amenazas y puntos débiles

AMENAZAS Y PUNTOS DÉBILES

Ingº Robert Puican Gutiérrez Seguridad Informática

INTRODUCCIÓN A LAS AMENAZAS Y PUNTOS INTRODUCCIÓN A LAS AMENAZAS Y PUNTOS DÉBILESDÉBILES

Atos Origin, socio tecnológico mundial del Comité Olímpico Internacional (COI), anunció en Londres, 17 de septiembre del 2004, que la solución de seguridad implantada en la infraestructura tecnológica de los Juegos Olímpicos de Atenas 2004 consiguió solventar sin problemas los ataques de virus y hackers que se produjeron durante el evento, garantizando así la ausencia de interrupciones y una retransmisión de los resultados precisa y en tiempo real tanto a los medios de comunicación como al resto del mundo.

Durante los 16 días que duró la competición se registraron más de cinco millones de alertas de seguridad en los sistemas informáticos de los Juegos, de las cuales 425 fueron graves y 20 críticas.

Entre los intrusos se encontraban personas autorizadas que pretendían desconectar el sistema INFO 2004 -la Intranet de los Juegos Olímpicos que ofrecía los resultados y el calendario e información de los deportistas- con el fin de conectar ordenadores portátiles para obtener acceso a Internet. El equipo responsable fue capaz de ofrecer una rápida respuesta a todas estas alertas y de evitar accesos no autorizados.

Fuente: http://www.sema.es/noticia_extendida_home.asp?id=64 La noticia presentada, nos lleva a confirmar que el conocer perfectamente las posibles

amenazas y riesgos a los que se encuentran expuestos nuestros activos, permite que nuestro trabajo pueda convertirse en un caso de éxito.


AMENAZAS : CONCEPTOAMENAZAS : CONCEPTO

Las amenazas son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa, afectando sus negocios.

Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser:

causas naturales o no naturales causas internas o externas

Por lo tanto, entendemos que uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.

Dada la importancia de las amenazas y el impacto que puede tener para la información de las organizaciones, revisemos ahora su clasificación.


TIPOS DE AMENAZASTIPOS DE AMENAZAS

Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuenciatiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos:

1. Amenazas naturales . condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos,

2. Intencionales . son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.

3. Involuntarias. son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la divulgación de contraseñas y la acción de hackers están entre las más frecuentes.

A continuación se presentan algunos datos de manera resumida de los resultados de la encuesta y las principales amenazas identificadas en las empresas investigadas.


AMENAZAS: ESTADÍSTICASAMENAZAS: ESTADÍSTICAS

En la 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo Security Solutions S.A. en Brasil en el año 2000, se revelan los elementos que representan las principales amenazas a la información de las empresas brasileñas.

Siete de cada diez ejecutivos entrevistados creen que habrá un crecimiento de los problemas de seguridad en 2000; el 93% reconoce la gran importancia de la protección de los datos para el éxito del negocio, siendo que, el 39% la considera vital para el ambiente corporativo.

El control de lo que ocurre en las redes corporativas ha sido uno de los puntos más débiles en las empresas brasileñas. Destacamos los siguientes factores críticos detectados por la encuesta:

Solamente el 27% afirma nunca haber sufrido algún tipo de ataque. Cerca del 41% no sabe ni siquiera que fueron invadidos, revelando el gran riesgo que las

organizaciones corren por no conocer los puntos débiles de la red interna Para el 85% de las empresas, no fue posible cuantificar las pérdidas causadas por invasiones o

contingencias ocurridas. El acceso a Internet vía módem se permite en el 38% de las empresas. Éste es un gran peligro

indicado por la encuesta, ya que las empresas no destacaron la utilización de medidas de seguridad para este uso.

El 75% de las empresas menciona que los virus son la mayor amenaza a la seguridad de la información en las empresas. Aunque el 93% de las corporaciones afirme haber adoptado sistemas de prevención contra virus, el 48% sufrió contaminación en los últimos seis meses y sólo el 11% de las empresas entrevistadas declaró nunca haber sido infectada.

La divulgación de contraseñas fue indicada como la segunda mayor amenaza a la seguridad, con el 57% de menciones. Los hackers, tradicionalmente los mayores villanos de Internet, aparecen en tercer lugar (44%) y empleados insatisfechos (42%) en cuarto lugar.


AMENAZAS: ESTADÍSTICASAMENAZAS: ESTADÍSTICAS

Principales Amenazas a las Informaciones de la Empresa1 Virus 75%

2 Divulgación de Contraseñas 57%

3 Hackers 44%

4 Empleados Insatisfechos 42%

5 Accesos Indebidos 40%

6 Filtración De Información 33%

7 Errores y Accidentes 31%

8 Fallas en la Seguridad Física 30%

9 Accesos Remotos Indebidos 29%

10 Superpoderes de Acceso 27%

11 Uso Notebooks 27%

12 Piratería 25%

13 Basura Informática 25%

14 Divulgación Indebida 22%

15 Robo / Hurto 18%

16 Fraudes 18%


Las amenazas afectan principalmente al hardware, al software y a los datos. Éstas se deben a fenómenos de:

Interrupción

Interceptación

Modificación

Generación

Amenazas del sistemaAmenazas del sistema

Interrupción Interceptación

Flujo Normal

Modificación Generación


Se daña, pierde o deja de funcionar un punto del sistema.

Su detección es inmediata.

Ejemplos: Destrucción del hardware.Borrado de programas, datos.Fallos en el sistema operativo.

Interrupción

Intruso

Amenazas de interrupciónAmenazas de interrupción


Acceso a la información por parte de personas no autorizadas. Uso de privilegios no adquiridos.

Su detección es difícil, a veces no deja huellas.

Ejemplos: Copias ilícitas de programas.Escucha en línea de datos.

Interceptación

Intruso

Amenazas de interceptaciónAmenazas de interceptación


Acceso no autorizado que cambia el entorno para su beneficio.

Su detección es difícil según las circunstancias.

Ejemplos: Modificación de bases de datos.Modificación de elementos del HW.

Modificación

Intruso

Amenazas de modificaciónAmenazas de modificación


Creación de nuevos objetos dentro del sistema.

Su detección es difícil: delitos de falsificación.

Ejemplos: Añadir transacciones en red.Añadir registros en base de datos.

Generación

Intruso

Amenazas de generaciónAmenazas de generación


Ejemplos de ataques

Triángulo de debilidades de la Triángulo de debilidades de la seguridadseguridad

Los datos serán la parte más vulnerable del sistema.

Datos

Interrupción (denegar servicio)

Interceptación (robo)

Modificación (falsificación)

Interrupción (borrado)

Interceptación (copia)

Interrupción Interceptación Modificación Generación

(pérdida) (acceso) (cambio) (alteración)

HARDWAREHARDWARE SOFTWARESOFTWARE


Hardware: Agua, fuego, electricidad, polvo, cigarrillos, comida.

Software: Además de algunos típicos del hardware, borrados

accidentales o intencionados, estática, fallos de líneas de programa, bombas lógicas, robo, copias ilegales.

Datos: Tiene los mismos puntos débiles que el software. Pero

hay dos problemas añadidos: no tienen valor intrínseco pero sí su interpretación y, por otra parte, habrá datos de carácter personal y privado que podrían convertirse en datos de carácter público: hay leyes que lo protegen.

Ataques característicosAtaques característicos


No Repudio

Este término se ha introducido en los últimos años como una característica más de los elementos que conforman la seguridad en un sistema informático.

Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de sendos certificados digitales de autenticación.

Se habla entonces de No Repudio de Origen y No Repudio de Destino, forzando a que se cumplan todas las operaciones por ambas partes en una comunicación.

No repudio de origen y destinoNo repudio de origen y destino


Si se cumplen los principios vistos anteriormente, diremos en general que los datos están protegidos y seguros.

El concepto de datos segurosEl concepto de datos seguros

Confidencialidad Integridad Disponibilidad

Datos Seguros

DATOS DATOS

DATOS

DATOS

Esto se entiende en el siguiente sentido: los datos sólo pueden ser conocidos por aquellos usuarios que tienen privilegios sobre ellos, sólo usuarios autorizados los podrán crear o bien modificar, y tales datos deberán estar siempre disponibles.


Los tres primeros puntos conforman el llamado Triángulo de Debilidades del Sistema:

Hardware: pueden producirse errores intermitentes, conexiones sueltas, desconexión de tarjetas, etc.

Software: puede producirse la sustracción de programas, ejecución errónea, modificación, defectos en llamadas al sistema, etc.

Datos: puede producirse la alteración de contenidos, introducción de datos falsos, manipulación fraudulenta de datos, etc.

HARDWARE - SOFTWARE - DATOS

MEMORIA - USUARIOS

Debilidades del sistema informático (1)Debilidades del sistema informático (1)


Memoria: puede producirse la introducción de un virus, mal uso de la gestión de memoria, bloqueo del sistema, etc.

Usuarios: puede producirse la suplantación de identidad, el acceso no autorizado, visualización de datos confidenciales, etc.

Es muy difícil diseñar un plan que contemple minimizar de forma eficiente todos estos aspectos negativos.

Debido al principio de acceso más fácil, el responsable de seguridad informática no se deberá descuidar ninguno de los cinco elementos susceptibles de ataque al sistema.

Debilidades del sistema informático (2)Debilidades del sistema informático (2)


PUNTOS DÉBILESPUNTOS DÉBILES

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta, por tanto es importante conocer el marco general de cómo se clasifican las vulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestros sistemas, comprometiendo los principios de la seguridad de nuestra información.


PUNTOS DÉBILESPUNTOS DÉBILES

NaturalesNaturales

FísicasFísicas

De HardwareDe Hardware

De SoftwareDe Software

De Medios de De Medios de AlmacenajeAlmacenaje

De ComunicaciónDe Comunicación

HumanasHumanas

Las Vulnerabilidades a los Las Vulnerabilidades a los cuales los Activos están cuales los Activos están expuestos pueden serexpuestos pueden ser


PUNTOS DÉBILES: CONCEPTOPUNTOS DÉBILES: CONCEPTO

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta, por tanto es importante conocer el marco general de cómo se clasifican las vulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestro sistemas, comprometiendo los principios de la seguridad de nuestra información.

Puntos débiles Los puntos débiles son los elementos que, al ser explotados por

amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información.

Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las medidas de seguridad apropiadas para su corrección.


PUNTOS DÉBILES: CONCEPTOPUNTOS DÉBILES: CONCEPTO

Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información . La existencia de puntos débiles está relacionada con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.

Podemos comprender ahora otro objetivo de la seguridad de la información: la corrección de puntos débiles existentes en el ambiente en que se usa la información, con el objeto de reducir los riesgos a que está sometida, evitando así la concretización de una amenaza.


TIPOS DE VULNERABILIDADESTIPOS DE VULNERABILIDADES

a) Vulnerabilidades físicas Los puntos débiles de orden físico son aquellos presentes

en los ambientes en los cuales la información se está almacenando Físicas o manejando.

Ejemplo Como ejemplos de este tipo de vulnerabilidad se

distinguen: instalaciones inadecuadas del espacio de trabajo, ausencia de recursos para el combate a incendios, disposición desorganizada de cables de energía y de red, ausencia de identificación de personas y de locales, entre otros.

Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principios básicos de la seguridad de la información, principalmente la disponibilidad.



b) Vulnerabilidades naturales Los puntos débiles naturales son aquellos relacionados con las condiciones

de la naturaleza que puedan colocar en riesgo la información. Muchas veces, la humedad, el polvo y la contaminación podrán causar daños a

los activos. Por ello, los mismos deberán estar protegidos para poder garantizar sus funciones.

La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada región geográfica.

Ejemplo Entre las amenazas naturales más comunes podemos citar:

ambientes sin protección contra incendios, locales próximos a ríos propensos a inundaciones, infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.



c) Vulnerabilidades de hardware Los posibles defectos en la fabricación o configuración de los equipos de la

empresa que pudieran permitir el ataque o alteración de los mismos. Existen muchos elementos que representan puntos débiles de hardware.

Entre ellos podemos mencionar: la ausencia de actualizaciones conforme con las orientaciones de los

fabricantes de los programas que se utilizan, y conservación inadecuada de los equipos.

Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus

funciones . si posee área de almacenamiento suficiente, procesamiento y velocidad

adecuados. Ejemplo

La falta de configuración de respaldos o equipos de contingencia pudiera representar una vulnerabilidad para los sistemas de la empresa.



d) Vulnerabilidades de software Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin

el conocimiento de un usuario o administrador de red. Los puntos débiles relacionados con el software podrán ser explotados por diversas amenazas ya conocidas. Entre éstos destacamos: La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los

recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo. Ejemplo Lectores de e-mail que permiten la ejecución de códigos maliciosos, editores de texto que permiten la ejecución de

virus de macro etc. Estos puntos débiles colocan en riesgo la seguridad de los ambientes tecnológicos. Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios

a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

Ejemplo También podrán tener puntos débiles de aplicaciones los programas utilizados para la edición de texto e imagen, para

la automatización de procesos y los que permiten la lectura de la información de una persona o empresa, como los navegadores de páginas del Internet.

Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen la interfaz para configuración y organización de un ambiente tecnológico. Estos son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier alteración de la estructura de una computadora o red.

Ejemplo Estas aplicaciones son vulnerables a varias acciones que afectan su seguridad, como por ejemplo la configuración e

instalación inadecuada, ausencia de actualización, programación insegura etc.



e) Vulnerabilidades de medios de almacenaje Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para

almacenar la información. Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos

podemos citar: disquetes, cd-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que está registrado en papel.

Por lo tanto.. De medios de almacenaje. Si los soportes que almacenan información, no se utilizan de forma adecuada , el contenido en los

mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información

Ejemplo Los medios de almacenamiento podrán ser afectados por puntos débiles que podrán dañarlos e

incluso dejarlos indispuestos. Entre estos puntos débiles, destacamos los siguientes: plazo de validez y caducidad defecto de fabricación uso incorrecto lugar de almacenamiento en locales insalubres o con alto nivel de humedad,

magnetismo o estática, moho, etc..



f) Vulnerabilidades de comunicación Este tipo de punto débil abarca todo el tránsito de la información . Donde sea que la información transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe

existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.

Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.

Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que:

Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso. La información sea alterada en su estado original, afectando su integridad .

La información sea capturada por usuarios no autorizada, afectando su confidencialidad. Por lo tanto, la seguridad de la información también está asociada con el desempeño de los equipos

involucrados en la comunicación, pues se preocupa por: la calidad del ambiente que fue preparado para el tránsito, tratamiento, almacenamiento y lectura de la información.

Ejemplo La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir

que personas ajenas a la organización obtengan información privilegiada. La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad

de la empresa pudiera provocar que no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.



g) Vulnerabilidades humanas Esta categoría de vulnerabilidad está relacionada con los daños que las personas

pueden causar a la información y al ambiente tecnológico que la soporta. Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.

Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las

funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones,

insatisfacciones etc. En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos

considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.

Ejemplo Contraseñas débiles, falta de uso de criptografía en la comunicación,

compartimiento de identificadores tales como nombre de usuario o credencial de acceso, entre otros.


RIESGOS, MEDIDAS Y CICLO DE SEGURIDADRIESGOS, MEDIDAS Y CICLO DE SEGURIDAD

Expertos en seguridad informática reunidos en Kuala Lumpur , Malasia explicaron que problemas en cierto software podrían permitir tomar el control del teléfono en forma remota, leer la agenda de direcciones o escuchar secretamente una conversación. Advirtieron que la última generación de teléfonos móviles es vulnerable a los hackers, según informó el sitio de noticias de la BBC.

Los asistentes a la conferencia "Hack in the Box", realizada en la capital de Malasia, fueron testigos de una demostración sobre los defectos de seguridad encontrados en Java 2 Micro Edition o J2ME, software desarrollado conjuntamente por Sun Microsystems, Nokia, Sony Ericsson y Motorola.

La vulnerabilidad del software, que viene incluido en teléfonos "inteligentes" fabricados por estas compañías, está relacionada con la manera en que Java trata de evitar que el sistema operativo acepte órdenes desde el exterior, señaló un portavoz.

"La nueva generación de teléfonos en realidad viene con un software mucho más poderoso dentro del sistema operativo", manifestó Dylan Andrew, el organizador del encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono celular en forma remota, quizás leer la agenda de direcciones o escuchar secretamente un conversación", agregó.

Sin embargo, el director de seguridad inalámbrica de la compañía McAfee, aclaró que el riesgo, si bien existe, aún es mínimo.

Fuente: http://www.laflecha.net/canales/seguridad/200410061/ Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos de posibles

riesgos en diferentes dispositivos o sistemas de manejo de información. Para poder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer las medidas de seguridad necesarias para minimizarlos.


RIESGO: CONCEPTORIESGO: CONCEPTO

El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Riesgos Concluimos que la seguridad es una práctica orientada

hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger.

El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.


MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDAD

Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.

Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.


MEDIDAS O ACCIONES DE SEGURIDADMEDIDAS O ACCIONES DE SEGURIDAD

Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole: Preventivo: buscando evitar el surgimiento de

nuevos puntos débiles y amenazas; Perceptivo: orientado hacia la revelación de actos

que pongan en riesgo la información o Correctivo: orientado hacia la corrección de los

problemas de seguridad conforme su ocurrencia.


MEDIDAS GLOBALES DE SEGURIDADMEDIDAS GLOBALES DE SEGURIDAD

Las medidas de seguridad son un conjunto de prácticas que, al ser integradas, constituyen una solución global y eficaz de la seguridad de la información. Entre las principales medidas se destacan:Análisis de riesgosPolítica de seguridadEspecificación de seguridadAdministración de seguridad



La seguridad de la información debe ser garantizada en una forma integral y completa de ahí que resulte de mucha utilidad conocer con un poco más de detalle estas cuatro medidas de seguridad que permiten movernos desde el análisis de riesgos hasta la administración de la seguridad:

a)Análisis de riesgos Es una medida que busca rastrear vulnerabilidades en los activos que

puedan ser explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

b) Política de seguridad Es una medida que busca establecer los estándares de seguridad a ser

seguidos por todos los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.



c) Especificación de seguridad Son medidas que tienen en mira instruir la correcta

implementación de un nuevo ambiente tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los mismos deben estar dispuestos para atender a los principios de la seguridad de la información.

d) Administración de la seguridad Son medidas integradas para producir la gestión de los

riesgos de un ambiente. La administración de la seguridad involucra a todas las medidas mencionadas anteriormente, en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad .


CICLO DE SEGURIDAD DE LA INFORMACIÓNCICLO DE SEGURIDAD DE LA INFORMACIÓN

El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad.

Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones.

Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.


CICLO DE SEGURIDAD DE LA INFORMACIÓNCICLO DE SEGURIDAD DE LA INFORMACIÓN


CICLO DE SEGURIDADCICLO DE SEGURIDAD

Como podemos ver en el diagrama anterior. Los riesgos en la seguridad de la empresa aumentan en la medida que las amenazas pueden explotar las vulnerabilidades, y por tanto causar daño en los activos. Estos daños pueden causar que la confidencialidad, integridad o disponibilidad de la información se pierda, causando impactos en el negocio de la empresa.

Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de mucho menor impacto para los activos, y por tanto, para la empresa.


CICLO DE SEGURIDADCICLO DE SEGURIDAD

Por lo tanto, la seguridad es . . una actividad cuyo propósito es: proteger a los activos contra accesos no autorizados , evitar alteraciones indebidas que pongan en peligro su integridad garantizar la disponibilidad de la información

Y es instrumentada por medio de políticas y procedimientos de seguridad que permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la preservación de la confidencialidad, integridad y disponibilidad de la información.

amenazas y puntos débiles

Documents