Protegiendo la Información: Activos, Seguridad y Riesgos

Enviado por Chuletator online y clasificado en Otras materias

Escrito el en español con un tamaño de 4,79 KB

Definiendo la Información y su Seguridad

La información es un activo valioso para cualquier organización, similar a otros activos importantes del negocio, y requiere una protección adecuada según la norma ISO/IEC 17799.

La seguridad, aunque abstracta, puede entenderse como una sensación de protección que varía según el contexto, las fortalezas, debilidades y amenazas presentes.

La seguridad de la información se enfoca en proteger la información de diversas amenazas para asegurar la continuidad del negocio, minimizar daños y maximizar el retorno de inversión. Esto se logra mediante la implementación de controles que incluyen políticas, procedimientos, recursos humanos, hardware y software.

Principios de la Seguridad de la Información

La seguridad de la información se basa en tres pilares fundamentales:

  • Confidencialidad: La información solo debe ser accesible por personas autorizadas.
  • Integridad: El contenido de la información debe permanecer inalterado, a menos que sea modificado por personal autorizado y registrado para auditorías.
  • Disponibilidad: La información debe estar siempre disponible para ser procesada por personas autorizadas.

Además, se deben considerar:

  • Autenticidad: Asegurar el origen de la información, validando al emisor para evitar suplantaciones.
  • No repudio: Evitar que una entidad que envió o recibió información niegue haberlo hecho.

Necesidades de la Seguridad de la Información

  • Asegurar la continuidad de la empresa.
  • Mantener la competitividad, rentabilidad, recursos generales, cumplimiento legal e imagen comercial.
  • Minimizar riesgos.
  • Maximizar oportunidades de negocio.

Evidencia de la Necesidad de Seguridad

  1. El número de vulnerabilidades reportadas a la base de datos Buqtraq se ha cuadruplicado desde 1998.
  2. El comité editorial "Common Vulnerabilities and Exposures" (CVE) ha publicado más de 1000 vulnerabilidades desde 1999.
  3. El Instituto de Seguridad Informática (Computer Security Institute) y el FBI han comprobado que el 90% de las entidades analizadas sufrieron ataques informáticos en el último año.

Recursos a Proteger

Recursos de Información

Bases de datos, archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos y planes de continuidad.

Recursos de Software

Software de aplicaciones, sistemas, herramientas de desarrollo y utilitarios.

Activos Físicos

Equipamiento informático, equipos de comunicaciones, fax, medios magnéticos, mobiliario y lugares de emplazamiento.

Servicios

Servicios informáticos, comunicaciones, servicios generales como calefacción, iluminación, energía eléctrica y aire acondicionado.

Recursos Humanos

Activos en general de Recursos Humanos.

Vulnerabilidades y Amenazas

Vulnerabilidades

Una vulnerabilidad es una debilidad en la seguridad de la organización, como:

  • Logon de Sistema Operativo
  • Protocolos de Comunicación
  • Amistosidad de Programas
  • Desactualización

Amenazas

Una amenaza es una declaración intencionada de causar daño (virus, acceso no autorizado, robo) o eventos naturales que pueden generar daños o pérdidas. Se deben identificar las amenazas relevantes y evaluar su origen (interno o externo).

Riesgo y Control

La evaluación de riesgos considera el impacto potencial de una falla de seguridad en el negocio (confidencialidad, integridad, disponibilidad) y la probabilidad de ocurrencia (amenazas, vulnerabilidades, controles).

Proceso de Gestión de Riesgos

El proceso incluye:

  • Análisis de Riesgo: ¿Qué proteger? ¿De quién? ¿Cómo?
  • Implementación de Controles
  • Comprobar la efectividad de los controles
  • Reflejar cambios en las prioridades de la empresa
  • Considerar nuevas amenazas y vulnerabilidades

Lammer vs. Wannabe

Lammer: Persona que utiliza recursos de la comunidad Underground sin aportar nada a cambio.

Wannabe: Persona que aspira a ser hacker pero aún le falta conocimiento.

Clasificación de Amenazas

Las amenazas pueden clasificarse en:

  • Fraude Informático
  • Intrusiones
  • Código Malicioso
  • Software Ilegal
  • Catástrofes Naturales
  • Error Humano
  • Amenazas Físicas

Es crucial que los profesionales de seguridad conozcan las amenazas actuales y se mantengan actualizados sobre las nuevas.

Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
ISO/IEC 17799 riesgos amenazas confidencialidad activos de información seguridad de la información vulnerabilidades controles Modulo