01 Seguridad TI?
La seguridad informática, también conocida como ciberseguridad,1 es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo vinculado con la misma, y especialmente la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas, y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información.
En los últimos años, la seguridad informática se ha convertido en un tema de interés público. Tanto expertos en la materia como usuarios generales utilizan términos como “clave de usuario”, “contraseña (o password)”, “fraude informático”, “hacker”, etcétera. Hoy por hoy no solo es deseable, sino indispensable, tener conocimientos firmes relacionados con este tema, pues sin ellos el usuario de computadoras podría caer en un estado de ndefensión que ponga en peligro no solo su información o equipo, sino su propia integridad.
La confidencialidad, que asegura que sólo las personas autorizadas tengan acceso a la información.
La integridad, que salvaguarda la exactitud e integridad de la información y de los métodos de procesamiento.
La disponibilidad, que asegura el acceso de los usuarios autorizados a la información y a los activos relacionados cuando es necesario.
Existen autores que colocan un cuarto pilar llamado autenticación
Existen autores que manejas 4 conceptos más que son: Eficacia ( satisface las necesidades del consumidor ), Eficiencia ( sí la información que satisface las necesidades ), Fiabilidad ( que se considera que es verdadera y creíble ) y Conformidad ( información debe ajustarse a unas especificaciones ).
02 Reglas
Hablemos de estándares, protocolos, métodos, reglas, herramientas, y leyes
Existen en el mercado diversos estándares que tratan de cubrir las áreas de protección de datos y la infraestructura de las empresas y negocios.
Entre ellas podemos encontrar las normas ISO, BC, entre otras.
Y existen marcos de trabajo, herramientas, procedimientos y mejores practicas para la implementación de estas normas
03 Algunas normas y marcos de trabajo
Los marcos de trabajo son herramientas que sirven como referencia para llevar a cabo un buen gobierno corporativo, mediante el cual se planteen y ejecuten las estrategias pertinentes en torno a la gestión ideal de las tecnologías de la información (IT)
La norma de seguridad de la información es la ISO 27001
Se trata de la norma dedicada a Sistemas de Gestión de la Seguridad de la Información. Esta norma recoge todos los requisitos necesarios con los que una organización debe contar para poder garantizar que su gestión de datos e información es segura, asegurando su confidencialidad, integridad y disponibilidad.
El Marco fue concebido bajo las premisas de identificar
las normas y directrices de seguridad aplicables
en todos los sectores de infraestructura crítica,
proporcionando un enfoque flexible y repetible, que
permite la priorización de actividades y apunta a
obtener un buen rendimiento de las infraestructuras,
manteniéndose rentable para el negocio.
Un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa.
COBIT, un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada)
Biblioteca de Infraestructura de Tecnologías de la Información (por sus siglas en inglés, Information Technology Infrastructure Library)
Es una metodología que involucra una serie de buenas prácticas en la gestión de TI. Abarca la infraestructura del área, el mantenimiento y la operación de los servicios de TI. Su aplicabilidad incluye tanto a los sectores operativos como a los estratégicos. El ITIL sirve para construir un entorno de TI estable y escalable, promoviendo una mejor prestación de servicios y atención al cliente.
Axelos es la propietaria de ITIL
-
5
Otros estándares
- UNE – La Asociación Española de Normalización es el único organismo de normalización en España, designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea
- ISA – International Society of Automation.
- IEC – International Electrotechnical Commision.
- SO – International Organization for Standardization.
- NIST – National Institute of Standards and Technology.
- UAE National Electronic Secutiry Authority.
- API – American Petroleum Institute.
- AWWA – American Water Works Association.
- NERC – North american Electri Reliability Counci
04 Seguridad en hardware
El objetivo es proteccion del hardware en categorias como
- Servidores
- Equipos de comunicación
- Equipos de escritorio
- Equipos portátiles
El tema de endurecimiento es tocado en la siguiente sección “Endurecimiento”
05 Políticas de seguridad
Este tema, por su importancia, debe tener un apartado especial ya que de esto depende toda la estructura de seguridad informática de un negocio o empresa
Por esto hemos colocado todo un apartado aqui
06 Gestión de riesgos, evaluación de riesgos o análisis de riesgos
Riesgo
El riesgo es la posibilidad de que el resultado difiera de lo esperado . Generalmente, cuando hablamos de riesgo empresarial, nos referimos a posibles impactos y consecuencias negativos de un evento o decisión.
En los negocios, siempre habrá un cierto grado de riesgo que cualquier organización deberá afrontar para alcanzar sus objetivos. En esencia, el riesgo es un requisito fundamental para el crecimiento, el desarrollo, las ganancias y la prosperidad. En una amplia gama de todas las industrias comerciales, incluida la atención médica, las finanzas, la contabilidad, la tecnología y la cadena de suministro , los riesgos gestionados eficazmente brindan caminos hacia el éxito. Pero como cualquier camino, es necesario conocer todos los recovecos, desvíos y peligros que se encuentran en el camino.
Aunque los riesgos son parte de hacer negocios, debemos encontrar formas de identificarlos y gestionarlos de manera rápida y efectiva, ya que a menudo pueden surgir de la nada, creando la posibilidad de mayores riesgos y daños. Es crucial encontrar formas de gestionar los riesgos con el objetivo de minimizar sus amenazas y maximizar su potencial.
Los riesgos provienen de una variedad de fuentes, que incluyen las siguientes:
- Incertidumbres en los mercados financieros y la economía.
- Amenazas asociadas con fallas del proyecto en cualquier fase, que incluye diseño, desarrollo, producción o mantenimiento de los ciclos de vida.
- Responsabilidades legales.
- Riesgo crediticio.
- Amenaza de desastres naturales o provocados por el hombre.
- Riesgo de seguridad y ciberseguridad.
- Impacto de eventos inciertos o impredecibles, como una pandemia.
- Riesgo competitivo.
- Las consecuencias de la reputación dañada de una empresa.
- Riesgo de cumplimiento.
- Riesgo de terceros que conlleva depender de proveedores y vendedores externos.
Para ayudarle a comprender mejor los diversos riesgos, existe un conjunto de estándares internacionales para la seguridad de la información que pueden resultar útiles. Juntas, la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) crean y publican las normas ISO 270000 de forma cooperativa para una mejor orientación.
Evaluación, Gestión y Análisis del Riesgo
Puede resultar confuso tratar de examinar los diferentes términos relacionados con el riesgo, incluida la evaluación del riesgo, la gestión del riesgo y el análisis del riesgo . La principal diferencia es la amplitud .
La gestión de riesgos es el proceso a nivel macro de evaluar, analizar, priorizar y elaborar una estrategia para mitigar las amenazas y gestionar el riesgo para los activos y ganancias de una organización .
La evaluación de riesgos es un proceso de nivel meso dentro de la gestión de riesgos . Su objetivo es desglosar
las amenazas en categorías identificables y definir todo el impacto potencial de cada riesgo .
El análisis de riesgos es el proceso a nivel micro de medir los riesgos y su impacto asociado.
Echemos un vistazo más de cerca a lo que diferencia estos términos.
“El propósito de la gestión de riesgos no es cambiar el futuro ni explicar el pasado”. – Dr. Dan Borge
Evaluación de riesgos
La evaluación de riesgos le ayuda a identificar y categorizar los riesgos . Además, proporciona un resumen de las posibles consecuencias.
Definición de evaluación de riesgos: un análisis que involucra procesos y tecnologías que ayudan a identificar , evaluar e informar sobre cualquier inquietud relacionada con el riesgo. Según NI ST 800-30 , la evaluación de riesgos es un “componente clave” del proceso de gestión de riesgos y se centra principalmente en las fases de identificación y análisis de la gestión de riesgos .
Si tomamos el ejemplo de una evaluación de riesgos de seguridad, implica los siguientes pasos:
- Identificar los activos críticos y los datos sensibles. Construir un perfil de riesgo para cada activo.
- Determinar los riesgos de ciberseguridad para cada activo.
- Mapear cómo se vinculan los activos críticos,
- Priorizar qué activos abordar en caso de una amenaza a la seguridad,
- Crear un plan de mitigación con controles de seguridad para eliminar o mitigar el impacto de cada riesgo.
- Monitorear continuamente los riesgos, amenazas y vulnerabilidades.
Gestión de riesgos
La gestión de riesgos de ciberseguridad es el paraguas general cuando se trata de riesgos.
Incluye tanto la evaluación de riesgos como el análisis de riesgos.
La gestión implica la identificación, análisis, evaluación y priorización de riesgos actuales y potenciales . Esto le permite abordar las exposiciones a pérdidas, monitorear el control de riesgos y los recursos financieros para minimizar los posibles efectos adversos de una pérdida potencial. Además, las sólidas estrategias de gestión de riesgos dentro de su modelo de negocio le brindan la capacidad de maximizar la realización de las oportunidades disponibles para evitar riesgos.
Análisis de riesgo
El análisis de riesgos es el componente de evaluación crucial dentro de los procesos más amplios de gestión y evaluación de riesgos . Un análisis factorial preliminar del riesgo de la información determina la importancia de los factores de riesgo identificados en el proceso de evaluación de riesgos y proporciona . Además, califica el riesgo, midiendo la probabilidad de que ocurran peligros y las tolerancias para ciertos eventos. Un ejemplo es cuando un auditor calcula la probabilidad y magnitud de una pérdida potencial .
La puntuación de los riesgos identificados tiene en cuenta la probabilidad de que ocurran y el alcance estimado del posible impacto. En conjunto, esto permite priorizar los riesgos y establecer una estrategia para mitigarlos.
Tomado de: https://www.ispartnersllc.com/blog/risk-management-risk-assessment-or-risk-analysis/
07 Cifrado de datos
El cifrado de datos es una forma de traducir datos de texto sin formato (sin cifrar) a ciphertext (cifrado). Los usuarios pueden acceder a los datos cifrados con una clave de cifrado y a los datos descifrados con una clave de descifrado.
Hay cantidades masivas de información confidencial administrada y almacenada en línea en la nube o en servidores conectados. El cifrado utiliza la ciberseguridad para defenderse de la fuerza bruta y los ciberataques, incluidos el malware y el ransomware. El cifrado de datos funciona asegurando los datos digitales transmitidos en la nube y los sistemas informáticos. Hay dos tipos de datos digitales, datos transmitidos o datos en vuelo y datos digitales almacenados o datos en reposo.
Los algoritmos de cifrado modernos han reemplazado el estándar de cifrado de datos obsoleto para proteger los datos. Estos algoritmos protegen la información y fomentan las iniciativas de seguridad, incluida la integridad, la autenticación y el no repudio. Los algoritmos primero autentican un mensaje para verificar el origen. A continuación. comprueban la integridad para verificar que los contenidos no hayan cambiado. Finalmente, la iniciativa de no repudio evita que los envíos nieguen la actividad legítima.