Monografia Seguridad

UNIVERSIDAD NACIONAL JOS F.
SNCHEZ CARRIN
FACULTAD
DE
INGENIERA
ESCUELA
DE
INGENIERA INFORMTICA
SEGURIDAD
DE LA
INFORMACIN
PROF.: ING. JUAN C. MEYHUAY FIDEL
Monografa como parte de la asignatura de Tecnologas de Informacin presentan las alumnas:

Gutierrez Palacios, Gina Nicho Diaz, Pamela Palma Medina, Karla
Seguridad de la Informacin
MAYO, 2012
U N J F S C - F I - I n g e n i e r a
I n f o r m t i c a
P g i n a
DEDICATORIA Este presente trabajo est dedicado primeramente a Dios y todas esas personas que estn a nuestro lado y que de una u otra manera nos apoyan.
I n f o r m t i c a
P g i n a
Agradecimiento: Agradecemos a todas esas personas que nos brindaron informacin sobre el tema a tratar y al Docente que nos dio el tema para profundizarlo ms.
I n f o r m t i c a
P g i n a
RESUMEN
En el siguiente documento hablaremos de LA SEGURIDAD DE LA INFORMACION ya que la informacin tiene mucho ms valor que cualquier otro bien en una organizacin. El objetivo principal es el tema en cuestin. En el primer captulo nos centraremos en avance histrico ya que Desde el inicio de la civilizacin humana, siempre hubo una preocupacin con las informaciones y con los conocimientos proporcionados por ella, luego de su concepcin, seguridad, manejo de riesgo, tecnologas y estndares. En la segunda parte hablaremos de la Seguridad de la Informacin de las Empresas, como minimizar los riesgos y finalizaremos con las conclusiones del tema. de presentar los fundamentos tericos del
I n f o r m t i c a
P g i n a
I n f o r m t i c a
P g i n a
NDICE
INTRODUCCIN...................................................................................................................................................9 1. PRELIMINARES...............................................................................................................................................10 2. LA SEGURIDAD DE LA INFORMACIN..................................................................................................11 3 COMPLEMENTARIAS.....................................................................................................................................36 4 CONCLUSIONES...............................................................................................................................................37 5 GLOSARIO.........................................................................................................................................................38 6 SIGLARIO...........................................................................................................................................................39 7 BIBLIOGRAFA.................................................................................................................................................40
LISTA
DE
TABLAS:
Tabla 1.1: Partes de los preliminares de una monografa 9 Tabla 3.1: Partes de las complementarias 31
I n f o r m t i c a
P g i n a
LISTA
DE
ILUSTRACIONES
I n f o r m t i c a
P g i n a
Introduccin
En esta presente Monografa veremos la importancia de la Seguridad de la Informacin ya que nuestras sociedad depende completamente del manejo apropiado de la informacin. En esto confiamos al manejar nuestros saldos bancarios, nuestras transacciones financieras, los balances de nuestras empresas, las calificaciones profesionales o la buena imagen de un ciudadano ejemplar as como el prontuario delictivo de un criminal; la almacenamos y procesamos en sistemas de informacin generalmente apoyados en papel y crecientemente basados en cmputo automtico. Los sistemas de informacin se han constituido como una base imprescindible para el desarrollo de cualquier actividad empresarial; estos sistemas han evolucionado de forma extraordinariamente veloz, aumentando la capacidad de gestin y almacenamiento. El crecimiento ha sido constante a lo largo de las ltimas dcadas, sin embargo, esta evolucin tecnolgica tambin ha generado nuevas amenazas y vulnerabilidades para las organizaciones. La difusin de las noticias relacionadas con la seguridad informtica ha transcendido del mbito tcnico al mbito social. Por ende el conocimiento y la actualizacin constante nos permite ubicarnos en un campo, adelantarnos a los cambios y tomar decisiones a favor de proteger la informacin. Muchas empresas en la actualidad se ven afectadas por su mal manejo de informacin es por eso que en el presente trabajo le daremos a conocer toda las medidas de seguridad que debe aplicar para proteger su informacin planteando ejemplos que sern entendibles para el usuario.
I n f o r m t i c a
P g i n a
1.
Preliminares
Los preliminares no son parte del contenido de la monografa. Constituyen el cuerpo de la presentacin y estn compuestas de varias partes que se describen en la tabla 1.1.
Tabla 1.2: Partes de los preliminares de una monografa Parte Descripcin 1. Cartula: La primera pgina de esta gua tiene una propuesta de cartula. 2. Guardas: Son hojas en blanco. 3. Pgina de Esta pgina es opcional dedicatoria: 4. Pgina de Esta pgina es opcional agradecimientos: 5. Resumen: Esta gua contiene una pgina de resumen en donde se explica que incluye. 6. ndice: Lista de los contenidos del trabajo con la numeracin de las pginas correspondientes. 7. Listas ndice de cada uno de los tipos de especiales recuadros usados: Lista de tablas, Lista de ilustraciones, etc.
I n f o r m t i c a
P g i n a
1 0
SEGURIDAD DE LA INFORMACIN
Captulo I:
2.
2.1
LA SEGURIDAD DE LA INFORMACIN
DEFINICIN
I n f o r m t i c a
P g i n a
1 1
Seguridad de la Informacin Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. Ilustracin 2.1: Seguridad de la Informacin
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y trata de evitar su perdida y modificacin non-autorizado. La proteccin debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen ms requisitos como por ejemplo la autenticidad entre otros. El motivo o el motor para implementar medidas de proteccin, que responden a la Seguridad de la Informacin, es el propio inters de la institucin o persona que maneja los datos, porque la perdida o modificacin de los datos, le puede causar un dao (material o inmaterial). Entonces en referencia al ejercicio con el banco, la perdida o la modificacin errnea, sea causado intencionalmente o simplemente
U N J F S C - F I - I n g e n i e r a I n f o r m t i c a
P g i n a
1 2
Seguridad de la Informacin por negligencia humana, de algn rcord de una cuenta bancaria, puede resultar en perdidas econmicas u otros consecuencias negativas para la institucin.
2.2
HISTORIA DE LA SEGURIDAD DE LA INFORMACIN
Desde tiempo inmemorable el hombre ha resguardado y protegido con celo sus conocimientos debido a la ventaja y poder que ste le produca sobre otros hombres o sociedades. En la antigedad surgen las bibliotecas, lugares donde se poda resguardar la informacin para trasmitirla y para evitar que otros la obtuvieran, dando as algunas de las primeras muestras de proteccin de la informacin. Sun Tzu en El arte de la guerra y Nicols Maquiavelo en El Prncipe sealan la importancia de la informacin sobre los adversarios y el cabal conocimiento de sus propsitos para la toma de decisiones. Durante la Segunda Guerra Mundial se crean la mayora de los servicios de inteligencia del mundo con el fin de obtener informacin valiosa e influyente, crendose grandes redes de espionaje. Como forma de proteccin surge la contrainteligencia. Con el devenir de los aos al incrementarse el alcance de la tecnologa, el cuidado de la informacin se ha vuelto crucial para los hombres, las organizaciones y las sociedades. 2.3 CONCEPCIN DE LOS SISTEMAS DE INFORMACIN
En la seguridad de la informacin es importante sealar que su manejo est basado en la tecnologa y debemos de saber que puede ser confidencial: la informacin est centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y Ilustracin 2.3: Concepcin de la Informacin
I n f o r m t i c a
P g i n a
1 3
Seguridad de la Informacin segn las posibilidades estratgicas que ofrece tener a acceso a cierta informacin, sta se clasifica como: Crtica: Es indispensable para la operacin de la empresa. Valiosa: Es un activo de la empresa y muy valioso. Sensible: Debe de ser conocida por las personas autorizadas Existen dos palabras muy importantes que son: Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas prdidas para las empresas. Los riesgos ms perjudiciales son a las tecnologas de informacin y comunicaciones. Seguridad: Es una forma de proteccin contra los riesgos. La seguridad de la informacin comprende diversos aspectos entre ellos la disponibilidad, comunicacin, identificacin de problemas, anlisis de riesgos, la integridad, confidencialidad, recuperacin de los riesgos. En caso de que la informacin confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva lnea de productos caigan en manos de un competidor; se vuelva pblica de forma no autorizada, podra ser causa de la prdida de credibilidad de los clientes, prdida de negocios, demandas legales o incluso la quiebra de la misma. Por ms de veinte aos la Seguridad de la Informacin ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Trada CIA, del ingls: "Confidentiality, Integrity, Availability") son los principios bsicos de la seguridad de la informacin. La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener programas, controles y polticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin, si alguna de estas caractersticas falla no estamos ante nada seguro. Una vez conocidos todos estos puntos, y nunca antes, debern tomarse las medidas de seguridad oportunas. 2.3.1 Confidencialidad
Es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la informacin nicamente por personas que cuenten con la debida Ilustracin 2.3.1: Confidencialidad autorizacin.
I n f o r m t i c a
P g i n a
1 4
Seguridad de la Informacin Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la confidencialidad. La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop con informacin sensible sobre una empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin de la confidencialidad. 2.3.2 Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la informacin tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin 2.3.3 Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el momento que lo requieran. En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los controles de seguridad utilizado para protegerlo, y los canales de comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta
P g i n a
1 5
Seguridad de la Informacin disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica tambin la prevencin de ataque de denegacin de servicio. La disponibilidad adems de ser importante en el proceso de seguridad de la informacin, es adems variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnolgica, servidores de correo electrnico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. 2.3.4 Autenticacin Autentificacin
Es la propiedad que me permite identificar el generador de la informacin. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona hacindose pasar por la otra (suplantacin de indentidad). En un sistema informtico se suele conseguir este factor con el uso de cuentas de usuario y contraseas de acceso. 2.4 SERVICIOS DE SEGURIDAD
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn diseados para contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad para proporcionar el servicio. 2.4.1 Protocolos de Seguridad de la Informacin
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de dispositivos para ejercer una confidencialidad, integridad, autenticacin y el no repudio de la informacin. Se componen de: Criptografa (Cifrado de datos), se ocupa del cifrado de mensajes un mensaje es enviado por el emisor lo que hace es transposicionar o ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor.
Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupn los datos del mensaje el significado del mensaje y saber cuando se va enviar el mensaje.
P g i n a
1 6
Seguridad de la Informacin Autenticacin. Es una validacin de identificacin es la tcnica mediante la cual un proceso comprueba que el compaero de comunicacin es quien se supone que es y no se trata de un impostor.
2.5
PLANIFICACION DE LA SEGURIDAD
Hoy en da la rpida evolucin del entorno tcnico requiere que las organizaciones adopten un conjunto mnimo de controles de seguridad para proteger su informacin y sistemas de informacin. El propsito del plan de seguridad del sistema es proporcionar una visin general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la informacin, el propietario de la red, y el alto funcionario de la agencia de informacin de seguridad (SAISO). 2.5.1 Creacin de un Plan de respuesta a incidentes
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organizacin y probarlo regularmente. Un buen plan de respuestas a incidentes puede no slo minimizar los efectos de una violacin sino tambin, reducir la publicidad negativa. Desde la perspectiva del equipo de seguridad, no importa si ocurre una violacin o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un mtodo de poca confianza como lo es Internet), si no ms bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violacin a los sistemas (cualquier sistema donde se procese informacin confidencial, no esta limitado a servicios informticos) es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daos potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna. El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Accin inmediata para detener o minimizar el incidente Investigacin del incidente Restauracin de los recursos afectados Reporte del incidente a los canales apropiados
I n f o r m t i c a
P g i n a
1 7
Seguridad de la Informacin Una respuesta a incidentes debe ser decisiva y ejecutarse rpidamente. Debido a que hay muy poco espacio para errores, es crtico que se efecten prcticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodologa que fomenta la velocidad y la precisin, minimizando el impacto de la indisponibilidad de los recursos y el dao potencial causado por el sistema en peligro. Un plan de respuesta a incidentes tiene un nmero de requerimientos, incluyendo: Un equipo de expertos locales (un Equipo de respuesta a emergencias de computacin)

Una estrategia legal revisada y aprobada Soporte financiero de la compaa Soporte ejecutivo de la gerencia superior Un plan de accin factible y probado
Recursos fsicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo 2.5.1.1 Consideraciones legales Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberan ser desarrollados con miembros del equipo de asesora jurdica o alguna forma de consultora general. De la misma forma en que cada compaa debera tener su propia poltica de seguridad corporativa, cada compaa tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales estn ms all del mbito de este documento, pero se mencionan debido a que la metodologa para llevar a cabo el anlisis post-mortem, ser dictado, al menos en parte, por la consultora jurdica. La consultora general puede alertar al personal tcnico de las ramificaciones legales de una violacin; los peligros de que se escape informacin personal de un cliente, registros mdicos o financieros; y la importancia de restaurar el servicio en ambientes de misin crtica tales como hospitales y bancos. 2.5.1.2 Planes de Accin
Una vez creado un plan de accin, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementacin activa lo ms seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violacin. Aqu es donde los ejercicios prcticos son invalorables. La implementacin del plan debera ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se
P g i n a
1 8
Seguridad de la Informacin llame la atencin con respecto a algo antes de que el plan sea colocado en produccin. La respuesta a incidentes debe ir acompaada con recoleccin de informacin siempre que esto sea posible. Los procesos en ejecucin, conexiones de red, archivos, directorios y mucho ms debera ser auditado activamente en tiempo real. Puede ser muy til tener una toma instantnea de los recursos de produccin al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos sern recursos excelentes para seguir tales anomalas en un sistema. 2.6 EL MANEJO DE RIESGO
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas para manejar los posibles riegos que un activo bien puede tener dentro de los procesos en una empresa. Esta clasificacin lleva el nombre de manejo de riegos. El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habindolos identificado, priorizados y analizados, a travs de acciones factibles y efectivas. Para ello se cuenta con las siguientes tcnicas de manejo del riesgo: Evitar. El riesgo es evitado cuando la organizacin rechaza aceptarlo, es decir, no se permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que ventajas, ya que la empresa podra abstenerse de aprovechar muchas oportunidades.
Ejemplo: No instalar empresas en zonas ssmicas Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la implementacin de controles y su monitoreo constante.
Ejemplo: No fumar en ciertas reas, instalaciones elctricas anti flama, planes de contingencia. Retener, Asumir o Aceptar el riesgo. Es uno de los mtodos ms comunes del manejo de riesgos, es la decisin de aceptar las consecuencias de la ocurrencia del evento.
Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir
P g i n a
1 9
Seguridad de la Informacin las perdidas involucradas, esta decisin se da por falta de alternativas. La retencin involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de Asumir el riesgo: Con recursos propios se financian las prdidas.
Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro, o para minimizar el mismo, compartindolo con otras entidades.
Ejemplo: Transferir los costos a la compaa aseguradora 2.6.1 Medios de transmisin de ataques a los sistemas
de seguridad El mejor en soluciones de su clase permite una respuesta rpida a Ilustracin 2.6: Manejo de las amenazas emergentes, tales como: Riesgos

Malware propagacin por e-mail y Spam. La propagacin de malware y botnets. Los ataques de phishing alojados en sitios web.
I n f o r m t i c a
P g i n a
2 0
Seguridad de la Informacin Los ataques contra el aumento de lenguaje de marcado extensible (XML) de trfico, arquitectura orientada a servicios (SOA) y Web Services.
Estas soluciones ofrecen un camino a la migracin y la integracin. Como las amenazas emergentes, cada vez ms generalizada, estos productos se vuelven ms integrados en un enfoque de sistemas. En la actualidad gracias a la infinidad de posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el mbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informticos son ms latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamao, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son:

Fraudes Falsificacin Venta de informacin
Entre los hechos criminales ms famosos en los Estados Unidos estn: El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era inadecuada, cuyo error costo USD 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 aos que entrando a la computadora de la Universidad de Berkeley en California destruyo gran cantidad de archivos.
Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgndose una identificacin como un usuario de alta prioridad, y tomo el control de una embotelladora de Canad.
Tambin el caso del empleado que vendi la lista de clientes de una compaa de venta de libros, lo que causo una prdida de USD 3 millones.
Tambin el caso de estudiantes de Ingeniera electrnica donde accedieron al sistema de una Universidad de Colombia y cambiaron las notas de sus compaeros generando estragos en esta Universidad y retrasando labores, lo cual dej grandes perdidas econmicas y de tiempo.2
P g i n a
2 1
Seguridad de la Informacin Histricamente los virus informticos fueron descubiertos por la prensa el 12 de octubre Actores con una publicacin del New York Times que Ilustracin 2.6.2:de 1985, que amenazan hablaba de un virus que fue se la seguridad. distribuyo desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta grfica EGA, pero al ejecutarlo sala la presentacin pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que deca "Caste".
2.6.2
Actores que amenazan la seguridad
Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de informacin seguros, sin ser descubiertos, y tambin les da la posibilidad de difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y conozcan las debilidades de sus propios sistemas de informacin. Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrnicos e informticos. Un cracker es un hbil conocedor de programacin de Software y Hardware; disea y fabrica programas de guerra y hardware para reventar software y comunicaciones como el telfono, el correo electrnico o el control de otros computadores remotos.
Un lammer es aquella persona deseosa de alcanzar el nivel de un hacker pero su poca formacin y sus conocimientos les impiden realizar este sueo. Su trabajo se reduce a ejecutar
I n f o r m t i c a
P g i n a
2 2
Seguridad de la Informacin programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red. Un copyhacher' es una persona dedicada a falsificar y crackear hardware, especficamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los mtodos de ruptura y despus venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnologa, son aficionados a las revistas tcnicas y a leer todo lo que hay en la red. Su principal motivacin es el dinero.
Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningn tipo de formacin en el rea de los sistemas, si poseen un amplio conocimiento en rea de los negocios.
Un phreaker se caracterizan por poseer vastos conocimientos en el rea de telefona terrestre y mvil, incluso ms que los propios tcnicos de las compaas telefnicas; recientemente con el auge de los telfonos mviles, han tenido que entrar tambin en el mundo de la informtica y del procesamiento de datos.
Un newbie o "novato de red" es un individuo que sin proponrselo tropieza con una pgina de hacking y descubre que en ella existen reas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.
Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitndose a recopilar informacin de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.
Un tonto o descuidado, es un simple usuarios de de la informacion, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daa o modifica la informacion, ya sea en un mantenimiento de rutina o supervision.
2.7 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

Un trmino a tomar en cuenta en el rea de la seguridad de la informacin es su Gobierno dentro de alguna organizacin empezando por determinar los riesgos que le ataen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la informacin y el uso efectivo de recursos cuya gua principal sean los objetivos del negocio, es
P g i n a
2 3
Seguridad de la Informacin decir, un programa que asegure una direccin estratgica enfocada a los objetivos de una organizacin y la proteccin de su informacin.
2.8 TECNOLOGAS
Las principales tecnologas referentes a la seguridad de la informacin en informtica son:[4]

Cortafuegos Administracin de cuentas de usuarios Deteccin y prevencin de intrusos Antivirus Infraestructura de llave publica Capas de Socket Segura (SSL) Conexin nica "Single Sign on- SSO" Biomtria Cifrado Cumplimiento de privacidad Acceso remoto Firma digital Intercambio electrnico de Datos "EDI" y Transferencia Electrnica de Fondos "EFT" Redes Virtuales Privadas "VPNs" Transferencia Electrnica Segura "SET" Informtica Forense Recuperacin de datos Tecnologas de monitoreo
2.9 ESTNDARES DE SEGURIDAD DE LA INFORMACIN

ISO/IEC 27000-series ISO/IEC 27001 ISO/IEC 17799

I n f o r m t i c a
P g i n a
2 4
Seguridad de la Informacin 2.10 OTROS ESTNDARES RELACIONADOS

COBIT ITIL
2.11 CERTIFICACIONES

CISM - CISM Certificaciones: Certified Information Security Manager CISSP - CISSP Certificaciones: Security Professional Certification GIAC - GIAC Certification Certificaciones: Global Information Assurance
I n f o r m t i c a
P g i n a
2 5
SEGURIDAD DE LA INFORMACIN en las
Captulo I:
I n f o r m t i c a
P g i n a
2 6
Seguridad de la Informacin 2.12 DEFINICIN Cada vez, en mayor medida, las organizaciones dependen de sus sistemas informticos para el xito de sus operaciones. Cualquier empresa que tenga un computador as no se encuentre conectado a la red que maneje bases de datos o un sistema de facturacin, necesita de medidas de respaldo y de contingencia para proteger su informacin. En nuestro medio no existe una conciencia acerca de la importancia de la seguridad informtica, debida a que las organizaciones se concentran en su core business y piensan que nunca van a ser atacadas o vulneradas en sus sistemas informticos. Por esta misma razn no le asignan al tema de la seguridad informtica la importancia que merece hasta que se presenta una eventualidad que hace reconsiderar ese aspecto pero a unos costos altsimos por efectos de la penetracin. Cuando se presenta un ataque, la crisis pone a cualquier compaa en desventaja frente a sus competidores, incluso, puede causar su quiebra si no responde con rapidez a las exigencias del mercado. Por ello, es vital para toda organizacin el aseguramiento de su informacin, proceso que debe ser acompaado permanentemente para conseguir resultados confiables. Cabe destacar que la seguridad de los sistemas, por mayores soluciones que se implementen, nunca ser del 100 por ciento; por ello aunque una compaa ya cuente con un sistema de seguridad informtica, es necesario que sea probado o auditado por un tercero, para descubrir sus niveles de vulnerabilidad, que entre otros, puede originarse al interior de la compaa. 2.12.1 Pasos organizacin para minimizar los riesgos en una
Entre los activos ms importantes de una organizacin est la informacin y por tanto, la custodia de la misma, es un factor relevante para su continuidad y xito profesional.
I n f o r m t i c a
P g i n a
2 7
Seguridad de la Informacin El establecimiento de metodologas, prcticas y procedimientos que buscan proteger la informacin como activo valioso, es el objetivo del conjunto de estndares de la ISO/IEC 27000. En este sentido, con el fin de minimizar las amenazas y riesgos continuos a los que est expuesta cualquier organizacin y a efectos de asegurar la continuidad de negocio y minimizar los daos, se desarrollan una serie de pasos de aplicacin: 1. Elaboracin de un Inventario de Activos: la informacin es poder, dice una de las consignas ms antiguas en el mundo de los negocios, sin embargo, en la mayora de las organizaciones se desconoce ese gran valor; de esta forma, la identificacin, la categorizacin, la descripcin, la asignacin de propietarios y la localizacin de los activos de informacin es la base para la correcta gestin de la seguridad en cualquier empresa. 2. La Valoracin de los Activos: una vez que la organizacin tiene identificados sus activos de informacin, debe valorarlos. La organizacin debe evaluar mediante una serie de parmetros los efectos que pudieran derivar en eventuales fallos de seguridad. En este sentido, se abordan los tres parmetros bsicos en la seguridad:
o
Confidencialidad: a la informacin solo pueden acceder las personas autorizadas para ello. Integridad: la informacin ha de estar completa y correcta en todo momento. Disponibilidad: la informacin estar lista para acceder a ella o utilizarse cuando se necesita.
3. Anlisis de Riesgos: existen numerosas metodologas para la elaboracin del anlisis de riesgos, cada organizacin ha de escoger aquella que se ajuste a sus necesidades. En todo caso, el objetivo del anlisis es separar los riesgos menores de los mayores y proveer de informacin para el tratamiento de los mismos. Centrndonos en el contexto de un anlisis de riesgos, la organizacin ha de analizar las consecuencias sobre el origen del riesgo: La determinacin de la consecuencia (IMPACTO). La probabilidad (PROBABILIDAD). de que esas consecuencias suceda
I n f o r m t i c a
P g i n a
2 8
Seguridad de la Informacin Las debilidades asociadas a los activos (VULNERABUILIDADES) Las causas o prdidas potenciales de los activos de informacin (AMENAZAS) 4. Tratamiento de los Riesgos y Seleccin de los Controles: Una vez que la organizacin conoce los riesgos, ha de definir las acciones a tomar:
Gestionar el riesgo: la organizacin ha de seleccionar objetivos de control y controles para gestionar los riesgos identificados. En esta seleccin ha de tenerse en cuenta los criterios de aceptacin de riegos, adems de los requisitos legales, reglamentarios y contractuales.
a)
b) Aceptar los riesgos de manera consciente y objetiva. Los riesgos que se han asumido, han de ser controlados y revisados peridicamente de cara a evitar que evolucionen y se conviertan en riesgos mayores. c) Transferir los riesgos: se traspasa el riesgo por ejemplo subcontratando el servicio. d) Eliminar el riesgo, si bien no es una prctica muy comn en las organizaciones, si se cree necesario, habr que establecer los pasos para conseguirlo. Ahora bien, ningn control nos puede ofrecer nunca seguridad absoluta, y por lo tanto siempre quedar un riesgo residual. La direccin de la organizacin, una vez definido el grado de aseguramiento requerido para los controles del Sistema de Gestin de Seguridad de la Informacin, deber aceptar el riesgo residual y esto deber ser tenido en cuenta si se produce un incidente de seguridad. Por ltimo, cabe destacar que en la mayora de las organizaciones no se le asigna a la Seguridad de la Informacin la importancia que merece hasta que se presenta una eventualidad que hace considerar ese aspecto. Por ello, cabe destacar la importancia y las grandes ventajas que hoy en da tiene la implantacin de estos referenciales. 2.12.2 La seguridad fsica en una empresa
2.12.2.1 Haga copias de seguridad (backup) Es la primera y la ms importante de las medidas de seguridad. No deje ningn da de hacer una copia de seguridad de la informacin de su empresa. Hay distintas formas de organizar las copias, pero una bastante
P g i n a
2 9
Seguridad de la Informacin sencilla y eficiente es tener una cinta o disco por cada da laborable de la semana, de este modo, si la copia ms reciente fallara, puede utilizar otra hecha slo 24 horas antes. Guarde la cinta o disco del ltimo da de la semana en un lugar distinto a la sede de su empresa, porque sino en caso de robo o incendio puede perder toda la informacin. Aunque pueda parecer increble, el incidente grave que se produce con ms frecuencia es la prdida de informacin por no haber seguido una poltica correcta de copias de seguridad. 2.12.2.2 Utilice sistemas de alimentacin ininterrumpida (SAI) Para evitar que los procesos en curso se interrumpan bruscamente en caso de corte del suministro elctrico y para filtrar los microcortes y picos de intensidad, que resultan imperceptibles pero que pueden provocar averas en los equipos, es muy aconsejable disponer de sistemas de alimentacin ininterrumpida, al menos para los servidores y equipos ms importantes. 2.12.2.3 Asigne nombres de usuario y contraseas a los empleados Para identificar a las personas que acceden a sus sistemas es posible configurar los ordenadores de forma que al arrancar soliciten al usuario su nombre y contrasea, y otro tanto ocurre con muchos programas. Utilice estas opciones y no deje libre el acceso a los ordenadores de su empresa, sino que proporcione a cada empleado un nombre de usuario y una contrasea, y cuide de que mantengan esta en secreto. Las contraseas no han de ser nombres propios ni palabras del diccionario, deben tener una longitud de al menos ocho caracteres y, preferiblemente, algunos de stos deben ser nmeros o signos de puntuacin. Tambin aumenta la seguridad el combinar maysculas y minsculas. Por ltimo, no olvide cambiar las contraseas peridicamente. 2.12.2.4 Comience a utilizar la firma electrnica Los certificados electrnicos permiten realizar numerosos trmites con las Administraciones a travs de Internet as como firmar los documentos electrnicos de forma que estos pueden sustituir al papel en documentos autnticos. Hay certificados para personas fsicas, como el DNI electrnico, y para empresas, como los emitidos por las Cmaras de Comercio (Camerfirma), los Registradores (SCR) o los Notarios (ANCERT). Otra clase de certificados son los de servidor. Estos no se utilizan para firmar, sino que identifican a los sitios web y cifran la conexin para que no pueda ser leda por terceros. No introduzca ni solicite datos en Internet sin que la conexin est cifrada.
P g i n a
3 0
Seguridad de la Informacin 2.12.2.5 Instale antivirus en los ordenadores Tener un antivirus actualizado es una medida bsica de seguridad, instale uno en todos los equipos y mantngalo actualizado. Tenga en cuenta, adems, que algunos virus aprovechan vulnerabilidades del sistema operativo y para protegerse de ellos hay que instalar las actualizaciones que publica el fabricante (en el caso de Windows es aconsejable activar la opcin de Actualizaciones Automticas). Tambin pueden llegar virus en un correo electrnico, as que nunca abra mensajes de origen desconocido y elimnelos lo antes posible de su ordenador. Tenga en cuenta que se suelen elegir asuntos que despiertan la curiosidad del destinatario. Otro medio de infeccin es la instalacin de plugins, conteste NO cuando el sistema le diga que se va a instalar un programa si no conoce la procedencia del mismo. 2.12.2.6 Defindase de los programas espa (spyware) Hay programas que se instalan de forma oculta en un ordenador y pueden enviar a quien los controla la informacin contenida en el mismo e incluso las contraseas que se tecleen en l, y tambin le permiten convertirlo en un zombie y utilizarlo para sus propios fines. Los programa anti-espas nos protegen de este software, pero desconfe de aquellos que se le ofrezcan sin haberlos buscado expresamente, porque algunos programas desinstalan los espas que encuentran en su equipo slo para instalar uno propio. 2.12.2.7 La informacin daina o no deseada Utilice un cortafuegos (firewall) Los cortafuegos son programas que analizan la informacin que entra y sale de un ordenador o de la red de la empresa. Evitan los ataques desde el exterior y, adems, permiten detectar los programas espa, ya que nos avisan de que hay procesos desconocidos intentando enviar informacin a Internet. Junto con el antivirus es una de las medidas bsicas de seguridad para los ordenadores conectados a Internet. 2.12.2.8 Evite el correo electrnico no deseado (spam) No d la direccin de correo a cualquiera, le ayudar a evitar el spam. Si recibe correo de origen desconocido no lo abra, porque puede introducirle un virus, ni lo conteste, porque si contesta confirma al que lo envi que la direccin es correcta y est activa. Tampoco publique direcciones personales en el web de la empresa, utilice mejor direcciones corporativas. Los programas de correo tienen utilidades para filtrar el spam y tambin hay programas especficos y empresas especializadas que ofrecen el servicio de filtrar, con un elevado grado de eficacia, el correo que llega a su empresa.
P g i n a
3 1
Seguridad de la Informacin Y, por supuesto, no enve propaganda por correo electrnico a quien no le haya autorizado previamente para ello, ya que podr ser sancionado como spamer por la Agencia de Proteccin de Datos. 2.12.2.9 La proteccin de datos de carcter personal Registre los ficheros Es muy probable que su empresa maneje ficheros con datos de carcter personal. Recuerde que debe inscribirlos en el Registro de la Agencia Espaola de Proteccin de Datos. Para ello dispone de un formulario en el web de la Agencia (www.agpd.es). Normalmente en una empresa los ficheros a inscribir son los de personal, clientes y proveedores. Dedique un poco de tiempo a ello o, si lo prefiere, consulte a un profesional especializado. 2.12.2.10 Tenga cuidado si da los datos a un tercero Si la informacin de los ficheros de datos de carcter personal se cede, de forma total o parcial, a otra persona o empresa, estamos ante una comunicacin de datos y es obligatorio contar con el consentimiento de los titulares de los datos. Si la cesin se hace slo para que un tercero le preste un servicio como, por ejemplo, enviar un mailing, se trata de un tratamiento de datos por cuenta de tercero. En este caso es preciso firmar un contrato especfico con la persona o entidad destinataria estableciendo expresamente que los datos se tratarn nicamente conforme a sus instrucciones y que no sern utilizados con un fin distinto ni cedidos, bajo ningn concepto, a otras personas. 2.12.2.11 Elabore el Documento de Seguridad de su empresa El Reglamento de Medidas de Seguridad de la LOPD establece tres niveles de seguridad en funcin del tipo de datos personales que se manejan. El bsico se aplica a todos, el medio a los datos de carcter financiero y el alto a los relativos a la salud, ideologa, religin y creencias. Es obligatorio disponer de un Documento de Seguridad conforme al nivel de seguridad que corresponda a sus ficheros. Una buena idea es aprovechar la obligacin que la Ley impone para los datos personales y extender las medidas de seguridad de stos a toda la informacin de la empresa. 2.12.2.12 Defina unos objetivos Una idea clave es que la seguridad no es una cuestin que pueda dejarse a escalones inferiores de la organizacin, sino que debe ser asumida por la direccin al ms alto nivel. sta deber marcar la estrategia, definiendo las medidas que se van a implantar, as como las funciones y las responsabilidades de los miembros de la empresa en relacin con la seguridad. En las grandes organizaciones estos extremos se plasman en
I n f o r m t i c a
P g i n a
3 2
Seguridad de la Informacin un documento llamado Plan de Seguridad, que se actualiza peridicamente. 2.12.2.13 Conciencie a sus empleados Los expertos en seguridad saben que el factor humano es siempre el eslabn ms dbil. Ninguna medida de seguridad funciona si las personas que han de aplicarla no estn debidamente informadas, formadas y, sobre todo, concienciadas. Adems, es preciso mantener esta concienciacin a lo largo del tiempo ya que siempre hay una tendencia a relajarse en el cumplimiento de las medidas de seguridad. 2.12.3 10 mandamientos informacin en la empresa de la seguridad de la
ESET creemos firmemente que todas las empresas estn preparadas para afrontar este desafo, y para ello, qu mejor que conocer los principios que deben regir la proteccin de la informacin. Para ello, hemos desarrollado este material el cual ponemos a disposicin del pblico: los 10 mandamientos de la seguridad corporativa. 1. Definirs una poltica de seguridad: es el documento que rige toda la seguridad de la informacin en la compaa. Algunos consejos? Que no sea muy extensa (ningn empleado podr comprometerse con un documento de cincuenta pginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perdern credibilidad) y que se les de valor (otra recomendacin: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte tcnico de IT). 2. Utilizars tecnologas de seguridad: son la base de la seguridad de la informacin en la empresa. Una red que no cuente con proteccin antivirus, un firewall o una herramienta antispam; estar demasiado expuesta como para cubrir la proteccin con otros controles. Segn lo presentado en el ESET Security Report Latinoamrica, el 38% de las empresas de la regin se infectaron con malware el ltimo ao. 3. Educars a tus usuarios: Es necesaria la aclaracin: educars a todos tus usuarios. Los usuarios tcnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que estn menos expuestos a las amenazas informticas. Segn las estadsticas de ThreatSense.Net, el 45% de las amenazas detectadas en la regin utilizan Ingeniera Social, por lo que atentan contra el desconocimiento del usuario para infectarlo. 4. Controlars el acceso fsico a la informacin: la seguridad de la informacin no es un problema que deba abarcar slo la informacin
P g i n a
3 3
Seguridad de la Informacin virtual, sino tambin los soportes fsicos donde sta es almacenada. Dnde estn los servidores? Quin tiene acceso a ellos? Sin lugar a dudas, el acceso fsico es fundamental. Tambin deben ser considerados los datos impresos, como por ejemplo el acceso fsico a oficinas con informacin confidencial (el gerente, el contador, entre otros.); o el acceso a las impresoras (alguien podra tomar accidentalmente informacin confidencial?). 5. Actualizars tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organizacin. Segn el informe sobre el estado del malware en Latinoamrica, el 41% de los dispositivos USB estn infectados y el 17% del malware utiliza explotacin de vulnerabilidades. Mantener tanto el sistema operativo, como el resto de las aplicaciones, con los ltimos parches de seguridad, es una medida de seguridad indispensable. 6. No utilizars a IT como tu equipo de Seguridad Informtica: es uno de los errores ms frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnolgico. Adems, es importante que exista un rea cuyo nico objetivo sea la seguridad de la informacin, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalacin y puesta a punto de determinado servicio, segn las necesidades comerciales. 7. No usars usuarios administrativos: de esta forma, una intrusin al sistema estar limitada en cunto al dao pueda causar en el mismo. Una vez ms, vale destacar la importancia de aplicar este control a toda la empresa: los integrantes del departamento de IT o la alta gerencia, tambin deben utilizar permisos limitados en el uso diario de la computadora. 8. No invertirs dinero en seguridad, sin pensar!: la seguridad debe ser concebida para proteger la informacin y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la informacin que se est protegiendo, y la probabilidad de prdidas por incidentes; puede derivar en dinero mal invertido, o bsicamente en dinero perdido. La seguridad debe proteger la informacin, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular y pensar! 9. No terminars un proyecto en seguridad: se que parece extraa, pero no lo es, porque tampoco empezars un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeas implementaciones de los controles pueden necesitar de proyectos, pero la proteccin general de la informacin no puede ser
I n f o r m t i c a
P g i n a
3 4
Seguridad de la Informacin pensada como un proyecto, sino como una etapa de mejora continua, como una necesidad permanente del negocio. 10. No subestimars a la seguridad de la informacin: finalmente, entender el valor que asigna al negocio tener la informacin protegida, es nuestro ltimo y quizs ms importante mandamiento. Pensar que un control no debe implementarse, porque no creo que esto me ocurra, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, sern muchos los que deban arrepentirse: muchas empresas, especialmente las pequeas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la informacin. Estos son, a nuestro criterio, los diez mandamientos de la seguridad en la empresa. Es momento de ponerse a trabajar: a cuidar la empresa.
I n f o r m t i c a
P g i n a
3 5
3 Complementarias
Tambin forman parte del ndice y no deben excluirse de ningn trabajo monogrfico. En la tabla 3.1 se muestran estas partes denominadas complementarias:
Tabla 3.3: <Partes de las complementarias> Parte Descripcin 1. Glosario Es la lista de trminos ordenados alfabticamente- usados en el trabajo y que resultan poco conocidos. En esta lista se presentan los significados de estos trminos. 2. Siglario Es la lista de acrnimos y siglas usadas en el documento, con su significado correspondiente. 3. Anexos Son documentos o adiciones que complementan el cuerpo o texto del trabajo (Opcional). 4. Bibliografa Es la lista de los libros y documentos que se han usado en el trabajo.
I n f o r m t i c a
P g i n a
3 6
4 CONCLUSIONES
1. En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y trata de evitar su perdida y modificacin non-autorizado. La proteccin debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen ms requisitos como por ejemplo la autenticidad entre otros. 2. La tecnologa de Informacin al igual que muchas ciencias tuvo su debido proceso de avance, lo que ha dado como resultado que ahora sea una de las ciencias que se relacionan con casi todo en el mundo lleno de necesidades en el que vivimos. 3. El motivo o el motor para implementar medidas de proteccin, que responden a la Seguridad de la Informacin, es el propio inters de la institucin o persona que maneja los datos, porque la perdida o modificacin de los datos, le puede causar un dao (material o inmaterial). 4. Si bien existen medios tecnolgicos o tcnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado anlisis de los puntos de riesgo, una cuidadosa planificacin de los controles a realizar, una gestin de seguridad que involucre a todos y una adecuada implementacin de procedimientos de acuerdo a lo relevado. 5. En primer lugar, no podemos perder de vista la acividad de nuestro negocio y lo que este nos exige da a da, por lo tanto, conviene establecer una Poltica concisa y clara, sin rodeos ni obligaciones que posteriormente, por las caractersticas de nuestra organizacin, no podemos cumplir.
I n f o r m t i c a
P g i n a
3 7
5 GLOSARIO
Copia de seguridad (backup): Volcado de los datos a otro soporte para disponer de varias copias de los mismos. No se incluyen los programas, por lo que el volumen de informacin no suele ser muy grande. En grandes sistemas el medio ms utilizado son las cintas, pero en pequeas empresas se utilizan disquetes, CDs o DVDs regrabables o memorias USB (pendrives). Cortafuegos (firewall): Dispositivo que analiza la informacin que entra y sale de un ordenador o de una red. Si la empresa tiene red local se coloca en la conexin de esta con Internet. El cortafuegos se configura para que slo determinados programas puedan intercambiar informacin con Internet. Spam: Correo electrnico no deseado. Se ha convertido en uno de los principales problemas de Internet, ya que se calcula que supone ms del 80% del correo que circula por la red. Se denomina spamers a quienes lo envan, valindose de programas al efecto (robots). En Espaa el organismo encargado de combatir el spam es la Agencia Espaola de Proteccin de Datos. Spyware: Programas que envan informacin sobre las acciones del usuario. Algunos son legtimos como, por ejemplo, la barra de Google si la autorizamos para que enve informacin sobre nuestras bsquedas. Otros se instalan subrepticiamente y envan la informacin sin nuestro consentimiento. Titular de los datos: Es la persona fsica a la que se refieren los datos de carcter personal. Virus: Habitualmente se denomina virus a todo el software maligno o malware, pero propiamente slo son virus los programas que necesitan del usuario para propagarse, mientras que los gusanos se propagan sin intervencin humana. Otro tipo de malware, los troyanos, se disfrazan de programas tiles.
I n f o r m t i c a
P g i n a
3 8
6 SIGLARIO
1. 2. 3. SIE: Sistemas De Informacin Estratgicos TI: Tecnologa de Informacin. TIC:Tecnologas de la Informacin y la Comunicacin.
4. CriptoRed Red Temtica de Criptografa y Seguridad de la Informacin (ms de 400 documentos, libros, software y vdeos freeware) 5. D.I.M.E. Direccin de Informtica del Ministerio de Economa de la Repblica Argentina. 6. INTECO-CERT Centro de Respuesta a Incidentes de Seguridad (Informacin actualizada sobre toda
I n f o r m t i c a
P g i n a
3 9
7 BIBLIOGRAFA
7.1 Referencias electrnicas
Gmez Vieites, lvaro (2007). Enciclopedia de la Seguridad Informtica.
7.2 Referencias electrnicas

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n biblioteca virtual de wikipedia http://www.dirigentesdigital.com/articulo/mundo_empresa/205548/ mayoria/empresas/aumentaran/inversion/seguridad/datos.html sitio web de dirigentes digitales http://www.intypedia.com/ Sitio web intypedia que ofrece videos http://www.locknet.net/index.php? option=com_content&view=article&id=52&Itemid=30 sitio web de seguridad de lainformacion http://www.monografias.com/trabajos61/seguridad-informacionauditoria-sistemas/seguridad-informacion-auditoria-sistemas.shtml biblioteca virtual de monografias http://www.eset-la.com/centro-amenazas/articulo/10mandamientos-%20de-la-seguridad-de-la-informacion-en-laempresa/2570 sitio web de Antivirus Eset http://enise.inteco.es/ sito web de seguridad de la informacion http://www.ongei.gob.pe/publica/metodologias/Lib5007/0300.htm http://protejete.wordpress.com/gdr_principal/seguridad_informacion _proteccion/ http://www.google.com.pe/search?q=LA%20SEGURIDAD%20DE %20LA %20INFORMACION&hl=es&prmd=imvns&bav=on.2,or.r_gc.r_pw.r_q f.,cf.osb&biw=1366&bih=575&um=1&ie=UTF8&sa=N&tab=iw&ei=Gw2oT5XWDKHy0gHp3P3dDQ#hl=es&sclient =psyab&q=LA+SEGURIDAD+DE+LA+INFORMACION&oq=LA+SEGURIDA D+DE+LA+INFORMACION&aq=f&aqi=&aql=&gs_l=serp.12...0.0.0. 3027.0.0.0.0.0.0.0.0..0.0...0.0.8jlvrg1TKDc&pbx=1&bav=on.2,or.r_g c.r_pw.r_qf.,cf.osb&fp=8efcf78169d23888&biw=1366&bih=575
I n f o r m t i c a
P g i n a
4 0

Monografia Seguridad

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Monografia Seguridad

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD NACIONAL JOS F.

PROF.: ING. JUAN C. MEYHUAY FIDEL

Monografa como parte de la asignatura de Tecnologas de Informacin presentan las alumnas:

HISTORIA DE LA SEGURIDAD DE LA INFORMACIN

Fraudes Falsificacin Venta de informacin

El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.

Actores que amenazan la seguridad

2.7 GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN

2.9 ESTNDARES DE SEGURIDAD DE LA INFORMACIN

ISO/IEC 27000-series ISO/IEC 27001 ISO/IEC 17799

Seguridad de la Informacin 2.10 OTROS ESTNDARES RELACIONADOS

SEGURIDAD DE LA INFORMACIN en las

Gmez Vieites, lvaro (2007). Enciclopedia de la Seguridad Informtica.

7.2 Referencias electrnicas

S-ar putea să vă placă și