DIPLOMADO EN SEGURIDAD INFORMÁTICA

UNIDAD DIDÁCTICA 1

1. ¿Qué es la seguridad Informática?

La seguridad informática puede definirse como cualquier medida que impida la

ejecución de operaciones no autorizadas sobre un sistema o red informática,
cuyos efectos puedan conllevar daños sobre la información, comprometer su
confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos
o bloquear el acceso de usuarios autorizados al sistema.

De manera similar es necesario considerar los siguientes aspectos:

 Cumplimiento de regulaciones legales aplicables a cada sector o tipo de

organización, dependiendo del marco legal de cada país.
  Control de acceso a los servicios ofrecidos y la información guardada por
un sistema informático.
 Control en el acceso y utilización de ficheros protegidos por la ley:
contenidos digitales con derechos de autor, ficheros con datos de carácter
personal, etc.
 Registro del uso de los servicios de un sistema informático.

De acuerdo con lo establecido por la norma ISO/IEC 177991 se define “la

seguridad de la información como la preservación de su confidencialidad, su
integridad y su disponibilidad” (La sigla CIA es utilizada en inglés:
Confidencialy,Integrity, Availability).

La siguiente figura muestra el enfoque de dicha norma.

Figura Nro. 1 Seguridad de la información según normativa ISO/IEC177992.

Dependiendo del tipo de información manejada y de los procesos realizados por

una organización, ésta podrá otorgar mayor importancia a garantizar la
confidencialidad, la integridad o la disponibilidad de sus activos de información.

1
https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf
2
Figura Tomada de:
https://www.google.com.co/search?q=ISO/IEC+17799&espv=2&biw=1366&bih=623&site=webhp&source=l
nms&tbm=isch&sa=X&ved=0ahUKEwiayMSczczNAhWIKCYKHR29Bf0Q_AUIBigB&dpr=1#imgrc=tlw7g5CPaoh
22M%3A
La norma ISO 74983 por su parte define la seguridad de la información como -
“una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos
en una organización”.

Asimismo, podemos mencionar otra definición propuesta por INFOSEC Glossary

20004: La seguridad informática son las medidas y controles que aseguran la
confidencialidad, integridad, disponibilidad de activos de los sistemas de
información incluyendo hardware, software , firmware y aquella información que
procesan , almacenan y comunican”.

1.1 Objetivos de la seguridad informática

Los objetivos de la seguridad informática son:

 Minimizar y gestionar los riesgos.

 Detectar los posibles problemas y amenazas de seguridad.
 Garantizar la adecuada utilización de los recursos y de las aplicaciones del
sistema.
 Limitar las pérdidas de información.
 Conseguir la adecuada recuperación del sistema en caso de un incidente
de seguridad.
 Cumplir con el marco legal.
 Cumplir con los requisitos impuestos por los clientes a nivel contractual.

Para cumplir con estos objetivos las empresas deben contemplar cuatro planos de
actuación: El técnico, el legal, el humano y el organizativo.

 Técnico: tanto a nivel físico como a nivel lógico.

 Legal: Dependiendo de la legislación del país algunos gobiernos exigen que
en determinados sectores se implementen una serie de medidas de
seguridad (sector de servicios financieros y sector sanitario de Estados
Unidos, protección de datos personales en la Unión Europea, etc.).
 Humano: sensibilización y formación de empleados y directivos, definición
de funciones y obligaciones de personal.
 Organizativo: definición e implantación de políticas de seguridad, planes,
normas, procedimientos y buenas prácticas de actuación.

3
http://www.ecma-international.org/activities/Communications/TG11/s020269e.pdf
4
http://handle.dtic.mil/100.2/ADA433929
1.2 Servicios de seguridad de la información

Para poder alcanzar los objetivos descritos en el numeral 1.1 dentro del proceso
de gestión de la seguridad informática es necesario contemplar una serie de
servicios o funciones de seguridad de la información:

Confidencialidad: Mediante este servicio o función de seguridad se garantiza que

cada mensaje transmitido o almacenado en un sistema informático solo podrá ser
leído por su legítimo destinatario. Si dicho mensaje cae en manos de terceros,
éstos no podrán acceder al contenido del mensaje original. Por lo tanto, este
servicio pretende garantizar la confidencialidad de los datos almacenados en un
equipo, de los datos guardados en dispositivos de back up y/o de los datos
transmitidos a través de Redes de comunicaciones.

Autenticación: La autenticación garantiza que la identidad del creador de un

mensaje o documentos es legítima, es decir, gracias a esta función el destinatario
de un mensaje podrá estar seguro de que su creador es la persona que figura
como remitente de dicho mensaje. De manera similar se puede hablar de
autenticidad de un equipo que se conecta a una red o intenta acceder a un
determinado servicio. En este caso, la autenticación puede ser unilateral, cuando
sólo se garantiza la identidad del equipo (usuario o terminal que intenta conectar a
la red) o mutua, en el caso de que la red o el servidor también se autentica de cara
al equipo, usuario o terminal que establece la conexión.

Integridad: La función de integridad se encarga de garantizar que un mensaje o

fichero no ha sido modificado desde su creación o durante su transmisión a través
de una red informática. De este modo, es posible detectar si se ha añadido o
eliminado algún dato en un mensaje o fichero almacenado, procesado o
transmitido por un sistema o red informática.

No repudiación: El objeto de este servicio de seguridad consiste en implementar

un mecanismo probatorio que permita demostrar la autoría y envío de un
determinado mensaje, de tal modo que el usuario que lo ha creado y enviado a
través del sistema no pueda posteriormente negar esta circunstancia, situación
que también se aplica al destinatario del envío. Este es un aspecto de especial
importancia en transacciones comerciales y que permite proporcionar a
compradores y vendedores una seguridad jurídica que va a estar soportada por
este servicio.
En un sistema informático, por lo tanto, se puede distinguir entre la no repudiación
de origen y la no repudiación de destino.

Disponibilidad: La disponibilidad del sistema informático también es una cuestión

importante para garantizar el cumplimiento de sus objetivos, ya que se debe
diseñar un sistema lo suficientemente robusto frente a ataques e interferencias
como para garantizar su correcto funcionamiento, de manera que pueda estar
permanentemente a disposición de los usuarios que deseen acceder a sus
servicios.

Dentro de la disponibilidad también debemos considerar la recuperación del

sistema frente a posibles incidentes de seguridad, desastres naturales o
intencionados (incendios, inundaciones, sabotajes, huracanes, terremotos, etc.).

Es importante mencionar que de nada sirven los otros servicios de seguridad si no

hay disponibilidad para que los usuarios puedan utilizar el sistema informático.

Autorización (Control de acceso a equipos y servicios): Mediante el servicio de

autorización se persigue controlar el acceso a usuarios a los distintos equipos y
servicios ofrecidos por el sistema informático, una vez superado el proceso de
autenticación de cada usuario. Para ello se definen unas listas de control de
acceso (ACL) con la relación de usuarios y grupos de usuarios y sus distintos
permisos e acceso a los recursos del sistema.

Auditabilidad: El servicio de auditabilidad o trazabilidad permite registrar y

monitorizar la utilización de los distintos recursos del sistema por parte de los
usuarios que ha sido previamente autenticados y autorizados. De este modo es
posible detectar situaciones o comportamientos anómalos por parte de los
usuarios, además de llevar un control del rendimiento del sistema (tráfico cursado,
información almacenada y volumen de transacciones realizadas por mencionar
algunos ejemplos).

Reclamación de origen: mediante ésta el sistema ´permite probar quien ha sido el

creador de un determinado mensaje o documento.

Reclamación de propiedad: Este servicio permite probar que un determinado

documento o un contenido digital protegido por derechos de autor (canción, video
o libro, etc.) pertenece a un determinado usuario u organismo que ostenta la
titularidad de los derechos de autor.
Anonimato en el uso de servicios: En la utilización de determinados servicios
dentro de las redes y sistemas informáticos también podría resultar conveniente
garantizar el anonimato de los usuarios que acceden a los recursos y consumen
determinados tipos de servicios, preservando su privacidad. Este servicio de
seguridad, no obstante podría entran en conflicto con otros de los ya mencionados
como son la autenticación o la auditoria del acceso a los recursos. Algunos
gobiernos a nivel mundial por el control e interceptación de todo tipo de
comunicaciones ante el problema del terrorismo internacional está provocando la
adopción de nuevas medidas para restringir el anonimato y la privacidad de los
ciudadanos que utilizan estos servicios.

Protección a la réplica: Mediante este servicio de seguridad se trata de impedir la

realización de “ataques de repetición” – “replay attacks” por parte de usuarios
maliciosos, consistentes en la interceptación y posterior reenvió de mensajes para
tratar de engañar al sistema y provocar operaciones no deseadas, como podría
ser el caso de realizar varias veces una misma transacción bancaria en perjuicio
de otros clientes de la entidad.

Para ello, en este servicio se suele recurrir a la utilización de un número de

secuencia o sello temporal en todos los mensajes y documentos que necesiten ser
protegidos dentro del sistema, de forma que se puedan detectar y eliminar
posibles repeticiones de mensajes que ya hayan sido recibidos por el destinatario.

Confirmación de la prestación de un servicio o la realización de una transacción:

Este servicio de seguridad permite confirmar la realización de una operación o
transacción, reflejando los usuarios o entidades que han intervenido en ésta.

Referencia Temporal (certificación de fechas): Mediante este servicio de seguridad

se consigue demostrar el instante concreto en que se ha enviado un mensaje o se
ha realizado una determinada operación (utilizando normalmente una UTC –
Referencia Universal Time Clock) para ello se suele recurrir al sellado temporal del
mensaje o documento en cuestión.

Certificación mediante Terceros de Confianza: La realización de todo tipo de

transacciones por medios electrónicos requiere nuevos requisitos de seguridad, a
fin de garantizar la autenticación de las partes que intervienen, el contenido e
integridad de los mensajes o la constatación de la realización de una operación o
comunicación en un determinado instante temporal. Para poder ofrecer algunos de
estos servicios de seguridad se empieza a recurrir a la figura del “Tercero de
Confianza” que es un organismo que se encarga de certificar la realización y el
contenido de las operaciones y de avalar la identidad de los intervinientes,
dotando de este modo a las transacciones de una mayor seguridad jurídica.

1.3 Algunas técnicas y mecanismos de seguridad

En un sistema informático se puede recurrir a la implantación de diversas técnicas

y mecanismos de seguridad para poder ofrecer los servicios de seguridad que se
han descrito anteriormente. Dichas técnicas y mecanismos se mencionan a
continuación:

 Identificación de usuarios y políticas de contraseñas.

 Control lógico de acceso a los recursos.
 Copias de seguridad.
 Centros de respaldo.
 Cifrado de las transmisiones.
 Huella digital de mensajes.
 Sellado temporal de mensajes.
 Utilización de la firma electrónica.
 Protocolos criptográficos.
 Análisis y filtrado de tráfico(cortafuegos).
 Servidores proxy.
 Sistema de detección de intrusiones (IDS).
 Antivirus, etc.

1.4 Principio de defensa en Profundidad5

Este principio consiste en el diseño y la implantación de varios niveles de

seguridad dentro del sistema informático de la organización. De este modo si una
de las barreras es cruzada por los atacantes, conviene disponer de medidas de
seguridad adicionales que dificulten y retrasen su acceso a información
confidencial o el control por su parte de recursos críticos del sistema: seguridad
perimetral (cortafuegos /Firewalls, proxies y otros dispositivos que constituyen
como podría llamarse la primera línea de defensa); seguridad en los servidores,
auditorias y monitorización de eventos de seguridad, etc.

5
http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/mementodep-V1.1_es.pdf
Cuando aplicamos este principio se reduce de manera notoria el número de
potenciales atacantes, ya que los Hackers aficionados solo se atreven con los
sistemas informáticos más vulnerables y por tanto más fáciles de atacar.

Las siguientes dos figuras muestran el concepto de forma gráfica:

Figura Nro. 2. Principio de Defensa en profundidad.

 Figura Nro. 3. Principio de Defensa en profundidad.

Por el motivo anteriormente expuesto no conviene descuidar la seguridad interna

en los sistemas informáticos de modo que no dependa todo el sistema de la
seguridad perimetral (cortafuegos en la conexión de la compañía a las redes
externas como internet). Así, por ejemplo, se puede reforzar la seguridad interna
mediante una configuración robusta de servidores con medidas como la
actualización de parches para eliminar vulnerabilidades conocidas, la
desactivación de servicios innecesarios o el cambio de las contraseñas y cuentas
por defecto en cada equipo.

1.5 Consecuencias de la falta de seguridad

La seguridad tiene un papel fundamental en las organizaciones ya que la

información es uno de los principales activos organizacionales. Dicha importancia
fue contemplada por los teóricos de organización y dirección de empresas a
principios del siglo XX. Así, Henry Fayol (1919) consideraba la seguridad como
una función empresarial al mismo nivel que otras funciones como son la
producción, comercial , financiera , contabilidad…entre otras.

En el principio la seguridad de las organizaciones pretendía salvaguardar

propiedades y personas contra el robo, fuego, inundaciones , contrarrestar
huelgas y disturbios sociales que pusieran en peligro el progreso de la vida del
negocio. Por este motivo las medidas de seguridad durante este período se
limitaban a la protección de los activos físicos e instalaciones. Ya que ese era el
mayor activo en consideración junto con la vida de los empleados. Sin embargo,
en la actualidad el negocio y desarrollo de las actividades de muchas
organizaciones dependen de los datos e información registrados en sus sistemas
informáticos, así como del soporte adecuado de las TICs para facilitar su
almacenamiento, procesamiento y distribución. De acuerdo con un estudio
elaborado por la AEDI(Asociación Española para la Dirección Informática) en
mayo de 2002 mencionó que un 72% de las empresas españolas quebraría en
días si perdiera los datos guardados en sus ordenadores. Es claro que la
eliminación de todas las transacciones en un día en una empresa podría
ocasionarle más pérdidas económicas que sufrir un robo o un acto de sabotaje en
algunas de sus instalaciones.

Como consecuencia de ello, resulta vital poner en conocimiento de los directivos

cuál es el costo y el impacto de los incidentes de seguridad en términos
económicos y no a través de confusos informes plagados de datos técnicos
difíciles de comprender, defendiendo la idea de que la inversión en seguridad
informática sería comparable a la contratación de un seguro contra robos, contra
incendios o de responsabilidad civil frente a terceros.

Un ejemplo de que se puede sobrevivir si hay protección de la información es el

caso del 11 de septiembre de 2001 y el atentado de las torres gemelas de Nueva
York. A pesar del incidente ocurrido cientos de empresas pudieron continuar sus
labores a los pocos días, ya que sus datos estaban protegidos y sus sistemas
informáticos contaban con los adecuados planes de contingencia y de respuesta a
emergencias.
 Gráfico Nro.1. Atentado 11 de Septiembre6.

En España el incendio del rascacielos Windsor en Madrid en el año 2005 el día 12

de Febrero, un edificio que contaba con 28 plantas dedicado a oficinas, en el que
la consultora y auditora Deloitte & Touche ocupaba 20 plantas y el bufete de
abogados Garrigues ocupaba 2 plantas fue un acontecimiento que contribuyo a

6
Foto tomada de :

https://es.wikipedia.org/wiki/Atentados_del_11_de_septiembre_de_2001#/media/File:September_1
1_Photo_Montage.jpg
despertar un mayor interés por la necesidad de contemplar medidas de seguridad
y los planes de contingencia para garantizar la continuidad del negocio.

Gráfico Nro.2. Edificio Windsor en llamas7.

Gráfico Nro.3. Fotos del incidente del Edificio Windsor8.

7
Foto tomada de: http://www.elmundo.es/madrid/2015/02/09/54d92c4de2704e286f8b456b.html
La implantación de determinadas medidas de seguridad puede representar un
importante esfuerzo económico para una organización. Sin embargo, si se
contemplan las potenciales pérdidas y hacer una evaluación de riesgos puede
llegarse a la conclusión que la organización puede perder más dinero y recursos si
no se tienen. Por otro lado hay una premisa que no debe dejarse de lado y es que
el costo de las medidas adoptadas por la organización debe ser menor que los
activos a proteger. Es por ello que es necesario hacer un ejercicio de cálculo del
costo /Beneficio de cada medidas de seguridad que se desee implantar, ya que
no todas las organizaciones precisan de las mismas medidas de seguridad. Una
organización puede tener distintas expectativas de seguridad.

A la hora de analizar las posibles consecuencias de la ausencia o de unas

deficientes medidas de seguridad informática, el impacto total para una
organización puede resultar difícil de evaluar, ya que los posibles daños
ocasionados a la información guardada y a los equipos y dispositivos de red,
deberíamos tener en cuenta otros importantes perjuicios para la organización
como son:

 Horas de trabajo invertidas en la reparación y reconfiguración de equipos y

redes.
 Pérdidas ocasionadas por la indisponibilidad de diversas aplicaciones y
servicios informáticos: costo de oportunidad por no utilizar dichos recursos.
 Robo de información confidencial y su posible revelación a terceros no
autorizados: fórmulas, diseños de productos, patentes, estrategias
comerciales, campañas, programas informáticos, etc…
 Filtración de información – datos personales de usuarios registrados en el
sistema: empleados, clientes, proveedores, contactos comerciales,
candidatos de empleo, con las consecuencias que derivan del
incumplimiento de la legislación en materia de protección de datos
personales vigentes en muchos países a nivel mundial.

8
Foto tomada de: http://bloganvela.com/2010/02/12/5%C2%BA-aniversario-del-incendio-del-
edificio-windsor/
  Posible impacto en la imagen de la empresa ante terceros: pérdida de
confianza y credibilidad en los mercados, daño a la reputación de la
empresa, pérdida de confianza por parte de los clientes y proveedores, etc.
 Retrasos en los procesos de producción.
 Pérdida de pedidos en curso.
 Impacto en la calidad del servicio.
 Pérdida de oportunidades de negocio.
 Posibles daños a la salud de las personas, con pérdidas de vidas humanas
en el caso más grave.
 Pagos de indemnizaciones por daños y perjuicios a terceros, teniendo que
afrontar además posibles responsabilidades legales y la imposición de
sanciones administrativas, civiles y legales( en casos de vulneración de
derechos de autor) .
 Uso de equipos de una empresa para ingresar atacando a redes de otras
empresas.
 Almacenamientos de contenidos ilegales en los equipos comprometidos,
con la posibilidad de instalar un servidor FTP sin la autorización del legítimo
propietario de éstos.
 Utilización de los equipos de una organización para realizar envíos masivos
de correo no solicitado (spam), etc.

Llegados a este punto podemos preguntarnos si la Gestión de la Seguridad de la

Información genera alguna ventaja competitiva para la organización. Sin embargo,
lo que si queda de manifiesto es que una inadecuada gestión provocará una
desventaja competitiva. En muchos casos las organizaciones consideran que
dedicar tiempo y recursos a la gestión de la seguridad es algo poco productivo y
los departamentos de sistemas e informática lo hacen como una tarea marginal y
en horarios por fuera de lo normal. Aquí se expone que es indispensable el apoyo
de la alta gerencia para llevar a cabo dichas tareas e incluso se hace necesario
contemplarlas dentro de los presupuestos anuales.

2. Gestión de la seguridad de la información

2.1 Definición del Sistema de Gestión de la Seguridad de la Información

(SGSI)

Un Sistema de Gestión de la Seguridad de la información (SGSI) es aquella parte

del Sistema General de Gestión (SGS) que comprende la política, la estructura
organizativa, los procedimientos, los procesos y los recursos necesarios para
implantar la gestión de la seguridad de la información en una organización.
Para gestionar la seguridad de la información es preciso contemplar una serie de
tareas y procedimientos que permitan garantizar los niveles de seguridad exigibles
en una organización, teniendo en cuenta que los riesgos no se pueden eliminar
totalmente, pero si se pueden gestionar. Bajo este orden de ideas la seguridad no
se puede alcanzar en un 100%, es por ello que los expertos prefieren hablar de
fiabilidad del sistema informático, entendiendo por ella como la probabilidad de
que el sistema se comporte como se espera de él.

En palabras del experto en temas de seguridad informática - Gene Spafford: "El

único sistema verdaderamente seguro es aquél que se encuentra apagado,
encerrado en una caja de titanio, enterrado en un bloque hormigón, rodeado de
gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso
entonces, yo no apostaría mi vida por ello”.
Por otra parte, las Políticas de Gestión de la Seguridad de la Información están
constituidas por el conjunto de normas reguladoras, procedimientos, reglas y
buenas prácticas que determinan el modo en que todos los activos y recursos,
incluyendo la información, son gestionados, protegidos y distribuidos dentro de
una organización.

2.2 Aspectos a tener en cuenta para implantar un SGSI

A la hora de implantar un SGSI una organización debe contemplar los siguientes

aspectos:

 Formalizar la gestión de la seguridad de la información.

 Analizar y gestionar los riesgos.
 Establecer los procesos de gestión de la seguridad siguiendo la
metodología PDCA (Plan - DO – Check- Act).
 Figura Nro. 4. Modelo PDCA

Figura Nro. 5. Representación del modelo “Plan-Do-Check-Act”9.

9
Fuente: [ICONTEC06] Instituto Colombiano de Normas Técnicas y Certificación Disponible en:
http://www.icontec.org.co/MuestraContenido.asp?ChannelId=632
  Certificación de la gestión de seguridad.

En todo proceso es necesario contemplar un modelo que tenga en cuenta los

aspectos tecnológicos, organizativos, el cumplimiento del marco legal y la
importancia del factor humano.

En este escenario es vital conseguir el soporte adecuado por parte de la dirección

de la organización, ya que ésta debe proporcionar la autoridad suficiente para
poder definir e implantar las políticas y procedimientos de seguridad dotando
además a la organización de los recursos técnicos y humanos necesarios y
reflejando su compromiso en los propios documentos que contienen las
principales directrices de seguridad de la organización.

De hecho, en algunas organizaciones se ha definido la figura del responsable de

Gestión de Seguridad de la Información, conocido en inglés por sus siglas como
CISO (Chief Information Security Officer).

2.3 Etapas de madurez en la gestión de la seguridad de la información

Podemos distinguir varias etapas o niveles de madurez en la Gestión de la

seguridad de la información en una organización.

1. Implantación de medidas básicas de seguridad por “sentido Común”.

En esta fase inicial se aplican medidas sencillas orientadas por el sentido

común como por ejemplo: realización de copias de seguridad, control de
acceso a los recursos informáticos, etc. Muchas de las empresas en el
mundo se ubican en esta primera etapa, aplicando unas mínimas medidas
de seguridad que pueden resultar insuficientes para garantizar una
adecuada gestión de los riesgos.

2. Adaptación a los requisitos del marco legal y de las exigencias de los

clientes.

En esta segunda etapa la organización toma conciencia de la necesidad de

cumplir con las exigencias normativas y de legislación vigente u otras
derivadas de sus relaciones y compromisos con los terceros (clientes,
proveedores u otras instituciones), protección de datos de carácter
personal, delitos informáticos, protección de propiedad intelectual.
 3. Gestión integral de la seguridad de la información.

En esta tercera etapa la organización ya se preocupa de gestionar con un

planteamiento global e integrado la Seguridad de la Información, mediante
la definición de una serie de Políticas de Seguridad, implantación de planes
y procedimientos de seguridad, el análisis y gestión de riesgos y la
definición de un plan de respuesta a incidentes y continuidad del negocio.

4. Certificación de la Gestión de la Seguridad de la información.

Por último, en la cuarta etapa se pretende llevar a cabo una certificación de

la Gestión de la Seguridad de la Información, para obtener el
reconocimiento de las buenas prácticas implantadas por la organización y
poder acreditarlo ante un tercero (esto otorga confianza y verificabilidad por
parte de terceros): clientes, administración pública y otras instituciones.

El siguiente cuadro resume las etapas mencionadas:

Figura Nro.6. Certificación de la Gestión de la Seguridad de la

información10.

10
http://www.pmg-ssi.com/2015/02/iso-27001-el-modelo-de-madurez-de-la-seguridad-de-la-informacion/
 2.4 Estándares relacionados con la certificación de la gestión de
seguridad de la información

Los principales estándares relacionados con la certificación de la gestión de

seguridad de la información han sido desarrollados por la ISO y la IEC.
Mencionemos a continuación cuales son:

ISO/IEC 13335: Guidelines for Management of Information Technologies

Security (Directrices para la gestión de la Seguridad), es un estándar que
define un marco de referencia para las técnicas de gestión de riesgos y los
criterios de selección de medidas de seguridad o salvaguardas en los
sistemas y redes informáticas.

ISO/IEC 15408: Common Criteria, Criterios Comunes para la evaluación de

determinados productos de seguridad, facilitando de este modo el proceso
de certificación de los niveles y servicios de seguridad que pueden
proporcionar estos productos.

ISO/IEC 21827: Systems Security Engineering (Ingeniería de la Seguridad

de los Sistemas) , se ha propuesto para facilitar la evaluación del nivel de
madurez de los procesos relacionados con la Gestión de la Seguridad de la
Información.

ISO/IEC 17700 (BS-7799): Information Security Management (Gestión de la

Seguridad de la Información), estándar que define un código de buenas
prácticas mediante un conjunto de controles que se pueden aplicar para
mejorar la Gestión de la Seguridad dela Información en una organización.

ISO/IEC 27001: Information Security Manegement System

Requirements(Requisitos para los sistemas de Gestión de Seguridad de la
Información), norma que permite certificar la implantación de un sistema de
Gestión de Seguridad dela Información en una organización.

La ISO 27001 le permite a la organización lo siguiente11:

11
Fuente: ICONTEC.
 1. Diseñar una herramienta para la implementación del sistema de gestión
de seguridad de la información teniendo en cuenta la política, la estructura
organizativa, los procedimientos y los recursos.

2. A la dirección gestionar las políticas y los objetivos de seguridad en

términos de integridad, confidencialidad y disponibilidad.

3. Determinar y analizar los riesgos, identificando amenazas,

vulnerabilidades e impactos en la actividad empresarial.

4. Prevenir o reducir eficazmente el nivel de riesgo mediante la implantación

de los controles adecuados, preparando la organización ante posibles
emergencias, garantizando la continuidad del negocio.

ISM3: Information Security Management Maturity Model (Modelo de

Madurez de la Gestión de la Seguridad de la información), nuevo estándar
que se estructura en distintos niveles de madurez para facilitar su
implantación de forma progresiva en la organizaciones, partiendo de los
requerimientos básicos de seguridad del negocio o actividad que
desarrollan.

COBIT: Requerimientos de seguridad establecidos por ISACA (Information

Systems Audit and Control Association)12.

ITIL: La Information Technology Infrastructure Library ("Biblioteca de

Infraestructura de Tecnologías de Información"), frecuentemente abreviada
ITIL, es un marco de trabajo de las mejores prácticas destinadas a facilitar
la entrega de servicios de tecnologías de la información (TI) de alta calidad.
ITIL resume un extenso conjunto de procedimientos de gestión ideados
para ayudar a las organizaciones a lograr calidad y eficiencia en las
operaciones de TI. Estos procedimientos son independientes del proveedor
y han sido desarrollados para servir de guía para que abarque toda
infraestructura, desarrollo y operaciones de TI.

12
Mayor información en : www.isaca.org
 OCTAVE (Operationally CRitical Threat, Asset and Vulnerability Evaluation
– evaluación de vulnerabilidades, activos y amenazas críticas). Del
SEI(Software Engineer Institute de la Universidad Carnegie Mellon). Se
trata de una metodología propuesta para facilitar la evaluación y gestión de
los riesgos en una organización13.

Ley Sarbanes-Oxley:Aprobada en 2002 en Estados Unidos. Esta ley fue

promulgada a raíz de una serie de escándalos financieros que afectaron a
la credibilidad de varias compañías de éste país. Dicha ley afecta a todas
las compañías que cotizan en la SEC(Comisión de la Bolsa de Valores de
Estados Unidos) y a sus filiales, estableciendo controles para garantizar la
fiabilidad de la información financiera de las mismas.

2.5 Modelo de Madurez de las capacidades SSE-CMM

Este modelo fue desarrollado por la ISSEA14 y en él se identifican 5 niveles

que se mencionan a continuación:
1. Prácticas de seguridad realizadas de manera informal.
2. Planificación y seguimiento de las prácticas de seguridad.
3. Definición y coordinación de las políticas y procedimientos de seguridad.
4. Seguridad controlada a través de distintos controles y objetivos de
calidad.
5. Implantación de un proceso de mejora continua.

13
Mayor información en : www.cert.org/octave/
14
Fuente: www.issea.org
Bibliografía y Cibergrafía

http://www.halitogunc.com/the-interactions-in-between-itil-cobit-and-iso27001/

http://info.isotools.org/seguridad-de-la-informacion-gestion-de-riesgos/

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1ticahttp://es.wikipedia.org/wi
ki/Seguridad_de_la_informaci%C3%B3n
http://books.google.com.co/books?id=KD8ZZ66PF-
gC&printsec=frontcover&dq=SISTEMAS+DE+INFORMACI%C3%93N+GERENCIA
L+%2B+KENNETH&lr=&source=gbs_summary_r&cad=0#PPA455,M1
http://www.gerencie.com/auditoria-de-sistemas-de-informacion.html
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml
http://campus.usal.es/~derinfo/Activ/Jorn02/Pon2002/LARyALSL.pdf
http://www.human.ula.ve/ceaa/temporal/fundamentos_de_seguridad.pdf

http://www.shutdown.es/ISO17799.pdf

http://www.gcd.udc.es/subido/catedra/presentaciones/economia_competencia_ii/L
os%20Sistemas%20de%20Informacion%20en%20la%20Empresa%20-
%20Nota%20tecnica%20-%20Carlos%20Suarez%20Rey%20-%2023-03-2012.pdf

http://www.kybele.etsii.urjc.es/docencia/ISI_GIS_M/2012-2013/Material/[SI-2012-
2013]T1_IntroduccionSI.pdf

http://www.ecma-international.org/activities/Communications/TG11/s020269e.pdf

http://www.personal.fi.upm.es/~lmengual/ARQ_REDES/Arquitecturas_Seguridad.p
df

http://handle.dtic.mil/100.2/ADA433929

http://www.human.ula.ve/ceaa/temporal/fundamentos_de_seguridad.pdf

http://intranet.bibliotecasgc.bage.es/intranet-
tmpl/prog/local_repository/documents/15310.pdf

http://www.ssi.gouv.fr/archive/es/confianza/documents/methods/mementodep-
V1.1_es.pdf
www.iso27000.es/download/doc_iso27000_all.pdf

http://pedrobeltrancanessa-
biblioteca.weebly.com/uploads/1/2/4/0/12405072/gran_libro_de_la_seguridad_infor
mtica.pdf

http://www.criptored.upm.es/guiateoria/gt_m001a.htm

http://www.mastermagazine.info/informes/9544.php

http://www.icontec.org.co/MuestraContenido.asp?ChannelId=632

http://www.nexusasesores.com/docs/ISO27001-norma-e-implantacion-SGSI.pdf

http://www.iso27000.es/iso27000.html

ftp://securityuniversity.net/classes/QCA/CISSP_For_Dummies-4E.pdf

http://ciberseguridad01.blogspot.com.co/2014/05/termino.html

http://ciberseguridad01.blogspot.com.co/2014/05/termino.html

https://canal.uned.es/mmobj/index/id/4968

https://www.mindefensa.gov.co/irj/go/km/docs/Mindefensa/Documentos/descargas/
estudios%20sectoriales/Notas%20de%20Investigacion/Ciberseguridad%20y%20ci
berdefensa.pdf

https://gidt.unad.edu.co/material-de-apoyo

http://www.iso27000.es/download/doc_sgsi_all.pdf

http://repository.unimilitar.edu.co/bitstream/10654/12251/1/ENSAYO%20FINAL.pdf

http://www.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norm
a.%20NTC-ISO-IEC%2027001.pdf