Introducción a la Seguridad de

la información

Muchas empresas son amenazadas constantemente

en sus activos lo que pudiera representar miles o
millones de dólares en pérdidas. Las vulnerabilidades
en nuestros sistemas de información pueden
representar problemas graves, por ello es muy
importante comprender los conceptos necesarios para
combatirlos y defendernos de posibles ataques a
nuestra información.
Implantar un Sistema de Seguridad
 Podemos representar la implantación de un sistema
de seguridad de información en la empresa como la
escalada de una gran montaña, en la que poco a poco
iremos subiendo de nivel en términos de conceptos,
herramientas y conocimiento del entorno
tecnológico de la empresa.
 Propósito
 La seguridad de la información tiene
como propósito proteger la información
registrada, independientemente del lugar
en que se localice: impresos en papel, en
los discos duros de las computadoras o
incluso en la memoria de las personas que
las conocen.
 Elementos
 Los elementos busca proteger:

       La información
       Los equipos que la soportan
       Las personas que la utilizan
 Tipos de activos
 Un activo es todo aquel elemento que compone
el proceso de la comunicación, partiendo desde
la información , su emisor , el medio por el cual
se transmite, hasta su receptor .

a. Información

b. Equipos que la soportan:

b.1 Software
b.2 Hardware
b.3 Organización

c. Personas que los utilizan o usuarios

 Principios básicos de la
seguridad de la información
  integridad
 confidencialidad y,
 disponibilidad de la información
 Amenazas
 Las amenazas son agentes capaces de
explotar los fallos de seguridad , que
denominamos puntos débiles y, como
consecuencia de ello, causar pérdidas o
daños a los activos de una empresa,
afectando a sus negocios.
 Tipos de Amenazas
 1.      Amenazas naturales – condiciones de la
naturaleza y la intemperie que podrán causar daños a los
activos, tales como fuego, inundación, terremotos, 

 2.      Intencionales – son amenazas deliberadas,

fraudes, vandalismo, sabotajes, espionaje, invasiones y
ataques, robos y hurtos de información, entre otras.

 3.      Involuntarias  - son amenazas resultantes de

acciones inconscientes de usuarios, por virus electrónicos,
muchas veces causadas por la falta de conocimiento en el
uso de los activos, tales como errores y accidentes.
 Puntos débiles
 Los puntos débiles son los elementos que, al
ser explotados por amenazas , afectan la
confidencialidad, disponibilidad e
integridad de la información de un individuo
o empresa. Uno de los primeros pasos para la
implementación de la seguridad es rastrear y
eliminar los puntos débiles de un ambiente de
tecnología de la información.

 Al ser identificados los puntos débiles, será

posible dimensionar los riesgos a los cuales el
ambiente está expuesto y definir las medidas de
seguridad apropiadas para su corrección.
Vulnerabilidades
 Tipos
 Vulnerabilidades físicas :
Los puntos débiles de orden físico son aquellos presentes en los
ambientes en los cuales la información se está almacenando
o manejando .

 Vulnerabilidades naturales : Los puntos débiles naturales son

aquellos relacionados con las condiciones de la naturaleza
que puedan colocar en riesgo la información.

 Vulnerabilidades de hardware: Los posibles defectos en la

fabricación o configuración de los equipos de la empresa
que pudieran permitir el ataque o alteración de los mismos.

 Vulnerabilidades de software : Los puntos débiles de

aplicaciones permiten que ocurran accesos indebidos a
sistemas informáticos incluso sin el conocimiento de un usuario o
administrador de red.
 Tipos
 Vulnerabilidades de medios de almacenaje
Los medios de almacenamiento son los soportes
físicos o magnéticos que se utilizan para almacenar
la información.

 Vulnerabilidades de comunicación: Este tipo de

punto débil abarca todo el tránsito de la
información

 Vulnerabilidades humanas : Esta categoría de

vulnerabilidad está relacionada con los daños que las
personas pueden causar a la información y al
ambiente tecnológico que la soporta.
 Riesgos y Medidas
 El riesgo es la probabilidad de que las amenazas
exploten los puntos débiles, causando pérdidas o
daños a los activos e impactos al negocio, es decir,
afectando:   La confidencialidad, la integridad y la
disponibilidad de la información.

 Las medidas de seguridad son acciones orientadas

hacia la eliminación de vulnerabilidades , teniendo
en mira evitar que una amenaza se vuelva realidad.
Estas medidas son el paso inicial para el aumento de la
seguridad de la información en un ambiente de
tecnología de la información y deberán considerar el
todo
 Medidas a tomar:
       Preventivo: buscando evitar el surgimiento
de nuevos puntos débiles y amenazas;

       Perceptivo: orientado hacia la revelación

de actos que pongan en riesgo la información o

       Correctivo: orientado hacia la corrección

de los problemas de seguridad conforme su
ocurrencia.
 Ciclo de Seguridad
 El ciclo de seguridad se inicia con la identificación de las amenazas
a las cuales están sometidas las empresas. La identificación de
las amenazas permitirá la visualización de los puntos débiles que
se podrán explotar, exponiendo los activos a riesgos de seguridad.

 Esta exposición lleva a la pérdida de uno o más principios básicos

de la seguridad de la información, causando impactos en el
negocio de la empresa , aumentando aún más los riesgos a que
están expuestas las informaciones.

 Para que el impacto de estas amenazas al negocio se pueda

reducir, se toman medidas de seguridad para impedir la ocurrencia
de puntos débiles.
 Practica No. 1
En base a un sistema de información X que usted conozca, ya sea de
su escuela, propio o de su lugar de trabajo.

1.- Identifique las amenazas y puntos débiles, además de los

procesos en los cuales se encuentran.

2.- Para cada uno de los puntos débiles identifique a que tipo de
vulnerabilidad pertenece.

3.- Formule un proceso de solución para cada punto débil detectado.

Presentar: Martes 7 de Septiembre.