UNIDAD IV

CONTROLES DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

Si lo que quieres es saber si estás al día en lo que ha ciberseguridad se refiere este es el lugar
adecuado para ti. El programa maligno y los hackers evolucionan perfeccionando sus tácticas con
fines nada éticos, es por eso por lo que tú también deberás actualizar tus formas de protección de tus
datos para ponérselo lo más difícil posible. En este tema, podrás conocer algunos consejos en cuanto
a la necesidad de protección de las contraseñas de acceso, así como sobre la mejor gestión de los
privilegios para la gestión y acceso a la información en las organizaciones.

La protección de las contraseñas

Es por ello, que uno de los puntos más acuciantes que hay que proteger, tanto a nivel de seguridad
empresarial como en el ámbito personal, es la contraseña. Para la seguridad informática, las
contraseñas son uno de los puntos débiles porque no siempre logramos conseguir una contraseña
fuerte o, para evitar olvidos, elegimos fechas de nacimiento, nombres de hijos, etcétera. Es decir,
aquellas contraseñas que, para alguien malintencionado que haga algo de ingeniería social, serían
muy fáciles de averiguar.

Al final, se trata de reducir los riesgos al mínimo, procurando ser lo más cuidadoso posible. En ese
sentido, una buena administración de las contraseñas a nivel interno y la implementación en entornos
empresariales de soluciones que protejan y vayan rotando de forma segura las contraseñas es uno de
los primeros pasos que se habrán de tomar.

La regla del mínimo privilegio

Para preservar la seguridad de la información, aquellas empresas que tengan implementados sistemas
de seguridad inteligentes tratarán de cerrar a aquellos usuarios con privilegios elevados los permisos
que no necesiten en el momento. La idea es identificarles, monitorizar sus accesos y solo mantener
los privilegios en aquellas áreas en las que se encuentren en ese instante. Al resto podrán acceder,
pero no tendrán privilegios hasta que lo necesiten.

Esta forma de seguridad informática trata de hacer compartimentos estancos, para entrar en otro hace
falta cerrar el anterior, de este modo se evitan exposiciones de información innecesarias. La
información es poder, sin embargo, las personas acceden muy fácilmente a la renuncia de su

1
información y datos personales a cambio de la comodidad y el fácil acceso a aquellos servicios y
aplicaciones que usan día a día.

4.1. IMPORTANCIA DE LOS CONTROLES PARA LA SEGURIDAD EN LOS SISTEMAS DE

INFORMACIÓN
Vivimos en un mundo globalizado y competitivo en el que las compañías se encuentran diariamente
con nuevos desafíos. Por ello cada vez es más importante gestionar la seguridad de la información en
la empresa y así evitar la pérdida de su activo más valioso hoy en día: los datos. La detección de
vulnerabilidades y la seguridad informática es fundamental para mantener siempre segura e intacta la
información privada de las empresas, por ello, contar con este tipo de herramientas constituye, además
de una necesidad, una inversión a corto, mediano y largo plazo.

Tanto los Sistemas de Gestión de Seguridad de la Información como las redes de trabajo de cualquier
organización se ven constantemente afectados por amenazas de seguridad, por ciberataques y por
fraudes informáticos. Además, se enfrentan continuamente a sabotajes o virus con el consiguiente
riesgo de eliminación y pérdida de la información. La clave está en que la organización invierta recursos
en aplicar herramientas que mejoren la seguridad.
En lo que a seguridad de la información se refiere, algunos de los aspectos fundamentales que deben
ser analizados y medidos, son:
• La disponibilidad de los datos
• La confidencialidad de los documentos
• La integridad de la información

¿Por qué es importante la seguridad de la información?

Hemos mencionado un poco acerca de la necesidad de garantizar la seguridad de la información y
después de tener un mapa más amplio sobre ella, ya podemos vislumbrar algunas amenazas y riesgos
que nos llevan una vez más, a reconocer su importancia. Sin embargo, es importante ahondar en el
tema, ya que hay riesgos y amenazas que todavía no alcanzamos a identificar y que es importante
hacerlo, ya que nos permitirán conocer las acciones y medidas que necesitamos implementar para
evadirlas.

2
 • Robo de información
Probablemente esta sea la más obvia de todas las razones para considerar la seguridad de la
información como parte de la organización de la empresa. Sin embargo, hay implicaciones a estos
robos. Por ejemplo, cada empresa construye su know how (saber hacer) que no es otra cosa que el
perfeccionamiento de sus procesos con respecto al interior, el saber cómo llegar al resultado o
producto esperado. Ese es un bien o activo intelectual de la empresa, con mayor valor en algunos
casos que los bienes inmuebles.

• Pérdidas económicas
La pérdida de activos en sí ya representa una pérdida económica, pero al vulnerar nuestra información,
también se corre el riesgo de perder capital y liquidez. El dinero es común que se maneje de forma
digital hoy en día. Los billetes y monedas poco a poco han disminuido su influencia para darle paso a
nuevas formas de comercio e intercambio, como las tarjetas de crédito y débito, las bancas digitales,
transferencias interbancarias, entre otros. Estas nuevas medidas nos llevan a correr riesgos. Un
ejemplo es el robo de datos bancarios, de los cuáles hemos visto o cuando menos escuchado, que
han existido miles de fraudes y robos que han puesto en riesgo las finanzas personales de muchos.

• Confianza con los clientes

Como empresas, debemos de ser conscientes de que la mayor virtud como ofertantes de un bien o
servicio, lo más importante es garantizar que la confianza que los clientes tienen con la empresa, no
se vea en riesgo por ningún motivo. Precisamente esa confianza puede estar en riesgo si no se
protegen adecuadamente los datos y la información que los clientes proporcionan a la empresa como
parte de la relación económica. Por ejemplo: información confidencial, datos bancarios, registro de las
operaciones, en fin, estos son solo unos ejemplos de los datos que como cliente no quisieras dar a
conocer públicamente.

• Vulnerabilidad ante la competencia

En la guerra y en el amor, todo se vale. Eso dice una vieja frase que parecen tomar en serio en el
mundo de los negocios, ya que como hemos podido observar en los últimos años, los ciberataques
han estado a la orden del día, no solo a las empresas, incluso a instituciones públicas. La mayor parte
de estos ataques se realizan con la intención de sabotear el trabajo, ya sea para lograr una ventaja
comparativa sobre la competencia o, por el contrario, quitarles una ventaja. El hecho es que, como un

3
activo valioso, la información debe ser resguardada para evitar poner en riesgo la viabilidad de la
empresa.

• Seguridad personal
La información es poder, dicen por ahí, y eso es cierto, al ofrecer información estamos dándole cierto
poder a la otra persona. Si lo pensamos así, probablemente seremos mucho más cuidadosos con el
uso de la información. Como parte de las vulnerabilidades, encontramos nuestra seguridad expuesta
si no cuidamos nuestra información. Un ejemplo ya lo vimos con el robo de datos bancarios, sin
embargo, existen un sin fin de malos usos que se puede dar a otro tipo de información. Un ejemplo es
la cantidad de escándalos que hemos visto en diarios o páginas de Internet debido a filtraciones de
información o robos de datos a políticos, empresarios e incluso artistas.

• Competencia empresarial
Ya vimos que puede suceder cuando gente utiliza el pretexto de la competencia para realizar acciones
poco éticas y sacar ventaja del resto. Pero, por otro lado, ¿qué nos dirías si te decimos que la seguridad
de la información también representa una oportunidad de mercado? Algo que puede convertirse en
una ventaja comparativa con el resto o cuando menos no jugarnos en contra. Al ser un tema que poco
a poco ha tomado relevancia en el mundo, es una demanda cada vez más solicitada en el mercado y
que muy pronto seguramente más que una demanda, se convertirá en una exigencia mínima a
garantizar.

La seguridad de la información consiste en preservar la confidencialidad de esta, así como su

integridad y disponibilidad. Esto incluye a los sistemas implicados en el tratamiento de la información
dentro de la organización. Entre los beneficios que puede obtener una empresa que implemente un
SSI, tenemos: la disminución del impacto de los riesgos; mayores garantías de continuidad del negocio
basadas en la adopción de un plan de contingencias; la mejora de la imagen de la organización y el
aumento del valor comercial de la empresa y sus marcas; una mayor confianza por parte de clientes,
proveedores, accionistas y socios; una mejora del retorno de las inversiones; el cumplimiento de la
legislación y normativa vigentes, etc.

Los sistemas de información abarcan muchas tecnologías complejas, conceptos abstractos y

aplicaciones especializadas en innumerables áreas de la organización. El rol del usuario final o del

4
gerente no requiere absorber todo este conocimiento para ello debe concentrar sus esfuerzos en cinco
áreas:
• Conceptos base: Orientar esfuerzo en los conceptos técnicos que le permitirán comprender
los sistemas de información y su contribución a las operaciones empresariales, la toma de
decisiones gerenciales y la ventaja estratégica de la empresa según su naturaleza.
• Tecnología: conceptos, desarrollos y aspectos gerenciales en la tecnología de la información,
es decir hardware, software, redes administración de base de datos y otras tecnologías de
procesamiento de información.
• Aplicaciones: Los principales usos de los sistemas de información para operaciones,
administración y ventaja competitiva de una empresa, incluidos el comercio electrónico
mediante el uso de internet, intranets y extranets.
• Desarrollo: Comprende la forma en que los usuarios finales o especialistas de información
desarrollan soluciones de sistemas de información a problemas empresariales utilizando
metodologías de desarrollo de sistemas de información.
• Los desafíos de manejar en forma efectiva y ética los recursos y estrategias en el uso de la
tecnología de la información en los niveles global, empresarial y de usuario final.

Importancia de la seguridad informática en las empresas

En la actualidad, estamos viviendo varios episodios de ciberataques a empresas. Importantes
organizaciones, tanto públicas como privadas, han sufrido estos ataques a sus sistemas informáticos.
Estos ciberataques no sólo afectan a clientes o inversores de dichas compañías, sino que pueden
llegar a afectar a la seguridad nacional o regional de los distintos estados además de la propia
empresa.

Si una empresa quiere ser competitiva en los tiempos que corren debe contar con sistemas, recursos
y plataformas TIC ágiles y con un alto nivel de disponibilidad, lo que exige una gestión efectiva y un
amplio proceso de transformación digital. El proceso de transformación digital en el que están inmersas
la mayoría de las organizaciones y la sociedad en general permite que se puedan cometer ataques
contra la seguridad informática de las empresas desde cualquier parte del mundo utilizando como
herramienta tan solo un ordenador. Es por esto por lo que las organizaciones tienen que prestar
especial atención a protegerse de posibles ataques eventuales ya que nadie está a salvo del programa
maligno.

5
Recomendaciones para tener un sistema informático seguro
El sistema informático de una empresa para ser considerado seguro debe ser íntegro y confidencial
(accesible sólo para personas autorizadas), irrefutable (las acciones realizadas no se pueden negar)
y tener buena disponibilidad (estable y disponible en el tiempo). Algunas de las medidas
recomendadas por especialistas para evitar los ciberataques son:
• Externalizar servicios: al no tener tantos activos disminuye el riesgo de ataques.
• Contar con un buen antivirus que nos garantice protección.
• Capacitación de los usuarios: formar a los usuarios de los sistemas de seguridad informática en
materia de ciberseguridad.
• Mantener actualizado el software.
• Prestar atención a las contraseñas.
• Realizar auditorías de software.
• Posibilidad de contratar un ciberseguro.

4.2. SEGURIDAD DE LA INFORMACIÓN

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una
relevancia especial en un contexto determinado y que, por tanto, hay que proteger. La Seguridad de
la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que
permiten a la organización asegurar la confiabilidad, integridad y disponibilidad de su sistema de
información.

La seguridad de la información es todo el conjunto de técnicas y acciones que se implementan para

controlar y mantener la privacidad de la información y datos de una institución; y asegurarnos que esa
información no salga del sistema de la empresa y caigan en las manos equivocadas. Fuego se
combate con fuego, por eso las acciones y medidas parten principalmente de los conocimientos que
existen acerca de las nuevas tecnologías.

Por lo tanto, la seguridad de la información resguardará los datos que están a disposición del sistema
de cada empresa y mantendrá el acceso limitado únicamente a los usuarios con autorización. Sin
embargo, tan importante es el resguardo como la seguridad de que la información como la modificación
de esta, por lo que también garantizará que la información sea solamente modificada de la mano de
las personas con los permisos correspondientes.

6
La seguridad de la información parte de la premisa de que los datos son el nuevo gran valor y tesoro
de la nueva realidad, ya que los malos manejos que se puedan hacer con ella pueden ser catastróficos,
para gobiernos, empresas e incluso para las personas que manejan datos delicados en línea.
Recapitulando lo anterior, el concepto de seguridad de la información contempla 3 elementos
importantes para identificar la información a proteger:
1. Crítica: Esto quiere decir que la información es indispensable para el funcionamiento y
operación de la institución o empresa.
2. Valiosa: Como lo mencionamos, son activos indispensables de las instituciones, por lo tanto,
deben ser resguardadas y protegidas para evitar poner en riesgo el futuro de la organización.
3. Sensible: Esto significa que solo debe ser conocida por las personas autorizadas por la
organización.

Como complemento a lo anterior, existen dos conceptos que es importante a considerar para
comprender el tema:
• Riesgo: Es la materialización de las vulnerabilidades que están identificadas en la institución y
que resulta de la combinación de la probabilidad que suceda un evento no deseable y su
impacto negativo a la organización.
• Seguridad: Es la forma en que la institución se protege de los riesgos.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo
el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en espacio, acceso,
rapidez en el procesado de dicha información y mejoras en la presentación de esta. Pero aparecen
otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más
posibilidades de que desaparezca ‘por el camino’. Si es más fácil acceder a ella también es más fácil
modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red
es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando,
evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos
requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la
solución, pero la esencia es la misma.

7
La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas
a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además,
abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Como
vemos el termino seguridad de la información es más amplio ya que engloba otros aspectos
relacionados con la seguridad más allá de los puramente tecnológicos.

El rol de los RRHH en la seguridad de la información

Los recursos humanos son quizá el componente más crítico al momento de garantizar las tres
características de la seguridad de la información: integridad, confidencialidad y disponibilidad, por lo
tanto, deben adoptarse controles y prácticas de gestión que ayuden a mitigar el impacto de los riesgos
que por este factor se pudieran materializar.

• Confidencialidad
Desde las grandes empresas hasta las personas tienen información y contenidos que no desean
compartir con cualquiera. Es necesario que los sistemas de seguridad impidan el acceso a quienes no
deberían ver estos contenidos. Es la clave de la confidencialidad. Por ejemplo, hay países en los que
las leyes federales indican que la información de los estudiantes en las universidades debe estar
restringida. Así que solo el personal autorizado debería poder acceder a los registros de calificaciones.

• Integridad
Es la garantía de que la información a la que se accede no se ha alterado por accidentes o intentos
maliciosos y que lo que allí se lee es exactamente lo que se pretende. Lo que la integridad nos sugiere
es que la información a la que accedemos es verdaderamente confiable, que podemos aceptarla como
un hecho. Pero sabemos que la información puede perder su integridad. Por ejemplo, cuando un pirata
informático ingresa al sistema de una universidad y cambia las calificaciones a conveniencia. Sin
embargo, la integridad también se puede perder de manera involuntaria. Un ejemplo de esto es cuando
alguien autorizado. por error, borra o cambia datos de algún archivo de información, o cuando por una
falla de energía, se corrompe un archivo, y así sucesivamente.

• Disponibilidad
Esta tercera parte de la triada de la CIA se refiere a la posibilidad de que alguien autorizado pueda
acceder sin problema a la información y si es necesario, modificarla. La información debe poder
accederse en el momento en que se necesita, y esto dependerá del tipo de trabajo. Un operador de

8
acciones debe recibir la información de inmediato, mientras que un vendedor de inmuebles puede
esperar al día siguiente para ver cómo cerraron las ventas del día. Con la definición clara de las
funciones se asegura que todo el recurso humano (empleados, contratistas y terceros) vinculados con
la empresa entiendan sus responsabilidades y estén en las condiciones para desarrollarlos; de esta
forma se pueden reducir riesgos de fraude y uso inadecuado de los activos de información de la
empresa.

4.2.1. Factores internos y externos

Factores Internos
• Premeditación (Empleados mal intencionados o exempleados con información privilegiada)
• Descuido
• Ignorancia
• Indiferencia de las políticas de seguridad
• Suplantación de identidad
• Sniffing (técnica utilizada para escuchar todo lo que ocurre dentro de una red)
• Robo de información (Ej: para la competencia)
• Virus
• Troyanos
• Gusanos
• Espionaje: Trashing (consiste en revisar la basura de la persona u organización a investigar),
Shoulder Surfing (mirar por encima del hombro es una técnica de usada para obtener
información), Grabaciones, etc

Factores Externos
• Hackers
• Crackers (personas que rompen o vulneran algún sistema de seguridad)
• Lammers (persona con falta de habilidades técnicas)
• Motivaciones: Ranking, reto personal, robo de datos, pruebas, etc.
• Troyanos
• Spam
• Virus
• Ataques contra servicios WEB
• Robo de Identidad
9
 • Cross Site Scripting (tipo de vulnerabilidad informática o agujero de seguridad típico de las
aplicaciones Web)
• SQL Injection Exploits (es un tipo de ciberataque encubierto en el cual un hacker inserta código
propio en un sitio web con el fin de quebrantar las medidas de seguridad y acceder a datos
protegidos)
• Denegación de Servicio
• Phishing (delito de engañar a las personas para que compartan información confidencial)

4.2.2. Seguridad Física

La seguridad física trata de la protección de los sistemas ante amenazas físicas. Consiste en la
aplicación de barreras físicas y procedimientos de control, como medidas de prevención y
contramedidas, ante amenazas a los recursos e informaciones confidenciales. Desastres naturales,
sabotajes internos o externos, etc, forman parte de este tipo de seguridad. La seguridad física es
aquella que trata de proteger al hardware (los equipos informáticos, el cableado, etc.) de los posibles
desastres naturales (terremotos, tifones, etc.), de incendios, inundaciones, sobrecargas eléctricas, de
robos y un sinfín de amenazas más.

La seguridad física de un sistema informático consiste en la aplicación de barreras físicas y

procedimientos de control frente a amenazas físicas al hardware. Esta se refiere básicamente a la
protección de todos nuestros elementos desde el punto de vista de posibles desastres naturales como
incendios, terremotos o inundaciones, así como también de otras amenazas externas como puede ser
robo, problemas en el sistema eléctrico, etc. Las diferentes medidas que suelen tomarse pasan por
adecuar el espacio dedicado al Hardware de forma que las amenazas mencionadas queden mitigadas
lo máximo posible. Algunas posibles soluciones dentro de esta clasificación son la videovigilancia
(cámaras), control de acceso (huella dactilar, código), control biométrico o seguridad perimetral.

4.2.3. Seguridad Lógica

La seguridad lógica protege la información dentro de su propio medio mediante el uso de herramientas
de seguridad. Se puede definir como conjunto de operaciones y técnicas orientadas a la protección de
la información contra la destrucción, la modificación, la divulgación indebida o el retraso en su
gestación.

10
La seguridad lógica complementa a la seguridad física, protegiendo el software de los equipos
informáticos (aplicaciones y datos) de usuarios, de robos, de pérdidas de datos, de entrada, de virus
informáticos, de modificaciones no autorizadas, de ataques desde la red, etc. La seguridad lógica, por
otro lado, se encarga de proteger todo lo relacionado con el software y/o la información contenida en
los equipos. Complementa la seguridad física con antivirus, encriptación de información, y otros
mecanismos para la protección y privacidad de los usuarios de la red.

Esta es una referencia a la protección por el uso de software en una organización. Incluye identificación
de usuarios y contraseñas de acceso, autenticación, derechos de acceso y niveles de autoridad.
Dichas medidas tienen el propósito de asegurar que solo determinados usuarios tienen la capacidad
de acceder a información en una red o un equipo concreto. El fraude es un ejemplo de incumplimiento
lógico malicioso. Y aunque el problema pudo haber sido introducido accidentalmente en un ordenador,
su concepción original es maliciosa. Algunas soluciones son: Antimalware, Antispam, Firewall, End
Point, Check Point.

4.3. CONTROLES DE ACCESO DE ENTRADA Y SALIDA DE LA INFORMACIÓN:

AUTENTICACIÓN, AUTORIZACIÓN, CRIPTOGRAFÍA
Existen múltiples herramientas o controles de acceso de entrada y salida a disposición para garantizar
esta triada de seguridad. Cada empresa puede elegir las herramientas que necesite a su gusto para
que formen parte de su política general de seguridad. Dentro de estas herramientas podemos
mencionar:

• Autenticación
La forma de identificar a alguien que está sentado detrás de una computadora o de un cajero
automático (es decir, alguien que no podemos ver), es con una herramienta de autenticación. Se puede
lograr identificar a alguien con autenticación a través de tres o más factores: algo que la persona sabe,
lo que tiene o lo que es. Esto se refleja actualmente en la forma más común de autenticación, el usuario
y la contraseña. En ese caso la persona accede a la información una vez que demuestra algo que
sabe (la contraseña).

La autenticación por algo que la persona tiene lleva a un nivel más complejo, pues la información se
obtiene a partir de un objeto, sea una llave o una tarjeta. Si ese elemento de identificación es robado,
las barreras de seguridad se traspasan fácilmente. Pero respecto al último factor, algo que la persona

11
es, implica la autenticación a partir de una característica física de la persona, por ejemplo, un escáner
ocular o una huella digital, así que es mucho más difícil de comprometer.

• Autorización o Control de acceso

Luego de la autenticación viene la autorización o el control de acceso, que se asegura de que solo las
personas adecuadas o autorizadas puedan ver, modificar, agregar y/o eliminar la información. Existen
varios modelos diferentes de control de acceso. Aquí analizaremos dos: la lista de control de acceso
(ACL) y el control de acceso basado en roles (RBAC). Las listas de control de acceso son muy útiles
en las empresas. A cada usuario, el administrador le asigna capacidades específicas: leer, editar,
eliminar, agregar, etc.

Así que solo los usuarios con esas capacidades en concreto pueden ejercer las funciones. Y si alguien
no está en la lista ni siquiera sabe que existe. Este sistema de listas es fácil de entender y mantener,
pero cada recurso de información se administra por separado. Eso significa que eliminar un usuario o
un conjunto de recursos de información es bastante difícil. Y mantener esta herramienta cuando se
unen cada vez más usuarios se hace más complicado. Por eso existe el control de acceso basado en
roles.

• Criptografía o Cifrado
Cuando una organización o empresa necesita trasmitir datos a través de internet o por medios externos
como un CD o una unidad flash, entra en juego el cifrado. En estos casos es probable que una persona
ajena tenga acceso a pesar de la autenticación y el control de usuario. Así que el cifrado funciona
como un proceso de codificación de datos en su transmisión o almacenamiento para que solo las
personas autorizadas puedan leerlo. Se logra la codificación a través de programas de computación
que codifican el texto plano que necesita ser trasmitido.

Entonces el destinatario recibe el texto cifrado y lo decodifica (descifrado), y para que así sea,
remitente y destinatario deben haber acordado un método de decodificación. Ambas partes comparten
la clave y a esta estrategia se le conoce como cifrado de clave simétrica. Pero tiene sus
complicaciones, ya que la clave está disponible en dos lugares al mismo tiempo.

Sin embargo, una buena opción es el cifrado de clave asimétrica. En este sistema se utilizan dos
claves: una pública y una privada. Para enviar un mensaje cifrado, obtiene la clave pública, codifica el

12
mensaje y lo envía. El destinatario al recibirlo usa la clave privada y lo decodifica. Así, múltiples
usuarios con la clave pública pueden enviar un mensaje cifrado al destinatario que los recibe a través
de la clave privada. Cada usuario simplemente necesita una clave privada y una pública para asegurar
los mensajes.

También existe el cifrado híbrido utilizado en las conexiones seguras de Internet que se sirven de
una mezcla de los dos tipos de cifrado anteriores. Aprovechan la ligereza de uno y la fortaleza del otro.
Lo que suelen hacer protocolos de comunicación seguros como HTTPS (Protocolo seguro de
transferencia de hipertexto).

Un sistema de información es un conjunto de componentes interrelacionados cuyo objeto es la

recolección de datos, su procesamiento y almacenamiento, y la distribución de información para la
toma de decisiones y para el control organizacional. Está compuesto por tres actividades: entrada,
proceso y salida.
• Entrada: donde se captura el elemento primario del sistema de información que es el dato. Los
datos recolectados pueden ser internos o externos a la organización.
• Proceso: donde los datos se combinan con otros elementos y se vuelven significativos a través
de su contextualización, de acuerdo con lo que sucede en la organización.
• Salida: donde se obtiene la información útil y significativa para las personas.

Seguridad en los Sistemas de Información Informáticos

La definición de seguridad de la información no debe ser confundida con la de seguridad informática,
ya que esta última sólo se encarga de la seguridad en el medio informático, pero la información puede
encontrarse en diferentes medios o formas, y no sólo en medios informáticos. La seguridad informática,
también conocida como ciberseguridad o seguridad de tecnología de la información, es el área
relacionada con la informática y la telemática (Servicio de telecomunicaciones que permite la
transmisión de datos informatizados a través del teléfono) que se enfoca en la protección de la
infraestructura computacional y todo lo relacionado con ésta y, especialmente, la información
contenida en una computadora o circulante a través de las redes de computadoras.

La seguridad informática debe establecer normas que minimicen los riesgos que puedan sufrir la
información o la infraestructura informática. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de

13
emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática
minimizando el impacto en el desempeño de los trabajadores y de la organización en general. La
seguridad informática está concebida para proteger los activos informáticos, entre los que se
encuentran los siguientes:
• La infraestructura computacional: es una parte fundamental para el almacenamiento y
gestión de la información, así como para el funcionamiento mismo de la organización. La función
de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente
y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el
suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
• Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones
y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte
de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la
información que manejan o almacenan sea vulnerable.
• La información: ésta es el principal activo. Utiliza y reside en la infraestructura computacional
y es utilizada por los usuarios.

4.4. EFECTOS DE LA FALTA DE CONTROLES DE SEGURIDAD EN LOS SISTEMAS DE

INFORMACIÓN
La seguridad de la información consiste en proteger uno de los principales activos de cualquier
empresa: la información. La seguridad de la información es requisito previo para la existencia a largo
plazo de cualquier negocio o entidad. La información es usada en cada uno de los ámbitos
empresariales, los cuales dependen de su almacenamiento, procesado y presentación.

La gestión de la seguridad de la información, al igual que la mayoría de los ámbitos de la gestión

empresarial, depende principalmente de las personas que componen la Organización. La información
sólo tiene sentido cuando es utilizada por las personas y son estas, quienes, en último término, deben
gestionar adecuadamente este importante recurso de la empresa. Por tanto, no se puede proteger
adecuadamente la información sin una correcta gestión de los Recursos Humanos.

El departamento de Seguridad quien se encargue de: Proteger los activos de información con los que
cuenta una empresa es una tarea que no sólo debe implicar al director de Seguridad, sino que debe
ser compartida por toda la Organización. Cada área de Negocio juega su papel: el área de Marketing

14
se centra en la protección de la imagen corporativa, el área Comercial está más relacionado con la
protección de los datos de los clientes, etc.

Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el
departamento encargado de gestionar los Recursos Humanos. Aspectos como la formación de los
empleados, la captación y selección de nuevos miembros de la plantilla, la gestión de empleados que
abandonan la Organización o la implementación de la normativa interna, son fundamentales en el tema
que nos ocupa.

Principales causas de los fallos en la seguridad de la información

Existen una gran cantidad de diferentes fallos en la seguridad de la información que suceden a diario.
A fin de hacer una segmentación de estos, podemos clasificarlos en tres categorías como son: fallos
en la seguridad de la información de carácter malicioso, intencional o penal, seguidos de fallos propios
del sistema y en tercer lugar fallos causados por el error humano. De acuerdo con el estudio realizado
por IBM, el 49% de los fallos en la seguridad de la información son provocados con carácter intencional,
un 23% son debidos a problemas técnicos del propio sistema y el 20% a errores humanos. Veamos
en detalle cada una de estas tres categorías de fallos en la seguridad de la información.

• Fallos en la seguridad de la información de carácter malicioso, intencional o criminal

Estos fallos en la seguridad de la información han sido previamente planificados y el objetivo de estos
es provocar un impacto negativo en el negocio. Entre este tipo de fallos en la seguridad de la
información estaría las estafas, el fraude, la piratería, robo de propiedad intelectual, delitos
informáticos, introducción de virus o desvío de fondos. Las organizaciones a fin de evitar tales
problemas implementan sistemas de seguridad que le permitan salvaguardar la información
depositada en las mismas, evitando su robo. En este sentido y con el objetivo de garantizar la
seguridad de sus sitios, las operaciones comerciales del comercio electrónico son sometidas con
carácter periódico a diferentes pruebas.

• Errores técnicos del propio sistema

Para estos problemas es difícil detectar la razón por la que suceden. Ocurren de manera inesperada.
Vendrían siendo, por ejemplo, cuando un día estamos operando con el equipo con total normalidad y
al día siguiente al volver a activar el ordenar no funciona, sin haber hecho nada. Por lo general, estos

15
problemas se resuelven con relativa rapidez y es posible volver a trabajar. La solución a este tipo de
problemas para evitar que vuelvan a ocurrir es investigar, resolver y hacer el oportuno seguimiento.

• Fallos en la seguridad de la información debido al error humano

El carácter impredecible de las personas hace que este motivo de fallos en la seguridad de la
información sea difícil de controlar. Entre los ejemplos más habituales de este tipo de errores
destacamos aquellos como cuando un empleado pierde algún archivo, o teléfono de la empresa,
cuando se comparten contraseñas que no debería haberse compartido, cuando se registran
información errónea en sitios web en momentos que no deberían.

¿Cuáles son las principales amenazas o fallos de la seguridad de la información?

Seguridad informática, ciberseguridad o seguridad de las tecnologías de la información es el ámbito
que tiene que ver con la protección de la infraestructura informática y/o telemática y toda la información
contenida en ella. Dentro de esta área se incluyen: cualquier tipo de software como bases de datos o
archivos, hardware, redes de ordenadores y aquello que conlleve información confidencial en un medio
informático.

Amenazas
Para conseguir un sistema de información seguro y confiable se establecen una serie de estándares,
protocolos, métodos, reglas y técnicas. Sin embargo, existen amenazas que deben tenerse en cuenta:
• Usuarios. Se considera la causa del mayor problema ligado a la seguridad de un sistema
informático. Es así porque con sus acciones podrían ocasionar graves consecuencias.
• Programas maliciosos. Conocidos como programa maligno son destinados a perjudicar un
ordenador cuando se instala o hacer uso ilícito de datos. Suelen ser un virus informático, un
troyano o un spyware.
• Errores de programación. Más que un peligro, se trata de un mal desarrollo. Pero también se
tiene que ver como un riesgo evitando que los sistemas operativos y aplicaciones estén sin
actualizar.
• Intrusos. Cuando personas que no están autorizadas acceden a programas o datos que no
deberían, como es el caso de los hackers.
• Siniestro. También se puede perder o deteriorar material informático por una mala
manipulación o intención. Aquí entrarían situaciones como robo, incendio o inundación.

16
 • Fallos electrónicos. Un sistema informático en general puede verse afectado por problemas
del suministro eléctrico o por errores lógicos como cualquier otro dispositivo que no es perfecto.
• Catástrofes naturales. Rayos, terremotos, inundaciones…

Según el efecto que produce alguna de las anteriores amenazas se distingue entre:
• Robo de información.
• Destrucción de información.
• Anulación del funcionamiento de los sistemas.
• Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de
información…
• Robo de dinero o estafas.

Copias de seguridad
Una empresa debe proteger permanentemente su información ya que es el activo más importante que
puede dañarse por gran cantidad de factores: robos, incendios, virus…Para proteger de forma eficiente
los datos son imprescindibles las copias de seguridad o backups. En función del volumen de contenido
generado y la cantidad de equipos se perfilará el mejor plan de protección.

Consejos de seguridad para el área de Recursos Humanos

En paralelo al desarrollo de las nuevas tecnologías disponibles para las empresas surgen a diario
nuevos riesgos. Los ataques, la fuga de informaciones sigilosas y la inestabilidad obligan a estudiar lo
que podemos hacer para garantizar la seguridad de los sistemas, informaciones y procesos.

La definición de normas rígidas por parte de los departamentos de TI es sin duda un paso importante,
aunque de forma aislada no resuelve los problemas del día a día. La transformación digital también
debe ser incorporada por el departamento de Recursos Humanos. Hacer que sus profesionales
adopten las prácticas avaladas por los sistemas de gestión de las empresas es extremadamente
importante en lo relativo a búsqueda de seguridad. Por todos estos motivos, Marcos Nehme, director
de la División Técnica Latam de RSA Security, firma que apoya a las empresas en sus estrategias de
seguridad, enumera aquí diez consejos importantes para garantizar la seguridad en el trabajo.

17
1) El almacenamiento e intercambio de datos seguro es esencial
Al igual que los demás sectores, el departamento de RR.HH. necesita invertir en formas de control.
Las organizaciones deben desarrollar y aplicar políticas relativas al uso de sus servicios de intercambio
de documentos y alertar a sus empleados sobre los peligros que conlleva el uso de dichos servicios.

2) Un equipo preparado es menos susceptible a riesgos

La Cybersecurity es uno de los aspectos más importantes en la gestión de la empresa moderna, con
deberes y responsabilidades que se extienden a todos sus niveles. El “sistema nervioso central” de
cualquier organización depende no solo de tecnología segura, sino también de las cualidades y
habilidades de las personas encargadas de gestionarlas y operarlas. Estos desafíos no pueden ser
ignorados por los profesionales de Recursos Humanos, ya que desempeñan un papel crítico para
poder garantizar que la empresa esté preparada para gestionar los riesgos operativos y financieros
asociados a los ataques cibernéticos.

3) Los RR.HH. también fiscalizan el cumplimiento de las normas de seguridad

Los profesionales de RR.HH. tienen la responsabilidad de garantizar que los empleados cumplan con
las políticas de seguridad. Además de concientizar a los colaboradores sobre los procedimientos
internos, los representantes de RR.HH. deben trabajar con los gestores para detectar y resolver
rápidamente cualquier violación de las normas.

4) Adopción de códigos de conducta

Su empresa puede perder dinero si sus empleados, aun de forma involuntaria, divulgan informaciones
propiedad de la empresa para la competencia. Además, usted puede enfrentar acciones judiciales si
no consiguen proteger, por ejemplo, documentos financieros de terceros, incluyendo los de sus
clientes. Para evitar tales problemas es preciso implementar un código de conducta. Dicho documento
debe ser divulgado e incluir instrucciones claras para proteger las informaciones sensibles. Es
recomendable proporcionar a cada trabajar una copia de estas políticas y exigir que cada nuevo
contratado firme el acuerdo comprometiéndose a respetarlas.

5) Fortalecer la seguridad ayuda a administrar el uso de los dispositivos

Al proporcionar servicios de movilidad a los empleados mediante celulares y tablets corporativos, por
ejemplo, algunos factores deben tenerse en cuenta: su seguridad debe ser robusta, proporcionando
una autentificación fuerte y poseyendo mecanismos de control de acceso y sincronización con los

18
directorios de usuario de la organización, además de incluir criptografía para todos los datos en tránsito
almacenados en su memoria.

6) La seguridad de la información debe estar alineada con la estrategia de la empresa y de los

RR. HH
La revolución digital está marcada principalmente por los recursos disponibles en los negocios móviles,
la interconectividad y la mano de obra remota. La palabra “seguridad” debe ser el punto de partida
para cualquier cambio de mentalidad digital que adopten las empresas, principalmente cuando los
datos empresariales en propiedad comienzan a mezclarse. No estamos hablando únicamente de
hackers maliciosos o sobre ataques vía ransomware (secuestro de datos).

7) La experiencia del usuario es un factor determinante para la adopción de canales digitales y

para buscar una mayor seguridad en los procesos de los RR. HH
La aproximación de la tecnología y de los RR.HH. es un movimiento que tiende a consolidarse,
trayendo nuevos desafíos con cada lanzamiento. Las impresiones digitales, de voz y oculares,
combinadas con el seguimiento de las transacciones basadas en los riesgos, van a ser los métodos
de confirmación de identidad predominantes para la autentificación y gestión de fraudes. Para la
introducción de estas novedades en las compañías la experiencia del usuario resulta fundamental, ya
que permite conquistar a los usuarios y promover su adhesión.

8) Los RR.HH. y la TI deben ser aliados

La mayoría de las empresas depende de softwares y diferentes tipos de dispositivos de comunicación
remota. Los profesionales de RR.HH. deben trabajar en cercanía con el equipo de tecnología de la
información para garantizar que se criptografíe todos los archivos y que se implementen los
mecanismos de seguridad apropiados.

9) La aplicación de medidas de seguridad también es responsabilidad de los RR. HH

Incluso con códigos de conducta y dispositivos de criptografía es posible encontrar maneras de
esquivar los sistemas y violar las reglas de la empresa. Si se diese esta situación, investigue todas las
violaciones de seguridad y tome las medidas disciplinares apropiadas. Si las violaciones fuesen
ignoradas, otros empleados también podrían comenzar a desoír las reglas. Además, si usted deja de
aplicar sus políticas de forma consistentemente hace que la empresa sea vulnerable a procesos de
discriminación.

19
10) Sea un usuario inteligente de TI (tecnología de la información)
Usted no precisa saber todo sobre seguridad cibernética, pero es importante que sea un “usuario
inteligente” de TI. Esto significa hacer su parte para proteger datos y sistemas. Los errores de
seguridad afectan a las empresas de todos los sectores, industrias y tamaños, por ese motivo tomar
actitudes proactivas en los negocios es fundamental. Como consecuencia, si los RR.HH. son
conscientes de dicha importancia acaban convirtiéndose en un eslabón fortísimo dentro de esta
cadena, contribuyendo a que todo el ecosistema funcione de manera blindada y eficiente.

20