1. Riesgos Informáticos
1.1. Problemas con el control de acceso a las aplicaciones teconológicas: en muchos caso se ha de controlar mejor el acceso a las aplicaciones tecnológicas de los trabajadores por parte de la empresa.
1.2. Vulnerabilidades web.
1.3. Problemas de formación: se detectan en muchas empresas problemas con la formación con respecto a la protección de riesgos tecnológicos.
1.4. Falta de procesos de gestión de incidentes de seguridad: en muchos casos no existen procesos para la gestión de incidentes de seguridad estandarizados y son necesarios en caso de que pudieran surgir para poder resolverlos con rapidez y precisión.
1.5. Software Inseguro, en muchos casos se desarrolla software que no es todo lo seguro que termina por provocar problemas de seguridad en el futuro.
2. Componentes de la Gestión de riesgo en los sistemas informáticos
2.1. Definición
2.1.1. La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.
2.2. Fases
2.2.1. Análisis
2.2.1.1. Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
2.2.2. Clasificación
2.2.2.1. Determina si los riesgos encontrados y los riesgos restantes son aceptables.
2.2.3. Reducción
2.2.3.1. Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.
2.2.4. Control
2.2.4.1. Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
3. Consecuencias de la falta de seguridad en las empresas
3.1. Información dispersa
3.1.1. Con el creciente uso de PC, la información tiende a almacenarse en los discos duros locales de cada estación de trabajo creando a veces problemas de redundancia e inconsistencia: estos consisten en que una misma información que debiera tener el mismo valor, está almacenada en dos o más lugares con diferentes valores. Esta dispersión, aunque impide un control centralizado de la información como en los sistemas antiguos ha mostrado también beneficios respecto a la seguridad. En los sistemas modernos se trabaja deliberadamente con dispersión y redundancia, por ejemplo en los sistemas RAID. En suma, la dispersión es una amenaza solo cuando está asociada a otros problemas como la inconsistencia o fallas de seguridad en las estaciones de trabajo.
3.2. Robo de Información
3.3. Robos y copias no autorizadas, adulteración, revelación de secretos, sabotaje, vandalismo, etc. Estas amenazas se combaten con dos clases de política restricción de acceso y asignación estricta de responsabilidades
3.4. Virus
3.4.1. Pérdidas de información por efecto de virus o monitoreo remoto con troyanos.
3.5. Fallas de Hardware
3.5.1. Fallas técnicas del disco, cortes de suministro eléctrico, transientes de energía, operación inadecuada, recalentamiento, desastres naturales, incendios, inundaciones, etc. Para estas amenazas se usan las políticas usuales de seguridad industrial
4. Características
4.1. Privacidad
4.1.1. La información debe ser vista y manipulada solo por quien o quienes tengan el derecho de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgación de Información Confidencial o personal.
4.2. Integridad
4.2.1. La información deber ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataques a la integridad es la modificación NO autorizada de los saldos en un sistema bancario, es decir, la modificación de números en un banco que provoca un caos en el ente financiero.
4.3. Disponibilidad
4.3.1. La información debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negación de servicio ,(Denial of Service o DoS), que es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Seguridad informática.
5. Conceptos Fundamentales
5.1. ¿Qué es?
5.1.1. Seguridad Informática es el conjunto de procedimientos, estrategias y herramientas que permitan garantizar la integridad, la disponibilidad y la confidencialidad de la información de una entidad.
5.2. Objetivos
5.2.1. INTEGRIDAD
5.2.1.1. Prevenir e identificar cualquier cambio a la información por un usuario no autorizado y los usuarios que lo lleguen a realizar deben de ser rastreados.
5.2.2. CONFIDENCIALIDAD
5.2.2.1. La información solo debe de ser vista o utilizada por las personas autorizadas para tener acceso a ella.
5.2.3. DISPONIBILIDAD
5.2.3.1. La información debe estar disponible cuando los usuarios autorizados la necesiten.
5.2.4. EVITAR EL RECHAZO
5.2.4.1. Evitar el rechazo constituye la garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada.
5.2.5. AUTENTICACION
5.2.5.1. La autenticación consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a las personas autorizadas.
5.3. Funciones Básicas del Marco de Ciberseguridad (NIST)
5.3.1. IDENTIFICAR
5.3.1.1. Desarrollar el conocimiento de la organización para gestionar riesgos de seguridad en sistemas, activos, datos y capacidades.
5.3.2. PROTEGER
5.3.2.1. Desarrollar e implementar las salvaguardas adecuadas para garantizar la prestación de servicios.
5.3.3. DETECTAR
5.3.3.1. Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de seguridad.
5.3.4. RESPONDER
5.3.4.1. Desarrollar e implementar las actividades apropiadas para actuar ante un evento de seguridad detectado.
5.3.5. RECUPERAR
5.3.5.1. Desarrollar e implementar las actividades apropiadas para mantener planes de resiliencia y restaurar las capacidades o servicios que fueron perjudicados debido a un evento de seguridad.
6. Documento de Politicas de Seguridad Informótica
6.1. Características
6.1.1. Ser entendible
6.1.2. Ser fácil de asimilar.
6.1.3. Que pueda ser cumplido por cualquier usuario de la organización.
6.1.4. Ser factible para el área de tecnología
6.1.5. Estar disponible para cualquier miembro de la organización
6.1.6. Ser leído por los proveedores externos para que ayuden en su cumplimiento.
6.1.7. Tener por completo el apoyo de la alta dirección de la organización.