Antes de hablar sobre este tema definamos el termino informacin:
INFORMACION: Activo que tiene valor y por ende requiere una proteccin adecuada. Este puede estar: Impresa o escrito en un papel Almacenado electrnicamente Transmitida por correo o medios electrnicos Mostrada en filmes Hablada en conversacin Su proteccin ser dependiendo de la forma en cmo la informacin este dada. CONCEPTO DE SEGURIDAD DE LA INFORMACION Conjunto de medidas preventivas que llevan acabo las organizaciones y sistemas tecnolgicos para proteger y resguardar la informacin, no debemos confundirlo con seguridad informtica ya que esta solo protege la informacin en el medio informtico y cuando hablamos de seguridad de informacin abarca todo tipo de informacin no solo informtico. CARACTERISTICAS DE LA SEGURIDAD DE LA INFORMACION CONFIDENCIALIDAD: Solo personas autorizadas tienen el acceso a la informacin. INTEGRIDAD: La informacin y su mtodo de proceso debe ser exacta y completa. DISPONIBILIDAD: Solo usuarios autorizados tienen el acceso a la informacin siempre y cuando estos lo requieran.
CAUSAS DE LA SEGURIDAD DE LA INFORMACION Debido a la alta gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado tal como fraude, espionaje, sabotaje, vandalimo es que las organizaciones se ven obligadas a aplicar polticas de seguridad, mecanismos de seguridad, planificacin de seguridad para hacer frente a estas amenazas que van aumentando de acuerdo a como va aumentando la tecnologa en nuestro medio, estas amenazas aumentan debido a distintos factores entre ellos: a) Un alto crecimiento de las redes y usuarios interconectados. b) Una inmadurez de las nuevas tecnologas c) Nuevas tcnicas de ataque distribuido como ejemplo el DDoS Estas amenazas afectan de forma directa a la preservacin de la seguridad de la informacin asi tenemos: a) Interceptacion pasiva de la informacin esto amenaza a la confidencialidad. b) Corrupcion o Destruccion de la informacin esto amenaza a la integridad c) Suplantacion de origen esto amenaza a la disponibilidad. A continuacin veremos las acciones que las organizaciones llevan a cabo para proteger de manera radical su informacin: Servicios de seguridad Su objetivo consiste en mejorar la seguridad de los sistemas de procesamiento de datos y transferencia de informacin en las organizaciones, estn diseados para contrarrestar a las amenazas usando mecanismos para conseguirlo.
a) No repudio o IRRENUNCIABILIDAD
Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades implicadas en la comunicacin, de haber participado en toda o parte de la comunicacin.
b) Protocolos de Seguridad de la Informacin
Son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de dispositivos para ejercer una confidencialidad, integridad, autenticacin y el no repudio de la informacin. Se componen de:
Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes un mensaje es enviado por el emisor lo que hace es ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor.
Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del mensaje el significado del mensaje y saber cundo se va enviar el mensaje.
Identificacin (Autenticacin). Es una validacin de identificacin es la tcnica mediante la cual un proceso comprueba que el compaero de comunicacin es quien se supone que es y no se trata de un impostor.
PLANIFICACION DE LA SEGURIDAD Su objetivo es proporcionar una visin general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Los responsables de la ejecucin y gestin de sistemas de informacin deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Accin inmediata para detener o minimizar el incidente Investigacin del incidente Restauracin de los recursos afectados Reporte del incidente a los canales apropiados
MANEJO DE RIESGOS
Conjunto de acciones que las organizaciones realizan para llevar a cabo un dominio contra los riesgos que afectan la seguridad de su informacin. Para ello se cuenta con las siguientes tcnicas:
Evitar: La organizacin evita el riesgo cuando impide la exposicin de su informacion. Esta tcnica tiene ms desventajas que ventajas ya que la empresa podra abstenerse de aprovechar muchas oportunidades.
Reducir: Debido a que el riesgo no puede evitarse este es reducido hasta su nivel mas bajo posible. Se consigue optimizando los procedimientos, la implementacin de controles y su monitoreo constante.
Retener, Asumir o Aceptar el riesgo: Metodo comn es aceptar el riesgo y sus consecuencias peropuede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas involucrada, la involuntaria se da cuando el riesgo es retenido inconscientemente.
Transferir: Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro o para minimizar el mismo, compartindolo con otras entidades.
POLITICA DE SEGURIDAD
Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en trminos generales qu est permitido y qu no lo est en el rea de seguridad durante la operacin general de dicho sistema
Actores que amenazan la seguridad Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o comunicaciones, es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "informacin segura". Un cracker es un hbil conocedor de programacin de Software y Hardware; disea y fabrica programas de guerra y hardware para reventar software y comunicaciones como el telfono, el correo electrnico o el control de otros computadores remotos. Un phreaker se caracterizan por poseer vastos conocimientos en el rea de telefona terrestre y mvil, incluso ms que los propios tcnicos de las compaas telefnicas; recientemente con el auge de los telfonos mviles, han tenido que entrar tambin en el mundo de la informtica y del procesamiento de datos. 1
Seguridad de la informacin significa la proteccin de la informacin y de los accesos a los sistemas de informacin, control de su uso, divulgacin, alteracin, modificacin, lectura, registro o su destruccin. 2
El motivo o el motor para implementar medidas de proteccin, que responden a la Seguridad de la Informacin, es el propio inters de la institucin o persona que maneja los datos, porque la prdida o modificacin de los datos, le puede causar un dao (material o inmaterial). 3
Concepcin de la seguridad de la informacin
2 Fuente: http://www.insemot.eu/es/lo-b%C3%A1sico-de-un-si/128-1-1-what-is-the-concept-of- information-security-in-ireland 3 Fuente : http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/ En la seguridad de la informacin es importante sealar que su manejo est basado en la tecnologa y debemos de saber que puede ser confidencial: la informacin est centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y segn las posibilidades estratgicas que ofrece tener acceso a cierta informacin, sta se clasifica como: Crtica: Es indispensable para la operacin de la empresa. Valiosa: Es un activo de la empresa y muy valioso. Sensible: Debe de ser conocida por las personas autorizadas Existen dos palabras muy importantes que son riesgo y seguridad: Riesgo: Es la materializacin de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, as como el impacto negativo que ocasione a las operaciones de negocio. Seguridad: Es una forma de proteccin contra los riesgos. Precisamente la reduccin o eliminacin de riesgos asociado a una cierta informacin es el objeto de la seguridad de la informacin y la seguridad informtica. Ms concretamente, la seguridad de la informacin tiene como objeto los sistemas el acceso, uso, divulgacin, interrupcin o destruccin no autorizada de informacin. Los trminos seguridad de la informacin, seguridad informtica y garanta de la informacin son usados frecuentemente como sinnimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la informacin. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologas utilizadas, y las zonas de concentracin. Adems, la seguridad de la informacin involucra la implementacin de estrategias que cubran los procesos en donde la informacin es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de polticas, controles de seguridad, tecnologas y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto informacin como los sistemas que la almacenan y administran. Por ms de veinte aos la Seguridad de la Informacin ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Trada CIA, del ingls: "Confidentiality, Integrity, Availability") son los principios bsicos de la seguridad de la informacin. La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener programas, controles y polticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin, si alguna de estas caractersticas falla no estamos ante nada seguro. Confidencialidad La confidencialidad es la propiedad que impide la divulgacin de informacin a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a aquellas personas que cuenten con la debida autorizacin. Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas, no alterarlas y mantenerlas de manera exacta, tal cual fue generada a menos que se a modificado por personal autorizado. Disponibilidad La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnolgica, servidores de correo electrnico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento (SAN). Autenticacin o autentificacin Es la propiedad que permite identificar el generador de la informacin. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona hacindose pasar por la otra (suplantacin de identidad). En un sistema informtico se suele conseguir este factor con el uso de cuentas de usuario y contraseas de acceso.
Servicios de seguridad El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn diseados para contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad para proporcionar el servicio. No repudio Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades implicadas en la comunicacin, de haber participado en toda o parte de la comunicacin. - Prueba que el mensaje fue enviado por la parte especfica. Protocolos de Seguridad de la Informacin Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de dispositivos para ejercer una confidencialidad, integridad, autenticacin y el no repudio de la informacin. Se componen de: Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes un mensaje es enviado por el emisor lo que hace es transposicionar o ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor. Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del mensaje el significado del mensaje y saber cundo se va enviar el mensaje. Identificacin (Autentication). Es una validacin de identificacin es la tcnica mediante la cual un proceso comprueba que el compaero de comunicacin es quien se supone que es y no se trata de un impostor. Planificacion de la seguridad El propsito del plan de seguridad del sistema es proporcionar una visin general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Los responsables de la ejecucin y gestin de sistemas de informacin deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas. El plan de respuesta a incidentes puede ser dividido en cuatro fases: Accin inmediata para detener o minimizar el incidente Investigacin del incidente Restauracin de los recursos afectados Reporte del incidente a los canales apropiados Consideraciones legales Los planes de seguridad deberan ser desarrollados con miembros del equipo de asesora jurdica o alguna forma de consultora general. De la misma forma en que cada compaa debera tener su propia poltica de seguridad corporativa, cada compaa tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales estn ms all del mbito de este documento, pero se mencionan debido a que la metodologa para llevar a cabo el anlisis post-mortem, ser dictado, al menos en parte, por la consultora jurdica. La consultora general puede alertar al personal tcnico de las ramificaciones legales de una violacin; los peligros de que se escape informacin personal de un cliente, registros mdicos o financieros; y la importancia de restaurar el servicio en ambientes de misin crtica tales como hospitales y bancos.