Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La seguridad de la
Información y sus riesgos
1
1.1 Introducción a la
seguridad de la
información
El activo de mayor importancia en las organizaciones es la
información. Se puede contar con un equipo de trabajo productivo y
creativo, pero los datos y la información se convierten en lo más
valioso que se produce. Imaginemos una organización que vende
productos, el registro de sus ventas y consumos es lo que le da poder
para tomar futuras decisiones en base a esos datos. Desde un punto
de vista formal, la información de clientes, empleados, productos
almacenados en los centros de datos son importantes. Asegurar esta
información es una tarea primordial.
2
Confidencialidad (confidentiality)
El usuario es el eslabón más débil de una organización, en cuanto a
seguridad de la información. Generalmente representado por
empleados internos, este usuario es el mayor peligro para la filtración
de información, robo, pérdida o accidente.
3
Por lo tanto, se clasifica generalmente por ámbito de trascendencia,
es decir que la información será:
Pública.
Privada.
Confidencial.
Secreta.
Integridad (integrity)
La integridad refiere a mantener la forma real de los datos y no
generar datos apócrifos, falsos o incompletos.
Por ejemplo:
Disponibilidad (availability)
El acceso a la información en todo horario desde cualquier punto del
mundo es algo que incide en la disponibilidad. Podremos encontrar
siglas como 24 x 7 x 365 (que quiere decir todo el año, todos los días
de la semana, las 24 horas).
4
mayoría y realizar las tareas de la manera más inadvertida
posible.
Disponer de diferentes ambientes de sistemas informáticos,
segregar las áreas para poder realizar testing o
implementaciones puntuales del sistema de la organización.
Auditoría
Para conocer si los procesos se llevan a cabo de manera adecuada y
si siguen los planes o tareas correctos para garantizar el buen trato
de la información se realizan relevamientos exhaustivos denominados
auditorías.
Gestión de activos
Es la planificación de políticas que indican los límites y procedimientos
en la identificación, uso, administración y responsabilidad de activos
dentro de la organización. Por ejemplo:
5
Al establecer la pertenencia de cada activo y por medio de la gestión
de incidentes, podremos potenciar las prácticas utilizadas en la
confidencialidad de la información, como así también, la disponibilidad
e integridad.
Gestión de incidentes
Conocer los incidentes que se pueden producir permite mitigar o
reducir la posibilidad de que ocurran. Para ello se estudia y se lleva a
cabo una serie de procedimientos que permiten reconocer los
incidentes y cómo reaccionar o responder a los mismos. La gestión
de incidentes colabora en que la información esté disponible.
6
Figura 2. Posicion de mecanismo en la seguridad informatica
7
En la siguiente tabla veremos cómo algunas normas ayudan al
gobierno de TI en la comprensión y control:
Tabla 2. Normas
Área COBIT ITIL ISO 27000
Funciones Mapeo de Mapeo de la gestión Marco de
procesos en de niveles de referencia de
tecnología de la servicio en seguridad de
información. tecnología de la la información.
información.
Implementación Auditoría. Gestión de servicios. Cumplimiento
de estándar de
seguridad.
Fuente: elaboración propia.
8
Cumplimiento de procedimientos. El termino compliance
refiere al cumplimiento de procedimientos que aseguran el uso
de las buenas prácticas interna y externa.
Alineamiento estratégico. De suma importancia no perder el
camino diagramado desde la alta gerencia para tener claro a
largo plazo los objetivos y misión de la organización.
Análisis y gestión de riesgos. Estar preparados para cualquier
incidente es fundamental y analizar los distintos escenarios que
se pueden presentar para tomar las medidas correspondientes.
Medidas y métricas. Las estadísticas son fundamentales para
poder alinear las estrategias o las respuestas tácticas ante lo que
suceda en los procesos de la organización.
Generación de valor. La ganancia propiamente dicha para la
organización con el cumplimiento de objetivos que tienen
propuestos.
Figura 4: Gobierno de TI
9
1.2 Amenazas,
vulnerabilidades y riegos
Conceptos y tipos de riesgos
El riesgo es un suceso que provoca algo negativo dentro de los
procesos de la organización y puede significar la pérdida o peligro
sobre activos. Por ejemplo, la corrupción o robo de información.
10
Tabla 3: Riesgos y sus escenarios
Riesgo Ámbito Escenario
Terrorismo Conflictos civiles o Puede ser físico o virtual
entre países. (Sinónimo de
cyberguerra).
Financiero Conflictos en la bolsa. En el peor escenario se
Problemas puede ver involucrado un
económicos del país. sabotaje.
Inconvenientes de En economías de
inversión o falta de algunos países, la falta
recaudación. de solvencia provoca el
desmoronamiento de las
organizaciones.
Fraude Falta de fidelidad. Generalmente se provoca
Competencia. por actores externos a
Delincuente una organización.
informático. Pueden verse
involucrados empleados
de la organización.
Se puede dar el caso en
que delincuentes
informáticos utilizan
recursos de la
organización para realizar
fraudes.
Legales Confidencialidad. Un factor puede darse en
Incumplimiento de el sabotaje de
servicios. disponibilidad de
servicios en la
organización por ataques,
por ejemplo, de DDOS.
Otro factor es romper con
el secreto de proyectos o
información de la
organización.
Reputación Falta de servicios. No cumplir con la
Incumplimiento en disponibilidad de
servicios. servicios, puede provocar
que la imagen de una
organización se vea
afectada, ya sea por
publicaciones falsas o
reales, se debe estar
atento a este tipo de
riesgos.
Ambientales Inundación. Todos los factores
Huracán. climáticos ajenos a la
Caída de meteoro. mano del hombre pueden
11
Otros. provocar un resultado
gravísimo en la
disponibilidad de
servicios o activos.
Fuente: elaboración propia.
12
La gestión de riesgos pertenece a las políticas de seguridad que tiene
la organización y su objetivo es:
1.2.3 Contramedidas
En una organización la planificación estratégica en la seguridad de la
información es crucial. Para poder contemplar el amplio escenario de
las posibles amenazas que podrían provocar pérdidas económicas,
debemos conocer e implementar buenas practicas con la ayuda de
normas internacionales.
13
Además de basarnos en las normas, tenemos que implementar y
considerar las contramedidas que se pueden integrar para repeler,
mitigar o disminuir el riesgo.
14
Identificación Gracias al monitoreo y control, se
pueden identificar nuevos sucesos,
que pueden ser riesgos.
Análisis Al ser identificados los nuevos
sucesos en el análisis, se determina
si efectivamente son riesgos y qué
nivel de riesgo puede impactar en la
organización.
Ejecución La implementación de las tareas que
están en el plan de gestión.
Comunicación En todos los procesos de gestión es
fundamental comunicar cada tarea.
De esta forma se retroalimenta el
sistema de gestión de riesgos.
Fuente: elaboracion propia.
15
Referencias
Cao Avellaneda, J. (10 de junio de 2008) Publicada la ISO
27005:2008 [entrada de blog] recuperado de http://seguridad-de-la-
informacion.blogspot.com/2008/06/publicada-la-iso-270052008.html
16
17