SEGURIDAD

INFORMÁTICA
EMPRESARIAL
Sección 2: Aspectos básicos de la seguridad.
CONTENIDO

INTRODUCCIÓN................................................................................3

Integridad................................................................................. 5
Integridad física.....................................................................................5
Integridad lógica....................................................................................6
Confidencialidad.................................................................... 8
Disponibilidad.......................................................................10
No repudio.............................................................................12

BIBLIOGRAFÍA..................................................................................14
Introducción
 Se habla mucho sobre seguridad de la información y que la misma Figura N°1: pilares de la seguridad de la información.
busca mantener seguros los datos en las organizaciones, pero tam-
bién sabemos que hay muchos factores a tomar en cuenta para
cumplir con esa seguridad. Conocemos la importancia de mante-
ner una defensa en capas y que existen muchos mecanismos que
intervienen en cada una de ellas. Sin embargo, hay aspectos fun-
damentales que también son conocidos como los pilares sobre
los que se fundamenta la seguridad de la información y es impor-
tante tenerlos presente a la hora de diseñar cualquier estrategia.
Estos pilares son la integridad, confidencialidad, disponibilidad y
la autenticación, también conocida como no repudio.

En la figura N°1, se muestra un diagrama de estos cuatro pilares

fundamentales y cómo estos tienen como centro la información
SEGURIDAD INFORMÁTICA EMPRESARIAL

que es el objetivo por proteger.

Elaboración propia.

4
 Integridad
A pesar de que algunos profesionales ubican la integridad como
una de las dimensiones del proceso de calidad de datos, porque la
misma está fundamentada en los principios de exactitud, validez
y consistencia que hacen a los datos íntegros, nosotros la ubica-
mos como una característica de los datos que va más allá de su
calidad ya que también representa un aspecto básico en cuanto
a seguridad de la información y es por eso que debe ser vista de
forma general y no enmarcada en un área en específico.
SEGURIDAD INFORMÁTICA EMPRESARIAL
Esta se refiere a las características que determinan la confiabilidad
de la información no solo desde un aspecto físico sino también
lógico. Esto quiere decir que las empresas también deben invertir
sus esfuerzos en asegurarse que se hagan los respaldos corres-
pondientes a los datos de forma tal que, si ocurre algún incidente
de seguridad, los mismos se mantengan íntegros.
En una definición más formal del concepto podemos decir que
la integridad de los datos se refiere a la capacidad de estos de
mantenerse intactos y sin alteración, es decir, que se mantie-
5
nen completos precisos y fiables. Para cumplir con este pilar es
necesario establecer procesos, reglas, normas que se ponen en
práctica a la hora de diseñar los planes de seguridad.
Hay dos tipos de integridad de los datos: física y lógica.
Integridad física
Se busca que los repositorios de almacenamiento -sean servido-
res o unidades de disco- se mantengan en óptimas condiciones,
con respaldos y redundancia en almacenamiento en caso de fallo,
planes contra desastres naturales, planes eléctricos contra apa-
gones, que las instalaciones físicas tengan la temperatura ade-
cuada, que los equipos no se erosionen, monitoreo constante del
desempeño de estos para identificar fallas de forma proactiva.
Un ejemplo de afectación a la integridad física sería si un atacante
se hace pasar por personal de mantenimiento de aires acondicio-
nados para tener acceso al cuarto de servidores con el único obje-
tivo de dañar los servidores en donde se almacena la información.
 Dicho atacante tendría éxito si no se cuentan con los controles de Existen cuatro tipos de integridad lógica definidas tal cual se mues-
acceso adecuado o las políticas de seguridad correctas como, por tra en la figura N°2:
ejemplo, todo personal de mantenimiento debe estar acompaña-
do en todo momento por el encargado del cuarto de servidores. Figura N°2: tipos de integridad lógica.
Por otro lado, imagine que se genera una alarma de incendio en el
cuarto de servidores y los extintores de fuego no estén en ópti-
mas condiciones para hacerle frente a la emergencia. También se
estaría atentando contra la integridad física de los datos.

Integridad lógica
SEGURIDAD INFORMÁTICA EMPRESARIAL

La integridad lógica busca mantener los datos en su forma

original, protegiendo los mismos de errores humanos, como
ingresar datos tipo texto en campos tipo numéricos.

O eliminar algún registro por error. De igual manera, a diferencia

de la integridad física en la cual se busca protegerlos de daño a las Elaboración propia.
instalaciones por parte de los hackers, en la integridad lógica se
busca protegerlos de alteraciones a su forma original. – Integridad de la entidad: se refiere a mantener la unicidad de
los registros y a mantener claves únicas que permitan darle

6
 una identidad a cada registro. También se busca evitar tener
datos nulos o faltantes.
– La integridad referencial: busca definir las reglas por las cuales
los usuarios tendrán acceso a los datos, esto incluye los per-
misos de lectura, escritura y las reglas de eliminación, modi-
ficación o creación que deben configurarse en las tablas que
almacenan los datos para evitar fallas en la integridad. Se
podrían establecer restricciones de escritura en las bases de
datos después de horas laborales, como ejemplo de medida
en este tipo de integridad.
– Integridad del dominio: se refiere a asegurarse que los datos
almacenados estén en el formato correcto, que sean del tipo
SEGURIDAD INFORMÁTICA EMPRESARIAL
correcto (numérico, texto, moneda). Busca confirmar la vera-
cidad de los datos.
– Integridad definida por el usuario: muchas veces las reglas
definidas para salvaguardar la integridad de la entidad, refe-
rencial o de dominio no son suficientes y es cuando entra en
función la integridad definida por el usuario. Alguna política o
procedimiento adicional que sea necesario establecer, como
por ejemplo, definir los métodos con los que serán actualiza-
dos los softwares de bases de datos para evitar pérdidas en
7
el proceso, o respaldos para recuperación de información en
caso de corrupción de los sistemas.
Además de asegurarnos de que se cumplan los principios de segu-
ridad física y lógica, podemos recomendar que se realicen audi-
torías periódicas para validar que todos estos principios se estén
cumpliendo, se pueden utilizar listas de cotejos para asegurarse
que cada uno de los factores que consideremos importante en la
validación se cumplan. De igual manera, es recomendable contar
con un documento llamado «control de cambios», en donde se
documenten cambios realizados como por ejemplo, los permisos
de accesos que otorgan o remueven o algún cambio que se haga
en la estructura de los datos. En la figura N°3 se muestran algu-
nas recomendaciones adicionales a tener en cuenta para mante-
ner la integridad de los datos. Estas incluyen partir por un análisis
de riesgo para comprender qué activos debemos validar primero,
involucrar a los proveedores -los cuales deben estar al tanto de
las políticas establecidas en cuanto a la integridad de los datos-,
las políticas de descarte de información, entre otros.
 Figura N°3: recomendaciones para mantener la integridad de los datos. Confidencialidad

La confidencialidad se refiere a la acción de garantizar que la

información estará accesible solo para aquellas personas auto-
rizadas a tener acceso y que estas a su vez mantengan la reser-
va y eviten divulgar dicha información inapropiadamente.

Los usuarios autorizados para tener acceso a la información pueden

ser procesos, humanos, sistemas, bots, entre otros. Las empresas
deben establecer sus políticas que definirán qué usuarios tendrán
SEGURIDAD INFORMÁTICA EMPRESARIAL

acceso a qué datos y cuándo tendrán acceso, ya que la disponibi-

Fuente: elaboración propia, en base a Maunu, P. (s.f.).
lidad de estos puede ser temporal o permanente. De igual mane-
ra, qué métodos se implementarán para asegurarse que se cum-
pla dicha confidencialidad tanto interna o externa, por ejemplo,
comunicación utilizando cifrado criptográfico, firma de acuerdos
de confidencialidad, restricciones o niveles de acceso según tipo
de información accedida, entre otros.

CSRC Estados Unidos define la confidencialidad de la siguiente

manera: la confidencialidad de los datos se ocupa de proteger

8
 contra la divulgación de información al garantizar que los datos
se limiten a aquellos autorizados o al representar los datos de tal
manera que su semántica permanezca accesible solo para aque-
llos que poseen alguna información crítica (por ejemplo, una clave
para descifrar la información, datos cifrados).
En la figura N°5, se muestran algunas consideraciones a tener
en cuenta cuando se manejan iniciativas para mantener los datos
confidenciales, desde cifrar archivos que son confidenciales hasta
la forma en que se gestiona la adquisición de datos y sus respec-
tivos descartes.

En la figura N°4, se muestran algunos ejemplos de información Figura N°5: guía para mantener la confidencialidad de los datos.
confidencial, ya sea alguna información susceptible de ser prote-
gida por los derechos humanos, o detalles de su domicilio.

Figura N°4: ejemplos de datos confidenciales.

SEGURIDAD INFORMÁTICA EMPRESARIAL

Fuente: elaboración propia, en base a http://transparencia.zacatecas.gob.mx/

informacion-confidencial/.

9
 Disponibilidad

Cuando hablamos de disponibilidad nos referimos a que los datos

deben estar accesibles para los usuarios en el momento que se
haya definido, es decir, ellos deben ser capaces de agregar, modi-
ficar o consultar dichos datos en un periodo de tiempo existente.

Hay que tomar en cuenta que

las medidas de seguridad que
SEGURIDAD INFORMÁTICA EMPRESARIAL

implementemos no deben afectar

dicha disponibilidad.

Si las medidas que implementamos para mantener los datos seguros afec-
tan la disponibilidad de estos, entonces dichas medidas son ineficientes.
Fuente: elaboración propia, en base a University of Delaware (2020).
Hay algunas áreas a tomar en cuenta para asegurar la disponibili-
dad de la información:

10
 – Accesibilidad: valida el acceso de los usuarios a los datos, sin
importar los mecanismos de seguridad implementados, los
cuales deben ser transparentes para ellos. También es impor-
tante contar con planes que aseguren que, en caso de que las
unidades que almacenan los datos fallen, los usuarios tengan
acceso a esos datos activando algún plan de respaldo. Para
ello, también es necesario contar con políticas de respaldo y
almacenamiento de la información.
solución, y que en el momento en que estemos en la reunión, no
podamos ofrecer todos los detalles que el cliente pida ya que los
sistemas no estén disponibles. Esto afectaría la confianza que el
mismo tenga en nosotros y, por ende, futuras ventas. He ahí una
de las importancias de la disponibilidad de los datos.
Figura N°6: accesibilidad de los datos.

– Prevención: como forma de asegurar la disponibilidad de los

datos, también debemos ejecutar medidas preventivas que
nos ayuden a monitorear la red en busca de intentos de ata-
ques de denegación de servicios.
SEGURIDAD INFORMÁTICA EMPRESARIAL

Según una encuesta realizada por el servicio de analítica de nego-

cio de la universidad de Harvard, tal cual se muestra en la figura
N°6, el 80 % de los encuestados manifestó la necesidad de priori-
zar estrategias de accesibilidad de los datos en sus organizaciones,
mientras que el 21 % consideró que sus empresas manejan muy
bien este tema. Esto quiere decir que un gran número de encues-
tados se ve afectado por la falta de disponibilidad de los datos. Fuente: elaboración propia, en base a Harvard Business Review Service Survey.
Imaginemos por un momento que tuviéramos que reunirnos con
un cliente para validar los servicios que le hemos ofrecido durante
los pasados dos años, puesto que queremos venderle una nueva

11
 No repudio – Evidencia tangible: pueden ser documentos o correos elec-
trónicos que confirmen los detalles del usuario que envió o
recibió el mensaje.

En la figura N°7 se aprecia cómo funciona la comunicación vía

Este pilar trata de que la validación que la información trans- correo electrónico, luego de que el remitente envía el mensaje, el
mitida en una comunicación sea válida y auténtica, permi- mismo es cifrado para asegurarse de que solo el receptor pueda
tiendo a sus partes dar confirmación de ella. leerlo luego de descifrarlo. Se pueden implementar diferentes
mecanismos de seguridad, como intercambio de autenticación
(llave privada, llave pública), cifrado, firma digital, etc.
Esta confirmación se da en ambas vías, por ejemplo, no repudio
en el origen significa que el emisor no puede negar su envío por-
que el receptor tiene pruebas de ello. Del otro lado, tenemos el
no repudio en el destino, el receptor no puede negar su recepción
SEGURIDAD INFORMÁTICA EMPRESARIAL

puesto que el emisor tiene prueba de ellos.

Por lo tanto, el no repudio consta de 3 elementos:

– Una identidad: es el registro único del usuario y por el cual

será posible identificarlo.

– Una autenticación de esa identidad: sea una firma digital o

algo que permita asegurar que el mensaje realmente corres-
ponde al usuario.

12
 Figura N°7: comunicación vía correo electrónico.

SEGURIDAD INFORMÁTICA EMPRESARIAL

Elaboración propia.

13
BIBLIOGRAFÍA
ACE (2021). Elecciones y tecnología. Obtenido de: https://acepro-
ject.org/main/espanol/et/ete01a.htm
Beek, C.; Hux, T. (2021). Mcafee Lab Threats Report. Obtenido de: https://
www.mcafee.com/enterprise/en-us/lp/threats-reports/apr-2021.html
Biometrics. (s.f.). Reconocimiento biométrico a través de la retina.
Obtenido de: https://biometrics-on.com/reconocimiento-biome-
trico-a-traves-de-retina/
Coomonte, R. (2006). Sistema de reconocimiento de personas me-
diante su patrón de iris basado en la transformada Wavelet. Obte-
nido de: https://www.researchgate.net/figure/Figura-1-7-Minu-
cias-caracteristicas-de-la-huella-dactilar_fig1_39566716
Digital Shadows (s.f.). From exposure to take over. Obtenido de:
https://resources.digitalshadows.com/whitepapers-and-reports/
from-exposure-to-takeover
IBM (2019). Seguridad basada en la defensa por capas. Obtenido de:
https://www.ibm.com/docs/es/i/7.2?topic=security-layered-de-
fense-approach
Javatpoint (s.f.). Types of Cyber Attacks. Obtenido de: https://www.
javatpoint.com/types-of-cyber-attacks
Laudon, K. (2016). Principales Filtraciones de Información en Sis-
temas de Información Gerencial (Capítulo 8, 14ta ed.).
Logitek (2019). Estrategias de Defensa en profundidad en ciberse-
guridad industrial. Obtenido de: https://www.ciberseguridadlo-
gitek.com/estrategia-de-defensa-en-profundidad-en-ciberse-
guridad-industrial/#:~:text=Control%20de%20acceso%3A%20
proteger%20los,de%20la%20informaci%C3%B3n%20que%20
transportan.
Maunu, P. (s.f.). 8 maneras de garantizar la integridad de los datos. Obte-
nido de: https://www.vaisala.com/es/8-ways-ensure-data-integrity
BIBLIOGRAFÍA
McCafferty; D. (2018). Data Dilema: How Silos and Legacies Limit
Customer Analytics Sucess. Obtenido de: https://www.eweek.com/
big-data-and-analytics/data-dilemma-how-silos-and-legacies-li-
mit-customer-analytics-success/
Morgan, S. (2020). Cybercrime To Cost The World $10.5 Trillion An-
nually By 2025. Obtenido de: https://cybersecurityventures.com/
hackerpocalypse-cybercrime-report-2016/
Murphey, D. (2019). A history of information security. Obtenido
de: https://www.ifsecglobal.com/cyber-security/a-history-of-in-
formation-security/#:~:text=It%20was%20during%20the%20
1960s,how%20to%20work%20a%20computer.
OWASP (2019). Los 10 principales riesgos de seguridad para
las aplicaciones WEB según OWASP. Obtenido de: https://
www.omatech.com/blog/2019/04/01/riesgos-de-seguri-
dad-owasp/
Panda Security (s.f.) ¿Qué es el Phishing? Obtenido de: https://www.
pandasecurity.com/es/security-info/phishing/.
Rosales, A. (2009). Clasificación de las huellas digitales mediante mi-
nucias. Obtenido de: https://ccc.inaoep.mx/~esucar/Clases-mgp/
Proyectos/reporte_modelos_huellas.pdf
Salazar, D. (s.f.). Perfiles profesionales para seguridad informática.
Obtenido de: https://www.monografias.com/trabajos-pdf2/per-
files-profesionales-seguridad-informatica-practico/perfiles-pro-
fesionales-seguridad-informatica-practico.pdf
Talend (s.f.) ¿En qué consiste la integridad de los datos y por qué es
importante? Obtenido de: https://www.talend.com/es/resources/
what-is-data-integrity/
Talens, S. (s.f.). Instalación y configuración segura de sistemas Unix.
Obtenido de: https://www.uv.es/sto/cursos/icssu/html/
BIBLIOGRAFÍA

TrendMicro (s.f.) ¿Cuáles son los diferentes tipos de phishing? Obte-

nido de: https://www.trendmicro.com/es_es/what-is/phishing/
types-of-phishing.html

University of Delaware (2020). Guidelines for data confidentiality.

Obtenido de: https://www1.udel.edu/security/data/confidentia-
lity.html

Verizon (2020). Data Breach Investigations Report. Obtenido de:

https://verizon.com/business/resources/dbir/