Servicio de Salud de Castilla-La Mancha

Transcripción

1 Servicio de Salud de Castilla-La Mancha II CURSO DE PATOLÓGIA DIGITAL Ciudad Real, de noviembre de 2012

2 Conceptos básicos de seguridad y lenguaje informático Podemos entenderlo? Servicio de Salud de Castilla-La Mancha Noviembre

3 Seguridad de los sistemas de información. Seguridad de redes. Encriptación, tarjeta inteligente, firma electrónica. Estándares de calidad y de entendimiento. Servicio de Salud de Castilla-La Mancha Noviembre

4 Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. En informática, un sistema de información es cualquier sistema computacional que se utilice para obtener, almacenar, manipular, administrar, controlar, procesar, transmitir o recibir datos, para satisfacer una necesidad de información. HIS, Sistema de información Hospitalario. SIP, Sistema de información de Anatomía-Patológica. RIS, Sistema de Información de Radiología. LIS, Sistema de Información de Laboratorio. Servicio de Salud de Castilla-La Mancha Noviembre

5 La seguridad de la información se desarrolla atendiendo a tres dimensiones principales: Confidencialidad: entendida como la garantía del acceso a la información únicamente de los usuarios autorizados Integridad: entendida como la preservación de la información de forma completa y exacta. Disponibilidad: Entendida como la garantía del acceso a la información en el instante en que el usuario la necesita. GUIA_AUDISEC_GLOBALSGSI.pdf Servicio de Salud de Castilla-La Mancha Noviembre

6 Qué proteger? Hardware Software Datos De qué proteger? Personas Amenazas Lógicas Problemas Físicos Catástrofes Qué conseguir? Autenticación Autorización Disponibilidad Confidencialidad Integridad No repudio Es la característica de un sistema que lo hace ser capaz de proteger sus datos frente a la destrucción, interceptación, o modificación no deseada SEGURIDAD Un conjunto de métodos y herramientas destinados a proteger la información y por ende, los sistemas informáticos ante cualquier amenaza. CALIDAD DE LOS SI Cómo Proteger? Prevención Detección Recuperación Auditoría Informe Seis: La seguridad y confidencialidad de la información clínica. Aspectos técnicos de la seguridad en la informática sanitaria. Servicio de Salud de Castilla-La Mancha Noviembre

7 Qué proteger? Qué conseguir? SEGURIDAD De qué proteger? Cómo Proteger? International Organization for Standardization / Comisión Electrotécnica Internacional POLÍTICA DE SEGURIDAD ISO/IEC Es un documento que expone la filosofía y estructura de las iniciativas de seguridad de una organización. Indica lo que tiene que estar protegido y quien es el responsable. Identifica la utilización aceptable de los recursos informáticos de la organización. Identifica quién debe tener acceso y a qué Sistema de Gestión de la Seguridad de la Información: SGSI Auditoría de Seguridad Harrington,Jan L. Manual práctico de Seguridad de redes. iso espanol.pdf Servicio de Salud de Castilla-La Mancha Noviembre

8 ISO/IEC Sistema de Gestión de la Seguridad de la Información: SGSI Valoración de riesgos Controles Alejandro Corletti : analisis_iso pdf, iso-controles.pdf, ISO-27001_Los-controles_Parte_II.pdf Servicio de Salud de Castilla-La Mancha Noviembre

9 ISO/IEC Controles Alejandro Corletti : analisis_iso pdf, iso-controles.pdf, ISO-27001_Los-controles_Parte_II.pdf Servicio de Salud de Castilla-La Mancha Noviembre

10 A.5 Política de seguridad. Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. Plan de Seguridad (Nivel de planeamiento o táctico): Define el Cómo. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. GUIA_AUDISEC_GLOBALSGSI.pdf Servicio de Salud de Castilla-La Mancha Noviembre

11 A.7 Administración de recursos Este grupo cubre cinco controles y también se encuentra subdividido en: Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. GUIA_AUDISEC_GLOBALSGSI.pdf Servicio de Salud de Castilla-La Mancha Noviembre

12 A.9 Seguridad física y del entorno Documentación de control de accesos y seguridad perimetral general. Documentación de CPDs. Documentación y planos de instalaciones. Empleo correcto del material informático y de comunicaciones a nivel físico: Se debe desarrollar aquí cuales son las medidas de seguridad física que se debe tener en cuenta sobre los mismos (Ubicación, acceso al mismo, tensión eléctrica, conexiones físicas y hardware permitido y prohibido, manipulación de elementos, etc.). No se incluye aquí lo referido a seguridad lógica. Seguridad física en el almacenamiento y transporte de material informático y de comunicaciones: GUIA_AUDISEC_GLOBALSGSI.pdf Servicio de Salud de Castilla-La Mancha Noviembre

13 SEGURIDAD DE REDES Servicio de Salud de Castilla-La Mancha Noviembre

14 SEGURIDAD DE REDES EL modelo TCP/IP, Internet Model, Modelo DoD o Modelo DARPA. Dirección IP Dirección IP La familia de protocolos de Internet es un conjunto de protocolos de red en los que se basa Internet y que permiten la transmisión de datos entre computadoras. En ocasiones se le denomina conjunto de protocolos TCP/IP, en referencia a los dos protocolos más importantes que la componen: Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que fueron dos de los primeros en definirse, y que son los más utilizados de la familia. Existen tantos protocolos en este conjunto que llegan a ser más de 100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer Protocol), que es el que se utiliza para acceder a las páginas web, además de otros como el ARP (Address Resolution Protocol) para la resolución de direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para correo electrónico, TELNET para PROTOCOLOS DE COMUNICACIÓN acceder a equipos remotos, entre otros. DE DATOS Servicio de Salud de Castilla-La Mancha Noviembre

15 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Seguridad Física. Cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas: Puede bloquear paquetes destinados a puertos específicos de Software. Filtra el tráfico basado en direcciones IP. Bloquea paquetes de aplicaciones específicas. Registra o controla el tráfico. Proxy.- es una aplicación o un dispositivo hardware que hace de intermediario entre los usuarios, normalmente de una red local, e Internet. Servicio de Salud de Castilla-La Mancha Noviembre

16 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Servicio de Salud de Castilla-La Mancha Noviembre

17 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Archivos y Directorios. Mantenimiento correcto de los puntos finales de la red. Administración Electrónica. Orden de 11/07/2012, de la Consejería de Presidencia y Administraciones Públicas y de la Consejería de Fomento, por la que se aprueba la instrucción sobre el uso aceptable de medios tecnológicos en la Administración de la Junta de Comunidades de Castilla-La Mancha. [NID 2012/12185] KB [Ver detalle] Servicio de Salud de Castilla-La Mancha Noviembre

18 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Cuidado con la información! Ip, puerto, Servicios La ingeniería social se define como el proceso de manipular a usuarios legítimos para obtener información clasificada o confidencial, con el objetivo de divulgar información, cometer fraude u obtener acceso informático. Hoy en día está considerada como el mayor peligro para la seguridad, ya que ataca el que puede ser el eslabón más débil de la cadena: el usuario. Phishing, Spoofing Servicio de Salud de Castilla-La Mancha Noviembre

19 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Cuidado con la información! Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas. Spoofing, en términos de seguridad de redes es una técnica para engañar al usuario, y que crea que un correo o sitio Web proviene de alguien diferente al autor real, en general el propósito es hacer creer que la fuente de información es de confianza. Servicio de Salud de Castilla-La Mancha Noviembre

20 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Cuidado con la información! Ataques de Denegación de Servicio (demial o service o DoS), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima. Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le denomina "denegación", pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar fuera de servicio a servidores objetivo. Servicio de Salud de Castilla-La Mancha Noviembre

21 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Cuidado con la información! MALWARE, ANTIVUS Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o Sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. [1] El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware, incluidos los virus verdaderos. El software se considera malware en función de los efectos que, pensados por el creador, provoque en un computador. El término malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits, scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables. Servicio de Salud de Castilla-La Mancha Noviembre

22 SEGURIDAD DE REDES Aspectos y elementos para mantener la seguridad en una red de ordenadores Cuidado con la información! Wifi y Bluetooth SOLUCIONES: Mantenimiento activo de los pc/portátiles, móviles Actualización de todos lo parches de seguridad. Antivirus activo con actualización frecuente. Desconfianza de los sitios web no conocidos. Desconfianza de los destinatarios de correos no conocidos. Nombres de usuario y contraseñas seguras. Acceso seguro a las redes: HTTPS, WIFI seguras VPN para acceso remoto a redes. Envíos seguros de la información. Servicio de Salud de Castilla-La Mancha Noviembre

23 Encriptación, tarjeta inteligente, firma electrónica. UNA CLAVE CIFRA UN MENSAJE ALGORITMO Y CLAVE DE CIFRADO Servicio de Salud de Castilla-La Mancha Noviembre

24 Encriptación, tarjeta inteligente, firma electrónica. Encriptación, cifrado, criptografía. Es un método para cambiar la apariencia de un mensaje y evitar así que su contenido sea inteligible a usuario no deseados. Para asegurar la privacidad de un mensaje. Cifrado de clave simétrica. Es un método criptográfico en el cual se usa una misma clave para cifrar y descifrar mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano sobre la clave a usar. Una vez que ambas partes tienen acceso a esta clave, el remitente cifra un mensaje usando la clave, lo envía al destinatario, y éste lo descifra con la misma clave. Servicio de Salud de Castilla-La Mancha Noviembre

25 Encriptación, tarjeta inteligente, firma electrónica. UNA CLAVE CIFRA UN MENSAJE ALGORITMO Y CLAVE DE CIFRADO Criptografía de Clave Asimétrica En este caso, cada usuario del sistema criptográfico ha de poseer una pareja de claves: Clave privada: será custodiada por su propietario y no se dará a conocer a ningún otro. Clave pública: será conocida por todos los usuarios. Esta pareja de claves es complementaria: lo que cifra una SÓLO lo puede descifrar la otra y viceversa. Estas claves se obtienen mediante métodos matemáticos complicados de forma que por razones de tiempo de cómputo, es imposible conocer una clave a partir de la otra. Servicio de Salud de Castilla-La Mancha Noviembre

26 Encriptación, tarjeta inteligente, firma electrónica. Certificado de Autenticación. Tiene como finalidad garantizar electrónicamente la identidad del ciudadano al realizar una transacción telemática. El Certificado de Autenticación (Digital Signature) asegura que la comunicación electrónica se realiza con la persona que dice que es. El titular podrá a través de su certificado acreditar su identidad frente a cualquiera ya que se encuentra en posesión del certificado de identidad y de la clave privada asociada al mismo. Certificado de firma. Este certificado es el que utilizaremos para la firma de documentos garantizando la integridad del Documento y el No repudio de origen. Es este Certificado expedido como certificado reconocido y creado en un Dispositivo Seguro de Creación de Firma, el que convierte la firma electrónica avanzada en firma electrónica reconocida, permitiendo su equiparación legal con la Firma Manuscrita (Ley 59/2003 y Directiva 1999/93/CE). Certificado de cifrado. Este es un Certificado cuya clave privada está soportada por una tarjeta inteligente y cuyo único objeto es el de ser utilizado para cifrar información. Servicio de Salud de Castilla-La Mancha Noviembre

27 Encriptación, tarjeta inteligente, firma electrónica. En criptografía, una infraestructura de clave pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de hardware y software, políticas y procedimientos de seguridad que permiten la ejecución con garantías de operaciones criptográficas como el cifrado, la firma digital o el no repudio de transacciones electrónicas. El término PKI se utiliza para referirse tanto a la autoridad de certificación y al resto de componentes, como para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicaciones electrónicas. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública. La PKI del SESCAM Proyecto Cerv@ntes Arquitectura de Infraestructura de Clave Pública Políticas y Prácticas de Certificación del SESCAM Mecanismo de Registro y emisión Tarjeta Profesional Certificados de Sello y Sede Otros certificados La plataforma de servicios de firma electrónica TrustedX Servicio de Salud de Castilla-La Mancha Noviembre

28 FIRMA ELECTRÓNICA Servicio de Salud de Castilla-La Mancha Noviembre

29 FIRMA ELECTRÓNICA en aplicaciones Servicio de Salud de Castilla-La Mancha Noviembre

30 Servicio de Salud de Castilla-La Mancha Noviembre

31 Estándares de calidad y de entendimiento. Qué es la norma ISO 9001? La ISO 9001 es una norma internacional que se aplica a los sistemas de gestión de calidad (SGC) y que se centra en todos los elementos de administración de calidad con los que una empresa debe contar para tener un sistema efectivo que le permita administrar y mejorar la calidad de sus productos o servicios. Servicio de Salud de Castilla-La Mancha Noviembre

32 Estándares de calidad y de entendimiento. 1. ESTRUCTURA PRINCIPAL Introducción Planificación de Sistemas de Información (Proceso PSI) Estudio de Viabilidad del Sistema (Proceso EVS) Análisis del Sistema de Información (Proceso ASI) Diseño del Sistema de Información (Proceso DSI) Construcción del Sistema de Información (Proceso CSI) Implantación y Aceptación del Sistema (Proceso IAS) Mantenimiento del Sistema de Información (Proceso MSI) 2. INTERFACES Aseguramiento de la Calidad Seguridad Gestión de Configuración Gestión de Proyectos 3. TECNICAS 4. PARTICIPANTES MÉTRICA es una metodología de planificación, desarrollo y mantenimiento de sistemas de información. Promovida por el Ministerio de Administraciones Públicas del Gobierno de España para la sistematización de actividades del ciclo de vida de los proyectos software en el ámbito de las administraciones públicas. Servicio de Salud de Castilla-La Mancha Noviembre

33 Estándares de calidad y de entendimiento. La Guía del PMBOK es un estándar en la Administración de proyectos desarrollado por el Project Management Institute (PMI). La misma comprende dos grandes secciones, la primera sobre los procesos y contextos de un proyecto, la segunda sobre las áreas de conocimiento específico para la gestión de un proyecto. Servicio de Salud de Castilla-La Mancha Noviembre

34 Estándares de calidad y de entendimiento. Lenguaje Unificado de Modelado (LUM o UML, por sus siglas en inglés, Unified Modeling Language) es el lenguaje de modelado de sistemas software más conocido y utilizado en la actualidad; está respaldado por el OMG (Object Management Group). Es un lenguaje gráfico para visualizar, especificar, construir y documentar un sistema. UML ofrece un estándar para describir un "plano" del sistema (modelo), incluyendo aspectos conceptuales tales como procesos de negocio, funciones del sistema, y aspectos concretos como expresiones de lenguajes de programación, esquemas de bases de datos y compuestos reciclados. Servicio de Salud de Castilla-La Mancha Noviembre

35 Conceptos básicos de seguridad y lenguaje informático Podemos entenderlo? Muchas gracias. Servicio de Salud de Castilla-La Mancha Noviembre