Seguridad Informática y Seguridad de la Información PDF
Document Details
Uploaded by MerryKraken
Universidad Piloto de Colombia
Calderón Arateco Laura Lorena
Tags
Summary
Este documento analiza los conceptos de seguridad informática y seguridad de la información. Explica los pilares de la seguridad de la información, vulnerabilidades de los sistemas informáticos, amenazas y tipos de amenazas, y las políticas de seguridad que las organizaciones emplean para asegurar sus sistemas.
Full Transcript
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 1 Seguridad informática y seguridad de la información Calderón...
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 1 Seguridad informática y seguridad de la información Calderón Arateco Laura Lorena [email protected] Universidad Piloto de Colombia Resumen— Cuando se habla de seguridad en el ámbito de la Los sistemas informáticos permiten la digitalización de todo Tecnología de la Información y Comunicaciones a menudo se este volumen de información reduciendo el espacio ocupado, confunden los conceptos de seguridad de la información y pero, sobre todo, facilitando su análisis y procesamiento. Pero seguridad informática. Y siendo ambos realmente importantes y aparecen otros problemas ligados a esas facilidades. Si es más similares, hay diferencias entre ellos. fácil transportar la información también hay más posibilidades En este artículo hablaremos sobre los conceptos de seguridad de de que desaparezca. Si es más fácil acceder a ella también es la información y seguridad informática y explicaremos los pilares más fácil modificar su contenido, etc. sobre los que se basa la seguridad de la información. Desde la aparición de los grandes sistemas aislados hasta También tendremos en cuenta los elementos vulnerables de un nuestros días, en los que el trabajo en red es lo habitual, los sistema informático, el concepto de amenaza, fuentes de problemas derivados de la seguridad de la información han ido amenazas y tipos, así como las políticas de seguridad que adoptan también cambiando, evolucionando, pero están ahí y las las organizaciones para asegurar sus sistemas o minimizar el soluciones han tenido que ir adaptándose a los nuevos impacto que éstas pudieran ocasionar. requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia Abstract—When we talk about security in the field of Information Technology and Communications often the concepts es la misma. of information security and computer security are confused. And being both really important and similar, there are differences La Seguridad de la Información se puede definir como between them. conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, In this article we will discuss the concepts of information security integridad y disponibilidad de un sistema de información. and information security and explain the pillars on which the security of the information is based. Existen también diferentes definiciones del término Seguridad de la Información. De ellas nos quedamos con la definición We will also consider vulnerable components of a computer system, the concept of threat, sources and types of threats and ofrecida por el estándar ISO/IEC 27001, que fue aprobado y security policies that take organizations to ensure their systems publicado en octubre de 2005 por la International or to minimize the impact that they may cause. Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC). Índice de Términos— seguridad informática, seguridad de la información, vulnerabilidad, amenazas, políticas de seguridad. “La seguridad de la información consiste en la preservación de la confidencialidad, la integridad y la disponibilidad de la información; además, también pueden estar involucradas I. INTRODUCCIÓN otras propiedades, como la autenticidad, responsabilidad, la confiabilidad y el no repudio.” C uando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que II. SEGURIDAD DE LA INFORMACIÓN: proteger. MODELO PDCA Hasta la aparición y difusión del uso de los sistemas Dentro de la organización el tema de la seguridad de la informáticos, toda la información de interés de una información es un capítulo muy importante que requiere organización se guardaba en papel y se almacenaba en grandes dedicarle tiempo y recursos. La organización debe plantearse cantidades de abultados archivadores. Datos de los clientes o un Sistema de Gestión de la Seguridad de la Información proveedores de la organización, o de los empleados quedaban (SGSI). registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesamiento. El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado. Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 2 Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK En general, un sistema será seguro o confiable si podemos – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver garantizar tres aspectos, como se ve en la siguiente gráfica: a repetir el ciclo. Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad. Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad, como se identifica en la siguiente Figura No. 2 Seguridad de la información. Tomado de: gráfica: http://recursostic.educacion.es/observatorio/web/gl/software/software- general/1040-introduccion-a-la-seguridad-informatica?start=1 Confidencialidad: En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de Figura No. 1 Plan PDCA. Tomado de: cualquier ámbito de actuación requiere que cierta información http://recursostic.educacion.es/observatorio/web/gl/software/software- general/1040-introduccion-a-la-seguridad-informatica?start=1 no sea accedida por diferentes motivos. Uno de los ejemplos más típicos es el de la inteligencia de un país. Además, es PLANIFICAR (Plan): consiste en establecer el contexto, en él sabido que los logros más importantes en materia de seguridad se crean las políticas de seguridad, se hace el análisis de siempre van ligados a temas estratégicos militares. riesgos, se hace la selección de controles y el estado de aplicabilidad. Un ejemplo típico de mecanismo que garantice la confidencialidad es la Criptografía, cuyo objetivo es cifrar o HACER (Do): consiste en implementar el sistema de gestión encriptar los datos para que resulten incomprensibles a de seguridad de la información, implementar el plan de riesgos aquellos usuarios que no disponen de los permisos suficientes. e implementar los controles. Pero, incluso en esta circunstancia, existe un dato sensible que VERIFICAR (Check): consiste en monitorear las actividades y hay que proteger y es la clave de cifrado. Esta clave es hacer auditorías internas. necesaria para que el usuario adecuado pueda descifrar la información recibida y en función del tipo de mecanismo de ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, cifrado utilizado, la clave puede/debe viajar por la red, propuestas de mejora, acciones preventivas y acciones pudiendo ser capturada mediante herramientas diseñadas para correctivas. ello. Si se produce esta situación, la confidencialidad de la operación realizada (sea bancaria, administrativa o de cualquier tipo) queda comprometida. III. BASES DE LA SEGURIDAD INFORMÁTICA Integridad: En términos de seguridad de la información, la Confiabilidad: Existe una frase que se ha hecho famosa dentro integridad hace referencia a la fidelidad de la información o del mundo de la seguridad. Eugene Spafford, profesor de recursos, y normalmente se expresa en lo referente a prevenir ciencias informáticas en la Universidad Purdue (Indiana, el cambio impropio o desautorizado. EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel que está apagado y desconectado, El objetivo de la integridad es, entonces, prevenir enterrado en un refugio de cemento, rodeado por gas venenoso modificaciones no autorizadas de la información. y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él”. La integridad hace referencia a: Definimos la confiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de él. La integridad de los datos (el volumen de la información). Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 3 La integridad del origen (la fuente de los datos, parte de las empresas debe estar en relación al valor de la llamada autenticación). información a proteger. Es importante hacer hincapié en la integridad del origen, ya La técnica más usual es la autenticación utilizando que puede afectar a su exactitud, credibilidad y confianza que contraseñas. Este método será mejor o peor dependiendo de las personas ponen en la información. las características de la contraseña. En la medida que la A menudo ocurre que al hablar de integridad de la contraseña sea más grande y compleja para ser adivinada, más información no se da en estos dos aspectos. difícil será burlar esta técnica. Por ejemplo, cuando un periódico difunde una información Además, la contraseña debe ser confidencial. No puede ser cuya fuente no es correcta, podemos decir que se mantiene la conocida por nadie más que el usuario. Muchas veces sucede integridad de la información ya que se difunde por medio que los usuarios se prestan las contraseñas o las anotan en un impreso, pero sin embargo, al ser la fuente de esa información papel pegado en el escritorio y que puede ser leído por errónea no se está manteniendo la integridad del origen, ya cualquier otro usuario, comprometiendo a la empresa y al que la fuente no es correcta. propio dueño, ya que la acción/es que se hagan con esa contraseña es/son responsabilidad del dueño. Disponibilidad: En términos de seguridad de la información, la disponibilidad hace referencia a que la información del Para que la contraseña sea difícil de adivinar debe tener un sistema debe permanecer accesible a elementos autorizados. conjunto de caracteres amplio y variado (con minúsculas, mayúsculas, números y símbolos). El problema es que los El objetivo de la disponibilidad es, entonces, prevenir usuarios difícilmente recuerdan contraseñas tan elaboradas y interrupciones no autorizadas/controladas de los recursos utilizan (utilizamos) palabras previsibles (el nombre, el informáticos. apellido, el nombre de usuario, el grupo musical preferido,...), que facilitan la tarea a quién quiere entrar en el sistema sin En términos de seguridad informática “un sistema está autorización. disponible cuando su diseño e implementación permite deliberadamente negar el acceso a datos o servicios Autorización: Proceso por el cual se determina qué, cómo y determinados”. Es decir, un sistema es disponible si permite cuándo, un usuario autenticado puede utilizar los recursos de no estar disponible. la organización. Y un sistema 'no disponible' es tan malo como no tener El mecanismo o el grado de autorización pueden variar sistema. No sirve. dependiendo de qué sea lo que se está protegiendo. No toda la información de la organización es igual de crítica. Los Podemos decir que la seguridad consiste en mantener el recursos en general y los datos en particular, se organizan en equilibrio adecuado entre estos tres factores. No tiene sentido niveles y cada nivel debe tener una autorización. conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario administrador pueda acceder a él, Dependiendo del recurso la autorización puede hacerse por ya que se está negando la disponibilidad. medio de la firma en un formulario o mediante una contraseña, pero siempre es necesario que dicha autorización quede registrada para ser controlada posteriormente. IV. MECANISMOS BÁSICOS DE SEGURIDAD En el caso de los datos, la autorización debe asegurar la Autenticación: Verificación de la identidad del usuario, confidencialidad e integridad, ya sea dando o denegando el generalmente cuando entra en el sistema o la red, o accede a acceso en lectura, modificación, creación o borrado de los una base de datos. datos. Normalmente para entrar en el sistema informático se utiliza Por otra parte, solo se debe dar autorización a acceder a un un nombre de usuario y una contraseña. Pero, cada vez más se recurso a aquellos usuarios que lo necesiten para hacer su están utilizando otras técnicas más seguras. trabajo, y si no se le negará. Aunque también es posible dar autorizaciones transitorias o modificarlas a medida que las Es posible autenticarse de tres maneras: necesidades del usuario varíen. 1. Por lo que uno sabe (una contraseña). Administración: establece, mantiene y elimina las 2. Por lo que uno tiene (una tarjeta magnética). autorizaciones de los usuarios del sistema, los recursos del 3. Por lo que uno es (las huellas digitales). sistema y las relaciones usuarios-recursos del sistema. Los administradores son responsables de transformar las La utilización de más de un método a la vez aumenta las políticas de la organización y las autorizaciones otorgadas a un probabilidades de que la autenticación sea correcta. Pero la formato que pueda ser usado por el sistema. decisión de adoptar más de un modo de autenticación por Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 4 La administración de la seguridad informática dentro de la Las vulnerabilidades de los sistemas informáticos las podemos organización es una tarea en continuo cambio y evolución ya agrupar en función de: que las tecnologías utilizadas cambian muy rápidamente y con ellas los riesgos. Diseño Auditoría y registro: la Auditoría es continua vigilancia de los Debilidad en el diseño de protocolos utilizados en las servicios en producción y para ello se recaba información y se redes. analiza. Este proceso permite a los administradores verificar Políticas de seguridad deficiente e inexistente. que las técnicas de autenticación y autorización utilizadas se realizan según lo establecido y se cumplen los objetivos Implementación fijados por la organización. Errores de programación. El Registro como el mecanismo por el cual cualquier intento Existencia de “puertas traseras” en los sistemas de violar las reglas de seguridad establecidas queda informáticos. almacenado en una base de eventos para luego analizarlo. Descuido de los fabricantes. Pero auditar y registrar no tiene sentido sino van acompañados Uso de un estudio posterior en el que se analice la información recabada. Mala configuración de los sistemas informáticos. Desconocimiento y falta de sensibilización de los Monitorear la información registrada o auditar se puede usuarios y de los responsables de informática. realizar mediante medios manuales o automáticos, y con una Disponibilidad de herramientas que facilitan los periodicidad que dependerá de lo crítica que sea la ataques. información protegida y del nivel de riesgo. Limitación gubernamental de tecnologías de seguridad. Mantenimiento de la integridad: conjunto de procedimientos establecidos para evitar o controlar que los archivos sufran Vulnerabilidad del día cero cambios no autorizados y que la información enviada desde un punto llegue al destino inalterada. Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los Se incluyen en este grupo aquellas vulnerabilidades datos están: uso de antivirus, cifrado y funciones 'hash'. para las cuales no existe una solución “conocida”, pero se sabe cómo explotarla. V. VULNERABILIDADES DE UN SISTEMA Vulnerabilidades conocidas INFORMÁTICO Vulnerabilidad de condición de carrera (race En un sistema informático lo que queremos proteger son sus condition). activos, es decir, los recursos que forman parte del sistema y que podemos agrupar en: Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es el Hardware: elementos físicos del sistema informático, tales caso típico de una variable, que cambia su estado y puede como procesadores, cableado de red, medios de obtener de esta forma un valor no esperado. almacenamiento (cabinas, discos, cintas, usb, DVDs,...). Vulnerabilidad de Cross Site Scripting (XSS). Software: elementos lógicos o programas que se ejecutan sobre el hardware, tanto si es el propio sistema operativo como Es una vulnerabilidad de las aplicaciones web, que permite las aplicaciones. inyectar código VBSript o JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta Datos: comprenden la información lógica que procesa el vulnerabilidad. En el phishing la víctima cree que está software haciendo uso del hardware. En general serán accediendo a una URL (la ve en la barra de direcciones), pero informaciones estructuradas en bases de datos o paquetes de en realidad está accediendo a otro sitio diferente. Si el usuario información que viajan por la red. introduce sus credenciales en este sitio se las está enviando al atacante. De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que están almacenados en el hardware y que son procesados por las aplicaciones software. Vulnerabilidad de denegación del servicio. Definimos Vulnerabilidad como debilidad de cualquier tipo La denegación de servicio hace que un servicio o recurso no que compromete la seguridad del sistema informático. esté disponible para los usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho de banda Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 5 de la red de la víctima o sobrecarga de los recursos En general lo que se busca es conseguir un nivel de privilegio informáticos del sistema de la víctima. en el sistema que les permita realizar acciones sobre el sistema no autorizadas. Vulnerabilidad de ventanas engañosas (Windows Spoofing). Podemos clasificar las personas 'atacantes' en dos grupos: Las ventanas engañosas son las que dicen que eres el ganador Activos: su objetivo es hacer daño de alguna forma. de tal o cual cosa, lo cual es mentira y lo único que quieren es Eliminar información, modificar o sustraerla para su que el usuario de información. Hay otro tipo de ventanas que provecho. si las sigues obtienen datos del ordenador para luego realizar un ataque. Pasivos: su objetivo es curiosear en el sistema. Tipos de personas que pueden constituir una amenaza para el ¿De qué queremos proteger el sistema informático? sistema informático: Ya hemos hablado de los principales activos o elementos Personal de la propia organización. fundamentales del sistema informático que son vulnerables y Ex-empleados. ahora veremos a qué son vulnerables dichos elementos. Curiosos. Crackers. Entendemos la amenaza como el escenario en el que una Terroristas. acción o suceso, ya sea o no deliberado, compromete la Intrusos remunerados. seguridad de un elemento del sistema informático. Podemos tener otros criterios de agrupación de las amenazas, Cuando a un sistema informático se le detecta una como son: vulnerabilidad y existe una amenaza asociada a dicha vulnerabilidad, puede ocurrir que el suceso o evento se Origen de las amenazas produzca y nuestro sistema estará en riesgo. Amenazas naturales: inundación, incendio, tormenta, fallo Si el evento se produce y el riesgo que era probable ahora es eléctrico, explosión, etc... real, el sistema informático sufrirá daños que habrá que valorar cualitativa y cuantitativamente, y esto se llama Amenazas de agentes externos: virus informáticos, ataques de 'impacto'. una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc... Integrando estos conceptos podemos decir que “un evento producido en el sistema informático que constituye una Amenazas de agentes internos: empleados descuidados con amenaza, asociada a una vulnerabilidad del sistema, produce una formación inadecuada o descontentos, errores en la un impacto sobre él”. utilización de las herramientas y recursos del sistema, etc... Si queremos eliminar las vulnerabilidades del sistema Intencionalidad de las amenazas informático o queremos disminuir el impacto que puedan producir sobre él, hemos de proteger el sistema mediante una Accidentes: averías del hardware y fallos del software, serie de medidas que podemos llamar defensas o salvaguardas. incendio, inundación, etc... Errores: errores de utilización, de explotación, de ejecución de VI. AMENAZAS procedimientos, etc... Actuaciones malintencionadas: robos, fraudes, sabotajes, De forma general podemos agrupar las amenazas en: intentos de intrusión, etc... amenazas físicas y amenazas lógicas. Estas amenazas, tanto físicas como lógicas, son materializadas VII. POLÍTICAS DE SEGURIDAD básicamente por: las personas, programas específicos, catástrofes naturales. Lo primero que debemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, Amenazas provocadas por personas una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran. La mayor parte de los ataques a los sistemas informáticos son provocados, intencionadamente o no, por las personas. A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 6 reglas a seguir para evitar esas amenazas o minimizar los La empresa debe disponer de un documento formalmente efectos si se llegan a producir. elaborado sobre el tema y que debe ser divulgado entre todos los empleados. La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas No es necesario un gran nivel de detalle, pero tampoco ha de para la protección del sistema. Estos mecanismos quedar como una declaración de intenciones. Lo más normalmente se apoyan en normativas que cubren áreas más importante para que estas surtan efecto es lograr la específicas. concienciación, entendimiento y compromiso de todos los involucrados. Los mecanismos de seguridad se dividen en tres grupos: Las políticas deben contener claramente las prácticas que Prevención: Evitan desviaciones respecto a la política de serán adoptadas por la compañía. Y estas políticas deben ser seguridad. Ejemplo: utilizar el cifrado en la transmisión de la revisadas, y si es necesario actualizadas, periódicamente. información evita que un posible atacante capture (y entienda) información en un sistema de red. Las políticas deben: Detección: Detectan las desviaciones si se producen, Definir qué es seguridad de la información, cuáles violaciones o intentos de violación de la seguridad del sistema. son sus objetivos principales y su importancia dentro Ejemplo: la herramienta DLP para la seguridad de los de la organización. archivos. Mostrar el compromiso de sus altos cargos con la misma. Recuperación: Se aplican cuando se ha detectado una Definir la filosofía respecto al acceso a los datos. violación de la seguridad del sistema para recuperar su normal Establecer responsabilidades inherentes al tema. funcionamiento. Ejemplo: las copias de seguridad. Establecer la base para poder diseñar normas y procedimientos referidos a Organización de la Dentro del grupo de mecanismos de prevención tenemos: seguridad. Clasificación y control de los datos. Mecanismos de identificación e autenticación: Permiten Seguridad de las personas. identificar de forma única 'entidades' del sistema. El proceso Seguridad física y ambiental. siguiente es la autenticación, es decir, comprobar que la Plan de contingencia. entidad es quien dice ser. Prevención y detección de virus. Administración de los computadores. En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos más utilizados. A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad Mecanismos de control de acceso: Los objetos del sistema que serán la guía para la realización de las actividades. deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte La política de seguridad comprende todas las reglas de de cualquier entidad del sistema. seguridad que sigue una organización. Por lo tanto, la administración de la organización en cuestión debe encargarse Mecanismos de separación: Si el sistema dispone de diferentes de definirla, ya que afecta a todos los usuarios del sistema. niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel. La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones Los mecanismos de separación, en función de cómo separan de capacitación y de concienciación. los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación. Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas: Mecanismos de seguridad en las comunicaciones: La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se Un mecanismo de seguridad física y lógica que se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el adapte a las necesidades de la compañía y al uso de tráfico por la red. los empleados. Un procedimiento para administrar las El objetivo de la Política de Seguridad de Información de una actualizaciones. organización es, por un lado, mostrar el posicionamiento de la Una estrategia de realización de copias de seguridad organización con relación a la seguridad, y por otro lado servir planificada adecuadamente. de base para desarrollar los procedimientos concretos de Un plan de recuperación luego de un incidente. seguridad. Un sistema documentado actualizado. Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 7 Por lo tanto y como resumen, la política de seguridad es el http://recursostic.educacion.es/observatorio/web/ca/softwar documento de referencia que define los objetivos de seguridad e/software-general/1040-introduccion-a-la-seguridad- y las medidas que deben implementarse para tener la certeza informatica?start=6 de alcanzar estos objetivos. re-general/1040-introduccion-a-la-seguridad-in VIII. CONCLUSIONES Laura Calderón nació en San Antonio (Tolima) en 1981. Recibió el título de Ingeniero de Sistemas de la Universidad Cooperativa de Colombia en el año 2004. El principal impedimento para aumentar la seguridad en la información en las empresas es la persistente ausencia de una Actualmente, se desempeña como Administrador en cultura en seguridad de la información; es necesario que los herramientas de Seguridad de la Información, de la Dirección usuarios incorporen buenas prácticas para proteger el entorno de Inteligencia y realiza estudios de Postgrado en Seguridad de información, y prevenir aún más la posibilidad de formar Informática en la Universidad Piloto de Colombia. parte del conjunto que engloba a las potenciales y eventuales víctimas de cualquiera de las amenazas, que constantemente buscan sacar provecho de las debilidades humanas. Además se debe tener presente que también es necesario mantenerse informados en lo que respecta a los problemas de seguridad que suponen el uso de determinados medios de comunicación e interacción, entender cómo y por qué se gestan las diferentes maniobras delictivas y conocer cuáles son las herramientas que permiten hacer frente a una problemática que a nivel mundial no tiene en cuenta fronteras y afecta por igual a todos los usuarios. Tanto los usuarios (sin importar el nivel de conocimiento) como las organizaciones, son cada vez más dependientes de Internet y de las tecnologías de información, lo que también los expone constantemente a diferentes amenazas, en las que se utilizan estas condiciones para cometer acciones delictivas con fines económicos. No obstante, existen todavía empresas que carecen de orientación sobre los ajustes que deben realizar en su negocio para proteger adecuadamente sus sistemas de información o que desconocen la existencia de los mismos. En este sentido, debemos insistir en el conocimiento, difusión e implantación de cuantos medios sean necesarios para garantizar la seguridad informática y seguridad de la información. REFERENCIAS http://windowsupdate.microsoft.com http://www.intendenciaatacama.gov.cl/filesapp/Manual%20 debuenas%20practicas%20politicas%20de%20seguridad.pdf http://www.welivesecurity.com/wp- content/uploads/2014/01/buenas_practicas_seguridad_informa tica.pdf http://repositorio.utp.edu.co/dspace/bitstream/11059/2514/1 /0058A973.pdf