Fundamentos de la Seguridad Informática: Ciclo de Vida, Criptografía y Auditoría

1. Ciclo de Vida del Diseño y Desarrollo de un Sistema de Información

El ciclo de vida del diseño y desarrollo de un sistema de información debe seguir un enfoque estructurado y sistemático para garantizar que el sistema cumpla con los requisitos organizacionales. Se recomienda un modelo iterativo y adaptable como el ciclo de vida en espiral o ágil, ya que permiten integrar el feedback de los usuarios, minimizar riesgos y mejorar continuamente. Este proceso debe incluir un análisis exhaustivo de requerimientos, diseño detallado, pruebas rigurosas, e implementación con planes de contingencia.

2. Criptografía y Encriptación de Datos

La criptografía es la práctica de proteger información mediante técnicas matemáticas que transforman los datos en un formato ilegible para terceros no autorizados.

Encriptación de Datos

Es un método criptográfico que convierte los datos originales (texto plano) en texto cifrado mediante un algoritmo y una clave. Solo quienes poseen la clave correcta pueden descifrar los datos, garantizando confidencialidad e integridad. Ejemplos comunes incluyen AES y RSA.

3. Firewall de Hardware

Un firewall de hardware es un dispositivo físico que actúa como una barrera protectora entre la red interna de una organización y redes externas, como Internet. Este dispositivo filtra y controla el tráfico de datos en función de reglas predefinidas, bloqueando accesos no autorizados y ataques cibernéticos. Es más robusto que un firewall de software porque opera de manera independiente del sistema operativo y está diseñado específicamente para tareas de seguridad.

4. Seguridad Física en la Auditoría Informática

La seguridad física en auditoría informática se refiere a las medidas y controles destinados a proteger los equipos, instalaciones y recursos físicos de TI contra accesos no autorizados, robos, desastres naturales o accidentes. Esto incluye controles como cámaras de vigilancia, sistemas de acceso controlado, cerraduras, sensores de movimiento, y planes de contingencia para garantizar la continuidad operativa.

5. Fases del Análisis de Riesgos

• Identificación de activos: Reconocer los elementos críticos de la organización (hardware, software, datos, etc.).
• Identificación de amenazas y vulnerabilidades: Evaluar riesgos potenciales que pueden afectar los activos.
• Evaluación del impacto: Analizar el impacto financiero, operativo o legal si se materializan los riesgos.
• Probabilidad de ocurrencia: Calcular la probabilidad de que ocurra un evento.
• Análisis y priorización: Determinar los riesgos más críticos y priorizar las acciones de mitigación.
• Implementación de controles: Establecer medidas para reducir la probabilidad o el impacto de los riesgos.
• Monitoreo continuo: Revisar y actualizar el análisis conforme cambian las circunstancias.

6. Áreas de la Seguridad en Informática

• Confidencialidad: Garantizar que la información solo esté accesible para personas autorizadas.
• Integridad: Asegurar que los datos no sean alterados de manera no autorizada o accidental.
• Disponibilidad: Garantizar que los sistemas y datos estén accesibles cuando se necesiten.
• Autenticación: Verificar la identidad de usuarios y dispositivos que acceden a los sistemas.
• Control de acceso: Regular quién puede acceder y qué acciones puede realizar.
• Auditoría y monitoreo: Registrar y analizar actividades para detectar incidentes y cumplir con regulaciones.
• Seguridad física: Proteger los activos físicos que respaldan los sistemas de información.
• Gestión de incidentes: Responder y mitigar los efectos de los incidentes de seguridad.

Estas áreas deben ser tratadas de forma integral para mantener un entorno seguro.