lunes, 22 de febrero de 2010

Seguridad de la Información

La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran; el siguiente trabajo abarca de manera detalla todos estos conceptos tan importantes para la actualidad.

Seguridad Lógica

Es la Aplicación de barreras y Procedimiento que resguarda el acceso a los datos, y protege la integridad de la Información almacenada de una computadora. Y solo se permite el acceso a la persona autorizada para hacerlo.

De que se encarga la seguridad Lógica

• Controles de acceso para proteger la integridad de la Información almacenada
• Controlar y proteger la Información generada
• Identificar individualmente a cada usuario y sus actividades en el sistema.

La seguridad de un sistema informático incluye:

• Restringir el acceso a los programas y archivos
• Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa no darle privilegio extras a un usuario sino solo lo que necesita para realizar su trabajo.
• Asegurarse de estén utilizando los datos , archivos y programas correctos y por el procedimiento correcto
• Que la información trasmitida sea recibida por el destinatario la cual ha sido enviada
• Que la información recibida sea la misma que ha sido trasmitida
Que consecuencia podría traer a la organización la falta de seguridad lógica:

• Cambio de los datos antes o cuando se da entrada a la computadora
• Copias de programas y información
• Código oculto
• Entrada de virus

La seguridad lógica puede evitar una afectación de pérdida y registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.

Administración de respaldos


Administración de respaldos


Toda organización necesita tener un respaldo de información para poder darle resolución a preguntas como: ¿Cuánta ganancia se obtuvo? En un lapso de tiempo (día, mes, año). ¿Cuántos usuarios han utilizados mis servicios? ¿Qué servicios se venden más? Entre otros.


¿Cuáles son las expectativas administrativas de respaldo y recuperación?


Las expectativas de verán ser máximas ya que una organización que está a la vanguardia y quiere ser competitiva debe ser consciente que la principal herramienta es la información ya que con ella se pueden generar estrategias y procesos de negocios


¿Qué personal se encarga del proceso de respaldo y recuperación?


La parte de la planificación le corresponde al administrador de sistemas, pero la parte operativa estará a cargo de El Administrador de la Base de Datos.


Proceso real de respaldar datos:


· Designar al responsable a realizar el respaldo en base a la calendarización

· Verificar que todos los usuarios estén fuera del sistema para que no alteren los datos durante el proceso

· Realizar las copias de las bases

· Asegurar que se han realizados la copias correctamente y que es la información que necesitamos

· Habilitar el sistema nuevamente.

Forma en que se almacenaran los datos de respaldo


Estos respaldos son sólo duplicados de archivos que se guardan en “Tape Drives” de alta capacidad. Los archivos que son respaldados pueden variar desde archivos del sistema operativo, bases de datos, hasta archivos de un usuario común. Existen varios tipos de Software que automatizan la ejecución de estos respaldos, pero el funcionamiento básico de estos paquetes depende del denominado archive bit. Este archive bit indica un punto de respaldo y puede existir por archivo al nivel de “Bloque de Información” (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado para los respaldos así como el archivo que sea respaldado.

Almacenamiento masivo de Información.

No es ninguna novedad el valor que tiene la información y los datos para nuestros negocios . Los que resulta increíble de esto es la falta de precauciones que solemos tener al confiar al núcleo de nuestros negocios al sistema de almacenamiento de lo que en la mayoría de los casos resulta ser una computadora pobremente armada tanto del punto de vista de hardware como de software. Si el monitor, la memoria e incluso la CPU de nuestro computador dejan de funcionar, simplemente lo reemplazamos, y no hay mayores dificultades. Pero si falla el disco duro, el daño puede ser irreversible, puede significar la pérdida total de nuestra información. Es principalmente por esta razón, por la que debemos respaldar la información importante.

La tecnología no está exenta de fallas o errores, y los respaldos de información son utilizados como un plan de contingencia en caso de que una falla o error se presente. Asimismo, hay empresas, que por la naturaleza del sector en el que operan (por ejemplo Banca) no pueden permitirse la más mínima interrupción informática.

Las interrupciones se presentan de formas muy variadas: virus informáticos, fallos de electricidad, errores de hardware y software, caídas de red, hackers, errores humanos, incendios, inundaciones, etc. Y aunque no se pueda prevenir cada una de estas interrupciones, la empresa sí puede prepararse para evitar las consecuencias que éstas puedan tener sobre su negocio. Del tiempo que tarde en reaccionar una empresa dependerá la gravedad de sus consecuencias.

Dispositivos de Almacenamiento Masivos



Se trata de cualquier dispositivo electromecánico ó electrónico, capaz de guardar a largo plazo información generada por los usuarios, sin importar su origen u objetivos de tales datos. Actualmente existe una gran gama de productos destinados a este fin, clasificados de acuerdo a sus principios de almacenamiento, tales como mecánicos, magnéticos, digitales, ópticos y mixtos.

Dispositivos de almacenamiento mecánico: basan su almacenamiento en elementos táctiles y visibles al ser humano (surcos y orificios), tales como tarjetas perforadas y discos musicales de vinilo. Se trata de aquellos dispositivos que almacenan la información físicamente en su superficie (en forma de surcos ó perforaciones visibles al ojo humano), por medio de un elemento mecánico como una aguja ó una perforadora. Estos dispositivos tienen la ventaja de que soportan condiciones de calor y frío extremos, aunque son susceptibles a condiciones mecánicas como ralladuras y de humedad que deterioran la superficie del dispositivo.

Los dispositivos de almacenamiento mecánico fueron reemplazados del mercado por los dispositivos de almacenamiento magnético.

Dispositivos de almacenamiento mecánico:

Tarjetas perforadas

Se trata de láminas de cartón de distintas medidas, en las cuáles se va grabando la representación de los bits (0´s y 1´s) en forma de espacios perforados y espacios no perforados. Es una del las mas antiguas formas tecnológicas de almacenamiento masivo de información, de la cuál se toma la base de los modernos dispositivos electrónicos.

Las tarjetas se colocaban en dispositivos llamados máquinas tabuladoras mecánicas, capaces de leer y crear nuevas tarjetas, incluso había formatos de tarjetas en función de la cantidad de filas y columnas que debería contener la tarjeta. Posteriormente se desarrollaron cintas perforadas, las cuáles tenían como principio el mismo que las tarjetas perforadas.

Las tarjetas perforadas fueron reemplazadas por tecnología mecánica como discos de vinilo y cintas magnéticas de respaldo.

Disco de vinilo

El disco de vinilo o disco de vinil es un formato de reproducción de sonido basado en la grabación mecánica analógica.

Dispositivos de almacenamiento magnético:

Basan su almacenamiento en partículas magnéticas microscópicas almacenadas bajo una capa de pintura especial en cintas de respaldo, disquetes, discos ZIP y discos duros, utilizan la propiedad de los metales ferrosos, o las cintas cubiertas con material ferroso.

Discos Duros

Es un dispositivo permanente compuesto por una o varias láminas rígidas de forma circular, recubiertas de un material que posibilita la grabación magnética de datos. Un disco duro normal gira a una velocidad constante medida en revoluciones por minuto y las cabezas de lectura y escritura se mueven en la superficie del disco sobre una lámina de aire de un espesor de 10 a 25 millonésima de pulgada.

Discos 3 ½

Los disquetes son dispositivos de almacenamiento extraíble de muy baja capacidad. Están formados por pequeños discos de material plástico flexible. La información se almacena en el disquete mediante una cabeza de lectura y escritura de la unidad de disco, que altera la orientación magnética de las partículas. En el caso de un disquete, la cabeza de lectura y escritura roza la superficie del disco, al contrario que en los discos duros. Su capacidad es de hasta 1.44 MB. Hoy en día es un dispositivo que ha quedado completamente obsoleto, por capacidad y por velocidad de acceso.

Discos Zip

La información es guardada en discos extraíbles similares a los disquetes de 3 ½", pero su capacidad llega hasta los 250 MB, la velocidad de transferencia es muy superior a la un disquete pero inferior a la de un disco duro. Las cabezas de escritura/lectura están en contacto con las superficies de ambas caras, y son más pequeñas en tamaño que las usadas en una disquetera, lo cual permite grabar y leer con densidades de grabación mayores.

Cintas

Las cintas magnéticas de datos o streamers se utilizan para hacer copias de seguridad de los datos almacenados normalmente en discos duros. Dada la estructura de la cinta, la grabación de la información se realiza de forma secuencial, lo que ralentiza la búsqueda de los datos.

Dispositivos de almacenamiento óptico:

Basan su almacenamiento en pequeñas ranuras microscópicas grabadas por medio de un láser en la superficie de un disco plástico. Ejemplos de ellos son: CD-ROM, DVD-ROM, HD-DVD y Disco Blu-Ray. La información queda grabada en la superficie de manera física, por lo que solo el calor (puede producir deformaciones en la superficie del disco) y las rayaduras pueden producir la pérdida de los datos, sin en cambio es inmune a los campos magnéticos y la humedad.

CD-ROM

El disco compacto de memoria solo de lectura (CD-ROM) utiliza la misma tecnología usada en los discos compactos de música. El hecho de que no se pueda escribir información en un CD-ROM no significa que no sea un medio útil de almacenamiento. Uno solo puede normalmente almacenar hasta 600 MB de información. Otra aplicacion interesante de la tecnologia del CD_ROM es el CD interactivo (CD-I. El CD-I almacena audio, video en movimiento y graficos, animacion, texto e informacion digitales en un CD.

DVD-ROM o "DVD-Memoria de Sólo Lectura

Es un disco con la capacidad de ser utilizado para leer o reproducir datos o infomación (audio, imagenes, video, texto, etc), es decir, puede contener diferentes tipos de contenido como películas cinematográficas, videojuegos, datos, música, etc.

Blu-ray (también conocido como Blu-ray Disc o BD)

Es un formato de disco óptico de nueva generación de 12 cm de diámetro (igual que el CD y el DVD) para vídeo de alta definición y almacenamiento de datos de alta densidad. El uso del láser azul para escritura y lectura permite almacenar más cantidad de información por área que los discos DVD, debido a que el láser azul tiene una menor longitud de onda que los láseres usados para almacenar en discos DVD.

Dispositivos de almacenamiento electrónico-digital:

Basan su almacenamiento en celdas de memoria, sin ningún tipo de elementos mecánicos internos que generen desgaste a diferencia de los anteriores.

Se subdividen en dos tipos:

1.- Almacenamiento temporal: guardan la información por un periodo corto de tiempo, ejemplo son las memorias RAM y las memorias SRAM.

2.- Almacenamiento a largo plazo: permiten guardar la información por periodo indefinido siempre y cuando el dispositivo no sufra daño, ejemplo son las memorias USB, memorias ROM, chips de teléfono celular, memorias digitales (SD, MemoryStick®, MMC, etc.), y las unidades de estado sólido SSD.

Dispositivos de almacenamiento mixtos:

Son aquellos que combinan las tecnologías anteriores, como ejemplo tenemos un tipo de disco especial llamado LS120, el cuál combina la escritura magnética con una guía láser, que permite a las cabezas moverse de manera mas precisa.

Plan de recuperación de datos ante posibles Emergencia

Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal encargado del centro de procesamiento de datos

Con el crecimiento de la tecnología de información y la confianza sobre datos cruciales, el panorama ha cambiado en años recientes a favor de la protección de datos irreemplazables. Esto es evidente sobre todo en la tecnología de información; con los sistemas de ordenadores más grandes que sostienen información digital para limitar pérdida de datos y ayudar recuperación de datos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes. De las empresas que tenían una pérdida principal de registros automatizados el 43 % nunca vuelve a abrir, el 51 % cierra en menos de dos años, y sólo el 6 % sobrevivirá el largo plazo.

El mercado de protección de datos existente es caracterizado por varios factores:

  • El permanente cambio de las necesidades de los clientes determinado por el crecimiento de datos, asuntos regulatorios y la creciente importancia de tener rápido acceso a los datos conservándolos en línea.
  • Respaldar los datos de vez en cuando teniendo tecnologías de cintas convencionales de reservas.

Como el mercado de recuperación de desastre sigue sufriendo cambios estructurales significativos, este cambio presenta oportunidades para las empresas de la nueva generación a que se especialicen en la planificación de continuidad de negocio y la protección de datos fuera del sitio de trabajo.

Actividades previas al desastre


Se considera las actividades de planteamiento, preparación, entrenamiento y ejecución de actividades de resguardo de la información, que aseguraran un proceso de recuperación con el menor costo posible para la institución.

Establecimientos del Plan de Acción
En esta fase de planeamiento se establece los procedimientos relativos a:
a. Sistemas e Información.
b. Equipos de Cómputo.
c. Obtención y almacenamiento de los Respaldos de Información (BACKUPS).
d. Políticas (Normas y Procedimientos de Backups).
a. Sistemas de Información
 La Institución deberá tener una relación de los Sistemas de Información con los que cuenta, tanto los de desarrollo propio, como los desarrollados por empresas externas.
 Se debe tener en cuenta el catastro de Hardware, impresoras, lectoras, scanner, ploters, modems, fax y otros, detallando su ubicación (software que usa, ubicación y nivel de uso institucional).
 Se debe emplear los siguientes criterios sobre identificación y protección de equipos:
 Pólizas de seguros comerciales, como parte de la protección de los activos institucionales y considerando una restitución por equipos de mayor potencia, teniendo en cuenta la depreciación tecnológica.
 Señalización o etiquetamiento de las computadoras de acuerdo a la importancia de su contenido y valor de sus componentes, para dar prioridad en caso de evacuación. Por ejemplo etiquetar de color rojo los servidores, color amarillo a los PC con información importante o estratégica, y color verde a las demás estaciones (normales, sin disco duro o sin uso).
 Mantenimiento actualizado del inventario de los equipos de cómputo requerido como mínimo para el funcionamiento permanente de cada sistema en la institución.
c. Obtención y almacenamiento de Copias de Seguridad (Backups)
 Se debe contar con procedimientos para la obtención de las copias de seguridad de todos los elementos de software necesarios para asegurar la correcta ejecución de los sistemas en la institución. Las copias de seguridad son las siguientes:
 Backup del Sistema Operativo: o de todas las versiones de sistema operativo instalados en la Red.
 Backup de Software Base: (Lenguajes de Programación utilizados en el desarrollo de los aplicativos institucionales).
 Backup del software aplicativo: backups de los programas fuente y los programas ejecutables.
 Backups de los datos (Base de datos, passsword y todo archivo necesario para la correcta ejecución del software aplicativos de la institución).
 Backups del Hardware, se puede implementar bajo dos modalidades:
 Modalidad Externa: mediante el convenio con otra institución que tenga equipos similares o mejores y que brinden la capacidad y seguridad de procesar nuestra información y ser puestos a nuestra disposición al ocurrir una continencia mientras se busca una solución definitiva al siniestro producido.
 En este Caso se debe definir claramente las condiciones del convenio a efectos de determinar la cantidad de equipos, periodos de tiempo, ambientes, etc., que se puede realizar con la entidad que cuente con equipo u mantenga un Plan de Seguridad de Hardware.
 Modalidad Interna: si se dispone de mas de un local, en ambos se debe tener señalado los equipos, que por sus capacidades técnicas son susceptibles de ser usados como equipos de emergencia.
 Es importante mencionar que en ambos casos se debe probar y asegurar que los procesos de restauración de información posibiliten el funcionamiento adecuado de los sistemas.
d. Políticas (Normas y Procedimientos)
 Se debe establecer procedimientos, normas y determinación de responsabilidades en la obtención de los “Backups” o Copias de Seguridad. Se debe considerar:
 Periodicidad de cada tipo de backup: los backups de los sistemas informáticos se realizan de manera diferente:
 Sistema Integrado de Gestión Académico: en los procesos académicos de Inscripción de curso y registro de Actas se realiza backup diario, para los demás periodos se realiza el backup semanal.
 Sistema de Ingresos: backup diario
 Sistema Integrado de Administración Financiera (SIAF): backup semanal
 Sistema de Tramite Documentario: backup diario.
 Sistema de Abastecimientos: backup semanal
 Sistema de Control de Asistencia del personal: backup semanal.
 Sistema de Banco de Preguntas: backup periodo examen.
 Respaldo de información de movimiento entre los periodos que no se sacan backups: días no laborales, feriados, etc. en estos días es posible programar un backup automático.
 Uso obligatorio de un formulario de control de ejecución del programa de backups diarios, semanales y mensuales: es un control a implementar, de tal manera de llevar un registro diario de los resultados de las operaciones del backups realizados y su respectivo almacenamiento.
 Almacenamiento de los backups en condiciones ambientales optimas, dependiendo del medio magnético empleando.
 Reemplazo de los backups, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar. No se realiza reemplazos pero se realiza copias de las mismas, considerando que no se puede determinar exactamente el periodo de vida útil del dispositivo donde se ha realizado el backup.
 Almacenamiento de los backups en locales diferentes donde reside la información primaria (evitando la pérdida si el desastre alcanzo todo el edificio o local). Esta norma se cumple con la información histórica, es decir se tiene distribuidos los backups de la siguiente manera: una copia reside en las instalaciones del CIT, y una segunda copia reside en la Oficina que genera la información.
 Pruebas periódicas de los backups (Restore), verificando su funcionalidad, a través de los sistemas comparando contra resultados anteriormente confiables. Esta actividad se realizara haciendo una comparación entre el contenido de la primera y segunda copia realizada o con el contenido de la información que se encuentra el Servidor de información histórica.

Razones para recurrir a un DRP
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
• Catástrofes.
• Fuego.
• Inundaciones.
• Fallas de energía.
• Ataques terroristas.
• Interrupciones organizadas o deliberadas.
• Sistema y/o fallas de equipo.
• Error humano.
• Virus informáticos.
• Cuestiones legales.
• Huelgas de empleados.