Diseño de un Sistema de Seguridad Informática en Cuba

  • Tecnología
  • 27 minutos de lectura
DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD
INFORMÁTICAEN CUBA
 Ing. Miguel Angel Pereda Quiroga1
Universidad Máximo Gómez Báez
Introducción.
Todo cambio tecnológico tiene ventajas, pero debemos ser conscientes de sus
desventajas, el uso de las Tecnologías Informáticas (TI), ha significado un
adelanto incuestionable, pero también su uso inadecuado ha introducido
nuevas manifestaciones inapropiadas para la sociedad.
Cuba país bloqueado por la potencia imperialista más rica del mundo, que
domina las grandes transnacionales de las tecnologías, ha sabido de manera
inteligente y racional articular coherentemente sus metas sociales, en los
Lineamientos para la Informatización de la Sociedad Cubana. Las Tecnologías
Informáticas (TI) en Cuba, constituyen medios educativos dirigidos a la
educación, no sólo para las escuelas, sino también para toda la sociedad.
Su desarrollo perspectivo, debe articular coherentemente con las metas
sociales trazadas en los Lineamientos para la Informatización de la Sociedad
Cubana, con las estrategias y metas planteadas en eventos internacionales,
como el Foro Mundial sobre la Educación, en Dakar, Senegal (Abril del 2000),
las Cumbres Mundiales de la Sociedad de la Información Celebradas en
Ginebra, Suiza (Diciembre 2003) y la de Tunes Turquía (Diciembre del 2005),
las Conferencias Ibero Americanas de Ministros de Educación (Chile Julio 2007
y San Salvador Mayo 2008), donde se destaca la misión que desempeña la
educación en estos propósitos.
Ellas son empleadas, con fines educativos, para la formación y consolidación
de valores y principios revolucionarios, sustentados en bases sólidas acordes
con nuestra ideología martiana, marxista y fidelista, en aras de formar a un
hombre plenamente instruido, con una conducta moral, espiritual y
revolucionaria en correspondencia con nuestro modelo socialista.
Para ello es importante saber que la seguridad informática, según Pfleeger, es
el área de la informática que se enfoca en la protección de la infraestructura
computacional y todo lo relacionado con esta (incluyendo la información
contenida). Para ello existen una serie de estándares, protocolos, métodos,
reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a
la infraestructura o a la información. La seguridad informática es un proceso
que comprende software, bases de datos, metadatos, archivos y todo lo que la
organización valore (activo) y signifique un riesgo si ésta llega a manos de
otras personas. Este tipo de información se conoce como información
privilegiada o confidencial.
El concepto de seguridad de la información no debe ser confundido con el de
seguridad informática, ya que este último sólo se encarga de la seguridad en el
medio informático, pudiendo encontrar información en diferentes medios o
formas.
El Plan de Seguridad Informática es diseñado y constituye el documento
básico que establece los principios organizativos y funcionales de la actividad
de Seguridad Informática en una entidad y recoge claramente las políticas de
seguridad y las responsabilidades de cada uno de los participantes en el
proceso informático, así como las medidas y procedimientos que permitan
prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseño de un Sistema de Seguridad Informática se
distinguen tres etapas:
1. Determinar las necesidades de protección del sistema informático objeto
de análisis, que incluye:
• Caracterización del sistema informático.
• Identificación de las amenazas y estimación de los riesgos.
• Evaluación del estado actual de la seguridad.
2. Definir e implementar el sistema de seguridad que garantice minimizar
los riesgos identificados en la primera etapa.
Definir las políticas de seguridad.
Definir las medidas y procedimientos a implementar.
3. Evaluar el sistema de seguridad diseñado.
Debido a lo anterior resulta imprescindible desarrollar una estrategia a largo
plazo para tratar determinando los elementos más sensibles a verse
interrumpidos dentro del proceso de informatización que se viene produciendo.
Esta estrategia debe ser capaz de enfrentar y dar respuesta a los diferentes
tipos de incidentes que puedan presentarse, tanto los que se originan desde el
exterior, como los que tienen un carácter interno.
La misma además, debe considerar la creación de un mecanismo de
cooperación entre las distintas redes, que respalde y coordine los esfuerzos
entre las mismas, al tiempo que identifique y generalice las mejores
experiencias en este sentido.
Siendo necesario determinar como Objetivos del estudio:
1. Los sistemas críticos para la gestión en particular los soportados en redes
de datos, las amenazas que actúan sobre ellos, los niveles de riesgo y el
posible impacto.
2. Determinar el grado de dependencia actual y perspectivo con relación a
estos sistemas.
3. Establecer las políticas que se requieran para minimizar los riesgos sobre
los bienes informáticos críticos e implementar las acciones y mecanismos que
se necesiten para su prevencn, detección y recuperación.
4. Determinar los parámetros que permitan establecer niveles mínimos de
disponibilidad permisibles.
5. Establecer un sistema que garantice la continuidad de este estudio sobre la
base de los cambios que surjan y los incidentes que se produzcan.
La información es el activo más importante seguridad informática, persigue
mantener la confidencialidad, integridad y disponibilidad de la información, a
continuación se definen dichos conceptos:
1. La confidencialidad está dada cuando solo las personas autorizadas tienen
acceso a la información.
2. La disponibilidad cuando solo la información puede ser accedida por
personas autorizadas, cuando deseen.
3. La integridad consiste en garantizar que la información no sufra
modificación o alteración alguna con excepción de las personas autorizadas
para ello.
Cuando no se cumple con alguno de estos tres objetivos puede decirse que la
información se encuentra expuesta a vulnerabilidades que se puedan identificar
en sistemas de seguridad y amenazas; estas últimas al materializarse se
convierten en ataques.
La vulnerabilidad en un sistema puede identificarse como la debilidad que
cuando se localiza es utilizada para ocasionar daños al sistema, mientras que
la amenaza está dada por un número de situaciones que pueden ocasionar
daños y/o pérdida de información.
Anteriormente se mencionó que cuando una amenaza se materializa se
convierte en un ataque y estos se pueden clasificar en dos tipos: activos y
pasivos.
Cuando ocurre un ataque pasivo normalmente la información no sufre ninguna
modificación, solo se accede a ella, a la comunicación, sin alterar su flujo, con
el objetivo de interceptarla y analizar el tráfico. Dentro de los ejemplos que
podrían citarse se encuentra:
Ingeniería social.
Monitorización.
Sin embargo, cuando se refiere a un ataque activo, implica que además de
obtenerse información, la misma sufre modificaciones, puesto que se altera el
flujo de datos. Así ocurre en la suplantación de identidad, reactuación y
degradación fraudulenta del servicio.
La ingeniería social entre los cuáles se incluyen los ataque de Ingeniería Social
Inversa y el Trashing o Cartoneo; parte de la base que el factor humano es el
eslabón más débil de la seguridad. Se basa en la manipulación de las personas
para convencerlas de que realicen acciones o actos que revelen la información
necesaria para superar las barreras de seguridad (Pfleeger, 2006).
La monitorización se realizan para observar a la víctima y su sistema con el
objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Entre estos ataques tenemos el ShoulderSurffing , los Decoy o Señuelos, el
Phishing y el Scanning o Búsqueda el cuál a su vez tiene varias clasificaciones
(Pfleeger, 2006).
La suplantación de identidad es donde el intruso se hace pasar por una entidad
diferente. Normalmente incluye alguna de las otras formas de ataque activo.
Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas,
permitiendo a una entidad no autorizada acceder a una serie de recursos
privilegiados suplantando a la entidad que posee esos privilegios, como al
robar la contraseña de acceso a una cuenta. Entre estos ataques encontramos
los Spoofing y todas sus clasificaciones, IP Splicing Hijacking . (Pfleeger, 2006).
La reactuació son uno o varios mensajes legítimos son capturados y repetidos
para producir un efecto no deseado, como por ejemplo ingresar dinero
repetidas veces en una cuenta dada (Pfleeger, 2006).
La degradación fraudulenta del servicio: Partiendo de la base que los
protocolos existentes actualmente fueron diseñados para ser empleados en
una comunidad abierta y con una relación de confianza mutua, se puede
asegurar que es más fácil desorganizar el funcionamiento de un sistema que
acceder al mismo, y este tipo de ataques tiene como objetivo impedir o inhibir
el uso normal o la gestión de recursos informáticos y de comunicaciones. Entre
estos tipos de ataques tenemos los de DoS(Denegación de Servicios): el
Jamming o Flooding y sus diversas clasificaciones, el Smurf o Broadcast Storm
, y los Email sbombing-spammong .(Pfleeger, 2006).
Definiciones.
Amenaza: situación o acontecimiento que pueda causar daños a los bienes
informáticos.
Riesgo: probabilidad de que se produzca un daño.
Impacto: daños producidos por la materialización de una amenaza.
Vulnerabilidad: califica el nivel de riesgo de un sistema.
Sistemas críticos: aquellos cuya afectación puede paralizar o afectar
severamente la gestión de una organización.
Entre las deficiencias más comunes de la Seguridad Informática tenemos:
1. La gestión de la seguridad informática en la mayoría de las organizaciones
es prácticamente nula. La seguridad se ve como un producto y no como un
proceso. Se elabora el Plan de Seguridad Informática y se implementan
controles de seguridad y no se hace nada más hasta que ocurra un incidente.
2. Delegación de responsabilidades el diseño e implementación del Sistema
de Seguridad Informática y su gestión se delegan al área de Informática y los
Directivos se limitan escasamente a aprobarlo. El personal de informática tiene
vía libre para casi todas las cosas, desde la introducción o cambio de un
equipo, la creación de nuevos usuarios hasta la implementación de un nuevo
servicio.
3. Deficiente control y exigencia (o ausencia de ambas cosas). No se
supervisa el trabajo del personal, en particular el de los administradores de
redes. No existe un control adecuado de los servicios que brindan las redes de
datos, ni la asignación de las cuentas de acceso a estos servicios y su
utilización.
4. La subestimación del factor humano, no se presta la debida atención a la
selección, preparación y concienciación del personal ni al control de sus
acciones y las exigencias de sus obligaciones. Se instala un cortafuego y un
buen antivirus y se piensa que el problema está resuelto, cuando en realidad la
mayoría de los problemas se derivan de la acción del hombre.
5. Todas las responsabilidades en una misma persona. Se designa una
persona para atender la seguridad sobre la cual caen todas las obligaciones y
responsabilidades en esta materia, incluso las que corresponden a otros
miembros de la organización.
6. Sobrevaloración de la tercerización. Se contrata a una empresa consultora
para que lo haga todo, pensando que se tendrá que trabajar menos y que
habrá mayor seguridad. La seguridad no es cuestión de una vez, sino de todos
los días
7. Deficiente gestión de contraseñas. Incumplimiento de las normas
establecidas para el empleo de las contraseñas de acceso, al no contar con la
estructura y fortaleza requerida, no cambiarse con la debida frecuencia y no
garantizarse su privacidad.
8. Recursos compartidos. Se comparten archivos, carpetas e incluso discos
completos de forma indiscriminada con usuarios que no los requieren para su
trabajo y con privilegios de acceso total.
9. Gestión de trazas de auditoría. No se analizan las trazas del sistema
operativo, de los eventos y de la utilización de los servicios para detectar
indicios de comportamientos anómalos, limitándose su utilización al momento
en que se produce un incidente de seguridad. No se conservan, se conservan
solo algunas o por un tiempo menor de lo establecido por las normas, debido
frecuentemente a mecanismos mal configurados, indiferencia o intencionalidad.
10.Gestión de trazas de auditoría. No se analizan las trazas del sistema
operativo, de los eventos y de la utilización de los servicios para detectar
indicios de comportamientos anómalos, limitándose su utilización al momento
en que se produce un incidente de seguridad. No se conservan, se conservan
solo algunas o por un tiempo menor de lo establecido por las normas, debido
frecuentemente a mecanismos mal configurados, indiferencia o intencionalidad.
11. Información de respaldo. No se realizan copias de seguridad (salvas) de la
información crítica de la entidad (en servidores y estaciones) que permitan la
recuperación efectiva después de un incidente. Con frecuencia tampoco se
guarda copia de las configuraciones de los sistemas y redes.
12. Programas malignos. Deficiente aplicación de los procedimientos
establecidos para evitar la introducción y propagación de programas malignos.
13. Medios removibles. Empleo indiscriminado de medios removibles (discos
externos, dispositivos USB, tarjetas de memoria, CD´s, DVD´s), sin
autorización ni control.
14. Acceso a redes globales. No se configuran correctamente los servidores
para el acceso a internet y no instalan cortafuegos bien configurados acorde
con el trabajo de la organización, ni detectores de intrusos con las reglas
apropiadas, ni alarmas de eventos.
El alcance expresará el radio de acción que abarca el Plan, de acuerdo al
Sistema Informático objeto de protección, para el cual fueron determinados los
riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido
claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo)
estriba en que permite tener a priori una idea precisa de la extensión y los
límites en que el mismo tiene vigencia.
Los aspectos que conforman la estrategia a seguir por la Entidad sobre la base
de sus características propias y en conformidad con la política vigente en el
país en esta materia y el sistema de seguridad diseñado, mediante el
establecimiento de las normas generales que debe cumplir el personal que
participa en el sistema informático, las cuales se derivan de los resultados
obtenidos en el análisis de riesgos y de las definidas por las instancias
superiores en las leyes, reglamentos, resoluciones y otros documentos
rectores. Al definir las políticas de Seguridad Informática se considerarán, entre
otros, los aspectos siguientes:
El empleo conveniente y seguro de las tecnologías instaladas y cada uno de
los servicios que éstas pueden ofrecer.
El tratamiento que requiere la información oficial que se procese,
intercambie, reproduzca o conserve a través de las tecnologías de información,
según su categoría.
La definición de los privilegios y derechos de acceso a los activos de
información para garantizar su protección contra modificaciones no
autorizadas, pérdidas o revelación.
Los principios que garanticen un efectivo control de acceso a las
tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se
encuentren.
La salva y conservación de la información.
La conexión a redes externas a la Entidad, en especial las de alcance global
y la utilización de sus servicios.
Los requerimientos de Seguridad Informática a tener en cuenta durante el
diseño o la adquisición de nuevas tecnologías o proyectos de software.
La definición de los principios relacionados con el monitoreo del correo
electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros de
usuario.
El mantenimiento, reparación y traslado de las tecnologías y el personal
técnico que requiere acceso a las mismas por esos motivos.
Las regulaciones con relación a la certificación, instalación y empleo de los
Sistemas de Protección Electromagnética.
Las regulaciones relacionadas con la certificación, instalación y empleo de
los Sistemas Criptográficos, en los casos que se requiera.
Los principios generales para el tratamiento de incidentes y violaciones de
seguridad.
Por tanto es necesario destacar instrumentos legales que se han puesto en
vigor desde 1990 en nuestro país relacionados con la seguridad informática:
Resolución 3 de 1992 del INSAC, Reglamento de Protección de Datos.
Resolución 6 de 1996 del MININT, Reglamento sobre la Seguridad
Informática.
Resolución 204 de 1996 del SIME, Reglamento sobre la Protección y
Seguridad Técnica de los Sistemas Informáticos (Derogada).
Decreto Ley 199 de 1999, Sobre la Seguridad y Protección de la
Información Oficial.
Metodología del Plan de Seguridad Informática del 2000.
Metodología del Diseño Sistema de Seguridad Informática del 2001.
Acta MINFAR – MININT - MIC del 2004.
Acuerdo 6058 del 2007 del CECM, Lineamientos para el Perfeccionamiento
de la Seguridad de las Tecnologías de la Información y la Comunicación.
Resolución 127 del 2007 del MIC, Reglamento de Seguridad para las
Tecnologías de la Información.
En aras de proteger las políticas generales que han sido definidas para toda la
entidad, en correspondencia con las necesidades de protección en cada una de
ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante
y medios.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los
niveles de seguridad alcanzados se elaborará un Programa de Seguridad
Informática, que incluya las acciones a realizar por etapas para lograr niveles
superiores.
Se describirán por separado los controles de seguridad implementados en
correspondencia con su naturaleza, de acuerdo al empleo que se haga de los
medios humanos, de los medios técnicos o de las medidas y procedimientos
que debe cumplir el personal.
1. Medios Humanos: Aquí se hará referencia al papel del personal dentro del
sistema de seguridad implementado, definiendo sus responsabilidades y
funciones respecto al diseño, establecimiento, control, ejecución y
actualización del mismo.
Se describirá la estructura concebida en la Entidad para la gestión de la
Seguridad Informática, especificando las atribuciones y funciones de las
distintas categorías de personal, que incluyen: dirigentes a los distintos niveles
(Jefe de la entidad, Jefes de departamentos, áreas y grupos de trabajo o
estructuras equivalentes); Jefes y especialistas de informática; Administradores
de redes, sistemas y aplicaciones; Especialistas de Seguridad y Protección;
Responsables de Seguridad Informática y Usuarios comunes de las
tecnologías de Información.
2. Medios Técnicos de Seguridad: Se describirán los medios técnicos
utilizados en función de garantizar niveles de seguridad adecuados, tanto al
nivel de software como de hardware, así como la configuración de los mismos.
Para lo cual se tendrá en cuenta:
Sistemas Operativos y nivel de seguridad instalado.
Tipo de redes utilizadas y topología de las mismas.
Conexiones a redes externas a la entidad.
Servidores de uso interno y externo.
Configuración de los servicios.
Barreras de protección y su arquitectura.
Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
Filtrado de paquetes.
Herramientas de administración y monitoreo.
Habilitación de trazas y subsistemas de auditoría.
Establecimiento de alarmas del sistema.
Sistemas de protección criptográfica.
Dispositivos de identificación y autenticación de usuarios.
Protección contra programas no deseados.
Softwares especiales de seguridad.
Medios técnicos de detección de intrusos.
Cerraduras de disqueteras.
Dispositivos de protección contra robo de equipos y componentes.
Sistemas de aterramiento.
Protección electromagnética.
Fuentes de respaldo de energía eléctrica.
Medios contra incendios.
Medios de climatización.
Otros.
3. Medidas y Procedimientos de Seguridad Informática.
En esta parte del Plan se relacionarán las acciones que deben ser realizadas
en cada área específica por el personal a que se hace referencia en el
apartado 5.1, en correspondencia con las políticas generales para toda la
entidad establecidas en el apartado 4 y con la ayuda, en los casos que lo
requieran, de los medios técnicos descritos en el 5.2, adecuando las mismas a
las necesidades de protección de cada una de ellas de acuerdo con el peso del
riesgo estimado para cada bien informático objeto de protección.
Las medidas y procedimientos de Seguridad Informática que de manera
específica (no deben ser confundidas con las políticas que tienen un carácter
general) sean requeridas en las distintas áreas, serán definidas de manera
suficientemente clara y precisa, evitando interpretaciones ambiguas por parte
de quienes tienen que ejecutarlas y son de obligatorio cumplimiento por las
partes implicadas.
Su redacción deberá hacerse lo más clara y sencilla posible, precisando de
manera inequívoca los pasos a seguir en cada caso para evitar posibles
interpretaciones incorrectas, de forma tal que puedan ser ejecutados fielmente
por las personas responsabilizadas para ello, sin necesidad de alguna otra
ayuda adicional. En caso de agruparse todos como un anexo, el formato a
utilizar será el siguiente:
Denominación del procedimiento (título).
Secuencia de las acciones a realizar.
Especificando en cada caso: qué se hace, cómo se hace y quién lo hace, así
como los recursos que sean necesarios para su cumplimiento.
Algunos procedimientos a considerar son los siguientes:
Otorgar (retirar) el acceso de personas a las tecnologías de información y
como se controla el mismo.
Asignar (retirar) derechos y permisos sobre los ficheros y datos a los
usuarios.
Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico,
Internet)
Definir perfiles de trabajo.
Autorización y control de la entrada/salida de las tecnologías de
información.
Gestionar las claves de acceso considerando para cada nivel el tipo de
clave atendiendo a su longitud y composición, la frecuencia de
actualización, quién debe cambiarla, su custodia, etc.
Realización de salva de respaldo, según el régimen de trabajo de las áreas,
de forma que las salvas se mantengan actualizadas, y las acciones que se
adoptan para establecer la salvaguarda de las mismas, de forma que se
garantice la compartimentación de la información según su nivel de
confidencialidad.
Garantizar que los mantenimientos de los equipos, soportes y datos, se
realicen en presencia y bajo la supervisión de personal responsable y que
en caso del traslado del equipo fuera de la entidad la información
clasificada o limitada sea borrada físicamente o protegida su divulgación.
Salva y análisis de registros o trazas de auditoria, especificando quien lo
realiza y con qué frecuencia.
Se precisarán, a partir de las definiciones establecidas en el Reglamento
sobre la Seguridad Informática, las áreas que se consideran vitales y
reservadas en correspondencia con el tipo de información que se procese,
intercambie, reproduzca o conserve en las mismas o el impacto que pueda
ocasionar para la Entidad la afectación de los activos o recursos que en
ellas se encuentren, relacionando las medidas y procedimientos específicos
que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso
a los locales, procedimientos para el empleo de cierres de seguridad y
dispositivos técnicos de detección de intrusos, etc.)
Las medidas y procedimientos de empleo de medios técnicos de protección
física directamente aplicados a las tecnologías de información que por las
funciones a que están destinadas o por las condiciones de trabajo de las
áreas en que se encuentran ubicadas lo requieran. (Ejemplo: utilización de
cerraduras de disquetera, anclaje de chasis, cerradura de encendido del
procesador etc.)
Posición de las tecnologías de información destinadas al procesamiento de
información con alto grado de confidencialidad o sensibilidad en el local de
forma que se evite la visibilidad de la información a distancia, minimice la
posibilidad de captación de las emisiones electromagnéticas y garantice un
mejor cuidado y conservación de las mismas.
Medidas y procedimientos para garantizar el control de las tecnologías de
información existentes, durante su explotación, conservación,
mantenimiento y traslado.
A los soportes de información se describirá el régimen de control establecido
sobre los soportes magnéticos de información refiriéndose entre otros aspectos
a:
Lo relacionado con la identificación de los soportes removibles autorizados
a utilizar dentro de la entidad, incluyendo su identificación física y lógica.
Las condiciones de conservación de los soportes, especificando las
medidas que garanticen la integridad y confidencialidad de la información
en ellos recogida.
Las medidas y procedimientos que se establecen para garantizar el borrado
o destrucción física de la información clasificada o limitada contenida en un
soporte una vez cumplida su finalidad.
Las medidas y procedimientos que se establecen para garantizar la
integridad y confidencialidad de la información clasificada o limitada durante
el traslado de los soportes.
Técnicas o Lógicas se especificarán las medidas y procedimientos de
seguridad que se establezcan, cuya implementación se realice a través de
software, hardware o ambas.
Identificación de usuarios se explica el método empleado para la
identificación de los usuarios ante los sistemas, servicios y aplicaciones
existentes, especificando:
Como se asignan los identificadores de usuarios.
Si existe una estructura estándar para la conformación de los identificadores
de usuarios.
Quien asigna los identificadores de usuarios.
Como se eliminan los identificadores de usuarios una vez que concluya la
necesidad de su uso y como se garantiza que estos no sean utilizados
nuevamente.
Proceso de revisión de utilización y vigencia de los identificadores de
usuarios asignados.
Autenticación de usuarios se explicará el método de autenticación empleado
para comprobar la identificación de los usuarios ante los sistemas, servicios y
aplicaciones existentes.
Cuando se utilice algún dispositivo específico de autenticación se describirá su
forma de empleo. En el caso de empleo de autenticación simple por medio de
contraseñas se especificará:
Como son asignadas las contraseñas.
Tipos de contraseñas utilizadas (Setup, Protector de pantalla, Aplicaciones,
etc.)
Estructura y periodicidad de cambio que se establezca para garantizar la
fortaleza de las contraseñas utilizadas en los sistemas, servicios y
aplicaciones, en correspondencia con el peso de riesgo estimado para los
mismos.
Causas que motivan el cambio de contraseñas antes de que concluya el
plazo establecido.
Control de acceso a los activos y recursos se describirán las medidas y
procedimientos que aseguran el acceso autorizado a los activos de información
y recursos informáticos que requieren la imposición de restricciones a su
empleo, especificando:
A que activos y recursos se le implementan medidas de control de acceso.
Métodos de control de acceso utilizados.
Quien otorga los derechos y privilegios de acceso.
A quien se otorgan los derechos y privilegios de acceso.
Como se otorgan y suspenden los derechos y privilegios de acceso.
El control de acceso a los activos y recursos deberá estar basado en una
política de “mínimo privilegio”, en el sentido de otorgar a cada usuario solo los
derechos y privilegios que requiera para el cumplimiento de las funciones que
tenga asignadas.
Integridad de los ficheros y datos se describirán las medidas y procedimientos
establecidos con el fin de evitar la modificación no autorizada, destrucción y
pérdida de los ficheros y datos, así como para impedir que sean accedidos
públicamente, especificando:
Medidas de seguridad implementadas a nivel de sistemas operativos,
aplicación o ambos para restringir y controlar el acceso a las bases de
datos.
Medidas para garantizar la integridad del software y la configuración de los
medios técnicos.
Empleo de medios criptográficos para la protección de ficheros y datos.
Medidas y procedimientos establecidos para la protección contra virus y
otros programas dañinos que puedan afectar los sistemas en explotación,
así como para evitar su generalización, especificando los programas
antivirus utilizados y su régimen de instalación y actualización.
Auditoría y Alarmas describirá las medidas y procedimientos implementados
para el registro y análisis de las trazas de auditoría en las redes y sistemas
instalados, con el fin de monitorear las acciones que se realicen (acceso a
ficheros, dispositivos, empleo de los servicios, etc.), y detectar indicios de
hechos relevantes a los efectos de la seguridad que puedan afectar la
estabilidad o el funcionamiento del sistema informático.
En caso de empleo de software especializado que permita la detección de
posibles errores de configuración u otras vulnerabilidades se describirán los
procedimientos requeridos. Además las medidas que garanticen la integridad
de los mecanismos y registros de auditoría limitando su acceso solo a las
personas autorizadas para ello.
La seguridad de operaciones se incluirá las medidas y procedimientos
relacionados identificación y control de las tecnologías en explotación, en
particular aquellas donde se procese información clasificada. Control sobre la
entrada y salida en la entidad de las tecnologías de información (máquinas
portátiles, periféricos, soportes, etc.).
•Metodología establecida para las salvas de la información, especificando su
periodicidad, responsabilidades, cantidad de versiones, etc.).
La recuperación ante contingencias las medidas y procedimientos de
neutralización y recuperación ante cualquier eventualidad que pueda paralizar
total o parcialmente la actividad informática o degraden su funcionamiento,
minimizando el impacto negativo de éstas sobre la entidad.
A partir de los resultados obtenidos en el análisis de riesgos, se determinarán
las acciones a realizar para neutralizar aquellas amenazas que tengan mayor
probabilidad de ocurrencia en caso de materializarse, así como para la
recuperación de los procesos, servicios o sistemas afectados.
Conclusiones.
La seguridad informática debe integrar componentes dirigidos a alcanzar una
sólida preparación desde el punto de vista político e ideológico para la
seguridad informática, donde se aborden los temas y dilemas de los valores
morales que son afectados con conductas impropias a nuestra sociedad en el
uso de las tecnologías, los fundamentos de la seguridad informática,
conocimiento de sus conceptos fundamentales, políticas, normas y
regulaciones, la seguridad informática en las tareas o actividades cotidianas,
como los conocimientos necesarios desde las tecnologías informáticas
esenciales para su desempeño, violaciones de la seguridad informática, virus
informáticos, necesidad de las claves de acceso, medidas de prevención ante
el uso de dispositivos externos, necesidad de salvas de información,
configuraciones en herramientas y aplicaciones informáticas, son los
conocimientos necesarios de algunas herramientas y aplicaciones esenciales
para el desempeño con el correo electrónico, mensajería instantánea,
aplicaciones ofimáticas, actualizaciones del sistema operativo, antivirus,
necesidad de detectar y reporte de incidentes. Los elementos seguridad
informática son con el objetivo de facilitar herramientas y procedimientos
pedagógicos para su desempeño con los usuarios de las tecnologías
informáticas y las redes, en la ilustración, motivación y concientización hacia
este tema, como vía de educar.
Bibliografía.
Adiestramiento en Seguridad Informática, Empresa Consultora DISAIC,
del Ministerio de la Industria Sidero Mecánica (SIME), Abril 2010.
García García, Armando. Seguridad Informática, Base Legal. Taller SCDI
Ciego de Ávila, Noviembre 2012.
Arencibia González, Mario. Selección de lecturas sobre Ética
Informática. La Habana: s.n., 2006.
Arteaga, Chacón y otros: Dimensión ética de la educación cubana.
Editorial Pueblo y Educacn 2006.
MIERES, JORGE. Ataques informáticos Debilidades de seguridad
comúnmente explotadas. 2009.
PFLEEGER, CHARLES P. Security in computing (4th Edition) ISBN:978-
0-13-239077-4. 2006.

Hazle saber al autor que aprecias su trabajo

Estás en libertad de marcarlo con "Me gusta" o no

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Escrito por:

Cita esta página
Pereda Quiroga Miguel Angel. (2016, febrero 10). Diseño de un Sistema de Seguridad Informática en Cuba. Recuperado de http://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/
Pereda Quiroga, Miguel Angel. "Diseño de un Sistema de Seguridad Informática en Cuba". GestioPolis. 10 febrero 2016. Web. <http://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/>.
Pereda Quiroga, Miguel Angel. "Diseño de un Sistema de Seguridad Informática en Cuba". GestioPolis. febrero 10, 2016. Consultado el 10 de Diciembre de 2016. http://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/.
Pereda Quiroga, Miguel Angel. Diseño de un Sistema de Seguridad Informática en Cuba [en línea]. <http://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/> [Citado el 10 de Diciembre de 2016].
Copiar
Imagen del encabezado cortesía de elliottcable en Flickr