Fundamentos de la seguridad

La seguridad de la
Información y sus riesgos

1
1.1 Introducción a la
seguridad de la
información
El activo de mayor importancia en las organizaciones es la
información. Se puede contar con un equipo de trabajo productivo y
creativo, pero los datos y la información se convierten en lo más
valioso que se produce. Imaginemos una organización que vende
productos, el registro de sus ventas y consumos es lo que le da poder
para tomar futuras decisiones en base a esos datos. Desde un punto
de vista formal, la información de clientes, empleados, productos
almacenados en los centros de datos son importantes. Asegurar esta
información es una tarea primordial.

1.1.1 Confidencialidad, integridad y

disponibilidad de la información
En seguridad de la información encontramos una referencia a las
siglas CIA (confidentiality, integrity, availability que significan
confidencialidad, integridad, disponibilidad). Estos tres conceptos son
esenciales en la redacción de políticas de seguridad en cualquier
organización. Detallaremos a continuación la importancia de cada una
de ellas:

Figura 1. Triada CIA

Fuente: Kernel, s.f., recuperado de http://www.kernel.com.mx/project4.html.

2
Confidencialidad (confidentiality)
El usuario es el eslabón más débil de una organización, en cuanto a
seguridad de la información. Generalmente representado por
empleados internos, este usuario es el mayor peligro para la filtración
de información, robo, pérdida o accidente.

Un medio para evitar el robo de información al contratar un nuevo

integrante es realizar un contrato de confidencialidad. En ellos se
detallan las políticas de seguridad y el compromiso de la persona
empleada para con los datos que manipule.

Es importante para la confidencialidad de la seguridad de la

información los siguientes ítems:

Tabla 1. Aplicación de confidencialidad

Aplicación Descripción
Legal - Contrato de confidencialidad.
- Manejo de datos personales.
o Dicha información debe manipularse con
las medidas técnicas, humanas y
administrativas necesarias para garantizar
la seguridad. Con esto se evita la
adulteración, consulta, uso o acceso no
autorizado, pérdida.
Manejo de información
- Utilizar las técnicas apropiadas y
garantizar la seguridad para el resguardo
y protección de la información.
- Garantías de encriptación de datos.
- Garantías en el resguardo y respaldo de
datos.
Fuente: elaboración propia.

Los ítems que se incluyen en la tabla anterior nos permiten establecer

políticas de confidencialidad para la seguridad de la información.

Los contratos de confidencialidad se celebran con empleados

internos, terceros, funcionarios, mandos medios y altos de la
organización. Firmar este compromiso evita la divulgación de
información interna o externa.

Podemos destacar que la confidencialidad se asocia al nivel de

privacidad de la información.

3
Por lo tanto, se clasifica generalmente por ámbito de trascendencia,
es decir que la información será:

 Pública.
 Privada.
 Confidencial.
 Secreta.

Integridad (integrity)
La integridad refiere a mantener la forma real de los datos y no
generar datos apócrifos, falsos o incompletos.

Por ejemplo:

 Si registramos información de un paciente en una clínica,

debemos tener los datos detallados del mismo, no podríamos
dejar sin completar la información de grupo sanguíneo.
 En el registro nacional de un automóvil no podríamos dejar el
campo de número de patente en blanco.

Como podemos ver, la falta de registro de datos atenta contra la

integridad de la información. En otros aspectos, integridad significa la
entrega de información a través de los medios correspondientes, sin
modificaciones ni alteraciones; salvo que así lo determinen las
personas autorizadas y/o responsables.

Disponibilidad (availability)
El acceso a la información en todo horario desde cualquier punto del
mundo es algo que incide en la disponibilidad. Podremos encontrar
siglas como 24 x 7 x 365 (que quiere decir todo el año, todos los días
de la semana, las 24 horas).

Para poder mantener un esquema de soporte de información continuo

en el tiempo se debe contar con ciertas políticas y procesos. Por
ejemplo:

 Tener un proceso de recuperación. Cuando se genera un

inconveniente es necesario tener los activos que mantenga
operativo el negocio u organización.
 Tener un plan para las interrupciones. En el caso de
actualizaciones de plataforma, informar adecuadamente a los
consumidores de datos, verificar un horario que no afecte a la

4
 mayoría y realizar las tareas de la manera más inadvertida
posible.
 Disponer de diferentes ambientes de sistemas informáticos,
segregar las áreas para poder realizar testing o
implementaciones puntuales del sistema de la organización.

Uno de los valores más apreciados es disponer de la información

inmediatamente y en cualquier lugar.

1.1.2 Otros conceptos relevantes

La triada CIA (confidentiality, integrity y availability) es un panorama
básico para la seguridad de la información. Existen varios escenarios
de políticas a considerar para la protección de la información.

Auditoría
Para conocer si los procesos se llevan a cabo de manera adecuada y
si siguen los planes o tareas correctos para garantizar el buen trato
de la información se realizan relevamientos exhaustivos denominados
auditorías.

Estas auditorías llevan un riguroso control de todos los procesos que

se realizan en las áreas. Se pueden hacer a través de encuestas,
observación directa sobre los procesos, entrevistas, testeos, etc.

Esta herramienta es muy útil para saber dónde está ubicada la

empresa en base a los estándares necesarios (en este caso, la
seguridad de información). En algunas organizaciones se realizan
desde un área interna o bien se puede tercerizar este servicio con
algún proveedor para tener una visión más clara de la situación.

Gestión de activos
Es la planificación de políticas que indican los límites y procedimientos
en la identificación, uso, administración y responsabilidad de activos
dentro de la organización. Por ejemplo:

 Proceso de identificación de activos: saber qué tenemos.

 Clasificación de activos: en qué o dónde debe ir cada activo.
 Proceso de adquisición de un nuevo activo.
 Proceso de eliminación de un activo.
 Proceso de sustitución de un activo.

5
Al establecer la pertenencia de cada activo y por medio de la gestión
de incidentes, podremos potenciar las prácticas utilizadas en la
confidencialidad de la información, como así también, la disponibilidad
e integridad.

Gestión de incidentes
Conocer los incidentes que se pueden producir permite mitigar o
reducir la posibilidad de que ocurran. Para ello se estudia y se lleva a
cabo una serie de procedimientos que permiten reconocer los
incidentes y cómo reaccionar o responder a los mismos. La gestión
de incidentes colabora en que la información esté disponible.

1.1.3 Mecanismos de protección

A partir de lo desarrollado en el tema anterior, podemos determinar
que los mecanismos de protección se basan en las normas que
aplicamos en la organización.

Generalmente para cada norma se distingue una clasificación clásica,

por ejemplo:

 Preventivos: tienen como objetivo ejecutar un mecanismo de

protección antes que suceda un hecho y detener los
acontecimientos. Por ejemplo:
o Firewall.
o Router con NAT.

 Detectivos: son los mecanismos que se ejecutan antes de que

un hecho ocurra e informa la presencia del inconveniente para
que se realice una acción a consecuencia. Por ejemplo:
o Firewall.
o Software antimalware.

 Correctivos: son los mecanismos que se ejecutan cuando

sucedió un hecho para corregir los acontecimientos. Por
ejemplo:
o Software antimalware.
o Backups o software respaldo.

6
Figura 2. Posicion de mecanismo en la seguridad informatica

Fuente: elaboración propia.

1.1.4 Principios de gobierno en tecnología de

información
Gobierno hace referencia a la dirección, control y administración de
las tecnologías a disposición de la información.

Para orquestar un gobierno sobre las diferentes injerencias de los

sistemas de gestión en tecnología de la información, se debe llevar un
proceso exhaustivo de controles, planificación y estrategias.
Para esto se cuenta con herramientas específicas, como por ejemplo
COBIT (Control Objectives for Information and related Technology)
que representa una guía de mejores prácticas dirigida al control y
supervisión de tecnología de la información. Esta guía ayuda a
gestionar tareas de control sobre los procesos.

7
En la siguiente tabla veremos cómo algunas normas ayudan al
gobierno de TI en la comprensión y control:

Tabla 2. Normas
Área COBIT ITIL ISO 27000
Funciones Mapeo de Mapeo de la gestión Marco de
procesos en de niveles de referencia de
tecnología de la servicio en seguridad de
información. tecnología de la la información.
información.
Implementación Auditoría. Gestión de servicios. Cumplimiento
de estándar de
seguridad.
Fuente: elaboración propia.

Figura 3. Normas que asisten al gobierno de TI

Fuente: Urueña, 2011, recuperado de https://es.slideshare.net/mariourena/mario-urea-

gestin-de-riesgos-con-iso31000.

Las normas mencionadas anteriormente permiten a la dirección con

la llevar a cabo el control y cumplimiento de:

 Gestión de recursos. Desde los activos a los servicios, la

administración adecuada de todo lo que integra a la
organización, permite potenciar a corto, mediano y largo plazo
los objetivos.

8
  Cumplimiento de procedimientos. El termino compliance
refiere al cumplimiento de procedimientos que aseguran el uso
de las buenas prácticas interna y externa.
 Alineamiento estratégico. De suma importancia no perder el
camino diagramado desde la alta gerencia para tener claro a
largo plazo los objetivos y misión de la organización.
 Análisis y gestión de riesgos. Estar preparados para cualquier
incidente es fundamental y analizar los distintos escenarios que
se pueden presentar para tomar las medidas correspondientes.
 Medidas y métricas. Las estadísticas son fundamentales para
poder alinear las estrategias o las respuestas tácticas ante lo que
suceda en los procesos de la organización.
 Generación de valor. La ganancia propiamente dicha para la
organización con el cumplimiento de objetivos que tienen
propuestos.

Figura 4: Gobierno de TI

Fuente: Secure&IT, s.f., recuperado de https://www.secureit.es/procesos-y-gobierno-it/.

Resumiendo, el concepto de gobernanza en tecnología de la

información, destacamos que gobernar es estar atentos a todas las
áreas pertenecientes a la organización: la gestión de recursos, de
riesgos, mediciones, alineación estratégica, etc. Ayudado o asistido
por herramientas como las guías de buenas prácticas utilizadas en la
auditoria (Cobit, ITIL, ISO, otros). Para poder gobernar es necesario
entender el entorno de la organización, los objetivos de negocio, los
riesgos potenciales y definir el alcance o misión.

9
1.2 Amenazas,
vulnerabilidades y riegos
Conceptos y tipos de riesgos
El riesgo es un suceso que provoca algo negativo dentro de los
procesos de la organización y puede significar la pérdida o peligro
sobre activos. Por ejemplo, la corrupción o robo de información.

En el siguiente esquema representamos los diferentes tipos de

riesgos y la gestión que podemos hacer de ellos.

Figura 5: Tipos de gestión de riesgos

Fuente: Urueña, 2011, recuperado de https://es.slideshare.net/mariourena/mario-urea-

gestin-de-riesgos-con-iso31000.

Como podemos observar en la imagen anterior, es larga la lista de los

riesgos que se presentan en los diferentes ámbitos.

Se debe considerar que los ámbitos de riesgo son mayor o menor

según la demografía, cultura, ubicación, factores climáticos, etc.

Si nos posicionamos en una zona con frecuentes conflictos bélicos, el

riesgo de explosión, derrumbe, robo, etc. es grande. Podemos
observar la siguiente tabla:

10
Tabla 3: Riesgos y sus escenarios
Riesgo Ámbito Escenario
Terrorismo Conflictos civiles o Puede ser físico o virtual
entre países. (Sinónimo de
cyberguerra).
Financiero Conflictos en la bolsa. En el peor escenario se
Problemas puede ver involucrado un
económicos del país. sabotaje.
Inconvenientes de En economías de
inversión o falta de algunos países, la falta
recaudación. de solvencia provoca el
desmoronamiento de las
organizaciones.
Fraude Falta de fidelidad. Generalmente se provoca
Competencia. por actores externos a
Delincuente una organización.
informático. Pueden verse
involucrados empleados
de la organización.
Se puede dar el caso en
que delincuentes
informáticos utilizan
recursos de la
organización para realizar
fraudes.
Legales Confidencialidad. Un factor puede darse en
Incumplimiento de el sabotaje de
servicios. disponibilidad de
servicios en la
organización por ataques,
por ejemplo, de DDOS.
Otro factor es romper con
el secreto de proyectos o
información de la
organización.
Reputación Falta de servicios. No cumplir con la
Incumplimiento en disponibilidad de
servicios. servicios, puede provocar
que la imagen de una
organización se vea
afectada, ya sea por
publicaciones falsas o
reales, se debe estar
atento a este tipo de
riesgos.
Ambientales Inundación. Todos los factores
Huracán. climáticos ajenos a la
Caída de meteoro. mano del hombre pueden

11
 Otros. provocar un resultado
gravísimo en la
disponibilidad de
servicios o activos.
Fuente: elaboración propia.

1.2.2 Identificación de amenazas y

vulnerabilidades
En los párrafos anteriores, se observa que los riesgos son variados y
pueden encontrarse en muchos ámbitos. Para poder identificar las
amenazas y vulnerabilidades que provocan dichos riesgos, debemos
tener un esquema para afrontarlos. En la siguiente imagen se puede
observar un esquema clásico de gestión de riesgo.

Figura 6. Gestión de riesgos

Fuente: Cao Avellaneda, 2008, recuperado de http://seguridad-de-la-

informacion.blogspot.com/2008/06/publicada-la-iso-270052008.html

En la imagen anterior podemos observar que el eje es el riesgo

(posibles contratiempos). La imagen inicia en la necesidad de
seguridad, que es satisfecha por salvaguardas (medidas de
seguridad), que protege contra amenazas (posible causa de riesgo o
perjuicio). Estas amenazas pueden incrementar el riesgo como así
también explotar vulnerabilidades (posibilidad de daño) que
incrementan el riesgo y afectan los activos (interés económico de la
organización), que sufren impactos y esto también incrementa los
riesgos.

12
La gestión de riesgos pertenece a las políticas de seguridad que tiene
la organización y su objetivo es:

 Fortalecer la organización y potenciar la reducción de riesgos:

o Coordinar las capacidades organizacionales, el trabajo y
acto humano.
o Disminuir las vulnerabilidades, establecer controles sobre
los procesos.
o Limitar amenazas mediante la aplicación de sistemas de
seguridad, protegiendo las acciones frecuentes de trabajo.
 Orientar el funcionamiento organizacional y realizar buenas
prácticas en los procesos funcionales.
 Garantizar corrección de conductas o prácticas y concientizar
al personal de la organización, a la vez que destacar y
reconocer posibles vulnerabilidades.

Figura 7. Concepto de gestión de riesgos

Fuente: Gomez, 2014, recuperado de

http://riesgosenlossistemasinformaticos.blogspot.com/2014/04/mapa-conceptual-gestion-de-
riesgos_18.html

1.2.3 Contramedidas
En una organización la planificación estratégica en la seguridad de la
información es crucial. Para poder contemplar el amplio escenario de
las posibles amenazas que podrían provocar pérdidas económicas,
debemos conocer e implementar buenas practicas con la ayuda de
normas internacionales.

13
Además de basarnos en las normas, tenemos que implementar y
considerar las contramedidas que se pueden integrar para repeler,
mitigar o disminuir el riesgo.

La planificación de respuestas a riesgos debe tener controles que

permitan realizar métricas y porcentajes. Por ejemplo, se podrá
evaluar cuánto es el dinero que se puede perder a través del
porcentaje de incidencia.

Tabla 4. Mitigación de riesgo

Impacto Métodos Gestión
Disminuir la Prototipos. Implementación.
probabilidad Testeos. Monitoreo.
Cambios de tecnologías. Comunicación.
Disminuir el impacto Seguros. Control.
Compartir el riesgo Comunicación.
(tercerizar procesos).

Plan para gestionar Planes de contingencia. Control.

el impacto Proveedores Identificación.
alternativos. Análisis.
Presupuesto de riesgos. Ejecución.
Comunicación.
Fuente: elaboracion propia.

Para contemplar con mayor detalle la tabla anterior, veamos los

diferentes procesos que lleva la gestión de riesgos:

Tabla 5. Gestion y sus procesos

Proceso Descripción
Implementación En el proceso se debe llevar a cabo
la implementación de normas en las
diferentes áreas. Esto conlleva un
tiempo y un impacto en las formas de
trabajo organizacional. Por ejemplo:
la implementación de un nuevo
software.
Monitoreo Se debe corroborar que todos los
procesos se lleven a cabo en buenos
términos o en las bases
determinadas por las normas.
Control Las tareas de control son las que se
encargan de verificar el
funcionamiento correcto de cada plan
que se encuentre activo.

14
 Identificación Gracias al monitoreo y control, se
pueden identificar nuevos sucesos,
que pueden ser riesgos.
Análisis Al ser identificados los nuevos
sucesos en el análisis, se determina
si efectivamente son riesgos y qué
nivel de riesgo puede impactar en la
organización.
Ejecución La implementación de las tareas que
están en el plan de gestión.
Comunicación En todos los procesos de gestión es
fundamental comunicar cada tarea.
De esta forma se retroalimenta el
sistema de gestión de riesgos.
Fuente: elaboracion propia.

Las contramedidas son efectivas si se realiza un análisis de procesos

y la retroalimentación continua de la detección de nuevos posibles
incidentes o riesgos. Es un constante aprendizaje e implementación.

15
Referencias
Cao Avellaneda, J. (10 de junio de 2008) Publicada la ISO
27005:2008 [entrada de blog] recuperado de http://seguridad-de-la-
informacion.blogspot.com/2008/06/publicada-la-iso-270052008.html

ISACA (2012) COBIT 5 recuperado de

http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx

Gomez, A. (18 de abril de 2014) Mapa conceptual gestión de riesgos

[entrada de blog] recuperado de
http://riesgosenlossistemasinformaticos.blogspot.com/2014/04/mapa-
conceptual-gestion-de-riesgos_18.html

Kernel (s.f.) ISO/IEC 27001 [artículo en línea] recuperado de

http://www.kernel.com.mx/project4.html

Secure&IT (s.f.) Procesos y gobierno IT [artículo en línea] recuperado

de https://www.secureit.es/procesos-y-gobierno-it/

Urueña, M. (13 de abril de 2011) Mario Ureña - Gestión de Riesgos

con ISO31000 [documento en línea] Recuperado de
https://es.slideshare.net/mariourena/mario-urea-gestin-de-riesgos-
con-iso31000

16
17