SEGURIDAD

INFORMATICA
 Gutierrez Cordova, Kevin
 Moreno Vasquez, Alexandra
 Osorio Calderon, Claudia
 Urbina Acaro, Rogger
DEFINICION

Considerar aspectos de seguridad significa:

a) conocer el peligro
b) clasificarlo y;
c) protegerse de los impactos o daños de la mejor
manera posible.
Esto significa que solamente cuando estamos
conscientes de las potenciales amenazas, agresores
y sus intenciones dañinas (directas o indirectas) en
contra de nosotros, podemos tomar medidas de
protección adecuadas, para que no se pierda o dañe
nuestros recursos valiosos.
SEGURIDAD DE INFORMACION Y
PROTECCIÓN DE DATOS
Se distingue entre 2 propósitos de protección:

Porque forman la base y dan la razón, justificación en la selección de los elementos

de información que requieren una atención especial dentro del marco de la
Seguridad Informática y normalmente también dan el motivo y la obligación para su
protección.
Sin embargo, hay que destacar que, aunque se diferencia entre la Seguridad de la
Información y la Protección de Datos como motivo u obligación de las actividades de
seguridad, las medidas de protección aplicadas normalmente serán las mismas.
El objetivo de la protección son los datos mismos y trata de evitar su perdida y
modificación non-autorizado.

Otro de los objetivos de la protección no son el contenido de la información

sobre personas, para evitar el abuso de esta.
En muchos Estados existen normas jurídicas

o España: donde existe la “Ley Orgánica de Protección de Datos de Carácter

Personal”

El gran problema aparece cuando no existen leyes y normas jurídicas que evitan
el abuso o mal uso de los datos personales o si no están aplicadas
adecuadamente o arbitrariamente.
RETOS DE LA SEGURIDAD

 Los temas transversales no reciben la atención

que merecen y muchas veces quedan
completamente fuera de las consideraciones
organizativas

 Carencia o mal manejo de tiempo y dinero

 El proceso de monitoreo y evaluación, para dar

seguimiento a los planes operativos está
deficiente y no integrado en estos
AMENAZAS Y VULNERABILIDADES

 Una Amenaza es la posibilidad

de ocurrencia de cualquier
tipo de evento o acción que
puede producir un daño
(material o inmaterial) sobre
los elementos de un sistema,
en el caso de la Seguridad
Informática, los Elementos de
Información.
Las amenazas pueden ser causadas por:

 Usuarios: Causa del mayor problema ligado a la

seguridad de un sistema informático. en la mayoría de
los casos es porque no se les han restringido acciones
innecesarias
 Programas maliciosos: programas destinados a
perjudicar o a hacer un uso ilícito de los recursos del
sistema. Es instalado en el ordenador, abriendo una
puerta a intrusos o bien modificando los datos
 Intrusos: personas que consiguen acceder a los datos o
programas a los cuales no están autorizados
(crackers, defacers, hackers, script kiddie o script
boy, viruxers, etc.).
 Un siniestro (robo, incendio, inundación): una mala
manipulación o mala intención derivan en la pérdida
del material o de los archivos.
 La Vulnerabilidad es la capacidad, las
condiciones y características del sistema
mismo (incluyendo la entidad que lo
maneja), que lo hace susceptible a
amenazas, con el resultado de sufrir algún
daño. En otras palabras, es la capacitad y
posibilidad de un sistema de responder o
reaccionar a una amenaza o de recuperarse
de un daño.

 Las vulnerabilidades están en directa

interrelación con las amenazas porque si no
existe una amenaza, tampoco existe la
vulnerabilidad o no tiene importancia,
porque no se puede ocasionar un daño.

Dependiendo del contexto de la institución, se puede agrupar las

vulnerabilidades en grupos
característicos: Ambiental, Física, Económica, Social, Educativo, Instituc
ional y Política.
CLASIFICACION DE RIESGOS

El objetivo de la clasificación
de riesgo es determinar hasta
que grado es factible
combatir los riesgos
encontrados. La factibilidad
normalmente depende de la
voluntad y posibilidad
económica de una institución,
sino también del entorno
donde nos ubicamos. Los
riesgos que no queremos o
podemos combatir se llaman
riesgos restantes y no hay
otra solución que aceptarlos.
 EVALUACION DE RIESGOS

 La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de

la información, sobre la plataforma tecnológica de una organización, con el
fin de generar un plan de implementación de los controles que aseguren un
ambiente informático seguro, bajo los criterios de disponibilidad,
confidencialidad e integridad de la información.
 Una vez obtenida la lista de cada uno de los riesgos se efectuará un
resumen del tipo:
Tipo de Riesgo Factor
Robo de hardware Alto
Robo de información Alto
Vandalismo Medio
Fallas en los equipos Medio
Virus Informáticos Medio
Equivocaciones Medio
Accesos no autorizados Medio
Fraude Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
 REDUCCION DE RIESGOS

La reducción de riesgo se logra a través de la implementación de Medidas de protección, que basen en los
resultados del análisis y de la clasificación de riesgo.

En referencia al Análisis de riesgo, el propósito de las medidas de protección, en el ámbito de la

Seguridad Informática, solo tienen un efecto sobre los componentes de la Probabilidad de Amenaza, es
decir aumentan nuestra capacidad física, técnica, personal y organizativa, reduciendo así nuestras
vulnerabilidades que están expuestas a las amenazas que enfrentamos.
 MEDIDAS DE PROTECCION

Considerando que la implementación de medidas de protección está en directa relación con inversiones de
recursos económicos y procesos operativos, es más que obvio, que las medidas, para evitar un daño, resultarán
(mucho) más costosas y complejas, que las que solo mitigan un daño.
Para que las medidas sean exitosas, es esencial que siempre verificamos su factibilidad, es decir que
técnicamente funcionan y cumplen su propósito, que están incorporadas en los procesos operativos
institucionales y que las personas se apropian de estás. Es indispensable que están respaldadas, aprobadas por
aplicadas por la coordinación, porque si no, pierden su credibilidad.
Podemos entender por información todo el conjunto de datos que se organizan en una organización y
otorgan valor añadido para ésta, de forma independiente de la forma en la que se guarde o transmita, el
origen que tenga o la fecha de elaboración.
El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en preservar la
confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento
dentro de la organización.

Confidencialidad: la
Integridad: mantener de forma
información no se pone a
completa y exacta la
disposición de nadie, ni se
información y los métodos de
revela a individuos o entidades
proceso.
no autorizados.

FUNDAMENTOS

• Disponibilidad: acceder
y utilizar la información y los
sistemas de tratamiento de la
misma parte de los individuos,
entidades o proceso
autorizados cuando lo
requieran.
Según el conocimiento que se tiene del ciclo de vida de
la información relevante se puede adoptar la utilización
de un proceso sistemático, documentado y conocido por
toda la empresa, desde un enfoque de riesgos
empresarial. El proceso es el que constituye un SGSI.
 Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de
la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA – acrónimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar), siendo éste un enfoque de mejora continua

•Plan (planificar): es una •Act (actuar): en esta El concepto clave de un SGSI

fase de diseño del SGSI fase se realizan cambios es el diseño, implantación y
de evaluación de riesgos cuando sea necesario mantenimiento de un
de seguridad de la para llevar de vuelta el conjunto de procesos para
información y la selección SGSI a máximo gestionar eficientemente la
de controles adecuados. rendimiento. accesibilidad de la
información, buscando
asegurar la confidencialidad,
integridad y disponibilidad de
•Check (controlar): es los activos de información
•Do (hacer): es una fase
una fase que tiene como minimizando a la vez los
que envuelve la
objetivo revisar y evaluar riesgos de seguridad de la
implantación y operación
el desempeño (eficiencia información.
de los controles.
y eficacia) del SGSI.