SEGURIDAD DE LA INFORMACION

Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger
la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
Para el hombre como individuo, la seguridad de la informacin tiene un efecto significativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del
mismo.
En la seguridad de la informacin es importante sealar que su manejo est basado en la
tecnologa y debemos de saber que puede ser confidencial: la informacin est centralizada y
puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada.
Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y segn las posibilidades
estratgicas que ofrece tener acceso a cierta informacin, sta se clasifica como:
Crtica: Es indispensable para la operacin de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir
numerosas prdidas para las empresas. Los riesgos ms perjudiciales son a las tecnologas de
informacin y comunicaciones.
Seguridad: Es una forma de proteccin contra los riesgos.
La seguridad de la informacin comprende diversos aspectos entre ellos la disponibilidad,
comunicacin, identificacin de problemas, anlisis de riesgos, la integridad, confidencialidad,
recuperacin de los riesgos
La seguridad de la informacin incumbe a gobiernos, entidades militares, instituciones
financieras, los hospitales y las empresas privadas con informacin confidencial sobre sus
empleados, clientes, productos, investigacin y su situacin financiera.
En caso de que la informacin confidencial de una empresa, sus clientes, sus decisiones, su estado
financiero o nueva lnea de productos caigan en manos de un competidor; se vuelva pblica de
forma no autorizada, podra ser causa de la prdida de credibilidad de los clientes, prdida de
negocios, demandas legales o incluso la quiebra de la misma.
La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener programas,
controles y polticas, que tengan como finalidad conservar la confidencialidad, integridad y
disponibilidad de la informacin, si alguna de estas caractersticas falla no estamos ante nada
seguro. Es preciso anotar, adems, que la seguridad no es ningn hito, es ms bien un proceso
continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se
cien sobre cualquier informacin, teniendo siempre en cuenta las causas de riesgo y la
probabilidad de que ocurran, as como el impacto que puede tener. Una vez conocidos todos estos
puntos, y nunca antes, debern tomarse las medidas de seguridad oportunas.

Confidencialidad
Es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados. A
groso modo, la confidencialidad es el acceso a la informacin nicamente por personas que
cuenten con la debida autorizacin.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta
de crdito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de
procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el
cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la
transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo
alguno, se ha producido una violacin de la confidencialidad.
La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien
mira por encima de su hombro, mientras usted tiene informacin confidencial en la pantalla,
cuando se publica informacin privada, cuando un laptop con informacin sensible sobre una
empresa es robado, cuando se divulga informacin confidencial a travs del telfono, etc. Todos
estos casos pueden constituir una violacin de la confidencialidad.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. A groso
modo, la integridad es el mantener con exactitud la informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no autorizados.
La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o
con mala intencin) modifica o borra los datos importantes que son parte de la informacin, as
mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal
autorizado, y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La
integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la
integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la informacin
Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso
modo, la disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en
el momento que lo requieran.
En el caso de los sistemas informticos utilizados para almacenar y procesar la informacin, los
controles de seguridad utilizado para protegerlo, y los canales de comunicacin protegidos que se
utilizan para acceder a ella deben estar funcionando correctamente. La Alta
disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando
interrupciones del servicio debido a cortes de energa, fallos de hardware, y actualizaciones del
sistema.
Autenticacin o autentificacin
Es la propiedad que me permite identificar el generador de la informacin. Por ejemplo al recibir
un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera
persona hacindose pasar por la otra (suplantacin de indentidad). En un sistema informtico se
suele conseguir este factor con el uso de cuentas de usuario y contraseas de acceso.

Poltica de seguridad en contraseas

Habitualmente, cuando un usuario pretende realizar una transaccin con una empresa por medio
de la Red le es requerida una clave de usuario (login) y una contrasea (password). As, en el 24%
de los casos de las empresas que ofrecen sus servicios a travs de Internet, el usuario ha de
registrarse como tal e identificarse para acceder a dichos servicios mediante una contrasea.
Sin embargo, y a pesar de ser una medida de seguridad no demasiado extendida, la importancia
de la utilizacin y robustez de las contraseas y claves es muy elevada.
Debemos ser cuidadosos a la hora de elegir nuestras contraseas tanto en el ordenador del
trabajo, como en el propio del hogar existe informacin y se realizan operaciones cuya
repercusin econmica y personal es muy importante. Esto afecta a los sistemas de las empresas y
equipos informticos, as como a la privacidad del usuario. A ninguno se nos ocurrira dejarle la
llave de nuestro hogar a cualquier desconocido que nos la pidiera, incluso al perderla se procede a
cambiarla inmediatamente. Algo parecido sucede con nuestras contraseas.
A nadie se le ocurrira dejarle el nombre de usuario y contrasea de acceso a nuestros servicios
bancarios por la Red a un desconocido, o siquiera, a un conocido. La repercusin de este hecho
puede suponer desde que nos vacen la cuenta suplantando nuestra persona, o en el caso de
nuestro trabajo, que se apoderen de todos los datos en nuestro equipo contenidos o, incluso,
puedan eliminarlos, perdiendo hasta aos de trabajo por una descuidada gestin de nuestras
contraseas.
As, el phishing, uno de los fraudes ms extendidos ltimamente por la Red, precisamente centra
su objetivo en conseguir las claves y contraseas del usuario, para usarlas con fines espurios. As,
en el caso ms habitual se suplanta la pgina web de una entidad bancaria o financiera (aunque
pueden ser tambin pginas de la administracin, buscadores, subastas) para de este modo, robar
los datos del usuario y realizar operaciones y transacciones econmicas en su cuenta bancaria.
Consecuencias de la sustraccin o revelacin de nuestras contraseas
El objetivo de la sustraccin de nuestras contraseas para con ellas apropiarse de informacin
sensible para el usuario con una finalidad de tipo econmico o bien realizar otras acciones dainas
o delictivas como borrado de toda informacin, chantaje, espionaje industrial, etc. Las
consecuencias son diversas y varan segn el valor que cada usuario haya establecido para la
informacin.
Por ejemplo, si la contrasea corresponde a la de un servicio bancario podran sustraernos dinero
de la cuenta o efectuar otras operaciones con perjuicio econmico para el usuario.
Si la contrasea pertenece al ordenador de nuestro hogar podran tomar su control o robar toda la
informacin contenida en l: como otras contraseas o listados de usuarios y correos electrnicos

o archivos personales y documentos. Otra consecuencia podra ser el borrado completo de toda la
informacin all incluida.
En el mbito laboral, las consecuencias pueden llegar a ser catastrficas si un tercero suplanta
nuestra identidad utilizando nuestro usuario y contrasea. As, podra acceder a los sistemas
corporativos con nuestro usuario y, bien sustraer todo tipo de informacin del trabajador y/o la
empresa, o bien utilizar esta entrada para modificar o incluso eliminar archivos, con las
consecuencias econmicas, de responsabilidad jurdica y prdidas de imagen que ello supondra.
Mtodos por los que nuestras contraseas quedan al descubierto
Los mtodos para descubrir las contraseas de un usuario son variados. En primer lugar, se basan
en la utilizacin de la ingeniera social, por ejemplo utilizando el telfono o un correo electrnico
para engaar al usuario para que ste revele sus contraseas. Dentro de este grupo destaca el
fraude conocido como phishing. En este tipo de estafa online el objetivo consiste en obtener las
contraseas o nmero de la tarjeta de un usuario, mediante un e-mail, sms, fax, etc. que suplanta
la personalidad de una entidad de confianza y donde se le insta al usuario que introduzca sus
contraseas de acceso.
Tambin es posible que el usuario se la comunique o ceda a un tercero y, por accidente o
descuido, quede expuesta al delincuente, por ejemplo, al teclearla delante de otras personas.
Puede ser que el atacante conozca los hbitos del usuario y deduzca el sistema que ste tiene para
crear contraseas (por ejemplo, que elige personajes de su libro favorito) o que asigne la misma
contrasea a varios servicios (correo electrnico, cdigo PIN de las tarjetas de crdito o telfono
mvil, contrasea de usuario en su ordenador, etc.).
Poltica y acciones para construir contraseas seguras:
1. Se deben utilizar al menos 8 caracteres para crear la clave.
2. Se recomienda utilizar en una misma contrasea dgitos, letras y caracteres especiales.
3. Es recomendable que las letras alternen aleatoriamente maysculas y minsculas.
4. Elegir una contrasea que pueda recordarse fcilmente y es deseable que pueda escribirse
rpidamente, preferiblemente, sin que sea necesario mirar el teclado.
5. Las contraseas hay que cambiarlas con una cierta regularidad.
6. Utilizar signos de puntuacin si el sistema lo permite. Como: ! " # $ % & ' ( ) * + , - . / : ; < = > ?
@[\]^_`{|}~
Acciones que deben evitarse en la gestin de contraseas seguras:
1. Se debe evitar utilizar la misma contrasea siempre en todos los sistemas o servicios.

2. No utilizar informacin personal en la contrasea: nombre del usuario o de sus familiares, ni sus
apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasin utilizar datos como el
DNI o nmero de telfono
3.Hay que evitar utilizar secuencias bsicas de teclado (por ejemplo: qwerty, asdf o las tpicas
en numeracin: 1234 98765)
4. No repetir los mismos caracteres en la misma contrasea. (ej.: 111222).
5. Hay que evitar tambin utilizar solamente nmeros, letras maysculas o minsculas en la
contrasea.
6. No se debe utilizar como contrasea, ni contener, el nombre de usuario asociado a la
contrasea.
7. No utilizar datos relacionados con el usuario que sean fcilmente deducibles, o derivados de
estos. (ej: no poner como contrasea apodos, el nombre del actor o de un personaje de ficcin
preferido, etc.).
8. No escribir ni reflejar la contrasea en un papel o documento donde quede constancia de la
misma.
9. No enviar nunca la contrasea por correo electrnico o en un sms. Tampoco se debe facilitar ni
mencionar en una conversacin o comunicacin de cualquier tipo.
10. Si se trata de una contrasea para acceder a un sistema delicado hay que procurar limitar el
nmero de intentos de acceso, como sucede en una tarjeta de crdito y cajeros, y que el sistema
se bloquee si se excede el nmero de intentos fallidos permitidos. En este caso debe existir un
sistema de recarga de la contrasea o vuelta atrs.
11. No escribir las contraseas en ordenadores de los que se desconozca su nivel de seguridad y
puedan estar monitorizados, o en ordenadores de uso pblico (bibliotecas, cibercafs, telecentros,
etc.).