Sistema de gestión de la seguridad de la información
Es un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001.
Arquitectura de seguridad de información en la empresa
Es una parte de la arquitectura de la empresa que se centra en la seguridad de la información a lo largo de la empresa.
Arquitectura del negocio
Círculo de Deming
1. Planificar: fase de diseño del sistema de gestión de la seguridad de la información (SGSI) 2. Hacer: Fase de implantación y operación
3. Controlar: Fase de revisión y evaluación de desempeño del SGSI
4. Actuar: Fase de realización de cambios cuando sea necesario llevar el SGSI a máximo rendimiento
Otros SGSI
1. SOGP: Es más de buenas prácticas, basado en las experiencias del ISF
2. IMS3: Está constituido en estándares como ITIL, ISO 2000, ISO 9000 E ISO 27001
3. PRINCE2: Es otro marco de trabajo de buenas prácticas, en este caso se relaciona con las gestión de proyectos.
Consideraciones para desarrollar un sistema de seguridad integral
Desarrollar un sistema de seguridad significa: planear, organizar, coordinar, dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.
Consideraciones para desarrollar un SGSI Un sistema integral debe contemplar:
1. Definir elementos administrativos 2. Definir políticas de seguridad
3. Organizar y dividir las responsabilidades
4. Contemplar la seguridad física contra catástrofes 5. Definir prácticas de seguridad para el personal 6. Números telefónicos de emergencia
7. Definir el tipo de pólizas de seguros
8. Definir elementos técnicos de procedimientos
9. Definir las necesidades de sistemas de seguridad para
Hardware
Software
Flujo de energía
Cableados locales y externos
10. Aplicación de los sistemas de seguridad incluyendo datos y archivos
11. Planificación de los papeles de los auditores externos e internos 12. Planificación de programas de desastres y sus pruebas
13. Planificación de equipos de contingencia con carácter periódico 14. Control de desecho de los nodos importantes del sistema
15. Consideración de las normas ISO 14000 (Normativas medioambientales) Dotación de recursos para desarrollar un SGSI 1. Sensibilizar a los ejecutivos de la organización
2. Realizar un diagnóstico en torno a la situación del riesgo 3. Elaborar un plan para un programa de seguridad
Beneficios de la implantación de un SGSI 1. Aumento de la productividad
2. Aumento de la motivación del personal 3. Compromiso con la misión de la compañía 4. Mejora de las relaciones laborales
5. Ayuda a formar equipos competentes
6. Mejora de los climas laborales para los RRHH
Hacker
Es una persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, se mantiene informado y actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos.
Acceso a la información para demostrar cuán débil es el sistema, infringe la seguridad.
CLASIFICACIÓN:
1. Sombrero negro: En seguridad informática este término concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet. –delincuentes informáticos- viola la seguridad informática por razones más allá de la malicia o por beneficio propio
FASES DE ATAQUE POR EL HACKER DE SOMBRERO NEGRO:
Elección de su objetivo
Recopilación de información
Finalización del ataque
2. Sombrero blanco: aquellos que depuran y arreglan errores en los sistemas –expertos en seguridad informática- pone a prueba un sistema, para poner a prueba la seguridad.
3. Sombrero gris: los de moral ambigua. –Hackea el sistema informático con el propósito de notificar al administrador que ha sido hackeado, luego ofrece reparar el sistema por un módico precio-
4. Sombrero azul: es una persona fuera de las empresas, -Es utilizado para hacer una prueba de errores de un sistema antes de su lanzamiento-
Hacker de élite
Nivel social ente los hackers, se utiliza para describir a los expertos. Confieren una especie de credibilidad a sus miembros.
Hacktivista
Es un hacker que utiliza la tecnología para anunciar un mensaje social, ideológico, religioso o político. Implica la desfiguración de cibersitios o ataques de denegación de servicio.
Estado de la nación
Se refiere a los servicios de inteligencia y a los operativos de guerra informática Certified Ethical Hacker
Un hacker ético, es un empleado o persona que intenta introducirse a una red informática o un sistema informático, utilizando métodos hacker pero su propósito es la búsqueda y resolución de vulnerabilidades de seguridad que permitieron la intrusión.
Cracker
Persona con comportamiento compulsivo, que alardea de su capacidad para infringir sistemas electrónicos e informáticos. Acceso a la información con fines de LUCRO
Lammer
Personas deseosas de alcanzar el nivel de un hacker. Su trabajo se reduce a ejecutar programas creados por otros, a bajar, en forma indiscriminada, cualquier tipo de programa publicado en la red.
CopyHacker
Son una nueva generación de falsificadores, dedicados al crackeo de hardware. Tarjetas de crédito. Su principal motivación es el dinero!.
Bucaneros
Son los comerciantes de la red. No poseen ningún tipo de formación en el área de los sistemas, pero poseen un amplio conocimiento en los negocios.
Phreaker
Se caracterizan por poseer conocimientos en el área de la telefonía, incluso más que los técnicos de las empresas.
Newbie
El típico novatos de red, tropiezan con páginas de Hacking, en las cuales hay programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.
Script Kiddie
Denominados también Skid kiddie, son simples usuarios de internet, buscan programas que luego ejecutan sin los más mínimos conocimientos, infectando en algunos casos de virus a sus propios equipos. También se denominan Pulsa botones o clickquiadores.
Delito informático
También llamado crimen genérico o crimen electrónico, es el que agobia con operaciones ilícitas realizadas por medio de internet, que tienen como objetivo destruir, dañar ordenadores, medios electrónicos y redes de internet
Objetivos de los delitos informáticos
1. Ingreso ilegal a los sistemas 2. Intercepción ilegal de redes 3. Interferencias
4. Daños a la información
5. Mal uso de artefactos, chantajes y fraudes electrónicos
Categorías del delito informático
1. Crímenes que tienen como objetivo redes de computadoras. Ej. Spam, virus
2. Crímenes realizados por medio de ordenadores e internet. Ej. Espionaje, fraude robo.
Listado de crímenes específicos
1. Spam: correos electrónicos no solicitados para propósito comercial –archivos maliciosos-
2. Fraude: es inducir a otro a hacer o restringirse en hacer alguna cosa, de lo cual el criminal obtendrá un beneficio.
3. Contenido obsceno u ofensivo: racismo, promoción de la violencia, material que incite al odio y al crimen 4. Hostigamiento / acoso: comentarios derogativos a causa de sexo, raza, religión, nacionalidad, orientación
sexual.
5. Tráfico de drogas: organización de cafés internet para el tráfico y venta de droga.
6. Terrorismo virtual: difusión de noticias falsas en internet
