Seguridad de Datos

INTRODUCCIN A LA
SEGURIDAD DE LA
INFORMACIN

CLASE 01
QU ES LA SEGURIDAD DE LA INFORMACIN

Es el conjunto de medidas:
preventivas y reactivas de la
organizacin y de los
sistemas tecnolgicos que
permitan resguardar y
proteger la informacin
buscando mantener la:
. confidencialidad,
. disponibilidad e
. integridad de la misma.
 QU ES LA SEGURIDAD DE LA INFORMACIN

El concepto de seguridad de la informacin no debe ser confundido

con el de seguridad informtica, ya que este ltimo slo se encarga
de la seguridad en el medio informtico, pero la informacin puede
encontrarse en diferentes medios o formas, y no solo en medios
informticos.
QU ES LA SEGURIDAD DE LA INFORMACIN

Para el hombre como

individuo, la seguridad de la
informacin tiene un efecto
significativo respecto a su
privacidad, la que puede
cobrar distintas dimensiones
dependiendo de la cultura
del mismo.
 QU PROTEGE LA S. I.

En un entorno competitivo y
cambiante como el actual, toda
empresa con visin de futuro sabe
que ha de valorar y proteger sus
activos ms importantes, como son
sus trabajadores, su know-how, su
tecnologa, sus bienes e inversiones,
sus clientes y proveedores, y por
supuesto, su Informacin, esencial
para mantener su competitividad,
rentabilidad e imagen en el mercado.
.
OBJETIVO DE LA S. I.

En la Seguridad de la
Informacin el objetivo de la
proteccin son los datos
mismos y trata de evitar su
perdida y modificacin no
autorizada. La proteccin debe
garantizar en primer lugar
la confidencialidad, integridad
y disponibilidad de los datos,
sin embargo existen ms
requisitos como por ejemplo
la autenticidad y el no repudio
entre otros.
 POR QU ES NECESARIA LA S.I.

Porque dentro de la empresa, la

Informacin adopta distintas formas:
. Impresa en papel.
. Almacenada electrnicamente.
. Transmitida por correo ordinario
. Transmitida por medios electrnicos.
. Hablada de boca en boca, etc.

Cualquiera que sea su forma, la

Informacin debe ser protegida
convenientemente.
POR QU ES NECESARIA LA S. I.

Porque la seguridad es un elemento

fundamental en la informtica. Una
empresa puede tener entre el 80 y el
100% de informacin critica, sensible
y confidencial en bases de datos,
correos o documentos.

Es por eso que se le presta especial

atencin a este tema y los
departamentos de sistemas dan foco
primario a la seguridad.
 POR QU ES NECESARIA LA S. I.

Las empresas que verdaderamente

conocen los riesgos y los
problemas que se pueden tener al
perder informacin, ya sea por un
evento natural o por el ataque de
hackers o trabajadores que se van
de la firma o que lucran con la
informacin, le dan muchos
recursos a sistemas y cuentan con
personal certificado en practicas
de seguridad informtica.
 CMO ESTABLECER LOS REQUISITOS DE SEGURIDAD

Diseando una poltica de

seguridad, en colaboracin
con clientes y proveedores
correctamente alineada con
las necesidades del negocio.
Posteriormente las Normativas
y la puesta en marche de estas
en la organizacin.
CMO ESTABLECER LOS REQUISITOS DE SEGURIDAD

Asegurar el cumplimiento
de los estndares de
seguridad acordados.

Minimizar los riesgos de

seguridad que amenacen la
continuidad del servicio.
 CONCEPCIN DE LA S. I.

En la seguridad de la
informacin es importante
sealar que su manejo est
basado en la tecnologa y
debemos de saber que puede
ser confidencial: la
informacin est centralizada
y puede tener un alto valor.
CONCEPCIN DE LA S. I.

Puede ser divulgada, mal

utilizada, ser robada, borrada o
saboteada.
Lo descrito anteriormente afecta
su disponibilidad y la pone en
riesgo.
Esta segn las posibilidades
estratgicas que ofrece, da poder
a quien la tiene o maneja.
 CLASIFICACIN DE LA INFORMACIN

Crtica: Es indispensable para la

operacin de una empresa.

Valiosa: Es un activo de la empresa y

muy valioso.

Sensible: Debe de ser conocida slo por

las personas autorizadas.
PROPIEDADES BSICAS DE LA INFORMACIN
 PROPIEDADES BSICAS DE LA INFORMACIN

Conforme al avance tecnolgico las propiedades de la informacin

han aumentado, para satisfacer nuevas medidas de control.

CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD

AUTENTICACIN
NO REPUDIO
 CONFIDENCIALIDAD
Es la propiedad de prevenir la divulgacin de informacin a
personas o sistemas no autorizados. A groso modo, la
confidencialidad es el acceso a la informacin nicamente por
personas que cuenten con la debida autorizacin.
 Ejemplo

Una transaccin de tarjeta de crdito

en Internet requiere que el nmero de
tarjeta de crdito que ser transmitida
desde el comprador al comerciante y
desde el comerciante a una red de
procesamiento de transacciones, sea
confidencial y lo hace mediante el
cifrado del nmero de la tarjeta y los
datos que contiene la banda magntica
durante la transmisin de los mismos.

Si una parte no autorizada obtiene el

nmero de la tarjeta en modo alguno,
se ha producido una violacin de la
confidencialidad.
 Ejemplo

La prdida de la confidencialidad de la
informacin puede adoptar muchas formas.
Cuando alguien mira por encima de su
hombro, mientras usted tiene informacin
confidencial en la pantalla;
Cuando se publica informacin privada.
Cuando un laptop con informacin sensible
sobre una empresa es robado.
Cuando se divulga informacin confidencial a
travs del telfono, conversacin, escritura,
etc.
Todos estos casos pueden constituir una
violacin de la confidencialidad.
INTEGRIDAD

Es la propiedad que busca

mantener los datos libres de
modificaciones no autorizadas. A
groso modo, la integridad es el
mantener con exactitud la
informacin tal cual fue generada,
sin ser manipulada o alterada por
personas o procesos no
autorizados.
Ejemplo de prdida de la integridad

La violacin de integridad se presenta

cuando un empleado, programa o
proceso (por accidente o con mala
intencin) modifica o borra los datos
importantes que son parte de la
informacin, esto hace que su contenido
permanezca inalterado a menos que sea
modificado por personal autorizado, y
esta modificacin sea registrada,
asegurando su precisin y confiabilidad.

Acceso a la base de datos

DISPONIBILIDAD

La disponibilidad es la
caracterstica, cualidad o
condicin de la informacin, para
que se encuentre a disposicin de
quienes deben acceder a ella, ya
sean personas, procesos o
aplicaciones. A groso modo, la
disponibilidad es el acceso a la
informacin y a los sistemas por
personas autorizadas en el
momento que as lo requieran.
 AUTENTICIDAD

Autenticidad: La legitimidad y
credibilidad de una persona, servicio
o elemento debe ser comprobable.
Esta propiedad se puede considerar
como un aspecto de la integridad, si
est firmado por alguien, est
realmente enviado por el mismo

lo que s,
lo que tengo y
lo que soy
Ejemplo de prdida de la autenticidad

Por ejemplo al recibir un

mensaje de alguien, estar
seguro que es de ese alguien el
que lo ha mandado, y no una
tercera persona hacindose
pasar por la otra (suplantacin
de identidad).
En un sistema informtico se
suele conseguir este factor con
el uso de cuentas de usuario y
contraseas de acceso.
 NO REPUDIO

El no repudio o irrenunciabilidad es un servicio de seguridad

estrechamente relacionado con la autenticacin y que permite
probar la participacin de las partes en una comunicacin. La
diferencia esencial con la autenticacin es que la primera se
produce entre las partes que establecen la comunicacin y el
servicio de no repudio se produce frente a un tercero, de este
modo, existirn dos posibilidades:
No repudio en origen
No repudio en destino
 NO REPUDIO

Si la autenticidad prueba quin es el autor de un

documento y cual es su destinatario, el no repudio
prueba que el autor envi la comunicacin y que el
destinatario la recibi.
NO REPUDIO

No repudio en origen:
El emisor no puede negar que
envo porque el destinatario
tiene pruebas del envo, el
receptor recibe una prueba
infalsificable del origen del
envo, lo cual evita que el
emisor, de negar tal envo,
tenga xito ante el juicio de
terceros. En este caso la prueba
la crea el propio emisor y la
recibe el destinatario
NO REPUDIO

No repudio en destino:
El receptor no puede negar que
recibi el mensaje porque el
emisor tiene pruebas de la
recepcin. Este servicio
proporciona al emisor la prueba
de que el destinatario legtimo
de un envo, realmente lo
recibi, evitando que el receptor
lo niegue posteriormente. En
este caso la prueba irrefutable la
crea el receptor y la recibe el
emisor.
 LO QUE SOY, LO QUE S Y LO QUE TENGO

Hace una dcada atrs, solamente se

utilizaba la firma grfica. La firma
grfica es un indicativo de lo que soy,
pero muy endeble y fcilmente
falsificable.

Con posterioridad aparece el uso del

PIN (nmero personal). Ese nmero es
un indicativo de lo que s.
Probablemente ms seguro que
nuestra firma, pero con posibilidad de
ser capturado o imprudentemente
puesto en manos de terceros por
diversas causas.
LO QUE SOY, LO QUE S Y LO QUE TENGO

Un paso ms se produjo con la

puesta en circulacin de
generadores de cdigo nico para
cada transaccin y que van
asociados a cada usuario de
manera biunvoca.
Es un indicativo de lo que tengo,
aparte de ser una solucin poco
ergonmica, puede ser objeto de
fciles olvidos o de prdidas y
sustracciones.
 LO QUE SOY, LO QUE S Y LO QUE TENGO
Si agrupamos el sistema completo descubrimos una tarjeta fsica o un
dispositivo, que indica lo que solo yo tengo;
Un usuario, una clave o un PIN que indica lo que solo yo s;
Un carcter biomtrico (huella dactilar, lectura del iris o la retina en el
ojo) que indica lo que solo yo soy.

Con todo esto, podramos decir: Ahora la seguridad est ms

garantizada.
 CMO ESTABLECER LOS REQUISITOS DE SEGURIDAD

Disear una poltica de seguridad,

en colaboracin con clientes y
proveedores correctamente
alineada con las necesidades del
negocio.

Asegurarel cumplimiento de los

estndares de seguridad acordados.

Minimizarlos riesgos de seguridad

que amenacen la continuidad del
servicio.
 CONCEPCIN DE LA SEGURIDAD DE LOS DATOS
(INFORMACIN)

En la seguridad de la informacin es importante

sealar que su manejo est basado en la tecnologa y
debemos de saber que puede ser confidencial: la
informacin est centralizada y puede tener un alto
valor. Puede ser divulgada, mal utilizada, ser robada,
borrada o saboteada. Esto afecta su disponibilidad y la
pone en riesgo. La informacin es poder, y segn las
posibilidades estratgicas que ofrece tener acceso a
cierta informacin.
CONSECUENCIAS DE LA AUSENCIA DE SEGURIDAD

Daos por fenmenos naturales:

Infraestructura Fsica:
Centro de Cmputo,
Hardware,
Redes de Comunicacin,
Informacin.
Fraude Informtico:
Virus,
Robo de Software, Piratera,
Intereses econmicos,
Inculpar a otros,
Imagen Corporativa.
 CIRCUNSTANCIAS QUE MOTIVAN EL FRAUDE

Oportunidad,
Baja probabilidad de deteccin,
Grado de conocimiento del sistema, herramientas y
sitios sobre vulnerabilidades,
Justificacin,
Ego personal.

CMO EVITAR EL FRAUDE INFORMTICO

Aplicar Metodologa de seguridad clara,
 GRACIAS JVENES
La mejor forma de predecir el futuro
es crearlo.

Abraham Lincoln