Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Si lo que quieres es saber si estás al día en lo que ha ciberseguridad se refiere este es el lugar
adecuado para ti. El programa maligno y los hackers evolucionan perfeccionando sus tácticas con
fines nada éticos, es por eso por lo que tú también deberás actualizar tus formas de protección de tus
datos para ponérselo lo más difícil posible. En este tema, podrás conocer algunos consejos en cuanto
a la necesidad de protección de las contraseñas de acceso, así como sobre la mejor gestión de los
privilegios para la gestión y acceso a la información en las organizaciones.
Al final, se trata de reducir los riesgos al mínimo, procurando ser lo más cuidadoso posible. En ese
sentido, una buena administración de las contraseñas a nivel interno y la implementación en entornos
empresariales de soluciones que protejan y vayan rotando de forma segura las contraseñas es uno de
los primeros pasos que se habrán de tomar.
Esta forma de seguridad informática trata de hacer compartimentos estancos, para entrar en otro hace
falta cerrar el anterior, de este modo se evitan exposiciones de información innecesarias. La
información es poder, sin embargo, las personas acceden muy fácilmente a la renuncia de su
1
información y datos personales a cambio de la comodidad y el fácil acceso a aquellos servicios y
aplicaciones que usan día a día.
Tanto los Sistemas de Gestión de Seguridad de la Información como las redes de trabajo de cualquier
organización se ven constantemente afectados por amenazas de seguridad, por ciberataques y por
fraudes informáticos. Además, se enfrentan continuamente a sabotajes o virus con el consiguiente
riesgo de eliminación y pérdida de la información. La clave está en que la organización invierta recursos
en aplicar herramientas que mejoren la seguridad.
En lo que a seguridad de la información se refiere, algunos de los aspectos fundamentales que deben
ser analizados y medidos, son:
• La disponibilidad de los datos
• La confidencialidad de los documentos
• La integridad de la información
2
• Robo de información
Probablemente esta sea la más obvia de todas las razones para considerar la seguridad de la
información como parte de la organización de la empresa. Sin embargo, hay implicaciones a estos
robos. Por ejemplo, cada empresa construye su know how (saber hacer) que no es otra cosa que el
perfeccionamiento de sus procesos con respecto al interior, el saber cómo llegar al resultado o
producto esperado. Ese es un bien o activo intelectual de la empresa, con mayor valor en algunos
casos que los bienes inmuebles.
• Pérdidas económicas
La pérdida de activos en sí ya representa una pérdida económica, pero al vulnerar nuestra información,
también se corre el riesgo de perder capital y liquidez. El dinero es común que se maneje de forma
digital hoy en día. Los billetes y monedas poco a poco han disminuido su influencia para darle paso a
nuevas formas de comercio e intercambio, como las tarjetas de crédito y débito, las bancas digitales,
transferencias interbancarias, entre otros. Estas nuevas medidas nos llevan a correr riesgos. Un
ejemplo es el robo de datos bancarios, de los cuáles hemos visto o cuando menos escuchado, que
han existido miles de fraudes y robos que han puesto en riesgo las finanzas personales de muchos.
3
activo valioso, la información debe ser resguardada para evitar poner en riesgo la viabilidad de la
empresa.
• Seguridad personal
La información es poder, dicen por ahí, y eso es cierto, al ofrecer información estamos dándole cierto
poder a la otra persona. Si lo pensamos así, probablemente seremos mucho más cuidadosos con el
uso de la información. Como parte de las vulnerabilidades, encontramos nuestra seguridad expuesta
si no cuidamos nuestra información. Un ejemplo ya lo vimos con el robo de datos bancarios, sin
embargo, existen un sin fin de malos usos que se puede dar a otro tipo de información. Un ejemplo es
la cantidad de escándalos que hemos visto en diarios o páginas de Internet debido a filtraciones de
información o robos de datos a políticos, empresarios e incluso artistas.
• Competencia empresarial
Ya vimos que puede suceder cuando gente utiliza el pretexto de la competencia para realizar acciones
poco éticas y sacar ventaja del resto. Pero, por otro lado, ¿qué nos dirías si te decimos que la seguridad
de la información también representa una oportunidad de mercado? Algo que puede convertirse en
una ventaja comparativa con el resto o cuando menos no jugarnos en contra. Al ser un tema que poco
a poco ha tomado relevancia en el mundo, es una demanda cada vez más solicitada en el mercado y
que muy pronto seguramente más que una demanda, se convertirá en una exigencia mínima a
garantizar.
4
gerente no requiere absorber todo este conocimiento para ello debe concentrar sus esfuerzos en cinco
áreas:
• Conceptos base: Orientar esfuerzo en los conceptos técnicos que le permitirán comprender
los sistemas de información y su contribución a las operaciones empresariales, la toma de
decisiones gerenciales y la ventaja estratégica de la empresa según su naturaleza.
• Tecnología: conceptos, desarrollos y aspectos gerenciales en la tecnología de la información,
es decir hardware, software, redes administración de base de datos y otras tecnologías de
procesamiento de información.
• Aplicaciones: Los principales usos de los sistemas de información para operaciones,
administración y ventaja competitiva de una empresa, incluidos el comercio electrónico
mediante el uso de internet, intranets y extranets.
• Desarrollo: Comprende la forma en que los usuarios finales o especialistas de información
desarrollan soluciones de sistemas de información a problemas empresariales utilizando
metodologías de desarrollo de sistemas de información.
• Los desafíos de manejar en forma efectiva y ética los recursos y estrategias en el uso de la
tecnología de la información en los niveles global, empresarial y de usuario final.
Si una empresa quiere ser competitiva en los tiempos que corren debe contar con sistemas, recursos
y plataformas TIC ágiles y con un alto nivel de disponibilidad, lo que exige una gestión efectiva y un
amplio proceso de transformación digital. El proceso de transformación digital en el que están inmersas
la mayoría de las organizaciones y la sociedad en general permite que se puedan cometer ataques
contra la seguridad informática de las empresas desde cualquier parte del mundo utilizando como
herramienta tan solo un ordenador. Es por esto por lo que las organizaciones tienen que prestar
especial atención a protegerse de posibles ataques eventuales ya que nadie está a salvo del programa
maligno.
5
Recomendaciones para tener un sistema informático seguro
El sistema informático de una empresa para ser considerado seguro debe ser íntegro y confidencial
(accesible sólo para personas autorizadas), irrefutable (las acciones realizadas no se pueden negar)
y tener buena disponibilidad (estable y disponible en el tiempo). Algunas de las medidas
recomendadas por especialistas para evitar los ciberataques son:
• Externalizar servicios: al no tener tantos activos disminuye el riesgo de ataques.
• Contar con un buen antivirus que nos garantice protección.
• Capacitación de los usuarios: formar a los usuarios de los sistemas de seguridad informática en
materia de ciberseguridad.
• Mantener actualizado el software.
• Prestar atención a las contraseñas.
• Realizar auditorías de software.
• Posibilidad de contratar un ciberseguro.
Por lo tanto, la seguridad de la información resguardará los datos que están a disposición del sistema
de cada empresa y mantendrá el acceso limitado únicamente a los usuarios con autorización. Sin
embargo, tan importante es el resguardo como la seguridad de que la información como la modificación
de esta, por lo que también garantizará que la información sea solamente modificada de la mano de
las personas con los permisos correspondientes.
6
La seguridad de la información parte de la premisa de que los datos son el nuevo gran valor y tesoro
de la nueva realidad, ya que los malos manejos que se puedan hacer con ella pueden ser catastróficos,
para gobiernos, empresas e incluso para las personas que manejan datos delicados en línea.
Recapitulando lo anterior, el concepto de seguridad de la información contempla 3 elementos
importantes para identificar la información a proteger:
1. Crítica: Esto quiere decir que la información es indispensable para el funcionamiento y
operación de la institución o empresa.
2. Valiosa: Como lo mencionamos, son activos indispensables de las instituciones, por lo tanto,
deben ser resguardadas y protegidas para evitar poner en riesgo el futuro de la organización.
3. Sensible: Esto significa que solo debe ser conocida por las personas autorizadas por la
organización.
Como complemento a lo anterior, existen dos conceptos que es importante a considerar para
comprender el tema:
• Riesgo: Es la materialización de las vulnerabilidades que están identificadas en la institución y
que resulta de la combinación de la probabilidad que suceda un evento no deseable y su
impacto negativo a la organización.
• Seguridad: Es la forma en que la institución se protege de los riesgos.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo
el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en espacio, acceso,
rapidez en el procesado de dicha información y mejoras en la presentación de esta. Pero aparecen
otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más
posibilidades de que desaparezca ‘por el camino’. Si es más fácil acceder a ella también es más fácil
modificar su contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red
es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando,
evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos
requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la
solución, pero la esencia es la misma.
7
La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas
a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además,
abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Como
vemos el termino seguridad de la información es más amplio ya que engloba otros aspectos
relacionados con la seguridad más allá de los puramente tecnológicos.
• Confidencialidad
Desde las grandes empresas hasta las personas tienen información y contenidos que no desean
compartir con cualquiera. Es necesario que los sistemas de seguridad impidan el acceso a quienes no
deberían ver estos contenidos. Es la clave de la confidencialidad. Por ejemplo, hay países en los que
las leyes federales indican que la información de los estudiantes en las universidades debe estar
restringida. Así que solo el personal autorizado debería poder acceder a los registros de calificaciones.
• Integridad
Es la garantía de que la información a la que se accede no se ha alterado por accidentes o intentos
maliciosos y que lo que allí se lee es exactamente lo que se pretende. Lo que la integridad nos sugiere
es que la información a la que accedemos es verdaderamente confiable, que podemos aceptarla como
un hecho. Pero sabemos que la información puede perder su integridad. Por ejemplo, cuando un pirata
informático ingresa al sistema de una universidad y cambia las calificaciones a conveniencia. Sin
embargo, la integridad también se puede perder de manera involuntaria. Un ejemplo de esto es cuando
alguien autorizado. por error, borra o cambia datos de algún archivo de información, o cuando por una
falla de energía, se corrompe un archivo, y así sucesivamente.
• Disponibilidad
Esta tercera parte de la triada de la CIA se refiere a la posibilidad de que alguien autorizado pueda
acceder sin problema a la información y si es necesario, modificarla. La información debe poder
accederse en el momento en que se necesita, y esto dependerá del tipo de trabajo. Un operador de
8
acciones debe recibir la información de inmediato, mientras que un vendedor de inmuebles puede
esperar al día siguiente para ver cómo cerraron las ventas del día. Con la definición clara de las
funciones se asegura que todo el recurso humano (empleados, contratistas y terceros) vinculados con
la empresa entiendan sus responsabilidades y estén en las condiciones para desarrollarlos; de esta
forma se pueden reducir riesgos de fraude y uso inadecuado de los activos de información de la
empresa.
Factores Externos
• Hackers
• Crackers (personas que rompen o vulneran algún sistema de seguridad)
• Lammers (persona con falta de habilidades técnicas)
• Motivaciones: Ranking, reto personal, robo de datos, pruebas, etc.
• Troyanos
• Spam
• Virus
• Ataques contra servicios WEB
• Robo de Identidad
9
• Cross Site Scripting (tipo de vulnerabilidad informática o agujero de seguridad típico de las
aplicaciones Web)
• SQL Injection Exploits (es un tipo de ciberataque encubierto en el cual un hacker inserta código
propio en un sitio web con el fin de quebrantar las medidas de seguridad y acceder a datos
protegidos)
• Denegación de Servicio
• Phishing (delito de engañar a las personas para que compartan información confidencial)
10
La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos
informáticos (aplicaciones y datos) de usuarios, de robos, de pérdidas de datos, de entrada, de virus
informáticos, de modificaciones no autorizadas, de ataques desde la red, etc. La seguridad lógica, por
otro lado, se encarga de proteger todo lo relacionado con el software y/o la información contenida en
los equipos. Complementa la seguridad física con antivirus, encriptación de información, y otros
mecanismos para la protección y privacidad de los usuarios de la red.
Esta es una referencia a la protección por el uso de software en una organización. Incluye identificación
de usuarios y contraseñas de acceso, autenticación, derechos de acceso y niveles de autoridad.
Dichas medidas tienen el propósito de asegurar que solo determinados usuarios tienen la capacidad
de acceder a información en una red o un equipo concreto. El fraude es un ejemplo de incumplimiento
lógico malicioso. Y aunque el problema pudo haber sido introducido accidentalmente en un ordenador,
su concepción original es maliciosa. Algunas soluciones son: Antimalware, Antispam, Firewall, End
Point, Check Point.
• Autenticación
La forma de identificar a alguien que está sentado detrás de una computadora o de un cajero
automático (es decir, alguien que no podemos ver), es con una herramienta de autenticación. Se puede
lograr identificar a alguien con autenticación a través de tres o más factores: algo que la persona sabe,
lo que tiene o lo que es. Esto se refleja actualmente en la forma más común de autenticación, el usuario
y la contraseña. En ese caso la persona accede a la información una vez que demuestra algo que
sabe (la contraseña).
La autenticación por algo que la persona tiene lleva a un nivel más complejo, pues la información se
obtiene a partir de un objeto, sea una llave o una tarjeta. Si ese elemento de identificación es robado,
las barreras de seguridad se traspasan fácilmente. Pero respecto al último factor, algo que la persona
11
es, implica la autenticación a partir de una característica física de la persona, por ejemplo, un escáner
ocular o una huella digital, así que es mucho más difícil de comprometer.
Así que solo los usuarios con esas capacidades en concreto pueden ejercer las funciones. Y si alguien
no está en la lista ni siquiera sabe que existe. Este sistema de listas es fácil de entender y mantener,
pero cada recurso de información se administra por separado. Eso significa que eliminar un usuario o
un conjunto de recursos de información es bastante difícil. Y mantener esta herramienta cuando se
unen cada vez más usuarios se hace más complicado. Por eso existe el control de acceso basado en
roles.
• Criptografía o Cifrado
Cuando una organización o empresa necesita trasmitir datos a través de internet o por medios externos
como un CD o una unidad flash, entra en juego el cifrado. En estos casos es probable que una persona
ajena tenga acceso a pesar de la autenticación y el control de usuario. Así que el cifrado funciona
como un proceso de codificación de datos en su transmisión o almacenamiento para que solo las
personas autorizadas puedan leerlo. Se logra la codificación a través de programas de computación
que codifican el texto plano que necesita ser trasmitido.
Entonces el destinatario recibe el texto cifrado y lo decodifica (descifrado), y para que así sea,
remitente y destinatario deben haber acordado un método de decodificación. Ambas partes comparten
la clave y a esta estrategia se le conoce como cifrado de clave simétrica. Pero tiene sus
complicaciones, ya que la clave está disponible en dos lugares al mismo tiempo.
Sin embargo, una buena opción es el cifrado de clave asimétrica. En este sistema se utilizan dos
claves: una pública y una privada. Para enviar un mensaje cifrado, obtiene la clave pública, codifica el
12
mensaje y lo envía. El destinatario al recibirlo usa la clave privada y lo decodifica. Así, múltiples
usuarios con la clave pública pueden enviar un mensaje cifrado al destinatario que los recibe a través
de la clave privada. Cada usuario simplemente necesita una clave privada y una pública para asegurar
los mensajes.
También existe el cifrado híbrido utilizado en las conexiones seguras de Internet que se sirven de
una mezcla de los dos tipos de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro.
Lo que suelen hacer protocolos de comunicación seguros como HTTPS (Protocolo seguro de
transferencia de hipertexto).
La seguridad informática debe establecer normas que minimicen los riesgos que puedan sufrir la
información o la infraestructura informática. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de
13
emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática
minimizando el impacto en el desempeño de los trabajadores y de la organización en general. La
seguridad informática está concebida para proteger los activos informáticos, entre los que se
encuentran los siguientes:
• La infraestructura computacional: es una parte fundamental para el almacenamiento y
gestión de la información, así como para el funcionamiento mismo de la organización. La función
de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente
y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el
suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
• Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones
y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte
de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la
información que manejan o almacenan sea vulnerable.
• La información: ésta es el principal activo. Utiliza y reside en la infraestructura computacional
y es utilizada por los usuarios.
El departamento de Seguridad quien se encargue de: Proteger los activos de información con los que
cuenta una empresa es una tarea que no sólo debe implicar al director de Seguridad, sino que debe
ser compartida por toda la Organización. Cada área de Negocio juega su papel: el área de Marketing
14
se centra en la protección de la imagen corporativa, el área Comercial está más relacionado con la
protección de los datos de los clientes, etc.
Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el
departamento encargado de gestionar los Recursos Humanos. Aspectos como la formación de los
empleados, la captación y selección de nuevos miembros de la plantilla, la gestión de empleados que
abandonan la Organización o la implementación de la normativa interna, son fundamentales en el tema
que nos ocupa.
15
problemas se resuelven con relativa rapidez y es posible volver a trabajar. La solución a este tipo de
problemas para evitar que vuelvan a ocurrir es investigar, resolver y hacer el oportuno seguimiento.
Amenazas
Para conseguir un sistema de información seguro y confiable se establecen una serie de estándares,
protocolos, métodos, reglas y técnicas. Sin embargo, existen amenazas que deben tenerse en cuenta:
• Usuarios. Se considera la causa del mayor problema ligado a la seguridad de un sistema
informático. Es así porque con sus acciones podrían ocasionar graves consecuencias.
• Programas maliciosos. Conocidos como programa maligno son destinados a perjudicar un
ordenador cuando se instala o hacer uso ilícito de datos. Suelen ser un virus informático, un
troyano o un spyware.
• Errores de programación. Más que un peligro, se trata de un mal desarrollo. Pero también se
tiene que ver como un riesgo evitando que los sistemas operativos y aplicaciones estén sin
actualizar.
• Intrusos. Cuando personas que no están autorizadas acceden a programas o datos que no
deberían, como es el caso de los hackers.
• Siniestro. También se puede perder o deteriorar material informático por una mala
manipulación o intención. Aquí entrarían situaciones como robo, incendio o inundación.
16
• Fallos electrónicos. Un sistema informático en general puede verse afectado por problemas
del suministro eléctrico o por errores lógicos como cualquier otro dispositivo que no es perfecto.
• Catástrofes naturales. Rayos, terremotos, inundaciones…
Según el efecto que produce alguna de las anteriores amenazas se distingue entre:
• Robo de información.
• Destrucción de información.
• Anulación del funcionamiento de los sistemas.
• Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de
información…
• Robo de dinero o estafas.
Copias de seguridad
Una empresa debe proteger permanentemente su información ya que es el activo más importante que
puede dañarse por gran cantidad de factores: robos, incendios, virus…Para proteger de forma eficiente
los datos son imprescindibles las copias de seguridad o backups. En función del volumen de contenido
generado y la cantidad de equipos se perfilará el mejor plan de protección.
La definición de normas rígidas por parte de los departamentos de TI es sin duda un paso importante,
aunque de forma aislada no resuelve los problemas del día a día. La transformación digital también
debe ser incorporada por el departamento de Recursos Humanos. Hacer que sus profesionales
adopten las prácticas avaladas por los sistemas de gestión de las empresas es extremadamente
importante en lo relativo a búsqueda de seguridad. Por todos estos motivos, Marcos Nehme, director
de la División Técnica Latam de RSA Security, firma que apoya a las empresas en sus estrategias de
seguridad, enumera aquí diez consejos importantes para garantizar la seguridad en el trabajo.
17
1) El almacenamiento e intercambio de datos seguro es esencial
Al igual que los demás sectores, el departamento de RR.HH. necesita invertir en formas de control.
Las organizaciones deben desarrollar y aplicar políticas relativas al uso de sus servicios de intercambio
de documentos y alertar a sus empleados sobre los peligros que conlleva el uso de dichos servicios.
18
directorios de usuario de la organización, además de incluir criptografía para todos los datos en tránsito
almacenados en su memoria.
19
10) Sea un usuario inteligente de TI (tecnología de la información)
Usted no precisa saber todo sobre seguridad cibernética, pero es importante que sea un “usuario
inteligente” de TI. Esto significa hacer su parte para proteger datos y sistemas. Los errores de
seguridad afectan a las empresas de todos los sectores, industrias y tamaños, por ese motivo tomar
actitudes proactivas en los negocios es fundamental. Como consecuencia, si los RR.HH. son
conscientes de dicha importancia acaban convirtiéndose en un eslabón fortísimo dentro de esta
cadena, contribuyendo a que todo el ecosistema funcione de manera blindada y eficiente.
20