Unidad 1. Introducción a la seguridad de la informaciónIntroducciónMuchas empresas son amenazadas constantemente en sus ac...
Podemos representar la implantación de un sistema de seguridad de información en laempresa como la escalada de una gran mo...
Capítulo 1. Conceptos básicos1.1 IntroducciónEn esta primera etapa de la escalada, conocerá los conceptos básicos de la se...
1.2 Objetivos                 Comprender los conceptos básicos de la seguridad de la                información para obten...
1.3 Conceptos básicos de la seguridad de la informaciónDesde el surgimiento de la raza humana enel planeta, la información...
computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las             mismas técnicas de protección de objet...
1.4 Lecciones aprendidas                            Aprendimos a lo largo de este capítulo los conceptos                  ...
Unidad 2. Activos.2.1 Introducción                ¿Sabía usted que el 94% de las empresas que pierden sus datos           ...
2.2 Objetivos                 Conocer los diferentes tipos de activos en la empresa para                identificar todo a...
2.3 Tipos de activos             Un activo es todo aquel elemento que compone el proceso de la             comunicación, p...
A.Información:En este grupo están los elementos que contienen información registrada, en medioelectrónico o físico, dentro...
las aplicaciones comerciales          programas institucionales          sistemas operativos          otrosLa seguridad de...
Los activos que pertenecen a este grupo son:              Cualquier equipo en el cual se            almacene, procese o tr...
Como ejemplos de estructura organizativa , tenemos entre otros:                           la estructura departamental y fu...
2.4 Protección de los activosUna vez que conocemos los diferentes tipos de activos que podemos encontrar en lasempresas, a...
El receptor deberá tener la seguridad de que la información obtenida, leída u oída es   exactamente la misma que fue coloc...
Buscar la integridad es asegurarnos que sólo las personas                               autorizadas puedan hacer alteracio...
¿Sabe usted quién pueda acceder a su información?                      ¿Está guardada de forma suficientemente segura para...
Como se acaba de mencionar, la forma de instrumentar la confidencialidad de lainformación es a través del establecimiento ...
humano que permita la continuidad de los negocios de la empresa o de las personas, sinimpactos negativos para la utilizaci...
en otro local para ser utilizadas en caso de no ser posible       recuperarlas de su base original.Para aumentar aún más l...
2.5 Lecciones aprendidas                       Este capitulo nos permitió conocer varios conceptos nuevos                 ...
Unidad 3. Amenazas y puntos débiles3.1 Introducción              Atos Origin, socio tecnológico mundial del Comité Olímpic...
3.2 Objetivos                Conocer los diferentes tipos de amenazas que puedan                presentarse en todos los a...
3.3 Amenazas                Las amenazas son agentes capaces de explotar los fallos de seguridad que                denomi...
En la 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo Security              Solutions S.A. en ...
48% sufrió contaminación en los últimos seis meses y sólo el 11% de lasempresas entrevistadas declaró nunca haber sido inf...
3.4 Puntos débilesLas amenazas siempre han existido y es de esperarse que conforme avance la tecnologíatambién surgirán nu...
Físicas      o manejando.               Como ejemplos de este tipo de vulnerabilidad se distinguen: i               instal...
De hardwareExisten muchos elementos que representan puntos débiles de hardware. Entre ellospodemos mencionar:       la aus...
esta razón, se convierten en el objetivo predilecto de agentes causantes de       amenazas.                        También...
defecto de fabricación                     uso incorrecto                     lugar de almacenamiento en locales insalubre...
g) Vulnerabilidades humanas                          Esta categoría de vulnerabilidad está relacionada con los daños      ...
3.5 Lecciones aprendidas                           Este capítulo nos dio la oportunidad de conocer que las                ...
Unidad 4. Riesgos, medidas y ciclo de seguridadIntroducción              Expertos en seguridad informática reunidos en Kua...
4.2 Objetivos                 Conocer el concepto de riesgo y su implicación en la                seguridad de la informac...
4.3 Riesgos              El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas  ...
4.4 Medidas de seguridad                 Las medidas de seguridad son acciones orientadas hacia la eliminación de         ...
Las medidas de seguridad son unconjunto de prácticas que, al serintegradas, constituyen unasolución global y eficaz de las...
4.5 Ciclo de seguridadAhora que usted ya conoce todos los conceptos necesarios para comprender lo que es laseguridad, pres...
integridad o disponibilidad de la información se pierda, causando impactos en el negociode la empresa.Las medidas de segur...
4.6 Lecciones aprendidas                            Identificamos la manera en que debemos visualizar los                 ...
Unidad 1 capitulo1_final
Unidad 1 capitulo1_final
Unidad 1 capitulo1_final
Unidad 1 capitulo1_final
Upcoming SlideShare
Loading in …5
×

Unidad 1 capitulo1_final

926 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
926
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
26
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unidad 1 capitulo1_final

  1. 1. Unidad 1. Introducción a la seguridad de la informaciónIntroducciónMuchas empresas son amenazadas constantemente en sus activos, lo que pudierarepresentar miles o millones de dólares en pérdidas. Las vulnerabilidades en nuestrossistemas de información pueden representar problemas graves, por ello es muyimportante comprender los conceptos necesarios para combatirlos y defendernos deposibles ataques a nuestra información.Por ejemplo, recientemente se publicó una noticia* sobre un virus diseñado para lanzarataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de unvirus de tipo gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster elcual aprovecha un agujero en la seguridad de Windows® 2000 y Windows® XP,concretamente en el software que permite compartir archivos con otras máquinas. Lafinalidad de la plaga es recolectar equipos para realizar un ataque de Negación deServicio (DoS por sus siglas en inglés) contra un sitio de Microsoft.El virus Blaster tiene poco que ver con las plagas informáticas tradicionales: no sepropaga por los medios habituales, sino que circula por Internet en busca de máquinassobre las que puede realizar su ataque.Este es un claro ejemplo de cómo una vulnerabilidad de Windows es aprovechada porBlaster. La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consisteen un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como "crítica"por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y WindowsServer 2003.En líneas generales, se trata de un problema de seguridad que permitiría hacerse delcontrol de los equipos en forma remota. Por ello, y con el fin de evitar posibles ataques,se aconseja tanto a los administradores y responsables de informática como a los usuariosparticulares, la instalación inmediata de los parches proporcionados por Microsoft paracorregir dicha vulnerabilidad. Los mismos pueden ser descargados desdehttp://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp donde, además, puede encontrarse información detallada sobre este problema. *Fuente: http://www.terra.es/tecnologia/articulo/html/tec9481.htm
  2. 2. Podemos representar la implantación de un sistema de seguridad de información en laempresa como la escalada de una gran montaña, en la que poco a poco iremos subiendode nivel en términos de conceptos, herramientas y conocimiento del entornotecnológico de la empresa.Contenido de la unidad: Conceptos básicos Activos Amenazas y puntos débiles Riesgos, medidas y ciclo de seguridadObjetivos Con la finalidad de proteger todos los activos vitales para la empresa : Conocer las diferentes categorías existentes de los activos de una empresa. Comprender el concepto de puntos débiles para identificar las posibles vulnerabilidades y amenazas existentes en los activos. Interpretar la clasificación propuesta de las posibles amenazas encontradas en los diferentes procesos de la empresa. Revisar los conceptos de integridad, confidencialidad y disponibilidad de la información. Conocer el concepto de riesgo y su implicación en el ciclo de Objetivos seguridad de la información de la empresa. Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa. Comprender los conceptos básicos de análisis de riesgo y política de seguridad, dos puntos muy importantes para definir las acciones en materia de seguridad que se aplican en las empresas.
  3. 3. Capítulo 1. Conceptos básicos1.1 IntroducciónEn esta primera etapa de la escalada, conocerá los conceptos básicos de la seguridad dela información.Con cada concepto comprendido, ustedrecibirá una nueva herramienta para ayudarleen el montaje de su tienda de campaña y asípoder continuar la escalada de la montaña,avanzando hacia los capítulos siguientes ycomprendiendo la forma como se implementala seguridad de la información.En esta etapa aún no posee estas herramientas,por ello, va a empezar a escalar con un campamento básico. Este campamento ilustra lasituación en que se encuentran las empresas en la etapa inicial de la implementación deseguridad: bajo control sobre el ambiente, alto índice de riesgos, proceso de seguridadpersonal e intuitiva, entre otros.Entonces vamos a conocer los principales conceptos de la seguridad de la información ypor qué ella es necesaria para el éxito de los negocios de una empresa.
  4. 4. 1.2 Objetivos Comprender los conceptos básicos de la seguridad de la información para obtener una mejor idea de sus implicaciones. Entender la importancia de la información en los negocios de hoy en día para actuar con mayor prontitud en su protección. Identificar las diferencias entre los conceptos de seguridad de la información en las empresas actuales y de Objetivos seguridad de los objetos tangibles para posteriormente definir posibles alternativas de protección.
  5. 5. 1.3 Conceptos básicos de la seguridad de la informaciónDesde el surgimiento de la raza humana enel planeta, la información estuvo presentebajo diversas formas y técnicas. El hombrebuscaba representar sus hábitos, costumbrese intenciones en diversos medios quepudiesen ser utilizados por él y por otraspersonas, además de la posibilidad de serllevados de un lugar a otro. La informaciónvaliosa era registrada en objetos preciosos ysofisticados, pinturas magníficas, entreotros, que se almacenaban con muchocuidado en locales de difícil acceso, a cuyaforma y contenido sólo tenían accesoquienes estuviesen autorizados o listos parainterpretarla. En la actualidad la información es el objeto de mayor valor para las empresas. El progreso de la informática y de las redes de comunicación nos presenta un nuevo escenario, donde los objetos del mundo real están representados por bits y bytes, que ocupan lugar en otra dimensión y poseen formas diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos casos, llegando a tener un valor superior.Por esto y otros motivos, la seguridad de la información es un asunto tan importantepara todos, pues afecta directamente a los negocios de una empresa o de unindividuo. La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que la conocen.Ideas clave Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de cámaras o guardias de seguridad. Pero, Preguntas ¿Y la información que se encuentra dentro de servidores de archivos, quéde reflexión transita por las redes de comunicación o que es leída en una pantalla de
  6. 6. computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?Para dar respuesta a estas preguntas le invitamos a que continúe revisando el contenidotemático de esta unidad donde conoceremos con detalles los principios que nospermitirán proteger la información. Por ahora en este capítulo cerraremos diciendoque….… una de las preocupaciones dela seguridad de la informaciónes proteger los elementos queforman parte de lacomunicación.Así, para empezar, es necesarioidentificar los elementos que laseguridad de la informaciónbusca proteger: La información Los equipos que la soportan Las personas que la utilizanEs importante, además, que todos los empleados de la compañía tomen conciencia sobreel manejo de la información de forma segura, ya que de nada sirve cualquier sistema deseguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitansu usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta aposibles ataques o filtraciones de información crítica al exterior de la compañía.
  7. 7. 1.4 Lecciones aprendidas Aprendimos a lo largo de este capítulo los conceptos generales que conforman la seguridad de la información. Comprendimos la importancia hoy en día para la empresa, de proteger la información que maneja y que le permite realizar su negocio. Conocimos aquello que se requiere proteger en un sistema de seguridad de información: la información, los equipos que Lecciones la manejan o soportan y las personas que la utilizan. aprendidas
  8. 8. Unidad 2. Activos.2.1 Introducción ¿Sabía usted que el 94% de las empresas que pierden sus datos desaparece? * Según un estudio de la Universidad de Texas, sólo el 6% de las empresas que sufren un desastre informático sobreviven. El 94% restante tarde o Noticias del temprano desaparece. Investigaciones de Gartner Group, aunque más mundo moderadas, respaldan esta tendencia al indicar que dos de cada cinco empresas que enfrentan ataques o daños en sus sistemas dejan de existir.Es por esto que Hitachi Data Systems asegura que el mercado de almacenamiento dedatos crecerá alrededor de un 12% anual en Chile hasta 2008.Enrique Mosiejko, director regional Latinoamérica Sur de Hitachi Data Systems (HDS),explica que "los datos de una empresa pueden desaparecer o dañarse de muchas formas.Por una mala administración de la información, errores humanos, virus, hackers, ataquesterroristas o, incluso, desastres naturales. En Chile, por ejemplo, los terremotos y lasinundaciones son una seria amenaza para los equipos que almacenan la informacióncrítica de las compañías".Como se puede observar en la noticia, es importante conocer los activos de la empresa ydetectar sus vulnerabilidades para asegurar la confidencialidad, disponibilidad eintegridad de la información. Es por ello, que en este capítulo abordaremos dichos temas. *Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
  9. 9. 2.2 Objetivos Conocer los diferentes tipos de activos en la empresa para identificar todo aquello que la seguridad de la información debe proteger. Detectar posibles vulnerabilidades relacionadas con dichos activos para prepararnos para su protección. Conocer los principios básicos de la seguridad de la información: confidencialidad, disponibilidad e Objetivos integridad esto con la finalidad de valorar la importancia de dichos conceptos en el manejo de la información.
  10. 10. 2.3 Tipos de activos Un activo es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor. Concepto claveLos activos son elementos que la seguridad de la información busca proteger. Losactivos poseen valor para las empresas y como consecuencia de ello, necesitan recibir unaprotección adecuada para que sus negocios no sean perjudicados.Son tres elementos que conforman lo que denominamos activos: la información, los Equipos que la soportan y, las personas que los utilizan.Revisaremos con un poco más de detalle los diferentes tipos de activos, para elloconsideramos esta clasificación: A. Información b. Equipos que la soportan: b.1 Software b.2 Hardware b.3 Organización c. Personas que los utilizan o usuarios:
  11. 11. A.Información:En este grupo están los elementos que contienen información registrada, en medioelectrónico o físico, dentro de los más importantes tenemos: documentos informes libros Ejemplos de este manuales tipo de activos correspondencias patentes información de mercado código de programación líneas de comando reportes financieros archivos de configuración planillas de sueldos de empleados plan de negocios de una empresa, etc. Robo de documentos, pérdida de archivos de configuración, entre otros. Posibles vulnerabilidadesB.1 Software:Este grupo de activos contiene todos los programas de computadora que se utilizanpara la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamientode la información. Entre ellos citamos:
  12. 12. las aplicaciones comerciales programas institucionales sistemas operativos otrosLa seguridad de la información busca evaluar la forma en que se crean las aplicaciones,cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y porotros sistemas, para detectar y corregir problemas existentes en la comunicación entreellos.Las aplicaciones deberán estar protegidas para que la comunicación entre las bases dedatos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a losprincipios básicos de la seguridad de la información. Sistemas operativos (Unix, Windows, Linux, etc.), programas de correo electrónico, bases de datos, aplicaciones específicas, sistemas de respaldo entre otros. Ejemplos de este tipo de activos Fallas publicadas de los sistemas operativos y las aplicaciones no reparadas pueden representar accesos indebidos a los equipos. Son entradas usadas Posibles por hackers y virus. vulnerabilidadesB. 2 Hardware:Estos activos representan toda la infraestructura tecnológica que brinda soporte a lainformación durante su uso, tránsito y almacenamiento.
  13. 13. Los activos que pertenecen a este grupo son: Cualquier equipo en el cual se almacene, procese o transmita la información de la empresa. las computadoras los servidores los equipos portátiles Ejemplos de este los mainframes tipo de activos los medios de almacenamiento los equipos de conectividad, enrutadores, switchs y cualquier otro elemento de una red de computadoras por donde transita la información. Fallas eléctricas que dañen los equipos, inundaciones en centros de cómputo, robo de equipos portátiles. Posibles vulnerabilidadesB.3 Organización:En este grupo se incluyen los aspectos que componen la estructura física yorganizativa de las empresas. Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión.
  14. 14. Como ejemplos de estructura organizativa , tenemos entre otros: la estructura departamental y funcional el cuadro de asignación de funcionarios Ejemplos de este la distribución de funciones y los flujos de información de tipo de activos la empresa En lo que se refiere al ambiente físico , se consideran entre otros: salas y armarios donde están localizados los documentos, fototeca, sala de servidores de archivos. Ubicación insegura de documentos, equipos o personas. Estructura organizacional que no permita los cambios en materia Posibles de seguridad. vulnerabilidadesC. Usuarios:E l grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica yde comunicación de la empresa y que manejan la información.El enfoque de la seguridad en los usuarios, estáorientado hacia la toma de conciencia deformación del hábito de la seguridad para latoma de decisiones y acción por parte de todoslos empleados de una empresa, desde su altadirección hasta los usuarios finales de lainformación, incluyendo los grupos quemantienen en funcionamiento la estructuratecnológica, como los técnicos, operadores yadministradores de ambientes tecnológicos. Empleados del área de contabilidad. Directivos de la empresa. Ejemplos de este tipo de activos No usar contraseñas complejas. No bloquear la computadora. Falta de cooperación por parte de los usuarios en materia de seguridad. Posibles Descuido de parte de los usuarios en el manejo de la información. Robo de información. vulnerabilidades
  15. 15. 2.4 Protección de los activosUna vez que conocemos los diferentes tipos de activos que podemos encontrar en lasempresas, ahora profundizaremos en los principios básicos que nos ayudarán a protegerel activo de más valor en los negocios modernos: la informacióna) Principios básicos de la seguridad de la informaciónProteger los activos significa mantenerlos seguros contra amenazas que puedan afectar sufuncionalidad : Corrompiéndola, accediéndola indebidamente, o incluso Eliminándola o hurtándola. Por lo tanto, entendemos que la seguridad de la información tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos: integridad confidencialidad y, disponibilidad de la información.Enseguida encontrará información más detallada de cada unos de estos principios:a.1) Principio de la integridad de la informaciónEl primero de los tres principios de la seguridad de la información que aplicamos es laintegridad, la cual nos permite garantizar que la información no ha sido alterada en sucontenido, por tanto, es íntegra. Una información íntegra es una información que no ha sido alterada de forma indebida o no autorizada. Para que la información se pueda utilizar, deberá estar íntegra. Cuando ocurre una alteración no autorizada de la información en un documento, quiere decir que el documento ha perdido su integridad. La integridad de la información es fundamental para el éxito de la comunicación.
  16. 16. El receptor deberá tener la seguridad de que la información obtenida, leída u oída es exactamente la misma que fue colocada a su disposición para una debida finalidad. Estar íntegra quiere decir estar en su estado original, sin haber sido alterada por quien no tenga autorización para ello. Si una información sufre alteraciones en su versión original, entonces la misma pierde su integridad, ocasionando errores y fraudes y perjudicando la comunicación y la toma de decisiones. La quiebra de integridad ocurre cuando la información se corrompe, falsifica o burla.Una información se podrá alterar de varias formas, tanto su contenido como el ambienteque la soporta. Por lo tanto, la quiebra de la integridad de una información se podráconsiderar bajo dos aspectos:1. Alteraciones del contenido de los documentos – donde se realizan inserciones, sustituciones o remociones de partes de su contenido;2. Alteraciones en los elementos que soportan la información – donde se realizan alteraciones en la estructura física y lógica donde una información está almacenada. Citemos unos ejemplos: Cuando se alteran las configuraciones de un sistema para tener acceso a informaciones restrictas, cuando se superan las barreras de seguridad de una red de computadoras. Todos son ejemplos de quiebra de la integridad que afectan a la seguridad. Por lo tanto, la práctica de laEjemplo seguridad de la información tiene como objeto impedir que ocurran eventos de quiebra de integridad, causando daños a las personas y empresas. ¿Qué tan importante es para usted que la información de sueldos en su empresa no se vea alterada por accidente o delito? ¿Sabe usted si la información sobre proyectos de negocio Preguntas de confidenciales está segura y libre de poder ser alterada por terceros? reflexiónVeamos unas notas finales del propósito que queremos lograr al asegurar la integridad dela información el cual va muy ligado al principio que veremos enseguida; laconfidencialidad de la información. Garantía de la integridad de la información
  17. 17. Buscar la integridad es asegurarnos que sólo las personas autorizadas puedan hacer alteraciones en la forma y contenido de una información, así como en el ambiente en el cual la misma es almacenada y por el cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario que todos los elementos que componen la base de gestión de la información se mantengan en sus condiciones originales definidas por sus responsables y propietarios. En resumen: garantizar la integridad es uno de los principales objetivos para la seguridad de las informaciones de un individuo o empresa.a. 2) Principio de la confidencialidad de la informaciónEl principio de la confidencialidad de la información tiene como propósito el asegurarque sólo la persona correcta acceda a la información que queremos distribuir. La información que se intercambian entre individuos y empresas no siempre deberá ser conocida por todo el mundo. Mucha de la información generada por las personas se destina a un grupo específico de individuos, y muchas veces a una única persona. Eso significa que estos datos deberán ser conocidos sólo por un grupo controlado de personas, definido por el responsable de la información.Por ese motivo, se dice que la información posee un grado de confidencialidad que se deberápreservar para que personas sin autorización no la conozcan.Tener confidencialidad en la comunicación, es la seguridad de que lo que se dijo a alguien oescribió en algún lugar será escuchado o leído sólo por quien tenga ese derecho.Pérdida de confidencialidad significa pérdida de secreto. Si una información esconfidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas noautorizadas.
  18. 18. ¿Sabe usted quién pueda acceder a su información? ¿Está guardada de forma suficientemente segura para que personas no autorizadas no la accedan? ¿El envío y la guardia de la información confidencial se realiza de forma segura y también los medios por los cuáles transita son controlados,Preguntas de conocidos y seguros? reflexión Si la respuesta para alguna de estas preguntas es negativa, entonces ha llegado el momento de pensar en la seguridad de la información para garantizar la confidencialidad de la información de su empresa. Pensemos en el caso de una tarjeta de crédito, el número de la tarjeta sólo podrá ser conocido por su dueño y por el vendedor de la tienda donde lo usa. Si este número es descubierto por alguien malintencionado, como en los casos denunciados en los diarios de delitos en Internet, el daño de esa pérdida de confidencialidad podrá ser muy elevado, pues este número podrá ser usado por alguien para hacer compras vía Internet, trayendo pérdidas financieras y un gran dolor de cabeza para el propietario de la tarjeta. Ejemplo Lo mismo sucede en el caso de uso indebido de contraseñas de acceso a sistemas de bancos, por ejemplo. Miles de dólares se roban diariamente por la acción de criminales virtuales que se dedican a invadir sistemas para quebrar la confidencialidad de las personas y empresas. Garantía de la confidencialidad de la información Garantizar la confidencialidad es uno de los factores determinantes para la seguridad y una de las tareas más difíciles de implementar, pues involucra a todos los elementos que forman parte de la comunicación de la información, desde su emisor, el camino que ella recorre, hasta su receptor. Y también, cuanto más valiosa es una información, mayor debe ser su grado de confidencialidad. Y cuanto mayor sea el grado de confidencialidad, mayor será el nivel de seguridad necesario de la estructura tecnológica y humana que participa de este proceso: del uso, acceso, tránsito y almacenamiento de las informaciones. Se deberá considerar a la confidencialidad con base en el valor que la información tiene para la empresa o la persona y los impactos que podría causar su divulgación indebida. Siendo así, debe ser accedida, leída y alterada sólo por aquellos individuos que poseen permisos para tal. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues no todas las informaciones sensibles de la empresa son confidenciales Pero para garantizar lo anterior, sólo la confidencialidad de las informaciones no es suficiente, es importante que además de ser confidenciales, las informaciones también deben estar íntegras. Por lo tanto, se debe mantener la integridad de una información, según el principio básico de la seguridad de la información.
  19. 19. Como se acaba de mencionar, la forma de instrumentar la confidencialidad de lainformación es a través del establecimiento del grado de sigilo, veamos enseguida esteconcepto fundamental: Grado de sigilo: L a información generada por las personas tiene un fin específico y se destina a un individuo o grupo. Por lo tanto, la información necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que denominamos grado de sigilo, que es una graduación atribuida a cada tipo de información, con base en el grupo de usuarios que poseen permisos de acceso.Concepto claveDependiendo del tipo de información y del público para el cual se desea colocar adisposición los grados de sigilo podrán ser: Confidencial Restricto Sigiloso Públicoa. 3 Principio de disponibilidad de la información:Una vez que nos aseguramos que la información correcta llegue a los destinatarios ousuarios correctos, ahora lo que debemos garantizar es que llegue en el momentooportuno, y precisamente de esto trata el tercer principio de la seguridad de lainformación: la disponibilidad. Para que una información se pueda utilizar, deberá estar disponible. La disponibilidad es el tercer principio básico de la seguridad de la información. Se refiera a la disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento. La disponibilidad de la información permite que: Se utilice cuando sea necesario Que esté al alcance de sus usuarios y destinatarios Se pueda accederla en el momento en que necesitan utilizarla.Este principio está asociado a la adecuada estructuración de un ambiente tecnológico y
  20. 20. humano que permita la continuidad de los negocios de la empresa o de las personas, sinimpactos negativos para la utilización de las informaciones. No basta estar disponible: lainformación deberá estar accesible en forma segura para que se pueda usar en elmomento en que se solicita y que se garantice su integridad y confidencialidad.Así, el ambiente tecnológico y los soportes de la información deberán estar funcionandocorrectamente y en forma segura para que la información almacenada en los mismos yque transita por ellos pueda ser utilizada por sus usuarios. ¿La información necesaria para la toma de decisiones críticas para su negocio, se encuentra siempre disponible? ¿Sabe si existen vulnerabilidades que lo impidan? Preguntas de ¿Cuenta con sistemas de respaldo de información? reflexión Durante una reunión de altos ejecutivos de su empresa, los servicios de base de datos de la compañía fallan y esto impide que se pueda tomar una decisión clave en materia de negocios. Tras un incendio en una de sus oficinas, se destruye la información Ejemplos de ventas de la compañía y no se contaba con un respaldo de la misma.Enseguida citamos requerimientos que nos posibilitan que cerremos el círculo de laseguridad y que hagamos llegar la información correcta a la persona autorizada en elmomento oportuno: Garantía de la disponibilidad de la información Para que se pueda garantizar la disponibilidad de la información, es necesario conocer cuáles son sus usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las formas de colocación en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea necesario. La disponibilidad de la información se deberá considerar con base en el valor que tiene la información y en el impacto resultante de su falta de disponibilidad. Para garantizar la disponibilidad, se toman en cuenta muchas medidas. Entre ellas destacamos: La configuración segura de un ambiente, donde todos los elementos que forman parte de la cadena de la comunicación están dispuestos en forma adecuada para asegurar el éxito de la lectura, tránsito y almacenamiento de la información. También se realizan las copias de respaldo – backup . Hacer el respaldo de información permite que las mismas estén duplicadas
  21. 21. en otro local para ser utilizadas en caso de no ser posible recuperarlas de su base original.Para aumentar aún más la disponibilidad de la información deberán: Definirse estrategias para situaciones de contingencia. Establecerse rutas alternativas para el tránsito de la información, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnológicos, o humanos, no estén en perfectas condiciones de operación.
  22. 22. 2.5 Lecciones aprendidas Este capitulo nos permitió conocer varios conceptos nuevos de seguridad de información, lo que permitirá acelerar nuestro proceso rumbo a la creación de una política de seguridad. Aprendimos que la información debe contar con: Integridad, confidencialidad y disponibilidad para que sea útil a la organización. Lecciones Categorizamos los diferentes tipos de activos en la empresa , aprendidas e identificamos posibles vulnerabilidades en los mismos. Esto ayudará para saber en cuáles de ellos se tiene que poner más atención en materia de seguridad.
  23. 23. Unidad 3. Amenazas y puntos débiles3.1 Introducción Atos Origin, socio tecnológico mundial del Comité Olímpico Internacional (COI), anunció en Londres, 17 de septiembre del 2004, que la solución de seguridad implantada en la infraestructura tecnológica de los Juegos Olímpicos de Atenas 2004 consiguió solventar sin problemas los ataques de virus y hackers que se produjeron durante el evento, garantizando así la ausencia de interrupciones y una retransmisión de los resultados precisa y en tiempo real tanto a los medios de comunicación como al resto del mundo. Durante los 16 días que duró la competición se registraron más de cinco millones de alertas de seguridad en los sistemas informáticos de los Juegos, de las cuales 425 fueron graves y 20 críticas. Entre los intrusos se encontraban personas autorizadas que pretendían desconectar el sistema INFO 2004 -la Intranet de los Juegos Olímpicos que ofrecía los resultados y el calendario e información de los deportistas- con el fin de Noticias del conectar ordenadores portátiles para obtener acceso a Internet. El equipo mundo responsable fue capaz de ofrecer una rápida respuesta a todas estas alertas y de evitar accesos no autorizados. “En vista del enorme aumento de ataques y virus informáticos de los últimos años, Atos Origin convirtió la seguridad tecnológica en su máxima prioridad, mejorándola de forma significativa con respecto a la de Salt Lake City”, declara el Director de Tecnología del COI, Philippe Verveer. “Atos Origin ha gestionado de forma efectiva y eficaz el gran número de alertas de seguridad registradas durante los Juegos, garantizando que su infraestructura tecnológica no se viera afectada”. Fuente: http://www.sema.es/noticia_extendida_home.asp?id=64La noticia presentada, nos lleva a confirmar que el conocer perfectamente las posiblesamenazas y riesgos a los que se encuentran expuestos nuestros activos, permite quenuestro trabajo pueda convertirse en un caso de éxito. Veamos entonces, en este capítulo,lo concerniente a las amenazas y puntos débiles.
  24. 24. 3.2 Objetivos Conocer los diferentes tipos de amenazas que puedan presentarse en todos los activos de la empresa, para reconocer su importancia y permitirnos minimizar el impacto que provocan. Identificar los diferentes tipos de puntos débiles de los activos y conocer cómo éstos pueden permitir que las Objetivo amenazas alteren la disponibilidad, confidencialidad o integridad de la información.
  25. 25. 3.3 Amenazas Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando sus negocios. Concepto claveLos activos están constantemente sometidos a amenazas que pueden colocar en riesgo laintegridad, confidencialidad y disponibilidad de la información. Estas amenazas siempreexistirán y están relacionadas a causas que representan riesgos, las cuales pueden ser: causas naturales o no naturales causas internas o externasPor lo tanto, entendemos que uno de los objetivos de la seguridad de la información esimpedir que las amenazas exploten puntos débiles y afecten alguno de los principiosbásicos de la seguridad de la información (integridad, disponibilidad, confidencialidad),causando daños al negocio de las empresas.Dada la importancia de las amenazas y el impacto que puede tener para la información delas organizaciones, revisemos ahora su clasificación. Tipos de amenazasLas amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza seconcrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tresgrandes grupos:1. Amenazas naturales – condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos,2. Intencionales – son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.3. Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.Entre las principales amenazas, la ocurrencia de virus, la divulgación de contraseñas yla acción de hackers están entre las más frecuentes.A continuación se presentan algunos datos de manera resumida de los resultados de la encuesta ylas principales amenazas identificadas en las empresas investigadas.
  26. 26. En la 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo Security Solutions S.A. en Brasil en el año 2000, se revelan los elementos que representan las principales amenazas a la información de las empresas brasileñas.Estadística Con la importancia estratégica que vienen conquistando las tecnologías de la información, los perjuicios de invasiones e incidentes en la red, provocan cada año mayor impacto en los negocios de las empresas brasileñas. El mercado está más atento a los nuevos peligros que resultan de la presencia y uso del Internet. Siete de cada diez ejecutivos entrevistados creen que habrá un crecimiento de los problemas de seguridad en 2000; el 93% reconoce la gran importancia de la protección de los datos para el éxito del negocio, siendo que, el 39% la considera vital para el ambiente corporativo. El control de lo que ocurre en las redes corporativas ha sido uno de los puntos más débiles en las empresas brasileñas. Destacamos los siguientes factores críticos detectados por la encuesta: Solamente el 27% afirma nunca haber sufrido algún tipo de ataque. Cerca del 41% no sabe ni siquiera que fueron invadidos, revelando el gran riesgo que las organizaciones corren por no conocer los puntos débiles de la red interna Para el 85% de las empresas, no fue posible cuantificar las pérdidas causadas por invasiones o contingencias ocurridas. El acceso a Internet vía módem se permite en el 38% de las empresas. Éste es un gran peligro indicado por la encuesta, ya que las empresas no destacaron la utilización de medidas de seguridad para este uso. El 75% de las empresas menciona que los virus son la mayor amenaza a la seguridad de la información en las empresas. Aunque el 93% de las corporaciones afirme haber adoptado sistemas de prevención contra virus, el
  27. 27. 48% sufrió contaminación en los últimos seis meses y sólo el 11% de lasempresas entrevistadas declaró nunca haber sido infectada. La divulgación de contraseñas fue indicada como la segunda mayor amenaza ala seguridad, con el 57% de menciones. Los hackers, tradicionalmente losmayores villanos de Internet, aparecen en tercer lugar (44%) y empleadosinsatisfechos (42%) en cuarto lugar.
  28. 28. 3.4 Puntos débilesLas amenazas siempre han existido y es de esperarse que conforme avance la tecnologíatambién surgirán nuevas formas en las que la información puede llegar a estar expuesta,por tanto es importante conocer el marco general de cómo se clasifican lasvulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestrosistemas, comprometiendo los principios de la seguridad de nuestra información. Puntos débiles Los puntos débiles son los elementos que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información. Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja lainformación . La existencia de puntos débiles está relacionada con la presencia de elementosque perjudican el uso adecuado de la información y del medio en que la misma se estáutilizando.Podemos comprender ahora otro objetivo de la seguridad de la información: la corrección depuntos débiles existentes en el ambiente en que se usa la información, con el objeto dereducir los riesgos a que está sometida, evitando así la concretización de una amenaza.Ahora profundizaremos un poco más en la descripción de cada uno de estos tipos devulnerabilidades:a) Vulnerabilidades físicas Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está almacenando
  29. 29. Físicas o manejando. Como ejemplos de este tipo de vulnerabilidad se distinguen: i instalaciones inadecuadas del espacio de trabajo, ausencia de recursos Ejemplo para el combate a incendios, disposición desorganizada de cables de energía y de red, ausencia de identificación de personas y de locales, entre otros.Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principiosbásicos de la seguridad de la información, principalmente la disponibilidad.b) Vulnerabilidades naturales Los puntos débiles naturales son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información. NaturalesMuchas veces, la humedad, el polvo y la contaminación podrán causar daños a losactivos. Por ello, los mismos deberán estar protegidos para poder garantizar susfunciones.La probabilidad de estar expuestos a las amenazas naturales es determinante en laelección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local,de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada regióngeográfica. Entre las amenazas naturales más comunes podemos citar: ambientes sin protección contra incendios, Ejemplo locales próximos a ríos propensos a inundaciones, infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.c) Vulnerabilidades de hardware Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos.
  30. 30. De hardwareExisten muchos elementos que representan puntos débiles de hardware. Entre ellospodemos mencionar: la ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan, y conservación inadecuada de los equipos.Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones . si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados. o La falta de configuración de respaldos o equipos de contingencia pudiera representar una vulnerabilidad para los Ejemplo sistemas de la empresa.d) Vulnerabilidades de software Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un De software usuario o administrador de red.Los puntos débiles relacionados con el software podrán ser explotados por diversasamenazas ya conocidas.Entre éstos destacamos: La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo. Lectores de e-mail que permiten la ejecución de códigos maliciosos, editores de texto que permiten la ejecución de virus de macro etc. Ejemplo Estos puntos débiles colocan en riesgo la seguridad de los ambientes tecnológicos. Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por
  31. 31. esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas. También podrán tener puntos débiles de aplicaciones los programas utilizados para la edición de texto e imagen, para la Ejemplo automatización de procesos y los que permiten la lectura de la información de una persona o empresa, como los navegadores de páginas del Internet. Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen la interfaz para configuración y organización de un ambiente tecnológico. Estos son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier alteración de la estructura de una computadora o red. Estas aplicaciones son vulnerables a varias acciones que afectan su seguridad, como por ejemplo la configuración e instalación Ejemplo inadecuada, ausencia de actualización, programación insegura etc.e) Vulnerabilidades de medios de almacenajeLos medios de almacenamiento son los soportes físicos o magnéticos que se utilizanpara almacenar la información.Entre los tipos de soporte o medios de almacenamiento de la información que estánexpuestos podemos citar: disquetes cd-roms cintas magnéticas discos duros de los servidores y de las bases de datos, así como lo que está registrado en papel.Por lo tanto…. Si los soportes que almacenan información, no se utilizan de forma adecuada , el contenido en los mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información De medios de almacenaje.. Los medios de almacenamiento podrán ser afectados por puntos débiles que podrán dañarlos e incluso dejarlos indispuestos. Entre estos puntos Ejemplo débiles, destacamos los siguientes: plazo de validez y caducidad
  32. 32. defecto de fabricación uso incorrecto lugar de almacenamiento en locales insalubres o con alto nivel de humedad, magnetismo o estática, moho, etc..f) Vulnerabilidades de comunicación Este tipo de punto débil abarca todo el tránsito de la información . Donde sea que la información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información. De comunicaciónHay un gran intercambio de datos a través de medios de comunicación que rompenbarreras físicas tales como teléfono, Internet, WAP, fax, télex etc.Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con elpropósito de evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso. La información sea alterada en su estado original, afectando su integridad .  La información sea capturada por usuarios no autorizada, afectando su confidencialidad.Por lo tanto, la seguridad de la información también está asociada con el desempeño delos equipos involucrados en la comunicación, pues se preocupa por: la calidad delambiente que fue preparado para el tránsito, tratamiento, almacenamiento y lecturade la información. o La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada. Ejemplo o La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.
  33. 33. g) Vulnerabilidades humanas Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta. HumanasLos puntos débiles humanos también pueden ser intencionales o no. Muchas veces, loserrores y accidentes que amenazan a la seguridad de la información ocurren en ambientesinstitucionales. La mayor vulnerabilidad es el desconocimiento de las medidas deseguridad adecuadas para ser adoptadas por cada elemento constituyente,principalmente los miembros internos de la empresa..Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.En lo que se refiere a las vulnerabilidades humanas de origen externo, podemosconsiderar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc. Contraseñas débiles, falta de uso de criptografía en la comunicación, compartimiento de identificadores tales como nombre de usuario o Ejemplo credencial de acceso, entre otros.
  34. 34. 3.5 Lecciones aprendidas Este capítulo nos dio la oportunidad de conocer que las amenazas se pueden dividir en tres grandes grupos: naturales, involuntarias e intencionales. Además, aprendimos que las amenazas no son únicamente provenientes de personas ajenas a la empresa, si no que también pueden provenir de eventos naturales o incluso errores humanos. Esto incrementa nuestro panorama en torno a la seguridad. Identificamos algunas categorías de los diferentes puntos débiles o vulnerabilidades que pueden encontrarse en los activos de la empresa.Lecciones aprendidas Reconocimos algunos ejemplos de puntos débiles existentes en elementos físicos, humanos, de comunicación, entre otros, permitiéndonos tener una idea mucho más clara de los riesgos a los que se enfrenta nuestro negocio.
  35. 35. Unidad 4. Riesgos, medidas y ciclo de seguridadIntroducción Expertos en seguridad informática reunidos en Kuala Lumpur , Malasia explicaron que problemas en cierto software podrían permitir tomar el control del teléfono en forma remota, leer la agenda de direcciones o escuchar secretamente una conversación. Advirtieron que la última generación de teléfonos móviles es vulnerable a los hackers, según informó el sitio de noticias de la BBC. Los asistentes a la conferencia "Hack in the Box", realizada en la capital de Malasia, fueron testigos de una demostración sobre los defectos de seguridad encontrados en Java 2 Micro Edition o J2ME, software desarrollado conjuntamente por Sun Microsystems, Nokia, Sony Ericsson y Motorola. La vulnerabilidad del software, que viene incluido en teléfonos "inteligentes" fabricados por estas compañías, está relacionada con la manera en que Java trata de evitar que el sistema operativo acepte Noticias del órdenes desde el exterior, señaló un portavoz. mundo "La nueva generación de teléfonos en realidad viene con un software mucho más poderoso dentro del sistema operativo", manifestó Dylan Andrew, el organizador del encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono celular en forma remota, quizás leer la agenda de direcciones o escuchar secretamente un conversación", agregó. Sin embargo, el director de seguridad inalámbrica de la compañía McAfee, aclaró que el riesgo, si bien existe, aún es mínimo. Fuente: http://www.laflecha.net/canales/seguridad/200410061/Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos deposibles riesgos en diferentes dispositivos o sistemas de manejo de información. Parapoder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer lasmedidas de seguridad necesarias para minimizarlos.
  36. 36. 4.2 Objetivos Conocer el concepto de riesgo y su implicación en la seguridad de la información de la empresa. Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa. Comprender lo que se conoce como ciclo de seguridad, que nos permitirá mantener vigente nuestras acciones en esta Objetivo materia.
  37. 37. 4.3 Riesgos El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información. Concepto clave Riesgos C oncluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.
  38. 38. 4.4 Medidas de seguridad Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.Concepto clave Medidas de seguridad Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer elambiente en sus mínimos detalles, buscando los puntos débiles existentes.A partir de este conocimiento, se toman las medidas o acciones de seguridad que puedenser de índole: Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas; Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia. Medidas globales de seguridad
  39. 39. Las medidas de seguridad son unconjunto de prácticas que, al serintegradas, constituyen unasolución global y eficaz de laseguridad de la información. Entrelas principales medidas se destacan: Análisis de riesgos Política de seguridad Especificación de seguridad Administración de seguridadLa seguridad de la información debe ser garantizada en una forma integral y completa deahí que resulte de mucha utilidad conocer con un poco más de detalle estas cuatromedidas de seguridad que permiten movernos desde el análisis de riesgos hasta laadministración de la seguridad:a)Análisis de Es una medida que busca rastrear vulnerabilidades en los activos que puedan serriesgos explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.b) Política de Es una medida que busca establecer los estándares de seguridad a ser seguidos por todosseguridad los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.c) Especificación Son medidas que tienen en mira instruir la correcta implementación de un nuevo ambientede seguridad tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los mismos deben estar dispuestos para atender a los principios de la seguridad de la información.d) Administración Son medidas integradas para producir la gestión de los riesgos de un ambiente. Lade la seguridad administración de la seguridad involucra a todas las medidas mencionadas anteriormente, en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad que presentamos a continuación
  40. 40. 4.5 Ciclo de seguridadAhora que usted ya conoce todos los conceptos necesarios para comprender lo que es laseguridad, presentamos a continuación el ciclo de la seguridad de la información, contodos sus conceptos básicos. Ciclo de seguridad de la información El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad. Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:Como podemos ver en el diagrama anterior. Los riesgos en la seguridad de la empresaaumentan en la medida que las amenazas pueden explotar las vulnerabilidades, y portanto causar daño en los activos. Estos daños pueden causar que la confidencialidad,
  41. 41. integridad o disponibilidad de la información se pierda, causando impactos en el negociode la empresa.Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclosea de mucho menor impacto para los activos, y por tanto, para la empresa.Por lo tanto, la seguridad es … … una actividad cuyo propósito es: proteger a los activos contra accesos no autorizados , evitar alteraciones indebidas que pongan en peligro su integridad garantizar la disponibilidad de la informaciónY es instrumentada por medio de políticas y procedimientos de seguridad quepermiten: la identificación y control de amenazas y puntos débiles, teniendo en mira lapreservación de la confidencialidad, integridad y disponibilidad de la información.
  42. 42. 4.6 Lecciones aprendidas Identificamos la manera en que debemos visualizar los diferentes riesgos a los que está expuesta nuestra empresa, lo que nos permitirá reducirlos y aumentar la seguridad de los activos. Comprendimos los diferentes tipos de medidas de seguridad que podemos tomar en la empresa, ya sean preventivas, perceptivas o correctivas para aplicarlas y de esta forma disminuir los posibles impactos o daños resultados de los ataques.Lecciones aprendidas Conocimos el ciclo de seguridad, en el que se recurre a las diferentes medidas para evitar la ocurrencia de vulnerabilidades.

×