SlideShare una empresa de Scribd logo

Integridad de los Datos

Descargar como PPTX, PDF
E
Elsie Castro

El documento discute la importancia de garantizar la integridad de los datos. Señala que los ataques a la integridad, como el gusano Stuxnet, pueden dañar sistemas industriales y causar consecuencias graves. También describe las responsabilidades de los equipos de negocio y TI para prevenir, detectar y responder a amenazas a la integridad de los datos a través de controles de acceso, segregación de funciones y auditorías.

Educación
1 de 8
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
La integridad de los datos: el aspecto más relegado de la seguridad de la informaciónEl tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación del servicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos). El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar las indicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos.1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado
La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la necesidad que tiene una empresa de protegerlos. No es conveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio. Por lo tanto, el control y el proceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades y la encriptación. El método más sencillo para medir la confidencialidad tiene una lógica binaria: el carácter confidencial de la información puede haberse preservado (si la información no se ha divulgado) o no (si se ha divulgado). Lamentablemente, este método no resulta demasiado útil, ya que no refleja los efectos de la divulgación de los datos, que abarcan desde situaciones bochornosas hasta atentados contra la seguridad nacional. Si analizamos la noción de integridad, la situación se torna más compleja, porque se trata de un concepto que puede tener distintas interpretaciones.
¿Cómo Garantizar una Mayor Integridad de los Datos? Debe complementarse con la formalización de las responsabilidades correspondientes a los procesos de negocio y TI (Tecnologías de la Información). Delimitación de responsabilidades en la Empresa En todo programa de aseguramiento de la integridad de los datosdeben estar definidas las responsabilidades: › De “detección y detención” (“Detect, Deter” o 2D) › De “prevención y preparación” (“Prevent, Prepare” o 2P); y › De “respuesta y recuperación” (“Respond, Recover” o 2R).
Las buenas prácticas a adoptar son: •Tomar posesión de los datos y asumir la responsabilidad de garantizar su integridad. Para tomar el control de la información, se debe realizar una evaluación de valores que permita calcular el costo potencial de la pérdida de la integridad de los datos y contemple las pérdidas económicas directas. •Controlar los derechos y privilegios de acceso. Los principios de necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP) constituyen prácticas eficaces. Los administradores y/o programadores a cargo de la gestión de las aplicaciones en las unidades de negocios deberían, al menos, mantener un registro que consigne quiénes tienen acceso a qué datos, además de asegurarse de que se mantengan y revisen los registros de cambios. Una vez que se han aplicado los principios de NtK y LP, el acceso privilegiado sigue siendo un tema delicado, ya que permite acceder libremente a los datos de producción y códigos fuente. •Segregación de funciones (SoD). Este es un concepto de probada eficacia práctica, en el que seguramente harán hincapié las auditorías internas cuando se revisen sistemas y
Responsabilidades de los equipos de apoyo de TI yusuarios finales Deben responsabilizarse de la creación de cuentas y credenciales deacceso a los sistemas y datos, de que estas estén documentadas y que solo deben usarse cuando sehayan concedido formalmente las autorizaciones pertinentes. Responsabilidades de la Auditoría Interna Los auditores se ocupan de determinar en qué medida se hanrespetado las responsabilidades de las unidades de negocio y del equipo de TI respecto de la preservaciónde la integridad de los datos.
Ataques a la Integridad de los Datos Los ataques a la integridad de los datos consisten en la modificación intencional de los datos, sin autorización alguna, en algún momento de su ciclo de vida. En el contexto del presente artículo, el ciclo de vida de los datos comprende las siguientes etapas: Introducción, creación y/o adquisición de datos. Procesamiento y/o derivación de datos. Almacenamiento, replicación y distribución de datos. Archivado y recuperación de datos. Realización de copias de respaldo y restablecimiento de datos. Borrado, eliminación y destrucción de datos.
Hace años que las organizaciones que operan tanto en el sector público como en el privado sufren alteraciones en sus sitios web, pero, más allá del eventual perjuicio a la reputación de una empresa, ninguno de los daños ocasionados puede considerarse “catastrófico”. Las bombas lógicas, el software no autorizado que se introduce en un sistema por acción de las personas encargadas de programarlo/mantenerlo, los troyanos y demás virus similares también pueden afectar la integridad de los datos a través de la introducción de modificaciones (por ejemplo, al definir una fórmula incorrecta en una hoja de cálculo) o la encriptación de datos y posterior exigencia de un “rescate” para revelar la clave de desencriptación. En los últimos años se han producido numerosos ataques de características similares a las mencionadas, que afectan principalmente los discos duros de las computadoras personales. Debería esperarse que tarde o temprano se produzcan ataques de este tipo destinados a los servidores.
Integridad de los Datos

Más contenido relacionado

PPT
Seguridad informática
katty0303
 
PPTX
Integridad de la informacion
Charly Santana
 
PPT
Glosario Para Seminario De Informatica
Lester0310
 
PPTX
Comercio electronico
SenobioQuispeMollo2
 
PPT
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
PDF
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Jack Daniel Cáceres Meza
 
PDF
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
AngelKBattler
 
PPT
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 
Seguridad informática
katty0303
 
Integridad de la informacion
Charly Santana
 
Glosario Para Seminario De Informatica
Lester0310
 
Comercio electronico
SenobioQuispeMollo2
 
Seguridad Y Control De Los Sistemas De InformacióN
guest75288c
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Jack Daniel Cáceres Meza
 
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
AngelKBattler
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
Financieros2008
 

La actualidad más candente (20)

PPTX
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
PPTX
SISTEMAS
Grupo Dos
 
PPTX
Auditoría informática
maekma
 
PPTX
Calidad y estandarizacion
Yosel97
 
DOCX
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
charlothvallejo
 
PDF
Calidad de datos
Software Guru
 
PPT
Desarrollo de sistemas
Tatiana Montoya
 
PDF
Glosario
Alexander Alfaro
 
PPTX
Inteligencia de negocios
kminxp
 
PDF
Sistemas de informacion Jose Peña
josepea199
 
PPTX
Presentación auditoría de sistemas
Jose Madrid
 
PPTX
Seguridad inteligente (Security Intelligence)
Andrea Johnen
 
PPTX
Capitulo 10 auditoria en base de datos
oamz
 
PDF
Ingenieria en sistemas
daphnechavez1
 
PDF
Administracion de identidades - Revista Magazcitum (México)
Fabián Descalzo
 
PPTX
Semana 3
Edna Lasso
 
PPTX
Informatica
Dayanita Moreno
 
DOCX
Diario de la primera unidad 1
Vocecita Mova
 
PPT
Aceptacion De Las Ti
xiomaraj
 
PPTX
Politicas de la seguridad informatica
franciscoortiz123456
 
Medidas de seguridad en los sistemas informaticos
Edgar Oswaldo Caballero Montes
 
SISTEMAS
Grupo Dos
 
Auditoría informática
maekma
 
Calidad y estandarizacion
Yosel97
 
350756721 investigacion-controles-de-aplicacion-en-mi-emprea-docx
charlothvallejo
 
Calidad de datos
Software Guru
 
Desarrollo de sistemas
Tatiana Montoya
 
Glosario
Alexander Alfaro
 
Inteligencia de negocios
kminxp
 
Sistemas de informacion Jose Peña
josepea199
 
Presentación auditoría de sistemas
Jose Madrid
 
Seguridad inteligente (Security Intelligence)
Andrea Johnen
 
Capitulo 10 auditoria en base de datos
oamz
 
Ingenieria en sistemas
daphnechavez1
 
Administracion de identidades - Revista Magazcitum (México)
Fabián Descalzo
 
Semana 3
Edna Lasso
 
Informatica
Dayanita Moreno
 
Diario de la primera unidad 1
Vocecita Mova
 
Aceptacion De Las Ti
xiomaraj
 
Politicas de la seguridad informatica
franciscoortiz123456
 
Publicidad

Similar a Integridad de los Datos (20)

PDF
Monografia gestion de seguridad en redes
batuvaps
 
PDF
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
YurlyMilenaJAIMESTOR1
 
PDF
Power point informatica
fabioescobar17
 
PPT
Laseguridadinformtica ivan
IvanEuan
 
PPT
Power blogger
Sergio Sanchez de Castro
 
PPT
La seguridad informática en power point
marlenis carrion
 
DOCX
Evaluacion de la seguridad
Georgy Jose Sanchez
 
PPTX
Seguridad informatica
Jeaneth Calderon
 
PPT
La seguridad informática en power point
linda gonzalez
 
PPT
programacion_y_seguridad_clase_1_13082024.ppt
MaximilianoViapiano3
 
DOCX
cobaxinvanessa@gmail.com
VanessaCobaxin
 
PDF
seguridad_informatica
Billy varon -cun
 
DOCX
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
PPT
Equipo 4
Tavo Adame
 
PPT
la disponibilidad de los sistemas de información
marvel12
 
PPT
Seguridad informática (Gestión de la seguridad Informatica)
Ana Pino
 
DOCX
Trabajo de elba bea
Beatriz Rangel Ruiz
 
DOCX
Trabajo de elba bea
Beatriz Rangel Ruiz
 
DOCX
Trabajo de elba bea
yeniferbaez
 
PDF
Seguridad informatica
Mario Herrera
 
Monografia gestion de seguridad en redes
batuvaps
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
YurlyMilenaJAIMESTOR1
 
Power point informatica
fabioescobar17
 
Laseguridadinformtica ivan
IvanEuan
 
Power blogger
Sergio Sanchez de Castro
 
La seguridad informática en power point
marlenis carrion
 
Evaluacion de la seguridad
Georgy Jose Sanchez
 
Seguridad informatica
Jeaneth Calderon
 
La seguridad informática en power point
linda gonzalez
 
programacion_y_seguridad_clase_1_13082024.ppt
MaximilianoViapiano3
 
cobaxinvanessa@gmail.com
VanessaCobaxin
 
seguridad_informatica
Billy varon -cun
 
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Equipo 4
Tavo Adame
 
la disponibilidad de los sistemas de información
marvel12
 
Seguridad informática (Gestión de la seguridad Informatica)
Ana Pino
 
Trabajo de elba bea
Beatriz Rangel Ruiz
 
Trabajo de elba bea
Beatriz Rangel Ruiz
 
Trabajo de elba bea
yeniferbaez
 
Seguridad informatica
Mario Herrera
 
Publicidad

Último (20)

PDF
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
PDF
CONFERENCIA-Deep Research en el aula universitaria-UPeU-EduTech360.pdf
Andy Garcia Peña
 
PPTX
caso clínico iam clinica y semiología l3.pptx
EnriqueQuerales1
 
PDF
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
PPTX
AGENTES PATÓGENOS Y LAS PRINCIPAL ENFERMEAD.pptx
antonioortiz920669
 
PDF
TOMO II - LITERATURA.pd plusenmas ultras
AxelCastillo56
 
PDF
Educación Artística y Desarrollo Humano - Howard Gardner Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
MATERIAL DIDÁCTICO 2023 SELECCIÓN 1_REFORZAMIENTO 1° BIMESTRE.pdf
YessicaMuozMuoz1
 
PDF
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
DOCX
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
PDF
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
PDF
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
PDF
Teologia-Sistematica-Por-Lewis-Sperry-Chafer_060044.pdf
NiviInscripcionesLim
 
PDF
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 
DOCX
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
PDF
CIRSOC-201-2024_Proyecto de Reglamento Argentino de Estructuras de Hormigón
Universidad Nacional de Lanús
 
TRAUMA_Y_RECUPERACION consecuencias de la violencia JUDITH HERMAN
arribalosbuscavidas
 
CONFERENCIA-Deep Research en el aula universitaria-UPeU-EduTech360.pdf
Andy Garcia Peña
 
caso clínico iam clinica y semiología l3.pptx
EnriqueQuerales1
 
Didactica de la Investigacion Educativa SUE Ccesa007.pdf
Demetrio Ccesa Rayme
 
AGENTES PATÓGENOS Y LAS PRINCIPAL ENFERMEAD.pptx
antonioortiz920669
 
TOMO II - LITERATURA.pd plusenmas ultras
AxelCastillo56
 
Educación Artística y Desarrollo Humano - Howard Gardner Ccesa007.pdf
Demetrio Ccesa Rayme
 
MATERIAL DIDÁCTICO 2023 SELECCIÓN 1_REFORZAMIENTO 1° BIMESTRE.pdf
YessicaMuozMuoz1
 
el - LIBRO-PACTO-EDUCATIVO-GLOBAL-OIEC.pdf
Erny Cuba Arcaya
 
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
Crear o Morir - Andres Oppenheimer Ccesa007.pdf
Demetrio Ccesa Rayme
 
Guia de Tesis y Proyectos de Investigacion FS4 Ccesa007.pdf
Demetrio Ccesa Rayme
 
Cronograma de clases de Práctica Profesional 2 2025 UDE.pdf
RicardoGermnRincn1
 
Unidad de Aprendizaje 5 de Matematica 1ro Secundaria Ccesa007.pdf
Demetrio Ccesa Rayme
 
UNIDAD DE APRENDIZAJE 5 AGOSTO tradiciones
GabrielaCallupeGanoz
 
Teologia-Sistematica-Por-Lewis-Sperry-Chafer_060044.pdf
NiviInscripcionesLim
 
Unidad de Aprendizaje 5 de Educacion para el Trabajo EPT Ccesa007.pdf
Demetrio Ccesa Rayme
 
V UNIDAD - PRIMER GRADO. del mes de agosto
MilberIta
 
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
CIRSOC-201-2024_Proyecto de Reglamento Argentino de Estructuras de Hormigón
Universidad Nacional de Lanús
 

Integridad de los Datos

  • 1. La integridad de los datos: el aspecto más relegado de la seguridad de la informaciónEl tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación del servicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos). El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar las indicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos.1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado
  • 2. La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la necesidad que tiene una empresa de protegerlos. No es conveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio. Por lo tanto, el control y el proceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades y la encriptación. El método más sencillo para medir la confidencialidad tiene una lógica binaria: el carácter confidencial de la información puede haberse preservado (si la información no se ha divulgado) o no (si se ha divulgado). Lamentablemente, este método no resulta demasiado útil, ya que no refleja los efectos de la divulgación de los datos, que abarcan desde situaciones bochornosas hasta atentados contra la seguridad nacional. Si analizamos la noción de integridad, la situación se torna más compleja, porque se trata de un concepto que puede tener distintas interpretaciones.
  • 3. ¿Cómo Garantizar una Mayor Integridad de los Datos? Debe complementarse con la formalización de las responsabilidades correspondientes a los procesos de negocio y TI (Tecnologías de la Información). Delimitación de responsabilidades en la Empresa En todo programa de aseguramiento de la integridad de los datosdeben estar definidas las responsabilidades: › De “detección y detención” (“Detect, Deter” o 2D) › De “prevención y preparación” (“Prevent, Prepare” o 2P); y › De “respuesta y recuperación” (“Respond, Recover” o 2R).
  • 4. Las buenas prácticas a adoptar son: •Tomar posesión de los datos y asumir la responsabilidad de garantizar su integridad. Para tomar el control de la información, se debe realizar una evaluación de valores que permita calcular el costo potencial de la pérdida de la integridad de los datos y contemple las pérdidas económicas directas. •Controlar los derechos y privilegios de acceso. Los principios de necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP) constituyen prácticas eficaces. Los administradores y/o programadores a cargo de la gestión de las aplicaciones en las unidades de negocios deberían, al menos, mantener un registro que consigne quiénes tienen acceso a qué datos, además de asegurarse de que se mantengan y revisen los registros de cambios. Una vez que se han aplicado los principios de NtK y LP, el acceso privilegiado sigue siendo un tema delicado, ya que permite acceder libremente a los datos de producción y códigos fuente. •Segregación de funciones (SoD). Este es un concepto de probada eficacia práctica, en el que seguramente harán hincapié las auditorías internas cuando se revisen sistemas y
  • 5. Responsabilidades de los equipos de apoyo de TI yusuarios finales Deben responsabilizarse de la creación de cuentas y credenciales deacceso a los sistemas y datos, de que estas estén documentadas y que solo deben usarse cuando sehayan concedido formalmente las autorizaciones pertinentes. Responsabilidades de la Auditoría Interna Los auditores se ocupan de determinar en qué medida se hanrespetado las responsabilidades de las unidades de negocio y del equipo de TI respecto de la preservaciónde la integridad de los datos.
  • 6. Ataques a la Integridad de los Datos Los ataques a la integridad de los datos consisten en la modificación intencional de los datos, sin autorización alguna, en algún momento de su ciclo de vida. En el contexto del presente artículo, el ciclo de vida de los datos comprende las siguientes etapas: Introducción, creación y/o adquisición de datos. Procesamiento y/o derivación de datos. Almacenamiento, replicación y distribución de datos. Archivado y recuperación de datos. Realización de copias de respaldo y restablecimiento de datos. Borrado, eliminación y destrucción de datos.
  • 7. Hace años que las organizaciones que operan tanto en el sector público como en el privado sufren alteraciones en sus sitios web, pero, más allá del eventual perjuicio a la reputación de una empresa, ninguno de los daños ocasionados puede considerarse “catastrófico”. Las bombas lógicas, el software no autorizado que se introduce en un sistema por acción de las personas encargadas de programarlo/mantenerlo, los troyanos y demás virus similares también pueden afectar la integridad de los datos a través de la introducción de modificaciones (por ejemplo, al definir una fórmula incorrecta en una hoja de cálculo) o la encriptación de datos y posterior exigencia de un “rescate” para revelar la clave de desencriptación. En los últimos años se han producido numerosos ataques de características similares a las mencionadas, que afectan principalmente los discos duros de las computadoras personales. Debería esperarse que tarde o temprano se produzcan ataques de este tipo destinados a los servidores.