Riesgos, medidas y ciclo de seguridad Introducción

Noticias del

mundo

Expertos en seguridad informática reunidos en Kuala Lumpur , Malasia explicaron que problemas en cierto software podrían permitir tomar el control del teléfono en forma remota, leer la agenda de direcciones o escuchar secretamente una conversación. Advirtieron que la última generación de teléfonos móviles es vulnerable a los hackers, según informó el sitio de noticias de la BBC. Los asistentes a la conferencia "Hack in the Box", realizada en la capital de Malasia, fueron testigos de una demostración sobre los defectos de seguridad encontrados en Java 2 Micro Edition o J2ME, software desarrollado conjuntamente por Sun Microsystems, Nokia, Sony Ericsson y Motorola. La vulnerabilidad del software, que viene incluido en teléfonos "inteligentes" fabricados por estas compañías, está relacionada con la manera en que Java trata de evitar que el sistema operativo acepte órdenes desde el exterior, señaló un portavoz. "La nueva generación de teléfonos en realidad viene con un software mucho más poderoso dentro del sistema operativo", manifestó Dylan Andrew, el organizador del encuentro. "Hemos encontrado nuevos ataques que afectan a éstas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el control del teléfono celular en forma remota, quizás leer la agenda de direcciones o escuchar secretamente un conversación", agregó. Sin embargo, el director de seguridad inalámbrica de la compañía McAfee, aclaró que el riesgo, si bien existe, aún es mínimo.

Fuente: http://www.laflecha.net/canales/seguridad/200410061/ Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos de posibles riesgos en diferentes dispositivos o sistemas de manejo de información. Para poder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer las medidas de seguridad necesarias para minimizarlos.

4.2 Objetivos

Objetivo

Conocer el concepto de riesgo y su implicación en la seguridad de la información de la empresa.

Distinguir la diferencia entre aplicar o no medidas de seguridad en los diferentes aspectos de nuestra empresa.

Comprender lo que se conoce como ciclo de seguridad, que nos permitirá mantener vigente nuestras acciones en esta materia.

4.3 Riesgos

Concepto clave

El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Riesgos

C oncluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.

4.4 Medidas de seguridad

Concepto clave

Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.

Medidas de seguridad

Ya que existe una variedad de clases de puntos débiles que afectan la disponibilidad, confidencialidad e integridad de la información, deberán existir medidas de seguridad específicas para el tratamiento de cada caso.

Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;

Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la información o

Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

Medidas globales de seguridad

Las medidas de seguridad son un conjunto de prácticas que, al ser integradas, constituyen una solución global y eficaz de la seguridad de la información. Entre las principales medidas se destacan:

Análisis de riesgos Política de seguridad Especificación de

seguridad Administración de

seguridad

La seguridad de la información debe ser garantizada en una forma integral y completa de ahí que resulte de mucha utilidad conocer con un poco más de detalle estas cuatro medidas de seguridad que permiten movernos desde el análisis de riesgos hasta la administración de la seguridad: a)Análisis de riesgos

Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

b) Política de seguridad

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.

c) Especificación de seguridad

Son medidas que tienen en mira instruir la correcta implementación de un nuevo ambiente tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los mismos deben estar dispuestos para atender a los principios de la seguridad de la información.

d) Administración de la seguridad

Son medidas integradas para producir la gestión de los riesgos de un ambiente. La administración de la seguridad involucra a todas las medidas mencionadas anteriormente, en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad que presentamos a continuación

4.5 Ciclo de seguridad

Ahora que usted ya conoce todos los conceptos necesarios para comprender lo que es la seguridad, presentamos a continuación el ciclo de la seguridad de la información, con todos sus conceptos básicos.

Ciclo de seguridad de la información

El ciclo de seguridad se inicia con la identificación de las amenazas a las cuales están sometidas las empresas. La identificación de las amenazas permitirá la visualización de los puntos débiles que se podrán explotar, exponiendo los activos a riesgos de seguridad.

Esta exposición lleva a la pérdida de uno o más principios básicos de la seguridad de la información, causando impactos en el negocio de la empresa, aumentando aún más los riesgos a que están expuestas las informaciones.

Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de seguridad para impedir la ocurrencia de puntos débiles.

Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:

Como podemos ver en el diagrama anterior. Los riesgos en la seguridad de la empresa aumentan en la medida que las amenazas pueden explotar las vulnerabilidades, y por tanto causar daño en los activos. Estos daños pueden causar que la confidencialidad,

integridad o disponibilidad de la información se pierda, causando impactos en el negocio de la empresa.

Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de mucho menor impacto para los activos, y por tanto, para la empresa.

Por lo tanto, la seguridad es � � una actividad cuyo propósito es:

proteger a los activos contra accesos no autorizados ,

evitar alteraciones indebidas que pongan en peligro su integridad

garantizar la disponibilidad de la información

Y es instrumentada por medio de políticas y procedimientos de seguridad que permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la preservación de la confidencialidad, integridad y disponibilidad de la información.

4.6 Lecciones aprendidas

Lecciones aprendidas

Identificamos la manera en que debemos visualizar los diferentes riesgos a los que está expuesta nuestra empresa, lo que nos permitirá reducirlos y aumentar la seguridad de los activos.

Comprendimos los diferentes tipos de medidas de seguridad que podemos tomar en la empresa, ya sean preventivas, perceptivas o correctivas para aplicarlas y de esta forma disminuir los posibles impactos o daños resultados de los ataques.

Conocimos el ciclo de seguridad, en el que se recurre a las diferentes medidas para evitar la ocurrencia de vulnerabilidades.