UNIVERSIDAD TECNOLOGICA DE CAMPECHE INGENIERÍA EN DESARROLLO Y GESTIÓN DE SOFTWARE GRADO Y GRUPO: 7 “A” NOMBRE DE LA MATERIA: Seguridad informática. NOMBRE DE LA ACTIVIDAD: Investigación. NOMBRE DEL DOCENTE Martin Alcocer Ávila. PRESENTADO POR: MATRICULA 4220010135 NOMBRE DEL ALUMNO Axel Eduardo Cambranis Sosa. CICLO ESCOLAR AGOSTO-DICIEMBRE. UNIVERSIDAD TECNOLOGICA DE CAMPECHE ASPECTOS ÉTICOS Y LEGALES DEL MANEJO DE LA INFORMACIÓN. Ley General de protección de datos Personales de México: México cuenta con una ley que regula el tratamiento de los datos personales por parte de empresas del sector privado desde el 5 de julio de 2010, esa ley se llama Ley Federal de Protección de Datos Personales en Posesión de los Particulares o Ley de Protección de Datos. Su aplicación determina que se evite que los datos personales sean utilizados indebidamente, que se respeten los derechos de los dueños de los datos y que se garantice una expectativa razonable de privacidad. Quienes traten datos personales deben tomar en cuenta las guías y documentos emitidos por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales ("INAI"). Para aplicar la ley que protege a los datos de los usuarios, son establecidos algunos principios por la Ley de Protección de Datos, son ellos: 1) Licitud: deberá cumplirse la Ley de Protección de Datos, su Reglamento y cualquier otra regulación aplicable al tratar los datos; 2) Consentimiento: siempre que sea necesario deberá obtenerse el consentimiento de los titulares para el tratamiento de sus datos personales; 3) Información: debe ser de conocimiento del titular la información relacionada con el tratamiento de sus datos; 4) Calidad: todos los datos personales recolectados deben ser exactos, completos, pertinentes, correctos y actualizados de acuerdo con sus finalidades; 5) Finalidad: el tratamiento de datos debe cumplir las finalidades establecidas en el aviso de privacidad presentado al usuario; 6) Lealtad: proteger los intereses del titular y la expectativa razonable de privacidad al tratar los datos personales; 7) Proporcionalidad: sólo los datos personales necesarios, adecuados y relevantes en relación con las finalidades podrán ser tratados; 8) Responsabilidad: la empresa debe responder por el tratamiento de los datos personales recolectados. UNIVERSIDAD TECNOLOGICA DE CAMPECHE Ley de propiedad industrial: Esta Ley tiene por objeto: I.- Proteger la propiedad industrial mediante la regulación y otorgamiento de patentes de invención; registros de modelos de utilidad, diseños industriales, esquemas de trazado de circuitos integrados, marcas y avisos comerciales; publicación de nombres comerciales; declaración de protección de denominaciones de origen e indicaciones geográficas; II.- Regular los secretos industriales; III.- Prevenir los actos que atenten contra la propiedad industrial o que constituyan competencia desleal relacionada con la misma y establecer las sanciones y penas respecto de ellos; IV.- Promover y fomentar la actividad inventiva de aplicación industrial, las mejoras técnicas, la creatividad para el diseño y la presentación de productos nuevos y útiles, y V.- Promover la difusión de los conocimientos tecnológicos en el país. Artículo 3.- En lo no previsto en la presente Ley serán aplicables de manera supletoria, primero, la Ley Federal de Procedimiento Administrativo y, posteriormente, el Código Federal de Procedimientos Civiles. Artículo 4.- Para los efectos de esta Ley se entiende por: I.- Diario Oficial, al Diario Oficial de la Federación; II.- Gaceta, a la Gaceta de la Propiedad Industrial; III.- Instituto, al Instituto Mexicano de la Propiedad Industrial; IV.- Ley, a la presente Ley; V.- Persona Titular de la Dirección General, a la persona Titular de la Dirección General del Instituto Mexicano de la Propiedad Industrial, y VI.- Tratados Internacionales, a los celebrados de conformidad con la Ley sobre la celebración de Tratados y la Ley sobre la aprobación de Tratados Internacionales en Materia Económica, en los que México sea parte. UNIVERSIDAD TECNOLOGICA DE CAMPECHE Ley federal de derechos de autor: Se trata del reconocimiento que otorga el Estado a cualquier persona que haya creado una obra ya sea literaria o artística. La finalidad, es que el autor pueda gozar de los derechos tanto económicos como patrimoniales. Existen dos tipos de derechos que cualquier autor puede gozar: Derecho Moral: Identifica al autor como el único que puede decidir sobre su exposición al mundo; así como a cualquier tipo de modificación. Asimismo, defiende la obra de sufrir alguna alteración sin el consentimiento del artista. Este derecho, además tiene las siguientes características: • Inalienable: quiere decir que nadie puede quitarle su derecho de autor. • Imprescriptible: esto quiere decir que los derechos no prescriben; es decir no se acaban hasta que el autor muere. El derecho continúa 100 años después de la muerte. • Irrenunciable: esto quiere decir que el autor o creador de un material no puede renunciar a la autoría. • Inembargable: ninguna institución puede embargar el derecho que el autor tiene sobre su obra. ¿Quién protege? En México la instancia que se encarga de fomentar la creatividad, la administración del registro público del derecho de autor, desarrollo cultural y además impulsar la cooperación internacional en este tema, es el Instituto Nacional del Derecho de Autor. Las principales funciones del Instituto Nacional del Derecho de Autor son: La inscripción de obras literarias y artísticas como convenios o contratos para transmitir los derechos patrimoniales. Asesorar en materia de Derecho de Autor. Otorgar cualquier tipo de reservas Dar el Número Internacional Normalizado del Libro o ISBN y el Número Internacional Normalizado para Publicaciones Periódicas o ISSN. UNIVERSIDAD TECNOLOGICA DE CAMPECHE Ley federal de datos personales en posesión de particulares: La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Artículo 2.- Son sujetos regulados por esta Ley, los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales, con excepción de: I. Las sociedades de información crediticia en los supuestos de la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables, y II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial. Artículo 3.- Para los efectos de esta Ley, se entenderá por: I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley. II. Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable. III. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponde. IV. Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos. V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar UNIVERSIDAD TECNOLOGICA DE CAMPECHE aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual. VII. Días: Días hábiles. VII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo. VIII. Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable. Código penal federal: Un código penal es un código o documento que compila todo, o una cantidad significativa, del derecho penal de una jurisdicción en particular. Por lo general, un código penal contendrá delitos reconocidos en la jurisdicción, las sanciones que podrían imponerse por estos delitos y algunas disposiciones generales (como definiciones y prohibiciones de enjuiciamiento retroactivo). Los códigos penales son relativamente comunes en las jurisdicciones de derecho civil, que tienden a construir sistemas legales en torno a códigos y principios que son relativamente abstractos y los aplican caso por caso. Por el contrario, no son tan comunes en las jurisdicciones de derecho anglosajón. Los códigos penales generalmente se apoyan por su introducción de coherencia en los sistemas legales y para hacer que el derecho penal sea más accesible para los laicos. Un código puede ayudar a evitar un efecto paralizador cuando la legislación y la jurisprudencia parecen ser inaccesibles o incomprensibles para los que no son abogados. Alternativamente, los críticos han argumentado que los códigos son demasiado rígidos y que no brindan suficiente flexibilidad para que la ley sea efectiva. De acuerdo al artículo 1º y 2º del Código Penal Federal de México, ese código se le aplicara a todo los mexicanos de delitos de orden Federal, así como los delitos que se cometan en el extranjero, siempre cuando estos tengan una repercusión en el territorio mexicano, sin embargo, el delito que se prepare, realice o se cometa en el extranjero, y exista un tratado e vinculación en ese país, cumpliendo con los requisitos del artículo 4º del mismo código, será juzgado por el código penal de la federación. Ley general de transparencia y acceso a la información: La ley tiene por objeto establecer los principios, bases generales y procedimientos para garantizar el derecho de acceso a la información en México. El derecho humano de acceso a la información comprende solicitar, investigar, difundir, buscar y recibir información. UNIVERSIDAD TECNOLOGICA DE CAMPECHE Son sujetos obligados a transparentar y permitir el acceso a su información y proteger los datos personales que obren en su poder: cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en los ámbitos federal, de las Entidades Federativas y municipales. UNIVERSIDAD TECNOLOGICA DE CAMPECHE ESTÁNDARES DEL MANEJO DE LA INFORMACIÓN. ISO 27001: ¿Qué es la ISO 27001? Sistemas de Gestión la Seguridad de la Información. ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos. La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización. La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002. Estructura de la norma ISO 27001 • Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar. • Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001. • Términos y Definiciones: Describe la terminología aplicable a este estándar. • Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI. • Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma. • Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos. • Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, UNIVERSIDAD TECNOLOGICA DE CAMPECHE conciencia, comunicación e información documentada pertinente en cada caso. • Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos. • Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado. • Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI. ISO 17799: Seguridad de la Información La norma ISO 27001 facilita los requisitos que se deben adoptar para poder implementar un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la información de la organización de una forma segura ante cualquier posible amenaza. La norma NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su valor añadido ante las demás organizaciones del mismo sector. El objetivo de la norma NTP-ISO/IEC 17799 es dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requisitos de la organización, la legislación y las regulaciones. La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información, publicando y manteniendo una política de seguridad en toda la empresa. Se tiene que establecer un compromiso por parte de la gerencia y el enfoque de la empresa para gestionar la Seguridad de la Información. El documento tiene que ofrecer como mínimo la siguiente información: • Definición de Seguridad de la Información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que facilita que se comparta la información. UNIVERSIDAD TECNOLOGICA DE CAMPECHE • Establecer los objetivos de la gerencia como soporte de los objetivos y los principios de la Seguridad de la Información. • Generar un marco en el que poder colocar todos los objetivos de control y mandos, en los que se debe incluir la estructura de evaluación de riesgo y gestión del riesgo. • Una pequeña explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la empresa, como puede ser; conformidad con los requisitos legales, requisitos de formación en seguridad, gestión de la continuidad de negocio y consecuencias del incumplimiento de las políticas de seguridad. • Una definición de la responsabilidad general y específica en materia de gestión de la Seguridad de la Información, incluyéndose la comunicación de las incidencias en seguridad. • Referencias a documentos que puedan sustentar la política de seguridad y los procedimientos mucho más detallados para Sistema de Información específicos. COBIT: COBIT es un marco de trabajo (framework) para el gobierno y la gestión de las tecnologías de la información (TI) empresariales y dirigido a toda la empresa. Ha sido promovido por ISACA desde su primera versión en 1996 y actualmente se encuentra disponible la versión COBIT 2019. En la primera versión del marco de trabajo, COBIT se estableció como un acrónimo que significa Control Objetives for Information and Related Technology (Objetivos de Control para la Información y Tecnología Relacionada) y su público objetivo inicial eran los auditores de TI. La versión actual considera diversas partes interesadas, no solamente la función de TI de una empresa, sino a otros interesados como la Junta Directiva, Dirección Ejecutiva, Auditoría, etc. La TI empresarial significa toda la tecnología y procesamiento de la información que una empresa utiliza para lograr sus objetivos, independientemente de dónde ocurra dentro de la empresa. En otras palabras, la TI empresarial no se limita al Depto. de TI de una organización. NIST: El Framework NIST es un enfoque basado en el riesgo para gestionar la ciberseguridad, y está compuesto por tres partes: el núcleo del marco, los niveles de implementación del marco y los perfiles del mismo. Cada componente del framework refuerza la conexión entre los impulsores del negocio y las actividades de ciberseguridad. UNIVERSIDAD TECNOLOGICA DE CAMPECHE El núcleo del framework es un conjunto de actividades de seguridad cibernética, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura críticas. El núcleo presenta estándares, directrices y prácticas de la industria de una manera que permite la comunicación de las actividades y los resultados de ciberseguridad en toda la organización desde el nivel ejecutivo hasta el nivel de implementación / operaciones. El Core consta de cinco Funciones simultáneas y continuas: Identificar, Proteger, Detectar, Responder, Recuperar. Cuando se consideran juntas, estas funciones proporcionan una visión estratégica de alto nivel del ciclo de vida de la administración de riesgos de ciberseguridad de una organización. El núcleo del framework identifica categorías y subcategorías clave subyacentes para cada función y las compara con ejemplos de referencias informativas, como estándares, directrices y prácticas existentes para cada subcategoría. ITIL: ¿Qué es ITIL? Las siglas ITIL significan Information Technology Infrastructure Library, que traduciríamos literalmente como Biblioteca de Infraestructura de Tecnologías de Información. ITIL es una guía de buenas prácticas para la gestión de servicios de tecnologías de la información (TI). La guía ITIL ha sido elaborada para abarcar toda la infraestructura, desarrollo y operaciones de TI y gestionarla hacia la mejora de la calidad del servicio. Los pilares de ITIL son los siguientes principios: • Procesos: necesarios para la gestión de TI de acuerdo a la alineación de los mismos dentro de la organización. • Calidad: entendida como la entrega a cliente del producto o servicio óptimos, es decir, incluyendo las características acordadas. • Cliente: su satisfacción es el objetivo de la mejora de los servicios, siendo, por lo tanto, el beneficiario directo de la implantación de las buenas prácticas de ITIL. • Independencia: siempre deben mantenerse buenas prácticas a pesar de los métodos establecidos para cada proceso y de los proveedores existentes. UNIVERSIDAD TECNOLOGICA DE CAMPECHE CONCEPTOS DE SEGURIDAD. Accesibilidad. Los sistemas, aplicaciones y datos son de poco valor para una organización y sus clientes si no son accesibles cuando los usuarios autorizados los necesitan. En pocas palabras, la accesibilidad significa que las redes, los sistemas y las aplicaciones están en su pleno funcionamiento. Ello garantiza que los usuarios autorizados tengan acceso oportuno y fiable a los recursos cuando los necesiten. Muchas cosas pueden poner en peligro la accesibilidad, incluyendo fallas de hardware o software, fallas en el suministro eléctrico, desastres naturales o errores humanos. Quizás el ataque más conocido que amenaza la accesibilidad es la denegación de servicio, en el que el rendimiento de un sistema, sitio web, aplicación basada en la web o servicio basado en la web, se degrada de forma intencional y maliciosa. Con ello, el sistema se vuelve completamente inalcanzable. Confidencialidad. La confidencialidad se refiere a los esfuerzos de una organización para mantener sus datos privados o secretos. En la práctica, se trata de controlar el acceso a los datos para evitar su divulgación no autorizada. Esto implica asegurarse que sólo aquellos autorizados tengan acceso a activos específicos y, que quienes no están autorizados, sean impedidos activamente de obtener acceso Por ejemplo, solo algunos empleados autorizados deberían tener acceso a la base de datos de nómina de todos los empleados en una organización. Además, dentro de un grupo de usuarios autorizados, puede haber limitaciones adicionales y más estrictas en cuanto a la información a la que esos usuarios autorizados pueden acceder. Disponibilidad. La disponibilidad de la información es importantísima; porque el negocio puede depender de la disponibilidad de sus datos y sistemas para atender a sus socios y clientes. Herramientas del Principio de Disponibilidad Las herramientas que garantizan el principio de disponibilidad son el Nobreak, el Firewall y Backup. El Nobreak se trata de un dispositivo alimentado por baterías, capaz de proveer energía eléctrica a un sistema durante determinado período en situaciones de UNIVERSIDAD TECNOLOGICA DE CAMPECHE emergencia, en el caso de interrupción del suministro de energía de la red pública. O sea, esa herramienta impide que el sistema se apague, siendo una herramienta de disponibilidad. Autenticidad. Ese principio garantiza veracidad de autoría de la información. Sin embargo, no garantiza la veracidad del contenido de la información. La autenticidad garantiza la veracidad del autor, de quién produjo la información, sin importar si el contenido es verdadero o falso. No Repudio: La autenticidad también garantiza un subproducto, que es el No Repudio. El No Repudio está incluido en la autenticidad y significa que el autor de la información no tiene como negar que él es el autor verdadero. O sea, genera la incapacidad de negación de autoría de información. Integridad: En el uso diario, la integridad se refiere a la entereza de algo. En seguridad informática, la integridad consiste en garantizar que los datos no hayan sido manipulados y, por lo tanto, sean confiables. Los clientes del comercio electrónico, por ejemplo, esperan que la información sobre productos y precios sea precisa, o que la cantidad, el precio, la disponibilidad y otros datos, no sean alterados después de realizar un pedido. Los clientes bancarios deben poder confiar en que su información bancaria y los saldos de sus cuentas no sean manipulados. Garantizar la integridad implica proteger los datos en uso, en tránsito (por ejemplo, al enviar un correo electrónico o al cargar o descargar un archivo) y al almacenarlos, ya sea en aparatos físicos o en la nube. Identificar el tipo ciberseguridad de amenazas, vulnerabilidades y ataques a la Las amenazas, las vulnerabilidades y los ataques son el objetivo central de los paladines de ciberseguridad. Una amenaza a la ciberseguridad es la posibilidad de que ocurra un evento nocivo, como un ataque. Una vulnerabilidad es una debilidad que hace que un objetivo sea susceptible a un ataque. Un ataque es una explotación deliberada de una debilidad detectadas en sistemas de información de la computadora, ya sea como objetivos específicos o simplemente como objetivos de la oportunidad. Los delincuentes informáticos pueden tener diferentes motivaciones para seleccionar un objetivo de un ataque. Los delincuentes cibernéticos tienen éxito al buscar e identificar continuamente los sistemas con UNIVERSIDAD TECNOLOGICA DE CAMPECHE vulnerabilidades evidentes. Las víctimas comunes incluyen sistemas sin parches o sistemas que no cuentan con detección de virus y de correo no deseado. CONCEPTOS DE CRIPTOGRAFÍA. Criptografía simétrica: La criptografía de clave simétrica es un término utilizado para los algoritmos criptográficos que utilizan la misma clave para el cifrado y el descifrado. La clave se suele llamar "clave simétrica" o "clave secreta". Esto generalmente se contrasta con criptografía de clave pública en el que las claves se generan en pares, y la transformación realizada por una clave solo se puede revertir utilizando la otra clave. Los algoritmos de clave simétrica son seguros y altamente eficientes cuando se usan de manera adecuada, de modo que pueden usarse para cifrar grandes cantidades de datos sin tener un efecto negativo en el rendimiento. La mayoría de los algoritmos de clave simétrica actualmente en uso son cifrados de bloque: esto significa que cifran los datos bloque por bloque. El tamaño de cada bloque está fijado y determinado por el algoritmo: por ejemplo, AES utiliza bloques de 16 bytes. Los cifrados de bloque siempre se utilizan con un modo, que especifica cómo cifrar de forma segura los mensajes que son más largos que el tamaño de bloque. Por ejemplo, AES es un cifrado, mientras que CTR, CBC y GCM son todos modos. El uso de un modo inapropiado, o el uso de un modo incorrecto, puede socavar completamente la seguridad proporcionada por el cifrado subyacente. Criptografía asimétrica: La criptografía asimétrica (del inglés: asymmetric key cryptography), también conocida como criptografía de clave pública (public key cryptography) o criptografía de dos claves (two-key cryptography), es un sistema criptográfico que se caracteriza por utilizar dos claves, una clave pública y otra privada, para el envío de mensajes o datos informáticos. Cabe señalar que ambas claves están conectadas entre sí, siendo que la clave pública es la responsable del cifrado y la clave privada del descifrado. En cuanto al procedimiento, el destinatario genera ambas claves y comunica la clave pública al emisor del mensaje quien, por su parte, tiene ahora la opción de cifrar el mensaje. Una vez que se haya enviado el mensaje, solo se podrá descifrar con la clave privada, de manera que si el mensaje cifrado es interceptado, la información del mensaje permanecerá oculta. Además, los métodos criptográficos garantizan que esa pareja de claves solo se puede generar una vez, de modo que se puede asumir que no es posible que dos personas hayan obtenido casualmente la misma pareja de claves. UNIVERSIDAD TECNOLOGICA DE CAMPECHE Cifrado por bloques y por flujo: Algoritmos de cifrado por bloques: Aplican su transformación sobre bloques de datos de longitud fija. UNIVERSIDAD TECNOLOGICA DE CAMPECHE REFERENCIAS. https://www.salesforce.com/mx/blog/2020/11/ley-de-proteccion-de-datospersonales.html#:~:text=La%20Ley%20de%20Protecci%C3%B3n%20de%20Datos%20en %20M%C3%A9xico&text=Su%20aplicaci%C3%B3n%20determina%20que%20se,una%2 0expectativa%20razonable%20de%20privacidad. https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPPI_010720.pdf https://www.cofide.mx/blog/que-protege-el-derecho-de-autor-y-cuales-son-suscaracteristicas#:~:text=Este%20derecho%2C%20adem%C3%A1s%20tiene%20las,a%C3 %B1os%20despu%C3%A9s%20de%20la%20muerte. https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf https://observatoriop10.cepal.org/es/instrumentos/ley-general-transparencia-acceso-lainformacion-publica https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/ https://www.pmg-ssi.com/2015/04/isoiec-17799-politica-de-seguridad/ https://www.globalsuitesolutions.com/es/que-es-cobit/ https://ciberseguridad.blog/como-implantar-el-framework-nist/ https://www.globalsuitesolutions.com/es/que-es-itil-y-para-que-sirve/ https://ostec.blog/es/seguridad-informacion/principios-basicos-de-la-seguridad-de-lainformacion/ https://mundocontact.com/cia-los-tres-principios-fundamentales-de-la-seguridad-de-lainformacion/#:~:text=En%20pocas%20palabras%2C%20la%20accesibilidad,los%20recurs os%20cuando%20los%20necesiten. https://ddimx.com/wp/seguridad-datos/capitulo-3-amenazas-vulnerabilidades-y-ataques-ala-ciberseguridad/ https://developer.mozilla.org/es/docs/Glossary/Symmetric-key_cryptography https://www.adictosaltrabajo.com/2016/11/10/criptografia-yseguridad/#:~:text=Algoritmos%20de%20cifrado%20por%20bloques,texto%20plano%20d %C3%ADgito%20a%20d%C3%ADgito.