Políticas de Seguridad Informática

Políticas de Seguridad Informática

Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización, también describen cómo se debe tratar un determinado problema o situación

Las políticas pueden considerarse como un conjunto de leyes obligatorias propias de una organización, y son dirigidas a un público mayor que las normas pues las políticas proporcionan las instrucciones generales, mientras que las normas indican requisitos técnicos específicos. Las normas, por ejemplo, definirían la cantidad de bits de la llave secreta que se requieren en un algoritmo de cifrado.

Una política de seguridad es un conjunto de reglas y prácticas que regulan la manera en que se deben dirigir, proteger  y distribuir los recursos en una organización para llevar a cabo los objetivos de seguridad informática de la misma. 

Objetivo de una política de seguridad

Tienen como objetivo principal es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan  ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.

Principios fundamentales de las políticas de seguridad

Son las ideas principales a partir de las cuales son diseñadas las políticas de seguridad.

Los principios fundamentales son: responsabilidad individual, autorización, mínimo privilegio, separación de obligaciones, auditoría y redundancia.

Responsabilidad individual

Este principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos, aun  si tiene o no conciencia de las consecuencias.

Autorización

Son las reglas explícitas acerca de quién y de qué manera puede utilizar los recursos.

Mínimo privilegio

Este principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo. Además de ser una medida de seguridad, también facilita el soporte y mantenimiento de los sistemas.

Separación de obligaciones

Las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado. Este principio junto con el de mínimo privilegio reducen la posibilidad de ataques a la seguridad, pues los usuarios sólo pueden hacer uso de los recursos relacionados con sus actividades, además de que facilita el monitoreo y vigilancia de usuarios, permitiendo registrar y examinar sus acciones.

Auditoría  

Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos, deben ser monitoreados desde el inicio y hasta después de ser terminado el proceso.

Además es importante considerar que una auditoría informática busca verificar que las actividades que se realizan así como las herramientas instaladas y su configuración son acordes al esquema de seguridad informática realizado y si éste es conveniente a la seguridad requerida por la empresa.

Redundancia

Trata entre otros aspectos sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos. En este sentido se puede decir que a través de los respaldos se duplica información, y lo mismo se puede realizar en diferentes aspectos, como por ejemplo: en cuanto a energía eléctrica, una planta de luz para garantizar que opere en casos de emergencia, servidores de datos que entren en operación cuando el primario sufra una avería, etcétera, de manera tal que la redundancia se considera en aquellos casos o servicios que se vuelven imprescindibles para la empresa y que no pueden suprimirse pase lo que pase.

¿Cuales son las políticas de seguridad informática?

Las mas importantes son:

Políticas para la confidencialidad

Desde el primer capítulo de esta investigación, se ha mencionado la necesidad de mantener el control sobre quién puede tener acceso a  la información (ya sea a los documentos escritos o a los medios electrónicos) pues no siempre queremos que la información esté disponible para todo aquel que quiera obtenerla.

Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.

Políticas para la integridad

La política de integridad está orientada principalmente a preservar la integridad antes que la confidencialidad, esto se ha dado principalmente porque en muchas de las aplicaciones comerciales del mundo real es más importante mantener la integridad de los datos pues se usan para la aplicación de actividades automatizadas aún cuando en otros ambientes no es así, como en los ámbitos gubernamental o militar.

¿Como abordar la implementar de políticas de seguridad informática?

Las políticas de seguridad son un conjunto de normas y procedimientos que tienen por objetivo garantizar la seguridad en cada proceso en los que estén involucrados. Esto es aplicable a todos los procesos llevados a cabo en una organización, incluso los servicios de seguridad (Confidencialidad, autenticación, integridad, no repudio, control de acceso, disponibilidad) son diseñados con base en estos documentos.

Para implementar políticas de seguridad es necesario contar con un esquema que permita organizar adecuadamente su aplicación:

Publicación y Difusión de las Políticas de Seguridad

Como todos los documentos creados por una organización, se debe decidir correctamente hacia qué grupos van dirigidas las políticas de seguridad, por qué medios se van a dar a conocer, si se desea que otros grupos puedan conocer su contenido.

El objetivo principal de la publicación y difusión es que el grupo objetivo entienda en qué consisten las políticas  y se cree conciencia sobre su importancia a través de pláticas y talleres para tal fin. 

Procedimientos y Planes de Contingencia

Solo cuando una organización toma conciencia de lo importante que es la seguridad de sus recursos incluyendo sus tecnologías de la información, es cuando empieza a diseñar y establecer medidas de seguridad que tienen por objetivo protegerla de diversas situaciones perjudiciales.

Aunque prevenir éstos desastres es de vital importancia, tampoco se puede descuidar la casi inevitable eventualidad de que sucedan, para ello también se necesita formular y establecer una serie de procedimientos que permitan enfrentar los problemas y posteriormente restaurar las condiciones normales de operación del área afectada.

Procedimientos Preventivos

Contempla todos los procedimientos antes de que se materialice una amenaza, su finalidad es evitar dicha materialización.

Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.

Las actividades que se realizan en este punto son las siguientes:

-Copias de seguridad de las bases de datos y otros tipos de documentos con información indispensable para la organización.

-Instalación de dispositivos de seguridad tales como cerraduras, alarmas, puertas electrónicas, cámaras de seguridad, software de protección para los equipos de cómputo, entre otros.

-Inspeccionar y llevar un registro constante del funcionamiento y estado de los recursos informáticos, la infraestructura y las condiciones del edificio.

-Instauración de servicios de seguridad, como líneas telefónicas de emergencia, extintores, construcción de rutas de emergencia (Entrada y salida), plantas eléctricas de emergencia, etc.

-Establecer un centro de servicio alternativo que cuente con los recursos necesarios para continuar las operaciones de la organización hasta el momento en que el centro de trabajo normal pueda ser usado en condiciones normales.

-Capacitación del personal en el uso adecuado de las tecnologías informáticas, en le ejecución correcta de sus labores y en la ejecución de los procedimientos de emergencia.

Procedimientos Correctivos

Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los daños producidos por un desastre, ataque u otra situación desfavorable y  restaurar el funcionamiento normal del centro de operación afectado.

Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.

Planes de Contingencia

El Plan de Contingencias es el instrumento de gestión para el manejo de las Tecnologías de la Información y las Comunicaciones, contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres  y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas. 

El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia

Evaluación de riesgos

El análisis de riesgos implica más que el hecho de calcular la posibilidad de que ocurran cosas negativas.

• Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).

• Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.

• Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de los riesgos:

• "¿Qué puede ir mal?"
• "¿Con qué frecuencia puede ocurrir?"
• "¿Cuáles serían sus consecuencias?"
• "¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
• "¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuanto tiempo?"
• "¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
• "¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"
• "¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
• "¿Se tiene control sobre las operaciones de los distintos sistemas?"
• "¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
• "¿A que se llama información confidencial y/o sensitiva?"
• "¿La información confidencial y sensitiva permanece así en los sistemas?"
• "¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
• "¿A quien se le permite usar que recurso?"
• "¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
• "¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
• "¿Cómo se actuará si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tipo de Riesgo	Factor
Robo de hardware	Alto
Robo de información	Alto
Vandalismo	Medio
Fallas en los equipos	Medio
Virus Informáticos	Medio
Equivocaciones	Medio
Accesos no autorizados	Medio
Fraude	Bajo
Fuego	Muy Bajo
Terremotos	Muy Bajo

Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado.

Estrategias de seguridad

Para establecer estrategias adecuadas, es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni mas ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores. Por ello es necesario considerar, que el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.

La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar esta estrategia.

La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.

Con respecto a la postura que puede adoptarse ante los recursos compartidos:

• Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida.
• Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán.

Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no.

Actualmente, y "gracias" a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada.

Seguridad Física y Lógica

Seguridad Física: 

Es la aplicación de un conjunto de barreras  físicas y procedimientos de control para enfrentar amenazas físicas que puedan ocasionar daños en el hardware.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el sistema. Las principales amenazas que se prevén son:

• Desastres naturales, incendios accidentales y cualquier variación producida por las condiciones ambientales.
• Amenazas ocasionadas por el hombre como robos o sabotajes.
• Disturbios internos y externos deliberados.

Para mantener el control efectivo, la evaluación permanentemente la seguridad física del sistema es la base para comenzar a integrar la seguridad como función primordial del mismo. Tener controlado el ambiente y acceso físico permite disminuir siniestros y tener un medio para minimizar riesgos y luchar contra accidentes.

Seguridad Lógica: 

Es la aplicación de un conjunto de barreras y procedimientos que garanticen la protección, así como el acceso a los datos y la información contenida en un sistema.

El activo más importante de un sistema informático es la información, es por ello, que la seguridad lógica debe ser considerada como un objetivo primordial primordial dentro de cualquier organización.

La seguridad lógica debe cumplir con los siguientes objetivos:

• Restringir el acceso a los programas y archivos.
• Asegurar que los usuarios puedan trabajar sin supervisión y no puedan realizar modificaciones ni a los programas ni a los archivos que no correspondan.
• Asegurar que se estén utilizando los datos, archivos y programas correctos mediante el procedimiento que se haya establecido.
• Verificar que la información transmitida sea recibida solamente por el destinatario al cual ha sido enviada y que la información recibida sea la misma que se transmitió.
• Contar con planes alternativos de emergencia para la transmisión de la información.

Identificación y Autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.

Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:

- Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc.

- Algo que la persona posee: por ejemplo una tarjeta magnética.

- Algo que el individuo es y que lo identifica inequívocamente: por ejemplo las huellas digitales o la voz.

- Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

 Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

- Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa.

- Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.

- Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.

- Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación:

- Creación: permite al usuario crear nuevos archivos, registros o campos.

- Búsqueda: permite listar los archivos de un directorio determinado.

Control de Acceso Interno

- Sincronización de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada.

Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario.

Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor.

Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad.

- Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen.

Encriptación: La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso. Este tema será abordado con profundidad en el Capítulo sobre Protección del presente.

Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.

Límites sobre la Interfaz de Usuario: Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfase de usuario. Por ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones presionando teclas específicas.

Etiquetas de Seguridad: Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no son modificables.

Acciones Hostiles:

Los equipos de computo son posesiones muy valiosas para le empresas, y están expuestas al robo de da misma forma que las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen el computador de la empresa para realizar trabajos privados para las organizaciones. La información importante o confidencial puede ser fácilmente copiada. Muchas personas invierten millones en programas y archivos de información a los que dan menor protección que la que otorgan a una maquina de escribir o una calculadora. El software es una propiedad muy fácilmente sustraída, cintas y discos son fácilmente copiados sin dejar ningún rastro.

Medidas de Prevención ante Acciones Hostiles:

• Diseñar muebles para ordenadores de forma que se pueda asegurar fácilmente el equipo y sus periféricos.
• Creación de equipos de seguridad encargados de establecer y comprobar las técnicas de seguridad de los computadores. Este equipo debe estar compuesto por los encargados de los procesamientos de datos, seguridad, auditoria y usuario.
• Ejecución de análisis de riesgos en los sistemas que abarquen perdidas potenciales por accidentes, así como delitos intencionados.
• Realizar copias de seguridad tanto dentro como fuera de la organización para garantizar el resguardo de la información.
• Diseñar una lista de las aplicaciones de los computadores con posibles vulnerabilidades, que permitan diseñar planes y mecanismo de defensa.

Control de Acceso:

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Entre los mecanismo de control de acceso más utilizados se encuentran:

- Roles: El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.

- Transacciones: También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.

- Limitaciones a los Servicios: Son restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.

- Modalidad de Acceso

- Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.

Glosario de Términos

Cuando se habla se Seguridad Informática, se hace referencia a la habilidad de identificar y eliminar las vulnerabilidades, y salvaguardar la ventaja organizacional, esto incluye información y equipos físicos, tales como los computadores. Cuando se trata de la seguridad de una organización o empresa, esta puede variar de acuerdo a las necesidades que presenta, por ellos cualquier organización que posea una red debe contar con un conjunto de normas y políticas dirigidas a conveniencia. Para comprender mejor en que consiste la seguridad informática en necesario conocer algunos términos:

Sistema Informático: Es el resultado de la integración de cuatro elementos importantes: hardware, software, datos y usuarios, para hacer posible el procesamiento de los datos de forma automática mediante el uso del computador.

Datos: Son el conjunto de símbolos que representan situaciones, condiciones o valores, y son la materia prima que es procesada para producir la información.

Información: Es el resultado del procesamiento o transformación de los datos. Esta información es significativa para el usuario; es almacenada y procesada por un computador, independientemente si están conectados o no a un sistema de redes. 

Activo: Es todo elemento que forma parte del proceso de la comunicación, partiendo desde la información, el emisor, el medio por el cual ha de transmitirse, hasta llegar a su receptor. Son elementos que la seguridad debe mantener protegidos.

Sistema de Seguridad: Es un software que instala en el computador con la finalidad de evitar accesos no autorizados, proteger la intimidad, así como otros derechos individuales.

Medidas de Seguridad: Es todo aquel conjunto de prácticas que al ser integradas constituyen una solución eficaz de la seguridad de la información.

Seguridad Informática: Es la disciplina que se encarga de diseñar las normas, procedimientos, métodos y técnicas, dirigidas a promover condiciones seguras y confiables para el procesamientos de los datos dentro de un sistema informático. 

Seguridad Lógica: Hace referencia a la seguridad en el uso de software y los sistemas, la protección de los datos, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información; involucra las medidas que establecen los administradores de recursos, para minimizar los riesgos de seguridad.

Seguridad Física: Son todos aquellos mecanismos de prevención y detección, implementados para proteger el hardware y los medios de almacenamiento de los datos.

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático. 

Integridad: Hace referencia a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. 

Disponibilidad: Es la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático.

Autenticidad: Es el mecanismo que permite conocer si la persona que esta accediendo a un sistema, es realmente quien debe acceder y no una persona indebida.

Factor de Riesgo: Es la existencia de elementos, fenómenos, ambiente y acciones humanas que poseen una capacidad potencial de producir daños y cuya probabilidad de ocurrencia depende de la eliminación y control del elemento nocivo.

Factor Ambiental: Son factores externos tales como, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros.

Factor Tecnológico: Pueden ser de diversos orígenes, fallas de hardware, software, aire acondicionado, servicio eléctrico, ataques por virus informáticos.

Factor Humano: Dentro de ellos se encuentran hurtos, adulteraciones, fraude, modificaciones, revelación, perdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas entre otros.

Virus Informático: Es un programa de computación que se reproduce a sí mismo y esta diseñado de forma malintencionada para alterar el funcionamiento de un sistema sin permiso y sin consentimiento del usuario. Pueden pasar desapercibidos, y van desde inofensivos hasta avanzados que causan la inestabilidad del sistema.

Auto-reproducción: Es la capacidad que tiene el programa de replicarse, es decir hacer copias de sí mismo, sin intervención del usuario.

Infección: Es la capacidad que tiene el código de alojarse en otros programas, distintos al portador original.

Virus de Internet: Se alojan en el código de las páginas web, cuando el usuario ingresa al sitio, el virus se descarga y ejecuta en el sistema, pudiendo modificar o destruir la información almacenada.

Troyanos: Es un software malicioso que se presenta al usuario como un programa legítimo e inofensivo, pero una vez ejecutado, otorga al atacante acceso remoto al equipo infectado.

Gusanos: Son programas que se copian en archivos distintos en cadena hasta crear múltiples replicas y tienen como objetivo colapsar el sistema.

Hackers: Persona con conocimientos técnicos en el área informática y que dirige sus habilidades para invadir sistemas a los que no tiene acceso autorizado.

Crackers: Persona con avanzados conocimientos técnicos en informática y que enfoca sus habilidades hacia la invasión de sistemas con el fin de destruirlo parcialmente u obtener beneficios personales.

Encriptación o cifrado de datos: Es el proceso que se sigue para enmascarar los datos, con el objetivo de que sean incomprensibles para cualquier agente no autorizado.

Programas antivirus: Son programas que ejercen el control preventivo, detective y correctivo sobre ataques de virus a un sistema. 

Programas Firewall: Son programas que ejercen el control preventivo y detectivo sobre intrusiones no deseadas a un sistema. 

Tomando en cuenta los conceptos anteriormente expuestos, podemos observar que la seguridad informática tiene como premisa primordial la preservación de la integridad de la información así como del hardware, evitando para ello cualquier tipo de intrusión o ataque a través de virus informáticos que puedan de una forma u otra poner en riesgo el valor más grande con el que cuenta un sistema, la información, por lo que deben implementarse normativas con la finalidad de proteger y garantizar la disponibilidad de los datos de un sistema informático dentro de cualquier organización.  

 

Análisis de Riesgo Informáticos

Análisis de Riesgo

Comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como; su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Para adentrarnos en el tema es importante conocer algunos conceptos previos:

Amenaza. Es un evento que puede causar un incidente de seguridad en una empresa u organización produciendo pérdidas o daños potenciales en sus activos.

Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización de una o varias amenazas a un activo.

Riesgo. Es un incidente o situación, que ocurre en un sitio concreto en un intervalo de tiempo determinado, con consecuencia negativas o positivas que pueden afectar el cumplimiento de los objetivos.

Impacto: Es la medición de las consecuencias al materializar las amenazas.