GESTION DE LA SEGURIDAD DE

LA INFORMACIÓN

DOCENTE: MG. FELIPE ORTIZ

FELIPE.ORTIZ@UNAHUR.EDU.AR
Noticias de la semana:
¿Por qué es importante
la información para las empresas?

Esencial para llevar cumplir con los distintos procesos

de negocio

Compras Contratación Contabilidad Ventas

Características de la información que
debemos proteger:

• Accesos no autorizados • Alteraciones intencionadas

• Divulgación de en documentación
información sensible • Borrados parciales

• Errores de configuración
• Ransomware
Seguridad de la información vs seguridad
informática
• Seguridad de la información es la disciplina que se
encarga de proporcionar la evaluación de riesgos y
amenazas, trazar el plan de acción y adecuación
para minimizar los riesgos con el objetivo de
asegurar la confidencialidad, integridad y
disponibilidad de los activos de información.

• Las medidas técnicas serán llevadas a cabo

por el equipo de seguridad informática.
1. Activos de información
Un requisito de la norma ISO TANGIBLES
27001 incluido en la lista de
controles del anexo A, es la PC – Laptop
correcta gestión de los
activos de Información que Tablets - Smartphones
dan soporte a los diferentes
procesos de la organización.
INTANGIBLE
Know-How

Reputación

Propiedad
intelectual
4. Debemos identificar los activos de información esenciales
para la organización y protegerlos adecuadamente en base a
su confidencialidad, integridad y disponibilidad.

Limitar su Copias de
Cifrado
acceso seguridad

Controles Acuerdos de
y auditoria confidencialidad
Confidencialidad
Asegurar que la información sea accesible sólo por las personas
autorizadas.
Amenazas a la confidencialidad:
• Ingeniería Social.
• Usuarios descuidados.
• Hackers.
• Phising.
• Trashing.

Medidas de protección para aumentar la confidencialidad:

• Clasificación de la información.
• Controles de acceso.
• Cifrado de datos.
• Capacitación y concientización al personal.
Integridad
Proteger y salvaguardar el estado completo de los activos,
considerándose como activo a todo aquello que posea valor para la
Organización, ya sean materiales o intangibles.
Amenazas a la integridad:
• Ingeniería Social.
• Usuarios no autorizados.
• Virus y/o Malware.
Medidas de protección para aumentar la integridad:
• Brindar únicamente los privilegios necesarios.
• Segregación de funciones
• Controles de cambios en ambientes productivos
• Antivirus
• Antispam
• Filtrado Web
Disponibilidad
Asegurar el acceso a la información, en tiempo y forma.

Amenazas a la disponibilidad:
• Denegación de servicio.
• Desastres naturales.
• Acciones humanas (Accidentales o intencionales).
• Virus, Worms → Ransomware.

Medidas de protección para aumentar la integridad:

• Controles de seguridad física y lógica.
• Tolerancia a fallos.
• Procedimiento de recuperación ante desastres.
• Controles de cambios en ambientes productivos.
• Respaldo de la información.
Auditabilidad
Todos los eventos de un sistema deben poder ser registrados para su control
posterior.
Inconvenientes:
• Imposibilidad de realizar un análisis forense.
• No cumplimiento de auditorias.
• Falta de información para pericias.

Medidas de protección para aumentar la integridad:

• Activar logs en todos los equipos.
• Enviar logs a un SIEM (Security information event manager)
• Generar alertas e informes.
Legalidad
Cumplir con las leyes, normas, reglamentaciones y disposiciones vigentes en
materia de seguridad de la información.
Inconvenientes:
• Acciones legales.
• Multas severas.

Medidas de protección para aumentar la legalidad:

• Cumplimiento de la ley 25.326 de protección de datos
personales.
• Cumplimiento de Normativas de acuerdo al
rubro de la empresa
• BCRA
• PCI DSS
• Software Legal
Rol del CISO
El oficial de seguridad de la información (chief information security
officer en inglés) es el responsable máximo en planificar, desarrollar,
controlar y gestionar las políticas, procedimientos y acciones con el fin
de mejorar la seguridad de la información.
Principales responsabilidades:
• Cumplir con el programa integral de Seguridad de la información.
• Gestionar los recursos necesarios para cumplir el programa.
• Establecer las prioridades.
• Comunicarse con todas las áreas y con la alta dirección.

Dependencia y reporte:
• Seguridad de la información debe reportar a la alta dirección de la
organización y no ser un área mas de la Gerencia de Sistemas.
Políticas, normas y procedimientos
Política de Seguridad de la información
Basada en ISO 27001. Aspectos más importantes que abarca:
• Seguridad frente al acceso por parte de terceros.
• Clasificación y control de activos.
• Concientización al personal.
• Seguridad física y ambiental.
• Gestión de comunicaciones y operaciones.
• Control de accesos.
• Administración de la continuidad de las actividades de la
organización.
Normas
Conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la información
de una entidad, teniendo el propósito de proteger la información, los recursos y la reputación
de la misma.
Procedimientos
Conjunto de reglas definidas en el nivel operativo para cumplir las políticas y normas definidas
por la organización.
La política de Seguridad de la información de ser aprobada por el comité de Seg. de la información y
comunicadas a todos los integrantes de la organización.
Sistema de gestión de seguridad de la
información:
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto
de políticas de administración de la información. El concepto clave de un SGSI es
el diseño, implantación y mantenimiento de un conjunto de procesos para
gestionar eficientemente la información, buscando asegurar la confidencialidad,
integridad y disponibilidad.

Objetivos:
• Desarrollar una cultura de la seguridad en una empresa.
• Implantar de forma gradual el control de la seguridad de la información.
• Garantizar el crecimiento y la mejora continua de la Seguridad de la
información.
• Adoptar de las mejores prácticas del mercado y de la industria para la
seguridad de la información.
Normativa:
• ISO/IEC 27001 es un estándar generado para
establecer, implantar, mantener y mejorar un Sistema
de Gestión de la Seguridad de la Información.

• Es consistente con las mejores prácticas descritas en

IRAM/ISO/IEC 17799.

• 27.001: Requisitos de los SGSI 

Certificable.
• 27.002: Objetivos de control y controles
recomendables.
• 27.003: Guía de implementación del SGSI.
• 27.005: Gestión de riesgos.
Temario ISO 27001:
• Introducción
• Alcance
• Referencias normativas
• Términos y definiciones
• Sistema de Gestión de la seguridad de la Información
• Responsabilidad de la gerencia
• Auditorías internas SGSI
• Revisiones gerenciales SGSI
• Mejoramiento del SGSI
Fase 1 – Análisis GAP ISO 27001.
Consiste en un análisis de cumplimiento tanto con los requisitos de la
norma ISO 27001 como de sus controles. Se trata de algo similar a una auditoria
inicial por la que podemos tener una idea del GRADO DE IMPLANTACION de la
norma en la organización.
Niveles de madurez:
• No existencia (Nivel 0): no hay reconocimiento de la necesidad del control.
• Ad-hoc (Nivel 1): existe cierto reconocimiento de la necesidad de control
interno o requisito.
• Ejecutado (Nivel 2): los controles existen pero no están documentados.
• Definido (Nivel 3): los controles están en su lugar y están documentados
adecuadamente.
• Manipulable y medible (Nivel 4): Existe un control interno sobre la
aplicación de controles y cumplimiento de requisito.
• Optimizado (5): Se mide la eficacia de los controles estableciendo objetivos
de mejora.
Fase 2 – Contexto organizacional.
El contexto organizacional consiste en considerar las expectativas y necesidades
de todas las partes interesadas.
Contexto externo:
• El entorno social y cultural, político, legal, regulatorio, financiero,
tecnológico, económico, ambiental, etc.
• El entorno competitivo, ya sea internacional, nacional, regional o local;
• Las percepciones y los valores de las partes interesadas externas
(contratistas, clientes, administraciones públicas etc.).
Contexto interno:
• El gobierno y administración, la estructura organizacional, los roles y
responsabilidades;
• Capacidades, entendidas en términos de recursos y conocimiento (por
ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
• La cultura de la organización
Fase 2 – Alcance del SGSI.
Se trata de definir los límites en la aplicación del sistema de gestión de la
seguridad de la información.
Una correcta definición del alcance permitirá:
• Determinar los recursos necesarios (en términos de tiempo, costo y
esfuerzo).
• Planificar la implementación del SGSI determinando el calendario y el
presupuesto necesarios.
• Alinear los requisitos de seguridad de la organización con los ejercicios de
análisis y evaluación de riesgos.
Como definir el alcance?
• Identificar lo que necesita ser protegido.
• Comprender la organización.
• Asegurar el apoyo al alcance del SGSI.
• Monitorear y revisar.
Fase 3 – Elaboración de la política.
Este documento que es responsabilidad de la dirección, tiene como misión
además de establecer los objetivos obtener una visión sintetizada de la
funcionalidad y estado del sistema de gestión de la seguridad de la información.
La política proporciona una base para la planificación de seguridad:
• Describiendo las responsabilidades del usuario, como proteger la
información confidencial y crear contraseñas no triviales.
• Explicando cómo controlará la efectividad de sus medidas de seguridad.
• El control y la monitorización ayuda a determinar si alguien intenta eludir
las salvaguardas para proteger la información.
Objetivos:
• Protección de activos de información
• Autenticación
• Autorización
• Integridad
• Auditoria
Fase 4 – Planificación del SGSI.
Inventario de activos
Para esta fase es necesario realizar previamente un inventario de activos
(Servicios, Hardware, Software, etc) y las personas de las que dependen los
activos.
Valoración de activos
El siguiente paso será asignar a cada activo una valoración del riesgo para cada
activo en relación al impacto que tendría una pérdida de confidencialidad,
disponibilidad o integridad.

Matriz de riesgos

Ponderación de activos
Fase 4 – Ejemplo.
Criterio de clasificación de la información:
Fase 5 – Documentación del SGSI.
Objetivos
• Garantizar la repetición en el tiempo de un proceso.
• Establecer un proceso de mejora continua.
Los requisitos de la norma ISO 27001 en este caso nos piden que la
documentación:
• Este completa
• Se encuentre actualizada
• Se realice un control de la documentación.

Algunos documentos obligatorios

• El alcance del SGSI.
• Política de seguridad de la información.
• Proceso de tratamiento de riesgos.
• Planificación y control operacional.
• Evidencia del monitoreo y medición de resultados.
• Un proceso de auditoría interna documentado.
 Fase 6 – Implementación del SGSI.
Tiene como base la identificación de los controles de seguridad de las fases
anteriores. Se dimensiona y prioriza cada uno de los proyectos necesarios y los
costos asociados en base a:

Controles de Gestión: Organización de la empresa en cuanto a su estructura y

métodos de trabajo.
Controles Técnicos: Antivirus, Anti spam, firewalls etc.
Controles Operacionales: medidas que tienden a eliminar o minimizar los
riesgos en la seguridad de la información.
Controles de cumplimiento: regulaciones
del sector y gubernamentales en relación
la seguridad de la información.
Fase 7 – Comunicación del SGSI.
Detrás de un despliegue exitoso de un SGSI, se encuentra un plan de
comunicación interno bien diseñado y aplicado de manera efectiva. Este plan
deben incluir:
• Comunicación a toda la organización.
• Por qué es necesario el SGSI.
• Cuáles son las responsabilidades legales de la organización.
• Cómo afecta a cada empleado y sección de la empresa cuando el
programa esté implantado.

Los empleados debidamente capacitados y

diligentes pueden convertirse en la baza
más importante para fortalecer una
organización frente a las amenazas para la
seguridad de la información
Fase 8 – Auditoría del SGSI.
Para cumplir con el requisito de la norma ISO 27001 deberemos establecer
un plan de auditorías internas que nos permitan revisar el sistema de Gestión
SGSI.

Objetivos
• Comprobar que el SGSI que hemos implantado
cumple con los requisitos de la norma.
• Comprobar que los requisitos y procesos de la
organización han integrado correctamente los
requisitos de la seguridad de la información
definidos en el SGSI.
Fase 9 – Revisión por la dirección.
La revisión del sistema por parte de la dirección es un requisito de la norma
ISO 27001.
Objetivos
• Garantizar que el SGSI y sus objetivos continúen siendo adecuados y
efectivos.
• Revisar la validez de los problemas identificados y los riesgos de la
organización.

Ciclo de mejora continua

Fase 10 – Proceso de certificación.
consiste en la obtención de un certificado de cumplimiento con los requisitos
de la norma emitida por una entidad de certificación independiente..
Beneficios
• Es una ventaja competitiva ante otras empresas
• Facilita el acceso a un mercado cada vez más competitivo que exige cada
vez por mas empresas y organismos públicos un certificado de
conformidad con la Seguridad de la Información a la hora de licitaciones y
contratos.
• Mejora la imagen de la empresa.
• Mejora la confianza de clientes y usuarios de nuestros servicios en cuanto
a la seguridad y protección de los datos.
• Nos garantiza una implantación efectiva de la norma al ser evaluados por
una entidad con experiencia y que nos aportara consejos para mejorar el
sistema
GRACIAS POR SU ATENCIÓN