3. Control en seguridad de la información
Tiene como objetivo ayudar
a gestionar la seguridad de
la información en una
empresa, así como asegurar
la confidencialidad y la
integridad de sus datos.
SECURITY
COMPANY
Son mecanismos que permiten
salvaguardar los activos de
información de una empresa y
minimizar riesgos.
4. Tipos de controles en la seguridad de información
Controles
tecnológicos
Controles físicos
Controles
administrativos
5. Controles Fisicos
Es la implementación de medidas de seguridad
en una estructura definida usada para prevenir
o detener el acceso no autorizado a material
confidencial.
Ejemplos:
•Cámaras de circuito cerrado.
•Sistemas de alarmas térmicos o de
movimiento.
•Identificación con fotos.
•Biométrica (incluye huellas digitales, voz,
rostro, iris, escritura a mano y otros métodos
automatizados utilizados para reconocer
individuos).
6. Controles tecnológicos
Utilizan la tecnología como una base
para controlar el acceso y uso de datos
confidenciales a través de una
estructura física y sobre la red.
Ejemplos:
• Encriptación.
• Tarjetas inteligentes.
• Autenticación a nivel de la red.
• Listas de control de acceso.
7. Controles administrativos
Definen los factores humanos de la seguridad.
Incluye todos los niveles del personal dentro de la
organización y determina cuáles usuarios tienen
acceso.
Ejemplos:
•Entrenamiento y conocimiento.
•Planes de recuperación y preparación para
desastres.
•Estrategias de selección de personal y
separación.
•Registro y contabilidad de personal.
8. DE SERVICIOS:
● 1. Confidencialidad: No desvelar datos a usuario no
autorizados. Esto comprende también la privacidad
(protección de datos personales).
● 2. Disponibilidad: Que la información se encuentre
accesible en todo momento a los usuarios autorizados.
● 3. Integridad: Que permite asegurar que los datos no se
han falseado.
● 4. No Repudio: Permite probar la participación de las
partes en una comunicación mediante un tercero.
● 5. Trazabilidad: Registro de las personas o vehículos
presentes en un espacio. Permite estar en control del flujo
de las personas, de sus hábitos o de la duración de su
estadía en los espacios en los que es permitido su acceso.
Componentes de controles en la seguridad de información
9. ● 6. Control de acceso: Forma de seguridad física que administra quién tiene
acceso a un área en un momento dado.
● 7. Legalidad: Se refiera al cumplimiento de las leyes, normas,
reglamentaciones o disposiciones a las que está sujeta la UNC.
De servicios:
10. 1.Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones.
2.Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo, sino que los detecta
luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
3.Controles Correctivos: Ayudan a la investigación y corrección de las causas del riesgo. La corrección
adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos
sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente
propensa a errores.
4.Controles Disuasivos: Este tipo de controles reducen la probabilidad de un ataque deliberado.
5.Controles para recuperación: Restablecen recursos y capacidades de activos de información.
6.Controles compensatorios: Proveen alternativas a otros controles.
DE FUNCIONALIDAD:
11. Importancia
Tienen como finalidad garantizar que todos los
activos, sistemas, instalaciones, datos y
archivos relacionados se encuentran
protegidos contra accesos no autorizados,
daños eventuales y uso indebido o ilegal que
se encentran operables, seguros y protegidos
en todo momento.
Los controles para la seguridad en los sistemas
de información son importantes porque:
1. Reducen riesgos
2. Reducen costes
3. Integran la seguridad en el negocio
4. Cumplen con las normativas de seguridad
5. Incrementan la competitividad.
12. La seguridad de la información
Es el conjunto de medidas preventivas y reactivas de las
organizaciones y sistemas tecnológicos que permiten resguardar y
proteger la información buscando mantener la confidencialidad, la
disponibilidad e integridad de datos.
Para el ser humano como individuo, la seguridad de la información tiene
un efecto significativo respecto a su privacidad, la que puede cobrar
distintas dimensiones dependiendo de la cultura e idiosincrasia de la
sociedad donde se desenvuelve.
En la seguridad de la información es importante señalar que su manejo
está basado en la tecnología y debemos de saber que puede ser
confidencial: la información está centralizada y puede tener un alto
valor. Puede ser divulgada, mal utilizada, ser robada, borrada o
saboteada. Esto afecta su disponibilidad y la pone en riesgo.
13. La información es poder, y según las posibilidades estratégicas
que ofrece tener acceso a cierta información.
Se clasifica
● Crítica: Es indispensable para la operación de
la empresa.
● Valiosa: Es un activo de la empresa y muy
valioso.
● Sensible: Debe de ser conocida por las
personas autorizadas.
14. ● Riesgo: Es la materialización de vulnerabilidades
identificadas, asociadas con su probabilidad de
ocurrencia, amenazas expuestas, así como el
impacto negativo que ocasione a las
operaciones de negocio.
● Seguridad: Es una forma de protección contra
los riesgos.
Existen dos palabras muy importantes
5%
55%
40%
15. Aspectos
La disponibilidad, comunicación, identificación de problemas, análisis
de riesgos, la integridad, confidencialidad, recuperación de los
riesgos.
Busca establecer y mantener programas, controles y políticas, que
tengan como finalidad conservar la confidencialidad, integridad y
disponibilidad de la información, si alguna de estas características
falla no estamos ante nada seguro.
Es preciso anotar, además, que la seguridad no es ningún hito, es más
bien un proceso continuo que hay que gestionar conociendo siempre
las vulnerabilidades y las amenazas que se ciñen sobre cualquier
información, teniendo siempre en cuenta las causas de riesgo y la
probabilidad de que ocurran, así como el impacto que puede tener.
16. Los principios básicos de la seguridad de la información
Es la propiedad que
impide la divulgación de
información a individuos,
entidades o procesos no
autorizados. A grandes
rasgos, asegura el acceso
a la información
únicamente a aquellas
personas que cuenten con
la debida autorización.
Confidencialidad Integridad Disponibilidad
Es la propiedad que busca
mantener los datos libres
de modificaciones no
autorizadas. (No es igual a
integridad referencial en
bases de datos.) A grandes
rasgos, la integridad es
mantener con exactitud la
información tal cual fue
generada, sin ser
manipulada ni alterada por
personas o procesos no
autorizados.
Es la característica,
cualidad o condición de la
información de encontrarse
a disposición de quienes
deben acceder a ella, ya
sean personas, procesos o
aplicaciones. A grandes
rasgos, la disponibilidad es
el acceso a la información y
a los sistemas por
personas autorizadas en el
momento que así lo
requieran.
17. Factores internos
●Trabajadores desinformados: Que cometan
errores o descuidos.
●Empleados descontentos: Que tengan fallas
mal intencionadas.
●Indiferencia de las políticas de seguridad.
●Uso no autorizado de Sistemas Informáticos
25+
Y/O
25-
Y/O
● Alteración de la Información
● Negligencia
● Sabotaje, vandalismo
● Espionaje
18. Factores externos
● Desastres naturales: Que causan interrupción
en los servicios.
● Hackers: Que acceden a los servidores y
roban información.
● Crackers: Se encargan de destruir los
sistemas.
● Lammers, Script-Kiddies
● Motivaciones: Ranking, reto personal, pruebas
(pen test), etc.
19. Seguridad física
Consiste en la aplicación de barreras físicas y procedimientos de control frente a amenazas
físicas al hardware.
Las principales amenazas que se prevén son:
● Desastres naturales, incendios accidentales y cualquier
variación producida por las condiciones ambientales.
● Amenazas ocasionadas por el hombre como robos o
sabotajes.
● Disturbios internos y externos deliberados.
Tener controlado el ambiente y acceso físico permite disminuir
siniestros y tener los medios para luchar contra accidentes.
20. Seguridad lógica
Consiste en la aplicación de barreras y procedimientos que protejan el acceso a los datos y a la
información contenida en él.
El activo más importante de un sistema informático es la información y, por tanto, la seguridad
lógica se plantea como uno de los objetivos más importantes.
La seguridad lógica trata de conseguir los siguientes objetivos:
● Restringir el acceso a los programas y archivos.
● Asegurar que los usuarios puedan trabajar sin supervisión y no puedan modificar los
programas ni los archivos que no correspondan.
● Disponer de pasos alternativos de emergencia para la transmisión de información.