DIPLOMADO EN SEGURIDAD INFORMTICA

UNIDAD DIDCTICA 1

1. Qu es la seguridad Informtica?
La seguridad informtica puede definirse como cualquier medida que impida la
ejecucin de operaciones no autorizadas sobre un sistema o red informtica,
cuyos efectos puedan conllevar daos sobre la informacin, comprometer su
confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos
o bloquear el acceso de usuarios autorizados al sistema.
De manera similar es necesario considerar los siguientes aspectos:
Cumplimiento de regulaciones legales aplicables a cada sector o tipo de
organizacin, dependiendo del marco legal de cada pas.

 Control de acceso a los servicios ofrecidos y la informacin guardada por

un sistema informtico.
Control en el acceso y utilizacin de ficheros protegidos por la ley:
contenidos digitales con derechos de autor, ficheros con datos de carcter
personal, etc.
Registro del uso de los servicios de un sistema informtico.
De acuerdo con lo establecido por la norma ISO/IEC 177991 se define la
seguridad de la informacin como la preservacin de su confidencialidad, su
integridad y su disponibilidad (La sigla CIA es utilizada en
ingls:
Confidencialy,Integrity, Availability).
La siguiente figura muestra el enfoque de dicha norma.

Figura Nro. 1 Seguridad de la informacin segn normativa ISO/IEC177992.

Dependiendo del tipo de informacin manejada y de los procesos realizados por

una organizacin, sta podr otorgar mayor importancia a garantizar la
confidencialidad, la integridad o la disponibilidad de sus activos de informacin.

https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
Figura Tomada de:
https://www.google.com.co/search?q=ISO/IEC+17799&espv=2&biw=1366&bih=623&site=webhp&source=l
nms&tbm=isch&sa=X&ved=0ahUKEwiayMSczczNAhWIKCYKHR29Bf0Q_AUIBigB&dpr=1#imgrc=tlw7g5CPaoh
22M%3A
2

La norma ISO 74983 por su parte define la seguridad de la informacin como una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos
en una organizacin.
Asimismo, podemos mencionar otra definicin propuesta por INFOSEC Glossary
20004: La seguridad informtica son las medidas y controles que aseguran la
confidencialidad, integridad, disponibilidad de activos de los sistemas de
informacin incluyendo hardware, software , firmware y aquella informacin que
procesan , almacenan y comunican.
1.1 Objetivos de la seguridad informtica
Los objetivos de la seguridad informtica son:
Minimizar y gestionar los riesgos.
Detectar los posibles problemas y amenazas de seguridad.
Garantizar la adecuada utilizacin de los recursos y de las aplicaciones del
sistema.
Limitar las prdidas de informacin.
Conseguir la adecuada recuperacin del sistema en caso de un incidente
de seguridad.
Cumplir con el marco legal.
Cumplir con los requisitos impuestos por los clientes a nivel contractual.
Para cumplir con estos objetivos las empresas deben contemplar cuatro planos de
actuacin: El tcnico, el legal, el humano y el organizativo.
Tcnico: tanto a nivel fsico como a nivel lgico.
Legal: Dependiendo de la legislacin del pas algunos gobiernos exigen que
en determinados sectores se implementen una serie de medidas de
seguridad (sector de servicios financieros y sector sanitario de Estados
Unidos, proteccin de datos personales en la Unin Europea, etc.).
Humano: sensibilizacin y formacin de empleados y directivos, definicin
de funciones y obligaciones de personal.
Organizativo: definicin e implantacin de polticas de seguridad, planes,
normas, procedimientos y buenas prcticas de actuacin.

3
4

http://www.ecma-international.org/activities/Communications/TG11/s020269e.pdf
http://handle.dtic.mil/100.2/ADA433929

1.2 Servicios de seguridad de la informacin

Para poder alcanzar los objetivos descritos en el numeral 1.1 dentro del proceso
de gestin de la seguridad informtica es necesario contemplar una serie de
servicios o funciones de seguridad de la informacin:
Confidencialidad: Mediante este servicio o funcin de seguridad se garantiza que
cada mensaje transmitido o almacenado en un sistema informtico solo podr ser
ledo por su legtimo destinatario. Si dicho mensaje cae en manos de terceros,
stos no podrn acceder al contenido del mensaje original. Por lo tanto, este
servicio pretende garantizar la confidencialidad de los datos almacenados en un
equipo, de los datos guardados en dispositivos de back up y/o de los datos
transmitidos a travs de Redes de comunicaciones.
Autenticacin: La autenticacin garantiza que la identidad del creador de un
mensaje o documentos es legtima, es decir, gracias a esta funcin el destinatario
de un mensaje podr estar seguro de que su creador es la persona que figura
como remitente de dicho mensaje. De manera similar se puede hablar de
autenticidad de un equipo que se conecta a una red o intenta acceder a un
determinado servicio. En este caso, la autenticacin puede ser unilateral, cuando
slo se garantiza la identidad del equipo (usuario o terminal que intenta conectar a
la red) o mutua, en el caso de que la red o el servidor tambin se autentica de cara
al equipo, usuario o terminal que establece la conexin.
Integridad: La funcin de integridad se encarga de garantizar que un mensaje o
fichero no ha sido modificado desde su creacin o durante su transmisin a travs
de una red informtica. De este modo, es posible detectar si se ha aadido o
eliminado algn dato en un mensaje o fichero almacenado, procesado o
transmitido por un sistema o red informtica.
No repudiacin: El objeto de este servicio de seguridad consiste en implementar
un mecanismo probatorio que permita demostrar la autora y envo de un
determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a
travs del sistema no pueda posteriormente negar esta circunstancia, situacin
que tambin se aplica al destinatario del envo. Este es un aspecto de especial
importancia en transacciones comerciales y que permite proporcionar a
compradores y vendedores una seguridad jurdica que va a estar soportada por
este servicio.

En un sistema informtico, por lo tanto, se puede distinguir entre la no repudiacin

de origen y la no repudiacin de destino.
Disponibilidad: La disponibilidad del sistema informtico tambin es una cuestin
importante para garantizar el cumplimiento de sus objetivos, ya que se debe
disear un sistema lo suficientemente robusto frente a ataques e interferencias
como para garantizar su correcto funcionamiento, de manera que pueda estar
permanentemente a disposicin de los usuarios que deseen acceder a sus
servicios.
Dentro de la disponibilidad tambin debemos considerar la recuperacin del
sistema frente a posibles incidentes de seguridad, desastres naturales o
intencionados (incendios, inundaciones, sabotajes, huracanes, terremotos, etc.).
Es importante mencionar que de nada sirven los otros servicios de seguridad si no
hay disponibilidad para que los usuarios puedan utilizar el sistema informtico.
Autorizacin (Control de acceso a equipos y servicios): Mediante el servicio de
autorizacin se persigue controlar el acceso a usuarios a los distintos equipos y
servicios ofrecidos por el sistema informtico, una vez superado el proceso de
autenticacin de cada usuario. Para ello se definen unas listas de control de
acceso (ACL) con la relacin de usuarios y grupos de usuarios y sus distintos
permisos e acceso a los recursos del sistema.
Auditabilidad: El servicio de auditabilidad o trazabilidad permite registrar y
monitorizar la utilizacin de los distintos recursos del sistema por parte de los
usuarios que ha sido previamente autenticados y autorizados. De este modo es
posible detectar situaciones o comportamientos anmalos por parte de los
usuarios, adems de llevar un control del rendimiento del sistema (trfico cursado,
informacin almacenada y volumen de transacciones realizadas por mencionar
algunos ejemplos).
Reclamacin de origen: mediante sta el sistema permite probar quien ha sido el
creador de un determinado mensaje o documento.
Reclamacin de propiedad: Este servicio permite probar que un determinado
documento o un contenido digital protegido por derechos de autor (cancin, video
o libro, etc.) pertenece a un determinado usuario u organismo que ostenta la
titularidad de los derechos de autor.

Anonimato en el uso de servicios: En la utilizacin de determinados servicios

dentro de las redes y sistemas informticos tambin podra resultar conveniente
garantizar el anonimato de los usuarios que acceden a los recursos y consumen
determinados tipos de servicios, preservando su privacidad. Este servicio de
seguridad, no obstante podra entran en conflicto con otros de los ya mencionados
como son la autenticacin o la auditoria del acceso a los recursos. Algunos
gobiernos a nivel mundial por el control e interceptacin de todo tipo de
comunicaciones ante el problema del terrorismo internacional est provocando la
adopcin de nuevas medidas para restringir el anonimato y la privacidad de los
ciudadanos que utilizan estos servicios.
Proteccin a la rplica: Mediante este servicio de seguridad se trata de impedir la
realizacin de ataques de repeticin replay attacks por parte de usuarios
maliciosos, consistentes en la interceptacin y posterior reenvi de mensajes para
tratar de engaar al sistema y provocar operaciones no deseadas, como podra
ser el caso de realizar varias veces una misma transaccin bancaria en perjuicio
de otros clientes de la entidad.
Para ello, en este servicio se suele recurrir a la utilizacin de un nmero de
secuencia o sello temporal en todos los mensajes y documentos que necesiten ser
protegidos dentro del sistema, de forma que se puedan detectar y eliminar
posibles repeticiones de mensajes que ya hayan sido recibidos por el destinatario.
Confirmacin de la prestacin de un servicio o la realizacin de una transaccin:
Este servicio de seguridad permite confirmar la realizacin de una operacin o
transaccin, reflejando los usuarios o entidades que han intervenido en sta.
Referencia Temporal (certificacin de fechas): Mediante este servicio de seguridad
se consigue demostrar el instante concreto en que se ha enviado un mensaje o se
ha realizado una determinada operacin (utilizando normalmente una UTC
Referencia Universal Time Clock) para ello se suele recurrir al sellado temporal del
mensaje o documento en cuestin.
Certificacin mediante Terceros de Confianza: La realizacin de todo tipo de
transacciones por medios electrnicos requiere nuevos requisitos de seguridad, a
fin de garantizar la autenticacin de las partes que intervienen, el contenido e
integridad de los mensajes o la constatacin de la realizacin de una operacin o
comunicacin en un determinado instante temporal. Para poder ofrecer algunos de
estos servicios de seguridad se empieza a recurrir a la figura del Tercero de
Confianza que es un organismo que se encarga de certificar la realizacin y el

contenido de las operaciones y de avalar la identidad de los intervinientes,

dotando de este modo a las transacciones de una mayor seguridad jurdica.
1.3 Algunas tcnicas y mecanismos de seguridad
En un sistema informtico se puede recurrir a la implantacin de diversas tcnicas
y mecanismos de seguridad para poder ofrecer los servicios de seguridad que se
han descrito anteriormente. Dichas tcnicas y mecanismos se mencionan a
continuacin:

Identificacin de usuarios y polticas de contraseas.

Control lgico de acceso a los recursos.
Copias de seguridad.
Centros de respaldo.
Cifrado de las transmisiones.
Huella digital de mensajes.
Sellado temporal de mensajes.
Utilizacin de la firma electrnica.
Protocolos criptogrficos.
Anlisis y filtrado de trfico(cortafuegos).
Servidores proxy.
Sistema de deteccin de intrusiones (IDS).
Antivirus, etc.

1.4 Principio de defensa en Profundidad5

Este principio consiste en el diseo y la implantacin de varios niveles de
seguridad dentro del sistema informtico de la organizacin. De este modo si una
de las barreras es cruzada por los atacantes, conviene disponer de medidas de
seguridad adicionales que dificulten y retrasen su acceso a informacin
confidencial o el control por su parte de recursos crticos del sistema: seguridad
perimetral (cortafuegos /Firewalls, proxies y otros dispositivos que constituyen
como podra llamarse la primera lnea de defensa); seguridad en los servidores,
auditorias y monitorizacin de eventos de seguridad, etc.

http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/mementodep-V1.1_es.pdf

Cuando aplicamos este principio se reduce de manera notoria el nmero de

potenciales atacantes, ya que los Hackers aficionados solo se atreven con los
sistemas informticos ms vulnerables y por tanto ms fciles de atacar.
Las siguientes dos figuras muestran el concepto de forma grfica:

Figura Nro. 2. Principio de Defensa en profundidad.

Figura Nro. 3. Principio de Defensa en profundidad.

Por el motivo anteriormente expuesto no conviene descuidar la seguridad interna

en los sistemas informticos de modo que no dependa todo el sistema de la
seguridad perimetral (cortafuegos en la conexin de la compaa a las redes
externas como internet). As, por ejemplo, se puede reforzar la seguridad interna
mediante una configuracin robusta de servidores con medidas como la
actualizacin de parches para eliminar vulnerabilidades conocidas, la
desactivacin de servicios innecesarios o el cambio de las contraseas y cuentas
por defecto en cada equipo.
1.5 Consecuencias de la falta de seguridad
La seguridad tiene un papel fundamental en las organizaciones ya que la
informacin es uno de los principales activos organizacionales. Dicha importancia
fue contemplada por los tericos de organizacin y direccin de empresas a
principios del siglo XX. As, Henry Fayol (1919) consideraba la seguridad como
una funcin empresarial al mismo nivel que otras funciones como son la
produccin, comercial , financiera , contabilidadentre otras.
En el principio la seguridad de las organizaciones pretenda salvaguardar
propiedades y personas contra el robo, fuego, inundaciones , contrarrestar
huelgas y disturbios sociales que pusieran en peligro el progreso de la vida del

negocio. Por este motivo las medidas de seguridad durante este perodo se
limitaban a la proteccin de los activos fsicos e instalaciones. Ya que ese era el
mayor activo en consideracin junto con la vida de los empleados. Sin embargo,
en la actualidad el negocio y desarrollo de las actividades de muchas
organizaciones dependen de los datos e informacin registrados en sus sistemas
informticos, as como del soporte adecuado de las TICs para facilitar su
almacenamiento, procesamiento y distribucin. De acuerdo con un estudio
elaborado por la AEDI(Asociacin Espaola para la Direccin Informtica) en
mayo de 2002 mencion que un 72% de las empresas espaolas quebrara en
das si perdiera los datos guardados en sus ordenadores. Es claro que la
eliminacin de todas las transacciones en un da en una empresa podra
ocasionarle ms prdidas econmicas que sufrir un robo o un acto de sabotaje en
algunas de sus instalaciones.
Como consecuencia de ello, resulta vital poner en conocimiento de los directivos
cul es el costo y el impacto de los incidentes de seguridad en trminos
econmicos y no a travs de confusos informes plagados de datos tcnicos
difciles de comprender, defendiendo la idea de que la inversin en seguridad
informtica sera comparable a la contratacin de un seguro contra robos, contra
incendios o de responsabilidad civil frente a terceros.
Un ejemplo de que se puede sobrevivir si hay proteccin de la informacin es el
caso del 11 de septiembre de 2001 y el atentado de las torres gemelas de Nueva
York. A pesar del incidente ocurrido cientos de empresas pudieron continuar sus
labores a los pocos das, ya que sus datos estaban protegidos y sus sistemas
informticos contaban con los adecuados planes de contingencia y de respuesta a
emergencias.

Grfico Nro.1. Atentado 11 de Septiembre6.

En Espaa el incendio del rascacielos Windsor en Madrid en el ao 2005 el da 12
de Febrero, un edificio que contaba con 28 plantas dedicado a oficinas, en el que
la consultora y auditora Deloitte & Touche ocupaba 20 plantas y el bufete de
abogados Garrigues ocupaba 2 plantas fue un acontecimiento que contribuyo a
6

Foto tomada de :

https://es.wikipedia.org/wiki/Atentados_del_11_de_septiembre_de_2001#/media/File:September_1
1_Photo_Montage.jpg

despertar un mayor inters por la necesidad de contemplar medidas de seguridad

y los planes de contingencia para garantizar la continuidad del negocio.

Grfico Nro.2. Edificio Windsor en llamas7.

Grfico Nro.3. Fotos del incidente del Edificio Windsor8.

Foto tomada de: http://www.elmundo.es/madrid/2015/02/09/54d92c4de2704e286f8b456b.html

La implantacin de determinadas medidas de seguridad puede representar un

importante esfuerzo econmico para una organizacin. Sin embargo, si se
contemplan las potenciales prdidas y hacer una evaluacin de riesgos puede
llegarse a la conclusin que la organizacin puede perder ms dinero y recursos si
no se tienen. Por otro lado hay una premisa que no debe dejarse de lado y es que
el costo de las medidas adoptadas por la organizacin debe ser menor que los
activos a proteger. Es por ello que es necesario hacer un ejercicio de clculo del
costo /Beneficio de cada medidas de seguridad que se desee implantar, ya que
no todas las organizaciones precisan de las mismas medidas de seguridad. Una
organizacin puede tener distintas expectativas de seguridad.
A la hora de analizar las posibles consecuencias de la ausencia o de unas
deficientes medidas de seguridad informtica, el impacto total para una
organizacin puede resultar difcil de evaluar, ya que los posibles daos
ocasionados a la informacin guardada y a los equipos y dispositivos de red,
deberamos tener en cuenta otros importantes perjuicios para la organizacin
como son:
Horas de trabajo invertidas en la reparacin y reconfiguracin de equipos y
redes.
Prdidas ocasionadas por la indisponibilidad de diversas aplicaciones y
servicios informticos: costo de oportunidad por no utilizar dichos recursos.
Robo de informacin confidencial y su posible revelacin a terceros no
autorizados: frmulas, diseos de productos, patentes, estrategias
comerciales, campaas, programas informticos, etc
Filtracin de informacin datos personales de usuarios registrados en el
sistema: empleados, clientes, proveedores, contactos comerciales,
candidatos de empleo, con las consecuencias que derivan del
incumplimiento de la legislacin en materia de proteccin de datos
personales vigentes en muchos pases a nivel mundial.

Foto tomada
edificio-windsor/

de:

http://bloganvela.com/2010/02/12/5%C2%BA-aniversario-del-incendio-del-

 Posible impacto en la imagen de la empresa ante terceros: prdida de

confianza y credibilidad en los mercados, dao a la reputacin de la
empresa, prdida de confianza por parte de los clientes y proveedores, etc.
Retrasos en los procesos de produccin.
Prdida de pedidos en curso.
Impacto en la calidad del servicio.
Prdida de oportunidades de negocio.
Posibles daos a la salud de las personas, con prdidas de vidas humanas
en el caso ms grave.
Pagos de indemnizaciones por daos y perjuicios a terceros, teniendo que
afrontar adems posibles responsabilidades legales y la imposicin de
sanciones administrativas, civiles y legales( en casos de vulneracin de
derechos de autor) .
Uso de equipos de una empresa para ingresar atacando a redes de otras
empresas.
Almacenamientos de contenidos ilegales en los equipos comprometidos,
con la posibilidad de instalar un servidor FTP sin la autorizacin del legtimo
propietario de stos.
Utilizacin de los equipos de una organizacin para realizar envos masivos
de correo no solicitado (spam), etc.
Llegados a este punto podemos preguntarnos si la Gestin de la Seguridad de la
Informacin genera alguna ventaja competitiva para la organizacin. Sin embargo,
lo que si queda de manifiesto es que una inadecuada gestin provocar una
desventaja competitiva. En muchos casos las organizaciones consideran que
dedicar tiempo y recursos a la gestin de la seguridad es algo poco productivo y
los departamentos de sistemas e informtica lo hacen como una tarea marginal y
en horarios por fuera de lo normal. Aqu se expone que es indispensable el apoyo
de la alta gerencia para llevar a cabo dichas tareas e incluso se hace necesario
contemplarlas dentro de los presupuestos anuales.
2. Gestin de la seguridad de la informacin
2.1 Definicin del Sistema de Gestin de la Seguridad de la Informacin
(SGSI)
Un Sistema de Gestin de la Seguridad de la informacin (SGSI) es aquella parte
del Sistema General de Gestin (SGS) que comprende la poltica, la estructura
organizativa, los procedimientos, los procesos y los recursos necesarios para
implantar la gestin de la seguridad de la informacin en una organizacin.

Para gestionar la seguridad de la informacin es preciso contemplar una serie de

tareas y procedimientos que permitan garantizar los niveles de seguridad exigibles
en una organizacin, teniendo en cuenta que los riesgos no se pueden eliminar
totalmente, pero si se pueden gestionar. Bajo este orden de ideas la seguridad no
se puede alcanzar en un 100%, es por ello que los expertos prefieren hablar de
fiabilidad del sistema informtico, entendiendo por ella como la probabilidad de
que el sistema se comporte como se espera de l.
En palabras del experto en temas de seguridad informtica - Gene Spafford: "El
nico sistema verdaderamente seguro es aqul que se encuentra apagado,
encerrado en una caja de titanio, enterrado en un bloque hormign, rodeado de
gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso
entonces, yo no apostara mi vida por ello.
Por otra parte, las Polticas de Gestin de la Seguridad de la Informacin estn
constituidas por el conjunto de normas reguladoras, procedimientos, reglas y
buenas prcticas que determinan el modo en que todos los activos y recursos,
incluyendo la informacin, son gestionados, protegidos y distribuidos dentro de
una organizacin.
2.2 Aspectos a tener en cuenta para implantar un SGSI
A la hora de implantar un SGSI una organizacin debe contemplar los siguientes
aspectos:
Formalizar la gestin de la seguridad de la informacin.
Analizar y gestionar los riesgos.
Establecer los procesos de gestin de la seguridad siguiendo la
metodologa PDCA (Plan - DO Check- Act).

Figura Nro. 4. Modelo PDCA

Figura Nro. 5. Representacin del modelo Plan-Do-Check-Act9.

Fuente: [ICONTEC06] Instituto Colombiano de Normas Tcnicas y Certificacin Disponible en:

http://www.icontec.org.co/MuestraContenido.asp?ChannelId=632

 Certificacin de la gestin de seguridad.

En todo proceso es necesario contemplar un modelo que tenga en cuenta los
aspectos tecnolgicos, organizativos, el cumplimiento del marco legal y la
importancia del factor humano.
En este escenario es vital conseguir el soporte adecuado por parte de la direccin
de la organizacin, ya que sta debe proporcionar la autoridad suficiente para
poder definir e implantar las polticas y procedimientos de seguridad dotando
adems a la organizacin de los recursos tcnicos y humanos necesarios y
reflejando su compromiso en los propios documentos que contienen las
principales directrices de seguridad de la organizacin.
De hecho, en algunas organizaciones se ha definido la figura del responsable de
Gestin de Seguridad de la Informacin, conocido en ingls por sus siglas como
CISO (Chief Information Security Officer).
2.3 Etapas de madurez en la gestin de la seguridad de la informacin
Podemos distinguir varias etapas o niveles de madurez en la Gestin de la
seguridad de la informacin en una organizacin.
1. Implantacin de medidas bsicas de seguridad por sentido Comn.
En esta fase inicial se aplican medidas sencillas orientadas por el sentido
comn como por ejemplo: realizacin de copias de seguridad, control de
acceso a los recursos informticos, etc. Muchas de las empresas en el
mundo se ubican en esta primera etapa, aplicando unas mnimas medidas
de seguridad que pueden resultar insuficientes para garantizar una
adecuada gestin de los riesgos.
2. Adaptacin a los requisitos del marco legal y de las exigencias de los
clientes.
En esta segunda etapa la organizacin toma conciencia de la necesidad de
cumplir con las exigencias normativas y de legislacin vigente u otras
derivadas de sus relaciones y compromisos con los terceros (clientes,
proveedores u otras instituciones), proteccin de datos de carcter
personal, delitos informticos, proteccin de propiedad intelectual.

3. Gestin integral de la seguridad de la informacin.

En esta tercera etapa la organizacin ya se preocupa de gestionar con un
planteamiento global e integrado la Seguridad de la Informacin, mediante
la definicin de una serie de Polticas de Seguridad, implantacin de planes
y procedimientos de seguridad, el anlisis y gestin de riesgos y la
definicin de un plan de respuesta a incidentes y continuidad del negocio.
4. Certificacin de la Gestin de la Seguridad de la informacin.
Por ltimo, en la cuarta etapa se pretende llevar a cabo una certificacin de
la Gestin de la Seguridad de la Informacin, para obtener el
reconocimiento de las buenas prcticas implantadas por la organizacin y
poder acreditarlo ante un tercero (esto otorga confianza y verificabilidad por
parte de terceros): clientes, administracin pblica y otras instituciones.
El siguiente cuadro resume las etapas mencionadas:

Figura Nro.6. Certificacin de la Gestin de la Seguridad de la

informacin10.
10

http://www.pmg-ssi.com/2015/02/iso-27001-el-modelo-de-madurez-de-la-seguridad-de-la-informacion/

2.4 Estndares relacionados con la certificacin de la gestin de

seguridad de la informacin
Los principales estndares relacionados con la certificacin de la gestin de
seguridad de la informacin han sido desarrollados por la ISO y la IEC.
Mencionemos a continuacin cuales son:
ISO/IEC 13335: Guidelines for Management of Information Technologies
Security (Directrices para la gestin de la Seguridad), es un estndar que
define un marco de referencia para las tcnicas de gestin de riesgos y los
criterios de seleccin de medidas de seguridad o salvaguardas en los
sistemas y redes informticas.
ISO/IEC 15408: Common Criteria, Criterios Comunes para la evaluacin de
determinados productos de seguridad, facilitando de este modo el proceso
de certificacin de los niveles y servicios de seguridad que pueden
proporcionar estos productos.
ISO/IEC 21827: Systems Security Engineering (Ingeniera de la Seguridad
de los Sistemas) , se ha propuesto para facilitar la evaluacin del nivel de
madurez de los procesos relacionados con la Gestin de la Seguridad de la
Informacin.
ISO/IEC 17700 (BS-7799): Information Security Management (Gestin de la
Seguridad de la Informacin), estndar que define un cdigo de buenas
prcticas mediante un conjunto de controles que se pueden aplicar para
mejorar la Gestin de la Seguridad dela Informacin en una organizacin.
ISO/IEC
27001:
Information
Security
Manegement
System
Requirements(Requisitos para los sistemas de Gestin de Seguridad de la
Informacin), norma que permite certificar la implantacin de un sistema de
Gestin de Seguridad dela Informacin en una organizacin.
La ISO 27001 le permite a la organizacin lo siguiente11:
11

Fuente: ICONTEC.

1. Disear una herramienta para la implementacin del sistema de gestin

de seguridad de la informacin teniendo en cuenta la poltica, la estructura
organizativa, los procedimientos y los recursos.
2. A la direccin gestionar las polticas y los objetivos de seguridad en
trminos de integridad, confidencialidad y disponibilidad.
3. Determinar y analizar los riesgos, identificando
vulnerabilidades e impactos en la actividad empresarial.

amenazas,

4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantacin

de los controles adecuados, preparando la organizacin ante posibles
emergencias, garantizando la continuidad del negocio.

ISM3: Information Security Management Maturity Model (Modelo de

Madurez de la Gestin de la Seguridad de la informacin), nuevo estndar
que se estructura en distintos niveles de madurez para facilitar su
implantacin de forma progresiva en la organizaciones, partiendo de los
requerimientos bsicos de seguridad del negocio o actividad que
desarrollan.
COBIT: Requerimientos de seguridad establecidos por ISACA (Information
Systems Audit and Control Association)12.
ITIL: La Information Technology Infrastructure Library ("Biblioteca de
Infraestructura de Tecnologas de Informacin"), frecuentemente abreviada
ITIL, es un marco de trabajo de las mejores prcticas destinadas a facilitar
la entrega de servicios de tecnologas de la informacin (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos de gestin ideados
para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor
y han sido desarrollados para servir de gua para que abarque toda
infraestructura, desarrollo y operaciones de TI.

12

Mayor informacin en : www.isaca.org

OCTAVE (Operationally CRitical Threat, Asset and Vulnerability Evaluation

evaluacin de vulnerabilidades, activos y amenazas crticas). Del
SEI(Software Engineer Institute de la Universidad Carnegie Mellon). Se
trata de una metodologa propuesta para facilitar la evaluacin y gestin de
los riesgos en una organizacin13.
Ley Sarbanes-Oxley:Aprobada en 2002 en Estados Unidos. Esta ley fue
promulgada a raz de una serie de escndalos financieros que afectaron a
la credibilidad de varias compaas de ste pas. Dicha ley afecta a todas
las compaas que cotizan en la SEC(Comisin de la Bolsa de Valores de
Estados Unidos) y a sus filiales, estableciendo controles para garantizar la
fiabilidad de la informacin financiera de las mismas.
2.5 Modelo de Madurez de las capacidades SSE-CMM
Este modelo fue desarrollado por la ISSEA14 y en l se identifican 5 niveles
que se mencionan a continuacin:
1. Prcticas de seguridad realizadas de manera informal.
2. Planificacin y seguimiento de las prcticas de seguridad.
3. Definicin y coordinacin de las polticas y procedimientos de seguridad.
4. Seguridad controlada a travs de distintos controles y objetivos de
calidad.
5. Implantacin de un proceso de mejora continua.

13
14

Mayor informacin en : www.cert.org/octave/

Fuente: www.issea.org

Bibliografa y Cibergrafa
http://www.halitogunc.com/the-interactions-in-between-itil-cobit-and-iso27001/
http://info.isotools.org/seguridad-de-la-informacion-gestion-de-riesgos/
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1ticahttp://es.wikipedia.org/wi
ki/Seguridad_de_la_informaci%C3%B3n
http://books.google.com.co/books?id=KD8ZZ66PFgC&printsec=frontcover&dq=SISTEMAS+DE+INFORMACI%C3%93N+GERENCIA
L+%2B+KENNETH&lr=&source=gbs_summary_r&cad=0#PPA455,M1
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
http://campus.usal.es/~derinfo/Activ/Jorn02/Pon2002/LARyALSL.pdf
http://www.human.ula.ve/ceaa/temporal/fundamentos_de_seguridad.pdf
http://www.shutdown.es/ISO17799.pdf
http://www.gcd.udc.es/subido/catedra/presentaciones/economia_competencia_ii/L
os%20Sistemas%20de%20Informacion%20en%20la%20Empresa%20%20Nota%20tecnica%20-%20Carlos%20Suarez%20Rey%20-%2023-03-2012.pdf
http://www.kybele.etsii.urjc.es/docencia/ISI_GIS_M/2012-2013/Material/[SI-20122013]T1_IntroduccionSI.pdf
http://www.ecma-international.org/activities/Communications/TG11/s020269e.pdf
http://www.personal.fi.upm.es/~lmengual/ARQ_REDES/Arquitecturas_Seguridad.p
df
http://handle.dtic.mil/100.2/ADA433929
http://www.human.ula.ve/ceaa/temporal/fundamentos_de_seguridad.pdf
http://intranet.bibliotecasgc.bage.es/intranettmpl/prog/local_repository/documents/15310.pdf
http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/mementodepV1.1_es.pdf

www.iso27000.es/download/doc_iso27000_all.pdf
http://pedrobeltrancanessabiblioteca.weebly.com/uploads/1/2/4/0/12405072/gran_libro_de_la_seguridad_infor
mtica.pdf
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
http://www.mastermagazine.info/informes/9544.php
http://www.icontec.org.co/MuestraContenido.asp?ChannelId=632
http://www.nexusasesores.com/docs/ISO27001-norma-e-implantacion-SGSI.pdf
http://www.iso27000.es/iso27000.html
ftp://securityuniversity.net/classes/QCA/CISSP_For_Dummies-4E.pdf
http://ciberseguridad01.blogspot.com.co/2014/05/termino.html
http://ciberseguridad01.blogspot.com.co/2014/05/termino.html
https://canal.uned.es/mmobj/index/id/4968
https://www.mindefensa.gov.co/irj/go/km/docs/Mindefensa/Documentos/descargas/
estudios%20sectoriales/Notas%20de%20Investigacion/Ciberseguridad%20y%20ci
berdefensa.pdf
https://gidt.unad.edu.co/material-de-apoyo
http://www.iso27000.es/download/doc_sgsi_all.pdf
http://repository.unimilitar.edu.co/bitstream/10654/12251/1/ENSAYO%20FINAL.pdf
http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norm
a.%20NTC-ISO-IEC%2027001.pdf