Está en la página 1de 8

¿Qué es seguridad de la información?

La seguridad de la información permite asegurar la identificación, valoración y gestión de los


activos de información y sus riesgos, en función del impacto que representan para una
organización. Es un concepto amplio que no se centra en la protección de las TIC sino de todos
los activos de información que son de un alto valor para la institución.

En este sentido, debemos entender a la seguridad de la información como un proceso


integrado por un conjunto de estrategias, medidas preventivas y medidas reactivas que se
ponen en práctica en las instituciones para proteger la información y mantener su
confidencialidad, disponibilidad e integridad de la misma.

Reflexiona las siguientes preguntas:

1. ¿Identifico qué información sensible debo proteger?

2. ¿Conozco las consecuencias de la pérdida de datos sensibles?

3. ¿Identifico las posibles amenazas a la información que manejo?

4. ¿Sé qué hacer en casos de robo de información?

Instituciones que participan en la seguridad de la información:

 DGTI

 Comunidad UV

 Servicios Generales

 Control Patrimonial
 Recursos Humanos

 Comité de Seguridad

 Protección Civil

1.2

Importancia de la seguridad de la información

Las organizaciones y sus activos de información, sean estos físicos o digitales, se enfrentan de
forma creciente a amenazas como: fraude asistido por computadora, espionaje, sabotaje,
vandalismo, fenómenos naturales, descuido, desconocimiento o mal uso del tratamiento de la
información por parte del recurso humano. Muchas de esas amenazas provienen de ingenieros
sociales, hackers, empleados negligentes, errores, entre otros, que buscan dañar la integridad
de una organización.

Existen dos factores importantes de la seguridad de la información:

a. La importancia o valor de los datos de acuerdo con los intereses y necesidades de cada
persona o institución;

b. La difusión o acceso, autorizado o no, de los mismos.

Haz clic en las imágenes para visualizar las infografías:


Caso de impacto
mundial

Caso de impacto
internacional

1.3

Elementos de seguridad de la información

La implementación de la seguridad vincula la participación de tres elementos


generales: personas, procesos y tecnología.

Haz clic en los elementos de la imagen para conocer la información.

Personas

Personas que usan o tienen un interés en la seguridad de la información: autoridades,


funcionarios, académicos, alumnos, personal de base, de confianza y demás empleados;
clientes, proveedores, prestadores de servicios, contratistas y consultores.

1.3.1

Activo de información

De acuerdo con la Metodología de Análisis y Gestión de Riesgos de los Sistemas de


Información (MAGERIT V3)*, un activo se define como los elementos del sistema de
información (o estrechamente relacionados con este) que soportan la misión de la
organización. Un activo es aquello que tiene un valor para la organización y por tanto debe
protegerse.

Los activos de información se clasifican de la siguiente manera:

Coloca el cursor sobre los recuadros con el botón para conocer la información.
Activos

Primarios

Datos o información que se manipula dentro de la organización

Procesos que soportan la organización

De soporte

Servicios

Software

Hardware

Redes de comunicaciones

Recurso humano

Sitios

Soportes de información

Equipamiento auxiliar

Instalaciones o infraestructura física

Bienes intangibles

1.3.2

Dimensiones, riesgos, amenazas, vulnerabilidades

Las dimensiones de la seguridad están constituidas por tres conceptos fundamentales,


presentados a continuación:

 Confidencialidad: propiedad que permite que la información solo esté disponible o sea
revelada a personas, entidades o procesos autorizados.

 Integridad: propiedad de la exactitud e integridad de la información.

 Disponibilidad: propiedad de la información para estar accesible y utilizable al


solicitarlo una entidad autorizada.
Existen otros importantes elementos que se deben considerar al hablar de seguridad de la
información y que están fuertemente vinculados a la implementación de sistemas de
seguridad: ¿Cuáles son?

Haz clic en las flechas laterales para conocer los elementos.

1.

2.

3.

4.

5.

6.
Riesgo

Grado de exposición de un activo ante una amenaza que al materializarse causaría un impacto
adverso. Indica lo que le podría pasar a los activos si no se protegen adecuadamente.

Next

1.3.3

¿Por qué debemos identificar riesgos y medir su impacto?

Dentro de una organización, el tema de la seguridad de la información es un punto importante


qal que es necesario dedicar tiempo y recursos. Por esta razón, una organización debe crear un
Sistema de Gestión de la Seguridad de la Información (SGSI), con el objetivo de salvaguardar la
información, una vez identificados los “activos de información” que deben ser protegidos y en
qué grado.

La seguridad es un proceso que nunca termina, ya que los riesgos no se eliminan


completamente. Por ello es necesaria una adecuada gestión de la seguridad de la información,
para contribuir a disminuir los riesgos que la institución soporta, y a minimizar los daños en los
activos de información, en caso de que los riesgos lleguen a materializarse.

Por tal motivo, es importante que la institución implemente el SGSI, ciclo repetitivo de cuatro
niveles: Planificar, Hacer, Verificar y Actuar.

Haz clic en los conceptos del esquema para conocer la información.

Planificar

Consiste en establecer el contexto en el que se crean las políticas de seguridad, realizar el


análisis de riesgos y seleccionar los controles y el estado de aplicabilidad.

Autoevaluación

Lee la pregunta y selecciona la respuesta correcta. Haz clic en “Siguiente” para ir otra
pregunta. Una vez que termines, haz clic en "Evaluar" para conocer tu desempeño. Puedes
repetir la autoevaluación las veces que lo requieras utilizando el botón “Reintentar”.

1. Primera pregunta. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

a) Opción 1

b) Opción 2
c) Opción 3

d) Opción 4

l riesgo de TIC’s

Tecnologia de la información

y la comunicación

Ya se nos han instalado casi sin darnos cuenta toda una serie de palabras, conceptos y siglas
que en ocasiones suenan de manera abrupta, otras de manera hostil y en ocasiones incluso
nos evocan malos recuerdos. ¿Quién no se ha peleado educadamente con una PDA, quién no
ha lidiado con las IP’s dinámicas de su conexión ADSL a Internet o con el servidor POP3 de su
e.mail, quién no ha tenido algún encontronazo con su PC, con el RSS de su teléfono 3G o con
su smartphone? Ya no podemos ir al banco sin que nos recuerden que no tenemos dada de
alta una segunda tarjeta de crédito, que se nos caduca la tarjeta e-cash o que nos miren con
condescendencia cuando solicitamos un talonario de cheques y muy discretamente nos
sugieran que utilicemos la banca on-line. Y es que todas estas siglas, conceptos y palabras que
nos suenan a alguna lengua bárbara se han ido introduciendo en nuestras vidas y ya no
concebimos nuestra realidad sin ellas, han aparecido y se nos han implantado oliendo a
novedad, a atractivo, a necesidad, a rapidez y de manera casi sibilina se han convertido en
artículos imprescindibles, de primera necesidad, sin los que ya la economía local, regional y ya
no hablemos de la mundial, nos parecen impensables e inviables sin su ayuda.

En la parte más reciente de la Historia contemporánea, hemos pasado de la sociedad industrial


a la sociedad de la información y de la tecnología, de la economía rústica a la macroeconomía
controlada por tecnología de alto standing, de la economía local a la global. Estamos ya ante
un escenario sin fronteras donde uno de los elementos más predominantes, sino el que más,
es el económico y donde junto a la economía lícita aparece la economía criminal global, la cual
se beneficia y sostiene en las infraestructuras que proporciona el sistema financiero
internacional. Éste padece de débiles controles y rápidos movimientos de capitales gracias a la
implantación generalizada de las nuevas tecnologías de la información y la comunicación (TIC).

Es por todo ello que nos encontramos ante un campo de cultivo recién estrenado, arado y
abonado donde hemos sembrado de manera acelerada, poco pausada, sin tiempo casi para el
asentamiento y para la costumbre, donde ya empezamos a recoger los frutos … y las malas
hierbas. En la implantación de las TIC apenas la tecnología se renueva y perfecciona, ya la
tenemos implantada en nuestros hábitos diarios y ¿cómo no? este es el nuevo campo abonado
de acción donde los mismos delitos se cometen con nuevas formas, comisiones delictivas
eternas con formas novedosas que gracias al desconocimiento y al asentamiento tienen
cancha para abrirse camino, para crecer casi sin esfuerzo.

Entre los factores que han favorecido la aparición de esta problemática podemos contar el
borrado de las fronteras en Europa, el libre movimiento de personas, bienes y capitales en el
marco de la unión aduanera, la falta de uniformidad legislativa, la descoordinación de los
sistemas penales internacionales, la evolución y expansión de las TIC y la dependencia de la
empresa privada a las TIC para resistir en el mercado, entre otros. Como consecuencia, en este
escenario observamos la aparición de nuevas modalidades delictivas como la intrusión a los
sistemas informáticos, el riesgo de la interceptación fraudulenta de las comunicaciones
telefónicas, la falsificación impecable de las tarjetas de crédito, la difusión no controlada de
obras y derechos protegidos por la propiedad intelectual e industrial, el sabotaje a sistemas
informáticos y a sus redes, la falsificación de moneda, la falsificación de documentos
electrónicos, nuevas estafas a sistemas financieros como la banca electrónica y otros ejemplos
que en ocasiones pueden parecer ser incluso más grandes que las ventajas que ofrece.

Ya nos parece lejos en la tecnología pero no en el tiempo las primeras experiencias en delitos
informáticos como fue un caso de los años sesenta en el que se defraudaba a la compañía
telefónica americana AT&T mediante la bautizada como caja azul , objeto que no era mas que
un dispositivo electrónico que falseaba una multifrecuencia de marcaje electrónico y permitía
hacer llamadas internacionales sin coste.

El delito o crimen informático no se trata de un delito nuevo o de un delito especial como en


ocasiones se cree erróneamente, ya que éste no requiere de ningún elemento especial para su
autoría. En definitiva es delito informático cualquier conducta típica en relación a la cual el
conocimiento de la tecnología es esencial para su comisión, investigación y persecución. Estos
delitos pasan en su mayor parte desapercibidos por la mayoría de la población debido a que
son poco conocidos y menos aireados en la prensa si no son casos especialmente significativos,
pasando de manera discreta y silenciosa, me atrevería a decir que pasan de manera casi oculta
e ignorada.

Todos tenemos en nuestra memoria la noticia de un Asalto informático al Pentágono


protagonizado por dos adolescentes de 16 y 17 años, hecho del que incluso se hizo guión y
película, situación que puso en entredicho uno de los edificios más blindados del mundo
perteneciente al Departamento de Defensa de los Estados Unidos y dotado de los mejores y
más exhaustivos sistemas de seguridad. Controles de acceso que fueron vulnerados por dos
jóvenes hackers que penetraron en sus ordenadores mediante la red Internet. Es evidente que
si se llegó a vulnerar este sistema, el resto de arquitecturas empresariales o domésticas no
estaban libres de intrusiones ilícitas. El impacto en el imaginario colectivo no fue menor que el
causado por cualquiera de los actos terroristas que han podido ocurrir en nuestra sociedad