Seguridaddelainformacin

DeWikipedia,laenciclopedialibre
Laseguridaddelainformacineselconjuntodemedidaspreventivasyreactivasdelas
organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la
informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico,
perolainformacinpuedeencontrarseendiferentesmediosoformas,ynosoloenmedios
informticos.
Paraelhombrecomoindividuo,laseguridaddelainformacintieneunefectosignificativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la
culturadelmismo.

MquinaEnigmautilizadaparacifrar
informacinporlasfuerzasdeAlemania
durantelaSegundaGuerraMundial.

Elcampodelaseguridaddelainformacinhacrecidoyevolucionadoconsiderablementea
partir de la Segunda Guerra Mundial, convirtindose en una carrera acreditada a nivel mundial. Este campo ofrece muchas reas de
especializacin,incluidoslaauditoradesistemasdeinformacin,planificacindelacontinuidaddelnegocio,cienciaforensedigitaly
administracindesistemasdegestindeseguridad,entreotros.

ndice
1Concepcindelaseguridaddelainformacin
1.1Confidencialidad
1.2Integridad
1.3Disponibilidad
1.4Autenticacinoautentificacin
2Serviciosdeseguridad
2.1Norepudio
2.2ProtocolosdeSeguridaddelaInformacin
3Planificacindelaseguridad
3.1Creacindeunplanderespuestaaincidentes
3.2Consideracioneslegales
3.3Planesdeaccin
4Elmanejoderiesgos
4.1Mediosdetransmisindeataquesalossistemasdeseguridad
4.2Actoresqueamenazanlaseguridad
4.3Otrosconceptos
5GobiernodelaSeguridaddelaInformacin
6Tecnologas
7Estndaresdeseguridaddelainformacin
7.1Otrosestndaresrelacionados
8Certificaciones
8.1Certificacionesindependientesenseguridaddelainformacin
9Vasetambin
10Referencias
10.1Referencias
10.2Enlacesexternos

Concepcindelaseguridaddelainformacin
Enlaseguridaddelainformacinesimportantesealarquesumanejoestbasadoenlatecnologaydebemosdesaberquepuedeser
confidencial: la informacin est centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o
saboteada.Estoafectasudisponibilidadylaponeenriesgo.Lainformacinespoder,ysegnlasposibilidadesestratgicasqueofrece
teneraccesoaciertainformacin,staseclasificacomo:
Crtica:Esindispensableparalaoperacindelaempresa.
Valiosa:Esunactivodelaempresaymuyvalioso.
Sensible:Debedeserconocidaporlaspersonasautorizadas
Existendospalabrasmuyimportantesquesonriesgoyseguridad:

Riesgo:Eslamaterializacindevulnerabilidadesidentificadas,asociadasconsuprobabilidaddeocurrencia,amenazasexpuestas,
ascomoelimpactonegativoqueocasionealasoperacionesdenegocio.
Seguridad:Esunaformadeproteccincontralosriesgos.
Laseguridaddelainformacincomprendediversosaspectosentreellosladisponibilidad,comunicacin,identificacindeproblemas,
anlisisderiesgos,laintegridad,confidencialidad,recuperacindelosriesgos.
Precisamentelareduccinoeliminacinderiesgosasociadoaunaciertainformacineselobjetodelaseguridaddelainformacinyla
seguridadinformtica.Msconcretamente,laseguridaddelainformacintienecomoobjetolossistemaselacceso,uso,divulgacin,
interrupcinodestruccinnoautorizadadeinformacin.1Lostrminosseguridaddelainformacin,seguridadinformticaygaranta
de la informacin son usados frecuentemente como sinnimos porque todos ellos persiguen una misma finalidad al proteger la
confidencialidad, integridad y disponibilidad de la informacin. Sin embargo, no son exactamente lo mismo existiendo algunas
diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologas utilizadas, y las zonas de concentracin.
Adems,laseguridaddelainformacininvolucralaimplementacindeestrategiasquecubranlosprocesosendondelainformacines
el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de polticas, controles de seguridad,
tecnologas y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es
decir,queayudenaprotegerysalvaguardartantoinformacincomolossistemasquelaalmacenanyadministran.Laseguridaddela
informacinincumbeagobiernos,entidadesmilitares,institucionesfinancieras,loshospitalesylasempresasprivadasconinformacin
confidencialsobresusempleados,clientes,productos,investigacinysusituacinfinanciera.
Encasodequelainformacinconfidencialdeunaempresa,susclientes,susdecisiones,suestadofinancieroonuevalneadeproductos
caigan en manos de un competidor se vuelva pblica de forma no autorizada, podra ser causa de la prdida de credibilidad de los
clientes,prdidadenegocios,demandaslegalesoinclusolaquiebradelamisma.
Por ms de veinte aos[cundo?] la Seguridad de la Informacin ha declarado que la confidencialidad, integridad y disponibilidad
(conocida como la TradaCIA, del ingls: "Confidentiality, Integrity, Availability") son los principios bsicos de la seguridad de la
informacin.
LacorrectaGestindelaSeguridaddelaInformacinbuscaestablecerymantenerprogramas,controlesypolticas,quetengancomo
finalidadconservarlaconfidencialidad,integridadydisponibilidaddelainformacin,sialgunadeestascaractersticasfallanoestamos
antenadaseguro.Esprecisoanotar,adems,quelaseguridadnoesningnhito,esmsbienunprocesocontinuoquehayquegestionar
conociendo siempre las vulnerabilidades y las amenazas que se cien sobre cualquier informacin, teniendo siempre en cuenta las
causasderiesgoylaprobabilidaddequeocurran,ascomoelimpactoquepuedetener.Unavezconocidostodosestospuntos,ynunca
antes,deberntomarselasmedidasdeseguridadoportunas.

Confidencialidad
Laconfidencialidadeslapropiedadqueimpideladivulgacindeinformacinapersonasosistemasnoautorizados.Agrandesrasgos,
aseguraelaccesoalainformacinnicamenteaaquellaspersonasquecuentenconladebidaautorizacin.
Por ejemplo, una transaccindetarjetadecrdito en Internet requiere que el nmero de tarjeta de crdito a ser transmitida desde el
comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la
confidencialidadmedianteelcifradodelnmerodelatarjetaylosdatosquecontienelabandamagnticadurantelatransmisindelos
mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la
confidencialidad.
La prdida de la confidencialidad de la informacin puede adoptar muchas formas. Cuando alguien mira por encima de su hombro,
mientrasustedtieneinformacinconfidencialenlapantalla,cuandosepublicainformacinprivada,cuandounlaptopconinformacin
sensiblesobreunaempresaesrobado,cuandosedivulgainformacinconfidencialatravsdeltelfono,etc.Todosestoscasospueden
constituirunaviolacindelaconfidencialidad.

Integridad
Eslapropiedadquebuscamantenerlosdatoslibresdemodificacionesnoautorizadas.(Noesigualaintegridadreferencialenbasesde
datos.)Grossomodo,laintegridadeselmantenerconexactitudlainformacintalcualfuegenerada,sinsermanipuladaoalteradapor
personasoprocesosnoautorizados.
Laviolacindeintegridadsepresentacuandounempleado,programaoproceso(poraccidenteoconmalaintencin)modificaoborra
los datos importantes que son parte de la informacin, as mismo hace que su contenido permanezca inalterado a menos que sea
modificadoporpersonalautorizado,yestamodificacinsearegistrada,asegurandosuprecisinyconfiabilidad.Laintegridaddeun
mensaje se obtiene adjuntndole otro conjunto de datos de comprobacin de la integridad: la firma digital Es uno de los pilares
fundamentalesdelaseguridaddelainformacin

Disponibilidad

Ladisponibilidadeslacaracterstica,cualidadocondicindelainformacindeencontrarseadisposicindequienesdebenaccedera
ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la informacin y a los sistemas por
personasautorizadasenelmomentoqueaslorequieran.
Enelcasodelossistemasinformticosutilizadosparaalmacenaryprocesarlainformacin,loscontrolesdeseguridadutilizadospara
protegerlo,yloscanalesdecomunicacinprotegidosqueseutilizanparaaccederaelladebenestarfuncionandocorrectamente.LaAlta
disponibilidadsistemasobjetivodebeestardisponibleentodomomento,evitandointerrupcionesdelserviciodebidoacortesdeenerga,
fallosdehardware,yactualizacionesdelsistema.
Garantizar la disponibilidad implica tambin la prevencin de ataque de denegacin de servicio. Para poder manejar con mayor
facilidad la seguridad de la informacin, las empresas o negocios se pueden ayudar con un sistema de gestin que permita conocer,
administraryminimizarlosposiblesriesgosqueatentencontralaseguridaddelainformacindelnegocio.
Ladisponibilidadademsdeserimportanteenelprocesodeseguridaddelainformacin,esademsvariadaenelsentidodequeexisten
varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura
tecnolgica,servidoresdecorreoelectrnico,debasesdedatos,dewebetc,medianteelusodeclustersoarreglosdediscos,equiposen
altadisponibilidadaniveldered,servidoresespejo,replicacindedatos,redesdealmacenamiento(SAN),enlacesredundantes,etc.La
gamadeposibilidadesdependerdeloquequeremosprotegeryelniveldeservicioquesequieraproporcionar.

Autenticacinoautentificacin
Eslapropiedadquepermiteidentificarelgeneradordelainformacin.Porejemploalrecibirunmensajedealguien,estarseguroquees
deesealguienelquelohamandado,ynounatercerapersonahacindosepasarporlaotra(suplantacindeidentidad).Enunsistema
informticosesueleconseguirestefactorconelusodecuentasdeusuarioycontraseasdeacceso.
Estapropiedadsepuedeconsiderarcomounaspectodelaintegridadsiestfirmadoporalguien,estrealmenteenviadoporelmismo
yasfiguraenlaliteraturaanglosajona.

Serviciosdeseguridad
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de
informacinenlasorganizaciones.Losserviciosdeseguridadestndiseadosparacontrarrestarlosataquesalaseguridadyhacenuso
deunoomsmecanismosdeseguridadparaproporcionarelservicio.

Norepudio
Proporcionaproteccincontralainterrupcin,porpartedealgunadelasentidadesimplicadasenlacomunicacin,dehaberparticipado
entodaopartedelacomunicacin.ElserviciodeSeguridaddeNorepudiooirrenunciabilidadestestandarizadoenlaISO74982.
NoRepudiodeorigen:Elemisornopuedenegarqueenvoporqueeldestinatariotienepruebasdelenvo,elreceptorrecibeunaprueba
infalsificabledelorigendelenvo,locualevitaqueelemisor,denegartalenvo,tengaxitoanteeljuiciodeterceros.Enestecasola
pruebalacreaelpropioemisorylarecibeeldestinatario.
Pruebaqueelmensajefueenviadoporlaparteespecfica.
NoRepudiodedestino:Elreceptornopuedenegarquerecibielmensajeporqueelemisortienepruebasdelarecepcin.Esteservicio
proporcionaalemisorlapruebadequeeldestinatariolegtimodeunenvo,realmentelorecibi,evitandoqueelreceptorloniegue
posteriormente.Enestecasolapruebairrefutablelacreaelreceptorylarecibeelemisor.
Pruebaqueelmensajefuerecibidoporlaparteespecfica.
Si la autenticidad prueba quin es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envi la
comunicacin (no repudio en origen) y que el destinatario la recibi (no repudio en destino). El no repudio evita que el emisor o el
receptornieguenlatransmisindeunmensaje.As,cuandoseenvaunmensaje,elreceptorpuedecomprobarque,efectivamente,el
supuestoemisorenvielmensaje.Deformasimilar,cuandoserecibeunmensaje,elemisorpuedeverificarque,dehecho,elsupuesto
receptorrecibielmensaje.DefinicinsegnlarecomendacinX.509delaUITTServicioquesuministralapruebadelaintegridady
delorigendelosdatosambosenunarelacininfalsificablequepuedenserverificadosporunterceroencualquiermomento.

ProtocolosdeSeguridaddelaInformacin
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisin de datos entre la comunicacin de
dispositivosparaejercerunaconfidencialidad,integridad,autenticacinyelnorepudiodelainformacin.Secomponende:
Criptografa (Cifrado de datos). Se ocupa de transposicionar u ocultar el mensaje enviado por el emisor hasta que llega a su
destinoypuedeserdescifradoporelreceptor.
Lgica(Estructuraysecuencia).Llevarunordenenelcualseagrupnlosdatosdelmensajeelsignificadodelmensajeysaber
cuandosevaenviarelmensaje.
Identificacin(Autentication). Es una validacin de identificacin es la tcnica mediante la cual un proceso comprueba que el

compaerodecomunicacinesquiensesuponequeesynosetratadeunimpostor.

Planificacindelaseguridad
Hoy en da la rpida evolucin del entorno tcnico requiere que las organizaciones adopten un conjunto mnimo de controles de
seguridadparaprotegersuinformacinysistemasdeinformacin.Elpropsitodelplandeseguridaddelsistemaesproporcionaruna
visin general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos
requisitos.Elplandeseguridaddelsistematambindelinealasresponsabilidadesyelcomportamientoesperadodetodoslosindividuos
que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los
propietariosdelainformacin,elpropietariodelared,yelaltofuncionariodelaagenciadeinformacindeseguridad(SAISO).
Losadministradoresdeprogramas,lospropietariosdelsistema,ypersonaldeseguridadenlaorganizacindebeentenderelsistemade
seguridadenelprocesodeplanificacin.Losresponsablesdelaejecucinygestindesistemasdeinformacindebenparticiparenel
tratamientodeloscontrolesdeseguridadquedebenaplicarseasussistemas.

Creacindeunplanderespuestaaincidentes
Esimportanteformularunplanderespuestasaincidentes,soportarloalolargodelaorganizacinyprobarloregularmente.Unbuen
planderespuestasaincidentespuedenoslominimizarlosefectosdeunaviolacinsinotambin,reducirlapublicidadnegativa.
Desdelaperspectivadelequipodeseguridad,noimportasiocurreunaviolacinoabertura(puestaleseventossonunaparteeventual
de cuando se hacen negocios usando un mtodo de poca confianza como lo es Internet), sino ms bien cuando ocurre. El aspecto
positivodeentenderlainevitabilidaddeunaviolacinalossistemas(cualquiersistemadondeseproceseinformacinconfidencial,no
estalimitadoaserviciosinformticos)esquepermitealequipodeseguridaddesarrollaruncursodeaccionesparaminimizarlosdaos
potenciales.Combinandouncursodeaccionesconlaexperiencialepermitealequiporesponderacondicionesadversasdeunamanera
formalyoportuna.
Elplanderespuestaaincidentespuedeserdivididoencuatrofases:
Accininmediataparadetenerominimizarelincidente
Investigacindelincidente
Restauracindelosrecursosafectados
Reportedelincidentealoscanalesapropiados
Unarespuestaaincidentesdebeserdecisivayejecutarserpidamente.Debidoaquehaymuypocoespacioparaerrores,escrticoque
seefectenprcticasdeemergenciasysemidanlostiemposderespuesta.Deestaforma,esposibledesarrollarunametodologaque
fomentalavelocidadylaprecisin,minimizandoelimpactodelaindisponibilidaddelosrecursosyeldaopotencialcausadoporel
sistemaenpeligro.
Unplanderespuestaaincidentestieneunnmeroderequerimientos,incluyendo:
Unequipodeexpertoslocales(unEquipoderespuestaaemergenciasdecomputacin)
Unaestrategialegalrevisadayaprobada
Soportefinancierodelacompaa
Soporteejecutivodelagerenciasuperior
Unplandeaccinfactibleyprobado
Recursosfsicos,talcomoalmacenamientoredundante,sistemasenstandbyyserviciosderespaldo

Consideracioneslegales
Otrosaspectosimportantesaconsiderarenunarespuestaaincidentessonlasramificacioneslegales.Losplanesdeseguridaddeberan
serdesarrolladosconmiembrosdelequipodeasesorajurdicaoalgunaformadeconsultorageneral.Delamismaformaenquecada
compaadeberatenersupropiapolticadeseguridadcorporativa,cadacompaatienesuformaparticulardemanejarincidentesdesde
laperspectivalegal.Lasregulacioneslocales,deestadoofederalesestnmsalldelmbitodeestedocumento,perosemencionan
debidoaquelametodologaparallevaracaboelanlisispostmortem,serdictado,almenosenparte,porlaconsultorajurdica.La
consultora general puede alertar al personal tcnico de las ramificaciones legales de una violacin los peligros de que se escape
informacinpersonaldeuncliente,registrosmdicosofinancierosylaimportanciaderestaurarelservicioenambientesdemisin
crticatalescomohospitalesybancos.

Planesdeaccin
Unavezcreadounplandeaccin,estedebeseraceptadoeimplementadoactivamente.Cualquieraspectodelplanqueseacuestionado
durantelaimplementacinactivalomsseguroesqueresulteenuntiempoderespuestapobreytiempofueradeservicioenelevento
deunaviolacin.Aquesdondelosejerciciosprcticossoninvalorables.Laimplementacindelplandeberaseracordadaentretodas
las partes relacionadas y ejecutada con seguridad, a menos que se llame la atencin con respecto a algo antes de que el plan sea
colocadoenproduccin.

Larespuestaaincidentesdebeiracompaadaconrecoleccindeinformacinsiemprequeestoseaposible.Losprocesosenejecucin,
conexionesdered,archivos,directoriosymuchomsdeberaserauditadoactivamenteentiemporeal.Puedesermuytilteneruna
tomainstantneadelosrecursosdeproduccinalhacerunseguimientodeserviciosoprocesosmaliciosos.LosmiembrosdeCERTy
losexpertosinternossernrecursosexcelentesparaseguirtalesanomalasenunsistema.

Elmanejoderiesgos
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas para manejar los posibles riegos que un
activoobienpuedetenerdentrodelosprocesosdeorganizacin.Estaclasificacinllevaelnombredemanejoderiesgos.Elmanejode
riesgos,conllevaunaestructurabiendefinida,conuncontroladecuadoysumanejo,habindolosidentificado,priorizadosyanalizados,
atravsdeaccionesfactiblesyefectivas.Paraellosecuentaconlassiguientestcnicasdemanejodelriesgo:
Evitar.Elriesgoesevitadocuandolaorganizacinrechazaaceptarlo,esdecir,nosepermiteningntipodeexposicin.Estose
logra simplemente con no comprometerse a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que
ventajas,yaquelaempresapodraabstenersedeaprovecharmuchasoportunidades.Ejemplo:
Noinstalarempresasenzonasssmicas
Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su
reduccin hasta el nivel ms bajo posible. Esta opcin es la ms econmica y sencilla. Se consigue optimizando los
procedimientos,laimplementacindecontrolesysumonitoreoconstante.Ejemplo:
Nofumarenciertasreas,instalacioneselctricasantiflama,planesdecontingencia.
Retener,AsumiroAceptarelriesgo.Esunodelosmtodosmscomunesdelmanejoderiesgos,esladecisindeaceptarlas
consecuenciasdelaocurrenciadelevento.Puedeservoluntariaoinvoluntaria,lavoluntariasecaracterizaporelreconocimiento
de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta decisin se da por falta de alternativas. La
retencininvoluntariasedacuandoelriesgoesretenidoinconscientemente.Ejemplodeasumirelriesgo:
Conrecursospropiossefinancianlasprdidas.
Transferir.Esbuscarunrespaldoycompartirelriesgoconotroscontrolesoentidades.Estatcnicaseusayaseaparaeliminar
unriesgodeunlugarytransferirloaotro,oparaminimizarelmismo,compartindoloconotrasentidades.Ejemplo:
Transferirloscostosalacompaaaseguradora

Mediosdetransmisindeataquesalossistemasdeseguridad
Elmejorensolucionesdesuclasepermiteunarespuestarpidaalasamenazasemergentes,talescomo:
Malwareyspampropagadoporemail.
Lapropagacindemalwareybotnets.
Losataquesdephishingalojadosensitiosweb.
Losataquescontraelaumentodelenguajedemarcadoextensible(XML)detrfico,arquitecturaorientadaaservicios(SOA)y
serviciosweb.
Estassolucionesofrecenuncaminoalamigracinylaintegracin.Comolasamenazasemergentes,cadavezmsgeneralizada,estos
productossevuelvenmsintegradosenunenfoquedesistemas.
Unenfoquedesistemasdeconfiguracin,lapoltica,yelseguimientoserenecumplimientodelasnormativasencursoypermitealos
sistemasrentablesdegestin.Elenfoquedesistemasdegestindelaseguridad,dispone:
Configuracindelapolticacomndetodoslosproductos
Amenazalainteligenciaylacolaboracindeeventos
Reduccindelacomplejidaddeconfiguracin
Anlisisderiesgoseficacesyoperativosdecontrol
En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran
incrementoenlasconexionesalainternetlosdelitosenelmbitodeTIsehanvistoincrementado,bajoestascircunstanciaslosriesgos
informticossonmslatentes.Losdelitoscometidosmedianteelusodelacomputadorahancrecidoentamao,formayvariedad.Los
principalesdelitoshechosporcomputadoraopormediodecomputadorasson:
Fraude
Falsificacin
Ventadeinformacin
EntreloshechoscriminalesmsfamososenlosEstadosUnidosestn:
El caso del Banco Wells Fargo donde se evidencio que la proteccin de archivos era inadecuada, cuyo error costo USD 21.3
millones.

ElcasodelaNASAdondedosalemanesingresaronenarchivosconfidenciales.
Elcasodeunmuchachode15aosqueentrandoalacomputadoradelaUniversidaddeBerkeleyenCaliforniadestruyogran
cantidaddearchivos.
Tambin se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de
admirablesencillez,otorgndoseunaidentificacincomounusuariodealtaprioridad,ytomoelcontroldeunaembotelladorade
Canad.
Tambinelcasodelempleadoquevendilalistadeclientesdeunacompaadeventadelibros,loquecausounaprdidade
USD3millones.
Tambin el caso de estudiantes de Ingeniera electrnica donde accedieron al sistema de una Universidad de Colombia y
cambiaron las notas de sus compaeros generando estragos en esta Universidad y retrasando labores, lo cual dej grandes
perdidaseconmicasydetiempo.2
Losvirus,troyanos,spyware,malwareydemscdigollamadomalicioso(porlasfuncionesquerealizaynoportratarsedeuncdigo
errneo),tienencomoobjetivoprincipalelejecutaraccionesnosolicitadasporelusuario,lascualespuedenserdesde,elaccesoauna
pgina no deseada, el redireccionamiento de algunas pginas de internet, suplantacin de identidad o incluso la destruccin o dao
temporal a los registros del sistemas, archivos y/o carpetas propias. El virus informtico es un programa elaborado accidental o
intencionadamente,queseintroduceysetransmiteatravscualquiermedioextrableytransportableodelamismaredenlaquese
encuentreunequipoinfectado,causandodiversostiposdedaosalossistemas.
Histricamentelosvirusinformticosfuerondescubiertosporlaprensael12deoctubrede1985,conunapublicacindelNewYork
TimesquehablabadeunvirusquefuesedistribuydesdeunBBSyaparentementeeraparaoptimizarlossistemasIBMbasadosen
tarjeta grfica EGA, pero al ejecutarlo sala la presentacin pero al mismo tiempo borraba todos los archivos del disco duro, con un
mensajealfinalizarquedeca"Caste".
Este dato se considera como el nacimiento de su nombre, ya que los programas con cdigo integrado, diseados para hacer cosas
inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales
surgieronen1983cuandoDigitalEquipamentCorporation(DEC)empleunasubrutinaparaprotegersufamosoprocesadordetextos
DecmateII,queel1deabrilde1983encasodesercopiailegalborrabatodoslosarchivosdesuunidaddedisco.

Actoresqueamenazanlaseguridad
Un hacker es cualquier persona con amplios conocimientos en tecnologa, bien puede ser informtica, electrnica o
comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas
complejos es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las
posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que poseen les da una
experticiamayorquelespermiteaccederasistemasdeinformacinseguros,sinserdescubiertos,ytambinlesdalaposibilidad
de difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y
conozcanlasdebilidadesdesuspropiossistemasdeinformacin.
Uncracker,esaquellapersonaconcomportamientocompulsivo,quealardeadesucapacidadparareventarsistemaselectrnicos
einformticos.UncrackeresunhbilconocedordeprogramacindeSoftwareyHardwarediseayfabricaprogramasdeguerra
yhardwareparareventarsoftwareycomunicacionescomoeltelfono,elcorreoelectrnicooelcontroldeotroscomputadores
remotos.
UnlamerEsunapersonaquealardeadepiratainformtico,crackerohackerysolointentautilizarprogramasdeFCILmanejo
realizadosporautnticoshackers.
Uncopyhacker'esunapersonadedicadaafalsificarycrackearhardware,especficamenteenelsectordetarjetasinteligentes.Su
estrategiaradicaenestableceramistadconlosverdaderosHackers,paracopiarleslosmtodosderupturaydespusvenderloslos
bucaneros.Loscopyhackersseinteresanporposeerconocimientosdetecnologa,sonaficionadosalasrevistastcnicasyaleer
todoloquehayenlared.Suprincipalmotivacineseldinero.
Un"bucanero"esuncomerciantequedependeexclusivamentededelaredparasuactividad.Los"bucaneros"noposeenningn
tipodeformacinenelreadelossistemas,siposeenunamplioconocimientoenreadelosnegocios.
Unphreakersecaracterizanporposeervastosconocimientosenelreadetelefonaterrestreymvil,inclusomsquelospropios
tcnicosdelascompaastelefnicasrecientementeconelaugedelostelfonosmviles,hantenidoqueentrartambinenel
mundodelainformticaydelprocesamientodedatos.
Unnewbieo"novatodered"esunindividuoquesinproponrselotropiezaconunapginadehackingydescubrequeenella
existenreasdedescargadebuenosprogramasdehackeo,bajatodoloquepuedeyempiezaatrabajarconellos.
Unscriptkiddieoskidkiddie,esunsimpleusuariodeInternet,sinconocimientossobrehackeoocrackeoque,aunqueaficionado
aestostema,nolosconoceenprofundidadlimitndosearecopilarinformacindelaredyabuscarprogramasqueluegoejecuta,
infectandoenalgunoscasosdevirusasuspropiosequipos.
Un tonto o descuidado, es un simple usuarios de la informacin, con o sin conocimientos sobre hackeo o crackeo que
accidentalmenteborradaaomodificalainformacin,yaseaenunmantenimientoderutinaosupervision.

Otrosconceptos
Otrosconceptosrelacionadosson:3
Auditabilidad:Permitirlareconstruccin,revisinyanlisisdelasecuenciadeeventos
Identificacin:verificacindeunapersonaocosareconocimiento.
Autenticacin:Proporcionarunapruebadeidentidadpuedeseralgoquesesabe,quesees,setieneounacombinacindetodas.
Autorizacin:Loquesepermitecuandosehaotorgadoacceso

Norepudio:nosepuedenegaruneventoounatransaccin.
Seguridadencapas:Ladefensaaprofundidadquecontengalainestabilidad
ControldeAcceso:limitarelaccesoautorizadosoloaentidadesautenticadas
MtricasdeSeguridad,Monitoreo:Medicindeactividadesdeseguridad
Gobierno:proporcionarcontrolydireccinalasactividades
Estrategia:lospasosqueserequierenparaalcanzarunobjetivo
Arquitectura:eldiseodelaestructuraylasrelacionesdesuselementos
Gerencia:Vigilarlasactividadesparagarantizarquesealcancenlosobjetivos
Riesgo:laexplotacindeunavulnerabilidadporpartedeunaamenaza
Exposiciones:reasquesonvulnerablesaunimpactoporpartedeunaamenaza
Vulnerabilidades:deficienciasquepuedenserexplotadasporamenazas
Amenazas:Cualquieraccinoeventoquepuedeocasionarconsecuenciasadversas
Riesgoresidual:Elriesgoquepermanecedespusdequesehanimplementadocontramedidasycontroles
Impacto:losresultadosyconsecuenciasdequesematerialiceunriesgo
Criticidad:Laimportanciaquetieneunrecursoparaelnegocio
Sensibilidad:elniveldeimpactoquetendraunadivulgacinnoautorizada
Anlisisdeimpactoalnegocio:evaluarlosresultadosylasconsecuenciasdelainestabilidad
Controles:Cualquieraccinoprocesoqueseutilizaparamitigarelriesgo
Contramedidas:Cualquieraccinoprocesoquereducelavulnerabilidad
Polticas:declaracindealtonivelsobrelaintencinyladireccindelagerencia
Normas:Establecerloslmitespermisiblesdeaccionesyprocesosparacumplirconlaspolticas
Ataques:tiposynaturalezadeinestabilidadenlaseguridad
Clasificacindedatos:ElprocesodedeterminarlasensibilidadyCriticidaddelainformacin

GobiernodelaSeguridaddelaInformacin
UntrminoatomarencuentaenelreadelaseguridaddelainformacinessuGobiernodentrodealgunaorganizacinempezandopor
determinar los riesgos que le ataen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el
establecimientodeunprogramaamplioyconcisoenseguridaddelainformacinyelusoefectivoderecursoscuyaguaprincipalsean
losobjetivosdelnegocio,esdecir,unprogramaqueasegureunadireccinestratgicaenfocadaalosobjetivosdeunaorganizacinyla
proteccindesuinformacin.

Tecnologas
Lasprincipalestecnologasreferentesalaseguridaddelainformacineninformticason:4
Cortafuegos
Administracindecuentasdeusuarios
Deteccinyprevencindeintrusos
Antivirus
Infraestructuradellavepublica
Inteligentedeconexinsegura(SSL)
Conexinnica"SingleSignOnSSO"
Biometra
Encryption
Cumplimientodeprivacidad
Accesoremoto
Firmadigitalde
IntercambioelectrnicodeDatos"EDI"yTransferenciaElectrnicadeFondos"EFT"
RedesVirtualesPrivadas"VPNs"
TransferenciaElectrnicaSegura"SET"
InformticaForense
Recuperacindedatos
Tecnologasdemonitoreo

Estndaresdeseguridaddelainformacin
ISO/IEC27000delaserie
ISO/IEC27001
ISO/IEC27002

Otrosestndaresrelacionados
COBIT
ITIL
ISO/IEC20000Tecnologadelainformacin,Gestindelservicio.BSI(http://www.bsigroup.es)fuepioneraconeldesarrollo
delaBS15000en2002,normaenlaquesebaslaISO20000

Certificaciones
CISM:CertifiedInformationSecurityManager
CISSP:certificacinCertifiedInformationSystemsSeguridadProfesional
GIAC:CertificacinGlobalInformationAssurance
CPTECertifiedPenetrationTestingEngineer
CPTCCertifiedPenetrationTestingConsultor
CPEHCertifiedProfessionalEthicalHacker
CISSOCertifiedInformationSystemsSecurityOfficer
CSLOCertifiedSecurityOficialdeLiderazgo

Certificacionesindependientesenseguridaddelainformacin
CISAInformationSystemsAuditorCertificado,ISACA
CISMGerenteCertificadodeSeguridaddelaInformacin,ISACA
AuditorLderISO27001LeadAuditorISO27001,BSI
CISSPProfesionalCertificadodeSistemasdeInformacindeSeguridad,ISC2
SEGURIDAD+,CompTIAComputingTechnologyIndustryAssociation
CEHCertifiedEthicalHacker
PCIDSSPCIDataSecurityStandard

Vasetambin
Informacin
Informacinclasificada
Privacidad
Serviciodeinteligencia
Contraespionaje
Auditora
SistemadeGestindelaSeguridaddelaInformacin
DerechodelasTICs
LeyOrgnicadeProteccindeDatosdeCarcterPersonaldeEspaa
Seguridadinformtica
SeguridadporNiveles

Referencias
1. 44U.S.C3542(b)(1)(2006)(http://www.law.cornell.edu/uscode/html/uscode44/usc_sec_44_00003542000.html)
2. EstudiantesHackeanSistemaAcadmicoenNeivaColombia
3. ISACA (2008). ISACA MANUAL DE PREPARACIN AL EXAMEN CISM 2008. Information Systems Audit and Control Association
(http://www.isaca.org/).p.16.ISBN9781604200003.
4. ISACA (2008). ISACA MANUAL DE PREPARACIN AL EXAMEN CISM 2008. Information Systems Audit and Control Association
(http://www.isaca.org/).p.17.ISBN9781604200003.

Referencias
VieitesGmez,lvaro(2007).EnciclopediadelaSeguridadInformtica.

Enlacesexternos
VdeosobrelaprivacidadenInternetysussecretos(http://www.youtube.com/watch?v=D_fbBgAk320)
WikimediaCommonsalbergacontenidomultimediasobreSeguridaddelainformacin.
CriptoRed(http://www.criptored.upm.es/)RedTemticadeCriptografaySeguridaddelaInformacin(msde400documentos,
libros,softwareyvdeosfreeware)
D.I.M.E.(http://www.dime.gov.ar)DireccindeInformticadelMinisteriodeEconomadelaRepblicaArgentina.
HACKHiSPANO(http://www.hackhispano.com)Comunidaddeseguridadinformticaynuevastecnologas.
[1](http://seguraarmand.org/wordpress/?tag=administracionderiesgos)Manejoderiesgos
[2]
(http://pamplonitanortedesantander.gov.co/apcaa
files/66633430343464346338666662326439/MCG__MA_01_MANUAL_PARA_LA_ADMINISTRACION_DE_RIESGOS.pdf)
Tcnicasdemanejoderiesgos
UNAMCERT (http://www.seguridad.unam.mx) Subdireccin de Seguridad de la Informacin UNAMCERT (noticias,
documentos,informacinparausuarios,revista.Seguridad,alertasdeseguridad,MalwareUNAM,HoneynetUNAM,etc.)
INTECOCERT(http://cert.inteco.es/) Centro de Respuesta a Incidentes de Seguridad (Informacin actualizada sobre todas las
amenazasquecirculanporlared)delGobiernodeEspaa,paraentidadesyusuariosconconocimientosmedios/avanzados.
http://www.cisco.com/en/US/products/hw/vpndevc/products_category_technologies_overview.html
Seguridad de la informacin (http://www.exevi.com/blog/seguridaddeinformacion/) Cmo gestionar la seguridad de la
informacinpersonal?
Sistema de Gestin de Seguridad de la Informacin (http://www.bsigroup.es/es/certificacionyauditoria/Sistemasde

gestion/estandaresesquemas/ISOIEC27001/)
[3](http://www.ismsforum.es)AsociacinEspaolaparaelFomentodelaSeguridaddelaInformacin,ISMSForumSpain.
Obtenidodehttp://es.wikipedia.org/w/index.php?title=Seguridad_de_la_informacin&oldid=79450818
Categora: Seguridadinformtica
Estapginafuemodificadaporltimavezel17ene2015alas20:43.
EltextoestdisponiblebajolaLicenciaCreativeCommonsAtribucinCompartirIgual3.0podranseraplicablesclusulas
adicionales.Lanselostrminosdeusoparamsinformacin.
WikipediaesunamarcaregistradadelaFundacinWikimedia,Inc.,unaorganizacinsinnimodelucro.