Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz

7/24/2019 Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz

http://slidepdf.com/reader/full/examen-tecnicas-de-estudio-alumno-carlos-a-cama-de-la-cruz 1/19

LUIS

SEGURIDAD DE LA INFORMACIÓN

LuisLa seguridad de la información es el conun!o demedidas "re#en!i#as $ reac!i#as de

las organi%aciones $ de los sis!emas !ecnológicos &ue"ermi!en resguardar $ "ro!eger

la información 'uscando man!ener la con(dencialidad)de"endiendo de la cul!ura del mismo*

SEGURIDAD DE LAINFORMACIÓN



+

Seguridad Inform,!ica

SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de medidas preventivas y

reactivas de las organizaciones y de los sistemas tecnológicos que permiten

resguardar y proteger la información buscando mantener la confidencialidad,dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado

considerablemente a partir de la Segunda Guerra undial, convirti!ndose en

una carrera acreditada a nivel mundial. Este campo ofrece muchas "reas de

especialización, incluidos la auditor#a de sistemas de información, planificación

de la continuidad del negocio, ciencia forense digital y administración de

sistemas de gestión de seguridad, entre otros.

Concepción de la seguridad de la inforación

En la seguridad de la información es importante se$alar que su manejo est"

basado en la tecnolog#a y debemos de saber que puede ser confidencial% la

información est" centralizada y puede tener un alto valor. &uede ser divulgada,

mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y

la pone en riesgo. La información es poder, y seg'n las posibilidadesestrat!gicas que ofrece tener acceso a cierta información, !sta se clasifica

como%

(r#tica% Es indispensable para la operación de la empresa. )aliosa% Es un activo de la empresa y muy valioso. Sensible% *ebe de ser conocida por las personas autorizadas

E+isten dos palabras muy importantes que son riesgo y seguridad%

iesgo% Es la materialización de vulnerabilidades identificadas, asociadas con

su probabilidad de ocurrencia, amenazas e+puestas, as# como el impacto

negativo que ocasione a las operaciones de negocio.

Seguridad% Es una forma de protección contra los riesgos.



-


La seguridad de la información comprende diversos aspectos entre ellos la

disponibilidad, comunicación, identificación de problemas, an"lisis de riesgos,

la integridad, confidencialidad, recuperación de los riesgos.

&recisamente la reducción o eliminación de riesgos asociado a una ciertainformación es el objeto de la seguridad de la información y la seguridad

inform"tica. "s concretamente, la seguridad de la información tiene como

objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no

autorizada de información. Los t!rminos seguridad de la información, seguridad

inform"tica y garant#a de la información son usados frecuentemente como

sinónimos porque todos ellos persiguen una misma finalidad al proteger

la confidencialidad, integridad y disponibilidad de la información. Sin embargo,no son e+actamente lo mismo e+istiendo algunas diferencias sutiles. Estas

diferencias radican principalmente en el enfoque, las metodolog#as utilizadas, y

las zonas de concentración. -dem"s, la seguridad de la información involucra

la implementación de estrategias que cubran los procesos en donde la

información es el activo primordial. Estas estrategias deben tener como punto

primordial el establecimiento de pol#ticas, controles de seguridad, tecnolog#as y

procedimientos para detectar amenazas que puedan e+plotar vulnerabilidades

y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y

salvaguardar tanto información como los sistemas que la almacenan y

administran. La seguridad de la información incumbe a gobiernos, entidades

militares, instituciones financieras, los hospitales y las empresas privadas con

información confidencial sobre sus empleados, clientes, productos,

investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus clientes, susdecisiones, su estado financiero o nueva l#nea de productos caigan en manos

de un competidor se vuelva p'blica de forma no autorizada, podr#a ser causa

de la p!rdida de credibilidad de los clientes, p!rdida de negocios, demandas

legales o incluso la quiebra de la misma.



.


&or m"s de veinte a$os, la Seguridad de la /nformación ha declarado que la

confidencialidad, integridad y disponibilidad, son los principios b"sicos de la

seguridad de la información.

La correcta Gestión de la Seguridad de la /nformación busca establecer y

mantener programas, controles y pol#ticas, que tengan como finalidad

conservar la confidencialidad, integridad y disponibilidad de la información, si

alguna de estas caracter#sticas falla no estamos ante nada seguro. Es preciso

anotar, adem"s, que la seguridad no es ning'n hito, es m"s bien un proceso

continuo que hay que gestionar conociendo siempre las vulnerabilidades y las

amenazas que se ci$en sobre cualquier información, teniendo siempre en

cuenta las causas de riesgo y la probabilidad de que ocurran, as# como el

impacto que puede tener. 0na vez conocidos todos estos puntos, y nunca

antes, deber"n tomarse las medidas de seguridad oportunas.

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de información a

personas o sistemas no autorizados. - grandes rasgos, asegura el acceso a lainformación 'nicamente a aquellas personas que cuenten con la debida

autorización.

&or ejemplo, una transacción de tarjeta de cr!dito en /nternet requiere que el

n'mero de tarjeta de cr!dito a ser transmitida desde el comprador al

comerciante y el comerciante de a una red de procesamiento de transacciones.

El sistema intenta hacer valer la confidencialidad mediante el cifrado del

n'mero de la tarjeta y los datos que contiene la banda magn!tica durante latransmisión de los mismos. Si una parte no autorizada obtiene el n'mero de la

tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

La p!rdida de la confidencialidad de la información puede adoptar muchas

formas. (uando alguien mira por encima de su hombro, mientras usted tiene

información confidencial en la pantalla, cuando se publica información privada,

cuando un laptop con información sensible sobre una empresa es robado,



/


cuando se divulga información confidencial a trav!s del tel!fono, etc. 1odos

estos casos pueden constituir una violación de la confidencialidad.

In!egridad

Es la propiedad que busca mantener los datos libres de modificaciones no

autorizadas. Grosso modo, la integridad es el mantener con e+actitud la

información tal cual fue generada, sin ser manipulada o alterada por personas o

procesos no autorizados.

La violación de integridad se presenta cuando un empleado, programa o

proceso modifica o borra los datos importantes que son parte de la información,

as# mismo hace que su contenido permanezca inalterado a menos que sea

modificado por personal autorizado, y esta modificación sea registrada,

asegurando su precisión y confiabilidad. La integridad de un mensaje se

obtiene adjunt"ndole otro conjunto de datos de comprobación de la integridad%

la firma digital Es uno de los pilares fundamentales de la seguridad de la

información.

Disponi"ilidad

La disponibilidad es la caracter#stica, cualidad o condición de la información de

encontrarse a disposición de quienes deben acceder a ella, ya sean personas,

procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la

información y a los sistemas por personas autorizadas en el momento que as#

lo requieran.

En el caso de los sistemas inform"ticos utilizados para almacenar y procesar la

información, los controles de seguridad utilizados para protegerlo, y los canales

de comunicación protegidos que se utilizan para acceder a ella deben estar

funcionando correctamente. La -lta disponibilidad sistemas objetivo debe estar

disponible en todo momento, evitando interrupciones del servicio debido a

cortes de energ#a, fallos de hard2are, y actualizaciones del sistema.

http://es.wikipedia.org/wiki/Integridad_de_datos

http://es.wikipedia.org/wiki/Disponibilidad

http://es.wikipedia.org/wiki/Disponibilidad

http://es.wikipedia.org/wiki/Integridad_de_datos



0


Garantizar la disponibilidad implica tambi!n la prevención de ataque

de denegación de servicio. &ara poder manejar con mayor facilidad la

seguridad de la información, las empresas o negocios se pueden ayudar con

un sistema de gestión que permita conocer, administrar y minimizar los posibles

riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad adem"s de ser importante en el proceso de seguridad de la

información, es adem"s variada en el sentido de que e+isten varios

mecanismos para cumplir con los niveles de servicio que se requiera. 1ales

mecanismos se implementan en infraestructura tecnológica, servidores de

correo electrónico, de bases de datos, de 2eb etc, mediante el uso de clusters

o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores

espejo, replicación de datos, redes de almacenamiento, enlaces redundantes,

etc. La gama de posibilidades depender" de lo que queremos proteger y el

nivel de servicio que se quiera proporcionar.

Au!en!icación o au!en!ificación

Es la propiedad que permite identificar el generador de la información. &or

ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el

que lo ha mandado, y no una tercera persona haci!ndose pasar por la otra. En

un sistema inform"tico se suele conseguir este factor con el uso de cuentas de

usuario y contrase$as de acceso.

Esta propiedad se puede considerar como un aspecto de la integridad 3si est"

firmado por alguien, est" realmente enviado por el mismo y as# figura en la

literatura anglosajona.

Ser#icios de seguridad

http://es.wikipedia.org/wiki/Autentificaci%C3%B3n

http://es.wikipedia.org/wiki/Autentificaci%C3%B3n



1


El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas

de procesamiento de datos y la transferencia de información en las

organizaciones. Los servicios de seguridad est"n dise$ados para contrarrestar

los ataques a la seguridad y hacen uso de uno o m"s mecanismos de

seguridad para proporcionar el servicio.

No repudio

&roporciona protección contra la interrupción, por parte de alguna de las

entidades implicadas en la comunicación, de haber participado en toda o partede la comunicación. El servicio de Seguridad de 4o repudio o irrenunciabilidad

est" estandarizado en la /S5367893:.

4o epudio de origen% El emisor no puede negar que env#o porque el

destinatario tiene pruebas del env#o, el receptor recibe una prueba infalsificable

del origen del env#o, lo cual evita que el emisor, de negar tal env#o, tenga !+ito

ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la

recibe el destinatario.

$rue"a %ue el ensa&e fue en#iado por la par!e espec'fica

4o epudio de destino% El receptor no puede negar que recibió el mensaje

porque el emisor tiene pruebas de la recepción. Este servicio proporciona al

emisor la prueba de que el destinatario leg#timo de un env#o, realmente lo

recibió, evitando que el receptor lo niegue posteriormente. En este caso la

prueba irrefutable la crea el receptor y la recibe el emisor.

$rue"a %ue el ensa&e fue reci"ido por la par!e espec'fica

Si la autenticidad prueba qui!n es el autor de un documento y cual es su

destinatario, el ;no repudio< prueba que el autor envió la comunicación y que el

destinatario la recibió. El no repudio evita que el emisor o el receptor nieguen la

transmisión de un mensaje. -s#, cuando se env#a un mensaje, el receptor

puede comprobar que, efectivamente, el supuesto emisor envió el mensaje. *e

forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de



2


hecho, el supuesto receptor recibió el mensaje. *efinición seg'n la

recomendación =.>?8 de la 0/131 Servicio que suministra la prueba de la

integridad y del origen de los datos3 ambos en una relación infalsificable que

pueden ser verificados por un tercero en cualquier momento.

$ro!ocolos de Seguridad de la Inforación

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro

de la transmisión de datos entre la comunicación de dispositivos para ejercer

una confidencialidad,integridad, autenticación y el no repudio de la información.

Se componen de%

(riptograf#a% Se ocupa de transposicionar u ocultar el mensaje enviado por el

emisor hasta que llega a su destino y puede ser descifrado por el receptor.

Lógica% Llevar un orden en el cual se agrup"n los datos del mensaje el

significado del mensaje y saber cuando se va enviar el mensaje.

/dentificación% Es una validación de identificación es la t!cnica mediante la cual

un proceso comprueba que el compa$ero de comunicación es quien se supone

que es y no se trata de un impostor.

$lanificacion de la seguridad

@oy en d#a la r"pida evolución del entorno t!cnico requiere que las

organizaciones adopten un conjunto m#nimo de controles de seguridad paraproteger su información y sistemas de información. El propósito del plan de

seguridad del sistema es proporcionar una visión general de los requisitos de

seguridad del sistema y se describen los controles en el lugar o los previstos

para cumplir esos requisitos. El plan de seguridad del sistema tambi!n delinea

las responsabilidades y el comportamiento esperado de todos los individuos

que acceden al sistema. *ebe reflejar las aportaciones de distintos gestores

con responsabilidades sobre el sistema, incluidos los propietarios de la



3


información, el propietario de la red, y el alto funcionario de la agencia de

información de seguridad.

Los administradores de programas, los propietarios del sistema, y personal de

seguridad en la organización debe entender el sistema de seguridad en elproceso de planificación. Los responsables de la ejecución y gestión de

sistemas de información deben participar en el tratamiento de los controles de

seguridad que deben aplicarse a sus sistemas.

Creación de un plan de respues!a a inciden!es

Es importante formular un plan de respuestas a incidentes, soportarlo a lo largode la organización y probarlo regularmente. 0n buen plan de respuestas a

incidentes puede no sólo minimizar los efectos de una violación sino tambi!n,

reducir la publicidad negativa.

*esde la perspectiva del equipo de seguridad, no importa si ocurre una

violación o abertura Apues tales eventos son una parte eventual de cuando se

hacen negocios usando un m!todo de poca confianza como lo es /nternetB,

sino m"s bien cuando ocurre. El aspecto positivo de entender la inevitabilidad

de una violación a los sistemas es que permite al equipo de seguridad

desarrollar un curso de acciones para minimizar los da$os potenciales.

(ombinando un curso de acciones con la e+periencia le permite al equipo

responder a condiciones adversas de una manera formal y oportuna.

El plan de respuesta a incidentes puede ser dividido en cuatro fases%

C. -cción inmediata para detener o minimizar el incidente:. /nvestigación del incidenteD. estauración de los recursos afectados7. eporte del incidente a los canales apropiados

0na respuesta a incidentes debe ser decisiva y ejecutarse r"pidamente. *ebido

a que hay muy poco espacio para errores, es cr#tico que se efect'en pr"cticas

de emergencias y se midan los tiempos de respuesta. *e esta forma, es

posible desarrollar una metodolog#a que fomenta la velocidad y la precisión,

minimizando el impacto de la indisponibilidad de los recursos y el da$opotencial causado por el sistema en peligro.





+5


pobre y tiempo fuera de servicio en el evento de una violación. -qu# es donde

los ejercicios pr"cticos son invalorables. La implementación del plan deber#a

ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a

menos que se llame la atención con respecto a algo antes de que el plan sea

colocado en producción.

La respuesta a incidentes debe ir acompa$ada con recolección de información

siempre que esto sea posible. Los procesos en ejecución, cone+iones de red,

archivos, directorios y mucho m"s deber#a ser auditado activamente en tiempo

real. &uede ser muy 'til tener una toma instant"nea de los recursos de

producción al hacer un seguimiento de servicios o procesos maliciosos. Los

miembros de (E1 y los e+pertos internos ser"n recursos e+celentes paraseguir tales anomal#as en un sistema.

El ane&o de riesgos

*entro de la seguridad en la información se lleva a cabo la clasificación de las

alternativas para manejar los posibles riegos que un activo o bien puede tener

dentro de los procesos de organización. Esta clasificación lleva el nombre de

manejo de riesgos. El manejo de riesgos, conlleva una estructura bien definida,

con un control adecuado y su manejo, habi!ndolos identificado, priorizados y

analizados, a trav!s de acciones factibles y efectivas. &ara ello se cuenta con

las siguientes t!cnicas de manejo del riesgo%

Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir,

no se permite ning'n tipo de e+posición. Esto se logra simplemente con no

comprometerse a realizar la acción que origine el riesgo. Esta t!cnica tiene

m"s desventajas que ventajas, ya que la empresa podr#a abstenerse de

aprovechar muchas oportunidades. Ejemplo%

- No instalar empresas en zonas sísmicas

educir. (uando el riesgo no puede evitarse por tener varias dificultades de

tipo operacional, la alternativa puede ser su reducción hasta el nivel m"s bajo

posible. Esta opción es la m"s económica y sencilla. Se consigue optimizando

los procedimientos, la implementación de controles y su monitoreo constante.

Ejemplo%



++


- No fumar en ciertas áreas, instalaciones eléctricas anti flama,

planes de contingencia.

etener, -sumir o -ceptar el riesgo. Es uno de los m!todos m"s comunes del

manejo de riesgos, es la decisión de aceptar las consecuencias de la

ocurrencia del evento. &uede ser voluntaria o involuntaria, la voluntaria se

caracteriza por el reconocimiento de la e+istencia del riesgo y el acuerdo de

asumir las perdidas involucradas, esta decisión se da por falta de alternativas.

La retención involuntaria se da cuando el riesgo es retenido inconscientemente.

Ejemplo de asumir el riesgo%

- Con recursos propios se financian las pérdidas.

1ransferir. Es buscar un respaldo y compartir el riesgo con otros controles o

entidades. Esta t!cnica se usa ya sea para eliminar un riesgo de un lugar y

transferirlo a otro, o para minimizar el mismo, comparti!ndolo con otras

entidades. Ejemplo%

- Transferir los costos a la compañía aseguradora

edios de transmisión de ataques a los sistemas de seguridad

El mejor en soluciones de su clase permite una respuesta r"pida a las

amenazas emergentes, tales como%

al2are y spam propagado por e3mail. La propagación de mal2are y botnets.

Los ataques de phishing alojados en sitios 2eb. Los ataques contra el aumento de lenguaje de marcado e+tensible

A=LB de tr"fico, arquitectura orientada a servicios AS5-B y servicios

2eb.

Estas soluciones ofrecen un camino a la migración y la integración. (omo las

amenazas emergentes, cada vez m"s generalizada, estos productos se

vuelven m"s integrados en un enfoque de sistemas.

http://es.wikipedia.org/wiki/Botnet





+-


0n enfoque de sistemas de configuración, la pol#tica, y el seguimiento se re'ne

cumplimiento de las normativas en curso y permite a los sistemas rentables de

gestión. El enfoque de sistemas de gestión de la seguridad, dispone%

(onfiguración de la pol#tica com'n de todos los productos -menaza la inteligencia y la colaboración de eventos educción de la complejidad de configuración

An(lisis de riesgos eficaces ) opera!i#os de con!rol

En la actualidad gracias a la gran cantidad posibilidades que se tiene paratener acceso a los recursos de manera remota y al gran incremento en las

cone+iones a la internet los delitos en el "mbito de 1/ se han visto

incrementado, bajo estas circunstancias los riesgos inform"ticos son m"s

latentes. Los delitos cometidos mediante el uso de la computadora han crecido

en tama$o, forma y variedad. Los principales delitos hechos por computadora o

por medio de computadoras son%

Fraudes Falsificación )enta de información

Entre los hechos criminales m"s famosos en los Estados 0nidos est"n%

El caso del anco ells Fargo donde se evidencio que la protección de

archivos era inadecuada, cuyo error costo 0S* :C.D millones.

El caso de la 4-S- donde dos alemanes ingresaron en archivos

confidenciales.

El caso de un muchacho de C> a$os que entrando a la computadora de la

0niversidad de erHeley en (alifornia destruyo gran cantidad de archivos.

1ambi!n se menciona el caso de un estudiante de una escuela que ingreso a

una red canadiense con un procedimiento de admirable sencillez, otorg"ndose

una identificación como un usuario de alta prioridad, y tomo el control de una

embotelladora de (anad".



+.


1ambi!n el caso del empleado que vendió la lista de clientes de una compa$#a

de venta de libros, lo que causo una p!rdida de 0S* D millones.

1ambi!n el caso de estudiantes de /ngenier#a electrónica donde accedieron al

sistema de una 0niversidad de (olombia y cambiaron las notas de sus

compa$eros generando estragos en esta 0niversidad y retrasando labores, lo

cual dejó grandes perdidas económicas y de tiempo.

Seg'n Gómez )ieites, Ilvaro A:?C:B. Enciclopedia de la Seguridad /nform"tica

menciona que los virus, troyanos, spy2are, mal2are y dem"s código llamado

malicioso Apor las funciones que realiza y no por tratarse de un código erróneoB,

tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario,

las cuales pueden ser desde, el acceso a una p"gina no deseada, el

redireccionamiento de algunas p"ginas de internet, suplantación de identidad o

incluso la destrucción o da$o temporal a los registros del sistemas, archivos yJo

carpetas propias. El virus inform"tico es un programa elaborado accidental o

intencionadamente, que se introduce y se transmite a trav!s cualquier medio

e+tra#ble y transportable o de la misma red en la que se encuentre un equipo

infectado, causando diversos tipos de da$os a los sistemas.

@istóricamente los virus inform"ticos fueron descubiertos por la prensa el C: de

octubre de C89>, con una publicación del 4e2 KorH 1imes que hablaba de un

virus que fue se distribuyó desde un S y aparentemente era para optimizar

los sistemas / basados en tarjeta gr"fica EG-, pero al ejecutarlo sal#a la

presentación pero al mismo tiempo borraba todos los archivos del disco duro,

con un mensaje al finalizar que dec#a (a#ste.

Este dato se considera como el nacimiento de su nombre, ya que los

programas con código integrado, dise$ados para hacer cosas inesperadas han

e+istido desde que e+isten las propias computadoras. Las primeras referencias

de virus con fines intencionales surgieron en C89D cuando *igital Equipament

(orporation A*E(B empleó una subrutina para proteger su famoso procesador

de te+tos *ecmate //, que el C de abril de C89D en caso de ser copia ilegal

borraba todos los archivos de su unidad de disco.





+0


tema, no los conoce en profundidad limit"ndose a recopilar información

de la red y a buscar programas. 0n tonto o descuidado, es un simple usuarios de la información, con o

sin conocimientos sobre hacHeo o cracHeo que accidentalmente borra

da$a o modifica la información, ya sea en un mantenimiento de rutina o

supervision.

5tros conceptos relacionados son%

• -uditabilidad% &ermitir la reconstrucción, revisión y an"lisis de la

secuencia de eventos• /dentificación% verificación de una persona o cosa reconocimiento.• -utenticación% &roporcionar una prueba de identidad puede ser algo

que se sabe, que se es, se tiene o una combinación de todas.• -utorización% Lo que se permite cuando se ha otorgado acceso• 4o repudio% no se puede negar un evento o una transacción.• Seguridad en capas% La defensa a profundidad que contenga la

inestabilidad• (ontrol de -cceso% limitar el acceso autorizado solo a entidades

autenticadas• !tricas de Seguridad, onitoreo% edición de actividades de seguridad•

Gobierno% proporcionar control y dirección a las actividades• Estrategia% los pasos que se requieren para alcanzar un objetivo• -rquitectura% el dise$o de la estructura y las relaciones de sus elementos• Gerencia% )igilar las actividades para garantizar que se alcancen los

objetivos• iesgo% la e+plotación de una vulnerabilidad por parte de una amenaza• E+posiciones% Ireas que son vulnerables a un impacto por parte de una

amenaza• )ulnerabilidades% deficiencias que pueden ser e+plotadas por amenazas

• -menazas% (ualquier acción o evento que puede ocasionar consecuencias adversas

• iesgo residual% El riesgo que permanece despu!s de que se han

implementado contra medidas y controles• /mpacto% los resultados y consecuencias de que se materialice un riesgo• (riticidad% La importancia que tiene un recurso para el negocio• Sensibilidad% el nivel de impacto que tendr#a una divulgación no

autorizada• -n"lisis de impacto al negocio% evaluar los resultados y las

consecuencias de la inestabilidad



+1


• (ontroles% (ualquier acción o proceso que se utiliza para mitigar el

riesgo• (ontra medidas% (ualquier acción o proceso que reduce la

vulnerabilidad• &ol#ticas% declaración de alto nivel sobre la intención y la dirección de la

gerencia• 4ormas% Establecer los l#mites permisibles de acciones y procesos para

cumplir con las pol#ticas• -taques% tipos y naturaleza de inestabilidad en la seguridad• (lasificación de datos% El proceso de determinar la sensibilidad y

(riticidad de la información.

Go"ierno de la Seguridad de la Inforación

0n t!rmino a tomar en cuenta en el "rea de la seguridad de la información es

su Gobierno dentro de alguna organización empezando por determinar los

riesgos que le ata$en y su forma de reducir yJo mitigar impactos adversos a unnivel aceptable mediante el establecimiento de un programa amplio y conciso

en seguridad de la información y el uso efectivo de recursos cuya gu#a principal

sean los objetivos del negocio, es decir, un programa que asegure una

dirección estrat!gica enfocada a los objetivos de una organización y la

protección de su información.

+ecnolog'as,

Las principales tecnolog#as referentes a la seguridad de la información en

inform"tica son%

(ortafuegos -dministración de cuentas de usuarios *etección y prevención de intrusos -ntivirus

/nfraestructura de llave publica (apas de SocHet Segura



+2


(one+ión 'nica Single Sign on3 SS5 iom!tria (ifrado (umplimiento de privacidad -cceso remoto Firma digital /ntercambio electrónico de *atos E*/ y 1ransferencia Electrónica de

Fondos EF1 edes )irtuales &rivadas )&4s 1ransferencia Electrónica Segura SE1 /nform"tica Forense ecuperación de datos 1ecnolog#as de monitoreo Est"ndares de seguridad de la información

/S5J/E( :6???3series /S5J/E( :6??C /S5J/E( :6??: 5tros est"ndares relacionados (5/1 /S5J/E( :???? M 1ecnolog#a de la información, Gestión del

servicio. S/ fue pionera con el desarrollo de la S C>??? en :??:,

norma en la que se basó la /S5 :????. (ertificaciones

(/S% (ertified /nformation Security anager (/SS&% (ertified /nformation Systems Security &rofessional (ertification G/-(% Global /nformation -ssurance (ertification (&1E (ertified &enetration 1esting Engineer (&1( (ertified &enetration 1esting (onsultant (&E@ (ertified &rofessional Ethical @acHer (/SS5 (ertified /nformation Systems Security 5fficer (SL5 (ertified Security Leadership 5fficer (ertificaciones independientes en seguridad de la información (/S-3 (ertified /nformation Systems -uditor, /S-(-

(/S3 (ertified /nformation Security anager, /S-(- Lead -uditor /S5:6??C3 Lead -uditor /S5 :6??C, S/ (/SS& 3 (ertified /nformation Systems Security &rofessional, /S(: SE(0/1KN, (5&1ia 3 (omputing 1echnology /ndustry -ssociation (E@ 3 (ertified Ethical @acHer &(/ *SS 3 &(/ *ata Security Standard

eferencias%

• http%JJ222.sei.cmu.eduJ

http://es.wikipedia.org/wiki/ISACA


http://es.wikipedia.org/wiki/BSI

http://es.wikipedia.org/wiki/ISC2

http://es.wikipedia.org/w/index.php?title=COMPTia&action=edit&redlink=1



http://es.wikipedia.org/wiki/BSI

http://es.wikipedia.org/wiki/ISC2

http://es.wikipedia.org/w/index.php?title=COMPTia&action=edit&redlink=1




• http%JJ222.cert.orgJ• http%JJ222.g+sgsi.esJ

ibliografia%

Gómez )ieites, Ilvaro A:??6B. Enciclopedia de la Seguridad /nform"tica Information security management systems A:??OB. P&art D% Guidelines

for information security risH managementQ Aen ingl!sB ibliograf#a amió -guirre, Rorge. Seguridad /nform"tica y (riptograf#a v 7.C Ate+to

gu#a de clasesB *pto. de &ublicaciones E.0./., :??O Aedición impresaB.

http://www.cert.org/

http://www.cert.org/

Documents

Examen Tecnicas de Estudio-Alumno Carlos a. Cama de La Cruz