Está en la página 1de 107

UNIVERSIDAD CONTINENTAL VIRTUAL

MANUAL AUTOFORMATIVO

ASIGNATURA
SEGURIDAD INFORMÁTICA

Autor:
Ing. Paúl Juan Gómez Herrera
ÍNDICE

INTRODUCCION
DIAGRAMA DE PRESENTACION DE LA ASIGNATURA
UNIDAD I: “Introducción a la Seguridad de la información”
Diagrama de Presentación de la Unidad I
Organización de los aprendizajes
Tema N° 1: Conceptos básicos de seguridad de la información.
1. Introducción a la seguridad de la información.
2. Auditoria versus seguridad informática.
Lectura seleccionada 1: Los retos de la seguridad informática para 2015.
Los retos de la seguridad informática para 2015. Bitendian Enginyers Informátics.
(2015). Recuperado de: http://www.bitendian.com/es/pagos-online-y-ataques-a-
grandes-corporaciones-los-retos-de-la-seguridad-informatica-para-2015/. Acceso:
9 Feb. 2016”
Actividad formativa N°1
Tema N° 2: Análisis de riesgos
1. Metodología de análisis de riesgos.
2. Planeamiento y ejecución de los planes de mitigación de riesgos.
Lectura seleccionada 2: Importancia de un Mapa de Riesgo.
Importancia de un Mapa de Riesgo. Wally, O. (2013). Recuperado de:
http://masterenexcel.com/importancia-de-un-mapa-de-riesgo/. Acceso: 9 Feb.
2016
Glosario de la unidad
Bibliografía de la Unidad I
Autoevaluación No. 01

DIAGRAMA DE PRESENTACION DE LA ASIGNATURA


UNIDAD II: “Administración del Control de acceso”
Diagrama de Presentación de la Unidad II
Organización de los aprendizajes
Tema N° 1: Sistemas de control de acceso
1. Introducción control de accesos.
2. Técnicas de identificación.
3. Autenticación y autorización.
Lectura seleccionada 1: Latinoamérica al nivel de las tendencias internacionales
de control de acceso y tecnología de la seguridad.
Latinoamérica al nivel de las tendencias internacionales de control de acceso y tec-
nología de la seguridad. Restrepo A., Acosta, S. (2015). Recuperado de:
http://www.tecnoseguro.com/analisis/control-de-acceso/latinoamerica-nivel-
internacional-acceso.html. Acceso: 9 Feb. 2016.
Actividad formativa N°2
Tema N° 2: Tecnología para control de acceso y la ingeniería social
1. Tecnologías de control de accesos.
2. Ingeniería social.

3. Ataques diversos de ingeniería social.


Lectura seleccionada 2: Ataques al sistema operativo humano.
Ataques al sistema operativo humano. Samani R., McFarland, Ch. (2015). Recupe-
rado de: http://www.mcafee.com/es/resources/reports/rp-hacking-human-os-
summary.pdf. Acceso: 9 Feb. 2016.
Glosario de unidad
Bibliografía de la Unidad II
Autoevaluación No. 02

UNIDAD III: “Seguridad perimetral, en redes y software malicioso”


Diagrama de Presentación de la Unidad III
Organización de los aprendizajes
Tema N° 1: Seguridad en redes
1. Seguridad en redes y comunicaciones.
2. Control y prevención de ataques.
Lectura seleccionada 1: Tecnologías de red.
Tecnologías de red. Axis Communications. (2015). Recuperado de:
http://www.axis.com/global/es/learning/web-articles/technical-guide-to-network-
video/network-security. Acceso: 9 Feb. 2016.
Actividad formativa N° 3
Tema N° 2: Software malicioso
1. Software malware.
2. Software crimeware.
Lectura seleccionada 2: Tendencias 2010: la madurez del crimeware.
Tendencias 2010: la madurez del crimeware. Equipo de Laboratorio de ESET.
(2009). Recuperado de: http://www.csirt-ccit.org.co/text/ESET2010.pdf. Acceso: 9
Feb. 2016
Glosario de la unidad
Bibliografía de la Unidad III
Autoevaluación No. 03

UNIDAD IV: “Administración de seguridad de aplicaciones y normatividad”


Diagrama de Presentación de la Unidad I
Organización de los aprendizajes
Tema N° 1: Seguridad en aplicaciones y normas de seguridad
1. La seguridad a nivel de aplicaciones.
2. Norma Internacional ISO/IEC, 27001:2005.
3. Dominios del ISO 27001

Lectura seleccionada 1: Fundamentos de ISO 27001 y su aplicación en las em-


presas.
Fundamentos de ISO 27001 y su aplicación en las empresas. Villa P., Ladino M.,
López A. Universidad Tecnológica de Pereira, Scientia Et Technica, XVII Abril,
(2011). Pág. 334-339. Recuperado de:
http://www.redalyc.org/articulo.oa?id=84921327061. Acceso: 9 Feb. 2016 .
Actividad formativa N°4
Tema N° 2: Normatividad de la seguridad de la información y COBIT
1. Normatividad peruana relacionada a la seguridad de la información / Privaci-
dad de Información.
2. Introducción a COBIT.

Lectura seleccionada 2: Principios de COBIT 5 para el gobierno efectivo de TI.

Principios de COBIT 5 para el gobierno efectivo de TI. Osores M. (2015). Recupera-


do de: http://searchdatacenter.techtarget.com/es/cronica/Principios-de-COBIT-5-
para-el-gobierno-efectivo-de-TI. Acceso: 9 Feb. 2016.
Glosario de la unidad
Bibliografía de la Unidad IV
Autoevaluación No. 04
INTRODUCCIÓN

La seguridad informática es una asignatura diseñada para proporcionar al estudian-


te los conocimientos básicos de seguridad de información, seguridad informática, el
tratamiento del riesgo, aplicación de controles de seguridad y establecimiento de
políticas de seguridad informática para ser utilizados en el análisis de los problemas
reales en la generación de información dentro de una organización que plantea re-
tos, condiciones y necesidades diferentes.

En el desarrollo de la asignatura podemos determinar qué procedimientos, herra-


mientas, buenas prácticas, personas, conocimiento y tecnología necesitamos para
brindar un buen nivel de seguridad de información y seguridad informática. Con-
templaremos también una propuesta de un modelo de seguridad general en una
organización.

Al finalizar la asignatura, el estudiante obtendrá las siguientes competencias:


 Aplicar los conceptos de seguridad de la información para una correcta pro-
tección de la confidencialidad, integridad y disponibilidad de los recursos in-
formáticos.
 identificar y gestiona los principales riesgos a los que están expuestas las
empresas por el uso de la tecnología.
 Diferenciar los dominios existentes en el área de seguridad.
 Planificar, controlar y cumplir con la normatividad existente.
 Administrar los criterios de control interno a los procesos de la empresa que
usan tecnología.

Es recomendable que el estudiante lea el material autoformativo y desarrolle las


actividades propuestas en cada unidad del presente material para reforzar su
aprendizaje y comprensión de amplio mundo de la seguridad informática.

Es deseo del autor que el presente manual autoformativo sea de mucha ayuda en el
camino de aprendizaje en el campo de la seguridad informática y sea una puerta
de entrada a una de las ramas de la ingeniería de sistemas e informática.
PRESENTACIÓN
DE LA ASIGNATURA

COMPETENCIA DE LA ASIGNATURA:

Aplica los conceptos de seguridad de la información para una correcta protección de


la confidencialidad, integridad y disponibilidad de los recursos informáticos, identifi-
ca y gestiona los principales riesgos a los que están expuestas las empresas por el
uso de la tecnología. Diferencia los dominios existentes en el área de seguridad,
planifica, controla y cumple con la normatividad existente y administra los criterios
de control interno a los procesos de la empresa que usan tecnología.

UNIDADES DIDACTICAS:

UNIDAD I: UNIDAD II: Unidad III Unidad IV


Introducción a la Administración del Seguridad perime- Administración de
Seguridad de la Control de acceso tral, en redes y seguridad de apli-
información software malicioso caciones y norma-
tividad

TIEMPO MINIMO DE ESTUDIO:

UNIDAD I: UNIDAD II: UNIDAD III: UNIDAD IV:


1era. Semana y 3era. Semana y 5ta. Semana y 7ma. Semana y
2da. Semana 4ta. Semana 6ta. Semana 8va. Semana
16 horas 16 horas 16 horas 16 horas
UNIDAD I: “INTRODUCCIÓN A LA SEGURIDAD DE LA INFOR-
MACIÓN”

DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD I

ORGANIZACIÓN DE LOS APRENDIZAJES

CONOCIMIENTOS PROCEDIMIENTOS ACTITUDES


Tema N°1 Conceptos básicos 1. Identifica los conceptos 1. Valora la segu-
de seguridad de la informa- de seguridad. ridad de infor-
ción 2. Identifica y diferencia mación y análi-
1. Introducción a la seguridad entre la seguridad de la sis de riesgo pa-
de la información. información y la audito- ra aplicar y ad-
2. Auditoria versus seguridad ria de sistemas. ministrar los cri-
informática. terios de control
interno en las
Actividad N°1
Lectura seleccionada 1: Los empresas que
retos de la seguridad informática Elabora un organizador de usan tecnología.
para 2015. Bitendian Enginyers conocimiento sobre las 2. Aprecia y valora
Informátics. (2015). tendencias de la seguridad las labores de
informática en la actuali- auditoria de se-
Tema N° 2: Análisis de ries- dad. guridad en tec-
gos nologías de la
1. Metodología de análisis de 3. Identifica los pasos de información.
riesgos. una metodología para 3. Demuestra res-
2. Planeamiento y ejecución de el análisis de riesgos. ponsabilidad en
los planes de mitigación de 4. Prepara un plan de la aplicación de
riesgos. mitigación de riesgos pruebas de se-
implementando contro- guridad e inge-
Lectura seleccionada 2: Im- les. niería social.
portancia de un Mapa de Riesgo. 4. Demuestra res-
Control de lectura N°1
Wally, O. (2013) ponsabilidad al
Prueba objetiva de los te- cumplir con ca-
Autoevaluación No. 01 mas 1 y 2, más los conte- da una de las
nidos de las lectura selec- actividades.
cionadas.
UNIDAD I: INTRODUCCIÓN A LA SEGURIDAD DE LA INFOR-
MACIÓN

TEMA N° 1: CONCEPTOS BÁSICOS DE SEGURIDAD DE LA IN-


FORMACIÓN.

INTRODUCCIÓN
En el tema siguiente desarrollaremos las definiciones básicas sobre la seguridad de
la información, como son la integridad, disponibilidad y confidencialidad. Abordare-
mos el modelo de negocios de seguridad de información mediante la pirámide de
seguridad, comprendiendo cada uno de sus elementos como son las personas, la
tecnología, la organización y los procesos con el objetivo de relacionar los concep-
tos de seguridad, con el trabajo realizado dentro de una organización en un am-
biente real. Finalmente realizaremos una comparación de las labores de auditoría
informática frente a la seguridad informática, resaltando las diferencias y el trabajo
realizado por cada una de ellas.

1. Introducción a la seguridad de la información.

Para comprender el campo de acción de la seguridad de la información, es ne-


cesario realizar como primer paso, la definición de seguridad, para luego poder
determinar la influencia que ejerce la seguridad en el ámbito de los sistemas in-
formáticos y de una manera más general en los sistemas de información, pro-
cedamos entonces a conocer los conceptos de seguridad.

1.1.Conceptos de seguridad

Una de las acepciones de la RAE para el término seguro, es estar libre y


exento de todo peligro, daño o riesgo. López, P. A. (2010)

El concepto de seguridad siempre se relaciona de una manera antagonista con el ries-


go, cuando los riesgos son controlados, mitigados y debidamente gestionados, se pue-
de decir que brindamos un buen nivel de seguridad. En el caso contrario, cuando los
riesgos no son controlados, suceden repentinamente, no se tienen acciones definidas
para su mitigación, ni se cuenta con planes de contingencia, se puede afirmar que es
una situación de inseguridad.

Según López, P. A. (2010) Un sistema de información (SI) es un conjunto de


elementos organizados, relacionados y coordinados entre sí, encargados de
facilitar el funcionamiento global de una empresa o de cualquier otra activi-
dad humana para conseguir sus objetivos.

Un tipo especial de sistema de información, es un sistema automático de flu-


jo de información, que es también llamado un sistema informático, según
López, P. A. (2010), un sistema informático está constituido por un conjunto
de elementos físicos (hardware, dispositivos, periféricos y conexiones), lógi-
cos (sistemas operativos, aplicaciones, protocolos…) y con frecuencia se in-
cluyen también los elementos humanos (personal experto que maneja el
software y el hardware).
1.2.Seguridad Informática
La seguridad informática es la disciplina que se ocupa de diseñar las normas,
procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable. López, P. A. (2010)

Un sistema de información, no obstante las medidas de seguridad que se le


apliquen, no deja de tener siempre un margen de riesgo. López, P. A. (2010)
nos menciona que para afrontar el establecimiento de un sistema de seguri-
dad en necesario conocer:

 Cuáles son los elementos que componen el sistema. Esta informa-


ción se obtiene mediante entrevistas con los responsables o directi-
vos de la organización para la que se hace el estudio de riesgos y
mediante apreciación directa.
 Cuáles son los peligros que afectan al sistema, accidentales o provo-
cados. Se deducen tanto de los datos aportados por la organización
como por el estudio directo del sistema mediante la realización de
pruebas y muestreos sobre el mismo.
 Cuáles son las medidas que deberían adoptarse para conocer, pre-
venir, impedir, reducir o controlar los riesgos potenciales. Se trata de
decidir cuáles serán los servicios y mecanismos de seguridad que re-
ducirían los riesgos al máximo posible.

2. Los pilares de la seguridad informática

Como resumen de las bases de la seguridad informática que hemos comentado,


podemos decir que la seguridad consiste en mantener el equilibrio adecuado en-
tre estos tres factores. No tiene sentido conseguir la confidencialidad para un
archivo si es a costa de que ni tan siquiera el usuario administrador pueda ac-
ceder a él, ya que se está negando la disponibilidad. Mifsud E. (2012).

Mifsud E. (2012) nos menciona que dependiendo del entorno de trabajo y sus
necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En
ambientes militares suele ser siempre prioritaria la confidencialidad de la infor-
mación frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso
pueda eliminarla no podrá conocer su contenido y reponer dicha información se-
rá tan sencillo como recuperar una copia de seguridad (si las cosas se están ha-
ciendo bien).

En ambientes bancarios es prioritaria siempre la integridad de la información


frente a la confidencialidad o disponibilidad. Se considera menos dañino que un
usuario pueda leer el saldo de otro usuario a que pueda modificarlo. Mifsud E.
(2012).

Según Mifsud E. (2012). En su monográfia Introducción a la seguridad


informática, nos brinda las siguientes definiciones de integridad, disponibilidad y
confidencialidad.

2.1 La integridad
Mifsud E. (2012). Detalla que el término “integridad” hace referencia a una
cualidad de “íntegro” e indica "Que no carece de ninguna de sus partes." y
relativo a personas “Recta, proba, intachable.”.

En términos de seguridad de la información, la integridad hace referencia a


la fidelidad de la información o recursos, y normalmente se expresa en lo re-
ferente a prevenir el cambio impropio o desautorizado. El objetivo de la in-
tegridad es, entonces, prevenir modificaciones no autorizadas de la informa-
ción. Mifsud E. (2012).

Para Mifsud E. la integridad hace referencia a:


 La integridad de los datos (el volumen de la información).
 La integridad del origen (la fuente de los datos, llamada autentica-
ción).

Es importante hacer hincapié en la integridad del origen, ya que puede afec-


tar a su exactitud, credibilidad y confianza que las personas ponen en la in-
formación. A menudo ocurre que al hablar de integridad de la información no
se da en estos dos aspectos. Por ejemplo, cuando un periódico difunde una
información cuya fuente no es correcta, podemos decir que se mantiene la
integridad de la información ya que se difunde por medio impreso, pero sin
embargo, al ser la fuente de esa información errónea no se está mantenien-
do la integridad del origen, ya que la fuente no es correcta. Mifsud E.
(2012).

2.2 La disponibilidad
En general, el término “disponibilidad” hace referencia a una cualidad de
“disponible” y dicho de una cosa "Que se puede disponer libremente de ella
o que está lista para usarse o utilizarse." Mifsud E. (2012).

En términos de seguridad de la información Mifsud E. menciona que la dis-


ponibilidad hace referencia a que la información del sistema debe permane-
cer accesible a elementos autorizados.

Mifsud E. también nos menciona que el objetivo de la disponibilidad es, en-


tonces, prevenir interrupciones no autorizadas/controladas de los recursos
informáticos.

En términos de seguridad informática “un sistema está disponible cuando su


diseño e implementación permite deliberadamente negar el acceso a datos o
servicios determinados”. Es decir, un sistema es disponible si permite no es-
tar disponible. Y un sistema “no disponible” es tan malo como no tener sis-
tema. No sirve. Mifsud E. (2012).

2.3 La confidencialidad
En general el término “confidencial” hace referencia a "Que se hace o se dice
en confianza o con seguridad recíproca entre dos o más perso-
nas." (http://buscon.rae.es).

En términos de seguridad de la información, la confidencialidad hace refe-


rencia a la necesidad de ocultar o mantener secreto sobre determinada in-
formación o recursos. El objetivo de la confidencialidad es, entonces, preve-
nir la divulgación no autorizada de la información. Mifsud E. (2012).

En general, para Mifsud E., cualquier empresa pública o privada y de cual-


quier ámbito de actuación requiere que cierta información no sea accedida
por diferentes motivos. Uno de los ejemplos más típicos es el del ejército de
un país. Además, es sabido que los logros más importantes en materia de
seguridad siempre van ligados a temas estratégicos militares.

Por otra parte, determinadas empresas a menudo desarrollan diseños que


deben proteger de sus competidores. La sostenibilidad de la empresa así
como su posicionamiento en el mercado puede depender de forma directa de
la implementación de estos diseños y, por ese motivo, deben protegerlos
mediante mecanismos de control de acceso que aseguren la confidencialidad
de esas informaciones. Mifsud E. (2012).

Un ejemplo típico de mecanismo que nos menciona Mifsud E., que garantice
la confidencialidad es la criptografía, cuyo objetivo es cifrar o encriptar los
datos para que resulten incomprensibles a aquellos usuarios que no dispo-
nen de los permisos suficientes.

Pero, incluso en esta circunstancia, existe un dato sensible que hay que pro-
teger y es la clave de encriptación. Esta clave es necesaria para que el usua-
rio adecuado pueda descifrar la información recibida y en función del tipo de
mecanismo de encriptación utilizado, la clave puede/debe viajar por la red,
pudiendo ser capturada mediante herramientas diseñadas para ello. Si se
produce esta situación, la confidencialidad de la operación realizada (sea
bancaria, administrativa o de cualquier tipo) queda comprometida. Mifsud E.
(2012).

En la figura N° 1 vemos la representación de los tres pilares de la seguridad


de información que son la integridad, la disponibilidad y la confidencialidad

Figura N° 1: Los tres pilares de la seguridad. Fuente P. Gómez 2016

2.4 La pirámide de seguridad


ISACA Information Systems Audit and Control Association (Asociación de
Auditoría y Control de Sistemas de Información) nos propone cuatro aspec-
tos muy importantes que debemos considerar dentro de una organización
para brindar un buen nivel de seguridad y que siempre debemos considerar
al hablar acerca de la seguridad de información y de la seguridad informáti-
ca. Estos cuatro aspectos han sido organizados en un diagrama como com-
ponentes de la pirámide de seguridad, en el que cada uno de ellos son: las
personas, la tecnología, la organización y los procesos. Este diagrama de pi-
rámide está basado en el Modelo de negocio para la seguridad de informa-
ción presentado por Roessing, R. (2010) autor de la organización ISACA
En cada uno de los vértices se sitúa cada aspecto. En la figura N° 2 podemos
visualizar cómo se organiza la pirámide. En el primer vértice ubicamos a las
personas que realizarán el trabajo dentro de la organización. En el segundo
vértice ubicaremos la tecnología de información y todos los elementos de
software y hardware que se utilizan para la producción de información den-
tro de la organización. En el tercer vértice ubicaremos a la misma organiza-
ción que adopta políticas de seguridad. Finalmente en el cuarto vértice ubi-
camos a los procesos, que deben ser diseñados y ejecutados aplicando las
políticas de seguridad previamente establecidas.

Estos aspectos, ubicados en cada vértice se relacionan estrechamente, pues


cada uno de ellos debe cumplir fielmente su función que ha sido diseñada y
planificada, con el objetivo de poder afirmar que existe un buen nivel de se-
guridad. En caso de que alguno de los cuatro aspectos no se llevará a cabo,
o no se cumplieran adecuadamente, se puede afirmar que la pirámide de
seguridad se rompe y ocurre un incidente que podemos denominar como
una falla en la seguridad de información.

Figura N° 2: La pirámide de seguridad. Fuente: Gómez P. (2015)

Realicemos un vistazo a cada uno de estos cuatro aspectos correspondientes


a la pirámide de seguridad que debemos considerar en toda organización
para obtener un buen nivel de seguridad en la información y de seguridad
informática.

1. Personas
Según Roessing, R. (2010, p.25), las personas representan los recur-
sos humanos en una organización, los empleados, contratistas, ven-
dedores y proveedores de servicio. La base de personas dentro del
modelo de negocios de seguridad de información, son los que están
empleados o asociados de otro modo con la organización.
Las personas dentro de una organización tienen sus propias creen-
cias, valores y comportamientos que surgen de sus personalidades y
experiencias. El marco corporativo afecta y es afectado por, estos
atributos, ya que define sus propias creencias, valores y comporta-
mientos y el grado esperado de cumplimiento. Esto se refleja en la
cultura organizacional. Por ejemplo, la forma en que las personas ac-
túan dentro de una organización, y en relación con la seguridad de la
información, depende de la estrategia corporativa de recursos huma-
nos (HR) como es definido en la organización y es aplicado dentro de
los procesos como parte de la administración de la organización.
Roessing, R. (2010).

Resumiendo, las personas dentro del modelo de negocio para la segu-


ridad de la información, son el recurso humano de la organización
que se encarga de la ejecución de los proceso aplicando la seguridad
de información según las políticas empresariales y organizacionales
previamente establecidas.

En temas de seguridad de la información, las personas desempeñan


un papel de ejecutoras de las políticas de la seguridad, es decir llevan
a cabo el trabajo considerando y aplicando todos los reglamentos,
convenciones de buenas prácticas para llevar a cabo los procesos. Al-
gunos expertos afirman que este es el eslabón más débil de la segu-
ridad, pues depende en mucha medida, del conocimiento de la perso-
na, de sus estados de ánimo y de su grado de prevención frente a las
situaciones de riesgo.

2. Tecnología
Roessing, R. (2010, p.20). Nos menciona que la tecnología puede ser
definida como “la aplicación práctica de los conocimientos, especial-
mente en un área en particular" y "una capacidad dada por la aplica-
ción práctica del conocimiento”. La Enciclopedia Británica define la
tecnología como "la aplicación del conocimiento científico a los objeti-
vos prácticos de la vida humana o, como a veces se denomina, al
cambio y la manipulación del medio ambiente humano”. Estas defini-
ciones sólidas ilustran el significado fundamental de la palabra dentro
de BMIS (Business Model for Information Security, Modelo de Negocio
para la Seguridad de Información): tecnología incluye todas las apli-
caciones de los conocimientos técnicos utilizados en la organización.
En la práctica, es probable que la definición de tecnología sea muy
corta, ya que sirve para el propósito de apoyar y lograr las metas or-
ganizacionales. Por el contrario, la idea de que la tecnología es solo
tecnología de la información, es demasiado corta. En el contexto de
BMIS dentro de una organización, la tecnología cubre más que la
Tecnología de la Información tradicional.

Podemos incluir dentro de la tecnología todo dispositivo hardware que


sea utilizado para el procesamiento de información, como por ejem-
plo un servidor de base de datos, un servidor cortafuegos de red, una
estación de trabajo PC de un trabajador. Al hablar de hardware,
siempre aparece ligado el software, que son los programas que hacen
funcionar el hardware, los que también deben ser incluidos dentro de
la tecnología, podemos mencionar como ejemplo los sistemas opera-
tivos como Windows o distribuciones Linux, como también software
de aplicación como herramientas ofimáticas como Microsoft Office.
La tecnología en la seguridad de información juega un papel impor-
tante, puesto que desde la instalación de un dispositivo, la configura-
ción, en la ejecución y finalmente en el mantenimiento, debe estar
debidamente puesto en funcionamiento contemplando los temas de
seguridad, desde aspectos tan básicos como que el servidor de base
de datos debe estar ubicado en un data center con un buen sistema
de aire acondicionado, hasta los aspectos de configuración de softwa-
re con la instalación de los últimos parches de seguridad publicados
por las empresas de software.

3. Organización
Según Roessing, R. (2010 p.14), la organización es una red de per-
sonas que interactúan, utilizando procesos para canalizar esta inter-
acción. Dentro del círculo principal del modelo de organización, exis-
ten empleados y otros socios permanentes. También enlaza a socios
externos, proveedores, consultores, clientes y otras partes interesa-
das. Todas estas relaciones internas y externas establecen el escena-
rio para la eficacia operativa y, en última instancia, el éxito y la sos-
tenibilidad de la empresa.

Podemos abordar este concepto desde dos perspectivas, la primera


desde el lado humano, que nos indica que la organización es un gru-
po de personas que realizan trabajo de manera interactiva, y una se-
gunda es el conjunto de políticas, reglamentos, procedimientos de
trabajo que han sido establecidos en un determinado escenario para
contribuir con la producción de algún bien o servicio con eficacia y
eficiencia operativa. Todos estos reglamentos y conjunto de buenas
prácticas, deben contemplar temas de seguridad de la información,
como aplicarlas en el trabajo y cómo las personas puedan realizar la
ejecución de procesos de una manera segura.

4. Procesos
En el documento Modelo de Negocios para la seguridad de informa-
ción, Roessing, R. (2010, p.17) nos plantea una definición de proce-
so: El marco RiskIT de ISACA ofrece una descripción clara y detallada
de un proceso eficaz:
... Es un conjunto fiable y repetitivo de actividades y controles para
realizar una determinada tarea. Los procesos adquieren la entrada de
una o más fuentes (incluyendo otros procesos), manipulan la entra-
da, utilizan los recursos de acuerdo con las políticas, y producen una
salida (incluida la salida a otros procesos). Los procesos deben tener
razones claras en el negocio para existir, propietarios responsables,
roles y responsabilidades claras alrededor de la ejecución de cada ac-
tividad clave, y los medios para llevar a cabo y cómo medir el rendi-
miento.

Los procesos son creados para ayudar a las organizaciones a lograr


su estrategia. Son las actividades estructuradas que se crean para lo-
grar un resultado en particular a través de actividad individual o una
serie de tareas aplicadas consistentemente. El elemento de proceso
explica las prácticas y procedimientos que las personas y organiza-
ciones desean cumplir. El proceso es un elemento fundamental que
simboliza los requisitos para una empresa para desarrollar, promul-
gar, educar y hacer cumplir las prácticas y procedimientos de seguri-
dad de forma continua. Roessing, R. (2010)
La definición más sencilla de proceso compone de tres partes. La pri-
mera son las entradas, que son los recursos y demás elementos que
necesarios tener para llevar a cabo el proceso. El segundo es el pro-
ceso propiamente dicho, que agrupa un conjunto de actividades, de-
bidamente organizadas, planificadas y establecidas con un objetivo
en común. Finalmente están las salidas, que son los resultados obte-
nidos de la realización de las actividades y que sirve, en algunos ca-
sos como entregables, o en otros casos, como entradas de otros pro-
cesos a ejecutar.

En la seguridad, los procesos se abordan desde el diseño, puesto que


al crearse, se les debe brindar un nivel determinado de seguridad se-
gún el tipo de información que tenga en sus entradas y salidas. Del
mismo, se debe tomar especial cuidado en cada una de las activida-
des de procesamiento de información, puesto que también deben de
realizarse siguiendo niveles determinados de seguridad. Adicional-
mente, es bueno considerar los temas de seguridad de información
desde la creación de un proceso, puesto que si se realiza en etapas
posteriores, esto involucraría muchos gastos de recursos y tiempo.

3. Auditoria versus seguridad informática.

Algunas organizaciones asumen que el trabajo de seguridad de información so-


lo mejora a través de la realización de auditoria, situación que no debería pre-
sentarse de ese modo. El concepto de seguridad informática debe ser contem-
plado desde todos los procesos de producción de información dentro de la or-
ganización y no solamente para la medición del trabajo o de resultados que se
lleva a cabo en la auditoria. Debido a esta problemática, es necesario estable-
cer y diferenciar la seguridad informática frente a la auditoría.

3.1 Auditoría de seguridad de información.

Según Aguilera López, P. (2010 p.22). La auditoría es un análisis pormenori-


zado de un sistema de información que permite descubrir, identificar y co-
rregir vulnerabilidades en los activos que lo componen y en los procesos que
se realizan. Su finalidad es verificar que se cumplen los objetivos de la políti-
ca de seguridad de la organización. Proporciona una imagen real y actual del
estado de seguridad de un sistema de información. La auditoría, mediante
pruebas analíticas sobre los activos y procesos que desarrolla la organiza-
ción, descubre vulnerabilidades, establece medidas de protección y analiza
periódicamente el sistema de información para detectar los riesgos no con-
templados o de nueva aparición. El estudio puede realizarse mediante soft-
ware específico para auditoría de sistemas.

Aguilera López, P. (2010) nos indica también que existen labores luego del
proceso de auditoria, que son las emisiones de informes que deben
comtemplar como mínimo:

 Descripción y características de los activos y procesos analizados.


 Análisis de las relaciones y dependencias entre activos o en el pro-
ceso de la información.
 Relación y evaluación de las vulnerabilidades detectadas en cada
activo o subconjunto de activos y procesos
 Verificación del cumplimiento de la normativa en el ámbito de la se-
guridad.
 Propuesta de medidas preventivas y de corrección.

Según Aguilera L. la labor de la auditoría es realizar evaluaciones periódicas


de los niveles de seguridad de un sistema de información, esta labor debe
ser llevada de una manera ordenada, sistemática y sustentada. La auditoría
puede ser total, sobre todo el sistema de información, o parcial, sobre de-
terminados activos o procesos. La auditoría de un sistema de información
puede realizarse por personal capacitado perteneciente a la propia empresa
o por una empresa externa especializada. De modo que el equipo auditor
debe contar con una serie de herramientas disponibles para llevar a cabo su
trabajo, Aguilera López (2010) nos propone tener lo siguiente:

 Manuales. Observación de los activos, procesos y comportamientos,


mediciones, entrevistas, cuestionarios, cálculos, pruebas de funcio-
namiento.
 Software específico para auditoría. Se le reconoce por las siglas
CAAT (Computer Assisted Audit Techniques). Los CAATS son herra-
mientas de gran ayuda para mejorar la eficiencia de una auditoría,
pudiendo aplicarse sobre la totalidad o sobre una parte del sistema
de información. Proporcionan una imagen en tiempo real del sistema
de información, realizan pruebas de control y emiten informes en los
que señalizan las vulnerabilidades y puntos débiles del sistema, así
como las normativas que podrían estar incumpliéndose.

En resumen, la auditoria de información es un proceso que se realiza en un


determinado tiempo y lugar, que brinda una “fotografía” del estado actual de
la organización – o del área a evaluar – del nivel de seguridad de informa-
ción, del cumplimiento de las políticas de seguridad y de la aplicación de
buenas prácticas al realizar los procesos.

3.2 Seguridad informática

La seguridad informática es la disciplina que se ocupa de diseñar las normas,


procedimientos, métodos y técnicas destinados a conseguir un sistema de
información seguro y confiable. Aguilera López, P. (2010. p.5).

Uno de las primeras acciones de la aplicación de la seguridad informática es


determinar si los sistemas dentro de una organización brindan integridad,
confidencialidad y disponibilidad de información para sus usuarios.
Contempla también labores de análisis de riesgos que ponen en peligro el
normal desarrollo de los procesos de la organización, identificando los
activos, las amenazas, el riesgo propiamente dicho, la probabilidad de
ocurrencia, el impacto generado si llegará a ocurrir el riesgo y posibles
ataques que generarían incidencias de seguridad informática.
Frente al análisis previo, se prosigue con una etapa de implementación de
mecanismos de seguridad, que aplica controles de tipo físicos como
dispositivos biométricos de seguridad, como también mecanismos lógicos,
como documentos con políticas de seguridad, manuales de procedimientos y
descripción de los procesos.
Estas acciones se formalizan mediante la documentación en planes de
contigencias, redacción, establecimiento y cumplimiento de políticas de
seguridad y finalmente con la adopción y práctica de un modelo de
seguridad organizacional.
En la figura N° 3 del documento Introducción a la Seguridad informática,
podemos observar un resumen de la Seguridad informática en una
organización considerando cuatro aspectos importantes, el primero es el
cumplimiento de los 3 pilares de la seguridad, el segundo la realización de
una correcta etapa de análisis de riesgos, un tercero es la apliación de
controles de seguridad y una última es el establecimiento de políticas
organizacionales de seguridad informática.

Figura N° 3: Seguridad Informática. Fuente: Aguilera López, P. (2010 p.23)

Al realizar la comparación de las labores de auditoría informática frente a la


seguridad informática, determinamos que la primera es una labor que tiene un
determinado inicio y fin, se desarrolla y aplica en un determinado ámbito, ya
sea solo una unidad de negocio o a la totalidad de la organización. Su propósito
es realizar un diagnóstico del estado actual de la seguridad informática de los
sistemas de software y de la información que es producida en ellos.

Por otra parte, la seguridad informática no tiene un determinado tiempo de


acción, sino que se establece desde la publicación de una política de seguridad t
se aplica en todo nivel dentro de la organización, es decir, es una labor que se
realiza día a día al llevar a cabo los procesos del negocio, aplicando las políticas
y planes de contingencia de seguridad adoptando un determinado modelo, que
ha sido diseñado y adaptado para la realidad actual de la organización.
LECTURA SELECCIONADA No 1:

Bitendian Enginyers Informátics. (2015). Los Retos De La Seguridad Informática


Para 2015. Recuperado de: http://www.bitendian.com/es/pagos-online-y-
ataques-a-grandes-corporaciones-los-retos-de-la-seguridad-informatica-para-
2015/. Acceso: 9 Feb. 2016

ACTIVIDAD FORMATIVA No 1

Elabora un organizador de conocimiento sobre las tendencias de la seguridad in-


formática en la actualidad.

Instrucciones
 Elige un determinado organizador de conocimiento, puedes utilizar el dia-
grama conceptual, mapa mental, infografías, o el tipo de diagrama de su
preferencia.
 Visualiza el siguiente video sobre Tendencias en seguridad informática para
2016 ingresando a : https://www.youtube.com/watch?v=ZPY2p4hIG30.
 El tema a desarrollar es las tendencias de la seguridad informática en la ac-
tualidad.
 El organizador debe hacer mención a los conceptos de seguridad de informa-
ción como la integridad, confidencialidad, disponibilidad como también per-
sonas, procesos, organización, tecnología, análisis de riesgos, controles de
seguridad y políticas de seguridad.
 El organizador puede realizarse a mano o con software aplicativo de su pre-
ferencia.
 Presentar el organizador en un archivo de texto WORD.
TEMA N° 2: ANÁLISIS DE RIESGOS

En el presente tema conoceremos los conceptos básicos y conjunto de términos que


se utilizan en las labores de seguridad informáticas orientadas a una propuesta de
metodología para el tratamiento del riesgo. Aprenderemos a identificar los activos
de seguridad informática, las amenazas, los riesgos, escalas de valoración de pro-
babilidad e impacto, el riesgo residual, el mapa de calor, el riesgo residual deseado
y finalmente determinaremos la etapa de convivencia con el riesgo.

1. Metodología de análisis de riesgos.

En todo ámbito de las organizaciones, en el trabajo de día a día, toda actividad


y proceso desarrollado tiene una determinada probabilidad de no realizarse por
un factor interno o externo, o también puede existir una probabilidad de reali-
zarlo completamente o de una manera incorrecta, dando como resultado una
mala práctica y un proceso incompleto.

Frente a esta situación surge la necesidad de afrontar este riesgo en la ejecu-


ción de los procesos propios de la organización, para ello los expertos nos com-
parten una serie de propuestas de buenas prácticas y metodología de trata-
miento de riesgos.

Un primer paso para realizar un correcto análisis de riesgos es el establecimien-


to del escenario para determinar el alcance de la gestión de los riesgos, estable-
cer las partes involucradas y los elementos de la organización que serán eva-
luados. Todas estas acciones sirven para determinar las situaciones de riesgo
que pueden poner en peligro el normal desenvolvimiento y flujo de información
generado por los sistemas de información.

Un enfoque anterior de la administración de recursos informáticos, era llevar a


cabo el análisis a través de recursos independientes y aislados de los demás.
Por ejemplo, se realizaba la administración de la línea de Internet solo conside-
rando el buen estado de la conexión con el proveedor, que el ancho de banda se
mantenga estable y que no se sufra cortes repentinos. Este enfoque no conside-
raba aspectos importantes, como el tráfico de la red, una línea alterna de cone-
xión de internet, la administración del corta fuegos, la administración del direc-
torio activo o cualquier otro elemento que interviene para el buen funcionamien-
to de la línea de internet dentro de la organización. Este enfoque era el denomi-
nado individualista, pues solo se interesaba en un solo elemento y que este fun-
cionará adecuadamente, cuando este se averiaba, la solución se aplicaba de una
manera individual sin considerar el impacto que sufrían los demás elementos.

Considerando el problema presentado cuando se administraba con un enfoque


individualista, los expertos determinaron que era necesario una administración
con un enfoque holístico, partieron de la premisa que cualquier elemento se en-
cuentra relacionado e interrelacionado con más elementos de un sistema para
que puedan producir la información. De modo que cambiaron el análisis de ries-
gos individualista a un enfoque basado en los servicios.

1.1 Los servicios


Se trata de definir un proceso del negocio en base a un conjunto de elemen-
tos que funcionan relacionados e interrelacionados con un objetivo en común
para producir información y sirven en el trabajo día a día de la organización.
Este conjunto de elementos en constante cambio para la generación de in-
formación son denominados como servicio.

Por ejemplo, un servicio ofrecido por la oficina de tecnología de información


sería el servicio de red de computadoras. Este servicio compone de varios
elementos de hardware, como la infraestructura de la red, los cables, los
equipos controladores como enrutadores, conmutadores y cortafuegos, y
software como el directorio activo, antivirus de red y los sistemas operativos
compatibles con la red.

En el ejemplo anterior, podemos identificar el servicio de red de computado-


ras, este servicio cuenta con varios elementos, tales como el software y
hardware, cada uno de ellos debe estar debidamente configurado y funcio-
nando correctamente desempeñando su parte para que los usuarios perte-
necientes a la red tengan activas todas las opciones de comunicación de una
red de computadores y que el servicio de red siempre se encuentre en línea.

En la figura N°4 podemos apreciar la definición de servicio de Urquilla, que


nos detalla que el servicio está orientado a la satisfacción de quien lo con-
sume, los encargados de brindar el servicio deben velar para brindar un
buen soporte y mantener el servicio en línea, basándose en un estándar de
calidad con el fin de brindar una solución a las personas.

Figura N°4 Se debe entender el servicio como una red compleja de relaciones entre actores
humanos, artefactos tangibles, procesos y tecnología. Fuente: Urquilla A. (2016).

Muchas veces al hablar de seguridad informática, surgen las preguntas en toda or-
ganización, ¿Qué es lo que vamos a proteger?, ¿Qué elemento dentro de nuestra
organización es necesario brindar un nivel de seguridad?, es aquí donde los “acti-
vos” hacen su aparición. Veamos a continuación como podemos considerar a los
activos de una organización desde el campo de la seguridad informática.
1.2 Activos
Según Aguilera López, P. (2010 p.9). Los activos son los recursos que per-
tenecen al propio sistema de información o que están relacionados con este.
La presencia de los activos facilita el funcionamiento de la empresa u organi-
zación y la consecución de sus objetivos. Al hacer un estudio de los activos
existentes hay que tener en cuenta la relación que guardan entre ellos y la
influencia que se ejercen: cómo afectaría en uno de ellos un daño ocurrido a
otro. Aguilera López, P. (2010)

Respecto a la seguridad de información podemos considerar un grupo de ac-


tivos importantes dentro de una organización, el primero son los datos, las
herramientas de software que se utilizan, el hardware que ejecuta el softwa-
re, las redes de computadoras que se utilizan para la interacción de los sis-
temas informáticos, las instalaciones, el personal, el soporte o registro que
brinda un medio de almacenamiento de los datos y finalmente los servicios.
Veamos la definición de cada uno de estos elementos brindada por Aguilera
López, P. (2010):

Datos
Constituyen el núcleo de toda organización, hasta tal punto que se
tiende a considerar que el resto de los activos están al servicio de la
protección de los datos. Normalmente están organizados en bases de
datos y almacenados en soportes de diferente tipo. El funcionamiento
de una empresa u organización depende de sus datos, que pueden
ser de todo tipo: económicos, fiscales, de recursos humanos, clientes
o proveedores…
Cada tipo de dato merece un estudio independiente de riesgo por la
repercusión que su deterioro o pérdida pueda causar, como por
ejemplo los relativos a la intimidad y honor de las personas u otros
de índole confidencial.

Software
Constituido por los sistemas operativos y el conjunto de aplicaciones
instaladas en los equipos de un sistema de información que reciben y
gestionan o transforman los datos para darles el fin que se tenga
establecido.

Hardware
Se trata de los equipos (servidores y terminales) que contienen las
aplicaciones y permiten su funcionamiento, a la vez que almacenan
los datos del sistema de información. Incluimos en este grupo los
periféricos y elementos accesorios que sirven para asegurar el correc-
to funcionamiento de los equipos o servir de vía de transmisión de los
datos (Módem, Router, instalación eléctrica o sistemas de alimenta-
ción ininterrumpida, destructores de soportes informáticos…).

Redes
Desde las redes locales de la propia organización hasta las metropoli-
tanas o internet. Representan la vía de comunicación y transmisión
de datos a distancia.
Soportes
Los lugares en donde la información queda registrada y almacenada
durante largos períodos o de forma permanente (DVD, CD, tarjetas
de memoria, discos duros externos dedicados al almacenamiento,
microfilms e incluso papel).

Instalaciones
Son los lugares que albergan los sistemas de información y de comu-
nicaciones. Normalmente se trata de oficinas, despachos, locales o
edificios, pero también pueden ser vehículos y otros medios de des-
plazamiento.

Personal
El conjunto de personas que interactúan con el sistema de informa-
ción: administradores, programadores, usuarios internos y externos y
resto de personal de la empresa. Los estudios calculan que se produ-
cen más fallos de seguridad por intervención del factor humano que
por fallos en la tecnología.

Servicios que se ofrecen a clientes o usuarios: productos, servicios,


sitios web, foros, correo electrónico y otros servicios de comunicacio-
nes, información, seguridad, etc.

1.3 Amenazas
Cualquier situación que ponga en peligro el normal desarrollo o ejecución de
un servicio, es denominado como amenaza. Según Ballesteros (2014) en
Seguridad de Instalaciones, la definición de amenaza es el potencial ocu-
rrencia de un hecho que pueda manifestarse en un lugar específico, con una
duración e intensidad determinadas.

En sistemas de información se entiende por amenaza la presencia de uno o


más factores de diversa índole (personas, máquinas o sucesos) que –de te-
ner la oportunidad- atacarían al sistema produciéndole daños aprovechándo-
se de su nivel de vulnerabilidad. Hay diferentes tipos de amenazas de las
que hay que proteger al sistema, desde las físicas como cortes eléctricos, fa-
llos del hardware o riesgos ambientales hasta los errores intencionados o no
de los usuarios, la entrada de software malicioso (virus, troyanos, gusanos)
o el robo, destrucción o modificación de la información. Aguilera López, P.
(2010 p.9)

En la figura N°5 hemos tomado los 4 tipos de amenazas propuestas por


Aguilera López (2010) y las hemos organizado en un diagrama, el primer
tipo, la amenaza de interrupción, tiene como misión evitar el acceso a la
información, como ejemplo podemos citar el ataque de denegación de
servicos (DoS Deny Of Service por sus siglas en inglés). Un segundo tipo de
amenaza sería el de interceptación, aquí el objetivo es obtener los datos que
son transmitidos mediante un medio electrónico, por ejemplo el acceso no
autorizado a un mensaje de coreo electrónico. Un tercer tipo de amenaza es
el de modificación, que detalla que un agente no autorizado cambia, o altera
los datos en un sistema informático. Finalmente consideramos como un tipo
de amenaza la de fabricación, que desde el principio de procesamiento de lo
datos, se registrarán datos falsos, por ejemplo agregar un cliente fantasma
para la generación de facturas para cubrir ventas falsas.

Figura N°5 Clasificación de los tipos de amenaza. Fuente: Gómez P. (2015).

1.4 Vulnerabilidad
Ballesteros (2014) nos brinda la siguiente definición de la vulnerabilidad: Se
puede definir como la debilidad o grado de exposición de un sujeto, objeto o
sistema.

Probabilidades que existen de que una amenaza se materialice contra un ac-


tivo. No todos los activos son vulnerables a las mismas amenazas. Por
ejemplo, los datos son vulnerables a la acción de los hackers, mientras que
una instalación eléctrica es vulnerable a un cortocircuito. Al hacer el análisis
de riesgos hay que tener en cuenta la vulnerabilidad de cada activo. Aguilera
López, P. (2010 p.14).

1.5 Riesgo
Es la probabilidad latente de que ocurra un hecho que produzca ciertos efec-
tos, la combinación de la probabilidad de la ocurrencia de un evento y la
magnitud del impacto que puede causar, así mismo es la incertidumbre fren-
te a la ocurrencia de eventos y situaciones que afecten los beneficios de una
actividad. Ballesteros (2014)

Aguilera López, P. (2010 p.14) detalla una defición de riesgo respecto a la


seguridad informática: se denomina riesgo a la posibilidad de que se mate-
rialice o no una amenaza aprovechando una vulnerabilidad. No constituye
riesgo una amenaza cuando no hay vulnerabilidad ni una vulnerabilidad
cuando no existe amenaza para la misma. Ante un determinado riesgo, una
organización puede optar por tres alternativas distintas:
 Asumirlo sin hacer nada. Esto solamente resulta lógico cuando el per-
juicio esperado no tiene valor alguno o cuando el coste de aplicación
de medidas superaría al de la reparación del daño.
 Aplicar medidas para disminuirlo o anularlo.
 Transferirlo (por ejemplo, contratando un seguro).

Para realizar la gestión del riesgo, es necesario realizar varias etapas, una
primera etapa es de observación e identificación de los activos a evaluar.
Luego es necesario identificar todas las amenazas latentes que puedan afec-
tar a los activos de la organización. Una vez determinada la amenaza se
identifican los riesgos brindando una valoración de probabilidad de ocurren-
cia, y un impacto que generaría si el riesgo sucediera.

Prosigue una etapa de evaluación de los controles existentes en la organiza-


ción que sirven para mitigar algunos de los dos elementos del riesgo, algu-
nos controles sirven para reducir el impacto, otros sirven para reducir la
probabilidad de ocurrencia.

Siguiendo con el proceso de tratamiento del riesgo, se determina si los con-


troles existentes en la organización reducen el riesgo a un estado de convi-
vencia. En la mayoría de los casos la respuesta es negativa, de modo que es
necesario realizar una propuesta de nuevos controles para reducir aún más
el impacto y la probabilidad de ocurrencia de un riesgo.

Se procede a la aplicación del nuevo control propuesto, se mitiga el riesgo, y


se evalúa si ya se puede convivir con el riesgo. Una vez que el riesgo se en-
cuentra en una escala de probabilidad y de impacto muy bajo, se decide
convivir con el riesgo y finaliza el tratamiento del riesgo.

Para implantar una política de seguridad para el tratamiento del riesgo en un


sistema de información es necesario seguir un esquema lógico. Aguilera
López, P. (2010 p.11) son sugiere los siguientes pasos:

 Hacer inventario y valoración de los activos.


 Identificar y valorar las amenazas que puedan afectar a la seguridad de
los activos.
 Identificar y evaluar las medidas de seguridad existentes.
 Identificar y valorar las vulnerabilidades de los activos a las amenazas
que les afectan.
 Identificar los objetivos de seguridad de la organización.
 Determinar sistemas de medición de riesgos.
 Determinar el impacto que produciría un ataque.
 Identificar y seleccionar las medidas de protección.

2. Planeamiento y ejecución de los planes de mitigación de riesgos.


Veamos a continuación cómo realizar el tratamiento del riesgo a través de una
metodología propuesta de mapas de calor para llevar a cabo un buen planea-
miento y ejecución de un plan de mitigación de riesgos.

Vamos de realizar un ejemplo de tratamiento de un riesgo, identificando los ac-


tivos, la amenaza, brindando al riesgo una escala de impacto y probabilidad,
luego situaremos el riesgo en un mapa de calor, identificaremos el control exis-
tente, obtendremos el riesgo residual, propondremos un nuevo control, mitiga-
remos el riesgo, obtendremos el riesgo residual deseado y decidiremos si hemos
llegado a una reducción del riesgo para convivir con él.
Primera etapa: Identificación de los activos
Se determina que activos se van a evaluar en temas de seguridad informáti-
ca, se deben contemplar los datos, el software, el hardware, las redes de
computadoras, el almacenamiento físico y digital, las instalaciones, el perso-
nal y los servicios.
Proponemos el caso de una oficina de tecnologías de información: Proceso
de copia de seguridad de la base de datos de clientes.

Activos
La base de datos en SQL Server, el servidor físico un IBM XSeries 300,
L el servidor administrador de base de datos, un SQL Server 2015. La red
o de la organización en donde funciona la base de datos, la instalación en
s el data center del servidor IBM, el personal de TI que le brinda el man-
tenimiento y el servicio de registro de clientes de la organización.

Segunda etapa: Identificación de las amenazas.


En el caso propuesto, una amenaza seria una situación que pone en peligro
la tarea rutinaria de la realización de la copia de base de datos de clientes,
de manera general podemos identificar las amenazas:

Amenazas
 La programación automática de la copia de seguridad no se realice.
 El disco duro en donde se almacena todos los archivos de copia de
seguridad se llene.
 Fallo en el momento de ejecución del procedimiento almacenado en
el servidor para ejecutar la copia de seguridad.
 Se ha programado una copia de seguridad de la base de datos por
día.

Tercera etapa: Identificación del riesgo: Probabilidad e Impacto


Cada amenaza identificada, se puede convertir en riesgo cuando esta ocurra
y afecte a un activo. El riesgo está compuesto de una probabilidad de ocu-
rrencia, y el impacto que generaría en el activo si el riesgo sucediera.

Para brindar la probabilidad de ocurrencia al riesgo, debemos utilizar una es-


cala de valor. Por ejemplo, puede usarse porcentajes, donde 0% es cuando
nunca ocurre el riesgo, y 100% cuando siempre ocurre. Igualmente pode-
mos usar cifras decimales 0 cuando no ocurre el riesgo 0.50 cuando ocurre
la mitad de las veces y 1 cuando ocurre siempre. También podemos usar es-
calas numéricas, donde 0 es cuando nunca ocurre, 2 es cuando ocurre la mi-
tad de las veces y 4 cuando ocurre siempre. Queda a elección del gestor del
riesgo escoger y sustentar la escala a utilizar para medir el nivel del riesgo.

Para brindar el impacto de un riesgo, se puede realizar con la escala numéri-


ca, por ejemplo, 0 cuando no hay impacto, 2 cuando es un impacto medio y
4 cuando es un impacto muy alto. También se puede utilizar valores mone-
tarios, como por ejemplo definir S/. 0 cuando no hay impacto S/. 4000
cuando es impacto medio y + S/. 8000 cuando es un alto impacto, este va-
lor se puede determinar de acuerdo al proceso o activo a analizar.

En la figura N° 6 podemos visualizar tres escalas de probabilidades a que


podemos utilizar al momento de evaluar los riesgos.
Figura N° 6 Escala de valor de probabilidad para un riesgo. Fuente: Gómez P. (2015).
Igualmente en la figura N° 7 podemos visualizar tres escalas de impacto que
podemos utilizar al momento de evaluar los riesgos.

Figura N° 7 Escala de valor de impacto para un riesgo. Fuente: Gómez P. (2015).

Aparece una pregunta crítica, ¿Cómo puedo brindar los valores más reales
objetivos de probabilidad e impacto a los riesgos identificados? Pues, se
puede utilizar tres aspectos para brindar una escala de valor real:

 Juicios de expertos en seguridad informática.


 Experiencias previas de proyectos de seguridad informática.
 Casos de éxito de planes de seguridad y tratamiento de riesgos.

Tomaremos una de las amenazas y le brindaremos una escala de valor de


probabilidad e impacto. Elegiremos la escala numérica, en la probabilidad el
0 indicará que no sucede el riesgo y el número 4 indicará que siempre pasa
el riesgo. Del mismo, para el impacto, el 0 será que no se genera impacto y
el número 4 significará que es el máximo impacto. El riesgo a evaluar será
el siguiente: El disco duro en donde se almacena todos los archivos de copia
de seguridad se llene.

Riesgo
“El disco duro en donde se almacena todos los archivos de copia de se-
guridad de la base de datos alcance la máxima capacidad de almace-
namiento”.

Valor de la probabilidad: 3
El nivel de probabilidad es alto debido a que eventualmente el disco
duro que almacena los archivos de copias de seguridad se llenará, y a
tratarse de una tarea automática, muchas veces este incidente pasa
desapercibido.

Valor de impacto: 4
El impacto generado es muy alto, puesto que si la copia de seguridad se
necesita para restablecer la base de datos de un fallo grande y esta co-
pia no está presente, se perderían muchos registros y sería una situa-
ción muy caótica.

S
Una vez brindadas las dos escalas, se puede realizar un mapeo en un mapa
de calor, para que ayude de una manera gráfica a identificar los riesgos que
se ubiquen en zonas peligrosas y que se deben aplicar acciones de una ma-
nera inmediata, para esta acción utilizaremos un mapa de calor adaptado a
las dos escalas elegidas, situaremos el riesgo en la posición.

En la figura N° 8 vemos el mapeo del “Riesgo 1”: El disco duro en donde se


almacena todos los archivos de copia de seguridad de la base de datos al-
cance la máxima capacidad de almacenamiento en el mapa de calor de ries-
gos. Podemos deducir que el riesgo se ha ubicado en una posición muy peli-
grosa, de modo que es más que obligatorio realizar acciones para mitigar el
riesgo.

Figura N° 8 Mapeo de riesgo en el mapa de calor. Fuente: Gómez P. (2015).

Cuarta etapa: Riesgo residual


El riesgo residual es el riesgo obtenido luego de haber aplicado un control de
mitigación, por lo general este control existe en la organización y se viene
aplicando para que el riesgo sea manejado.

Un control para el riesgo tiene como objetivo reducir el impacto, reducir la


probabilidad o bien las dos cosas al aplicarse, con el fin que el riesgo se sitúe
en una posición más adecuada dentro del mapa de calor. Encontramos ya
ejecutándose un control en la oficina de tecnologías de información:

Control
Implementar una inspección diaria del espacio libre de almacenamiento
del disco duro utilizado para guardar las copias de seguridad de la base
de datos.

Luego de aplicado este control, vemos que reduce significativamente la pro-


babilidad de que el disco duro se llene, por tanto podemos brindar el valor 1
al aplicar el control. Sin embargo, el impacto que se genera si se llenará el
disco duro, aun sería alto, de modo que permanecerá en el valor inicial de 3.
Procedemos a mapear el riesgo, esta vez con la aplicación de un primer con-
trol. Este riesgo se le conoce como riesgo residual. En la figura N° 9 po-
demos visualizar un nuevo mapa de calor que tiene mapeado el riesgo con la
aplicación del control existente.
Figura N° 9 Mapeo de riesgo residual en el mapa de calor. Fuente: Gómez P. (2015).

Quinta etapa: Riesgo residual deseado.


Debemos evaluar nuevamente el riesgo, hacernos la pregunta: luego de ha-
ber aplicado el control existente, ¿Podemos convivir con el riesgo? En la ma-
yoría de los casos la respuesta a esta pregunta es negativa, de modo que
debemos proponer un nuevo control o controles para que los valores de pro-
babilidad e impactos se reduzcan lo más posible.

Un control adecuado para el riesgo propuesto buscaría reducir el impacto


como también la probabilidad, de modo que propone un escenario para que
el riesgo se solucione de una manera directa e inmediata.

Segundo Control
Tener disponible un mínimo de 04 discos duros SCSI, vacíos, formatea-
dos y configurados adecuadamente para ser conectados de manera in-
mediata cuando el disco duro principal de las copias de seguridad alcan-
ce su máximo almacenamiento.

Luego de la aplicación del segundo control propuesto por el equipo de segu-


ridad informática, nuevamente se brinda una escala de valoración de proba-
bilidad e impacto. Apliquemos el segundo control y como resultado obtene-
mos que la probabilidad sigue en el valor 1, esto debido a que eventualmen-
te el disco duro utilizado va a alcanzar su máximo almacenamiento, de modo
que siempre ocurrirá esta situación, pero de una manera programada. Don-
de sí podemos apreciar un cambio es en el impacto, puesto que al tener dis-
ponibles los discos duros, tomará unos minutos la instalación y puesta en
funcionamiento del disco duro nuevo, posibilitando realizar la copia de segu-
ridad sin problemas. Si se mantiene siempre este control activo, podemos
afirmar con plena seguridad que su impacto se ha reducido a 0. Procedemos
a realizar el mapeo del riesgo en el mapa de calor. Aplicando todos estos pa-
sos se obtiene el riesgo residual deseado.

En la figura N° 10 vemos un mapa de calor con el riesgo 1 residual deseado


ubicado en una posición de bajo peligro, por lo general se utilizan los colores
verdes para las zonas frías del mapa, el color amarillo para las zonas me-
dias, y el color rojo para las posiciones calientes o peligrosas del mapa de
calor. Visualmente podemos detallar que el riesgo 1 ya se ubica en una posi-
ción cómoda y adecuada para la gestión de riesgos.

Figura N° 10 Mapeo de riesgo residual deseado en el mapa de calor. Fuente: Gómez


P. (2015).
Sexta etapa: Convivencia con el riesgo.
Finalmente, se debe realizar una última evaluación del riesgo, para ello se
visualiza el mapa de calor del riesgo residual deseado, y se procede a elabo-
ra la pregunta ¿puedo convivir con el riesgo? Si el riesgo residual deseado se
ubica en una posición segura, fría del mapa de calor, la respuesta a esta
pregunta es afirmativa, sí se puede convivir con el riesgo.

Si en caso el riesgo residual deseado se ubicada aun en una posición peli-


grosa del mapa de calor, se puede repetir la quinta etapa, aplicando nuevos
controles propuestos, los que sean necesarios hasta lograr ubicar el riesgo
en una posición segura del mapa de calor y que la respuesta a la pregunta
de convivencia con el riesgo sea positiva.

Esta metodología de tratamiento del riesgo se encuentra basada en información


compartida, buenas prácticas incluidas en metodologías como COBIT Objetivos de
Control para Información y Tecnologías Relacionadas (COBIT por sus siglas en in-
glés: Control Objectives for Information and related Technology) y RiskIT, que se
basa en COBIT, para brindar un vínculo que faltaba entre la gestión de riesgos cor-
porativos convencionales y la gestión y el control de riesgos de TI. , ambas guías
elaboradas por ISACA se encuentran en:

Enlace COBIT:
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Enlace RiskIT:
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx

LECTURA SELECCIONADA No 2:

Wally, O. (2013). Importancia de un Mapa de Riesgo. Recuperado de:


http://masterenexcel.com/importancia-de-un-mapa-de-riesgo/. Acceso: 9
Feb. 2016
GLOSARIO DE LA UNIDAD I

1. Ataque informático
Un ataque informático es un método por el cual un individuo, mediante un sis-
tema informático, intenta tomar el control, desestabilizar o dañar otro sistema
informático.

2. BMIS
(Business Model for Information Security, Modelo de Negocio para la Seguridad
de Información) guía completa que aborda los aspectos de personas, el proceso,
la organización y la tecnología de la seguridad de información.

3. DBMS
Son programas de software denominados sistemas gestores de bases de datos,
abreviado SGBD (del inglés Database Management System o DBMS), que permi-
ten almacenar y posteriormente acceder a los datos de forma rápida y estructu-
rada.

4. Disco SCSI
Small Computer System Interface, más conocida por el acrónimo inglés SCSI
(interfaz de sistema para pequeñas computadoras), es un disco duro que tiene
una interfaz estándar para la transferencia de datos entre distintos dispositivos
del bus de la computadora.

5. Distribución Linux
Software basada en el núcleo Linux que incluye determinados paquetes de soft-
ware para satisfacer las necesidades de un grupo específico de usuarios.

6. Hacker
Pirata informático, es alguien que descubre las debilidades de un computador o
de una red informática, aunque el término puede aplicarse también a alguien con
un conocimiento avanzado de computadoras y de redes informáticas.

7. ISACA
Information Systems Audit and Control Association (Asociación de Auditoría y
Control de Sistemas de Información) Es una asociación dedicada a la compilación
de buenas prácticas y metodologías para la autoria de sistemas de información y
gobierno electrónico.

8. No repudio
En seguridad infomrática, es cuando el receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción.

9. Plan de contingencias
Conjunto de medidas encaminadas a restaurar el funcionamiento normal de una
actividad tras la alteración producida por un accidente.
BIBLIOGRAFÍA DE LA UNIDAD I

Aguilera López, P. (2010). Introducción a la Seguridad informática. Editex.


Recuperado de: http://www.editex.es/RecuperarFichero.aspx?Id=19810

Alexander Servat, Alberto. (2005). Leer y Redactar en la Universidad Católica del


Perú. Editorial Pearson Educación. UBICACIÓN: ISBN: 970-26-0657-8.

Ballesteros A. (2014). Seguridad de Instalaciones. Escuela Penintenciaria Nacional.


Recuperado de:
http://epn.gov.co/elearning/distinguidos/SEGURIDAD/13_riesgo_amenaza_y_
vulnerabilidad.html

López, P. A. (2010). Seguridad informática. Editex. Recuperado de:


https://books.google.com.pe/books?id=Mgvm3AYIT64C&lpg=PA1&dq=definici
%C3%B3n%20de%20seguridad%20informatica&lr&hl=es&pg=PA1#v=onepa
ge&q&f=false

Mifsud E. (2012). Introducción a la seguridad informática. Observatorio Tecnológico


- Ministerio de Educación, Cultura y deporte - Gobierno de España.
Recuperado:
http://recursostic.educacion.es/observatorio/web/es/component/content/artic
le/1040-introduccion-a-la-seguridad-informatica?showall=1

Roessing, R. (2010). Bussines Model for Information Security. Illinois: ISACA.


Recuperado de: http://www.isaca.org/Knowledge-
Center/bMIs/Pages/business-Model-for-Information-security.aspx

Urquilla A. (2016). Diseño de Servicios: una tendencia que viene con fuerzas.
Revista Estrategia & Negocios. Recuperado de:
http://www.estrategiaynegocios.net/lasclavesdeldia/922494-
330/dise%C3%B1o-de-servicios-una-tendencia-que-viene-con-fuerzas
AUTOEVALUACIÓN Nº1
1. ¿Qué es la Seguridad informática?
A. Área de la informática que se enfoca en la protección de la infraestructura
computacional de sistemas informáticos y todo lo relacionado a ellos.
B. Es equivalente que la seguridad ocupacional en los trabajos.
C. Área de estudio para la elaboración de proyectos de informática.
D. Área de la informática que permite documentar las actividades del día a día
de una empresa.
E. Implementa fases de mantenimiento para los sistemas informáticos.

2. Aplica principios y acciones de seguridad en los procesos realizados por sistemas


de software informáticos.
A. Seguridad informática.
B. Seguridad de la información.
C. Salud y seguridad.
D. Tratamiento de riesgos.
E. Manual de buenas prácticas.

3. Elija la opción que describa un control que puede mitigar de una manera efectiva
el siguiente riesgo:
Riesgo: El trabajador descarga un archivo adjunto de un remitente des-
conocido.
A. Se notifica al jefe superior sobre la acción del trabajador.
B. Contar con un antivirus actualizado que analiza los archivos adjuntos.
C. Se brinda privilegios de súper usuario a la cuenta del trabajador.
D. Se brinda privilegios de invitado a la cuenta del trabajador
E. Se permite el uso del correo personal del trabajador.

4. Seleccione la alternativa que NO describa una buena práctica de seguridad en


las bases de datos:
A. Identificar la sensibilidad de los datos almacenados en las Bases de Datos.
B. Evaluar la vulnerabilidad de las configuraciones de los sistemas gestores de
base de datos
C. Determinar qué es lo que se puede y no se puede hacer con las Bases de Da-
tos.
D. Monitorear en tiempo real las bases de datos en funcionamiento.
E. Proporcionar acceso de usuario “root” a todos los programadores para el tra-
bajo de desarrollo de software.

5. Son tres elementos de la pirámide de seguridad.


A. Acción, retroalimentación y registro.
B. Personas, procesos y tecnología
C. Procesos, salidas y retroalimentación.
D. Datos, información y procesos.
E. Información, acción y tecnología.

6. _______________ Es una propiedad que indica que la información debe ser real
y que el resultado de las operaciones sobre ella debe ser correcta.
A. La confidencialidad.
B. La integridad.
C. La criptografía.
D. La disponibilidad.
E. La descodificación.

7. La __________ define que la información debe ser accesible en el momento y


lugar que un usuario la necesite:
A. La disponibilidad.
B. La integridad
C. El control de acceso.
D. La portabilidad.
E. La autenticación.

8. Es una propiedad de la información que define que puede ser utilizada única-
mente por la persona que ha sido autorizada para su uso.
A. Mantenibilidad.
B. Disponibilidad
C. Confidencialidad
D. Escalabilidad.
E. Portabilidad.

9. Dado el siguiente riesgo “Ingreso no autorizado al data center de la em-


presa”. Hemos brindado el valor de 1 en la probabilidad de ocurrencia y el valor
de 4 en el impacto que generaría. Realizamos su ubicación en el mapa de calor.
Elija la alternativa que describa la acción que debemos tomar frente a este ries-
go.

A. Ignoramos la presencia de ese riesgo, puesto que nadie ingresaría de manera


no autorizada al data center.
B. La ubicación del riesgo es en una zona segura, de modo que el riesgo no su-
cederá.
C. El riesgo tiene valores muy altos, iniciamos la aplicación de un primer control
para mitigar el riesgo.
D. El riesgo no afectará el funcionamiento del data center, decidimos convivir
con el riesgo.
E. El impacto y la probabilidad de ocurrencia son valores muy bajos como para
aplicar un control sobre el riesgo.

10. Tenemos el siguiente riesgo ubicado en la posición probabilidad 0 e impacto 1,


dentro del mapa de calor:
Elija la alternativa que describe mejor al riesgo:

A. El riesgo se ubica en una zona segura del mapa de calor, se puede aplicar un
control como también se puede convivir con el riesgo.
B. La ubicación del riesgo es en una zona insegura, se deben aplicar controles
de manera inmediata.
C. Es un riesgo que tiene que ser controlado a la brevedad, pues es crítico para
el servicio brindado.
D. Es un riesgo muy peligroso para las actividades de la oficina de TI.
E. El impacto es muy alto, lo cual afectará el servicio brindado con pérdidas
exorbitantes.
Respuestas Autoevaluación Unidad I

Pregunta Respuesta

1 A

2 A

3 B

4 E

5 B

6 B

7 A

8 C

9 C

10 A
UNIDAD II: “ADMINISTRACIÓN DE CONTROL DE ACCESO”

DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD II

ORGANIZACIÓN DE LOS APRENDIZAJES

CONOCIMIENTOS PROCEDIMIENTOS ACTITUDES


Tema N° 1: Sistemas de con- 1. Identifica los tipos de 1. Valora la segu-
trol de acceso accesos. ridad de infor-
1. Introducción control de acce- 2. Identifica las técnicas y mación y análi-
sos. tecnologías del meca- sis de riesgo pa-
2. Técnicas de identificación. nismo de control de ac- ra aplicar y ad-
3. Autenticación y autorización. cesos. ministrar los cri-
terios de control
Lectura seleccionada 1: Lati- interno en las
Actividad N°2
noamérica al nivel de las ten- empresas que
dencias internacionales de con- Elabora un organizador del usan tecnología.
trol de acceso y tecnología de la conocimiento sobre el uso 2. Aprecia y valora
seguridad. . Restrepo A., y Acos- de tecnologías para el con- las labores de
ta, S. (2015) trol de acceso e identifica- auditoria de se-
ción. guridad en tec-
nologías de la
Tema N° 2: Tecnología para 3. Distingue los diversos información.
control de acceso y la inge- ataques de contra in- 3. Demuestra res-
niería social geniería social ponsabilidad en
1. Tecnologías de control de 4. Identifica ataques de la aplicación de
accesos. ingeniería social y me- pruebas de se-
2. Ingeniería social. canismos de defensa guridad e inge-
3. Ataques diversos de ingenie- contra la ingeniería so- niería social.
ría social. cial. 4. Demuestra res-
ponsabilidad al
Lectura seleccionada 2: Ata- cumplir con ca-
ques al sistema operativo hu- Tarea Académica Nº 1 da una de las
mano. Samani R.& McFarland, Diseña una propuesta de actividades.
Ch. (2015) implementación de contro-
Autoevaluación No. 02 les de acceso, identifica-
ción, autenticación e inge-
niería social para una em-
presa de desarrollo de
software.
UNIDAD II: ADMINISTRACIÓN DE CONTROL DE
ACCESO

TEMA N° 1: SISTEMAS DE CONTROL DE ACCESO


En el presente tema conoceremos los mecanismos de control de acceso utilizados
en las organizaciones para la validación de las personas y usuarios de los sistemas
de información. Este control tiene como objetivo verificar que la persona sea quien
dice ser para otorgarle acceso a una determinada área, con el motivo de brindar
buen nivel de seguridad. Aprenderemos la clasificación del control de acceso, brin-
daremos los ejemplos en cada tipo y describiremos su funcionamiento.

1. Introducción al control de accesos

Al hablar de seguridad informática, debemos considerar a los controles como una


herramienta muy importante para el tratamiento del riesgo. Un control es una
acción que tiene como objetivo reducir la probabilidad de que un riesgo suceda,
como también tiene el objetivo de reducir el impacto que generaría si este suce-
diera. El control puede estar destinado a reducir cualquiera de los dos, la proba-
bilidad o el impacto, en el mejor de los casos, el control podrá reducir ambos.
Los controles son el conjunto de acciones que posibilitará la convivencia con el
riesgo. Se debe aplicar los controles a un riesgo por lo menos en dos etapas, una
primera cuando se aplican controles existentes para obtener el riesgo residual, y
una segunda etapa con un control propuesto para obtener el riesgo residual
deseado. Un riesgo puede tener tantos controles como se estime conveniente,
no hay una regla establecida para ello, pero podemos considerar que la misión a
lograr es responder afirmativamente a la pregunta ¿Puedo convivir con el riesgo?
¿Cuándo se puede convivir el riesgo?, la respuesta es sencilla, cuando los con-
troles aplicados al riesgo den como resultado un impacto muy bajo y una proba-
bilidad de ocurrencia también baja, dicho en otras palabras, cuando un riesgo no
afecte el normal desenvolvimiento de un servicio si llegara a pasar.
Se denomina convivencia con el riesgo a una evaluación decisora que se realiza
para establecer que es seguro realizar un servicio con la existencia de riesgo en
un determinado tiempo. El riesgo siempre va a existir, no es posible eliminarlo
por completo, sin embargo se puede mitigar al máximo para que no se convierta
en una situación catastrófica que ponga en peligro el normal desenvolvimiento
del servicio.
Al clasificar los controles para un riesgo, podemos mencionar la definición de
control de acceso. Describamos a continuación este tipo especial de controles,
sus características, aplicaciones y usos dentro de una organización.

1.1.Control de acceso
Para definir correctamente el control de acceso, debemos mencionar que
debe surgir la necesidad de tener algún elemento que desee proteger. Este
elemento puede ser un lugar o área de trabajo dentro de una organización,
puede ser también un determinado conjunto de documentos, un sistema
informático, bases de datos, documentos digitales, o cualquier activo de in-
formación dentro de una empresa.
Cuando se cuenta con una determinada área a proteger, es cuando pode-
mos hablar de control de acceso. El control de acceso es un mecanismo
que valida que se logre el acceso a un elemento únicamente para quien es-
té autorizado a él. En la figura N° 11 vemos un ejemplo de control de acce-
so. El área a proteger es un centro de trabajo, se desea que solo los traba-
jadores autorizados puedan realizar el ingreso para desempeñar sus labo-
res. El control de acceso lo forman dos dispositivos, un panel biométrico
que cuenta con un lector de huellas digitales. Un segundo dispositivo, una
puerta de tipo barrera. Este control de acceso funciona de la siguiente ma-
nera: Cuando una persona desea realizar el ingreso al local, pone su dedo
en el panel lector de huellas digitales, se realiza la lectura de la huella digi-
tal, se valida con la base de datos y se comprueba que la huella leída co-
rresponde a un trabajador de la empresa, como también que este trabaja-
dor tenga acceso al local. Una vez que se ha validado que el trabajador tie-
ne acceso, este panel manda una señal de activación a la puerta de barre-
ra, posibilitando que esta gire y permita que la persona ingrese caminando
al local mediante la puerta. En caso la persona no tenga el permitido el in-
greso, el panel enviará un mensaje de error “usuario no identificado” o “ac-
ceso no permitido” y procederá a bloquear el giro de la puerta, imposibili-
tando que la persona ingrese. Debemos considerar también que la puerta
permitirá el ingreso de solo una persona, de modo que el panel solo habili-
tará el giro de un determinado número de movimientos para que pueda
impedir que dos o más personas ingresen al local.

Figura N° 11. Una puerta mecánica como control de acceso. Fuente: Pixabay
(2013).
Consideremos que el área a proteger no solo es un lugar geográfico
dentro de la empresa, sino que también podemos proteger un acceso
a un sitio “digital”, como puede ser un ejemplo, un sistema de soft-
ware de registros de clientes. Hablando de comunicación de compu-
tadoras vía una red, puedes situar un control de acceso a carpetas
compartidas, que mediante un usuario y contraseña, se permita el in-
greso únicamente a las personas autorizadas.

1.2.Control de Acceso discrecional


El control de acceso discrecional por sus siglas en inglés (Discretionary Ac-
cess control). López A. (2014) nos indica que este control de acceso es un
método de restricción de acceso a objetos que se basa en la “identidad de
los sujetos” que pretenden operar o acceder sobre ellos. Como característi-
ca resaltante de este tipo de control de acceso mencionaremos que es el
dueño del objeto quien determina “qué usuarios” y con “qué privilegios”
acceden a sus objetos compartidos.

1.3.Control de acceso basado en roles


(Control de acceso basado en roles, por sus siglas en inglés Role Base Ac-
cess Control). López A. (2014) define que el control de acceso basado en
roles consiste en la definición de perfiles (también conocidos como roles) a
los que se les atribuyen una serie de características que aplican sobre los
“permisos y acciones” que pueden llevar a cabo, incluyendo el control so-
bre otros perfiles.
En este tipo de control de acceso, previamente se define un determinado
perfil, por ejemplo “usuario básico” que tiene correctamente registrado qué
elementos puede tener acceso y qué elementos tiene bloqueado el acceso,
también se le permite realizar ciertas acciones dentro de un sistema o área
de trabajo, tiene establecido también un conjunto de acciones que no
puede realizar.
Este estándar de acciones permitidas y registro de elementos a los que tie-
ne acceso, es el denominado “perfil”. Este perfil puede ser aplicado a un
usuario básico, un usuario invitado, es decir todos los usuario que necesi-
ten solo funcionalidades básicas de acceso al área protegida. Debemos
considerar también que se puede considerar la creación de perfiles más
avanzados que proporcionen funcionalidades, accesos y acciones más ex-
quisitas para usuarios expertos, usuarios que contribuyen a la mejora de
un sistema o de la seguridad, es decir, según la necesidad de acceso, se
pude crear un determinado perfil que satisfaga todos los requerimientos de
uso para con el usuario.

1.4.Control de acceso obligatorio


(Control de acceso obligatorio, por sus siglas en inglés Mandatory Access
Control) López A. (2014) define que esta autenticación se basa en un "eti-
quetado" de todo elemento del sistema y sobre las cuales se aplicarán las
políticas de control de acceso configuradas. Cualquier operación de un su-
jeto sobre un objeto será comprobado en las etiquetas y aplicando las polí-
ticas MAC establecidas para determinar si la operación está permitida.
En el anterior control de acceso mencionamos que es el usuario quien
recibe el perfil, en cambio en este tipo de control de acceso obligato-
rio, es el recurso quien recibe la etiqueta con las políticas de acceso
necesarias para su uso, de modo que si se pone en servicio un activo
de información, ya se conoce el uso que se le da, que es lo que se
puede y no se puede realizar, quien lo puede utilizar y quién no.
2. Técnicas de identificación
En los sistemas de software informáticos, podemos identificar a una persona
por medio de mecanismos de autenticación, como son formularios de inicio de
sesión, formularios de ingreso de códigos, dispositivos biométricos, y por medio
de una pertenencia u objeto que tiene una persona.
Abordemos estos diferentes tipos de autenticación del lado del identificador o
validador, este agente debe utilizar determinados parámetros para llevar un
proceso de identificación limpio y verdadero, que tenga como resultado un nivel
alto de precisión identificando plenamente a una persona y denegando o brin-
dando el acceso al área protegida. Veamos a continuación una clasificación del
control de acceso por parte del agente identificador.

3. Autenticación y autorización
En los sistemas de información y medios digitales, al hacer uso de un usuario y
contraseña para lograr acceder a un recurso, utilizamos un mecanismo conocido
con el nombre autenticación, conozcamos a continuación de qué trata este me-
canismo, sus clasificaciones y dónde podemos aplicarlo para brindar un buen ni-
vel de seguridad.

3.1 Autenticación
Aguilera López, P. (2010) nos brinda la siguiente definición sobre
autenticación: El sistema debe ser capaz de verificar que un usuario identifi-
cado que accede a un sistema o que genera una determinada información es
quien dice ser. Solo cuando un usuario o entidad ha sido autenticado, podrá
tener autorización de acceso. Se puede exigir autenticación en la entidad de
origen de la información, en la de destino o en ambas.

Una definición de autenticación brindada por RedIRIS es: un sistema que


permita identificar a las entidades (elementos activos del sistema, general-
mente usuarios) que intentan acceder a los objetos (elementos pasivos, co-
mo ficheros o capacidad de cómputo), mediante procesos tan simples como
una contraseña o tan complejos como un dispositivo analizador de patrones
retínales. Gobierno de España, RedIRIS. (2002)

Juntando las dos definiciones anteriormente citadas, podemos indicar que la


autenticación es un mecanismo que valida que un usuario sea quien dice ser
con el objetivo de brindar el acceso a determinado sistema informático o
área determinada.

La autenticación de un usuario o persona no solo se logra a través de un


usuario y contraseña, sino que existen una clasificación que contempla 3 ti-
pos diferentes de autenticación. Según Gobierno de España, RedIRIS.
(2002), los métodos de autenticación se suelen dividir en tres grandes cate-
gorías, en función de lo que utilizan para la verificación de identidad: (a) al-
go que el usuario sabe, (b) algo que éste posee, y (c) una característica físi-
ca del usuario o un acto involuntario del mismo. Esta última categoría se co-
noce con el nombre de autenticación biométrica.

3.2 Autenticación por conocimiento


Se realiza la autenticación mediante algo que el usuario conoce y ha apren-
dido de memoria, hace uso de esos datos y los ingresa mediante una inter-
face para lograr el acceso al recurso deseado. Este tipo de autenticación uti-
liza un “usuario” y su respectiva “contraseña” o en algunos casos solo una
contraseña para lograr identificar plenamente al usuario.

En la figura N° 12 vemos un ejemplo de formulario de inicio de sesión que


solicita el ingreso de un usuario y de una contraseña, estos datos solo los
conoce una persona, pues los ha memorizado. Cuando esta persona desee
tener acceso al sistema detrás de este formulario, digitará mediante un te-
clado el usuario que le pertenece y su respectiva contraseña. Se validará
que el usuario tenga la autorización de ingreso, si es así, se le brindará el
acceso al sistema. En caso no tuviera acceso, se le mostrará un mensaje de
denegación de acceso. Estas acciones de otorgar y denegar acceso, es el co-
nocido mecanismo de control de acceso por conocimiento.

Figura N° 12. Formulario de inicio de sesión para la autenticación por


conocimiento. Fuente: Pixabay (2014).

En algunos casos la autenticación solo hace uso de una contraseña o un có-


digo, sin la necesidad de utilizar un determinado nombre de usuario. El
ejemplo actual lo podemos apreciar al utilizar un teléfono celular smart que
ha sido configurado para cuando se prenda, solicite el ingreso de un código
de 4 dígitos, si el ingreso es correcto, permitirá el acceso a las funciones del
teléfono, si no es correcto el código denegará el acceso. Realizando una
comparación con otros teléfonos celulares, algunos modelos utilizan como
control de acceso un patrón de dibujo con puntos. En la figura N° 13 vemos
un ejemplo del dibujo de un patrón para el acceso al teléfono celular actual.

Figura N° 13. Patrón para el acceso a un celular smart. Fuente: Rebaza, T.


(2014).

3.3 Autenticación por pertenencia


Este tipo de autenticación hace uso de algún objeto que posee el usuario pa-
ra obtener el acceso al área protegida. Este objeto puede ser muy sencillo,
como una tarjeta con el nombre de la persona y su fotografía, como también
muy complejo como un fotocheck con una banda magnética que tenga regis-
trado los datos del usuario.

Como ejemplos de este tipo de autenticación podemos citar los carnés con
códigos de barras, tarjetas con códigos QR, fotochecks institucionales, tarje-
tas con bandas magnéticas, tarjetas con chips, etc. En la figura N° 13 vemos
un ejemplo de un fotocheck institucional que muestra el nombre de la traba-
jadora, el puesto que desempeña, su DNI, su fotografía y finalmente un có-
digo de barras en la parte derecha. Este código de barras se utiliza para la
identificación rápida mediante un lector al momento de realizar el ingreso al
local de la organización.

Figura N° 14. Fotocheck con código de barras para la autenticación


por pertenencia. Fuente: Solución Comercial Map. (2012).

3.4 Autenticación por característica


Este tipo de autenticación utiliza una característica propia del usuario para
llevar a cabo la validación, esta característica a utilizar puede ser una huella
digital, la voz y los patrones del iris del ojo.
Para hacer uso de este tipo de autenticación, es necesario utilizar mecanis-
mos de tecnología, conocidos como biométricos, que implementan sensores,
cámaras, lectores y micrófonos para lograr identificar ciertos patrones y
compararlos con los datos previamente registrados con el propósito de iden-
tificar a una persona.
Por ejemplo un lector de huellas digitales, habrá almacenado una imagen
con determinados patrones generados en los surcos de la huella dactilar de
una persona, cuando esa persona se identifique en el lector de huellas, se
realizará una comparación con la base de datos previamente generada, si
coincide el patrón procederá a brindar el acceso respectivo, caso contrario
denegará el acceso. Estos mismos pasos se utilizan para la identificación por
los patrones del iris del ojo, y los patrones sonoros de la voz.
En la figura N° 13 observamos un dispositivo biométrico, que cuenta con un
sensor lector en la parte derecha de color rojo, un teclado numérico para el
ingreso de datos y configuración del dispositivo y una pantalla de tipo dis-
play para visualización del estado actual del dispositivo. Este tipo de disposi-
tivo es utilizado para la autenticación por características, utiliza los patrones
de huella digitales para poder identificar plenamente a una persona.
Figura N° 15. Biométrico lector de huellas digitales para la autentica-
ción por características. Fuente: Pixabay (2013).
3.5 Autenticación múltiple
Este tipo de autenticación ocurre cuando se combinan dos o más métodos de
autenticación, al realizarse esta combinación podemos afirmar que el proce-
so de autenticación es más seguro.

Un ejemplo de este tipo de autenticación es una tarjeta de débito de una


agencia bancaria. El primer mecanismo de autenticación que podemos en-
contrar en este ejemplo es la misma tarjeta, que tiene una banda magnética
con los datos cifrados del cliente almacenados en ella. Este tipo de autenti-
cación es el denominado de pertenencia, la tarjeta es una posesión del clien-
te.

El segundo mecanismo de autenticación es la contraseña de 4 dígitos que el


cliente debe conocer para realizar una transacción, retiro u operación banca-
ria. Esta contraseña constituye un dato que el cliente ha memorizado, por
tanto es un tipo de autenticación por conocimiento.

Al utilizar la combinación de estos dos tipos de autenticación, nos asegura-


mos que el nivel de seguridad al identificar al cliente es alto. En la figura N°
14 vemos un ejemplo de autenticación de tipo múltiple, en un cajero ATM,
una persona hace uso de su tarjera de débito, que tiene una banda magnéti-
ca, y al realizar un retiro, el cajero le solicita el ingreso de una contraseña
integrando dos tipos de mecanismos de autenticación.
Figura N° 16. Cajero ATM que utiliza una autenticación múltiple.
Fuente: Revista Búsqueda (2015).

LECTURA SELECCIONADA No 1
Restrepo A., y Acosta, S. (2015). Latinoamérica al nivel de las tendencias interna-
cionales de control de acceso y tecnología de la seguridad. Recuperado de:
http://www.tecnoseguro.com/analisis/control-de-acceso/latinoamerica-nivel-
internacional-acceso.html. Acceso: 9 Feb. 2016.

ACTIVIDAD FORMATIVA No 2

Elabora un organizador del conocimiento sobre el uso de tecnologías para el control


de acceso e identificación.

Instrucciones
 Lee y analiza los contenidos sobre los tipos de control de acceso, los
ejemplos y el uso en una organización.
 Visualiza los videos sobre control de acceso, tipos de control de acceso y
como decidir qué control de acceso utilizar:
https://www.youtube.com/watch?v=-cykuWrvgJg
https://www.youtube.com/watch?v=Iukt5JdVLnU
 Selecciona el organizador del conocimiento que considere más adecuado
para interrelacionar los aspectos estudiados y analizados. Puede realizar
un diagrama conceptual, un mapa mental, una infografía, etc. Aplica tus ca-
pacidades de creatividad e imaginación.
 Para este trabajo puedes utilizar la herramientas Cmap Tools, SmartArt
que lo encontrarás en Microsoft Word o Microsoft Visio o la herramienta
que considere adecuada.
TEMA N° 2: TECNOLOGÍA PARA CONTROL DE ACCESO Y LA
INGENIERÍA SOCIAL
En el represente tema conoceremos el control de acceso, los principales dispositivo
tecnológicos utilizados en la actualidad para llevar a cabo una identificación de per-
sonas, clasificaremos estos dispositivos por su tipo y brindaremos ejemplo de su
uso y aplicación en una organización. Abordaremos también la ingeniería social,
principal herramienta de los atacantes hacia las personas de una organización, co-
mo también las principales técnicas que estos atacante utilizan, como el phishing y
ataques SMS, con el propósito de estar prevenidos y evitar a futuro este tipo de
ataques.
1. Tecnologías de control de accesos.
En la actualidad, la tecnología de control de acceso ha avanzado a pasos muy
grandes, proporcionando dispositivos muy precisos para la identificación de
personas, este tipo de dispositivos se llaman biométricos, pues su función es
medir con algún método, algoritmo o patrón una característica inherente a una
persona con el propósito de poder comprobar que esta persona sea ser quien
dice ser. La Revista Gerencia (2006), nos indica que los sistemas de identifica-
ción y control de acceso están viviendo un franco fenómeno de transformación.
De soluciones analógicas o mixtas, las empresas han saltado a sistemas total-
mente digitales, donde aplicaciones como la detección del iris del ojo humano y
de las huellas dactilares son algunas de las más innovadoras.
Este nuevo campo de tecnología dedicada a la creación, mejora e implementa-
ción de estos dispositivos se denomina Biometría. La Biometría es el estudio
para el reconocimiento único e inequívoco de humanos basados en uno o más
rasgos conductuales, como también se basa en rasgos físicos intrínsecos y ca-
racterísticas inherentes a la persona utilizando para este proceso medios digita-
les.
Este tipo de dispositivos biométricos pueden ser clasificados según el elemento
que use para identificar a las personas en dos tipos, el primer tipo son los sis-
temas biométricos físicos y un segundo tipo sistemas biométricos de compor-
tamiento, describamos a continuación cada uno de estos tipos de biométricos.

1.1.Sistemas biométricos físicos


Los sistemas biométricos físicos utilizan alguna característica “física” única
de la persona, como por ejemplo, las huellas dactilares, los patrones del
iris del ojo, los patrones faciales del rostro, que son características físicas
aplicables que brindan los detalles suficientes para identificar plenamente a
una persona.
En la figura N° 15 nos muestra un ejemplo de un dispositivo biométrico fí-
sico que tiene como función la lectura de una huella digital por medio de su
sensor. Por lo general este dispositivo es usado para el registro de horarios
de entrada y salida de los trabajadores de una organización. También es
usado como validador. Por ejemplo cuando se requiera ingresar a una de-
terminada área del inmueble de la organización, se puede enlazar el bio-
métrico lector de huellas digitales a la cerradura de puerta de acceso, de
modo que si el biométrico manda la señal positiva de una identificación co-
rrecta de una persona, la cerradura se abre permitiendo el acceso al área,
del mismo modo si manda una señal de denegación, la cerradura de la
puerta no se abrirá e impedirá el acceso a la persona.
Figura N° 17. Biométrico lector de huellas digitales. Fuente: Pixabay (2016)

1.2.Sistemas biométricos por comportamiento


Estos dispositivos utilizan mecanismos más complejos para lograr la identifi-
cación pues tienen el objetivo de identificar a una persona mediante un ras-
go característico de su comportamiento. Por ejemplo el dispositivo biométri-
co puede utilizar la firma, los pasos al caminar, la forma de presionar un te-
clado alfanumérico para conseguir la identificación correcta de una persona.

En la figura N° 16 vemos un ejemplo de un dispositivo biométrico para la


firma, utiliza una pantalla de tipo táctil con un lapicero stylus, con las que la
persona realiza la escritura de la firma en la pantalla. Una vez realizada, el
dispositivo evalúa un conjunto de elementos, por ejemplo la fuerza de pre-
sión del lapicero, la inclinación del mismo, los patrones en la letra de la fir-
ma, el orden en la que realiza y el tiempo en la que completa la firma. Si to-
dos estos elementos coinciden, el dispositivo otorga el acceso al área prote-
gida. En caso que algunos de éstos elementos no se validarán el dispositivo
deniega el acceso al área protegida.

Figura N° 18. Biométrico lector firmas. Fuente: Biometria 25 (2016).


Como vimos en el ejemplo anterior, este tipo de biométricos utilizan
mecanismos más elaborados para lograr la identificación, brindemos un
ejemplo más, un biométrico de reconocimiento de voz, en la figura N° 17
nos muestra un dispositivo para lograr el control de acceso por medio de la
voz de una persona. Los aspectos a evaluar en el reconocimiento de voz, es
la agudeza o gravedad de la voz, el timbre, la velocidad de pronunciación, el
acento, el volumén y cualquier otra carácterística resaltante en la voz de una
persona. Si todos estos aspectos se validan, el dispositivo biométrico brinda
el acceso al área protegida, en su contra parte, si alguno de estos aspectos
no supera la validación, el dispositivo biométrico no permite el acceso a la
persona al área protegida.

Figura N° 19. Biométrico con reconocimiento de voz. Fuente: Golub, A. (2013).

2. Ingeniería social
En temas anteriores abordamos la pirámide de seguridad de información, trae-
remos al desarrollo del tema de ingeniería social uno de sus elementos: las
personas. Se definió a las personas como los entes ejecutores de las políticas
de seguridad mediante buenas prácticas para llevar a cabo los procesos de una
organización.
El rol de estas personas es vital, pues depende mucho de sus acciones para
que el nivel de seguridad se mantenga en un buen estado. Según Molist M.
(2002), la ingeniería social se sustenta en un sencillo principio: “el usuario es el
eslabón más débil”. Dado que no hay un solo sistema en el mundo que no de-
penda de un ser humano, la Ingeniería Social es una vulnerabilidad universal e
independiente de la plataforma tecnológica.
Tomando en cuenta la afirmación que las personas son el eslabón más débil en
la seguridad de información, nace la ingeniería social, que utiliza mecanismos,
procedimientos o cualquier tipo de técnica con el fin de vulnerar la seguridad de
información utilizando a las personas en una organización. Sandoval E. (2011)
nos menciona que la ingeniería social es el acto de manipular a una persona a
través de técnicas psicológicas y habilidades sociales para cumplir metas espe-
cíficas.
En la ingeniería social debemos reconocer tres agentes, un primer agente de-
nominado el atacante, que tiene como objetivo principal la obtención, hurto o
manipulación de la información, también puede requerir el acceso a un sistema
o la ejecución de una actividad más elaborada (como el robo de un activo). Un
segundo agente es la persona “victima” que es manipulada, engañada, embau-
cada, coaccionada por medio de una técnica aplicada por el atacante. Un tercer
agente es el activo que el atacante desea poseer, por lo general es información
de la organización, también puede considerarse cualquier activo de información
dentro de la organización, como son bases de datos, documentos o cualquier
medio que contenga datos de interés para el atacante.
Un atacante evaluará y escogerá a la persona más vulnerable dentro de una
oficina, luego procederá a elegir la técnica más adecuada para que pueda robar
la información deseada, y dependiendo que desee obtener, manipulará, enga-
ñará, brindará información falsa a la persona elegida, hasta obtener lo que
desea. En caso de fracaso con la primera persona elegida, tiene la opción abier-
ta de escoger una nueva persona objetivo para el ataque, y repetir las acciones
las veces necesarias hasta lograrlo. En la figura N°18, vemos una ilustración
que representa la analogía de dos elementos de la ingeniería social, en la parte
de arriba el atacante es representado por el titiritero, y en la parte inferior se
encuentra la persona víctima, la misma que se encuentra controlada por “hilos”
que son la comparación de las técnicas de manipulación y engaño que son utili-
zadas para que el atacante cumpla su cometido.

Figura N° 20. Manipulación de una persona. Fuente: Sandoval E. (2011).

3. Ataques diversos de ingeniería social


Conozcamos a continuación algunas técnicas de ingeniería social conocidas que
utilizan los atacantes para la obtención de información, acceso a sistemas de
información, vulnerar sistemas de seguridad y atacar este eslabón más débil
que son las personas.
3.1.Phishing
Este término en inglés deriva de la palabra “fishing”, que significa pescar,
se utiliza la escritura coloquial e informal de su pronunciación. Esta técnica
se refiere a que el atacante lanza una carnada muy sugestiva y espera que
algún usuario desprevenido o despistado caiga en la trampa y sea “pesca-
do” al concretarse el engaño.
Briceño E. (2012). Define el phishing del siguiente modo: …Un atacante
que utiliza este método por lo general tiene en su poder un dominio de In-
ternet que puede ser fácilmente confundido con la URL de un servicio legí-
timo y lo utiliza para tratar de convencer al usuario de ingresar sus datos
con el fin de verificar su cuenta bancaria, Paypal e incluso una red social o
servicio de mensajería instantánea, bajo la amenaza de suspenderla en ca-
so de no suministrar los datos requeridos.
Para entender cómo funciona el phishing, veamos un ejemplo: Un atacante
elabora una página web exactamente igual a la página de inicio de sesión
para banca en línea de una financiera local. Repite con sumo cuidado cada
elemento, gráfico, imagen, texto, línea y hasta el tipo de letra para que vi-
sualmente sea una copia fiel a la página verdadera, incluso hace que casi
todos los enlaces y funciones se encuentren implementadas como en la pá-
gina original. Esta página falsa tiene como objetivo obtener el usuario y la
contraseña de una persona que intente realizar el ingreso.
En este tipo de técnica solo hay dos elementos que la página web falsa no
podrá copiar al original, el primero es la dirección URL de la página, pues la
original ya se encuentra registrada y es un nombre único que no se puede
duplicar, el segundo es el mecanismo de inicio de sesión, pues al ser una
página falsa no podrá ingresar al sistema de software interno con un usua-
rio y contraseña válido.
Ya con la página web falsa elaborada, puesta en línea y en funcionamiento,
el atacante envía el enlace de vía correo electrónico a un gran número de
personas mediante sus direcciones de correo electrónico. Este mensaje es
clave, pues utiliza técnicas psicológicas para lograr que el usuario utilice la
página web falsa, por ejemplo puede mencionar que el bando regalará el
valor de S/.100 a las personas que actualicen sus datos personales, infor-
mación completamente falsa, pero que levantará mucha expectativa en las
personas receptoras.
Luego, el atacante esperará pacientemente la “pesca”, pues alguna perso-
na desprevenida ingresará su usuario y contraseña, y estos datos queden
registrados y guardados en algún medio al cual el atacante tiene acceso.
Finalmente con esa información puede concretar cualquier tipo de transac-
ción, robo o simplemente vender esa información a otra persona.

Figura N° 21. Ejemplo de un correo electrónico aplicando la técnica phishing.


Fuente: Inforetica (2016)
En la figura N° 19 vemos un mensaje de correo electrónico en la bandeja
de entrada de un usuario, incluye un suerte de boletín informativo del ban-
co y demás información que es costumbre que el banco remita a sus clien-
tes, pero con la excepción que al final del mensaje tiene dos enlaces que
direccionan a la página web falsa con el objetivo de robar el usuario y con-
traseña de acceso de este usuario. En la figura N° 20 vemos la presenta-
ción de la página web falsa, tiene todos los elementos de la verdadera, a
excepción de la dirección URL y de la función de iniciar sesión.

Figura N° 22. Ejemplo de una página web de un banco falsa. Fuente:


Inforetica (2016)

3.2.Vishing
Esta es otra técnica de ingeniería social, utiliza la comunicación telefónica
para realizar el fraude, extorsión o robo de información. Briceño E. (2012).
Detalla que en el vishing, los métodos son similares a los descritos en el
phishing, de hecho su finalidad es exactamente la misma. La diferencia es
que este utiliza una llamada telefónica en lugar de un correo electrónico o
un sitio web falso.

El atacante puede utilizar técnicas psicológicas, hacerse pasar por otra


persona, o institución con el propósito de convencer a la víctima el estar en
una determinada situación. Un ejemplo sería que un atacante llama al
número celular de una persona, se hace pasar por un agente de una
cadena de electrodomésticos indicando que ha sido ganador de un televisor
de última generación, pero que su premio se encuentra en la sucursal de
otra ciudad, de modo que para hacerse acreedor del premio, la víctima
debe depositar el valor de S/. 200 por los gastos de envío de su premio, el
atacante proporciona un número de cuenta, un nombre y las indicaciones
para concretar la estafa. En ciertas ocasiones, lamentablemente la víctima
cae en la treta y concreta el pago, que en realidad no existe ningún premio
ni el atacante es un agente de la cadena de electrodomésticos. El resultado
final es que la víctima perdió S/.200 en la estafa.

3.3.Ataque vía SMS


Esta técnica es muy similar al vishing, pero en lugar de utilizar una llama
telefónica, hace uso de un mensaje de texto SMS para perpetrar el engaño.
En la figura N° 21 vemos un ejemplo de un ataque de mensaje de texto.
Según Sandoval E. (2011) esta técnica es un ataque que aprovecha las
aplicaciones de los celulares. El intruso envía un mensaje SMS a la víctima
haciéndola creer que el mensaje es parte de una promoción o un servicio,
luego, si la persona lo responde puede revelar información personal, ser
víctima de robo o dar pie a una estafa más elaborada.

Figura N° 21. Ejemplo de un ataque SMS. Fuente: Sanchez, M. (2012).

3.4.Ataque cara a cara


En esta técnica el atacante y la víctima tienen un contacto directo. El
atacante trata de manipular a la persona, coaccionarla o condicionarla a
realizar cierta acción o brindar información aparentemente inofensiva. El
atacante también puede utilizar técnicas de seducción y enamoramiento
para lograr su cometido. Según Sandoval E. (2011), esta técnica es el
método más eficiente, pero a la vez el más difícil de realizar. El perpetrador
requiere tener una gran habilidad social y extensos conocimientos para
poder manejar adecuadamente cualquier situación que se le presente. Las
personas más susceptibles suelen ser las más “inocentes”, por lo que no es
un gran reto para el atacante cumplir su objetivo si elige bien a su víctima.

Figura N° 22. Ejemplo de un ataque cara a cara. Fuente: Morrison, H.(2016).

LECTURA SELECCIONADA No 2:

Samani R., McFarland, Ch. (2015). Ataques al sistema operativo humano. Recupe-
rado de: http://www.mcafee.com/es/resources/reports/rp-hacking-human-
os-summary.pdf. Acceso: 9 Feb. 2016
GLOSARIO DE LA UNIDAD II
1. Banda magnética
Una banda magnética es toda aquella banda oscura presente en tarjetas de
crédito, abonos de transporte público o carnets personales que está compuesta
por partículas ferromagnéticas incrustadas en una matriz de resina.
2. Celular smart
Teléfono celular con pantalla táctil, que permite al usuario conectarse a
internet, gestionar cuentas de correo electrónico e instalar otras aplicaciones y
recursos a modo de pequeño computador.
3. Huella dactilar
Es la impresión visible o moldeada que produce el contacto de las crestas
papilares de un dedo de la mano sobre una superficie.
4. Lapicero stylus
Vara alargada y estrecha o punzón estilizado, similar a un bolígrafo moderno,
que permite, por ejemplo, ayudar a navegar o alcanzar una mayor precisión al
señalar en pantallas táctiles.
5. Pantalla display
Pantalla de cristal líquido o LCD (sigla del inglés Liquid Crystal Display) es una
pantalla delgada y plana formada por un número de píxeles en color o
monocromos colocados delante de una fuente de luz o reflectora.
6. Perfil de usuario
Es el conjunto de permisos, reglas y accesos que tiene un grupo determinado
de ususario.
7. SMS
Mensaje corto de texto que se puede enviar entre teléfonos celulares o móviles.
8. URL
Es una sigla del idioma inglés correspondiente a Uniform Resource Locator
(Localizador Uniforme de Recursos). Se trata de la secuencia de caracteres que
sigue un estándar y que permite denominar recursos dentro del entorno de
Internet para que puedan ser localizados
9. Usuario
Es una persona, sistema o entidad que hace uso de un servicio disponible.
BIBLIOGRAFÍA BÁSICA DE LA UNIDAD II

Aguilera López, P. (2010). Introducción a la Seguridad informática. Editex.


Recuperado de: http://www.editex.es/RecuperarFichero.aspx?Id=19810.

Biometria 25 (2016). What is biometrics?. Recuperado de:


http://www.biometria.sk/en/what-is-biometrics.html

Briceño E. (2012). Qué es la Ingeniería social y cómo estar prevenidos. Recuperado


de: http://hipertextual.com/archivo/2012/04/que-es-la-ingenieria-social-y-
como-estar-prevenidos/

Gobierno de España - RedIRIS. (2002). Autenticación de usuarios. Recuperado de:


http://www.rediris.es/cert/doc/unixsec/node14.html

Golub, A. (2013). The biometrics boom: New technology can identify you by unique
traits in your eyes, your voice, and your gait. Recuperado de:
http://lab.sowre.com/2013/06/the-biometrics-boom-new-technology-can-
identify-you-by-unique-traits-in-your-eyes-your-voice-and-your-gait/

Inforetica (2016). Ejemplos PHISHING. Recuperado de:


https://inforetica.wikispaces.com/Ejemplos+PHISHING

López A. (2014). Mecanismos Básicos de control de acceso. Incibe. Recuperado de:


https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comen
tarios/control_acceso

Molist M. (2002). Ingeniería Social: Mentiras en la red. Recuperado de:


Http://ww2.grn.es/merce/2002/is.html

Morrison, H.(2016). 5 formas en las que entregas tu información personal en


internet. Recuperado de: http://www.audienciaelectronica.net/2016/02/5-
formas-en-las-que-entregas-tu-informacion-personal-en-internet/

Pixabay (2013). Acceso de control de seguridad, Puerta Barrera. Recuperado de:


https://pixabay.com/es/acceso-de-control-de-seguridad-217258/

Pixabay (2013). Biometría, huella dactilares. Recuperado de:


https://pixabay.com/es/biometr%C3%ADa-huellas-dactilares-154662/
Pixabay (2014). Inicio de sesión. Recuperado de: https://pixabay.com/es/inicio-de-
sesi%C3%B3n-registro-ventana-570317/

Pixabay (2016). Escaner biométrico. Recuperado de:


https://pixabay.com/es/esc%C3%A1ner-biom%C3%A9trico-
biom%C3%A9tricos-1006671/

Rebaza, T. (2014). ¿Cómo crear un patrón de bloque para Android?.


MovilEvolutions. Recuperado de: http://www.movilevolutions.com/tutorial-de-
celulares/tutorial-android/como-crear-un-patron-de-bloque-para-android/

Revista Búsqueda (2015). Como sacar dinero de forma segura en un cajero


automático. Recuperado de: http://revistabusqueda.com.mx/como-sacar-
dinero-de-forma-segura-en-un-cajero-automatico/
Revista Gerencia (2006). Nuevas Tecnologías de Control de Acceso. Recuperado de:
http://www.emb.cl/gerencia/articulo.mvc?xid=2144

Sanchez, M. (2012). Escenarios de robo de credenciales y fraude online.


Recuperado de: https://ssa-
asesores.es/wordpress/blog/2012/12/10/escenarios-de-robo-de-credenciales-
y-fraude-online/

Sandoval E. (2011). Ingeniería Social: Corrompiendo la mente humana. Seguridad


Cultura de prevención para TI. Recuperado de:
http://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-
corrompiendo-la-mente-humana

Solución Comercial Map. (2012). Fotochecks y accesorios. Recuperado de:


http://fotochecks-socomap.blogspot.pe/
AUTOEVALUACION No 2

1. ___________ es un mecanismo que permite el ingreso a personas autorizadas a


determinadas áreas protegidas de una empresa.
A. Validación de usuario.
B. El control de acceso.
C. Inicio de sesión.
D. Registro y bitácora.
E. Autorización.

2. Es un método que todo usuario debe realizar para tener acceso a los recursos de
un sistema informático:
A. Continuidad de servicio.
B. Integridad de la información.
C. La portabilidad.
D. Confidencialidad de la información.
E. La autenticación.

3. Es una característica del control de acceso basado en roles (Role Base Access
Control)
A. Al usuario se le otorga un rol, un perfil y permisos para el uso de un recurso.
B. El dueño del recurso no otorga los permisos y accesos.
C. Se basa en una etiqueta a todo elemento detallando que acciones se puede
realizar sobre él.
D. Se comprueban las acciones de los sujetos aplicando políticas de acceso obli-
gatorio.
E. El acceso se basa en la pertenencia de un objeto del sujeto que acceden al re-
curso.

4. Es un método de autenticación por pertenencia.


A. Formas y patrones del iris del ojo.
B. Un carné de estudiante.
C. La huella del dedo índice.
D. La firma de una persona.
E. La voz de la persona.

5. Es un método de autenticación múltiple:


A. El usuario y contraseña para el inicio de sesión.
B. Patrones del iris del ojo humano.
C. La huellas dactilares, usa el patrón de las huellas y la temperatura de la per-
sona.
D. Un fotocheck institucional.
E. El cajero ATM usa una tarjeta magnética y una contraseña.

6. Es un ejemplo de autenticación por conocimiento


A. Un usuario y contraseña para iniciar sesión
B. El documento nacional de identidad.
C. Un carné de ingreso institucional.
D. Una tarjeta de débito.
E. Una huella digital.

7. La identificación de un usuario por medio de patrones del iris del ojo, es del tipo.
A. Autenticación por conocimiento.
B. Autenticación por pertenencia.
C. Autenticación por características.
D. Autenticación mixta.
E. Autenticación doble.
8. La identificación de un usuario por medio de patrones del rostro, es del tipo.
A. Autenticación por conocimiento.
B. Autenticación por características.
C. Autenticación por pertenencia.
D. Autenticación doble.
E. Autenticación mixta.

9. Es una técnica de obtención o hurto de información utilizada en la ingeniería so-


cial.
A. Infección por un troyano.
B. Uso de un keylogger.
C. Infección de un gusano informático.
D. Ataque de denegación de servicio.
E. Phishing.

10. ¿Cómo podemos clasificar un ataque por medio de mensajes de texto de un


teléfono celular?
A. Ataque de ingeniería social.
B. Ataque de agujeros de seguridad.
C. Infección de un gusano informático.
D. Ataque de denegación de servicio.
E. Infección por un troyano informático.
Respuestas Autoevaluación Unidad II

Pregunta Respuesta

1 B

2 E

3 A

4 B

5 E

6 A

7 C

8 B

9 E

10 A
UNIDAD III: “SEGURIDAD PERIMETRAL, EN REDES Y SOFT-
WARE MALICIOSO”

DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD III

ORGANIZACIÓN DE LOS APRENDIZAJES

CONOCIMIENTOS PROCEDIMIENTOS ACTITUDES


Tema N° 1: Seguridad en re- 1. Identifica los controles 1. Valora la segu-
des a Nivel de Red, LAN ridad de infor-
1. Seguridad en redes y comu- WAN y criptografía. mación y análi-
nicaciones. 2. Identifica los sistemas sis de riesgo pa-
2. Control y prevención de ata- firewall, control de in- ra aplicar y ad-
ques. trusos IDS, VPN, PKI, ministrar los cri-
SSL. terios de control
Lectura seleccionada 1: Tec- interno en las
Actividad N°3
nologías de red. Axis Communi- empresas que
cations. (2015). Analiza un caso propuesto usan tecnología.
de una red de una empre- 2. Aprecia y valora
Tema N° 2: Software malicio- sa y plantea una solución las labores de
so. de cómo realizar la pre- auditoria de se-
1. Software Malware. vención de ataques en una guridad en tec-
2. Software crimeware. red de computadores. nologías de la
información.
Lectura seleccionada 2: Ten- 3. Identifica las amenazas 3. Demuestra res-
dencias 2010: la madurez del relacionadas al malwa- ponsabilidad en
crimeware. Equipo de Laborato- re. la aplicación de
rio de ESET. (2009). 4. Identifica las amenazas pruebas de se-
relacionadas al crime- guridad e inge-
Autoevaluación No. 03 ware. niería social.
4. Demuestra res-
Control de lectura N°2
ponsabilidad al
Prueba objetiva de los te- cumplir con ca-
mas 1 y 2, más los conte- da una de las
nidos de las lecturaS se- actividades.
leccionadas.
UNIDAD III: SEGURIDAD PERIMETRAL, EN REDES Y SOFTWA-
RE MALICIOSO

TEMA N° 1: SEGURIDAD EN REDES

En el presente tema abordaremos la seguridad en las redes de computadoras,


comprenderemos su arquitectura y dos mecanismos de seguridad utilizados para
brindar la seguridad a las comunicaciones de la red, el firewall y el proxy. Conoce-
remos los tipos de firewall según su función, el funcionamiento general de cada uno
de ellos y también cómo funcionan los proxies. Asimismo, conoceremos cómo po-
demos prevenir los ataques a una red, qué tipos de ataques son los más comunes y
que están presentes en casi todas las redes de computadoras organizacionales,
Recordaremos la revisión de controles existentes como también la propuesta e
implementación de controles nuevos para evitar, prevenir y reducir los ataques rea-
lizados a una red.

1. Seguridad en redes y comunicaciones

Para poder describir la seguridad en redes de computadoras, debemos enten-


der la definición de una red, según Mansilla (2016) la definición de una red de
computadoras es la siguiente:

Una red de computadoras (también llamada red de ordenadores o red informá-


tica) es un conjunto equipos (computadoras y dispositivos), conectados por
medio de cables, señales, ondas o cualquier otro método de transporte de da-
tos, para compartir información (archivos), recursos (discos, impresoras, pro-
gramas, etc.) y servicios (acceso a una base de datos, internet, correo electró-
nico, chat, juegos, etc.). A cada una de las computadoras conectadas a la red
se le denomina un nodo.

En la figura N° 23 vemos un ejemplo de un diagrama de red de computadoras,


que detalla los elementos principales que podemos encontrar dentro de una
red. Por el lado izquierdo tenemos la nube de Internet, seguido de un dispositi-
vo router, que sirve para realizar la comunicación desde la red de internet con
la red de una organización, oficina o casa, luego tenemos el cortafuegos o fire-
wall que realiza las tareas de filtrado de las comunicaciones de la red. A la sali-
da del firewall se encuentran conectados tres dispositivos, dos switches y un
punto de acceso. El primer switch sirve para conectar una sub red que tiene
una impresiona y un cliente PC, del mismo modo, se ha conectado un servidor
web. En el segundo switch se han conectado dos clientes PC. Finalmente en el
punto de acceso, se conectan inalámbricamente los dispositivos WiFi y se unen
a las comunicaciones de la red.
Figura N° 23. Ejemplo de una red de computadoras Fuente: Gómez, P.
(2015).

En una red de computadoras, podemos distinguir dos dispositivos encargados


de la seguridad informática, el cortafuegos (proviene del término en inglés fi-
rewall) y el proxy. Estos dos métodos de seguridad pueden ser aplicados en la
red mediante un software instalado en un servidor multipropósito, como tam-
bién un dispositivo hardware especializado denominado “Appliance”.

La acción de brindar seguridad en una red, significa garantizar el buen funcio-


namiento de todas las estaciones de trabajo PC, dispositivos y máquinas de red
(impresoras, escáneres. Etc.), que este funcionamiento sea óptimo y que todos
los usuarios de la red posean y cumplan los derechos que han sido concedidos.

En la administración de tecnologías de información considerando a la seguridad


informática, la protección de las redes de computadoras es importante, por
ello, la Enciclopedia CCM (2016) nos detalla que los objetivos de la protección
de una red son:

 Evitar que personas no autorizadas intervengan en el sistema con fines


malignos.
 Evitar que los usuarios realicen operaciones involuntarias que puedan dañar
el sistema.
 Asegurar los datos mediante la previsión de fallas.
 Garantizar que no se interrumpan los servicios.

A continuación conozcamos la definición, funcionamiento de dos dispositivos de


red destinados a la seguridad informática: el firewall y el proxy.
1.1. Firewall
Firewall en inglés significa muro de fuego, los expertos traducen el tér-
mino en informática como cortafuegos, ya que define mejor la función
que cumple dentro de una red de computadoras.

La función principal de un firewall es realizar el filtrado de las comunica-


ciones y flujo de información de una red, usando para este fin un conjun-
to de reglas preestablecidas, que detallan que acción realizar en cada ca-
so, qué paquetes están permitidos transmitirse, y qué paquetes se les
deniega el acceso.

Según Microsoft (2016), un firewall es software o hardware que


comprueba la información procedente de Internet o de una red y, a
continuación, bloquea o permite el paso de ésta al equipo, en función de
la configuración del firewall. Un firewall puede ayudar a impedir que
hackers o software malintencionado (como gusanos) obtengan acceso al
equipo a través de una red o de Internet. Un firewall también puede
ayudar a impedir que el equipo envíe software malintencionado a otros
equipos.

El firewall separa la arquitectura de red en dos partes; una red externa,


por lo general es una red WAN que suministra Internet y otros servicios;
y una segunda red denominada red interna, que tiene interconectados
todos los equipos, dispositivos, permisos y configuraciones de una red
LAN.

En la figura N° 24 nos presenta un diagrama de red que muestra como


elemento principal un firewall. Este firewall realiza una separación en dos
redes, una red externa WAN en la parte izquierda donde se encuentran
disponibles los servicios brindados por la nube de Internet, donde
podemos encontrar servidores y servicios en linea. Una segunda red
interna LAN, que tiene todos los elementos de una arquitectura interna de
una red local, con estaciones de trabajo (PCs, Laptops, tabletas,
dispositivos inalámbricos, impresoras y recursos locales de red.

Figura N° 24. Firewall. Fuente: Gómez, P. (2015).

Una regla en un firewall es una configuración que determina que acción


se debe realizar frente al tráfico de red. El conjunto de acciones que una
regla puede realizar por lo general son tres: permitir la conexión, permitir
una conexión si esta se encuentra protegida, y bloquear la conexión no
permitida.

Según el paso de los años, la tecnología en torno al desarrollo de los


firewall ha ido progresando, ofreciendo cada vez herramientas más
especializadas que cuentan con más opciones de configuración y filtrado
de nuevos elementos, traduciéndose en una mejora en los niveles de
seguridad ofrecido por los firewall, conozcamos pues de manera general
los tipos de firewalls según su función.

1.1.1 Firewall de filtrado de paquetes


En inglés se le conocen como Firewall Network layer (Cortafuegos
de Capa de Red) o Packet Filters (filtros de paquetes), que son
firewalls que tienen la función de filtrar los paquetes de
comunicación de una red. Operan en un nivel bajo del protocolo
TCP/IP en la capa de Transporte y la capa de Red.

El filtrado de paquetes es el proceso de dejar pasar o bloquear pa-


quetes en una interface de red, basado en las direcciones de ori-
gen y destino con el objetivo de proteger una red local de una in-
trusión no deseada. Este firewall no deja pasar un paquete si es
que no se ha establecido previamente una regla. El filtrado simple
examina cada cabecera de paquete a través de un conjunto espe-
cífico de reglas, y según a ellos, decide si permite el paso, o no
permite el paso del paquete.

El filtrado simple de paquetes basa la decisión sobre qué hacer en


la dirección origen, en la dirección destino y en los puertos de un
paquete individual de IP. Estos firewall desempeñan una función
parecida a un router, que son separar dos redes, una externa y
una interna, pero tomando decisiones sobre qué paquetes se es-
tán comunicando, hacia dónde y desde dónde. En la figura N°25
vemos un diagrama del proceso de filtrado simple de paquetes, el
PC envía un paquete, luego el firewall verifica cada paquete me-
diante su cabecera, y según la regla establecida, permite o denie-
ga el paso del paquete hacia el servidor.

Figura N° 25. Filtrado de paquetes simple. Fuente: Gómez, P. (2015).

El filtrado dinámico de paquetes o en inglés Statefull inspection, es


un filtrado que utiliza un firewall para el monitoreo del estado de
una conexión activa y usa es información para determinar qué pa-
quete de red está permitido pasar a través del firewall. En este fil-
trado, se inspeccionan los paquetes completos, almacenando la in-
formación de la sesión: las direcciones IP y números de puertos.
Examina paquetes entrantes y salientes y según las reglas estable-
cidas en el firewall permite o deniega su paso.

En la figura N° 26 vemos el funcionamiento del filtrado dinámico


de paquetes, la PC realiza el envío de paquete, el firewall procede
a ser evaluado, considerando el puerto IP de origen, el puerto IP
destino y el estado de la conexión, si la regla establecida permite
el paso, el paquete es enviado a su destino, caso contrario, se le
deniega el paso.

Figura N° 26. Filtrado de paquetes de estado. Fuente: Gómez, P.


(2015).

1.1.2 Firewall de capa de aplicación


Deriva del término en inglés (Aplication layer firewall, en español
cortafuegos de capa de aplicación) algunos autores lo denominan
Statefull inspection, debido a que combina la inspección generica
TCP con técnicas de inspeccción en la capa de aplicación.

Este tipo de firewall funciona en el nivel de aplicación del modelo


TCP/IP, filtrando todos los paquetes provenientes desde y hacia las
aplicaciones, determinando si un proceso o aplicación se le brinda
la aceptación o se deniega su conexión a través del firewall.

Al igual que los anteriores tipos de firewalls, éstos dispositivos fil-


tran el tráfico de red entre dos redes implementando procesos ela-
borados de registro logs y de examinación del tráfico que pasa a
través de ellos. También son usados como traductores de direccio-
nes de red, debido a que el tráfico de red va desde un lado y sale
al otro luego de haber pasado a través de una aplicación que en-
mascara el origen de la conexión inicial.
Por ejemplo, cuando un firewall de capa de aplicación examina los
paquetes de una transacción del protocolo HTTP, inspección no so-
lamente la cabecera IP y el proceso handshaking TCP, sino que
también examina la carga de datos para verificar que el agente
trata de validar la sesión HTTP y no sea un ataque de denegación
de servicio en el protocolo TCP y el puerto 80. eTutorials (2016).
1.2 Proxy
Por el lado de la red interna, las computadoras establecen una cone-
xión con el proxy, este cumple la función de un intermediario, si la
conexión se encuentra autorizada, inicia una nueva conexión con la
red externa en el acto de la petición.

El proxy ofrece un nivel óptimo de seguridad, pero sacrificando la ve-


locidad y funcionalidad dentro de la red, pueden limitar que aplicacio-
nes están soportadas por la red creando en ciertas ocasiones cuellos
de botella en las comunicaciones entre la red interna y la red externa.

En la figura N° 27 vemos el funcionamiento de un proxy en cuatro


pasos. En el primer paso, la pc que pertenece a la red interna realiza
una solicitud, la que es evaluada por el proxy, compara esta solicitud
con las reglas establecidas, si es aceptada es remitida a la red exter-
na, caso contrario se le deniega el paso. En el segundo paso, una vez
aceptada la solicitud, se envía al destino, este recibe la solicitud con
los nuevos datos que el solicitante es el proxy. En el tercer paso, se
realiza la respuesta y es enviada de vuelta al proxy, esta respuesta
es nuevamente evaluada por las reglas establecidas, permitiendo o
denegando el paso. Finalmente en el cuarto paso, el proxy envía la
respuesta hacia la PC completando el proceso.

Debemos resaltar que la PC no tiene acceso directo al servidor, y pa-


ra realizar la comunicación necesariamente debe pasar por el proxy.
Sucede lo mismo en el camino opuesto, el servidor no tiene acceso
directo al PC, y para lograr la comunicación, obligatoriamente debe
pasar por el proxy. El proxy actúa como un intermediario entre las
dos redes, siendo el único capaz de tener acceso a la red interna con
todos sus elementos y a la red externa también con todos sus ele-
mentos.

Figura N° 27. Funcionamiento de un proxy. Fuente: Gómez, P.


(2015).

Este mecanismo de funcionamiento del proxy, previene realizar cone-


xiones directas entre los sistemas (entre la red interna y la red exter-
na), haciendo el trabajo más difícil a los atacantes, pues deben des-
cubrir dónde está la red objetivo, al tratar de ingresar, no reciben los
paquetes creados directamente por el sistema objetivo sino única-
mente por el proxy.

2. Control y prevención de ataques

En una red de computadoras es mandatorio la aplicación de controles para pre-


venir, evitar y controlar cualquier tipo de ataque, ya sea interno o externo, con
el fin de asegurar la correcta comunicación y flujos de datos de la red en una
organización.

Entre muchos de los incidentes de seguridad que puede tener una red de
computadoras, podemos listar un conjunto muy común que casi siempre se en-
cuentra presente en toda organización y que deben ser tratados adecuadamen-
te:

 Usuarios que comparten su usuario y contraseña.


 Modificación de los datos almacenados en carpetas compartidas.
 Robo de datos de los sistemas
 Robo de documentos digitales.
 Impedimento que usuarios legítimos tenga acceso a los recursos autoriza-
dos.
 Acceso no autorizado de usuarios a sistemas informáticos.
 Acciones que agotan o saturan los recursos de red y ancho de banda.
 Ataques de denegación de servicio.
 Virus informáticos.
 Espionaje industrial.

Podemos clasificar los ataques según su origen, un primer grupo de ataques in-
ternos y un segundo grupo de ataques externos a la red de computadoras,
veamos una descripción breve de este tipo de ataques.

2.1 Ataques internos.


Este tipo de ataques ocurren desde la red interna de la organización, por lo
general son los mismos trabajadores quienes son los autores de estos ata-
ques y según la cantidad de ocurrencias, estos ataques constituyen la ma-
yor cantidad de incidentes de seguridad dentro de una red.

El ataque interno puede ser sin intensión, en donde el usuario no tiene


conocimiento que las acciones que está realizando constituyen un incidente
de seguridad. Podemos citar algunos ejemplos de estos tipos de incidentes:
Un usuario realiza una intrusión a una parte dentro de un sistema informá-
tico que no está autorizado utilizar; un usuario cambia los atributos de los
archivos de una carpeta compartida; un usuario comparte una carpeta sin
limitar los usuarios que pueden acceder a ella; Un usuario comparte su
usuario y contraseña de acceso a un sistema informático.

Otros incidentes internos donde el usuario no tiene conocimiento es cuando


ejecuta software que dudosa procedencia, o realiza copia de archivos infec-
tados con algún tipo de software malicioso, al realizar esto, infecta sin nin-
guna intención ni conocimiento su estación de trabajo, y posibilita que este
software malicioso se propague en todas las demás estaciones de trabajo
de la organización.

Un segundo tipo de ataque interno, es el ataque malintencionado, donde


el usuario con pleno conocimiento de sus acciones y consecuencias, comete
un incidente de seguridad. En este tipo de ataques podemos mencionar los
ejemplos: Un usuario comparte información confidencial con otro que no
tiene acceso a ella; Un usuario descarga software de páginas no seguras y
lo ejecuta, a pesar de conocer que no puede realizarlo; Un usuario deja
abierta sus sesiones y archivos confidenciales en su estación de trabajo
cuando no está presente en su cubículo.

2.2 Ataques externos.


Aquí podemos considerar todos los incidentes que provienen desde fuera
de la organización y son llevados a cabo desde la red externa. Por lo gene-
ral estos tipos de ataque buscan vulnerar la seguridad por medio de aguje-
ros, descuidos, o ataques directos a puntos vulnerables en la red de
computadoras.
Un ejemplo, es un ataque de denegación de servicio, que pretenderá enviar
una cantidad enorme de solicitudes de atención a un determinado servicio
ofrecido desde un dispositivo de la red interna, y al ser tan grande la canti-
dad de peticiones de servicio, congestionará el tráfico de red dando como
resultado que el servicio quede fuera de línea. Otro ejemplo seria que la
seguridad establecida para las conexiones inalámbricas no sea segura, y
una persona que se encuentra en las cercanías de la organización, como
son casas aledañas o en una camioneta estacionada alrededor, inicie un
ataque para obtener la contraseña de acceso de la red inalámbrica con el
objetivo de infiltrarse en la red y robar información.

Por lo general este tipo de ataques tiene el objetivo de robo de informa-


ción, acceso a un sistema informático de la organización o la obtención de
alguna documentación confidencial, que pueda ser vendida, publicada o
subastada al mejor postor. Los hackers realizan estos ataques con el fin de
penetrar de alguna forma dentro de la organización y obtener la informa-
ción deseada, para venderla a la competencia, ventilar alguna información
confidencial, y, hasta en algunos casos por simple diversión y el reto que
involucra vulnerar la seguridad establecida en la organización.

En la figura N° 28 vemos un ejemplo de como un atacante realiza el robo


de información, esta labor la realiza durante un periodo prolongado de
tiempo, consigue vulnerar la seguridad, luego procede a moverse dentro de
la red interna de una manera sigilosa para no despertar el alerta de los
controles, con ello consigue acceder al almacén de archivos y proceder a
realizar las copias en servidores externos concretando el hurto de informa-
ción.

Figura N° 28. Secuencia de un ataque. Fuente: Trend Micro (2016).

2.3 ¿Cómo prevenir los ataques?


En el caso de los ataques internos, la mejor manera de prevenir los
ataques es a través de una cultura de seguridad de información para todo
el trabajo de las personas dentro de la organización. Mencionamos en te-
mas anteriores que el eslabón más débil en la seguridad eran las personas,
por tanto, al realizar la capacitación adecuada del personal, se reduce en
gran medida la cantidad de incidentes de seguridad presentados por el fac-
tor de las personas.

Es también más que obligatorio el cumplimiento de controles existentes pa-


ra brindar un buen nivel de seguridad, por ejemplo establecer a qué módu-
los un usuario puede ingresar dentro de un sistema de software informático
y si intenta el ingreso a otro, una ventana de aviso detalle que el ingreso
se encuentra restringido solo a las personas autorizadas.

En el caso de los ataques externos, es necesario que el equipo de tecnolo-


gías de la información, encargados de brindar la seguridad informática, im-
plemente la tecnología, configuración y buenas prácticas en el uso de los
sistemas informáticos, esta actividad debe estar registrada por medio de
controles existentes que deben ser cumplidos por todos sin excepción. Por
ejemplo un buen uso de la tecnología sería la implementación de un fire-
wall en la redes de computadoras, que este se encuentre correctamente
configurado para todas las comunicaciones y que restringa el tráfico de red
de todos los ataques y comunicaciones que pudieran afectar el normal fun-
cionamiento. La arquitectura implementada para brindar la seguridad debe
ser robusta y bien configurada para que los agujeros de seguridad sean
inexistentes y así eviten la intrusión de una persona no deseada.

Periódicamente, la oficina de tecnologías de la información tiene la obliga-


ción de realizar la revisión de los controles existentes, y determinar si es-
tán evitando los incidentes de seguridad, de no ser así, es necesario la im-
plementación de un grupo de nuevos controles, con el fin de mitigar todos
los riesgos y situaciones que harían que los ataques realizados a la red y a
los sistemas informáticos afectarán el normal funcionamiento de genera-
ción de la información.

LECTURA SELECCIONADA No 1:

Communications. (2015). Tecnologías de red. Axis Recuperado de:


http://www.axis.com/global/es/learning/web-articles/technical-guide-to-
network-video/network-security. Acceso: 9 Feb. 2016.

ACTIVIDAD FORMATIVA No 3

Analiza un caso propuesto de una red de una empresa y plantea una solución de
cómo realizar la prevención de ataques en una red de computadores. Desarrolle los
puntos pedidos a continuación.
Instrucciones
 Analiza una arquitectura de red LAN para la identificación de los controles
de seguridad presentes y propuesta de nuevos controles para la me-
jora de los niveles de seguridad.
 Utilizar las lecturas y recursos disponibles de la unidad. Para el desarrollo
puedes incluir gráficos, imágenes y todo recurso que consideres conveniente
 Realiza el desarrollo de la actividad en un archivo de texto Word.
 Dado el siguiente diagrama de una red LAN:
 Liste al menos 5 controles de seguridad presentes en la red.
 Liste al menos 5 nuevos controles que implementaría en la red para me-
jorar la seguridad.
 Describa cómo estos nuevos controles mejorarían la seguridad de la red.
 Sustente la instalación de un firewall en la red.
 Indique 5 reglas que establecería en el firewall para los protocolos de
red.

Diagrama de red. Fuente: López García y Figueroa Celis (2008)


TEMA N° 2: SOFTWARE MALICIOSO

En este tema conoceremos el software malicioso, los diferentes tipos que podemos
encontrar en el mundo de la informática, sus características y cómo identificarlos.
Es importante conocer todos los tipos de software que pueden afectar a un usuario
dentro de sus oficinas, casas y organización, con el fin de prevenir posibles infec-
ciones, pérdidas de información, robo de información o cualquier actividad que per-
judique al usuario o la información que este genera. También conoceremos el soft-
ware crimeware para aprender los puntos a considerar para poder afirmar que un
software es crimeware. Relacionaremos e l software crimeware con los delitos in-
formáticos y como el software de propósito general puede ser usado para este fin
oscuro.

1. Software malware

En informática se ha adaptado el término virus informático para referirse a un


software que contiene dentro de sus rutinas de ejecución alguna función para
dañar, robar o borrar datos en la PC en donde se ejecute. Los expertos detallan
que este término es incorrecto y que en adelante debería ser denominado como
software malware.

Según Kaspersky Lab (2016), la palabra malware es una abreviatura de "mali-


cious software" (software malintencionado) y se refiere a todo programa infor-
mático diseñado para realizar acciones no deseadas o perjudiciales para el usua-
rio legítimo de una computadora.

El malware contiene líneas de código malicioso compiladas con el objetivo de ser


ejecutado de manera oculta en una estación de trabajo, esta ejecución puede
dañar algún elemento del sistema operativo, alguna aplicación, un archivo o con-
junto de archivos en específico; también puede tener el objetivo de robar algún
tipo de dato, como son contraseñas, claves de acceso, la digitación del teclado, o
cualquier otro dato importante; el malware también tiene el objetivo de borrar
ciertos datos o archivos, por ejemplo eliminar todos los documentos de texto de
una PC; también se puede considerar como malware al software que realiza co-
nexiones y uso de recursos como procesador, memoria, ancho de banda de in-
ternet sin el consentimiento del usuario.

Actualmente, el malware se presenta en una infinidad de formas, se les nombra


de acuerdo a la descripción de lo que hacen, por ejemplo el spyware, transmite
información confidencial de un usuario, como son las contraseñas de acceso y
números de tarjetas de crédito. A continuación conozcamos los tipos de malware
propuesto por Rivero, M. (2013), sus características y que elemento afectan
dentro de una estación de trabajo.

1.1 Virus informático


Son programas maliciosos que infectan archivos del sistema operativo con el
fin de modificarlo o dañarlo. Por lo general tienen extensión ejecutable .exe,
.bat o la extensión .com pues son archivos ejecutables dentro de un sistema
operativo.

En la figura N° 29 podemos ver un segmento de código fuente de un virus


informático que registrará las pulsaciones del teclado realizado por un usua-
rio, este tipo de virus que implementa funciones de un keylogger.
Figura N° 29. Segmento de código malicioso de un virus informático. Fuente:
Zahumenszky C. (2013

El funcionamiento de este tipo de malware es el siguiente, seleccio-


nan un archivo del sistema, insertan dentro de su código un nuevo
segmento de código malicioso infectando al archivo, pasando a ser un
portador que puede contagiar a nuevos archivos haciendo que la in-
fección se propague a muchos archivos presentes en el sistema ope-
rativo.
Su nombre proviene de la analogía con los virus biológicos ya que su
ejecución asemeja al comportamiento de estos seres vivos.

1.2 Adware
Deriva de la palabra en inglés “ad” que significa publicidad. Es un software
que muestra publicidad de algún producto o servicio muchas veces no
deseadas por el usuario. Por lo general muestran esta publicidad por medio
de ventanas emergentes o por una barra que aparece en la pantalla brin-
dando información engañosa, como por ejemplo un mensaje: “Se han en-
contrado 23 virus en el análisis rápido, pulse el botón para una solución in-
mediata” cuando el usuario pulse el botón, este será direccionado a una pá-
gina web de publicidad.
Algunos autores e incluso antivirus, denominan este software como nag (que
significa molestoso en inglés) pues generan molestia al usuario al mostrar
publicidad no deseada, y al abrir ventanas emergentes no deseadas. Al no
contener código malicioso para perjudicar al usuario, no es un software que
ponga en peligro una estación de trabajo, por ello le brindan la denomina-
ción de software molestoso.

En la figura N° 30 vemos un ejemplo de software adware, que contiene ven-


tanas vistosas y anuncios engañosos, con el propósito que el usuario realice
clic a ellos para ser direccionado a más publicidad o a una infección de soft-
ware malicioso.
Figura N° 30. Ejemplo de un Adware. Fuente: Estévez, J. (2015).

1.3 Back doors (Puertas traseras)


Son programas de software especializados en aprovechar vulnerabilidades
de un sistema operativo o de una aplicación de software para poder abrir
una puerta trasera que permita al creador tener algún tipo de acceso al sis-
tema operativo y realizar cualquier acción sobre él.

1.4 Gusanos informáticos


Este tipo de software malware tiene la principal característica que puede re-
plicarse a sí mismo, pues son archivos ejecutables que pueden generar nue-
vas copias exactas, no dependen de otro archivo o insertarse dentro de
ellos, sino que generan nuevas copias de sí mismos y se auto transmiten en
las redes locales, correo electrónico, mensajería instantánea, redes P2P, etc.

1.5 Hijacker
Afectan principalmente a los navegadores web, insertando funciones no
deseadas por el usuario, por ejemplo modificando la página de inicio, alteran
el listado de los motores de búsqueda haciendo que el navegador abra las
páginas de la red de este malware. Por lo general impiden que la configura-
ción del navegador sea restaurada al estado anterior, solo cuando son elimi-
nados es que el navegador afectado puede volver a su estado normal de
funcionamiento.

1.6 Keylogger
Es un virus informático que registra las pulsaciones del teclado almacenando
todos los caracteres que el usuario haya ingresado mediante el periférico.
Este malware se utiliza con el objetivo de robar contraseñas de acceso de
todo tipo, desde claves de tarjetas de crédito, hasta usuarios y contraseñas
de redes sociales.
En la figura N° 31 vemos un ejemplo de un keylogger que podemos encon-
trar fácilmente en Internet, descargarlo y usarlo para grabar las pulsaciones
del teclado de una PC.
Figura N° 31. Invisible Keylogger. Abalmasov, A. (2016).

1.7 Rootkit
Es un software malicioso que se ejecuta a un nivel muy bajo del sistema
operativo, por ejemplo en un nivel donde el sistema operativo ejecuta ruti-
nas importantes para el funcionamiento de los drivers de los dispositivos.
Debido a esto son muy difíciles para ser eliminados, pues los antivirus deben
cuidar que al realizar el proceso de eliminación, no dañen una parte impor-
tante de otro archivo del sistema. Adicionalmente este software implementa
rutinas para impedir se eliminado, pues pueden activar funciones para dañar
el sistema operativo, es aquí que el antivirus debe actuar bloqueando la eje-
cución de estas rutinas y proceder a su eliminación.

En la figura N° 32 vemos un ejemplo del rootkit Backboot, que ha infectado


el servicio del sistema operativo fuqemcb y ha sido detectado por el software
antivirus para el respectivo bloqueo, cuarentena y posterior eliminación.

Figura N° 32. Detección de un Rootkit que afecta un driver del kernel del sis-
tema operativo. Fuente: Kaspersky Lab (2013).
1.8 PUP (Potentially Unwanted Programs)
Su traducción es programa potencialmente no deseado, este tipo de softwa-
re se instala en una estación de trabajo sin el consentimiento del usuario,
además de realizar acciones que pueden afectar la privacidad, confidenciali-
dad y uso de los recursos de la computadora.

1.9 Rogue
Es un software falso que dice realizar algo pero no implementa dentro de él
las funciones para hacerlo. Un ejemplo de este virus son los populares “fal-
sos antispyware” que al ejecutarse no eliminan spyware. Otro ejemplo son
los “falsos optimizadores” de sistemas operativos Windows, supuestamente
son instalados para acelerar la ejecución y mejorar el rendimiento, pero no
lo realizan.

1.10 Troyano
Utiliza las mismas técnicas de propagación que un virus informático, este es
un software malicioso por lo general almacenado dentro de otra aplicación o
archivo con el objetivo de pasar de incógnito al instalarse y ejecutarse. Rea-
lizan diversas tareas, como la ejecución de un keylogger, abrir una puerta
trasera para que el atacante penetre en el sistema, ejecutan rutinas espías
para robar datos privados de los usuarios. A veces vienen incluidos en soft-
ware con funciones útiles, sin embargo también ejecutan el código malicioso
de manera oculta.

Su nombre es dado debido al hecho histórico de la guerra de Troya, que uti-


lizaron una escultura de manera de un caballo gigante para infiltrar dentro
de las murallas a soldados. Este mismo mecanismo es utilizado por el soft-
ware malicioso, aparentemente por fuera es un software común y corriente,
pero por dentro contiene rutinas y funciones destinadas al robo, daño o bo-
rrado de información. En la figura N° 33 vemos una ilustración de este con-
cepto de software.

Figura N° 33. Ilustración de un troyano informático. Fuente: Antivirus.es


(2016).
1.11 Spyware
Es un software que recopila datos de un usuario o una organización sin su
consentimiento. El fin de robar estos datos es brindarla a la competencia o
vender la información a empresas publicitarias o cualquier organización in-
teresada por los datos obtenidos. Por lo general centralizan los datos roba-
dos en un servidor habilitado por el atacante para luego ser utilizados de
manera conjunta. Por lo general registran el comportamiento del usuario,
como por ejemplo qué páginas webs visita, que aplicaciones ejecuta, que in-
formación obtiene de las páginas webs que ha visitado y toda clase de in-
formación que le sería útil a una organización de publicidad.

1.12 Bot y botnet


Actualmente, los atacantes han mejorados sus técnicas de intrusión de ata-
que a los sistemas informáticos, entre una de esas técnicas utilizan una ar-
quitectura denominada Botnet. La Botnet cuenta con dos elementos a iden-
tificar, las estaciones de trabajo infectadas, denominado bot o maquina
zombi; y un segundo elemento que es el servidor bot o amo, que desempe-
ña la función de mandar las órdenes a todas las estaciones de trabajo infec-
tadas a través de la red.

El significado de bot es autómata, reciben este nombre debido a que tienen


rutinas autoejecutables de código fuente con un objetivo en común. Ejecu-
tan sus funciones cuando el bot servidor envía una señal y cuando es recibi-
da, procede a ejecutar lo solicitado. Los bot pueden contarse desde cientos
hasta millones y se encuentran distribuidos a través de diferentes sitios geo-
gráficos mediante el Internet. El conjunto de todas las estaciones de trabajo
infectadas bots o zombis y el servidor bot constituyen la red a la que llama-
mos Botnet.

Según Norton (2015) un bot es un tipo de programa malicioso que permite a


un atacante tomar el control de un equipo infectado. Por lo general, los bots,
también conocidos como "robots web" son parte de una red de máquinas in-
fectadas, conocidas como “botnet”, que comúnmente está compuesta por
máquinas víctimas de todo el mundo.

La botnet puede utilizarse para muchos fines, por ejemplo para enviar gran
cantidad de spam, utilizar a los zombis como almacén de datos, sembrar pá-
ginas falsas para el phishing, o el que se utiliza con mayor fuerza, realizar
un ataque de denegación de servicio DoS (Deny of service). En la figura N°
34 vemos el funcionamiento general de una Botnet, en la parte inferior te-
nemos a servidor bot que transmite las órdenes, las máquinas zombis pro-
ceden a realizar las acciones y almacenan los resultado en un servidor crea-
do para ese propósito.

Figura N° 34. Funcionamiento de una Botnet. Fuente: Barrio, A. (2014).


2 Software crimeware
Este tipo de software obedece a una clasificación del uso que una persona
pueda darle, pues no es necesario que dentro de su código fuente incluya ru-
tinas dañinas y código malicioso; puede ser cualquier software de propósito
general, pero que es utilizado para cometer un delito informático, este softwa-
re se le denomina Software Crimeware.

Cuando un software malicioso (malware) es utilizado sin el consentimiento de


sus dueños y usuarios para el robo de información, dañar información, cam-
biar información o alguna acción similar, este malware puede ser denominado
como crimeware. Del mismo modo, si cualquier software de propósito gene-
ral, como el Microsoft Excel, es utilizado para programar una macro con códi-
go malicioso, y lograr ser ejecutado por alguna persona, esta macro creada
con el propósito malicioso y el también el software Excel pueden ser denomi-
nados como crimeware. Cabe resaltar que el Excel no contiene dentro de sus
rutinas funciones que puedan alterar o robar información, por ello las empre-
sas creadoras de este software incluyen dentro de sus licencias de uso que el
software no puede ser usado para cometer delitos informáticos, y si eso ocu-
rriera, el atacante asumiría la responsabilidad total de sus actos respecto al
crimen a realizar.

En la figura N° 35 vemos una lustración de como un delincuente informático


puede utilizar software crimeware para robar los datos de una tarjeta de cré-
dito y utilizar el dinero para realizar transacciones ilegales, todo sin el consen-
timiento del usuario.

Figura N° 35. Ilustración del robo de datos de una tarjeta de crédito usando crime-
ware. Fuente: Greene, T. (2014).

LECTURA SELECCIONADA No 2:

Equipo de Laboratorio de ESET. (2009). Tendencias 2010: la madurez del crimewa-


re. Recuperado de: http://www.csirt-ccit.org.co/text/ESET2010.pdf, pp 1-13.
Acceso: 9 Feb. 2016
GLOSARIO DE LA UNIDAD III

1. Appliance
Es una herramientas especializada, que tiene implmentado hardware diseñado
para cumplir una sola función e incluye también el software para hacerlo
funcionar de manera embedido. Ejemplo: un servidor de firewall.

2. Dirección IP
Es un número que identifica, de manera lógica y jerárquica, a una Interfaz en
red (elemento de comunicación/conexión) de un dispositivo (computadora,
tableta, portátil, smartphone) que utilice el protocolo IP (Internet Protocol),
que corresponde al nivel de red del modelo TCP/IP.

3. DoS
Ataque de Negenación de Servicio. Es un ataque a un sistema de computadoras
o red que causa que un servicio o recurso sea inaccesible a los usuarios
legítimos.

4. Driver
Controlador, rutina o programa que enlaza un dispositivo periférico al sistema
operativo.

5. Extensión de un archivo
La extensión de archivo es un grupo de letras o caracteres que acompañan al
nombre del archivo y en el caso de windows, podrá servir para indicar su
formato o qué tipo de archivo es.

6. HandShaking
Es un proceso automatizado de negociación que establece de forma dinámica
los parámetros de un canal de comunicaciones establecido entre dos entidades
antes de que comience la comunicación normal por el canal.

7. Puerto
En informática, un puerto es una interface a través de la cual se pueden enviar
y recibir los diferentes tipos de datos. Se identifican por un número único y
canalizan un solo tipo de comunicación a través de ellos.

8. Red P2P
Una red p2p (peer to peer o redes entre pares o iguales) es una red que
conecta un gran número de ordenadores (nodos) para compartir cualquier cosa
que este en formato digital.

9. Router
Enrutador o encaminador de paquetes, es un dispositivo que proporciona
conectividad a nivel de red o nivel tres en el modelo OSI.

10. Switch
Un conmutador o switch es un dispositivo digital lógico de interconexión de
redes de computadoras que opera en la capa de enlace de datos del modelo
OSI. Por lo general unen dos arquitecturas de red diferentes.

11. WiFi
Es la abreviatura en inglés del Wireless Fidelity, que significa fidelidad
inalámbrica. WiFi es un mecanismo de conexión de dispositivos electrónicos de
forma inalámbrica.
BIBLIOGRAFÍA BÁSICA DE LA UNIDAD III
Abalmasov, A. (2016). Eliminacion de Invisible Keylogger: Eliminar Invisible
Keylogger para siempre. Security Stronghold. Recuperado de:
https://www.securitystronghold.com/es/gates/invisible-keylogger.html

Antivirus.es (2016). Troyanos. Recuperado de: http://antivirus.es/troyanos

Barrio, A. (2014). ¿Estamos preparados para la próxima horda zombie? – Botnets


(Parte I). S3lab. Recuperado de: http://s3lab.deusto.es/proxima-horda-
zombie-botnets-1/

Enciclopedia CCM (2016). Protección - Introducción a la seguridad de redes.


Recuperado de: http://es.ccm.net/contents/593-proteccion-introduccion-a-la-
seguridad-de-redes

Estévez, J. (2015). ¿Qué es un virus, malware, spyware o adware?. El Grupo


Informático. Recuperado de: http://www.elgrupoinformatico.com/que-virus-
malware-spyware-adware-t22193.html

eTutorials(2016). The Firewall. Recuperado de:


http://etutorials.org/Linux+systems/secure+linux-
based+servers/Chapter+2.+Designing+Perimeter+Networks/Section+2.5.+T
he+Firewall/

Greene, T. (2014). Hack the halls: Watch out for Cyber Monday scamathon.
Network World. Recuperado de:
http://www.networkworld.com/article/2851471/security0/hack-the-halls-
watch-out-for-cyber-monday-scamathon.html#tk.drr_mlt

Kaspersky Lab (2013). Safety 101: Viruses and solutions: How to detect and
remove unknown rootkits. Recuperado de:
http://support.kaspersky.com/viruses/solutions/5353

Kaspersky Lab (2016). ¿Qué es el malware y cómo puede protegerse contra él?.
Recuperado de: http://latam.kaspersky.com/mx/internet-security-
center/internet-safety/que-es-el-malware

López García, J. y Figueroa Celis, W. (2008). Redes de Datos en Instituciones de


Educación Básica y Media. Eduteka. Recuperado de:
http://eduteka.icesi.edu.co/articulos/RedEscolarDatos [Acceso 16 Sep. 2016].

Mansilla (2016). Redes de computadoras. Recuperado de:


http://www.fca.unl.edu.ar/informaticabasica/Redes.pdf

Microsoft (2016). ¿Qué es un firewall?. Recuperado de:


http://windows.microsoft.com/es-419/windows/what-is-
firewall#1TC=windows-7

Norton (2015). Bots y botnets: Una amenaza creciente. Recuperado de:


http://mx.norton.com/botnet

Rivero, M. (2013). ¿Qué son los malwares?. Info Spyware .com. Recuperado de:
https://www.infospyware.com/articulos/que-son-los-malwares/ [Acceso 18
Sep. 2016].
Trend Micro (2016). Comprender un ataque. Recuperado de:
http://www.trendmicro.es/grandes-empresas/ataques-dirigidos-
avanzados/#comprender-un-ataque

Zahumenszky C. (2013). Así se programaron los virus más destructivos de la


historia. Gizmodo. Recuperado de: http://es.gizmodo.com/asi-se-
programaron-los-virus-mas-destructivos-de-la-his-678700816
AUTOEVALUACIÓN Nº 3
1. Elija la opción que liste dispositivos de red utilizados para la seguridad informáti-
ca.
A. Switch y router.
B. Access point y hub.
C. Firewall y proxy.
D. Router y Access point.
E. Repetidor y switch.

2. ¿Cuál es la característica de un firewall Appliance?


A. Se encuentra instalado en un servidor de propósito general dentro de una red.
B. Es un firewall implementado a través de software.
C. Es un dispositivo firewall especializado con hardware y software embebido.
D. Es un firewall en la nube de Internet
E. Es un driver controlador instalado en el sistema operativo.

3. El/la ________________ es una configuración que determina que acción se de-


be realizar frente al tráfico de red y es realizada dentro de un firewall.
A. Regla.
B. Paquete.
C. TCP/IP.
D. Puerto.
E. Handshaking.

4. Un firewall cumple la función de separación de una red _____________ con una


red ______________.
A. Inalámbrica; externa.
B. Interna; externa.
C. Interna; Inalámbrica.
D. Cableada; inalámbrica.
E. Externa; Satelital.

5. Es una desventaja del uso de un proxy en una red de computadoras.


A. Deja pasar cualquier comunicación de una aplicación.
B. No protege el nivel más alto de la capa de aplicación en la red.
C. Ofrece un nivel más bajo de seguridad respecto al firewall.
D. Su instalación y configuración es muy compleja.
E. Sacrifica la velocidad y la funcionalidad de la red para brindar seguridad.

6. Es un in incidente interno en la seguridad de una red de computadoras


A. Ataque de denegación de servicio al servidor de correo electrónico.
B. Compartir una carpeta en red y no establecer los permisos de accesos.
C. Ataque de petición “ping” al servidor web.
D. Defacing al servidor web.
E. Intrusión de un usuario remoto al servidor de base de datos.

7. Es un software malware que contiene publicidad no deseada.


A. Gusano informático.
B. Troyano.
C. Rootkit.
D. Adware.
E. Backhole.

8. El _________ es utilizado para registrar las pulsaciones del teclado de un usua-


rio sin su consentimiento.
A. Keylogger.
B. Troyano.
C. Hijacker.
D. Rogue.
E. Botnet.

9. _____________ Es una red de computadores en la que un servidor ordena un


ataque y las maquina infectadas ejecutan el ataque conjunto a un objetivo co-
mún.
A. Computación distribuida.
B. Botnet.
C. Computación en la nube.
D. Redes VPN.
E. Línea dedicada.

10. ¿Qué es un crimeware?


A. Es un software con errores en su codificación.
B. Es un software utilizado por la policía informática para capturar delincuentes.
C. Es un software que es utilizado para cometer un delito informático.
D. Es un software antivirus potente para eliminar los peores virus del mercado.
E. Es un software en proceso de depuración y corrección.
Respuestas Autoevaluación Unidad III

Pregunta Respuesta

1 C

2 C

3 A

4 B

5 E

6 B

7 D

8 A

9 B

10 C
UNIDAD IV: “ADMINISTRACIÓN DE SEGURIDAD DE APLICA-
CIONES Y NORMATIVIDAD”

DIAGRAMA DE PRESENTACIÓN DE LA UNIDAD IV

ORGANIZACIÓN DE LOS APRENDIZAJES

CONOCIMIENTOS PROCEDIMIENTOS ACTITUDES


Tema N° 1: Seguridad en 1. Identifica controles de 5. Valora la segu-
aplicaciones y normas de se- seguridad conceptos de ridad de infor-
guridad aplicaciones, base de mación y análi-
1. La seguridad a nivel de apli- datos sis de riesgo pa-
caciones. 2. Revisa e identifica la ra aplicar y ad-
2. Norma Internacional norma ISO 27001. ministrar los cri-
ISO/IEC, 27001:2005. terios de control
3. Dominios del ISO 27001 interno en las
Actividad N° 4 empresas que
Lectura seleccionada 1: Fun- Elabora un organizador del usan tecnología.
damentos de ISO 27001 y su conocimiento sobre la apli- 6. Aprecia y valora
aplicación en las empresas. cación de la Norma Técnica las labores de
Fundamentos de ISO 27001 y su Peruana ISO/IEC auditoria de se-
aplicación en las empresas. Villa 27001:2008 – ONGEI en guridad en tec-
P., Ladino M., López A. Universi- una organización de tecno- nologías de la
dad Tecnológica de Pereira, logía de la información. información.
Scientia Et Technica, XVII Abril, 7. Demuestra res-
(2011). Pág. 334-339. Recupe- 3. Revisa la normatividad ponsabilidad en
rado de: de seguridad de infor- la aplicación de
http://www.redalyc.org/articulo. mación peruana pruebas de se-
oa?id=84921327061. Acceso: 9 4. Identifica los elementos guridad e inge-
Feb. 2016. de COBIT. niería social.
8. Demuestra res-
Tema N° 2: Normatividad de Tarea Académica Nº 2 ponsabilidad al
la seguridad de la informa- cumplir con ca-
Describe como mejorar la
ción y COBIT da una de las
seguridad de una empresa
1. Normatividad peruana rela- actividades.
mediante la aplicación de
cionada a la seguridad de la la Norma ISO/IEC 27001 y
información / Privacidad de
la aplicación de COBIT.
Información.
2. Introducción a COBIT.

Lectura seleccionada 2: Prin-


cipios de COBIT 5 para el go-
bierno efectivo de TI.
Principios de COBIT 5 para el
gobierno efectivo de TI. Osores
M. (2015). Recuperado de:
http://searchdatacenter.techtarg
et.com/es/cronica/Principios-de-
COBIT-5-para-el-gobierno-
efectivo-de-TI. Acceso: 9 Feb.
2016.

Autoevaluación No. 04
UNIDAD IV: “ADMINISTRACIÓN DE LA SEGURIDAD
DE APLICACIONES Y NORMATIVIDAD”

TEMA N° 1: SEGURIDAD EN APLICACIONES Y NORMAS DE


SEGURIDAD
En el presente tema desarrollaremos la seguridad en las aplicaciones, para ello re-
cordaremos el modelo OSI y el modelo TCP/IP de comunicaciones en redes y cen-
traremos la seguridad en la capa de aplicación con las pautas generales que toda
organización debe considerar para que las aplicaciones usadas en el día a día ofrez-
can un buen nivel de seguridad. También describiremos la norma ISO 27001, para
qué se aplica en una organización, la estructura, como llevar a cabo su implemen-
tación, como también como realizar la creación de un Sistema de Gestión de Segu-
ridad de Información y las fases a seguir para que la implementación de la norma
se la más óptima dentro de la organización.

1. La seguridad a nivel de aplicaciones.


Para comprender el concepto de seguridad informática en las aplicaciones, de-
bemos mencionar el Modelo OSI y también el modelo de capas TCP/IP, ambos
modelos fueron creados para la estandarización de las comunicaciones en redes
de computadoras. Para el caso de seguridad en aplicaciones, abordaremos la
capa 7 del modelo OSI, que es la capa de aplicación, del mismo modo, en el
modelo TCP/IP abordaremos la capa 4. También denominada capa de aplica-
ción.
Según la Facultad de Ciencias Exactas (2016), el modelo de referencia OSI es
el modelo principal para las comunicaciones por red. Cuenta con siete capas: la
capa física, la capa de enlace de datos, la capa de red, la capa de transporte, la
capa de sesión, la capa de presentación y finalmente la capa de aplicación. En
la figura N° 36 vemos las 7 capas del modelo OSI y una breve descripción de
los elementos principales de cada capa.

Figura N° 36. Modelo OSI de 7 capas. Fuente: Facultad de Ciencias Exactas (2016)
1.1 Seguridad en la Capa de Aplicación del modelo OSI
En el caso de la seguridad de aplicaciones, debemos considerar los concep-
tos, elementos y descripción de la capa de Aplicación del modelo OSI. Esta
capa es la más cercana al usuario final. Debemos detallar que el usuario no
interactúa directamente con el nivel de aplicación, sino que interactúa con
programas de software (aplicaciones) que son las encargadas de realizar la
interacción con la capa de aplicación, utilizando los protocolos y las comu-
nicaciones con las capas inferiores. Esta capa también define los protocolos
que pueden utilizar las aplicaciones para la comunicación de los datos, por
ejemplo para las páginas web utilizan el protocolo HTTP, para los correos
electrónicos los protocolos POP y SMTP, para la transferencia de archivos,
el protocolo FTP.
Esta capa posibilita tener acceso a los servicios de las capas anteriores,
proporcionando la comunicación de los servicios de red a las aplicaciones
que utiliza el usuario, por ejemplo aplicaciones de hojas de cálculo, proce-
sadores de texto, editores de presentaciones. La Facultad de Ciencias Exac-
tas (2016) menciona que la capa de aplicación establece la disponibilidad
de los potenciales socios de comunicación, sincroniza y establece acuerdos
sobre los procedimientos de recuperación de errores y control de la integri-
dad de los datos.
Consideremos la seguridad informática en la capa de aplicación del modelo
OSI como todas las acciones, controles y buenas prácticas que debemos
aplicar para que las aplicaciones puedan canalizar correctamente los proto-
colos y funciones para la comunicación con las capas anteriores del mode-
lo, de modo que podemos definir algunos puntos para que este proceso se
lleve a cabo correctamente:

 En el desarrollo (programación de código fuente) de las aplicaciones


se debe cumplir con directivas de seguridad generales de elaboración
de software.
 Las aplicaciones deben ser accedidas únicamente por los usuarios au-
torizados.
 Los usuarios utilizarán las aplicaciones para el fin que fueron creadas.
 La aplicación debe tener definidos los permisos de acceso a los recur-
sos de las capas inferiores.
 La definición de la comunicación usando los protocolos debe ser segu-
ra.
 Cuando se use un protocolo de comunicación debe cumplir todos los
requisitos de comunicación y de seguridad propios del protocolo.
 En el desarrollo de la aplicación, al implementar el código fuente de
un protocolo, debe llevarse de manera cuidadosa para prevenir un
agujero de seguridad.

1.2 Seguridad en la Capa de Aplicación del modelo TCP/IP


Basa su nombre en el Protocolo de Control de Transmisión/Protocolo Inter-
net (TCP/IP por sus siglas en inglés). El modelo TCP/IP fue propuesto por
Vinton Cerf y Robert E. Kahn, en la década de 1970 y fue usado por el De-
partamento de Defensa de los Estados Unidos en la red ARPANET. Esta red
fue la predecesora de la actual Internet.
El modelo de referencia TCP/IP y la pila de protocolo TCP/IP hacen que sea
posible la comunicación entre dos computadores, desde cualquier parte del
mundo, esta definición es brindada por la Facultad de Ciencias Exactas
(2016). Este modelo es usado y adaptado para las comunicaciones en re-
des de computadoras, contiene las reglas y guías para permitir que un
equipo puede comunicarse con otros dentro de una red TCP/IP. Este mo-
delo proporciona el entorno necesario para la conectividad de extremo a
extremo, estableciendo cómo se le brinda formato a los datos en el emisor,
cómo se direccionan los datos, cómo se transmiten, cómo se enrutan y fi-
nalmente como son recibidos por el destinatario.
En la figura N° 37, vemos la representación de las cuatro capas del modelo
TCP/IP, la primera capa es la capa de acceso a red que comparando con el
modelo OSI sería equivalente a la capa física y a la capa de datos. La se-
gunda capa es la capa de internet, equivalente a la capa de red del modelo
OSI. La tercera capa de transporte es la equivalente a la capa de transpor-
te del modelo OSI. Finalmente la capa de aplicación, que se consideran las
capas de sesión, la capa de presentación y la capa de aplicación del modelo
OSI.

Figura N° 37. Modelo TCP/IP. Fuente: Facultad de Ciencias Exactas (2016)


Con respecto a la seguridad de aplicaciones en el modelo TCP /IP, al igual
que el modelo OSI, se encarga de la seguridad en aplicaciones de software,
aplicaciones web, servicios web y toda aplicación que ha sido construida con
el propósito de realizar la comunicación con otras computadoras.
En la actualidad, con el uso de la Web 2.0 y la Web semántica 3.0 la canti-
dad de datos que se intercambia por las aplicaciones, redes sociales, como
también los sistemas informáticos de los negocios es muy grande, por ello,
los negocios han adoptado a la Web como un medio para realizar negocios,
ofrecer sus productos y servicios. Esta situación hace que sean un objetivo
muy preciado para los atacantes y delincuentes informáticos, por ello las
aplicaciones, sitios web y servicios web son constantemente atacados.
El Centro de Posgrados y Actualización Profesional en Informática Universi-
dad de la República (2015) nos indica que más del 70% de los ataques con-
tra el sitio web de una compañía o aplicación web se dirigen a la “Capa de
aplicación” y no a la red o al sistema. Esto debido a que en las capas inferio-
res se han implementado robustos sistemas de seguridad que hacen difícil o
inclusive casi imposible la penetración por parte de un intruso o atacante.
Debido a que las capas inferiores se encuentran protegidas, un delincuente
informático opta por realizar sus ataques a la parte más débil, en este caso
sería al usuario que utiliza una aplicación, tanteando cualquier descuido en
la seguridad de la aplicación o en el uso que le brinda el usuario, para luego
explotar este descuido. Provos N. (2007) nos menciona que los hackers bus-
can, ya sea comprometer la red de la corporación o a los usuarios finales,
accediendo al sitio web y obligándolos (sin su consentimiento) a realizar ac-
ciones con el uso de aplicaciones.
Conozcamos una estadística brindada por CEO Developers Oficial (2014) que
detalla los tipos más comunes de ataques que se realiza a la capa de Aplica-
ción.

Tipos de ataques a aplicaciones


 37% Cross-site scripting.
 16% Inyección SQL.
 5% Divulgación de directorio.
 5% Ataque de denegación de servicio.
 4% Ejecución de código arbitrario.
 4% Corrupción de memoria.
 4% Cross site solicitud falsificación.
 3% Violación de datos (la divulgación de información)
 3% Inclusión de archivo arbitraria.
 2% Inclusión de archivo local.
 1% Inclusión de archivo remoto.
 1% Desbordamiento de búfer.
 15% Otros, incluyendo la inyección de código (PHP / JavaScript), etc.

Mencionamos anteriormente que las personas al utilizar las aplicaciones de-


ben prestar especial cuidado al usarlas, por ello se definen un grupo de bue-
nas prácticas que todo trabajador dentro de una empresa debe realizar. Lis-
temos unas medidas básicas de seguridad que Microsoft Developer Network.
(2007) nos propone adoptar y seguir para proteger cualquier aplicación:

Seguridad en aplicaciones
 Ejecutar aplicaciones con privilegios mínimos.
 Conocer a los usuarios que utilizaran las aplicaciones.
 Protegerse contra entradas malintencionadas.
 Tener acceso seguro a bases de datos.
 Crear mensajes de error seguros.
 Mantener segura la información confidencial.
 Usar cookies de forma segura.
 Protegerse contra amenazas de denegación de servicio.

2. Norma Internacional ISO/IEC 27001:2005.


Es una norma internacional que describe la gestión de la seguridad de la infor-
mación en una empresa. Ha sido elaborada por la Organización Internacional
de Normalización (ISO), su actualización más reciente es del año 2013, cam-
biando su denominación a ISO/IEC 27001:2013. La versión ISO/IEC
27001:2005 fue la primera publicación en el 2005 tomando como base a la
norma británica BS 7799-2
La norma ISO 27001 está destinada a ser implementada en cualquier tipo de
organización o negocio, ya sea privada o pública, pequeña o grande. Los exper-
tos en temas de seguridad realizaron la elaboración de esta norma juntando las
mejores experiencias y prácticas proporcionando una metodología para una co-
rrecta implementación de la gestión de la seguridad de la información en una
organización.
El objetivo principal de esta norma es permitir a una organización el asegura-
miento, la confidencialidad e integridad de los datos y de su información, así
como de los sistemas que la procesan ya sean sistemas de información o sis-
temas informáticos. También está dedicada al tratamiento del riesgo, para de-
tectar dónde se encuentran los riesgos para luego tratarlos de una manera sis-
temática. Al realizar la implementación de la norma en una organización o ne-
gocio, permite a esta realizar un proceso de certificación mediante un ente cer-
tificador independiente para la confirmación y validación que la seguridad de
información se ha implementado en la organización cumpliendo la norma ISO
27001.
En la figura N° 38 nos muestra el sello de certificación que recibe una organiza-
ción al llevar a cabo la implementación de la norma ISO 27001 en sus procesos
de producción de información, y luego de esta implementación, un ente certifi-
cador realizó la evaluación y diagnóstico del cumplimiento de esta norma, si se
llega a cumplir según los requisitos pedidos, se le otorga la certificación respec-
tiva.

Figura N° 38. Sello de certificación de la norma ISO 27001. Fuente: Centro de inves-
tigación, desarrollo e innovación SmartCIDI (2015).

Según BSI (2016) los beneficios de implementar la norma 27001 en una orga-
nización son los siguientes:

 Identificar los riesgos y establecer controles para gestionarlos o eliminarlos.


 Confidencialidad, asegurando que sólo quienes estén autorizados puedan ac-
ceder a la información.
 Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo
a algunas seleccionadas.
 Conseguir que las partes interesadas y los clientes confíen en la protección de
los datos.
 Demostrar conformidad y conseguir el estatus de proveedor preferente.
 Alcanzar las expectativas demostrando conformidad

Todo el trabajo de la norma ISO 27001 gira en torno a proteger la confidencia-


lidad, integridad y disponibilidad de la información en una organización, para
ello propone una gestión del riesgo, investigando los potenciales problemas que
afectarían la información para luego definir las acciones a realizar para evitar
que estos problemas pasen en un escenario real, estas acciones constituyen los
controles que mitigarían los riesgos identificados en la organización.
Hemos mencionado los controles, en toda empresa podemos detectar dos tipos
de controles, los ya existentes y que se encuentran implementados y un se-
gundo tipo que son un grupo de controles propuestos que se implementarán en
un corto plazo. Estos controles pueden adoptar la forma de políticas, procedi-
mientos o implementación técnica como son equipos y software. Antes de la
adopción de la norma, toda organización ya cuenta con buen equipamiento de
software y hardware, pero por lo general utilizan todo este equipamiento de
una forma no segura, de modo que, al implementar la norma se determinará el
reglamento organizacional necesario para prevenir incidentes de seguridad con
respecto a todos estos elementos.
Debemos recordar que la gestión de seguridad de la información no se limita
únicamente a la seguridad de las tecnologías de la información y sus equipos,
sino que cubre un campo más amplio, gestionando los procesos de los recursos
humanos (personas) con la protección jurídica y la protección física y todos los
aspectos necesarios para asegurar el buen tratamiento de la información

3. Dominios del ISO 27001.


La norma ISO/IEC 27001:2013 está organizada en once secciones más un
anexo. Las primeras secciones de la 0 a la 3 son introductorias, que no son ne-
cesarias ni se consideran para la certificación de la organización. Las secciones
de la 4 a 10 son obligatorias, lo que se traduce que toda organización debe im-
plementar todo lo descrito en estas secciones para cumplir con la norma. En el
caso del anexo A, solo se debe implementar si se determinar que la organiza-
ción puede aplicarla y se encuentra definida en la declaración de aplicabilidad.
Describamos a continuación la estructura de la norma 27001, para ello vamos a
apoyarnos de la descripción de las secciones de la norma brindada por 27001
Academy (2016) y ISOTools (2016) en sus publicaciones. Iniciamos con la des-
cripción de las secciones 0, sección 1, sección 2 y la sección 3 que describen
tópicos introductorios, alcances y referencias a otros documentos en los que se
basa la norma.

Secciones de la norma 27001


Sección 0 – Introducción
Explica el objetivo de ISO 27001 y su compatibilidad con otras normas de gestión.

Sección 1 – Alcance
Detalla el objeto y campo de aplicación, orientando sobre su uso, finalidad y modo
de aplicación, también detalla que esta norma es aplicable a cualquier tipo de orga-
nización.

Sección 2 – Referencias normativas


Hace referencia a la norma ISO/IEC 27000 como estándar en el que se proporcio-
nan términos y definiciones. Adicionalmente, recomienda un conjunto de documen-
tos indispensables para realizar las consultas para la aplicación de la norma.

Sección 3 – Términos y definiciones


Realiza una descripción de la terminología aplicable a este estándar, hace referencia
a la norma ISO/IEC 27000.
A partir de la sección 4 en adelante se realiza una descripción de los elementos
a implementar, como es el conocimiento del entorno de la organización, las la-
bores de liderazgo, la planificación necesaria, evaluación de los recursos dispo-
nibles, la operación que define el trabajo necesario para llevar a cabo los pro-
cesos del tratamiento del riesgo, los controles presentes y los controles a im-
plementar. La evaluación del desempeño para medir el cumplimiento de la
norma, y a partir de esta evaluación realizar la mejora continua de la norma en
la organización.

Secciones de la norma 27001


Sección 4 – Contexto de la organización
Es el primer requisito de la norma, agrupa las indicaciones para el reconocimiento de la
organización y de su contexto. Esta sección, define los requerimientos para comprender
cuestiones externas e internas, también define las partes interesadas, sus requisitos y el
alcance del SGSI.

Sección 5 – Liderazgo
Describe la necesidad de todos los empleados de la organización en su contribución al es-
tablecimiento de la norma, para lograrlo, la alta dirección debe demostrar su liderazgo y
compromiso en la elaboración de una política de seguridad que conozca toda la organiza-
ción. Esta sección define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la informa-
ción.

Sección 6 – Planificación
Resalta la importancia de la determinación de riesgos, establecer objetivos de seguridad de
información y cómo lograr cumplir estos objetivos. Esta sección define los requerimientos
para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el
plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la in-
formación.

Sección 7 – Soporte
Establece que la organización debe contar con los recursos necesarios para el buen funcio-
namiento del SGSI. Esta sección define los requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y control de documentos y registros.

Sección 8 – Operación
Detalla que se debe planificar, implementar y controlar los procesos de la organización.
Esta sección define la implementación de la evaluación y el tratamiento de riesgos, como
también los controles y demás procesos necesarios para cumplir los objetivos de seguridad
de la información.

Sección 9 – Evaluación del desempeño


Esta sección define los requerimientos para monitoreo, medición, análisis, evaluación, audi-
toría interna y revisión por parte de la dirección para asegurar que todo funciona según lo
planificado.

Sección 10 – Mejora
Define las obligaciones que una organización tendrá cuando encuentre una no conformidad.
Esta sección define los requerimientos para el tratamiento de no conformidades, correccio-
nes, medidas correctivas y mejora continua.

Anexo A
Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos
en 14 secciones (secciones A.5 a A.18).

Al tener claramente definido todos los requerimientos de seguridad de informa-


ción, podemos pasar a una segunda etapa, que sería la implementación de la
norma ISO 27001 en la organización por medio de un SGSI (Sistema de Ges-
tión de Seguridad de la Información). Alexander A. (2016) nos detalla que se
deben seguir cuatro fases. Para iniciar con la primera fase, debemos tener co-
mo materia prima el conjunto de requerimientos y expectativas de la seguridad
de información, con este recurso se establecerá la primera fase que es el esta-
blecimiento del SGSI. Una segunda fase es llevar estás políticas y documentos
elaborados en la fase anterior a su ejecución en la organización, esto se deno-
mina como la implementación y operaciones del SGSI. La tercera fase es la de
monitoreo y revisión del SGSI, que consiste en determinar si las implementa-
ción de la fase anterior funciona. La última fase es de mejoramiento continuo
del SGSI, para esta fase se toman las cuestiones no resueltas en la fase de
monitoreo y se proponen las soluciones y ajustes necesarios para que la im-
plementación y operación del SGSI sea la más óptima posible. Como salida de
este proceso dividido en cuatro fases, obtendremos la seguridad de información
de la organización debidamente administrada. En la figura N° 39 vemos descri-
to este proceso de establecimiento de un Sistema de Gestión de la Seguridad
de Información.

Figura N° 39. Proceso de establecimiento de un Sistema de Gestión de Seguridad de


la información. Fuente: Alexander A. (2006).

Una vez que el SGSI en una organización se encuentra en funcionamiento y en


mejora continua, esta organización puede optar por realizar la certificación del
establecimiento de la norma 27001. Para ello Alexander A. (2006) nos detalla 8
pasos a seguir para que una organización pueda lograr la aprobación del certifi-
cador.
En primer paso es realizar un entendimiento de los requerimientos de seguri-
dad de información, aquí puede apoyarse del plan general de seguridad de in-
formación elaborado con anterioridad, cabe mencionar que las partes involu-
cradas no solo deben listar sus requerimientos, sino llegar a comprenderlos. Un
segundo paso es la determinación de la brecha, es decir cuanta es la distancia
entre el requerimiento detectado con respecto al cumplimiento de la seguridad
de información. Un tercer paso es el análisis y evaluación del riesgo, en donde
se determinan e identifican todas las situaciones que ponen en peligro la infor-
mación de la organización. Un cuarto paso es la elaboración del plan de gestión
de continuidad comercial, es decir poner por escrito como se mitigaran los ries-
gos detectados para que la información producida por la organización no en-
cuentre situaciones críticas que comprometa su producción y manejo. En un si-
guiente paso se establece el desarrollo de las competencias organizacionales a
todo nivel, para que los controles existentes y propuestos realmente se imple-
menten correctamente y funcionen adecuadamente. Con toda esta información
se puede partir con el sexto paso, en la redacción del Manual de Seguridad de
Información que detalla a manera de documentación todo el proceso de trata-
miento del riesgo con los respectivos controles. Como penúltimo paso, debe-
mos evaluar de manera interna el grado de cumplimiento de la norma, a mane-
ra de diagnóstico y para optar por realizar las medidas correctivas necesarias
para llegar a un nivel alto de cumplimiento. En la última etapa, un ente evalua-
dor realiza las labores de auditoria y evaluación del cumplimiento de la norma,
y si en caso se cumple con los establecido, la organización obtiene la certifica-
ción internacional. Cabe mencionar que estos pasos son parte de un ciclo conti-
nuo y que estos se repiten a través del tiempo, ya que el brindar un buen nivel
de seguridad de información no termina en la certificación internacional, sino
que continua de manera permanente en todas las operaciones de la organiza-
ción. En la figura N° 40 vemos de una manera gráfica este conjunto de ocho
pasos descritos líneas arriba.

Figura N° 40. Ciclo de implantación de la norma 27001. Fuente: Alexander A. (2006).

LECTURA SELECCIONADA No 1:
Fundamentos de ISO 27001 y su aplicación en las empresas. Villa P., Ladino M. y
López A. (2011). Universidad Tecnológica de Pereira, Scientia Et Technica,
XVII Abril, Pág. 334 - 339. Recuperado de:
http://www.redalyc.org/articulo.oa?id=84921327061. Pp 334-339
ACTIVIDAD FORMATIVA No 4

Elabora un organizador del conocimiento sobre la aplicación de la Norma Técnica


Peruana ISO/IEC 27001:2008 – ONGEI en una organización de tecnologías de la
información.

Instrucciones
 Elige un determinado organizador de conocimiento, puedes utilizar el dia-
grama conceptual, mapa mental, infografías, o el tipo de diagrama de su
preferencia.
 Ingresa al siguiente enlace para obtener la Norma Técnica Peruana ISO/IEC
27001:2008 – ONGEI: http://www.ongei.gob.pe/docs/isoiec27001.pdf
 Visualiza el siguiente video sobre los conceptos básicos sobre la Seguridad
de la Información: https://www.youtube.com/watch?v=zV2sfyvfqik
 Visualiza el siguiente video sobre los aspectos importantes sobre la implan-
tación del ISO 27001: https://www.youtube.com/watch?v=ZPY2p4hIG30.
 El tema a desarrollar es la aplicación de la NTP ISO/IEC 27001:2008 – ON-
GEI en una oficina de Tecnologías de la información de una empresa u orga-
nización.
 El organizador debe hacer mención a los conceptos de seguridad de informa-
ción, su planteamiento y aplicación en un sistema de gestión de seguridad
de la información, incluyendo los temas:
o Entendimiento de los requisitos de seguridad de la información.
o Implementar y operar controles de seguridad para administrar el
riesgo.
o Monitorear y revisar el desempeño de la seguridad de la información.
o Mejoramiento continuo con medición delos objetivos.
 El organizador puede realizarse a mano o con software aplicativo de su pre-
ferencia. Presentar el organizador en un archivo de texto WORD.
Tema N° 2: NORMATIVIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN Y COBIT
En el presente tema conoceremos las normas, estándares y guías utilizadas para la
seguridad de la información. Describiremos la norma NTP ISO/IEC 27001:2008
utilizada en Perú para la seguridad de información en las instituciones publicas y
privadas. Abordaremos también la privacidad de información desde el punto de
vista de los derechos humanos y la necesidad de adaptar las tecnologías actuales
para su cumplimiento. Finalmente conoceremos la guía COBIT para su aplicación en
una organización para el mejoramiento de la seguridad de información.

1. Normatividad peruana relacionada a la seguridad de la información

Para poder hablar de normatividad, es necesario referirnos a instituciones gu-


bernamentales dedicadas a la legislación, emisión de normas y estándares en
el campo de la información y tecnologías de la información. En la actualidad se
ha hecho presente una nueva tendencia para los gobiernos en el mundo, esta
tendencia es realizar las comunicaciones y brindar información a los ciudadanos
de las labores de gobierno mediante un medio electrónico, esto se le conoce
como Gobierno electrónico.

En Perú el gobierno electrónico ha sido encargado a la Presidencia de Consejo


de Ministros, que realizó la creación de una institución para estos fines, esta ha
sido denominada como la Oficina Nacional de Gobierno Electrónico ONGEI y en
la actualidad es la encargada de la normatividad en los temas de tecnologías de
la información y comunicaciones.

Según la Presidencia de Consejo de Ministros PCM (2014), el Gobierno Electró-


nico es entendido como el uso de las Tecnologías de la Información y la Comu-
nicación (TIC), por parte del estado, para brindar servicios e información a los
ciudadanos, aumentar la eficacia y eficiencia de la gestión pública, e incremen-
tar sustantivamente la transparencia del sector público y la participación ciuda-
dana.

La Oficina Nacional de Gobierno Electrónico e Informática ONGEI de la presi-


dencia de Consejo de Ministros PCM del gobierno del Perú es la encargada de
velar por el cumplimiento de estándares, políticas y buenas prácticas en el
campo de la electrónica e informática de los órganos del estado, como también
de la emisión de normas para su cumplimiento en las instituciones en el estado
peruano.

La ONGEI (2016) nos describe cuál es su función y trabajo en el Perú: La Ofici-


na Nacional de Gobierno Electrónico e Informática (ONGEI), es el Órgano Téc-
nico Especializado que depende directamente del Despacho de la Presidencia
del Consejo de Ministros (PCM) que tiene como funciones realizar lo siguiente:

 Liderar proyectos, normatividad, y actividades de gobierno electróni-


co que realiza el estado.
 Brindar la normatividad informática.
 Brindar la normatividad de seguridad de la información.
 Desarrollar proyectos emblemáticos de tecnologías de información y
comunicación (TIC).
 Brindar la asesoría técnica e informática a las entidades públicas.
 Ofrecer capacitación y difusión de temas de gobierno electrónico.
 Contribuir a la modernización y descentralización del estado.
En la figura N°41 vemos la página web oficial de la Oficina Nacional de Go-
bierno Electrónico ONGEI http://www.ongei.gob.pe/ que contiene la informa-
ción, lineamientos y normatividad disponible para su visualización y descarga
para todo ciudadano y persona interesada.

Figura N° 41. Página Web de la ONGEI. Fuente: ONGEI. (2016).

La ONGEI tiene publicados varios documentos normativos respecto a la seguri-


dad de la información, como también documentos de la aplicación de las nor-
mas en las instituciones del estado y plantillas estándar a usar para la imple-
mentación de la seguridad de información en los organismos gubernamentales.
En la figura N°42 observamos el grupo de documentos publicados sobre segu-
ridad de la información en el Perú. Estos documentos pueden ser obtenidos
desde la página de la ONGEI en el siguiente enlace:

http://www.ongei.gob.pe/entidad/ongei_tematicos.asp?cod_tema=4552

Figura N° 42. Normas y documentos oficiales de Seguridad de Información publica-


dos en la Página Web de la ONGEI. Fuente: ONGEI. (2016)
Vamos a centrarnos en una norma en particular, que contiene a manera de
guía una adaptación de la norma ISO 27001 para el gobierno del Perú, esta
es la Norma Técnica Peruana NTP-ISO/IEC 27001:2008 EDI Tecnología de
Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la
Información. En la figura N° 43 vemos la presentación de la Norma Técnica
Peruana NTP ISO IEC 27001:2008 publicada en el siguiente enlace también
disponible en la página web de la ONGEI:

http://www.ongei.gob.pe/docs/isoiec27001.pdf

Figura N° 43 Norma Técnica Peruana NTP ISO IEC 27001:2008. Fuente: ONGEI.
(2016)

Esta norma ha sido propuesta para ofrecer un modelo estándar para esta-
blecer, implementar, operar, monitorear, mantener y mejorar un efectivo
SGSI Sistema de Gestión de Seguridad de Información. Toma como base el
estándar internacional ISO/IEC 27001:2008 y adapta su estructura a la
realidad de gobierno electrónico y tecnologías de información del estado pe-
ruano, brindando las pautas necesarias para seguridad de información en
instituciones de gobierno como también en instituciones privadas. De modo
que si necesitamos implementar un sistema completo de seguridad de in-
formación en una organización y adoptar un estándar adecuado con el fin de
saber qué pasos seguir, podemos tomar como guía esta norma ISO/IEC
27007:2008 y tener la certeza que las actividades que estamos realizando
se encuentran alineadas a los estándares internacionales y la normatividad
peruana.
1.1 Privacidad de Información.
En la actualidad, la privacidad de información se ha vuelto un aspecto im-
portante, ya que con la masificación de las tecnologías de información y
comunicaciones (TIC) ha vuelto a ser considerada crítica para toda persona
y de vital importancia para los encargados del procesamiento de la infor-
mación. Pues al ser un derecho que toda persona goza, es deber de los go-
biernos y organizaciones salvaguardar la privacidad de información de to-
dos los usuarios que consumen los servicios ofrecidos.

Según Ángeles y Celia (2009), la privacidad es el ámbito de la vida personal de


un individuo que se desarrolla en un espacio reservado y debe mantenerse en la in-
timidad. Se encuentra amenazada por el desarrollo de la sociedad de la información
y la expansión de las telecomunicaciones, debido a que hay otro tipo de derecho en
el cual se defiende el conocimiento de las vidas de las celebridades.

La Declaración Universal de los Derechos Humanos, establece que el dere-


cho a la privacidad es el siguiente: “Nadie será objeto de injerencias arbi-
trarias en su vida privada, su familia, su correspondencia, ni de ataques a
su honra o su reputación. Toda persona tiene derecho a la protección de la
ley contra tales injerencias o ataques”. Con el uso de las tecnologías de in-
formación, surge la necesidad de adaptar todas estas tecnologías, equipos
y procesos al cumplimiento de este derecho.

Las Naciones Unidas expresan que en la actualidad la protección de la pri-


vacidad de la información de las personas que utilizan tecnologías de in-
formación y comunicaciones en su vida diaria es una tarea crítica, por ello
publicaron un draft resolution titulado “The right to privacy in the digital
age” (El derecho de la privacidad en la era digital) que precisa la adapta-
ción las nuevas tecnologías de información y comunicaciones a los Dere-
chos Humanos, conozcamos entonces qué es lo que nos menciona este im-
portante organización mundial sobre la privacidad de información en la ac-
tualidad:

… Considerando el rápido ritmo de desarrollo tecnológico que permite a los in-


dividuos de todo el mundo el usar nuevas tecnologías de información y comu-
nicación y, al mismo tiempo que se estimula la capacidad de los gobiernos, las
empresas y los individuos para llevar a cabo la vigilancia, interceptación y la re-
copilación de datos, que puede violar o abusar los derechos humanos, en parti-
cular el derecho a la privacidad de información, tal como se establece en el ar-
tículo 12 de la Declaración Universal de los Derechos Humanos y el artículo 17
del Pacto Internacional de Derechos Civiles y Políticos, por lo tanto, es un te-
ma de creciente preocupación reafirmar el derecho humano a la privacidad, se-
gún el cual nadie será objeto de injerencias arbitrarias o ilegales en su vida pri-
vada, familia, hogar, correspondencia; y el derecho a la protección de la ley
contra esas injerencias, reconociendo que el ejercicio del derecho a la privaci-
dad de información es importante para la realización del derecho a la libertad
de expresión y brindar opiniones sin interferencias, son los fundamentos de
una sociedad democrática… United Nations (2013 p. 01).

En el campo de la seguridad de información, es importante la protección de


la privacidad de las personas, por tanto, al hablar de integridad, confiden-
cialidad y disponibilidad de la información, debemos considerar a la priva-
cidad de información como un componente crítico dentro de la confidencia-
lidad. Todos los sistemas de información de las organizaciones deben tener
entre sus lineamientos la protección de los datos e información de los
usuarios, de las personas registradas y de los datos generados en los pro-
cesos de negocio. Del mismo modo, la tecnología, los procesos y las perso-
nas deben, también cumplir la misión de salvaguardar la privacidad de in-
formación.

2. Introducción a COBIT.
COBIT Objetivos de Control para Información y Tecnologías Relacionadas (Por
sus siglas en inglés: Control Objectives for Information and Related Techno-
logy). Es una guía propuesta en formato de framework que ha juntado la mejor
selección de información de buenas prácticas, experiencias de éxito y procesos
estándares para administración y gobierno de tecnologías de información en
una organización, también incluye actividades de autoría, control de sistemas
de información y una guía técnica de la gestión.
COBIT ha sido elaborada por ISACA Asociación de Auditoría y Control de Siste-
mas de Información (por sus siglas en inglés Information Systems Audit and
Control Association). Es una asociación internacional de expertos que tiene co-
mo objetivo el apoyo y patrocinio para el desarrollo de metodologías y certifica-
ciones para la realización de actividades auditoría y control en sistemas de in-
formación.
En la figura N° 44 vemos la presentación de la página oficial de la Asociación de
Auditoría y Control de Sistemas de Información ISACA, que pone a disposición
la información general de la asociación en los países de habla hispana a través
del siguiente enlace:
http://www.isaca.org/spanish/Pages/default.aspx

Figura N° 44 Página oficial de ISACA. Fuente: ISACA Asociación de Auditoría y Con-


trol de Sistemas de Información (2016).

COBIT tiene una serie de recursos que pueden ser usados como modelo de
referencia para la gestión de tecnologías de información, cuenta con un
resumen ejecutivo, un framework, un listado de objetivos de control, mapas
para labores de auditoría, herramientas para la implementación de auditoría y
principalmente, una guía de técnicas de gestión. En la figura N° 45 vemos el
logo oficial de la guía COBIT como también el nombre oficial brindado por
ISACA.
Figura N° 45 Título y logo de COBIT 5. Fuente: ISACA Asociación de Auditoría y Con-
trol de Sistemas de Información (2016).

Podemos mencionar que la misión de COBIT es conocer e identificar los


riesgos al que están sometidos los activos de tecnologías de información, para
posteriormente poder gestionarlos y tratarlos. Nos surge la pregunta, ¿Qué
riesgos podemos gestión al utilizar COBIT? Dentro de los riesgos de la
tecnologías de información podemos mencionar de manera general los
siguientes:
 Información errónea o inoportuna obtenida por los sistemas de
información.
 Tiempo laboral perdido por mal uso de recursos informáticos y
tecnológicos.
 Alteración, modificación, robo o eliminación de datos.
 Insatisfacción del usuario en el uso de tecnologías de información y
comunicaciones.
 Accesos no autorizados (involuntarios y voluntarios).
 Ineficiente uso de los recursos tecnológicos.
 Robo de información a partir procesos, tecnología y sistemas de
información.

2.1 Objetivos de COBIT


Toda empresa previamente tiene elaborada una matriz operacional de los
procesos de la organización, con el objetivo de conocer los riesgos que
ponen en peligro el normal desarrollo de las actividades. Por lo general,
esta matriz no considera el campo de las tecnologías de información, por
ello COBIT propone como un objetivo principal el incorporar a la matriz de
riesgo operacional, el riesgo de tecnologías de información asociado a cada
proceso de negocio.
Otro objetivo que considera COBIT es el concientizar a los responsables de
las Gerencias de Tecnología y Sistemas de Información, y a los dueños del
negocio, de la existencia de riesgos y brindar soluciones para su mitigación
y respectivo tratamiento.
Con la propuesta de experiencias exitosas y buenas prácticas, COBOT
también cuenta como objetivo el poder ayudar a descubrir y planificar
medidas oportunas para mantener los riesgos bajo control y llegar a una
estado de convivencia con todos los riesgos identeificados en la
organización.
Al implementar COBIT en una organización y realizar su cumplimiento de
una manera adecuada, permite preparar a la organización para procesos
de evaluación, auditoría y cumplimiento, para considerar como objetivo
final, lograr la certificación de ISACA por parte de un ente auditor.
Con respecto a la continuidad de servicios, inclusive en situaciones muy
críticas, COBIT tiene como objetivo el establecimiento y realización de
planes de contingencias y continuidad del negocio, como también el
establecimiento de sistemas de gestión de seguridad informática.
2.2 COBIT y la seguridad de información
Al considerar el uso de COBIT, podemos afirmar que el nivel de seguridad
de la información dentro de la organización se incrementa notablemente,
dando como resultado un buen ambiente de protección de información en
los procesos, tecnologías y personas. Según Pastor C. (2014), COBIT
identificó la confidencialidad, integridad y disponibilidad como los
elementos claves, y que estos mismos tres elementos son utilizados a nivel
mundial para describir los requerimientos de seguridad.
En la figura N° 46 apreciamos que COBIT tambien considera los tres pilares
de la seguridad de información, pues dentro de esta guía busca la
protección de la información para que esta sea integra, confidencial y se
encuentre disponible para las personas que la necesiten.

Figura N° 46 Confidencialidad, Integridad y Disponibilidad en COBIT 5. Fuente:


Ciencia, Técnica y Tecnología (2016)
Como mencionamos anteriormente COBIT es una antología de las mejores
prácticas, procesos y experiencias agrupadas por expertos al alrededor del
mundo, esta guía contiene referencias de otras guías y documentos, tales
como ITIL, el estándar ISO 17799, el estándar ISO 27001, etc. Estas guías
son el grupo más utilizado por las empresas para la seguridad de
tecnologías de la información y gestión de tecnologías de información. Se
pueden utilizar al mismo tiempo y en paralelo, sin ningún inconveniente
determinando adecuadamente el campo de acción y el alcance de cada una
de ellas, ya que representan mejores prácticas y experiencias que han sido
aprobadas, desarrolladas y testeadas en empresas de todo el mundo. En la
figura N° 47 vemos una comparativa entre dos metodologías, COBIT, que
considera el gobierno y administración de las tecnologías de información
desde el gobierno y administración de la organización; e ITIL que centra la
administración de las tecnologías de la información en base al servicio.
Ambas pueden aplicarse al mismo tiempo en una organización.

Figura N° 47 ITIL y COBIT diferentes enfoques gestión. Fuente: Pichardo, E.


et al (2015).
Lectura seleccionada N° 2:

Osores M. (2015) Principios de COBIT 5 para el gobierno efectivo de TI. Recuperado


de: http://searchdatacenter.techtarget.com/es/cronica/Principios-de-COBIT-
5-para-el-gobierno-efectivo-de-TI
El reporte “Los Principios de COBIT 5” está disponible para descargarse sin costo
en www.isaca.org/COBIT5-Principles. El marco COBIT 5 puede descargarse sin cos-
to en www.isaca.org/COBIT. COBIT 5 en línea se lanzará a finales del 2014 con
gráficas RACI personalizables y cascadas de objetivos. Mientras tanto, una vista
previa está disponible en cobitonline.isaca.org.
GLOSARIO DE LA UNIDAD IV
1. Aplicación de software
Son los programas de software diseñados para o por los usuarios para facilitar la
realización de tareas específicas en una computadora.
2. ARPANET
(Advanced Research Projects Agency Network) es la Red de la Agencia de
Proyectos de Investigación Avanzada, organismo del gobierno de Estados Unidos
ahora denominado como Agencia de Proyectos de Investigación Avanzados de
Defensa.
3. Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los
criterios de un estándar.
4. Código fuente
Es un conjunto de líneas de texto que son las instrucciones que debe seguir la
computadora para ejecutar un programa.
5. Control
Las políticas, los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel de riesgo asumido.
6. Declaración de aplicabilidad
Documento que lista los controles aplicados por el Sistema de Gestión de
Seguridad de la Información – SGSI, de la organización tras el resultado de los
procesos de evaluación y tratamiento de riesgos y su justificación, así como la
justificación de las exclusiones de controles del anexo A de ISO 27001.
7. Desarrollo de software
Conjunto de actividades con el objetivo de realizar la construcción de un
software que aplica estructuras y arquitecturas para llevar a cabo la creación de
un producto.
8. ISO/IEC
Son las sigla de International Organization for Standardization, la Organización
Internacional de Normalización y la IEC es la International Electrotechnical
Commission, Comisión internación Electrotecnica.
9. Plan de continuidad del negocio
Plan orientado a permitir la continuación de las principales funciones misionales
o del negocio en el caso de un evento imprevisto que las ponga en peligro.
10. Protocolo
Es un sistema de reglas y lineamientos que permiten que dos o más entidades
de un sistema de comunicación se comuniquen entre ellas para transmitir
información por cualquier medio establecido.
11. Servicio
Es una aplicación de software que no cuenta con interface de usuario.
12. SGSI
Sistema de Gestión de Seguridad de la Información, es un conjunto de
elementos interrelacionados o interactuantes (estructura organizativa, políticas,
planificación de actividades, responsabilidades, procesos, procedimientos y
recursos) que utiliza una organización para establecer una política y unos
objetivos de seguridad de la información y alcanzar dichos objetivos, basándose
en un enfoque de gestión y de mejora continua.

BIBLIOGRAFÍA BÁSICA DE LA UNIDAD IV

27001 Academy (2016). ¿Cómo es realmente ISO 27001?. Recuperado de:


http://advisera.com/27001academy/es/que-es-iso-27001/
Alexander A. (2006). Implantación del ISO 27001:2005 "Sistema de Gestión de
Seguridad de Información". Recuperado de:
http://www.iso27000.es/download/Implantacion_del_ISO_27001_2005.pdf
Ángeles y Celia (2009). Derecho a la Privacidad y a la Libertad de Información -
Significado. Recuperado de: https://anncel.wordpress.com/significado/
BSI (2016). Norma ISO/IEC 27001 - Gestión de la Seguridad de la Información.
Recuperado de: http://www.bsigroup.com/es-ES/Seguridad-de-la-
Informacion-ISOIEC-27001/
Centro de investigación, desarrollo e innovación SmartCIDI (2015). La normativa
ISO/IEC 27001 y su importancia en la Seguridad de la Información. Recupe-
rado de: http://smartcidi.com/seguridad/la-normativa-isoiec-27001-y-su-
importancia-en-la-seguridad-de-la-informacion/
Centro de Posgrados y Actualización Profesional en Informática Universidad de la
República (2015). Curso: Seguridad de aplicaciones. Recuperado de:
https://www.fing.edu.uy/cpap/cursos/seguridad-en-aplicaciones
CEO Developers Oficial (2014). Web Site, Security. Recuperado de:
http://ceodevelopersoficial.blogspot.pe/2014/12/web-site-security.html
Ciencia, Técnica y Tecnología (2016). Seguridad de la Información. Recuperado de:
http://pautecnologia.bligoo.com.mx/seguridad-de-la-informacion-o-o#.V-
TvQPnhCM8
E. y Torres, O. (2015). ITIL y COBIT. Recuperado de:
https://auditoriaensistemasblog.wordpress.com/2015/08/14/itil-y-cobit-213/
Facultad de Ciencias Exactas (2016). El modelo OSI. Universidad Nacional del Cen-
tro de la Provincia de Buenos Aires. Recuperado de:
http://www.exa.unicen.edu.ar/catedras/comdat1/material/ElmodeloOSI.pdf
ISACA Asociación de Auditoría y Control de Sistemas de Información (2016). Acer-
ca de ISACA. Recuperado de:
http://www.isaca.org/spanish/Pages/default.aspx
ISOTools (2016). ISO 27001 Descripción. Recuperado de:
https://www.isotools.org/normas/riesgos-y-seguridad/iso-2700
Microsoft Developer Network. (2007). Procedimientos de seguridad básicos para
aplicaciones Web. Recuperado de: https://msdn.microsoft.com/es-
es/library/zdh19h94(v=vs.100).aspx
ONGEI (2016). Quienes somos. Recuperado de:
http://www.ongei.gob.pe/quienes/ongei_QUIENES.asp
Pastor C. (2014). COBIT: Un Marco De Trabajo Para El Desarrollo De Una Auditoría
Eficaz. QUIPUKAMAYOC Revista de la Facultad de Ciencias Contables Vol. 22
N. º 42 pp. 129-135 UNMSM. Recuperado de:
http://revistasinvestigacion.unmsm.edu.pe/index.php/quipu/article/view/110
45/9934
Pichardo, E., Gonzáles, S., Hernández, A., Hidalgo, D., Almonte, J., Díaz, E., Marc,
Presidencia de Consejo de Ministros PCM (2014). ONGEI desarrolló el seminario
“Gobierno Electrónico y Sociedad de la Información en Huancayo”. Recupera-
do de: http://www.pcm.gob.pe/2014/04/ongei-desarrollo-el-seminario-
gobierno-electronico-y-sociedad-de-la-informacion-en-huancayo/
Provos N. (2007). The Ghost In The Browser Analysis of Web-based Malware. Re-
cuperado de:
https://www.usenix.org/legacy/events/hotbots07/tech/full_papers/provos/pro
vos.pdf
United Nations (2013). The right to privacy in the digital age. Recuperado de:
https://www.hrw.org/sites/default/files/related_material/UNGA_upload_0.pdf
AUTOEVALUACION No 4
1. En el modelo OSI de comunicaciones en red ¿Cuál es la capa de aplicación?
A. Capa 1.
B. Capa 2.
C. Capa 5.
D. Capa 6.
E. Capa 7.

2. En el modelo de comunicaciones TCP/IP, ¿Cuál es la capa de aplicación?


A. Capa 1 y capa 2.
B. Capa 2 y capa 3.
C. Capa 3.
D. Capa 4.
E. Capa 3 y capa 4.

3. Los/las _________ son lineamientos, pasos y estándares ya establecidos


que las aplicaciones utilizan para realizar sus comunicaciones.
A. Protocolos.
B. Puertos.
C. Sockets.
D. Paquetes.
E. Tramas.

4. Se considera como el eslabón más débil en la seguridad de la información:


A. Una persona utilizando una aplicación en una empresa.
B. Un firewall instalado en una red organizacional.
C. Un proxy instalado en una red organizacional.
D. Una estación de trabajo PC destinado al trabajo diario de la empresa.
E. La red inalámbrica con acceso restringido de la organización.

5. ¿Para qué se implementa la norma ISO 27001 en una organización?


A. Para el control del desarrollo de software.
B. Para el control de la compra de los recursos de la oficina de tecnologías
de información.
C. Para la seguridad de la información brindando integridad, confidenciali-
dad y disponibilidad.
D. Para el control y seguimiento de proyectos de la empresa.
E. Para el gobierno electrónico y administración de recursos de tecnologías
de la información.

6. En el Perú es la institución encargada del gobierno electrónico.


A. Ministerio de Transportes y Comunicaciones.
B. INEI.
C. Ministerio del Interior.
D. ONGEI.
E. Poder legislativo.

7. Es una norma peruana para la seguridad de información en instituciones pú-


blicas y privadas.
A. ITIL
B. COBIT.
C. NTP ISO/IEC 27001:2008.
D. ISO 9001.
E. ISO 27000.
8. El derecho a la ________________ es la protección ante injerencias arbi-
trarias de la vida privada, familia, correspondencia ni de ataques a la honra
o su reputación.
A. Integridad.
B. Disponibilidad.
C. No repudio.
D. Libre elección.
E. Privacidad.

9. Es una guía para la auditoria, gobierno de TI y seguridad de información


propuesta por ISACA.
A. COBIT.
B. ITIL.
C. RiskIT.
D. ISO 27001.
E. ValueIT.

10. Esun objetivo de COBIT.


A. Administrar las tecnologías de información en base a servicios.
B. Dar valor a los recursos de tecnologías de información.
C. Incluir los riesgos de tecnologías de la información en la matriz operacio-
nal.
D. Administrar el desarrollo de sistemas informáticos.
E. Brindar presupuestos y costos de la generación de información en la or-
ganización.
Respuestas Autoevaluación Unidad IV

Pregunta Respuesta
1 E
2 D
3 A
4 A
5 C
6 D
7 C
8 E
9 A
10 C