Logotipo Unad

Cordial saludo, en la presente sección vamos a hablar sobre seguridad informática y algunos conceptos relacionados con el tema (Amenazas, vulnerabilidades, riesgos, controles informáticos).

Seguridad informática

La podemos definir como el proceso de prevenir y detectar el uso no autorizado de un sistema informático. Implica el proceso de proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o con intención de obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente.

En este sentido, la Seguridad Informática sirve para la protección de la información, en contra de amenazas o peligros, para evitar daños y para minimizar riesgos, relacionados con ella.

La seguridad informática cubre cuatro importantes áreas como son:

  • Confidencialidad: Sólo los usuarios autorizados pueden acceder a nuestros recursos, datos e información.
  • Integridad: Sólo los usuarios autorizados deben ser capaces de modificar los datos cuando sea necesario.
  • Disponibilidad: Los datos deben estar disponibles para los usuarios cuando sea necesario.
  • Autenticación: Es la situación en la cual se puede verificar que un documento ha sido elaborado o pertenece a quien el documento dice. La autenticación de los sistemas informático se realizan habitualmente mediante nombre y contraseña.

Considerar aspectos de seguridad significa conocer el peligro, clasificarlo y protegerse de los impactos o daños de la mejor manera posible. Esto significa que solamente cuando estamos consientes de las potenciales amenazas podemos tomar medidas de protección.

Dependiendo del enfoque que se le de a la seguridad informática, un sistema informático está expuesto al peligro por medio de dos factores: Las amenazas y las vulnerabilidades.

 

Amenazas

Las amenazas son eventos que pueden causar alteraciones a la información de la organización ocasionándole pérdidas materiales, económicas, de información, y de prestigio.

Las amenazas pueden ser:

  • Humanas: Personas curiosas, hackers, ladrones, estafadores, fraudes, otros.
  • Físicas: Daños en los equipos por fluído eléctrico, mal uso, falta de cuidado, falta de protección (equipo vulnerable), desgaste o errores de fabricación.
  • Lógicas: Sistemas operativos y/o aplicaciones vulnerables, virus, errores de diseño en los aplicativos o programas.
  • Naturales: Incendios, terremotos, inundaciones y otros tipos de desastres naturales.

 

Vulnerabilidades

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí mismos sin tratarse de un ataque intencionado.

A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea de los administradores y usuarios el detectarlos, valorarlos y reducirlos.

Las vulnerabilidades en seis tipos: Físicas, naturales, de hardware, de software, de red y de factor humano.

  • Físicas: Es todo lo referente al acceso de las instalaciones, equipos y medios físicos permitiendo la extración de información.
  • Naturales: Daños ocasiones en los equpos por tormentas eléctricas, inundaciones y otro tipo de amenazas naturales.
  • Hardware: Representa la probabilidad de que las piezas físicas del sistema fallen (ya sea por mal uso, descuido, mal diseño, sabotate, otros) dejando al sistema desprotegido o inoperable.
  • Software: Se presenta cuando un programa o aplicación es susceptible de ser usado como medio para violar la seguridad de la empresa.
  • Red: Se refiere a la penetración de uno de los equipos para luego expandirse en la red, interceptar información o afectar la disponibilidad de la misma.
  • Humanos: Se evidencian en falta de conciencia, responsabilidad, ética que puede facilitar el robo de información, sabotaje o violación a la seguridad digital de la empresa.

 

Riesgos

Es la posibilidad de que una amenaza se materialice, dando lugar al ataque a un equipo o a la información.

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases:

  • Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
  • Clasificación: Determina si los riesgos encontrados y los riesgos restantes son bajos, aceptables o altos. Lo anterior según el impacto, daño que producirían en la empresa y su información.
  • Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.
  • Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales, que forman el marco operativo del proceso, con el propósito de:

  • Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.
  • Orientar el funcionamiento organizativo y funcional.
  • Garantizar comportamiento homogéneo.
  • Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
  • Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

 

Control Informático:

Cualquier acción realizada para prevenir, corregir, evitar irregularidades con equipos y sistemas de información.

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.

Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación. El aseguramiento puede realizarse desde tres niveles:

 

Nivel Físico: En este nivel, las medidas a tomar son referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a recursos e información confidencial que sea guardada en la infraestructura física. Dentro de éstas se encuentran:

  • Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes.
  • Manejo de tokens o tarjetas de identificación.
  • Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o mantenimiento periódico de equipos.
  • Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
  • Gestión de medios de almacenamiento removible.
  • Controles de vulnerabilidades técnicas, entre otros.

 

Nivel Lógico: Las medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la información. Como parte de estas medidas se pueden tomar:

  • Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a aplicaciones y gestión de contraseñas.
  • Controles de acceso a la red interna y externa, segregación en redes y controles para asegurar servicios de la red.
  • Controles a nivel de teletrabajo y equipos móviles.
  • Soluciones de protección contra malware.
  • Respaldos de bases de datos e información crítica.
  • Protocolos para intercambio de información y cifrado de información.
  • Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
  • Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
  • Gestión de control de cambios, entre otros.

 

Nivel Personal: Es el nivel más crítico dentro de las organizaciones, dada la naturaleza impredecible del personal o recurso humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:

  • Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento.
  • Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones.
  • Controles a nivel contratación de personal.
  • Gestión antes, durante y después de la terminación de los contratos.
  • Educación y capacitación continua en aspectos de seguridad.
  • Procedimientos e instructivos para manejo de información.
  • Políticas de escritorio y pantalla limpia.
  • Cumplimiento de legislación aplicable, entre otros.

Con estos conceptos, damos por finalizada la primera parte del presente curso de seguridad informática. En la siguiente sección, estaremos tratando qué es un estándar de seguridad informática y cuáles son los principales modelos que existen.

Para verificar el aprendizaje de esta sesión, lo invitamos a dar clic en la siguiente imagen y realizar las actividades en nuevas pestañas:

Actividad 1

Actividad 2

Ir Arriba