Descargar

Que es la seguridad informatica

Enviado por cesar ceballos

  1. Seguridad informática
  2. Introducción
  3. Qué es la seguridad informática
  4. Objetivos de la Seguridad Informática
  5. Gestión del Riesgo
  6. Amenazas

Desde la consolidación de Internet como medio de interconexión global, los incidentes de seguridad relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho viene provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los riesgos asociados a los incidentes de seguridad. En este caso vamos a proporcionar una visión general de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de vista estratégico y táctico.

Para ello destacaremos la conveniencia de afrontar su análisis mediante una aproximación de gestión, concretamente con un enfoque de gestión del riesgo. Para completar esta visión introductoria a la seguridad informática, mencionaremos las amenazas y las contramedidas más frecuentes que deberían considerarse en toda organización.

El objetivo de la seguridad informática es mantener la Integridad, Disponibilidad, Privacidad, Control y Autenticidad de la información manejada por computadora.

  • Se ocupa de proteger la información De la organización en cualquier forma en que se encuentre.

  • Debe velar por la transmisión, procesamiento y almacenamiento de la misma.

  • La seguridad no es un conjunto de medidas que se toman por única vez, sino un proceso dinámico en el que todos los actores juegan un rol permanente.

  • La seguridad debe abarcar las 3 aéreas de incumbencia (Personas/Procesos/Tecnología).

La seguridad informática, de igual forma a como sucede con la seguridad aplicada a otros entornos, trata de minimizar los riesgos asociados al acceso y utilización de determinado sistema de forma no autorizada y en general malintencionada.

Esta visión de la seguridad informática implica la necesidad de gestión, fundamentalmente gestión del riesgo. Para ello, se deben evaluar y cuantificar los bienes a proteger, y en función de estos análisis, implantar medidas preventivas y correctivas que eliminen los riegos asociados o que los reduzcan hasta niveles manejables. En general cualquier persona consideraría poco razonable contratar a un agente de seguridad en exclusiva para proteger su domicilio. Posiblemente sería una medida de seguridad excelente para evitar accesos no autorizados a nuestro domicilio, sin embargo, muy pocos lo considerarían, simplemente por motivos económicos.

Tras evaluar el valor de los bienes a proteger, lo habitual sería considerar otras medidas más acordes con el valor de nuestros bienes. Podríamos pensar en una puerta blindada, un conserje compartido con otros vecinos o incluso un servicio de vigilancia privada basada en sensores, alarmas y acceso telefónico con una central de seguridad. Combinando estas medidas preventivas con otras correctivas como podría ser una póliza de seguro contra robo, alcanzaríamos un nivel de seguridad que podría considerarse adecuado.

Muchas veces sin hacerlo de forma explícita, habríamos evaluado el valor de nuestros bienes, los riesgos, el coste de las medidas de seguridad disponibles en el mercado y el nivel de protección que ofrecen. En seguridad informática, los principios mostrados con nuestro ejemplo de seguridad en el domicilio son igualmente aplicables. Las únicas diferencias aparecen por las particularidades técnicas asociadas a los sistemas informáticos.

La valoración económica de los bienes a proteger puede ser muchas veces una tarea compleja, la casuística de los riesgos potenciales muy grande, y la complejidad y diversidad de las medidas de seguridad disponibles difi culta su selección. Sin embargo, el fondo sigue siendo el mismo, seguridad implica proteger alguna entidad frente a un conjunto de riesgos y en este caso riesgos relacionados con los sistemas informáticos.

La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico).

Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora (como virus) o llegan por vía remota (los delincuentes que se conectan a internet e ingresan a distintos sistemas).Entre las herramientas más usadas de la seguridad informática, se encuentran los programas antivirus, los firewalls y el uso de contraseñas.

Un sistema seguro debe ser integro, confidencial, irrefutable y tener buena disponibilidad.De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue siendo la capacitación de los usuarios.

Una persona que conoce cómo protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes.

En otras palabras, puede decirse que la seguridad informática busca garantizar que los recursos de un sistema de información sean utilizados tal como una organización o un usuario lo ha decidido, sin intromisiones.

El objetivo de la seguridad informática es proteger los recursos informáticos valiosos de la organización, tales como la información, el hardware o el software.

A través de la adopción de las medidas adecuadas, la seguridad informática ayuda a la organización cumplir sus objetivos, protegiendo sus recursos fi nancieros, sus sistemas, su reputación, su situación legal, y otros bienes tanto tangibles como inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad informática como algo que difi culta la consecución de los propios objetivos de la organización, imponiendo normas y procedimientos rígidos a los usuarios, a los sistemas y a los gestores.

Sin embargo debe verse a la seguridad informática, no como un objetivo en sí mismo, sino como un medio de apoyo a la consecución de los objetivos de la organización.

En general el principal objetivo de las empresas, es obtener beneficios y el de las organizaciones públicas, ofrecer un servicio eficiente y de calidad a los usuarios.

En las empresas privadas, la seguridad informática debería apoyar la consecución de beneficios. Para ello se deben proteger los sistemas para evitar las potenciales pérdidas que podrían ocasionar la degradación de su funcionalidad o el acceso a los sistemas por parte de personas no autorizadas.

De igual forma, las organizaciones públicas deben proteger sus sistemas para garantizar la oferta de sus servicios de forma eficiente y correcta.

En cualquier caso, los gestores de las diferentes organizaciones deberían considerar los objetivos de la propia organización e incorporar la seguridad de los sistemas desde un punto de vista amplio, como un medio con el que gestionar los riesgos que pueden comprometer la consecución de los propios objetivos, donde la cuantificación de los diferentes aspectos, muchas veces económica, debe ser central.

La protección de los sistemas y de la información no suele eliminar completamente la posibilidad de que estos bienes sufran daños.

En consecuencia, los gestores deben implantar aquellas medidas de seguridad que lleven los riesgos hasta niveles aceptables, contando para ello con el coste de las medidas a implantar, con el valor de los bienes a proteger y con la cuantificación de las pérdidas que podrían derivarse de la aparición de determinado incidente de seguridad.

Los costes y beneficios de la seguridad deberían observarse cuidadosamente para asegurar que el coste de las medidas de seguridad no excedan los beneficios potenciales.

La seguridad debe ser apropiada y proporcionada al valor de los sistemas, al grado de dependencia de la organización a sus servicios y a la probabilidad y dimensión de los daños potenciales. Los requerimientos de seguridad variarán por tanto, dependiendo de cada organización y de cada sistema en particular. En cualquier caso, la seguridad informática exige habilidad para gestionar los riesgos de forma adecuada. Invirtiendo en medidas de seguridad, las organizaciones pueden reducir la frecuencia y la severidad de las pérdidas relacionadas con violaciones de la seguridad en sus sistemas.

Por ejemplo, una empresa puede estimar que está sufriendo pérdidas debidas a la manipulación fraudulenta de sus sistemas informáticos de inventariado, de contabilidad o de facturación. En este caso puede que ciertas medidas que mejoren los controles de acceso, reduzcan las pérdidas de forma significativa. Las organizaciones que implantan medidas adecuadas de seguridad, pueden obtener un conjunto de beneficios indirectos que también deberían considerarse.

Por ejemplo, una organización que cuente con sistemas de seguridad avanzados, puede desviar la atención de potenciales intrusos hacia víctimas menos protegidas, puede reducir la frecuencia de aparición de virus, puede generar una mejor percepción de los empleados y otros colaboradores hacia la propia empresa, aumentando la productividad y generando empatía de los empleados hacia los objetivos organizativos. Sin embargo, los beneficios que pueden obtenerse con medidas de seguridad presentan costes tanto directos como indirectos.

Los costes directos suelen ser sencillos de evaluar, incluyendo la compra, instalación y administración de las medidas de seguridad. Por su parte pueden observarse costes indirectos, como decremento en el rendimiento de los sistemas, pueden aparecer necesidades formativas nuevas para la plantilla o incluso determinadas medidas, como un excesivo celo en los controles, pueden minar la moral de los empleados. En muchos casos los costes asociados a las medidas de seguridad pueden exceder a los beneficios esperados por su implantación, en cuyo caso una correcta gestión llevaría a platearse su adopción frente a la posibilidad de simplemente tolerar el problema.

Los sistemas informáticos son vulnerables a multitud de amenazas que pueden ocasionar daños que resulten en pérdidas significativas. Los daños pueden variar desde simples errores en el uso de aplicaciones de gestión que comprometan la integridad de los datos, hasta catástrofes que inutilicen la totalidad de los sistemas.

Las pérdidas pueden aparecer por la actividad de intrusos externos a la organización, por accesos fraudulentos, por accesos no autorizados, por el uso erróneo de los sistemas por parte de empleados propios, o por la aparición de eventualidades en general destructivas. Los efectos de las diversas amenazas puedes ser muy variados. Unos pueden comprometer la integridad de la información o de los sistemas, otros pueden degradar la disponibilidad de los servicios y otros pueden estar relacionados con la confidencialidad de la información.

En cualquier caso una correcta gestión de los riesgos debe implicar un profundo conocimiento de las vulnerabilidades de los sistemas y de las amenazas que los pueden explotar. Las propias características de las organizaciones deben influir en las medidas de seguridad que resulten más adecuadas y más eficientes en términos de costes, para contrarrestar las amenazas o incluso para tolerarlas conociendo en todo caso sus implicaciones.

A continuación vamos a mostrar las amenazas más frecuentes que deberían ser tenidas en cuenta por toda organización como fuentes potenciales de pérdidas. Conviene destacar que la importancia de una u otra amenaza varía de forma significativa entre organizaciones distintas y que debería hacerse un estudio individualizado de sus repercusiones concretas y de la probabilidad de su aparición. 5. Amenazas a la privacidad de las personas.

La acumulación de enormes cantidades de datos de carácter personal por entidades públicas y privadas, unida a la capacidad de los sistemas informáticos para combinar y procesar las informaciones viene generando claras amenazas a la privacidad de los individuos. La constatación de estas amenazas por parte de la mayoría de países ha llevado a la elaboración de leyes y normas que limitan el tratamiento de los datos de carácter personal.

Estas amenazas no sólo afectan a los individuos, sino también a toda organización que manipule información sensible de personas. De no observarse la legislación vigente y en caso de no implantar las medidas adecuadas para su cumplimiento, se pueden derivar pérdidas, tanto económicas por las correspondientes multas, como de imagen corporativa

 

 

Autor:

Alcaraz Yamila.

Calderón Yesica.

Ceballos Cesar.