ESCUELA DE CONSTRUCCIÓN E INGENIERÍA

Director: Marcelo Lucero Yañez

ELABORACIÓN

Experto disciplinar: Eder Patricio Moran Heredia

Diseñadora instruccional: Belén Astudillo

Editora instruccional: Emilia de la Cruz

VALIDACIÓN

Experto disciplinar: Luis Jaque Zúñiga

Jefa de Diseño Instruccional: Alejandra San Juan Reyes

EQUIPO DE DESARROLLO

Welearn

AÑO

2023
Tabla de contenidos
Aprendizaje esperado ............................................................................................................................. 5

Introducción............................................................................................................................................ 6

1. Riesgos en ciberseguridad ............................................................................................................... 7

2. Enfoques en ciberseguridad: conceptos claves y sus definiciones. ....................................... 10

3. Tipos y vectores comunes de ataque: agentes de amenazas ................................................ 13

3.1 Atributos del ataque ................................................................................................................... 14

3.2 Etapas de un ataque ................................................................................................................... 15

3.3 Eventos de amenazas .................................................................................................................. 18

3.4 Malware y tipos de ataques ........................................................................................................ 18

3.5 Vectores de ataque ..................................................................................................................... 22

4. Políticas y procedimientos ..................................................................................................... 23

4.1 Ciclo de vida de las políticas........................................................................................................ 23

4.2 Directrices................................................................................................................................ 24

4.3 Marco de la política y documentos de cumplimiento ................................................................ 24

4.4 Política de seguridad de la información...................................................................................... 25

5. Controles de ciberseguridad: ........................................................................................................ 26

5.1 Gestión de identidades ............................................................................................................... 26

5.2 Aprovisionamiento y des-aprovisionamiento ............................................................................. 26

5.3 Autorización ................................................................................................................................ 27

5.4 Listas de control de accesos ........................................................................................................ 28

5.5 Usuarios privilegiados ................................................................................................................. 28

6. Gestión del cambio........................................................................................................................ 29

7. Gestión de la configuración .......................................................................................................... 30

8. Gestión de parches........................................................................................................................ 30

Cierre .................................................................................................................................................... 31

Referencias bibliográficas ..................................................................................................................... 32

Aprendizaje esperado

Identifican tipos y factores de riesgos en ciberseguridad, considerando estándares y

políticas internacionales.

Fuente: Freepik (s.f.)

Introducción
En la vida cotidiana estamos expuestos a peligros en el interior o exterior de nuestra casa. En
un mundo cibernético ocurre algo similar, todo dispositivo que esté conectado a una red
pública o privada se encuentra en peligro. El teletrabajo, la videoconferencia y la
digitalización, es parte del ciberespacio; los delincuentes examinan de forma constante el
ciberespacio en busca de vulnerabilidades para explotar cualquier sistema informático y sacar
provecho de cualquier información que encuentre. Esto es una amenaza para la seguridad
cibernética, existiendo siempre una probabilidad que ocurra un suceso potencialmente
peligroso. Entonces podemos decir que el riesgo aparece cuando la amenaza tiene
posibilidades de efectuarse.

En esta semana conoceremos qué es un riesgo, cuáles son las causas de su origen, los factores,
impactos, estándares internacionales y las políticas de seguridad asociadas al riesgo. Por lo
que revisaremos la normativa 27001 que se encuentra basada en un enfoque de riesgos y los
tipos de vectores de ataque en ciberseguridad. Todo lo expuesto, nos servirá para evaluar los
tipos de controles que implementaremos en un programa de SGSI, también conocido como
sistema de gestión de seguridad de la información.

6
1. Riesgos en ciberseguridad
Si bien la mayoría de las personas tienen una comprensión inherente de la palabra riesgo, es
importante comprender el riesgo en el contexto de la ciberseguridad, lo que significa saber
cómo identificar, medir y mitigar el riesgo de manera efectiva. Es por ello que la
responsabilidad principal de la ciberseguridad se centra en identificar, mitigar y gestionar los
riesgos cibernéticos para los activos digitales de una empresa u organización. (Information
Systems Audit and Control Association, 2015).

La norma ISO 31000 es un estándar internacional que brinda diversos lineamientos para
cualquier tipo de organización, donde se considera la evaluación y tratamiento del riesgo
como un elemento que genera valor para la organización. Para resumir los objetivos de
esta normativa, revisaremos lo que plantea Ávila (2014):

La Norma ISO 31000, nos habla sobre la gestión del riesgo y brinda los lineamientos e
instrucciones aplicables para cualquier sector empresarial, riesgo, ya sea que genere
efectos positivos o negativos. Está diseñada para fomentar la proactividad, mejorar la
información financiera y la confianza de los grupos de trabajo entre otros aspectos.

Cita que, para que la gestión del riesgo sea eficaz en una organización, se necesita
cumplir ciertos requisitos o principios en todos sus niveles organizacionales como
contribuir al alcance de los objetivos y mejoras de las condiciones, debe estar ligada a
las responsabilidades de la administración y en todos los procesos realizados, ayudar a
tomar las mejores decisiones a los encargados, estar bien estructurada, tomar en cuenta
todos los factores del individuo ya sean internos o externos, incluir a todas las partes
involucradas en dicha gestión, debe adaptarse a cualquier cambio producido y
mejorarse continuamente. Para que se cumpla lo anterior mencionado, se necesita de
un marco de referencia eficaz, que garantiza que la información acerca del riesgo,
generada por la gestión del riesgo se reporte de manera óptima y se utilice como base
para la toma de decisiones en todos los niveles organizacionales.

7
Antes de diseñar y poner en funcionamiento el marco de referencia, se necesita analizar
los diferentes contextos que intervienen en la organización, tanto externos como el
ambiente social, cultural y político, etc., e internos como estructura organizacional,
funciones y obligaciones, capacidades y relaciones internas. Luego, en el marco de
referencia, se procede a la instauración de una política para la gestión del riesgo, que
debe justificar la gestión de los riesgos, vincular los objetivos de la gestión con los de la
organización, determinar responsabilidades y obligaciones, y la manera en cómo tratar
conflictos, etc.

A continuación, definir a quién se le rendirán cuentas de la gestión de riesgos, y la

integración de esta a los procesos de la empresa. Como siguiente ítem, se determinan
unos recursos (humanos, económicos, estructurales, tecnológicos) para el desarrollo de
la gestión. La organización deberá luego establecer ciertos mecanismos de comunicación
interna y externa para la propagación de la información y para la rendición de cuentas.

Al momento de la implementación del marco de referencia para la gestión de riesgo en

la empresa, este debería definir el tiempo y la estrategia para hacerlo, aplicar la política
y el proceso de gestión en toda la organización, cumplir con todos los requisitos legales
y normativos, y garantizar que la toma de decisiones esté en linea con los resultados de
los procesos de gestión de riesgo, informar, entrenar, comunicarse y consultar a todos
aquellos involucrados. Este marco de referencia deberá ser monitoreado para medir su
desempeño y si está encaminado a cumplir los objetivos establecidos, para realizar las
correcciones pertinentes.

El proceso de gestión de riesgos se divide de la siguiente manera:

• Entradas: se refiere a la comunicación y la consulta realizada para la determinación

de los riesgos a gestionar.

• Establecimiento de un contexto

8
• Valoración del riesgo: consiste en:

a) Identificación del riesgo

b) Análisis del riesgo

c) Evaluación del riesgo

• Tratamiento del riesgo: la selección de una o más opciones para modificar los
riesgos.

• Salidas: se refiere al monitoreo y la revisión de la gestión del riesgo. Pueden ser

periódicos o cuando sea conveniente.

La gestión de riesgos, como todo proceso en una organización, está sujeta a mejora
continua, que se realizará con base a los resultados obtenidos de las revisiones y el
monitoreo realizado al marco de referencia, la política y la gestión de riesgo para
implementar acciones que ayuden a ser más eficiente y eficaz.

Por último, todas aquellas actividades y todo lo realizado en la gestión del riesgo deberá
registrarse, ya que estos brindan una base para la mejora de la metodología y las
herramientas, como también de todo el proceso en sí.

A continuación, mencionaremos los riesgos más comunes en tecnologías de la

información:

• Imposibilidad de recuperación de la información

• Pérdida de integridad de datos.
• Indisponibilidad de infraestructura TI
• Incumplimiento de Acuerdos de Nivel de Servicio (SLA)
• Divulgación no autorizada de información

9
 • Indisponibilidad de software y/o aplicaciones
• Procesamiento incorrecto de los datos en los sistemas informáticos
• Paralización total o parcial de las operaciones

2. Enfoques en ciberseguridad: conceptos

claves y sus definiciones.
A continuación, revisaremos los enfoques en ciberseguridad y algunos conceptos claves según
Information Systems Audit and Control Association (2015, pp.22 -23):

• Basado en cumplimientos —También conocido como la seguridad basada en

estándares, este enfoque se basa en reglamentos o normas para determinar las
implementaciones de seguridad. Los controles se aplican con independencia de su
aplicabilidad o necesidad, lo cual a menudo conduce a una actitud de llevar “lista de
control” hacia la seguridad.

• Basado en riesgos —La seguridad basada en riesgos se basa en identificar el riesgo

único al que una organización en particular se enfrenta y el diseño e implementación
de los controles de seguridad para hacer frente a ese riesgo por encima y más allá de
la tolerancia al riesgo y de las necesidades de negocio de dicha organización.

• Ad hoc —Un enfoque ad hoc simplemente implementa la seguridad sin fundamento

o criterio particular. Las implementaciones ad hoc pueden ser impulsadas por la
comercialización del proveedor, o pueden reflejar insuficiente experiencia en la
materia, conocimiento o capacitación en el diseño y aplicación de salvaguardas.

Para entender toda la gestión de riesgos, es importante conocer los diversos conceptos para
evitar ambigüedades en su interpretación:

10
• Riesgo: es la combinación de la probabilidad de un evento y sus consecuencias
(Organización Internacional de Normalización / Comisión Electrotécnica Internacional
[ISO / IEC] 73). El riesgo se mitiga a través del uso de controles o salvaguardas.

• Amenaza: cualquier cosa (por ejemplo: objeto, sustancia, humano) que es capaz de
actuar en contra de un activo de manera que puede resultar en daño. ISO / IEC 13335
define una amenaza en términos generales como una posible causa de un incidente no
deseado. Algunas organizaciones hacen una distinción entre una fuente de amenaza y
un evento de amenaza, clasificando una fuente de amenaza como el proceso real o el
agente que intenta causar daño, y un evento de amenaza como el resultado de la
actividad maliciosa de un agente de amenaza.

• Activos: algo de valor ya sea tangible o intangible que vale la pena proteger,
incluyendo a las personas, la información, la infraestructura, las finanzas y la reputación.

• Vulnerabilidad: una debilidad en el diseño, implementación, operación o en el

control interno de un proceso que podría exponer el sistema a las amenazas adversas
de eventos de amenaza.

• ISMS: es un acrónimo en inglés de SGSI, que significa Information Security

Management Systems. Se basa en una orientación a riesgo de negocio, que permite que la
seguridad de la información se pueda establecer, implementar, operar, monitorizar,
revisar, mantener y mejorar.

• Amenaza o incidente de seguridad: es un acontecimiento que puede ocasionar un

incidente en la organización, generando perjuicios o pérdidas materiales y/o inmateriales.

11
 • Eventos de seguridad de la información: corresponde a una situación previa
desconocida que logra ser importante a partir de la perspectiva de la estabilidad reconocida
en un sistema o en un servicio de red.

• Riesgo residual: el riesgo que existe, a pesar del análisis de riesgo e impacto donde el
negocio comprende que puede ser afectado por una amenaza a la seguridad, pero aun así
lo mantiene.

• Aceptación de riesgo: elección de admitir un riesgo.

• Análisis de riego: es el uso sistemático de la información para detectar fuentes y evaluar

peligros.

• Valoración de riesgo: corresponde a todos los procesos que se realizan para analizar y
evaluar los riesgos.
• Evaluación de riesgo: se refiere al proceso de equiparar los peligros estimados contra los
criterios de peligro establecidos, para decidir el nivel de importancia del peligro.

En conclusión, podemos decir que la administración del riesgo: corresponde a las actividades
coordinadas para guiar y mantener el control de las medidas primordiales para la observación
del peligro en la organización.

12
 Figura 1. Marco de gestión de riesgo.
Fuente: National Institute of Standards and Technology (2017)

3. Tipos y vectores comunes de ataque:

agentes de amenazas
Es importante señalar que a medida que los métodos y vectores de ataque continúan
evolucionando a lo largo del tiempo, también aumentan las amenazas significativas hacia los
clientes. Si bien es posible observar que existen algunos ataques que se llevan a cabo de forma
aleatoria y sin tener en cuenta un objetivo específico, también se puede evidenciar la
existencia ataques dirigidos contra destinatarios, donde los atacantes han investigado y
determinado que son útiles. En este sentido, los ataques de phishing generalmente se realizan
a los usuarios que tienen acceso a datos o sistemas a los que el atacante desea acceder. En
otros casos, el malware se implementa en ataques generalizados con la idea de que pueda
llegar a la mayor cantidad de sistemas vulnerables posibles, aunque es importante considerar
que estas situaciones no son lo mismo que los "ataques cibernéticos". Si no que un

13
ciberataque es un ataque bien definido, avanzado y dirigido que es sigiloso y tiene como
misión seguir intentando perpetrar el ataque hasta que sea identificado y mitigado o tenga
éxito. (Information Systems Audit and Control Association, 2015).

En el contexto actual de amenazas, han surgido muchos agentes de amenazas y diferentes

patrones de ataques, es por esto que destaca el rol de los profesionales de la ciberseguridad,
ya que deben ser capaces de identificar estas amenazas para gestionarlas adecuadamente.
(Information Systems Audit and Control Association, 2015).

Figura 2. Gráfico de agentes de amenazas.

Fuente: National Institute of Standards and Technology (2017)

3.1 Atributos del ataque

En relación con los atributos del ataque, Information Systems Audit and Control Association
(2015) señala que:

14
 Mientras que el riesgo se mide por su daño potencial, un ataque es la ocurrencia real de
una amenaza. Más específicamente, un ataque es una actividad realizada por un agente
de amenaza (o adversario) contra un activo. Desde el punto de vista de un atacante, el
activo es un objetivo, y el camino o ruta utilizada para acceder a la meta (activo) se
conoce como un vector de ataque. Hay dos tipos de vectores de ataque: de entrada y de
salida (también conocido como exfiltración de datos). (p. 27)

Figura 5. Atributos del ataque

Fuente: National Institute of Standards and Technology (2017)

3.2 Etapas de un ataque

Aunque cada ataque es distinto, la mayoría de los incidentes de amenazas de confrontación

realizan un proceso similar, como se muestra en la siguiente figura:

Figura 6. Proceso en amenaza

Fuente: National Institute of Standards and Technology (2017)

A. Realizar reconocimiento: el adversario recoge información usando una variedad de técnicas,

las cuales pueden incluir:

15
 Búsqueda (sniffing) o escaneo del perímetro de la red.

Uso de información de la organización de libre acceso.

Ejecución de software malintencionado (malware) para identificar objetivos

potenciales.

B. Crear herramientas de ataque: el adversario diseña las herramientas necesarias para llevar a
cabo un futuro ataque, que pueden incluir:

Phishing o ataques selectivos de phishing.

Diseño de sitios web o certificados fraudulentos.

Creación y operación de falsas organizaciones pantalla para inyectar componentes

maliciosos en la cadena de suministro.

C. Entrega de funciones maliciosas: el adversario inserta o instala lo que sea necesario para
llevar a cabo el ataque, lo cual puede incluir las siguientes tácticas:

La introducción de malware en los sistemas de información de la organización.

La colocación de individuos subvertidos en posiciones privilegiadas dentro de la

organización.

La instalación de sniffers o dispositivos de escaneo en redes y sistemas objetivo.

Introducir hardware o componentes críticos manipulados en los sistemas de

organización o en las cadenas de suministro.

D. Explotar debilidades y comprometer: el adversario se aprovecha de la información y los

sistemas con el fin de comprometerlos, lo que puede implicar las siguientes acciones:

Split tunneling o conseguir acceso físico a las instalaciones de la organización.

La filtración de datos o información sensible.

16
 Abuso de la capacidad multiusuario en un entorno de nube.

Inicio de exploits de día cero.

E. Dirigir un ataque: el adversario coordina herramientas de ataque o realiza operaciones que

interfieren con las funciones de la organización:

Los posibles métodos de ataque incluyen:

Interceptar comunicaciones inalámbricas o interferencia.

Denegación de servicio (DoS) o ataque distribuido de denegación de servicio

(DDoS).

Interferencia remota o ataque físico a la infraestructura de las instalaciones

corporativas u organizacionales.

Secuestro de sesión o ataque de "intermediario".

F. Resultado: impacto negativo del enemigo, que puede incluir:

Acceso al sistema no autorizado y/o confidencial información.

Degradación de las capacidades o servicios de la organización.

Creación, corrupción o eliminación de datos críticos.

G. Mantener la presencia o la capacidad: el enemigo continúa aprovechándose de las

vulnerabilidades e infiltrándose en el sistema con las siguientes técnicas:

Ofuscando la información del oponente mediante acciones o interferir con los

sistemas de detección de intrusos (IDS).

Adaptar ataques de red pública según corresponda .

H. Coordinar una operación: un adversario que coordine una operación contra la organización
puede incluir aquí las siguientes medidas:

17
 Ataques en varias etapas.

Ataques internos y externos.

Ataques adaptables y de amplio alcance.

3.3 Eventos de amenazas

Information Systems Audit and Control Association (2015) plantea que:

Aunque una gran parte de los ataques ocurren debido a un esfuerzo coordinado, existen
otros incidentes que pueden originar diversos riesgos para una organización u empresa.
Algunos de los incidentes de amenaza sin confrontación más frecuentes son:

• Un mal manejo de la información crítica o sensible por usuarios autorizados.

• Configuración incorrecta de privilegios.

• Incendio, inundación, huracán, tormentas o terremotos en las instalaciones

primarias o en las de respaldo.

• Inclusión de vulnerabilidades en productos de software.

• Errores genéricos de disco u otros problemas causados por la antigüedad de los

equipos. (p. 29).

3.4 Malware y tipos de ataques

Según Information Systems Audit and Control Association (2015):

Malware, también llamado código malicioso, es el software diseñado para tener acceso a
sistemas informáticos específicos, robar información o interrumpir las operaciones
informáticas. Hay varios tipos de malware, siendo los más importantes los virus
informáticos, gusanos y troyanos, que se diferencian por la forma en que operan o se
extienden.

18
 •Network Worm o gusano de red: una variante de un virus informático, esencialmente
una pieza autorreplicante de código diseñada para propagarse a través de redes. No
se requiere intervención ni ejecución para duplicarlo.
•Troyano: otro tipo de malware es un troyano, que es una pieza de malware que
obtiene acceso al sistema de destino ocultándose en una aplicación real. Los troyanos
generalmente se dividen en categorías que reflejan sus propósitos.
•Una botnet (una red de bots): una red de bots (un término derivado de "red de bots")
es una red grande, automatizada y distribuida de computadoras previamente
comprometidas que se pueden controlar simultáneamente para lanzar ataques a gran
escala como denegación de ataque servicio (DoS). Las computadoras previamente
comprometidas se pueden controlar simultáneamente para lanzar ataques a gran
escala como de denegación de servicio (DoS).

Como ejemplo podemos mencionar al gusano Informático conocido como Stuxnet que
tuvo como objetivo interrumpir los sistemas de control de monitor y de adquisición de
datos (SCADA), también los controladores lógicos programables (PLC), por lo general
usados para automatizar los procesos mecánicos en las fábricas o plantas de energía.
Descubierto en 2010, Stuxnet se usó para piratear el software y los sistemas del programa
nuclear de Irán. Tiene tres componentes: Un gusano que ejecuta los procesos asociados
con la carga útil, un archivo vinculador que distribuye copias del gusano y un rootkit que
oculta procesos maliciosos para evitar su detección.

También se utilizan varios otros términos para describir tipos más específicos de malware,
caracterizados por sus efectos. Estos incluyen:

•Spyware: un tipo de software malicioso que recopila información sobre una persona u
organización sin el conocimiento de la persona u organización.

19
 •Sistema de anuncios (adware): diseñado para mostrar publicidad (generalmente no
deseada) a los usuarios.
•Ransomware: un tipo de ransomware que bloquea o cifra datos o funciones y requiere
un pago para desbloquearlos.
•Software Keylogger: una clase de malware que registra en secreto las pulsaciones de
teclas del usuario y, en casos, el contenido de la pantalla.
•Rootkit: una clase de malware que oculta la existencia de otro malware modificando el
sistema operativo subyacente.

Una infección de malware es considerado un tipo de ataque. Un ataque, es un intento por

aprovechar una vulnerabilidad en el hardware o software y conllevar a alguna acción que
perjudica los sistemas informáticos de una organización. MITRE Corporation publica un
catálogo de patrones de ataque llamado clasificación de patrones de ataque común
(CAPEC) como un "mecanismo de abstracción para ayudar a describir cómo se realiza un
ataque contra actores malintencionados, sistema o red vulnerable". Algunos de los
ataques más comunes se enumeran a continuación.

•Amenaza persistente avanzada: ataques complejos y coordinados contra una

organización o entidad específica. Requieren una gran cantidad de tiempo e
investigación, y a menudo tardan meses o incluso años en implementarse por
completo.
•Backdoor: una forma de recuperar el acceso a un sistema comprometido instalando
software o configurando el software existente para permitir el acceso remoto en
condiciones definidas por el atacante.
•Ataque de fuerza bruta: un ataque que se realiza probando todas las combinaciones
posibles de contraseñas o claves de cifrado hasta que se encuentra el correcto.
•Desbordamiento de búfer: ocurre cuando un programa o proceso intenta almacenar
más de datos en el búfer (área de almacenamiento de datos temporal) de lo esperado.

20
Dado que los búferes están hechos para contener una cantidad limitada de datos, la
información adicional que debe ir a alguna parte puede desbordar los búferes
adyacentes, corrompiendo o sobrescribiendo cualquier dato válido que contengan.
Aunque puede ocurrir accidentalmente debido a un error de programación, el
desbordamiento de búfer es un tipo cada vez más común de ataque a la seguridad de
la integridad de los datos. En los ataques de desbordamiento de búfer, los datos
adicionales pueden contener códigos de tipo de ataque de seguridad de integridad de
datos.
•Crosssite scripting (XSS): un tipo de inyección en el que se inyectan scripts maliciosos
en sitios web confiables y benignos. Los ataques XSS ocurren cuando un atacante usa
una aplicación web para enviar un código malicioso, generalmente en forma de
secuencia de comandos desde un navegador, a un usuario final. Las vulnerabilidades
permiten que estos ataques tengan éxito.
•Ataque de denegación de servicio (DoS): un ataque a un servicio de fuente única, que
hace que tenga tantas solicitudes que se ve abrumado y se apaga por completo o se
ejecuta a una velocidad significativamente reducida.
•Ataque de "hombre en el medio" o MITM: una estrategia de ataque en la que el atacante
intercepta el flujo de comunicación entre dos partes del sistema de la víctima, luego
reemplaza el tráfico entre los componentes del con el suyo propio, y eventualmente toma
el control de la comunicación.
•Ingeniería social: cualquier intento de explotar vulnerabilidades sociales para
obtener acceso a información y/o sistemas. Es una "estafa" que engaña a otros para
que divulguen información o abran software o programa malicioso.
•Phishing: un tipo de ataque de correo electrónico que intenta convencer a los
usuarios de que la fuente es genuina, pero con el objetivo de obtener información para
su uso en ingeniería social.

21
 •Ingeniería social (Spear Phishing): un ataque que utiliza técnicas de ingeniería social
para hacerse pasar por una entidad de confianza para obtener información
importante, como contraseñas de una víctima.
•Suplantación de identidad: falsificación de la dirección de envío de una transmisión con
el fin de infiltrarse ilegalmente en un sistema seguro.
•Inyección de SQL: según MITRE, la inyección de SQL es el resultado de la incapacidad
de una aplicación para autenticar correctamente la importación de destino. Cuando la
entrada del usuario se enmarca como parte de la sintaxis SQL y se usa sin la validación
adecuada como parte de las consultas SQL, la información se puede recuperar de la
base de datos de diferentes maneras, no para el diseño de la aplicación.
•Exploit de día cero: una vulnerabilidad explotada antes de que el creador/proveedor del
software supiera de su existencia.

3.5 Vectores de ataque

Los cibercriminales siempre están buscando nuevas formas de entregar una carga
malintencionada o ingresar a nuestros dispositivos utilizando falla en la configuración,
vulnerabilidades en los sistemas informáticos o errores humanos. Por ejemplo: el envio
de una url maliciosa. A este modo de llegar a nuestros dispositivos se conoce como vector
de ataque o también conocido como argot. A continuación, mencionaremos los más
importantes:

• Correo electrónico
• SMS
• Navegación por la web
• Endpoints
• Sitios web
• Softwares vulnerables
• Redes sociales

22
 • Insiders
• Contraseñas por defecto
• Usuarios descontentos

4. Políticas y procedimientos
Podemos indicar que la política de seguridad es una manifestación de manera formal de
las directivas, reglas y prácticas que se deben efectuar en una organización. Por otro lado,
tenemos el procedimiento, que son diversas acciones que tienen una sola finalidad.

4.1 Ciclo de vida de las políticas

Dentro de los elementos relevantes de la ciberseguridad y el gobierno, se encuentran las

políticas de seguridad de la información, ya que estas determinan los requisitos, definen los
roles, establecen las responsabilidades de todos los miembros de la organización y también
señalan el comportamiento que debe tener cada uno en diversas situaciones. Es importante
considerar que antes de que estas políticas sean difundidas en toda la organización, deben ser
creadas de forma correcta y validadas por la junta directiva y la gerencia ejecutiva. A lo largo de
este proceso, también puede ser necesaria la elaboración de documentos adicionales que se
orienten a abordar situaciones puntuales que son diferentes a la mayor parte de la
organización. Esto puede ser necesario cuando una parte de la organización tenga algún
requisito reglamentario específico que busque proteger ciertos tipos de información.
(Information Systems Audit and Control Association, 2015).

Las políticas de seguridad tienen un ciclo de vida, las cuales son:

Redacción, en esta etapa de escribe la política con un lenguaje sin ambigüedades}

Revisión, en esta etapa se valida que la política este alineada a los objetivos de la
organización, brindado retroalimentación.

23
 Aprobación, en esta etapa se lleva a cabo la revisión y si el contenido es el correcto, se
aprueba la política.

Publicación, en esta etapa de difunde las políticas aprobadas a los miembros

interesados en la organización.

Actualización, esta etapa sirve como un ciclo de mejora continua, donde la política
puede sufrir cambios relevantes o menores.

4.2 Directrices
Information Systems Audit and Control Association (2015) señala que hay varios atributos
o directrices que políticas que se deben considerar:

• Las políticas de seguridad deben ser una articulación de una estrategia de

seguridad de la información bien definida que capta la intención, las expectativas y la
dirección de la gestión.
• Las políticas deben ser claras y de fácil comprensión por todas las partes
afectadas.
• Las políticas deben ser cortas y concisas, escritas en un lenguaje sencillo.

4.3 Marco de la política y documentos de cumplimiento

Los documentos de cumplimiento, como políticas, reglas y procedimientos, describen las

acciones requeridas o prohibidas, su transgresión puede implicar medidas disciplinarias.
(Information Systems Audit and Control Association, 2015).

Un marco de política se refiere a la manera en que los documentos de cumplimiento se asocian

y se apoyan entre sí. Estos marcos permiten definir los diferentes tipos de documentos y el
contenido de cada uno. Dependiendo de sus necesidades, cada organización puede tener

24
marcos de políticas simples o relativamente complejos. (Information Systems Audit and Control
Association, 2015).

Tipo Descripción

Políticas Comunica comportamientos y actividades requeridos y prohibidos.

Normas Interpreta políticas en situaciones específicas.

Procedimientos Proporciona detalles de cómo cumplir con normas y políticas.

Directrices
Proporciona una guía general en asuntos tales como qué hacer en
situaciones específicas. No deben cumplirse al pie de la letra, pero son
muy recomendados.

Figura 7. Políticas, normas, procedimientos y directrices.

Fuente: Information Systems Audit and Control Association (2015)

4.4 Política de seguridad de la información

Una política de seguridad de la información tiene como objetivo principal adoptar

diversas medidas que tengan como enfoque asegurar la confidencialidad, integridad y
disponibilidad de la información. Entonces podemos decir que también son
comportamiento y buenas prácticas que se deben de seguir para no poner en riesgo los
sistemas e información de la organización.

25
5. Controles de ciberseguridad:
5.1 Gestión de identidades

La gestión de identidades, también conocida como IAM, se encarga de garantizar que solamente
las personas autorizadas tengan acceso a los recursos tecnológicos necesarios para su trabajo.
Este proceso abarca toda la organización e implica políticas y tecnologías que permiten
identificar, autenticar y autorizar adecuadamente a personas, grupos de personas o aplicaciones
de software, basándose en sus derechos de acceso y restricciones basadas en sus identidades.
Al implementar un sistema de gestión de identidades, se puede prevenir el acceso no autorizado
a sistemas y recursos, así como el robo de datos empresariales o protegidos. Además, las
soluciones de gestión de identidades protegen no solo el acceso a software y datos, sino también
los recursos de hardware de una empresa, como servidores, redes y dispositivos de
almacenamiento.

La importancia de la gestión de identidades ha aumentado en la última década debido a las

exigencias globales de cumplimiento normativo y control que buscan proteger los datos
confidenciales contra posibles vulneraciones. La implementación de un sistema de gestión de
identidades permite generar alertas y alarmas cuando personas o programas no autorizados
intentan acceder a los recursos de la empresa, tanto desde dentro como desde fuera del
perímetro.

5.2 Aprovisionamiento y des-aprovisionamiento

El aprovisionamiento de cuentas de usuario es un proceso clave en la gestión de identidades

y accesos, y se utiliza para crear, actualizar o deshabilitar cuentas de usuario en una
aplicación o sistema.

26
 En términos generales, el proceso de aprovisionamiento de cuentas de usuario se inicia
cuando un nuevo usuario se une a una organización o empresa. En este punto, el
administrador de la aplicación o sistema debe crear una cuenta de usuario para el nuevo
empleado, lo que incluye asignarle un nombre de usuario y contraseña, así como
establecer los roles y permisos de acceso correspondientes a sus necesidades laborales.

A medida que los empleados cambian de puesto o roles dentro de la empresa, o cuando
un empleado deja la organización, es necesario actualizar o deshabilitar sus cuentas de
usuario en el sistema. Esto se hace para garantizar que los usuarios solo tengan acceso a
los recursos que necesitan para realizar su trabajo de manera efectiva, y para evitar que
los usuarios no autorizados accedan a información confidencial.

En el caso de aplicaciones SaaS y en la nube, el almacén de perfiles de usuario local de la

aplicación se utiliza para almacenar los roles y permisos de los usuarios. Para que el inicio
de sesión único y el acceso a la aplicación funcionen correctamente, es necesario que
exista un registro de usuario en el almacén local de perfiles de usuario. Por lo tanto, el
aprovisionamiento de cuentas de usuario es esencial para asegurarse de que los usuarios
tengan acceso a las aplicaciones que necesitan para realizar su trabajo de manera
eficiente y segura.

5.3 Autorización

La autorización implica verificar si un usuario tiene el permiso necesario para

realizar acciones específicas, mientras que la autenticación se centra en verificar
la identidad del usuario. La identificación del usuario se realiza a través de un
identificador, como un registro y una contraseña. Por ejemplo, en una tienda en
línea, la autenticación se realiza cuando el usuario inicia sesión en su cuenta
personal para verificar que es un usuario válido. La autorización se produce
cuando el usuario intenta realizar una acción específica, como agregar un
producto al carrito de compras. La autorización determina qué datos, acciones y
características de la aplicación están disponibles para el usuario.

27
 La autorización se puede basar en diferentes enfoques, incluyendo la autorización
basada en roles, el control de acceso discrecional (DAC) y el modelo de
autorización obligatoria. Con la autorización basada en roles, el administrador
asigna un conjunto de roles al usuario, lo que le permite acceder a partes
específicas de la aplicación. El control de acceso discrecional (DAC) permite al
propietario del objeto establecer los derechos de acceso a ese objeto para
usuarios individuales o grupos de usuarios. El modelo de autorización obligatoria
asigna un nivel de confidencialidad a cada elemento del sistema, y los usuarios
reciben un nivel de acceso que determina con qué objetos pueden interactuar.

5.4 Listas de control de accesos

Una Lista de Control de Acceso (ACL) es una lista de entradas de Control de Acceso
(ACE) que identifican a un usuario y especifican los derechos de acceso
concedidos, denegados o auditados para ese usuario. Hay dos tipos de ACL en un
descriptor de seguridad de un objeto protegible: una DACL y una SACL. La DACL
identifica a los administradores que se permiten o deniegan el acceso a un objeto,
mientras que la SACL permite a los administradores registrar intentos de acceso a
un objeto protegido. El sistema comprueba los ACE en secuencia hasta que se
permiten todos los derechos de acceso solicitados o se deniegan todos. Es
importante usar las funciones adecuadas para crear y manipular ACL y no trabajar
directamente con su contenido para asegurar que sean semánticamente
correctas. Las interfaces de servicio de Active Directory incluyen rutinas para crear
y modificar el contenido de estas ACL.

5.5 Usuarios privilegiados

Un usuario privilegiado se refiere a aquel que posee acceso de administrador a los

sistemas críticos. Por ejemplo, cualquier persona que tenga la capacidad de crear o

28
 eliminar cuentas de usuarios y roles en una base de datos Oracle se considera un
usuario privilegiado.
Por lo general, los privilegios se otorgan a personas en las que se confía. Los usuarios
con privilegios de root, que pueden cambiar la configuración del sistema, instalar
software, modificar cuentas o acceder a datos protegidos, se asignan a usuarios de
confianza.

6. Gestión del cambio

La gestión del cambio es un proceso sistemático y estructurado que se utiliza para
gestionar y controlar el impacto de los cambios en una organización. Se trata de
un enfoque que involucra a las personas, procesos y tecnologías para minimizar
la resistencia al cambio y asegurar que los cambios se implementen de manera
efectiva y eficiente.

La gestión del cambio se utiliza comúnmente en proyectos de transformación

empresarial, como la implementación de nuevas tecnologías, la reorganización de
equipos, la introducción de nuevos productos o servicios, entre otros. Al utilizar
la gestión del cambio, las organizaciones pueden mitigar los riesgos asociados con
el cambio, reducir la resistencia y aumentar la adopción y el éxito del cambio.

La gestión del cambio también puede incluir la identificación y la gestión de los

impactos del cambio en las personas, los procesos y la cultura de la organización,
la comunicación efectiva de los cambios a los empleados y partes interesadas, la
formación y el desarrollo de habilidades y la medición y seguimiento del éxito del
cambio.

29
7. Gestión de la configuración
La gestión de la configuración es un proceso clave en la gestión de proyectos y de
sistemas, que tiene como objetivo identificar, organizar y controlar los cambios que se
realizan a lo largo del ciclo de vida de un producto o sistema. En este proceso se
establecen y mantienen los atributos de configuración, como la documentación, los
componentes de hardware y software, las versiones y revisiones, las relaciones y las
interdependencias entre ellos.

La gestión de la configuración implica la planificación, identificación, control, revisión y

auditoría de los elementos de configuración. Se utilizan herramientas y técnicas para
gestionar la información de configuración, que pueden incluir sistemas de control de
versiones, bases de datos de configuración, herramientas de seguimiento de errores y
sistemas de gestión de cambios.

La gestión de la configuración es importante porque ayuda a garantizar que los cambios

realizados a un producto o sistema se realicen de manera controlada y documentada,
y que se mantenga una trazabilidad adecuada entre los elementos de configuración.
Esto ayuda a minimizar los riesgos asociados con los cambios no controlados y a
garantizar que el producto o sistema final cumpla con los requisitos y expectativas del
cliente.

8. Gestión de parches
La gestión de parches es un proceso esencial para mantener la seguridad de los sistemas y
la productividad de una empresa. Sin la gestión de parches, los sistemas pueden ser
vulnerables a ataques de seguridad, lo que puede resultar en la pérdida de datos y la
interrupción del servicio. Los parches también pueden mejorar la estabilidad y el
rendimiento del sistema, corrigiendo errores y problemas conocidos. Por lo tanto, es
importante tener un plan de gestión de parches eficaz y aplicarlo regularmente en todos los
sistemas de la empresa.

30
Cierre
Por medio del siguiente organizador gráfico, se destacan las ideas clave de esta semana:

27000

27001 27002

Tipos y vectores
Riesgos en Políticas y su ciclo
comunes de
ciberseguridad. de vida.
ataque.

Directrices, marco de
Conceptos y tributos de un la política y
definiciones. ataque. documentos de
cumplimiento.

La normativa 27001 nos sugiere administrar la seguridad de la información y ciberseguridad de

nuestras organizaciones, para ello nos plantea distintos dominios y diversos controles que son
mencionados en la norma 27001 y 27002 respectivamente, de allí radican tanto riesgos,
vectores y políticas en general.

31
Referencias bibliográficas
Araujo (1 abril de 2021). Mantén la calma: esto es la ISO 27001 [Imagen].
https://blog.hackmetrix.com/manten-la-calma-esto-es-la-iso-27001/

Ávila, J. (04 noviembre de 2014). Resumen Iso 31000.

https://es.scribd.com/document/245547477/Resumen-Iso-31000

Information Systems Audit and Control Association (ISACA). (2015). Fundamentos de

Ciberseguridad. Cybersecurity Nexus, ISACA.

Instituto Nacional de Normalización. (2013). Tecnología de la información – Técnicas

de seguridad - Sistemas de gestión de la seguridad de la información –
Requisitos [NCh-ISO 27001].

Instituto Nacional de Normalización. (2013). Tecnología de la información –

Tecnologías de la información – Técnicas de seguridad - Código de
prácticas para los controles de seguridad de la información– Requisitos
[NCh-ISO 27002].

National Institute of Standards and Technology (2017). 800-60 Directrices de

identidad digital Autenticación y gestión del ciclo de vida [Capturas de
pantalla].

32