PDF de programación - Seguridad en Sistemas de Información

PROGRAMA AVANZADO DE ESTUDIO:

SEGURIDAD EN SISTEMAS DE INFORMACIÓN

Versión Junio 2010 (corregido y actualizado)

“El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no
venga, sino que debemos estar siempre listos a recibirlo. No debemos depender de la posibilidad de
que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable.”
El Arte de la Guerra, Sun Tzu

Este libro es el resultado de la recopilación exhaustiva de información de diversas fuentes, todas ellas
incluidas en la bibliografía. Yo simplemente me he encargado de agrupar, ordenar, alimentar con mi
propia experiencia y presentar en diferentes capítulos el presente libro, que pongo a disposición
general. Cada capítulo tiene una sección de preguntas al final del mismo.
Este material, cubre todos los tópicos de la certificación CompTIA Security+, y gran parte de los
tópicos de CompTIA Network+. Algunos temas y preguntas oficiales de certificaciones como CEH,
CISSP, NSA, CISA, han sido incluidos también en la sección de preguntas de cada capítulo. Para más
detalle remítase al índice y a la bibliografía.

“Nando” A. B. C.
Analista de Sistemas y Seguridad Informática
Venezuela. 2010

CAPÍTULO 1

1.1 SEGURIDAD DE LA INFORMACIÓN

1.1.2 ¿Qué es la seguridad de la información?

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados
con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la
Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen
algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías
utilizadas, y las zonas de concentración.
La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la
información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos,
audio u otras formas.
Además, la seguridad de la información involucra la implementación de estrategias que cubran los
procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto
primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para
detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es
decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y
administran.
Cabe mencionar que la seguridad es un proceso continuo de mejora por lo que las políticas y
controles establecidos para la protección de la información deberán revisarse y adecuarse, de ser
necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan reducirlos y
en el mejor de los casos eliminarlos.
Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas
acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos,
investigación y su situación financiera. La mayor parte de esta información es recolectada, tratada,
almacenada y puesta a la disposición de sus usuarios, en computadoras y trasmitida a través de las
redes entre los ordenadores.
En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado
financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma
no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios,
demandas legales o incluso la quiebra de la misma.
Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos
también un imperativo ético y una obligación legal.
Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su
privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.
El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los
últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas
áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la
continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de
Seguridad por nombrar algunos.

Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad,
integridad y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity,
Availability") son los principios básicos de la seguridad de la información.
La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas,

controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y
disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro.
Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que
hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre
cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que
ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes,
deberán tomarse las medidas de seguridad oportunas.

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas
no autorizados.
Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos
libres de modificaciones no autorizadas.
La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a
disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

La información es uno de los recursos principales de las organizaciones. ¿Piense qué pasaría si roban
la fórmula de alguna de las gaseosas internacionales? ¿cuánto representa esta información para la
empresa? Es decir, cuidar la información es cuidar la propia existencia de la compañía. En el presente
desarrollo, cada vez que se mencione Información se estará haciendo referencia a
la Información que es procesada por un Sistema Informático; definiendo este último como el “conjunto
formado por las personas, computadoras (hardware y software), papeles, medios de almacenamiento
digital, el entorno donde actúan y sus interacciones.”
La seguridad es un concepto abstracto difícil de definir, podríamos pensarla como una sensación de
protección, que depende de varios factores (el contexto, nuestras fortalezas, nuestras debilidades, las
amenazas). Si unimos las dos definiciones, podríamos intentar una definición de seguridad de la
información, diciendo que es la sensación que perciben las personas sobre el nivel de protección de la
información.
La seguridad de la información se encarga de protegerla de una amplia gama de amenazas, a fin de
garantizar la continuidad comercial del negocio, minimizar los daños y maximizar el retorno sobre las
inversiones y las oportunidades, normalmente se logra implementando un conjunto adecuado de
controles que abarcan políticas y procedimientos, involucrando recursos humanos, hardware y
software. Es decir, el término seguridad de la información cubre un amplio espectro de actividades, y
parte de nuestro trabajo como profesionales de la seguridad, será hacer recomendaciones y tomar
acciones para minimizar los riesgos y exposición de la información y demás activos. Estas
actividades, muchas veces no son sencillas, pero deberemos realizarlas correctamente para tener una
chance de mantener la seguridad de la información de la empresa dentro de niveles razonables.

“La información es la sangre de todas las organizaciones y puede existir en muchas formas. Puede
ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo electrónico,
mostrada en películas o hablada en una conversación. En el ambiente de negocio competitivo de hoy,
tal información está constantemente bajo amenaza de muchas fuentes. Éstas pueden ser internas,
externas, accidentales o maliciosas. Con el uso creciente de la nueva tecnología, al almacenar,
transmitir y recuperar la información, hemos abierto un gran número y tipo creciente de amenazas ”.
“Hay una necesidad de establecer una política comprensiva de seguridad de la información dentro de
todas las organizaciones. Usted necesita asegurar la confidencialidad, integridad y disponibilidad de la
información corporativa vital y de la información del cliente. El estándar para Information Security
Management System (ISMS) BS 7799, ya ha sido rápidamente establecido por los vendedores de
software más grandes del mundo”.

1.1.3 Conceptos

Seguridad Informática

La Seguridad Informática suele ser la forma más habitual con la que nos referimos a todo aquello que
tiene que ver con la seguridad de los ordenadores y los sistemas. Es un concepto muy conocido pero
que está obsoleto. Hace hincapié en la seguridad de los sistemas, teniendo en cuenta las amenazas
de carácter fundamentalmente tecnológico.
La Seguridad Informática es un concepto de Seguridad que nació en la época en la que no existían las
redes de banda ancha, los teléfonos móviles o los servicios de internet como las redes sociales o las
tiendas virtuales. Es por ello que la Seguridad Informática suele hacer un especial énfasis en proteger
los sistemas, es decir,