Escolar Documentos
Profissional Documentos
Cultura Documentos
Scott, Walter
Al abordar el tema de Seguridad Informática, Ormella (s.f.) explica que este puede ser mayormente
asociado a terminología como “computer security” o “network security”, ya que su enfoque es básicamente
técnico y está orientado a la identificación, manejo y mitigación de vulnerabilidades, amenazas y riesgos
que puedan presentarse en medios informáticos.
Dado que la información puede encontrarse en diferentes medios o formas, y no solamente en medios
informáticos, se considera a la Seguridad de la Información como un concepto mucho más amplio, por
cuanto no es solamente una cuestión técnica, sino responsabilidad de la alta gerencia y directivos de la
organización. Esto implica que “para el marco de la Seguridad de la Información se requiere considerar
no solamente los riesgos técnicos de TIC, sino también los riesgos de seguridad que se extienden a toda la
empresa, es decir: organizacionales, operacionales y físicos” (Ormella, s.f.).
“En el contexto de la Seguridad de la Información los riesgos de negocios incluyen no solo las
vulnerabilidades y un aspecto de las amenazas, sino el conjunto de los factores que determinan tales
riesgos: activos, vulnerabilidades y amenazas”. La figura 1 esquematiza el papel de la seguridad
informática como parte de la seguridad de la información.
Como podemos observar, la seguridad es vista desde diferentes ámbitos de la sociedad como una
organización, una comunidad, un producto, un servicio o a su vez como un sistema embebido que de
una u otra manera aporta a la gestión, la reingeniería y procesos que se llevan dentro de una empresa.
Basado en estos conceptos, explique con sus propias palabras ¿Qué entiende usted por Seguridad
de la Información?, es recomendable revisar definiciones proporcionadas por otros autores que
nos permitan esclarecer el tema.
Luego de revisar varias definiciones propuestas por otros autores es elemental preguntarnos, ¿para qué
me sirve la seguridad de la información? y ¿qué tan importante es la seguridad dentro de una empresa? En el
siguiente tema se estudia la importancia que debe dársele a la seguridad dentro de una organización.
Razones como estas han incrementado la importancia que se le debe dar a la seguridad, obligándola a
tornarse en un componente clave, necesario y obligatorio a implantarse en cualquier tipo de proyecto de
sistemas de información. Así, “el ámbito de aplicación abarca el desarrollo, la integración, la operación, la
administración, el mantenimiento y la evolución de los sistemas y las aplicaciones, es decir, todo el ciclo
de vida de los productos o unidades de negocios” (Areitio, 2008).
Para continuar lo invitamos a desarrollar la siguiente actividad que le ayudará a reforzar los conocimientos
adquiridos.
1.3.2. Integridad
Definida como la certeza o garantía de que la información no ha sido modificada de forma no autorizada.
En Areitio(2008) se define dos facetas de la integridad:
a. Integridad de datos, como la propiedad de que los datos no sean alterados mientras se almacenan,
procesan o transmiten.
b. Integridad del sistema, como la cualidad del sistema al realizar la función deseada, sin deterioro y
libre de manipulación no autorizada.
1.3.3. Confidencialidad
Se refiere a la protección de la información ante usuarios no autorizados, misma que se aplica durante
su procesamiento, transmisión o durante el tránsito. Las empresas son responsables de la protección de
datos, entre los cuales puede haber información de clientes e información interna de la organización. Su
importancia depende del tipo de organización y de la información por ella manejada.
Este requisito permite que se pueda llevar una trazabilidad de las acciones de una entidad de forma
única, lo que permitiría aislar los fallos y determinar responsabilidades para luego poder actuar de la
manera reglamentada.
1.3.5. Confiabilidad
Garantiza que los objetivos anteriores han sido cumplidos. Es la base de la confianza de que las medidas
de seguridad planificadas están en completo funcionamiento para proteger el sistema y la información.
Figura. 3 Objetivos principales de la seguridad
Fuente: los autores
El desafío de la seguridad puede ser una tarea compleja, así que debemos administrar cuidadosamente
las políticas para mantener el equilibrio entre el acceso transparente, el uso y la seguridad.
Cualquier falla en uno de estos objetivos pondría en riesgo la seguridad de los datos de la entidad. La
siguiente figura 4 muestra este hecho, a la vez que nos introduce en importantes conceptos como activos
(ej: servidores, datos, software, personas, etc.), amenaza (ej: virus, incendio, phising, etc.), vulnerabilidad
(ej: falta de antivirus, salas de servidores desprotegidas, software mal diseñado, etc.), impacto (ej: pérdida
de datos, servidores inoperativos, etc.), salvaguardas (ej: Antivirus, sistema antiincendios, etc.) y riesgo
(ej: virus con alta probabilidad de infección).
1.4.1. Vulnerabilidad
En Santana (2012), Somarriba (2004) y Prandini (2013) se la define como a una debilidad de un sistema
informático que es utilizada para causar daño. Pueden aparecer en cualquiera de los elementos de un
sistema informático, tanto en hardware, como en software. Para INTECO(s.f.), “las vulnerabilidades son
la piedra angular de la seguridad, puesto que suponen el origen del que derivan numerosos fallos de
seguridad”.
En Mifsud (2012) se agrupa a las vulnerabilidades según su función, (Ver tabla 1).
Las vulnerabilidades pueden ser tangibles e intangibles; aunque no existe una clasificación definida,
mencionaremos la clasificación que hace Defaz (2006), así:
a. Vulnerabilidad Física.- Grado en que el sistema puede verse afectado por desastres naturales
o ambientales, como por ejemplo: fuego, inundaciones, rayos, terremotos, o quizás más
comúnmente, fallos eléctricos o picos de potencia. Otro aspecto a considerar es la posibilidad de
acceder físicamente al sistema para robar o dañar discos, cintas, listados de impresora, etc.; las más
relevantes son:
6
Puertas y ventanas sin cerrojo.
Paredes que se pueden asaltar físicamente.
Paredes interiores que no sellan las salas por completo (techo y suelo).
Instalación situada sobre una línea de error.
Instalación situada en una zona de inundaciones.
Instalación situada en un área de avalanchas.
c. Vulnerabilidad Humana.- Las personas que administran y utilizan el sistema representan las
mayores vulnerabilidades, que pueden ser voluntarias o involuntarias. La seguridad del sistema
es responsabilidad del administrador del mismo, el cual tiene acceso al máximo nivel y sin
restricciones a estos recursos. Los usuarios del sistema también son considerados como un gran
riesgo, ya que ellos podrían acceder al mismo, físicamente o mediante una conexión. Entre las
principales vulnerabilidades de este tipo tenemos:
No se puede considerar a un sistema informático como totalmente seguro, pero se puede crear
mecanismos que permitan evitar la mayoría de ataques.
1.4.2. Riesgo
Como se cita en Sullivan (2016), riesgo es “La posibilidad de sufrir daños o pérdidas”. Es la probabilidad
de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no
representan un peligro. Pero juntas se convierten en un riesgo, o sea, en la probabilidad de que ocurra un
desastre.
7
El riesgo se utiliza sobre todo en análisis de riesgos de un sistema informático. Esté riesgo permite tomar
decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite aceptable para su
equipo, de forma tal, que si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.
Los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y
si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes,
podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres.
1.4.3. Amenaza
Puede ser definida como un evento que puede afectar los activos de información y que pueden estar
relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden
ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con
malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico, etc. También se pueden
considerar amenazas los fallos cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto
del hardware o cómo del software.
1.4.4. Impacto
Se consideran tres grupos de impactos, ordenados según las consecuencias que reduzcan el estado de la
seguridad del activo atacado, directa e indirectamente, estas son: cualitativo con pérdidas funcionales,
cualitativo con pérdidas orgánicas y cuantitativo.
Desarrolladores de software.
Fabricantes de productos.
Integradores de datos en el sistema.
Compradores, que pueden ser organizaciones o usuarios finales.
Organizaciones de evaluación de la seguridad, como certificadores de sistemas, evaluadores de
productos o acreditadores de operación.
Administradores de sistemas y de seguridad.
Terceras partes confiables, como son las autoridades de certificación, fedatarios electrónicos con
servicios de firma electrónica avanzada y sellado temporal.
Consultores u organizaciones de servicios, por ejemplo, servicios de externalización u outsourcing
de la gestión de la seguridad.
Estos entes se encuentran relacionados con las actividades de la seguridad; a continuación veremos a
modo de ejemplo como intervienen los desarrolladores de software:
U.A.E
22
Desarrollador de software: Cuando se desarrolla un software (un Sistema de Gestión Académica por
ejemplo), el responsable de su elaboración debe cuidar que sea confiable y manipulable por el personal
autorizado; definiendo roles para: administradores, estudiantes, profesores, etc, garantizando la
seguridad de la información y su indebida manipulación.
Para ampliar su conocimiento y para que tenga claro el rol que desempeñan cada ente, recurra a
otro tipo de fuentes bibliográficas como: internet, libros, REAs, etc, y defina ¿Cuál es el rol que
cumple cada uno de ellos?, guiándose por el ejemplo propuesto.
Después de analizar los roles de cada uno de los entes mencionados, estoy seguro que podemos
continuar con el estudio de las áreas del proceso de la seguridad que permiten asegurar que se cumplan a
cabalidad los objetivos de la seguridad.
Definido como el proceso que permite la toma de decisiones en un ambiente de incertidumbre, sobre
acciones que probablemente sucedan y las consecuencias de su ocurrencia. En Areitio (2008) se cita
como el proceso encargado de identificar y cuantificar la probabilidad de que se produzcan amenazas y
establecer un nivel aceptable de riesgo para la organización. Es el proceso encargado de identificar
problemas antes de que aparezcan.
Así, identifica tres principales componentes de los incidentes no deseados como se muestra en la figura 5,
amenaza, vulnerabilidad e impacto; los que pueden ser atenuados mediante ciertas medidas de
seguridad. Sin embargo, no se puede tener un control total sobre los diferentes problemas que puedan
presentarse y siempre hay que estar sujetos a algunos niveles de riesgos.
U.A.E
23
Figura. 5 Componentes del proceso de riesgos
Fuente: (Areitio, 2008)
Se constituye como una parte central de los procesos de seguridad, y mediante la coordinación e
interacción de actividades con otras ramas de ingeniería, busca determinar e implementar soluciones a
problemas presentados por amenazas y peligros. Se realiza en fases que van desde el concepto, diseño,
implementación, verificación, despliegue, operación, mantenimiento, hasta su eliminación.
La integración de este tipo de actividades con el resto de la organización radica en que las soluciones de
seguridad deben tener en cuenta varias consideraciones como: costes, rendimientos, riesgos técnicos,
tecnológicos, humanos, legales, usabilidad, etc.; las cuales deben ser implantadas de forma permanente.
1.6.3. Aseguramiento
Es el grado de confianza de que las medidas adoptadas reducirán los riesgos anticipadamente, y que
estas no tienen que crearse cada vez que se manifieste una nueva amenaza
De acuerdo a lo señalado y como podemos observar en la figura 6, las áreas que constituyen los procesos de
seguridad, no son independientes entre sí.
Recuerde que el área riesgos es el nivel más simple del proceso, sin
embargo es el más importante ya que en se identifica y prioriza los
peligros.
U.A.E
24
Figura. 6 Proceso de seguridad de información
Fuente: Los autores
Muy bien, poco a poco, avanzamos con el estudio de SI, ahora realicemos la siguiente actividad.
• Para medir el grado de comprensión que ha obtenido, sírvase elaborar un mapa conceptual
en el que explique cómo interpreta cada una de las áreas de los procesos de la seguridad de
la información.
• Adicionalmente elabore un ejemplo que se aplique en la vida real, en el que intervengan las
tres áreas de la seguridad de la información.
Qué le parece si profundizamos estos temas revisando y analizando las distintas soluciones que han
tomado empresas de alto prestigio como son: Coca-Cola, Mutualidad de Levante Seguros, Saint Joan
Glass, etc.
Para conocer detalladamente las distintas soluciones optadas por estas empresas revise los
casos de éxito de la página Web: INIXA Security & Communication (Disponible en: http://
www.inixa.com).
Es así que podemos contar con algunas normas calificadas y debidamente probadas en grandes
organizaciones, de las cuales a continuación daremos una breve revisión a dos de las más importantes y
conocidas.
Es una norma internacional creada por la Organización Internacional de Normalización (ISO), tiene por
objeto proporcionaruna metodología universal para laimplementación, administración y mantenimiento
de la seguridad de la información dentro de una organización. Su revisión más reciente fue realizada en
2013 y su nombre es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en
base a la norma británica BS 7799-2.
U.A.E
25
Según Advisera (2016), ISO 27001 puede ser implementada en cualquier tipo de organización, con o
sin fines de lucro, privada o pública, pequeña o grande. Esta norma permite que una empresa sea
certificada; lo que significa que una entidad de certificación independiente confirma que la seguridad de
la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.
Las controles de seguridad que se van a implementar, se presentan por lo general como: políticas,
procedimientos e implementaciones técnicas; sin embargo, en la mayoría de los casos las empresas ya
cuentan con implementaciones de hardware y software, aunque utilizados de forma insegura, por lo
cual la mayor parte de la implementación de ISO 27001 está relacionada con la determinación de reglas
organizacionales para prevenir violaciones de la seguridad.
ISO 27001 es una de las principales normas a nivel mundial para la seguridad de la información lo que ha
causado que muchas empresas han certificado su cumplimiento.
Para ampliar la información sobre ISO 27001, nos remitiremos al REA que lo podemos
encontrar en: https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
Su nombre viene del inglés “Control Objetives for Information Systems and related Technology”, ha
sido desarrollado por ISACA (Informatión Systems Audit and Control Association) como resultado de la
investigación de expertos de varios países.
Es un marco de referencia orientado a todos los sectores de la organización y cuya función principal es la
de auditar la gestión y control de los sistemas de información y tecnología. Se centra en el control de
negocios y la seguridad, abarcando controles específicos de TI desde una perspectiva de negocios. Se
basa en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de
procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.
COBIT brinda a managers, auditores, y usuarios de TI, un conjunto de medidas, indicadores, procesos
y prácticas de consenso general para ayudarlos en maximizar los beneficios derivados del uso de
las tecnologías de información y para obtener un control y gerenciamiento apropiado de TI en la
organización.
COBIT define un marco de referencia que clasifica los procesos de alto nivel en cuatro principales
dominios:
a. Planificar y organizar. Danielch (2012)Este dominio cubre las estrategias y las tácticas a través de
las cuales TI puede contribuir de la mejor manera, al logro de los objetivos del negocio, incluyendo el
otorgamiento de la certeza de la protección de activos. Además, la realización de la visión
estratégica de TI requiere ser planeada, comunicada y administrada desde diferentes perspectivas
sincronizadas al negocio. Finalmente se debe buscar la implementación de una estructura
U.A.E
26
organizacional y tecnológica apropiada. De acuerdo a COBIT, el dominio cubre los siguientes
cuestionamientos típicos de la gerencia:
PO PLANEAR Y ORGANIZAR
PO1 Definir un plan Estratégico
PO2 Definir la Arquitectura de la Información
PO3 Determinar la dirección tecnológica
PO4 Definir los procesos, organización y relaciones de TI
PO5 Administrar la inversión en TI
PO6 Comunicar las aspiraciones y la dirección de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar la calidad
PO9 Evaluar y Administrar los riesgos de TI
PO10 Administrar proyectos
¿Es probable que los nuevos proyectos generen soluciones que satisfagan las necesidades
del negocio?
¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?
¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
¿Los cambios no afectarán a las operaciones actuales del negocio?
AI ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
U.A.E
27
AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios
c. Entregar y dar Soporte. Cubre la entrega de servicios requeridos como: prestación del servicio,
administración de seguridad y continuidad, soporte de servicio a usuarios, administración de
datos e instalaciones operativas. Por lo general cubre las siguientes preguntas de la gerencia:
¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
¿Están optimizados los costos de TI?
¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?
¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?
d. Monitorear y evaluar. Todos los procesos de TI deben evaluarse de forma regular tanto en su
calidad como en el cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, monitoreo del control interno, cumplimiento regulatorio y la
aplicación del gobierno. Por lo general abarca las siguientes preguntas de gerencia:
¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde?
¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?
U.A.E
28
ME MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI
ME2 Monitorear y evaluar el control interno
ME3 Garantizar el cumplimiento regulatorio
ME4 Proporciona gobierno de TI
Señor estudiante:
Hemos finalizado el estudio de la unidad 1, se recomienda el desarrollo de la siguiente actividad:
Realice un cuadro sinóptico de los principales conceptos de seguridad de la información .
Estrategias de desarrollo:
Se recomienda utilizar como base los siguientes recursos:
1. Seguridad de la Información, busque http://ocw.uv.es/ingenieria-y-arquitectura/
seguridad/programa/.
2. Información sobre COBIT, nos remitiremos al REA que lo podemos encontrar en: http://
jevq.blogspot.com/2014/04/descarga-cobit-5-en-espanol.html
U.A.E
29
Hemos concluido el estudio de la primera unidad. Conviene comprobar cuánto ha logrado asimilar de
los temas revisados en esta parte, para lo cual es necesario que desarrolle la siguiente autoevaluación.
Lea detenidamente cada una de los enunciados planteados en la siguiente tabla y determine
de acuerdo a lo solicitado, si la afirmación es verdadera o falsa, o seleccione la opción que sea
correcta.
a. En documentos impresos
b. Solamente en medios digitales
c. Las dos opciones
a. La cualidad del sistema de realizar sus funciones sin ningún tipo de deterioro.
b. La propiedad de que la información no sea alterada mientras se almacenas, procesan o
transmiten.
c. Las dos anteriores.
9. Las vulnerabilidades de: Software y antivirus obsoleto, errores de configuración y falta de sistemas
de encriptación son catalogadas como
a. Vulnerabilidades físicas.
b. Vulnerabilidades lógicas.
c. Vulnerabilidades humanas.
30
10. Se define a la Gestión de Riesgos como:
a. El grado de confianza de que las medidas adoptadas reducirán los riesgos anticipadamente.
b. Una parte central de los procesos de seguridad.
c. Proceso que permite la toma de decisiones en un ambiente de incertidumbre.
Existe la respuesta a la autoevaluación al final del texto guía. Es importante que revise el EVA pues
existen actividades adicionales en algunos casos con valoración que le pueden ayudar a la comprensión del
componente.
31