seguridad de la información
TRANSCRIPT
Se entiende por seguridad de la información a
todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger
la información buscando mantener
la confidencialidad, la disponibilidad e Integridad
de la misma.
El concepto de seguridad de la información no
debe ser confundido con el de seguridad
informática, ya que este último sólo se encarga de
la seguridad en el medio informático, pudiendo
encontrar información en diferentes medios o
formas.
CONCEPCION DE LA SEGURIDAD
DE LA INFORMACIÓN
La información es poder, y según las posibilidades estratégicas que
ofrece tener a acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir
sin previo aviso y producir numerosas pérdidas para las empresas. Los
riesgos más perjudiciales son a las tecnologías de información y
comunicaciones.
Seguridad: Es una forma de protección contra los riesgos.
Es la propiedad de prevenir la
divulgación de información a
personas o sistemas no
autorizados. La confidencialidad
es el acceso a la información
únicamente por personas que
cuenten con la debida
autorización.
CONFIDENCIALIDAD
Es la propiedad que busca mantener los
datos libres de modificaciones no
autorizadas. (No es igual a integridad
referencial en bases de datos.) Grosso
modo, la integridad es el mantener con
exactitud la información tal cual fue
generada, sin ser manipulada o alterada
por personas o procesos no autorizados.
INTEGRIDAD
Es la característica, cualidad o condición de la información
de encontrarse a disposición de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones. Grosso
modo, la disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que lo
requieran.
Garantizar la disponibilidad implica también la prevención
de ataque de denegación de servicio. Para poder manejar
con mayor facilidad la seguridad de la información, las
empresas o negocios se pueden ayudar con un sistema de
gestión permita conocer, administrar y minimizar los
posibles riesgos que atenten contra la seguridad
informativa del negocio.
DISPONIBILIDAD
Es la propiedad que me permite identificar el
generador de la información. Por ejemplo al
recibir un mensaje de alguien, estar seguro que
es de ese alguien el que lo ha mandado, y no
una tercera persona haciéndose pasar por la
otra (suplantación de identidad). En un sistema
informático se suele conseguir este factor con el
uso de cuentas de usuario y contraseñas de
acceso.
AUTENTICACIÓN Ó
AUTENTIFICACIÓN
No Repudio
Proporciona protección contra la interrupción, por parte de alguna de las
entidades implicadas en la comunicación, de haber participado en toda o parte de
la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está
estandarizado en la ISO-7498-2
Protocolos de Seguridad de la Información
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la
transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información. Se
componen de:
Criptografía (Cifrado de datos).
Lógica (Estructura y secuencia).
Autenticación.
SERVICIOS DE
SEGURIDAD
Los administradores de programas, los
propietarios del sistema, y personal de
seguridad en la organización debe entender el
sistema de seguridad en el proceso de
planificación. Los responsables de la ejecución
y gestión de sistemas de información deben
participar en el tratamiento de los controles de
seguridad que deben aplicarse a sus sistemas.
PLANIFICACIÓN DE
LA SEGURIDAD
Creación de un Plan de respuesta a incidentes
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Acción inmediata para detener o minimizar el incidente
Investigación del incidente
Restauración de los recursos afectados
Reporte del incidente a los canales apropiados
Un plan de respuesta a incidentes tiene un número de requerimientos,
incluyendo:
Un equipo de expertos locales (un Equipo de respuesta a emergencias de
computación)
Una estrategia legal revisada y aprobada
Soporte financiero de la compañía
Soporte ejecutivo de la gerencia superior
Un plan de acción factible y probado
Recursos físicos, tal como almacenamiento redundante, sistemas en stand by
y servicios de respaldo
El manejo de riesgos, conlleva una estructura bien
definida, con un control adecuado y su manejo,
habiéndolos identificado, priorizados y analizados, a
través de acciones factibles y efectivas. Para ello se
cuenta con las siguientes técnicas de manejo del
riesgo:
Evitar
Reducir
Retener, Asumir o Aceptar el riesgo
Transferir.
MANEJO DE RIESGOS
El mejor en soluciones de su clase permite una respuesta rápida a las amenazas
emergentes, tales como:
Malware propagación por e-mail y Spam.
La propagación de malware y botnets.
Los ataques de phishing alojados en sitios web.
Los ataques contra el aumento de lenguaje de marcado extensible (XML) de
tráfico, arquitectura orientada a servicios (SOA) y Web Services.
Los delitos cometidos mediante el uso de la computadora han crecido en tamaño,
forma y variedad. Los principales delitos hechos por computadora o por medio de
computadoras son:
Fraudes
Falsificación
Venta de información
MEDIOS DE TRANSMISION DE ATAQUES A
LOS SISTEMAS DE SEGURIDAD
Un hacker
Un cracker
Un lammer
Un copyhacher'
Un "bucanero"
Un phreaker
Un newbie o "novato de red"
Un script kiddie o skid kiddie
Un tonto o descuidado
ACTORES QUE AMENAZAN
LA SEGURIDAD
Las principales tecnologías referentes a la seguridad de la información
en informática son:
Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto
TECNOLOGÍAS
ISO/IEC 27000-series
ISO/IEC 27001
ISO/IEC 17799
Otros estándares relacionados
COBIT
ISACA
ITIL
ESTÁNDARES DE SEGURIDAD
DE LA INFORMACIÓN
CISM - CISM Certificaciones: Certified Information Security
Manager
CISSP - CISSP Certificaciones: Security Professional
Certification
GIAC - GIAC Certificaciones: Global Information Assurance
Certification
CERTIFICACIONES
Certificaciones independientes en seguridad de la
información:
CISA- Certified Information Systems Auditor, ISACA
CISM- Certified Information Security Manager, ISACA
Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
CISSP - Certified Information Systems Security Professional, ISC2
SECURITY+, COMPTia - Computing Technology Industry Association
CEH - Certified Ethical Hacker
PCI DSS - PCI Data Security Standard