Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD DE LA INFORMACIÓN
Integrantes:
La Chica, Leisle. C.I.V- 10.488.095
Quintana, Onaldo. C.I.V- 13.251.118
Escoche, Cipriano. C.I.V- 16.890.903
Justo, Daiberlyn. C.I.V- 25.565.519
Período: 2023-2
Sección: A
Profesor: José Ayala
2
CONTENIDO
Pág
I INTRODUCCIÓN 2
II La Seguridad de Información 4
Definición 4
Objetivos 5
Importancia 5
Clasificación de la información en la organización 5
Consecuencias de la falta de Seguridad 7
Seguridad Informática 9
Ciberseguridad 11
V CONCLUSIÓN 33
VI WEBGRAFÍA 35
3
SEGURIDAD DE LA INFORMACIÓN
DEFINICIÓN
5
comunes:
1. Información Pública: Esta categoría incluye información que es
segura para compartir de forma abierta con el público en general.
No contiene información confidencial o sensible, y no plantea
riesgos significativos si se divulga. Ejemplos de información pública
incluyen comunicados de prensa, información general sobre
productos o servicios y datos públicos.
2. Información Interna: La información interna es para uso interno
dentro de la organización y no debe compartirse con el público en
general. Aunque no es necesariamente confidencial, se espera que
se mantenga dentro de los límites de la organización. Ejemplos de
información interna pueden ser políticas internas, documentos de
trabajo y comunicaciones internas.
3. Información Confidencial: La información confidencial es crítica y
debe protegerse de manera más rigurosa. Esta categoría incluye
datos sensibles, secretos comerciales, propiedad intelectual y otra
información que, si se divulga o se pone en riesgo, podría causar
daños significativos a la organización. La divulgación no autorizada
de información confidencial puede llevar a consecuencias legales.
Ejemplos de información confidencial son contratos, datos
financieros, datos de clientes y estrategias comerciales.
4. Información Restringida o Clasificada: En organizaciones
gubernamentales y entidades que manejan información altamente
sensible, como defensa nacional, se puede utilizar una clasificación
más estricta. Esta información se divide en niveles de
confidencialidad, como "secreto", "alto secreto" o "ultra secreto", y
solo se permite el acceso a personas con una autorización de
seguridad específica.
5. Información Personal Identificable (PII): Este tipo de información
incluye datos personales como nombres, direcciones, números de
6
seguridad social y números de tarjetas de crédito. Debe protegerse
de acuerdo con las leyes de privacidad y regulaciones aplicables,
como el Reglamento General de Protección de Datos (GDPR) en
Europa y la Ley de Portabilidad y Responsabilidad del Seguro
Médico (HIPAA) en los Estados Unidos.
6. Información de Acceso Restringido: Algunas organizaciones pueden
tener una categoría adicional para información a la que solo un
número limitado de personas debe tener acceso, incluso dentro de
la organización. Esta categoría puede incluir información altamente
especializada o altamente crítica.
7
empleados, clientes y otros interesados puede estar en riesgo de
divulgación no autorizada. Esto puede llevar a problemas de
privacidad, robos de identidad y daño a la reputación de la
organización.
3. Robo de propiedad intelectual: Las empresas suelen tener activos
intelectuales valiosos, como diseños, patentes, fórmulas,
estrategias comerciales y datos de investigación. La falta de
seguridad puede permitir que terceros accedan y roben estos
activos.
4. Interrupción de operaciones: Las amenazas cibernéticas, como
ataques de malware, ransomware o denegación de servicio,
pueden interrumpir las operaciones de una organización. Esto
puede resultar en tiempo de inactividad, pérdida de ingresos y
costos asociados con la restauración de los sistemas.
5. Pérdida financiera: Las consecuencias financieras de la falta de
seguridad pueden ser significativas. Esto incluye los costos
asociados con la mitigación de incidentes de seguridad, la
recuperación de datos, la implementación de medidas de seguridad
adicionales y las posibles multas por incumplimiento de
regulaciones.
6. Daño a la reputación: Las brechas de seguridad y los incidentes de
seguridad a menudo se hacen públicos y pueden dañar la
reputación de la organización. La pérdida de confianza de los
clientes, proveedores y socios comerciales puede tener un impacto
a largo plazo en la marca de la empresa.
7. Sanciones legales y reguladoras: Dependiendo de la naturaleza de
la falta de seguridad y el tipo de datos afectados, una organización
puede enfrentar sanciones legales y regulatorias. Esto puede incluir
multas significativas y acciones legales.
8. Riesgo de cumplimiento normativo: Las organizaciones pueden
8
estar sujetas a regulaciones y leyes que exigen medidas
específicas de seguridad de la información. La falta de
cumplimiento puede dar lugar a multas y sanciones.
9. Pérdida de clientes y negocio: Los clientes pueden optar por dejar
de hacer negocios con una organización si sienten que su
información no está segura. Esto puede resultar en la pérdida de
clientes y de ingresos.
10. Daño a la moral del personal: La falta de seguridad puede tener un
impacto en la moral de los empleados, especialmente si se sienten
inseguros en su lugar de trabajo o si sus datos personales se ven
comprometidos.
SEGURIDAD INFORMÁTICA
9
diseñado para dañar o robar datos.
2. Ataques de crackers: Incluyen intentos de acceso no autorizado a
sistemas, redes y datos, como ataques de fuerza bruta y ataques
de inyección SQL.
3. Ataques de denegación de servicio (DDoS): Estos ataques buscan
sobrecargar los sistemas y hacer que sean inaccesibles para los
usuarios legítimos.
4. Phishing: Implica el engaño de usuarios para que divulguen
información confidencial, como contraseñas o datos de tarjetas de
crédito.
5. Ingeniería social: Los atacantes manipulan a las personas para
obtener información confidencial o acceso a sistemas.
6. Fugas de información: La divulgación no autorizada de información
sensible, ya sea por descuido o de manera maliciosa.
10
CIBERSEGURIDAD
12
notificación de partes interesadas, la recuperación de datos y la
restauración de sistemas.
8. Auditoría y revisión: Realizar auditorías y revisiones periódicas de
su programa de seguridad de la información para garantizar que
esté funcionando de manera efectiva y cumpla con las políticas y
estándares establecidos.
9. Mejora continua: La seguridad de la información es un proceso en
evolución. A medida que cambian las amenazas y los entornos
tecnológicos, es importante ajustar y mejorar continuamente sus
medidas de seguridad.
10. Cumplimiento normativo: Asegurarse de cumplir con las
regulaciones y leyes de seguridad de la información relevantes en
su industria y ubicación.
13
La norma ISO 27001 es un estándar internacional ampliamente adoptado
para la implementación de un SGSI. Establece los requisitos y las mejores
prácticas para la gestión de la seguridad de la información en una
organización y proporciona un marco de referencia sólido para garantizar que
la seguridad de la información se aborde de manera sistemática y efectiva.
14
Se realizan auditorías de seguridad, análisis de vulnerabilidades y se
supervisan los indicadores clave de rendimiento para evaluar si se
están cumpliendo los objetivos de seguridad y para identificar cualquier
área de mejora.
4. Act (Actuar): Con base en la evaluación y los hallazgos de la etapa de
verificación, se toman acciones correctivas y preventivas. Se ajustan
las políticas y procedimientos, se actualizan los controles de seguridad
y se realizan mejoras continuas en el sistema de gestión de seguridad
de la información. Esta etapa cierra el ciclo y lo inicia nuevamente.
15
• Educar a los empleados sobre las políticas, procedimientos y
mejores prácticas de seguridad.
• Mantener a los empleados informados sobre las últimas
amenazas y tendencias en seguridad.
d) Gestión de contraseñas:
• Establecer políticas de contraseñas seguras y exigir su
cumplimiento.
• Fomentar el uso de administradores de contraseñas y la
rotación regular de contraseñas.
• Educar a los empleados sobre las amenazas de
contraseñas débiles o compartidas.
e) Reporte de incidentes:
• Establecer un proceso claro para que los empleados
informen incidentes de seguridad o actividades
sospechosas.
16
• Garantizar que los empleados se sientan seguros al
reportar problemas sin temor a represalias.
i) Monitoreo y auditorías:
• Realizar auditorías internas y externas de seguridad de la
información para garantizar el cumplimiento y la eficacia de
los controles de seguridad.
• Supervisar las actividades de los empleados para detectar
posibles amenazas internas.
j) Resiliencia emocional:
• Fomentar la resiliencia emocional entre los empleados para
que puedan lidiar con el estrés y la presión relacionados
con incidentes de seguridad.
17
internas. También es importante crear una cultura de seguridad en la que
todos los empleados sean conscientes de su papel en la protección de la
información de la organización.
18
• Establecimiento de políticas y procedimientos de seguridad de la
información.
• Definición de roles y responsabilidades en materia de seguridad.
• Formación y concienciación de los empleados en prácticas de
seguridad.
• Desarrollo de un plan de respuesta a incidentes.
• Evaluación y gestión de proveedores y terceros en cuanto a su
seguridad.
Riesgo
19
El riesgo se puede presentar en diversos contextos y campos, como:
a) Riesgo financiero: Relativo a la posibilidad de pérdidas financieras
debido a inversiones, fluctuaciones del mercado, deudas, etc.
b) Riesgo de seguridad de la información: Relativo a amenazas
cibernéticas, violaciones de datos y pérdida de confidencialidad,
integridad o disponibilidad de la información.
c) Riesgo empresarial: Relativo a eventos que pueden afectar la
continuidad operativa, como desastres naturales, crisis económicas,
cambios en la competencia, etc.
d) Riesgo de salud y seguridad: Relativo a amenazas para la salud y
la seguridad de las personas, como accidentes laborales,
enfermedades, exposición a productos químicos peligrosos, etc.
e) Riesgo ambiental: Relativo a las consecuencias ambientales
adversas, como la contaminación, el cambio climático y desastres
naturales.
Análisis de Riesgos:
1. Identificación de activos: Identificar y enumerar los activos de
información críticos, como datos, sistemas, aplicaciones y recursos
tecnológicos.
2. Identificación de amenazas y vulnerabilidades: Identificar y evaluar las
amenazas potenciales que podrían poner en riesgo los activos de
20
información. Esto incluye amenazas internas y externas.
3. Evaluación de riesgos: Evaluar el impacto potencial de una amenaza y
la probabilidad de que ocurra. Esto se puede hacer mediante la
asignación de valores numéricos a los riesgos.
4. Clasificación de riesgos: Clasificar los riesgos en función de su
severidad y prioridad. Esto permite centrarse en los riesgos más
críticos.
Gestión de riesgos:
1. Selección de controles de seguridad: Identificar y seleccionar controles
de seguridad apropiados para mitigar los riesgos identificados. Esto
podría incluir controles técnicos, organizativos o legales.
2. Implementación de controles: Implementar los controles seleccionados
para reducir el riesgo a un nivel aceptable.
3. Evaluación continua: Realizar un seguimiento y revisión constante de
los riesgos para asegurarse de que los controles sigan siendo
efectivos y de que se sigan ajustando según sea necesario.
4. Documentación: Mantener registros de las actividades de análisis y
gestión de riesgos, incluyendo los riesgos identificados, los controles
aplicados y los cambios realizados.
5. Comunicación: Comunicar los riesgos y las medidas de mitigación a
las partes interesadas clave, incluyendo a la alta dirección, los
empleados y los socios comerciales.
6. Mejora continua: Asegurar que el proceso de análisis y gestión de
riesgos se ajuste y mejore con el tiempo, en función de la evolución de
las amenazas y los cambios en el entorno empresarial y tecnológico.
La gestión de riesgos es esencial para garantizar que una organización
pueda identificar y abordar proactivamente las amenazas a la seguridad de la
información y tomar medidas para proteger sus activos críticos. Esto
contribuye a la toma de decisiones informadas y a la reducción de la
21
exposición a los riesgos cibernéticos. La norma ISO 27001 es un marco de
referencia ampliamente utilizado para el análisis y la gestión de riesgos en el
ámbito de la seguridad de la información.
22
software antivirus y la autenticación para garantizar que solo
usuarios autorizados tengan acceso a los sistemas y los
datos.
23
• La seguridad de los periféricos incluye medidas para
proteger los datos almacenados en estos dispositivos y
garantizar que no se conviertan en puntos de acceso no
autorizado.
Amenaza
24
c) Desastres naturales: Eventos como terremotos, incendios,
inundaciones o tormentas que pueden dañar la infraestructura física
y la tecnología.
d) Errores de configuración: Configuraciones incorrectas o
defectuosas que pueden exponer sistemas a riesgos de seguridad.
e) Fallas de hardware y software: Problemas técnicos que pueden
causar interrupciones en los sistemas.
f) Pérdida de datos: La eliminación accidental, corrupción o pérdida
de datos críticos.
g) Amenazas de robo o vandalismo: Robo de hardware, daño a la
infraestructura o equipos.
h) Amenazas regulatorias y legales: Cambios en las leyes y
regulaciones que pueden afectar la privacidad y la seguridad de los
datos.
Vulnerabilidad
25
a) Vulnerabilidades del software: Estos son errores o fallos en el
código de programas, aplicaciones o sistemas operativos que
pueden permitir a los atacantes ejecutar código malicioso, acceder
a datos sensibles o tomar el control del sistema.
b) Vulnerabilidades de configuración: Estas vulnerabilidades ocurren
cuando los sistemas o aplicaciones se configuran incorrectamente,
lo que podría permitir un acceso no autorizado o la exposición de
datos sensibles. Por ejemplo, una base de datos mal configurada
podría dejar datos confidenciales expuestos en línea.
c) Vulnerabilidades de diseño: A veces, los sistemas o aplicaciones
pueden tener problemas en su diseño que los hacen
intrínsecamente inseguros. Por ejemplo, un sistema de
autenticación débil podría ser una vulnerabilidad de diseño.
d) Vulnerabilidades físicas: Estas vulnerabilidades se refieren a
debilidades en la seguridad física, como la falta de control de
acceso a una instalación o la falta de protección contra daños
físicos, como el robo o el daño a equipos.
e) Vulnerabilidades de red: Pueden ser debilidades en la arquitectura
o la configuración de la red que permiten a un atacante acceder o
moverse por la red de manera no autorizada.
26
Incidente de Seguridad
27
La gestión de incidentes de seguridad es un proceso esencial para
abordar estos eventos de manera efectiva. Implica detectar, responder y
recuperarse de un incidente para minimizar el impacto en la organización.
Las organizaciones a menudo establecen planes de respuesta a incidentes
que describen cómo deben manejarse los incidentes de seguridad cuando
ocurren, incluyendo la notificación de partes interesadas, la contención del
incidente, la recuperación de datos y la identificación de medidas preventivas
para evitar futuros incidentes. La gestión de incidentes es fundamental para
proteger la integridad y la reputación de una organización en un entorno cada
vez más amenazante en términos de seguridad cibernética y de información.
Impacto
28
interrupción del acceso a recursos o servicios críticos. Esto puede
incluir la caída de sistemas, la indisponibilidad de servicios en línea o
la inaccesibilidad de datos necesarios para operar.
d) Reputación: El impacto en la reputación se refiere a cómo la
percepción de la organización se ve afectada por un incidente de
seguridad. La pérdida de confianza de los clientes, socios comerciales
y el público en general puede tener un impacto significativo en la
imagen de la organización.
e) Financiero: El impacto financiero se refiere a los costos asociados con
la mitigación y recuperación de un incidente de seguridad, que pueden
incluir gastos para investigar el incidente, reparar sistemas y
compensar a las víctimas, así como las pérdidas de ingresos.
f) Operativo: El impacto operativo se refiere a cómo la capacidad de la
organización para realizar sus funciones y operaciones se ve afectada.
Esto puede incluir la interrupción de procesos críticos, retrasos y la
pérdida de eficiencia.
29
requieren una respuesta inmediata y una alta prioridad en la
mitigación.
32
CONCLUSIÓN
33
La seguridad de la información no es una responsabilidad exclusiva de las
empresas y las organizaciones, sino que también implica la educación y la
concienciación de las personas. La cultura de la seguridad desempeña un
papel importante en la prevención de incidentes y violaciones de datos.
34
WEBGRAFÍA
35