SEGURIDAD INFORMÁTICA

DOCENTE

DEOLIMAR SEGURA SANCHEZ

Docente _Deolimar Segura Sánchez

 Fundamentos de Seguridad de la
Información y Ciber Seguridad.

Docente _Deolimar Segura Sánchez

 ¿Qué es seguridad de la información?

La seguridad de la información permite asegurar la identificación,

valoración y gestión de los activos de información y sus riesgos,
en función del impacto que representan para una organización.
Es un concepto amplio que no se centra en la protección de las
TIC sino de todos los activos de información que son de un alto
valor para la institución.

En este sentido, debemos entender a la seguridad de la

información como un proceso integrado por un conjunto de
estrategias, medidas preventivas y medidas reactivas que se
ponen en práctica en las instituciones para proteger la
información y mantener su confidencialidad, disponibilidad e
integridad de la misma.

Docente _Deolimar Segura Sánchez

 Reflexiona de acuerdo las siguientes preguntas:

¿Identifico qué información sensible debo proteger?

¿Conozco las consecuencias de la pérdida de datos

sensibles?

¿Identifico las posibles amenazas a la información que

maneja?

¿Sé qué hacer en casos de robo de información?

Docente _Deolimar Segura Sánchez

 Importancia de la seguridad de la información

Las organizaciones y sus activos de información, sean estos

físicos o digitales, se enfrentan de forma creciente a amenazas
como: fraude asistido por computadora, espionaje, sabotaje,
vandalismo, fenómenos naturales, descuido, desconocimiento o
mal uso del tratamiento de la información por parte del recurso
humano. Muchas de esas amenazas provienen de ingeniería
social, hackers, empleados negligentes, errores, entre otros, que
buscan dañar la integridad de una organización.
Existen dos factores importantes de la seguridad de la
información:
• La importancia o valor de los datos de acuerdo con los intereses y
• La difusión o acceso, autorizado o no, de los mismos.
necesidades de cada persona o institución.

Docente _Deolimar Segura Sánchez

 Elementos de seguridad
de la información
La implementación de la seguridad
vincula la participación de tres
elementos generales:
personas, procesos y tecnología.

Docente _Deolimar Segura Sánchez

 Elementos de seguridad de la información

La tecnología aplicada a la
organización permite el manejo
adecuado de la información, el
desarrollo de las actividades
organizacionales y la resolución de
problemas. La tecnología permite
elaborar y manipular información, así
como su almacenamiento,
procesamiento, mantenimiento,
recuperación, presentación y difusión
por medio de señales acústicas,
ópticas o electromagnéticas.

Docente _Deolimar Segura Sánchez

 Elementos de seguridad de la información

Conjuntos de actividades
mutuamente relacionadas o que
interactúan o transforman elementos
de entrada en resultados. Es decir, es
toda actividad necesaria para lograr
los objetivos de negocio. Los
procesos están descritos en los
procedimientos y prácticamente
todos implican información o
dependen de ella, por eso ésta
resulta ser un activo crítico.

Docente _Deolimar Segura Sánchez

 Elementos de seguridad de la información

Personas que usan o tienen un interés

en la seguridad de la información:
autoridades, funcionarios, académicos,
estudiantes, personal de base de
confianza y demás empleados; clientes,
proveedores, prestadores de servicios,
contratistas y consultores.

Docente _Deolimar Segura Sánchez

 Activo de información

De acuerdo con la Metodología de Análisis y Gestión de

Riesgos de los Sistemas de Información, un activo se define
como los elementos del sistema de información (o
estrechamente relacionados con este) que soportan la misión de
la organización. Un activo es aquello que tiene un valor para la
organización y por tanto debe protegerse.

Docente _Deolimar Segura Sánchez


Primarios
Datos o información
que se manipula dentro
de la organización.
--------------------------------
Procesos que soportan
la organización
información, como oficinas, edificios, entre
Docente _Deolimar Segura Sánchez
Clasificación de los Activos de Información
De soporte
Servicios Software
Proceso de negocio de la organización Aplicaciones informáticas
ofrecidos al exterior o interior
Redes de comunicación
Hardware Las redes de comunicaciones dan soporte a la
Equipos Informáticos organización para el movimiento de la
información; pueden ser redes propias
Recurso humano Sitios
Activo principal que incluye personal Colección de páginas relacionadas con el World
interno y terceros Wide Web.
Soporte de información Equipamiento auxiliar
Soportes físicos que permiten el Equipo que da soporte a los sistemas de
almacenamiento de la información información y que son activos que no se han
durante un largo periodo de tiempo incluidos en ninguno de los otros grupos.
Instalaciones o infraestructura física Bienes intangibles
Lugar donde se alojan los sistemas de Imagen y recuperación de la organización
otros.
 Dimensiones, riesgos, amenazas, vulnerabilidades

Las dimensiones de la seguridad están constituidas por tres

conceptos fundamentales, presentados a continuación:

Los tres pilares de la

seguridad informática

Docente _Deolimar Segura Sánchez

 Dimensiones, riesgos, amenazas, vulnerabilidades

Docente _Deolimar Segura Sánchez

 Dimensiones, riesgos, amenazas, vulnerabilidades
Existen otros importantes elementos que se deben considerar al hablar de seguridad
de la información y que están fuertemente vinculados a la implementación de
sistemas de seguridad:
Riesgo: Grado de exposición de un activo ante una amenaza que al materializarse causaría un
impacto adverso. Indica lo que le podría pasar a los activos si no se protegen adecuadamente.
Amenaza: Es un evento que puede desencadenar un incidente que producirá daños en los
activos.
Vulnerabilidad: Se refiere a la debilidad de un activo o de un control para ser afectado por una
o más amenazas.
Impacto: Consecuencia de la materialización de la amenaza sobre un activo.

Incidente de seguridad: Es un evento que puede afectar la seguridad personal o a la seguridad

de la organización.
Tratamiento de datos personales: Cualquier operación o conjunto de operaciones efectuadas
mediante procedimientos automatizados, informáticos, manuales, mecánicos, digitales o
electrónicos, aplicados a los sistemas de datos personales.

Docente _Deolimar Segura Sánchez

 Pilares de la seguridad informática

Confidencialidad

Integridad

Disponibilidad

CIBERSEGURIDAD SEGURIDAD
INFORMACIÓN
En la ciberseguridad, asociada a los
entornos operativos de control
industrial, Prima la Disponibilidad.

Ejemplo: Equipos que se controlan casi

en tiempo real, y una falla en esta puede
significar la perdida de control.

Docente _Deolimar Segura Sánchez

 Pilares de la seguridad informática

Docente _Deolimar Segura Sánchez

 Pilares de la seguridad informática

Docente _Deolimar Segura Sánchez

Docente _Deolimar Segura Sánchez
 ¿Por qué debemos identificar riesgos y medir su
impacto?
Dentro de una organización es un punto importante, por lo tanto es
necesario dedicar tiempo y recursos. Por esta razón, una organización
debe crear un Sistema de Gestión de la Seguridad de la Información
(SGSI), con el objetivo de salvaguardar la información, una vez
identificados los “activos de información” que deben ser protegidos y en
qué grado.

La seguridad es un proceso que nunca termina, ya que los riesgos no se

eliminan completamente. Por ello es necesaria una adecuada gestión de
la seguridad de la información, para contribuir a disminuir los riesgos que
la institución soporta, y a minimizar los daños en los activos de
información, en caso de que los riesgos lleguen a materializarse.

Por tal motivo, es importante que la institución implemente el SGSI, ciclo

repetitivo de cuatro niveles: Planificar, Hacer, Verificar y Actuar.

Docente _Deolimar Segura Sánchez

¿Por qué debemos identificar riesgos y medir
su impacto?
CICLO PHVA

Planificar
Consiste en establecer el contexto en el que se crean las políticas de
seguridad, realizar el análisis de riesgos y seleccionar los controles y el estado
de aplicabilidad.

Hacer
Consiste en la implementación de:
• El Sistema de Gestión de la Seguridad de la Información.
• El plan de riesgos.
• Los controles.

Verificar
Consiste en el monitoreo de las actividades y la realización de auditorías
internas.
Ver Vídeo
Actuar
Consiste en la ejecución de tareas de mantenimiento, de propuestas de mejora
y de acciones preventivas y acciones correctivas.

Docente _Deolimar Segura Sánchez

Docente _Deolimar Segura Sánchez
 Comparativo entre seguridad de TI y Seguridad de SCI

https://www.universidadviu.com/tres-tipos-seguridad-informatica-debes-conocer/

Docente _Deolimar Segura Sánchez

 Comparativo entre seguridad de TI y Seguridad de SCI

Docente _Deolimar Segura Sánchez

 Que es Gobierno Corporativo?

El gobierno corporativo es un conjunto de responsabilidades y

practicas ejecutadas por la junta directiva y la gerencia ejecutiva
con el objeto de:

➢ Proveer dirección estratégica

➢ Asegurar el logro de los objetivos

➢ Establecer que los riesgos se administran adecuadamente.

➢ Verificar que los recursos de la empresa se utilizan responsablemente.

Docente _Deolimar Segura Sánchez

 Qué es el Gobierno TI

Gobierno de TI - es parte del gobierno

corporativo.

Se define como la estructura de Relaciones y

procesos para dirigir y controlar la empresa
hacia el logro de sus objetivos.

Por medio de agregar valor al mismo tiempo

que se logra un balance del riesgo versus el
Retorno sobre TI y sus procesos.

Docente _Deolimar Segura Sánchez

 Principios de Gobierno de TI

Dirigir y Controlar Son los dos conceptos clave del gobierno de

TI.

El CEO es el responsable final de todo el

Responsabilidad
control interno.

Se relaciona con la responsabilidad pero se

enfoca específicamente en tener la
Rendición de Cuentas autoridad para tomar decisiones y dar
aprobación.

Son efectivas cuando existen buen gobierno

Actividades de TI. Normalmente, los departamentos de
TI se deben alinear con las necesidades de
negocio de la organización.

Docente _Deolimar Segura Sánchez

 Áreas de enfoque - Gobierno de TI
➢ Asegura que TI entrega los beneficios acordados alineados con la
Ver Video
Alineamiento estratégico
➢ Se enfoca en asegurar el enlace de los planes del
negocio y de TI
➢ En alinear las operaciones de TI con las operaciones
de la empresa.
➢ Asegura que la inversión en TI esta acorde con los
objetivos estratégicos de la empresa.
Docente _Deolimar Segura Sánchez
Entrega de Valor
estrategia, concentrándose en la optimización de costos y
demostrando el valor intrínseco de TI.
Administración de Riesgos
➢ Conciencia y entendimiento del riesgo
➢ Entendimiento de los requerimientos de cumplimiento.
➢ Transparencia sobre los riesgos significativos de la empresa.
➢ Implementar las responsabilidades de la administración de riesgo.
➢ Mitigar, evitar o controlar, transferir, aceptar el riego.
Administración de Recursos
➢ Se refiere a la inversión optima en, y a la adecuada administración
de los recursos críticos de TI. Tales como:
➢ Aplicaciones
➢ Información
➢ Infraestructura
➢ Personas
Medición del desempeño
➢ Si no hay forma de medir y evaluar las actividades de TI, no es
posible gobernar ni asegurar el alineamiento, la entrega de valor,
la administración de riegos y el uso efectivo de los recursos.
 28
9000
ISO

PETI

Sistema de Calidad
PMI
Planificación de TI
PROCESOS DE TI
Administración de
Proyectos
COBI

27000
Seguridad de TI

ISO
Desarrollo de
Aplicaciones
Administración de
Servicios

CMMI /
OWASP

Docente _Deolimar Segura Sánchez

20000
ITIL

ISO
 Riesgo de Seguridad de la Información

Potencial de que una amenaza determinada explote las

vulnerabilidades de los activos o grupos de activos causando así
daños a la organización.

Se debe proteger la organización de las posibles consecuencias de las

perdidas de confidencialidad, integridad, disponibilidad, no-repudio,
accountability, autenticidad, o confiabilidad de los activos, entre
otras. (Recordar diapositiva 13)
Tener en cuenta:
ISO 27001, ISO 27005 Riesgos de TI , 27002, 22301, 31000 Riesgos a nivel General
Leyes : 1273, 1581, Ley de comercio Electrónico 527 del 99

29
Docente _Deolimar Segura Sánchez
Cumplimiento – Ley 1273

Centro de Seguridad Policía Nacional. https://caivirtual.policia.gov.co/

30
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético
El negocio y el entorno de TI están cambiando...
– Modelos de negocio, nube, movilidad, tercerización
– Entorno de TI de la empresa interrumpido
– Reguladores preocupados por las Cyber amenazas
Ambiente
…hay riesgos nuevos, persistentes y evolutivos … Regulatorio
– Ataques más frecuentes, sofisticados y maliciosos Cambiante

– Un amplio rango de motivaciones

– La información es fácilmente accesible y representa dinero
– Los altos ejecutivos son el objetivo Ambiente de Ambiente de TI
…las empresas luchan por mantener el paso amenazas que Cambiante
evoluciona
– Los riesgos evolucionan más rápido que la capacidad de
reacción de las empresas
– No hay disponibilidad de todas las habilidades
– Entendimiento y soporte de la Junta
– Presiones de presupuesto
– Transformar su pensamiento sobre Cyber riesgo

31
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético

¿Quién me podría atacar? • Ciber criminales

• "Hacktivistas”
¿Qué están buscando, cuáles son
los riesgos clave que debo
mitigar?
• Estados (Países)

• Desde adentro /
¿Qué tácticas podrían utilizar?
socios de negocio

Programa de ciber riesgo y • Competidores

gobierno
• Hackers expertos
SEGUROS VIGILANTES RESISTENTES
¿ Tenemos ¿Podemos ¿Podemos
implementados detectar actuar y
controles para actividades recuperarnos
defendernos de maliciosas o sin rápidamente
las amenazas autorización, para minimizar
conocidas y incluso las el impacto?
emergentes? desconocidas?

32
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético

¿Quién me podría atacar?

¿Qué están buscando, cuáles son • Robo de propiedad

los riesgos clave que debo intelectual / Planes
mitigar?
Estratégicos
¿Qué tácticas podrían utilizar? • Fraude Financiero
• Daño reputacional
Programa de ciber riesgo y
gobierno • Interrupción de la
operación del negocio
SEGUROS VIGILANTES RESISTENTES
¿ Tenemos
implementados
¿Podemos
detectar
¿Podemos
actuar y
• Destrucción de
controles para actividades recuperarnos infraestructura crítica
defendernos de maliciosas o sin rápidamente
las amenazas
conocidas y
autorización,
incluso las
para minimizar
el impacto?
• Amenazas a la
emergentes? desconocidas? seguridad y salud

33
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético

¿Quién me podría atacar?

¿Qué están buscando, cuáles son

los riesgos clave que debo
mitigar? • Phishing, malware,
entre otros.
¿Qué tácticas podrían utilizar?
• Vulnerabilidades en software
o hardware
Programa
Programadede
ciber
ciberriesgo y
riesgogobierno
y gobierno • Terceros comprometidos
SEGUROS VIGILANTES RESISTENTES
¿ Tenemos ¿Podemos ¿Podemos • Ataques multi-canales
implementados detectar actuar y
controles para actividades recuperarnos
defendernos de
las amenazas
maliciosas o sin
autorización,
rápidamente • Robo de credenciales
para minimizar
conocidas y incluso las el impacto?
emergentes? desconocidas?

34
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético

¿Quién me podría atacar?

• Gestión de las
Seguros identidades
¿Qué están buscando, cuáles son • Defensas perímetro • Ciclo de
los riesgos clave que debo • Gestión de las desarrollo
mitigar? vulnerabilidades seguro de
• Gestión de activos sistemas
• Protección
¿Qué tácticas podrían utilizar?
de datos
Vigilantes • Análisis del
Programa de ciber riesgo y • Inteligencia de comportamiento
gobierno amenazas • Analíticas de
• Monitoreo de la riesgos
SEGUROS VIGILANTES RESISTENTES seguridad • Continuidad del
¿ Tenemos ¿Podemos ¿Podemos
implementados detectar actuar y
Resistentes negocio
controles para actividades recuperarnos • Respuestas a • Recuperación de
defendernos de maliciosas o sin rápidamente desastres
las amenazas autorización, para minimizar
incidentes
conocidas y incluso las el impacto? • Análisis forense • Gestión de crisis
emergentes? desconocidas?

35
Docente _Deolimar Segura Sánchez
 Riesgo Cibernético

Vídeo - Identificando Riesgos de Ciberseguridad 2023:

https://www.youtube.com/watch?v=N0axMSVQsmw

Estado de la ciberseguridad en Latinoamérica | con Claudio

Martinelli, director de Karspersky Latam:
https://www.youtube.com/watch?v=jFhbTs8qmfE

36
Docente _Deolimar Segura Sánchez