La administración y sus fines

1.1.SEGURIDAD DE LA INFORMACIÓN Y SISTEMAS CRÍTICOS: Prop de sist crit:*
Confiabilidad sobre el sistema, su infraestructura y Su funcionalidad. *Disponibilidad, asegurándose que el sistema esté activo y Funcionando en todo momento. *Fiabilidad el sistema debe funcionar Correctamente tal como se espera.(correc detalle, preci en la inf) *Seguridad Al interactuar con los usuarios y el medio que lo rodea. *Protección, porque Debe ser capaz de soportar ataques e intrusiones(integridad dat, acc usua Auto,garan auten).*Mantenimiento, tanto en su forma preventiva como correctiva.
La seguridad informática, Ciberseguridad o seguridad de tecnologías de la información, es la disciplina Que se encarga del manejo de la seguridad en los sistemas, la que contempla Tanto el hardware (infraestructura computacional) y software (la información, Bases de datos, metadatos, archivos). Para ello se han desarrollado estándares, Protocolos, métodos, metodologías, algoritmos y leyes cuyo objetivo es Minimizar los posibles riesgos

. Factores Clave en la seg compu

*Confidencialidad: preservar las restricciones autorizadas Sobre la información, acceso y divulgación. *Integridad: es proteger contra la Modificación o destrucción indebida de la información. *Disponibilidad: Garantizar el acceso oportuno y fiable a la información y su uso.

Add def req en torno a:

Autenticidad: Inf genuina, verfic y de confianza *rendición de cuentas:la meta de seguridad Genera el requisito de que las acciones de una entidad se rastreen Exclusivamente a esa entidad. 

Tipos funda de sis críticos

A) Sistemas de seguridad críticos: son sistemas cuyo mal funcionamiento puede Provocar pérdidas de vida o generar un grave daño al medio ambiente en el Tiempo, por ejemplo: el sistema de control de fabricación de algún producto Químico b) Sistemas de misión críticos: son sistemas cuyo mal funcionamiento Puede provocar errores en algunas actividades dirigidas por objetivos, por Ejemplo: el sistema de navegación de una nave espacial c) Sistemas de negocios Críticos: son sistemas cuyo mal funcionamiento puede provocar costes elevados Para el negocio que lo utiliza, por ejemplo: un sistema de cuentas bancarias

. Niveles de costo de los ataques:

Bajo: Si la pérdida tiene un efecto adverso limitado sobre la organización, sus operaciones, Activos organizacionales o individuos, causa perdida finan menores *Moderado: La pérdida podría tener un efecto grave "",perdida finan significativas,  daño significativo a las personas, pero sin Pérdida de vidas o lesiones serias y mortales *Alto: la pérdida tiene un efecto Adverso severo en"".

1.2.CONFIABILIDAD

Habilidad de un sistema o componente de realizar las Funciones requeridas bajo condiciones específicas en periodos de tiempo Determinados. El término “confiabilidad” ,Atributos De la confiab:
*
disponibilidad(es la probabilidad de que en un momento dado éste funcionará, ejecutará y ofrecerá servicios útiles a los usuarios), *fiabilidad(es La probabilidad, durante un tiempo determinado, de que el sistema brindará Correctamente servicios como espera el usuario.), *
protección(cuán probable es Que el sistema causará daños a las personas o su ambiente) y *seguridad(cuán Probable es que el sistema pueda resistir intrusiones accidentales o Deliberadas

). También se pude cons:

Reparabilidad: fallas minim si se reapra rápido, *maneniblidad: new req y Cambio para satisf *supervivencia:  Habilidad de un sistema para continuar entregando servicio en tanto está Bajo ataque , *tolerancia para el error:  Propiedad parte de la usabilidad y refleja el diseño del sistema para Evitar y tolerar los errores de entrada de usuario.

Maneras de cunatificar la conf: *

Predicción de la confiabilidad: se Realiza mediante un lineamiento de la evaluación segura del programa y Fácilmente medible sobre las propiedades del código. *Estimación de la Confiabilidad: son modelos utilizados para realizar la estimación se basan en La estimación de las tasas de fallos

. Tipos de fallos:

Fallos transitorios: desaparecen luego de un tiempo o Fallos permanentes: no desaparecen hasta la reparación *Fallos intermitentes: Fallos transitorios con cierta periodicidad.

Acciones para evitar fallos:*

Prevención de fallos: evitarlos en el Proceso de construcción -Evitar fallos: durante el diseño

-Eliminar fallos: en el sistema ya construido ejecutar Correcciones. *Tolerancia a fallos: *En el proceso de diseño: especificación Rigurosa de requisitos, aplicación de técnicas de diseño formales, uso de lenguajes Abstractos y modulares, implementación en base a componentes. *En el proceso de Testing: revisiones frecuentes, inspecciones rigurosas al código, verificación De funcionalidades.

Resultado no Absoluto:

Tolerancia completa por int de tiempo. *Degradación aceptable Sis cuniona con menores prestaciones hasta la rep. *Parada segura hasta la reparación.

Buenas prac para gene confiab:

1. Evitar la entrada de errores accidentales en el sistema durante la Especificación y el desarrollo del software. 2. Diseñar procesos de Verificación y validación para descubrir errores residuales que afecten la Confiabilidad del sistema. 3. Desarrollar mecanismos de protección contra Ataques externos que comprometan la disponibilidad o la seguridad del sistema. 4. Configurar correctamente el sistema utilizado y el software de apoyo según El entorno operacional.

Una falta de Confiabilidad puede ocasionar:

1. Rechazo en los usuarios 2. Costos de los Fallos de funcionamiento del sistema pueden ser enormes. 3. Pérdida de información

. Existen tres tipos de componentes del Sistema que pueden generar fallos

1. El hardware del sistema por errores En el diseño. 2. El software del sistema por errores en las especificación, Diseño o implementación. 3. Los usuarios del sistema debido a un uso incorrecto Del mismo.

1.3.DISPONIBLIDAD Y FIABILIDAD: La fiabilidad de un Sistema es la probabilidad de que el sistema funcione correctamente tal y como Se ha especificado, mientras que la disponibilidad De un sistema es la probabilidad de que el sistema esté en disposición de Funcionar para proporcionar los servicios ofertados a los usuarios que lo Soliciten.

La fiabilidad considera las Siguientes definiciones

*Error humano: comportamiento humano que tiene como Consecuencia la introducción de fallas en el sistema. *Fallo del sistema: Evento que tiene lugar en algún instante cuando el sistema no funciona como Esperan sus usuarios. *Error del sistema: estado erróneo del sistema que puede Dar lugar a un comportamiento del mismo inesperado por el usuario. *Defecto o Caída del sistema: carácterística de un sistema software que puede dar lugar a Un error del sistema o que no se entregue un servicio.

Percepción de la fiabiliad ambigüedades

1.No todo el código del Prog se ejecuta siempre 2.Los errores son transito 3.El sistema puede incluir Mecanismos de detección de fallas y de protección.

Enfoques complementarios para mejorar la fiabilidad

*Evitación de Defectos o fallas de desarrollo: Ejemplos: evitar códigos del lenguaje de Programación proclives al error, como punteros *Detección y eliminación de Defectos o fallas de desarrollo: técnicas de verificación y validación. *Tolerancia a defectos o fallas de desarrollo: técnicas para asegurar que los Defectos en el sistema no conduzcan a errores y caidad del sist.

1.4.SEGURIDAD

Es la propiedad del sistema de operar normal o Anormalmente, sin peligro de causar daño humano o causar daño al entorno del Sistema.

Son términos de seguridad:

Activo: algo que tiene valor y requiere ser protegido, puede ser también software Y datos * Exposición: posible pérdida o daño *Vulnerabilidad: debilidad que se Puede usar para causar pérdida o daño *Ataque: aprovechamiento de una Vulnerabilidad, suele ser externo y deliberado *Amenaza: circunstancia que Puede causar pérdida o daño *Control: medida de protección para reducir la Vulnerabilidad Existen tres tipos de Amenzas:
*Amenazas a la confidencialidad del sistema y sus datos * Amenazas A la integridad del sistema y sus datos *Amenazas a la disponibilidad del Sistema y sus datos.

En base a la Criticidad de la seguridad se definen

*Sistemas de seguridad críticos Primarios: sistemas de software integrados cuyas fallas pueden causar que el Hardware asociado falle y amenace a gente de manera directa. Por ejemplo, el Sistema de control de suministro de insulina. *Sistemas de seguridad críticos Secundarios: sistemas cuyas fallas resultan en fallos en otro sistema (socio-técnico), y estos podrían tener consecuencias en su seguridad. Por Ejemplo, MHC-PMS (patient information system for mental health care) es crítico De la seguridad ya que una falla puede llevar a una prescripción de tratamiento Inapropiada.

Sitema fiable no seguro Debido a:

Una especificación incompleta *Un mal comportamiendo de hardware Comport impredeci *Los operadoes del sistema pueden gener entrad q no son indiv Correctas

. Son enfoques para mejorar la Seguridad:

Evitación de contingencias o vulnerabilidades: en el diseño del Sistema *Detección y eliminación de contingencias o ataques: el sistema se Diseña para que las contingencias se detecten y eliminen antes de que provoquen Un accidente. *Limitación de exposición (daños) y recuperación: el sistema Incluye carácterísticas de protección que minimizan el daño que puede resultar De un accidente.

1.5.PROTECCIÓN:

Es el atributo del sistema que refleja Su capacidad de protegerse de ataques externos sean accidentales o provocados. Este atributo es fundamental en sistemas abiertos, lo más común, conectados a Internet

. El software crítico para la Protección se divide en dos clases

*Software primario crítico para la Protección sirve como controlador en un sistema. El mal funcionamiento de este Puede repetirse en el hardware, lo cual derivaría en una lesión humana o daño Ambiental. *Software secundario crítico para la protección podría repercutir Indirectamente en una lesión. Por ejemplo, los sistemas CAD

.  Existen tres tipos de daños Que pueden ser causados por ataques externos:

Denegación de servicio: el Sistema entra en un estado en que sus servicios normales no están disponibles. *Corrupción de programas o datos: los componentes software pueden ser alterados De forma no autorizada, lo que puede afectar la fiabilidad y la seguridad.  *Revelación de información confidencial: la Información gestionada puede ser expuesta a personas no autorizadas.

En torno a la protección se definen los Siguientes términos

* Exposición: posible pérdida o daño en un sistema Informático. *Vulnerabilidad: debilidad en un sistema que se puede aprovechar Para provocar pérdidas o daños. *Ataque: aprovechamiento de la vulnerabilidad De un sistema. *Amenazas: circunstancias que potencialmente pueden provocar Pérdidas o daños. * Control: medida de protección para reducir la Vulnerabilidad del sistema.

Son enfoques Para mejorar la seguridad:

Evitar la vulnerabilidad, *Detección y Neutralización de ataques, *Limitación de exposición

1.6.SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFROMACION:  SGSI cons 4 proc básicos:pavh: *
Planificar: es el proceso de establecer políticas, Objetivos, procesos y procedimiento de gestión de riesgos, según los Requerimientos de la organización. *Hacer: son los procesos de control Necesarios durante la operación con el objetivo de reducir los riesgos. *Verificar: es la evaluación de los aplicado, auditoría *Actuar: considera acciones Correctivas y preventivas necesarias

.  Es crítica en esta estructura la gestión de Riesgos, la que debe considerar:

a) Evitar riesgos: en los cambios bruscos En los procesos, a través del control b) Reducir los riesgos: al nivel más bajo Posible, mediante la optimización de procedimientos c) Retener: reduciendo Riesgos residuales d) Transferir riesgos a terceros: con respaldos Contractuales con otras entidades. La funcionalidad del Sistema, se traduce en POLÍTICAS Y ESTÁNDARES que es el Conjunto de medidas, metodologías, normas y políticas definidas con el objetivo De garantizar la seguridad informática, que se plasman en manuales Organizacionales de estricto cumplimiento para los profesionales del área y los Usuarios generales y deben considerar:
A) Alcance del documento b) Resultado del análisis de riesgos realizado c) Lineamientos generales de administración y organización de las TICs (responsabilidades y funciones administrativas) d) Vigencia de los Procedimientos e) Tipos y obligaciones de los usuarios, niveles de Responsabilidad y sanciones f) Seguridad física y medioambiental de la Información y bienes informáticos, controles de acceso, seguridad en áreas de Trabajo, ubicación de equipos, mantenimiento, acciones ante daños o pérdidas de Equipos g)
Administración de los centros de cómputo, respaldo de la Información, adquisición de hardware y software, administración y seguridad de Las redes, administración de sistemas de mensajería y correo electrónico, Controles ante virus, malware, software malicioso, acceso a Internet h) Planes De contingencia i) Manejo del acceso lógico, perfiles de usuario, contraseñas, Accesos remotos j) Propiedad intelectual.

1.6.1 Análisis COSTO/BENEFICIO:

Este tipo de Procedimiento es vital para la implementación del Sistema de Seguridad de la Información, existen todo un conjunto de modelos y metodologías para su Implementación, el más usado es la ISO 27001.
El análisis costo/beneficio es el elemento esencial en la decisión De su implementación, la gestión de la seguridad de la información conlleva una Serie de costos generales asociados que suelen Vincularse a:
* Inventarios: porque se debe conocer el valor de los activos De la organización: identificar, definir, describir y valorar *La implantación De un sistema de mejora continua definido por el propio estándar. *Análisis Permanente de riesgos ya sean nuevos o permanentes *Desarrollar planes de Contingencia y continuidad *La implementación de diversos controles de seguridad Y control de riesgos *Mantenimiento del sistema durante un periodo de tiempo Prolongado.

Cálculo de la rentabilidad Por la imp  sgsi metod requi evaluar:

Costo De implantación *Ahorro al reducir y eliminar fallas (revisión de históricos) * Mejora en el posicionamiento en el mercado y la imagen de la organización * Costos en capacitación y consultorías externas * Costos tecnológicos *Costos Hora/hombre en identificar riesgos, mejorar e implementar procedimientos y Políticas. *Costo de certificación x Costos operativos y de mantenimiento.

Procedimiento análisis costo información

A) Establecer una visión general de la seguridad de la información, a partir de Los antecedentes, estructura organizacional, descripción y crecimiento en los Al menos diez años b) Recopilar la información sobre los activos informáticos, De manera sistemática, definiendo claramente (Guía de Administración de Riesgos De Microsoft). C) Evaluación cuantitativa y cualitativa de riesgos, que debe Calcular el costo generado por incidentes de seguridad y el beneficio de la Mitigación de los riesgos, para ello se usan metodologías como MAGERIT, OCTAVE, AS/NZS, BS7799, ISO 27005 d) Análisis costo/beneficio: se debe sumar los costos Totales de cada activo con los costos de la implementación de los controles. Luego Se calcula el ROSI (Retorno de la Inversión en Seguridad – Return of Security Invesment) que mide la relación Entre el retorno que produce uma inversión y la propia inversión; este es un Indicador asociado al Roí (Return of Investment), utilizado para evaluar si una Inversión es justificable.