Diseño de un Sistema de Seguridad Informática en Cuba

 Introducción.

Todo cambio tecnológico tiene ventajas, pero debemos ser conscientes de sus desventajas, el uso de las Tecnologías Informáticas (TI), ha significado un adelanto incuestionable, pero también su uso inadecuado ha introducido nuevas manifestaciones inapropiadas para la sociedad.

Cuba país bloqueado por la potencia imperialista más rica del mundo, que domina las grandes transnacionales de las tecnologías, ha sabido de manera inteligente y racional articular coherentemente sus metas sociales, en los Lineamientos para la Informatización de la Sociedad Cubana. Las Tecnologías Informáticas (TI) en Cuba, constituyen medios educativos dirigidos a la educación, no sólo para las escuelas, sino también para toda la sociedad.

Su desarrollo perspectivo, debe articular coherentemente con las metas sociales trazadas en los Lineamientos para la Informatización de la Sociedad Cubana, con las estrategias y metas planteadas en eventos internacionales, como el Foro Mundial sobre la Educación, en Dakar, Senegal (Abril del 2000), las Cumbres Mundiales de la Sociedad de la Información Celebradas en Ginebra, Suiza (Diciembre 2003) y la de Tunes Turquía (Diciembre del 2005), las Conferencias Ibero Americanas de Ministros de Educación (Chile Julio 2007 y San Salvador Mayo 2008), donde se destaca la misión que desempeña la educación en estos propósitos.

Ellas son empleadas, con fines educativos, para la formación y consolidación de valores y principios revolucionarios, sustentados en bases sólidas acordes con nuestra ideología martiana, marxista y fidelista, en aras de formar a un hombre plenamente instruido, con una conducta moral, espiritual y revolucionaria en correspondencia con nuestro modelo socialista.

Para ello es importante saber que la seguridad informática, según Pfleeger, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática es un proceso que comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

El Plan de Seguridad Informática es diseñado y constituye el documento básico que establece los principios organizativos y funcionales de la actividad de Seguridad Informática en una entidad y recoge claramente las políticas de seguridad y las responsabilidades de cada uno de los participantes en el proceso informático, así como las medidas y procedimientos que permitan prevenir, detectar y responder a las amenazas que gravitan sobre el mismo.

Durante el proceso de diseño de un Sistema de Seguridad Informática se distinguen tres etapas:

  1. Determinar las necesidades de protección del sistema informático objeto de análisis, que incluye:
  • Caracterización del sistema informático.
  • Identificación de las amenazas y estimación de los riesgos.
  • Evaluación del estado actual de la seguridad.
  1. Definir e implementar el sistema de seguridad que garantice minimizar los riesgos identificados en la primera etapa.
  • Definir las políticas de seguridad.
  • Definir las medidas y procedimientos a implementar.
  1. Evaluar el sistema de seguridad diseñado.

Debido a lo anterior resulta imprescindible desarrollar una estrategia a largo plazo para tratar determinando los elementos más sensibles a verse interrumpidos dentro del proceso de informatización que se viene produciendo. Esta estrategia debe ser capaz de enfrentar y dar respuesta a los diferentes tipos de incidentes que puedan presentarse, tanto los que se originan desde el exterior, como los que tienen un carácter interno.

Responde esta encuesta sobre consumo de redes sociales. Nos ayudará a brindarte mejor información.

¿Usas sitios de redes sociales para encontrar información académica o laboral?*

¿Usas sitios de redes sociales para encontrar información académica o laboral?*

By Wordpress Survey plugin

¿Qué sitios de redes sociales utilizas para investigación académica o laboral*

¿Qué sitios de redes sociales utilizas para investigación académica o laboral*

Puedes seleccionar las opciones que quieras.

By Wordpress Survey plugin

Que tipo de dispositivo usas al utilizar redes sociales*

Que tipo de dispositivo usas al utilizar redes sociales*

By Wordpress Survey plugin

¿Cuántas cuentas de redes sociales tienes?*

¿Cuántas cuentas de redes sociales tienes?*

By Wordpress Survey plugin

¿Cuántas horas a la semana le dedicas a las redes sociales?*

¿Cuántas horas a la semana le dedicas a las redes sociales?*

By Wordpress Survey plugin

La misma además, debe considerar la creación de un mecanismo de cooperación entre las distintas redes, que respalde y coordine los esfuerzos entre las mismas, al tiempo que identifique y generalice las mejores experiencias en este sentido.

Siendo necesario determinar como Objetivos del estudio:

  1. Los sistemas críticos para la gestión en particular los soportados en redes de datos, las amenazas que actúan sobre ellos, los niveles de riesgo y el posible impacto.
  2. Determinar el grado de dependencia actual y perspectivo con relación a estos sistemas.
  3. Establecer las políticas que se requieran para minimizar los riesgos sobre los bienes informáticos críticos e implementar las acciones y mecanismos que se necesiten para su prevención, detección y recuperación.
  4. Determinar los parámetros que permitan establecer niveles mínimos de disponibilidad permisibles.
  5. Establecer un sistema que garantice la continuidad de este estudio sobre la base de los cambios que surjan y los incidentes que se produzcan.

La información es el activo más importante seguridad informática, persigue mantener la confidencialidad, integridad y disponibilidad de la información, a continuación se definen dichos conceptos:

  1. La confidencialidad está dada cuando solo las personas autorizadas tienen acceso a la información.
  2. La disponibilidad cuando solo la información puede ser accedida por personas autorizadas, cuando deseen.
  3. La integridad consiste en garantizar que la información no sufra modificación o alteración alguna con excepción de las personas autorizadas para ello.

Cuando no se cumple con alguno de estos tres objetivos puede decirse que la información se encuentra expuesta a vulnerabilidades que se puedan identificar en sistemas de seguridad y amenazas; estas últimas al materializarse se convierten en ataques.

La vulnerabilidad en un sistema puede identificarse como la debilidad que cuando se localiza es utilizada para ocasionar daños al sistema, mientras que la amenaza está dada por un número de situaciones que pueden ocasionar daños y/o pérdida de información.

Anteriormente se mencionó que cuando una amenaza se materializa se convierte en un ataque y estos se pueden clasificar en dos tipos: activos y pasivos.

Cuando ocurre un ataque pasivo normalmente la información no sufre ninguna modificación, solo se accede a ella, a la comunicación, sin alterar su flujo, con el objetivo de interceptarla y analizar el tráfico. Dentro de los ejemplos que podrían citarse se encuentra:

  • Ingeniería social.
  • Monitorización.

Sin embargo, cuando se refiere a un ataque activo, implica que además de obtenerse información, la misma sufre modificaciones, puesto que se altera el flujo de datos. Así ocurre en la suplantación de identidad, reactuación y degradación fraudulenta del servicio.

La ingeniería social entre los cuáles se incluyen los ataque de Ingeniería Social Inversa y el Trashing o Cartoneo; parte de la base que el factor humano es el eslabón más débil de la seguridad. Se basa en la manipulación de las personas para convencerlas de que realicen acciones o actos que revelen la información necesaria para superar las barreras de seguridad (Pfleeger, 2006).

La monitorización se realizan para observar a la víctima y su sistema con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro. Entre estos ataques tenemos el ShoulderSurffing , los Decoy o Señuelos, el Phishing y el Scanning o Búsqueda el cuál a su vez tiene varias clasificaciones (Pfleeger, 2006).

La suplantación de identidad es donde el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta. Entre estos ataques encontramos los Spoofing y todas sus clasificaciones, IP Splicing Hijacking . (Pfleeger, 2006).

La reactuació son uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada (Pfleeger, 2006).

La degradación fraudulenta del servicio: Partiendo de la base que los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua, se puede asegurar que es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo, y este tipo de ataques tiene como objetivo impedir o inhibir el uso normal o la gestión de recursos informáticos y de comunicaciones. Entre estos tipos de ataques tenemos los de DoS(Denegación de Servicios): el Jamming o Flooding y sus diversas clasificaciones, el Smurf o Broadcast Storm , y los Email sbombing-spammong .(Pfleeger, 2006).

Definiciones.

Amenaza: situación o acontecimiento que pueda causar daños a los bienes     informáticos.

Riesgo: probabilidad de que se produzca un daño.

Impacto: daños producidos por la materialización de una amenaza.

Vulnerabilidad: califica el nivel de riesgo de un sistema.

Sistemas críticos: aquellos cuya afectación puede paralizar o afectar severamente la gestión de una organización.

Entre las deficiencias más comunes de la Seguridad Informática tenemos:

  1. La gestión de la seguridad informática en la mayoría de las organizaciones es prácticamente nula. La seguridad se ve como un producto y no como un proceso. Se elabora el Plan de Seguridad Informática y se implementan controles de seguridad y no se hace nada más hasta que ocurra un incidente.
  2. Delegación de responsabilidades el diseño e implementación del Sistema de Seguridad Informática y su gestión se delegan al área de Informática y los Directivos se limitan escasamente a aprobarlo. El personal de informática tiene vía libre para casi todas las cosas, desde la introducción o cambio de un equipo, la creación de nuevos usuarios hasta la implementación de un nuevo servicio.
  3. Deficiente control y exigencia (o ausencia de ambas cosas). No se supervisa el trabajo del personal, en particular el de los administradores de redes. No existe un control adecuado de los servicios que brindan las redes de datos, ni la asignación de las cuentas de acceso a estos servicios y su utilización.
  4. La subestimación del factor humano, no se presta la debida atención a la selección, preparación y concienciación del personal ni al control de sus acciones y las exigencias de sus obligaciones. Se instala un cortafuego y un buen antivirus y se piensa que el problema está resuelto, cuando en realidad la mayoría de los problemas se derivan de la acción del hombre.
  5. Todas las responsabilidades en una misma persona. Se designa una persona para atender la seguridad sobre la cual caen todas las obligaciones y responsabilidades en esta materia, incluso las que corresponden a otros miembros de la organización.
  6. Sobrevaloración de la tercerización. Se contrata a una empresa consultora para que lo haga todo, pensando que se tendrá que trabajar menos y que habrá mayor seguridad. La seguridad no es cuestión de una vez, sino de todos los días
  7. Deficiente gestión de contraseñas. Incumplimiento de las normas establecidas para el empleo de las contraseñas de acceso, al no contar con la estructura y fortaleza requerida, no cambiarse con la debida frecuencia y no garantizarse su privacidad.
  8. Recursos compartidos. Se comparten archivos, carpetas e incluso discos completos de forma indiscriminada con usuarios que no los requieren para su trabajo y con privilegios de acceso total.
  9. Gestión de trazas de auditoría. No se analizan las trazas del sistema operativo, de los eventos y de la utilización de los servicios para detectar indicios de comportamientos anómalos, limitándose su utilización al momento en que se produce un incidente de seguridad. No se conservan, se conservan solo algunas o por un tiempo menor de lo establecido por las normas, debido frecuentemente a mecanismos mal configurados, indiferencia o intencionalidad.
  10. Gestión de trazas de auditoría. No se analizan las trazas del sistema operativo, de los eventos y de la utilización de los servicios para detectar indicios de comportamientos anómalos, limitándose su utilización al momento en que se produce un incidente de seguridad. No se conservan, se conservan solo algunas o por un tiempo menor de lo establecido por las normas, debido frecuentemente a mecanismos mal configurados, indiferencia o intencionalidad.
  11. Información de respaldo. No se realizan copias de seguridad (salvas) de la información crítica de la entidad (en servidores y estaciones) que permitan la recuperación efectiva después de un incidente. Con frecuencia tampoco se guarda copia de las configuraciones de los sistemas y redes.
  12. Programas malignos. Deficiente aplicación de los procedimientos establecidos para evitar la introducción y propagación de programas malignos.
  13. Medios removibles. Empleo indiscriminado de medios removibles (discos externos, dispositivos USB, tarjetas de memoria, CD´s, DVD´s), sin autorización ni control.
  14. Acceso a redes globales. No se configuran correctamente los servidores para el acceso a internet y no instalan cortafuegos bien configurados acorde con el trabajo de la organización, ni detectores de intrusos con las reglas apropiadas, ni alarmas de eventos.

El alcance expresará  el radio de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensión y los límites en que el mismo tiene vigencia.

Los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridad diseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, los aspectos siguientes:

  • El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer.
  • El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
  • La definición de los privilegios y derechos de acceso a los activos de información para garantizar su protección contra modificaciones no autorizadas, pérdidas o revelación.
  • Los principios que garanticen un efectivo control de acceso a las tecnologías, incluyendo el acceso remoto, y a los locales donde éstas se encuentren.
  • La salva y conservación de la información.
  • La conexión a redes externas a la Entidad, en especial las de alcance global y la utilización de sus servicios.
  • Los requerimientos de Seguridad Informática a tener en cuenta durante el diseño o la adquisición de nuevas tecnologías o proyectos de software.
  • La definición de los principios relacionados con el monitoreo del correo electrónico, la gestión de las trazas de auditoría y el acceso a los ficheros de usuario.
  • El mantenimiento, reparación y traslado de las tecnologías y el personal técnico que requiere acceso a las mismas por esos motivos.
  • Las regulaciones con relación a la certificación, instalación y empleo de los Sistemas de Protección Electromagnética.
  • Las regulaciones relacionadas con la certificación, instalación y empleo de los Sistemas Criptográficos, en los casos que se requiera.
  • Los principios generales para el tratamiento de incidentes y violaciones de seguridad.

Por tanto es necesario destacar instrumentos legales que se han puesto en vigor desde 1990 en nuestro país relacionados con la seguridad informática:

  • Resolución 3 de 1992 del INSAC, Reglamento de Protección de Datos.
  • Resolución 6 de 1996 del MININT, Reglamento sobre la Seguridad Informática.
  • Resolución 204 de 1996 del SIME, Reglamento sobre la Protección y Seguridad Técnica de los Sistemas Informáticos (Derogada).
  • Decreto Ley 199 de 1999, Sobre la Seguridad y Protección de la Información Oficial.
  • Metodología del Plan de Seguridad Informática del 2000.
  • Metodología del Diseño Sistema de Seguridad Informática del 2001.
  • Acta MINFAR – MININT – MIC del 2004.
  • Acuerdo 6058 del 2007 del CECM, Lineamientos para el Perfeccionamiento de la Seguridad de las Tecnologías de la Información y la Comunicación.
  • Resolución 127 del 2007 del MIC, Reglamento de Seguridad para las Tecnologías de la Información.

En aras de proteger las políticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios.

Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborará un Programa de Seguridad Informática, que incluya las acciones a realizar por etapas para lograr niveles superiores.

Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal.

  1. Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo.

Se describirá la estructura concebida en la Entidad para la gestión de la Seguridad Informática, especificando las atribuciones y funciones de las distintas categorías de personal, que incluyen: dirigentes a los distintos niveles (Jefe de la entidad, Jefes de departamentos, áreas y grupos de trabajo o estructuras equivalentes); Jefes y especialistas de informática; Administradores de redes, sistemas y aplicaciones; Especialistas de Seguridad y Protección; Responsables de Seguridad Informática y Usuarios comunes de las tecnologías de Información.

  1. Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
  • Sistemas Operativos y nivel de seguridad instalado.
  • Tipo de redes utilizadas y topología de las mismas.
  • Conexiones a redes externas a la entidad.
  • Servidores de uso interno y externo.
  • Configuración de los servicios.
  • Barreras de protección y su arquitectura.
  • Empleo de Firewall, de Hosts Bastiones, Sistemas Proxy, etc.
  • Filtrado de paquetes.
  • Herramientas de administración y monitoreo.
  • Habilitación de trazas y subsistemas de auditoría.
  • Establecimiento de alarmas del sistema.
  • Sistemas de protección criptográfica.
  • Dispositivos de identificación y autenticación de usuarios.
  • Protección contra programas no deseados.
  • Softwares especiales de seguridad.
  • Medios técnicos de detección de intrusos.
  • Cerraduras de disqueteras.
  • Dispositivos de protección contra robo de equipos y componentes.
  • Sistemas de aterramiento.
  • Protección electromagnética.
  • Fuentes de respaldo de energía eléctrica.
  • Medios contra incendios.
  • Medios de climatización.
  • Otros
  1. Medidas y Procedimientos de Seguridad Informática.

En esta parte del Plan se relacionarán las acciones que deben ser realizadas en cada área específica por el personal a que se hace referencia en el apartado 5.1, en correspondencia con las políticas generales para toda la entidad establecidas en el apartado 4 y con la ayuda, en los casos que lo requieran, de los medios técnicos descritos en el 5.2, adecuando las mismas a las necesidades de protección de cada una de ellas de acuerdo con el peso del riesgo estimado para cada bien informático objeto de protección.

Las medidas y procedimientos de Seguridad Informática que de manera específica (no deben ser confundidas con las políticas que tienen un carácter general) sean requeridas en las distintas áreas, serán definidas de manera suficientemente clara y precisa, evitando interpretaciones ambiguas por parte de quienes tienen que ejecutarlas y son de obligatorio cumplimiento por las partes implicadas.

Su redacción deberá hacerse lo más clara y sencilla posible, precisando de manera inequívoca los pasos a seguir en cada caso para evitar posibles interpretaciones incorrectas, de forma tal que puedan ser ejecutados fielmente por las personas responsabilizadas para ello, sin necesidad de alguna otra ayuda adicional. En caso de agruparse todos como un anexo, el formato a utilizar será el siguiente:

  • Denominación del procedimiento (título).
  • Secuencia de las acciones a realizar.

Especificando en cada caso: qué se hace, cómo se hace y quién lo hace, así como los recursos que sean necesarios para su cumplimiento.

Algunos procedimientos a considerar son los siguientes:

  • Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo.
  • Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
  • Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)
  • Definir perfiles de trabajo.
  • Autorización y control de la entrada/salida de las tecnologías de información.
  • Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
  • Realización de salva de respaldo, según el régimen de trabajo de las áreas, de forma que las salvas se mantengan actualizadas, y las acciones que se adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentación de la información según su nivel de confidencialidad.
  • Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación.
  • Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.
  • Se precisarán, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informática, las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectación de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos específicos que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos técnicos de detección de intrusos, etc.)
  • Las medidas y procedimientos de empleo de medios técnicos de protección física directamente aplicados a las tecnologías de información que por las funciones a que están destinadas o por las condiciones de trabajo de las áreas en que se encuentran ubicadas lo requieran. (Ejemplo: utilización de cerraduras de disquetera, anclaje de chasis, cerradura de encendido del procesador etc.)
  • Posición de las tecnologías de información destinadas al procesamiento de información con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la información a distancia, minimice la posibilidad de captación de las emisiones electromagnéticas y garantice un mejor cuidado y conservación de las mismas.
  • Medidas y procedimientos para garantizar el control de las tecnologías de información existentes, durante su explotación, conservación, mantenimiento y traslado.

A los soportes de información se describirá el régimen de control establecido sobre los soportes magnéticos de información refiriéndose entre otros aspectos a:

  • Lo relacionado con la identificación de los soportes removibles autorizados a utilizar dentro de la entidad, incluyendo su identificación física y lógica.
  • Las condiciones de conservación de los soportes, especificando las medidas que garanticen la integridad y confidencialidad de la información en ellos recogida.
  • Las medidas y procedimientos que se establecen para garantizar el borrado o destrucción física de la información clasificada o limitada contenida en un soporte una vez cumplida su finalidad.
  • Las medidas y procedimientos que se establecen para garantizar la integridad y confidencialidad de la información clasificada o limitada durante el traslado de los soportes.

Técnicas o Lógicas se especificarán las medidas y procedimientos de seguridad que se establezcan, cuya implementación se realice a través de software, hardware o ambas.

Identificación de usuarios se explicará el método empleado para la identificación de los usuarios ante los sistemas, servicios y aplicaciones existentes, especificando:

  • Como se asignan los identificadores de usuarios.
  • Si existe una estructura estándar para la conformación de los identificadores de usuarios.
  • Quien asigna los identificadores de usuarios.
  • Como se eliminan los identificadores de usuarios una vez que concluya la necesidad de su uso y como se garantiza que estos no sean utilizados nuevamente.
  • Proceso de revisión de utilización y vigencia de los identificadores de usuarios asignados.

Autenticación de usuarios se explicará el método de autenticación empleado para comprobar la identificación de los usuarios ante los sistemas, servicios y aplicaciones existentes.

Cuando se utilice algún dispositivo específico de autenticación se describirá su forma de empleo. En el caso de empleo de autenticación simple por medio de contraseñas se especificará:

  • Como son asignadas las contraseñas.
  • Tipos de contraseñas utilizadas (Setup, Protector de pantalla, Aplicaciones, etc.)
  • Estructura y periodicidad de cambio que se establezca para garantizar la fortaleza de las contraseñas utilizadas en los sistemas, servicios y aplicaciones, en correspondencia con el peso de riesgo estimado para los mismos.
  • Causas que motivan el cambio de contraseñas antes de que concluya el plazo establecido.

Control de acceso a los activos y recursos se describirán las medidas y procedimientos que aseguran el acceso autorizado a los activos de información y recursos informáticos que requieren la imposición de restricciones a su empleo, especificando:

  • A que activos y recursos se le implementan medidas de control de acceso.
  • Métodos de control de acceso utilizados.
  • Quien otorga los derechos y privilegios de acceso.
  • A quien se otorgan los derechos y privilegios de acceso.
  • Como se otorgan y suspenden los derechos y privilegios de acceso.

El control de acceso a los activos y recursos deberá estar basado en una política de “mínimo privilegio”, en el sentido de otorgar a cada usuario solo los derechos y privilegios que requiera para el cumplimiento de las funciones que tenga asignadas.

Integridad de los ficheros y datos se describirán las medidas y procedimientos establecidos con el fin de evitar la modificación no autorizada, destrucción y pérdida de los ficheros y datos, así como para impedir que sean accedidos públicamente, especificando:

  • Medidas de seguridad implementadas a nivel de sistemas operativos, aplicación o ambos para restringir y controlar el acceso a las bases de datos.
  • Medidas para garantizar la integridad del software y la configuración de los medios técnicos.
  • Empleo de medios criptográficos para la protección de ficheros y datos.
  • Medidas y procedimientos establecidos para la protección contra virus y otros programas dañinos que puedan afectar los sistemas en explotación, así como para evitar su generalización, especificando los programas antivirus utilizados y su régimen de instalación y actualización.

Auditoría y Alarmas describirá las medidas y procedimientos implementados para el registro y análisis de las trazas de auditoría en las redes y sistemas instalados, con el fin de monitorear las acciones que se realicen (acceso a ficheros, dispositivos, empleo de los servicios, etc.), y detectar indicios de hechos relevantes a los efectos de la seguridad que puedan afectar la estabilidad o el funcionamiento del sistema informático.

En caso de empleo de software especializado que permita la detección de posibles errores de configuración u otras vulnerabilidades se describirán los procedimientos requeridos. Además las medidas que garanticen la integridad de los mecanismos y registros de auditoría limitando su acceso solo a las personas autorizadas para ello.

La seguridad de operaciones se incluirá las medidas y procedimientos relacionados identificación y control de las tecnologías en explotación, en particular aquellas donde se procese información clasificada. Control sobre la entrada y salida en la entidad de las tecnologías de información (máquinas portátiles, periféricos, soportes, etc.).

  • Metodología establecida para las salvas de la información, especificando su periodicidad, responsabilidades, cantidad de versiones, etc.).

La recuperación ante contingencias las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la entidad.

A partir de los resultados obtenidos en el análisis de riesgos, se determinarán las acciones a realizar para neutralizar aquellas amenazas que tengan mayor probabilidad de ocurrencia en caso de materializarse, así como para la recuperación de los procesos, servicios o sistemas afectados.

Conclusiones.

La seguridad informática debe integrar componentes dirigidos a alcanzar una sólida preparación desde el punto de vista político e ideológico para la seguridad informática, donde se aborden los temas y dilemas de los valores morales que son afectados con conductas impropias a nuestra sociedad en el uso de las tecnologías, los fundamentos de la seguridad informática, conocimiento de sus conceptos fundamentales, políticas, normas y regulaciones, la seguridad informática en las tareas o actividades cotidianas, como los conocimientos necesarios desde las tecnologías informáticas esenciales para su desempeño, violaciones de la seguridad informática, virus informáticos, necesidad de las claves de acceso, medidas de prevención ante el uso de dispositivos externos, necesidad de salvas de información, configuraciones en herramientas y aplicaciones informáticas, son los conocimientos necesarios de algunas herramientas y aplicaciones esenciales para el desempeño con el correo electrónico, mensajería instantánea, aplicaciones ofimáticas, actualizaciones del sistema operativo, antivirus, necesidad de detectar y reporte de incidentes. Los elementos seguridad informática son con el objetivo de facilitar herramientas y procedimientos pedagógicos para su desempeño con los usuarios de las tecnologías informáticas y las redes, en la ilustración, motivación y concientización hacia este tema, como vía de educar.

Bibliografía.

  • Adiestramiento en Seguridad Informática, Empresa Consultora DISAIC, del Ministerio de la Industria Sidero Mecánica (SIME), Abril 2010.
  • García García, Armando. Seguridad Informática, Base Legal. Taller SCDI Ciego de Ávila, Noviembre 2012.
  • Arencibia González, Mario. Selección de lecturas sobre Ética Informática. La Habana: s.n., 2006.
  • Arteaga, Chacón y otros: Dimensión ética de la educación cubana. Editorial Pueblo y Educación 2006.
  • MIERES, JORGE. Ataques informáticos Debilidades de seguridad comúnmente explotadas. 2009.
  • PFLEEGER, CHARLES P. Security in computing (4th Edition) ISBN:978-0-13-239077-4. 2006.

Descarga el archivo original
Etiquetas:

Cita esta página

Pereda Quiroga Miguel Angel. (2016, febrero 10). Diseño de un Sistema de Seguridad Informática en Cuba. Recuperado de https://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/
Pereda Quiroga Miguel Angel. "Diseño de un Sistema de Seguridad Informática en Cuba". gestiopolis. 10 febrero 2016. Web. <https://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/>.
Pereda Quiroga Miguel Angel. "Diseño de un Sistema de Seguridad Informática en Cuba". gestiopolis. febrero 10, 2016. Consultado el . https://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/.
Pereda Quiroga Miguel Angel. Diseño de un Sistema de Seguridad Informática en Cuba [en línea]. <https://www.gestiopolis.com/diseno-sistema-seguridad-informatica-cuba/> [Citado el ].
Copiar

Escrito por:

Imagen del encabezado cortesía de elliottcable en Flickr

Artículos Relacionados

© 2000 - 2024 WebProfit Ltda.