1. 1
CÓMO LAS EMPRESAS ESTÁN AFRONTANDO LOS NUEVOS RETOS
RELACIONADOS CON SEGURIDAD DE LAINFORMACIÓN
POLITÉCNICO GRAN COLOMBIANO
POSTGRADO EN SEGURIDAD DE LAINFORMACIÓN
PRIMER BLOQUE-TEORIADE LASEGURIDAD
DOCENTE
ANDRES FELIPE ESTUPINAN SANABRIA
MAURICIO SIERRACUBIDES
CÒDIGO 1111070706
BOGOTÀAGOSTO 2016
2. 2
AGRADECIMIENTOS
Este foro está dedicado a mis padres, profesores e institución que me han
permitido formarme y continuar con mis estudios de posgrado, con el fin de
alcanzar mis metas y objetivos.
3. 3
ABSTRACT
La seguridad y privacidad de la información, como componente transversal,
permite alinearse a las organizaciones al aportar en el uso estratégico de las
tecnologías de la información con la formulación e implementación del modelo de
seguridad enfocado a preservar la confidencialidad, integridad y disponibilidad de
la información, lo que contribuye al cumplimiento de la misión y los objetivos
estratégicos de las compañías.
4. 4
CONTENIDO
PRIMER BLOQUE-TEORIA DE LA SEGURIDAD..............................................................1
Agradecimientos ..................................................................................................................2
Abstract................................................................................................................................3
Contenido.............................................................................................................................4
GLOSARIO ..........................................................................................................................5
Capítulo 1.............................................................................................................................7
Título1...................................................................................................................................7
¿Cuáles son los riesgos y nuevos retos que han detectado estas organizaciones en relacióna la
seguridad de lainformación? ..................................................................................................7
Título 2 ................................................................................................................................10
¿Mencionar cuál es nivel de importancia que le han dado estás compañías a la seguridad de la
información?........................................................................................................................10
Título 3 ................................................................................................................................11
¿Cómo la seguridad de la información ayuda a las organizaciones a cumplir sus objetivos
estratégicos?........................................................................................................................11
Lista de referencias............................................................................................................14
5. 5
GLOSARIO
1. Activo: En relación con la seguridad de la información, se refiere a
cualquier información elemento relacionado con el tratamiento de la misma
(sistemas, soportes, edificios, personas…) que tenga valor para la
organización. (ISO/IEC 27000).
2. Amenazas: Causa potencial de un incidente no deseado, que puede
provocar daños a un sistema o a la organización. (ISO/IEC 27000).
3. Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y
determinar el nivel de riesgo.(ISO/IEC 27000).
4. Auditoría: Proceso sistemático, independiente y documentado para
obtener evidencias de auditoria y obviamente para determinar el grado en
el que se cumplen los criterios de auditoria. (ISO/IEC 27000).
5. Control: Las políticas, los procedimientos, las prácticas y las estructuras
organizativas concebidas para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumido. Control es también
utilizado como sinónimo de salvaguarda o contramedida. En una definición
más simple, es una medida que modifica el riesgo.
6. Gestión de incidentes de seguridad de la información: Procesos para
detectar, reportar, evaluar, responder, tratar y aprender de los incidentes
de seguridad de la información. (ISO/IEC 27000).
6. 6
7. Plan de tratamiento de riesgos: Documento que define las acciones para
gestionar los riesgos de seguridad de la información inaceptables e
implantar los controles necesarios para proteger la misma. (ISO/IEC
27000).
8. Riesgo: Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de información.
Suele considerarse como una combinación de la probabilidad de un evento
y sus consecuencias. (ISO/IEC 27000).
9. Seguridad de la información: Preservación de la confidencialidad,
integridad, y disponibilidad de la información. (ISO/IEC 27000).
10.Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de
elementos interrelacionados o interactuantes (estructura organizativa,
políticas, planificación de actividades, responsabilidades, procesos,
procedimientos y recursos) que utiliza una organización para establecer
una política y unos objetivos de seguridad de la información y alcanzar
dichos objetivos, basándose en un enfoque de gestión y de mejora
continua. (ISO/IEC 27000).
11.Trazabilidad: Cualidad que permite que todas las acciones realizadas
sobre la información o un sistema de tratamiento de la información sean
asociadas de modo inequívoco a un individuo o entidad. (ISO/IEC 27000).
12.Vulnerabilidad: Debilidad de un activo o control que puede ser explotada
por una o más amenazas. (ISO/IEC 27000).
7. 7
CAPÍTULO 1
TÍTULO1
¿CUÁLES SON LOS RIESGOS Y NUEVOS RETOS QUE HAN
DETECTADO ESTAS ORGANIZACIONES EN RELACIÓN A LA
SEGURIDAD DE LA INFORMACIÓN?
En las compañías existe una gran preocupación por la gran cantidad de
aplicaciones móviles que pueden generar entradas automáticas a sistemas
seguros, de igual forma el controlar a los empleados en el uso de dispositivos
móviles agudiza esta tarea, dentro de las amenazas encontradas más
significativas se encuentran:
•Hardware. Los ataques contra todo tipo de hardware y firmware continuarán y el
mercado de las herramientas que los hacen posibles se expandirá y crecerá.
•Ransomware. Las redes de anonimato y métodos de pago continuarán
alimentando a la importante y creciente amenaza de ransomware, ataque que
consiste en "secuestrar" archivos y pedir rescate para liberarlos. En 2016, un
mayor número de Hackers inexpertos aprovecharán las ofertas de ransomware
como un servicio.
•Wearables. Los wearables sin protección de seguridad incorporada serán los
principales objetivos de los Hackers, debido a que recolectan datos muy
personales. Lo más importante, el hecho de que se sincronizan con teléfonos
inteligentes crea el potencial para acceso a datos más valiosos. Y debido a que
8. 8
frecuentemente se emparejan con aplicaciones web con el propósito de compartir,
las máquinas virtuales de nube y las aplicaciones web de soporte representan
superficies adicionales de ataque.
•Automóviles. Los investigadores de seguridad seguirán enfocándose en nuevas
formas de explotar hardware de automóviles conectados que carecen de
capacidades fundamentales de seguridad. Las áreas de ataque de automóviles
podrían incluir unidades de control de motor, acceso al vehículo, dirección y
frenado, sistemas de llaves remotas y acceso al teléfono inteligente del usuario,
entre otras.
•Almacenes de datos robados. El conjunto de información personal robada se está
reuniendo en grandes almacenes de datos, haciendo que los registros sean más
valiosos para los Hackers. El próximo año observaremos el desarrollo de un
mercado negro aún más robusto para el robo de información personal
identificable, así como nombres de usuario y contraseñas.
•Ataques a través de los empleados. Las organizaciones continuarán mejorando
sus posturas de seguridad, implementando las últimas tecnologías de seguridad,
trabajando para contratar a personas con talento y experiencia, creando políticas
efectivas y permaneciendo vigilantes. Sin embargo, los atacantes probablemente
cambien su enfoque y ataquen cada vez más a las empresas a través de sus
9. 9
empleados, dirigiéndose entre otras cosas, a los relativamente inseguros sistemas
del hogar de los empleados para acceder a las redes corporativas.
•Servicios de nube. Los Hackers y competidores corporativos cada vez más se
dirigirán a los servicios en nube que gestionan una cantidad creciente de
información confidencial de negocios. Esta información podría contener la
estrategia de negocios de la organización, estrategias del portafolio de la
compañía, innovaciones de próxima generación, finanzas, planes de adquisición
y desinversión, datos de empleados y otros datos.
•Ataques de integridad. Uno de los más significativos nuevos vectores de ataque
será la puesta en riesgo sigilosa y selectiva de la integridad de sistemas y datos.
Estos ataques consisten en apoderarse y modificar transacciones o datos a favor
de los cibercriminales, como por ejemplo, el cambio de la configuración de un
depósito de nómina directo a la cuenta de cheques de la víctima para que se
deposite en una cuenta diferente.
•Intercambio de inteligencia de amenazas. El intercambio de inteligencia de
amenazas entre las empresas y los proveedores de seguridad crecerá
rápidamente y madurará. Se emprenderán medidas legislativas para hacer
posible que las compañías y los gobiernos compartan inteligencia de amenazas.
El desarrollo de mejores prácticas en esta área se acelerará, surgirán métricas de
éxito para cuantificar la mejora de protección, y la cooperación de inteligencia de
amenazas entre los proveedores de la industria se ampliará.
10. 10
Dentro de los próximos 5 años los ataques más comunes serán a nivel firmware,
es decir, a un nivel más profundo que el sistema operativo y por ende más difícil
de detectar y eliminar.
TÍTULO 2
¿MENCIONAR CUÁL ES NIVEL DE IMPORTANCIA QUE LE HAN DADO
ESTÁS COMPAÑÍAS A LA SEGURIDAD DE LA INFORMACIÓN?
Los ataques pueden causar pérdida de información, destrucción de equipos o
robos de dinero. Sea cual sea el tipo de ataque recibido, la empresa sufre un costo
económico que, en algunas ocasiones, puede causar el cierre del negocio.
Por tal razón, la seguridad informática es la disciplina encargada de proponer los
medios técnicos para evaluar la seguridad de los sistemas de información.
A día de hoy miles de usuarios hacen uso de internet: acceden a sus redes
sociales, a su banco etc. Además cada día más compañías permiten el acceso a
los datos de su empresa a través de internet, por lo tanto es esencial que toda
esta información de la que hacemos uso debe permanecer segura, para así poder
controlar el acceso al sistema, y los permisos y derechos de los usuarios al
sistema de información.
Podemos decir que la seguridad informática debe cumplir lo siguiente:
11. 11
-Confidencialidad: Básicamente consiste en hacer que la información solo sea
legible y accesible para los usuarios permitidos, evitando accesos indebidos.
Como por ejemplo: Sistemas complejos de cifrado, sistemas de detección de
intrusos.
-Integridad: Consiste esencialmente en evitar que los datos puedan ser
manipulados, haciendo así que siempre estén completos y correctos. Como por
ejemplo: Controles de acceso, control de modificaciones.
-Disponibilidad: Definimos la disponibilidad como el método o función que nos
permite que los datos siempre estén accesibles y disponibles para su uso. Como
por ejemplo: Implementación de planes BCP (Planes de continuidad de negocio).
Además normalmente la seguridad informática trata de proteger los datos, el
software y el hardware de la empresa.
TÍTULO 3
¿CÓMO LA SEGURIDAD DE LA INFORMACIÓN AYUDA A LAS
ORGANIZACIONES A CUMPLIR SUS OBJETIVOS ESTRATÉGICOS?
La fuga de datos desde el interior de las compañías es el principal problema al
que se enfrentan las organizaciones que quieren proteger su información. Y este
tema es crítico porque no se trata sólo de fuga de datos, sino de pérdida de
competitividad. “Si un ejecutivo entrega la información de una empresa a otra,
12. 12
significa que esa compañía pasará a tener una ventaja competitiva sobre la que
la perdió, y no existe una preocupación real sobre esa situación.
De igual forma el diseñar las normas, procedimientos, métodos y técnicas,
orientados a proveer condiciones seguras y confiables, para la guarnición de datos
de la compañía, vigila, controla y administra el procesamiento de datos del
negocio, por lo que el asegurar que los recursos del sistema de información estén
protegidos da confianza y claridad en la obtención de datos de la compañía,
generando valor y disponibilidad para sus usuarios.
Partiendo de estas principales preocupaciones en las empresas, existen dos
soluciones que pueden intervenir en el cumplimiento fundamental de los objetivos
estratégicos como:
Desarrollo de una función centralizada
La función centralizada permite un mejor control y desempeño de las funciones
de seguridad informática, sin embargo, este esquema también suele generar
algunos roces con otras áreas de la empresa, particularmente con el área de
Sistemas.
Desarrollo de una Función Distribuida
Para algunas organizaciones hace más sentido distribuir la función de la seguridad
ya que esto permite tener un mejor desempeño operativo a costa de menor control
y desempeño en la seguridad informática. Algunos ejemplos de sectores de
13. 13
empresas donde esto suele suceder son: Manufactura, Servicios, Consultoría,
Telecomunicaciones y Comercial.
La seguridad informática es la disciplina que se Ocupa de (material informático o
programas) de una organización sean utilizados de la manera que se decidió y
que el acceso a la información allí contenida, así como su modificación, sólo sea
posible a las personas que se encuentren acreditadas y dentro de los límites de
su autorización.