Material Didactico PDF

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS

Contenido Modelos y Estndares de Seguridad Informtica
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA
233002
MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA
ING. GABRIEL MAURICIO RAMIREZ VILLEGAS
ING. GUSTAVO EDUARDO CONSTAIN MORENO
(Director Nacional)
(Diseadores de material didctico)
ZONA CENTRO-SUR
(CEAD PALMIRA, CEAD POPAYN)
Febrero de 2012
1
INDICE DE CONTENIDO
Introduccin
PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE

SEGURIDAD INFORMATICA
Captulo 1: Conceptos Bsicos de Seguridad Informtica
Leccin 1: Sistema de Gestin de la Seguridad de la Informacin.
Leccin 2: Que es un estndar?
Leccin 3: Diferencias entre un Modelo y Estndar
Leccin 4: Ventajas y Desventajas
Leccin 5: Ejemplos de Modelos y Estndares
Captulo 2: Estndar (normas) de seguridad informtica
Leccin 6: ISO 17799
Leccin 7: ISO 27000
Leccin 8: ISO 27001
Leccin 9: ISO 27001
Leccin 10: ISO 27003 a ISO 27005
Captulo 3: Modelos de seguridad informtica
Leccin 11: ITIL
Leccin 12: COBIT
Leccin 13: OSSTMM
Leccin 14: CC
2
Leccin 15: Polticas, organizacin, alcance del sistema de gestin.
SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA
Captulo 4: Gobierno de Tecnologa
Leccin 16: Qu es Gobierno de Tecnologa?
Leccin 17: Fundamentos de Gobierno de Tecnologa
Leccin 18: Implementacin de Gobierno de TI
Leccin 19: Marco de Implementacin.
Leccin 20: xito de Gobierno de Tecnologa
Captulo 5: Certificaciones
Leccin 21: CISA
Leccin 22: CISM
Leccin 23: CGIT
Leccin 24: CISSP
Leccin 25: COMPTIA SECURITY
Captulo 6: Hacker tico
Leccin 26: Qu es Hacker tico?
Leccin 27: Tareas del Hacker tico
Leccin 28: Certificacin Hacker tico
Leccin 29: Ingeniera Social
Leccin 30: Reflexin Hacker Personal
3
LISTADO DE GRAFICOS Y FIGURAS
Fig. 1. Modelo de seguridad de la informacin organizacional. Pg. 12
Fig. 2. Entidades generadoras de estndares. Pg. 15
Fig. 3. Modelo de gestin de TI. Pg. 39
4
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO
El contenido didctico del curso acadmico: Modelos y Estndares de

Seguridad Informtica fue diseado y construido inicialmente en el ao 2012 por
los Ingenieros Gabriel Mauricio Ramrez Villegas y Gustavo Eduardo Constan
Moreno, docentes de la Escuela de Ciencias Bsicas Tecnologa e Ingeniera de la
Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educacin
a Distancia de Palmira (Valle del Cauca) y Popayn (Cauca) respectivamente, con
recursos de Internet, Libros Electrnicos, White Papers, Monografas, Trabajos de
Grados, documentos de las compaas y organizaciones productoras de los
modelos y estndares, adems de hardware y software, consorcios de
telecomunicaciones, videos, presentaciones, entre otros recursos utilizados.
Algunas de las lecciones toman informacin textual de diferentes documentos, con

referencia a las definiciones y explicaciones sobre los modelos y estndares de
tecnologas computacionales y de comunicaciones con respecto a la seguridad
informtica.
El presente contenido es la primera versin construida para el curso de Modelos y

Estndares de Seguridad Informtica, debido a los diferentes estndares definidos
por la UNAD y por el continuo cambio de los contenidos y la evolucin de los
sistemas computacionales y de comunicaciones, el contenido podr ser
actualizado de forma constante.
5
AVISO IMPORTANTE LEER ANTES DE INICIAR
El contenido del curso 233002 Modelos y Estndares de Seguridad

Informtica est construido con informacin conceptual y contextual
referente a los diferentes modelos y estndares que se aplican a la
seguridad informtica.
Las Unidades didcticas corresponden a un (1) crdito acadmico, de

acuerdo a lo establecido en la UNAD estas unidades estn
conformadas por los captulos y estos a su vez por lecciones, las
lecciones contienen la informacin conceptual y contextual, que debe
ser profundizada por medio de la investigacin de los estudiantes en el
tema, para ello se proponen enlaces web los cuales son pginas de
internet, monografas, artculos, White papers, tesis de grado, as
como la informacin tcnica de las empresas productoras de hardware
y software, organizaciones de seguridad entre otros que dirigen a los
estudiantes a la profundizacin de los temas, pero a su vez los
estudiantes deben profundizar en los temas buscando sus propios
recursos.
Es importante que el participante del curso observe los enlaces

sugeridos y lea con detenimiento las distintas fuentes de informacin
mencionadas para garantizar un adecuado nivel de profundizacin en
las temticas tratadas al interior del curso.
No olvidar profundizar las lecciones con los documentos y

enlaces relacionados!
6
INTRODUCCIN
En el presente contenido didctico del curso de Modelos y Estndares en

Seguridad Informtica, se podr observar la informacin bsica y necesaria para el
desarrollo de las actividades del curso.
El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo

colaborativo, esta estrategia se utiliza para que los estudiantes planeen,
implementen y evalen los diferentes modelos y estndares para conceptualizar,
contextualizar y aplicar los conocimientos en el mundo real.
De acuerdo con esto se plantea en el curso el desarrollo de la informacin de las

unidades del curso, pero se invita al estudiante a investigar y profundizar en cada
una de estas unidades, para ello se desarrolla un diseo instruccional en donde el
estudiante tendr una gua de investigacin que le permita complementar la
informacin y as cumplir con el proceso de enseanza-aprendizaje.
Los estudiantes deben trabajar en equipo con los compaeros de su grupo de

trabajo, lo cuales se acompaaran en todos los procesos de investigacin y de
aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo
debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje
entre pares con sus compaeros.
En este orden de ideas es necesario que el estudiante afronte el curso de forma

adecuada en cuanto al trabajo que se realizara en cada una de las unidades
didcticas del curso, en las investigaciones complementarias y en el desarrollo de
las actividades del curso.
A continuacin se presentan dos (2) Unidades didcticas, en las cuales se

presenta la informacin referente al marco terico de los modelos y estndares
utilizados en la actualidad en la seguridad informtica.
7
UNIDAD 1
Nombre de la Unidad Introduccin a los Modelos y Estndares
de Seguridad Informtica
Introduccin
Justificacin
Intencionalidades Formativas
Captulo 1 Conceptos Bsicos de Seguridad
Informtica
Leccin 1 Sistema de Gestin de la Seguridad de la
Informacin
Leccin 2 Qu es un Estndar?
Leccin 3 Diferencias entre un Modelo y Estndar
Leccin 4 Ventajas y Desventajas
Leccin 5 Ejemplos de Modelos y Estndares
Captulo 2 Modelos (normas) de seguridad
informtica
Leccin 6 ISO 17799
Leccin 7 ISO 27000
Leccin 8 ISO 27001
Leccin 9 ISO 27002
Leccin 10 ISO 27003 a ISO 27005
Captulo 3 Estndares de seguridad informtica
Leccin 11 ITIL
Leccin 12 COBIT
Leccin 13 OSSTMM
Leccin 14 CC
Leccin 15 Polticas, organizacin, alcance del sistema
de gestin.
8
PRIMERA UNIDAD: INTRODUCCIN A LA SEGURIDAD

INFORMTICA
CAPITULO 1: CONCEPTOS BSICOS DE SEGURIDAD INFORMTICA
Introduccin
En la actualidad, el activo de mayor valor para muchas organizaciones es la

informacin y en tal sentido asumen una significativa importancia las acciones
tendientes a garantizar su permanencia en el tiempo con un nivel de acceso
controlable y seguro. A diario las organizaciones se estn viendo amenazadas por
riesgos que ponen en peligro la integridad de la informacin y, por supuesto, la
viabilidad y estabilidad de sus funciones sustanciales.
Es importante la identificacin de los factores de riesgo, tanto internos como

externos, que pueden significar un factor de riesgo para la integridad de la
informacin organizacional, y a partir de ello buscar las mejores alternativas para
el aseguramiento de un entorno de trabajo fiable. En tal sentido, las
organizaciones pueden proteger sus datos e informacin de valor con el
planteamiento de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra
la seguridad de la informacin.
El presente captulo, profundiza en la conceptualizacin de aspectos bsicos de

seguridad informtica y proteccin de las infraestructuras de las tecnologas de la
informacin, con el fin de generar los conocimientos mnimos para el desarrollo
apropiado de la especializacin.
9
Justificacin
La presente Unidad permite al participante del curso Modelos y Estndares en

Seguridad Informtica, apropiar los conceptos generales bsicos para abordar las
diferentes temticas a tratar en la Especializacin en Seguridad Informtica, para
que de este modo se facilite su aprendizaje y continuidad en los niveles con una
apropiacin adecuada de las temticas propuestas.
Dentro de este nivel de aprendizaje es importante la definicin de los modelos de

implementacin de la seguridad de la informacin, adems de los estndares que
pueden ser aplicados para este fin. Todo lo anterior servir como base para la
continuidad en el programa de formacin postgradual.
Fortalecer los conocimientos fundamentales de la seguridad informtica como el

esquema bsico de diseo de un sistema de gestin de la seguridad de la informacin
organizacional (SGSI).
Identificar los diferentes modelos y estndares que pueden ser aplicados en las
organizaciones para el montaje de un SGSI.
Identificar las caractersticas, ventajas y desventajas de los modelos y estndares de

Preparar al participante de la especializacin en los conceptos fundamentales, anlisis,

diseo y desarrollo de sistemas de gestin de la seguridad de la informacin.
10
Leccin 1: Sistema de gestin de seguridad de la informacin
En el interior de las organizaciones actuales es imposible no considerar su

informacin como uno de factores de mayor importancia y valor, y que por
supuesto amerita de un tratamiento especial para garantizar su fiabilidad y
permanencia. En tal sentido, cada propietario de la informacin podra asumir sus
mecanismos de proteccin particulares sin importar la compatibilidad de tales
estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro
de un proceso de manejo de informacin al interior de la misma organizacin. Es
as como adems de la prdida de informacin por malos manejos de los medios
de transmisin, se suma a estos riesgos la innumerable lista de amenazas
posibles que atentan contra la integridad de dicha informacin.
Para cualquier organizacin el garantizar un nivel de proteccin total de la

informacin es virtualmente imposible, incluso en el caso de disponer de recursos
ilimitados. En este sentido, se han propuesto normas internacionales con el fin de
unificar los mecanismos de construccin, manejo, almacenamiento y transmisin
de informacin para reducir los riesgos que ocasionan prdidas de informacin y
facilitar los criterios de actuacin en caso de que ellos ocurran. Sin embargo, a
travs de estas normas se puede prever la conservacin de su confidencialidad,
integridad y disponibilidad, as como de los sistemas implicados en su tratamiento.
A esto se le ha llamado Sistema de Gestin de la Seguridad de la Informacin
SGSI (o ISMS por sus siglas en ingls).
El propsito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad
de la informacin sean conocidos, asumidos, gestionados y minimizados por la
organizacin de una forma documentada, sistemtica, estructurada, repetible,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y
las tecnologas.
11
Fig. 1. Modelo de seguridad de la informacin organizacional1
El proceso de desarrollo del SGSI requiere de la ejecucin de las siguientes fases:
1. PLANEAR
Definir el alcance de las polticas

Definir las polticas
Definir la metodologa de valoracin del riesgo
Identificar riesgos
Analizar y evaluar riesgos
Gestin del riesgo
Objetivos de control
Obtener autorizacin para operar el SGSI
Elaborar una declaracin de aplicabilidad
2. IMPLEMENTAR
Plan de tratamiento del riesgo

Implementar controles seleccionados
Definir mtrica de los controles establecidos
1
Imgen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure
Protection. http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf
12
Implementar programas de educacin

Gestionar la operacin del SGSI
Gestionar los recursos del SGSI
Implementar procedimientos
3. EVALUAR
Ejecutar procedimientos de revisin

Realizar revisiones peridicas
Medir la eficacia de los controles
Revisar las valoraciones de riesgos
Realizar auditoras internas
4. MANTENER
Implementar las mejoras identificadas en el SGSI

Emprender acciones correctivas y preventivas
Comunicar las acciones y mejoras a las partes interesadas
Asegurarse de que las mejoras logran los objetivos propuestos
Para Profundizar:
El estudiante debe visitar los siguientes enlaces, para profundizar y deben

realizar su propia investigacin del tema y profundizacin:
Portal web ISO27000. Sistema de Gestin de la Seguridad de la Informacin:

http://www.iso27000.es/download/doc_sgsi_all.pdf
FERRER, R. Sistema de Gestin de la Seguridad de la Informacin -SGSI:

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf
Portal VDigitalRM. Gua de seguridad de la informacin:

http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf
Instituto Nacional de Tecnologas de la Comunicacin. Conceptos bsicos sobre

Seguridad de la Informacin:
http://www.youtube.com/watch?v=zV2sfyvfqik
13
Leccin 2: Qu es un Estndar?
Como vimos en la leccin anterior, un sistema de gestin de la seguridad de la

informacin busca prever los riesgos con el fin de preservar la confidencialidad,
integridad y disponibilidad de la misma, bien sea en el interior de la organizacin,
ante nuestros clientes (internos y/o externos) y ante las distintas partes
involucradas en nuestro negocio. La confidencialidad implica el acceso a la
informacin por parte exclusiva de las personas que estn debidamente
autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y
completitud de la informacin y sus mtodos de proceso; finalmente, la
disponibilidad se refiere al acceso a la informacin y los sistemas de tratamiento
de la misma por parte de los usuarios autorizados en el momento que lo requieran.
Para lograr lo anteriormente expuesto, se ha definido un con junto de normas,

denominadas como Estndares, que pueden concebirse como una publicacin
que rene el trabajo en comn de los comits de fabricantes, usuarios,
organizaciones, departamentos de gobierno y consumidores, que contiene las
especificaciones tcnicas y mejores prcticas en la experiencia profesional con el
objeto de ser utilizada como regulacin, gua o definicin para las necesidades
demandadas por la sociedad y tecnologa2.
Con el fin de proporcionar un marco de gestin de la seguridad de la informacin

que sea utilizable por cualquier tipo de organizacin, se ha creado un conjunto de
estndares bajo el nombre de ISO/IEC 27000; estas normas nos van a permitir
reducir de manera significativa el impacto de los riesgos sin necesidad de realizar
grandes inversiones en software y sin contar con una gran estructura de personal.
El grupo de normas ISO/IEC 27000 han sido elaboradas conjuntamente por ISO,
que es la Organizacin Internacional de Normalizacin y por IEC que es la
Comisin Electrotcnica Internacional. Ambos estn formados por los organismos
de normalizacin ms representativos de cada pas.
2
Ministerio de comunicaciones. Repblica de Colombia. Modelo de seguridad de la informacin. Sitio web:
http://programa.gobiernoenlinea.gov.co/apc-aa-
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
14
Fig. 2. Entidades generadoras de estndares
ISO e IEC se encargan de elaborar normas internacionales que el mercado

requiere, necesita y exige. Estas normas pueden hacer referencia a productos
como electrodomsticos, calzado, alimentacin o juguetes; tambin pueden hacer
referencia a servicios como los prestados en hoteles o transporte pblico de
pasajeros. En los ltimos aos, ISO e IEC han trabajado mucho con normas
relacionadas con las nuevas tecnologas como la telefona mvil o la seguridad de
la informacin, y por supuesto, han continuado elaborando normas de gestin
como las conocidas ISO 9001 e ISO 14001. Las normas son de carcter
voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones
de empresas facilita el entendimiento entre pases y organizaciones. Las normas
tambin contribuyen a mejorar la calidad y seguridad de los productos y servicios
que utilizamos todos los das.3
Para Profundizar:

Ministerio de comunicaciones. Repblica de Colombia. Modelo de seguridad de la

informacin. Sitio web:
files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
3
Instituto Nacional de Tecnologas de la Comunicacin INTECO. Espaa. www.inteco.es
15
Instituto Nacional de Tecnologas de la Comunicacin. Conceptos bsicos sobre

http://www.youtube.com/watch?v=zV2sfyvfqik
Instituto Nacional de Tecnologas de la Comunicacin. Estndares de gestin de la

http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related
Escuela Colombiana de Ingeniera Julio Garavito. Principales estndares para la

seguridad de de la informacin IT:
http://www.escuelaing.edu.co/micrositio/admin/documentos/EOS2-6.pdf
16
Leccin 3: Diferencias entre un Modelo y un Estndar
Los estndares y las normas son descripciones tcnicas detalladas, elaboradas

con el fin de garantizar la interoperabilidad entre elementos construidos
independientemente, as como la capacidad de replicar un mismo elemento de
manera sistemtica.
Segn la Organizacin Internacional para la Estandarizacin (ISO), uno de los

principales organismos internacionales desarrolladores de estndares, la
normalizacin es la actividad que tiene por objeto establecer, ante problemas
reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el
fin de obtener un nivel de ordenamiento ptimo en un contexto dado, que puede
ser tecnolgico, poltico o econmico.
En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es

casi exclusivamente tecnolgico. Los estndares de telecomunicaciones deben
alcanzar nicamente el nivel de concrecin necesario para llevar a cabo
implementaciones del estndar de manera inequvoca y que sean compatibles
entre s. Adems, las normas tcnicas de telecomunicaciones deben proporcionar
criterios uniformes en el mbito territorial ms extenso posible, de manera que se
pueda garantizar la interoperabilidad a nivel global.
Con el fin de clarificar algunos conceptos que son importantes para la continuidad
temtica del curso, a continuacin se definen conceptualmente los aspectos
siguientes:
NORMA:
En Tecnologa, una norma o estndar es una especificacin que reglamenta

procesos y productos para garantizar la interoperabilidad. Una norma de calidad
es una regla o directriz para las actividades, diseada con el fin de conseguir un
grado ptimo de orden en el contexto de la calidad.
17
Las normas son documentos tcnicos con las siguientes caractersticas:
Contienen especificaciones tcnicas de aplicacin voluntaria
Son elaborados por consenso de las partes interesadas:
Fabricantes
Administraciones
Usuarios y consumidores
Centros de investigacin y laboratorios
Asociaciones y Colegios Profesionales
Agentes Sociales, etc.
Estn basados en los resultados de la experiencia y el desarrollo

tecnolgico
Son aprobados por un organismo nacional, regional o internacional de

normalizacin reconocido
Estn disponibles al pblico
Las normas ofrecen un lenguaje de punto comn de comunicacin entre las

empresas, la Administracin y los usuarios y consumidores, establecen un
equilibrio socioeconmico entre los distintos agentes que participan en las
transacciones comerciales, base de cualquier economa de mercado, y son un
patrn necesario de confianza entre cliente y proveedor.
Tipos de normas:
Una norma de facto puede definirse como una especificacin tcnica que ha sido
desarrollada por una o varias compaas y que ha adquirido importancia debido a
las condiciones del mercado. Suele utilizarse para referirse a normas de uso
cotidiano.
18
Una norma de jure puede definirse, en general, como una especificacin tcnica
aprobada por un rgano de normalizacin reconocido para la aplicacin de la
misma de forma repetida o continuada, sin que dicha norma sea de obligado
cumplimiento.
ESTNDAR:
La normalizacin o estandarizacin es la redaccin y aprobacin de normas que

se establecen para garantizar el acoplamiento de elementos construidos
independientemente, as como garantizar el repuesto en caso de ser necesario,
garantizar la calidad de los elementos fabricados y la seguridad de
funcionamiento.
La normalizacin es el proceso de elaboracin, aplicacin y mejora de las normas

que se aplican a distintas actividades cientficas, industriales o econmicas con el
fin de ordenarlas y mejorarlas. La Asociacin Estadounidense para Pruebas de
Materiales (ASTM), define la normalizacin como el proceso de formular y aplicar
reglas para una aproximacin ordenada a una actividad especfica para el
beneficio y con la cooperacin de todos los involucrados.
Segn la ISO (International Organization for Standarization) la Normalizacin es la

actividad que tiene por objeto establecer, ante problemas reales o potenciales,
disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un
nivel de ordenamiento ptimo en un contexto dado, que puede ser tecnolgico,
poltico o econmico.
La normalizacin persigue fundamentalmente tres objetivos:
Simplificacin: Se trata de reducir los modelos quedndose nicamente con los

ms necesarios.
Unificacin: Para permitir la intercambiabilidad a nivel internacional.
Especificacin: Se persigue evitar errores de identificacin creando un lenguaje

claro y preciso.
19
MODELO:
Arquetipo o punto de referencia para imitarlo o reproducirlo.
Para Profundizar:

TECCELAYA. Norma, Estndar, Modelo.
http://equipoteccelaya.blogspot.es/1234029360/
WIKITEL. Normas y Estndares.
http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares
Bjrn Andersen. Departamento de Produccin y Calidad de Ingeniera de la

Universidad Noruega de Ciencia y Tecnologa. Ventajas y desventajas del uso de
modelos predefinidos de proceso.
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo
nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us
ing%2520predefined%2520process%2520models.pdf
20
Leccin 4: Ventajas y desventajas
Ventajas:
Algunas de las ventajas de la implementacin de estndares para la seguridad de

la informacin son las siguientes:
Mejorar el conocimiento de los sistemas de informacin, sus problemas y

los medios de proteccin.
Mejorar la disponibilidad de los materiales y de los datos que existan en la

organizacin.
Se facilita la proteccin de la informacin.
La aplicacin de estndares puede significar la diferenciacin de la

organizacin ante la competencia y sobre el mercado.
Algunas licitaciones de tipo internacional solicitan la gestin y cumplimiento

de ciertas normas de aseguramiento de la seguridad de la informacin.
Reduccin de costos debido a la prdida de informacin.
Desventajas:
La no aplicacin de las normas, o la mala implementacin de las mismas, pude

llevar a la ocurrencia de las siguientes situaciones:
Claves de acceso a sistemas de informacin compartidas o inexistentes.
Acceso a sitios no autorizados.
Uso indebido de equipos informticos y mala utilizacin o prdida de la

informacin en ellos contenida.
21
Robo o prdida de informacin importante.
Bases de datos destruidas.
Mantenimiento de equipos informticos no controlados.
Copias de seguridad inservibles o incompatibles.
Redes de comunicacin de la organizacin cadas.
Aplicaciones informticas mal diseadas.
Inexistencia de roles y responsabilidades entre las personas con acceso a

la informacin (personal no controlado).
Deficiente infraestructura de los centros de informtica.
Terceros / Outsourcing sin control.
Incumplimiento de requerimientos legales o contractuales.
Inestabilidad de la viabilidad de la organizacin.
Para Profundizar:

Estndares y Normas de seguridad:

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf
Bjrn Andersen. Departamento de Produccin y Calidad de Ingeniera de la

Universidad Noruega de Ciencia y Tecnologa. Ventajas y desventajas del uso de
modelos predefinidos de proceso.
http://translate.google.com.co/translate?hl=es&langpair=en%7Ces&u=http://www.prestasjo
nsledelse.net/publikasjoner/Advantages%2520and%2520disadvantages%2520of%2520us
ing%2520predefined%2520process%2520models.pdf
22
Leccin 5: Ejemplos de Modelos y estndares
Para el caso que nos interesa, las normas ISO/IEC 27000 han sido creadas para
facilitar la implantacin de Sistemas de Gestin de Seguridad de la Informacin,
entre las ms importantes estn:
NORMA ISO/IEC 27000: Recoge los trminos y definiciones empleados en el

resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los
conceptos que aparecen a lo largo de las mismas. Adems, incluye una visin
general de la familia de normas en esta rea, una introduccin a los sistemas de
Gestin de Seguridad de la informacin y una descripcin del ciclo de mejora
continua.
NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a

cualquier tipo de organizacin, independientemente de su tamao y de su
actividad. La norma contiene los requisitos para establecer, implementar, operar,
supervisar, revisar, mantener y mejorar un sistema de gestin de la seguridad de
la informacin. Recoge los componentes del sistema, los documentos mnimos
que deben formar parte de l y los registros que permitirn evidenciar el buen
funcionamiento del sistema. Asimismo, especifica los requisitos para implementar
controles y medidas de seguridad adaptados a las necesidades de cada
organizacin.
NORMA ISO/IEC 27002: Es una gua de buenas prcticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
informacin de una organizacin. Para ello describe 11 reas de actuacin, 39
objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
La familia de normas ISO/IEC 27000 contiene otras normas destacables. Como

por ejemplo, la norma sobre requisitos para la acreditacin de las entidades de
auditora y certificacin, es decir, de aquellas entidades que acuden a las
empresas para certificar que el sistema est correctamente implantado. Tambin
incluye una gua de auditora y guas de implantacin de la norma en sectores
especficos como el de sanidad o telecomunicaciones.
23
Para Profundizar:


24
CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMTICA
Leccin 6: ISO 17799
La ISO 17799 es una norma internacional que ofrece recomendaciones para

realizar la gestin de la seguridad de la informacin dirigidas a los responsables
de iniciar, implantar o mantener la seguridad de una organizacin. Existen varios
tipos de estndares aplicados a diferentes niveles, de los cuales el ISO 17799 es
el estndar internacional ms extendido y aplicado.
El objetivo de esta norma es proporcionar una base comn para desarrollar

normas de seguridad dentro de las organizaciones, un mtodo de gestin eficaz
de la seguridad y para establecer transacciones y reclamaciones de confianza
entre las empresas.
Esta misma norma recoge la relacin de controles que se deben aplicar para
establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI). El
conjunto completo de estos controles conforman las buenas prcticas de
seguridad de la informacin. Algunas caractersticas de la norma ISO 17799 son
las siguientes:
Est redactada de forma flexible e independiente de cualquier solucin de

seguridad concreta.
Proporciona buenas prcticas neutrales con respectos a tecnologas o

fabricantes especficos.
Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial

o tamao.
La norma ISO 17799 establece 11 dominios de control que cubren por completo la
gestin de la seguridad de la informacin:
1. Poltica de seguridad: Dirigir y dar soporte a la gestin de la seguridad de la

informacin (directrices y recomendaciones).
2. Aspectos organizativos de la seguridad: Gestin dentro de la organizacin

(recursos, activos, tercerizacin, etc.)
3. Clasificacin y control de activos: Inventario y nivel de proteccin de los

activos.
25
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos,

fraudes o mal uso de los recursos.
5. Seguridad fsica y del entorno: Evitar accesos no autorizados, violacin,

daos o perturbaciones a las instalaciones y a los datos.
6. Gestin de comunicaciones y operaciones: Asegurar la operacin correcta y

segura de los recursos de tratamiento de la informacin.
7. Control de accesos: Evitar accesos no autorizados a los sistemas de

informacin (en computadores, redes informticas, archivos personales de
usuarios, etc.)
8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad est

incorporada dentro de los sistemas de informacin, evitar prdidas,
modificaciones o mal uso de la informacin
9. Gestin de incidentes: Gestionar los incidentes que afectan la seguridad de

la informacin.
10. Gestin de continuidad del negocio: Reaccionar a la interrupcin de las

actividades del negocio y proteger sus procesos crticos frente a fallos,
ataques o desastres.
11. Conformidad con la legislacin Evitar el incumplimiento de leyes,

regulaciones, obligaciones y de otros requerimientos de seguridad.
De estos once dominios se derivan los Objetivos de Control, con los resultados
que se esperan alcanzar mediante la implementacin de controles; y los
Controles, que son las prcticas, procedimientos y mecanismos que reducen el
nivel de riesgo.
26
Para Profundizar:

Un acercamiento a las mejores prcticas de seguridad de la informacin

internacionalmente reconocidas en el estndar ISO 17799:2005. Empresa Mayorista de
Valor Agregado (MVA). Colombia. 2006.
http://www.google.com.co/url?sa=t&rct=j&q=est%C3%A1ndar+ISO+17799+filetype%3Apd
f&source=web&cd=1&ved=0CDMQFjAA&url=http%3A%2F%2Fwww.mvausa.com%2FCol
ombia%2FPresentaciones%2FINTRODUCCION_ISO_17799.pdf&ei=-f8vT6ehD5Tsggek-
6iZBA&usg=AFQjCNFFbO-Fg2GSGKyyaJiYWbBu5a_kKw
Seguridad de la informacin. Norma ISO 17799. ITCSA Software.

http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf
Tecnologa de la informacin Tcnicas de seguridad- Cdigo para la prctica de la

gestin de la seguridad de la informacin. Estndar internacional ISO/IEC 17799.
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
Estndares y normas de seguridad

27
Leccin 7: ISO 27000
Es una familia de estndares de ISO e IEC que proporciona un marco para la

gestin de la seguridad de la informacin. Estas normas especifican los requisitos
para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y
mejorar un SGSI.
La norma ISO 27000 est basada en:
Normas Base: 20001, 20002
Normas Complementarias: 20003, 20004, 20005,
La aplicacin de este grupo de normas busca la preservacin de la informacin

con confidencialidad, integridad y disponibilidad, as como la de los sistemas
implicados en su tratamiento:
Confidencialidad: La informacin no se pone a disposicin ni se revela a

individuos, entidades o procesos no autorizados.
Integridad: Mantenimiento de la exactitud y completitud de la informacin y

sus mtodos de proceso.
Disponibilidad: Acceso y utilizacin de la informacin y los sistemas de

tratamiento de la misma por parte de los individuos, entidades, o procesos
autorizados cuando lo requieran.
ISO 27000 tambin define el vocabulario estndar empleado en la familia de

estndares 27000 (definicin de trminos y conceptos).
28
Para Profundizar:

Familia de normas ISO/IEC 27000.

ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf
Sistema de Gestin de Seguridad de TI.

http://www.asentti.com/documentos/gseguridad.pdf
29
Leccin 8: ISO 27001
Es la norma principal de la serie ISO/EIC 27000 y se puede aplicar a cualquier tipo

de organizacin, sin importar su tamao o su actividad comercial. La norma
contiene los requisitos para establecer, implementar, operar, supervisar, revisar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin,
documentado dentro del contexto global de los riesgos de negocio de la
organizacin.
La norma ISO 27001, recoge los componentes del sistema, los documentos
mnimos que deben formar parte de l y los registros que permiten evidenciar el
buen funcionamiento del sistema. Asimismo, especifica los requisitos para
implantar controles y medidas de seguridad adaptados a las necesidades de cada
organizacin. Esta adems, es la norma con la que se certifican los Sistemas de
Gestin de Seguridad de la Informacin de las organizaciones que lo deseen.
El objetivo de esta norma es el mejoramiento contnuo del sistema de gestin de

seguridad de la informacin a travs de la adopcin del modelo Plan-Do-Check-
Act (PDCA o Ciclo de Deming) para todos los procesos de la organizacin. Estas
siglas obedecen a las siguientes fases:
Fase de Planificacin (Plan) [Establecer el SGSI]: Establecer la poltica,

objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la
seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo
con las polticas y objetivos generales de la organizacin.
Fase de Ejecucin (Do) [Implementar y gestionar el SGSI]: Implementar y

gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos.
Fase de Seguimiento (Check) [Monitorizar y revisar el SGSI]: Medir y revisar

las prestaciones de los procesos del SGSI.
Fase de Mejora (Act) [Mantener y mejorar el SGSI]: Adoptar acciones

correctivas y preventivas basadas en auditoras y revisiones internas o en otra
informacin relevante a fin de alcanzar la mejora contnua del SGSI.
30
Para Profundizar:



31
Leccin 9: ISO 27002
La NORMA ISO/IEC 27002 es una gua de buenas prcticas que recoge las
recomendaciones sobre las medidas a tomar para asegurar los sistemas de
informacin en una organizacin. Para ello describe 11 reas de actuacin, 39
objetivos de control o aspectos a asegurar dentro de cada rea y 133 controles o
mecanismos para asegurar los distintos objetivos de control.
Los objetivos de seguridad, recogen aquellos aspectos fundamentales que se

deben analizar para conseguir un sistema seguro en cada una de las reas que
los agrupa. Para conseguir cada uno de estos objetivos la norma propone una
serie de medidas o recomendaciones (controles) que son los que en definitiva
aplicaremos para la gestin del riesgo analizado. El objetivo de la norma es definir
los aspectos prcticos y operativos de la implantacin del SGSI.
reas o secciones sobre las qu actuar:
o Poltica de seguridad
o Aspectos organizativos para la seguridad
o Clasificacin y control de activos
o Seguridad ligada al personal
o Seguridad fsica del entorno
o Gestin de comunicaciones y operaciones
o Control de accesos
o Desarrollo y mantenimiento de sistemas
o Gestin de incidentes de seguridad de la informacin
o Gestin de continuidad del negocio
o Conformidad
32
Objetivos de control
o Aspectos por asegurar dentro de cada rea/seccin.
Controles
Mecanismos para asegurar los distintos objetivos de control (gua de buenas

prcticas)
o Para cada control se incluye una gua para su implementacin.
Para Profundizar:



33
Leccin 10: ISO 27003 a ISO 27799
ISO 27003: Consiste en una gua de implementacin de SGSI e informacin

acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.
Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos
publicados por BSI a lo largo de los aos con recomendaciones y guas de
implantacin.
ISO 27004: Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados. Estas mtricas
se usan fundamentalmente para la medicin de los componentes de la fase Do
(Implementar y Utilizar) del ciclo PDCA.
ISO 27005: Establece las directrices para la gestin del riesgo en la seguridad de
la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC
27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de
la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los
conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo,
empresas comerciales, agencias gubernamentales, organizaciones sin fines de
lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la
organizacin de la seguridad de la informacin. Su publicacin revisa y retira las
normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000.
ISO 27006: Especifica los requisitos para la acreditacin de entidades de auditora

y certificacin de sistemas de gestin de seguridad de la informacin. Es una
versin revisada de EA-7/03 (Requisitos para la acreditacin de entidades que
operan certificacin/registro de SGSIs) que aade a ISO/IEC 17021 (Requisitos
para las entidades de auditora y certificacin de sistemas de gestin) los
requisitos especficos relacionados con ISO 27001 y los SGSIs. Es decir, ayuda a
interpretar los criterios de acreditacin de ISO/IEC 17021 cuando se aplican a
entidades de certificacin de ISO 27001, pero no es una norma de acreditacin
por s misma.
ISO 27007: Consiste en una gua de auditora de un SGSI.
34
ISO 27011: Consiste en una gua de gestin de seguridad de la informacin

especfica para telecomunicaciones, elaborada conjuntamente con la ITU (Unin
Internacional de Telecomunicaciones).
ISO 27031: Consiste en una gua de continuidad de negocio en cuanto a

tecnologas de la informacin y comunicaciones.
ISO 27032: Consiste en una gua relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestin de seguridad de redes,

arquitectura de seguridad de redes, escenarios de redes de referencia,
aseguramiento de las comunicaciones entre redes mediante gateways, acceso
remoto, aseguramiento de comunicaciones en redes mediante VPNs y diseo e
implementacin de seguridad en redes. Proviene de la revisin, ampliacin y re-
numeracin de ISO 18028.
ISO 27034: Consiste en una gua de seguridad en aplicaciones.
ISO 27799: Es un estndar de gestin de seguridad de la informacin en el sector

sanitario aplicando ISO 17799 (actual ISO 27002). Esta norma, al contrario que las
anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico TC
215.
Esta norma define directrices para apoyar la interpretacin y aplicacin en la salud

informtica de la norma ISO/IEC 27002 y es un complemento de esa norma. ISO
27799:2008 especifica un conjunto detallado de controles y directrices de buenas
prcticas para la gestin de la salud y la seguridad de la informacin por
organizaciones sanitarias y otros custodios de la informacin sanitaria en base a
garantizar un mnimo nivel necesario de seguridad apropiado para la organizacin
y circunstancias que van a mantener la confidencialidad, integridad y
disponibilidad de informacin personal de salud.
ISO 27799:2008 se aplica a la informacin en salud en todos sus aspectos y en

cualquiera de sus formas, toma la informacin (palabras y nmeros, grabaciones
sonoras, dibujos, vdeos imgenes mdicas), sea cual fuere el medio utilizado
para almacenar (de impresin o de escritura en papel o electrnicos de
almacenamiento) y sea cual fuere el medio utilizado para transmitirlo (a mano, por
fax, por redes informticas o por correo), ya que la informacin siempre debe estar
adecuadamente protegida.
35
Para Profundizar:

ISO 27000.
http://www.iso27000.es/download/doc_iso27000_all.pdf

36
CAPITULO 3: ESTNDARES DE SEGURIDAD INFORMTICA
Leccin 11: ITIL
La Biblioteca de Infraestructura de Tecnologas de Informacin, frecuentemente

abreviada ITIL (del ingls Information Technology Infrastructure Library), es un
conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la
informacin, el desarrollo de tecnologas de la informacin y las operaciones
relacionadas con la misma en general. ITIL da descripciones detalladas de un
extenso conjunto de procedimientos de gestin ideados para ayudar a las
organizaciones a lograr calidad y eficiencia en las operaciones de tecnologas de
la informacin TI. Estos procedimientos son independientes del proveedor y han
sido desarrollados para servir como gua que abarque toda infraestructura,
desarrollo y operaciones de TI4.
Lo primero que debemos clarificar es que ITIL no es una metodologa, sino un

conjunto de mejores prcticas. La biblioteca de infraestructura de TI (ITIL) toma
este nombre por tener su origen en un conjunto de libros, cada uno dedicado a
una prctica especfica dentro de la gestin de TI. Tras la publicacin inicial de
estos libros, su nmero creci rpidamente (dentro la versin 1) hasta unos 30
libros. Para hacer a ITIL ms accesible (y menos costosa) a aquellos que deseen
explorarla, uno de los objetivos del proyecto de actualizacin ITIL versin 2 fue
agrupar los libros segn unos conjuntos lgicos destinados a tratar los procesos
de administracin que cada uno cubre. De esta forma, diversos aspectos de los
sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos
temticos. Actualmente existe la nueva versin ITIL v3 que fue publicada en mayo
de 2007.
Aunque el tema de Gestin de Servicios (Soporte de Servicio y Provisin de

Servicio) es el ms ampliamente difundido e implementado, el conjunto de mejores
prcticas ITIL provee un conjunto completo de prcticas que abarca no slo los
procesos y requerimientos tcnicos y operacionales, sino que se relaciona con la
gestin estratgica, la gestin de operaciones y la gestin financiera de una
organizacin moderna.
Los ocho libros de ITIL y sus temas son:
Gestin de Servicios de TI,
1. Mejores prcticas para la Provisin de Servicio

4
http://es.wikipedia.org/wiki/ITIL
37
2. Mejores prcticas para el Soporte de Servicio
Otras guas operativas:
3. Gestin de la infraestructura de TI
4. Gestin de la seguridad
5. Perspectiva de negocio
6. Gestin de aplicaciones
7. Gestin de activos de software
Para asistir en la implementacin de prcticas ITIL, se public un libro adicional

con guas de implementacin (principalmente de la Gestin de Servicios):
8. Planeando implementar la Gestin de Servicios.
Adicional a los ocho libros originales, ms recientemente se aadi una gua con
recomendaciones para departamentos de TIC ms pequeos:
9. Implementacin de ITIL a pequea escala.
Para Profundizar:

Presentacin de ITIL V2 y V3.

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf
ITIL como apoyo a la seguridad de la informacin

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-
ITILSoporteSGSIBasadoISO27001.pdf
Qu es la actualizacin ITIL v3 2011

http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf
Qu es ITIL?
http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf
38
Leccin 12: COBIT
COBIT es un acrnimo de objetivos de control para la informacin y la tecnologa

relacionada (por sus siglas en ingls); se concibe como un marco creado por
ISACA5 para la tecnologa de la informacin (TI) y el Gobierno de TI. Se trata de
un conjunto de herramientas de apoyo que permite a los administradores cerrar la
brecha entre las necesidades de control, aspectos tcnicos y los riesgos de
negocio. COBIT define 34 procesos genricos para la gestin de TI. Cada proceso
es definido con sus entradas y salidas, adems de las actividades, sus objetivos,
las medidas de rendimiento y un modelo de madurez elemental.
El marco COBIT proporciona buenas prcticas a travs de un marco de dominio y

proceso. La orientacin de negocio de COBIT consiste en vincular los objetivos del
negocio para los objetivos de las TI, brindando mtricas y modelos de madurez
para medir sus logros, y la identificacin de las responsabilidades asociadas de
negocio y de TI responsables de dichos procesos. El enfoque hacia procesos de
COBIT se ilustra con un modelo de proceso que se subdivide en cuatro dominios
(Planificar y Organizar, Adquirir e Implementar, Entregar y Soporte tcnico y
Seguimiento y Evaluacin) y 34 procesos en lnea con las reas de
responsabilidad de ejecucin del plan, su construccin y el seguimiento.
Fig. 3. Modelo de gestin de TI
5
Asociacin de sistemas de informacin de auditora y control. ISACA es una asociacin profesional
internacional que se ocupa de Gobierno de TI
39
Los componentes de COBIT incluyen:
Marco: Organizar los objetivos de gobernanza de TI y las buenas prcticas de TI y

procesos de dominios, y los vincula a los requerimientos del negocio.
Descripcin del proceso: Un modelo de proceso de referencia y lenguaje comn

para todos los miembros de una organizacin. El mapa de procesos de las reas
de responsabilidad de planificar, construir, ejecutar y monitorear.
Los objetivos de control: Proporcionar un conjunto completo de requisitos de

alto nivel que deben ser considerados por la administracin para el control efectivo
de cada proceso de TI.
Directrices de gestin: Ayuda asignar responsabilidades, de acuerdo a los

objetivos, medir el rendimiento, e ilustran la interrelacin con otros procesos
Los modelos de madurez: Evaluar la madurez y la capacidad de cada proceso y

ayuda a subsanar las deficiencias.
Para Profundizar:

IT Service. Fundamentos de COBIT.

http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%204-1.pdf
SISTESEG. COBIT 4.1.

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf
Molina, Lucio A. COBIT como promotor de la seguridad de la informacin.

http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-
CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf
Asociacin Colombiana de Ingenieros de Sistemas ACIS. Integrando COBIT, ITIL

e ISO 27002 como parte de un marco de Gobierno de Control de TI.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/Roberto
ArbelaezXXVISalon2006.pdf
40
Leccin 13: OSSTMM
OSSTMM es una metodologa abierta para pruebas de seguridad y mtrica (por

sus siglas en ingls Open Source Testing Methodology), que ha sido estudiada
por muchos expertos sin ser exclusiva de algn fabricante o tecnologa en
particular. Es el nico manual de metodologa para comprobar la seguridad. Toda
la metodologa se enfoca especficamente en los detalles tcnicos a comprobar,
qu vigilar durante el proceso de comprobacin desde la preparacin hasta la
evaluacin post comprobacin y, sobre todo, en cmo deben ser medidos y
evaluados los resultados.
OSSTMM convierte la seguridad IT en un habilitador comercial. Todos los

procesos e indicadores clave de rendimiento utilizados por OSSTMM estn
diseados para integrarse en cualquier ISMS (Del Ingls Information Security
Management System, Sistema de Administracin de Seguridad de la Informacin)
y permite a su empresa implementar una gestin de riesgos ms confiable y un
anlisis de compatibilidad mejor y ms rentable. Una gestin de riesgos ms
rigurosa conlleva a un mejor anlisis orientado al costo beneficio para las
inversiones en infraestructura de seguridad.
Para Profundizar:

ISECOM. Manual de la metodologa abierta de testeo de seguridad.

http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf
DREAMLAB Technologies. OSSTMM, seguridad que se puede medir.

https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf
WEPFER, Simon. Security Tester by methodology: The OSSTMM.

http://www.isecom.org/press/securityacts01.pdf
41
Leccin 14: CC
Common Criteria o CC (ISO/IEC 15408:1999) es un estndar internacional para

identificar y definir requisitos de seguridad. Se suele emplear para redactar dos
tipos de documentos:
Perfil de proteccin (Protection Profile o PP): es un documento que define

las propiedades de seguridad que se desea que tenga un producto;
bsicamente se trata de un listado de requisitos de seguridad.
Objetivo de seguridad (Security Target o ST): es un documento que

describe lo que hace un producto que es relevante desde el punto de vista
de la seguridad.
En tal sentido, CC es un acuerdo internacional sobre un mtodo de desarrollo

seguro para sitios web y sobre los siete (7) niveles discretos de la gama de
esfuerzo, incluyendo la especificacin del trabajo de los evaluadores en cada
nivel. Este estndar responde a tres preguntas importantes:
Qu hace el producto?
CC determina claramente cules son las funciones de seguridad del producto y en

qu entorno aplican.
Cmo se ha validado el producto?
CC especifica varios niveles de confianza (EAL) que determinan el nivel de ensayo

(en tiempo y complejidad) requeridos para probar la seguridad del producto y el
nivel de exigencia a seguir en el desarrollo de este.
Quin ha validado el producto?
Solo laboratorios acreditados por un esquema de certificacin nacional de cada

Pas del CCRA (Common Criteria Recognition Arrangement)6.
6
http://www.commoncriteriaportal.org/ccra/
42
Para Profundizar:

ACIS. Criterios comunes para monitorear y evolucionar la seguridad informtica en

Colombia.
http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/Crit
erioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombia-
JACL-Password.pdf
Por tal web Common Criteria. The Common Criteria Recognition Arrangement.
http://www.commoncriteriaportal.org/ccra/
43
Leccin 15: DEFINICIN DE POLTICAS, ORGANIZACIN, ALCANCE DEL

SISTEMA DE GESTIN Y CONCIENCIACIN
La implantacin de un sistema de gestin de seguridad de la informacin

comienza con su correcto diseo, para ello debemos definir cuatro aspectos
fundamentales:
1. Definir el alcance del sistema: Este debe determinar las partes o procesos de
la organizacin que van a ser incluidos dentro del mismo. En este momento, la
empresa debe determinar cules son los procesos crticos para su
organizacin decidiendo qu es lo que quiere proteger y por dnde debe
empezar. Dentro del alcance deben quedar definidas las actividades de la
organizacin, las ubicaciones fsicas que van a verse involucradas, la
tecnologa de la organizacin y las reas que quedarn excluidas en la
implantacin del sistema. Es importante que durante esta fase se estimen los
recursos econmicos y de personal que se van a dedicar a implantar y
mantener el sistema. De nada sirve que la organizacin realice un esfuerzo
importante durante la implantacin si despus no es capaz de mantenerlo.
2. Definicin de la poltica de seguridad: Su principal objetivo es recoger las

directrices que debe seguir la seguridad de la informacin de acuerdo a las
necesidades de la organizacin y a la legislacin vigente. Adems, debe
establecer las pautas de actuacin en el caso de incidentes y definir las
responsabilidades. El documento debe delimitar qu se quiere proteger, de
quin y por qu hacerlo; debe explicar qu es lo que est permitido y qu no,
determinar los lmites de comportamiento aceptable y cul es la respuesta si
estos se sobrepasan; e identificar los riesgos a los que est sometida la
organizacin.
Para que la poltica de seguridad sea un documento de utilidad en la

organizacin y cumpla con lo establecido en la norma UNE-ISO/IEC 27001
debe cumplir con los siguientes requisitos:
Debe ser redactada de una manera accesible para todo el personal de

la organizacin, por lo tanto debe ser corta, precisa y de fcil
comprensin.
44
Debe ser aprobada por la direccin y publicitada por la misma.
Debe ser de dominio pblico dentro de la organizacin, por lo que debe

estar disponible para su consulta siempre que sea necesario.
Debe ser la referencia para la resolucin de conflictos y otras cuestiones

relativas a la seguridad de la organizacin.
Debe definir responsabilidades teniendo en cuenta que stas van

asociadas a la autoridad dentro de la compaa. Es funcin de las
responsabilidades se decidir quin est autorizado a acceder a qu
tipo de informacin.
Debe indicar que lo que se protege en la organizacin incluye tanto al

personal como a la informacin, as como su reputacin y continuidad.
Debe ser personalizada totalmente para cada organizacin.
Debe sealar las normas y reglas que va a adoptar la organizacin y las

medidas de seguridad que sern necesarias.
En lo que se refiere al contenido, la poltica de seguridad debera incluir, al

menos, los siguientes cinco apartados:
1. Definicin de la seguridad de la informacin y sus objetivos globales, el

alcance de la seguridad y su importancia como mecanismo de control
que permite compartir la informacin.
2. Declaracin por parte de la direccin apoyando los objetivos y principios

de la seguridad de la informacin.
3. Breve explicacin de las polticas.
4. Definicin de responsabilidades generales y especficas, en las que se

incluirn los roles pero nunca a personas concretas dentro de la
organizacin.
5. Referencias a documentacin que pueda sustentar la poltica.
45
La poltica de seguridad debe ser un documento completamente actualizado,

por lo que debe ser revisado y modificado anualmente. Adems, existen otros
tres casos en los que es imprescindible su revisin y actualizacin:
Despus de grandes incidentes de seguridad.
Despus de los hallazgos de no conformidades en una auditora del

sistema.
Como respuesta a cambios que afectan la estructura de la organizacin.
3. Organizacin de la seguridad de la informacin: En este momento, se

realiza la revisin de los aspectos organizativos de la entidad y la asignacin
de nuevas responsabilidades. Entre estas nuevas responsabilidades hay tres
que tienen gran importancia:
El responsable de seguridad, que es la persona que se va a encargar de

coordinar todas las actuaciones en materia de seguridad dentro de la
empresa.
El Comit de Direccin que estar formado por los directivos de la

empresa y que tendr las mximas responsabilidades y aprobar las
decisiones de alto nivel relativas al sistema.
El Comit de Gestin que controlar y gestionar las acciones de la

implantacin del sistema colaborando muy estrechamente con el
responsable de seguridad de la entidad. Este comit tendr potestad
para asumir decisiones de seguridad y estar formado por personal de
los diferentes departamentos involucrados en la implantacin del
sistema.
Al plantear la nueva organizacin de la seguridad hay que tener en cuenta

la relacin que se mantiene con terceras partes que pueden acceder a la
informacin en algn momento, identificando posibles riesgos y tomando
medidas al respecto (Por ejemplo, con personal de limpieza o servicios
generales a los cuales se les puede exigir firmar acuerdos de
confidencialidad).
46
4. Concienciacin y formacin del personal: Con ello se consigue que el

personal conozca qu actuaciones se estn llevando a cabo y por qu se estn
realizando, con ello se concede transparencia al proceso y se involucra al
personal. Por su parte, la formacin logra que el personal desarrolle las nuevas
actividades de acuerdo a la normativa y a los trminos establecidos.
Para Profundizar:

Instituto Nacional de Tecnologas de la Comunicacin. Definicin de las polticas,

Organizacin, Alcance.
http://www.youtube.com/watch?v=qawa_QcuFfc&feature=relmfu
ACIS. Seguridad Infrmatica en Colombia Tendencias 2010-2011.
http://www.acis.org.co/fileadmin/Revista_119/Investigacion.pdf
ACIS. Seguridad Informtica en Colombia Tendencias 2008
http://www.acis.org.co/fileadmin/Revista_105/investigacion.pdf
Programa Gobierno en Lnea. Centro de Informacin y Respuesta Tcnica a

Incidentes de Seguridad Informtica de Colombia.
files/5854534aee4eee4102f0bd5ca294791f/GEL_IP_CIRTISIColombia.pdf
47
UNIDAD 2
Nombre de la Unidad Profundizacin en Seguridad Informtica
Introduccin
Justificacin
Captulo 4 Gobierno de Tecnologa
Leccin 16 Qu es Gobierno de Tecnologa?
Leccin 17 Fundamentos de Gobierno de Tecnologa
Leccin 18 Implementacin de Gobierno de TI
Leccin 19 Marco de Implementacin
Leccin 20 xito de Gobierno de Tecnologa
Captulo 5 Certificaciones
Leccin 21 CISA
Leccin 22 CISM
Leccin 23 CGIT
Leccin 24 CISSP
Leccin 25 COMPTIA SECURITY
Captulo 6 Hacker tico
Leccin 26 Qu es Hacker tico?
Leccin 27 Tareas del Hacker tico
Leccin 28 Certificacin Hacker tico?
Leccin 29 Ingeniera Social
Leccin 30 Reflexin Hacker Personal
48
SEGUNDA UNIDAD: NUEVOS ESTANDARES

CAPITULO 4: GOBIERNO DE TECNOLOGIA
Introduccin
El siguiente captulo presenta la informacin referente al Gobierno de Tecnologa,

los conceptos bsicos, los fundamentos, la implementacin, los marcos de
referencia y factores de xito para implementar el gobierno de TI en las
organizaciones.
El gobierno de tecnologa es un tema que se esta trabajando en la actualidad en

las diferentes organizaciones de cualquier tipo, el objetivo general es alinear los
objetivos de la organizacin con los objetivos de la tecnologa de informacin.
Justificacin
La presente Unidad tiene el objetivo de orientar al estudiante en el conocimiento

del gobierno de tecnologa, las certificaciones de seguridad que se pueden
obtener y el concepto de hacker tico, proveyendo informacin para realizar una
reflexin personal y profesional, que permita ser competitivo en el mundo
profesional y lo ms importante utilizar los conocimientos destrezas y habilidades
con fines defensivos.
Fortalecer los conocimientos fundamentales del gobierno de tecnologa de

informacin.
Identificar las certificaciones de seguridad informtica actuales para capacitarse y

validar la experiencia a nacional e internacionalmente.
Conocer el concepto de hacker tico con el fin de reflexionar sobre cmo utilizar
las habilidades y destrezas de seguridad informtica con fines defensivos.
49
Leccin 16: Qu es Gobierno de Tecnologa?
El Gobierno de tecnologa es la capacidad de lograr el alineamiento, seguridad,

eficiencia y eficacia en los procesos de tecnologa de la informacin TI mediante la
integracin de modelos, estndares, mtricas y controles dentro de la plataforma
tecnolgica para establecer la mejora continua y proporcionar valorar a la
organizacin.
El Gobierno de TI hace parte de los objetivos y las estrategias de las

organizaciones, es por esto que es responsabilidad no solo de los gerentes o
administradores de tecnologa, los responsables de generar un ambiente correcto
y de la aplicacin de la misma, son los ejecutivos, directores, presidentes, es decir
la alta gerencia administrativa junto con la gerencia de tecnologa son los mayores
responsables de generar el liderazgo, las estructuras, procesos y estrategias para
que la organizacin implemente con xito el Gobierno de Tecnologa.
Segn Peter Wall en general se puede decir que el Gobierno de TI es un marco

para la toma de decisin y la asignacin de responsabilidades que permiten el
comportamiento deseado respecto al uso de la tecnologa de la informacin.
El Gobierno de Tecnologa de Informacin propone el cambio de paradigma de

gestin tecnolgica, por un conjunto de servicios enfocados en la prestacin de
mejores servicios a los clientes, utilizando entornos o marcos de trabajo con las
mejores practicas, los marcos de trabajo que se utilizan actualmente son ITIL,
COBIT, ASL, BISL, eSCM, entre otros.
Los objetivos de la buena gestin de los gobiernos de tecnologa de informacin

son:
Proporcionar una adecuada gestin de calidad.
Aumentar la eficiencia.
Alinear los procesos de negocio y la infraestructura de TI.
Reducir los riesgos asociados a los servicios de TI.
Generar negocio.
50
Las principales reas de trabajo del gobierno de tecnologa de la informacin

estn enfocadas en la alineacin estratgica, agregar valor, administracin del
riesgo, administracin de los recursos y medicin del desempeo.
Para Profundizar:

Peter Weill, Jeanne Ross IT Governance: How Top Performers Manage IT

Decision Rights for Superior Results Harvard Business School Press, 2004
Revisar http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisar http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-
Brochure.pdf
Revisar http://www.itil.org/en/vomkennen/cobit/index.php
51
Leccin 17: Fundamentos de Gobierno de Tecnologa
De acuerdo a lo presentado en la leccin anterior y haciendo un recuento del

gobierno de tecnologa este es un marco para la toma de decisiones y la
asignacin de responsabilidades que permiten impulsar el comportamiento
deseado respecto al uso de la tecnologa de la informacin en las organizaciones,
teniendo como una de las premisas principales la alineacin de los objetivos de la
organizacin con los objetivos de las tecnologas.
Para implementar un gobierno de tecnologa en una organizacin se deben tener

en cuanto a los elementos principales claves que invitan de manera necesaria el
proceso de reingeniera, es decir obliga a la organizacin a repensar, re expresar
re conceptualizar, reconstruir las organizaciones, definir los objetivos
organizacionales teniendo en cuenta las tecnologas presentas y futuras, la
informacin y las comunicaciones que se manejan en las organizaciones.
Estos procesos de cambio permiten la reformulacin de la organizacin con la

ayuda de las personas de acuerdo a los respectivos roles, la experiencia, la
cultura y la informacin propia de las organizaciones permiten la implementacin
de manera exitosa del gobierno de tecnologa.
Los elementos clave para el gobierno de TI son:
La Alineacin Estratgica.
Estructuras Organizativas
Aporte de Valor
Procesos de Gobierno de TI
Gestin de los Riesgos
Gestin del Rendimiento
Gestin de Recursos
Los responsables principales en el interior de la organizacin son: La junta

directiva, la gerencia de negocios, la gerencia de TI, Auditoria de TI, Gerencia de
Riesgos y Cumplimiento entre otros.
52
Para implementarse el gobierno de TI, la organizacin debe estar en funcin de la

mejora continua y de los cambios que se presentaran en todas las reas y
aspectos, se debe generar una cultura organizacional hacia el cambio y lo que
esto conlleva.
Para Profundizar:


Brochure.pdf
53
Leccin 18: Implementacin de Gobierno de TI
Para implementar el gobierno de TI, como se menciono anteriormente, se deben

tener en cuenta los fundamentos de los cambios, los responsables y la definicin
de la nueva organizacin como un resultado de todo el proceso de reingeniera
realizado.
Las siguientes preguntas se proponen para realizar el proceso de implementacin

en las organizaciones:
Qu decisiones deben tomarse para asegurar el efectivo manejo y uso de IT?
Quin debe tomar dichas decisiones?
Cmo se toman decisiones?
Cmo se monitorean dichas decisiones?
Cunto tiempo est dispuesto a utilizar para aplicar las decisiones?
Es importante tener presente los aspectos de comportamiento de la organizacin

como los aspectos de las relaciones formales e informales, la asignacin de
derechos, responsabilidades y deberes a individuos y grupos de trabajo al interior
de la organizacin. Tambin se deben tener en cuenta los aspectos normativos,
los mecanismos para formalizar las relaciones, las reglas y procedimientos
operativos para asegurar que los objetivos planteados se cumplan.
Se deben definir principios clave teniendo en cuenta como la tecnologa de la

informacin es empleada en la empresa y como debera ser en el futuro prximo y
lejano, la arquitectura en la organizacin tiene una organizacin lgica de datos,
aplicaciones e infraestructura definidas en un conjunto de polticas, relaciones y
elecciones tcnicas para alcanzar la integracin y estandarizacin. Infraestructura
de servicios centralizados, compartidos, coordinados que proveen la base para la
capacidad de la organizacin de hacer uso de la tecnologa. Necesidades
Aplicativas de las reas de negocio respecto a las aplicaciones. Inversin y
Priorizacin cuanto y en que invertir, incluyendo aprobaciones de proyectos y
tcnicas de justificacin.
Entonces es importante preguntarse el por que realizar el gobierno de tecnologa,

Cul es el beneficio econmico?, Por qu es tan costoso la tecnologa de la
54
informacin?,Cules son las nuevas oportunidades de negocio?, Cul es el

valor de la Informacin?,Cul es el valor de la tecnologa?
Una vez se ha dado respuesta al gran nmero de preguntas que se debe realizar,
es importante hacer una revisin y reflexin sobre las respuestas dadas a cada
una de las preguntas, luego se deben definir las estructuras organizacionales a la
que la organizacin donde se realizara la implantacin, los procesos para la
alineacin y los enfoques para la comunicacin.
Las estructuras son Monarquas solo los altos ejecutivos toman decisiones,
federales los comits con representantes de toda las reas, las monarquas de TI
solo los comit de tecnologas, los duopolios comits con participaciones de dos
comits.
Los procesos de alineamiento se pueden realizar con el procesa de acuerdos a

nivel de servicios, seguimiento de proyectos, monitoreo formal del valor del
negocio, entre otros.
Los enfoques para la comunicacin se pueden dar como anuncios de la alta

direccin, los comits formales, Oficina de gobierno de TI, portales de
comunicacin, entre otros.
Para Profundizar:


Brochure.pdf
55
Leccin 19: Marco de Implementacin
Luego de realizar la revisin de la fundamentacin y conocer el gobierno de

tecnologa, se deben definir un marco de implementacin o entornos de trabajo,
actualmente existen diferentes marcos de implementacin que pueden ser
utilizados por las organizaciones para implementar el gobierno de TI y certificar la
organizacin segn el marco que se desee utilizar, a continuacin se presentan
los tres marcos ms representativos del gobierno de tecnologa:
ISO 38500 Gobierno Corporativo de Tecnologa de Informacin es aplicable a

las organizaciones de todos los tamaos, incluyendo las organizaciones pblicas y
privadas. Esta norma proporciona un marco para la gestin eficaz de la TI para
ayudar a las personas con mayor nivel de las organizaciones a comprender y
cumplir con las obligaciones legales, reglamentarias y ticas con respecto al uso
de sus organizaciones de TI.
El marco comprende definiciones, principios y modelo. En l se establecen seis

principios de buen gobierno de TI que expresan el comportamiento preferido para
gua la toma de decisiones.
El objetivo de la norma es promover el uso eficaz, eficiente y aceptable de la

misma por todas las organizaciones para:
Asegurar que las partes interesadas pueda tener la confianza en el gobierno de ti

de la organizacin, si el estndar es seguido.
Informar y orientar a los directores de alto nivel del uso de la tecnologa de la

informacin en la organizacin y proporcionar una base para la evaluacin objetiva
de la gestin empresarial de las TI.
La norma est en consonancia con la definicin de gobierno corporativo que fue

publicado como un Informe del Comit sobre los Aspectos Financieros del
Gobierno Corporativo en 1992, tambin conocido como el Informe Cadbury. El
Informe Cadbury proporciona la definicin de fundacin de la Organizacin para la
Cooperacin y el Desarrollo de los Principios de Gobierno Corporativo.
ITIL Information Technology Infrastructure Library es el enfoque ms ampliamente

adoptado para la Gestin de Servicios TI en el mundo. Se ofrece un prctico y
sensato marco para identificar, planificar, entregar y mantener los servicios de TI
con el negocio.
56
ITIL: Visin general y beneficios
ITIL aboga por que los servicios de TI deben estar alineados con las necesidades
del negocio y sustentar los procesos de negocio. Se ofrece orientacin a las
organizaciones sobre la manera de utilizar las TI como una herramienta para
facilitar el cambio de negocios, la transformacin y el crecimiento.
Las mejores prcticas ITIL estn detalladas dentro de las cinco principales
publicaciones que proporcionan un enfoque sistemtico y profesional para la
gestin de servicios de TI, permitiendo a las organizaciones para ofrecer servicios
adecuados y asegurarse de que continuamente estn cumpliendo los objetivos de
negocio y entregando beneficios.
Las cinco guas bsicas mapa de todo el ciclo de vida de ITIL Service,
comenzando con la identificacin de las necesidades del cliente y los
controladores de los requisitos de TI, a travs del diseo e implementacin de los
servicios en funcionamiento y, por ltimo, a la fase de seguimiento y mejora del
servicio.
La adopcin de ITIL puede ofrecer a los usuarios una amplia gama de beneficios
que incluyen:
Mejora de los servicios de TI
Reduccin de costos
Atencin al cliente mejorado la satisfaccin a travs de un enfoque ms

profesional a la prestacin de servicios
Mejora de la productividad
Mejora el uso de las habilidades y la experiencia
Mejora de la prestacin de servicios de terceros.
IT Governance Institute
COBIT es un marco de gobernanza de TI y herramientas de apoyo que permite a

los administradores para cerrar la brecha entre las necesidades de control,
cuestiones tcnicas y riesgos de negocio. COBIT permite el desarrollo de polticas
claras y buenas prcticas para el control de toda la organizacin. COBIT enfatiza
el cumplimiento normativo, ayuda a las organizaciones a aumentar el valor logrado
de TI, permite la alineacin y simplifica la implementacin del marco COBIT.
57
El propsito de COBIT es proporcionar a la direccin y los propietarios de

procesos de negocio una tecnologa de la informacin (TI) que ayuda a modelo de
gobierno en la entrega de valor a partir de la informacin y la comprensin y la
gestin de los riesgos asociados con TI. COBIT ayuda a salvar las diferencias
entre los requerimientos del negocio, las necesidades de control y las cuestiones
tcnicas. Se trata de un modelo de control para satisfacer las necesidades de
gobierno de TI y garantizar la integridad de la informacin y los sistemas de
informacin.
COBIT se utiliza a nivel mundial por quienes tienen la responsabilidad primordial

de los procesos de negocio y la tecnologa, los que dependen de la tecnologa de
la informacin relevante y confiable, y los que proporcionan calidad, fiabilidad y
control de las tecnologas de la informacin.
El marco que se ha estructurado en 34 procesos de agrupamiento entre s las

actividades de ciclo de vida o tareas concretas relacionadas entre s. El modelo de
proceso se prefiri por varias razones. En primer lugar, un proceso por su propia
naturaleza orientada a los resultados en la forma en que se centra en el resultado
final, mientras que la optimizacin del uso de los recursos. La forma en que estos
recursos estn fsicamente estructurados, por ejemplo, la gente / habilidades en
los departamentos, es menos relevante en esta perspectiva. En segundo lugar, un
proceso, en especial sus objetivos, es ms de carcter permanente y no cambia el
riesgo de no tan a menudo como una entidad organizativa. En tercer lugar, el
despliegue de TI no puede ser confinado a un departamento en particular e
involucra a los usuarios y de gestin, as como especialistas en TI. En este
contexto, el proceso de TI sigue siendo, sin embargo, el comn denominador.
En cuanto a aplicaciones se refiere, que son tratados en el marco COBIT como

una de las cuatro categoras de recursos. Por lo tanto han de ser gestionados y
controlados de tal manera que se logre la informacin necesaria a nivel de
procesos de negocio. De esta manera, los sistemas de aplicacin son una parte
integral del marco de COBIT y pueden tratarse de forma especfica a travs del
punto de vista de los recursos. En otras palabras, se centraron nicamente en los
recursos slo una recibir automticamente una vista de la aplicacin de los
objetivos de COBIT.
58
Para Profundizar:

Revisar Governance Institute http://www.itgi.org/
Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php
Revisar Cobit
59
Leccin 20: xito del Gobierno de Tecnologa
El xito de la implementacin del Gobierno de Tecnologa radica en el compromiso

organizacional de todos los miembros, siendo de gran importancia la participacin
de la mayor cantidad de altos ejecutivos de la organizacin en el proceso de
implementacin, la relacin del xito del gobierno de tecnologa con el numero de
altos ejecutivos involucrados es directamente proporcional.
La comunicacin organizacional es uno de los factores importante en el gobierno

de tecnologa es por eso que se deben utilizar medios de comunicacin eficientes
y eficaces que sean capaces de permear e informar todo el proceso, las
estrategias y las tareas a cada uno de los miembros de la organizacin inmersos
en la implementacin del gobierno de tecnologa.
Los objetivos de la organizacin debe estar completamente alineados con los

objetivos del gobierno de tecnologa, en este orden de ideas los objetivos de la
inversin en la tecnologa deben ser claros y responder al cumplimiento de los
objetivos.
Las estrategias de la organizacin para la implementacin deben estar bien

definidas y fundamentadas, teniendo en cuenta los objetivos del gobierno de
tecnologa trazados por la organizacin, es importante definir estrategias de
negocio diferenciadas que den respuesta a las metas de funcionamiento de la
organizacin de acuerdo a su naturaleza.
Se deben realizar mayores excepciones aprobadas y menos excepciones a las

reglas, lo que quiere decir que es mejor aprobar las excepciones que estas
infringiendo las reglas de la implementacin, porque al final el resultado ser la
desviacin del objetivo general.
Por ltimo es importante no realizar cambios o modificar los mecanismos de

gobierno de tecnologa implementados, para asegurar el correcto funcionamiento
del mismo.
60
Para Profundizar:

Revisar Governance Institute http://www.itgi.org/
Revisar ISO 38500 http://www.iso.org/iso/pressrelease.htm?refid=Ref1135
Revisal Itilhttp://www.itil-officialsite.com/AboutITIL/WhatisITIL.aspx
Revisar ITIL http://www.itil.org/en/zumkoennen/itil/index.php
Revisar Cobit
61
CAPITULO 5: CERTIFICACIONES
Leccin 21: Certified Information System Auditor CISA
CISA es una certificacin para auditores la cual es respaldada por la Information

Systems Audit and Control Association ISACA, esta certificacin fue creada y
establecida en el ao de 1978 debido a que se deba desarrollar una herramienta
que se utilizara para evaluar la competencia de los individuos en las auditorias,
proveer una herramienta para los auditores de sistemas de informacin que les
permitiera mantener las habilidades y monitorear la efectividad de los sistemas,
proveer criterios para ayudar en la gestin de seleccin de personal.
ISCA cuenta con ms de 95,000 miembros en 160 pases, ISACA (www.isaca.org)

es un lder mundialmente reconocido, proveedor de conocimiento, certificaciones,
comunidad, apoyo y educacin en seguridad y aseguramiento de sistemas de
informacin, gobierno empresarial, administracin de TI as como riesgos y
cumplimiento relacionados con TI. Fundada en 1969 la no lucrativa e
independiente ISACA organiza conferencias internacionales, publica el ISACA
Journal, y desarrolla estndares internacionales de auditora y control de sistemas
de informacin que ayudan a sus miembros a garantizar la confianza y el valor de
los sistemas de informacin. Asimismo, certifica los avances y habilidades de los
conocimientos de TI a travs de la mundialmente respetada Certified Information
Systems Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), el
Certified Information Security Manager (Gerente Certificado de Seguridad de la
Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en
Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) y el Certified
Risk and Information Systems Control (Certificado en Riesgo y Control de
Sistemas de Informacin) (CRISC). ISACA actualiza continuamente COBIT, que
ayuda a los profesionales y lderes empresariales de TI a cumplir con sus
responsabilidades de administracin y gestin, particularmente en las reas de
aseguramiento, seguridad, riesgo y control, para agregar valor al negocio.
Para obtenerla certificacin CISA se debe cumplir con los cinco siguientes
requisitos:
1. Haber aprobado el examen CISA.
2. Acreditar experiencia en auditoria de sistemas, control o seguridad de la

informacin.
62
3. Seguir el cdigo de conducta de los auditores CISA.
4. Seguir el proceso de educacin continua CPE.
5. Cumplir con los estndares de Auditoria de Sistemas.
El examen consiste en 200 preguntas de opcin mltiple, el tiempo para realizar el

examen es de 4 horas y se encuentra divido en 6 reas, las cuales son: Proceso
de Auditoria, Gobierno de Tecnologa de Informacin, Administracin del ciclo de
vida de tecnologa de sistemas, soporte y entrega de tecnologa de informacin,
proteccin de activos y continuidad del negocio y recuperacin.
El examen solo se puede tomar dos veces al ao en Junio y en Diciembre, se

debe preparar con por lo menos 6 meses para poder desarrollarlos correctamente.
Para Profundizar:

Visitar ISACA: www.isaca.org
Certificacin CISA: http://www.isaca.org/Certification/CISA-Certified-Information-

Systems-Auditor/Pages/default.aspx
Informacion Certificacion: http://www.isaca.org/Certification/CISA-Certified-

Information-Systems-Auditor/Register-for-the-Exam/Documents/CISA-BOI-June-
2012-ES.pdf
63
Leccin 22: Certified Information Security Manager CISM
CISM es una certificacin para administradores de seguridad informtica
CISA es una certificacin para administradores de la seguridad informtica la cual

es respaldada por la Information Systems Audit and Control Association ISACA,
esta dirigida a la gerencia de tecnologa de informacin, la certificacin fue creada
en el ao de 2004.
La certificacin CISM es para los directores de seguridad de la informacin o para

personas que deben dirigir, disear, revisar, evaluar y asesorar programas de
La certificacin CISM promueve las prcticas internacionales y proporciona una

direccin ejecutiva garantizando que aquellos que se han ganado la designacin
tengan la experiencia y el conocimiento requeridos para proporcionar una
direccin de seguridad y servicios de consultora efectivos.
El examen del CISM cubre cinco reas de la direccin de seguridad de la

informacin. Estas reas fueron desarrolladas por el Consejo de Certificacin
CISM y representan el anlisis de una prctica de trabajo llevada a cabo por
directores de seguridad de la informacin y validada por reconocidos lideres,
expertos y practicantes de la industria.
Primer rea Gobierno de la Seguridad de la Informacin: Establece un marco

de trabajo que garantiza el cumplimiento de las estrategias de seguridad estn
acordes con los objetivos de la organizacin y son acordes con las leyes y
regulaciones
Segunda rea Direccin de Riesgo de la Informacin: Identifica y dirige los

riesgos de la seguridad de la informacin para alcanzar los objetivos del
negocio.
Tercera rea Programa de Desarrollo de Seguridad de la Informacin: Crea y

mantiene un programa para implementar las estrategias para la seguridad de la
informacin.
Cuarta rea Programa de direccin de Seguridad de la Informacin: Supervisa

y dirige las actividades de seguridad de la informacin para ejecutar el
programa de seguridad.
64
Quinta rea Respuesta y Direccin de Incidentes: Planea, desarrolla y dirige

una habilidad para detectar, responder y recuperarse de los incidentes de
seguridad de la informacin.
Para obtener la certificacin como CISM debe realizar lo siguiente:
1. Aprobar el examen CISM con mnimo el 75% del puntaje total.
2. Apegarse al cdigo de tica Profesional de ISACA.
3. Estar de acuerdo con la Poltica de Educacin Continuada.
4. Experiencia de trabajo en el campo de seguridad de la informacin.
5. Enviar una aplicacin para certificarse como CISM.
El examen solo se oferta dos veces al ao en Junio y en Diciembre y se debe

contar con mnimo 6 meses de preparacin y la experiencia indicada en los
requerimientos de la certificacin.
Para Profundizar:

Certificacin CISM: http://www.isaca.org/Certification/CISM-Certified-Information-

Security-Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
http://www.isaca.org/Certification/CISM-Certified-Information-Security-
Manager/Pages/default.aspx?gclid=CJD3uvPJ-K0CFQGd7QodWyrEsw
65
Leccin 23: Certified in the Governenace of Enterprise IT CGIT
CGIT es una certificacin para administradores de tecnologa la cual es

respaldada por la Information Systems Audit and Control Association ISACA, est
dirigida a la gerencia de tecnologa de informacin, la certificacin fue creada en el
ao de 2007.
La certificacin CGIT est enfocada en el gobierno de tecnologa de las

organizaciones, los profesionales que obtienen esta certificacin se encuentra
inmersa en la gestin de tecnologa de las organizaciones, por lo tanto promueve
los avances de las tecnologas y de las implementaciones de las mismas teniendo
en cuenta los planes organizacionales para cumplir con los objetivos tecnolgicos
que se han propuesto, teniendo en cuenta la alineacin con los objetivos
organizacionales.
Los profesionales que trabajan en gobierno de tecnologa deben administrar,

disear y evaluar tecnologa en las organizaciones, debido a que la experiencia es
un factor muy importante en el cumplimiento de la certificacin.
La certificacin CGIT permite trabajar en las siguientes reas del gobierno de

tecnologa: Marco de Trabajo de Gobierno de Tecnologa, Alienacin Estratgica,
Entrega de Valor, Administracin del Riesgo, Administracin de Recursos y
Medicin del Desempeo, estas reas relacionan todos los espacios de trabajo
relacionados con el gobierno de tecnologa al interior de las organizaciones.
CGEIT demuestra probada experiencia: Juntas y la gestin ejecutiva espera que

proporcionen un valor empresarial. El gobierno de TI es un componente clave de
la gobernanza empresarial y el xito. La designacin CGEIT demuestra que usted
tiene experiencia y conocimiento en la gobernanza de las TI corporativas.
La certificacin aumenta la credibilidad, influencia y reconocimiento, porque ofrece

credibilidad necesaria para abordar los temas crticos con los principales
ejecutivos y las juntas, debido al conocimiento y experiencia que adquiere con la
realizacin de la certificacin.
El gobierno de tecnologa se puede trabajar desde diferentes marcos de trabajo,

por ejemplo ITIL o COBIT, es por esto que la certificacin utiliza uno de estos
marcos de trabajo para realizar el proceso de certificacin.
Para realizar la certificacin el aspirante debe realizar:
66
1. Aprobar el examen de certificacin CGIT
2. Adherirse al cdigo de tica Profesional de ISACA.
3. Adherirse y cumplir con el programa de educacin continuada del CGIT
4. Proporcionar la evidencia la experiencia laboral en gobierno de tecnologa.
La certificacin CGIT provee la validacin de los conocimientos en la

administracin, gestin, evaluacin de tecnolgica, enfocados en el uso de marcos
de trabajo enfocados en el gobierno de tecnologa al interior de las
organizaciones.
Para Profundizar:

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-
Enterprise-IT/Pages/default.aspx?gclid=CNigrbrP-q0CFRBT7AodXEiB9g
Enterprise-IT/Pages/FAQs.aspx
Enterprise-IT/Pages/How-to-Become-Certified.aspx
67
Leccin 24: Certified Information Systems Security Professional CISSP
La certificacin CISSP es otorgada por la (ISC) International Information Systems

Security Certification Consortium, con el objetivo de dar un alto reconocimiento a
los profesionales tecnolgicos enfocados en la seguridad informtica.
CISSP es mundialmente reconocida como una de las certificaciones ms

importantes que puede obtener un profesional de la seguridad informtica, la
certificacin asegura que los profesionales trabajan con los estndares
internacionales y tienen las competencias necesarias para proveer seguridad
informtica a los diferentes sistema que tienen las organizaciones, tales como las
redes, la computacin en la nube, la seguridad mvil, entre otros.
La organizacin (ISC) nace en el ao de 1988 cuando un grupo interesado en la

seguridad y un grupo de administracin de procesamientos de datos, decidieron
trabajar juntos para desarrollar una certificacin estandarizada que pudiera
proveer una certificacin a los profesionales de las reas de la seguridad de la
informacin de este modo nace esta organizacin sin animo de lucro.
Para realizar la Certificacin CISSP se debe cumplir con 4 requisitos importantes:
Aprobar el examen CISSP, el cual consta de 250 preguntas y dura 6 horas,

en este examen se evalan los 10 dominios de conocimiento o en ingle
CBK.
Demostrar experiencia mnima de cinco aos trabajando en al menos dos

dominios de los 10 dominios CBK.
Adherirse al cdigo de tica de (ISC).
Al ser seleccionado debe someterse a un proceso de auditora y aprobarlo.
Para mantener la certificacin CISSP, deben realizar actividades dentro de los

dominios de conocimiento para asegurar que se encuentra realizando trabajos en
el rea de la seguridad informtica, estas actividades son evaluadas con crditos y
debe cumplir mnimo 120 crditos cada 3 aos, si no es as debe realizar y
aprobar el examen.
Los dominios de seguridad de la (ISC) para la certificacin CISSP son:
1. Seguridad de la Informaron y Administracin del Riesgo.
2. Sistemas y Metodologa de Control de Acceso
68
3. Criptografa
4. Seguridad Fsica
5. Arquitectura y Diseo de Seguridad
6. Regulaciones Legales, Cumplimiento e Investigacin.
7. Seguridad de Red y Telecomunicaciones.
8. Planes de Continuidad del Negocio y de Recuperacin Frente a Desastres
9. Seguridad de Aplicaciones
10. Seguridad de Operaciones
Es importante realizar un correcto proceso de estudio en los dominios con por lo

menos un periodo anterior de estudio antes de tomar la certificacin, lo cual le
permitir obtener mejores resultados en el examen y en el proceso de
certificacin.
Para Profundizar:

International Information Systems Security Certification Consortium Inc.
https://www.isc2.org/default.aspx
Certification CISSP
https://www.isc2.org/cissp/Default.aspx
https://www.youtube.com/watch?v=WbeepQAI_Fg&feature=player_embedded
CISSP All-in-One Exam Guide, Third Edition by Shon Harris (McGraw-Hill

Osborne Media) ISBN: 007225712
Official (ISC)2 Guide to the CISSP Exam By Susan Hansche (AUERBACH)

ISBN: 084931707X
69
The CISSP Prep Guide: Gold Edition By Ronald L. Krutz, Russell Dean Vines
(Wiley) ISBN: 047126802X
Advanced CISSP Prep Guide: Exam Q&A By Ronald L. Krutz, Russell Dean
Vines (Wiley) ISBN: 0471236632
CISSP Certification Training Guide By Roberta Bragg (Que) ISBN: 078972801X
Information Security Management Handbook, Fifth Edition By Harold F. Tipton,

Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide Third

Edition By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
Preguntas y respuestas de prueba online:
http://www.boson.com/
http://www.testking.com/
70
Leccin 25: Computing Technology Industry Association COMPTIA

SECURITY
La asociacin de la industria de tecnologa de computo COMPTIA es una

organizacin sin nimo de lucro, creado en 1982 como la Asociacin de
negociantes de computacin y luego se convirti en la asociacin COMPTIA.
La asociacin inicio con el programa de certificaciones desde el ao de 1993, y

desde entonces ofrece un gran nmero de certificaciones en las diferentes reas
de las tecnologas computacionales como hardware software, redes, seguridad
informtica en muchas otras.
La certificacin de CompTIA Security designa a los profesionales con

conocimientos en el campo de la seguridad, uno de los campos de mayor
crecimiento en IT.
CompTIA Security es una organizacin internacional, proveedor neutral de

certificacin que demuestra competencia en: Cumplimiento de la red de seguridad
y amenazas de seguridad operacional y la aplicacin vulnerabilidades, los datos y
la seguridad de host de control de acceso y de gestin de identidad Criptografa la
certificacin no slo asegura que los candidatos apliquen los conocimiento de los
conceptos de seguridad, herramientas y procedimientos que permitan reaccionar a
incidentes de seguridad, asegura que el personal de seguridad estn anticipando
los riesgos de seguridad y proteccin contra ellos.
La certificacin de CompTIA Security+ est acreditado por la Organizacin

Internacional de Normalizacin (ISO) y el American National Standards Institute
(ANSI).
Para realizar la certificacin se debe realizar un examen de 100 preguntas el cual

tiene una duracin de 90 minutos, debe tener un calificacin de 750 en una escala
de 100-900, se recomienda tener dos aos de experiencia en redes y seguridad
en redes.
Luego de seleccionar la certificacin, se debe realizar un entrenamiento

exhaustivo utilizando variedad de mtodos, como por ejemplo clases presenciales
con instructores con experiencia, estudio independiente y con los cursos elearning
que provee COMPTIA, tambin debe estudiar en los centros de entrenamiento y
los materiales de estudio de CompTIA, aprender sobre los exmenes para
solucionarlos, revisar las preguntas de ejemplo, revisar donde realizar los
71
exmenes y pagar el examen, para finalizar se debe realizar el examen en los

sitios autorizados por CompTIA.
Para Profundizar:

Revisar
http://certification.comptia.org/home.aspx
http://www.comptia.org/global/es/certifications.aspx
http://certification.comptia.org/getCertified/certifications/security.aspx
http://www.francisco-valencia.es/Documentos/CompTIASec.pdf
72
CAPITULO 6: HACKER ETICO
Leccin 26: Qu es un Hacker tico?
La evolucin de las tecnologas de la informacin y la comunicacin desde sus

inicios ha presentado situaciones adversas como fallos, errores y en general la
misma evolucin tecnolgica ha generado que los sistemas se conviertan en
obsoletos, poco fiables y no funcionales.
Las necesidades o requerimientos de tecnologa son cada vez mayores y los

sistemas actuales deben ser capaces de evolucionar y presentar versiones
mejoradas o nuevas versiones, tal como lo hacen los sistemas operativos y dems
sistemas conocidos.
Entre las posibles situaciones que afectan los sistemas tecnolgicos se

encuentran las vulnerabilidades de seguridad y confiabilidad, esto debido a que las
tecnologas son construidas con tecnologas y requerimientos que en ese
momento son cubiertas con los anlisis y diseos especficos.
La mayora de los errores de las tecnologas de la informacin y comunicacin se

producen porque en el momento de realizar el anlisis, diseo, desarrollo e
implementacin, no se contemplan todas las posibilidades de proveer seguridad a
las tecnologas y se crean las puertas traseras de acceso o los hoyos negros que
son espacios donde se permite el acceso no deseado.
Estos espacios de accesos o vulnerabilidades son aprovechados por intrusos que

tienen un mayor conocimiento para aprovechar y explotar estos errores de
seguridad, generando poca confiabilidad en los sistemas y en casos mas graves la
perdida y robo de informacin, siendo la informacin uno de los activos mas
importantes y valiosos de las personas, organizaciones y gobiernos a nivel
mundial.
Es importante entonces definir que es un Hacker tico, y para ello se desglosara

este nombre en dos partes, Hacker y tico, en ese orden de ideas el concepto
hace referencia a una persona a la que se le puede denominar con este nombre,
entonces es importante recalcar que una persona es la que decide ser nombrada
Hacker tico debido a las acciones que realiza.
El concepto de Hacker tiene muchas definiciones segn los diferentes autores,

algunos estn a favor y otros en contra, se podra decir que la definicin puede ser
73
subjetiva desde la perspectiva, si esta definicin se asocia a acciones positivas o

negativas, sin embargo es importante profundizar en el porque los diferentes
autores lo definen como bueno o malo.
En este caso el concepto Hacker se definir como una persona que tiene altos
conocimientos en tecnologa relacionados con programacin, redes, sistemas
operativos, telecomunicaciones, entre otros, con un alto gusto por los temas
tecnolgicos, apasionado por el trabajo con la tecnologa y con el deseo de
descubrir nuevos espacios tecnolgicos, se diferencia del Craker el cual utiliza
todas las cualidades del hacker pero lo realizar para violentar la seguridad de
sistemas tecnolgicos, retomando la historia los hackers originales eran
programadores aficionados o personas destacadas con conocimientos
tecnolgicos que trabajan para conocer y mejorar las tecnologas pero dentro de la
legalidad, algunos de estos hacker y otros que aparecieron con conocimientos
tecnolgicos empezaron a utilizar estos conocimientos para realizar actividades
ilegales como robo de informacin y daos a sistemas, por esto en el ao de 1985
se empezaron a denominar Crakers a las personas que realizaban estas prcticas,
diferencindose de los Hackers los cuales utilizaban sus conocimientos dentro de
la legalidad.
La tica estudia que es lo moral, es decir el estudio de las buenas costumbres

teniendo en cuenta la reflexin y la argumentacin.
Entonces el concepto de Hacker tico de acuerdo con los conceptos

anteriormente mencionados es la persona con altos conocimientos tecnolgicos
que hace uso de sus conocimientos dentro de lo legal teniendo en cuenta las
buenas costumbres de su profesin y conocimientos, utilizndolos de forma
defensiva y no ofensiva, es decir lo utiliza para generar proteccin, seguridad y
confianza.
Algunas de las caractersticas que tienen los Hacker tico son: La Libertad,
Curiosidad, Creatividad, Actividad, Perseverancia, Pasin, Integridad,
Responsabilidad, Proactivo, entre otros.
Tcnicamente debe tener conocimientos en programacin, redes,

comunicaciones, sistemas operativos y seguridad.
74
Para Profundizar:

Leer el ensayo Hackers: Heroes of the Computer Revolution publicado en 1984 del
periodista Steven Levy.
Leer la tica del Hacker y el Espritu de la era de la Informacin de Pekka

Himanen 2004
75
Leccin 27: Tareas del Hacker tico
De acuerdo con la definicin y caractersticas del Hacker tico y teniendo en

cuenta la filosofa, es importante tener muy claro que las habilidades y
capacidades tecnolgicas que posee deben estar enfocadas en la defensa y
seguridad de los sistemas tecnolgicos, es por esto que se debe revisar el
contexto en el cual se desenvuelve el hacker, debido a las diferentes reas de la
tecnologa en las que se puede trabajar.
Los elementos bsicos y esenciales de seguridad en los que debe trabajar un

hacker tico son: la confidencialidad, la autenticidad, la integridad y la
disponibilidad.
La confidencialidad se refiere al ocultamiento de la informacin y recursos de las

organizaciones en las que se encuentre trabajando, teniendo en cuenta que la
estos son recursos de vital importancia y deben ser cuidados y resguardados.
La autenticidad se refiere a la identificacin y validez de la informacin, es decir es

garantizar el origen de la informacin.
La integridad se refiere a las modificaciones no autorizadas de los datos y la

informacin, es decir es resguardar la informacin para que sea correcta y veraz.
La disponibilidad se refiere a la posibilidad de acceder y hacer uso de la

informacin y los recursos deseados en el momento que se necesite.
Teniendo en cuenta los elementos anteriormente mencionados, las tareas que

puede realizar un hacker tico son:
Reconocimiento de los sistemas tecnolgicos en cualquier momento y

lugar, esto se realiza antes de realizar un ataque, se debe obtener
informacin del objetivo, utilizar herramientas para obtener informacin
como Google Hacking y utilizando otros buscadores, ingeniera social,
monitoreo de redes con diferentes software como sniffers, scanner u otros.
Rastreo es el escaneo o revisin continua de los sistemas tecnolgicos,

esto se realiza en la fase previa al ataque, se escanea la red teniendo la
informacin obtenida en el reconocimiento, se detectan las
vulnerabilidades, los puntos fuertes y los posibles puntos de entrada, aqu
se deben utilizar herramientas que permitan revisar los puertos, protocolos
76
y dems informacin tcnica para el ingreso, unas vez se realiza el proceso

se anterior se inicia con las pruebas de red definir los host con accesos, los
puertos abiertos, la localizacin de los equipos activos de red como los
routers y la informacin de los sistemas operativos y de los servicios que se
tienen en estos sistemas operativos.
Acceso es la posibilidad de acceder a los sistemas tecnolgicos ya sean los

sistemas operativos, las redes o la denegacin de servicios, obtener el
control de los sistemas, es decir es realizar el ataque y obtener informacin
como las contraseas, datos, denegacin de servicios sobrecargas entre
otros.
Mantener el acceso es la posibilidad de acceder y estar en los sistemas el

tiempo o las veces que desee.
Borrar las huellas es la capacidad de eliminar los rastros que se dejan

cuando se ingresan a los sistemas para no ser descubierto.
Es importante tener en cuenta como lo dice Sun Tzu en el libro el Arte de la

Guerra, Si no se conoce el enemigo y concete a ti mismo es necesario no tener
el resultad de cien batallas
Entonces el Hacker tico debe responderse algunas preguntas, como por ejemplo:
Qu puede saber un intruso de su objetivo?
Qu puede hacer un intruso con esa informacin?
Se podra detectar un intruso de ataque?
Cmo podra proteger la informacin y los sistemas tecnolgicos?
Un Hacker tico debe realizar lo siguiente, para evaluar la seguridad:
Preparacin: Tener un contrato firmado de forma clara en donde se indique

que pruebas de seguridad realizara y se exonere de las posibles
consecuencias.
Gestin: Preparacin de un informe donde se indiquen las pruebas y los

resultados de las pruebas.
Conclusin: Realizacin del informe con las vulnerabilidades y las posibles

soluciones.
Forma de realizacin del Hacking tico:
77
Red remota: Simulacin del ataque desde internet.
Red local: Simulacin del ataque en el interior de la organizacin.
Ingeniera social: Probar confianza.
Seguridad fsica: Accesos a equipos.
De acuerdo con la informacin presentada anteriormente se pueden clasificar los

hacker en los siguientes Tipos de Hacker
Black Hats: Los Black Hat Hackers o Hacker de sombrero negro son los
que utilizan sus habilidades tecnolgicas para romper la seguridad de
computadores, servidores, redes, crean virus con fines destructivos, en la
mayora de casos por dinero o por reconocimiento.
White Hats: Los Whte Hackers o Hackers de sombrero blanco son los que
utilizan sus habilidades tecnolgicas para encontrar vulnerabilidades
sistemas tecnolgicos con fines defensivos y de seguridad.
Gary Hats: Los Gray Hackers o Hacker de sombrero gris son los que
utilizando sus habilidades tanto de forma defensiva como de ataque, es
decir tienen una tica hacker doble.
78
Para Profundizar:

Leer el libro de Hacking tico de Carlos Tori, disponible en lnea, los captulos 1,2
y 3. Para profundizar el tema.
79
Leccin 28: Certificacin Hacker tico
En la seguridad informtica existe un amplio campo de trabajo, debido a que cada

vez se estn implementados ms sistemas tecnolgicos en las organizaciones, lo
cual genera un mayor uso de computadores, redes, sistemas operativos, los
cuales se conectan a internet y otras redes, esto ha generado un espacio para que
las personas con altos conocimientos tecnolgicos puedan ingresar y robar
informacin, tanto a las personas como a las organizaciones y gobiernos.
Debido a esto se ha creado la necesidad de tener personas capacitadas en

conocimientos tecnolgicos, pero que sean capaces de defender los sistemas
tecnolgicos y puedan contrarrestar los ataques y minimizar los riesgos y las
vulnerabilidades, de acuerdo con esto se ha hecho necesario que las
organizaciones productoras de software y hardware, capaciten en sus sistemas a
los usuarios y puedan realizar un correcto uso de los mismos, al igual la academia
tambin ha intentado en crear cursos, diplomados, maestras y doctorados para
capacitar a las personas en nuevas tecnologas y tcnicas de seguridad, desde
hace algn tiempo y en la actualidad existe una organizacin independiente que
est trabajando en el tema desde hace algunos aos, EC-Council ha diseado una
Certificacion llamada CEH Certified Ethical Hacker.
CEH (Certified Ethical Hacker) es la certificacin oficial de hacking tico desde una
perspectiva independiente de fabricantes. El Hacker tico es la persona que lleva
a cabo intentos de intrusin en redes y/o sistemas utilizando los mismos mtodos
que un Hacker. La diferencia ms importante es que el Hacker tico tiene
autorizacin para realizar las pruebas sobre los sistemas que ataca. El objetivo de
esta certificacin es adquirir conocimientos prcticos sobre los sistemas actuales
de seguridad para convertirse en un profesional del hacking tico.
Existen muchas otras organizaciones independientes, empresas fabricantes de

software y hardware, entre otras que proveen certificaciones.
80
Para Profundizar:

Revisar los enlace de EC Council
https://www.eccouncil.org/
https://cert.eccouncil.org/
81
Leccin 29: Ingeniera Social
La ingeniera social tiene varias definiciones y conceptos, a continuacin se

revisara algunas definiciones que ilustran la ingeniera social.
El termino ingeniera social consiste en la manipulacin de las personas para que

voluntariamente realicen actos que normalmente no haran. The Human side of
computer security. 1999. Carole Fenelly
La ingeniera social se define como el conjunto de tcnicas psicolgicas y

habilidades sociales utilizadas de forma consciente y muchas veces premeditada
para la obtencin de informacin de terceros. Ingeniera Social 1.0. Lester The
Teacher.
"Un ingeniero social es un hacker que utiliza el cerebro en lugar de la fuerza. Los
Hackers llaman a los centros de datos y fingen ser clientes que han perdido su
contrasea o aparecer en un sitio y simplemente esperar a que alguien mantenga
una puerta abierta para ellos. Otras formas de sociales de ingeniera no son tan
obvias. Los hackers han sabido crear sitios web falsos, sorteos o encuestas que
preguntan a los usuarios introducir una contrasea. " Karen J Bannan, Internet
World, Jan 1, 2001
De acuerdo con el documento de la organizacin Sans en el paper Social

Engineering means violate computer system, se define un patrn que se puede
asociar a los ataques de ingeniera social, los cuales se pueden diagramar en un
ciclo de funcionamiento. Lo primero es recopilar la informacin, lo segundo es
desarrollar las relaciones, lo tercero es la explotacin y lo cuarto y ltimo es la
ejecucin.
La recopilacin de informacin: una variedad de tcnicas puede ser utilizadas por

un agresor para recoger informacin sobre el objetivo u objetivos. Una vez reunida
esta informacin puede ser utilizada para construir una relacin con el destino o
alguien importante para el xito del ataque. La Informacin que puede ser
recogida incluye:
Una lista de telfonos;
Fechas de nacimiento
El organigrama de la organizacin.
El desarrollo de la relacin: un agresor puede explotar libremente la voluntad de

un objetivo, la confianza con el fin de desarrollar una buena relacin con ellos.
Durante el desarrollo de esta relacin, el agresor se posicionar en una posicin
de confianza que luego explotar.
Explotacin: el objetivo entonces puede ser manipulado por la "confianza" que

tiene con el agresor, para revelar informacin (por ejemplo, contraseas) o realizar
82
una accin (por ejemplo, crear una cuenta o inversin gastos de telfono) que
normalmente no se producen. Esta accin podra ser el fin del ataque o el
comienzo de la siguiente etapa.
Ejecucin: una vez que el objetivo se ha completado la tarea solicitada por el

agresor, el ciclo se completa.
Las motivaciones que puede tener una persona que desea realizar ingeniera
social son diversas, en este caso se nombraran las cuatro motivaciones ms
comunes segn el paper de Sans:
La ganancia financiera: existe una gran variedad de razones, una persona

podra llegar a ser tentado por la aumento de guanacias monetarias. Por
ejemplo, puede creer que se merece ms dinero del que gana o tal vez hay
la necesidad de satisfacer un hbito de juego fuera de control.
El inters propio: un individuo puede, por ejemplo, desea tener acceso y / o

modificar la informacin que se asocia con un familiar, amigo o un vecino.
Venganza: por razones que slo conoce realmente una persona, que podra
ser objetivo de un amigo, colega, la organizacin o incluso un completo
desconocido para satisfacer el deseo emocional de venganza.
La presin externa: una persona puede estar recibiendo presiones de sus

amigos, familiares u organizada los sindicatos del crimen por razones tales
como beneficios econmicos, el inters personal y / o la venganza.
Tcnicas de Ingeniera Social
Las tcnicas que se podran emplear en gran medida se basan en la fuerza,

habilidad y capacidad de la persona que esta realizando la ingeniera social la
primera fase de un ataque probablemente implicar la recopilacin de informacin
sobre el objetivo. Ejemplos de tcnicas de recopilacin de informacin que se
pueden utilizar incluyen:
Hombro surf: mirando sobre el hombro de una persona mientras escribe en su

cdigo de acceso y la contrasea / PIN en el teclado con el propsito de
cometer esta memoria para que pueda ser reproducido.
Comprobacin de la basura (conocido comnmente como "Dumpster Diving"):
buscar a travs de tirar basura para obtener informacin potencialmente til
que debera haber sido eliminados de forma ms segura (por ejemplo,
trituracin).
Correo-out: se rene la informacin sobre un individuo / organizacin por
seducirlo o su personal para participar en una encuesta que ofrece tentaciones,
tales como premios por completar la encuesta.
83
El anlisis forense: la obtencin de material antiguo equipo, tales como discos

duros, tarjetas de memoria, DVD / CD, disquetes y tratar de extraer informacin
que pueda ser de utilidad de una persona u organizacin.
Las tcnicas de ingeniera social tambin se pueden clasificar en Invasivas o

Directas o fsicas:
El Telfono: Personificacin falsa y persuasin, con llamadas de amenazas,

confusiones, falsos reportes de problemas, falsas llamadas de ayudas
tcnicas, relaciones con los clientes, completar de datos, consulta de buzones
de voz, uso de lneas fraudulento, etc.
El sitio de Trabajo: Entrada a los sitios de trabajo, acceso fsico no autorizado,
robar, copiar, fotocopiar, acceso a PBX, servidores, software espa,
analizadores, escner, robar equipos, robar datos, etc.
La Basura: Revisar la basura, listados telefnicos, organigramas, memorandos,
polticas, agentas, eventos, impresiones, programas, cdigos fuente, papel
membretado, hardware, entre otros.
La Internet-Intranet: Repeticin de contraseas, encuestas y actualizaciones
falsas, anexos troyanos, spyware, entre otros.
Fuera de la Oficia: Almuerzos de negocios, alcohol, revelacin de contraseas,
software espa keyloggers, keygrabbers, entre otros.
Para Profundizar:

Revisar el trmino ingeniera social inversa.
Leer el Libro Digital Hacking tico de Carlos Tori Capitulo 3 Ingeniera Social.
Leer el Paper Social Engieneering: A mean to Violate a Computer System

http://www.sans.org/reading_room/whitepapers/engineering/social-engineering-
means-violate-computer-system_529
Ver la pelcula
Duro de Matar con Bruce Wills
Rastro Oculto con Diana Lane.
84
Leccin 30: Reflexin Hacker Personal
Una vez revisado los contenidos de las lecciones y haber profundizado en el tema
de los hackers los tipos de hacker y lo que se puede hacer con las habilidades y
conocimientos sobre los sistemas tecnolgicos, adems de revisar la informacin
sobre la ingeniera social, es importante realizar una reflexin personal a travs de
preguntas personales.
Usted ha decidido utilizar sus conocimientos y habilidades para defender o

para atacar?
Est interesado en buscar soluciones o problemas?
Qu es ms importante el reconocimiento personal o la confidencialidad?
Le interesa el bien comn o el bien individual?
Qu es ms importante proteger o develar?
Una vez responda estas preguntas personales, defina que tipo de Hacker desea
ser o convertirse, usted esta interesado en utilizar sus conocimientos y habilidades
para encontrar riesgos y vulnerabilidades a los que usted pueda darles solucin y
proteger los sistemas tecnolgicos de posibles ataques.
Es mejor tener un concepto real y aterrizado de las capacidades y habilidades,

muchas veces se pueden encontrar personas con mucho mayor conocimiento,
pero se debe tener en cuenta que la prctica continua permitir perfeccionar las
habilidades y conocimientos tecnolgicos.
Hay que recordar que la tica estudia las acciones humanas y los
comportamientos de la profesin en este caso, el rea de trabajo del hacker tico,
se enfocan en el uso de todos sus conocimientos, habilidades, destrezas y dems
aspectos positivos de la personalidad con fines defensivos para hacer las cosas
de acuerdo a lo mejor para las personas y las organizaciones en cuanto a la
seguridad tecnolgica e informtica.
85
Para Profundizar:

Ver la pelcula Atrpame si puedes con Tom Hanks y Leonardo DiCaprio
Referencias
Enciclopedia de la Seguridad de la Informacin http://www.intypedia.com/
Red temtica de critografia y segurida de la informacion Criptored

http://www.criptored.upm.es/
86

Material Didactico PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Material Didactico PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ING. GABRIEL MAURICIO RAMIREZ VILLEGAS

ING. GUSTAVO EDUARDO CONSTAIN MORENO

(Diseadores de material didctico)

PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE

Captulo 1: Conceptos Bsicos de Seguridad Informtica

Leccin 1: Sistema de Gestin de la Seguridad de la Informacin.

Leccin 2: Que es un estndar?

Leccin 3: Diferencias entre un Modelo y Estndar

Leccin 4: Ventajas y Desventajas

Leccin 5: Ejemplos de Modelos y Estndares

Captulo 2: Estndar (normas) de seguridad informtica

Leccin 6: ISO 17799

Leccin 7: ISO 27000

Leccin 8: ISO 27001

Leccin 9: ISO 27001

Leccin 10: ISO 27003 a ISO 27005

Captulo 3: Modelos de seguridad informtica

Leccin 11: ITIL

Leccin 12: COBIT

Leccin 13: OSSTMM

Leccin 15: Polticas, organizacin, alcance del sistema de gestin.

SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA

Captulo 4: Gobierno de Tecnologa

Leccin 16: Qu es Gobierno de Tecnologa?

Leccin 17: Fundamentos de Gobierno de Tecnologa

Leccin 18: Implementacin de Gobierno de TI

Leccin 19: Marco de Implementacin.

Leccin 20: xito de Gobierno de Tecnologa

Leccin 21: CISA

Leccin 22: CISM

Leccin 23: CGIT

Leccin 24: CISSP

Leccin 25: COMPTIA SECURITY

Captulo 6: Hacker tico

Leccin 26: Qu es Hacker tico?

Leccin 27: Tareas del Hacker tico

Leccin 28: Certificacin Hacker tico

Leccin 29: Ingeniera Social

Leccin 30: Reflexin Hacker Personal

LISTADO DE GRAFICOS Y FIGURAS

Fig. 1. Modelo de seguridad de la informacin organizacional. Pg. 12

Fig. 2. Entidades generadoras de estndares. Pg. 15

Fig. 3. Modelo de gestin de TI. Pg. 39

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

El contenido didctico del curso acadmico: Modelos y Estndares de

Algunas de las lecciones toman informacin textual de diferentes documentos, con

El presente contenido es la primera versin construida para el curso de Modelos y

AVISO IMPORTANTE LEER ANTES DE INICIAR

El contenido del curso 233002 Modelos y Estndares de Seguridad

Las Unidades didcticas corresponden a un (1) crdito acadmico, de

Es importante que el participante del curso observe los enlaces

No olvidar profundizar las lecciones con los documentos y

En el presente contenido didctico del curso de Modelos y Estndares en

El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo

De acuerdo con esto se plantea en el curso el desarrollo de la informacin de las

Los estudiantes deben trabajar en equipo con los compaeros de su grupo de

En este orden de ideas es necesario que el estudiante afronte el curso de forma

A continuacin se presentan dos (2) Unidades didcticas, en las cuales se

PRIMERA UNIDAD: INTRODUCCIN A LA SEGURIDAD

En la actualidad, el activo de mayor valor para muchas organizaciones es la