Tema 1-Modulo 3.pdf (1.1 y 1.2) Diseño de planes de securización PDF

## Tema 1. Diseño de planes de securización ### 1.1. Introducción a la economía circular en la industria 4.0 **¿Qué es la economía circular?** El _modelo de economía lineal_ en el que se ha basado la producción tradicional se basa en tomar los recursos de la naturaleza, manufacturar y transformar dichas materias primas en productos que serán utilizados para diversos fines. Si embargo, con la llegada de la economía circular, este _modelo comienza a desplazarse a un segundo plano_. Se trata de un modelo que está siendo impulsado por la digitalización, las nuevas tecnologías de la información y el Big Data, que cuentan con el potencial para asimilar y apalancar nuevos _modelos de negocios_ donde se consumen _recursos renovables_ y se eliminan los desechos. Aquí es donde la _industria 4.0_ y la economía circular se encuentran y potencializan. La _economía circular_ en la industria 4.0 es un sistema cuyo principal objetivo es el _aprovechamiento_ de recursos y se basa en la reducción o simplificación de procesos. Para conseguir esto, las premisas fundamentales que se deben cumplir son las siguientes: * **Minimizar** la producción al mínimo indispensable y **apostar por la reutilización de los elementos que debido a sus características o propiedades no pueden volver al medioambiente**. * **Maximizar** el uso de materiales biodegradables en la _fabricación de los bienes de consumo o en los casos en que esto no sea posible_, utilizar materiales que sean _respetuosos_ con el medio ambiente, de esta manera se pretende conseguir un _desacople_ sencillo de dichos materiales para _poder reincorporarlos nuevamente al ciclo de producción_. * **Eliminar** los combustibles fósiles para producir el producto, reutilizar y reciclar. * **Considerar** los impactos medioambientales a lo largo del ciclo de vida de un producto y los integra desde su concepción. * **Establecer** un método de organización industrial caracterizado por una gestión optimizada de los stocks y de los flujos de materiales, energía y servicios. ### Los diez principios de la economía circular. Actualmente _la economía circular goza de una buena aceptación_ y en gran parte esto se debe a sus principios, los cuales se listan a continuación. * **Todos los residuos se convierten en recursos**. Todo el material biodegradable vuelve a la naturaleza y el no biodegradable se reutiliza. * **Reintroducir** en el circuito económico aquellos productos que ya no corresponden a las _necesidades_ iniciales de los consumidores. * **Reutilizar** los residuos o partes de ellos que todavía pueden funcionar para elaborar _nuevos productos_, esto sin perder las funcionalidades y calidad que espera el usuario final. * **Reparar** y encontrar una forma para _reintroducir_ los productos rotos o defectuosos. * **Reciclar** los materiales que se encuentran en los residuos. * **Automatizar** todo lo posible la reutilización de aquellos residuos que no se pueden reciclar. * **Eliminar** la venta de productos para implantar un sistema de alquiler de bienes. * **De esta forma**, cuando un producto cumple su función principal y ya no es útil para el usuario _final, dichos productos vuelven a incorporarse al proceso de productivo_. Se busca desacoplar cada pieza y reutilizar aquellas que aún pueden funcionar correctamente. * **Considerar** los impactos medioambientales a lo largo del ciclo de vida de un producto y los integra desde su concepción. * **Establecer** un método de organización industrial caracterizado por una gestión optimizada de los stocks y de los flujos de materiales, energía y servicios. ### La economía circular y la industria 4.0 Una vez entendidos los conceptos básicos de la economía circular, es el momento de analizar cómo se integran sus principios y filosofía con las nuevas tecnologías, las cuales han dado lugar a lo que hoy en día se conoce como _industria 4.0_. El auge del Big Data, junto con la potencia de los sistemas de cómputo modernos han permitido _automatizar y mejorar la eficiencia de los procesos productivos_, sin embargo, esto también trae consigo riesgos de seguridad que se deben gestionar adecuadamente. Para entender el impacto de las amenazas que afronta la industria 4.0, es necesario poner en manifiesto las tecnologías que se están implementando actualmente: * **El Internet de las cosas y el análisis de los datos utilizando técnicas basadas en Big Data:** los productos que se conectan a Internet permiten a los fabricantes controlar y analizar su rendimiento a distancia, así como obtener _información detallada_ de uso. Evidentemente, este enfoque facilita la implantación de _modelos de negocios circulares_. Por otro lado, gracias al uso de tecnologías basadas en Big Data, es mucho más fácil extraer información de utilidad partiendo de volúmenes de datos considerablemente grandes. La información que aportan estas tecnologías es fundamental para refinar los _procesos productivos_ y mejorar la calidad de los productos finales. * **Robótica:** los avances en la robótica han permitido a los fabricantes crear máquinas que automatizan _procesos críticos_ y su extensión y beneficios aportados son cada vez mayores. Precisamente, una de las características más importantes de la industria 4.0 es el _incremento del rendimiento_ y la reducción de costes. * **Impresión 3D:** una de las _tecnologías más recientes_ que ha revolucionado los procesos de producción es la impresión 3D. Gracias al uso de estas máquinas es posible llevar a cabo _procesos de producción bajo demanda_ de piezas concretas o productos completos, con un beneficio evidente de cara a la rentabilidad y al ahorro de recursos. Las industrias se enfrentan, por tanto, a un _proceso de cambio que permitirá avanzar_ en _competitividad e innovación_, proporcionando un servicio más personalizado a los _clientes_ y como _consecuencia_, una reducción de costes en la elaboración de _productos_. Este modelo, podría ser el motor para reducir los principales _consumos energéticos del planeta_. ### Definiciones de la industria 4.0. Partiendo de los principios y el contexto de la economía circular, la _industria 4.0_ se define como la digitalización de los procesos o la _cuarta revolución industrial_. _Recibe diferentes nombres, pero sin duda este es el más extendido, especialmente en territorio europeo_. Dicho término _es de origen alemán_ y todos ellos hacen referencia al gran movimiento de desarrollo que se está dando _en el entorno industrial_. No obstante, es importante tener en cuenta las palabras de _Hans-Juerguen Grundig, IT Manager en General Motors España sobre este término_: “El concepto es tan amplio que resulta fácil perder el objetivo”. Sus palabras definen _muy bien la complejidad de este concepto_, puesto que se trata de una idea muy amplia en dónde entran en juego distintos _aspectos y campos de aplicación_. No obstante, la base del término consiste en la digitalización de los _procesos industriales a partir del desarrollo tecnológico de la informática y la optimización de los recursos_. Todo ello enfocado _a la creación de una nueva metodología comercial_. La Industria 4.0, por tanto, no _sólo se trata de una modificación tecnológica de los procesos_, sino también, de un _nuevo modelo de negocio_ cuya base es la conectividad, gracias a la cual se consigue un seguimiento en tiempo real _de los procesos_ tanto a nivel técnico como comercial y administrativo. Es un _nuevo camino hacia la digitalización de los procesos_ y que llevará _a un ecosistema digital interconectado_, mediante las nuevas herramientas que ya se encuentran en uso _en muchos sectores_. Este _ecosistema digital_ se ha empezado a ver _con más claridad_ en sectores ligados al consumidor _final_, también conocidos como B2C (Business to Client) o simplemente _comercio online_. En la industria tradicional es común contar con sistemas de control para _procesos y ejecución de algunas tareas_, sin embargo,_ en el nuevo modelo_ lo que se pretende conseguir es que ese sistema de control sea _capaz de analizar el estado de los procesos y aportar información sobre cómo mejorarlos_, incluyendo las directrices _necesarias para operar con una mayor eficiencia y productividad_. Uno de los objetivos de estos sistemas, también consiste _en que sean capaces de cambiar dinámicamente su configuración para adaptarse al entorno_, lo cual requiere capacidades de análisis _en tiempo real y toma de decisiones_. Las industrias deberán seguir esta tendencia si quieren ser _competitivas a mediano y largo plazo_, esto significa que _será necesario un periodo de adaptación_ y definir _las nuevas medidas a implementar para la migración o sustitución_ de procesos. ### 1.2. Principios de la industria 4.0 #### Objetivos de la industria 4.0 En la lección anterior se han mencionados las definiciones actuales de la industria 4.0, pero es necesario _concretar algunos aspectos que se deben resaltar y comprender el impacto positivo que conlleva la nueva revolución industrial_. En el _escenario en el que se encuentra actualmente la industria_, con _una mano de obra más exigente debido a su formación_, _un precio cada vez más elevado de la energía_ y _la adopción de compromisos sociales más severos_, las organizaciones _se encuentran ante una nueva oportunidad_ de ser más _competitivos_ por medio de la evolución en el _modelo y estructura_ de negocio que se tiene, aprovechando los beneficios que ofrece la Industria 4.0. Por otro lado, desde el punto de vista _energético, el mundo de la industria_ es el responsable aproximadamente el _30% del consumo mundial_, por lo que _resulta evidente la importancia_ de las estrategias para reducir dicho porcentaje. Por ello uno de los puntos más importantes _de la cuarta revolución industrial_ es el _concepto de eficiencia_, muy concretamente en la _eficiencia_ de los recursos energéticos utilizados _en los procesos industriales_. Cualquier _cambio en el modelo de producción o en el modelo de negocio_ de una empresa, _tiene que buscar una mayor productividad y eficiencia_ en sus procesos. En el caso de la Industria 4.0 se _consigue a través de la conexión del mundo físico y virtual_. Esta conversión _a la industria digital promete llegar a un nuevo modelo de negocio_, donde los beneficios o ventajas que ofrece pueden son en esencia, los siguientes: * **Mayor productividad y eficiencia en los procesos**. * **Mayor flexibilidad_ en la fabricación, teniendo la posibilidad de obtener productos personalizados en masa_. * **Gestión más eficaz de los recursos gracias a la automatización y análisis de datos_. #### Principios básicos de la Industria 4.0 Tal como se ha dicho anteriormente, la definición de “Industria 4.0" es _amplia y cubre un amplio abanico de contextos y áreas de negocio_, sin embargo, es _posible afirmar que los principios básicos de la industria 4.0 desde una perspectiva tecnológica_ son los siguientes: * **Interconexión**: A través del IoT (Internet of Things) y el loP (Internet of People) se trabaja en la _comunicación permanente_ entre maquinas, sensores, y personas. Aportando información valiosa en tiempo real _que servirá como insumo para la mejora de procesos_. * **Transparencia de información**: La información generada por las tecnologías de la Industria 4.0 _aportan a los gestores la opción de tomar decisiones basadas en datos en tiempo real_. La interconectividad permite recolectar _inmensas cantidades de datos en todos los puntos de los procesos productivos, aportando así todo lo necesario para la innovación y mejora continua_. * **Decisiones descentralizadas**: Dotando a los sistemas y personas con la capacidad de tomar decisiones en tiempo real y _desarrollar tareas de la manera más automatizada posible_. * **Asistencia técnica**: El soporte humano pasa a ser asistido por _sistemas que agregan y permiten visualizar la información para tomar decisiones informadas y resolver problemas de manera urgente y sin previo aviso_. Pero, además, estos sistemas _tienen la capacidad de realizar tareas desagradables, agotadoras o peligrosas para las personas en procesos que resultan críticos_. Esto último es especialmente importante en espacios industriales en donde _la fabricación de algunos productos puede suponer un riesgo para la integridad física o psíquica de los trabajadores_. Actualmente la Industria 4.0 es un _mercado que mueve millones de euros_ en el mundo, hay _competidores que están apostando por este modelo_ y según varios estudios, _la tendencia es que cada vez más empresas y organizaciones de todo tipo adopten este modelo_. Se estima que _en 2019 se instalaron sistemas con capacidades inteligentes y toma de decisiones automática_ por un valor de más de 71 700 millones de euros en todo el mundo y se estima que _en 2024, este valor será de 156 600 millones de euros_, lo que supone _una tasa de crecimiento anual de este mercado del 16%_. Estas cifras han sido _el resultado de un estudio publicado por MarketsAndMarkets_ (ver las referencias bibliográficas en este documento) y coinciden con otros estudios publicados por empresas y organizaciones independientes. En el resumen sobre el mercado de la Industria 4.0 ofrecido por ATRIAInnovation (ver las referencias bibliográficas en este documento), se puede ver que _en España también se están llevando a cabo políticas que pretenden impulsar este tipo de tecnologías en los procesos productivos_, sin embargo,_ los esfuerzos no parecen ser suficientes dadas las enormes diferencias de inversión y adaptación de la industria 4.0 en otros países_. ### Relación Industria 4.0 y Ciberseguridad La seguridad _de grandes empresas y pymes se ha convertido_ en uno de los principales objetivos estratégicos _afectando no solo a su reputación, sino a la productividad debido a las consecuencias_ que puede llegar a causar en cuando a grandes cantidades de pérdidas económicas. La situación _es aún más complicada ante conflictos bélicos y situaciones políticas desfavorables_, ya que en dichos contextos _las amenazas por ataques informáticos son mucho más probables y el nivel de alerta de los organismos públicos_ es alto. Tal como _se ha mencionado anteriormente_, las _tendencias tecnológicas como es el Internet of Things (IoT), Big Data, Cloud, entre muchas otras otras, han promovido una necesidad de adaptar la Industria en todos los contextos, dando lugar a nuevos términos_ como el IIOT (Industrial Internet of Things), M2M (Machine to Machine) o WSN (Wireless Sensor Networks), entre otros. La Industria 4.0 _integra nuevos dispositivos tecnológicos con los sistemas de control en las fábricas_, es un _modelo que se basa en la hiperconectividad con las redes industriales existentes o nuevas_. No obstante, estos _cambios acelerados que están sufriendo las industrias_ en los últimos años _también ha dado lugar a riesgos potenciales, especialmente relacionados con el funcionamiento seguro_ de dispositivos conectados a Internet. Entre los afectados, el sector _industrial está en el principal punto de mira_. La ciberseguridad _en la industria se ha vuelto esencial_. España es el quinto país _del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a Internet: 3059 por hora_, según el Centro de Ciberseguridad Industrial (CCI). _La ciberseguridad es el proceso mediante el cual se aplican medidas de seguridad a las tecnologías de la información, englobando un gran número de técnicas y métodos destinados_ a la protección _sistemas y el resto de los dispositivos presentes_ en la red. Evidentemente, _la ciberseguridad es crucial para proteger toda esta estructura telemática y los elementos que proporcionan las bases de la Industria 4.0_. Este objetivo se consigue _mediante el uso de dispositivos que protegen las redes de gestión y las industriales con cortafuegos y software altamente fiable para la protección_ de acceso a servidores. _La implementación exitosa_ de las medidas de seguridad _consiste, en primer lugar, en aplicar medidas_ de prevención que _eviten los ataques_ que se pueden producir tanto al _interior de la red como desde entornos no confiables_ como Internet. Concretamente, estas medidas _de seguridad deben implementarse_ en planes de seguridad concretos y _documentos que aporten una imagen_ sobre la definición de amenazas _y gestión de riesgos_. _En un informe desarrollado por la empresa Deloitte_ sobre Industria 4.0 y ciberseguridad, _se puede ver la evolución de las amenazas físicas y no físicas a lo largo de la evolución de la industria, la siguiente imagen enseña dicha evolución_ y permite conocer el estado del arte actual _en materia de ciberseguridad en la Industria 4.0_. ### Probablemente, la función más importante del personal dedicado a la ciberseguridad en la empresa consiste en prevenir ataques, tanto internos como externos. Para ello, se encargan _de incorporar funcionalidades que aseguren la accesibilidad y la confidencialidad_, utilizando métodos de autenticación y cifrado. ## Riesgos en la Industria 4.0 La _industria 4.0 se caracteriza por contar con múltiples dispositivos conectados en entornos de red distintos_ y este precisamente, es uno de los problemas a los que se enfrenta este modelo emergente ya que _ante más dispositivos conectados, mayor es la exposición y la superficie de ataque_. _La seguridad_ de los dispositivos que producen algunos fabricantes aún está muy alejada de contar con buenas _medidas de seguridad y en ocasiones, permite configuraciones inseguras por defecto_. La situación se agrava cuando el _cliente que adopta el uso de dichos dispositivos considera que no tiene "nada de valor" o "nada interesante"_ para los ciberdelincuentes. No obstante, _en los últimos años el número de ataques ha aumentado considerablemente_ y según varios estudios, los ciberdelincuentes _consideran que cualquier brecha de seguridad que suponga un acceso no autorizado ya es algo de valor para ellos_. La creciente conectividad _en la Industria 4.0 y el valor de los datos dentro de las redes se convierte_ en un objetivo _muy apetecible_ para los ciberdelincuentes, algo que _queda reflejado con gran detalle en el informe títulado "Securing Smart Factories Threats to Manufacturing Environments in the Era of Industry 4.0" desarrollado por la empresa TrendMicro_. _Probablemente uno de los motivos por los que la industria 4.0 es especialmente interesante_ para los atacantes es _el factor de la innovación y propiedad intelectual_, que tal como _se ha mencionado anteriormente_, es uno de los factores clave en la implementación_ de este modelo en las organizaciones. Si un _ciberdelincuente consigue explotar correctamente alguna vulnerabilidad en sistemas inteligentes_, probablemente _una de las primeras cosas que querrá extraer_ es la inteligencia sobre procesos, productos y tecnologías _que se están usando_. Esta inteligencia _puede incluir desde planos de diseños confidenciales, técnicas, algoritmos, código de programas, hasta procesos de ensamblaje detallados_. ### Sistemas de control industrial Partiendo del _apartado anterior y entendiendo que la seguridad es una pieza fundamental_ en el modelo de la Industria 4.0, la _ciberseguridad en este tipo de entornos busca_ lo siguiente: * **Securizar** las instalaciones y su _operabilidad, proteger_ los procesos de producción _de las fábricas y de los sistemas CPS (Cyber-Physical Systems)_. * **Proteger** la integridad de la _comunicación_ y evitar el robo de información _en los dispositivos_ con los que dispone la empresa. * **Asegurar los datos confidenciales relativos a la producción_ de la empresa_. _Para conseguir dichos objetivos, en la industria 4.0_ es habitual utilizar sistemas ICS (Industrial Control System) y en esta categoría, los _más extendidos_ son los sistemas SCADA (Supervisory Control And Data Acquisition). _Dichos sistemas han supuesto un gran avance dentro de la automatización industrial, permitiendo a los ingenieros_ de cualquier empresa llevar un _control completo_ de todos los dispositivos _en tiempo real y, además, crear alarmas y advertencias para corregir fallos_. Este tipo de dispositivos _no son nuevos, llevan dando apoyo a procesos de producción críticos desde hace muchos años, sin embargo, en sus orígenes no se planteaba su exposición en entornos tan poco fiables como Internet_. Este nuevo contexto de conectividad _por lo tanto plantea nuevos riesgos en materia_ de ciberseguridad. _Según Check Point y el Centro de Ciberseguridad Industrial en su informe títulado "Estado de la ciberseguridad en los operadores de infraestructuras críticas" se han extraído las siguientes conclusiones_, las cuales no son _alentadoras_. * **Dos de cada diez operadores de infraestructuras críticas no han evaluado su nivel de riesgo contra una ciberamenaza**. * **En los sectores de Aguas y de Transporte, los porcentajes alcanzan un 40 % y un 44%, respectivamente**. _Estas cifras son alarmantes_, ya que se trata precisamente _de sectores estratégicos para un país y el fallo de estos sistemas afectaría_ a servicios básicos para la población. Los ataques _a infraestructuras críticas han ido en aumento_, aprovechando _las vulnerabilidades y la falta de protección_ de los sistemas, por este motivo _adoptar una posición de seguridad en profundidad_ es la mejor manera _de proteger los activos_ de los sectores productivos más importantes. Dicho lo anterior, _los sistemas de seguridad de las empresas industriales tienen que seguir dos vertientes paralelas pero interconectadas_: la física y la virtual. _Ambas están estrechamente relacionadas_, ya que cualquier problema que atente contra _la seguridad física de las personas_ puede convertirse en un problema _cibernético_ y también al revés. _La Ciberseguridad en la Industria tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial_, siguiendo la triada PPT (Procesos, Personas y Tecnologías) para la protección de _las organizaciones e infraestructuras industriales_. ### 1.3. Análisis de riesgos y gestión de archivos #### Introducción Este tema _introduce el concepto de la seguridad en la información como un proceso para eliminar los riesgos asociados a la confidencialidad, integridad y disponibilidad de uno de los recursos empresariales más valiosos: la información_. Para comenzar el tema, _debes leer el caso de estudio y consultar las fuentes mencionadas en ellos para comprender la perspectiva de la seguridad de la información desde el punto de vista de la empresa_. Es particularmente interesante _buscar información de estimaciones de coste de incidentes o brechas de seguridad que han sido notorias en los medios_. _Finalmente, la pregunta fundamental en la gestión_ es si el coste de la “no-seguridad" es mayor que el de la "seguridad”. Dicho de otra forma, la gestión de la seguridad _tiene que fundamentarse_ en un análisis coste-beneficio. El problema _es que la cuantificación del coste en este caso_ depende del análisis de riesgos. _El tema debe comenzarse comprendiendo y sabiendo enunciar_: * **Qué se protege**: La confidencialidad, integridad y disponibilidad * **De qué activos**: De los clasificados como valiosos * **Por qué medios**: Mediante controles implementado en políticas, estándares y procedimientos _Además de lo anterior, es importante conocer la protección de las amenazas físicas_. En estos materiales sólo _se repasan sucintamente, pero esa formación debe completarse con recursos externos_. También como _aspecto general_ de gran importancia _debes comprender el "factor humano" y entender que las técnicas de "ingeniería social" hacen inútiles_ a los medios técnicos _más sofisticados_. Es interesante _buscar y leer casos de brechas de seguridad en las que el “eslabón más débil" fue un empleado y no un sistema pobremente configurado_. ### La seguridad de la información implica la confidencialidad, integridad y disponibilidad _Hablar de seguridad de información es mucho más que tratar sobre cómo configurar firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema operativo o guardar de forma cuidadosa los backups_. La _seguridad_ de la información _implica determinar_ qué hay que proteger y por qué, de qué se debe proteger _y cómo protegerlo_. Los términos "seguridad de la información” y “seguridad informática" se utilizan con _frecuencia como sinónimos, aunque no describen exactamente lo mismo_. En general, la _seguridad_ de la información (information security) hace referencia _a la confidencialidad, integridad y disponibilidad de la información_, independientemente del medio en que _se almacenen_ los datos. _La información se almacena en diferentes soportes_, pueden ser _electrónicos, impresos o de otro tipo_. Por otro lado, la _seguridad_ de la información implica _la implementación de estrategias_ que cubran los procesos _de la organización_ en los cuales _la información_ es el activo primordial. En contraposición, “seguridad informática" es un _concepto más restrictivo que caracteriza la seguridad técnica_ de los sistemas informáticos. _Un sistema informático seguro_ puede incluir _técnicas sofisticadas_ de criptografía, _detección de intrusos y seguimiento_ de la actividad interna. No obstante, la _simple negligencia_ de un empleado relativa _a la política de claves de seguridad puede permitir el acceso a un intruso_. Es importante entender _que un sistema de seguridad incluye__ también a personas y procedimientos, más allá de los sistemas informáticos en sí_. _En palabras de Bruce Schneier (2000)_: “Si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología”. #### Perspectivas fundamentales de la seguridad de la información Son tres: legal, técnica y organizativa. * **El punto de vista legal** concierne a las _regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual_. * **La perspectiva técnica** es la _del desarrollo, análisis, configuración y despliegue_ de elementos _técnicos_ (hardware, software, redes) que tiene _determinadas características_ relacionadas con la seguridad. * **Finalmente, la visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio,** dado que _permite asegurar que los procesos de negocio se realizan sin disrupciones_ en cuanto a la confidencialidad, disponibilidad e integridad de la información. La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que _el coste de las brechas o ataques contra la seguridad_, es un elemento a evitar _de difícil estimación_. Esto incluye _también los riesgos legales, dado_ que en la mayoría de las empresas se guarda información personal _al menos de los clientes_. Podemos decir que _la perspectiva organizativa y la legal indican qué hay que proteger (lo establecido en la ley y los recursos importantes para la organización) y por qué y de qué_ (porque se protegen derechos _de las personas frente a violaciones de la privacidad o porque comprometer ciertos recursos de información afecta al negocio por acciones de robo de información o espionaje industrial)_. La perspectiva técnica se encarga _del cómo hay que proteger desde el punto de vista técnico_ (por ejemplo, si hay que utilizar ciertas actualizaciones de un sistema operativo, si hay que desplegar honeypots o instalar un IDS) dependiendo de la tipología cambiante de las amenazas (por ejemplo, _la difusión generalizada de los smartphones requiere medidas adicionales_ para este tipo de plataformas). _La seguridad de la información_ en una organización básicamente _implica_ la protección de los activos necesarios para que _la organización cumpla con su misión frente al daño o la destrucción_. Por esa naturaleza, es una actividad crítica en _la empresa_. Dado que no se puede conseguir un nivel perfecto de seguridad, _la decisión del grado de seguridad_ (y el coste que se incurre en obtenerla) es una decisión básica de gestión. Por otro lado, es importante _resaltar_ que la seguridad es un _proceso continuo de mejora y no un estado_ de un sistema por lo que _las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse_, de ser necesario, ante los nuevos riesgos que se identifiquen. En este sentido, se puede decir que _no existe un sistema de información perfectamente seguro_, dado que las amenazas evolucionan, y también _la propia organización y sus recursos de información_. No obstante,_ dependiendo de los procesos relacionados con la seguridad_, será _más o menos fácil que se produzca una violación o brecha de seguridad_, y también ésta tendrá _más o menos impacto_ y será _más o menos costosa_ de paliar. _La seguridad_ de la información _se suele conceptualizar_ en torno a _tres principios principales_ ya mencionados: confidencialidad, integridad y disponibilidad. A continuación, se _describe_ cada uno de ellos.

Tema 1-Modulo 3.pdf (1.1 y 1.2) Diseño de planes de securización PDF

Document Details

Tags

Related

Summary

Full Transcript