2. I N T R O D U C C I O N .
La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área relacionada con la informática y la
telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una
computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información.
La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware,
redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta
información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en
información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de «seguridad
informática», ya que esta última solo se encarga de la seguridad en el medio informático,
pero la información puede encontrarse en diferentes medios o formas, y no solo en medios
informáticos.
3. La informática, también llamada computación, es una ciencia que estudia métodos, técnicas, procesos, con el fin de almacenar, procesar y transmitir
información y datos en formato digital
ENTRADA
•Captación de la información. Normalmente son datos y
órdenes ingresados por los usuarios a través de cualquier
dispositivo de entrada conectado a la computadora.
PROCESO
•Tratamiento de la información. Se realiza a través de
programas y aplicaciones diseñadas por programadores
que indican de forma secuencial cómo resolver un
requerimiento.
SALIDA
•Transmisión de resultados. A través de los dispositivos de
salida los usuarios pueden visualizar los resultados que
surgen del procesamiento de los datos.
SIS.
OPERATIVO
•Es un conjunto de programas que permite interactuar al usuario con la
computadora.
SIS.
MANDO
•Son sistemas basados en la mecánica y motricidad de dispositivos que
permiten al usuario localizar, dentro de la logística, los elementos que se
demandan.
ARCHIVO
•Son sistemas que permiten el almacenamiento a largo plazo de información
que no se demandará por un largo periodo de tiempo.
Código
ASCII
•Es un método para la correspondencia de cadenas de bits permitiendo de
esta forma la comunicación entre dispositivos digitales así como su proceso y
almacenamiento, en la actualidad todos los sistemas informáticos utilizan el
código ASCII para representar textos, gráficos, audio e infinidad de
información para el control y manipulación de dispositivos digitales.
4. Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un
conjunto de políticas de administración de la información.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la
información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la
información.
por lo tanto incorpora el típico Plan-Do-Check-Act (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
v
Do (hacer): es una
fase que envuelve la
implantación y
operación de los
controles.
Check (controlar): es
una fase que tiene
como objetivo
revisar y evaluar el
desempeño
(eficiencia y eficacia)
del SGSI
Act (actuar): en esta
fase se realizan
cambios cuando sea
necesario para llevar de
vuelta el SGSI a máximo
rendimiento
Plan (planificar): es una
fase de diseño del SGSI,
realizando la evaluación
de riesgos de seguridad
de la información y la
selección de controles
adecuados
Existen otros SGSI pero el Plan-Do-Check-
Act es el más completo y el más utilizado.
5. La seguridad de redes consiste en las políticas y prácticas adoptadas para prevenir
y supervisar el acceso no autorizado, el uso indebido, la modificación o la
denegación de una red informática y sus recursos accesibles. La seguridad de redes
involucra la autorización del acceso a datos en la red, que es controlada por el
administrador de red. Los usuarios eligen o se les asigna una identificación y
contraseña u otra información de autenticación que les permite acceder a
información y programas dentro de sus autorizaciones
La seguridad de redes empieza con la autenticación, usualmente con un nombre
de usuario y una contraseña.
Una vez autenticado, un cortafuego aplica políticas de acceso, por ejemplo, asignar los
servicios a los cuales pueden acceder los usuarios de la red. Aunque esta medida es
efectiva para prevenir acceso no autorizado, este componente puede fallar al revisar
contenido que puede ser dañino, un ejemplo sería un gusano informático o un troyano que
esté siendo transmitido en la red.
Las redes están sujetas a ataques de fuentes maliciosas. Los ataques pueden ser de dos
categorías: "pasivos" cuando un intruso intercepta datos que viajan a través de la red, y
"activos" cuando un intruso inicia comandos para interrumpir el funcionamiento normal de
la red o para realizar reconocimiento y "espionaje" para encontrar y obtener acceso a
activos disponibles a través de la red.
6. La seguridad de aplicaciones web es una rama de la Seguridad Informática que se encarga
específicamente de la seguridad de sitios web, aplicaciones web y servicios web.
Con la aparición de la Web 2.0, el intercambio de información a través de redes sociales y el
crecimiento de los negocios en la adopción de la Web como un medio para hacer negocios y
ofrecer servicios, los sitios web son constantemente atacados. Los hackers buscan, ya sea
comprometer la red de la corporación o a los usuarios finales, accediendo al sitio web y
obligándolos a realizar drive-by downloading.
OWASP es el estándar emergente para la seguridad de aplicaciones Web.
7. No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de
almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias no
informáticas que deben ser tomadas en cuenta. Muchas son a menudo imprevisibles o inevitables, de modo
que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante
determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la
disponibilidad.
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad,
si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema.
Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición
de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de
parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script
kiddie o script boy, viruxers, etc.).
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran
entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
8. La Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), es un cuerpo normativo de México, aprobado por el Congreso
de la Unión el 27 de abril de 2010, mismo que tiene como objetivo regular el derecho a la autodeterminación informativa.
Antes de la expedición de la LFPDPPP, en México este derecho era reconocido expresamente por la Ley Internacional de Transparencia y Acceso a la
Información Pública Gubernamental y Privada (en cuanto al sector público) y dentro de la Ley de Protección de Datos Personales del Estado de Colima
(sectores público y privado).
Reformas Constitucionales en materia de datos
personales
Modelos de legislación en materia de
protección de datos personales
Capítulo III, De los Derechos de los Titulares de
los Datos Personales
Capítulo IV, Del Ejercicio de los Derechos ARCO
Capítulo V, De la Transferencia de Datos
La reforma al artículo 6º Constitucional
La reforma al artículo 16 Constitucional
1 2
Capítulo II, De los Principios de Protección de Datos Personales
Capítulo VI, De las Autoridades
Capítulo VII, Del Procedimiento de Protección de Derechos
Capítulo X, De las Infracciones y Sanciones
Capítulo VIII, Del Procedimiento de Verificación
Capítulo IX, Del Procedimiento de Imposición de Sanciones
Capítulo XI, De los Delitos en Materia del Tratamiento Indebido
de Datos Personales