CÓMO LAS EMPRESAS ESTÁN AFRONTANDO LOS NUEVOS RETOS

RELACIONADOS CON SEGURIDAD DE LA INFORMACIÓN

POLITÉCNICO GRAN COLOMBIANO

POSTGRADO EN SEGURIDAD DE LA INFORMACIÓN

PRIMER BLOQUE-TEORIA DE LA SEGURIDADDOCENTE

ANDRES FELIPE ESTUPINAN SANABRIA

MAURICIO SIERRA CUBIDES

CÒDIGO 1111070706

BOGOTÀ AGOSTO 2016

1

AGRADECIMIENTOS

Este foro está dedicado a mis padres, profesores e institución que me han

permitido formarme y continuar con mis estudios de posgrado, con el fin de

alcanzar mis metas y objetivos.

2

ABSTRACT

La seguridad y privacidad de la información, como componente transversal,

permite alinearse a las organizaciones al aportar en el uso estratégico de las

tecnologías de la información con la formulación e implementación del modelo

de seguridad enfocado a preservar la confidencialidad, integridad y

disponibilidad de la información, lo que contribuye al cumplimiento de la misión y

los objetivos estratégicos de las compañías.

3

CONTENIDO

PRIMER BLOQUE-TEORIA DE LA SEGURIDAD..................................................................1

Agradecimientos..........................................................................................................................2

Abstract.........................................................................................................................................3

Contenido......................................................................................................................................4

GLOSARIO...................................................................................................................................5

Capítulo 1......................................................................................................................................7

Título1............................................................................................................................................7

¿Cuáles son los riesgos y nuevos retos que han detectado estas organizaciones en relación a la seguridad de la información?.........................................................................................................7

Título 2..........................................................................................................................................10

¿Mencionar cuál es nivel de importancia que le han dado estás compañías a la seguridad de la información?................................................................................................................................10

Título 3..........................................................................................................................................11

¿Cómo la seguridad de la información ayuda a las organizaciones a cumplir sus objetivos estratégicos?................................................................................................................................11

Lista de referencias...................................................................................................................14

4

GLOSARIO

1. Activo: En relación con la seguridad de la información, se refiere a

cualquier información elemento relacionado con el tratamiento de la

misma (sistemas, soportes, edificios, personas…) que tenga valor para la

organización. (ISO/IEC 27000).

2. Amenazas: Causa potencial de un incidente no deseado, que puede

provocar daños a un sistema o a la organización. (ISO/IEC 27000).

3. Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y

determinar el nivel de riesgo.(ISO/IEC 27000).

4. Auditoría: Proceso sistemático, independiente y documentado para

obtener evidencias de auditoria y obviamente para determinar el grado en

el que se cumplen los criterios de auditoria. (ISO/IEC 27000).

5. Control: Las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la

información por debajo del nivel de riesgo asumido. Control es también

utilizado como sinónimo de salvaguarda o contramedida. En una

definición más simple, es una medida que modifica el riesgo.

6. Gestión de incidentes de seguridad de la información: Procesos para

detectar, reportar, evaluar, responder, tratar y aprender de los incidentes

de seguridad de la información. (ISO/IEC 27000).

5

7. Plan de tratamiento de riesgos: Documento que define las acciones

para gestionar los riesgos de seguridad de la información inaceptables e

implantar los controles necesarios para proteger la misma. (ISO/IEC

27000).

8. Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de

información. Suele considerarse como una combinación de la

probabilidad de un evento y sus consecuencias. (ISO/IEC 27000).

9. Seguridad de la información: Preservación de la confidencialidad,

integridad, y disponibilidad de la información. (ISO/IEC 27000).

10.Sistema de Gestión de Seguridad de la Información SGSI: Conjunto

de elementos interrelacionados o interactuantes (estructura organizativa,

políticas, planificación de actividades, responsabilidades, procesos,

procedimientos y recursos) que utiliza una organización para establecer

una política y unos objetivos de seguridad de la información y alcanzar

dichos objetivos, basándose en un enfoque de gestión y de mejora

continua. (ISO/IEC 27000).

11.Trazabilidad: Cualidad que permite que todas las acciones realizadas

sobre la información o un sistema de tratamiento de la información sean

asociadas de modo inequívoco a un individuo o entidad. (ISO/IEC 27000).

12.Vulnerabilidad: Debilidad de un activo o control que puede ser explotada

por una o más amenazas. (ISO/IEC 27000).

6

CAPÍTULO 1

TÍTULO1

¿CUÁLES SON LOS RIESGOS Y NUEVOS RETOS QUE HAN DETECTADO ESTAS ORGANIZACIONES EN RELACIÓN A LA SEGURIDAD DE LA INFORMACIÓN?

En las compañías existe una gran preocupación por la gran cantidad de

aplicaciones móviles que pueden generar entradas automáticas a sistemas

seguros, de igual forma el controlar a los empleados en el uso de dispositivos

móviles agudiza esta tarea, dentro de las amenazas encontradas más

significativas se encuentran:

•Hardware. Los ataques contra todo tipo de hardware y firmware continuarán y el

mercado de las herramientas que los hacen posibles se expandirá y crecerá.

•Ransomware. Las redes de anonimato y métodos de pago continuarán

alimentando a la importante y creciente amenaza de ransomware, ataque que

consiste en "secuestrar" archivos y pedir rescate para liberarlos. En 2016, un

mayor número de Hackers inexpertos aprovecharán las ofertas de ransomware

como un servicio.

•Wearables. Los wearables sin protección de seguridad incorporada serán los

principales objetivos de los Hackers, debido a que recolectan datos muy

personales. Lo más importante, el hecho de que se sincronizan con teléfonos

7

inteligentes crea el potencial para acceso a datos más valiosos. Y debido a que

frecuentemente se emparejan con aplicaciones web con el propósito de

compartir, las máquinas virtuales de nube y las aplicaciones web de soporte

representan superficies adicionales de ataque.

•Automóviles. Los investigadores de seguridad seguirán enfocándose en nuevas

formas de explotar hardware de automóviles conectados que carecen de

capacidades fundamentales de seguridad. Las áreas de ataque de automóviles

podrían incluir unidades de control de motor, acceso al vehículo, dirección y

frenado, sistemas de llaves remotas y acceso al teléfono inteligente del usuario,

entre otras.

•Almacenes de datos robados. El conjunto de información personal robada se

está reuniendo en grandes almacenes de datos, haciendo que los registros sean

más valiosos para los Hackers. El próximo año observaremos el desarrollo de un

mercado negro aún más robusto para el robo de información personal

identificable, así como nombres de usuario y contraseñas.

•Ataques a través de los empleados. Las organizaciones continuarán mejorando

sus posturas de seguridad, implementando las últimas tecnologías de seguridad,

trabajando para contratar a personas con talento y experiencia, creando políticas

efectivas y permaneciendo vigilantes. Sin embargo, los atacantes probablemente

cambien su enfoque y ataquen cada vez más a las empresas a través de sus

8

empleados, dirigiéndose entre otras cosas, a los relativamente inseguros

sistemas del hogar de los empleados para acceder a las redes corporativas.

•Servicios de nube. Los Hackers y competidores corporativos cada vez más se

dirigirán a los servicios en nube que gestionan una cantidad creciente de

información confidencial de negocios. Esta información podría contener la

estrategia de negocios de la organización, estrategias del portafolio de la

compañía, innovaciones de próxima generación, finanzas, planes de adquisición

y desinversión, datos de empleados y otros datos.

•Ataques de integridad. Uno de los más significativos nuevos vectores de ataque

será la puesta en riesgo sigilosa y selectiva de la integridad de sistemas y datos.

Estos ataques consisten en apoderarse y modificar transacciones o datos a

favor de los cibercriminales, como por ejemplo, el cambio de la configuración de

un depósito de nómina directo a la cuenta de cheques de la víctima para que se

deposite en una cuenta diferente.

•Intercambio de inteligencia de amenazas. El intercambio de inteligencia de

amenazas entre las empresas y los proveedores de seguridad crecerá

rápidamente y madurará. Se emprenderán medidas legislativas para hacer

posible que las compañías y los gobiernos compartan inteligencia de amenazas.

El desarrollo de mejores prácticas en esta área se acelerará, surgirán métricas

de éxito para cuantificar la mejora de protección, y la cooperación de inteligencia

de amenazas entre los proveedores de la industria se ampliará.

9

Dentro de los próximos 5 años los ataques más comunes serán a nivel firmware,

es decir, a un nivel más profundo que el sistema operativo y por ende más difícil

de detectar y eliminar.

TÍTULO 2

¿MENCIONAR CUÁL ES NIVEL DE IMPORTANCIA QUE LE HAN DADO ESTÁS COMPAÑÍAS A LA SEGURIDAD DE LA INFORMACIÓN?

Los ataques pueden causar pérdida de información, destrucción de equipos o

robos de dinero. Sea cual sea el tipo de ataque recibido, la empresa sufre un

costo económico que, en algunas ocasiones, puede causar el cierre del negocio.

Por tal razón, la seguridad informática es la disciplina encargada de proponer los

medios técnicos para evaluar la seguridad de los sistemas de información.

A día de hoy miles de usuarios hacen uso de internet: acceden a sus redes

sociales, a su banco etc. Además cada día más compañías permiten el acceso a

los datos de su empresa a través de internet, por lo tanto es esencial que toda

esta información de la que hacemos uso debe permanecer segura, para así

poder controlar el acceso al sistema, y los permisos y derechos de los usuarios

al sistema de información.

Podemos decir que la seguridad informática debe cumplir lo siguiente:

10

-Confidencialidad: Básicamente consiste en hacer que la información solo sea

legible y accesible para los usuarios permitidos, evitando accesos indebidos.

Como por ejemplo: Sistemas complejos de cifrado, sistemas de detección de

intrusos.

-Integridad: Consiste esencialmente en evitar que los datos puedan ser

manipulados, haciendo así que siempre estén completos y correctos. Como por

ejemplo: Controles de acceso, control de modificaciones.

-Disponibilidad: Definimos la disponibilidad como el método o función que nos

permite que los datos siempre estén accesibles y disponibles para su uso. Como

por ejemplo: Implementación de planes BCP (Planes de continuidad de

negocio).

Además normalmente la seguridad informática trata de proteger los datos, el

software y el hardware de la empresa.

TÍTULO 3

¿CÓMO LA SEGURIDAD DE LA INFORMACIÓN AYUDA A LAS ORGANIZACIONES A CUMPLIR SUS OBJETIVOS ESTRATÉGICOS?

La fuga de datos desde el interior de las compañías es el principal problema al

que se enfrentan las organizaciones que quieren proteger su información. Y este

tema es crítico porque no se trata sólo de fuga de datos, sino de pérdida de

competitividad. “Si un ejecutivo entrega la información de una empresa a otra,

11

significa que esa compañía pasará a tener una ventaja competitiva sobre la que

la perdió, y no existe una preocupación real sobre esa situación.

De igual forma el diseñar las normas, procedimientos, métodos y técnicas,

orientados a proveer condiciones seguras y confiables, para la guarnición de

datos de la compañía, vigila, controla y administra el procesamiento de datos del

negocio, por lo que el asegurar que los recursos del sistema de información

estén protegidos da confianza y claridad en la obtención de datos de la

compañía, generando valor y disponibilidad para sus usuarios.

Partiendo de estas principales preocupaciones en las empresas, existen dos

soluciones que pueden intervenir en el cumplimiento fundamental de los

objetivos estratégicos como:

Desarrollo de una función centralizada

La función centralizada permite un mejor control y desempeño de las funciones

de seguridad informática, sin embargo, este esquema también suele generar

algunos roces con otras áreas de la empresa, particularmente con el área de

Sistemas.

Desarrollo de una Función Distribuida

Para algunas organizaciones hace más sentido distribuir la función de la

seguridad ya que esto permite tener un mejor desempeño operativo a costa de

menor control y desempeño en la seguridad informática. Algunos ejemplos de

12

sectores de empresas donde esto suele suceder son: Manufactura, Servicios,

Consultoría, Telecomunicaciones y Comercial.

La seguridad informática es la disciplina que se Ocupa de (material informático o

programas) de una organización sean utilizados de la manera que se decidió y

que el acceso a la información allí contenida, así como su modificación, sólo sea

posible a las personas que se encuentren acreditadas y dentro de los límites de

su autorización.

13

LISTA DE REFERENCIAS

1. http://www.infobae.com/2015/11/10/1768685-las-9-areas-clave-la-

seguridad-informatica-2016/

2. http://es.blastingnews.com/tecnologia/2016/02/la-importancia-de-la-

seguridad-informatica-00777581.html

3. http://blog.capacityacademy.com/2016/04/26/la-importancia-de-

implementar-un-proyecto-de-seguridad-informatica-en-una-empresa-de-ti/

4. https://seguinfo.wordpress.com/2007/10/18/la-funcion-de-seguridad-

informatica-en-la-empresa/

5. http://www.emb.cl/gerencia/articulo.mvc?xid=932

6. https://prezi.com/2i1dkyfaeyha/la-importancia-de-la-seguridad-informatica/

7. http://www.mintic.gov.co/gestionti/615/articles-

5482_Modelo_Seguridad.pdf

14