12.171 cursos gratis
8.751.247 alumnos
Facebook Twitter YouTube
Busca cursos gratis:

E-Commerce

Autor: Ariel Moncalvo
Curso:
7/10 (1 opiniýn) |986 alumnos|Fecha publicaciýn: 12/11/2009
Envýa un mensaje al autor

Capýtulo 15:

 Seguridad informática

[1] Las tecnologías de la información son herramientas indispensables para las Organizaciones, sin embargo las mismas pueden verse afectadas por situaciones o “amenazas”que pueden poner en riesgo la continuidad operativa del negocio.

Estas amenazas pueden ser tanto externas como internas, como por ejemplo:

  • La ingeniería social
  • El phishing
  • Introducción de software malicioso
  • Hacking / cracking
  • Infidelidad del personal
  • Adulteración, pérdida o sustracción de la información

Podemos incluir también dentro de los riesgos, la no previsión de planes contingentes que cubran tanto el procesamiento de la información como el resguardo de los sistemas y datos

Si las Organizaciones toman conciencia de estos riesgos y de las problemáticas que producirían, deberían iniciar conforme a sus necesidades, tamaño de la organización y limitaciones, el desarrollo de normas o políticas de seguridad que posibiliten minimizar los riesgos que pueden sufrir sus activos.

Es entonces donde se comienza a pensar en la Seguridad Informática:

“Seguridad Informática”  se denomina al conjunto de metodologías o políticas de alto nivel cubriendo la seguridad de los sistemas y de la información que en ellos se procesa, a fin de preservar la confidencialidad, integridad y disponibilidad.

·       Confidencialidad porque la información solo debe estar disponible para el personal específicamente autorizado a utilizarla.

·       Integridad se logra controlando que la información solo pueda ser manipulada y/o modificada por personas de la organización que estén debidamente autorizadas.

·       Disponibilidad porque toda la información es un bien tangible de la organización, por lo cual debería estar disponible cuando se la necesite. Su pérdida, sustracción, etc. puede ser causal de degradaciones en los servicios prestados por la Organización.

·       Podemos agregar también el “No Repudio”  es decir que quien utiliza y/o modifica la información, no pueda negar que lo ha hecho.

No se preocupe por recordar las categorizaciones, todavía, lo que intentamos hacer es mostrarle un enfoque metodológico de aplicación práctica. Este tema lo retomamos más adelante en otros capítulos.

Sin embargo, cabe aclarar que no sería viable proponer o instrumentar un procesamiento totalmente seguro de la información ya que su costo seria altísimo por lo cual, las Organizaciones, deberán cuantificar el riesgo que pueden asumir sin que afecte o perjudique al negocio. Es decir obtener la evaluación económica del impacto que estos sucesos pueden causar versus el costo que pueden asumir para lograr la protección de la información

Para esto los directivos de las Organizaciones deberán llevar a cabo una clasificación de valor y riesgo de la información, posibilitando de esta manera determinar el correcto nivel de protección a ser provisto. Podemos tomar como ejemplo el cuadro (a) con los posibles niveles de criticidad y el cuadro (b) cubriendo los  distintos valores medibles

Cuadro a

ConfidencialidadIntegridadDisponibilidad
Altamente ConfidencialAltaAlta
ConfidencialMediaMedia
InternaBajaBaja
Pública  

Cuadro b:

Valor estratégico

Valor del negocio

Exposición a fraudes

Pérdida o robo de la información

Disposiciones legales

Costo de creación / reconstrucción

Una vez definida esta clasificación, podrán desarrollarse las políticas de seguridad acordes a la naturaleza de la Organización bajo dos aspectos importantes Seguridad física y Seguridad lógica

Seguridad física siempre y cuando la organización cuente con equipos computadores propios (servidores, mainframes, etc.) donde se procesa la información. Esta involucrará:

·       Las indicaciones de los proveedores de equipos con respecto a instalaciones eléctricas y de temperaturas

·       Controles de acceso a recintos donde se encuentren los equipamientos tanto para personal de la organización como de terceras partes

·       Seguridad contra incendios

·       Ubicaciones de los equipos (para evitar riesgos de inundaciones, pérdidas en cañerías de agua, etc.)

·       Inclusión de equipamientos UPS ((Uninterruptable Power Supplies)

·       Protección de líneas de telecomunicaciones y puntos de distribución

Seguridad lógica cubriendo:

·       Control de acceso a los sistemas tanto para el personal de la organización como de terceras partes

·       Limitaciones de acceso del personal técnico (Desarrolladores, Implementadores, Operadores, etc.) a los sistemas y a los archivos o bases de datos productivos

·       Cuando se cuente con equipamientos propios, establecer separaciones de los ambientes de trabajo: Desarrollo, Testing, Pre-Producción, Producción

·       Protección de información que se transmite fuera de la Organización a través de autenticación o encripción

·       Control sobre accesos remotos a través de firewalls

·       Adecuadas planificaciones de backups de sistemas y datos

·       Pruebas periódicas del recupero de los sistemas y de la información obteniéndolas desde los medios backup

·       Control sobre accesos a Internet y servicios de correo electrónico

·       Planes alternativos de procesamiento

·       Pueden a su vez considerar controles de resguardo sobre medios imprimibles o membretados

·       Concientizar al personal sobre el resguardo de información (papelería, medios magnéticos, etc.), cuando no se encuentren presentes o fuera de los horarios laborables (política de escritorios limpios)

Por lo expuesto, podemos concluir que:

·       cuando se desarrollan normas o políticas de seguridad, las mismas requerirán de un alto compromiso de acatamiento por parte de todos los niveles jerárquicos de la organización, quienes deberán concientizar y responsabilizar a todo el personal sobre las acciones a ponerse en práctica como así también las posibles sanciones que se desprenderían de su incumplimiento

·       debe existir una adecuada segregación de funciones entre las distintas áreas técnicas, Sistemas (Desarrollo / Operaciones) y Seguridad Informática.

Seguridad Web

Si nos referimos específicamente a seguridad de servidores y desarrollos web,  existen gran cantidad de amenazas a las que las Organizaciones pueden verse expuestas, siendo algunas de ellas:

·       Ataques de monitorización – evaluación para determinar vulnerabilidades y posibles formas de acceso

·       Ataques de autenticación – uso indebido de sesiones de usuario o conocimiento de identificación y claves

·       Denegación de servicios – saturación de los recursos inhabilitando la normal operatoria

·       Ataques de modificación – donde se accede en forma no autorizada a la modificación de datos

·       Detección de “backdoors” por errores de diseño, implementación u operación

·       DNS spoofing – suplantación de identidad

·       Etc.

Por ello el área que administre la seguridad deberá establecer una política agresiva de prevención y control, a fin de minimizar la exposición  a estos riesgos.

Podemos citar:

·       Control sobre dispositivos de red no críticos a fin de que estos no mantengan sus claves de acceso por defecto

·       Establecer pautas para la no utilización de claves fáciles de adivinar

·       Securizar los accesos remotos

·       Instrumentar detectores de keyloggers y spyware en todos los servidores, sean críticos o no

·       Configuración adecuada de routers a través de filtrados de direcciones IP

·       Deshabilitar servicios y cuentas no utilizadas

·       Aplicar el principio del menor privilegio, esto es no habilitarmás atributos en las cuentas de servicios que los que resulten estrictamente necesarios para la aplicación.

·       Mantener actualizado el sistema operativo y aplicaciones (parches)

·       Control de los puertos de acceso a través de equipamientos firewalls

·       Realizar escaneos periódicos a fin de controlar el tráfico de red

·       Realizar backups periódicos de los sistemas y datos

·       Realizar en forma periódica análisis de logs en busca de acciones anómalas

·       Realizar el correcto mantenimiento de las cuentas de usuarios y sus atribuciones

·       Cuando corresponda, establecer sistemas de encripción

·       Instrumentar y mantener sistemas anti-virus

·       Separación y securización de ambientes (desarrollo / testing / producción)

Tomando particularmente el caso de V&H Sistemas Informáticos, la seguridad que se implementó en servidores fue:

·       Separación de los ambientes de Desarrollo, Testing y Pre-producción

·       No acceso del área de Desarrollo a los ambientes de Testing y Pre-producción

·       Metodología automática de traspaso de miembros (fuentes / objetos) de un ambiente al otro

·       Securización de puertos

·       Filtrado de direcciones IP

·       Backups diarios (internos y externos) de las librerías de los distintos ambientes como asi también de directorios de la red y documentación en terminales

·       Creación de un plan de contingencias


[1] Artículo realizado por Daniel Huerta, VYH Sistemas Informátcisos. www.vyh-sistemas.com.ar

Nuestras novedades en tu e-mail

Escribe tu e-mail:



MailxMail tratarý tus datos para realizar acciones promocionales (výa email y/o telýfono).
En la polýtica de privacidad conocerýs tu derechos y gestionarýs la baja.

Cursos similares a E-Commerce



  • Výdeo
  • Alumnos
  • Valoraciýn
  • Cursos
1. Cómo vender en Internet: introducción al e-Commerce
Conoce qué es el e-commerce ( comercio electrónico ), cómo funciona y cuáles son... [21/11/01]
46.087  
2. Cómo redactar un e-Business Plan
Convencer a futuros inversores es cada día más complicado. En este curso gratis... [19/11/01]
34.516  
3. Guía para la venta de stocks
Los stocks pueden suponer una importante carga económica para su empresa. Sin... [12/03/02]
7.252  

ýQuý es mailxmail.com?|ISSN: 1699-4914|Ayuda
Publicidad|Condiciones legales de mailxmail