Sistema de Seguridad

Informática
Acciones para su desarrollo.
 Resolución 60/2011
Contraloría General de la República de Cuba

En el capítulo II, en el artículo 9 se norman los

cinco elementos que componen el sistema de
control interno, donde a los efectos de la
seguridad informática destacan tres cuestiones
básicas: la gestión y prevención de riesgos, las
actividades de control, información y
comunicaciones y el monitoreo.
Cada entidad debe diseñar, implantar y mantener
actualizado un sistema de seguridad informática
que le posibilite proteger sus bienes informáticos
de los riesgos a que están sometidos.

Sus objetivos son:

1. Minimizar los riesgos sobre los sistemas
informáticos
2. Garantizar la continuidad de los procesos
basados en la informática.
Definiendo conceptos:

Un Sistema de Seguridad Informática es un

conjunto de medios administrativos, medios
técnicos y personal que de manera
interrelacionada garantizan niveles de
seguridad informática en correspondencia con
la importancia de los bienes a proteger y los
riesgos estimados.
Contenido de un Sistema de Seguridad
Informática:
1. Determinación de las áreas vulnerables.

2. Accidentes y acciones que pueden ocurrir

3. Análisis de vulnerabilidades, amenazas y riesgos

4. Confección del Plan de Seguridad Informática.

Para llegar a esto se debe tener conocimiento del

capital humano con que se cuenta y los medios
materiales
 Etapas del diseño de un Sistema de
Seguridad Informática.
Primera etapa:
Determinar las necesidades de protección del sistema
informático objeto de análisis, que incluye:
1. Caracterización del sistema informático.
2. Identificación de las amenazas y estimación de los
riesgos.
3. Evaluación del estado actual de la seguridad.
 Etapas del diseño de un Sistema de
Seguridad Informática.

Segunda etapa:
Definir e implementar el sistema de seguridad que garantice
minimizar los riesgos identificados en la primera etapa.
1. Definir las políticas de seguridad.
2. Definir las medidas y procedimientos a implementar.
 Etapas del diseño de un Sistema de
Seguridad Informática.

Tercera etapa:
Evaluar el sistema de seguridad diseñado.

Solo así se estará en condiciones de comenzar las

labores de confección del Plan de Seguridad
Informática según la metodología, sin olvidar que es
primordial para ellos la determinación de
vulnerabilidades, amenazas y riesgos del sistema
informático de que se trate.
 El paso inicial para el trabajo es:
Realizar el análisis de riesgos se partirá de un análisis del
entorno físico donde está ubicado el bien informático,
valorando:

1. Seguridad física y del local desde el punto de vista del

estado de las paredes y la carpintería, su ubicación en la
institución, situación de los enlaces eléctricos y de red y si la
red de datos está debidamente separada a unos 15 cm de
la red eléctrica, así como características del acceso al local
y a los bienes informáticos.
2. Seguridad lógica: si los bienes informáticos tienen acceso
definidos para cada usuario y los datos están protegidos de
forma lógica, que permitan hablar de confidencialidad,
integridad y disponibilidad adecuada.
3. Clasificación de los bienes y de la información: A partir
de lo normado en el Decreto Ley 199/99 debe valorarse el
carácter de la información que se proceso y se dispone en
la PC como vía para clasificar el nivel que tiene dicho bien
informático como crítico, confidencial o sensible. Debe
tener en cuenta en esta clasificación no solo la información
que atesora el medio, sino también las funciones que
cumple. (Pero es recomendable utilizar para la clasificación
el criterio que se expone al final del documento)
4. Riesgos en cada activo: a partir de la lista de riesgos y
amenazas que se envía poner en una línea el número
correspondiente a cada riesgos que pudiera estar presente
en cada PC, para sobre esta base buscar los mecanismos
de prevención y enfrentamiento que se materializan en el
Plan de Seguridad Informática y de Contingencias (que es
parte del Plan de Prevención). (Ver lista anexa de los
posibles riesgos, que no está exenta de que falte alguno
por lo que puede agregarlo).
5. Valoración del medio técnico: Para este aspecto será
necesario realizar algunas acciones que permitan
responder las siguientes preguntas:

a. ¿Tiene la PC contraseña en el setup?

b. ¿Está determinado en el setup que el arranque sea
exclusivo por el disco duro de la PC?
c. ¿Está actualizado el sistema operativo y las aplicaciones
como el Office con sus parches de seguridad en el caso de
Windows?
d. ¿Existen usuarios con permisos administrativos en la PC?.
En caso de ser positiva la respuesta describir los motivos.
e. ¿Esta definido el acceso de los usuarios de forma
independiente, de manera que se garantice la
confidencialidad, la integridad y la disponibilidad de la
información?.
Listado de posibles riesgos, amenazas y vulnerabilidades
que pudieran manifestarse:

1. Accesos no autorizados.
2. Modificación, supresión o publicación de la información almacenada.
3. Contaminación con código maligno.
4. Fallos de hardware.
5. Fallos de software.
6. Carencia de salvas de la información.
7. Fallas en la realización y continuidad de las salvas documentadas.
8. Insuficiencias en la seguridad para la custodia y almacenamiento de
las salvas d la información.
Listado de posibles riesgos, amenazas y vulnerabilidades
que pudieran manifestarse:
9. Fallas de energía eléctrica y carencias de respaldo o baja
disponibilidad técnica del mismo.
10.Error operacional.
11.Robo o hurto de los bienes informáticos y de la información.
12.Exposición, falta de canalización o soterramiento de las redes
informáticas y/o eléctricas.
13.Carencia o deficiencias de tierra física en los puntos de la red donde
se conecta el medio técnico.
14. Locales con carencias de alarmas o sistemas de protección contra
intrusos.
15.Carencias de extintores o de áreas contra incendios.
Listado de posibles riesgos, amenazas y vulnerabilidades
que pudieran manifestarse:

16. Falta de documentación técnica de sistemas y aplicaciones.

17.Locales con condiciones de seguridad insuficientes para la existencia
en ellos de medios técnicos.
18.No existe clave de acceso al setup de las PC.
19.Paneles eléctricos que pueden ser accedidos por personas ajenas a la
institución por estar en áreas desprotegidas.
20.Carencia o limitaciones en el control de acceso a los medios técnicos.
21.Carencia de barreras físicas para el acceso a la información.
22.Personal ajeno a la institución laborando en los bienes informáticos
23.Personal no capacitado laborando en los bienes informáticos
24.Desconocimiento por los usuarios de normas básicas de seguridad
informática.
Listado de posibles riesgos, amenazas y vulnerabilidades
que pudieran manifestarse:

25. Carencia de pistas para auditorías en servidores y en las PC de las

dependencias
26.Control deficiente en el registro de usuarios que utilizan los bienes
informáticos.
27.Falta de control de las incidencias ocurridas en los bienes informáticos.
28.Acceso y extracción de información por personal no autorizado por
carencia de barreras lógicas.
29.Suplantación de identidad.
30.Terremotos.
31.Atentados y/o sabotajes.
32.Cambios sin autorización de los escenarios utilizados en las PC.
Escala valorativa del riesgo de 0 (cero) a 10 (diez) según
la valía de la documentación que se custodia en la PC.

valor criterio
10 extremo daño extremadamente grave
9 muy alto daño muy grave
6-8 alto daño grave
3-5 medio daño importante
1-2 bajo daño menor
0 despreciable irrelevante a efectos prácticos
 El Plan de Seguridad Informática
es la expresión gráfica del Sistema de Seguridad Informática
diseñado y constituye el documento básico que establece
los principios organizativos y funcionales de la actividad de
Seguridad Informática en una Entidad y recoge claramente
las políticas de seguridad y las responsabilidades de cada
uno de los participantes en el proceso informático, así como
las medidas y procedimientos que permitan prevenir,
detectar y responder a las amenazas que gravitan sobre el
mismo.