M1 Seguridad Datos

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 15

INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y

LEYES SOBRE PROTECCIÓN DE DATOS

MÓDULO I

SEGURIDAD DE DATOS

INTRODUCCIÓN A LA
SEGURIDAD DE LA
INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES
SOBRE PROTECCIÓN DE
DATOS 1 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

INTRODUCCIÓN .................................................................................................................................................. 3
PALABRAS CLAVES .......................................................................................................................................... 3
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN ................................................................................... 4
NORMAS DE LA SERIE ISO ................................................................................................................................... 4
COMPONENTES DE UN SGSI ............................................................................................................................... 5
IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS DE LOS SISTEMAS DE INFORMACIÓN DE UNA ORGANIZACIÓN EN
LÍNEA CON LOS REQUISITOS DE LA NORMA ISO ................................................................................................ 6
SEGURIDAD DE DATOS Y SEGURIDAD DE LA INFORMACIÓN ............................................................................. 7
CONCEPTOS DE SEGURIDAD INFORMÁTICA ....................................................................................................... 8
EVOLUCIÓN HISTÓRICA ...................................................................................................................................... 9
TIPOS DE ATAQUES INFORMÁTICOS (VIRUS, TROYANOS, SNIFFERS) ............................................................... 10
DELITOS INFORMÁTICOS .................................................................................................................................. 10
ANÁLISIS DE CASOS .......................................................................................................................................... 11
LEY DE CIBERSEGURIDAD.................................................................................................................................. 11
APLICABILIDAD EN PROYECTOS TIC .................................................................................................................. 12
CIERRE .............................................................................................................................................................. 13
BIBLIOGRAFÍA ................................................................................................................................................... 14

2 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

INTRODUCCIÓN

La seguridad informática nos ha acompañado desde el comienzo, siempre ha sido una preocupación latente
cada vez que se diseña un nuevo sistema, se crea una nueva tecnología, etc. Es aún más importante hoy en
día, donde toda nuestra información circula por internet y sus distintas redes, como los respaldos de nuestras
fotos, información personal, información bancaria y así con todo lo que hemos ido actualizando. Te pones a
pensar en si realmente nuestra información es tan importante, por ejemplo, ¿a quién le puede interesar que
compré un teléfono celular de tal marca, tal día, pagando con tal tarjeta de crédito?

La respuesta es simple: la información es PODER. El que tenga más información es quién general- mente puede
tomar las mejores decisiones. Este poder no solo es para decidir, sino que se puede usar también para
lastimar, aprovecharse. Por eso es que la seguridad es indispensable, sin ella, tendríamos que tener nuestro
dinero en un colchón, nuestras fotos en una cámara análoga y tal vez más adelante hasta nuestros sueños
guardados en lo más oscuro de nuestros pensamientos.

PALABRAS CLAVES
Seguridad, información, poder.

3 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN

Hoy en día en nuestra sociedad (casi) todo está controlado por sistemas y redes informáticas, en la mayoría
de los casos es gratificante y tranquilizador, pero en otros puede ser aterrador pensar que lo controla una
persona detrás de una pantalla, es por eso que es muy importante que todo funcione correctamente, en
particular y esencialmente la seguridad de estos sistemas y redes.

La seguridad de la información es básicamente cualquier medida que evite operaciones que no estén
autorizadas en estos sistemas y redes que puedan afectar la integridad, confidencialidad y autenticidad de
esta misma.

NORMAS DE LA SERIE ISO

La familia de las normas ISO asociadas a la seguridad de la información está dada por las siguientes:

• ISO 27001: Principal norma de la serie. Trae los requisitos para un SGSI

• ISO 27002: Guía de buenas prácticas

• ISO 27003: Sistemas de gestión de la seguridad de la información. Guía de implementación

• ISO 27004: Técnicas de seguridad

• ISO 27005: Gestión de riesgos

• ISO 27007: Guía de auditoría para un SGSI

4 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

COMPONENTES DE UN SGSI

Podemos identificar 10 etapas o fases o componentes para implementar un buen Sistema de gestión
de seguridad de la información:

1. Definición de las políticas de seguridad y su alcance


2. Definición de responsabilidades
3. Identificación de activos
4. Gestión y análisis de riesgos
5. Implantación de controles de seguridad
6. Estableces mejoras para la seguridad
7. Documentación
8. Revisión
9. Auditoría de certificación
10. Recomendaciones de la auditoría

5 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS DE LOS


SISTEMAS DE INFORMACIÓN DE UNA ORGANIZACIÓN EN
LÍNEA CON LOS REQUISITOS DE LA NORMA ISO

Es importante identificar los riesgos del sistema informático, idealmente antes de cualquier cosa, para esto se
deben detectar las amenazas, ya sean intencionadas o no y también las amenazas naturales. Es clave realizar
un análisis sobre el sistema para esclarecer y detectar las vulnerabilidades de este y qué impacto tienen sobre
la información.

Una vez evaluados y gestionados estos riesgos, podemos definir las implementaciones necesarias, ya sea
físicas, técnicas o administrativas para corregir y controlar estos posibles riesgos. Para poder estudiar estos
análisis, debemos tener claros ciertos puntos: (no necesariamente en un orden específico).

• Recursos del sistema

• Amenazas

• Vulnerabilidades

• Incidentes

• Impacto

• Riesgos

• Medidas de seguridad

6 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

SEGURIDAD DE DATOS Y
SEGURIDAD DE LA
INFORMACIÓN

La seguridad la podemos dividir en distintos tipos:

• Seguridad de redes: Proteger el acceso, integridad,


seguridad y uso de la red y toda la información que
“fluye” por esta.

• Seguridad de Software: Las aplicaciones pueden tener


errores que permitan a usuarios obtener información
que no corresponda.

• Seguridad de Hardware: Proteger nuestros equipos con


firewalls, vpn, proxy, etc.

Es importante reforzar e identificar posibles riesgos en todos


estos niveles de igual manera.

7 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

CONCEPTOS DE SEGURIDAD INFORMÁTICA

Nuestros objetivos fundamentales de esta gestión son los que se conocen como CIA (que viene de
confidencialidad, integridad y disponibilidad en inglés). Teniendo estos objetivos, podemos proceder a definir
nuestras distintas políticas de seguridad seguidos por nuestros procedimientos y planes. No menos
importantes, están nuestras tareas y luego todo lo que es el registro y evidencia.

Figura 1 Conceptos clave de seguridad informática


Fuente: Caballero, G. C., & Clavero, G. J. A. (2016). Salvaguarda y Seguridad de los Datos:UF
1473. Madrid: Paraninfo.

8 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

EVOLUCIÓN HISTÓRICA

El primer virus en la historia no era para nada dañino, solo mostraba un mensaje en la pantalla, esto por allá
en la década de 1970. A través de todos estos años ese inocente programa dio el paso a distintos tipos de
ataques informáticos y lo que conocemos hoy como delitos informáticos.

El primer ataque por un virus (The Morris worm)


en 1989, el primer ramsonware (virus que toma
como “rehén” tu información) cerca de esos
años. Todo esto lleva a la época actual donde la
seguridad informática es aún más relevante y
necesaria. Se crean estándares, normas y
entidades para tratar de erradicar este mal.

Sabemos que es una tarea utópica, mientras


exista código creado por el hombre, habrá
personas que tratarán de “crackearlo” tal vez no
con malas intenciones, como el primer virus, tal
vez solo como un desafío.

9 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

TIPOS DE ATAQUES INFORMÁTICOS (VIRUS, TROYANOS,


SNIFFERS)

Actualmente hay una infinidad de tipos de ataques desarrollados para saltarse todas las capas de seguridad
que se van creando. Es un círculo vicioso donde las personas crean y destruyen y vuelven a crear, un desafío
constante para finalmente hacerse con lo que no es de uno. Podemos hacer una pequeña lista con los ataques
informáticos más conocidos:

• Virus: Código en aplicaciones que permite infectar ar- chivos dentro de un sistema, su principal
debilidad es que deben ejecutarse por lo tanto es importante que el usuario tenga conocimiento de
lo que está haciendo y lo que no debería, como, por ejemplo: abrir un correo con archivo adjunto de
un remitente desconocido.
• Sniffers: Estos programas están diseñados para captura de paquetes y tráfico que entra y sale desde
y hacia una red. Ya sea internet o LAN
• Troyanos: Estos programas no causan daño, pero en cambio permiten el ingreso de otros programas
que si pueden hacerlo.

Existen muchos más tipos de ataques, tantos como capas de seguridad creemos.

DELITOS INFORMÁTICOS

Es importante destacar que, con respecto a delitos informáticos acá en Chile, contamos con la brigada
investigadora del Cibercrimen de la Policía de Investigaciones (PDI), esta unidad define algunos delitos
informáticos principalmente como:

• Sabotaje informático
• Espionaje informático
• Explotación sexual de menores a través de internet.

Independiente del tipo delito informático, estos ocurren de la misma manera que cualquier otro delito: falta
o falla en la seguridad.

10 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

ANÁLISIS DE CASOS

Cuando ocurre un delito o un intento de delito informático es importante estar preparado, generar un
protocolo o plan de respuesta para estos casos. Definir cómo actuar en el caso probable o poco probable de
que suceda un incidente de seguridad. Es trascendental que se establezca primero que todo qué tipo de
ataque informático se ha llevado a cabo y a partir de eso, identificar las vulnerabilidades, métodos, daño, etc.

Generar un manual para estos casos es una gran ayuda, ya que al enfrentarse a un ataque informático que
ponga en riesgo la integridad del sistema es importante mantener la calma y tomar decisiones. Existe un
estándar de priorizaciones que se proponen cuando un sistema se ve afectado por un ataque:

• Prioridad 1: proteger la vida humana y la seguridad de las personas


• Prioridad 2: proteger los datos e información sensible
• Prioridad 3: proteger otros datos
• Prioridad 4: prevenir daños
• Prioridad 5: minimizar interrupción de servicios

LEY DE CIBERSEGURIDAD

11 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

En Chile, estaba hace muy poco la ley N° 19.223 para delitos informáticos. Esta ley es de hace 30 años atrás,
es increíble que con lo rápido que avanza la tecnología en general y en específico la informática y todas sus
ramas, se mantenga vigente una ley tan antigua. Como país estamos muy atrasados en este aspecto, a pesar
de que ya se aprobó la propuesta para actualizar la ley sobre delitos informáticos y ciberseguridad.

APLICABILIDAD EN PROYECTOS TIC

La implementación de la seguridad en cualquier proyecto TIC es en base a normas y estándares. Es importante


definir estas medidas de seguridad siguiendo las certificaciones que ciertos organismos nos entregan. Se
definen 4 tipos de certificaciones para estos proyectos:

• Certificación de la seguridad de las tecnologías de la información


• Certificación de la seguridad criptológica
• Certificación de la seguridad física
• Certificación de la seguridad de emanaciones radioeléctricas

Luego de ser EVALUADO, CERTIFICADO y ACREDITADO, podemos decir que nuestro sistema o proyecto no
presenta riesgo alguno que se considere inaceptable. Los riesgos siempre existirán, solo se trata de
minimizarlos.

12 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

CIERRE

Después de dar una pincelada sobre la seguridad y como nos afecta queramos o no, podemos llegar a
decir que lamentablemente vivimos en un mundo donde nuestra información personal está circulando
y constantemente se ve afectada por distintos ataques. Nuestra misión como desarrolladores,
ingenieros, informáticos es ir agregando capas y más capas de seguridad a nuestros proyectos de
desarrollo y ¿por qué no?, también a nuestro diario vivir, generar conciencia en otras personas para
que tomen el peso de tener la información disponible para que cualquiera con intenciones maliciosas
pueda obtenerla y hacer mal uso de esta.

Existen un montón de casos hoy en día sobre ataques informáticos y pérdida de información a pequeña
y gran escala y esperamos que en Chile podamos definir de mejor manera tanto la seguridad como los
mismos delitos que la afectan. Mejorar nuestras leyes y nuestra cultura sobre la seguridad de nuestra
información.

13 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

BIBLIOGRAFÍA

Caballero, G. C., & Clavero, G. J. A. (2016). Salvaguarda y Seguridad de los Datos: UF 1473. Madrid: Paraninfo.

Gómez, V. A. (2011). Enciclopedia de la Seguridad Informática. México: Alfa Omega.

14 | SEGURIDAD DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS
ISO Y NORMATIVAS Y LEYES SOBRE PROTECCIÓN DE DATOS
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN NORMAS ISO Y NORMATIVAS Y
LEYES SOBRE PROTECCIÓN DE DATOS

FIN DE MÓDULO

15 | SEGURIDAD DE DATOS

También podría gustarte

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy