La seguridá de la información ye'l conxuntu de midíes preventives y reactives de les organizaciones y de los sistemes teunolóxicos que dexen abellugar y protexer la información buscando caltener la confidencialidad, la disponibilidad ya integridá de datos y de la mesma.
El conceutu de seguridá de la información nun tien de ser confundíu col de seguridá informática, una y bones esti postreru namái s'encarga de la seguridá nel mediu informáticu, pero la información puede atopase en distintos medios o formes, y non solo en medios informáticos.
Pal home como individuu, la seguridá de la información tien un efeutu significativu al respective de el so privacidá, la que puede cobrar distintes dimensiones dependiendo de la cultura del mesmu.
El campu de la seguridá de la información creció y evolucionó considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose nuna carrera acreditada a nivel mundial. Esti campu ufierta munches árees d'especialización, incluyíos l'auditoría de sistemes d'información, planificación de la continuidá del negociu, ciencia forense dixital y alministración de sistemes de xestión de seguridá, ente otros.
Concepción de la seguridá de la información
Na seguridá de la información ye importante señalar que'l so manexu ta basáu na teunoloxía y debemos de saber que pue ser confidencial: la información ta centralizada y puede tener un altu valor. Puede ser sopelexada, mal utilizada, ser robada, borrada o saboteada. Esto afecta'l so disponibilidad y poner en riesgu. La información ye poder, y según les posibilidaes estratéxiques qu'ufierta tener accesu a cierta información, ésta clasifícase como:
- Crítica: Ye indispensable pa la operación de la empresa.
- Pervalible: Ye un activu de la empresa y bien pervalible.
- Sensible: Debe de ser conocida poles persones autorizaes
Esisten dos pallabres bien importantes que son riesgu y seguridá:
- Riesgu: Ye la materialización de vulnerabilidaes identificaes, acomuñaes cola so probabilidá d'escurrimientu, amenaces espuestes, según l'impautu negativu que cause a les operaciones de negociu.
- Seguridá: Ye una forma de proteición contra los riesgos.
La seguridá de la información entiende diversos aspeutos ente ellos la disponibilidad, comunicación, identificación de problemes, analises de riesgos, la integridá, confidencialidad, recuperación de los riesgos.
Precisamente l'amenorgamientu o eliminación de riesgos acomuñáu a una cierta información ye l'oxetu de la seguridá de la información y la seguridá informática. Más concretamente, la seguridá de la información tien como oxeto los sistemes l'accesu, usu, divulgación, interrupción o destrucción ensin autorizar d'información.[1] Los términos seguridá de la información, seguridá informática y garantía de la información son usaos frecuentemente como sinónimos porque toos ellos escuerren una mesma finalidá al protexer la confidencialidad, integridá y disponibilidad de la información. Sicasí, nun son esautamente lo mesmo esistiendo delles diferencies sutiles. Estes diferencies anicien principalmente nel enfoque, les metodoloxíes utilizaes, y les zones de concentración. Amás, la seguridá de la información arreya la implementación d'estratexes que cubran los procesos onde la información ye l'activu primordial. Estes estratexes tienen de tener como puntu primordial l'establecimientu de polítiques, controles de seguridá, teunoloxíes y procedimientos pa detectar amenaces que puedan esplotar vulnerabilidaes y que pongan en riesgu dichu activu, esto ye, qu'ayuden a protexer y salvaguardar tanta información como los sistemes que lu almacenen y alministren. La seguridá de la información incumbe a gobiernos, entidaes militares, instituciones financieres, los hospitales y les empreses privaes con información confidencial sobre los sos emplegaos, veceros, productos, investigación y la so situación financiera.
En casu de que la información confidencial d'una empresa, los sos veceros, les sos decisiones, el so estáu financieru o nueva llinia de productos cayan en manes d'un competidor; vuélvase pública de forma ensin autorizar, podría ser causa de la perda de credibilidá de los veceros, perda de negocios, demandes llegales o inclusive la quiebra de la mesma.
Por más de venti años[¿cuándo?] la Seguridá de la Información declaró que la confidencialidad, integridá y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los principios básicos de la seguridá de la información.
La correuta Xestión de la Seguridá de la Información busca establecer y caltener programes, controles y polítiques, que tengan como finalidá caltener la confidencialidad, integridá y disponibilidad de la información, si dalguna d'estes carauterístiques falla nun tamos ante nada seguro. Ye precisu anotar, amás, que la seguridá nun ye nengún finxu, ye más bien un procesu continuu qu'hai que xestionar conociendo siempres les vulnerabilidaes y les amenaces que se cinxen sobre cualquier información, teniendo siempres en cuenta les causes de riesgu y la probabilidá de qu'asocedan, según l'impautu que puede tener. Una vegada conocíos toos estos puntos, y nunca antes, tendrán de tomase les midíes de seguridá oportunes.
Confidencialidad
La confidencialidad ye la propiedá que torga la divulgación d'información a individuos, entidaes o procesos ensin autorizar. A les traces, asegura l'accesu a la información namái a aquelles persones que cunten cola debida autorización.
Por casu, una transaición de tarxeta de creitu n'Internet rique que'l númberu de tarxeta de creitu a ser tresmitida dende'l comprador al comerciante y el comerciante d'a una rede de procesamientu de transaiciones. El sistema intenta faer valir la confidencialidad por aciu el cifráu del númberu de la tarxeta y los datos que contién la banda magnética mientres la tresmisión de los mesmos. Si una parte ensin autorizar llogra'l númberu de la tarxeta de nenguna manera, producióse una violación de la confidencialidad.
La perda de la confidencialidad de la información puede adoptar munches formes. Cuando daquién mira percima del so costazu, mientres usté tien información confidencial na pantalla, cuando se publicar información privada, cuando un laptop con información sensible sobre una empresa ye robáu, cuando se sopelexar información confidencial al traviés del teléfonu, etc. Toos estos casos pueden constituyir una violación de la confidencialidad.
Integridá
Ye la propiedá que busca caltener los datos llibres de cambeos ensin autorizar. (Nun ye igual a integridá referencial en bases de datos.) Grosso modo, la integridá ye caltener con exactitú la información talo como foi xenerada, ensin ser manipulada nin alteriada por persones o procesos ensin autorizar.
La integridá tamién ye la propiedá que busca protexer que se modificar los datos llibres de forma ensin autorizar, pa salvaguardar la precisión y completitud de los recursos.
La violación d'integridá preséntase cuando un emplegáu, programa o procesu (por accidente o con mala intención) modifica o borra datos importantes que son parte de la información.
La integridá garantiza que los datos permanezan inalteraos sacante cuando sían modificaos por personal autorizáu, y esti cambéu sía rexistrada, asegurando la so precisión y confiabilidad. La integridá d'un mensaxe llógrase axuntándo-y otru conxuntu de datos de comprobación de la integridá: la firma dixital ye unu de les pilastres fundamentales de la seguridá de la información.
Disponibilidad
La disponibilidad ye la carauterística, cualidá o condición de la información d'atopase a disposición de quien tienen d'aportar a ella, yá sían persones, procesos o aplicaciones. Grosso modo, la disponibilidad ye l'accesu a la información y a los sistemes por persones autorizaes nel momentu qu'asina lo riquir.
Nel casu de los sistemes informáticos utilizaos p'almacenar y procesar la información, los controles de seguridá utilizaos pa protexelo, y les canales de comunicación protexíos que s'utilicen p'aportar a ella tienen de tar funcionando correutamente. L'alta disponibilidad sistemes oxetivu ten de tar disponible en tou momentu, evitando interrupciones del serviciu por cuenta de cortes d'enerxía, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica tamién la prevención d'ataque de denegación de serviciu. Pa poder remanar con mayor facilidá la seguridá de la información, les empreses o negocios pueden ayudar con un sistema de xestión que dexe conocer, alministrar y embrivir los posibles riesgos qu'atenten contra la seguridá de la información del negociu.
La disponibilidad amás de ser importante nel procesu de seguridá de la información, ye amás variada nel sentíu de qu'esisten dellos mecanismos pa cumplir colos niveles de serviciu que se riquir. Tales mecanismos implementar n'infraestructura teunolóxica, servidores de corréu electrónicu, de bases de datos, de web etc, por aciu l'usu de clusters o arreglos de discos, equipos n'alta disponibilidad a nivel de rede, servidores espeyu, replicación de datos, redes d'almacenamientu (SAN), enllaces redundantes, etc. La gama de posibilidaes va depender de lo que queremos protexer y el nivel de serviciu que quiera apurrise.
Autenticación o autentificación
Ye la propiedá que dexa identificar el xenerador de la información. Por casu al recibir un mensaxe de daquién, tar seguro que ye d'esi daquién el que lo mandó, y non una tercer persona faciéndose pasar pola otra (suplantación d'identidá). Nun sistema informáticu suelse consiguir esti factor col usu de cuentes d'usuariu y contraseñes d'accesu.
Esta propiedá puede considerase como un aspeutu de la integridá -si ta robláu por daquién, ta realmente unviáu pol mesmu- y asina figura na lliteratura anglosaxona.
Servicios de seguridá
L'oxetivu d'un serviciu de seguridá ye ameyorar la seguridá de los sistemes de procesamientu de datos y la tresferencia d'información nes organizaciones. Los servicios de seguridá tán diseñaos pa compensar los ataques a la seguridá y faen usu d'unu o más mecanismos de seguridá p'apurrir el serviciu.
Nun refugo
Apurre proteición contra la interrupción, per parte de dalguna de les entidaes implicaes na comunicación, de participar en toa o parte de la comunicación. El serviciu de Seguridá de Nun refugo o irrenunciabilidad ta estandarizado na ISO-7498-2.
Nun Refugo d'orixe: L'emisor nun puede negar qué unvió porque'l destinatario tien pruebes de la unviada. El receptor recibe una prueba infalsificable del orixe de la unviada, lo cual evita que l'emisor, de negar tal unviada, tenga ésitu ante'l xuiciu de terceros. Nesti casu, la prueba crear el mesmu emisor y recibir el destinatario.
- Prueba que'l mensaxe foi unviáu pela parte específica.
Nun Refugo de destín: El receptor nun puede negar que recibió'l mensaxe porque l'emisor tien pruebes de la receición. Esti serviciu apurre al emisor la prueba de que'l destinatario llexítimu d'una unviada, realmente recibir, evitando que'l receptor negar darréu. Nesti casu la prueba irrefugable crear el receptor y recibir l'emisor.
- Prueba que'l mensaxe foi recibíu pela parte específica.
Si l'autenticidá prueba quién ye l'autor d'un documentu y cual ye'l so destinatario, el “nun refugo” prueba que l'autor unvió la comunicación (nun refugo n'orixe) y que'l destinatario recibir (nun refugo en destín). El nun refugo evita que l'emisor o'l receptor nieguen la tresmisión d'un mensaxe. Asina, cuando s'unvia un mensaxe, el receptor puede comprobar que, efeutivamente, el supuestu emisor unvió'l mensaxe. De forma similar, cuando se recibe un mensaxe, l'emisor puede verificar que, ello ye que'l supuestu receptor recibió'l mensaxe. Definición según l'encamientu X.509 de la UIT-T Serviciu que suministra la prueba de la integridá y del orixe de los datos ambos nuna rellación infalsificable que pueden ser verificaos por un terceru en cualquier momentu.
Protocolos de seguridá de la información
Los protocolos de seguridá son un conxuntu de regles que gobiernen dientro de la tresmisión de datos ente la comunicación de dispositivos pa exercer una confidencialidad, integridá, autenticación y el nun refugo de la información. Componer de:
- Criptografía (Cifráu de datos). Ocupar de transposicionar o despintar el mensaxe unviáu pol emisor hasta que llega al so destín y puede ser descifráu pol receptor.
- Lóxica (Estructura y secuencia). Llevar un orde nel cual se agrupán los datos del mensaxe'l significáu del mensaxe y saber cuando se va unviar el mensaxe.
- Identificación (Autentication). Ye una validación d'identificación téunica por aciu la cual un procesu comprueba que'l compañeru de comunicación ye quien se supón que ye y nun se trata d'un impostor.
Planificación de la seguridá
Anguaño la rápida evolución de la redolada téunica rique que les organizaciones adopten un conxuntu mínimu de controles de seguridá pa protexer la so información y sistemes d'información. El propósitu del plan de seguridá del sistema ye apurrir una visión xeneral de los requisitos de seguridá del sistema y descríbense los controles nel llugar o los previstos pa cumplir esos requisitos. El plan de seguridá del sistema tamién delinea les responsabilidaes y el comportamientu esperáu de tolos individuos qu'apuerten al sistema. Tien De reflexar les aportaciones de distintos xestores con responsabilidaes sobre'l sistema, incluyíos los propietarios de la información, el propietariu de la rede, y l'altu funcionariu de l'axencia d'información de seguridá (SAISO).
El alministradores de programes, los propietarios del sistema, y personal de seguridá na organización tien d'entender el sistema de seguridá nel procesu de planificación. Los responsables de la execución y xestión de sistemes d'información tienen de participar nel tratamientu de los controles de seguridá que tienen d'aplicase a los sos sistemes.
Creación d'un plan de respuesta a incidentes
Ye importante formular un plan de respuestes a incidentes, soportalo a lo llargo de la organización y probalo regularmente. Un bon plan de respuestes a incidentes puede non yá embrivir los efeutos d'una violación sinón tamién, amenorgar la publicidá negativo.
Dende la perspeutiva del equipu de seguridá, nun importa si asocede una violación o abertura (pos tales eventos son una parte eventual de cuando se faen negocios usando un métodu de poca enfotu como lu ye Internet), sinón más bien cuándo asocede. L'aspeutu positivu d'entender la inevitabilidad d'una violación a los sistemes (cualquier sistema onde se procese información confidencial, nun ta llindáu a servicios informáticos) ye que dexa al equipu de seguridá desenvolver un cursu d'aiciones pa embrivir los daños potenciales. Combinando un cursu d'aiciones cola esperiencia déxa-y al equipu responder a condiciones adverses d'una manera formal y oportuno.
El plan de respuesta a incidentes puede ser estremáu en cuatro fases:
- Aición inmediata pa detener o embrivir l'incidente *
Investigación del incidente * Restauración de los recursos afeutaos
- Reporte del incidente a les canales apropiaes
Una respuesta a incidentes tien de ser decisiva y executase rápido. Por cuenta de que hai bien pocu espaciu pa errores, ye críticu que s'efectúen práutiques d'emerxencies y mídanse los tiempos de respuesta. D'esta forma, ye posible desenvolver una metodoloxía que fomenta la velocidá y la precisión, embriviendo l'impautu de la indisponibilidad de los recursos y el dañu potencial causáu pol sistema en peligru.
Un plan de respuesta a incidentes tien un númberu de requerimientos, incluyendo:
- Un equipu d'espertos locales (un Equipu de respuesta a emerxencies de computación)
- Una estratexa llegal revisada y aprobada
- Soporte financieru de la compañía *
Soporte executivu de la xerencia cimera * Un plan d'aición facedera y probáu
- Recursos físicos, tal como almacenamientu redundante, sistemes en stand by y servicios de respaldu
Considerancies llegales
Otros aspeutos importantes a considerar nuna respuesta a incidentes son les ramificaciones llegales. Los planes de seguridá tendríen de ser desenvueltos con miembros del equipu d'asesoría xurídica o dalguna forma de consultoría xeneral. De la mesma forma en que cada compañía tendría de tener la so propia política de seguridá corporativa, cada compañía tien la so forma particular de remanar incidentes dende la perspeutiva llegal. Les regulaciones locales, d'estáu o federales tán más allá del ámbitu d'esti documentu, pero méntense por cuenta de que la metodoloxía pa llevar a cabu l'analís forense, va ser dictáu, siquier en parte, pola consultoría xurídica. La consultoría xeneral puede sollertar al personal téunico de les ramificaciones llegales d'una violación; los peligros de que s'escape información personal d'un veceru, rexistros médicos o financieros; y l'importancia de restaurar el serviciu n'ambientes de misión crítica tales como hospitales y bancos.
Planes d'aición
Una vegada creáu un plan d'aición, este tien de ser aceptáu ya implementáu viviegamente. Cualquier aspeutu del plan que sía cuestionáu mientres la implementación activa lo más seguro ye que resulte nun tiempu de respuesta probe y tiempu fora de serviciu nel eventu d'una violación. Equí ye onde los exercicios práuticos son invalorables. La implementación del plan tendría de ser alcordada ente toles partes rellacionaes y executada con seguridá, nun siendo que se llame l'atención con al respective de daqué primero que'l plan sía asitiáu en producción.
La respuesta a incidentes tien de dir acompañada con recueya d'información siempres qu'esto sía posible. Los procesos n'execución, conexones de rede, archivos, direutorios y muncho más tendría de ser auditado viviegamente en tiempu real. Puede ser bien útil tener una toma instantánea de los recursos de producción al faer un siguimientu de servicios o procesos maliciosos. Los miembros de CERT y los espertos internos van ser recursos escelentes pa siguir tales anomalíes nun sistema.
El manexu de riesgos
Dientro de la seguridá na información llevar a cabu la clasificación de les alternatives pa remanar los posibles riegos qu'un activu o bien puede tener dientro de los procesos d'organización. Esta clasificación lleva'l nome de manexu de riesgos. El manexu de riesgos, trai una estructura bien definida, con un control fayadizu y el so manexu, identificándolos, priorizaos y analizaos, al traviés d'aiciones facederes y efeutives. Pa ello cúntase coles siguientes téuniques de manexu del riesgu:
- Evitar. El riesgu ye evitáu cuando la organización refuga aceptalo, esto ye, nun se dexa nengún tipu d'esposición. Esto llógrase a cencielles con nun comprometese a realizar l'aición qu'anicie'l riesgu. Esta téunica tien más desventaxes que ventayes, una y bones la empresa podría abstenese d'aprovechar munches oportunidaes. Exemplu:
- Nun instalar empreses en zones sísmiques
- Amenorgar. Cuando'l riesgu nun puede evitase por tener delles dificultaes de tipu operacional, l'alternativa puede ser el so amenorgamientu hasta'l nivel más baxu posible. Esta opción ye la más económica y senciella. Consíguese optimizando los procedimientos, la implementación de controles y el so monitoreo constante. Exemplu:
- Nun fumar en ciertes árees, instalaciones llétriques anti flama, planes de continxencia.
- Retener, Asumir o Aceptar el riesgu. Ye unu de los métodos más comunes del manexu de riesgos, ye la decisión d'aceptar les consecuencies del escurrimientu del eventu. Puede ser voluntaria o involuntaria, la voluntaria carauterizar pola reconocencia de la esistencia del riesgu y l'alcuerdu d'asumir les perdíes arreyaes, esta decisión dar por falta d'alternatives. La retención involuntaria dase cuando'l riesgu ye reteníu inconscientemente. Exemplu d'asumir el riesgu:
- Con recursos propios finánciense les perdes.
- Tresferir. Ye buscar un respaldu y compartir el riesgu con otros controles o entidaes. Esta téunica úsase yá sía pa esaniciar un riesgu d'un llugar y tresferilo a otru, o pa embrivir el mesmu, compartiéndolo con otres entidaes. Exemplu:
- Tresferir los costos a la compañía aseguradora
Medios de tresmisión d'ataques a los sistemes de seguridá
El meyor en soluciones de la so clase dexa una respuesta rápida a les amenaces emerxentes, tales como:
- Malware y spam arrobináu por e-mail.
- L'espardimientu de malware y botnets.
- Los ataques de phishing agospiaos en sitio web.
- Los ataques contra l'aumentu de llinguaxe de marcáu estensible (XML) de tráficu, arquiteutura empobinada a servicios (SOA) y servicio web.
Estes soluciones ufierten un camín a la migración y l'integración. Como les amenaces emerxentes, cada vez más xeneralizada, estos productos vuélvense más integraos nun enfoque de sistemes.
Un enfoque de sistemes de configuración, la política, y el siguimientu axunta cumplimientu de les normatives en cursu y dexa a los sistemes rentables de xestión. L'enfoque de sistemes de xestión de la seguridá, dispón:
- Configuración de la política común de tolos productos
- Amenacia la intelixencia y la collaboración d'evento *
Reducción de la complexidá de configuración
- Analís de riesgos eficaces y operativos de control
Na actualidá gracies a la gran cantidá posibilidaes que se tien pa tener accesu a los recursos de manera remota y a la gran medría nes conexones al internet los delitos nel ámbitu de TI hanse vistu amontáu, so estes circunstancies los riesgos informáticos son más latentes. Los delitos cometíos por aciu l'usu del ordenador crecieron en tamañu, forma y variedá. Los principales delitos fechos por ordenador o per mediu d'ordenadores son:
- Fraudes
- Falsificación
- Venta d'información
Ente los fechos criminales más famosos nos Estaos Xuníos tán:
- El casu del Bancu Wells Fargo onde se evidenció que la proteición d'archivos yera desaparente, que'l so error costu USD 21.3 millones.
- El casu de la NASA onde dos alemanes ingresaron n'archivos confidenciales.
- El casu d'un rapazu de 15 años qu'entrando al ordenador de la Universidá de Berkeley en California destruyó gran cantidá d'archivos.
- Tamién se menta'l casu d'un estudiante d'una escuela qu'ingreso a una rede canadiense con un procedimientu d'almirable cencellez, otorgándose una identificación como un usuariu d'alta prioridá, y tomó el control d'una embotelladora de Canadá.
- Tamién el casu del emplegáu que vendió la llista de veceros d'una compañía de venta de llibros, lo que causo una perda de USD 3 millones.
- Tamién el casu d'estudiantes d'Inxeniería electrónica onde aportaron al sistema d'una Universidá de Colombia y camudaron les notes de los sos compañeros xenerando estragos nesta Universidá y retrasando llabores, lo cual dexó grandes perdíes económiques y de tiempu.[2]
Los virus, troyanos, spyware, malware y demás códigu llamáu maliciosu (poles funciones que realiza y non por tratase d'un códigu erróneu), tienen como oxetivu principal l'executar aiciones ensin solicitar pol usuariu, que pueden ser dende, l'accesu a una páxina ensin deseyar, el redireccionamiento de delles páxines d'internet, suplantación d'identidá o inclusive la destrucción o dañu temporal a los rexistros del sistemes, archivos y/o carpetes propies. El virus informáticu ye un programa ellaboráu accidental o intencionadamente, que s'introduz y tresmítese al traviés cualesquier mediu extraíble y tresportable o de la mesma rede na que s'atope un equipu infestáu, causando diversos tipos de daños a los sistemes.
Históricamente los virus informáticos fueron afayaos pola prensa'l 12 d'ochobre de 1985, con una publicación del New York Times que falaba d'un virus que foi distribuyir dende un BBS y aparentemente yera pa optimizar los sistemes IBM basaos en tarxeta gráfica EGA, pero al executalo salía la presentación pero coles mesmes borraba tolos archivos del discu duru, con un mensaxe al rematar que dicía "Caíste".
Esti datu considérase como la nacencia del so nome, una y bones los programes con códigu integráu, diseñaos pa faer coses inesperaes esistieron desque esisten les mesmes ordenadores. Les primeres referencies de virus con fines intencionales surdieron en 1983 cuando Dixital Equipament Corporation (DEC) emplegó una subrutina pa protexer el so famosu procesador de testos Decmate II, que'l 1 d'abril de 1983 en casu de ser copia illegal borraba tolos archivos de la so unidá de discu.
Actores qu'amenacien la seguridá
- Un hacker ye cualquier persona con amplies conocencies en teunoloxía, bien pue ser informática, electrónica o comunicaciones, caltién permanentemente actualizáu y conoz a xeitu tou lo rellacionao con programación y sistemes complexos; ye un investigador nato que s'inclina primero de too por conocer lo rellacionao con cadenes de datos cifraos y les posibilidaes d'aportar a cualquier tipu de "información segura". La so formación y les habilidaes que tienen da-yos una experticia mayor que-yos dexa aportar a sistemes d'información seguros, ensin ser descubiertos, y tamién-yos da la posibilidá d'espublizar les sos conocencies por que les demás persones enterar de cómo ye que realmente funciona la teunoloxía y conozan les debilidaes de los sos propios sistemes d'información.
- Un cracker, ye aquella persona con comportamientu compulsivu, que presume de la so capacidá pa españar sistemes electrónicos ya informáticos. Un cracker ye un arteru conocedor de programación de Software y Hardware; diseña y fabrica programes de guerra y hardware pa españar software y comunicaciones como'l teléfonu, el corréu electrónicu o'l control d'otros ordenadores remotos.
- Un llamber Ye una persona que presume de pirata informáticu, cracker o hacker y solo intenta utilizar programes de FÁCIL manexu realizaos por auténticos hackers.
- Un copyhacker' ye una persona dedicada a falsificar y crackear hardware, específicamente nel sector de tarxetes intelixentes. La so estratexa anicia n'establecer amistá colos verdaderos Hackers, pa copia-yos los métodos de rotura y dempués vendelos los bucaneros. Los copyhackers interesar por tener conocencies de teunoloxía, son aficionaos a les revistes téuniques y a lleer tou lo qu'hai na rede. El so principal motivación ye'l dineru.
- Un "bucaneru" ye un comerciante que depende puramente de la rede pa la so actividá. Los "bucaneros" nun tener nengún tipu de formación nel área de los sistemes, si tienen una amplia conocencia n'área de los negocios.
- Un phreaker carauterizar por tener vastes conocencies nel área de telefonía terrestre y móvil, inclusive más que los mesmos téunicos de les compañíes telefóniques; apocayá cola puxanza de los teléfonos móviles, tuvieron qu'entrar tamién nel mundu de la informática y del procesamientu de datos.
- Un newbie o "novatu de rede" ye un individuu qu'ensin propone-y lo zarapica con una páxina de hacking y afaya que nella esisten árees de descarga de bonos programes de hackeo, baxa tou lo que puede y empieza a trabayar con ellos.
- Un script kiddie o skid kiddie, ye un simple usuariu d'Internet, ensin conocencies sobre hackeo o crackeo que, anque aficionáu a estes tema, nun los conoz en fondura llindándose a arrexuntar información de la rede y a buscar programes que depués executa, infestando en dellos casos de virus a los sos propios equipos.
- Un tontu o desdexáu, ye un simple usuarios de la información, con o ensin conocencies sobre hackeo o crackeo que por fuercia borra estropia o modifica la información, yá sía nun caltenimientu de rutina o supervision.
=== Otros conceutos Otros conceutos rellacionaos son:[3]
- Auditabilidad: Dexar la reconstrucción, revisión y analís de la secuencia d'eventos
- Identificación: verificación d'una persona o cosa; reconocencia.
- Autenticación: Apurrir una prueba d'identidá; puede ser daqué que se sabe, que se ye, tiense o una combinación de toes.
- Autorización: Lo que se dexa cuando s'otorgó accesu *
Nun refugo: nun puede negase un eventu o una transaición.
- Seguridá en capes: La defensa a fondura que contenga la inestabilidá *
Control d'Accesu: llindar l'accesu autorizáu solo a entidaes autenticadas
- Métriques de Seguridá, Monitoreo: Midida d'actividaes de seguridá *
Gobiernu: apurrir control y direición a les actividaes
- Estratexa: los pasos que se riquir p'algamar un oxetivu *
Arquiteutura: el diseñu de la estructura y les rellaciones de los sos elementos
- Xerencia: Xixilar les actividaes pa garantizar que s'algamar los oxetivos
- Riesgu: la esplotación d'una vulnerabilidá per parte d'una amenaza *
Esposiciones: Árees que son vulnerables a un impautu per parte d'una amenaza * Vulnerabilidaes: defectos que pueden ser esplotaes por amenaces
- Amenaces: Cualquier aición o eventu que puede causar consecuencies adverses
- Riesgu residual: El riesgu que permanez dempués de que s'implementaron contra midíes y controles
- Impautu: los resultaos y consecuencies de que se materialice un riesgu *
Criticidad: La importancia que tien un recursu pal negociu * Sensibilidá: el nivel d'impautu que tendría una divulgación ensin autorizar
- Analís d'impautu al negociu: evaluar los resultaos y les consecuencies de la inestabilidá *
Controles: Cualquier aición o procesu que s'utiliza p'apangar el riesgu * Contra midíes: Cualquier aición o procesu qu'amenorga la vulnerabilidá * Polítiques: declaración d'altu nivel sobre la intención y la direición de la xerencia * Normes: Establecer les llendes permisibles d'aiciones y procesos pa cumplir coles polítiques
- Ataques: tipos y naturaleza d'inestabilidá na seguridá *
Clasificación de datos: El procesu de determinar la sensibilidá y Criticidad de la información
Gobiernu de la Seguridá de la Información
Un términu a tomar en cuenta nel área de la seguridá de la información ye'l so Gobiernu dientro de dalguna organización empezar per determinar los riesgos que-y atañen y la so forma d'amenorgar y/o apangar impautos adversos a un nivel aceptable por aciu l'establecimientu d'un programa amplio y conciso en seguridá de la información y l'usu efeutivu de recursos que la so guía principal sían los oxetivos del negociu, esto ye, un programa qu'asegure una direición estratéxica enfocada a los oxetivos d'una organización y la proteición de la so información.
Teunoloxíes
Les principales teunoloxíes referentes a la seguridá de la información n'informática son:[4]
- Cortafuego *
Alministración de cuentes d'usuarios
- Detección y prevención d'intrusos
- Antivirus
- Infraestructura de llave publica *
Capes de Socket Segura (SSL)
- Conexón única "Single Sign on- SSO"
- Biométria
- Cifráu *
Cumplimientu de privacidad
- Acceso remotu *
Firma dixital
- Intercambiu electrónicu de Datos "EDI" y Tresferencia Electrónica de Fondos "EFT"
- Redes Virtuales Privaes "VPNs"
- Tresferencia Electrónica Segura "SET"
- Informática Forense *
Recuperación de dato * Teunoloxía de monitoreo
Estándares de seguridá de la información
- ISO/IEC 27000-series
- ISO/IEC 27001
- ISO/IEC 27002
Otros estándares rellacionaos
Certificaciones
- CISM: Certified Information Security Manager
- CISSP: Certified Information Systems Security Professional Certification
- GIAC: Global Information Assurance Certification
- CPTE Certified Penetration Testing Engineer
- CPTC Certified Penetration Testing Consultant
- CPEH Certified Professional Ethical Hacker
- CISSO Certified Information Systems Security Officer
- CSLO Certified Security Leadership Officer
Certificaciones independientes en seguridá de la información
- CISA- Certified Information Systems Auditor, ISACA
- CISM- Certified Information Security Manager, ISACA
- Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
- CISSP - Certified Information Systems Security Professional, ISC2
- SECURITY+, COMPTia - Computing Technology Industry Association
- CEH - Certified Ethical Hacker
- PCI DSS - PCI Data Security Standard
Ver tamién
- Información
- Información clasificada
- Privacidá
- Serviciu d'intelixencia
- Contraespionaxe
- Auditoría
- Sistema de Xestión de la Seguridá de la Información
- Derechu de los Tics
- Llei Orgánica de Proteición de Datos de Calter Personal d'España
- Seguridá informática
- Seguridá por Niveles
- Cibercriminología
Referencies
- ↑ 44 U.S.C § 3542 (b)(1) (2006)
- ↑ Estudiantes Hackean Sistema Académicu en Neiva - Colombia
- ↑ ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAME CISM 2008. Information Systems Audit and Control Association, páx. 16. ISBN 978-1-60420-000-3.
- ↑ ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAME CISM 2008. Information Systems Audit and Control Association, páx. 17. ISBN 978-1-60420-000-3.
Bibliografía
Enllaces esternos
- Videu sobre la privacidá n'Internet y los sos secretos
- CriptoRed Rede Temática de Criptografía y Seguridá de la Información (más de 400 documentos, llibros, software y videos freeware)
- D.I.M.Y. Direición d'Informática del Ministeriu d'Economía de la República Arxentina.
- HACK HISPANU - Comunidá de seguridá informática y nueves teunoloxíes.
- Manexu de riesgos
- Téuniques de manexu de riesgos
- UNAM-CERT Subdireición de Seguridá de la Información UNAM-CERT (noticies, documentos, información pa usuarios, revista .Seguridá, alertes de seguridá, Malware UNAM, Honeynet UNAM, etc.)
- INTECO-CERT Centru de Respuesta a Incidentes de Seguridá (Información actualizada sobre toles amenaces que circulen pola rede) del Gobiernu d'España, pa entidaes y usuarios con conocencies medies / avanzaos.
- http://www.cisco.com/en/US/products/hw/vpndevc/products_category_technologies_overview.html
- Seguridá de la información ¿Cómo xestionar la seguridá de la información personal?
- Sistema de Xestión de Seguridá de la Información
- Asociación Española pal Fomentu de la Seguridá de la Información, ISMS Forum Spain.