguardas
ic
- Salvaguarda
s
Bá
1. Planificación del proyecto de riesgos. Como consideraciones iniciales para arrancar el
a
proyecto de Análisis y Gestión de Riesgos (AGR), se estudia la oportunidad de
ic
realizarlo, se definen los objetivos que ha de cumplir y el ámbito que abarcará,
át
planificando los medios materiales y humanos para su realización e inicializando el
propio lanzamiento del proyecto.
rm
evaluación del riesgo, así como una estimación del umbral de riesgo deseable.
In
niveles.
Seguridad Informática Básica M.C. Cintia Quezada Reyes
El método EBIOS es una herramienta de gestión de riesgos para los sistemas de seguridad
informática, fue creada por la Dirección Central de Seguridad de los Sistemas de Información
de Francia DCSSI.
El método EBIOS permite tratar los riesgos relativos a la Seguridad de los Sistemas de
R
Información (SSI), facilita la comunicación dentro y fuera del organismo para contribuir al
CQ
proceso de la gestión de los riesgos SSI y ayuda a la toma de decisiones.
a−
Este método toma en cuenta todas las entidades técnicas (software, hardware, redes) y no
técnicas (organización, aspectos humanos, seguridad física).
s ic
Las características de EBIOS son:
Bá
Es compatible con normalizaciones internacionales.
- Es utilizado para estudiar tanto sistemas por diseñar como sistemas ya existentes.
a
ic
- Presenta y describe los tipos de entidades, métodos de ataque, vulnerabilidades,
objetivos de seguridad y requerimientos de seguridad.
át
1. Estudio del contexto. Durante este proceso se realiza un análisis de los activos de la
fo
organización, estos pueden ser distintos tipos como: hardware, software, redes,
In
personal, etc.
R
1980.
CQ
A continuación se muestra el modelo de análisis y gestión de riesgos de CRAMM, el cual
a−
consiste en:
s ic
Bá
Vulnerabilidades
Análisis
Activos Riesgos
aAmenazas
ic
át
rm
Contramedidas
fo
Implantación Gestión
In
Auditoría
ad
id
ur
- CRAMM Express
- CRAMM Expert
- BS7799
Adicionalmente, existen variantes para la gestión de riesgos en proyectos de desarrollo, con una
R
interfaz al ciclo de vida estándar utilizado por la Administración Pública británica: SSADM
CQ
(Structured System Analysis and Design Method)
a−
La metodología CRAMM define tres fases para la realización del análisis de riesgos.
ic
Fase 1. Establecimiento de objetivos de seguridad
s
Bá
Esta fase consiste en llevar a cabo los siguientes aspectos:
a
- Definir el alcance del estudio. ic
- Definir el valor de la información entrevistando a los usuarios sobre los impactos
potenciales para el negocio que podrían producirse por la indisponibilidad, destrucción,
át
divulgación o modificación.
rm
- Identificar y evaluar los activos físicos que forman parte del sistema.
- Identificar y evaluar los activos de software que forman parte del sistema.
fo
Consta de:
ad
- Identificar y valorar el tipo de nivel de las amenazas que pueden afectar al sistema.
id
los riesgos.
g
Es una técnica efectiva de evaluación de riesgos creada por la oficina de patentes y negocios de
R
los Estados Unidos.
CQ
OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el
a−
riesgo, esta técnica está en contra de la consultoría enfocada en el campo tecnológico, que tiene
como objetivo los riesgos tecnológicos y en los temas tácticos, OCTAVE se enfoca en el riesgo
ic
organizacional y su objetivo principal son los temas relativos a la estrategia y a la práctica.
s
Bá
OCTAVE equilibra los siguientes aspectos:
- Riesgos operativos
- Prácticas de seguridad
a
ic
- Tecnología
át
Lo cual permite a las compañías tomar decisiones de protección de información en los riesgos
rm
Características:
- Es autodirigido
- Es flexible.
id
ur
- Identificar y evaluar los riesgos que afectan la seguridad dentro de una organización.
- Exigir llevar la evaluación de la organización y del personal de la tecnología de
información.
Este método se enfoca en tres fases para examinar los problemas organizacionales y
tecnológicos, los cuales son:
Seguridad Informática Básica M.C. Cintia Quezada Reyes
Fase I. Durante esta fase se identifica la información de la organización. Los procesos que
se realiza en esta fase son:
R
- Analizar los procesos tecnológicos relacionados
CQ
Fase II. En esta fase se examina la infraestructura tecnológica y se realizan los siguientes
procesos:
a−
- Examinar rutas de acceso
ic
- Analizar procesos tecnológicos
s
Bá
Fase III. Durante esta fase se realiza la identificación de los riesgos, así como también se
realizan estrategias de mitigación y planes de protección. Los procesos que intervienen en
esta fase son:
a
- Evaluar el impacto de las amenazas
ic
át
- Evaluar la probabilidad de ocurrencia de amenazas
- Seleccionar formas de mitigación de riesgos
rm
e) FRAP o FRAAP (Facilitated Risk Analysis Process o Facilitated Risk Analysis and
In
Assessment Process)
ad
Fue desarrollada por Tom Peltier en 2001 y diseñada como una metodología para ser utilizada
por los propios directivos, siempre basándose en la guía de un profesional capacitado.
id
En esta metodología se analiza un sistema, una aplicación o un segmento del negocio a la vez.
ur
Se trata de un método cualitativo que hace uso de plantillas y listas de verificación (checklist)
para llevar a cabo el análisis de riesgos
Seguridad Informática Básica M.C. Cintia Quezada Reyes
R
c) Presentar, conocer y comenzar a trabajar con los miembros del equipo
CQ
d) Plantear, describir y acordar cuál será la mecánica de las reuniones
a−
ic
a) Comentar los riesgos identificados
b) Comentar los riesgos priorizados
s
c) Mencionar los controles sugeridos
Bá
3. Proceso post-FRAP (duración hasta de 10 días)
a
a) Es indispensable llenar las hojas de referencias cruzadas
ic
b) Es menester identificar los controles existentes
át
c) Seleccionar los controles para disminuir riesgos o lograr la aceptación de estos
rm
fo
In
ad
id
g ur
Se
1
http://www.ittoday.info/AIMS/DSM/85-01-21.pdf
Seguridad Informática Básica M.C. Cintia Quezada Reyes
Auditoría informática
R
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la
CQ
organización y utiliza eficientemente los recursos.
a−
implantados en una empresa u organización, determinando si los mismos son
ic
adecuados y cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la consecución de los
s
Bá
mismos.
R
CQ
a−
s ic
Bá
a
ic
át
rm
R
1. Planeación. Ésta consiste en la elaboración de los programas de trabajo
CQ
que se llevarán a cabo durante la revisión a la entidad auditada.
a−
2. Trabajos preliminares. Consisten básicamente, de una serie de entrevistas
con el cliente, las cuales tienen como objetivo dejar en claro las
ic
características básicas del trabajo que se va a realizar, qué es lo que quiere
s
el cliente y que hará, en términos generales, el auditor.
Bá
3. Diagnóstico administrativo. El diagnóstico administrativo tiene por
objetivo, proporcionar una panorámica de cómo la empresa percibe y
practica la administración.
a
ic
át
4. Investigación previa. Aquí se dará a conocer la empresa y de ser posible
se validará la problemática que fue expuesta por el cliente. Después de esta
rm
R
CQ
En él se informará de manera clara y concisa, sobre los resultados de la
AI. No debe olvidarse que a los ojos del cliente él paga por recibir un
a−
informe, y en él debe encontrar valiosas recomendaciones que habrán
de mejorar su administración., el informe aunque es escrito, debe
ic
presentarse apoyado en una exposición verbal.
s
Bá
Implementación y seguimiento: Algunos autores consideran esta fase
como opcional, que no corresponde al auditor realizarla, sino a la
a
empresa, se considera que el auditor debe participar, para que se
ic
interpreten correctamente sus recomendaciones y no haya lugar a
át
desvíos en las mismas.
rm
Ética informática
g
Se
Definiciones:
a) Ética
Teoría o ciencia del comportamiento moral de los hombres en sociedad, es
decir, es la ciencia de una forma específica de conducta humana
Seguridad Informática Básica M.C. Cintia Quezada Reyes
b) Moral
Procede del latín mos o mores, costumbre o costumbres, en el sentido de
conjunto de normas o reglas adquiridas por hábito
c) Ética informática
R
tecnología y por las personas que utilizan los avances de las
CQ
tecnologías de la información
a−
informática y la correspondiente formulación y justificación de
ic
políticas para un uso ético de dicha tecnología
s
La ética informática considera:
Bá
Ética profesional general
a
ic
Utilización de la información
át
dañinos
In
Concienciación pública
R
Permiten armonizar legislaciones o criterios divergentes existentes (o
CQ
ausentes, en su caso) en los países individuales.
a−
La ética informática considera los siguientes principios:
s ic
a) El secreto profesional y la confidencialidad
Bá
b) La responsabilidad profesional
a
c) La lealtad hacia la empresa y al público usuario
ic
át
d) La dignidad, la honestidad y la honradez
rm
g) La solidaridad profesional
ad
h) La integridad profesional
id
R
CQ
1. Prohibido usar la computadora para hacer daño a otras
personas
a−
2. Prohibido intervenir el trabajo informático de otro.
ic
3. Prohibido husmear en los archivos informáticos de otro.
s
Bá
4. Prohibido usar una computadora para robar
a
5. Prohibido usar la computadora para levantar falsos testimonios
ic
át
6. Prohibido usar software por el que no se pagó licencia.
rm