Gestión de Riesgos

Carlos Manuel Lantigua Figueroa 19-EISM-1-109

Definición de Seguridad Informática

La seguridad informática, también conocida como ciberseguridad, es el área relacionada con
la informática y la telemática que se enfoca en la protección de la infraestructura
computacional y todo lo vinculado con la misma, y especialmente la información contenida
en una computadora o circulante a través de las redes de computadoras1.
Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia
información1. La ciberseguridad comprende software (bases de datos, metadatos, archivos),
hardware, redes de computadoras y todo lo que la organización entienda y valore como un
riesgo si la información confidencial involucrada pudiera llegar a manos de otras personas1.
La seguridad informática se encarga de eludir y localizar el uso indebido de un sistema
informático con la finalidad de resguardar la integridad y privacidad de los datos
almacenados2. Esta seguridad no se limita, ya que puede ser particular (individuos con su
propio sistema) o empresarial2. Las medidas de seguridad que abarca pueden ser: antivirus,
firewalls u otras medidas que dependen del usuario como, por ejemplo, la activación o
desactivación de algunas de las funciones del software como el Java, ActiveX, para asegurar
el uso de la computadora, los recursos de red o del Internet2.
La seguridad informática busca la preservación de la confidencialidad, integridad y
disponibilidad de la información2. Debido a que la información corporativa es uno de los
activos más importantes que maneja toda empresa, se encargan de invertir en un sistema de
gestión que busque garantizar su protección
El objetivo de la seguridad informática es proteger los activos (todo aquel recurso del sistema
de información necesario, para que la empresa funcione correctamente) y para ello se basa en
tres principios básicos los cuales son:
Integridad: Significa que el sistema no debe modificar ni corromper la información que
almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que
no se ha falseado la información. Por ejemplo, que los datos recibidos o recuperados son
exactamente los que fueron enviados o almacenados sin que se haya producido ninguna
modificación, adición o borrado.
Es importante destacar que una información íntegra es una información que no ha sido
alterada de manera indebida y cuando esto ocurre significa que los datos han perdido su valor
original.
Los usuarios deben tener la seguridad de que la información que están obteniendo, leyendo y
trabajando es exactamente la misma que fue colocada desde un principio, es decir, que sea la
información original, si ésta sufre alteraciones puede ocasionar grandes conflictos
perjudicando la comunicación y la toma de decisiones en las organizaciones.
Confidencialidad: “La confidencialidad, a veces denominada secreto o privacidad, se refiere a
la capacidad del sistema para evitar que personas o procesos no autorizados puedan acceder a
la información almacenada en él” La información que se intercambia entre individuos y
empresas no siempre deberá ser conocida por todo el mundo, debido a que se puede hacer un
uso inapropiado de ésta causando múltiples daños a las organizaciones o individuos que
manejan la información.
Gestión de Riesgos
Carlos Manuel Lantigua Figueroa 19-EISM-1-109

Únicamente la o las personas autorizadas podrán conocer el contenido de la información que

haya sido enviada, si la información es confidencial, quiere decir, que es secreta y no deberá
de ser divulgada a entes no autorizados.
Es necesario que las empresas tomen conciencia acerca de la importancia de mantener sus
sistemas de información de manera confidencial, garantizando que los datos que se
encuentran en los equipos de comunicación lleguen a su destino sin haber sido interceptados
por otros usuarios.
Por ejemplo, si los usuarios revelan sus contraseñas o sus números confidenciales, se corre el
riesgo de que alguien pueda hacer un uso indebido de la información, puesto que se tiene el
acceso fácilmente, a esto se le conoce como ingeniería social y un ataque muy común es el
ataque de phising que consiste en conseguir información confidencial para la obtención de un
beneficio, como la realización de fraudes bancarios.
Disponibilidad: “Significa que el sistema, tanto hardware como software, se mantienen
funcionando eficientemente y que es capaz de recuperarse rápidamente en caso de falla.
La disponibilidad permite que la información se pueda utilizar cuando sea necesario, estando
al alcance de las personas autorizadas. Así, la información debe ser accesible en forma segura
para que se pueda usar en el momento en que se solicita, garantizando la integridad y
confidencialidad de ésta.
Esto conlleva a que los equipos de comunicación deben de estar funcionando correctamente y
de manera segura, en caso contrario se está expuesto a sufrir cualquier tipo de ataque
teniendo como resultado daños a la reputación y consecuencias legales, entre otros. Para que
la información esté disponible es recomendable que las empresas u organizaciones cuenten
con más de un respaldo de la información para mantenerla siempre disponible.
Es pertinente que las organizaciones cuenten con un departamento encargado de la seguridad
informática, llevando a cabo las siguientes actividades como:
- Análisis de Riesgo: Proceso mediante el cual se identifican las amenazas y las
vulnerabilidades en una organización, valorando su impacto y la probabilidad de que ocurran.
- Plan Integral de Seguridad Informática: Se definen los lineamientos de la planeación, el
diseño e implantación de un modelo de seguridad cuyo objetivo es proteger la información y
los activos de la organización, garantizando la confidencialidad, integridad y disponibilidad
de los datos.
- Políticas de Seguridad: “Requisitos definidos por los responsables de un sistema, que indica
en términos generales, que está y que no está permitido en el área de seguridad durante la
operación del sistema”.
- Clasificación de Activos Informáticos: Se debe mantener un listado detallado de los activos
de información como su localización, clasificación de seguridad y riesgo, propietario, grupo
de activo al que pertenece, entre otros
Gestión de Riesgos
Carlos Manuel Lantigua Figueroa 19-EISM-1-109

2. Gestión de Riesgo en la Seguridad Informática

La gestión de riesgos de la seguridad informática es un proceso que tiene como objetivo
identificar, analizar, medir y gestionar los riesgos asociados a la seguridad de la información.
Establece controles de forma preventiva contra las amenazas que pueden encontrarse y logra
reducirlas.
La gestión de riesgos de la seguridad informática comprende las siguientes fases:
- Alcance: se define el objetivo y el alcance del plan de gestión de riesgos, así como los
recursos y las responsabilidades necesarias.
- Identificación: se identifican los activos informáticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos, así como su probabilidad e impacto.
- Análisis: se evalúan los riesgos según su nivel (alto, medio o bajo) y se priorizan según su
importancia.
- Evaluación: se determina el grado de cumplimiento de los requisitos legales, normativos y
contractuales relacionados con la seguridad informática.
- Planificación: se definen las medidas correctivas y preventivas para mitigar o eliminar los
riesgos identificados, así como los planes de contingencia y recuperación ante un ataque.
- Implementación: se ejecutan las acciones planificadas para asegurar la seguridad
informática, siguiendo un ciclo continuo de mejora.
- Monitoreo: se supervisa el funcionamiento del plan de gestión de riesgos, se verifica el
cumplimiento de los objetivos y se detectan posibles desviaciones o incidentes.
- Revisión: se evalúa el desempeño del plan de gestión de riesgos, se identifican las
oportunidades de mejora y se actualizan las políticas y procedimientos según sea necesario.
La gestión de riesgos en ciberseguridad es una herramienta clave para proteger la
información y los medios técnicos empleados para transmitirla, almacenarla y procesarla.
Además, contribuye a mejorar la imagen corporativa, la confianza de los clientes y la
competitividad del negocio.