Se entiende por seguridad de la información a

todas aquellas medidas preventivas y reactivas del

hombre, de las organizaciones y de los sistemas

tecnológicos que permitan resguardar y proteger

la información buscando mantener

la confidencialidad, la disponibilidad e Integridad

de la misma.

El concepto de seguridad de la información no

debe ser confundido con el de seguridad

informática, ya que este último sólo se encarga de

la seguridad en el medio informático, pudiendo

encontrar información en diferentes medios o

formas.

CONCEPCION DE LA SEGURIDAD

DE LA INFORMACIÓN

La información es poder, y según las posibilidades estratégicas que

ofrece tener a acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir

sin previo aviso y producir numerosas pérdidas para las empresas. Los

riesgos más perjudiciales son a las tecnologías de información y

comunicaciones.

Seguridad: Es una forma de protección contra los riesgos.

Es la propiedad de prevenir la

divulgación de información a

personas o sistemas no

autorizados. La confidencialidad

es el acceso a la información

únicamente por personas que

cuenten con la debida

autorización.

CONFIDENCIALIDAD

Es la propiedad que busca mantener los

datos libres de modificaciones no

autorizadas. (No es igual a integridad

referencial en bases de datos.) Grosso

modo, la integridad es el mantener con

exactitud la información tal cual fue

generada, sin ser manipulada o alterada

por personas o procesos no autorizados.

INTEGRIDAD

Es la característica, cualidad o condición de la información

de encontrarse a disposición de quienes deben acceder a

ella, ya sean personas, procesos o aplicaciones. Grosso

modo, la disponibilidad es el acceso a la información y a los

sistemas por personas autorizadas en el momento que lo

requieran.

Garantizar la disponibilidad implica también la prevención

de ataque de denegación de servicio. Para poder manejar

con mayor facilidad la seguridad de la información, las

empresas o negocios se pueden ayudar con un sistema de

gestión permita conocer, administrar y minimizar los

posibles riesgos que atenten contra la seguridad

informativa del negocio.

DISPONIBILIDAD

Es la propiedad que me permite identificar el

generador de la información. Por ejemplo al

recibir un mensaje de alguien, estar seguro que

es de ese alguien el que lo ha mandado, y no

una tercera persona haciéndose pasar por la

otra (suplantación de identidad). En un sistema

informático se suele conseguir este factor con el

uso de cuentas de usuario y contraseñas de

acceso.

AUTENTICACIÓN Ó

AUTENTIFICACIÓN

No Repudio

Proporciona protección contra la interrupción, por parte de alguna de las

entidades implicadas en la comunicación, de haber participado en toda o parte de

la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está

estandarizado en la ISO-7498-2

Protocolos de Seguridad de la Información

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la

transmisión de datos entre la comunicación de dispositivos para ejercer una

confidencialidad, integridad, autenticación y el no repudio de la información. Se

componen de:

Criptografía (Cifrado de datos).

Lógica (Estructura y secuencia).

Autenticación.

SERVICIOS DE

SEGURIDAD

Los administradores de programas, los

propietarios del sistema, y personal de

seguridad en la organización debe entender el

sistema de seguridad en el proceso de

planificación. Los responsables de la ejecución

y gestión de sistemas de información deben

participar en el tratamiento de los controles de

seguridad que deben aplicarse a sus sistemas.

PLANIFICACIÓN DE

LA SEGURIDAD

Creación de un Plan de respuesta a incidentes

El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Acción inmediata para detener o minimizar el incidente

Investigación del incidente

Restauración de los recursos afectados

Reporte del incidente a los canales apropiados

Un plan de respuesta a incidentes tiene un número de requerimientos,

incluyendo:

Un equipo de expertos locales (un Equipo de respuesta a emergencias de

computación)

Una estrategia legal revisada y aprobada

Soporte financiero de la compañía

Soporte ejecutivo de la gerencia superior

Un plan de acción factible y probado

Recursos físicos, tal como almacenamiento redundante, sistemas en stand by

y servicios de respaldo

El manejo de riesgos, conlleva una estructura bien

definida, con un control adecuado y su manejo,

habiéndolos identificado, priorizados y analizados, a

través de acciones factibles y efectivas. Para ello se

cuenta con las siguientes técnicas de manejo del

riesgo:

Evitar

Reducir

Retener, Asumir o Aceptar el riesgo

Transferir.

MANEJO DE RIESGOS

El mejor en soluciones de su clase permite una respuesta rápida a las amenazas

emergentes, tales como:

Malware propagación por e-mail y Spam.

La propagación de malware y botnets.

Los ataques de phishing alojados en sitios web.

Los ataques contra el aumento de lenguaje de marcado extensible (XML) de

tráfico, arquitectura orientada a servicios (SOA) y Web Services.

Los delitos cometidos mediante el uso de la computadora han crecido en tamaño,

forma y variedad. Los principales delitos hechos por computadora o por medio de

computadoras son:

Fraudes

Falsificación

Venta de información

MEDIOS DE TRANSMISION DE ATAQUES A

LOS SISTEMAS DE SEGURIDAD

Un hacker

Un cracker

Un lammer

Un copyhacher'

Un "bucanero"

Un phreaker

Un newbie o "novato de red"

Un script kiddie o skid kiddie

Un tonto o descuidado

ACTORES QUE AMENAZAN

LA SEGURIDAD

Las principales tecnologías referentes a la seguridad de la información

en informática son:

Cortafuegos

Administración de cuentas de usuarios

Detección y prevención de intrusos

Antivirus

Infraestructura de llave publica

Capas de Socket Segura (SSL)

Conexión única "Single Sign on- SSO"

Biométria

Cifrado

Cumplimiento de privacidad

Acceso remoto

TECNOLOGÍAS

ISO/IEC 27000-series

ISO/IEC 27001

ISO/IEC 17799

Otros estándares relacionados

COBIT

ISACA

ITIL

ESTÁNDARES DE SEGURIDAD

DE LA INFORMACIÓN

CISM - CISM Certificaciones: Certified Information Security

Manager

CISSP - CISSP Certificaciones: Security Professional

Certification

GIAC - GIAC Certificaciones: Global Information Assurance

Certification

CERTIFICACIONES

Certificaciones independientes en seguridad de la

información:

CISA- Certified Information Systems Auditor, ISACA

CISM- Certified Information Security Manager, ISACA

Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI

CISSP - Certified Information Systems Security Professional, ISC2

SECURITY+, COMPTia - Computing Technology Industry Association

CEH - Certified Ethical Hacker

PCI DSS - PCI Data Security Standard