SEGURIDAD DE LA

INFORMACION

Jorge A. Rojas Hernndez

Liliana Prez Barajas
Ingeniera de Sistemas III
Datos
F.U.S.M

Se
entiende
porseguridad
de
la
informacina
todas
aquellas
medidas
preventivas y reactivas del hombre, de las
organizaciones
y
de
los
sistemas
tecnolgicos que permitan resguardar y
proteger lainformacinbuscando mantener
laconfidencialidad,
ladisponibilidadeIntegridad de la misma.

El concepto de seguridad de la informacin

no debe ser confundido con el deseguridad
informtica, ya que este ltimo slo se
encarga de la seguridad en el medio
informtico, pudiendo encontrar informacin

CONCEPCION DE LA SEGURIDAD
DE LA INFORMACIN
La informacin es poder, y segn las posibilidades estratgicas
que ofrece tener a acceso a cierta informacin, sta se clasifica
como:

Crtica: Es indispensable para la operacin de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y
seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que
pueden ocurrir sin previo aviso y producir numerosas prdidas
para las empresas. Los riesgos ms perjudiciales son a las
tecnologas de informacin y comunicaciones.
Seguridad: Es una forma de proteccin contra los riesgos.

CONFIDENCIALIDAD
Es la propiedad de prevenir la
divulgacin de informacin a
personas
o
sistemas
no
autorizados.
La
confidencialidad es el acceso
a la informacin nicamente
por personas que cuenten con
la debida autorizacin.

INTEGRIDAD
Es
la
propiedad
que
busca
mantener los datos libres de
modificaciones no autorizadas. (No
es igual aintegridad referencialen
bases de datos.) Grosso modo, la
integridad es el mantener con
exactitud la informacin tal cual fue
generada, sin ser manipulada o
alterada por personas o procesos no
autorizados.

DISPONIBILIDAD
Es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes
deben acceder a ella, ya sean personas, procesos o
aplicaciones. Grosso modo, la disponibilidad es el
acceso a la informacin y a los sistemas por
personas autorizadas en el momento que lo
requieran.

Garantizar la disponibilidad implica tambin la

prevencin de ataque dedenegacin de servicio.
Para poder manejar con mayor facilidad la seguridad
de la informacin, las empresas o negocios se
pueden ayudar con un sistema de gestin permita
conocer, administrar y minimizar los posibles riesgos

AUTENTICACIN
AUTENTIFICACIN
Es la propiedad que me permite identificar
el generador de la informacin. Por
ejemplo al recibir un mensaje de alguien,
estar seguro que es de ese alguien el que
lo ha mandado, y no una tercera persona
hacindose pasar por la otra (suplantacin
de identidad). En un sistema informtico
se suele conseguir este factor con el uso
de cuentas de usuario y contraseas de
acceso.

SERVICIOS DE
SEGURIDAD
No Repudio
Proporciona proteccin contra la interrupcin, por parte de alguna de las
entidades implicadas en la comunicacin, de haber participado en toda o
parte de la comunicacin. El servicio de Seguridad de No repudio o
irrenunciabilidad est estandarizado en la ISO-7498-2
Protocolos de Seguridad de la Informacin

Los protocolos de seguridad son un conjunto de reglas que gobiernan

dentro de la transmisin de datos entre la comunicacin de dispositivos
para ejercer una confidencialidad, integridad, autenticacin y el no
repudio de la informacin. Se componen de:

Criptografa(Cifrado de datos).
Lgica (Estructura y secuencia).
Autenticacin.

PLANIFICACIN DE
LA SEGURIDAD
Los administradores de programas, los
propietarios del sistema, y personal de
seguridad en la organizacin debe
entender el sistema de seguridad en el
proceso
de
planificacin.
Los
responsables de la ejecucin y gestin de
sistemas de informacin deben participar
en el tratamiento de los controles de
seguridad que deben aplicarse a sus
sistemas.

Creacin de un Plan de respuesta a incidentes

El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Accin inmediata para detener o minimizar el incidente

Investigacin del incidente
Restauracin de los recursos afectados
Reporte del incidente a los canales apropiados
Un plan de respuesta a incidentes tiene un nmero de requerimientos,
incluyendo:

Un equipo de expertos locales (un Equipo de respuesta a

emergencias de computacin)
Una estrategia legal revisada y aprobada
Soporte financiero de la compaa
Soporte ejecutivo de la gerencia superior
Un plan de accin factible y probado
Recursos fsicos, tal como almacenamiento redundante, sistemas en
stand by y servicios de respaldo

MANEJO DE RIESGOS
El manejo de riesgos, conlleva una estructura
bien definida, con un control adecuado y su
manejo, habindolos identificado, priorizados
y analizados, a travs de acciones factibles y
efectivas. Para ello se cuenta con las
siguientes tcnicas de manejo del riesgo:

Evitar
Reducir
Retener, Asumir o Aceptar el riesgo
Transferir.

MEDIOS DE TRANSMISION DE ATAQUES A

LOS SISTEMAS DE SEGURIDAD
El mejor en soluciones de su clase permite una respuesta rpida a las
amenazas emergentes, tales como:

Malware propagacin por e-mail y Spam.

La propagacin de malware y botnets.
Los ataques de phishing alojados en sitios web.
Los ataques contra el aumento de lenguaje de marcado extensible
(XML) de trfico, arquitectura orientada a servicios (SOA) y Web
Services.
Los delitos cometidos mediante el uso de la computadora han crecido en
tamao, forma y variedad. Los principales delitos hechos por
computadora o por medio de computadoras son:

Fraudes
Falsificacin
Venta de informacin

ACTORES QUE
AMENAZAN LA
Unhacker SEGURIDAD
Uncracker
Unlammer
Uncopyhacher'
Un"bucanero"
Unphreaker
Unnewbieo "novato de red"
Unscript kiddieoskid kiddie
Untontoodescuidado

TECNOLOGAS
Las principales tecnologas referentes a la seguridad de la
informacin en informtica son:

Cortafuegos
Administracin de cuentas de usuarios
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexin nica "Single Sign on- SSO"
Biomtria
Cifrado
Cumplimiento de privacidad
Acceso remoto

ESTNDARES DE
SEGURIDAD DE LA
INFORMACIN
ISO/IEC 27000-series
ISO/IEC 27001
ISO/IEC 17799

Otros estndares relacionados

COBIT
ISACA
ITIL

CERTIFICACIONES
CISM-CISM

Certificaciones: Certified
Security Manager
CISSP-CISSP Certificaciones: Security
Certification
GIAC-GIAC Certificaciones: Global
Assurance Certification

Information
Professional
Information

Certificaciones independientes en
seguridad de la informacin:

CISA- Certified Information Systems Auditor,ISACA

CISM- Certified Information Security Manager,ISACA
Lead Auditor ISO27001- Lead Auditor ISO 27001,BSI
CISSP- Certified Information Systems Security
Professional,ISC2
SECURITY+,COMPTia- Computing Technology Industry
Association
CEH- Certified Ethical Hacker
PCI DSS- PCI Data Security Standard

GRACIAS!