Principios Bsicos
Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las
empresas privadas acumulan una gran cantidad de informacin confidencial sobre sus
empleados, clientes, productos, investigacin y su situacin financiera. La mayor parte
de esta informacin es recolectada, tratada, almacenada y puesta a la disposicin de sus
usuarios, en computadoras y trasmitida a travs de las redes entre los ordenadores.
En caso de que la informacin confidencial de una empresa, sus clientes, sus decisiones,
su estado financiero o nueva lnea de productos caigan en manos de un competidor; se
vuelva pblica de forma no autorizada, podra ser causa de la prdida de credibilidad de
los clientes, prdida de negocios, demandas legales o incluso la quiebra de la misma.
Por lo que proteger la informacin confidencial es un requisito del negocio, y en
muchos casos tambin un imperativo tico y una obligacin legal.
Conceptos Importantes
Por ms de veinte aos la Seguridad de la Informacin ha declarado que la
confidencialidad, integridad y disponibilidad (conocida como la Trada CIA, del ingls:
"Confidentiality, Integrity, Availability") son los principios bsicos de la seguridad de la
informacin.
La correcta Gestin de la Seguridad de la Informacin busca establecer y mantener
programas, controles y polticas, que tengan como finalidad conservar la
confidencialidad, integridad y disponibilidad de la informacin, si alguna de estas
caractersticas falla no estamos ante nada seguro. Es preciso anotar, adems, que la
seguridad no es ningn hito, es ms bien un proceso continuo que hay que gestionar
conociendo siempre las vulnerabilidades y las amenazas que se cien sobre cualquier
informacin, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que
ocurran, as como el impacto que puede tener. Una vez conocidos todos estos puntos, y
nunca antes, debern tomarse las medidas de seguridad oportunas.
Confidencialidad
La confidencialidad es la propiedad de prevenir la divulgacin de informacin a
personas o sistemas no autorizados.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de
tarjeta de crdito a ser transmitida desde el comprador al comerciante y el comerciante
de a una red de procesamiento de transacciones. El sistema intenta hacer valer la
confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la
banda magntica durante la transmisin de los mismos. Si una parte no autorizada
obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la
confidencialidad.
La prdida de la confidencialidad de la informacin puede adoptar muchas formas.
Cuando alguien mira por encima de su hombro, mientras usted tiene informacin
confidencial en la pantalla, cuando se publica informacin privada, cuando un laptop
con informacin sensible sobre una empresa es robado, cuando se divulga informacin
confidencial a travs del telfono, etc. Todos estos casos pueden constituir una violacin
de la confidencialidad.
Integridad
Para la Seguridad de la Informacin, la integridad es la propiedad que busca mantener
los datos libres de modificaciones no autorizadas. La violacin de integridad se presenta
cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica
o borra los datos importantes que son parte de la informacin, as mismo hace que su
contenido permanezca inalterado a menos que sea modificado por personal autorizado,
y esta modificacin sea registrada, asegurando su precisin y confiabilidad. La
integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de
comprobacin de la integridad: la huella digital Es uno de los pilares fundamentales de
la seguridad de la informacion
Disponibilidad
La Disponibilidad es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o
aplicaciones.
En el caso de los sistemas informticos utilizados para almacenar y procesar la
informacin, los controles de seguridad utilizado para protegerlo, y los canales de
comunicacin protegidos que se utilizan para acceder a ella deben estar funcionando
correctamente. La alta disponibilidad de los sistemas, es el objetivo debe seguir estando
disponible en todo momento, evitando interrupciones del servicio debido a cortes de
energa, fallos de hardware, y actualizaciones del sistema.
Planificacin de la seguridad
Hoy en da la rpida evolucin del entorno tcnico requiere que las organizaciones
adopten un conjunto mnimo de controles de seguridad para proteger su informacin y
sistemas de informacin. El propsito del plan de seguridad del sistema es proporcionar
una visin general de los requisitos de seguridad del sistema y se describen los controles
en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema
tambin delinea las responsabilidades y el comportamiento esperado de todos los
individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores
con responsabilidades sobre el sistema, incluidos los propietarios de la informacin, el
propietario de la red, y el alto funcionario de la agencia de informacin de seguridad
(SAISO).
Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo
posible. Esta opcin es la ms econmica y sencilla y se consigue optimizando
los procedimientos y con la implementacin de controles.
Retener. Cuando se reduce los riegos, se podra retener los riesgos residuales.
Dentro de los planes del manejo de riegos de la empresa debe plantear como
manejar dichos riegos si ocurrieran.
Tecnologas
Las principales tecnologas referentes a la seguridad de la informacin son:[3]
Cortafuegos
Administracin de cuentas de usuarios
Deteccin y prevencin de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexin nica "Single Sign on- SSO"
Biomtria
Cifrado
Cumplimiento de privacidad
Acceso remoto
Firma digital
Intercambio electrnico de Datos "EDI" y Transferencia Electrnica de Fondos
"EFT"
Redes Virtuales Privadas "VPNs"
Transferencia Electrnica Segura "SET"
Informtica Forense
Recuperacin de datos
Tecnologas de monitoreo