SEGURIDAD DE LA INFORMACIN :Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las

organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas.

INFORMACIN: En sentido general, la informacin es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Para Gilles Deleuze, la informacin es el sistema de control, en tanto que es la propagacin de consignas que deberamos de creer o hacer que creemos. En tal sentido la informacin es un conjunto organizado de datos capaz de cambiar el estado de conocimiento en el sentido de las consignas trasmitidas. Los datos sensoriales una vez percibidos y procesados constituyen una informacin que cambia el estado de conocimiento, eso permite a los individuos o sistemas que poseen dicho estado nuevo de conocimiento tomar decisiones pertinentes acordes a dicho conocimiento. RIESGO: Riesgo es la vulnerabilidad de "bienes jurdicos protegidos" ante un posible o potencial perjuicio o dao para las personas y cosas, particularmente, para el medio ambiente. Aclaracin del significado: Cuanto mayor es la vulnerabilidad mayor es el riesgo (e inversamente), pero cuanto ms factible es el perjuicio o dao mayor es el peligro (e inversamente). Por tanto, el riesgo se refiere slo a la terica "posibilidad de dao" bajo determinadas circunstancias, mientras que el peligro se refiere slo a la terica "probabilidad de dao" bajo determinadas circunstancias. Por ejemplo, desde el punto de vista del riesgo de daos a la integridad fsica de las personas, cuanto mayor es la velocidad de circulacin de un vehculo en carretera mayor es el "riesgo de dao" para sus ocupantes, mientras que cuanto mayor es la

imprudencia al conducir mayor es el "peligro de accidente" (y tambin es mayor el riesgo del dao consecuente).

ADM QU ES LA ADMINISTRACIN DE RIESGOS?

Para hablar de administracin de riesgos es preciso primero intentar una definicin de RIESGO. Riesgo se define como la posibilidad de que las expectativas positivas para un sistema orientado al logro de objetivos no se realicen. En esta definicin se encuentran los tres elementos esenciales del riesgo, como son: * La incertidumbre; * Las consecuencias indeseadas para un sistema; * El cambio en las circunstancias existentes. Si bien en algunas circunstancias el riesgo es totalmente inmanejable, por estar por completo fuera de nuestro control; es el hecho de que algo debe cambiar antes de que ocurra un desastre lo que hace posible la administracin de riesgos, ya que de alguna manera es posible influenciar en aquellos factores que deben cambiar. Por ejemplo, nada podemos hacer para evitar que ocurra un terremoto, pero si podemos levantar construcciones ms slidas y seguras frente a la materializacin de dicho fenmeno.

CONTROL:

Es un mecanismo preventivo y correctivo adoptado por la administracin de una dependencia o entidad que permite la oportuna deteccin y correccin de desviaciones, ineficiencias o incongruencias en el curso de la formulacin, instrumentacin, ejecucin y evaluacin de las acciones, con el propsito de procurar el cumplimiento de la normatividad que las rige, y las estrategias, polticas, objetivos, metas y asignacin de recursos. Inspeccin, fiscalizacin. Dominio, mando. Dispositivo para regular la accin de un mecanismo.

ATAQUE:

Ataque proviene del italiano attacare y significa acometer. Se aplica a toda fuerza fsica o moral que se aplica sobre otro individuo o cosa, o que se origina en el mismo cuerpo. Es siempre violento y repentino. Existen ataques armados entre fuerzas militares en una guerra; ataques de animales entre s, o hacia un ser humano, o a una plantacin; de una persona sobre otra o sobre cualquier objeto natural; o tambin ataques que el propio organismo produce como sntomas o consecuencias de determinadas enfermedades, como ataques de tos, ataques cardacos, ataque de nervios, ataque de pnico, de dolor, etctera.

TIPOS DE ATAQUE:

Un ataque no es ms que la realizacin de una amenaza. Las cuatro categoras generales de amenazas o ataques son las siguientes: Interrupcin: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de ficheros. Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una lnea para hacerse con datos que circulen por la red y la copia ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms de los usuarios implicados en la comunicacin observada ilegalmente (intercepcin de identidad). Modificacin: una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que estn siendo transferidos por la red. Fabricacin: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes espurios en una red o aadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma til en trminos de ataques pasivos y ataques activos. Ataques pasivos En los ataques pasivos el atacante no altera la comunicacin, sino que nicamente la escucha o monitoriza, para obtener informacin que est siendo transmitida. Sus objetivos son la intercepcin de datos y el anlisis de trfico, una tcnica ms sutil para obtener informacin de la comunicacin, que puede consistir en:

Obtencin del origen y destinatario de la comunicacin, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de trfico intercambiado entre las entidades monitorizadas, obteniendo as informacin acerca de actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicacin, para extraer informacin acerca de los perodos de actividad. Los ataques pasivos son muy difciles de detectar, ya que no provocan ninguna alteracin de los datos. Sin embargo, es posible evitar su xito mediante el cifrado de la informacin y otros mecanismos que se vern ms adelante. Ataques activos Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos, pudiendo subdividirse en cuatro categoras: Suplantacin de identidad: el intruso se hace pasar por una entidad diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticacin pueden ser capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contrasea de acceso a una cuenta. Reactuacin: uno o varios mensajes legtimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada. Modificacin de mensajes: una porcin del mensaje legtimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje "Ingresa un milln de pesos en la cuenta A" podra ser modificado para decir "Ingresa un milln de pesos en la cuenta B". Degradacin fraudulenta del servicio: impide o inhibe el uso normal o la gestin de recursos informticos y de comunicaciones. Por ejemplo, el intruso podra suprimir todos los mensajes dirigidos a una determinada entidad o se podra interrumpir el servicio de una red inundndola con mensajes espurios. Entre estos ataques se encuentran los de denegacin de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.