M1 Seguridad Datos
M1 Seguridad Datos
M1 Seguridad Datos
MÓDULO I
SEGURIDAD DE DATOS
INTRODUCCIÓN A LA
SEGURIDAD DE LA
INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES
SOBRE PROTECCIÓN DE
DATOS 1 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN .................................................................................................................................................. 3
PALABRAS CLAVES .......................................................................................................................................... 3
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN ................................................................................... 4
NORMAS DE LA SERIE ISO ................................................................................................................................... 4
COMPONENTES DE UN SGSI ............................................................................................................................... 5
IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN DE UNA ORGANIZACIÓN EN
LÍNEA CON LOS REQUISITOS DE LA NORMA ISO ................................................................................................ 6
SEGURIDAD DE DATOS Y SEGURIDAD DE LA INFORMACIÓN ............................................................................. 7
CONCEPTOS DE SEGURIDAD INFORMÁTICA ....................................................................................................... 8
EVOLUCIÓN HISTÓRICA ...................................................................................................................................... 9
TIPOS DE ATAQUES INFORMÁTICOS (VIRUS, TROYANOS, SNIFFERS) ............................................................... 10
DELITOS INFORMÁTICOS .................................................................................................................................. 10
ANÁLISIS DE CASOS .......................................................................................................................................... 11
LEY DE CIBERSEGURIDAD.................................................................................................................................. 11
APLICABILIDAD EN PROYECTOS TIC .................................................................................................................. 12
CIERRE .............................................................................................................................................................. 13
BIBLIOGRAFÍA ................................................................................................................................................... 14
2 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN
La seguridad informática nos ha acompañado desde el comienzo, siempre ha sido una preocupación latente
cada vez que se diseña un nuevo sistema, se crea una nueva tecnología, etc. Es aún más importante hoy en
día, donde toda nuestra información circula por internet y sus distintas redes, como los respaldos de nuestras
fotos, información personal, información bancaria y así con todo lo que hemos ido actualizando. Te pones a
pensar en si realmente nuestra información es tan importante, por ejemplo, ¿a quién le puede interesar que
compré un teléfono celular de tal marca, tal día, pagando con tal tarjeta de crédito?
La respuesta es simple: la información es PODER. El que tenga más información es quién general- mente puede
tomar las mejores decisiones. Este poder no solo es para decidir, sino que se puede usar también para
lastimar, aprovecharse. Por eso es que la seguridad es indispensable, sin ella, tendríamos que tener nuestro
dinero en un colchón, nuestras fotos en una cámara análoga y tal vez más adelante hasta nuestros sueños
guardados en lo más oscuro de nuestros pensamientos.
PALABRAS CLAVES
Seguridad, información, poder.
3 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
Hoy en día en nuestra sociedad (casi) todo está controlado por sistemas y redes informáticas, en la mayoría
de los casos es gratificante y tranquilizador, pero en otros puede ser aterrador pensar que lo controla una
persona detrás de una pantalla, es por eso que es muy importante que todo funcione correctamente, en
particular y esencialmente la seguridad de estos sistemas y redes.
La seguridad de la información es básicamente cualquier medida que evite operaciones que no estén
autorizadas en estos sistemas y redes que puedan afectar la integridad, confidencialidad y autenticidad de
esta misma.
La familia de las normas ISO asociadas a la seguridad de la información está dada por las siguientes:
• ISO 27001: Principal norma de la serie. Trae los requisitos para un SGSI
4 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
COMPONENTES DE UN SGSI
Podemos identificar 10 etapas o fases o componentes para implementar un buen Sistema de gestión
de seguridad de la información:
5 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
Es importante identificar los riesgos del sistema informático, idealmente antes de cualquier cosa, para esto se
deben detectar las amenazas, ya sean intencionadas o no y también las amenazas naturales. Es clave realizar
un análisis sobre el sistema para esclarecer y detectar las vulnerabilidades de este y qué impacto tienen sobre
la información.
Una vez evaluados y gestionados estos riesgos, podemos definir las implementaciones necesarias, ya sea
físicas, técnicas o administrativas para corregir y controlar estos posibles riesgos. Para poder estudiar estos
análisis, debemos tener claros ciertos puntos: (no necesariamente en un orden específico).
• Amenazas
• Vulnerabilidades
• Incidentes
• Impacto
• Riesgos
• Medidas de seguridad
6 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
SEGURIDAD DE DATOS Y
SEGURIDAD DE LA
INFORMACIÓN
7 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
Nuestros objetivos fundamentales de esta gestión son los que se conocen como CIA (que viene de
confidencialidad, integridad y disponibilidad en inglés). Teniendo estos objetivos, podemos proceder a definir
nuestras distintas políticas de seguridad seguidos por nuestros procedimientos y planes. No menos
importantes, están nuestras tareas y luego todo lo que es el registro y evidencia.
8 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
EVOLUCIÓN HISTÓRICA
El primer virus en la historia no era para nada dañino, solo mostraba un mensaje en la pantalla, esto por allá
en la década de 1970. A través de todos estos años ese inocente programa dio el paso a distintos tipos de
ataques informáticos y lo que conocemos hoy como delitos informáticos.
9 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
Actualmente hay una infinidad de tipos de ataques desarrollados para saltarse todas las capas de seguridad
que se van creando. Es un círculo vicioso donde las personas crean y destruyen y vuelven a crear, un desafío
constante para finalmente hacerse con lo que no es de uno. Podemos hacer una pequeña lista con los ataques
informáticos más conocidos:
• Virus: Código en aplicaciones que permite infectar ar- chivos dentro de un sistema, su principal
debilidad es que deben ejecutarse por lo tanto es importante que el usuario tenga conocimiento de
lo que está haciendo y lo que no debería, como, por ejemplo: abrir un correo con archivo adjunto de
un remitente desconocido.
• Sniffers: Estos programas están diseñados para captura de paquetes y tráfico que entra y sale desde
y hacia una red. Ya sea internet o LAN
• Troyanos: Estos programas no causan daño, pero en cambio permiten el ingreso de otros programas
que si pueden hacerlo.
Existen muchos más tipos de ataques, tantos como capas de seguridad creemos.
DELITOS INFORMÁTICOS
Es importante destacar que, con respecto a delitos informáticos acá en Chile, contamos con la brigada
investigadora del Cibercrimen de la Policía de Investigaciones (PDI), esta unidad define algunos delitos
informáticos principalmente como:
• Sabotaje informático
• Espionaje informático
• Explotación sexual de menores a través de internet.
Independiente del tipo delito informático, estos ocurren de la misma manera que cualquier otro delito: falta
o falla en la seguridad.
10 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
ANÁLISIS DE CASOS
Cuando ocurre un delito o un intento de delito informático es importante estar preparado, generar un
protocolo o plan de respuesta para estos casos. Definir cómo actuar en el caso probable o poco probable de
que suceda un incidente de seguridad. Es trascendental que se establezca primero que todo qué tipo de
ataque informático se ha llevado a cabo y a partir de eso, identificar las vulnerabilidades, métodos, daño, etc.
Generar un manual para estos casos es una gran ayuda, ya que al enfrentarse a un ataque informático que
ponga en riesgo la integridad del sistema es importante mantener la calma y tomar decisiones. Existe un
estándar de priorizaciones que se proponen cuando un sistema se ve afectado por un ataque:
LEY DE CIBERSEGURIDAD
11 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
En Chile, estaba hace muy poco la ley N° 19.223 para delitos informáticos. Esta ley es de hace 30 años atrás,
es increíble que con lo rápido que avanza la tecnología en general y en específico la informática y todas sus
ramas, se mantenga vigente una ley tan antigua. Como país estamos muy atrasados en este aspecto, a pesar
de que ya se aprobó la propuesta para actualizar la ley sobre delitos informáticos y ciberseguridad.
Luego de ser EVALUADO, CERTIFICADO y ACREDITADO, podemos decir que nuestro sistema o proyecto no
presenta riesgo alguno que se considere inaceptable. Los riesgos siempre existirán, solo se trata de
minimizarlos.
12 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
CIERRE
Después de dar una pincelada sobre la seguridad y como nos afecta queramos o no, podemos llegar a
decir que lamentablemente vivimos en un mundo donde nuestra información personal está circulando
y constantemente se ve afectada por distintos ataques. Nuestra misión como desarrolladores,
ingenieros, informáticos es ir agregando capas y más capas de seguridad a nuestros proyectos de
desarrollo y ¿por qué no?, también a nuestro diario vivir, generar conciencia en otras personas para
que tomen el peso de tener la información disponible para que cualquiera con intenciones maliciosas
pueda obtenerla y hacer mal uso de esta.
Existen un montón de casos hoy en día sobre ataques informáticos y pérdida de información a pequeña
y gran escala y esperamos que en Chile podamos definir de mejor manera tanto la seguridad como los
mismos delitos que la afectan. Mejorar nuestras leyes y nuestra cultura sobre la seguridad de nuestra
información.
13 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
BIBLIOGRAFÍA
Caballero, G. C., & Clavero, G. J. A. (2016). Salvaguarda y Seguridad de los Datos: UF 1473. Madrid: Paraninfo.
14 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS
FIN DE MÓDULO
15 | SEGURIDAD DE DATOS
Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.
Alternative Proxies: