Gestión Estratégica de Seguridad y

Ciberseguridad de la Información
Oscar Sierra L.
Seguridad de la Información
Menti.com

4982 6586

Seguridad
de la
Información

Triada
 Seguridad de la Información
Así lentamente se empieza a hablar de estos principios básicos
que afectan a la seguridad.

La Confidencialidad por primera vez se menciona en una

publicación a cargo de la Fuerza Aérea de Estados Unidos en Integridad
1976.
Seguridad
de la
La idea de la integridad se expuso en un artículo en 1987 que Información

reconocía que la informática asociada a los negocios, tenia Confidencialidad Disponibilidad

necesidades específicas en torno a los registros contables, los
cuales requerían un enfoque de corrección de datos. Triada
El concepto de disponibilidad es mas difícil de precisar pero la
idea se comenzó a dicutir ampliamente a raíz del actuar de un
gusano informático (Morris) en 1988 la cual tuvo por
consecuencia una parte significativa de la entonces naciente
internet.
 Seguridad de la Información
Estas tres propiedades de seguridad de la información dependen
una de otra de la siguiente forma

Si no se tiene confidencialidad . . . entonces la probabilidad de que

se viole la integridad de la información aumenta potencialmente. Integridad
Dando pie a que una persona no autorizada pueda modificar la
Seguridad
información de la
Información

Si se modifica la integridad de los datos . . . entonces la información Confidencialidad Disponibilidad

o aplicaciones clave del negocio se verán afectados y no podrán dar
el servicio esperado, lo que llevaría a un impacto en la Triada
disponibilidad.

Y es así como la confidencialidad, integridad y disponibilidad se

convierten en un engrane importante para la seguridad de la
información, en donde si alguno de estos elementos falla la
consecuencia impacta a todos
¿Qué podría constituir una amenaza a la
disponibilidad de la información?
Amenazas - Disponibilidad
¿Qué podría constituir una amenaza a la integridad
de la información?
 Amenazas - Integridad
 Infección
Cuando un atacante inserta un virus, bomba lógica
o puerta trasera en un sistema, la integridad de este
está comprometida.

Estrictos sistemas de control de acceso, detección de

intrusiones y encriptado de información pueden
combatir estas amenazas.
 Amenazas - Integridad
 El troyano bancario Emotet fue identificado por primera vez por investigadores de seguridad en 2014.
Emotet fue diseñado originalmente como un malware bancario que intentaba colarse y robar
información confidencial y privada. En versiones posteriores del software se añadieron los servicios de
envío de spam y malware, incluidos otros troyanos bancarios.

 Emotet utiliza capacidades similares a las de un gusano para ayudar a su propagación a otros

ordenadores conectados. Esto ayuda a la distribución del malware.

 Es de característica polimórfico, lo que quiere decir que cada vez que se descarga, cambia su “forma”
de modo de no ser detectado por antivirus basado en firmas.

 Mantiene comunicación permanente con un comando de control que se encarga de “actualizarlo”,

dándole nuevas características como nuevos evasores y actuando como bomba lógica.
Amenazas - Integridad
Amenazas - Integridad
Integridad
¿Qué podría constituir una amenaza a la
confidencialidad de la información?
Amenazas - Confidencialidad
 Trabajo Grupal

1. Escoger una noticia en Chile o el mundo relacionada con el

principio de Confidencialidad, Integridad o Disponibilidad
(uno de ellos)

2. Explicar ante la clase por qué escogieron la noticia y cómo

se relaciona con el principio escogido

Exposición del grupo

30 minutos
Trabajo Grupal
 Confidencialidad
¿Cómo partirían en el manejo de la seguridad de la información en su empresa?

Usualmente la información procesada en la empresa tiene una relación directa con la misión y objetivos de ella.
Es decir… una compañía de seguros tendrá información relacionada con sus pólizas de seguros, asegurados,
siniestros etc.

Existen organizaciones donde la confidencialidad es el

máximo atributo que se quiere proteger…. De hecho el
concepto de confidencialidad surge de sistemas de
información militares.
A partir de 1983 se emiten unos libros llamados rainbow
series, componen una serie de estándares en el ámbito de
la seguridad informática. Uno especialmente importante
es el Orange book que definia niveles de clasificación para
evaluar la efectividad de los controles informáticos.
Sólo unos pocos tenían acceso a la información mas
clasificada.
Por otro lado, existen otras organizaciones donde su principal negocio
consiste en estar siempre disponibles, especialmente diseñador para
permitir el “vitrineo” virtual. Una caída prolongada de estas páginas
tiene un alto impacto mediático, aunque curiosamente no normativo.
Estas organizaciones tienen amplios equipos de personas trabajando por
la disponibilidad de los servicios y las posibilidades de actuar no están
concentradas en un pequeño grupo de personas.
Disminuye los cuellos de botella para resolver una indisponibilidad.
 Confidencialidad

Confidencialidad

Disponibilidad

Modelo Militar
 Confidencialidad

Disponibilidad

Confidencialidad

Modelo Retail
 CASO 1
La empresa “La Llave”, empresa dedicada a la elaboración de cerraduras de puertas para hogares y
oficinas, lo contrata para comenzar con el diseño de un programa de seguridad de la información. La
empresa invierte una gran cantidad de dinero en un departamento de diseño e innovación, pero no ha
podido lograr esta innovación, ya que al momento de lanzar un nuevo producto, la empresa de la
competencia “El Candado” siempre saca el mismo producto o mejor.

El programa tiene un presupuesto de $10.000.000 para implementar este programa en el primer año.
Elija 3 iniciativas que incluiría, en qué orden y por qué.

1.Actualización del sitio web de la compañía que promociona los servicios de la empresa- 2 mil.
2.Contratar un análisis de vulnerabilidades al sitio de la compañía – 3 mil.
3.Levantamiento de los activos de información de la compañía – 2 mil.
4.Programa de concientización de cuidados de seguridad en los empleados – 1 mil.
5.Instalación de cámaras de seguridad en el perímetro de la empresa – 2 mil.
6.Preparar un evento de presentación sobre los riesgos de seguridad a los dueños de la empresa – 3
mil.
7.Actualizar el sistema contable de la empresa que es anticuado y con muchos problemas – 3 mil.
8.Implementar un sistema de investigación de datos personales en los empleados. 3 mil.
9.Definir una políticas de seguridad de la información. 2 mil.
10 minutos
Dirección IP

Para que una carta llegue a su destinatario, tiene que llevar la dirección exacta:
-Calle,
-Número,
-Ciudad,
-Código postal y
-País.

Esta es la única forma de que el personal de correos sepa adónde enviarla.

Lo mismo ocurre en internet: cada dispositivo dentro de una red interna o externa
necesita un “número de puerta” concreto para poder comunicarse con otros
dispositivos y recibir de ellos información (paquetes de datos).
Dirección IP
La internet protocol address, es decir, la dirección IP o simplemente IP, se
basa en el protocolo de Internet (IP ; internet protocol), que es, además, la
base del funcionamiento de Internet.

Se trata de la dirección inequívoca de un dispositivo (por ejemplo, de un

computador, de un servidor web o de una impresora) en una red interna o
externa.

Una dirección IP puede referirse también a un conjunto de dispositivos,

como en el caso del broadcasting o del multicasting. Del mismo modo, a un
único ordenador pueden asignársele varias direcciones IP.

Lo que es seguro es que cada dirección IP de una red solo puede asignarse

una vez al mismo tiempo.
Dirección IP
Actualmente se usa versión 4 del protocolo de internet (abreviadas como IPv4). Están formadas por 32
bits.

Con IPv4 se pueden representar un total de unos 43 000 millones de direcciones diferentes.

Se trata de muchas menos direcciones que dispositivos en el mundo (y muchas de ellas están reservadas
para usos especiales) pero, puesto que nunca se necesitan todas a la vez, y ya que algunas solo se usan en
redes privadas, hasta ahora han sido más que suficientes.
Dirección IP
Sin embargo y especialmente por la internet de las cosas, esta situación no tardará en
cambiar: puesto que cada vez más dispositivos se conectan a Internet y gran parte de
ellos necesita una dirección IP, la capacidad de IPv4 de asignar direcciones se vuelve
poco a poco insuficiente.

Por este motivo se introdujo IPv6 como su sucesor directo, con la cual se pueden

generar unos 340 sextillones (una cifra de 37 ceros) de direcciones: una fuente casi
inagotable para todas las necesidades futuras en materia de IP.

Las direcciones de esta versión se componen de 128 bits de modo que deberían
escribirse como un código binario de 128 cifras. Una cifra así sería demasiado larga y
poco práctica, de manera que se recurre a una escritura hexadecimal que separa los 128
bits en 8 bloques de 16 bits separados entre ellos por dos puntos.

De este modo se obtiene, por ejemplo, la dirección

Ipv6 0000:0000:0000:0000:0000:ffff:c0a8:b21f, en la cual las letras de la “a” a la “f”
también se refieren a cifras hexadecimales
 Dirección IP

La principal función de un router es la de unir

redes. Las hay de dos tipos:

Router de acceso: Utilizadas para unir dos redes.

Ej la red de internet de un proveedor de servicios,
con la red interna del cliente.

Router de distribución: Están conectadas a varias

redes y tienen el papel de enrutar o guiar en el
camino a encontrar un elemento de la red.
 Dirección IP
Pero ¿Quién le asigna las IP a los equipos que quieren conectarse a un red?

Servidor DCHP (protocolo de configuración dinámica de host) es un “dador de IPs” a los dispositivos que
se quieren conectar a una red.

Estas IP’s pueden ser predefinidas o dadas en forma automática.

Dirección IP
http://192.168.1.1/
Dirección IP
https://ipgeolocation.io/

- Cuál es mi IP con la que estoy saliendo al mundo

- Chile tiene un total de10,409,875 direcciones IP asignadas

Dirección IP
https://www.dnsblchile.org/dulCL.html
192.120.120.120 192.120.120.120
Dinámica
 http:\\192.120.120.120\index.asp\

192.120.120.120
Fija
 http:\\misitiobonito.cl\index.asp\

192.120.120.120
Fija

192.120.120.120 = misitiobonito
 http:\\misitiobonito.cl\index.asp\

Fija 192.120.120.120
192.120.120.120 = misitiobonito
¿Puedo cambiar mi dirección IP?
https://www.pandora.com/
 Caso 2
La zapatería “El buen calzado” se ha ganado un prestigio produciendo calzado artesanal de excelente
calidad y variados diseños. Debido a la pandemia de Covid, no pudo vender la cantidad de zapatos en la
temporada Verano por lo que tiene exceso de stock.

Está pensando ofrecer sus servicios en el próximo Black Friday (24 horas) que se acerca en 30 días.

Para ello posee un sitio web, diseñado por el hijo del dueño (aventajado alumno de informática) que se
encuentra alojado (el sitio web) en el PC de última generación que tiene el hijo en la empresa.

El dueño posee un presupuesto de $10,000,000 que piensa utilizar en este proyecto.

Le encarga su asesoría (gratis) para que lo oriente en donde poder invertir ese dinero de la mejor manera
con 3 de las siguientes iniciativas.

•Renovar el sitio web de la zapatería. (5 mil)

•Reforzar la seguridad del actual sitio web. (3 mil)
•Comprar un nuevo PC (5 mil)
•Mejorar la conexión a internet. (1 mil)
•Pagarle a alguien que esté las 24 horas del Black Friday vigilando el sitio (1 mil)
•Comprar un servidor y traspasar el sitio desde el PC al servidor (8 mil)
•Contratar un servicio de hosting de una empresa y montar allí su sitio web (9 mil)
 Caso 3
Dados los elementos de la triada, podemos comenzar a debatir distintos problemas de
seguridad y sus implicancias.

CASO 1
•Pensemos que nuestra empresa ha pensado trasladar las cintas de respaldo de nuestro
sistema estratégico, a una localidad segura en las afueras de la ciudad. Para ello ha
contratado una prestigiosa empresa, en cuyos camiones se transportan las únicas copias de
nuestras cintas de respaldo y para facilitar la lectura no se encuentran encriptadas.
¿Qué pasa si el camión tiene un accidente y se
incendia?

¿Qué pasa si lo asaltan y las cintas son robadas?

¿Qué pasa si lo asaltan y las cintas son robadas, pero las

recuperas?
AMENAZAS
¿Qué podría pasar de malo? – Amenazas actuales

Término mas bien genérico para referirse a cualquier

software dañino que actúa sin el consentimiento de la
persona.

Se trata de códigos diseñados por ciberdelincuentes que

tienen por objeto alterar el normal funcionamiento del
ordenador, sin el permiso o el conocimiento del usuario.
Este tipo de virus pueden destruir archivos del disco
duro o corromper los archivos que tenemos albergados
Malware con datos inválidos..
¿Qué podría pasar de malo? – Amenazas actuales

Spyware
¿Qué podría pasar de malo? – Amenazas actuales
Este malware es un programa que se instala en el ordenador
y recopila la información del usuario, como números
de tarjetas de crédito, datos de formularios o direcciones de
correo electrónico.

Su principal objetivo, pasar desapercibido.

Spyware Puede robar información personal que se puede utilizar para el robo de identidades.
(historial de navegación, las cuentas de correo electrónico, las contraseñas guardadas
utilizadas para operaciones bancarias y compras online, además de para las redes sociales,
se puede recopilar información más que necesaria para crear un perfil que imite tu
identidad. Además, si has visitado sitios de banca online, el spyware puede sustraer la
información de tu cuenta bancaria o de tus tarjetas de crédito y venderla a terceros o usarla
directamente.
¿Qué podría pasar de malo? – Amenazas actuales
Este malware es un programa que se instala en el ordenador
y recopila la información del usuario, como números
de tarjetas de crédito, datos de formularios o direcciones de
correo electrónico.

Su principal objetivo, pasar desapercibido.

Spyware El spyware puede consumir una gran cantidad de recursos del ordenador, lo que
provoca que se ejecute lentamente, retrasos entre aplicaciones o mientras está online, fallos
o bloqueos frecuentes del sistema e incluso una sobrecarga del ordenador que causa daños
permanentes. También puede manipular los resultados del motor de búsqueda y entregar
sitios web no deseados en su navegador, lo que puede llevar a sitios web potencialmente
peligrosos o fraudulentos. También puede hacer que tu página de inicio cambie e incluso
puede modificar la configuración del ordenado.
¿Qué podría pasar de malo? – Amenazas actuales

Adware
¿Qué podría pasar de malo? – Amenazas actuales
Es aquel software que ofrece publicidad no deseada o
engañosa. Estos anuncios pueden aparecer en el
navegador con pop-ups o ventanas con gran contenido
visual, e incluso audios. Estos anuncios se reproducen
de manera automática con el fin de generar ganancias
económicas a los creadores.

Adware
¿Qué podría pasar de malo? – Amenazas actuales

Gusano
¿Qué podría pasar de malo? – Amenazas actuales
La diferencia fundamental entre un gusano y un virus es la
forma en la que aquel propaga copias de sí mismo a
máquinas no infectadas. Si desea una definición de gusano
informático, piense en los gusanos como malware
autosuficiente capaz de ejecutarse y proliferar sin la
interacción del usuario. Ni siquiera tiene que estar usando su
equipo para que el gusano se active, se replique y se
propague. Una vez que el gusano ha llegado a su equipo,
puede comenzar a propagarse inmediatamente.

Gusano
¿Qué podría pasar de malo? – Amenazas actuales

Troyano
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.

Troyano • Troyano de puerta trasera: estos troyanos pueden crear una “puerta trasera” en el equipo
de un usuario, lo cual permite al atacante acceder al equipo a fin de controlarlo, cargar
datos robados e, incluso, descargar más software malicioso en el equipo.
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.

Troyano • Troyano de descarga: el principal objetivo de estos troyanos es descargar contenido

adicional en el equipo infectado, por ejemplo, más software malicioso.

• Troyano Infostealer: el principal objetivo de este troyano es robar información del equipo
infectado.
¿Qué podría pasar de malo? – Amenazas actuales
Un troyano oculta software malicioso dentro de un
archivo que parece normal. Hay una gran cantidad de
virus troyanos en Internet que pueden realizar
diversas tareas. La mayoría de los troyanos tienen
como objetivo controlar el equipo de un usuario, robar
datos e introducir más software malicioso en el equipo
de la víctima.

Troyano • Troyano de acceso remoto: este troyano está diseñado para brindar al atacante control
total sobre el equipo.

• Troyano de ataque de denegación de servicio distribuido (DDoS): este troyano ejecuta

ataques DDoS, los cuales saturan una red con tráfico para que deje de funcionar.
¿Qué podría pasar de malo? – Amenazas actuales

Ramsonware
¿Qué podría pasar de malo? – Amenazas actuales
Viene del ingles Ramson (rescate) y ware (diminutivo de
software).

Consiste en la encriptación de la información de un PC o

servidor, impidiendo su uso y solicitando para ello un
rescate en dinero….

Ramsonware
¿Qué podría pasar de malo? – Amenazas actuales
¿Qué podría pasar de malo? – Amenazas actuales
Técnicas de ataque
¿Qué podría pasar de malo? – Amenazas actuales

Phishing
¿Qué podría pasar de malo? – Amenazas actuales
Phishing es el delito de engañar a las personas para que
compartan información confidencial como contraseñas y
números de tarjetas de crédito.

Las víctimas reciben un mensaje de correo electrónico o un

mensaje de texto que imita (o “suplanta su identidad”) a una
persona u organización de confianza, como un compañero de
trabajo, un banco o una oficina gubernamental.

Phishing
http://prixa.tech/index_original.php/
http://prixa.tech/index_original.php/
¿Qué podría pasar de malo? – Amenazas actuales

Smishing
¿Qué podría pasar de malo? – Amenazas actuales

Smishing
Smishing es la combinación de las palabras SMS y
phishing, es el intento de fraude para obtener información
personal, financier o de seguridad a través de un mensaje
de texto.
¿Qué podría pasar de malo? – Amenazas actuales

Dumpster Diving
¿Qué podría pasar de malo? – Amenazas actuales

Dumpster Diving
Es el robo de información confidencial a través de la basura. Empresas eliminan información de rut
de clientes, lista de anexos telefónicos con cargos.
¿Qué podría pasar de malo? – Amenazas actuales

Whaling
¿Qué podría pasar de malo? – Amenazas actuales
Los objetivos del "cyberwhaling" son en su mayoría ejecutivos,
preferiblemente de alto nivel, como directores ejecutivos,
directores financieros y otros tomadores de decisiones de alto
nivel, personas responsables del manejo de datos y finanzas
corporativas.

Estos ataques pueden engañar a las víctimas porque los

atacantes están dispuestos a pasar más tiempo y esfuerzo
construyéndolos debido a sus rendimientos potencialmente
altos. Los atacantes a menudo usan las redes sociales, como
Facebook, Twitter y LinkedIn, para recopilar información
personal sobre su víctima y hacer que el ataque de phishing sea
Whaling más creíble.

Estimado Sr. Sierra ……

¿Qué podría pasar de malo? – Amenazas actuales

SQL Injection
¿Qué podría pasar de malo? – Amenazas actuales

Grandes bases de datos relacionales, utilizan un consenso

de lenguaje llamado SQL (structure query languaje). SQL
Server, Oracle, PlsQL, etc.

SQL Injection
¿Qué podría pasar de malo? – Amenazas actuales

DoS - Ddos
¿Qué podría pasar de malo? – Amenazas actuales
Denial of Service – Denial of Service Distributed.

DoS - Ddos
En el primer caso, es la invocación de miles de peticiones
de servicio a un servidor en milisegundos. Pero viene
desde una IP especifica.

En la distribuida, son múltiples máquinas que atacan al

mismo tiempo.
Video de Ingeniería Social
¿Qué podría pasar de malo? – Amenazas actuales
Botnet
Los administradores de la botnet infiltran un malware llamado bot (abreviatura de "robot") en los PC de
otras personas.

Este malware opera en segundo plano sin que el propietario del PC note nada, ya que mantiene un perfil
bajo.

Los botmasters manipulan el ordenador para sus propios fines. Dado que los ordenadores se controlan
de forma remota y, por tanto, actúan "involuntariamente", partes de la red de bots también se conocen
como "ordenadores zombis".

https://youtu.be/R0mpnaR_B8g
Amenazas actuales

No Tecnológicas / No Tecnológicas

Casuales / Provocadas

Desgobierno

https://youtu.be/R0mpnaR_B8g
¿Qué hacer?
¿Qué hacer?
Dado que los recursos son siempre escasos y las necesidades ilimitadas, debemos focalizar cuál es el
foco de la ciberseguridad.

Separar lo importante de lo que no lo es tanto (en materia de ciberseguridad)

¿Qué hacer?
El activo es el “envase” que contiene la información y será tan o poco importante según sea tan o
poco importante la información que contiene.
¿Qué hacer?
En qué nos podemos apoyar para definir la “importancia” de la
información?
¿Qué hacer?
En qué nos podemos apoyar para definir la “importancia” de la
información?
Clasificación de la Información

• Inventario de Activos • Tratamiento de la Información

• Limitar acceso
• Criterios de Clasificación • Cifrar la información
• Confidencial • Copias de seguridad
• Restringido • Otras
• Uso interno
• Público
ISO 27001 – ISO 27002
• Clasificar cada activo
 Ciberseguridad
SEGURIDAD DE LA INFORMACIÓN
¿Existe algún método para asegurar la información?
Un método debería considerar…
En nuestra tarea de gestionar la seguridad de la
información en nuestra empresa se consideran estos
elementos como imprescindibles:

El compromiso de la alta gerencia

En una implementación ideal, la alta dirección , los dueños
debe ser los mas comprometidos en la importancia de
proteger la información. Temas a resolver el lenguaje.

El arreglo de controversias, solicitud de financiamiento es

mas fácil con el convencimiento de los dueños, deberes de
cada empleado, política de consecuencias.
Un método debería considerar…
La administración debe entender los
problemas asociados al manejo de la
información
Entender la importancia de análisis de riesgo TI antes de la
implementación de nuevos productos o servicios.

Los responsables de la seguridad deben hablar el lenguaje del

negocio.

Cualquier programa de concientización en seguridad debe empezar

con el nivel ejecutivo y así a toda la organización.
Primeros bosquejos
Planificar la seguridad de la información
en la implementación de nuevas
tecnologías.
La incorporación de nuevas tecnologías, sin un análisis previo del
impacto en la seguridad de la información, puede llevar a controles
inapropiados, daños en los datos, errores en el procesamiento que
afecten la integridad y riesgos adicionales a los originales.

Definir políticas y estándares que aseguren una revisión y autorización

formal a los cambios antes de ser implementados. Definir
claramente las excepciones y su tratamiento

Trabajo conjunto entre la administración de seguridad y auditoria para

asegurar el cumplimiento de estos estándares.
Un método debería considerar…
Integración entre negocio y seguridad de
la información.
Nunca un control debe ser mas costoso que lo que se protege. Este
equilibrio lo da el dialogo entre el negocio y seguridad.

La alta dirección debe asegurar un continuo intercambio entre

responsables de seguridad y el negocio para lograr acuerdos
mutuos.

La alta dirección debe asegurarse que la estrategia empresarial sea

conocida y comprendida por todos especialmente áreas de TI y
seguridad.

El cumplimiento de seguridad de la información con las leyes y

normas debe ser monitoreado.
Un método debería considerar…
Alineamiento de seguridad de la
información con los objetivos de la
organización.
La seguridad de la información no es responsabilidad de los seguritos.
Esto requiere un cambio cultural que debe ser guiado desde lo alto.

Cada línea de negocio debe adueñarse de la información y ellos definir

los requerimientos de confidencialidad, integridad y disponibilidad.
La importancia de una guía
Marco Teórico
Marco Teórico
Marco Teórico
COBIT
COBIT es una metodología reconocida mundialmente para el control de proyectos de tecnología, de
información y riesgos.

El objetivo principal de COBIT es la investigación, el desarrollo y la promoción de un marco de control

de gobierno TI actualizado y aceptado a nivel mundial, para que las empresas adopten sus beneficios y
sea utilizado por la alta gerencia del negocio, profesionales de TI y expertos en seguridad informática.

www.isaca.org
Marco Teórico
COBIT
Marco Teórico
ITIL
Information Technology Infraestructure Library (ITIL), es una metodología que se basa en la calidad de
servicio y el desarrollo eficaz y eficiente de los procesos que cubren las actividades más importantes de las
organizaciones en sus Sistemas de Información y Tecnologías de Información. Esta metodología fue
desarrollada a petición del Gobierno del Reino Unido a finales de los 80 y recoge las mejores prácticas en
la gestión de los Sistemas de Información. Desde entonces se ha ido extendiendo su uso en toda la
empresa privada, tanto multinacional como PYME, llegando a ser considerado un estándar de facto para la
gestión de esta área de la empresa
Marco Teórico
ITIL
Marco Teórico de la Ciberseguridad
NIST
El Instituto Nacional de Normas y Tecnología (NIST), una agencia perteneciente al Departamento de
Comercio de los Estados Unidos, desarrolló este marco voluntario de manera coherente con su misión de
promover la innovación y la competitividad en el país. El Cybersecurity Framework de NIST utiliza un
lenguaje común para guiar a las compañías de todos los tamaños a gestionar y reducir los riesgos de
ciberseguridad y proteger su información
Marco Teórico de la Ciberseguridad
NIST
Marco Teórico de la Ciberseguridad
NIST
Marco Teórico de la Ciberseguridad
FFIEC – Cybersecurity Assessment Tool
El Consejo Federal de Examinación de las Instituciones Financieras (FFIEC por sus siglas en inglés) es un órgano
interinstitucional del gobierno de los Estados Unidos que incluye cinco agencias reguladoras de la banca. En Junio de
2015, el FFIEC publicó una herramienta llamada “Cybersecurity Assessment Tool” (CAT por sus siglas en ingles) que
permite a instituciones financieras planificar y adoptar un enfoque rentable, no intrusivo, escalable, y sostenible a
largo plazo, para mitigar los riesgos cibernéticos. La herramienta CAT se basa en reconocidos marcos de tecnología y
de seguridad cibernética, tales como los manuales de tecnología del FFIEC y el Instituto Nacional de Estándares y
Tecnología (NIST por sus siglas en ingles), sin embargo, el CAT es mucho más amplio y está dirigido especialmente a
instituciones financieras. La evaluación consta de dos partes:

Definición del perfil de riesgo de la institución

Definición del grado de madurez en el control
Marco Teórico de la Ciberseguridad
FFIEC – Cybersecurity Assessment Tool
Marco Teórico
Normas ISO

1906 1928 II G.M. 1946 1947

ICE (international ISA (International United Nations International
Electrotechnical Federation of the Standards Organization for
Commision) National Standarizing Coordinating Standardization
EEUU Association) Committee (UNSCC) (Ginebra - Suiza)
EEUU - New York Londres

1951
Marco Teórico
Normas ISO
https://youtu.be/Tit3mCFBo2M

ISO 27001
¿Sistema de Gestión de Seguridad de la Información?
Sistema de Gestión de Seguridad de la Información (SGSI)

Un Sistema de gestión de seguridad de la información (SGSI) es, básicamente,

un conjunto de políticas de administración de la información. Para entender
más a profundidad en qué consiste un SGSI debemos partir de la definición
dada por el estándar internacional ISO/IEC 27000

“Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los

recursos y actividades asociados que son administrados colectivamente por una
organización, en la búsqueda de proteger sus activos de información esenciales”
Sistema de Gestión de Seguridad de la Información (SGSI)

¿Qué es un activo de información?

Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una organización valora y
por lo tanto debe proteger”.

La protección de estos activos está destinada a preservar la confidencialidad, la integridad y la disponibilidad

de la información
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
1. Apoyo Alta Dirección

Debido a que el Sistema de Gestión de Seguridad de la Información afecta a la gestión del

negocio, requiere que todas las acciones futuras y las decisiones que se tomen sólo 
puedan ser desarrolladas por la alta dirección de la organización.

Es un error común que el SGSI sea considerado una cuestión meramente tecnológica o
técnica de los niveles operativos de la empresa
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
1. Apoyo Alta Dirección

El compromiso de la alta dirección en la implementación, establecimiento, operación,

monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad
de la Información se evidencia con las siguientes iniciativas:

• Desarrollar una política de seguridad de la información.

• Garantizar el cumplimiento de planes y objetivos del Sistema de Gestión de Seguridad de la Información.
• Constituir roles y responsabilidades de seguridad de la información.
• Informar a la empresa la importancia de alcanzar los objetivos de seguridad de la información y de cumplir
con la política de seguridad.
• Designar todos los recursos necesarios para llevar a cabo el SGSI.
• Determinar todos los criterios de aceptación de riesgos y sus correspondientes niveles.
• Asignar los recursos suficientes para todas las fases del SGSI.
• Garantizar que se realizan todas las auditorías internas.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
2. Alcance del SGSI

El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la
ubicación de los activos críticos de información de la organización (por ejemplo: unidades,
ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo:
leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por
organismos centrales).

También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe
hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos
los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la
seguridad de la información.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
3. Inventario de Activos

Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos
los activos de información importantes de la organización.

Para realizar este inventario se recomienda hacer una clasificación. Una clasificación recomendada por
expertos es la siguiente.

Datos Digitales Sistemas Operativos

•Bases de datos •Servidores
•Unidades lógicas •Dispositivos de red
•Copias de seguridad •Dispositivos de mano e incrustados
Software de Aplicación Activos Físicos
•Propietario desarrollo por la organización •Edificios
•Herramientas de bases de datos •Centros de datos
•Aplicaciones de comercio electrónico •Habitaciones de equipos y servidores
•Middleware
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
4. Evaluación de Riesgos

Este proceso debe ser estructurado y repetible, es decir, un procedimiento documentado de evaluación de
riesgos que explique cómo se identifican, analizan (por ejemplo en base a posibles consecuencias y
probabilidades de ocurrencia), evalúan (por ejemplo aplicando criterios específicos para la aceptación del
riesgo) y priorizan los riesgos relacionados con los activos de información más relevantes del alcance (por
ejemplo en atención a niveles de riesgo definidos).

Las revisiones y las actualizaciones periódicas, o por cambios sustanciales que afronta la organización, son
requeridas para evidenciar los cambios en los riesgos antes de que se produzcan y así mantener un enfoque
preventivo y de anticipación en acciones mitigadoras o de control.

El análisis de riesgo informático es un proceso relevante y es crucial su implementación para poder tener una
perspectiva preventiva y no reactiva.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
5. Evaluación Y Declaración de Aplicabilidad

Una vez evaluados los riesgos, se debe hacer una verificación para determinar cuáles de los controles
recomendados en ISO/IEC 27001 están siendo aplicados o deben aplicarse en la organización.

Para esto se puede hacer una referencia cruzada directa con la guía de implementación ISO/IEC 27002 y con
cualquier otra fuente alternativa o suplementaria de información.
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
6. Tratamiento de los Riesgos

En este punto estamos preparados para definir la política de tratamiento de los riesgos en función de la
probabilidad de que las amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información.

Esta definición debe alinearse con la disponibilidad, confidencialidad e integridad del mismo y con la política
definida por la dirección. En este punto, se seleccionan las acciones adecuadas para cada riesgo, las cuales
irán orientados a:
• Asumir el riesgo: se trata de no hacer nada. Simplemente, sabemos que no tenemos cómo evitarlo y
debemos convivir con él. Las organizaciones deciden aceptar un riesgo cuando la probabilidad de que ocurra
es muy baja.
• Reducir el riesgo: Se usa cuando eliminar completamente el riesgo resulta mucho más costoso que asumir
las consecuencias negativas de que este llegara a materializarse.
• Eliminar el riesgo: Se implementan las acciones para hacer que las condiciones o los factores que pueden
generar el riesgo desaparezcan y con ellos el riesgo. Esta es una opción para aquellos casos de alta
probabilidad de ocurrencia, con un muy alto impacto negativo.
• Transferir el riesgo: Significa que pasamos el problema a alguien más. La forma más usual de transferir un
riesgo es contratar una póliza de seguros que indemnice a la organización en caso de que se presente el
problema
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
6. Tratamiento de los Riesgos
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
7. Implementación

El programa de implementación del SGSI se basa en la política y los objetivos definidos.

Este programa debe determinar qué se realizará, con qué recursos, quién es el responsable, cuándo se
debe completar y cómo se evaluarán los resultados. También debe determinar la manera de identificar e
implementar posibles mejoras de acuerdo con los resultados.

8. Administración

Durante esta etapa, se hace seguimiento al cumplimiento de los objetivos de seguridad de la información
establecidos. Este seguimiento se realiza mediante el seguimiento a las métricas relevantes y al cumplimiento
de las pautas de seguridad de la información. Las métricas relevantes para tener en cuenta son: 

•Cobertura de activos de información en el SGSI

•Tratamiento de eventos relacionados en marco de seguridad y privacidad de la información
•Plan de sensibilización
•Cumplimiento de políticas de seguridad de información en la entidad
Sistema de Gestión de Seguridad de la Información (SGSI)
Ruta de implementación
9. Auditorias Internas

La auditoría interna es un proceso sistemático, independiente y documentado realizado por la propia

organización, o en su nombre, para obtener evidencias y evaluarlas de manera objetiva con el fin de
determinar en qué grado se cumplen los criterios de auditoría.

Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones
de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
Sistema de Gestión de Seguridad de la Información (SGSI)
Sectores mas interesados en la implementación
9. Auditorias Internas

La auditoría interna es un proceso sistemático, independiente y documentado realizado por la propia

organización, o en su nombre, para obtener evidencias y evaluarlas de manera objetiva con el fin de
determinar en qué grado se cumplen los criterios de auditoría.

Se debe contar con una programación de las auditorías con base en calendarios, presupuestos y asignaciones
de días de trabajo del auditor, alcances de cada auditoría y archivos de documentos de trabajo
 ¡Gracias!

www.isubercaseaux.cl