La seguridad informática: Consiste en el aseguramiento de los recursos de los sistemas de

información de una organización. Para que su acceso a la información allí contenida, así como su
modificación solo sea posible por personas autorizadas.

Esquemas de aseguramiento de información

Esquema prohibiti vo:

Características: Bastante laborioso, desgastante, proceso de largo plazo, alta periodicidad.

Orientación: Listas negras, listas de prohibiciones, lista de actividades.
Ejemplo: Regular el tiempo de la navegación de la web, uso de redes sociales y servicios
públicos. Emisión de correos electrónicos al exterior reguladas por el dominio, etc.
Esquema Permisivo:

Características: Laborioso, poco desgastante, proceso corto y mediano plazas y baja

periodicidad
Orientación: hardening de servicios, restricción de recursos compartidos, focalizar servicios
de telecomunicaciones, asegurar la conectividad
Ejemplo: Hardening de servicios tecnológicos, al establecer, aquellas funciones de bases de
datos y sistemas operativos. Cerrar puertos que no estén en uso
Hardening de servicios: Es el proceso de asegurar un sistema mediante la reducción de
vulnerabilidades en el mismo, esto se logra eliminando software, servicios, usuarios, etc.
Cerrar puertos que no estén en uso.

Valor de la información:
Archivo de computadora, formula de un producto etc. Se clasifican como datos o información. No
solo se trata de proteger los equipos sino toda la información posible. El tema de la seguridad
informática desde la cultura, por ejemplo, las contraseñas escritas en los cuaderno.

ISO 17799
Es un estándar, da la pauta en la definición sobre cuales metodologías, políticas y criterios deber
ser aplicadas
Políticas de seguridad: Se definen como obligatorias, las políticas de seguridades
documentadas y procedimientos internos de la organización.
Aspectos organizativos: Establece un marco forma de seguridad que debe integrar la
organización.
Seguridad Ligada al Personal: Contrario a lo que uno se puede imaginar, no se orienta a la
seguridad del personal desde la óptica de producción civil, sino da proporcionar controles
a las acciones de personal que opera activos de información.
Seguridad Física y del Entorno: Identificar los perímetros de seguridad de forma que se
puedan establecer controles en el manejo de equipos, transferencia de información y
control de los accesos a las distintas áreas.
Gestión de comunicaciones y operaciones: Integrar los procedimientos de operación de
la infra. tecnológica y controles de seguridad documentados, que van desde el control de
cambios en la configuración de los equipos, manejo de incidentes, administración de
aceptación de sistemas
 Control de accesos: Habilitar los mecanismos que permiten monitorear el acceso a los
activos de información que incluyen los procedimientos de admin de usuarios.

Desarrollo y mantenimiento de sistemas: La organización debe disponer de

procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados. Para
tareas específicas de la organización.
Gestión de continuidad del negocio: El sistema de admin de seguridad debe integrar los
procedimientos de recuperación de contingencias, los cuales deben ser revisados de
manera constante.
Cumplimiento de la legislación: La organización establecerá los requerimientos de
seguridad que deben cumplir todos sus proveedores socios y usuarios; estos se
encontraran formalizados en un contrato.

Niveles de seguridad:

Están compuestos por la seguridad organizativa, lógica, física y legal. Cada uno de ellos actúa en
distintos ámbitos del dominio de control.

Un sistema debe cumplir todas los estatus legales y normativas de un país donde sea utilizado,
por ejemplo, un sistema de facturación.

Niveles de decisión:

Están compuestos por los niveles operativos, Estratégicos y tácticos. Cada uno de ellos permite
delimitar las tomas de decisiones dentro de los dominios de control , de manera que afecten a los
diferentes niveles organizacionales

Por ejemplo: Cuando existen políticas de seguridad que son implementadas en toda la
organización específicas para áreas restringidas , puestos de trabajo con funciones especiales,
un datacenter solo una persona el sysadm

ISO1779-DOMINIOS DE CONTROL

De estos dominios nombrados se derivan objetivos de control y 127 o mas controles. Ambos se
encuentran destinados a dotar y esparcir seguridad a la información en el ambiente digital.

Funciones primarias de autenticación y aseguramiento

CONFIDENCIALIDAD: Solo las personas autorizadas podrán ver la info. La información debe ser
legible y perceptible, solamente aquellas entidades funcionales que están en un nivel de
autorización adecuado. La información debe ser clasificada entre dominios públicos y dominios
privados. Se deben reducir accesos genéricos hasta eliminarlos definitivamente.
INTEGRIDAD: La información solamente puede ser modificada, por aquellas entidades funcionales
que están en un nivel autorización adecuada, bajo un proceso diseñado de manera controlada.
Ej: Ejecutar el proceso de cierre contable, de forma diaria, semanal, mensual, anual; pasando por
cada una de sus operaciones básicas.

DISPONIBILIDAD: La información debe estar disponible en el momento adecuado para aquellas

entidades funcionales, cuanto se le necesita.
Ej: Toda la información de un sistema de contabilidad debe estar 5 años.
IRREFUTABILIDAD (No repudio): La utilización de la información, por cualquier medio y de
cualquier forma, de parte de una entidad funcional. Debe ser irrefutable, es decir que la entidad
funcional no puede negar, o contradecir haber realizado una acción.
No puede negar haber realizado dicha acción.
AUTORIZACIÓN: El acto de determinar si el nivel de autorización de acceso para aquellas
entidades funcionales es el mas adecuado para realizar las operaciones solicitadas.
CONTABILIDAD: El registro puntual, conciso de las transacciones de sus momentos de los
responsables directos, indirectos o alternos de sus ejecuciones.

Principales atacantes:
HACKER: Persona con amplios conocimientos de tecnología, bien puede ser informática,
electrónica o comunicaciones, se mantiene permanente actualizado.
CRACKER: Se denominan a aquella persona con comportamiento compulsivo, que alardea de su
capacidad para reventar sistemas electrónicos e informáticos, Un cracker es hábil conocedor de
programación de software.
Lammer: Personas deseosas de alcanzar nivel de hacker, pero su poca información y sus
conocimientos les impiden realizar este sueño. Su trabajo se reduce a ejecutar creados otros, a
bajar software en forma indiscriminada.
Copyhacker: son una generación de falsificadores dedicados al crackeo de hardware,
específicamente en el sector de tarjetas inteligentes. Su estrategia establece en realizar amistad
con los verdaderos hackers y copiarles los métodos de ruptura.
Bucaneros: Son comerciantes de la red mas no existen en ella; aunque no poseen ningún tipo de
formación en el área de sistemas, si poseen un amplio conocimiento en area de negocios.
Newbie: Es el típico novato de red, sin proponérselo tropieza con una pagina de hacking y
descubre áreas de buenos programas de hackeo y empieza a trabajar con ellos.
Script kiddie: son simples usuarios de internet sin conocimientos de hack o crack , aunque son
aficionados estos temas, , no los comprenden realmente simplemente son internautas-
También llamados los pulsa botones.

Modalidad de ataques:
Ataques pasivos: Cuando la entidad atacante no altera el sistema de comunicación, únicamente la
escucha y monitorea, para obtener flujo de información.
Ataques Activos: Cuando la entidad atacante si altera el sistema de comunicación, tanto en el
mecanismos utilizado por dicho sistema, con el contenido del flujo de información.

Modalidad Incidentes según su origen

Incidentes internos: Aquellos planeados, provocados ejecutados por personal dentro de las
instituciones, que tiene el nivel de autorización necesario para administrar los distintos
componentes.
Incidentes externos:
Aquellos planeados, provocados , emotividades o ejecutados por el personal externo a las
instituciones.
Modalidad de acción:
Modalidades proactivas: Son aquellas en las que las medidas de control serán tomadas e
implementadas priori es decir de prevención de los posibles hechos que violenten la seguridad de
la información.
Modalidades Reactivas: (ver presentación).
Son aquellas en las que las medidas de control serán tomadas e implantadas a posterior es decir
en corrección a los hechos que violentaron la seguridad de información.

Análisis de Riesgo:
Deben ser considerados en el contexto del negocio y las interrelaciones con otras funciones de
negocios, tales como recursos humanos , desarrollo, producción etc. Y los clientes serán
identificados para lograr una imagen global y comenta de riesgos.
Es importante recordar que el riesgo es impacto negativo.
Existen diferentes riesgo residual, total así como también el tratamiento del riesgo , evaluación del
riesgo y gestión del riesgo entre otras.
Formula determinar el riesgo total: RT (Riesgo Total)= Probabilidad x Impacto promedio.

Términos relacionados con análisis de riesgo:

Activo: Recurso necesario para que la organización funcione correctamente.
Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo
daños materiales o inmateriales.
Impacto: Medir la consecuencia al materializarse la amenaza.
Riesgo: Cuando no se tiene una app informática o antivirus para proteger un p
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo
Ataque: Evento, exitoso o no que atenta sobre un buen funcionamiento del sistema.
Desastre o contingencia: Interrupción de la capacidad de acceso a la info. Y procesamiento de la
misma a través de computadoras para la operación normal del negocio.

Análisis de Riesgos- Definición de activos de

información
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres
elementos que conforman los activos.
1. Información: Objeto de mayor valor de la organización.
2. Equipos que la soportan: Software, hardware y organización
3. Usuarios: individuo

Proceso de administración de riesgos

El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar
periódicamente los riesgos encontrados y si estos tienen afectados
Los controles para implementar están orientados a:
Controlar el riesgo: Fortalecer los controles existentes agregando nuevos controles
Eliminar el riesgo Eliminar el activo relacionado con ello se elimina el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales, parte del riesgo se traspasa a tercero.
Aceptar el riesgo: Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Regulaciones y normativas relacionadas-
Comunicación “A” 4609 del BCRA para entidades Financieras: Requisitos
mínimos de gestión, implementación y control de los riesgos, relacionados con
tecnología informática y sistemas de información.
ISO/IEC 27001: Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información (SGSI).
ISO/IEC 27005: Esta Norma proporciona directrices para la Gestión del Riesgo
de Seguridad de la Información en una Organización. Sin embargo, esta Norma
no proporciona ninguna metodología específica para el análisis y la gestión del
riesgo de la Seguridad de la Información.
Basilea II: Estándar internacional que sirva de referencia a los reguladores
bancarios, con objeto de establecer los requerimientos de capital necesarios,
para asegurar la protección de las entidades frente a los riesgos financieros y
operativos.
Ley Sarbanes Oxley (SOX): Impulsada por el gobierno norteamericano, como
respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco
International, WorldCom y Peregrine Systems. Es un conjunto de medidas
tendientes a asegurar la efectividad de los controles internos sobre reportes
financieros.

Análisis de Riesgos – Metodología

Enfoque top-down de seguridad
El proceso debe comenzar desde la parte superior, con ideas muy amplias y las condiciones de
trabajo y encaminarse hacia abajo hacia la configuración detallada y parámetros del sistema

Sistema de gestión de la seguridad de la información

Sistema de Gestion de seguridad de la información como su nombre lo sugiere , es un conjunto de
politicas de administración de la información.

es para una organización el diseño , implementación y mantenimiento de un conjunto de procesos

para gestionar eficientemente la accecibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad

Circulo de Deming
Tipo plan-do-check-act

Plan : Fase del diseño

DO: Envuelve la implantación y operación de los controles
CHECK: revisa el desempeño
ACT: Se realizan cambios cuando se necesario para llevar el sgsi al máximo rendimiento.

Consideraciones elaborar un sistema de seguridad

integral:
Sistema integral debe contemplar:

Definir elementos administrativos

Organizar y dividir responsabilidades
Números de teléfono de emergencia
Definir tipos de polizas de seguro

Gobierno de IT
Parte integral del gobierno de la empresa, consiste en el liderazgo , las estructuras organizaciones
a los procesos que aseguran que la organización e IT y las estrategias y objetivos de la organización
se encuentre alineado.

Gobierno de la seguridad de la información:

Proceso de establecer y mantener un marco y una estructura de gestión y procesos que provean
aseguramiento de que las estrategias de seguridad de la información están alineados con los
objetivos del negocio.

Security governace : Es un sistema coherente de los componentes de la seguridad integrados, que

existen para a seguridad que la organización sobreviva y prospere.

ISO/IEC 38500:2008 Es la primera de una serie de gobiernos de TI. Su objetivo es proporcionar un

marco de principios de la dirección.

La norma se aplica al gobierno de los procesos de gestión de las TI en todas las tecnologías.
Beneficios de un buen gobierno de TI:

 Los estándares de seguridad

 Legislación de privacidad
 Legislación sobre spam
 Legislación sobre prácticas comerciales.
 Derechos de propiedad intelectual, incluyendo acuerdos de la licencia de software.
 Regulación medioambiental.
 Normativa de seguridad y salud laboral.
 Legislación sobre accebilidad

También la búsqueda de un buen rendimiento de TI mediante: