INICIO
CONOCETEC
OFERTA EDUCATIVA
COMUNIDAD TEC
REVISTA TEC
DESCARGAS
Inseguridad Informática
“Vencer 100 veces en 100 batallas no es la habilidad más alta, neutralizar al enemigo sin
pelear, lo es”<<GichinFunakoshi (1868-1957)>>
Resumen
En teoría nos deberíamos referir al concepto de la seguridad informática, sin embargo, desde
el punto de vista profesional y real, considero que lo mejor será referirse a lo mismo bajo el
concepto de inseguridad informática, dado que el estado de seguridad absoluta es considerado
entre los profesionales del ramo como una idea hipotética, puesto que siempre existirá la
amenaza latente sobre el riesgo de la seguridad informática.
Introducción
El presente artículo tiene la intensión de dar a conocer el esquema básico de la seguridad de la
información según la norma ISO/IEC 17799 así como sus objetivos y servicios básicos para
finalizar con un Modelo para la Gestión de la Seguridad de la Información.
Antecedentes
Las actividades cotidianas del hombre de la sociedad actual cada vez están más apoyadas sobre
los servicios que la informática ofrece dada la necesidad de las organizaciones para mantenerse
vigentes en un mercado cada vez más competitivo y globalizado, desde los más básicos e
indispensables como la navegación por internet, el correo electrónico, las conversaciones de
chat, hasta los más sofisticados como complejos sistemas ERP-Planeación de recursos
empresariales comúnmente conocidos como paquetes de software de gestión integral.
Definición
La seguridad informática se podría definir como cualquier medida que impida la ejecución de
operaciones no autorizadas sobre un sistema o red informática, cuyos efectos podrían conllevar
a daños a la información, comprometer la confidencialidad, autenticidad o integridad, disminuir
el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.[1]
Fig. 1 Seguridad de la información según la norma ISO/IEC 17799, Fuente: Enciclopedia de la seguridad
informática. Pag. 5.
Fuente: http://www.compuchannel.net/wp-content/archivos/2011/04/ESET.png
Sensibilización de los directivos y responsables tanto a nivel gerencial como directivo sobre la
importancia y efecto de la seguridad informática a fin de destinar los recursos necesarios y
suficientes para esta función.
Identificación de los posibles riesgos así como de las amenazas latentes que pudieran
comprometer la seguridad en cualquier nivel, tanto de manera física como por ejemplo al no
mantener apropiadas políticas para el control de acceso a ciertas áreas restringidas de la
organización así mismo como de manera lógica al no mantener un adecuado control del tráfico
de la información que fluye por los diferentes medios electrónicos dentro y fuera de las fronteras
de la propia organización.
Permisos y privilegios limitados a las funciones básicas, es decir, no es necesario accesar a los
sistemas como administrador por el solo hecho de “sentir el poder”, así que si no se requiere
de ese poder, mejor no exponerse.
Actualización periódica de los parches de seguridad de los sistemas, siempre y cuando el origen
de estos parches sea una fuente confiable, es decir, de su propietario.
No subestimar las amenazas ya sea externas o internas, está comprobado que un buen
porcentaje de los más grandes delitos informáticos en cuanto a seguridad se refiere han sido
desde dentro de la propia organización.
Adoptar la seguridad por obscuridad, evitando del conocimiento público los sistemas de
seguridad, marcas, versiones, etc., que se están utilizando al interior de la organización, lo
anterior aunque no lo parezca suele ofrecer demasiada información a los atacantes de sistemas.
Minimizar y gestionar los riesgos, así como identificar las posibles amenazas a la seguridad.
Establecer los mecanismos adecuados para una inmediata recuperación después de un desastre
en la menor cantidad de tiempo con el menor daño posible.
La disponibilidad consiste en asegurar que la información pueda ser accesada por los usuarios
autorizados en el justo momento que sea necesario.
La integridad consiste en garantizar que la información se conserve intacta, es decir, sin
alteración alguna.
Cualquier riesgo o amenaza deberá ser tomado en cuenta con la mayor seriedad posible, puesto
que la fortaleza de la cadena de medidas de seguridad organizacional no se mide por el eslabón
más fuerte, ni tampoco por el valor promedio de sus eslabones, sino por el eslabón más débil,
pues es generalmente el que rompe con el esquema de la seguridad organizacional, con efectos
que pudieran considerarse desde moderados a severos.
Costo de horas de trabajo invertidas para intentar recuperar las horas de trabajo perdidas ante
una eventualidad.
En casos más delicados, el posible daño a nivel personal de los usuarios, desde la exposición
de los datos personales, e incluso aquellos que tienen que ver con su integridad física y moral.
Conclusión
http://www.tecnotitulares.com/wp-content/uploads/2011/02/Spammers-001.jpg
La seguridad absoluta es un estado meramente hipotético, difícil de lograr, puesto que siempre
existirán nuevos riesgos y amenazas latentes al acecho de nuestros sistemas, por lo que es
importante la implementación de un modelo de gestión de la seguridad de la información que
ayude a minimizar dichos riesgos y/o amenazas en todos los niveles, ofreciendo un estado de
fiabilidad aceptable ante las actuales exigencias de seguridad, dado que la información es uno
de los más importantes activos con los que cuenta una organización.
Referencias