Unidad – La Protección de la Inteligencia

GUÍA CONOCIMIENTOS UNIDAD

Versión 1.8.1
 2018/10 – INTEL2
Pág. 2 de 6

1. La seguridad de la información

La seguridad de la información aplica a todo elemento de conocimiento no haciendo

diferencia entre dato, metadato, información o inteligencia. Tampoco tiene en cuenta de
si el elemento de conocimiento está almacenado o en tránsito.

Para considerarlo seguro, tanto almacenado como en tránsito, a cada elemento de

conocimiento se le atribuyen una serie de propiedades.

Las propiedades más importantes de la Seguridad de la Información son:

 Confidencialidad: protege ante el riesgo de divulgación no autorizado a través

de la clasificación documental y el control de acceso a la misma.

 Integridad: protege la información para mantenerla libre de modificaciones no

autorizadas.

 Disponibilidad: consiste en mantener la información a disposición de aquellos

que pueden acceder a ella, cuando y desde donde la necesiten.

Otras propiedades que deben tenerse en cuenta son el No-repudio (que quien ha
enviado o firmado determinado documento no lo niegue o rechace), la identificación
(identificar al autor, emisor o receptor de cualquier acción o documento), la
autenticación (asegurar que un usuario es auténtico y es quien dice ser), la trazabilidad
de acceso (que quede constancia de cuándo y quién ha accedido a determinada
información o servicio) y la trazabilidad de uso (que quede constancia de cuándo y quién
ha utilizado determinada información o servicio).

2. Criticidad de la información, responsabilidad y organigrama

¿Cómo y quién decide la criticidad de cada información en una organización?

Debido a que no todas las propiedades de la Seguridad de la Información pueden tener el

mismo nivel de importancia y criticidad, es necesario que éstas se determinen de la
forma más objetiva posible.

Para ello, tanto el propietario de la información como el responsable de seguridad de la

organización, deben consensuar el análisis de riesgos y, a partir de ahí, establecer los
niveles de seguridad que requiere cada propiedad de la seguridad de la información en
cada activo concreto, ya sea físico o digital.

¿Cómo debe organizarse la seguridad de la información en una organización?

Unidad: La protección de la inteligencia

Prohibida la difusión. Derechos reservados por LISA Institute ©

 2018/10 – INTEL2
Pág. 3 de 6

Según la práctica empírica de las principales organizaciones tanto públicas como

privadas, lo más recomendable es tener un Director de Seguridad Integral (Chief Security
Officer -CSO-, en inglés) del que dependan el resto de tipologías de seguridad, entre las
que está la seguridad de la información, normalmente gestionada por el Director de
Seguridad de la Información (Chief Information Security Officer -CISO-, en inglés), el
Director de Seguridad Física o cualquier otra especialidad de la seguridad o los riesgos.

Hay organizaciones que, por su realidad y necesidades, separan al Director de Seguridad

de la Información del Departamento de Seguridad, no siendo dependiente por tanto del
Director de Seguridad Integral. Este modelo normalmente se da en organizaciones en las
que su actividad principal es la información o la tecnología, de modo que el Director de
Seguridad de la Información, por su relevancia, depende directamente del Director
General de la organización.

Este modelo y organigrama tiene sus pros y sus contras, pero desde un punto de vista
estricto de la seguridad e inteligencia es conveniente que ésta sea entendida desde un
punto de vista global y holístico, independientemente de si los activos a proteger son
personas, instalaciones o información.

Los riesgos y amenazas, especialmente si son llevadas a cabo por personas u

organizaciones criminales, se aprovechan de la descoordinación interna en las
organizaciones. El hecho de que existan departamentos, personas o procesos paralelos
que gestionen diferentes tipos de seguridad y riesgos, con diferente dependencia
orgánica, puede provocar descoordinación, falta de información y, por tanto, incluso una
mayor vulnerabilidad y exposición de activos.

¿Qué es lo más importante para una organización en relación a la Seguridad de la

Información?

Existen muchos procesos y decisiones importantes. A continuación se destacan los más

relevantes atendiendo a la mejor protección de activos de información o elementos de
conocimiento:

1. Análisis de riesgos: los riesgos mutan, evolucionan, mejoran y se adaptan a las

medidas de seguridad existentes. Por ello, es necesario y conveniente analizar de
forma recurrente y permanente los riesgos, así como introducir los nuevos
activos que tiene la organización al proceso para evaluar el impacto y
probabilidad de cada riesgo, así como la vulnerabilidad de cada activo a
proteger.

2. Medidas de seguridad: las medidas de seguridad, ya sean humanas, tecnológicas

o de cualquier otro tipo evolucionan y mejoran constantemente. Cualquier

Unidad: La protección de la inteligencia

Prohibida la difusión. Derechos reservados por LISA Institute ©

 2018/10 – INTEL2
Pág. 4 de 6

organización debe estar atenta a las tendencias e innovaciones del mercado que
les permitan disponer de las mejores medidas de seguridad posibles. Asimismo
es importante evaluar la eficacia, eficiencia y efectividad de cada medida de
seguridad por separado para entender y comprender sus puntos débiles y los
procesos de mejora existentes.

3. Formación: Aunque se disponga de los análisis de riesgos más acertados y de las

mejores medidas y sistemas de seguridad, si las personas que los deben gestionar
no están debidamente formadas, el sistema y los activos continuarán expuestos.
Por ello, es necesario e importante que todos los miembros de cualquier
organización estén formados, en diferente grado y especialidad, en lo que se
refiere a la prevención, la disuasión, la reacción y la recuperación ante cualquier
riesgo o amenaza existente. Dicho personal, debe ser debidamente concienciado,
formado, evaluado y certificado para garantizar una seguridad óptima.

4. Cultura de Seguridad: toda la organización, desde su Director general hasta los

empleados internos o externos deben conocer las políticas, normativas y
procedimientos de seguridad. La seguridad, en especial la seguridad de la
información, debe estar debidamente regulada a nivel organizativo, de lo
contrario, no se podrá exigir su cumplimiento a los trabajadores que la incumplan.

3. Tipos de controles

Existen tres tipos de controles en los que toda medida de seguridad puede clasificarse:

 Controles de gestión: relacionados con la supervisión, los procedimientos y su

ejecución.

 Controles técnicos: se materializan en el uso de la tecnología, por ejemplo

cortafuegos, contraseñas, etc.

 Controles físicos: sirven para mitigar o evitar tanto riesgos naturales como
humanos. Algún ejemplo: cámaras de seguridad, cerraduras, barreras, etc.

Todo sistema de seguridad necesita disponer y utilizar los tres tipos de controles para
conseguir una seguridad integral.

Unidad: La protección de la inteligencia

Prohibida la difusión. Derechos reservados por LISA Institute ©

 2018/10 – INTEL2
Pág. 5 de 6

4. Medidas de seguridad

A continuación se facilita una lista de las medidas de seguridad más relevantes para la
Seguridad de la Información que se analizarán y describirán a posteriori durante el curso:

Cumplimiento: proviene del inglés compliance. Es un control de gestión y se refiere al

conjunto de leyes, políticas, estándares, procedimientos y requerimientos internos o
externos a la organización que establecen cómo se debe actuar en determinadas
situaciones.

Principio de necesidad de saber: relacionado con la propiedad de la confidencialidad.

Implica que cada persona solo debe tener acceso a aquellos elementos del conocimiento
necesarios para el desarrollo de sus funciones. Para determinar correctamente el nivel
de acceso de cada persona es imprescindible un conocimiento profundo de la
organización, cargos y funciones que se desempeñan. Estos privilegios de acceso
normalmente se conocen como Role-Based Access Control (RBAC).

Cláusulas contractuales: restringen y acotan de forma clara y con la menor posibilidad

de interpretación todo aquello relacionado con el acceso y uso de la información.
También deben incluir el post-contrato y abarcar tanto personal como organizaciones
internas o externas.

Dispositivos móviles, memorias extraíbles e internet: representan una de las mayores

fuentes de riesgo que existen en la actualidad. Es imprescindible detallar, acotar e
incluso restringir su uso.

La amenaza interna: también conocida como insiders. Podrían ser topos, agentes dobles,
empleados descontentos, espías de la competencia, etc. Representan un riesgo con un
elevado impacto en caso de materializarse. Algunas medidas que se pueden llevar a cabo
serían:

 Investigar activamente futuros candidatos, personas o empresas externas

subcontratadas, partnerships, etc. siguiendo los principios de la due diligence.

 Realizar análisis de contrainteligencia e investigaciones de security clearance.

 Introducir cláusulas contractuales disuasorias de exclusividad y no competencia.

 Llevar a cabo controles y auditorías aleatorias en todos los departamentos.

 La monitorización del personal conflictivo, el que tenga vulnerabilidades o el que

realice comportamientos anómalos o extraños.

 Gestionar correctamente expedientes sancionadores, despidos y jubilaciones.

Unidad: La protección de la inteligencia

Prohibida la difusión. Derechos reservados por LISA Institute ©

 2018/10 – INTEL2
Pág. 6 de 6

Unidad: La protección de la inteligencia

Prohibida la difusión. Derechos reservados por LISA Institute ©