Hola comunidad,
Quiero compartirles Conceptos básicos sobre La seguridad de la información - parte 2
CIA
Para proporcionar una protección adecuada de los recursos en red, los procedimientos y tecnologías que implemente deben garantizar tres cosas:
Confidencialidad: brindar confidencialidad a los datos garantiza que solo los usuarios autorizados puedan ver información sensible.
Integridad: Proporcionar integridad de los datos garantiza que solo los sujetos autorizados pueden cambiar la información confidencial. La integridad también puede garantizar la autenticidad de los datos.
Disponibilidad: La disponibilidad del sistema y de los datos garantiza el acceso ininterrumpido de los usuarios autorizados a los datos y los recursos informáticos importantes.
Son estos tres elementos del sistema de información los que cada organización está tratando de proteger.
La confidencialidad evita la divulgación no autorizada de información sensible. Se pueden utilizar cifrados para garantizar la confidencialidad de las transferencias de datos que atraviesan la red.
La integridad evita la modificación no autorizada de la información, lo que garantiza la precisión de la información. Las funciones de hash criptográficas como el algoritmo de hash seguro 1 (SHA-1) o el algoritmo de hash seguro 2 (SHA-2) se pueden utilizar para proporcionar integridad a los datos.
La disponibilidad es la prevención de la pérdida de acceso a los recursos y la información para garantizar que la información esté disponible para su uso cuando se necesite.
Activo
Debemos comprender que existen muchas cosas dentro de una organización, pero no todo tiene el mismo valor para la organización, esto puede ser valorado por lo valioso que seria si alguien mas lo consigue (competencia) o puede ser que no tenga ningún valor pero de igual manera debemos clasificar el activo, pueden existir un activo que sea de mucho valor pero que tenga muchas o ninguna vulnerabilidad.
Debemos de enfocarnos en los activos que sean mas valiosos para la organización, luego nos metemos en el exploit. Está bien. Algo tiene una vulnerabilidad o vulnerabilidades. Pero, ¿existen exploits conocidos para aprovechar esa vulnerabilidad? Porque si no, nuestra preocupación general comienza a disminuir.
Debemos tener en cuenta que es lo que tendría que realizar un atacante para poder ejecutar un exploit para alguna vulnerabilidad, si el atacante debe hacer muchas cosas para ejecutarlo entonces disminuye mas nuestra preocupación, pero si nuestro activo tiene facilidad para ejecutar exploit nuestra preocupación será alta.
En base a eso, revisará una lista de contramedidas y salvaguardas, que pueden ser software, parches del sistema operativo, políticas de acceso, hardware en el perímetro o hardware en varios niveles diferentes
Una vez más, al estar en la industria de la seguridad por un tiempo, originalmente nos referimos a esto como "capas", a medida que revisa todos estos detalles de un activo, vulnerabilidades, exploits, y la realidad es que puede hacer una evaluación de riesgos seria para mejorar comprender qué sistemas son nuevamente importantes y están expuestos a ciertos tipos de vulnerabilidades.
Esto se reduce a lo que realmente es importante para la organización, y entender que los diferentes activos tienen diferentes valores.
Gestión de riesgo
Para entender la gestión de riesgo necesitamos saber de donde viene la amenaza cual es su fuente y cual es su objetivo.
Al conocer esto mas conocer nuestros activos y la importancia de cada uno de ellos, podemos comprender mejor cual es el riesgo real, cuanto esfuerzo pondremos en el, cuanto tiempo y cuanto dinero. Siempre tenemos que tener en cuenta que no podemos eliminar el riesgo 100% siempre estaremos expuestos a algún tipo de riesgo.
espero les guste,
saludos,