La Seguridad De Los Sistemas De Informaci贸n
Marco Legal Pol铆tica De Seguridad An谩lisis De Riesgos Sistemas De Gesti贸n Auditoria Y Control
Octubre 2015
LAGM06S-D01
CONTENIDO: Marco Legal Para La Seguridad De La Información………………………………………………………………… Pag.3 Política De Seguridad De La Información………………………………………………..………..……Pag.6 El Análisis De Riesgos…………………………………………………………….…..….….Pag.6 El Sistema De Gestión De Seguridad De La Información……………………………………………………………...Pag.14 La Auditoría Y Control Del Sistema De Gestión………………………………………………………………….…….Pag.16
Realización: Grupo 1 LAGM06S-D01: Carmona Ronald, Ávila Aurimar, García María, Dávila Ender, Rodríguez Yeison, Parra Estefany, Moncada Kelly, Molina Yhonnexy, Zambrano Luigi
Marco Jurídico De La Seguridad En Los Sistemas De Información
LA CONSTITUCIÓN DE LA REPÚBLICA BOLIVARIANA DE VENEZUELA Es la base de la pirámide jurídica de la nación, es decir los cimientos del ordenamiento legal venezolano, conviene señalar el soporte que da al desarrollo de nuevas tecnologías nuestra carta magna. A continuación un artículo que nos ilustra al respecto:
En el quehacer diario hacemos un manejo de nuestra información, otorgamos datos, realizamos transacciones, compras, ventas; en un sin número de límites, muchas veces desconociendo el riesgo que corremos a que nuestra información sea plagiada para otros fines por parte de desconocidos o piratas informáticos de allí surge nuestra interrogante donde muchas veces nos preguntamos, ¿Es nuestra información, respaldada y protegida por los diferentes sistemas que utilizamos a diario? ¿Quién nos ampara ante el uso de nuestra información? ¿Qué nos garantiza que estos sistemas son fiables? Partiendo del principio de seguridad que es un concepto asociado la certeza, disminución del riesgo, o contingencia, se puede entender como un estado o cualquier sistema o tipo de información libre de peligro, daño o riesgo, entendiendo como peligro o daño todo aquello que pueda afectar el funcionamiento o a los resultados que se obtienen. Por ello continuación mostraremos el marco legal jurídico aplicado en Venezuela que respalda la seguridad de la información con algunos apéndices de interés:
Art. 110 - El Estado reconocerá el interés público de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos fundamentales para el desarrollo económico, social y político del país, así como para la seguridad y soberanía nacional. Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos para las mismas. El Estado garantizará el cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica, humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía.
LEY ESPECIAL CONTRA DELITOS INFORMÁTICOS
Apropiación de propiedad intelectual, entre otras. Antes de la promulgación de ésta ley las actividades mencionadas anteriormente no estaban tipificadas como delitos. ¿Te das cuenta de la importancia de un marco legal? LEY ORGÁNICA DE CIENCIA, TECNOLOGÍA E INNOVACIÓN
Delito Informático: “Todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho, y que hacen uso indebido de cualquier medio informático". La Ley Especial Contra Delitos Informáticos forma parte de un conjunto de instrumentos jurídicos que vienen a establecer el marco de regulación del área tecnológica en Venezuela, aspecto en el cual (como ya se ha dicho en múltiples ocasiones) se avanza a pasos agigantados. Sin embargo, el dinamismo en materia tecnológica crea ciertos inconvenientes debido a que al no estar regulada jurídicamente ésta área, da cobijo a actividades que sin ser "ilícitas" representan un estrago para la sociedad. Como por ejemplo:
Entre uno de los más importantes cambios introducidos por la Ley Orgánica de Ciencia, Tecnología e Innovación esta todo lo que tiene que ver con el financiamiento del desarrollo tecnológico. Las grandes empresas deberán realizar un aporte a favor de alguno de los organismos adscritos al Ministerio del Poder Popular para la Ciencia y la Tecnología, así como a las Universidades o Instituciones de Educación Superior, Institutos o Centros de Investigación y Desarrollo, y cualquier otra institución pública o privada, inscritas como beneficiarias en el Sistema para la Declaración y Control del Aporte-Inversión en Ciencia Tecnología e Innovación
Acceso indebido. Sabotaje o daño a sistemas. Espionaje informático. Falsificación de documentos. Manejo fraudulento de tarjetas inteligentes o instrumentos análogos. Difusión o exhibición de material pornográfico.
En el marco de la normativa jurídica se crea el VenCERT que es el Sistema Nacional de Gestión de Incidentes Telemáticos de la República Bolivariana de Venezuela. Su principal objetivo, como CERT gubernamental es la prevención, detección y gestión de los incidentes generados en los sistemas de información de la Administración Pública Nacional y los Entes Públicos a cargo de la gestión de Infraestructuras Críticas de la Nación.
Su creación responde a la necesidad estratégica de dotar al Estado de los mecanismos más adecuados para prevenir y actuar con efectividad ante los nuevos riesgos generados por el desarrollo de las nuevas tecnologías. De hecho, la seguridad de los sistemas y redes de información del sector público es un componente fundamental de la seguridad de un país.
La misión asignada al VenCERT para contribuir al objetivo general de Sistema Nacional de Seguridad de la Información se puede descomponer en los siguientes puntos:
La implantación del VenCert se expresa por medio de la Gaceta oficial de la República Bolivariana de Venezuela N° 39.056 de fecha 11 de noviembre de 2008, resolución N°063, del entonces Ministerio del Poder Popular Para las Telecomunicaciones e Informática quien resuelve lo siguiente:
Punto principal de coordinación nacional de otros centros de gestión de incidentes en el país y en el extranjero
Artículo 1“Encargar a la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE); el desarrollo, implantación, ejecución y seguimiento del Sistema Nacional de Gestión de Incidentes Telemáticos (VenCert)”. Artículo 2“El Sistema Nacional de Gestión de Incidentes Telemáticos (VenCert), tiene como objetivo prevenir, detectar y gestionar los incidentes generados en los sistemas de información del Estado y en las infraestructuras críticas de la Nación a través del manejo de vulnerabilidades e incidentes de Seguridad Informática. Igualmente el Sistema Nacional de Gestión de Incidentes Telemáticos (VenCert) tendrá capacidad de intervención y respuesta ante los riesgos que atenten contra la información que manejan los órganos y entes del Poder Público Nacional.”
MISIÓN
Prevención, detección y gestión de los incidentes generados en los Sistemas de Información del Estado y entidades gestoras de Infraestructuras Críticas de la Nación (IC nacionales)
Asesoramiento, apoyo y formación en materia de seguridad a los diferentes responsables de TIC en organismos del Estado o de entidades gestoras de la gestión de Infraestructuras Críticas Nacional. Coordinación de iniciativas públicas o privadas relativas a seguridad de las TIC en el Estado, materializadas a través de proyectos I+D, acciones de formación y sensibilización, elaboración de políticas normas o guías, tanto para beneficio de la comunidad (Estado y gestores de IC nacionales) como para la mejora de los servicios prestados en el VenCERT. El VenCERT se erige, por tanto, como el CERT gubernamental venezolano cuyo principal objetivo es la prevención, detección y gestión de los incidentes generados en los sistemas de información de toda la Administración Pública Nacional y Sectores Públicos a cargo de la gestión de Infraestructuras Críticas de la nación. VISIÓN Los servicios de VenCERT permitirán proteger y garantizar la defensa y seguridad de la Nación, así como la suprema vigilancia de los intereses generales de la República, la conservación de la paz pública y la recta aplicación de la ley en todo el territorio nacional, conforme a las competencias establecidas en la Constitución de la República Bolivariana de Venezuela, para el Poder Público Nacional.
ANALISIS DE RIESGO Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida
Las políticas y normas son el instrumento que adopta la empresa para definir las reglas de comportamiento aceptables de todos los trabajadores.
que la empresa tenga clara esta identificación
de
riesgos
podrá
establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su
Podemos
definir
Política
de
información.
Seguridad, como el conjunto de normas
y
procedimientos
establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Según el grado de madurez de la organización en la gestión de sus activos de información, esta Política de Seguridad puede ser más o menos sistemática y detallada.
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de
información, es decir todos aquellos
hecho de tener contraseñas débiles
recursos involucrados en la gestión
en los sistemas y que la red de
de la información, que va desde
datos
datos y hardware hasta documentos
protegida puede ser aprovechado
escritos y el recurso humano. Sobre
para
estos activos de información es que
externos.
hace
la
identificación
amenazas
o
riesgos
de
las
y
las
vulnerabilidades
no
los
esté
correctamente
ataques
informáticos
Ahora, para que la empresa pueda tomar decisiones sobre cómo actuar ante
los
diferentes
riesgos
es
Una amenaza se puede definir
necesario hacer una valoración para
entonces
determinar cuáles son los más
puede
como
afectar
un
evento
que
los
activos
de
críticos
para
la
Esta
información y están relacionadas
valoración
con el recurso humano, eventos
términos
naturales o fallas técnicas. Algunos
ocurrencia del riesgo y del impacto
ejemplos
que tenga la materialización del
pueden
ser
ataques
suele
empresa.
de
la
hacerse
en
posibilidad
de
u
riesgo. La valoración del impacto
la
puede medirse en función de varios
empresa, infecciones con malware,
factores: la pérdida económica si es
terremotos, tormentas eléctricas o
posible cuantificar la cantidad de
sobrecargas en el fluido eléctrico.
dinero que se pierde, la reputación
informáticos omisiones
externos, del
errores
personal
de
de la empresa dependiendo si el
Por otra parte, una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Cuando se materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada hay una exposición a que se presente algún tipo de pérdida para la empresa. Por ejemplo el
riesgo pueda afectar la imagen de la empresa en el mercado o de acuerdo al nivel de afectación por la pérdida o daño de la información. En este punto se deberían tener identificados y valorados los principales riesgos que pueden afectar los activos de información de la empresa. Pero, ¿es suficiente con
saber
qué
respuesta
puede es
pasar?
La
Una
vez
no.
identificadas las amenazas, lo más importante del análisis de riesgos es la identificación de controles ya sea para
mitigar
la
posibilidad
de
ocurrencia de la amenaza o para mitigar su impacto. Las medidas de control
que
puede
asumir
una
empresa van a estar relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.
riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo crítico
para
la
empresa la medida de control puede ser
Aceptarlo,
es
decir,
ser
consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo.
con tomar algún tipo de seguro que reduzca el monto de una eventual pérdida, y la segunda tiene que ver con la implementación de medidas preventivas
o
correctivas
para
reducir la posibilidad de ocurrencia o el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo asuma, puede optar por Evitar el riesgo, eliminando
los
activos
de
información o la actividad asociada.
Una empresa puede afrontar un
suficientemente
La primera opción está relacionada
La
gestión
garantizarle
de a
riesgos la
debe
empresa
la
tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual
materialización
simplemente presenten.
evitar Esta
que
gestión
o se debe
mantener el equilibrio entre el costo que tiene una actividad de control, la
importancia
del
activo
de
información para los procesos de la empresa y el nivel de criticidad del riesgo.
La Seguridad de la Información Tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.
Podemos entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen.
Sistema de Gestión de la Seguridad de la Información conocida por las siglas SGSI o ISMS que en inglés se define como Información Security Management Systems; En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.).
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.
L
¿Para qué sirve un SGSI? Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización.
Documentos de Nivel Manual de seguridad: Por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI. Documentos de Nivel Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información. Documentos de Nivel Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
¿Qué incluye un SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:
Documentos de Nivel Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
L
¿Qué tareas tiene la Gerencia en un SGSI? Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección. El término Dirección debe contemplarse siempre desde el punto de vista del alcance del SGSI.
más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específi co, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
¿Qué es la Auditoria en Sistemas de Información? La auditoría de SI se centra en determinar los riesgos que son relevantes para los activos de información, y en la evaluación de los controles a fin de reducir o mitigar estos riesgos. Mediante la implementación de controles, el efecto de los riesgos se puede minimizar, pero no puede eliminar por completo todos los riesgos.
¿QUÉ ES AUDITORÍA DE SISTEMAS? La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización
Principales razones para auditar y controlar los SI *Toma de decisiones incorrectas *Reducir el costo de los errores *Control del uso de las TIC *Consecuencias de las pérdidas de datos *Valor del hardware, del software y del personal
L
Fraude informático
Objetivos de la auditoría El control de la función informática. El análisis de la eficiencia de los Sistemas Informáticos. La verificación del cumplimiento de la Normativa en este ámbito. La revisión de la eficaz gestión de los recursos informáticos. Asegurar una mayor integridad, confidencialidad y confiabilidad de la información. Seguridad del personal, los datos, el hardware, el software y las instalaciones. Minimizar existencias de riesgos en el uso de Tecnología de información. Conocer la situación actual del área informática para lograr los objetivos.
desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis del flujograma. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad y autenticación. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las Comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Tipos de auditoría Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas.
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de
Personal que interviene en una auditoría
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente
L
capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Herramientas para realizar auditorías Cuestionarios: El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca
unas finalidades concretas. Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior. El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Trazas y/o Huellas: Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.
Software de Interrogación: Hasta hace ya algunos años se han utilizado productos software, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias e hipótesis de la
situación real de una instalación.
L
Medidas de seguridad a adoptar en los diferentes niveles Los niveles de seguridad son los siguientes: 1. Nivel Básico 2. Nivel Medio 3. Nivel Alto
Medidas de Seguridad de nivel básico:
*Sistema de Registro de incidencias. *Relación actualizada usuarios/recursos autorizados. *Existencia de mecanismos de identificación y autenticación de los accesos autorizados. *Restricción solo a los datos necesarios para cumplir cada función. *Gestión de soportes informáticos con datos de carácter personal. • Inventariados.
*Mecanismos para identificación inequívoca y personalizada de los usuarios. *Limitación de los intentos de acceso no autorizados. *Medidas de control de acceso físico a los locales. *Establecimiento de un registro de entradas y salidas de soportes informáticos. *Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. Medidas de seguridad de nivel alto, además de lo indicado para el nivel medio: *Los soportes para distribución deberán tener la información cifrada. *Registro de accesos autorizados y denegados. *Guardar estos registros durante 2 años. *Copias de seguridad guardadas en sitios diferentes. *Transmisiones cifradas.
• Con acceso restringido. *Copias de seguridad semanalmente.
Medidas de seguridad de nivel medio, además de lo estipulado para el nivel bajo:
*Designación de uno o varios responsables de seguridad. *Auditoría al menos una vez cada dos años.
Otras medidas de seguridad exigibles a todos los ficheros:
*Los accesos por red están sujetos a las mismas medidas de seguridad exigibles del nivel de seguridad en modo local. *El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.
L
*Los ficheros temporales se borrarán una vez usados, también se les aplicará el nivel de seguridad pertinente. *El responsable del fichero elaborará el documento de seguridad. *Las pruebas con datos reales seguirán las medidas de seguridad pertinentes.
Normas de Actividades de Control Control del sistema de información El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones. La calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios. El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas ().
AUDITORIA, COMPUTADORA, CONFIDENCIA, CONTROL, COSNTITUCION, HACKERS, INFORMATICA, MARCO, NIVEL, RIESGO, SEGURIDAD, SISTEMA, SOFTWARE, TRANSPARENCIA