fasciculo 3

Download Fasciculo 3

Post on 08-Jul-2015

224 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

  • 1

    Semestre 6

    Fascculo

    3

    Arquitecturas de TI

  • Arquitecturas de TI Semestre 6

    Arquitecturas de TI

  • Arquitecturas de TI

    Semestre 6 Arquitecturas de TI

    Tabla de contenido Pgina

    Introduccin 1

    Conceptos previos 2

    Mapa conceptual Fascculo 3 3

    Logros 4

    Accesos y seguridad en tecnologa de la informacin 4

    Requerimientos de acceso y seguridad 5

    Evaluacin de riesgos 7

    Control de acceso 8

    Tipos de controles de acceso 9

    Control de acceso a los usuarios 10

    Control de acceso a la red 13

    Control de acceso al sistema operativo 15

    Control de acceso a las aplicaciones 18

    Actividad de trabajo colaborativo 19

    Resumen 19

    Bibliografa recomendada 20

    Nexo 20

    Seguimiento al autoaprendizaje 21

    Crditos: 2

    Tipo de asignatura: Terico Prctica

  • Arquitecturas de TI Semestre 6

    Arquitecturas de TI

    Copyright2008 FUNDICIN UNIVERSITARIA SAN MARTN

    Facultad de Universidad Abierta y a Distancia,

    Educacin a Travs de Escenarios Mltiples

    Bogot, D.C.

    Prohibida la reproduccin total o parcial sin autorizacin

    por escrito del Presidente de la Fundacin.

    La actualizacin de este fascculo estuvo a cargo de

    JOSHEFF DAVID CSPEDES

    Docente tutor Programa de Ingeniera de Sistemas a Distancia.

    Sede Bogot, D.C.

    Coautor

    MACK UESSELER

    Correccin de estilo

    MARLON CARRERO R.

    Diseo grfico y diagramacin a cargo de

    SANTIAGO BECERRA SENZ

    ORLANDO DAZ CRDENAS

    Impreso en: GRFICAS SAN MARTN

    Calle 61A No. 14-18 - Tels.: 2350298 - 2359825

    Bogot, D.C., Febrero de 2012

  • 1

    Fascculo No. 3

    Semestre 6

    Arquitecturas de TI

    Arquitecturas de TI

    Introduccin

    Luego de haber visto la capa de comunidades del modelo de Arquitectura

    de Tecnologa de la Informacin en la cual se analizaron las relaciones que

    son creadas por los individuos y las organizaciones con el fin de dinamizar

    los procesos tecnolgicos, se continuar con el anlisis de la capa de

    accesos y seguridad.

    Esta segunda capa del modelo, es considerada como el primer frente con

    que el usuario relacionado (comunidades) interacta; adems se

    establecen los controles de seguridad que buscan minimizar los riesgos en

    el negocio.

    Esta capa contempla los esquemas de seguridad, los cuales deben ser

    estructurados hacia toda la infraestructura fsica como lgica de la

    organizacin. La importancia de esta capa radica en que, el entorno

    informtico de una organizacin se ve afectado por la evolucin de las

    tecnologas de informacin, lo cual crea oportunidades y amenazas y

    riesgos que afectan directamente los procesos de negocio de la

    organizacin.

    En consecuencia, los conceptos de confiabilidad, integridad y disponibili-

    dad de la informacin, son pilares de los accesos y seguridad que se im-

    plementa en una organizacin.

    Para concluir, los accesos y seguridad dentro del Modelo de Arquitectura

    de Tecnologas de la Informacin deben tener como objetivo minimizar el

    riesgo y amenazas de los procesos organizacionales pero a un costo

    aceptable.

  • 2

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Conceptos previos

    Administracin de riesgos: La cultura, procesos y estructuras que estn

    dirigidas hacia la administracin efectiva de oportunidades potenciales y

    efectos adversos.

    Anlisis de riesgo: Un uso sistemtico de la informacin disponible para

    determinar cun frecuentemente puede ocurrir eventos especificados y la

    magnitud de sus consecuencias.

    Confidencialidad: La informacin no se pone a disposicin ni se revela a

    individuos, entidades o procesos no autorizados.

    Integridad: Mantenimiento de la exactitud y completitud de la informacin

    y sus mtodos de proceso.

    Disponibilidad: Acceso y utilizacin de la informacin y los sistemas de

    tratamiento de la misma por parte de los individuos, entidades o procesos

    autorizados cuando lo requieran.

    Riesgo: La posibilidad de que suceda algo que tendr un impacto sobre

    los objetivos. Se mide en trminos de consecuencias y probabilidades

    Riesgo Residual: El nivel restante de riesgo luego de tomar medidas de

    tratamiento del riesgo.

  • 3

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Mapa conceptual Fascculo 3

  • 4

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Al finalizar el estudio de este fascculo el estudiante:

    Comprende el concepto de seguridad, llevndolo al contexto de seguri-

    dad de la informacin.

    Identifica los conceptos de confiabilidad, integridad y disponibilidad de

    la informacin como pilar de la seguridad Informtica.

    Reconoce alguno de los controles de seguridad que se deben implantar

    con el fin de proveer integridad, confiabilidad y disponibilidad de la in-

    formacin.

    Accesos y seguridad en tecnologa de la informacin

    Figura 3.1. Seguridad de la Informacin.

    Tomado de http://www.izaro.com/contenidos/ver.php?id=es&se=3&su=30&co=1294246491

    La informacin, los procesos, sistemas y redes que brindan apoyo se

    constituyen como importantes recursos de la empresa. La

    confidencialidad, integridad y disponibilidad de la informacin pueden ser

    esenciales para mantener la ventaja competitiva, el flujo de fondos, la

    rentabilidad, el cumplimiento de las leyes y la imagen comercial.

    En las organizaciones, la infraestructura de tecnologa de la informacin

    que se encuentra constituida por las redes y sistemas de informacin, se

    enfrentan en forma creciente con amenazas relativas a la seguridad, de

    diversos orgenes, incluyendo el fraude asistido por computadora,

    espionaje, sabotaje, vandalismo, incendio o inundacin.

    LogrosLogrosLogros

  • 5

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Las comunidades, que son la primera capa de la Arquitectura de

    Tecnologa de la Informacin, interactan directamente con los accesos a

    los sistemas, y las implementaciones en cuanto a polticas de seguridad se

    refieren. Por lo tanto, en un esquema de acceso y seguridad, se debe

    proveer de controles que permitan minimizar los riesgos derivados del

    accionar de las comunidades, ya sea de manera voluntaria o involuntaria.

    Por lo tanto, proveer controles fsicos, y de seguridad se debe realizar por

    frentes. La gestin debe estar respaldada y formalizada dentro de los

    procesos de la organizacin. La identificacin de los controles que deben

    implementarse requiere una cuidadosa planificacin y atencin a todos los

    detalles. La administracin de la seguridad de la informacin, exige como

    mnimo, la participacin de todas las comunidades que intervienen en la

    organizacin. (ISO/IEC, 2007) Los controles de seguridad de la

    informacin resultan considerablemente ms econmicos y eficaces si se

    incorporan en la etapa de especificacin de requerimientos y diseo.

    Requerimientos de Acceso y Seguridad

    Figura 3.2. Trada de Seguridad Informtica.

    Tomado de: http://www.mattica.com/wp-content/uploads/2004/06/TriadaSeguridadInformatica-300x260.jpg

  • 6

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Para establecer las necesidades de los accesos y seguridad que le

    permitirn a la organizacin minimizar los riesgos asociados a las

    amenazas, existen tres recursos con los se pueden identificar los requisitos

    en cuanto a seguridad (Administracin del Riesgo, 1999), stos se

    mencionan a continuacin:

    1. Las evaluaciones de riesgos que enfrenta la organizacin. Con esta

    evaluacin se logra identificar las amenazas que enfrenta la

    Arquitectura de la Tecnologa de la informacin, adems de las

    vulnerabilidades y probabilidades de ocurrencia, estimando el impacto

    potencial.

    2. Los requisitos legales, normativos, reglamentarios y contractuales que

    deben cumplir la organizacin, sus socios comerciales, los contratistas

    y los prestadores de servicios.

    3. Los procesos, objetivos y requisitos para el procesamiento de la

    informacin, que ha desarrollado la organizacin para respaldar sus

    operaciones.

    En Colombia la legislacin en materia de seguridad Informtica es

    la Ley 1273 de 2009, con la cual se adiciona al Cdigo Penal el

    Ttulo VII denominad De la Proteccin de la informacin y de los datos.

    3.1.

    Determine cmo se relacionan los conceptos de confidencialidad, dis-

    ponibilidad e integridad de la informacin.

  • 7

    Arquitecturas de TI

    Arquitecturas de TI

    Fascculo No. 3

    Semestre 6

    Para la evaluacin de riesgos

    se puede consultar en

    (Administracin del Riesgo,

    1999), las metodologas y

    pautas que permiten desde

    su identificacin, evaluacin,

    y si es el caso aceptacin.

    Los controles permiten

    minimizar el riesgo, es decir,

    un riesgo residual que por

    razones ya sea de costos u