0 Bewertungen0% fanden dieses Dokument nützlich (0 Abstimmungen)
44 Ansichten5 Seiten
El documento presenta una auditoría de sistemas. Explica que la información sensible que debe protegerse incluye datos personales y bancarios. Detalla las posibles consecuencias de la pérdida de datos sensibles, como registros médicos, de empleados, bancarios y de agencias de gobierno. Identifica amenazas como spyware, virus, phishing, spam y botnets. Explica qué hacer en casos de robo de información, como bloquear tarjetas bancarias. Define los elementos que participan en la seguridad de la información y los componentes
El documento presenta una auditoría de sistemas. Explica que la información sensible que debe protegerse incluye datos personales y bancarios. Detalla las posibles consecuencias de la pérdida de datos sensibles, como registros médicos, de empleados, bancarios y de agencias de gobierno. Identifica amenazas como spyware, virus, phishing, spam y botnets. Explica qué hacer en casos de robo de información, como bloquear tarjetas bancarias. Define los elementos que participan en la seguridad de la información y los componentes
El documento presenta una auditoría de sistemas. Explica que la información sensible que debe protegerse incluye datos personales y bancarios. Detalla las posibles consecuencias de la pérdida de datos sensibles, como registros médicos, de empleados, bancarios y de agencias de gobierno. Identifica amenazas como spyware, virus, phishing, spam y botnets. Explica qué hacer en casos de robo de información, como bloquear tarjetas bancarias. Define los elementos que participan en la seguridad de la información y los componentes
La información sensible que debo proteger hace parte de la información personal privada de una persona o incluso empresas, por ejemplo ciertos datos personales y bancarios, contraseñas de correo electrónico e incluso el domicilio en algunos casos; e incluso imágenes o videos personales que se hayan guardado en celulares o computadoras La información sensible incluye todos aquellos datos cuya divulgación puede perjudicar a la persona o entidad interesada, en caso de caer en manos equivocadas. 2. Conozco las consecuencias de la pérdida de datos sensibles
Registros médicos: Esto puede convertirse en un gran problema para el
paciente y posiblemente para toda la familia. Estos incluyen un gran rango de datos como enfermedades anteriores o actuales, alergias, vacunas o condiciones antes presentes en los miembros de la familia. Si todos estos datos fueron perdidos, se causaría un alto riesgo de la salud hacia el paciente, debido a la falta de información vital para saber su condición de salud.
Registros de Empleado: Cuando las compañías pierden datos de este tipo,
estas son multadas y tienen que pagar por esto. Además, el empleado puede demandar la compañía con el fin de sacar un provecho, y que se perjudique a la compañía.
Registros bancarios: Así como otras organizaciones y compañías, los bancos
mantienen muchos datos personales del cliente, como nombres y direcciones, pero lo más importante que no debe ser perdido son las cuentas de banco. Si estos datos son perdidos por eliminación, esto nos es tan grave debido a que lo único que se tiene que hacer es recolectar los datos de todos sus clientes. Pero si los datos son robados por alguien, los problemas son graves, ya que estos podrían acceder a todos los datos sobre los consumidores, como las cuentas de bancos e información personal. Agencias de gobierno: Los gobiernos son los sectores que contienen la mayor cantidad de información sobre específicamente algún individuo, como desde las direcciones hasta el número de seguro social de una persona, y se causaría un gran riesgo social y de seguridad si alguien tuviera la capacidad de acceder a estos sin permiso previo. La razón por la que los gobiernos mantienen esto es porque los datos son importantes pertenecientes a una sola persona, y si alguien se robara o tuviera acceso a estos datos se tendría grandes riesgos. Incluso, si estos datos fueran borrados, a diferencia de datos bancarios, aun sería una gran amenaza debido a la dificultad de obtener estos datos de todos los involucrados, e incluso las personas podrían proveer datos falsos al ser pedidos.
Registros de tarjetas de crédito: La pérdida de datos puede afectar a la
reputación de la compañía. Un ejemplo es que Amazon sea hackeado, datos importantes como detalles personales e información de la tarjeta de crédito puede ser usado en contra de los usuarios y esto crea el sentimiento de inseguridad entre la compañía y los clientes. La privacidad es también un gran problema de perdida de datos. La información de los clientes puede ser publicada en internet.
3. Identifico las posibles amenazas a la información que manejo
Spywre (Programas espías): Código malicioso cuyo principal objetivo es
recoger información sobre las actividades de un usuario en un computador (tendencias de navegación), para permitir el despliegue sin autorización en ventanas emergentes de propaganda de mercadeo, o para robar información personal (p.ej. números de tarjetas de crédito). Hay iniciativas de utilizarlos para controlar el uso de software pirata. Según algunas estadísticas, cerca del 91% de los computadores tienen spyware instalado, y de acuerdo a un reporte de la fi rma EarthLink”, en una revisión de cerca de 1 millón de computadores en Internet, el promedio de programas “spyware” en cada uno era de 28.
Troyanos, virus y gusanos: Son programas de código malicioso, que de
diferentes maneras se alojan el los computadores con el propósito de permitir el acceso no autorizado a un atacante, o permitir el control de forma remota de los sistemas. El virus, adicionalmente, tiene como objetivo principal ser destructivo, dañando la información de la máquina, o generando el consumo de recursos de manera incontrolada para bloquear o negar servicios
Phishing: Es un ataque del tipo ingeniería social, cuyo objetivo principal es
obtener de manera fraudulenta datos confi denciales de un usuario, especialmente fi nancieros, aprovechando la confi anza que éste tiene en los servicios tecnológicos, el desconocimiento de la forma en que operan y la oferta de servicios en algunos casos con pobres medidas de seguridad. Actualmente, los ataques de phishing son bastante sofi sticados, utilizando mensajes de correo electrónico y falsos sitios Web, que suplantan perfectamente a los sitios originales
Spam: Recibo de mensajes no solicitados, principalmente por correo
electrónico, cuyo propósito es difundir grandes cantidades de mensajes comerciales o propagandísticos. Se han presentado casos en los que los envíos se hacen a sistemas de telefonía celular – mensajes de texto, o a sistemas de faxes. Para el año 2006, se tenía calculado que entre el 60 y el 70% de los correos electrónicos eran “spam”, con contenidos comerciales o de material pornográfi co. Según la compañía Symantec, el tipo de spam más común en el año 2006 fue el relacionado con servicios fi nancieros, con cerca del 30% de todo el spam detectado.
Botnets (Redes de robots): Son máquinas infectadas y controladas
remotamente, que se comportan como “zombis”, quedando incorporadas a redes distribuidas de computadores llamados robot, los cuales envían de forma masiva mensajes de correo “spam” o código malicioso, con el objetivo de atacar otros sistemas; se han detectado redes de más de 200.000 nodos enlazados y más de 10.000 formas diferentes de patrones de “bots”
4. Sé qué hacer en casos de robo de información
En caso de las tarjetas bancarias, si alguien nos ha robado la información, lo recomendable es bloquearlas. Avisar a nuestro banco y crearnos una nueva. Si hemos sufrido el robo de credenciales de acceso a cualquier cuenta, es vital cambiarlas cuanto antes. Incluso cambiar todas aquellas que puedan depender de ella. Por ejemplo si hemos detectado que alguien ha podido entrar en nuestro correo electrónico. De ahí también la importancia de contar con claves únicas y autenticación en dos pasos. 5. Cuáles son los elementos que participan en la seguridad de información
Los Elementos de información son todos los componentes que contienen,
mantienen o guardan información. Dependiendo de la literatura, también son llamados Activos o Recursos. Son estos los Activos de una institución que tenemos que proteger, para evitar su perdida, modificación o el uso inadecuado de su contenido, para impedir daños para nuestra institución y las personas presentes en la información. Generalmente se distingue y divide tres grupos Datos e Información: son los datos e informaciones en si mismo Sistemas e Infraestructura: son los componentes donde se mantienen o guardan los datos e informaciones Personal: son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles
Para poder hablar de sistemas de información es preciso reunir seis
componentes, que deben ser capaz de integrarse para trabajar de manera conjunta: Hardware: se trata de la tecnología de almacenamiento, comunicaciones, entradas y salidas de datos. Software: son los programas destinados a recoger los datos, almacenarlos, procesarlos y analizarlos, generando conocimiento para el usuario final. Datos: son las porciones de información donde reside todo el valor. Procedimientos: son las políticas y reglas de negocio aplicables a los procesos de la organización. Usuarios: ellos son quienes se interactúan con la información extraída de los datos, constituyendo el componente decisivo para el éxito o el fracaso de cualquier iniciativa empresarial. Retroalimentación: es el elemento clave de cualquier sistema de información al ser la base para la mejora continua.
6. Qué activo da soporte para el movimiento de la información
El activo que da soporte para el movimiento de la información son las redes de comunicaciones 7. Qué activo da soporte a los sistemas de información El activo que da soporte a los sistemas de información él es equipamiento auxiliar 8. Cuáles son los componentes fundamentales que representan la triada CID La confidencialidad (C), la integridad (I) y la disponibilidad (D), trabajan en conjunto para garantizar la seguridad en un sistema informático. lo cual se representa en el triángulo CID.
CONFIDENCIALIDAD: el acceso al sistema está limitado a usuarios autorizados.
La confidencialidad evita que la información clasificada pueda ser revelada
intencionalmente o no a alguien que no tiene acceso a ello. La pérdida de información se puede dar por un mal uso del control acceso a usuarios.
INTEGRIDAD: La información sólo puede ser borrada o modificada por usuarios
autorizados.
La integridad asegura que:
No se realizan modificaciones no autorizadas de datos por personal o
procesos autorizados. No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. Los datos son consistentes, es decir, la información interna es consistente entre sí misma y respecto de la situación real externa.
DISPONIBILIDAD: El acceso a la información se da en un tiempo razonable a los
usuarios autorizados.
Es decir que la información está disponible cuando se le necesita.
Cuando la información que manejamos tiene algún grado de sensibilidad o
simplemente quieres proteger tu información, deberíamos de considerar la premisa que nos proporciona el triángulo CID de la seguridad de la información.