IMPORTANCIA

_empresa competitiva debe tener alto nivel disponibilidad

-era de la IX (IX ES PODER)

-IX es el insumo principal para tomar decisiones

-IX es crítica (puesto que es fundamental para las operaciones de la empresa), valiosa (porque
los datos son esenciales para el objetivo del negocio), sensible (ya que al sistema deben
acceder solo personas autorizadas).

-Mantener la disponibilidad, integridad y autenticidad de la IX para aumentar confianza

stakeholders

Amenazas: robo, fraude, sabotaje, vandalismo, fenómenos naturales, mal uso,

desconocimiento, descuido

-Empleados son protagonistas de la seguridad-desarrollar cultura seguridad-Políticas, Normas,

Buenas prácticas-sensibilizar, concientizar

-LINEAS DE TRABAJO SEGURIDAD INFORMACIÓN.

. Prevención

. Detección

. Evaluar niveles de riesgo

. Respuesta inmediata

. Formación y concientización

RECOMENDACIONES:

-externalizar servicios (menos activos entonces menos riesgos)

-antivirus

-capacitación

-software actualizado (parches)

-contraseñas fuertes

-auditorías internas o externas (para identificar vulnerabilidades en el sistema, se revisa

documentación, se revisa funcionamiento del sistema, los servicios que lo soportan, lenguajes
de programación, y finalmente códigos fuente)

-No brindar información confidencial

-No instalar programas desconocidos

-Evitar conectarse a redes Wifi abiertas (riesgo de que alguien pueda monitorizar tu actividad,
copiar tus contraseñas, conseguir información sobre ti, etc.

-Hacer copias de seguridad.

MEJORES PRÁCTICAS EN SEGURIDAD QUE AYUDAN A GARANTIZAR LA INTEGRIDAD EN BASE DE
DATOS

-Enmascaramiento de datos o permitir a los usuarios acceder a cierta información sin poder
verla ayuda a mantener la confidencialidad incluso en entornos de pruebas.

-Minimizar los extras y limitarse a los servicios, aplicaciones y funcionalidades que realmente
son necesarios para asegurar el normal funcionamiento de las operaciones del negocio, de
esta forma se reduce el riesgo.

-Asegurarse de que los administradores de la base de datos entiendan la importancia de

garantizar su protección.

-Mantener actualizadas las bases de datos y eliminar los componentes desconocidos.

-Recurrir a herramientas como el análisis de código estático, que ayudan a reducir los
problemas de inyección de SQL, desbordamiento de búfer y problemas de configuración.

-Hacer copias de seguridad frecuentes y emplear una fuente de alimentación ininterrumpida o

SAI que garantice que un corte de energía no causa la pérdida de datos.
https://www.medigraphic.com/pdfs/infodir/ifd-2016/ifd1622g.pdf

AMENAZA: violación de la seguridad, que puede ocurrir o no. Pueden ser intencionales o no
intencionales.

RIESGO: probabilidad de que la amenaza se materialice

IMPACTO: es el daño causado por la amenaza

VULNERABILIDAD: debilidad de un sistema. Pueden ser físicas, ambientales, propias del

sistema

EVALUACIÓN DEL RIESGO: evaluar el nivel del riesgo a partir de posibles amenazas,
vulnerabilidades e impacto causado.

GESTIÓN DEL RIESGO: permite:

_reducir la probabilidad de que una amenaza ocurra

_limitar el impacto de una amenaza

_reducir o eliminar una vulnerabilidad

_permitir la recuperación ante el impacto o transferirlo a terceros

TÉCNICAS TRATAMIENTO DEL RIESGO:

1. Impedir: con cambios significativos en los procesos

2. Reducir: Si el riesgo no puede evitarse por dificultades de tipo operacional, la alternativa
puede ser su reducción hasta el nivel más bajo posible.
3. Aceptar: Asumir el riesgo y tomarlas medidas adecuadas para afrontar sus
consecuencias.
4. Transferir: Es buscar un respaldo contractual para compartir el riesgo con otras
entidades.

IMPLEMENTACIÓN DE CONTROLES:

Durante la selección de los controles de seguridad se tendrá en cuenta el costo de cada control
de manera que no se escatimen recursos, pero tampoco se malgasten.

La seguridad informática se logra mediante la implantación de un conjunto adecuado de

controles, que incluyen políticas, procesos, medidas, procedimientos, estructuras organizativas
y funciones de hardware y software.

POLITICAS: normas generales que debe cumplir el personal que participa en un sistema
informático y se derivan de un análisis de riesgos.

MEDIDAS Y PROCEDIMIENTOS: detallas los pasos a seguir para proteger un sistema. Pueden ser
preventivas o correctivas. También pueden clasificarse como: físicas, lógicas, organizativas,
legales o educativas.