2. SEGURIDAD
INFORMÁTICA
Consiste en asegurar que los recursos del
sistema de información (material informático
o programas) de una organización sean
utilizados de la manera que se decidió y que
la información que se considera importante
no sea fácil de acceder por cualquier persona
que no se encuentre acreditada.
http://www.youtube.com/watch?v=ktQi9v8Xa1o
http://es.youtube.com/watch?v=STf0Qmhna7s&feature=related
http://es.youtube.com/watch?v=980O_QpbIbI&feature=related
3. OBJETIVOS
Los activos son los elementos que la seguridad informática tiene
como objetivo proteger. Son tres elementos que conforman los
activos:
Información
Es el objeto de mayor valor para una organización, el objetivo es
el resguardo de la información, independientemente del lugar en
donde se encuentre registrada, en algún medio electrónico o
físico.
Equipos que la soportan
Software, hardware y organización.
Usuarios
Individuos que utilizan la estructura tecnológica y de
comunicaciones que manejan la información.
4. PROGRAMAS
COMÚNMENTE
UTILIZADOS PARA LA
SEGURIDAD INFORMÁTICA
EL ANTIVIRUS
A esta altura no hay que explicar mucho sobre para que se necesita un antivirus, la cuestión es que el grado de velocidad de
aparición de nuevos virus o variaciones de los mismos es tan alto que muy pocas personas actualizan sus antivirus con
frecuencia (una vez por semana o cada 15 días sería lo ideal). Conociendo este problema varias empresas desarrolladoras de
antivirus han creado antivirus on line que chequean su computadora mientras usted esta conectado a Internet.
Antivirus en línea :
Trend Micro : http://housecall.trendmicro.com
RAV antivirus : www.ravantivirus.com/scan Debe enviar un dirección de correo electrónico , no es tan rápido como
TrendMicro.
EL FIREWALL
El firewall o cortafuegos es un programa que protege a su computadora del ingreso de intrusos, lo que hace este programa es
inspeccionar todo el trafico que sale e ingresa a su computadora a través de Internet. A un firewall hay que configurarlo muy
bien por que lógicamente hay tráfico permitido como la navegación por páginas Web y trafico que usted no debe permitir.
Estos programas bloquean automáticamente todo tipo de ataque hacia su ordenador.
LA ENCRIPTACIÓN
Es llamado también: Cifrado. Es un proceso para volver ilegible información considera importante. La información una vez
encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o
transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, números. de tarjetas de
crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para
desencriptar, se debe usar una clave como parámetro para esas fórmulas. El texto plano que está encriptado o cifrado se
llama criptograma.
5. ESTRATEGIAS DE
SEGURIDAD
INFORMÁTICA
1. SE DEBE TENER UNA POLÍTICA DE SEGURIDAD
Cualquier compañía sin importar su tamaño debe tener una política de seguridad.
Si no hay política, no hay estrategia de seguridad y sin una estrategia los
departamentos comprarán productos de seguridad sin ningún objetivo sino
satisfacer limitadamente sus necesidades. Una buena política de seguridad
claramente especifica los objetivos de la misma para cada quien en la
organización, pero los explica ampliamente.
2. LA ORGANIZACIÓN DEBE TENER CONCIENCIA DE SEGURIDAD
Las políticas de seguridad son inútiles si han sido aplicadas con la gente que no
sabe nada de seguridad o que no le importa. Sino entrenamos y educamos a todos
los trabajadores de la empresa para que tengan conciencia de seguridad,
igualmente podemos ser víctimas de la “ingeniería social”.
6. ESTRATEGIAS DE
SEGURIDAD
INFORMÁTICA
3. ANÁLISIS DE RIESGOS Y ANÁLISIS DE ACTIVOS
Antes de que una compañía pueda desarrollar una estrategia de seguridad debe entender qué
necesita ser protegido. Una evaluación de los riesgos puede permitir que la organización se de
cuenta de:
- Activos importantes de información y su valor relativo
- Amenazas a esos activos
- Requerimientos de seguridad
- Actuales estrategias de protección y sus procedimientos
- Vulnerabilidades de la organización
4. EVALUACIÓN TECNOLÓGICA
Cualquier sistema de necesitará ser asegurado con algunas de las herramientas tecnológicas como
firewalls, redes privadas virtuales, herramientas de escaneo de vulnerabilidad, sistema de detección
de intrusos, herramientas de control de acceso, infraestructura pública clave, encriptación, etc.
Pero, estos productos no son suficientes y no logran por sí mismos comprar tu seguridad. Un error
típico de seguridad es no usar las bases tecnológicas existentes para agregar capas o niveles de
seguridad.
7. CASO SIEMENS
Objetivo
El objetivo de Seguridad de la Información (InfoSec) es asegurar la confidencialidad,
integridad y disponibilidad de la información interna de la compañía.
Misión
Establecer, promulgar y aplicar las normas para la protección de la información y los
sistemas de información de la compañía, creando conciencia a cada uno de los
colaboradores.
Alcance
Las divisiones, sucursales, oficinas de venta, gerencias comerciales y centrales de Siemens
en la Región Andina. Los empleados Siemens y empleados temporales, contratistas y
practicantes. Terceros que trabajan en Siemens con acuerdos de cooperación.
8. CASO SIEMENS
Guias de Seguridad:
1.Contrasenas
2.Correo Electronico
3.Uso de Internet
4.Respaldo de Datos en los PC’s
5.Control de Virus
6.Seguridad en el Puesto de Trabajo
7.Proteccion de Documentos Propiedad de la Empresa
8.Conexion de Redes
9. CASO SIEMENS
Public Key Infrastructure
La infraestructura actual de
Criptografía “PKI2” utiliza la
Tarjeta Corporativa de
Identificación (smartcard) para
almacenar los certificados digitales
personales.
El propósito de los dos certificados
almacenados en la tarjeta
smartcard son:
- Encripción
- Autenticación / Firma
10. CASO SIEMENS
Servicio Corporativo:
1.- CERT (Computer Emergency Response Team)
- Siemens CERT tiene como objetivo evitar o limitar los incidentes
desencadenados por los hackers, saboteadores, espionaje industrial, etc.
- Ayuda e investiga los incidentes relacionados con la seguridad en las empresas
en los sistemas y redes informáticas.
2.- IPINS (Intrusion Prevention and Inventory Service)
- Prevención de intrusos e Inventario de servicios (IPINS),.
- Proporciona una base global y de servicios profesionales, para todo el grupo,
lo que la hace central para la detección de vulnerabilidades dentro de la
infraestructura de TI para aplicar las medidas necesarias.
11. CASO SIEMENS
Servicio Corporativo:
3.- PKI Services (Public Key Infraestructure Services)
4.- SCD (Siemens Corporate Directory)
- Proporciona un lugar central, donde se recopila toda la información
corporativa y el sistema de mensajería de todos los empleados de Siemens y de sus
empresas asociadas.
5.- VCC (Virus Competence Center)
- Garantiza la productividad de los sistemas de TI de un mínimo de protección
contra los virus (Virus Protection Policy).
- El Siemens VCC proporciona a la central de protección antivirus un apoyo en a
todas las unidades de Siemens para conceptos de operaciones, distribución,
instalación y mantenimiento de los instrumentos necesarios, así como de la
información necesaria y alertas.
12. CREANDO
CONCIENCIA
La información de las compañías deben mantener la confiabilidad, integridad y
disponibilidad de la misma, que son factores importantes para asegurar el éxito del negocio
y asegurar que las necesidades de sus clientes y socios sean cumplidas a satisfacción.
Tanto la implementación como el cumplimiento de las normas es el trabajo de cada
empleado de la empresa y serán efectivas, si todas las personas involucradas se encuentran
instruidas en temas relacionados con Seguridad de la Información y utilizan este
conocimiento para actuar con seguridad y siendo responsables y consistentes con sus
acciones.
