¿Seguridad Informática?

¿Seguridad de la información?
Un punto de vista desde el área de la gestión

Sergio Andrés Rueda Durán

Ingeniero de Sistemas
Maestría en ingeniería en seguridad y tecnologías
de la información
Agenda:

1. Objetivo de la Seguridad
2. Conceptos Básicos
3. Datos VS Información
4. Seguridad Informática y Seguridad de la Información
5. Etapas de la gestión de la seguridad
6.1 Sistemas de información en las organizaciones
6.2 Requerimientos Generales y de Seguridad
6.3 Objetivos de la administración de seguridad
6.4 Gestión de la seguridad
8. Análisis de riesgos
9. Políticas de seguridad
Objetivos de la Seguridad

Según la ISO 27002, “La seguridad de la información se puede

caracterizar por la preservación de:
• Confidencialidad
• Integridad
• Disponibilidad

Según el glosario de INFOSEC “Seguridad informática son las

medidas y controles que aseguran la confidencialidad,
integridad y disponibilidad de los activos de los sistemas de
información, incluyendo hardware, software, firmware y
aquella información que procesan, almacenan y comunican”.
Objetivos de la Seguridad

Integridad: Es la capacidad de garantizar que la información y componentes de

un sistema se mantengan inalterados y/o modificados por usuarios sin
autorización. Se debe preservar desde el momento de su creación e incluso en
el momento de la transmisión. La información debe ser válida y consistente.

Disponibilidad: Se refiere al acceso confiable en tiempo y forma de los sistemas

de información y sus componentes por los usuarios autorizados. Se debe contar
con una disposición permanente de acceso a los servicios. En este apartado se
debe tener en cuenta la recuperación en caso de incidentes, desastres y
cualquier evento que interrumpa la operabilidad.

Confidencialidad: Consiste en la capacidad de garantizar que la información,

componentes de un sistema y la transmisión por canales de red interna o
externa, solamente va a estar disponible para los usuarios que estén
autorizados a acceder, es decir, si personas o equipos ajenos logran tener un
acceso, no sea posible acceder a la información y/o interpretación de la
misma.
Objetivos de la Seguridad

No repudio: Se centra por medio de mecanismos garantizar la participación

de las partes en una comunicación. De esta manera, el usuario que realiza la
creación y envío no pueda negarlo y de igual manera para su destinatario.
No repudio de envío: Garantiza que la persona que envía el mensaje no
pueda negar que es el emisor del mismo.
No repudio en destino: El receptor no puede negar que recibió el mensaje.
Conceptos Básicos

¿Qué es una amenaza?

¿Qué es una vulnerabilidad?
¿Qué es un riesgo?
Conceptos Básicos

Amenaza: Algo que puede causar daño.

Vulnerabilidad: Debilidad, falla
Riesgo: Probabilidad de que una
amenaza aproveche una vulnerabilidad.

“Las vulnerabilidades se pueden tratar de eliminar, las amenazas no”.

Dr. Jesús Vásquez
Conceptos Básicos

Control o mecanismo: Medida de protección (técnica o

normativa) de los activos informáticos.

Activo informático: Elemento que puede ser un conjunto

de datos, información, sistema, software, hardware,
proceso o cualquier elemento de tecnología de
información.

Política de seguridad: Descripción bajo forma de reglas, en

la que se incluyan las propiedades de confidencialidad,
integridad y disponibilidad, en la medida requerida por
una organización.
Datos VS Información

¿Es lo mismo datos e

información?
Datos VS Información
A pesar que generalmente, los términos datos e información se usan para
describir lo mismo, para el profesional en tecnologías de información éstos
términos significan diferentes cosas [1].
Datos es un término que se refiere a hechos, eventos, transacciones, etc.,
que has sido registrados. Es la entrada sin procesar de la cual se produce la
información.
Información se refiere a los datos que han sido procesados y comunicados
de tal manera que pueden ser entendidos e interpretados por el receptor.

[1] Lucey, Terry, “Management Information Systems.”, Novena Edición,

Editorial Thomson Learning, Croacia 2005. ISBN: 978-1-84480-126-8
Seguridad informática y seguridad de la
información

¿Seguridad Informática o Seguridad de

la Información?
Seguridad informática y seguridad de la
información

Seguridad Informática:
La mayoría de los “especialistas en seguridad” basan sus conocimientos y
experticia solamente en el aspecto técnico tradicional de la seguridad, es decir
del área de TI, aunque algunos consideran las comunicaciones y hoy en día de
habla de TIC.
Pero además del enfoque básicamente técnico, dichos especialistas en realidad
sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la
forma de ataques, todo lo cual no es suficiente para hablar de los riesgos
correspondientes.
Hasta este momento se considera la seguridad informática como una buena
traducción de information security, pero el sentido que se le ha venido dando hoy
en día va encaminado más hacia “computer security” o “network security”.
Seguridad informática y seguridad de la
información

Seguridad de la Información:
Últimamente se viene dando el cambio a seguridad de la información como
traducción más adecuada de information security. Pero muchos especialistas aún
llaman así al aspecto considerado como seguridad informática.
En realidad la seguridad de la información es bastante más amplia, ya que no es
simplemente una cuestión técnica sino responsabilidad de la alta gerencia y
cuadros directivos de una organización.
Ahora se trata, entre otras cosas, de considerar también la gente, los procesos y
funciones de negocio, la protección de todos los activos. Donde toda la empresa es
la impulsora, propietaria y beneficiaria de la seguridad de la información, en un
marco de responsabilidades compartidas.
Seguridad informática y seguridad de la
información
La extensión del concepto usual de Seguridad Informática al de Seguridad de la Información, implica una
visión más amplia de un marco de riesgos de negocios respecto de la perspectiva tradicional de seguridad
técnica, basada principalmente en vulnerabilidades.

Por un lado, en el contexto de la seguridad de la

información los riesgos de negocios incluyen no sólo
las vulnerabilidades y un aspecto de las amenazas,
sino el conjunto de los factores que determinan tales
riesgos: activos, vulnerabilidades y amenazas.

Por otra parte, los riesgos de negocio que se

consideran incluyen los riesgos organizacionales,
operacionales, físicos y de sistemas TIC.
Seguridad informática y seguridad de la
información

• Infraestructura tecnológica
Seguridad
informática

• Procesos
• Recursos Humanos
Seguridad de
la información • Infraestructura tecnológica
Seguridad informática y seguridad de la
información

Los recursos necesarios para mitigar los riesgos

dentro de un plan de seguridad, no se deben
contemplar como un gasto sino como una
inversión.
Etapas de la gestión de seguridad

• Sistemas de información en las organizaciones

• Requerimientos Generales y de Seguridad
• Objetivos de la administración de seguridad
• Gestión de la seguridad
Sistemas de información en las organizaciones

• Las tecnologías de la información se han

convertido en elementos fundamentales en la
operación cotidiana de las organizaciones.
• Garantizar la continuidad de esta operación, el
buen manejo de la información procesada, y la
privacidad de datos estratégicos o personales,
son los principales objetivos de la información.
Sistemas de información en las organizaciones

Para el logro de lo anteriormente descrito, se deben adoptar medidas de

diferentes tipos:
• Preventivas: Que buscan establecer la protección con base a estimar
los eventos adversos que pudieran ocurrir.
• Operativas: Que controlan el uso cotidiano de los recursos
informáticos.
• Detectivas: Que permiten detectar la ocurrencia de un evento y,
dependiendo del impacto, notificar para aplicar medidas reactivas.
• Reactivas: Que permiten recuperar la operación en el menor tiempo
posible, o conforme a los acuerdos de servicio al ocurrir un evento
adverso.
• De garantía: Que permiten validar la efectividad de los tipos
anteriores.
Sistemas de información en las organizaciones

La decisión respecto a qué medidas adoptar entre los

cinco tipos depende de estatutos y procesos bien
definidos, entre otros:
• Misión de la Organización
• Misión de seguridad de la organización
• Análisis de riesgo e impacto al negocio
• Políticas y procedimientos de seguridad
• Planes de continuidad de Negocio
• Estándares
• Normatividad interna o externa
Sistemas de información en las organizaciones

• Para que estos procesos se realicen de forma

oportuna y ordenada es necesario establecer un
gobierno de los mismos; es decir un esquema de
gestión de las medidas o controles definidos.
• La forma de gestionar estos controles en una
organización debe ser consistente con la misión
de la misma.
• Las políticas de seguridad son la base para
formalizar esta gestión.
Sistemas de información en las organizaciones

De esta forma, existirán políticas que regulen los

procesos que cuentan con controles de
seguridad.
Entre los factores de éxito, es fundamental
contar con el recurso humano especializado que
requieren las diferentes áreas de seguridad.
Sistemas de información en las organizaciones

¿Qué es un Sistema de Información?

Sistemas de información en las organizaciones

Sistema de Información:
• Es un conjunto de recursos de información
organizados para la recolección,
procesamiento, mantenimiento, uso,
diseminación o destrucción de la
información [NIST].
• En un SdI intervienen personas, datos
(recursos) y actividades.

NIST: Instituto Nacional de Normas y Tecnología

Sistemas de información en las organizaciones

En un SdI, la información es un dato que ha sido

procesado en una forma significativa para el
receptor (que le da sentido y permite lograr
alguno de los objetivos de la organización) y
supone un valor para la organización. Este valor se
puede percibir de inmediato o, más adelante, en
las acciones que se deriven del conocimiento de la
información manejada.
Sistemas de información en las organizaciones

Tipos de SdI:
• Transaccionales: Sistemas que permiten
automatizar procesos operativos en la
organización.
• De apoyo a toma de decisiones.
• De ventaja competitiva.

Cualesquiera que sea el topo de SdI, el punto

en común es que generan un valor a la
organización.
Requerimientos generales y de seguridad

Requerimientos generales:
• Como se mencionó, los sistemas deben
generar un valor a la organización.
• Generalmente es el objetivo que más
preocupa cuando el sistema se está
especificando para sun implantación.
• El objetivo de la calidad del desarrollo, así
como el de la seguridad de la información
que se manipula en él pasan, normalmente
a un segundo término.
Requerimientos generales y de seguridad

• ¿Cuál es el proceso básico a automatizar?

• ¿Qué datos se emplean o se generan
durante este proceso?
• ¿Cuáles son las restricciones en tiempo y
fuerza de trabajo?
• ¿Qué métricas de efectividad se
emplearan?
Requerimientos generales y de seguridad

¿Cuáles son las etapas del proceso?

¿Cuál es su entorno?
¿Quién lleva a cabo las actividades de estas etapas?
¿Con qué frecuencia se realizaran estas actividades?
¿Quién ingresa los datos a procesar?
¿Quién se beneficia de la información resultante?
¿En cuánto tiempo se tendrá valor esperado?
Requerimientos generales y de seguridad

Requerimientos de seguridad:
¿Qué tan importante es la información manejada en el
proceso?
¿Cuánto costaría a la organización que la información fuera
imprecisa?
¿Por cuánto tiempo pueden estar fuera de operación los
procesos automatizados?
¿Existen penalizaciones si el proceso no ocurre de manera
correcta?
Requerimientos generales y de seguridad

Se deben determinar los requerimientos de

seguridad funcionales para cubrir los objetivos de
seguridad identificados al nivel requerido.
Ejemplos de estos requerimientos son:
• Autorización.
• Privilegios.
• Separación de funciones.
• Confidencialidad.
• Integridad.
Requerimientos generales y de seguridad

Requerimientos de garantía de seguridad:

• Estos requerimientos responden a la pregunta:
¿Qué tanta confianza puedo depositar en la
funcionalidad de seguridad del sistema de
información?
• Generalmente se imponen requerimientos de
pruebas de que el sistema está correctamente
implantado, que resiste ataques de diferentes
intensidades, que se cuenta con pruebas
formales de su funcionamiento, etc.
Objetivos de la administración de seguridad

• Proteger efectivamente los activos informáticos de

la organización.
• Proporcionar un programa de seguridad que guíe el
adecuado manejo de los activos informáticos por
parte de los usuarios o procesos de la organización.
• Crear conciencia en los empleados de la
importancia y necesidad de apegarse al programa
de seguridad.
Objetivos de la administración de seguridad

• Brindar soporte en seguridad a todo empleado

que lo requiera.
• Considerar las necesidades particulares de cada
unidad de negocio.
• Establecer una estructura organizacional que
permita administrar el programa.
Objetivos de la administración de seguridad
Programa de seguridad:
• Identifica qué activos informáticos requieren seguridad.
• Desarrolla métodos para proteger los activos identificados.
• Documenta los métodos en un plan que incluye metas
específicas de seguridad.
• Organiza los recursos para implementar los métodos de
seguridad.
• Implementa y mantiene los métodos de seguridad.
• Guía mediante políticas y actividades de entrenamiento y
concientización.
• Monitorea los métodos de seguridad y la efectividad del
programa.
• Reporta a la administración de seguridad respecto al progreso
y efectividad del programa.
Objetivos de la administración de seguridad

• El programa de seguridad debe ser considerado como

una actividad del negocio que da soporte al negocio.
• Dos requerimientos básicos del negocio son:
• El programa nunca debe costar más que los activos
informáticos que protege.
• Las metas del programa deben, de manera muy
clara, esta alineadas y dar soporte a las metas de la
organización.
• El programa debe tener una identidad fuerte en la
organización y debe estar presente en el entorno,
cultura y objetivos de ésta.
Objetivos de la administración de seguridad
Gestión de la seguridad

• Objetivos de la organización (Misión y Visión de seguridad)

• Análisis de Riesgos
• Consenso en la definición de las políticas de seguridad
• Mecanismos y controles
• Monitoreo
• Manejo de incidentes
Gestión de la seguridad

Objetivos de la organización:
Misión: La misión se refiere a la identificación del
trabajo actual y futuro de la organización: es su
objetivo principal.

Misión de seguridad: Identifica el trabajo actual y

futuro del equipo de seguridad para el logro de la
misión de la organización.
Gestión de la seguridad
Gestión de la seguridad
Componentes de un sistema:
Gestión de la seguridad
Gestión de la seguridad
Gestión de la seguridad
Límites, elementos y factores de un proceso
Gestión de la seguridad
Cadena de Valor de Porter
Gestión de la seguridad
Gestión de la seguridad

Proceso de Admisión

Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes

Examen de
admisión
Gestión de la seguridad

Proceso de Admisión

Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes

Convocatoria
Exámenes
de de
cada Programación Formato de Lista de
Examen entrevista
Fechas y Resultado profesor
de alumnos
Página Web admisión entrevistas aceptados
requisitos de examen Lista
del proceso Lista de Formato de en la página
resultados entrevista
Gestión de la seguridad

Proceso de Admisión

Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes

Convocatoria
Exámenes
de de
cada Programación Formato de Lista de
Jefe
Examen de la entrevista
Fechas y Resultado profesor
de alumnos
Página Web sección
admisión Entrevista
entrevistas aceptados
requisitos de examen Lista
Coordinador
Lista de con el en la página
del proceso Formato de
comité de
Académico
resultados entrevista Jefe de la
Profesores admisión
Jefe de la web
Coordinador
Jefe de la Coordinador Entidad de Sección
sección Académico
Coordinador
Sección Académico evaluación Comisión de Web Master
Académico
Web Master admisión Admón. De
Comisión de
Admón. de Profesores admisión Infraestructura
Infraestructura Comisión de
admisión
Coordinador
Académico
Gestión de la seguridad
• Como ejemplo, el estándar ISO/IEC 27001:2005, tiene
como objetivo el establecimiento, la implementación,
la operación, la revisión y el mantenimiento de los
procesos del Sistema de Gestión de la Seguridad de la
Información (SGSI).
• La decisión de adoptar un SGSI debe ser estratégica
para la organización.
• La implementación del SGSI depende de los objetivos
y requerimientos de seguridad que tenga la
organización en particular.
• Este estándar adopta el modelo “Plan-Do-Check- Act”,
PDCA.
Gestión de la seguridad
Gestión de la seguridad
1.Plan. Establecer las políticas, objetivos, procesos y
procedimientos del SGSI para administrar el riesgo, y para
mejorar la seguridad, conforme a las políticas y objetivos
generales de la organización.
2.Do. Implementar y operar las políticas, objetivos, procesos y
procedimientos del SGSI.
3.Check. Evaluar y, cuando sea posible, medir el desempeño de
los procesos respecto a la política del SGSI, los objetivos y la
experiencia, y reportar los resultados para su revisión.
4.Act. Adoptar medidas correctivas y preventivas basadas en los
resultados de la evaluación y revisión , para establecer las
mejoras convenientes, de manera continua.
Análisis de riesgos
La forma más recomendada de determinar realmente qué controles de
seguridad específicos requiere una organización es el análisis de riesgos.
De hecho, en la fase de establecimiento del SGSI (Plan), este análisis es uno de
los elementos clave, e incluye:
• Determinar la metodología para análisis de riesgos.
• Identificar los riesgos
• Analizar y evaluar los riesgos identificados (considera incluso factores
legales).
• Seleccionar los controles y objetivos de control para mitigar los riesgos
identificados.
• Determinar los riesgos residuales (que no son cubiertos por los controles
propuestos).
El estándar BS 7799-3:2006 es una guía para la administración de riesgos de
seguridad de la información.
Análisis de riesgos
Análisis de riesgos

Modelo del proceso de administración del riesgo

Referencia: BS7799-3:2006
Análisis de riesgos
El modelo propuesto en el estándar BS7799-3:2006 muestra una
búsqueda de la mejora continua estableciendo un ciclo de
revaloración de los riesgos y de los controles empleados para
administrarlos ya sea:
• Reduciéndolos.
• Aceptándolos.
• Transfiriéndolos.
• Evitándolos.
En todos los casos se considera el riesgo residual como el
remanente después de haber elegido una estrategia para
tratarlo.
Normalmente este riesgo residual debe ser aprobado por la alta
gerencia.
Cada Control que se recomiende en el AR debe contar con
Políticas asociadas, para garantizar su efectividad.
Políticas de Seguridad

• Definir políticas generales, políticas de

temas específicos y procedimientos que
garanticen que los controles serán bien
aplicados.
• Guiando a la orientación al negocio de los
controles establecidos.
Políticas de Seguridad
Políticas de Seguridad
Monitoreo de los controles
Monitoreo de los controles
Manejo de incidentes
¿Preguntas?
Actividad 1:
Son asignados como jefes de seguridad de una empresa
y se les solicita identificar que tipos de medidas pueden
adoptar para mitigar los riesgos de la compañia.

Enumere al menos 3 de cada uno de los tipos expuestos.

Recordatorio:
Preventivas
Operativas
Detectivas
Reactivas
De garantía.
Actividad 2:

Tomando en cuenta la definición de los procesos, y

siguiendo el rol de encargado de seguridad de la
empresa, identifiquen un proceso crítico que se
pueda presentar y que tenga un nivel de impacto
alto y establezca la cadena de proceso similar a la
gráfica vista.
 Sergio Andrés Rueda Durán
Ingeniero de Sistemas
Maestría en ingeniería en seguridad y tecnologías
de la información
www.Facebook.com/sard88

@sard88

Sergio.rueda@Hotmail.com

Gracias por su atención