SEGURIDAD DE LA INFORMACION

Antes de hablar sobre este tema definamos el termino informacin:

INFORMACION: Activo que tiene valor y por ende requiere una proteccin adecuada.
Este puede estar:
Impresa o escrito en un papel
Almacenado electrnicamente
Transmitida por correo o medios electrnicos
Mostrada en filmes
Hablada en conversacin
Su proteccin ser dependiendo de la forma en cmo la informacin este dada.
CONCEPTO DE SEGURIDAD DE LA INFORMACION
Conjunto de medidas preventivas que llevan acabo las organizaciones y sistemas
tecnolgicos para proteger y resguardar la informacin, no debemos confundirlo con
seguridad informtica ya que esta solo protege la informacin en el medio informtico
y cuando hablamos de seguridad de informacin abarca todo tipo de informacin no
solo informtico.
CARACTERISTICAS DE LA SEGURIDAD DE LA
INFORMACION
CONFIDENCIALIDAD: Solo personas autorizadas
tienen el acceso a la informacin.
INTEGRIDAD: La informacin y su mtodo de
proceso debe ser exacta y completa.
DISPONIBILIDAD: Solo usuarios autorizados tienen
el acceso a la informacin siempre y cuando estos lo
requieran.

CAUSAS DE LA SEGURIDAD DE LA INFORMACION
Debido a la alta gama de amenazas, tanto de orden fortuito como destruccin,
incendio o inundaciones, como de orden deliberado tal como fraude, espionaje,
sabotaje, vandalimo es que las organizaciones se ven obligadas a aplicar polticas de
seguridad, mecanismos de seguridad, planificacin de seguridad para hacer frente a
estas amenazas que van aumentando de acuerdo a como va aumentando la
tecnologa en nuestro medio, estas amenazas aumentan debido a distintos factores
entre ellos:
a) Un alto crecimiento de las redes y usuarios interconectados.
b) Una inmadurez de las nuevas tecnologas
c) Nuevas tcnicas de ataque distribuido como ejemplo el DDoS
Estas amenazas afectan de forma directa a la preservacin de la seguridad de la
informacin asi tenemos:
a) Interceptacion pasiva de la informacin esto amenaza a la confidencialidad.
b) Corrupcion o Destruccion de la informacin esto amenaza a la integridad
c) Suplantacion de origen esto amenaza a la disponibilidad.
A continuacin veremos las acciones que las organizaciones llevan a cabo para
proteger de manera radical su informacin:
Servicios de seguridad
Su objetivo consiste en mejorar la seguridad de los sistemas de procesamiento de
datos y transferencia de informacin en las organizaciones, estn diseados para
contrarrestar a las amenazas usando mecanismos para conseguirlo.

a) No repudio o IRRENUNCIABILIDAD

Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades
implicadas en la comunicacin, de haber participado en toda o parte de la
comunicacin.

b) Protocolos de Seguridad de la Informacin

Son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la
comunicacin de dispositivos para ejercer una confidencialidad, integridad,
autenticacin y el no repudio de la informacin. Se componen de:

Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes un mensaje es
enviado por el emisor lo que hace es ocultar el mensaje hasta que llega a su destino y
puede ser descifrado por el receptor.

Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del
mensaje el significado del mensaje y saber cundo se va enviar el mensaje.

Identificacin (Autenticacin). Es una validacin de identificacin es la tcnica
mediante la cual un proceso comprueba que el compaero de comunicacin es quien
se supone que es y no se trata de un impostor.

PLANIFICACION DE LA SEGURIDAD
Su objetivo es proporcionar una visin general de los requisitos de seguridad del
sistema y se describen los controles en el lugar o los previstos para cumplir esos
requisitos. El plan de seguridad del sistema tambin delinea las responsabilidades y el
comportamiento esperado de todos los individuos que acceden al sistema.
Los responsables de la ejecucin y gestin de sistemas de informacin deben
participar en el tratamiento de los controles de seguridad que deben aplicarse a sus
sistemas.

El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Accin inmediata para detener o minimizar el incidente
Investigacin del incidente
Restauracin de los recursos afectados
Reporte del incidente a los canales apropiados



MANEJO DE RIESGOS

Conjunto de acciones que las organizaciones realizan para llevar a cabo un dominio
contra los riesgos que afectan la seguridad de su informacin. Para ello se cuenta con
las siguientes tcnicas:

Evitar: La organizacin evita el riesgo cuando impide la exposicin de su informacion.
Esta tcnica tiene ms desventajas que ventajas ya que la empresa podra abstenerse
de aprovechar muchas oportunidades.

Reducir: Debido a que el riesgo no puede evitarse este es reducido hasta su nivel mas
bajo posible. Se consigue optimizando los procedimientos, la implementacin de
controles y su monitoreo constante.

Retener, Asumir o Aceptar el riesgo: Metodo comn es aceptar el riesgo y sus
consecuencias peropuede ser voluntaria o involuntaria, la voluntaria se caracteriza por
el reconocimiento de la existencia del riesgo y el acuerdo de asumir las perdidas
involucrada, la involuntaria se da cuando el riesgo es retenido inconscientemente.

Transferir: Es buscar un respaldo y compartir el riesgo con otros controles o entidades.
Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro o
para minimizar el mismo, compartindolo con otras entidades.

POLITICA DE SEGURIDAD

Conjunto de requisitos definidos por los responsables directos o indirectos de un
Sistema que indica en trminos generales qu est permitido y qu no lo est en el
rea de seguridad durante la operacin general de dicho sistema

Actores que amenazan la seguridad
Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien
puede ser informtica, electrnica o comunicaciones, es un investigador nato que
se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "informacin segura".
Un cracker es un hbil conocedor de programacin de Software y Hardware;
disea y fabrica programas de guerra y hardware para reventar software y
comunicaciones como el telfono, el correo electrnico o el control de otros
computadores remotos.
Un phreaker se caracterizan por poseer vastos conocimientos en el rea de
telefona terrestre y mvil, incluso ms que los propios tcnicos de las compaas
telefnicas; recientemente con el auge de los telfonos mviles, han tenido que
entrar tambin en el mundo de la informtica y del procesamiento de datos.
1


1
Fuente: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n



Seguridad de la informacin significa la proteccin de la informacin y de los
accesos a los sistemas de informacin, control de su uso, divulgacin,
alteracin, modificacin, lectura, registro o su destruccin.
2

El motivo o el motor para implementar medidas de proteccin, que responden a
la Seguridad de la Informacin, es el propio inters de la institucin o persona
que maneja los datos, porque la prdida o modificacin de los datos, le puede
causar un dao (material o inmaterial).
3











Concepcin de la seguridad de la informacin


2
Fuente: http://www.insemot.eu/es/lo-b%C3%A1sico-de-un-si/128-1-1-what-is-the-concept-of-
information-security-in-ireland
3
Fuente : http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/
En la seguridad de la informacin es importante sealar que su manejo est
basado en la tecnologa y debemos de saber que puede ser confidencial: la
informacin est centralizada y puede tener un alto valor. Puede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y
la pone en riesgo. La informacin es poder, y segn las posibilidades
estratgicas que ofrece tener acceso a cierta informacin, sta se clasifica
como:
Crtica: Es indispensable para la operacin de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es la materializacin de vulnerabilidades identificadas,
asociadas con su probabilidad de ocurrencia, amenazas expuestas, as
como el impacto negativo que ocasione a las operaciones de negocio.
Seguridad: Es una forma de proteccin contra los riesgos.
Precisamente la reduccin o eliminacin de riesgos asociado a una cierta
informacin es el objeto de la seguridad de la informacin y la seguridad
informtica. Ms concretamente, la seguridad de la informacin tiene como
objeto los sistemas el acceso, uso, divulgacin, interrupcin o destruccin no
autorizada de informacin. Los trminos seguridad de la informacin, seguridad
informtica y garanta de la informacin son usados frecuentemente como
sinnimos porque todos ellos persiguen una misma finalidad al proteger
la confidencialidad, integridad y disponibilidad de la informacin. Sin
embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles.
Estas diferencias radican principalmente en el enfoque, las metodologas
utilizadas, y las zonas de concentracin. Adems, la seguridad de la
informacin involucra la implementacin de estrategias que cubran los
procesos en donde la informacin es el activo primordial. Estas estrategias
deben tener como punto primordial el establecimiento de polticas, controles de
seguridad, tecnologas y procedimientos para detectar amenazas que puedan
explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que
ayuden a proteger y salvaguardar tanto informacin como los sistemas que la
almacenan y administran.
Por ms de veinte aos la Seguridad de la Informacin ha declarado que
la confidencialidad, integridad y disponibilidad (conocida como la Trada
CIA, del ingls: "Confidentiality, Integrity, Availability") son los principios
bsicos de la seguridad de la informacin.
La correcta Gestin de la Seguridad de la Informacin busca establecer y
mantener programas, controles y polticas, que tengan como finalidad
conservar la confidencialidad, integridad y disponibilidad de la
informacin, si alguna de estas caractersticas falla no estamos ante
nada seguro.
Confidencialidad
La confidencialidad es la propiedad que impide la divulgacin de
informacin a personas o sistemas no autorizados. A grandes rasgos,
asegura el acceso a la informacin nicamente a aquellas personas que
cuenten con la debida autorizacin.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere
que el nmero de tarjeta de crdito a ser transmitida desde el comprador
al comerciante y el comerciante de a una red de procesamiento de
transacciones. El sistema intenta hacer valer la confidencialidad
mediante el cifrado del nmero de la tarjeta y los datos que contiene la
banda magntica durante la transmisin de los mismos.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones
no autorizadas, no alterarlas y mantenerlas de manera exacta, tal cual
fue generada a menos que se a modificado por personal autorizado.
Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.
La disponibilidad adems de ser importante en el proceso de seguridad
de la informacin, es adems variada en el sentido de que existen varios
mecanismos para cumplir con los niveles de servicio que se requiera.
Tales mecanismos se implementan en infraestructura tecnolgica,
servidores de correo electrnico, de bases de datos, de web etc,
mediante el uso de clusters o arreglos de discos, equipos en alta
disponibilidad a nivel de red, servidores espejo, replicacin de datos,
redes de almacenamiento (SAN).
Autenticacin o autentificacin
Es la propiedad que permite identificar el generador de la informacin.
Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese
alguien el que lo ha mandado, y no una tercera persona hacindose
pasar por la otra (suplantacin de identidad). En un sistema informtico
se suele conseguir este factor con el uso de cuentas de usuario y
contraseas de acceso.









Servicios de seguridad
El objetivo de un servicio de seguridad es mejorar la seguridad de los
sistemas de procesamiento de datos y la transferencia de informacin en
las organizaciones. Los servicios de seguridad estn diseados para
contrarrestar los ataques a la seguridad y hacen uso de uno o ms
mecanismos de seguridad para proporcionar el servicio.
No repudio
Proporciona proteccin contra la interrupcin, por parte de alguna
de las entidades implicadas en la comunicacin, de haber
participado en toda o parte de la comunicacin.
- Prueba que el mensaje fue enviado por la parte especfica.
Protocolos de Seguridad de la Informacin
Los protocolos de seguridad son un conjunto de reglas que
gobiernan dentro de la transmisin de datos entre la comunicacin
de dispositivos para ejercer una confidencialidad, integridad,
autenticacin y el no repudio de la informacin. Se componen de:
Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes
un mensaje es enviado por el emisor lo que hace es
transposicionar o ocultar el mensaje hasta que llega a su destino y
puede ser descifrado por el receptor.
Lgica (Estructura y secuencia). Llevar un orden en el cual se
agrupan los datos del mensaje el significado del mensaje y saber
cundo se va enviar el mensaje.
Identificacin (Autentication). Es una validacin de identificacin es
la tcnica mediante la cual un proceso comprueba que el
compaero de comunicacin es quien se supone que es y no se
trata de un impostor.
Planificacion de la seguridad
El propsito del plan de seguridad del sistema es proporcionar una
visin general de los requisitos de seguridad del sistema y se describen
los controles en el lugar o los previstos para cumplir esos requisitos. El
plan de seguridad del sistema tambin delinea las responsabilidades y el
comportamiento esperado de todos los individuos que acceden al
sistema.
Los responsables de la ejecucin y gestin de sistemas de informacin
deben participar en el tratamiento de los controles de seguridad que
deben aplicarse a sus sistemas.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Accin inmediata para detener o minimizar el incidente
Investigacin del incidente
Restauracin de los recursos afectados
Reporte del incidente a los canales apropiados
Consideraciones legales
Los planes de seguridad deberan ser desarrollados con miembros del
equipo de asesora jurdica o alguna forma de consultora general. De la
misma forma en que cada compaa debera tener su propia poltica de
seguridad corporativa, cada compaa tiene su forma particular de
manejar incidentes desde la perspectiva legal. Las regulaciones locales,
de estado o federales estn ms all del mbito de este documento, pero
se mencionan debido a que la metodologa para llevar a cabo el anlisis
post-mortem, ser dictado, al menos en parte, por la consultora jurdica.
La consultora general puede alertar al personal tcnico de las
ramificaciones legales de una violacin; los peligros de que se escape
informacin personal de un cliente, registros mdicos o financieros; y la
importancia de restaurar el servicio en ambientes de misin crtica tales
como hospitales y bancos.