SEGURIDAD DE LA INFORMACIÓN:

Es la característica de la información que se logra mediante la adecuada combinación e

implementación de políticas, estándares, procedimientos, métodos y herramientas
especializadas, a efectos que dicha información cumpla con criterios de confidencialidad,
integridad y disponibilidad.
● La confidencialidad, es la propiedad que impide la divulgación de información a individuos,
entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la debida autorización.
● La integridad, es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas, buscando mantener la exactitud la información tal cual fue generada en un
determinado momento, evitando que esta sea manipulada o alterada por personas, procesos o
entes no autorizados, para salvaguardar la precisión y completitud de los datos. La violación
de integridad se presenta cuando una persona, proceso o ente (por accidente o con mala
intención) modifica o borra los datos o información.
● La disponibilidad, es la propiedad que permite que la información se encuentre a disposición
de quienes deben acceder a ella evitando su eliminación por personas, procesos o entidades
no autorizadas.

SEGURIDAD INFORMÁTICA:
La definición de seguridad de la información, no debe ser confundida con la de “seguridad
informática”, ya que esta última solo se encarga de la seguridad por medios o recursos
informáticos, pero la información puede encontrarse en diferentes medios o formas, y no
exclusivamente informáticos. A continuación se referencia las siguientes definiciones de
seguridad informática:

“La seguridad informática consiste en asegurar que los recursos del sistema de información
(material informático o programas) de una organización sean utilizados de la manera que se
decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible
a las personas que se encuentren acreditadas y dentro de los límites de su autorización.”
Costas Santos, J. (2015). Seguridad informática. RA-MA Editorial. Fecha de consulta: 02:11,
octubre 1, 2020 desde https://elibro.net/es/ereader/upds/62452?page=16

“La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la

información, es el área relacionada con la informática y la telemática que se enfoca en la
protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la
información contenida en una computadora o circulante a través de las redes de computadoras.
Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la información.”
Seguridad informática. (2020, 26 de septiembre). Wikipedia, La enciclopedia libre. Fecha de
consulta: 02:11, octubre 1, 2020 desde
https://es.wikipedia.org/w/index.php?title=Seguridad_inform%C3%A1tica&oldid=129576029

NO REPUDIO:
El no repudio significa que un usuario no puede negar (repudiar) haber realizado una transacción.
Combina la autenticación e integridad: No rechazo autentica la identidad de un usuario que realiza
una transacción y garantiza la integridad de la transacción.
La ciberseguridad es un esfuerzo continuo que busca proteger a las personas, las organizaciones
y los gobiernos de los ataques digitales mediante la protección de los sistemas y datos de una
red contra el uso o daño no autorizados.
Los datos tradicionales son la fuente de información sobre las actividades comerciales del
negocio y de la actividad operacional de las organizaciones.
El término “big data” abarca datos que contienen una mayor variedad y que se presentan en
volúmenes crecientes y a una velocidad superior. Esto también se conoce como “las tres V”:

● Volumen, El volumen hace referencia a la necesidad de contar con la capacidad de procesar

grandes volúmenes de datos no estructurados de baja densidad. Puede tratarse de datos de
valor desconocido, como feeds de datos de Twitter, flujos de clics de una página web o
aplicación para móviles, o equipo con sensores. Para algunas organizaciones, esto puede
suponer decenas de terabytes de datos. Para otras, incluso cientos de petabytes.
● Velocidad, La velocidad es el ritmo al que se reciben los datos y (posiblemente) al que se
aplica alguna acción. La mayor velocidad de los datos normalmente se transmite directamente
a la memoria, en vez de escribirse en un disco. Algunos productos inteligentes habilitados
para Internet funcionan en tiempo real o prácticamente en tiempo real y requieren una
evaluación y actuación en tiempo real.
● Variedad, La variedad hace referencia a los diversos tipos de datos disponibles. Los datos
convencionales eran estructurados y podían organizarse claramente en una base de datos
relacional. Con el auge del big data, los datos se presentan en nuevos tipos de datos no
estructurados. Los tipos de datos no estructurados y semiestructurados, como el texto, audio
o video, requieren un preprocesamiento adicional para poder obtener significado y habilitar los
metadatos.
MODELOS DE CONTROL DE ACCESOS:
Sujetos y objetos:
 Un sujeto es una entidad activa en un sistema de datos. La mayoría de los ejemplos
involucran a personas que acceden a archivos de datos. Sin embargo, se ejecutan
programas que también son sujetos, por ejemplo un archivo de biblioteca de vínculos
dinámicos o un script en Perl que actualiza archivos de datos con nueva información son
también sujetos.
 Un objeto es cualquier dato pasivos dentro del sistema. Los objetos pueden estar en un
rango desde de bases de datos hasta archivos de texto. Lo importante para recordar
acerca de los objetos es que son pasivos dentro del sistema y no manipular otros
objetos.

● Access Control Lists (ACL): Las Listas de Control de Acceso, controlan los accesos de
los sujetos a los objetos mediante un lista que establecen condiciones que permiten
conceder o denegar el acceso hacia los objetos. Las ACL permiten, por ejemplo,
controlar el flujo del tráfico en equipos de redes, tales como enrutadores y conmutadores,
otro ejemplo, es el uso de Sistemas de Control de Accesos Presencial, que administra el
ingreso a áreas restringidas, y evita así que personas no autorizadas o indeseables
tengan la libertad de acceder a determinadas áreas o ubicaciones de una empresa.
● Discretionary Access Control (DAC): El Control de Acceso Discrecional da el control
total a los sujetos sobre los objetos que tienen o han tenido acceso, incluido el compartir
objetos con otros sujetos. Los sujetos tienen el poder y el control de sus datos. sistemas
operativos tipo UNIX y Windows utilizan DAC para los sistemas de ficheros: Los sujetos
pueden conceder a otros acceso a sus archivos, cambiar sus atributos, modificarlos o
eliminarlos.
● Mandatory Access Control (MAC): El Control de Acceso Mandatorio es forzada por el
sistema, según la autorización de un sujeto y las etiquetas de un objeto. Los sujetos y los
objetos tienen autorizaciones y etiquetas, respectivamente, como confidencial, secreto y
 máximo secreto. Un sujeto puede acceder a un objeto sólo si su autorización es igual o
mayor que la etiqueta del objeto. Los sujetos no pueden compartir objetos con otros
sujetos que carecen de la autorización apropiada , o “degradar" objetos a un nivel de
clasificación inferior (por ejemplo, de máximo secreto a secreto ). Los sistemas MAC se
centran generalmente en la preservación de la confidencialidad de los datos .
● Role Based Access Control (RBAC): El Control de Acceso Basado en Roles, define
cómo se accede a la información sobre una sistema basado en el rol del sujeto. Un rol
puede ser una enfermera, un administrador, un técnico de servicio de asistencia, y
similares. Las sujetos son agrupados en funciones (conjunto de tareas o actividades
especificas), y cada uno tiene un rol definido de permisos de acceso basado en estas
funciones, no individualmente.
Autenticación: Verificación de la identidad de una persona, usuario, proceso o mensajes,
para así acceder a determinados recursos o poder realizar determinadas tareas o actividades.

Autorización: Proceso posterior a la autenticación por el cual se otorga acceso a

determinados recursos o privilegios del usuario, proceso, ente o mensaje previamente
identificado y validado.

Auditoría: Trazabilidad de las acciones realizadas por el usuario, proceso, ente o mensaje
sobre los recursos o privilegios autorizados utilizados.
El cubo de McCumber es un modelo creado por John McCumber en 1991 que permite
implementar y evaluar medidas de seguridad en una organización, este modelo tiene tres
dimensiones:

1. Los principios fundamentales para proteger los sistemas de información.

2. La protección de la información en cada uno de sus estados posibles.
3. Las medidas de seguridad utilizadas para proteger los datos.
1. Los principios fundamentales para proteger los sistemas de información:

• La confidencialidad, es un conjunto de reglas que evita que la información

sensible, recursos y procesos sea revelada a personas no autorizadas. Los
métodos utilizados para garantizar la confidencialidad incluyen el cifrado de
datos, la autenticación y el control de acceso.
• La integridad, garantiza que la información o los procesos del sistema estén
protegidos contra modificaciones intencionales o accidentales. Una forma de
garantizar la integridad es utilizar una función hash o suma de comprobación.
• La disponibilidad, permite que los usuarios autorizados pueden acceder a los
sistemas y datos cuando y donde sea necesario. Esto se puede lograr mediante
el adecuado mantenimiento del equipamiento, realizando reparaciones de
hardware, actualizando los sistemas operativos y el software, y ejecutando
copias de seguridad.
2. La protección de la información en cada uno de sus estados posibles:

• El procesamiento, se refiere a los datos que se utilizan para realizar una

operación como la actualización de un registro de base de datos, los datos en
proceso permiten generar información para dar el soporte a las organizaciones
y a la toma de decisiones.
• El almacenamiento, se refiere a los datos almacenados en la memoria o en un
dispositivo de almacenamiento permanente, como un disco duro, una unidad de
estado sólido o una unidad USB (datos en reposo).
• La transmisión, se refiere a los datos que viajan entre sistemas de
información, los datos en tránsito que se envían de un determinado punto a
otro.
3. Las medidas de seguridad utilizadas para proteger los datos:

• La concientización, la capacitación y la educación son las medidas

implementadas por una organización para garantizar que los usuarios estén
informados sobre las posibles amenazas a la seguridad y las acciones que
pueden tomar para proteger los sistemas de información.
• La tecnología, se refiere a las soluciones basadas en software (y hardware)
diseñadas para proteger los sistemas de información como los firewalls, que
monitorean continuamente su red en busca de posibles incidentes maliciosos.
• Las políticas y procedimientos, se refieren a los controles administrativos que
proporcionan una base para la forma en que una organización implementa el
aseguramiento de la información, como los planes de respuesta a incidentes y
las pautas de mejores prácticas.
La gestión de riesgos es el proceso de identificar, evaluar y controlar los riesgos que pueden
afectar adversamente a una organización o a las personas. Esto implica la identificación de
amenazas, vulnerabilidades y riesgos, y la implementación de medidas para reducir, transferir,
aceptar o eliminar el riesgo. En el contexto de la seguridad de la información, la gestión de
riesgos se enfoca en proteger los activos de información y minimizar el impacto de posibles
incidentes de seguridad.
En la gestión de riesgos, hay varias opciones para tratar los riesgos identificados:

1. Mitigar, implica reducir el riesgo por medio de implementar medidas para disminuir
la probabilidad de que ocurra un evento dañino o para minimizar su impacto.
2. Transferir, implica transferir la responsabilidad del riesgo a otra parte, por ejemplo,
mediante la contratación de un seguro.
3. Aceptar, implica tomar la decisión consciente de aceptar las consecuencias de un
evento dañino.
4. Eliminar, implica tomar medidas para eliminar completamente la posibilidad de que
ocurra un evento dañino.
La mitigación es la reducción del impacto que puede producir una amenaza al explotar una
vulnerabilidad, se puede decir como, la atenuación de los daños potenciales sobre la vida y los
activos de información causados por un evento previamente identificado que puede producir
riegos que comprometen la seguridad de la empresa o sus empleados.
Un vector de ataque es el camino o medio por el cual un atacante puede acceder a un sistema o
red para explotar una vulnerabilidad. Un ejemplo de vector de ataque podría ser un correo
electrónico de phishing que contiene un enlace malicioso. Cuando un usuario hace clic en el
enlace, se descarga un malware en su computadora, lo que permite al atacante acceder a la red
y robar información confidencial. Otro ejemplo podría ser una vulnerabilidad en un software de
servidor web que permite a un atacante ejecutar código malicioso y tomar el control del servidor.
Las amenazas a las redes de datos pueden ser internas o externas:
• Las amenazas internas provienen de dentro de la organización y pueden incluir acciones
malintencionadas o errores por parte de empleados, contratistas o proveedores.
• Las amenazas externas provienen de fuera de la organización y pueden incluir ataques
cibernéticos, desastres naturales o interrupciones en la infraestructura crítica.

Ambas amenazas pueden tener un impacto significativo en la seguridad y disponibilidad de las

redes de datos. Sin embargo, las amenazas internas tiene mayor potencial de causar daños que
las externas, porque los usuarios internos tienen un acceso directo a las instalaciones y a los
recursos informáticos, también tienen conocimiento de información confidencial, los distintos
niveles de usuarios o privilegios administrativos, los servicios, sistemas y accesos informáticos
que brinda la red corporativa.

Por ejemplo, un empleado, consultor o usuario interno puede de forma intencional o fortuita:
• Robar o copiar datos confidenciales a dispositivos removibles, aplicaciones de mensajería,
correo u otros medios de almacenaje.
• Comprometer servidores, servicios o dispositivos de una red.
• Desconectar una conexión o provocar una interrupción de un dispositivo o servicio red.
• Ingresar un malware por una unidad USB, servicio de mensajería u archivo infectado a un
sistema o servicio informático.
En la actualidad los datos probablemente son los activos más valiosos de una organización, ya
que reflejan la investigación, desarrollo, ventas, finanzas, asuntos legales, empleados,
contratistas y clientes de las organizaciones.

La pérdida de datos se refiere a la destrucción, corrupción o desaparición de información

importante o valiosa. Esto puede ocurrir debido a fallas en el hardware o software, errores
humanos, desastres naturales, ataques cibernéticos u otros eventos imprevistos. La pérdida de
datos puede tener un impacto significativo en una organización, incluyendo la pérdida de
productividad, ingresos y reputación. Es importante implementar medidas de seguridad y
respaldo para minimizar el riesgo de pérdida de datos.
Acronis, el líder mundial en protección cibernética, ha publicado su Informe global anual de la
Semana de protección cibernética 2022 programado para el Día mundial de la copia de seguridad
de este año.

El informe, que encuestó a más de 6200 usuarios de TI y gerentes de TI, desde pequeñas
empresas hasta corporaciones en 22 países, expone algunas de las deficiencias más críticas que
aparecen en las prácticas de protección cibernética en la actualidad, este informe expone:

“Uno de nuestros hallazgos clave el año pasado fue que el 80 % de las organizaciones
ejecutaron hasta 10 soluciones simultáneamente para la protección de datos y la
ciberseguridad; sin embargo, más de la mitad de ellas sufrieron tiempos de inactividad
debido a la pérdida de datos. Claramente, más soluciones no se traducen en más
protección. Este año, vemos que la tendencia empeora: mientras que el 78 % de las
organizaciones en todo el mundo ejecutan hasta 10 soluciones diferentes, el 76 % de las
organizaciones experimentaron tiempo de inactividad debido a la pérdida de datos, un
aumento del 25 % desde 2021. Este tiempo de inactividad se debió a varias fuentes ,
incluidos fallas del sistema (52 %), errores humanos (42 %), ciberataques (36 %) y
ataques internos (20 %).”
ARAM © 2023