fundamento ntos de la Seguridad Informática debemos conocer y manejar ciertos conceptos básicos Para poder entender los funda relacionados con el Riesgo Informático, tales como:
falla o debilid ili dad en: Es una falla en: 1. los procedimientos procedimientos 2. el diseño 3. la implementación implementación 4. el mantenimiento mantenimiento 5. los controles internos de un Sist Si steema de Seguri Seguri dad . Es cualquier ocurrencia potencial que pueda causar un específico de la misma.
r esultado esultado inde i ndesea seado do para una organización o para un activo
Es la po posibili sibilid dad de de que un i ntruso ntr uso o evento evento i ndesea ndeseado do explote una vulnerabilidad específica de una organización o de un activo de la misma. Es cualquier prob proba abilid ili dad de ocurr curr encia ncia que pueda ocasionar un activo en específico de la misma.
resultado indeseable para una organización o para un
Son acciones que puedan causar daño, destrucción, alteración, pérdida o relevancia de acceso a los mismos o impedir su mantenimiento. mantenimiento.
activos que podrían impedir el
Se refiere a la cantidad de daño que puede causar una amenaza que explote una vulnerabilidad26.
Las organizaciones dependen cada día más de las TI
¡ y los los i ndividu ndividuo os (i .e. .e. NOSOTROS ) TAMB TA MB I É N!
…..
Esta dependencia se hace más notoria en la economía actual basada basada en el conocimiento - donde el uso de las TI para ctivoss tangi bles (datos) y activos intangibles (información) resulta imprescindible. desarrollar, gestionar y transmitir activo –
Pero esta inevitable dependencia de las TI conlleva a considerar ciertos factores y riesgos inherentes al uso de las mismas, AMENAZAS,, que pueden es decir las AMENAZAS que pueden ser ser clasificadas clasificadas en: 1.
humanas (cibercrimen, fraude, malware, RANSOMWARE, etc.)
2.
tecnológicas (caídas de las redes, hardware/software obsoleto, etc.)
3.
naturales (incendios, inundaciones, terremotos, etc.).
Es por ello que los datos de las l as organizaciones (y, consecuentemente, consecuentemente, su contenido de información) se deben conservar en un ámb ámbi to seg seguro ur o, es decir un entorno en el que se mantengan los riesgos informáticos en un nivel aceptable.
simultá áneo neo de tres tres (3) ( 3) principios básicos: La Seguridad Informática implica el cumplimiento simult 1. Confidencialidad: Consiste en respetar las restricciones establecidas para el acceso y divulgación de la información, incluyendo los medi medios os para proteger la privacidad personal y la infor i nform maci aci ón de del pr opi opi etar tar i o.
Este principio establece que los datos NO están disponibles p disponibles pa ara (y, consecuentemente, que la información no pr oceso cesoss no autorizados. puede ser divulgada a) individuos, entidades o pr 1. Integridad: Consiste en proteger el acceso contra (i.e. impedir) la indebida
modificación o destrucción de los
datos. Incluye el aseguramiento del no-repudio y la autenticidad de de la información.
No-repudio: Es una propiedad de la Seguridad de la Información en la cual el emisor no puede negar el envío o recepción. Autent Autenticida icidad d : Es una propiedad de la seguridad de la información mediante la cual se puede confirmar la identidad del emisor.
funcionam mient iento y usab usabilid ili dad del ser ser vicio ici o informá informático cuando sea 1. Disponibilidad: Garantizar el funciona sea solicitado por las personas autorizadas. autorizadas.
La infraestructura de TI de una organización está compuesta por Activos o Recursos I nformático nformáticoss.
nformático: Un Activo o Recurso I nformático 1. se define como todo aquello pueda generar valor para una empresa u organización y que la misma siente la
pr oteger ger necesidad de pr 2. está representado por: 2.1. objetos físicos o tangibles (hardware: servidores, computadoras, routers, switches, hubs, firewalls, antenas, etc.) are, sistemas operativos, sistemas aplicativos, bases de datos, etc.) 2.2. objetos abstractos o intangibles softw ( softwa 2.3. instalaciones físicas 2.4. insumos (energía, combustibles, agua, etc.) 2.5. personal informático.
Estos Activos o Recursos I nformát nformáti cos cos son propensos y/o están sujetos a Amenazas I nformática nformáticass.
Las Amenazas Informáticas representan un Peligro para los Activos y/o la Seguridad Informática y pueden ser perpetuadas interna o externamente. Generalmente son debidas a descuidos, errores voluntarios o involuntarios e incluso i ncluso por empleados descontentos. Numerosos estudios demuestran que las amenazas internas representan el 80% 80% de los incidentes de seguridad informática en las organizaciones. Dentro de las principales Amenazas Informáticas se encuentran las siguientes:
La Gestión de Riesgos Informáticos es un proc proceeso cuya función función pr incipa incipal es mantener un entorno informático seguro mediante el desarrollo e implementación de Estrategias de Seguridad Informática Consiste sucintamente en los pr pr oceso cesoss de: 1. Análisis de Riesgos; identificación de los fac factores
de riesgo que podrían modificar o eliminar datos o
difundir datos confidenciales 2. Gestión de Riesgos: diseño e impleme i mplementación ntación de medidas de seguridad tendientes a: 2.1. pr pr evenir el riesgo (actúa sobre las causas del riesgo: fre fr ecue cuencia ncia = 0) 2.2.
eliminar el riesgo (actúa sobre las causas del riesgo: fre fr ecue cuenci nci a <> 0
Y
magnitud = = 0)
2.3.
r educir el riesgo (actúa sobre las causas del riesgo: magnitud - - = 0
fr ecue cuenci nci a - = 0) Y/O fre
2.4.
mi tiga tig ar el rir i esgo (actúa sobre los efectos del riesgo).
bién
