Portafolio Melissa Rodriguez IU pascual bravo

 

  El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Los medios para conseguirlo: Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia al

  La  NCH ISO 27001  es una  norma  chilena que ha sido elaborada y difundida por el Instituto Nacional de Normalización (INN, la cual permite garantizar la confidencialidad e integración de la información que manipulan las organizaciones. para leer más sobre la  Norma Nch-ISO 27001   clic aquí .

  Las vulnerabilidad del Software puede deberse a: Una mala configuración del software por parte del administrador y/o usuario. Una incorrecta programación durante el proceso de desarrollo o actualización del Software. Hoy en día, se deben más a: bastante documentación de usuario para configurar el Software. Desconocimiento de seguridad informática en la mayoría de programadores. Empresarios que fuerzan los ciclo de desarrollo del Software para terminar antes los productos. Las auditorias de seguridad de código fuente apenas se practican. Destacamos las siguientes vulnerabilidades: Cross Site Scripting (XSS) de forma directa e indirecta XSS es un ataque de inyección de código malicioso para su posterior ejecución que puede realizarse a sitios web, aplicaciones locales e incluso al propio navegador. Sucede cuando un usuario mal intencionado envía código malicioso a la aplicación web y se coloca en forma de un hipervínculo para conducir al usuario a otro sitio web, mensajería instantánea

  Son una herramienta gráfica para analizar y presentar qué puede pasar y cómo lo prevenimos. Capturan de alguna forma el razonamiento del atacante y permiten anticiparse a lo que pudiera ocurrir. Aunque es difícil construir árboles exhaustivos en el primer intento, sí son un buen soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el mejor conocimiento del que se dispone. Los árboles de ataque constituyen una documentación extremadamente valiosa para un atacante, especialmente cuando incorporan el estado actual de salvaguardas, pues facilitan en extremo su trabajo. Son un documento clasificado y deben tomarse todas las medidas de seguridad necesarias para garantizar su confidencialidad. Resumen de los pasos que abarca un Árbol de Ataque: La construcción del árbol es compleja y laboriosa además de un gran conocimiento del objeto de protección, de sus vulnerabilidades, de las amenazas a las que esta expuesto, de las capacidades de los atacantes potenciales,

  OCTAVE se centra en el estudio de riesgos organizacionales, principalmente en los aspectos relacionados con el día a día de las empresas. La evaluación inicia a partir de la identificación de los activos relacionados con la información, definiendo este concepto con los elementos de TI que representan valor para la empresa (sistemas de información, software, archivos físicos o magnéticos, personas). De esta forma, OCTAVE estudia la infraestructura de información y, más importante aún, la manera como dicha infraestructura se usa. Se considera que, con el fin de que una organización pueda cumplir su misión, los empleados de todos los niveles necesitan entender qué activos relacionados con la información son importantes y cómo deben protegerlos. El proceso de evaluación contemplado por OCTAVE se divide en tres fases: Construcción de perfiles de amenazas basadas en activos. Identificación de vulnerabilidades en la infraestructura. Desarrollo de estrategias y planes de seguridad. El princi

  Las Metodologías para análisis de riesgos se ven reflejadas en la información tratada en cada organización, debemos rescatar que algunas como OCTAVE, MEHARI, MAGERIT, CRAMM, EBIOS y NIST SP 800-30. Nos han permitido asegurar los sistemas de información de las organizaciones. Así como otras Metodologías enfocadas a las ISO 9001: Identificar los riesgos: generalmente inicia con una sesión de lluvia de ideas, en las que participan personas de todas las áreas, que tienen un profundo conocimiento del funcionamiento del negocio. Se enumeran todos los agentes externos o internos que pueden, eventualmente, generar un riesgo por absurdo que parezca, o una nueva oportunidad. Determinar la criticidad de cada riesgo: los riesgos se evalúan comparándolos con un conjunto de factores y clasificándolos en una escala de acuerdo con su capacidad para impactar a la organización. Entre los factores que utilizamos para determinar que tan crítico es un riesgo, tenemos la probabilidad de ocurrencia y la fa

Tipos de amenazas: Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. Por ejemplo, un caso de  phishing  puede llegar a robar la contraseña de un usuario de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar la foto del perfil y dejarlo todo en una broma. Amenazas por el origen El hecho de conectar un sistema a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco, aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de a

  La norma ISO 27005 contiene diferentes recomendaciones y directrices generales para la gestión de riesgo en Sistemas de Gestión de Seguridad de la Información. Puedes conocer más sobre la norma ISO 27005 en el siguiente post ISO/IEC 27005. Gestión de riesgos de la Seguridad la Información. Es compatible con los conceptos generales especificados en la norma ISO 27001 y se encuentra diseñada como soporte para aplicar de forma satisfactoria un SGSI basado en el enfoque de gestión de riesgo. La norma ISO 27005 reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información y la tecnología de las comunicaciones”. La norma fue publicada por primera vez en junio de 2008, aunque existe una versión mejorada del año 2011. Para ver la ISO en formato pdf y completo dar clic aquí

  La  seguridad informática  —también llamada ciberseguridad—se refiere a la protección de la información y, especialmente, al procesamiento que se hace de la misma, con el objetivo de evitar la manipulación de datos y procesos por personas no autorizadas. Su principal  finalidad es que tanto personas como equipos tecnológicos y datos estén protegidos contra daños y amenazas hechas por terceros. Es por esto que esta disciplina del área de la informática encargada de la protección de la privacidad de datos dentro de los sistemas informáticos se ha convertido en una  parte indispensable para los negocios y la operación de las empresas. Está claro que no existen sistemas 100% infalibles, por lo que las organizaciones que se comunican a través del mundo digital deben buscar los mecanismos oportunos para garantizar la seguridad de sus datos, a través de alguno de los  tipos de seguridad informática que existen y que deberían implementar en sus organismos.