escuela politecnica del ejercito seguridad informatica

ESCUELA POLITECNICA DEL EJERCITO

SEGURIDAD INFORMATICA

INTRODUCCIONPLAN DE CONTINGENCIA Y SEGURIDAD DE LA INFORMACION¿PORQUE NECESITAMOS SEGURIDAD DE LA INFORMACION?LA SEGURIDAD DE LA INFORMACIÓNSEGURIDAD FISICASEGURIDAD LÓGICASEGURIDAD EN REDES Y COMUNICACIONESPLANES DE CONTINGENCIAPLAN DE SEGURIDAD INFORMATICA

INTRODUCCION• La computadora ha asumido muchas responsabilidades

actualmente.• Por su importancia vital debe ser protegida• Existe una dependencia del procesamiento de

información.• Al aumentar la dependencia aumenta el riesgo.• Otros factores: redes, sistemas distribuidos, downsizing• Significado real= supervivencia: de las operaciones y

del negocio• No se piensa en los desastres.• Presencia o ausencia de un plan de contingencia es vital

para sobrevivir.• No se tiene una concepción correcta de desastre

Concepto de desastre o contingenciaEs la interrupción en la capacidad de acceso a información y procesamiento de la misma a través de las computadoras, necesaria para la operación normal del negocio.

•El desastre está enfocado a la consecuencia más que a la causa, esto enfoca el plan de contingencia.•¿Cuánto tiempo puede suspenderse el procesamiento antes de que surjan efectos negativos?•Vulnerabilidad en diferentes tipos de industrias

Caso de ejemplo: atentado en el World Trade Center.

• Lecciones aprendidas• Conciencia en las organizaciones de la importancia de la

planeación de recuperación de desastres y que deben hacer para sobrevivir:

• Cambiar de lugar las plantas generadoras• Instalar luces de emergencia y sistemas de comunicación

con baterías.• Estacionamientos públicos con seguridades• Entrenar a los empleados• Planear no sólo el site de recuperación sino un adicional• Planes de recuperación de redes locales y

comunicaciones

Caso de ejemplo: atentado en el World Trade Center.

• Consideraciones derivadas• Los sites alternos deben tener la capacidad de manejar el

número de personas junto con todas las herramientas de trabajo.

• Los ejecutivos deben darse cuenta que la recuperación de desastres es un tema relacionado con toda la corporación y cubre la totalidad del ambiente en que esta opera.

• El factor de la reacción humana debe considerarse e incluir las consecuencias de una evacuación repentina y de tener que permanecer fuera del área.

• El mantenimiento constante y las pruebas del equipo de respaldo son una necesidad permanente.

PLAN DE CONTINGENCIA Y SEGURIDAD DE LA INFORMACION

• Meta: Proteger los activos y recursos de las organizaciones de pérdida y asegurar la viabilidad de las operaciones

• Concepto:Nombre genérico para el conjunto de herramientas diseñadas para proteger datos.

• Alcance:– Daño o divulgación no autorizada de información– Pérdida de medios físicos– Errores del operador– Errores o malfuncionamiento del hardware– Errores en el software– Errores en los datos– Daños a las instalaciones– Perfomance inadecuado del sistema– Crimen por computadora (SW, HW, datos)


• ¿Qué se debe proteger?– Hardware o equipo computacional:

• Mainframes, computadoras medianas y PC’s• Comunicaciones y redes• Medios de almacenamiento

– Información computarizada• Programas de SW y documentación• Datos almacenados o procesados• Datos transmitidos • Datos en medios transportables


• Esquema de seguridad de la información:– Clasificación de la información– Políticas y procedimientos– Seguridad física– Seguridad de las comunicaciones– Seguridad lógica– Evaluación de riesgos

• Cuantificar el daño• Identificar medidas en cuanto al costo

– Plan de recuperación de desastres o plan de contingencia

• Asegurar la disponibilidad de los activos y recursos• Reducir el impacto hasta un nivel aceptable


Plan de contingencia como esquema de seguridad de la información:

– Se necesita un trabajo integral– El coordinador de recuperación debe involucrarse en

algunas áreas de seguridad de información– Debe entenderse bien el trabajo de seguridad por parte de

recuperación de desastres para mirar las conveniencias de las soluciones

– El encargado de seguridad puede ser parte de los equipos de recuperación, para que se reinstalen los controles.

– Debe mirarse la conveniencia en la inversión en seguridad.

– Las medidas por sí mismas no son garantía contra daños y accidentes.

– Las medidas deben estar en armonía con el medio.– Debe aceptarse cierto grado de riesgo.

¿PORQUE NECESITAMOS SEGURIDAD DE LA INFORMACION?

• ¿Qué es la Información?Datos recopilados y presentados de modo que tengan un significado.EDP produce información correcta para la persona indicada en el tiempo oportuno, apoyando a la toma de decisiones

• Manejo de la información– Son un recurso estratégico y valioso– Debe ser protegida para asegurar credibilidad , calidad y

presición.– El responsable de la seguridad de la información es el

propietario de la información– El principal riesgo es la gente– Se debe clasifiacr la información sensitiva– Se debe dar autorización forma para el uso EDP.

¿PORQUE NECESITAMOS SEGURIDAD DE LA INFORMACION?• La vulnerabilidad de nuestra sociedad

–La sociedad se vuelve mas dependiente de la tecnología y por tanto mas vulnerable

–Las instituciones mas importantes deben ser protegidas contra paros e interrupciones serias.

–Ejemplo de AT$T en Nueva York

• Seguridad pública–Información referida a la defensa estratégica del Estado.–Información que no parezca relevante puede ser concatenada

por servicios de inteligencia–Ejemplo del comando del Comando aéreo de Nebraska con

misiles.

¿PORQUE NECESITAMOS SEGURIDAD DE LA INFORMACION?• Consecuencias financieras

–Pueden ser desastrosas si los sistemas fallan en el manejo contable.

–Los costos en seguridad deben ser vistos como parte de la inversión total de la empresa y deben estar acorde a los sistemas protegidos.

–Equilibrio deseable–El nivel apropiado debe basarse en la clasificación de la

información–Ejemplo del Banco de Nueva York

• Seguridad, corrección y privacía–Privacía: derecho para difundir la información.–Corrección: No pérdida ni errores que afecten al sistema–Medidas técnicas y administrativas conjuntas

¿PORQUE NECESITAMOS SEGURIDAD DE LA INFORMACION?

• Responsabilidades individuales–Proteja su terminal cuando no la está usando.–Proteja sus equipos.–Proteja su contraseña.–Proteja sus medios de almacenamiento.–Restrinja el acceso–Proteja los datos sensibles–Protéjase contra desastres–Destruya datos sensibles–Ponga etiquetas–Conozca y acate las leyes–No deje nada encima de su escritorio–No hable de información sensible–Use su tarjeta de identificación

Seguridad Informática

LA SEGURIDAD

DE LA INFORMACIÓN

Introducción• El campo de la seguridad presenta nuevos retos • Su problemática ha ido ampliándose en los últimos años con

los problemas de contaminación en general y de los desastres. • En la actualidad no es suficiente que la empresa se restrinja a

lo campos de higiene y seguridad de trabajo o adquiera una póliza de seguros

• En lugar de soluciones parciales y aisladas, ahora se tiene que buscar la integral y óptima para lograr los siguientes objetivos principales:– Mejorar la seguridad y salvaguarda del personal y

demás recursos de la empresa.– Prevenir los desastres, a través de la reducción de

los riesgos..– Asegurar los preparativos para atender las

emergencias.• La empresa es el super conjunto del centro de cómputo. • El procesamiento de datos es una función de apoyo al negocio.

Conceptos• Agente Perturbador: fenómeno que altera el funcionamiento de

los sistemas afectables y producir un estado de desastre. • Sistema Afectable: compuesto por el hombre y su entorno en

que pueden materializarse desastres causados por un agente perturbador.

• Agente Regulador: la organización de las acciones, normas, y programas destinados a proteger a los sistemas afectables, y prevenir y controlar los efectos de los agentes perturbadores

• Prevenir: realizar actividades para evitar la ocurrencia de un fenómeno y, en caso de que suceda, disminuir su impacto.

• Mitigación: disminución de los efectos de los impactos de las calamidades

• Riesgo: proximidad de un daño.• Desastre: evento concentrado en el tiempo y en el espacio,

resultado del impacto de un agente perturbador o calamidad en un agente o sistema afectable, y cuyos efectos pueden ser mitigados o evitados por un agente regulador.

Factores ExternosClasificación de los Desastres• Geológicos: sismos, vulcanismo, colapso de suelos,

hundimiento regional y agrietamiento, maremotos (tsunamis) y lahares

• Hidrometeorológiços: lluvias, tormentas de granizo, inundaciones, temperaturas extremas, sequías, tormentas eléctricas, Vientos

• Químicos: contaminantes, envenenamientos, incendios, explosiones, radiaciones.

• Sanitarios: epidemias, plagas• Socio-Organizativos: explosión demográfica, fallas humanas,

disturbios sociales, actos delictivos, accidentes, acciones bélicas, drogadicción y alcoholismo, efectos negativos producidos por la operación actual de servicios, interrupción de servicios,

Factores Internos

Factores Externos Riesgos y Agentes Reguladores

Posibles Amenazas a Centros, Equipos y Sistemas de Cómputo•Abuso de alcohol o drogas, acceso reducido u obstruido, accidentes, evacuación, agua, alto índice de criminalidad, amenazas de bomba, calor y/o humedad, clima, comida tóxica, guerra, demostraciones de nuevos equipos, derrames químicos, desfalcos, desórdenes civiles, disputas de empleados, disturbios por construcciones, embargos, empleados disgustados, errores de programación, errores u omisiones en datos, espionaje, explosiones, falla en comunicaciones, fallas de elevadores, fallas de software o en hardware, fallas en controles de medio ambiente, falta de equipo contraincendio, falta de inversión,

fluctuaciones en la electricidad, fraudes, fuego, huracanes, inundaciones, interrupción de corriente eléctrica, paros laborales, (huelgas), robos, sabotajes, terremotos, terrorismo, tormenta, tornados, virus en computadoras, volcanes

Factores Externos Riesgos y Agentes Reguladores

Posibles Amenazas a Centros, Equipos y Sistemas de Cómputo•Descuido humano: error de “dedo” ,error del operador, montar volumen equivocado, usar versión de programa equivocado, •daño físico al disco o la cinta•Crimen por Computadora: fraude, espionaje industrial, robo de información, venta de informaciónEjemplos de Bienes Dentro de una Organización•Software: •Información . •Hardware•Administrativo•Físicos•Comunicaciones•Personal

Condiciones que Incrementan la Vulnerabilidad

•Tabla 2.4•En forma general, la información computarizada es particularmente vulnerable porque: está más concentrada, es más accesible y está sujeta a daños no detectables o uso indebido. •La Naturaleza de los Sistemas

– Sistemas grandes y complejos tienen muchos puntos vulnerables– La descentralización de sistemas (procesamiento distribuido) también

afecta la seguridad.– Medios de almacenamiento como diskettes son fáciles de transportar y

esconder.

•Limitaciones Humanas– incluyen complacencia, descuido, ambición y capacidad limitada para

entender sistemas complejos. – Los controles diseñados para prevenir desastres en sistemas son muchas

veces ignorados por las personas que se supone que deben ponerlos en práctica.

– La ambición y debilidades humanas incrementan la vulnerabilidad porque son una causa del crimen por computadora.

Condiciones que Incrementan la Vulnerabilidad

•El Entorno del Negocio– Presiones para terminar los sistemas rápidamente con equipos humanos

muchas veces reducidos. – La vulnerabilidad de los sistemas no es adecuadamente considerada

dentro de tales decisiones. Debido a la prisa por terminar antes de los deadlines (fecha determinada para la conclusión del proyecto) con recursos insuficientes, las características distintivas de un desarrollo cuidadoso de sistemas, tales como documentación exhaustiva, revisiones cuidadosas del diseño, pruebas completas, etc. tienen que ser eliminadas.

SegurosFormas para administrar los riesgos:a) Asumir el riesgob) Minimizar el riesgoc) Transferir el riesgoCualquiera que sea la alternativa que tomemos, es necesario

realizar evaluaciones periódicas que nos muestren el grado de exposición al riesgo, la alternativa adoptada podría ser mixta.

• 2.5.1 DefiniciónUn contrato por el cual una de las partes, en consideración a un precio, que se le paga, adecuado al riesgo, da la seguridad a la otra parte de que ésta no sufrirá pérdidas, daño o perjuicio por el acaecimiento de los peligros especificados sobre ciertas cosas que pueden estar expuestas a tales peligros

• La función del seguro consiste en proporcionar certidumbre. Para llegar a este fin, el seguro trata de reducir las consecuencias inciertas de un peligro conocido de tal manera que el costo de las pérdidas, al afectar a los individuos, sea cierto o, cuando menos, relativamente cierto.

SegurosProblemas Tradicionales

a) la existencia de un gran vacío en la comunicación:

b) no hay un entendimiento cabal respecto a los riesgos y sus consecuencias

• El resultado de lo anterior es que muy pocos usuarios de computadoras gozan de una cobertura adecuada para todos los riesgos. La tendencia es cubrir una o dos áreas de riesgo evidente, como la reposición del equipo o contra incendios.

SegurosÁreas de Riesgo Asegurables• Ambiente

– Los riesgos externos surgen de fuentes cercanas a la instalación de cómputo: explosivos, atmósferas tóxicas, con polvo, etc., inundación en las áreas bajas.

– Los riesgos internos surgen del mal funcionamiento de los servicios de los cuales depende la computadora: fuentes de energía, equipo de A. C.(aire acondicionado, por sus siglas en inglés), aparatos que contienen agua, etc.

– Otros riesgos, como los errores de los sistemas de seguridad, los desastres naturales y el acceso no autorizado, que pueden causar daños o interrupciones del servicio. Todos estos riesgos se deberían poder cubrir con las pólizas convencionales.

SegurosÁreas de Riesgo Asegurables• Equipo

– El equipo abarca la totalidad de la instalación de cómputo, es decir, edificio, mobiliario, equipo de A. C., equipo auxiliar, fuentes de energía cintas, tarjetas, papelería, etc. y la instalación de cómputo. Esta última incluye todo tipo de equipo de procesamiento, dispositivos periféricos redes.

– El equipo o las instalaciones que se compran3 se deben asegurar. Es importante que en todos los casos estos recursos se aseguren por el valor de su reposición y no de su costo.

– Los principales riesgos por cubrir son:• Por causas externas: El primero es el fuego, pero podría ser

necesario considerar ciertos peligros especiales, los cuales se pueden añadir a las pólizas, por ejemplo, cobertura en casos de terremoto, inundación, rompimiento de cañerías, daño por impacto, disturbios, etc.

• Por causas internas: muchos de estos aspectos no son asegurables, por ejemplo, acciones deliberadas o de negligencia por parte de los operadores, que causen daños al equipo.

SegurosÁreas de Riesgo Asegurables• Programas y Datos

– Los registros de los sistemas de cómputo se deben asegurar:

• Contra la pérdida o el daño causado al medio• Según el costo de reposición de la información registrada en ellos

(para determinarlo se debe hacer un análisis minucioso); es decir, los programas y los datos se pueden considerar como objetos, y se deben asegurar como tales.

– Además, la desaparición o destrucción de la información y los programas, puede tener un valor como consecuencia de la posible demora o interrupción de las actividades comerciales. Idealmente también se debe prever este riesgo.

– A continuación se ofrecen definiciones de (1) datos y (2) programas, las cuales podrían ser útiles en esta actividad.

SegurosÁreas de Riesgo Asegurables• Interrupción del Negocio y su Recuperación

– El daño causado a una computadora podría dar lugar a la incapacidad para realizar ciertas operaciones (además de reducir su valor), lo que puede significar pérdidas financieras para el negocio. Estos riesgos se deben cubrir por medio de una póliza de interrupción comercial o pérdida de ganancias. También se deben abarcar los daños a equipos de comunicación y a todos los equipos auxiliares del sistema de cómputo.

– No sólo deben cubrirse las pérdidas de ganancias o ingresos, sino también el costo del trabajo para suplir la falta del equipo de cómputo.

• Personal– Los daños causados por el personal pueden ser accidentales,

deliberados o producto de la negligencia. Los recursos y los programas, así como la información, deben estar especialmente protegidos contra estos tipos de daños.

– También deben cubrirse los riesgos del personal, debidos a su trabajo con estos equipos: riesgos eléctricos o mecánicos, riesgos que provienen de los dispositivos de seguridad (p.ej., extinguidores de CO2), etc.

SegurosÁreas de Riesgo Asegurables• Seguimiento de Cambios en los Riesgos

Los riesgos cambian en forma continua dentro de toda la empresa y en especial en las actividades de cómputo. Es importante garantizar que los nuevos riesgos se encuentren cubiertos y que las pólizas estén actualizadas.Para lograr esto, se deben establecer evaluaciones periódicas, con las que se asegure que la cobertura de riesgos está claramente identificada y actualizada. Estas evaluaciones deben realizarse conjuntamente por el área de sistemas, el área de seguridad y la compañía de seguro

• Otras ConsideracionesAlgunos piensan que los seguros pueden compensar la pérdida de las operaciones de procesamiento de datos, y por eso se preguntan para qué necesitan un plan de contingencia si ya tienen un seguro.

Otros creen que el seguro es un gasto de dinero que no puede compensar la pérdida del activo más crítico de la empresa: la información.

SegurosÁreas de Riesgo Asegurables

• Otras ConsideracionesLos seguros deberían ser comprados después de que se ha desarrollado la capacidad de recuperación de desastresLos seguros cubrirán los costos de restaurar los datos, cuando esto sea aplicable, así como el reemplazo de hardware, y posiblemente otros gastos ocasionados por el desastre, entre los que se podría incluir el costo de la interrupción comercial.Una consideración muy importante, que no puede ser pasada por alto en la compra de seguros, es la calidad probada del plan de contingencia, no hay razón para ser redundante en asegurar funciones del negocio que son adecuadamente recuperables. Lo que sí debería asegurarse es lo siguiente:

• Costos de reemplazar hardware.• Gastos adicionales conocidos. (mediante un plan)• Interrupción de funciones sensibles.


SEGURIDAD FISICA

Concepto • Conjunto de procedimientos para evitar o disminuir la

exposición de riesgos ya sean externos o internos en las instalaciones físicas de conjunto.

CALAMIDADES• Desastres naturales y de origen mixto.

– Incendios: Inmisión no controlada de materiales inflamables y explosivos.

– Inundaciones.• Riesgos de control ambiental

– Falla de corriente eléctrica.– Falla en el sistema aire acondicionado.– Contaminación. Acciones deliberadas

– Robo de equipos o información.– Actos destructivos premeditados.

• Amenazas de los vecinos.

MEDIDAS DE PREVENCIÓN Y MITIGACIÓN• Control de acceso al centro de computo

– El diseño de la construcción.– Ubicación del centro de computo.– Barreras de protección.

• Protección perimetral.• Protección del inmueble.• Protección del área.• Protección de objeto. Guardias y monitoreo electrónico.

– Procedimientos administrativos.– Control de acceso de terceras personas.– Sistemas biométricos.

Patrón de huellas digitales, geometría de la mano, verificación de huellas digitales, escaneo retinal, verificación de voz., dinámica de firmas.

• Sistemas de protección contra intrusos• Se rompe un circuito eléctrico.• Se cierra un circuito eléctrico.• Se interrumpe un haz de luz.• Se rompe una luz ultravioleta, infrarroja.• Detectar de sonido o vibración.• Detectar ultrasónico de movimiento.• Radar detector de movimiento.• Detector de presencia por variación de campo eléctrico.• Detector de robo.• Circuito cerrado de TV.

• Suministros de electricidad.• Sistemas de protección contra descargas eléctricas . • Control de medio ambiente

– Humedad.– Temperatura.– Limpieza.

• Medidas de prevención de incendios– Diseño y construcción.– Muebles.– Detectores.

• Medidas de prevención de inundaciones• Control de almacenamiento secundario

– Destrucción de la información– Seguridad en los almacenes de cintas.– Scanear virus.– Hermetismo.

• Seguridad en computación de usuario final.El control de acceso físico apropiado depende de la sensibilidad de

la información.– Protección de hardware.– Protección de electricidad estática.– Protección de robo de hardware usando anclas.– Cobertura de seguros.


SEGURIDAD LÓGICA

• En sistemas orientados a batch, la seguridad de la información se lograba con controles de seguridad física en el centro de datos. Ahora la tecnología esta haciendo la seguridad de la información mas importante así como mas compleja.

• La seguridad de la información implica el establecimiento de políticas generales y controles que previenen o detectan cualquier intento de acceso no autorizado a un sistema de computo.

• La administración y la sociedad en general están adquiriendo cada vez mas conciencia de los riesgos de la seguridad de información.

INTRODUCCIÓN

• La seguridad lógica es tan importante como la física, incluye normas para el control de acceso a los datos / información, a fin de reducir el riesgo de transferencia, modificación, perdida o divulgación accidental o intencional de estos. La seguridad física y la lógica dependen, para el éxito de cada una, de la eficiencia y fortaleza de la otra. Alguna de las principales medidas de seguridad es:

• Separar de otros recursos del sistema el material al que tiene acceso permitido un usuario

• Proteger los datos de un usuario de los de otro• Controlar el acceso de los lugares remotos• Definir y poner niveles de control de acceso• Monitorear el sistema para detectar cualquier uso impropio

Definición

• Riesgos debidos a la amabilidad de los sistemas– Los microcomputadores y los paquetes de software de uso

muy sencillo han previsto con capacidades o conocimientos en computación a personas sin un entrenamiento formal. Algunos ejemplos que crean preocupaciones de seguridad: Sistemas de compras para clientes

• Sistemas de ordenes y envíos. Un creciente numero de organizaciones industriales están desarrollando sistema de intercambio electrónico de datos (EDI)

• Sistema de pedidos de manufactura• Sistema de transferencia de dinero y comercialización de

acciones• Todos los anteriores son sencillos de usar. • Debe tenerse mucho cuidado con los riesgos generados por

aplicaciones que son quizás demasiado “amables” para el usuario y no tienen controles.

CALAMIDADES

• Riesgos debidos a la conectividad de los sistemas– En sistemas multiusuarios convencionales se ponen

barreras alrededor de cada usuario. – En el mundo moderno de redes y estaciones de trabajo este

puede no ser el mejor modelo. Esto apunta ahora hacia un nuevo modelo de seguridad. Enclaves seguros.

– Los servidores pueden estar rodeados por una barrera de seguridad dentro de la que hay una seguridad relajada.

– El uso de programas de computadora para entrar a otros sistemas de computo genera cierta preocupación. Por ejemplo podemos preguntarnos si las computadoras se podrían programar para verificar que quien esta intentando “entrar” es un ser humano y no una computadora. Si se pudieras entonces tendríamos una poderosa defensa contra gusanos

CALAMIDADES

Privacía de la información• Los sistemas de procesamiento de datos pueden almacenar

grandes cantidades de información acerca de individuos. La información puede ser recopilada de varias fuentes y entonces comparada. Algunas de estas comparaciones podrían ser inofensivas, pero otras no.

• ¿ Cuándo podría considerarse una violación de la privacia de las personas en un ambiente de negocios? Tal vez siempre que información que ha sido recopilada para un propósito se revelada a externos para otro propósito. Una política de seguridad de la información insuficiente puede permitir acceso no autorizados , violaciones de la privacia personal e incluso crimen por computadora.

• Existe un factor adicional que viene a compilar esto: ¿ de quién es la información ¿, ¿del usuario, del área de sistemas, etc.? Es decir, el problema de la “propiedad” de la información.

CALAMIDADES

• Integridad de la información

corrección de la información (cobra una relevancia especial) en el mundo de las bases de datos).

Los valores en un banco de datos se pueden volver inválidos de varias maneras.

• Entrada de datos o una actualización en la cual algunos valores son especificados incorrectamente.

• Los datos también pueden invalidarse como resultado de dos o mas modificaciones que individualmente operan correctamente, pero cuya interacción produce resultados inválidos, el termino control de concurrencia se usa para describir este problema.

• Una tercera causa de violación de integridad son las malfunciones de hardware y software

CALAMIDADES

Confiabilidad del personalEl mayor daño que puede sufrir un centro de computo es el que se hace desde dentro; ni siquiera las fortalezas o lo equipos mas sofisticados y costosos pueden contra la deslealtad, la deshonestidad o la negligencia. Los empleados descontentos, o los que recientemente han sido corridos de la compañía representan un riesgo mayor. Por lo tanto, la selección de personal es parte importantisima del esquema integral de seguridad.

Riesgos de falla de equipo de computoAunque la Confiabilidad de los equipos de computo esta mejorando día con día, estos aun fallan con cierta frecuencia, hasta una falla en un pequeñisimo componente de una computadora puede ser desastrosa. Esta categoría de riesgo incluye los siguientes peligros mayores

CALAMIDADES

• Falla en el CPUUna interrupción en la computadora central puede ser el resultado de múltiples factores. El sistema puede interrumpirse debido a fallas en el hardware o en el software, o bien, el sistemas puede ser detenido y reinicializado (lo que puede tardar mucho tiempo) por el operario cuando identifica que una de las computadoras se encuentran funcionado deficientemente.

• Falla en los dispositivos periféricosPresentan fallas con mas frecuencia que el CPU, las mismas que pueden causar una interrupción del sistema para todos los usuarios o quizá únicamente para aquellos que lo estén utilizando. Sin embargo deben disponerse medidas para que ningún periférico llegue a ocasionar un desastre, y por supuesto estos dispositivos deben recibir el mantenimiento adecuado.

CALAMIDADES

• Error del operadorPuede producirse una combinación de falta de atención o de cumplimiento inexacto de procedimientos, u otros errores de personas que operan un sistema. Todos los sistemas son vulnerables a errores de las personas.

• Errores en el softwareUna falla en un programa hace que este produzca resultados inapropiados. Los errores en el software han significado enormes perdidas financieras, incluso en negocios grandes y bien establecidos. estos errores representan un problema fundamental con sistemas computarizados por que no hay métodos infalibles para probar que un programa opera correctamente y pueden ocurrir hasta en los programas mejor evaluados.

CALAMIDADES

• Errores en los datosSon otra fuente de riesgo, ya que los sistemas de información no pueden ser buenos si la información que maneja no es correcta.

• Desempeño inadecuado de los sistemasOcurre cuando un sistema no puede realizar satisfactoriamente la tarea para la que fue diseñada.

• Responsabilidad por fallas en los sistemasNo constituye un riesgo para la información, pero si para la empresa que la maneja. Se refiere a la responsabilidad por las acciones de una empresa. Cualquiera de los desastres mencionados si llega a producirse, puede originar una demanda contra la responsabilidad de la empresa en el manejo de información referente a individuos. La responsabilidad relacionada con sistemas de información es compleja debido a las múltiples cosas que pueden fallar en ellos.

CALAMIDADES

• Piratería de software

En años recientes la piratería de software, se ha vuelto un nuevo riesgo de seguridad; esto se debe a la proliferación de las microcomputadoras personales, en ellas los programas que corren en una, corren fácilmente en otra.

Ha habido varios pleitos legales contra organizaciones que piratean software abiertamente. Aun sin pleito legal, una organización que hace copias ilegales o o que permite que sus empleados las hagan podría estar sujeta al desprestigio público, especialmente en los países que se respeta el derecho de autor.

CALAMIDADES

• Crimen por computadoraCualquier uso de sistemas computarizados para llevar a cabo actos ilegales. Son relativamente frecuentes. La mayoría de los directores de las empresas tienden a pensar que “un desastre nunca me tocara a mí ”. La tecnologías esta llevando rápidamente hacia una sociedad sin dinero en efectivo. Usando computadoras resulta en ganancias más grandes, mientras que la oportunidad de ser atrapado son bajas.

• Se cree que en los EE.UU. solo uno de cada cien casos es detectado; únicamente uno de cada ocho son investigados y solamente uno de cada 33 casos investigados resulta en una sentencia de prisión.

• El robo promedio por computadora es de USD 400,000 mucho mayor a l de otros tipos de robos

CALAMIDADES

• Cuadro estadístico de crímenes por computadora tabla 4.1 • Tipos de crimen por computadora:

– Incidentes donde las computadoras se usan para cometer el crimen, p. Ej. Fraude, desfalco, etc.

– Incidentes donde las computadoras o los medios de almacenamiento de información son el objetivo p. Ej. Instalación de bombas lógicas, intersección de información, copia no autorizada, etc.

• Los perpetradores de crimen por computadora pueden dividirse en: empleados (quienes usan sus conocimientos de la operación del negocio para identificar las oportunidades y para obtener acceso fácil a los recursos que necesitan), personas externas, y “hackers” (no les interesa el daño que puedan ocasionar o las ganancias que obtengan, lo hacen por diversión y por el reto intelectual y técnico).

• La tabla 4.2 muestra las ocupaciones que mas frecuentemente hacen mal uso de la información de computadoras.

CALAMIDADES

• Robo

Los robos vía computadora se pueden dividir en tres categorías:– Robo ingresando datos fraudulentos a las transacciones

• Falsificación: • Personificar a otra persona: • Fraudes de desfalco: • Fraudes de inventario• Fraudes de nomina• Fraudes de pensiones• Fraudes de caja

– Robo por modificación de software: – Robo por modificación o robo de datos

CALAMIDADES

• SabotajeLos saboteadores no tratan de robar nada, tratan de invadir y dañar hardware, software o dato, pueden ser Hackers, empleados disgustados o espías. Existen inclusive, algunas organizaciones con el objetivo expreso de dañar computadoras. – Falsificación de datos: modificación de datos ante u durante

la entrada al sistema. Es fácil de prevenir con un buen sistema de control en las aplicaciones

– Técnicas de Salami: consiste en agregar instrucciones al los sistemas que manejan dinero para resbalar rebanadas tan pequeñas que nadie las nota, por ejemplo fracciones de centavos, esta técnica se remonta a los sistemas manuales y es difícil de detectar.

– Trap door: instrucciones que permiten a un usuario traspasar las medidas de seguridad estándar de un sistema

CALAMIDADES

• Sabotaje– Caballo de Troya: programa que aparentemente es valido y

útil, pero contiene instrucciones ocultas cuya ejecución tiene consecuencias no conocidas por el usuario. Solo un programador muy capacitado puede construir un caballo de Troya pero una vez echo es muy difícil de detectar

– Bomba de tiempo: es un tipo de caballo de Troya cuyas acciones destructivas se programan para ocurrir en un tiempo particular.

– Bomba lógica: es un tipo caballo de Troya cuyas acciones se programan para ocurrir baja ciertas condiciones.

– Virus: es un tipo especial de caballo de Troya que puede duplicarse así mismo y contagiarse, en la misma forma que los virus biológicos.

CALAMIDADES

• Espionaje industrialEn forma natural, el espionaje tiene hoy a las computadoras como uno de sus objetivos principales. Los espías trataran de obtener información de medios de almacenamiento magnéticos en lugar de otras fuentes tradicionales. Recordemos que la información guardada en medios magnéticos es fácilmente identificada, ordenada y copiada sin dejar rastro.

• Legislación de Crimen por Computadora• El crimen por computadora es difícil de traducir en perdidas de

dólares, a diferencia de los robos normales. • Si un intruso entra a un sistema y destruye una biblioteca de

programas. ¿cual es la pérdida? • Un intruso que ingresa al sistema a través de una línea

telefónica, no puede ser acusado de entrar sin autorización al centro de cómputo o al edificio de la empresa.

• Las leyes existentes no se ajustan fácilmente a estos nuevos tipos de actividades ilícitas.

CALAMIDADES

• Emanación electromagnética– Todo equipo de cómputo emana ondas electromagnéticas. – La emanación de ondas electromagnéticas puede ser

recogida y decodificada a cientos de metros de distancia.– Las pantallas de las terminales constantemente emiten

ondas de radio cuando están funcionando.– La emanación no viene sólo de las pantallas. Señales

transmitidas por todos los equipos, desde PC hasta computadoras centrales provienen de las pantallas impresoras, unidades de cinta, cables, etc.

– Este tipo de espionaje electrónico se conoce como “Tempest” (Tronsient Electromoqnetic Pulse Emmtions standard), y según el Departamento de Defensa de E.E.U.U. él problema esta aumentando.

– Productos con tecnología Tempest: productos protegidos contra Tempest y cuartos aislados.

CALAMIDADES

• Emanación electromagnética– Las políticas en los Estados Unidos ordenan que los

departamentos y agencias federales, militares y los contratistas del gobierno apliquen medidas de Tempest cuando aseguren información clasificada computarizada.

– Hay básicamente dos formas de equipos de cómputo y comunicaciones con protección de Tempest: protección a nivel de chip y «envolturas. Un escudo EMI/RFI (interferencia electromagnética / interferencia de radio frecuencia, por sus siglas en inglés es una envoltura de metal que refleja y absorbe ondas electromagnéticas, conduciéndolas a tierra antes de que puedan penetrar el escudo, Los materiales más comúnmente usados para encapsular son el alambre de cobre y bronce, así como el recubrimiento de hojas de acero galvanizado.

CALAMIDADES

• Emanación electromagnética– Los productos Tempest son costosos y no pueden

combinarse.• Pulso Electromagnético (EMP)

– Es la radiación creada por relámpagos o por explosiones nucleares. El equipo electrónico recoge el pulso a través de cualquier metal capaz de actuar como una antena e, irónicamente, mientras más sofisticado es el equipo electrónico es más vulnerable

– Actualmente se está trabajando en la construcción de “EMP artificial” con el fin de tener un dispositivo que pueda dañar equipo e información en forma remota.

• Acarreo Electromagnético– Es un método para obtener acceso a un sistema de

cómputo bien controlado pegándose a un usuario válido. Una terminal escondida puede ser conectada a la línea de una terminal válida.

CALAMIDADES

Administración de Personal– Clasificación de los puestos– Procedimientos de Contratación– Procedimientos de Terminación– Procedimientos de Transferencia– Entrenamiento del Personal

Sistemas de Control de Acceso– Identificación de usuario.– Password (o contraseña) o número de autentificación.– Mecanismo de autorización. – Salir de sistema si el usuario intenta un password inválido

mas de un número predeterminado de veces– Controles de autorización que permiten reglas de acceso

a los archivos de datos– Reportes de seguridad que resaltan los intentos de

acceso no autorizados

•MEDIDAS DE PREVENCIÓN Y MITIGACIÓN

Principios:– Ningún archivo o conjunto de datos puede ser accesado

por un usuario a menos que exista una regla establecida que permita el acceso.

– Se establecen reglas para restringir el acceso: si no hay una regla específica, no hay restricción de acceso.

Establecimiento de un Sistema de Passwords Eficiente– Generación de los posswords. (generar y cambiar

Passwords cuando menos cada 6 meses)– Propiedad del password. – Longitud y composición. ( 6 caracteres alfanuméricos

mayúsculos)– Almacenamiento de Password. (encriptado con la llave de

encripción).– Entrada de los passwords (No deben desplegarse)– Autentificación. (identidad ; protección de pantalla)– Utilización. (passwords en diversos niveles)


¿Cómo Elegir Password?– Elija una frase, canción o titulo de un libro que te guste. – Construya una contraseña usando la primera, segunda o

cualquier otra letra de cada una de las palabras de la frase.

– Cuando necesite recordar la contraseña repita la frase. – Sea creativo cuando elija una contraseña– No use sus iniciales, su apodo, Los nombres de los niños,

teléfonos, direcciones, o letras o números consecutivos o cualquier otra cosa que pudiera ser relacionada con usted como su contraseña,

– No use ninguna que pudiera ser adivinada fácilmente.– El cambio de una contraseña puede ser una molestia,

pero vale la pena– Usted debe cambiar su contraseña con regularidad


Otros Sistemas Sistemas biométricos– Sistemas de Voz.– Sistemas de Huellas.– Patrones de Retina.– Geometría de la Palma de la Mano.Tiempo de Espera de la Terminal ("Terminal Timeout")Encripción de ArchivosRestricciones de Tiempo de AccesoDetección y Expulsión de Intrusos del SistemaConexiones ConcurrentesAsignaciones de Propiedad (trustee assignments)Respaldo ("Backnp”)Controlar el Procesamiento de DatosValidación de Datos (faltantes, inválidos o inconsistentes.)


Otros El Encargado de Seguridad de la Información.– Asignada como una actividad colateral, por lo que recibe

poca atención, – La función de la seguridad de la información debería ser

responsable de asignar y controlar password monitorear intentos de acceso impropios, ayudar a revisar aplicaciones nuevas, y promover un conocimiento general de la seguridad de información dentro de la organización.

– El encargado o gerente de seguridad puede ser parte del departamento de procesamiento de datos o, en organizaciones mas grandes, puede estar organizada como una función aparte. En algunas organizaciones, la función de seguridad de la información reporta al encargado de auditoría interna.


Seguridad en Computación de Usuario Final– Enfasis en controles básicos de software y medios de

almacenamiento similares a los usados en ambiente de computadoras centrales.

– Deben designarse para ser administrados en forma descentralizada.

– Puede mantenerse a través de la puesta en práctica de medidas como

• Respaldo frecuente de información y software• Almacenamiento apropiado de diskettes para proteger contra

calor o frio extremos, polvo, agua o humedad excesiva,• Almacenamiento de diskertes en sobres y físicamente

alejados de dispositivos magnéticos tales como dispositivos de control de acceso, bocinas, etc.

• Etiquetar apropiadamente y fechar los diskettes para asegurar una identificación positiva de su contenido.

• Monitorear la conducta.



SEGURIDAD EN REDES Y COMUNICACIONES

• Las comunicaciones son un recurso que debe protegerse contra cualquier contingencia.

• Alto grado de dependencia entre los equipos de cómputo y los equipos de comunicaciones (Telemática)

• Redes de Computadoras: Un grupo de computadoras interconectadas capaces de compartir datos con las otras

• Presentan formidables problemas de seguridad debido a su naturaleza multiusuaria, multirrecursos y multisistemas.

• La vulnerabilidad de la seguridad de una red estriba en que cada nodo

• La seguridad en redes debe ser tan independiente como sea posible de la seguridad de los nodos separados

• Los enlaces de datos representan el aspecto más vulnerable de cualquier sistema.

INTRODUCCIÓN

• La definición de seguridad implica tres aspectos básicos de protección: (1) proveer acceso controlado a los recursos (identificación y

autentificación), (2) proveer el uso controlado de esos recursos y (3) proveer la seguridad de que el nivel de protección deseado

es alcanzado (monitoreo, etc.).• Lo que se debe proteger principalmente son las conexiones de

tres tipos:– El enlace tradicional entre una unidad central de

procesamiento y terminales remotas. En este grupo se incluyen ahora las conexiones entre microcomputadoras y computadoras centrales.

– La LAN, que permite a las PC compartir recursos a través de líneas de comunicación.

– La red telefónica externa, incluyendo los sistemas de teléfono convencional y otros tipos de servicios públicos de comunicación.

INTRODUCCIÓN

• Las redes han estado tan abiertas a la “invasión” porque muchos usuarios no entienden qué tan vulnerables son.

• Propósito de la Seguridad en Redes y Comunicaciones.– Preservar la confidencialidad de los datos que pasan a

través de cualquier canal de comunicación.– Asegurar que el mensaje permanezca inalterado durante su

transmisión, reteniendo la integridad de los datos que están siendo enviados.

– Asegurar también que realmente estamos conectados con quien creemos que estamos, y ellos (los receptores) deben, a su vez, estar seguros de que nosotros somos quienes dijimos que éramos.

– Adicionalmente, deben existir formas de probar que un mensaje transmitido ha sido recibido exitosamente.

– Asimismo, debemos asegurarnos que solamente los usuarios autorizados tengan acceso a la red, controlando el acceso a los componentes de la red y a los passwords.

INTRODUCCIÓN

El Procesamiento Distribuido

Es el uso de bases de datos en múltiples máquinas que pueden ser de arquitecturas iguales o diferentes.

Beneficios del Procesamiento de Datos Distribuido • Capacidad de Respuesta.• Disponibilidad• Correspondencia con Patrones Organizacionales.• Compartición de Recursos. • Crecimiento Gradual.• Involucramiento y Control Creciente de los Usuarios.• Operación Decentralizada y Control Centralizado.

INTRODUCCIÓN

• Intercepción: Es el robo de información que esta siendo transmitida por cualquier medio físico. (pasivo y actuiva)

• Espionaje. La captura no autorizada de datos transmitidos, ya sea “sacando” la información da la línea, o de las emanaciones emitidas por ésta.

• Análisis de tráfico. Aun cuando el mensaje ha sido encriptado, un análisis de tráfico de la línea puede, en muchas circunstancias, revelar mucho a un extraño.

• Intercepción Activa: El atacante realiza acciones para interferir los datos que son transmitidos en un canal de comunicaciones:

• Modificación. El contenido del mensaje puede ser deliberadamente cambiado.

• Re-enrutamiento. El mensaje es desviado a un lugar diferente de su destino.

• Inyección de mensajes falsos.• Re-envio. El atacante causa que el mensaje tenga que ser

repetido varias veces.

CALAMIDADES.

• Borrado. El mensaje es borrado.• Retardado. El mensaje es deliberadamente retardado.• Disfraz. El atacante finge ser un usuario autorizado.• Colgarse a la mitad. El atacante se “cuelga” en el

enlace entre dos partes que se están comunicando y lleva a cabo dos conversaciones, una con cada parte, convenciéndoles de que están hablando con quien quieren hablar.

• “Entre líneas”. La penetración se hace en el canal de comunicaciones de un usuario legítimo mientras éste no lo está utilizando.

• Saturación. Los enlaces ópticos, de radio o microondas pueden ser interferidos con una señal saturadora “ahoga” la transmisión real.

CALAMIDADES.

• Características importantes de la computación distribuida y la de tiempo compartido

• La protección se debe basar en métodos de seguridad lógica implementadas en hardware o software

• Los sistemas deben descansar en métodos de identificación autenticación, los cuales pueden no ser muy confiables debido a la intervención humana.

• La seguridad depende mucho de los usuarios de los sistemas “individuales” aceptando y llevando a cabo las prácticas de seguridad.

• Debido a que los archivos se pueden crear fuera de las estructuras establecidas, el acceso a archivos supuestamente privados puede lograrse a través de errores de diseño o fallas al crear o aplicar las medidas de protección.

MEDIDAS DE PREVENCION Y MITIGACION

• Encripción• Historia de la Criptografía• Manejo de claves• Encripción de Llave Pública• Autentificación y Firmas Digitales• Autentificación• Firma Digital• Enrutamiento Diverso• Call Back Systems• Protección Física de los Medios de Comunicación• Dispositivos de Protección de Puertos• Medios Alternativos de Comunicación• Respaldos

MEDIDAS DE PREVENCION Y MITIGACION

• Control de integridad. Evita la corrupción de los datos por cualquier causa, así como alteraciones , supresiones o inserción de los datos para uso fraudulento.

• Control de autenticidad del origen de los datos. • Control de confirmación. Proporciona una prueba al remitente

de que el mensaje fue recibido por el destinatario y al destinatario de que el mensaje fue enviado por el remitente.

• Control de confidencialidad. Protege los datos contra una revelación no autorizada y asegura que solo el remitente y destinatario puedan interpretar los datos.

• Control de auditoría. Prueba que las transacciones estén libres de error en ciertos eventos selectivos que deben ser registrados y mantenidos en un archivo y poder proporcionar, evidencias en caso de fraudes.

• Control de autorización de acceso.

CONTROLES FUNDAMENTALES DE SEGURIDAD

• Restringir el acceso a los programas y a los archivos. • Los operadores deben trabajar con poca supervisión y sin la

participación de los programadores, y no deben modificar los programas ni los archivos.

• Asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados.

• No permitir la entrada a la red a personas no autorizadas,ni a usar las terminales.

• Realizar periódicamente una verificación física del uso de terminales y de los reportes obtenidos.

• Monitorear periódicamente el uso que se le está dando a las terminales.

• Hacer auditorías periódicas sobre el área de operación y la utilización de las terminales

OTRAS MEDIDAS DE SEGURIDAD EN REDES

• El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseño general del sistema.

• Deben existir registros que reflejen la transformación entre las diferentes funciones de un sistema.

• Controlar la distribución de las salidas (reportes, cintas, etc.).• Se debe guardar copias de los archivos y programas en

lugares ajenos al centro de cómputo y en las instalaciones de alta seguridad; por ejemplo: los bancos.

• Se debe tener un estricto control sobre el acceso físico a• los archivos.• En el caso de programas, se debe asignar a cada uno de ellos,

una clave que identifique el sistema, subsistema, programa y versión.


• El sistema integral de seguridad debe comprender: – Elementos administrativos – Definición de una política de seguridad – Organización y división de responsabilidades – Seguridad física y contra catástrofes(incendio, terremotos,

etc.) – Prácticas de seguridad del personal – Elementos técnicos y procedimientos – Sistemas de seguridad (de equipos y de sistemas,

incluyendo todos los elementos, tanto redes como terminales.

– Aplicación de los sistemas de seguridad, incluyendo datos y archivos

– El papel de los auditores, tanto internos como externos – Planeación de programas de desastre y su prueba.



PLANES DE CONTINGENCIA

Introducción

• Es una guía para la restauración rápida y organizada de las operaciones de cómputo después de una suspensión.

• Específica quién hace que y cómo. • Los objetivos de dicho plan son los de restablecer, lo más

pronto posible, el procesamiento de aplicaciones críticas (aquellas necesarias para la recuperación) para posteriormente restaurar totalmente el procesamiento «normal".

• Un plan de contingencia no duplica un entorno, pero sí minimiza la pérdida potencial de activos y mantiene a la empresa operando, al tomar acciones decisivas basadas en la planeación anticipada.

Entidades que conforman el medio ambiente en el que se desarrolla el esfuerzo de la planeación de contingencia

Aseguradores

Recursos Humanos Corporativos

Administración del Edificio y de los Servicios

Proveedores de Bienes y Servicios de DRP (Dísaster Recovery Planning)

Servicios de Emergencia Locales y Nacionales

Esquema del Plan de Contingencia

Referencias1.- Antecedentes2.- Objetivo3.- Alcance4.- Eventos

a.- Situación 11) Descripción y efectos2) Fase preventiva

a) Duración (desde.....hasta)b) Organizaciónc) Actividadesd) Instrucciones de coordinación

3) Fase activa 4) Fase posterior5) Instrucciones de coordinación

b.- Situación 25.-Disposiciones y normas generales6.- Definición de términos


PLAN DE SEGURIDAD INFORMATICA

Esquema del Plan de Seguridad Informática

Referencias1.- ANTECEDENTES2.- OBJETIVO3.- ALCANCE4.- CLASIFICACIÓN DE LA INFORMACIÓN

a.- Niveles de seguridadb.- Asignación de perfiles de acceso

5.-POLÍTICAS Y PROCEDIMIENTOS ADMINISTRATIVOSa.- Clasificación de puestosb.- Procedimientos de contrataciónc.- Procedimientos de abandono y transferenciad.- Procedimientos de entrenamiento al personal contratadoe.- Investigación de historial de personal

6.- SEGURIDAD FÍSICA a.- Control de acceso al centro de computo

1) Diseño y ubicación del Centro de cómputo2) Barreras de protección.

– Protección perimetral.– Protección del inmueble.– Protección del área.– Protección de objeto.

3) Guardias y monitoreo electrónico. 4) Procedimientos administrativos. 5) Control de acceso de terceras personas. 6) Sistemas de protección contra intrusos

b.- Suministro de energía. c.- Sistemas de protección contra descargas eléctricas . d.- Control de medio ambiente e.- Medidas de prevención de incendios

f.- Medidas de prevención de inundaciones g.- Control de almacenamiento secundario

1) Destrucción de la información 2) Seguridad en los almacenes de cintas. 3) Procedimientos de protección contra virus

h.- Seguridad en computación de usuario final. 1) Control de acceso físico 2) Protección de hardware. 3) Protección de los medios de almacenamiento

7.- SEGURIDAD LÓGICA a.- Sistemas de control de acceso

1) Niveles de control de acceso• Normas y procedimientos para Identificación de

usuario.• Normas y procedimientos para autentificación de

usuario- Generación y duración de claves. - Propiedad del password. - Longitud y composíción.- Almacenamiento de claves- Entrada de claves- Timeout- Uso de claves.

– Mecanismos de autorización. 2) Restricciones de Tiempo de Acceso.3) Asignaciones de Propiedad.4) Detección y Expulsión de Intrusos del Sistema.5) Otros Sistemas de control de acceso. 6) Sistemas de protección contra intrusos

b.- Encripción de Archivos. c.- Control de conexiones Concurrentes . d.- Procedimientos de respaldo e.- Control del Procesamiento de Datos f.- Validación de Datos g.- Corrección de Errores h.- Control de Calidad del Software i.- Auditoría de los Sistemas j.- Protección contra Emanaciones k.- Ubicación del "Site" l.- Seguridad del Sistema Operativo m.- Seguridad en Computación de Usuario Final

1) Respaldo de información y software 2) Almacenamiento de diskettes 3) Publicación y monitoreo de normas y procedimientos de

seguridad

8.- SEGURIDAD EN REDES Y COMUNICACIONES a.- Control de integridad

b.- Control de autenticidad del origen de los datos.

c.- Control de confirmación.

d.- Control de confidencialidad.

e.- Control de auditoría.

f.- Control de autorización de acceso.

9- PLAN DE CONTINGENCIA.

10.- CLASIFICACIÓN Y DISTRIBUCIÓN

11.- PROCEDIMIENTO DE CAMBIO Y REVISIÓN.

f.- El Gerente de Seguridad

escuela politecnica del ejercito seguridad informatica

Documents