Tecsup

Virtu@l

Prácticas de
Gestión de
Seguridad

Copyright © 2008 por TECSUP

Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

ÍNDICE

1. Introducción ................................................................................ 3
2. Objetivos ..................................................................................... 3
3. Seguridad de la Información vs. Seguridad Informática............. 3
3.1. Activos que cubre la Seguridad de la Información ......... 3
4. Gestión de Seguridad .................................................................. 4
4.1. Gestión de Riesgos .......................................................... 4
4.2. Políticas de Seguridad ..................................................... 4
4.3. Educación de la Seguridad .............................................. 4
5. Responsabilidades de la Gestión de Seguridad ........................... 5
6. Administración de seguridad y controles de soporte .................. 5
6.1. Controles administrativos................................................ 6
6.2. Controles técnicos ........................................................... 6
6.3. Controles físicos.............................................................. 6
7. Principios Fundamentales de Seguridad ..................................... 6
7.1. Definiciones de Seguridad .............................................. 7
7.2. De lo genérico a lo específico ......................................... 8
7.3. Modelo de Seguridad de la Organización ....................... 9
7.4. Requerimientos del negocio Organizaciones Privadas vs
Organizaciones Militares ............................................................ 9
8. Administración de Riesgos ....................................................... 10
9. Análisis de Riesgos ................................................................... 10
9.1. Equipo de Análisis de Riesgos ...................................... 11
9.2. Valor de la Información y de los Activos ..................... 11
9.3. Costos que otorgan valor:.............................................. 11
9.4. Identificación de las Amenazas:.................................... 12
9.5. Métodos para analizar los riesgos: ................................ 12
9.6. Resultados del Análisis de Riesgos............................... 13
9.7. Manipulación de Riesgos: ............................................. 13
10. Políticas, Procedimientos, Estándares y Modelos..................... 13
10.1. Políticas de Seguridad ................................................... 14
10.2. Estándares ..................................................................... 14
10.3. Modelos......................................................................... 14
10.4. Procedimientos .............................................................. 14
10.5. Implementación............................................................. 15
11. Clasificación de la Información ................................................ 15
11.1. Organizaciones comerciales.......................................... 15
11.2. Organizaciones militares ............................................... 15
12. Niveles de Responsabilidad ...................................................... 16
13. Conocimiento de la Seguridad .................................................. 16
14. Referencias Bibliográficas ........................................................ 17

Página 2
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

1. Introducción

La seguridad no debe de quedar en la teoría, se necesita poner en

práctica la seguridad en las Empresas. Pero al poner en práctica
debe de evaluarse la forma de cómo implementar un proyecto de
Seguridad y la forma de cómo manejar la seguridad.
Conoceremos que la seguridad no está compuesta de equipos,
también procesos administrativos donde participa la
organización.

2. Objetivos

• Preparar la Gestión de la Seguridad.

• Definir los principios de la Seguridad.
• Evaluación del riesgo de la Seguridad.

3. Seguridad de la Información vs. Seguridad Informática

Las protecciones frente a los virus o “hacking” informáticos no

son los límites de la seguridad de la Información.
Nadie tiene la verdad absoluta en la seguridad de la información.
Los riesgos de seguridad de información se pueden minimizar
mas no eliminar al 100%.

Términos que debemos conocer

• Activo: recurso relacionado al sistema de información
necesario para el funcionamiento correcto y para el
cumplimiento de los objetivos de una organización.
• Amenaza: evento que puede causar un incidente en la
organización, produciendo daños materiales o pérdidas
inmateriales en sus activos.
• Impacto: consecuencia de la materialización de una amenaza.
• Riesgo: posibilidad de que se produzca un impacto en un
activo, un dominio o en toda la organización.

3.1. Activos que cubre la Seguridad de la Información

• Personas
• Equipos Informáticos
• Procesos

Página 3
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

4. Gestión de Seguridad

Componentes Básicos:
• Gestión de riesgos
• Políticas de seguridad
• Educación de la seguridad

4.1. Gestión de Riesgos

• Identifica los activos.

• Identifica los riesgos que amenazan los activos.
• Estima los posibles daños que estos riesgos puedan
causar.

4.2. Políticas de Seguridad

Son un conjunto de requisitos que cubren todos los

aspectos de seguridad, se adaptan a la realidad de la
organización y necesitan la aprobación y respaldo de la
alta dirección de la organización.

Toda política debe de cubrir los siguientes puntos:

• Disponibilidad: Garantizando que la información se

encuentre en cualquier momento disponible.
• Utilidad: La información debe ser útil para alguna
función definida en la organización.
• Integridad: La información debe estar disponible tal
como se almacenó.
• Autenticidad: La información debe contar con un
sistema de control que permita autenticar el uso de la
Misma.
• Confidencialidad: La información solo debe estar
disponible para los agentes autorizados.
• Posesión: Los propietarios de la información deben
tener el control de la misma en todo momento.

4.3. Educación de la Seguridad

Vela por el entendimiento de las políticas y normativas de

seguridad por parte del personal de la organización.
Aplica una estrategia preventiva.

Página 4
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

5. Responsabilidades de la Gestión de Seguridad

Tratada en los niveles más altos de la gerencia de una

organización, analiza y evalúa:
• Los objetivos de la organización.
• Los riesgos de seguridad.
• La productividad de los usuarios.
• Vela por la disponibilidad del financiamiento de la gestión.

Muchas de las empresas cometen el error de asignar todas las

responsabilidades de gestión al administrador TI, llevando al
fracaso la gestión de seguridad.
La alta gerencia asigna las responsabilidades y los roles
necesarios para obtener un plan de seguridad.

Actualmente, en la mayoría de los casos, la gestión de seguridad

ha resultado ser más compleja, ya que no solo abarca el aspecto
informático sino abarca el aspecto organizacional. Por ello, las
organizaciones reconocen a la información como el activo más
importante y crítico de la organización, al cual aplican todos los
sistemas de seguridad.

Uno de los puntos más importantes de un plan de seguridad es la

definición de las responsabilidades de la gestión. Esta tiene que
ser tratada en los niveles más altos de la gerencia de una
organización, ya que es necesario analizar y evaluar los objetivos
de la organización, los riesgos de seguridad, la productividad de
los usuarios y velar por la disponibilidad del financiamiento de la
gestión.

6. Administración de seguridad y controles de soporte

Consta de 3 niveles de control:

• Controles administrativos
• Controles técnicos
• Controles físicos

Página 5
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

Controles Físicos

Controles Técnicos

Controles administrativos

Información y activos
de la organización

6.1. Controles administrativos

• El desarrollo y publicación de las políticas estándares.

• Procedimientos.
• Pautas.
• Personal de investigación.
• Entrenamiento de conocimiento de información.

6.2. Controles técnicos

• Control de accesos lógicos.

• Encriptación.
• Dispositivos de seguridad.
• Identificación y autenticación.

6.3. Controles físicos

• Protección de fácil administración.

• Guardias de seguridad.
• Cerraduras.
• Monitoreo.
• Controles de entorno.
• Detección de intrusos.

Estos tres niveles trabajan en concordancia para brindar

una adecuada protección a los activos de la organización.

7. Principios Fundamentales de Seguridad

Existen muchos objetivos en un plan de seguridad, sin embargo

existen 3 principios básicos de los cuales deben regirse:

• Confidencialidad (confidentiality)

Página 6
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

• Integridad (integrity)
• Disponibilidad (availability)

Derivados de las siglas en ingles CIA: Confidentiality, Integrity y

Availability

Confidencialidad

Objetivos
Objetivos
De Seguridad

Integridad Disponibilidad

La confidencialidad, integridad y la disponibilidad son principios

críticos de seguridad. Es indispensable conocer sus significados y
el entendimiento de cómo la ausencia de las mismas puede
afectar negativamente al plan de seguridad de la organización.

• Integridad: Permite prevenir la modificación desautorizada

de los sistemas y de la información.
• Confidencialidad: Previene el acceso desautorizado a la
información critica.
• Disponibilidad: Previene la interrupción del servicio y de la
productividad.

7.1. Definiciones de Seguridad

Existen muchas palabras dentro del vocabulario de

seguridad, las cuales representan una misma entidad a
pesar de tener diferente significados y relaciones entre sí.
Es por ello que es importante entender la definición de
cada palabra, pero más importante es conocer la
asociación entre ellas. A continuación se lista las palabras
más utilizadas en el vocabulario de seguridad:

• Amenaza: cualquier evento que ocasione incidencias,

produciendo daños materiales o inmateriales sobre un
activo de la organización.

Página 7
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

• Riesgo: es la posibilidad de que se produzca un

impacto determinado en la organización.
• Exposición: es un caso de exponer la organización o
parte de ella, a riesgos que causen daños posibles.
• Salvaguarda: es un proceso que elimina o minimiza
los riesgos de seguridad, desde antes que se active una
vulnerabilidad.
• Vulnerabilidad: es una posibilidad de ocurrencia de la
materialización de una amenaza hacia la seguridad de
la organización.

Si una organización cuenta con un software de antivirus

en los servidores y esto no se encuentra actualizado esto es
una vulnerabilidad. La amenaza viene a ser la
propagación del virus en la empresa y el daño causado es
el riesgo.

Consecuentemente, existe la posibilidad de perdida o

corrupción de la información por ataque de virus,
entonces se define que la organización ahora tiene una
exposición. En este caso, las salvaguardas son las
actualizaciones e instalación del software de antivirus en
todas las computadoras. Aplicando unas adecuadas
salvaguardias se puede eliminar las vulnerabilidades y
exposiciones y se reducen los riesgos. La organización no
puede eliminar las amenazas, pero si puede protegerse
ante ellas.

7.2. De lo genérico a lo específico

En la actualidad, las empresas implementan elementos de

seguridad sin definir los requisitos y objetivos.
Se debe empezar por lo más genérico para luego llegar a lo
más específico.
Actualmente, muchas organizaciones comienzan a
implementar un plan de seguridad con instalación de
cortafuegos (firewalls) o antivirus en las computadoras sin
antes haber entendido los requisitos y objetivos de la
seguridad en su entorno, encontrando como consecuencia
obstáculos para la continuación de la implementación.
Es por ello, que este proceso recomienda empezar por lo
más genérico (políticas de seguridad, estándares, diseños)
para luego llegar a lo más específico (procedimientos de
configuración de servidores, implementación de sistemas
de seguridad, etc.).
Los planes de seguridad que aplican este proceso, obligan
a que los responsables de la protección de los activos de la
organización sean los que gestionen estos mismos planes.

Página 8
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

En conclusión:

Si no existe una buena base en la construcción de un plan

de seguridad (similar a la construcción de un edificio).
Las consecuencias pueden ser Catastróficas!!

7.3. Modelo de Seguridad de la Organización

Es un entorno compuesto por varios mecanismos de

protección, entidades, componentes físicos y lógicos,
procedimientos y configuraciones que proveen un alto
nivel de seguridad.
Se debe balancear los aprovechamientos, las aplicaciones y
los procedimientos de seguridad.

El modelo de seguridad de la organización es un entorno

compuesto por varios mecanismos de protección,
entidades, componentes físicos y lógicos, procedimientos
y configuraciones que, trabajando de manera conjunta,
proveen un alto nivel de seguridad a la organización.
El éxito de un modelo de seguridad depende de un
adecuado balanceo de aprovechamientos y aplicaciones de
todos sus componentes y procedimientos de seguridad, lo
cual provee un nivel de confianza al entorno de la
organización.

7.4. Requerimientos del negocio Organizaciones Privadas vs

Organizaciones Militares

Los modelos de seguridad deben adaptarse a las

necesidades y objetivos de las organizaciones.
No es posible aplicar un mismo modelo de seguridad para
organizaciones de diferentes rubros.

En una organización privada, los servicios de

disponibilidad e integridad de la información, cobran
mayor valor que la confidencialidad, ya que los objetivos,
apuntan hacia la competencia en marketing y ventas.

Página 9
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

Confidencialidad Integridad

Disponibilidad

En un organización militar, el servicio de confidencialidad

cobra mayor valor que disponibilidad e integridad de la
información, ya que administra información crítica que
NO PUEDE NI DEBE tener accesos desautorizados.

8. Administración de Riesgos

En términos generales es la aplicación sistemática de políticas,

procedimientos y prácticas de gestión a la tarea de identificar,
analizar, evaluar, tratar y controlar los riesgos de la organización.

Es necesario recordar que:

• No existe seguridad al 100%.
• Cada organización tiene vulnerabilidades y riesgos diferentes.
• Los riesgos no se pueden eliminar pero si minimizar.

Categorías principales de riesgos:

• Daños Físicos.
• Error Humano.
• Mal funcionamiento de los equipos.
• Ataques internos y externos.
• Mal uso de la información.
• Pérdida de la información.
• Errores de aplicaciones.

9. Análisis de Riesgos

Es necesario responder a tres preguntas sobre la seguridad:

• ¿Qué queremos proteger?
• ¿Contra quién o qué lo queremos proteger?
• ¿Cómo lo queremos proteger?

Para alcanzar el objetivo del análisis del riesgo se debe:

Página 10
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

• Identificar y clasificar los activos críticos de la organización.

• Determinar a que amenazas están expuestos.
• Determinar que salvaguardas existen y cuan eficaces son
frente al riesgo.
• Estimar el impacto.
• Estimar el riesgo.

Las amenazas necesitan ser identificadas, clasificadas por

categorías y ser medidas según la posible magnitud de su
impacto.

9.1. Equipo de Análisis de Riesgos

El equipo debe de estar formado por representantes de las

áreas de la organización.

• Cada organización tiene diferentes áreas o gerencias y

cada área tiene sus propias funciones, recursos, tareas
y requisitos.
• Para que un análisis de riesgos sea más efectivo, es
necesario que el equipo sea conformado por
representantes de la mayoría o del total de las áreas
teniendo como resultado un mejor reconocimiento de
los riesgos.

9.2. Valor de la Información y de los Activos

Es necesario cuantificar el valor de la información y los

activos de la organización.

Es de suma importancia conocer el valor de la información

y activos de la organización para poder definir los costos
de mantenimiento de los mismos, conocer las posibles
pérdidas que causaría si estas son dañadas y cuales son los
beneficios que se obtienen al protegerlos.

9.3. Costos que otorgan valor:

Se determina un costo real de la información a través del

costo de adquisición, desarrollo y mantenimiento del
mismo. El valor es determinado por el valor que tienen los
dueños, usuarios autorizados y no autorizados.

Las siguientes apreciaciones pueden ser consideradas

cuando necesitamos asignar valores a la información y los
activos:

Página 11
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

• Costo de adquisición o desarrollo del activo.

• Costo de Mantenimiento y protección del activo.
• Valor del activo frente a los propietarios y usuarios.
• Valor del activo frente a las adversidades.
• Valor de la propiedad intelectual del activo.
• Precios que otros dispongan pagar por el activo.
• Costo para el reemplazo del activo frente a su pérdida
• Operaciones y productividad que son afectadas si el
activo no es asequible.
• Determinación de la responsabilidad si se compromete
al activo.
• Utilidad del activo.

9.4. Identificación de las Amenazas:

Recordar lo siguiente:

• Para identificar las vulnerabilidades y amenazas de los

activos, es primordial conocerlos y clasificarlos.
• Una amenaza es la acción específica que aprovecha
una vulnerabilidad para crear un problema de
seguridad.
• Sin vulnerabilidades no hay amenazas, y sin amenazas
no hay vulnerabilidades.

Tipos de amenazas:

• Virus
• Hacker
• Usuarios
• Fuego
• Empleados
• Consultores externos
• Ataques
• Intrusión

9.5. Métodos para analizar los riesgos:

Existen dos métodos de análisis de riesgos:

• Cuantitativo: Este se basa en dos parámetros

fundamentales: la probabilidad de que un suceso
ocurra y una estimación del costo o pérdidas en caso
de que así sea. Este método es el menos usado ya que
en muchos casos implica cálculos complejos o datos
difíciles de estimar.
• Cualitativo: Las técnicas de este método incluyen la
intuición, el juicio y la experiencia de quienes lo

Página 12
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

aplican, permitiendo realizar una estimación de

pérdidas potenciales. Para ello se interrelacionan 4
elementos principales: las amenazas, las
vulnerabilidades, que potencian el efecto de las
amenazas, el impacto asociado a una amenaza, que
indica los daños sobre un activo y los controles o
salvaguardas para minimizar las vulnerabilidades o el
impacto.

Existen dos metodologías para el análisis y gestión de

riesgos:

• Magerit
• Octave

9.6. Resultados del Análisis de Riesgos

Las siguientes deben ser consideradas como los resultados

de un análisis de riesgos:

• Asignación de valores monetarios a los activos.

• Lista de todas las posibles y potenciales amenazas.
• Probabilidades de cantidad de ocurrencias por cada
amenaza.
• Potencial que la organización puede aguantar en un
lapso de 12 meses, frente a una amenaza.
• Recomendaciones de salvaguardas, contramedidas y
acciones a ejecutar.

9.7. Manipulación de Riesgos:

Existen cuatro acciones básicas frente a los riesgos:

• Transferencia
• Rechazo
• Reducción
• Aceptación

10. Políticas, Procedimientos, Estándares y Modelos

Son declaraciones aprobadas por la Alta Dirección las cuales

indican que tipo de roles de seguridad utiliza la organización. Las
políticas de seguridad pueden ser:

• Política organizacional
• Política de publicación específica
• Política de sistemas específicos

Página 13
Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

10.1. Políticas de Seguridad

Las políticas pueden ser de los siguientes tipos:

• Reguladoras: Estas políticas son escritas para

asegurarse de que la organización esté siguiendo los
estándares definidos y son reguladas por la ley.
• Consultivos: Estas políticas son creadas imponiendo
tipos de comportamientos y actividades de los
empleados en la organización.
• Informativos: Son creadas para informar a los
empleados ciertos asuntos de la organización.
Contiene la interacción de la organización con sus
partners, la visión y misión y la estructura de
divulgación general.

10.2. Estándares

Los estándares de una organización aseguran que las

tecnologías específicas, aplicaciones, parámetros y
procedimientos sean usados de manera uniforme.
“Some things you just gotta do“

10.3. Modelos

Son recomendaciones de acciones y guías técnicas para los

usuarios. Estos, son básicos para ser usados como
referencias durante tiempos de contingencias.
• Modelos de Red.
• Modelos de Procedimientos.
• Modelos de Contingencias.

10.4. Procedimientos

Existen procedimientos para:

• Instalación de servidores.
• Configuración de Sistemas Operativos.
• Creación de usuarios.
• Reporte de incidentes.
• Eliminación de usuarios.
• Auditorias, etc.

Son detalles paso a paso de las acciones a ejecutar en una

tarea específica. Proporcionan los pasos a seguir para
poner en ejecución las políticas, los estándares y modelos
elaborados en la organización.

Página 14
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

10.5. Implementación

Los trabajadores deben de conocer los temas de seguridad

que estén documentadas.

Las políticas, procedimientos, estándares y modelos no

solo deben ser desarrollados sino también implementados.
Para esto es necesario que los trabajadores de la
organización, conozcan los temas de seguridad que se
indican en estos documentos. Ellos deben entender la
utilidad, funcionamiento y responsabilidad que ejercen
estos documentos.

11. Clasificación de la Información

Para poder aplicar medidas de seguridad es necesario clasificar la

información para reconocer cuales son las más críticas a custodiar.
Según el rubro de la organización, la clasificación de la
información puede ser dada de la siguiente manera:

11.1. Organizaciones comerciales

• Confidencial: Para usarse solo en la organización.

• Sensible: Requiere precauciones especiales para
asegurar su integridad.
• Privada: Es información personal de la organización.
• Propietaria: Si esta información es descubierta, puede
afectar la competitividad de la organización.
• Pública: Es la información que puede ser visualizada
por el público en general, no causando ningún impacto
adverso para la organización ni su personal.

11.2. Organizaciones militares

• Top Secret: Su descubrimiento puede causar graves

daños a la seguridad nacional.
• Secreto: Su descubrimiento puede causar daños a la
seguridad nacional.
• Sensible no clasificada: Contiene un nivel mínimo de
secreto. Ejemplo: Datos médicos, notas de exámenes
del personal, etc. Su descubrimiento puede causar
daños a la organización.
• No clasificada: Es la información que no es sensible.
Ejemplo: Manuales de computadoras, documentos de
garantías técnicas, etc.

Página 15
 Prácticas de Gestión de Seguridad Tecsup
Marzo 2008

12. Niveles de Responsabilidad

En una organización, existen diferentes niveles de administración

los cuales entienden la visión, misión y objetivos de la misma.
Cada nivel cumple un papel importante de seguridad para la
organización. Existen roles específicos claramente definidos:

• Dueño o propietario de la información: Son los miembros de

la Alta Dirección y son los responsables de la protección y uso
de la información. Los dueños de la información son los que
deciden la clasificación de la data y pueden delegar la
responsabilidad del mantenimiento de la data.
• Administradores de la información: Tienen la
responsabilidad de la administración y protección de la data.
Este rol mayormente es destinado a la Gerencia de
Informática, delegado a los administradores de la red, quienes
se encargan de aplicar mecanismos de seguridad,
implementar planes de copias de seguridad y restauración,
programas de mantenimiento preventivo y correctivo, etc.
• Usuarios: Es el encargado del uso diario de la data, este debe
tener un nivel de acceso que le permita utilizarla.

13. Conocimiento de la Seguridad

Las directivas de administración de seguridad se reflejan en las

políticas de seguridad y los estándares, procedimientos y
modelos son desarrollados para soportar estas directivas. Sin
embargo, estas no son efectivas si una de ellas no es conocida y
reconocida por el personal de la organización.

Políticas Todos los empleados deben de entender la seguridad que la

organización requiere para el beneficio de la misma.

“Para que una organización alcance los resultados deseados de

su programa de seguridad, se debe de comunicar: Qué, Cómo
y Por qué de la seguridad a sus empleados”

Página 16
Tecsup Prácticas de Gestión de Seguridad
Marzo 2008

14. Referencias Bibliográficas

• http://www.csi.imap.es/csi/pg5m.html
• http://www.standarddirect.org
• http://www.iso27001certificates.com

FIN DE LA UNIDAD

Página 17