Documentos de Académico
Documentos de Profesional
Documentos de Cultura
información de una organización. Para que su acceso a la información allí contenida, así como su
modificación solo sea posible por personas autorizadas.
Valor de la información:
Archivo de computadora, formula de un producto etc. Se clasifican como datos o información. No
solo se trata de proteger los equipos sino toda la información posible. El tema de la seguridad
informática desde la cultura, por ejemplo, las contraseñas escritas en los cuaderno.
ISO 17799
Es un estándar, da la pauta en la definición sobre cuales metodologías, políticas y criterios deber
ser aplicadas
Políticas de seguridad: Se definen como obligatorias, las políticas de seguridades
documentadas y procedimientos internos de la organización.
Aspectos organizativos: Establece un marco forma de seguridad que debe integrar la
organización.
Seguridad Ligada al Personal: Contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la óptica de producción civil, sino da proporcionar controles
a las acciones de personal que opera activos de información.
Seguridad Física y del Entorno: Identificar los perímetros de seguridad de forma que se
puedan establecer controles en el manejo de equipos, transferencia de información y
control de los accesos a las distintas áreas.
Gestión de comunicaciones y operaciones: Integrar los procedimientos de operación de
la infra. tecnológica y controles de seguridad documentados, que van desde el control de
cambios en la configuración de los equipos, manejo de incidentes, administración de
aceptación de sistemas
Control de accesos: Habilitar los mecanismos que permiten monitorear el acceso a los
activos de información que incluyen los procedimientos de admin de usuarios.
Niveles de seguridad:
Están compuestos por la seguridad organizativa, lógica, física y legal. Cada uno de ellos actúa en
distintos ámbitos del dominio de control.
Un sistema debe cumplir todas los estatus legales y normativas de un país donde sea utilizado,
por ejemplo, un sistema de facturación.
Niveles de decisión:
Están compuestos por los niveles operativos, Estratégicos y tácticos. Cada uno de ellos permite
delimitar las tomas de decisiones dentro de los dominios de control , de manera que afecten a los
diferentes niveles organizacionales
Por ejemplo: Cuando existen políticas de seguridad que son implementadas en toda la
organización específicas para áreas restringidas , puestos de trabajo con funciones especiales,
un datacenter solo una persona el sysadm
ISO1779-DOMINIOS DE CONTROL
De estos dominios nombrados se derivan objetivos de control y 127 o mas controles. Ambos se
encuentran destinados a dotar y esparcir seguridad a la información en el ambiente digital.
Principales atacantes:
HACKER: Persona con amplios conocimientos de tecnología, bien puede ser informática,
electrónica o comunicaciones, se mantiene permanente actualizado.
CRACKER: Se denominan a aquella persona con comportamiento compulsivo, que alardea de su
capacidad para reventar sistemas electrónicos e informáticos, Un cracker es hábil conocedor de
programación de software.
Lammer: Personas deseosas de alcanzar nivel de hacker, pero su poca información y sus
conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar creados otros, a
bajar software en forma indiscriminada.
Copyhacker: son una generación de falsificadores dedicados al crackeo de hardware,
específicamente en el sector de tarjetas inteligentes. Su estrategia establece en realizar amistad
con los verdaderos hackers y copiarles los métodos de ruptura.
Bucaneros: Son comerciantes de la red mas no existen en ella; aunque no poseen ningún tipo de
formación en el área de sistemas, si poseen un amplio conocimiento en area de negocios.
Newbie: Es el típico novato de red, sin proponérselo tropieza con una pagina de hacking y
descubre áreas de buenos programas de hackeo y empieza a trabajar con ellos.
Script kiddie: son simples usuarios de internet sin conocimientos de hack o crack , aunque son
aficionados estos temas, , no los comprenden realmente simplemente son internautas-
También llamados los pulsa botones.
Modalidad de ataques:
Ataques pasivos: Cuando la entidad atacante no altera el sistema de comunicación, únicamente la
escucha y monitorea, para obtener flujo de información.
Ataques Activos: Cuando la entidad atacante si altera el sistema de comunicación, tanto en el
mecanismos utilizado por dicho sistema, con el contenido del flujo de información.
Análisis de Riesgo:
Deben ser considerados en el contexto del negocio y las interrelaciones con otras funciones de
negocios, tales como recursos humanos , desarrollo, producción etc. Y los clientes serán
identificados para lograr una imagen global y comenta de riesgos.
Es importante recordar que el riesgo es impacto negativo.
Existen diferentes riesgo residual, total así como también el tratamiento del riesgo , evaluación del
riesgo y gestión del riesgo entre otras.
Formula determinar el riesgo total: RT (Riesgo Total)= Probabilidad x Impacto promedio.
Circulo de Deming
Tipo plan-do-check-act
Gobierno de IT
Parte integral del gobierno de la empresa, consiste en el liderazgo , las estructuras organizaciones
a los procesos que aseguran que la organización e IT y las estrategias y objetivos de la organización
se encuentre alineado.
La norma se aplica al gobierno de los procesos de gestión de las TI en todas las tecnologías.
Beneficios de un buen gobierno de TI: