SEGURIDAD INFORMATICA Y SEGURIDAD DE LA INFORMACION.pdf

Full Transcript

Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 1

Seguridad informática y seguridad de la
información
Calderón Arateco Laura Lorena
[email protected]
Universidad Piloto de Colombia


Resumen— Cuando se habla de seguridad en el ámbito de la Los sistemas informáticos permiten la digitalización de todo
Tecnología de la Información y Comunicaciones a menudo se este volumen de información reduciendo el espacio ocupado,
confunden los conceptos de seguridad de la información y pero, sobre todo, facilitando su análisis y procesamiento. Pero
seguridad informática. Y siendo ambos realmente importantes y aparecen otros problemas ligados a esas facilidades. Si es más
similares, hay diferencias entre ellos. fácil transportar la información también hay más posibilidades
En este artículo hablaremos sobre los conceptos de seguridad de
de que desaparezca. Si es más fácil acceder a ella también es
la información y seguridad informática y explicaremos los pilares más fácil modificar su contenido, etc.
sobre los que se basa la seguridad de la información.
Desde la aparición de los grandes sistemas aislados hasta
También tendremos en cuenta los elementos vulnerables de un nuestros días, en los que el trabajo en red es lo habitual, los
sistema informático, el concepto de amenaza, fuentes de problemas derivados de la seguridad de la información han ido
amenazas y tipos, así como las políticas de seguridad que adoptan también cambiando, evolucionando, pero están ahí y las
las organizaciones para asegurar sus sistemas o minimizar el soluciones han tenido que ir adaptándose a los nuevos
impacto que éstas pudieran ocasionar.
requerimientos técnicos. Aumenta la sofisticación en el ataque
y ello aumenta la complejidad de la solución, pero la esencia
Abstract—When we talk about security in the field of
Information Technology and Communications often the concepts
es la misma.
of information security and computer security are confused. And
being both really important and similar, there are differences La Seguridad de la Información se puede definir como
between them. conjunto de medidas técnicas, organizativas y legales que
permiten a la organización asegurar la confidencialidad,
In this article we will discuss the concepts of information security integridad y disponibilidad de un sistema de información.
and information security and explain the pillars on which the
security of the information is based. Existen también diferentes definiciones del término Seguridad
de la Información. De ellas nos quedamos con la definición
We will also consider vulnerable components of a computer
system, the concept of threat, sources and types of threats and
ofrecida por el estándar ISO/IEC 27001, que fue aprobado y
security policies that take organizations to ensure their systems publicado en octubre de 2005 por la International
or to minimize the impact that they may cause. Organization for Standardization (ISO) y por la comisión
International Electrotechnical Commission (IEC).
Índice de Términos— seguridad informática, seguridad de la
información, vulnerabilidad, amenazas, políticas de seguridad. “La seguridad de la información consiste en la preservación de
la confidencialidad, la integridad y la disponibilidad de la
información; además, también pueden estar involucradas
I. INTRODUCCIÓN otras propiedades, como la autenticidad, responsabilidad, la
confiabilidad y el no repudio.”
C uando hablamos de seguridad de la información estamos
indicando que dicha información tiene una relevancia
especial en un contexto determinado y que, por tanto, hay que II. SEGURIDAD DE LA INFORMACIÓN:
proteger. MODELO PDCA

Hasta la aparición y difusión del uso de los sistemas Dentro de la organización el tema de la seguridad de la
informáticos, toda la información de interés de una información es un capítulo muy importante que requiere
organización se guardaba en papel y se almacenaba en grandes dedicarle tiempo y recursos. La organización debe plantearse
cantidades de abultados archivadores. Datos de los clientes o un Sistema de Gestión de la Seguridad de la Información
proveedores de la organización, o de los empleados quedaban (SGSI).
registrados en papel, con todos los problemas que luego
acarreaba su almacenaje, transporte, acceso y procesamiento. El objetivo de un SGSI es proteger la información y para ello
lo primero que debe hacer es identificar los 'activos de
información' que deben ser protegidos y en qué grado.
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 2

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK En general, un sistema será seguro o confiable si podemos
– ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver garantizar tres aspectos, como se ve en la siguiente gráfica:
a repetir el ciclo.

Se entiende la seguridad como un proceso que nunca termina
ya que los riesgos nunca se eliminan, pero se pueden
gestionar. De los riesgos se desprende que los problemas de
seguridad no son únicamente de naturaleza tecnológica, y por
ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que
comienzan por Planificar y terminan en Actuar, consiguiendo
así mejorar la seguridad, como se identifica en la siguiente Figura No. 2 Seguridad de la información. Tomado de:
gráfica: http://recursostic.educacion.es/observatorio/web/gl/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1

Confidencialidad: En términos de seguridad de la información,
la confidencialidad hace referencia a la necesidad de ocultar o
mantener secreto sobre determinada información o recursos.

El objetivo de la confidencialidad es, entonces, prevenir la
divulgación no autorizada de la información.

En general, cualquier empresa pública o privada y de
Figura No. 1 Plan PDCA. Tomado de: cualquier ámbito de actuación requiere que cierta información
http://recursostic.educacion.es/observatorio/web/gl/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1 no sea accedida por diferentes motivos. Uno de los ejemplos
más típicos es el de la inteligencia de un país. Además, es
PLANIFICAR (Plan): consiste en establecer el contexto, en él sabido que los logros más importantes en materia de seguridad
se crean las políticas de seguridad, se hace el análisis de siempre van ligados a temas estratégicos militares.
riesgos, se hace la selección de controles y el estado de
aplicabilidad. Un ejemplo típico de mecanismo que garantice la
confidencialidad es la Criptografía, cuyo objetivo es cifrar o
HACER (Do): consiste en implementar el sistema de gestión encriptar los datos para que resulten incomprensibles a
de seguridad de la información, implementar el plan de riesgos aquellos usuarios que no disponen de los permisos suficientes.
e implementar los controles.
Pero, incluso en esta circunstancia, existe un dato sensible que
VERIFICAR (Check): consiste en monitorear las actividades y hay que proteger y es la clave de cifrado. Esta clave es
hacer auditorías internas. necesaria para que el usuario adecuado pueda descifrar la
información recibida y en función del tipo de mecanismo de
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, cifrado utilizado, la clave puede/debe viajar por la red,
propuestas de mejora, acciones preventivas y acciones pudiendo ser capturada mediante herramientas diseñadas para
correctivas. ello. Si se produce esta situación, la confidencialidad de la
operación realizada (sea bancaria, administrativa o de
cualquier tipo) queda comprometida.
III. BASES DE LA SEGURIDAD INFORMÁTICA
Integridad: En términos de seguridad de la información, la
Confiabilidad: Existe una frase que se ha hecho famosa dentro integridad hace referencia a la fidelidad de la información o
del mundo de la seguridad. Eugene Spafford, profesor de recursos, y normalmente se expresa en lo referente a prevenir
ciencias informáticas en la Universidad Purdue (Indiana, el cambio impropio o desautorizado.
EEUU) y experto en seguridad de datos, dijo que “el único
sistema seguro es aquel que está apagado y desconectado, El objetivo de la integridad es, entonces, prevenir
enterrado en un refugio de cemento, rodeado por gas venenoso modificaciones no autorizadas de la información.
y custodiado por guardianes bien pagados y muy bien
armados. Aun así, yo no apostaría mi vida por él”. La integridad hace referencia a:
Definimos la confiabilidad como la probabilidad de que un
sistema se comporte tal y como se espera de él.  La integridad de los datos (el volumen de la
información).
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 3

 La integridad del origen (la fuente de los datos, parte de las empresas debe estar en relación al valor de la
llamada autenticación). información a proteger.

Es importante hacer hincapié en la integridad del origen, ya La técnica más usual es la autenticación utilizando
que puede afectar a su exactitud, credibilidad y confianza que contraseñas. Este método será mejor o peor dependiendo de
las personas ponen en la información. las características de la contraseña. En la medida que la
A menudo ocurre que al hablar de integridad de la contraseña sea más grande y compleja para ser adivinada, más
información no se da en estos dos aspectos. difícil será burlar esta técnica.

Por ejemplo, cuando un periódico difunde una información Además, la contraseña debe ser confidencial. No puede ser
cuya fuente no es correcta, podemos decir que se mantiene la conocida por nadie más que el usuario. Muchas veces sucede
integridad de la información ya que se difunde por medio que los usuarios se prestan las contraseñas o las anotan en un
impreso, pero sin embargo, al ser la fuente de esa información papel pegado en el escritorio y que puede ser leído por
errónea no se está manteniendo la integridad del origen, ya cualquier otro usuario, comprometiendo a la empresa y al
que la fuente no es correcta. propio dueño, ya que la acción/es que se hagan con esa
contraseña es/son responsabilidad del dueño.
Disponibilidad: En términos de seguridad de la información, la
disponibilidad hace referencia a que la información del Para que la contraseña sea difícil de adivinar debe tener un
sistema debe permanecer accesible a elementos autorizados. conjunto de caracteres amplio y variado (con minúsculas,
mayúsculas, números y símbolos). El problema es que los
El objetivo de la disponibilidad es, entonces, prevenir usuarios difícilmente recuerdan contraseñas tan elaboradas y
interrupciones no autorizadas/controladas de los recursos utilizan (utilizamos) palabras previsibles (el nombre, el
informáticos. apellido, el nombre de usuario, el grupo musical preferido,...),
que facilitan la tarea a quién quiere entrar en el sistema sin
En términos de seguridad informática “un sistema está autorización.
disponible cuando su diseño e implementación permite
deliberadamente negar el acceso a datos o servicios Autorización: Proceso por el cual se determina qué, cómo y
determinados”. Es decir, un sistema es disponible si permite cuándo, un usuario autenticado puede utilizar los recursos de
no estar disponible. la organización.

Y un sistema 'no disponible' es tan malo como no tener El mecanismo o el grado de autorización pueden variar
sistema. No sirve. dependiendo de qué sea lo que se está protegiendo. No toda la
información de la organización es igual de crítica. Los
Podemos decir que la seguridad consiste en mantener el recursos en general y los datos en particular, se organizan en
equilibrio adecuado entre estos tres factores. No tiene sentido niveles y cada nivel debe tener una autorización.
conseguir la confidencialidad para un archivo si es a costa de
que ni tan siquiera el usuario administrador pueda acceder a él, Dependiendo del recurso la autorización puede hacerse por
ya que se está negando la disponibilidad. medio de la firma en un formulario o mediante una contraseña,
pero siempre es necesario que dicha autorización quede
registrada para ser controlada posteriormente.
IV. MECANISMOS BÁSICOS DE SEGURIDAD
En el caso de los datos, la autorización debe asegurar la
Autenticación: Verificación de la identidad del usuario, confidencialidad e integridad, ya sea dando o denegando el
generalmente cuando entra en el sistema o la red, o accede a acceso en lectura, modificación, creación o borrado de los
una base de datos. datos.

Normalmente para entrar en el sistema informático se utiliza Por otra parte, solo se debe dar autorización a acceder a un
un nombre de usuario y una contraseña. Pero, cada vez más se recurso a aquellos usuarios que lo necesiten para hacer su
están utilizando otras técnicas más seguras. trabajo, y si no se le negará. Aunque también es posible dar
autorizaciones transitorias o modificarlas a medida que las
Es posible autenticarse de tres maneras: necesidades del usuario varíen.

1. Por lo que uno sabe (una contraseña). Administración: establece, mantiene y elimina las
2. Por lo que uno tiene (una tarjeta magnética). autorizaciones de los usuarios del sistema, los recursos del
3. Por lo que uno es (las huellas digitales). sistema y las relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las
La utilización de más de un método a la vez aumenta las políticas de la organización y las autorizaciones otorgadas a un
probabilidades de que la autenticación sea correcta. Pero la formato que pueda ser usado por el sistema.
decisión de adoptar más de un modo de autenticación por
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 4

La administración de la seguridad informática dentro de la Las vulnerabilidades de los sistemas informáticos las podemos
organización es una tarea en continuo cambio y evolución ya agrupar en función de:
que las tecnologías utilizadas cambian muy rápidamente y con
ellas los riesgos. Diseño

Auditoría y registro: la Auditoría es continua vigilancia de los  Debilidad en el diseño de protocolos utilizados en las
servicios en producción y para ello se recaba información y se redes.
analiza. Este proceso permite a los administradores verificar  Políticas de seguridad deficiente e inexistente.
que las técnicas de autenticación y autorización utilizadas se
realizan según lo establecido y se cumplen los objetivos Implementación
fijados por la organización.
 Errores de programación.
El Registro como el mecanismo por el cual cualquier intento  Existencia de “puertas traseras” en los sistemas
de violar las reglas de seguridad establecidas queda informáticos.
almacenado en una base de eventos para luego analizarlo.  Descuido de los fabricantes.
Pero auditar y registrar no tiene sentido sino van acompañados Uso
de un estudio posterior en el que se analice la información
recabada.
 Mala configuración de los sistemas informáticos.
 Desconocimiento y falta de sensibilización de los
Monitorear la información registrada o auditar se puede
usuarios y de los responsables de informática.
realizar mediante medios manuales o automáticos, y con una
 Disponibilidad de herramientas que facilitan los
periodicidad que dependerá de lo crítica que sea la
ataques.
información protegida y del nivel de riesgo.
 Limitación gubernamental de tecnologías de
seguridad.
Mantenimiento de la integridad: conjunto de procedimientos
establecidos para evitar o controlar que los archivos sufran
Vulnerabilidad del día cero
cambios no autorizados y que la información enviada desde un
punto llegue al destino inalterada. Dentro de las técnicas más
utilizadas para mantener (o controlar) la integridad de los  Se incluyen en este grupo aquellas vulnerabilidades
datos están: uso de antivirus, cifrado y funciones 'hash'. para las cuales no existe una solución “conocida”,
pero se sabe cómo explotarla.

V. VULNERABILIDADES DE UN SISTEMA Vulnerabilidades conocidas
INFORMÁTICO
 Vulnerabilidad de condición de carrera (race
En un sistema informático lo que queremos proteger son sus condition).
activos, es decir, los recursos que forman parte del sistema y
que podemos agrupar en: Si varios procesos acceden al mismo tiempo a un recurso
compartido puede producirse este tipo de vulnerabilidad. Es el
Hardware: elementos físicos del sistema informático, tales caso típico de una variable, que cambia su estado y puede
como procesadores, cableado de red, medios de obtener de esta forma un valor no esperado.
almacenamiento (cabinas, discos, cintas, usb, DVDs,...).
 Vulnerabilidad de Cross Site Scripting (XSS).
Software: elementos lógicos o programas que se ejecutan
sobre el hardware, tanto si es el propio sistema operativo como
Es una vulnerabilidad de las aplicaciones web, que permite
las aplicaciones.
inyectar código VBSript o JavaScript en páginas web vistas
por el usuario. El phishing es una aplicación de esta
Datos: comprenden la información lógica que procesa el
vulnerabilidad. En el phishing la víctima cree que está
software haciendo uso del hardware. En general serán
accediendo a una URL (la ve en la barra de direcciones), pero
informaciones estructuradas en bases de datos o paquetes de
en realidad está accediendo a otro sitio diferente. Si el usuario
información que viajan por la red.
introduce sus credenciales en este sitio se las está enviando al
atacante.
De ellos los más críticos son los datos, el hardware y el
software. Es decir, los datos que están almacenados en el
hardware y que son procesados por las aplicaciones software.  Vulnerabilidad de denegación del servicio.

Definimos Vulnerabilidad como debilidad de cualquier tipo La denegación de servicio hace que un servicio o recurso no
que compromete la seguridad del sistema informático. esté disponible para los usuarios. Suele provocar la pérdida de
la conectividad de la red por el consumo del ancho de banda
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 5

de la red de la víctima o sobrecarga de los recursos En general lo que se busca es conseguir un nivel de privilegio
informáticos del sistema de la víctima. en el sistema que les permita realizar acciones sobre el sistema
no autorizadas.
 Vulnerabilidad de ventanas engañosas (Windows
Spoofing). Podemos clasificar las personas 'atacantes' en dos grupos:

Las ventanas engañosas son las que dicen que eres el ganador  Activos: su objetivo es hacer daño de alguna forma.
de tal o cual cosa, lo cual es mentira y lo único que quieren es Eliminar información, modificar o sustraerla para su
que el usuario de información. Hay otro tipo de ventanas que provecho.
si las sigues obtienen datos del ordenador para luego realizar
un ataque.  Pasivos: su objetivo es curiosear en el sistema.

Tipos de personas que pueden constituir una amenaza para el
¿De qué queremos proteger el sistema informático? sistema informático:

Ya hemos hablado de los principales activos o elementos  Personal de la propia organización.
fundamentales del sistema informático que son vulnerables y  Ex-empleados.
ahora veremos a qué son vulnerables dichos elementos.  Curiosos.
 Crackers.
Entendemos la amenaza como el escenario en el que una  Terroristas.
acción o suceso, ya sea o no deliberado, compromete la
 Intrusos remunerados.
seguridad de un elemento del sistema informático.
Podemos tener otros criterios de agrupación de las amenazas,
Cuando a un sistema informático se le detecta una
como son:
vulnerabilidad y existe una amenaza asociada a dicha
vulnerabilidad, puede ocurrir que el suceso o evento se
Origen de las amenazas
produzca y nuestro sistema estará en riesgo.
Amenazas naturales: inundación, incendio, tormenta, fallo
Si el evento se produce y el riesgo que era probable ahora es
eléctrico, explosión, etc...
real, el sistema informático sufrirá daños que habrá que
valorar cualitativa y cuantitativamente, y esto se llama
Amenazas de agentes externos: virus informáticos, ataques de
'impacto'.
una organización criminal, sabotajes terroristas, disturbios y
conflictos sociales, intrusos en la red, robos, estafas, etc...
Integrando estos conceptos podemos decir que “un evento
producido en el sistema informático que constituye una
Amenazas de agentes internos: empleados descuidados con
amenaza, asociada a una vulnerabilidad del sistema, produce
una formación inadecuada o descontentos, errores en la
un impacto sobre él”.
utilización de las herramientas y recursos del sistema, etc...
Si queremos eliminar las vulnerabilidades del sistema
Intencionalidad de las amenazas
informático o queremos disminuir el impacto que puedan
producir sobre él, hemos de proteger el sistema mediante una
Accidentes: averías del hardware y fallos del software,
serie de medidas que podemos llamar defensas o salvaguardas.
incendio, inundación, etc...

Errores: errores de utilización, de explotación, de ejecución de
VI. AMENAZAS procedimientos, etc...

Actuaciones malintencionadas: robos, fraudes, sabotajes,
De forma general podemos agrupar las amenazas en:
intentos de intrusión, etc...
amenazas físicas y amenazas lógicas.

Estas amenazas, tanto físicas como lógicas, son materializadas
VII. POLÍTICAS DE SEGURIDAD
básicamente por: las personas, programas específicos,
catástrofes naturales.
Lo primero que debemos de hacer es un análisis de las
posibles amenazas que puede sufrir el sistema informático,
Amenazas provocadas por personas
una estimación de las pérdidas que esas amenazas podrían
suponer y un estudio de las probabilidades de que ocurran.
La mayor parte de los ataques a los sistemas informáticos son
provocados, intencionadamente o no, por las personas.
A partir de este análisis habrá que diseñar una política de
seguridad en la que se establezcan las responsabilidades y
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 6

reglas a seguir para evitar esas amenazas o minimizar los La empresa debe disponer de un documento formalmente
efectos si se llegan a producir. elaborado sobre el tema y que debe ser divulgado entre todos
los empleados.
La política de seguridad se implementa mediante una serie de
mecanismos de seguridad que constituyen las herramientas No es necesario un gran nivel de detalle, pero tampoco ha de
para la protección del sistema. Estos mecanismos quedar como una declaración de intenciones. Lo más
normalmente se apoyan en normativas que cubren áreas más importante para que estas surtan efecto es lograr la
específicas. concienciación, entendimiento y compromiso de todos los
involucrados.
Los mecanismos de seguridad se dividen en tres grupos:
Las políticas deben contener claramente las prácticas que
Prevención: Evitan desviaciones respecto a la política de serán adoptadas por la compañía. Y estas políticas deben ser
seguridad. Ejemplo: utilizar el cifrado en la transmisión de la revisadas, y si es necesario actualizadas, periódicamente.
información evita que un posible atacante capture (y entienda)
información en un sistema de red. Las políticas deben:

Detección: Detectan las desviaciones si se producen,  Definir qué es seguridad de la información, cuáles
violaciones o intentos de violación de la seguridad del sistema. son sus objetivos principales y su importancia dentro
Ejemplo: la herramienta DLP para la seguridad de los de la organización.
archivos.  Mostrar el compromiso de sus altos cargos con la
misma.
Recuperación: Se aplican cuando se ha detectado una  Definir la filosofía respecto al acceso a los datos.
violación de la seguridad del sistema para recuperar su normal  Establecer responsabilidades inherentes al tema.
funcionamiento. Ejemplo: las copias de seguridad.  Establecer la base para poder diseñar normas y
procedimientos referidos a Organización de la
Dentro del grupo de mecanismos de prevención tenemos: seguridad.
 Clasificación y control de los datos.
Mecanismos de identificación e autenticación: Permiten  Seguridad de las personas.
identificar de forma única 'entidades' del sistema. El proceso  Seguridad física y ambiental.
siguiente es la autenticación, es decir, comprobar que la  Plan de contingencia.
entidad es quien dice ser.
 Prevención y detección de virus.
 Administración de los computadores.
En concreto los sistemas de identificación y autenticación de
los usuarios son los mecanismos más utilizados.
A partir de las políticas se podrá comenzar a desarrollar,
primero las normas, y luego los procedimientos de seguridad
Mecanismos de control de acceso: Los objetos del sistema
que serán la guía para la realización de las actividades.
deben estar protegidos mediante mecanismos de control de
acceso que establecen los tipos de acceso al objeto por parte
La política de seguridad comprende todas las reglas de
de cualquier entidad del sistema.
seguridad que sigue una organización. Por lo tanto, la
administración de la organización en cuestión debe encargarse
Mecanismos de separación: Si el sistema dispone de diferentes
de definirla, ya que afecta a todos los usuarios del sistema.
niveles de seguridad se deben implementar mecanismos que
permitan separar los objetos dentro de cada nivel.
La seguridad informática de una compañía depende de que los
empleados (usuarios) aprendan las reglas a través de sesiones
Los mecanismos de separación, en función de cómo separan
de capacitación y de concienciación.
los objetos, se dividen en los grupos siguientes: separación
física, temporal, lógica, criptográfica y fragmentación.
Sin embargo, la seguridad debe ir más allá del conocimiento
de los empleados y cubrir las siguientes áreas:
Mecanismos de seguridad en las comunicaciones: La
protección de la información (integridad y privacidad) cuando
viaja por la red es especialmente importante. Clásicamente se  Un mecanismo de seguridad física y lógica que se
utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el adapte a las necesidades de la compañía y al uso de
tráfico por la red. los empleados.
 Un procedimiento para administrar las
El objetivo de la Política de Seguridad de Información de una actualizaciones.
organización es, por un lado, mostrar el posicionamiento de la  Una estrategia de realización de copias de seguridad
organización con relación a la seguridad, y por otro lado servir planificada adecuadamente.
de base para desarrollar los procedimientos concretos de  Un plan de recuperación luego de un incidente.
seguridad.  Un sistema documentado actualizado.
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 7

Por lo tanto y como resumen, la política de seguridad es el http://recursostic.educacion.es/observatorio/web/ca/softwar
documento de referencia que define los objetivos de seguridad e/software-general/1040-introduccion-a-la-seguridad-
y las medidas que deben implementarse para tener la certeza informatica?start=6
de alcanzar estos objetivos. re-general/1040-introduccion-a-la-seguridad-in

VIII. CONCLUSIONES Laura Calderón nació en San Antonio (Tolima) en 1981.
Recibió el título de Ingeniero de Sistemas de la Universidad
Cooperativa de Colombia en el año 2004.
El principal impedimento para aumentar la seguridad en la
información en las empresas es la persistente ausencia de una Actualmente, se desempeña como Administrador en
cultura en seguridad de la información; es necesario que los herramientas de Seguridad de la Información, de la Dirección
usuarios incorporen buenas prácticas para proteger el entorno de Inteligencia y realiza estudios de Postgrado en Seguridad
de información, y prevenir aún más la posibilidad de formar Informática en la Universidad Piloto de Colombia.
parte del conjunto que engloba a las potenciales y eventuales
víctimas de cualquiera de las amenazas, que constantemente
buscan sacar provecho de las debilidades humanas.

Además se debe tener presente que también es necesario
mantenerse informados en lo que respecta a los problemas de
seguridad que suponen el uso de determinados medios de
comunicación e interacción, entender cómo y por qué se
gestan las diferentes maniobras delictivas y conocer cuáles son
las herramientas que permiten hacer frente a una problemática
que a nivel mundial no tiene en cuenta fronteras y afecta por
igual a todos los usuarios.

Tanto los usuarios (sin importar el nivel de conocimiento)
como las organizaciones, son cada vez más dependientes de
Internet y de las tecnologías de información, lo que también
los expone constantemente a diferentes amenazas, en las que
se utilizan estas condiciones para cometer acciones delictivas
con fines económicos.

No obstante, existen todavía empresas que carecen de
orientación sobre los ajustes que deben realizar en su negocio
para proteger adecuadamente sus sistemas de información o
que desconocen la existencia de los mismos. En este sentido,
debemos insistir en el conocimiento, difusión e implantación
de cuantos medios sean necesarios para garantizar la seguridad
informática y seguridad de la información.

REFERENCIAS

http://windowsupdate.microsoft.com
http://www.intendenciaatacama.gov.cl/filesapp/Manual%20
debuenas%20practicas%20politicas%20de%20seguridad.pdf
http://www.welivesecurity.com/wp-
content/uploads/2014/01/buenas_practicas_seguridad_informa
tica.pdf
http://repositorio.utp.edu.co/dspace/bitstream/11059/2514/1
/0058A973.pdf