SI (Seguridad de la información)
Es un conjunto de medidas y estrategias preventivas de las organizaciones que permiten proteger la información buscando siempre mantener la confidencialidad, la disponibilidad e integridad de la misma.
La SI (Seguridad de la información) no debe confundirse con la “seguridad informática”, ya que esta última, solo se encarga de la seguridad en el medio informático.
Conceptos básicos
Confidencialidad: es el acceso a la información únicamente por las personas autorizadas.
Integridad: es mantener los datos libres de modificaciones no autorizadas.
Disponibilidad: es la condición de la información de encontrarse a disposición de quienes deben acceder a ella.
Autentificación: permite identificar el generador de la información.
Hacker: es aquella persona con amplios conocimientos en tecnología, que se inclina por acceder a cualquier tipo de "información segura".
Tipos de ataques
Principalmente, los ataques se pueden definir como todas aquellas acciones que violan la seguridad, la confidencialidad, la integridad o la disponibilidad de un sistema. Estas acciones pueden ser:
Algunos ataques son:
Interrupción: cuando un recurso se vuelve no disponible.
Intercepción: es cuando se obtiene acceso no autorizado.
Ataque de denegación de servicio o DoS (Denial of Service): causa que un servicio o recurso sea inaccesible a los usuarios.
Man in the middle o MitM: es la supervisión de las comunicaciones entre dos partes, con el fin de falsificar los intercambios y hacerse pasar por una de ellas.
Ataques de autentificación: es suplantar a una persona sin ninguna autorización.
Normatividad - ISO/IEC 27000
Son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC).
La serie contiene las prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
ISO/IEC 27001 - certificación que deben obtener las organizaciones. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos.
ISO/IEC 27002 - código de buenas prácticas para la gestión de seguridad de la información. ISO/IEC 27003 - directrices para la implementación de un SGSI.
ISO/IEC 27004 - métricas para la gestión de seguridad de la información.
ISO/IEC 27005 - trata la gestión de riesgos en seguridad de la información.
ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información.
ISO/IEC 27007 - Es una guía para auditar al SGSI.
ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.
ISO/IEC 27035:2011 - Seguridad de la información – Técnicas de Seguridad – Gestión de Incidentes de Seguridad.
No hay comentarios:
Publicar un comentario