Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Básicamente este tipo de seguridad hace referencia al área de TI de una compañía la cual es
la encargada de preservar equipos de cómputo, manteniendo el software y hardware
actualizados con el fin de cumplir con los pilares de la información.
La seguridad informática es conformada por medidas de seguridad, como programas de
software de antivirus, firewalls, y otras medidas que dependen del usuario, como es la
activación de la desactivación de ciertas funciones de software.
Además, estos elementos han de ir alineados con las estrategias y necesidades del negocio,
y focalizados en reducir aquellas amenazas que estén fuera del apetito de riesgos de la
organización.
Esta estructura de control puede parecer costosa, pero la realidad es que el riesgo de pérdida
de la información puede llegar a serlo mucho más.
Ver con tus propios ojos una recuperación de servicio mundial en menos de 3 horas tras un
desastre climático hace que sin lugar a dudas, te vuelvas un verdadero creyente en
la necesidad de desarrollo de marcos de control de la seguridad de la información.
Tipos de activos:
Estos marcan los requisitos de seguridad para todos los demás componentes del sistema.
B) Activos secundarios:
❖ Arquitectura del sistema: Define su estructura interna y sus relaciones con el
exterior.
de datos.
❖ Equipamiento auxiliar: Otros soportes que no están relacionados con los datos.
Dependencias:
Se dice cuando un “activo superior” depende de otro “activo inferior” cuando las
necesidades de seguridad del superior se reflejan en las necesidades de seguridad del
inferior.
Valoración:
El valor suele estar en la información que el sistema maneja y los servicios que se prestan
(activos esenciales), dejando a los demás activos subordinados a las necesidades de
explotación y protección social.
Dimensiones:
- Confidencialidad
- Integridad
- Disponibilidad
- Autenticidad
- Trazabilidad
1.4.2. AMENAZAS
Las amenazas son los eventos que pueden ocurrir, de todo lo que puede ocurrir es
importante lo que pueda causarles daño a los activos de la organización.
Pueden ser:
Valoración:
No todo activo es afectado por todas las amenazas, ni en todas sus dimensiones, ni en la
misma cuantía.
Una vez determinado que una amenaza puede perjudicar un activo, se valora su influencia
en dos sentidos:
Por lo usual se usan matrices para determinarlos, en probabilidad suelen ser modelados
cualitativamente y bajo un año como referencia.
1.4.3. VULNERABILIDADES
Una vulnerabilidad de una manera muy general es un fallo en un sistema que puede ser
explotada por un atacante generando un riesgo para la organización o para el mismo
sistema. Existen dos tipos de vulnerabilidades que se mencionan a continuación:
- Las lógicas
- Las físicas
Las físicas afectan a la infraestructura de la organización de manera física y se pueden
mencionar en este tipo de clasificación a los desastres naturales o controles de acceso.
Mientras que las lógicas afectan a la infraestructura y desarrollo de la operación, pudiendo
estar en la configuración, actualización y desarrollo.
Las vulnerabilidades lógicas de configuración pueden ser por configuraciones por defecto
del sistema, exposición del software o el mal funcionamiento de los firewalls.
Las de actualización se dan por desfase del sistema que origina fallos.
Las de desarrollo son las que se ejecutan en el proceso del sistema de información.
1.4.4. ATAQUES
Podríamos definir como un ataque informático a un intento por perjudicar o dañar un
sistema informático o de red. El problema que surge con la propagación de virus
informáticos puede ser considerable teniendo en cuenta que puede dañar o eliminar datos
de los equipos e incluso puede ocupar el programa de correo electrónico para difundirse a
otros equipos, llegando a –incluso- borrar todo el contenido existente en el disco duro.
Este tipo de ataques son originados por denominados grupos que se hacen llamar piratas
informáticos, que suelen actuar en base a diversos motivos, como por ejemplo, para hacer
daño, por espionaje, para ganar dinero, entre otras razones.
Dependiendo del ataque o del virus informático que nos afecte, se pueden provocar
distintos daños entre los que se encuentran:
� Daños menores: Este tipo de virus borra algunos programas, por lo que sólo bastará
con volver a instalarlos, ya que el daño hecho no es grave.
� Daños moderados: Esto se produce cuando un virus formatea un disco duro y
mezcla los componentes del FAT o sobrescriba el disco duro. Si este es el caso,
entonces se puede reinstalar el sistema operativo y utilizar el último backup, lo que
debería tomar alrededor de una hora.
� Daños mayores: Algunos virus pueden pasar completamente desapercibidos y
generar daños profundos, que ni siquiera pueden repararse con el backup.
� Daños severos: Este tipo de daño se da cuando un virus realiza cambios mínimos y
que son progresivos. Con esto, el usuario no tiene mayor idea cuando los datos son
correctos o han sido modificados.
A) Malware
El término Malware se refiere de forma genérica a cualquier software malicioso que tiene
por objetivo infiltrarse en un sistema para dañarlo. Aunque se parece a lo que comúnmente
se le conoce como virus, el virus es un tipo de malware. Igualmente existen otros como los
gusanos, troyanos, etc.
B) Virus
El virus es un código que infecta los archivos del sistema mediante un código maligno,
pero para que esto ocurra necesita que nosotros, como usuarios, lo ejecutemos. Una vez
que se ejecuta, se disemina por todo nuestro sistema a donde nuestro equipo o cuenta de
usuario tenga acceso, desde dispositivos de hardware hasta unidades virtuales o ubicaciones
remotas en una red.
C) Gusanos
Un gusano es un programa que, una vez infectado el equipo, realiza copias de sí mismo y
las difunde por la red. A diferencia del virus, no necesita nuestra intervención, ni de un
medio de respaldo, ya que pueden transmitirse utilizando las redes o el correo electrónico.
Son difíciles de detectar, pues al tener como objetivo el difundirse e infectar a otros
equipos, no afectan al funcionamiento normal del sistema.
D) Troyanos
Son similares a virus, pero no completamente iguales. Mientras que el virus es destructivo
por sí mismo, el troyano lo que busca es abrir una puerta trasera para favorecer la
entrada de otros programas maliciosos.
E) Spyware
Un spyware es un programa espía, cuyo objetivo principal es obtener información. Su
trabajo suele ser también silencioso, sin dar muestras de su funcionamiento, para que
puedan recolectar información sobre nuestro equipo con total tranquilidad, e incluso
instalar otros programas sin que nos demos cuenta de ello.
F) AdWare
La función principal del adware es la de mostrar publicidad. Aunque su intención no es la
de dañar equipos, es considerado por algunos una clase de spyware, ya que puede llegar a
recopilar y transmitir datos para estudiar el comportamiento de los usuarios y orientar
mejor el tipo de publicidad.
G) Ransomware
Este es uno de los mas sofisticados y modernos malwares ya que lo que hace es secuestrar
datos (encriptándolos) y pedir un rescate por ellos. Normalmente, se solicita una
transferencia en bitcoins,la moneda digital, para evitar el rastreo y localización. Este tipo de
ciberataque va en aumento y es uno de los más temidos en la Actualidad.
H) Phishing
El phishing no es un software, se trata más bien de diversas técnicas de suplantación de
identidad para obtener datos de privados de las víctimas, como por ejemplo las contraseñas
o datos de seguridad bancarios.
Los medios más utilizados son el correo electrónico, mensajería o llamadas telefónicas, se
hacen pasar por alguna entidad u organización conocida, solicitando datos confidenciales,
para posteriormente utilizar esos datos en beneficio propio.
I) Denegación de servicio distribuido (DDoS)
De todos los tipos de ataques informáticos este es uno de los más conocidos y temidos, ya
que es muy económico su ejecución y muy difícil de rastrear al atacante.
La eficacia de los ataques DDoS se debe a que no tienen que superar las medidas de
seguridad que protegen un servidor, pues no intentan penetrar en su interior, sólo
bloquearlo.
Los ataques de DDoS consisten en realizar tantas peticiones a un servidor, como para lograr
que este colapse o se bloquee. Existen diversas técnicas, entre ellas la mas común es el uso
de botnets, equipos infectados con troyanos y gusanos en los cuales los usuarios no saben
que están formando parte del ataque.
Monitorear las bases de datos y los servidores de archivos con información crítica y
sensible
Los intentos de acceso no autorizados a datos críticos o la modificación de la estructura en
las bases de datos pueden ser síntomas de alerta que indican que su red estaría amenazada.
Es importante tener al alcance herramientas que le permitan tener visibilidad y control de
las transacciones e intentos de acceso no autorizados.
1.4.5. IMPACTO
Es la magnitud del daño que provoca un ataque exitoso en el que se han perjudicado la
confidencialidad, la disponibilidad, la integridad y la autenticidad de la información del
sistema. Dependiendo de los daños causados y los activos afectados, el impacto será mayor
o menor: es posible que una amenaza comprometa a un activo prescindible del sistema
(causando un impacto bajo) o que, sin embargo, comprometa a un activo importante,
ocasionando efectos graves en el correcto funcionamiento de una organización (causando
un impacto muy elevado).
Es un indicador de lo que puede suceder cuando ocurren las amenazas, siendo la medida del
daño causado por una amenaza cuando la misma se materializa sobre un activo. El impacto
se estima como en la siguiente fórmula, conociendo el valor de los activos y su degradación
causada por las amenazas:
1.4.6. PROBABILIDAD
Se define como la estimación de posibilidades de que se materialice el riesgo o, lo que es lo
mismo, que se produzca una amenaza real.
GESTIÓN DE RIESGOS
La norma ISO 31000 establece, después de introducir los principios de gestión del riesgo y
el marco de trabajo, un proceso de gestión del riesgo con un conjunto de fases y pasos
recomendados para que las organizaciones lo adapten e implanten correctamente,
consiguiendo mejoras en la efectividad y precisión ante posibles amenazas.
El proceso de
gestión de riesgos
definido por la norma
ISO 31000 propone
una serie de fases o
procesos como se
detalla en la siguiente
figura:
J) Establecimiento del entorno y del contexto: En un primer momento, deberán
analizarse todas las peculiaridades de la organización, del entorno y de sus sistemas de
información para desarrollar una estrategia de gestión de riesgos que se adapte a sus
necesidades.
K) Fase de apreciación del riesgo: Consiste en una serie de tareas relacionadas con la
detección e identificación de los riesgos de una organización para su evaluación y
categorización. Dentro de esta fase, se encuentran las subfases siguientes:
✔ Identificación del riesgo: Una vez detectado el riesgo, habrá que proceder a
identificarlo para conocer sus características básicas.
✔ Análisis del riesgo: Cuando ya se ha identificado el riesgo, será necesario
realizar un análisis más profundo y detallado para conocer sus características y
comportamientos particulares.
✔ Evaluación del riesgo: Después de conocer en profundidad el riesgo
identificado, se tendrán que evaluar los potenciales daños y efectos negativos
que puede ocasionar para determinar su importancia y magnitud.
L) Fase de tratamiento del riesgo: Según lo determinado en el análisis y evaluación del
riesgo, se tomarán una serie de decisiones y medidas que minimicen la probabilidad de
su ocurrencia y su daño potencial.
M) Monitorización y revisión: Cuando ya se ha decidido e implantado la metodología de
detección, análisis, evaluación y tratamiento de riesgos, habrá que monitorizarla lo
máximo posible para que se integre en la organización como un proceso automático.
Además, requerirá revisiones periódicas para detectar posibles fallos y solucionarlos en
el menor tiempo posible. Durante la implantación, también se recomienda ir
realizando revisiones que garanticen su desarrollo correcto.
N) Comunicación y consulta: Durante todas las fases de gestión del riesgo, la
organización deberá estar en permanente contacto con los distintos agentes y
participantes de su sistema de información con una serie de objetivos:
⮚ Ayudar a establecer el contexto adecuadamente.
⮚ Garantizar los intereses de las partes interesadas y asegurarse que están bien
informadas.
⮚ Ayudar a asegurar que los riesgos están identificados
correctamente.
⮚ Dar apoyo al sistema de gestión de riesgos.
⮚ Desarrollar una correcta política de comunicación interna y externa de
la organización, para que todos los agentes tengan la posibilidad de
consultar los riesgos del sistema de información y sus consecuencias
1.4.8. DESASTRES
Los desastres IT, entendidos como una situación de crisis en las infraestructuras IT de una
organización, están a la orden del día. Son un hecho. En cualquier momento el sistema se
puede caer y causar daños a la organización, ya sean directos o colaterales, más o menos
críticos y más a menos reversibles.
Existen demasiados factores que pueden llegar a suponer una pérdida o interrupción del
acceso a la información crítica en una organización, entre estos tenemos:
Una de las principales causas señaladas por una gran cantidad de organizaciones como
desencadenante de desastres en los sistemas de información es algo tan mundano como un
fallo en el suministro o la red eléctrica.
Al menos, esto es lo que afirmaron el 43% de las empresas encuestadas para la elaboración
del informe Global Disaster Recovery Preparedness, publicado por la consultora Forrester
en el año 2013.
Es por ello, que un adecuado protocolo de prevención debe incluir una infraestructura de
red de área local (LAN), así como una relación de pasos para llevar a cabo su restauración
en caso de caída.
Una vez se dispone de varios niveles de redundancia en componentes críticos, tales como
controladores de red o múltiples fuentes de alimentación, es posible que uno se sienta
mucho más protegido. Aun así, los fallos en la SAN (Storage-Area Network) o Red de
Almacenamiento figuran entre las principales causas de desastres entre las organizaciones.
Con frecuencia, éstas cuentan con una amplia red de almacenamiento y todos los servidores
virtualizados dentro de ésta. El problema es que, cuando la SAN se cae, todo el entorno de
datos de la organización también lo hace.
C) Fallos humanos
Efectivamente, el error humano también es una causa señalada en el 13% de los casos de
desastres de IT.
Como ya imaginarán, la casuística entre los errores humanos es muy variada. No obstante,
el borrado accidental de un sistema de archivos de un servidor es una de las causas más
comunes, tanto entre novatos, como expertos de IT de consumada experiencia. Las
salvaguardas utilizadas para advertir a los usuarios del borrado o sobre-escritura de
archivos son frecuentemente ignoradas por éstos. Cuando se trata de información crítica, la
ausencia de un sistema de backup y recuperación de datos se convierte en una dolorosa
situación.
D) Fallos de software
La principal razón que subyace detrás de los fallos de software es la falta de supervisión y
comprobación de los parches y actualizaciones que éstos reciben. Esto puede dar lugar a la
corrupción de determinadas aplicaciones y la consiguiente caída de los sistemas.
Por otro lado, el uso de sistemas operativos anticuados y con un deficiente mantenimiento
también está detrás de muchos de los fallos de software que desencadenan un desastre de
IT.
Sorprendentemente, este tipo de fenómenos son mucho menos confirmados que los
señalados anteriormente. El problema radica en las consecuencias de los mismos.
Si el hecho de sufrir un desastre de los sistemas de información supone una gran pérdida de
credibilidad y confianza por parte de los clientes, hacerlo como consecuencia de un ciber-
ataque suele ser mediáticamente terrible.
Además, al contrario que la arbitrariedad de los anteriores casos, el daño ocasionado en este
tipo de ataques también suele estar muy medido, de forma que la información perdida o
robada tiene una importancia crítica.
Por otra parte, conviene tener en cuenta que estos ataques pueden tener su origen tanto en el
exterior de una organización, como en el interior, con independencia de la voluntad
maliciosa de los empleados.
F) Desastres naturales
Aunque también cuentan con una menor presencia estadística, los desastres naturales suelen
tener unos efectos devastadores sobre los sistemas de información de cualquier
organización.
Probablemente, uno piense en fenómenos terremotos y tsunamis, sin embargo, sucesos más
comunes –como inundaciones o pequeños incendios locales- pueden terminar afectando
gravemente a soportes relevantes dentro de la estructura IT de una empresa.
Si se quiere evitar que cualquiera de estos fenómenos ponga en jaque la viabilidad de la
empresa, se necesita contar con un Sistema de Recuperación de Desastres. Existen muchas
alternativas en el mercado. Desde las tradicionales soluciones de backup en disco y cinta,
las consolidadas soluciones basadas en snapshots nativos de los propios sistemas de
almacenamiento (ojo no sustituyen al backup, sino que lo complementan), hasta avanzados
sistemas cloud backup.
Ejemplos:
Además, otros desastres como tornados, inundaciones y tormentas, pueden ser suficientes
para eliminar una empresa en cualquier lugar del mundo. Incluso, un simple incendio
localizado puede destruir todos los datos si no se ha preocupado de realizar una
relocalización de sus copias de seguridad en una ubicación remota.
Los principios de seguridad informática permiten que un sistema informático sea seguro.
1.5.1. INTEGRIDAD
La integridad es mantener con exactitud la información tal cual fue generada, sin ser
manipulada ni alterada por personas o procesos no autorizados.
1.5.2. CONFIDENCIALIDAD
Se necesita que la información sea solamente conocida por las personas que estén
autorizadas.
1.5.3. DISPONIBILIDAD
Capacidad de permanecer accesible en el sitio, en el momento y en la forma en que los
usuarios que estén autorizados lo requieran.
1.5.4. NO REPUDIO
Consiste en implementar un mecanismo probatorio que permita demostrar la autoría y
envío de un determinado mensaje.
Integridad
SEGURIDAD
DE LA Confidenciali
No repudio INFORMACI dad
ÓN
Disponibilida
d
1.6. POLÍTICAS DE SEGURIDAD INFORMÁTICA
Las políticas de seguridad informática son declaraciones formales de las reglas que deben
cumplir las personas que tienen acceso a los activos de tecnología e información de una
organización.
✔ Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y
prácticas que pueden poner en riego los sistemas y la información.
✔ Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel
de protección y seguridad.
A. Copias de respaldo: Describirá los pasos a seguir para asegurar una adecuada
recuperación de la información, a través de las copias de respaldo.
B. Tratamiento de la información: Definirá claramente los tipos de información que
es manejada por las personas autorizadas dentro de la organización.
C. Software legal: Definirá claramente el uso de software en la Empresa con licencias
de uso legal.
D. Uso del servicio de Internet y del correo electrónico: Describirá la protección de
la información mediante el uso de correo electrónico y del servicio de Internet.
E. Ambientes de Procesamiento: Define el uso de los ambientes de procesamiento de
información.
F. Seguridad en las comunicaciones: Describirá la protección de la información
durante los procesos de transmisión y recepción de datos en las redes internas y
externas.
G. Auditorías de los sistemas: Que permitirá hacer un control de los eventos de
seguridad de los sistemas.
H. Continuidad del procesamiento: Se definirán y reglamentarán las actividades
relativas a la recuperación de la información en casos críticos mediante una
metodología adecuada.
I. Protección física: Definirá la protección física de los equipos, de procesamiento,
almacenamiento y transmisión de la información.
J. Sanciones por incumplimientos: Este documento contemplará las medidas que se
aplicarán por incumplimiento de las reglas definidas.
Un plan de contingencia se encuentra conformado por tres acciones fundamentales que son:
prevención, detección y recuperación.
▪ Mantenimiento: Ser preciso, evitar detalles innecesarios para que pueda ser
actualizado.
▪ Respuesta organizada: Contar con una lista de las acciones y servicios que deben
recibir prioridad.
El plan de Contingencia indica las acciones que deben tomarse inmediatamente tras el
desastre. Por ello un plan de contingencia debe contar con los siguientes aspectos:
Dicho plan hace referencia a las principales medidas que se pueden llevar a cabo para que
se pueda garantizar la continuidad del negocio, así como las operaciones de una
organización desde tres puntos de vista:
✔ Medios técnicos
✔ Los medios humanos. Formados por los trabajadores
✔ Y medios organizativos.
Determinar las acciones de respuesta: Esto implica tener muy bien definida una hoja de
ruta con las siguientes acciones a llevar a cabo:
Objetivos:
Alcance:
Esta Política abarca a todos los colaboradores, proveedores y clientes de SENASA con
accesos los activos de información.
Responsabilidades
Todo el personal de SENASA y terceros, que interactúan de una manera habitual u
ocasional con los activos de información, son responsables de informarse del contenido de
la Política de Seguridad de Información y cumplirlo en el desarrollo de sus tareas
habituales.
POLÍTICAS DERIVADAS
Política de activos
Establecer los requisitos para el control adecuado de accesos a los Servicios de Tecnologías
de la Información y la infraestructura del SENASA.
La sección de la Política de Correo Electrónico define los requisitos para el uso correcto y
seguro del correo electrónico en la Organización.
La sección Política de Internet define los requisitos para el acceso adecuado y seguro a
Internet.
Política de antivirus
La sección de Política Antivirus define los requisitos para la correcta ejecución del
antivirus y otras formas de protección en la organización.
La sección de la Política de Acceso Remoto define los requisitos para el acceso remoto
seguro a recursos internos de la Organización.
Esta política se aplica a los usuarios y dispositivos que necesitan acceder a recursos
internos de la Organización desde ubicaciones remotas.
Política de subcontratación
VERSIÓN: 1.01
❖ Planificación:
✔ Diagnóstico inicial de la situación actual
Efectuada una revisión del aspecto situacional de riesgos de Tecnología de
Información de la Municipalidad Provincial de Canchis consideramos que debe
elaborarse un Plan de Contingencias y Seguridad de la Información que sirva
como metodología, guía o marco de trabajo que ayude a la identificación de
riesgos y determinar controles para mitigarlos.
Dentro de los distintos aspectos a considerar en la seguridad de la información,
es necesario elaborar Políticas de Seguridad de la Información y una clasificación
de seguridad de los Activos de Información de la Municipalidad.
✔ Diagnóstico de la estructura organizacional
✔ Al fuego, que puede destruir los equipos y archivos: la institución no cuenta con
protección contra incendios en cada una de las áreas que cuenta con activos
informáticos.
✔ Al robo común, perdida de los equipos y archivos: La institución se encuentra en
el centro de la ciudad y se han registrado pérdidas de equipos tecnológicos, a
pesar que solo existe una sola puerta de ingreso.
✔ Al vandalismo, que dañen los equipos y archivos: No existe antecedentes, pero
han ocurridos incidentes violentos contra el palacio municipal.
✔ A fallas en los equipos, que dañen los archivos: la falla que vienen repostando los
equipos en la mayoría de los casos han sido originados por el tiempo de vida de
los equipos.
✔ A equivocaciones que produzcan daños a los archivos: el personal del área de
Subgerencia de Tecnología de Información y Sistemas solucionan cualquier
inconveniente que se presente.
Pero es de conocimiento que de manera accidental o incidental algunos usuarios
eliminaban o formateaban las unidades del disco duro, trayendo como
consecuencia la perdida de la información.
✔ A la acción de virus, que dañen los equipos y archivos: lamentablemente,
algunos usuarios no cumplen con la normativa de prohibición de instalar
programas por su cuenta, lo que conlleva a que se descargue de internet
programas que contengan virus, por ello los únicos autorizados a instalar es el
área de Subgerencia de Tecnología de Información y Sistemas.
✔ A terremotos, que destruyen los equipos y los archivos: la institución se
encuentra en un lugar de poca actividad sísmica.
✔ A accesos no autorizados, filtrándose datos importantes: se cuenta con modem de
acceso a internet los cuales tienen los puertos cerrados para evitar que algún
intruso pueda ingresar a la red interna de la entidad.
✔ A fraude informático, desviando fondos merced a la computadora: la institución
realiza transferencias electrónicas a los bancos, se trabaja de manera normal, no
existiendo ningún antecedente.
❖ Evaluación de Riesgos y Análisis de riesgo:
❖ La empresa deberá valorar, en función del riesgo y sus recursos, qué medidas de
seguridad puede resolver de forma interna, mediante sus propios medios y personal,
y qué medidas será preferible contratar mediante compañías externas que
ofrezcan soluciones efectivas sobre ciberseguridad.
❖ Hoy es imposible hablar de un sistema cien por cien seguro, sencillamente porque el
costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen
riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.
Romero, M. & Et. Al. (2008). Introducción a la seguridad informática y análisis de las
vulnerabilidades. Obtenido de: https://www.3ciencias.com/wp-
content/uploads/2018/10/Seguridad-inform%C3%A1tica.pdf