Documente Academic
Documente Profesional
Documente Cultură
manejo de la
información
Ciberdelitos
1
Seguridad y manejo de la
información
En la presente unidad, el alumno estudiará los conceptos generales de la
Se sugiere como
material de consulta el seguridad de la información y su diferencia con la seguridad informática.
siguiente link: Asimismo, conocerá las distintas formas de clasificar la información como
https://goo.gl/oED8AQ así también los privilegios con que cuenta cada una de ellas. Aprender el
(Enisa, 2009). manejo de la información será clave, ya que conoceremos quiénes son las
personas que pueden disponer de esta y también los tres pilares o estadios
de la información.
2
En otro costado, es importante destacar que no se debe confundir el
concepto de seguridad de la información con el de seguridad informática,
ya que este último se encarga de la seguridad solamente del medio
informático o infraestructura de tecnología (ver Figura 2).
Alcances
Dentro de los alcances de la seguridad de la información, debemos tener
presente que, en toda organización, el bien más preciado es la información.
Para ello, es importante identificar cada uno de los activos (correos de
mails, página web, bases de datos, contratos, etc.) que existen en la
empresa y de qué manera fijar políticas de protección. Existe, para ello,
una clasificación de cierta información, que puede ser:
3
Sensible: es aquella que solo debe ser conocida por personal facultado
de acuerdo a niveles de acceso (base de información de proyectos y
códigos fuente de software propios de la empresa).
Una vez que hemos identificado cada uno, debemos conocer de qué fuente
interna provienen, es decir, de qué área y en qué soporte se encuentran
alojados, ya sea en documentos, CD, DVD, discos duros extraíbles,
servidores, pero también debemos tener en cuenta su durabilidad en el
tiempo.
4
Uno de los puntos más críticos relacionados a los ciberdelitos es que en la
mayoría de los casos no se conoce, dentro de las propias empresas, la
diferenciación de la información ni tampoco se invierte en un sistema de
gestión y control interno, lo cual lleva a numerosas empresas u
organizaciones a sufrir ataques, ya que son un blanco fácil para obtener
información por parte de los cibercriminales. Esto se ve claramente
reflejado no solo cuando no se cuenta con una protección de la
información en diferentes niveles de seguridad internos (firewalls), sino
cuando tampoco se realizan auditorías o controles para conocer los niveles
de seguridad con que cuenta la organización. Un claro ejemplo lo vemos
cuando empresas son víctimas de ransomware y no pueden disponer de su
información o el caso de exempleados que extorsionan o amenazan a los
gerentes con información clasificada.
Manejo de la información
Como hemos venido hablando de la seguridad de la información, es
importante hacer mención del manejo de esta. Para ello, comencemos
hablando de ciertos estudios, de los cuales se destaca el de la empresa
Eset, el cual refleja que: un 38,85 % de los ataques proviene de
exempleados de la compañía; el 34,53 %, de actuales empleados; un 28,22
%, de agentes externos (cibercriminales), y un 27,90 %, de competidores,
entre otros (ver Figura 3).
5
Documentos escritos (contratos, licitaciones, estados contables,
etc.).
Documentos almacenados electrónicamente (proyectos, base de
clientes, etc.).
Información presentada en imágenes (nuevos modelos de negocio,
presentaciones, etc.).
Información plasmada en una conversación.
Con estos detalles, podemos ver que las organizaciones deben clasificar la
información, como ya hemos dicho anteriormente, de tal manera que los
empleados, dependiendo del área, tengan ciertos privilegios para acceder a
ella. Estos son claros ejemplos de hechos de ciberdelitos que se ven a
diario, en especial cuando las compañías que compiten tratan de manipular
a determinados empleados con ciertas cantidades de dinero a fin de
obtener información clasificada o sensible de la empresa.
Como vemos, desde la óptica de los ciberdelitos, es muy común ver estos
casos de fuga de información en empresas, pero en la práctica no se
denuncian estos hechos para no perder imagen. Un ejemplo de control
sobre esto es que en España ahora comenzarán a controlar a las empresas,
a fin de que estas denuncien ciberdelitos que hayan sufrido. De este modo
se pretende que eviten la lista negra y el hecho de que nunca puede
6
lograrse cuantificar el número de víctimas ni el monto económico sufrido
por ellas.
Estadios de la información
En la primera parte, hemos venido hablando de tres pilares que deben
respetarse sí o sí en una organización cuando hablamos de la seguridad de
la información. Son los siguientes:
En resumen:
7
Figura 4: conclusión
8
Bibliografía de referencias
Barahona, J. F. (2000). Diseño de un software criptográfico de seguridad
para las comunicaciones navales. Ecuador. Recuperado de:
https://www.dspace.espol.edu.ec/bitstream/123456789/3300/1/5819.pdf