Palabras claves (key words)

julio 29, 2010 at 11:02 pm (Uncategorized)

Palabras Claves (Key Words)

*Seguridad de la Información

Su manejo es basado en la tecnología y puede se confidencial, la información esta centralizada y tiene una alto valor.

la información es poder y a la información se le conoce como:

  • Critica: Es indispensable para la operación de la empresa.
  • Valiosa: Es un activo de la empresa y muy valioso.
  • Sensitiva: Debe ser conocidos por las personas autorizadas.
  • Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso.
  • Seguridad: Es una forma de protección contra los riesgos. la seguridad de la información involucra la implementación de estrategias que cubran los procesos donde la información es el activo primordial.

Por mas de 20 años la seguridad de la información ha declarado que la confidencialidad, integridad y disponibilidad son los principios básicos de la seguridad de la información.

* Confidencialidad: Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

* Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas, la violación de integridad se presenta cuando un empleado, programa o proceso.

*Disponibilidad: Característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

* Seguridad Informática

Consiste en asegurar que los recursos del sistema de información (material informático o personal) de una organización sean utilizados de la manera que se decidió ya que el acceso a la información allí contenida, así como su modificación solo sea posibles a las personas que se encuentren acreditadas y dentro de los limites de su autorización.

*Activos

SON 3:

  • Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardar de la información, independientemente del lugar en donde se encuentren registrada, en algún medio electrónico o físico. para esto es vital contar con un sistema de respaldo remoto y automático, que permita además una recuperación rápida de los datos ante un desastre.
  • Equipos que lo Soportan: Software, hardware y organización.
  • Usarlos: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejen la información.

Los Medios Para Conseguirlos Son:

  1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
  2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
  3. Asegurar que se utilicen los datos, archivos y programas correctos y por el procedimiento elegido.
  4. Asegurar que la información trasmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
  5. Asegurar que existan  pasos de emergencia alternativos de transmisión entre deferentes puntos.
  6. Organizar a cada uno de los empleados por jerarquía informática, en todos y cada uno de los sistemas o aplicaciones empleadas.
  7. Actualizar constantemente las contraseñas de accesos a los sistemas de computo.

*Seguridad y Privacidad de la Información

Los mecanismos adecuados para que la información de una organización o empresa sea segura, depende de la protección que el usuario aplique para el uso normal del equipo. esto se consigue con las garantías de la confidencialidad que garantiza que la información sea accesible, protegiendo la integridad y totalidad de la información y sus métodos de proceso también asegura la disponibilidad que garantiza a los usuarios autorizados acceso a la información y los recursos.

*AMENAZAS

Virus, gusano, troyanos, backdoors: Son programas habitualmente dentro de otro programa, e-mail, fichero, etc. se ejecutan automáticamente haciendo copias de si mismos dentro de otros programas a los que infectan. Dependiendo del modo en que atacan y se propagan reciben un nombre y una solución para estos programas es el ANTIVIRUS.

PREVENCIÓN: Aumentar la seguridad de un sistema durante su funcionamiento normal, previniendo que se produzcan violaciones a la seguridad: contraseñas, permisos de acceso: Establecen a que recursos puede acceder un usuario, que permisos tienen los usuarios sobre los recursos, seguridad en las comunicaciones: Sobre los mecanismos basados en la criptografía: Cifrado de contraseñas y firmas digitales. Detención: Detectar y evitar acciones contra la seguridad antivirus, firewalls, anti-spyware. Recuperación: se aplica cuando ya se ha producido alguna alteración del sistema . copias de seguridad.

*HACKER

  • Gente apasionada por la seguridad informática. esto se concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como la internet. pero también incluye a aquellos que depuran y arreglan errores en los sistemas y a los de moral ambigua como son los “Grey Hats”.
  • una comunidad de entusiastas programadores y diseñadores de sistemas originadas en los sesenta del Instituto Tecnológico de Massachusetts (MITT), el Tech Model Railroad club (TMRC) y el laboratorio de inteligencia artificial del MIT, Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. la world wide web e internet en si mismas son creaciones de hackers. el RFC 1392 amplia este significado como “persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadores y redes informáticas.”.

*Análisis Forense Informático

Es la que estudia los casos en los cuales es necesario analizar las causas que generan un delito informático o incidente de seguridad, con el objetivo de averiguar como fue realizado el crimen, datos del suceso, reconstrucción cronológica de tiempo, identificación de técnicas del ataque, los recursos comprometidos, las personas implicadas, los daños ocasionados y finalmente identificar los actores protagónicos del incidente.

*Análisis de Riesgos

(Evaluación de riesgos o PHA(Hazards Analysis)). Es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que estas puedan producir. Este análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para evaluar riesgos (generalmente cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa). El primer paso del análisis es identificar los activos a proteger o evaluar. la evaluación de riesgos involucra comparar el nivel de riesgos detectado durante el proceso de análisis con criterios de riesgos establecidos previamente. la función de la evaluación consiste en ayudar a alcanzar un nivel razonable del consenso en torno a los objetivos en cuestión y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.

*Ciclo PHVA

Es una herramienta de la mejora continua, presentada por Deming a partir del año 1950, la cual se basa en un ciclo de cuatro pasos: Planificar(Plan), Hacer(Do), Verificar(Check) y Actuar(Act). Es común usar esta metodología en la implementación de un sistema de gestión de la calidad, de tal manera que al implicarla en la política y objetivos de calidad así como la red de procesos la posibilidad de éxito sea mayor. Los resultados de probabilidad de este ciclo permite a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costos, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa.

*MAGERIT

INTRODUCCIÓN: Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la administración y en general, a toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser MAGERIT esta directamente relacionada con la generalización del uso de la tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesan a todos aquellos que trabajan con información digital y sistema informáticos para tratarla a ella, son valiosos, MAGERIT les permitirá saber cuanto valor esta en juego y les ayudara a protegerlo, conocer el riesgo al que están sometidos los elementos de trabajo es simplemente impredecible para poder gestionarlos con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

El análisis y gestión de lo riesgos es un aspecto clave del Real Decreto 3/2010 de 8 de enero, por el que se regula el esquema nacional de seguridad en el ámbito de la administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del esquema nacional de seguridad.

*LA METODOLOGÍA OSSTMM

El manual de la metodología abierta de comprobación de la seguridad (OSTTMM, Open Source Security testing Methodology Manual), Es uno de los estándares profesionales mas completos y comúnmente utilizados en auditorías de seguridad para revisar la seguridad de los sistemas desde internet. Incluyen un marco de trabajo que describe las fases que habría que realizar para la ejecución de la auditoría.

*CEH (Certified Ethical Hacker)

Es una certificación profesional de consultas de comercio electrónico. un hacker ético el nombre adoptado para la realización de pruebas de penetración o intrusion a redes informáticas. un hacker ético usualmente es un empleado o persona perteneciente a una organización el cual intenta introducirse a una red informático, utilizando métodos y técnicas hacker, pero su propósito principal es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión. La certificación de hacker ético CEH actualmente se encuentra en su versión 6.

*NISI(National Institute of Standars and technology ,Instituto Nacional de Estándares y Tecnología)Es una agencia de la administración de tecnología del departamento de comercio de los estados unidos. la misión de este instituto es promover la innovación y la competencia industrial en estados unidos mediantes avances de la metodología, normas y tecnología de forma que mejoren la estabilidad económica y de calidad de vida.

*OWASP(Open Web Application Security Project, Proyecto de Seguridad de Aplicaciones Web Abiertos) Es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro, la fundación OWASP es un organismo sin animo de lucro que apoya y gestiona los proyectos y infraestructura de OWASP. La comunidad OWASP esta formada por empresas, organizaciones educativas y particulares en todo el mundo. juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.

*ISO 27000

la información es un activo vital para éxito y la continuidad en el mercado cualquier organización. El aseguramiento de dicha información y los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que tarea de una forma metódica. documentada y basada en sus objetivos claros de seguridad y una evaluación de los riesgos a los que están sometida la información de la organización.

ISO/TEC 27000 Es un conjunto de estándares desarrollados en fase de desarrollo por ISO(International Organization standarization), e IEC(International Electrotechnical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización publica o privada grande o pequeña.

*Delito Informático

Crimen genérico o crimen electrónico, que agobia con operaciones ilícitas realizadas por medio de internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de internet. sin embargo, las categorías que definen un delito informático son aun mayores y complejas y pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y la malversación de caudales públicos en los cuales ordenadores y reales han sido utilizados. con el desarrollo de la programación y de internet, los delitos informáticos se han vuelto mas frecuentes y sofisticados existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligada a un sin numero de herramientas delictivas que buscan infringir y dañar todo lo que encuentre en el ámbito informático: ingreso ilegal al sistema, interceptado ilegal de redes, interferencias, daños de la información, (borrado, dañado, alteración o suspensión de datacredito), mal uso de artefactos,chantajes, fraude electrónico, ataques realizados por hackers, ataque a sistemas, robo a bancos, violación de los derechos de autor, pornografía infantil, pedofilia en internet, violación de información confidencial y muchos otros.

*Crímenes Específicos

Spam, fraude, contenido obsceno u ofensivo, hostigamiento/acoso, trafico de drogas, terrorismo virtual, sujetos, activos y pasivos.


Anuncios

Permalink Dejar un comentario