Fundamentos de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad
Clasificado en Otras materias
Escrito el en 
español con un tamaño de 4,67 KB
Seguridad de la Información: Directiva y Ejecutiva
La seguridad de la información se rige por la tríada de la seguridad: confidencialidad, integridad y disponibilidad. Protege la información almacenada en medios informáticos como PCs, bases de datos y archivos.
La seguridad de la información es tanto una directiva como una función ejecutiva, protegiendo la información contenida y la infraestructura computacional.
Control de Acceso
El control de acceso resguarda la confidencialidad, monitoreando el acceso solo al personal autorizado. Existen tres tipos:
- De Red (Red): Permite o deniega el acceso a recursos de red. Ejemplos: Firewall IP, NAC.
- De Plataforma (Sesión): Acceso a sistemas. Ejemplos: Logon, Intranet.
- De Aplicación (Aplicación): Aplicaciones de red de alto nivel. Ejemplos: Correo, cuenta de banco, etc.
Control de Acceso a la Red (NAC)
- Mitiga ataques de día cero, buscando fallas en las aplicaciones computacionales.
- Evita la conexión a la red de cualquier usuario sin permiso o sin los requisitos necesarios.
- Pre-Post-Admisión: Verifica si se tiene permiso para ingresar y, una vez dentro, verifica que se sigan cumpliendo los requisitos.
- Con-Sin-Agente: Con software corporativo, sin software para usuario externo.
- Cuarentena o Portal Cautivo: Permite el acceso, pero solo para que el usuario instale o configure los requisitos de la red.
Roles (RBAC)
RBAC (Control de Acceso Basado en Roles):
- Asigna privilegios según la función en la empresa.
- Se restringe por los roles de cada usuario.
- El rol es el mismo que en la empresa.
- Más de un usuario puede tener permisos mixtos, es decir, pueden acceder al mismo tipo de información.
- Simplifica la administración de usuarios y privilegios.
- Usuario => Rol => Recurso
Modelo PKI
(Sistemas de Negocios Virtuales, B2B, B2C)
- Certificados Digitales
- Sistema de Negociación
- Proceso de Enrolamiento
La regulación es delegada a un tercero CA (Autoridad Certificada). En Chile, es E-CERTCHILE.
Administración de la Seguridad
Es importante ya que la información va cambiando en el tiempo.
- Sistema de Gestión de Seguridad de la Información (SGSI)
- Planear (Plan), Hacer (Do), Revisar (Check), Actuar (Act)
Debe ser revisado periódicamente, asignando los recursos necesarios, por la alta dirección.
- Plan: Política de seguridad, alcance, identificar riesgo, analizar, evaluar riesgo, metodología de evaluación de riesgo.
- Hacer: Define plan de tratamiento, implanta plan de riesgo, gestiona operación, implementa controles.
- Revisar: Monitorea, revisa efectividad del sistema de seguridad.
- Actuar: Implanta mejoras, aplica mejoras y acciones correctivas, comunica acciones y mejoras.
Riesgo
Acción que pueda causar pérdida total o parcial (C, D, I).
Fórmula de Cálculo de Riesgo:
- Amenaza: Da la idea de la probabilidad de ocurrencia.
- Vulnerabilidad: Da idea de la falla y su grado de exposición.
- Impacto: Da idea del valor del daño que podría causar.
Ciclo de Administración de Riesgo
Preserva la operación de la empresa, minimiza el uso de recursos.
Fases:
- Identificación: Del problema.
- Análisis: Los problemas que podría causar.
- Planificación: Da solución para los riesgos.
- Monitoreo y Control: Chequea si la solución está operativa.
ALE: Pérdida Esperada Anual
ARO: Razón de Ocurrencia Anual (Se usan las mismas fases que el ciclo de riesgo!)
SLE: Pérdida Esperada Anual
Matriz de Riesgo
- Riesgo = Probabilidad * Impacto - Prioriza el tratamiento del riesgo.
- Visualiza los riesgos de la empresa.
Factor de Riesgo
Permite cuantificar el nivel de riesgo.
Acciones para el Riesgo:
- Controlar: Agrega control/mejora el existente.
- Eliminar: Elimina activo asociado al riesgo.
- Compartir: Traspasa el riesgo a un tercero.
- Aceptar: Determina valor de riesgo.
- Transferir: Contratar un seguro para cubrir las pérdidas.