Integridad: 

El diccionario define el término como “estado de lo que está completo o

tiene todas sus partes”. La integridad hace referencia a la cualidad de la
información para ser correcta y no haber sido modificada, manteniendo sus datos
exactamente tal cual fueron generados, sin manipulaciones ni alteraciones por
parte de terceros. Esta integridad se pierde cuando la información se modifica o
cuando parte de ella se elimina, y una gran garantía para mantenerla intacta es,
como hemos mencionado en anteriores ocasiones, la firma digital.
Un aspecto relacionado con la integridad es la autentificación, cualidad que
permite identificar al generador de la información y que se logra con los correctos
accesos de usuario y con otros sistemas como la recientemente mencionada firma
electrónica. Para algunos, incluso, la autentificación sería el “cuarto pilar” de la
Seguridad de la Información.

Confidencialidad: Por confidencialidad entendemos la cualidad de la información

para no ser divulgada a personas o sistemas no autorizados.  Se trata
básicamente de la propiedad por la que esa información solo resultará accesible
con la debida y comprobada autorización.
¿Cómo se pierde esa confidencialidad? Generalmente, haciendo caso omiso a las
recomendaciones de seguridad o no implantando un sistema adecuado; así,
cuando compartimos equipos sin eliminar las contraseñas, olvidamos cerrar
nuestro usuario, tiramos un disco duro sin borrar antes sus datos o no ciframos los
datos de manera adecuada, la información deja de ser confidencial y entramos,
digamos, en una zona de alto riesgo.

Disponibilidad: El tercer y último pilar de la Seguridad de la Información es la

disponibilidad, y es posiblemente el término que menos apreciaciones requiere.
Por disponible entendemos aquella información a la que podemos acceder cuando
la necesitamos a través de los canales adecuados siguiendo los procesos
correctos.
Esta característica, la disponibilidad, puede en ocasiones chocar frontalmente con
la confidencialidad, ya que un cifrado complejo o un sistema de archivado más
estricto puede convertir la información en algo poco accesible, por lo que no se
trata en absoluto de un punto menor y marca en gran medida el buen hacer del
responsable de la seguridad de la información de la empresa u organización.

No es obligatorio el documento, pero si es

esencial implementarlo
La información es un activo que, como otros activos importantes del
negocio, tiene valor para la organización y requiere en consecuencia una
protección adecuada ...
La información adopta diversas formas. Puede estar impresa o escrita en
papel, almacenada electrónicamente, transmitida por correo o por medios
electrónicos, mostrada en video o hablada en conversación. Debería
protegerse adecuadamente cualquiera que sea la forma que tome o los
medios por los que se comparta o almacene.
Qué significa cifrar o encriptar algo

Cifrar una información significa ocultar el contenido de un mensaje a simple

vista, de manera que haga falta una interacción concreta para poder desvelar ese
contenido. El contenido de este mensaje pueden ser archivos, datos, mensajes o
cualquier tipo de información que se te ocurra. En el contexto de Internet,
cualquier contenido que envíes desde tu ordenador a la red puede ser cifrado.
Piensa en la red de redes como un servicio postal en el que todas las cartas van
sin sobre, y que cualquiera puede leer su contenido para leerlo espiándote o para
meter en los mensajes algún tipo de malware. En este contexto, la mejor manera
de proteger el mensaje es cifrarlos. No sería exactamente como meter las cartas
que envías en sobres, sino más bien modificando su contenido.

En el mundo criptográfico, cifrar es un procedimiento que utiliza un algoritmo

matemático. Estos algoritmos modifican el texto, de manera que sólo sabiendo el
mismo algoritmo se puede descifrar para saber qué es lo que se dice.

Un ejemplo sería: mandar las cartas con un texto que no puedas entender. A
simple vista, parece una secuencia incomprensible de letras, números y
símbolos sin sentido. Pero si tuvieras el algoritmo de cifrado, podrías saber que
a determinada letra la sustituye otra, que este símbolo significa esto y lo otro, y, en
definitiva, podrías volver a modificar el contenido de la carta para saber lo que
significa realmente.
Ejemplos de ataques

que la empresa continúe con sus servicios haciendo que la página se cuelgue? El
phishing se usa para describir a los piratas informáticos y a los criminales
cibernéticos, es una forma de estafa que consiste en hacerse pasar por otras
personas en un correo electrónico falso. Está diseñado para engañar al
destinatario y de esta forma obtener información personal como tu nombre,
apellido, los números de tarjetas de crédito y contraseñas; estos correos
electrónicos pueden incluir el logo de un banco o de algún departamento
gubernamental.

Por ejemplo, el phishing crea su propio sitio web que parece idéntico al original del
banco real. Luego envía un correo electrónico del banco al cliente para engañarlo.
El correo es una especie de advertencia con respecto a la seguridad de la cuenta, y
así emitir una nueva contraseña, cuando el cliente hace clic en el enlace se le pide
que ingrese la información confidencial y el cliente comparte su información por
qué no se da cuenta que este es falso. 

Existen varios tipos de phishing, como el phishing clonado, el phishing con lanza, el
phishing telefónico, etc.

El spoofing generalmente se refiere a la estafa en la que el criminal cibernético se

hace pasar por otra persona, la falsificación es similar al phishing, en donde el
atacante roba la identidad del usuario u organización con intenciones maliciosas y
de este modo bajar un malware y/o virus, depende la técnica que se utilice, existen
distintos tipos de spoofing, entre ellos están el IP spoofing, el ARP spoofing, el DNS
spoofing, el web spoofing o el e-mail spoofing.

A diferencia de phishing, el ataque de spoofing puede causar daños sin robar la

información. Por ejemplo, el atacante envía un correo electrónico falsificado que
se parece mucho al de otras organizaciones para engañar a los destinatarios que
no leen a detalle como:

Introducen una liga similar, con una final diferente (como .com en lugar de org.) o
sustituir de la letra “l” con el código de aspecto similar “1”

Las dos técnicas se pueden usar ya sea por separado o simultáneamente, en

términos simples la suplantación de identidad spoofing se refiere a lo que hace un
estafador, mientras que phishing refiere a lo que un estafador está tratando de
lograr. 
Estas organizaciones de ciberdelincuentes cada vez son más comunes y se las
arreglan para adaptar sus ciberataques, se ajustan a cualquier tipo de sistema o
crisis a pesar de los inconvenientes que puedan surgir para trabajar seguro,
debemos de proteger nuestra información personal, si tienes duda con algún
correo electrónico, lo mejor será ponerse en contacto con tu banco o empresa
para solicitar información de esta actividad.
Protección con contraseña es muy parecido a guardar algo en una caja
fuerte; por ejemplo un documento altamente confidencial. Para acceder
al documento, deberá conocer la combinación correcta.
El conocimiento es, literalmente, la llave. Por este motivo, a veces nos
referimos formalmente a la protección con contraseña como
autenticación basada en el conocimiento. Necesita saber la contraseña
para entrar. Si necesita un token físico como, digamos,  una llave real o
una unidad USB para acceder a nuestro documento secreto, esto podría
ser una forma de autenticación basada en una posesión. Si el token (o
«llave») fuera una huella dactilar o una cara, estaría usando autenticación
inherente, porque el token es, literalmente, algo que le pertenece a usted y
solo a usted.
Cifrado es algo así como tomar nuestro documento secreto y mezclar
todas las letras del mismo para hacerlo virtualmente ilegible por parte de
cualquiera que no esté autorizado.
7.6. DEFINICIÓN DEL RIESGO Se considera riesgo la estimación del grado de exposición de un
activo, a que una amenaza se materialice sobre él causando daños a la organización. El riesgo
indica lo que le podría pasar a los activos si no se protegen adecuadamente. Las amenazas son los
eventos que pueden desencadenar un incidente, produciendo daños materiales o inmateriales en
los activos. Las vulnerabilidades son las debilidades que tienen los activos o grupos de activos que
pueden ser aprovechadas por una amenaza. Y por otra parte El impacto es la consecuencia de la
materialización de una amenaza sobre un activo. Es de gran importancia que en áreas donde se
manejan recursos y activos álgidos para la empresa, se evalúe continuamente su exposición al
riesgo, identificar sus fuentes y desarrollar estrategias para minimizar esa exposición. La falta de
Políticas de Seguridad en cualquier organización puede tener como consecuencia:

• Perdida de Dinero.

• Pérdida de tiempo.

• Pérdida de productividad

• Perdida de información confidencial.

• Pérdida de clientes.

• Pérdida de imagen.

• Pérdida de ingresos por beneficios.

• Pérdida de ingresos por ventas y cobros.

• Pérdida de ingresos por producción.

• Pérdida de competitividad en el mercado.

• Pérdida de credibilidad en el sector.

FUENTE: (2019_IMPLEMENTACION_SISTEMA_MESA DE AYUDA.)