Seguridad de la información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos.[1]
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.[2]
Para el ser humano como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura e idiosincrasia de la sociedad donde se desenvuelve.[3]
El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.[4]
Concepción de la seguridad de la información
[editar]En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:
- Crítica: Es indispensable para la operación de la empresa.
- Valiosa: Es un activo de la empresa y muy valioso.
- Sensible: Debe de ser conocida por las personas autorizadas.
Existen dos palabras muy importantes que son riesgo y seguridad:
- Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.
- Seguridad: Es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.
Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.[5] Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran. La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.
En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.
Por más de veinte años[¿cuándo?] la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Tríada CID, del inglés: "Confidentiality, Integrity, Availability") son los principios básicos de la seguridad de la información.
La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán tomarse las medidas de seguridad oportunas.
Confidencialidad
[editar]La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad
[editar]Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A grandes rasgos, la integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados.
La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada, para salvaguardar la precisión y completitud de los recursos.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra datos importantes que son parte de la información.
La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares fundamentales de la seguridad de la información.
Disponibilidad
[editar]La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A grandes rasgos, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
Autenticación
[editar]Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro de que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por el mismo- y así figura en la literatura anglosajona.
Servicios de seguridad
[editar]El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones. Los servicios de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.
No repudio
[editar]Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. Está estandarizado en la ISO 7498-2.
- No repudio de origen: El emisor no puede negar qué envió porque el destinatario tiene pruebas del envío. El receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso, la prueba la crea el propio emisor y la recibe el destinatario.
- No repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.
Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).
El no repudio evita que el emisor o el receptor nieguen la transmisión de un mensaje. Así, cuando se envía un mensaje, el receptor puede comprobar que, efectivamente, el supuesto emisor envió el mensaje. De forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor recibió el mensaje.
Definición según la recomendación X.509 de la UIT-T: servicio que suministra la prueba de la integridad y del origen de los datos, ambos en una relación infalsificable, que pueden ser verificados por un tercero en cualquier momento.
Protocolos de seguridad de la información
[editar]Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad, autenticación y el no repudio de la información. Se componen de:
- Criptografía (Cifrado de datos). Se ocupa de transposicionar u ocultar el mensaje enviado por el emisor hasta que llega a su destino y puede ser descifrado por el receptor.
- Lógica (Estructura y secuencia). Llevar un orden en el cual se agrupan los datos del mensaje el significado del mensaje y saber cuando se va enviar el mensaje.
- Identificación (Autentication). Es una validación de identificación técnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor.
Planificación de la seguridad
[editar]Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
Ciclo de gestión de incidentes
[editar]La gestión de incidentes de seguridad es crucial en el entorno empresarial actual. El ciclo de gestión de incidentes proporciona un enfoque estructurado que permite a las organizaciones hacer frente a las inevitables violaciones de seguridad. Desde la perspectiva del equipo de seguridad, lo importante no es si ocurrirá una violación, sino cuándo ocurrirá. Esta comprensión nos brinda la oportunidad de desarrollar un plan de acción para minimizar los posibles daños.
Al seguir este ciclo, las organizaciones pueden reducir el tiempo de respuesta, minimizar los daños potenciales y cumplir con los requisitos normativos.
La importancia de este enfoque radica en su capacidad para ayudar a las organizaciones a ser más proactivas y eficientes en la gestión de incidentes de seguridad. Proporciona una estructura sólida para abordar los incidentes, desde la detección hasta la recuperación, pasando por la toma de decisiones y la implementación de medidas de contención. Además, el ciclo de gestión de incidentes permite aprender de las experiencias pasadas, mejorar continuamente los procesos y proteger los activos y la reputación de la organización.
El ciclo de gestión de incidentes consta de varias fases que se integran de manera coherente en cualquier metodología efectiva. Estas fases incluyen:
Planificación y preparación
[editar]- Política de Seguridad de la Información.
- Desarrollo de un plan de gestión de incidentes.
- Establecimiento del equipo de respuesta a incidentes (IRT).
- Concienciación y formación.
- Implantación y explotación de los elementos de monitorización de eventos de seguridad.
- Taxonomía de incidentes de seguridad.
- Simulacros.
- Formación del equipo de respuesta a incidentes (IRT).
- Recursos físicos, como almacenamiento redundante, sistemas en espera y servicios de respaldo.
Detección y reporte
[editar]- Recopilación de información interna y externa.
- Identificar actividad anómala.
- Registrar y notificar el incidente a los canales apropiados.
Valoración y decisión
[editar]- Determinar si se trata de un incidente de seguridad.
- Clasificar inicialmente el incidente según la taxonomía.
- Estimar el impacto del incidente.
- Estos parámetros se pueden reevaluar más adelante.
Respuesta
[editar]- Continuar la investigación del incidente, con la recopilación y análisis de evidencias.
Subetapas:
Contención
[editar]- Acción inmediata para detener o minimizar el incidente.
- Medidas de contención para mitigar el impacto del incidente.
Erradicación
[editar]- Aquí se elimina la amenaza identificada de los sistemas afectados.
- Puede ser la subfase más larga.
Recuperación
[editar]- Recuperación o restauración de los recursos y sistemas afectados, aplicando planes de recuperación ante desastres y el plan de continuidad de negocio.
Lecciones aprendidas y actividad post-incidente
[editar]- Mejora continua del ciclo de respuesta a incidentes.
- Identificación de mejoras en planes, políticas, procedimientos y sistemas de monitorización.
- Evaluación de la efectividad, agilidad y desempeño del equipo de respuesta a incidentes.
- Identificación de lecciones aprendidas y desarrollo de un plan para su aplicación.
- Uso de la información recopilada para tomar decisiones de seguridad futuras y entrenamiento del personal.
Consideraciones legales
[editar]Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis forense, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos.
Planes de acción
[editar]Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción.
La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más debería ser auditado activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema.
Respuestas Organizacionales
[editar]Los académicos han descubierto que la inversión en factores tecnológicos y organizativos puede afectar la protección contra el phishing. Los estudios encontraron que las organizaciones pueden mejorar la educación técnica de sus empleados si incluyen factores sociotécnicos en su formación.[6]
El manejo de riesgos
[editar]Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas para manejar los posibles riegos que un activo o bien puede tener dentro de los procesos de organización. Esta clasificación lleva el nombre de manejo de riesgos.
El manejo de riesgos conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos identificado, priorizados y analizados, a través de acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo:
- Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades. Ejemplo:
- No instalar empresas en zonas sísmicas
- Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla. Se consigue optimizando los procedimientos, la implementación de controles y su monitoreo constante. Ejemplo:
- No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de contingencia.
- Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes del manejo de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las pérdidas involucradas, esta decisión se da por falta de alternativas. La retención involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el riesgo:
- Con recursos propios se financian las pérdidas.
- Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta técnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro, o para minimizar el mismo, compartiéndolo con otras entidades. Ejemplo:
- Transferir los costos a la compañía aseguradora
Medios de transmisión de ataques a los sistemas de seguridad
[editar]El mejor en soluciones de su clase permite una respuesta rápida a las amenazas emergentes, tales como:
- Malware y spam propagado por correo electrónico.
- La propagación de malware y botnets.
- Los ataques de phishing alojados en sitios web.
- Los ataques contra el aumento de lenguaje de marcado extensible (XML) de tráfico, arquitectura orientada a servicios (SOA) y servicios web.
Estas soluciones ofrecen un camino a la migración y la integración. Como las amenazas emergentes, cada vez más generalizada, estos productos se vuelven más integrados en un enfoque de sistemas.
Un enfoque de sistemas de configuración, la política, y el seguimiento se reúne cumplimiento de las normativas en curso y permite a los sistemas rentables de gestión. El enfoque de sistemas de gestión de la seguridad, dispone:
- Configuración de la política común de todos los productos
- Amenaza la inteligencia y la colaboración de eventos
- Reducción de la complejidad de configuración
- Análisis de riesgos eficaces y operativos de control
En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son:
- Fraudes
- Falsificación
- Venta de información
Entre los hechos criminales más famosos en los Estados Unidos están:
- El caso del Banco Wells Fargo donde se evidenció que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
- El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
- El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyó gran cantidad de archivos.
- También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomó el control de una embotelladora de Canadá.
- También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causó una pérdida de USD 3 millones.
- También el caso de estudiantes de Ingeniería electrónica donde accedieron al sistema de una Universidad de Colombia y cambiaron las notas de sus compañeros generando estragos en esta Universidad y retrasando labores, lo cual dejó grandes pérdidas económicas y de tiempo.[7]
Los virus, troyanos, spyware, malware y demás código llamado malicioso (por las funciones que realiza y no por tratarse de un código erróneo), tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser desde, el acceso a una página no deseada, el redireccionamiento de algunas páginas de internet, suplantación de identidad o incluso la destrucción o daño temporal a los registros del sistemas, archivos y/o carpetas propias. El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través cualquier medio extraíble y transportable o de la misma red en la que se encuentre un equipo infectado, causando diversos tipos de daños a los sistemas.
Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que fue se distribuyó desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste".
Este dato se considera como el nacimiento de su nombre, ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.
Actores que amenazan la seguridad
[editar]- Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
- Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.
- Un lamer Es una persona que alardea de pirata informático, cracker o hacker y solo intenta utilizar programas de FÁCIL manejo realizados por auténticos hackers.
- Un copyhacker es una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.
- Un "bucanero" es un comerciante que depende exclusivamente de la red para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.
- Un phreaker se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos.
- Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con una página de hacking y descubre que en ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.
- Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitándose a recopilar información de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.
- Un tonto o descuidado, es un simple usuarios de la información, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daña o modifica la información, ya sea en un mantenimiento de rutina o supervision.
Gobierno de la Seguridad de la Información
[editar]Un término a tomar en cuenta en el área de la seguridad de la información es su Gobierno dentro de alguna organización empezando por determinar los riesgos que le atañen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la información y el uso efectivo de recursos cuya guía principal sean los objetivos del negocio, es decir, un programa que asegure una dirección estratégica enfocada a los objetivos de una organización y la protección de su información.
Los seis resultados más importantes de este gobierno son:
- Alineación estratégica: alineada con la estrategia de negocio para respaldar los objetivos de la organización.
- Gestión de riesgos: mitigar los riesgos y reducir el posible impacto a un nivel aceptable para la organización.
- Entrega de valor: optimizar las inversiones en seguridad para apoyar los objetivos del negocio.
- Gestión de recursos: utilizar el conocimiento y la infraestructura de seguridad de la información con eficiencia y eficacia.
- Medición de desempeño: monitorear y reportar para garantizar que se alcancen los objetivos definidos.
- Integración de aseguramiento: integrar todos los factores de aseguramiento relevantes para garantizar que los procesos analizados y que forman parte de la definición de gobierno, operan de acuerdo con lo planeado de principio a fin.
Tareas específicas:
- Identificar las influencias internas y externas a la organización (por ejemplo, la tecnología, el entorno empresarial, la tolerancia al riesgo, la ubicación geográfica, los requisitos legales, normativas..) para asegurarse que estos factores son abordados por la estrategia de seguridad de la información (ciberseguridad).
- Obtener el compromiso de la alta dirección y el apoyo de otras partes interesadas para maximizar la probabilidad de una implementación exitosa de la estrategia de seguridad de la información (ciberseguridad), es imprescindible.
- Definir y comunicar las funciones y responsabilidades de seguridad de la información, definidas en el gobierno de la seguridad, en toda la organización para establecer claramente las responsabilidades y las líneas de autoridad.
- Establecer, supervisar, evaluar y reportar métricas para proporcionar una administración y supervisión con información precisa en cuanto a la efectividad de la estrategia de seguridad de la información.
Estándares de seguridad de la información
[editar]Otros estándares relacionados
[editar]- COBIT
- ITIL
- ISO/IEC 20000 — Tecnología de la información, Gestión del servicio. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma en la que se basó la ISO 20000
Certificaciones
[editar]- CISM: Certified Information Security Manager
- CISSP: Certified Information Systems Security Professional Certification
- GIAC: Global Information Assurance Certification
- CPTE Certified Penetration Testing Engineer
- CPTC Certified Penetration Testing Consultant
- CPEH Certified Professional Ethical Hacker
- CISSO Certified Information Systems Security Officer
- CSLO Certified Security Leadership Officer
Certificaciones independientes en seguridad de la información
[editar]- CISA- Certified Information Systems Auditor, ISACA
- CISM- Certified Information Security Manager, ISACA
- Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
- CISSP - Certified Information Systems Security Professional, ISC2
- SECURITY+, COMPTia - Computing Technology Industry Association
- CEH - Certified Ethical Hacker
- PCI DSS - PCI Data Security Standard
Véase también
[editar]- Información
- Información clasificada
- Privacidad
- Servicio de inteligencia
- Contraespionaje
- Auditoría
- Sistema de Gestión de la Seguridad de la Información
- Ley Orgánica de Protección de Datos de Carácter Personal de España
- Seguridad informática
Referencias
[editar]- ↑ «Seguridad de la información, un conocimiento imprescindible». obsbusiness.school. Consultado el 24 de octubre de 2020.
- ↑ Diaz, Matias (25 de julio de 2019). «Mapa de riesgos de una empresa». TU ECONOMÍA FÁCIL. Consultado el 25 de julio de 2019.
- ↑ «Las 4 claves de la seguridad de la información | VIU». www.universidadviu.com. Archivado desde el original el 27 de octubre de 2020. Consultado el 24 de octubre de 2020.
- ↑ «1.6 SEGURIDAD DE LA INFORMACIÓN - INFORMÁTICA BÁSICA- PROYECTO». sites.google.com. Consultado el 13 de julio de 2020.
- ↑ 44 U.S.C § 3542 (b)(1) (2006)
- ↑ «https://csu-sfsu.primo.exlibrisgroup.com/discovery/fulldisplay?docid=cdi_proquest_journals_2592765513&context=PC&vid=01CALS_SFR:01CALS_SFR&lang=en&search_scope=Everything_RAPIDO&adaptor=Primo%20Central&tab=Everything&query=any,contains,phishing%20attacks&offset=0». csu-sfsu.primo.exlibrisgroup.com (en inglés). Consultado el 22 de septiembre de 2023.
- ↑ Estudiantes Hackean Sistema Académico en Neiva - Colombia
Enlaces externos
[editar]- UNAM-CERT Subdirección de Seguridad de la Información UNAM-CERT (noticias, documentos, información para usuarios, revista .Seguridad, alertas de seguridad, Malware UNAM, Honeynet UNAM, etc.)
- INTECO-CERT Centro de Respuesta a Incidentes de Seguridad (Información actualizada sobre todas las amenazas que circulan por la red) del Gobierno de España, para entidades y usuarios con conocimientos medios / avanzados.