2. Se entiende por seguridad de la información a
todas aquellas medidas preventivas y reactivas del
hombre, de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger
la información buscando mantener
la confidencialidad, la disponibilidad e Integridad
de la misma.
El concepto de seguridad de la información no
debe ser confundido con el de seguridad
informática, ya que este último sólo se encarga de
la seguridad en el medio informático, pudiendo
encontrar información en diferentes medios o
formas.

3. CONCEPCION DE LA SEGURIDAD
DE LA INFORMACIÓN
La información es poder, y según las posibilidades estratégicas que
ofrece tener a acceso a cierta información, ésta se clasifica como:
Crítica: Es indispensable para la operación de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir
sin previo aviso y producir numerosas pérdidas para las empresas. Los
riesgos más perjudiciales son a las tecnologías de información y
comunicaciones.
Seguridad: Es una forma de protección contra los riesgos.

4. CONFIDENCIALIDAD
Es la propiedad de prevenir la
divulgación de información a
personas o sistemas no
autorizados. La confidencialidad
es el acceso a la información
únicamente por personas que
cuenten con la debida
autorización.

5. INTEGRIDAD
Es la propiedad que busca mantener los
datos libres de modificaciones no
autorizadas. (No es igual a integridad
referencial en bases de datos.) Grosso
modo, la integridad es el mantener con
exactitud la información tal cual fue
generada, sin ser manipulada o alterada
por personas o procesos no autorizados.

6. DISPONIBILIDAD
Es la característica, cualidad o condición de la información
de encontrarse a disposición de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones. Grosso
modo, la disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que lo
requieran.
Garantizar la disponibilidad implica también la prevención
de ataque de denegación de servicio. Para poder manejar
con mayor facilidad la seguridad de la información, las
empresas o negocios se pueden ayudar con un sistema de
gestión permita conocer, administrar y minimizar los
posibles riesgos que atenten contra la seguridad
informativa del negocio.

7. AUTENTICACIÓN Ó
AUTENTIFICACIÓN
Es la propiedad que me permite identificar el
generador de la información. Por ejemplo al
recibir un mensaje de alguien, estar seguro que
es de ese alguien el que lo ha mandado, y no
una tercera persona haciéndose pasar por la
otra (suplantación de identidad). En un sistema
informático se suele conseguir este factor con el
uso de cuentas de usuario y contraseñas de
acceso.

8. SERVICIOS DE
SEGURIDAD
No Repudio
Proporciona protección contra la interrupción, por parte de alguna de las
entidades implicadas en la comunicación, de haber participado en toda o parte de
la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está
estandarizado en la ISO-7498-2
Protocolos de Seguridad de la Información
Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la
transmisión de datos entre la comunicación de dispositivos para ejercer una
confidencialidad, integridad, autenticación y el no repudio de la información. Se
componen de:
Criptografía (Cifrado de datos).
 Lógica (Estructura y secuencia).
Autenticación.

9. PLANIFICACIÓN DE
LA SEGURIDAD
Los administradores de programas, los
propietarios del sistema, y personal de
seguridad en la organización debe entender el
sistema de seguridad en el proceso de
planificación. Los responsables de la ejecución
y gestión de sistemas de información deben
participar en el tratamiento de los controles de
seguridad que deben aplicarse a sus sistemas.

10. Creación de un Plan de respuesta a incidentes
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
Acción inmediata para detener o minimizar el incidente
Investigación del incidente
Restauración de los recursos afectados
Reporte del incidente a los canales apropiados
Un plan de respuesta a incidentes tiene un número de requerimientos,
incluyendo:
Un equipo de expertos locales (un Equipo de respuesta a emergencias de
computación)
Una estrategia legal revisada y aprobada
Soporte financiero de la compañía
Soporte ejecutivo de la gerencia superior
Un plan de acción factible y probado
Recursos físicos, tal como almacenamiento redundante, sistemas en stand by
y servicios de respaldo

11. MANEJO DE RIESGOS
El manejo de riesgos, conlleva una estructura bien
definida, con un control adecuado y su manejo,
habiéndolos identificado, priorizados y analizados, a
través de acciones factibles y efectivas. Para ello se
cuenta con las siguientes técnicas de manejo del
riesgo:
 Evitar
 Reducir
 Retener, Asumir o Aceptar el riesgo
 Transferir.

12. MEDIOS DE TRANSMISION DE ATAQUES A
LOS SISTEMAS DE SEGURIDAD
El mejor en soluciones de su clase permite una respuesta rápida a las amenazas
emergentes, tales como:
Malware propagación por e-mail y Spam.
La propagación de malware y botnets.
Los ataques de phishing alojados en sitios web.
Los ataques contra el aumento de lenguaje de marcado extensible (XML) de
tráfico, arquitectura orientada a servicios (SOA) y Web Services.
Los delitos cometidos mediante el uso de la computadora han crecido en tamaño,
forma y variedad. Los principales delitos hechos por computadora o por medio de
computadoras son:
Fraudes
Falsificación
Venta de información

13. ACTORES QUE AMENAZAN
LA SEGURIDAD
Un hacker
Un cracker
Un lammer
Un copyhacher'
Un "bucanero"
Un phreaker
Un newbie o "novato de red"
Un script kiddie o skid kiddie
Un tonto o descuidado

14. TECNOLOGÍAS
Las principales tecnologías referentes a la seguridad de la información
en informática son:
Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto

15. ESTÁNDARES DE SEGURIDAD
DE LA INFORMACIÓN
 ISO/IEC 27000-series
 ISO/IEC 27001
 ISO/IEC 17799
Otros estándares relacionados
 COBIT
 ISACA
 ITIL

16. CERTIFICACIONES
 CISM - CISM Certificaciones: Certified Information Security
Manager
 CISSP - CISSP Certificaciones: Security Professional
Certification
 GIAC - GIAC Certificaciones: Global Information Assurance
Certification

17. Certificaciones independientes en seguridad de la
información:
 CISA- Certified Information Systems Auditor, ISACA
 CISM- Certified Information Security Manager, ISACA
 Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
 CISSP - Certified Information Systems Security Professional, ISC2
 SECURITY+, COMPTia - Computing Technology Industry Association
 CEH - Certified Ethical Hacker
 PCI DSS - PCI Data Security Standard