Ministerio Del Poder Popular Para La Defensa Universidad Nacional Experimental Politcnica De La Fuerza Armada Nacional Bolivariana Ncleo

Trujillo

SEGURIDAD OPERACIONAL EN EL REA DE INFORMTICA (Impacto: en la organizacin. Aspectos econmicos)

INTEGRANTES: Reinaldo Baptista Claudia Villamizar Diana Pia Mara Briceo Liliana Ardila Stefany Pea Ingeniera de sistemas Semestre 8vo Seccin 02

Introduccin
La problemtica actual de la produccin y acumulacin mundial de informacin en forma de documentos electrnicos o digitales, as como los problemas derivados del acceso de esa informacin, sobre todo en red, dado que esto podra implicar riesgo y prdida de esa informacin. Esto nos lleva a determinar los riesgos, amenazas vulnerabilidades, entre otros, que afectan a esa informacin, as como diversas estrategias para establecer la seguridad informtica y la relacin de sta con la preservacin confiable de esa informacin.

La seguridad informtica pretende identificar las amenazas y reducir los riesgos al detectar las vulnerabilidades nulificando o minimizando as el impacto o efecto nocivo sobre la organizacin. La "seguridad informtica" es definida como "el proceso de establecer y observar un conjunto de estrategias, polticas, tcnicas, reglas, guas, prcticas y procedimientos tendientes a prevenir, proteger y resguardar de dao, alteracin o sustraccin a los recursos informticos de una organizacin y que administren el riesgo al garantizar en la mayor medida posible el correcto funcionamiento ininterrumpido de esos recursos".

Seguridad Operacional En El rea De Informtica

Para poder comprender el concepto integral de la seguridad informtica, es indispensable entender los diversos conceptos bsicos que la rigen, ya que de otra forma no es posible establecer una base de estudio.

Conceptos Bsicos: Recursos Informticos: Todos aquellos componentes de Hardware y programas (Software) que son necesarios para el buen funcionamiento y la Optimizacin del trabajo con Ordenadores y Perifricos, tanto a nivel Individual, como Colectivo u Organizativo. Tambin se les conoce como "activos informticos" Amenaza: fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en dao a los recursos informticos de la organizacin. Impacto: Conjunto de consecuencias provocadas por un hecho o actuacin que afecta a un entorno o ambiente social o natural. Vulnerabilidad: caracterstica o circunstancia de debilidad de un recurso informtico la cual es susceptible de ser explotada por una amenaza. Riesgo: es un problema potencial que puede ocurrir con un impacto en la organizacin. Principio bsico de la seguridad informtica: la seguridad informtica no es un producto, es un proceso.

El objetivo primario de la seguridad informtica es el de mantener al mnimo los riesgos sobre los recursos informticos, y garantizar as la continuidad de las operaciones de la organizacin al tiempo que se administra

ese riesgo informtico a un cierto costo aceptable. Para ello utilizaremos estructuras organizacionales tcnicas, administrativas, gerenciales o legales.

Amenazas Informticas
Consisten en la fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en dao a los insumos informticos de la organizacin y ulteriormente a ella misma. Entre ellas, identificamos como las principales: El advenimiento y proliferacin de "malware" o "malicious software", programas cuyo objetivo es el de infiltrase en los sistemas sin conocimiento de su dueo, con objeto de causar dao o perjuicio al comportamiento del sistema y por tanto de la organizacin. La prdida, destruccin, alteracin, o sustraccin de informacin por parte de personal de la organizacin debido a negligencia, dolo, mala capacitacin, falta de responsabilidad laboral, mal uso, ignorancia, apagado o elusin de dispositivos de seguridad y/o buenas prcticas. La prdida, destruccin, alteracin, sustraccin, consulta y divulgacin de informacin por parte de personas o grupos externos malintencionados. El acceso no autorizado a conjuntos de informacin. La prdida, destruccin o sustraccin de informacin debida a vandalismo. Los ataques de negacin de servicio o de intrusin a los sistemas de la organizacin por parte de cibercriminales: personas o grupos

malintencionados quienes apoyan o realizan actividades criminales y que usan estos ataques o amenazan con usarlos, como medios de presin o extorsin.

 Los "phishers", especializados en robo de identidades personales y otros ataques del tipo de "ingeniera social". Los "spammers" y otros mercadotecnistas irresponsables y egostas quienes saturan y desperdician el ancho de banda de las organizaciones. La prdida o destruccin de informacin debida a accidentes y fallas del equipo: fallas de energa, fallas debidas a calentamiento,, des magnetizacin, ralladura o descompostura de dispositivos de almacenamiento, entre otras. La prdida o destruccin de informacin debida a catstrofes naturales: inundaciones, tormentas, incendios, sismos, entre otras. El advenimiento de tecnologas avanzadas tales como el cmputo quantum, mismas que pueden ser utilizadas para desencriptar documentos, llaves, entre otras, al combinar complejos principios fsicos, matemticos y computacionales.

Vulnerabilidades Informticas
Una vulnerabilidad es alguna caracterstica o circunstancia de debilidad de un recurso informtico la cual es susceptible de ser explotada por una amenaza, intencional o accidentalmente.

Las vulnerabilidades pueden provenir de muchas fuentes, desde el diseo o implementacin de los sistemas, los procedimientos de seguridad, los controles internos, etctera; se trata en general de protecciones inadecuadas o insuficientes, tanto fsicas como lgicas, procedimentales o legales de alguno de los recursos informticos.

Las vulnerabilidades al ser explotadas resultan en fisuras en la seguridad con potenciales impactos nocivos para la organizacin. Ms detalladamente, provienen de:

 Fallas en el diseo o construccin de programas, sobre todo en aquellos que provienen de un mercado masivo; por ejemplo sistemas operativos, programas de aplicacin, el protocolo de comunicaciones TCP/IP, entre otras. Uso de computadoras, programas y equipos de red de tipo genrico en aplicaciones crticas. Atencin insuficiente al potencial error humano durante el diseo, implementacin o explotacin de sistemas, particularmente debidas a desviaciones u omisiones de buenas prcticas en estas etapas. Relajamiento de las polticas y procedimientos de seguridad, debidos a falta de seguimiento de los mismos, producidas por un desempeo de seguridad adecuado durante cierto lapso. Fallas de seguimiento en el monitoreo o indicadores de seguridad. Pobre o nula gobernanza de los activos informticos, debida principalmente a un mal seguimiento de esos activos y sus contextos de seguridad asociados de forma integral. Cambio frecuente de elementos de la plataforma informtica. Falla en la adjudicacin o seguimiento de responsabilidades. Planes de contingencia nulos o pobres, tanto para situaciones cotidianas como extremas. Ignorancia, negligencia o curiosidad por parte de usuarios en general de los sistemas. Equipos, programas y redes "heredados" de generaciones tecnolgicas anteriores.

Riesgos Informticos
Estos son definidos como la probabilidad de que un evento nocivo ocurra combinado con su impacto o efecto nocivo en la organizacin. Se materializa cuando una amenaza acta sobre una vulnerabilidad y causa un impacto.

Los principales riesgos se agrupan como: Sustraccin de datos personales para usos malintencionados. Fugas de informacin, extraccin o prdida de informacin valiosa y/o privada. Introduccin de programas maliciosos a los sistemas de la organizacin, que pueden ser utilizados para destruirlos u obstaculizarlos, usurpar recursos informticos, extraer o alterar informacin sin autorizacin, ejecutar acciones ocultas, borrar actividades, robo y detentacin de identidades, entre otras. Acciones de "ingeniera social" malintencionada: "phishing", "spam", espionaje, entre otras. Uso indebido de materiales sujetos a derechos de propiedad intelectual. Dao fsico a instalaciones, equipos, programas, entre otras.

Impactos
Los impactos son los efectos nocivos contra la informacin de la organizacin al materializarse una amenaza informtica. Al suceder incidentes contra la seguridad informtica pueden devenir en: Disrupcin en las rutinas y procesos de la organizacin con posibles consecuencias a su capacidad operativa.

 Prdida de la credibilidad y reputacin de la organizacin por parte del consejo directivo de la organizacin, pblico en general, medios de informacin, entre otras. Costo poltico y social derivado de la divulgacin de incidentes en la seguridad informtica. Violacin por parte de la organizacin a la normatividad acerca de confidencialidad y privacidad de datos de las personas. Multas, sanciones o fincado de responsabilidades por violaciones a normatividad de confidencialidad. Prdida de la privacidad en registros y documentos de personas. Prdida de confianza en las tecnologas de informacin por parte del personal de la organizacin y del pblico en general. Incremento sensible y no programado en gastos emergentes de seguridad. Costos de reemplazo de equipos, programas, y otros activos informticos daados, robados, perdidos o corrompidos en incidentes de seguridad. Cada uno de estos efectos nocivos puede cuantificarse de tal forma de ir estableciendo el impacto de ellos en la informacin y consecuentemente en la organizacin.

La seguridad informtica pretende identificar las amenazas y reducir los riesgos al detectar las vulnerabilidades nulificando o minimizando as el impacto o efecto nocivo sobre la organizacin.

Aspectos econmicos seguridad operacional informtica

Los aspectos econmicos de la privacidad y la seguridad en cmputo e informacin son estudiados por la economa de la seguridad informtica, esta busca comprender las decisiones y comportamientos individuales u

organizacionales con respecto a la seguridad y la privacidad como decisiones de mercado.

El reto es asignar estratgicamente los recursos para cada equipo de seguridad y bienes que intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver.

Para determinar el establecimiento de prioridades, el sistema de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la informacin sobre ella.

Dentro de

los valores

para el sistema

se pueden

distinguir:

confidencialidad de la informacin, la integridad (aplicaciones e informacin) y finalmente la disponibilidad del sistema. Cada uno de estos valores es un sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor web pblico pueden poseer la caracterstica de confidencialidad baja (ya que toda la informacin es pblica) pero necesita alta disponibilidad e integridad, para poder ser confiable. En contraste, un sistema de planificacin de recursos empresariales (ERP) es, habitualmente, un sistema que posee alto puntaje en las tres variables.

Conclusin
La seguridad de los sistemas informticos, es un campo que para las grandes empresas desarrolladoras de software, a las grandes empresas consumidoras y al usuario preocupa.

La seguridad de la informacin es primordial, y deben tener la plena confianza de que la informacin que estn manejando est siendo bien usada y est protegida, que no le estn dando un uso diferente al que est destinada se debe procurar tener reglas y normas propias que apliques tanto a los usuarios como a los administradores del sistema. .

Los aspectos econmicos de la privacidad y la seguridad en cmputo e informacin son estudiados por la economa de la seguridad informtica, esta busca comprender las decisiones y comportamientos individuales u

organizacionales con respecto a la seguridad y la privacidad como decisiones de mercado.

El reto es asignar estratgicamente los recursos para cada equipo de seguridad y bienes que intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver.

ANEXOS

Esquema sobre la seguridad operacional

El Spam o los correos electrnicos, no solicitados