Seguridad Informtica

La Seguridad Informtica se refiere a las caractersticas y condiciones de

sistemas de procesamiento de datos y su almacenamiento, para garantizar su
confidencialidad, integridad y disponibilidad.
Un sistema seguro debe ser:
ntegro:
con
informacin
modificable
slo
por
las
personas autorizadas.
Confidencial: los datos tienen
que ser legibles nicamente
para los usuarios autorizados
Disponible: debe ser estable.
Solamente cuando estamos conscientes de las potenciales amenazas,
agresores y sus intenciones dainas (directas o indirectas) en contra de
nosotros, podemos tomar medidas de proteccin adecuadas, para que no se
pierda o dae nuestros recursos valiosos.
Considerar aspectos de seguridad significa:
a) conocer el peligro.
b) clasificarlo.
c) protegerse de los impactos o
daos de la mejor manera posible.
En este sentido, la Seguridad
Informtica sirve para la proteccin
de la informacin, en contra de amenazas o peligros, para evitar daos y para
minimizar riesgos, relacionados con ella.

Seguridad del Hardware

Cuando hablamos de Seguridad Informtica, no solo nos referimos a la
seguridad de los datos e informacin, tambin debemos tener en cuenta la
parte del Hardware.
El Hardware en un sistema informtico es, probablemente, la parte ms cara,
aunque por el contrario, la ms fcil de reemplazar. Sin embargo, existen unas
pautas generales, que pueden ayudar a prevenir problemas con el hardware
del sistema y de la red de comunicaciones.

La principal amenaza contra el hardware, son las

personas, intencionadamente o no pueden daar
el sistema, los desastres naturales como
inundaciones, terremotos, etc., y campos
magnticos no controlados.
Desde el punto de la prevencin, es
recomendable aislar el hardware en lugares
cerrados y protegido mediante cualquier
mecanismo (Dependiendo de la importancia de
la organizacin y/o informacin). En el caso de la instalacin de redes de
computadoras:
Si la red es por cableado debe distribuirse mediante elementos que
impidan el acceso de cualquier usuario a la red, ya que con
herramientas apropiadas, puede afectar la confidencialidad de la red.
Si la red es inalmbrica la proteccin es mucho ms difcil ya que hoy
en da hay muchas herramientas que pueden violar la seguridad de
una red inalmbrica.
En el caso de redes de computadoras, y tambin de servidores, se debe tener
precaucin con la situacin del Hardware o paso de cable por entornos con
alto ruido electromagntico que puede afectar a los sistemas y
comunicaciones. Lo mejor es evitarlos, pero si es imposible, debe de aislarse
los distintos elementos afectados.
Desde el punto de vista de la integridad y disponibilidad del hardware, se debe
tener en cuenta las condiciones de la red elctrica. Cualquier cambio en la
tensin que llegue a los equipos puede afectar su integridad, por lo que
debera protegerse.
El principal mecanismo aplicable seria la instalacin de un S.I.A. (Sistema de
alimentacin ininterrumpida. U.P.S. uninterruptible power supply) que, ante
bajadas de tensin, son capases de proporcionar corriente elctrica a los
equipos durante tiempos determinados.
Por ltimo, otro aspecto a considerar dentro de la seguridad fsica de los
sistemas en la temperatura ambiente de los lugares donde se sitan. Es
recomendable, para el correcto funcionamiento y mantenimiento que se
disponga de equipos de aire acondicionado independientes del resto de las
salas con servidores y hardware de red que mantenga una temperatura
estable entorno a los 20.

Proteccin de datos o Seguridad

de la Informacin
En la Seguridad Informtica se debe distinguir dos propsitos de proteccin, la
Seguridad de la Informacin y la Proteccin de Datos.
Se debe distinguir entre los dos, porque forman la base y dan la razn,
justificacin en la seleccin de los elementos de informacin que requieren una
atencin especial dentro del
marco de la Seguridad Informtica
y normalmente tambin dan el
motivo y la obligacin para su
proteccin.
Sin embargo hay que destacar
que, aunque se diferencia entre la
Seguridad de la Informacin y la
Proteccin de Datos como motivo
u obligacin de las actividades de
seguridad, las medidas de
proteccin aplicadas normalmente
sern las mismas.
En el caso de la Proteccin
de Datos, el objetivo de la
proteccin no son los datos en s mismo, sino el contenido de la
informacin sobre personas, para evitar el abuso de esta.
El motivo o el motor para la implementacin de medidas de
proteccin, por parte de la institucin o persona que maneja los
datos, es la obligacin jurdica o la simple tica personal, de evitar
consecuencias negativas para las personas de las cuales se trata
la informacin.
En la Seguridad de la Informacin el objetivo de la proteccin son los
datos mismos y trata de evitar su perdida y modificacin no autorizada.
La proteccin debe garantizar en primer lugar la confidencialidad,
integridad y disponibilidad de los datos, sin embargo existen ms
requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de proteccin,
que responden a la Seguridad de la Informacin, es el propio
inters de la institucin o persona que maneja los datos, porque la
prdida o modificacin de los datos, le puede causar un dao
(material o inmaterial).

Amenazas
Debido a que la Seguridad Informtica tiene como propsitos de garantizar la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones, las amenazas y los consecuentes daos que puede causar un
evento exitoso, tambin hay que ver en relacin con la confidencialidad,
integridad, disponibilidad y autenticidad de los datos e informaciones.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas
de origen externo como por ejemplo las agresiones tcnicas, naturales o
humanos, sino tambin amenazas de origen interno, como la negligencia del
propio personal o las condiciones tcnicas, procesos operativos internos
Generalmente se distingue y divide tres grupos:

Criminalidad:
son
todas las acciones,
causado
por
la
intervencin humana,
que violan la ley y que
estn
penadas
por
esta. Con criminalidad
poltica se entiende
todas
las
acciones
dirigido
desde
el
gobierno
hacia
la
sociedad civil.
Sucesos de origen
fsico: son todos los
eventos naturales y
tcnicos, sino tambin eventos indirectamente causados por la intervencin
humana.
Negligencia y decisiones institucionales: son todas las acciones,
decisiones u omisiones por parte de las personas que tienen poder e influencia
sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque
estn directamente relacionados con el comportamiento humano.
Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y
por eso es la tarea de la gestin de riesgo de preverlas, implementar medidas

de proteccin para evitar o minimizar los daos en caso de que se realice una
amenaza.
Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que
una amenaza slo puede existir si existe una vulnerabilidad que pueda ser
aprovechada, e independientemente de que se comprometa o no la seguridad
de un sistema de informacin.
Diversas situaciones, tales como el incremento y el perfeccionamiento de las
tcnicas de ingeniera social, la falta de capacitacin y concientizacin a los
usuarios en el uso de la tecnologa, y sobre todo la creciente rentabilidad de los
ataques, han provocado en los ltimos aos el aumento de amenazas
intencionales.

Vulnerabilidades
La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema
mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a
amenazas, con el resultado de sufrir algn dao. En otras palabras, es la
capacitad y posibilidad de un sistema de responder o reaccionar a una
amenaza o de recuperarse de un dao
Las vulnerabilidades estn en directa interrelacin con las amenazas porque si
no existe una amenaza,
tampoco
existe
la
vulnerabilidad o no tiene
importancia, porque no se
puede ocasionar un dao.
Dependiendo del contexto de
la institucin, se puede
agrupar las vulnerabilidades
en grupos caractersticos:
Ambiental/Fsica,
Econmica,
SocialEducativo,
Institucional/Poltica

Gestin del Riesgo

Es un mtodo para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases:

Anlisis: Determina los componentes de un sistema que requiere

proteccin, sus vulnerabilidades que lo debilitan y las amenazas que lo
ponen en peligro, con el resultado de revelar su grado de riesgo.
Clasificacin: Determina si los riesgos encontrados y los riesgos
restantes son aceptables.
Reduccin: Define e implementa las medidas de proteccin. Adems
sensibiliza y capacita los usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de
las medidas, para determinar y ajustar las medidas deficientes y
sanciona el incumplimiento.

Anlisis de Riesgo
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como
propsito determinar los componentes de un sistema que requieren proteccin,
sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro,
con el fin de valorar su grado de riesgo.
Existen varios mtodos de como valorar un riesgo, en el mbito de la
Seguridad Informtica, el mtodo ms usado es el Anlisis de Riesgo.
La valoracin del riesgo basada en la frmula matemtica
Riesgo = Probabilidad de Amenaza x Magnitud de Dao

Para la presentacin del

resultado (riesgo) se usa una
grfica de dos dimensiones,
en la cual, el eje horizontal
representa la Probabilidad de
Amenaza y el eje vertical la
Magnitud de Dao. La
Probabilidad de Amenaza y
Magnitud de Dao pueden
tomar
condiciones
entre
Insignificante (1) y Alta (4).

En el proceso de analizar un riesgo tambin es importante de reconocer que

cada riesgo tiene sus caractersticas:
Dinmico y cambiante (Interaccin de Amenazas y Vulnerabilidad)
Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad)
No siempre es percibido de igual manera entre los miembros de una

institucin que talvez puede terminar en resultados inadecuados y por

tanto es importante que participan las personas especialistas de los
diferentes elementos del sistema (Coordinacin, Administracin
financiera, Tcnicos, Conserje, Soporte tcnico externo etc.)

Entre ms alta la Probabilidad de Amenaza y Magnitud de Dao, ms grande es

el riesgo y el peligro al sistema, lo que significa que es necesario implementar
medidas de proteccin.
ATAQUE
Se habla de un Ataque, cuando una amenaza se convirti en realidad, es decir
cuando un evento se realiz. Pero el ataque no dice nada sobre el xito del
evento y s o no, los datos e informaciones fueron perjudicado respecto a su
confidencialidad, integridad, disponibilidad y autenticidad.
Se habla de un Impacto, cuando un ataque exitoso perjudic la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.

Clasificacin del Riesgo

El objetivo de la clasificacin
de riesgo es determinar hasta
qu grado es factible combatir
los riesgos encontrados. La
factibilidad
normalmente
depende de la voluntad y
posibilidad econmica de una
institucin, pero
tambin
depende del entorno donde
nos ubicamos. Los riesgos que
no queremos y no podemos
combatir se llaman riesgos
restantes y no hay otra
solucin que aceptarlos.

Implementar medidas para la

reduccin de los riesgos significa
realizar inversiones, en general
econmicas. El reto en definir las
medidas de proteccin, entonces
est en encontrar un buen
equilibrio entre su funcionalidad
(cumplir con su objetivo) y el
esfuerzo econmico que tenemos
que hacer para la implementacin
y el manejo de estas.
De igual manera como debemos evitar la escasez de proteccin, porque nos
deja en peligro que pueda causar dao, el exceso de medidas y procesos de
proteccin, pueden fcilmente paralizar los procesos operativos e impedir el
cumplimiento de nuestra misin. El caso extremo respecto al exceso de
medidas sera, cuando las inversiones para ellas, superen el valor del recurso
que pretenden proteger.
Entonces el estado que buscamos es, que los esfuerzos econmicos que
realizamos y los procesos operativos, para mantener las medidas de
proteccin, son suficientes, ajustados y optimizados, para que respondan
exitosamente a las amenazas y debilidades (vulnerabilidades) que
enfrentamos.

Reduccin de Riesgo
La reduccin de riesgo se logra a
travs de la implementacin de
Medidas de proteccin, que basen en
los resultados del anlisis y de la
clasificacin de riesgo.
Las medidas de proteccin estn
divididas en medidas fsicas y
tcnicas, personales y organizativas.

La fuerza y el alcance de las medidas

de proteccin, dependen del nivel de
riesgo
Alto riesgo: Medidas deben evitar el
impacto y dao.
Medio riesgo: Medidas solo mitigan la
magnitud de dao pero no evitan el
impacto.
Otro punto clave es, que las personas
que deben aplicar y apropiarse de las medias saben sobre su existencia,
propsito e importancia y son capacitadas adecuadamente en su uso, de tal
manera, que las ven como una necesidad institucional.

Control de Riesgo
El propsito del control de riesgo es analizar el funcionamiento, la efectividad y
el cumplimiento de las medidas de proteccin, para determinar y ajustar sus
deficiencias.
Medir el cumplimiento y la efectividad de las medidas de proteccin requiere
que levantemos constantemente registros sobre la ejecucin de las
actividades, los eventos de ataques y sus respectivos resultados. Estos
tenemos que analizados frecuentemente. Dependiendo de la gravedad, el
incumplimiento y el sobrepasar de las normas y reglas, requieren sanciones
institucionales para los funcionarios.