Objetivos

1) Explicar el concepto de control de seguridad de información

2) Aplicar los controles de seguridad de Información para mitigar
riesgos relacionados
 Introducción

Un control de seguridad de información se puede definir como aquellos

recursos que proveen razonable certeza que los objetivos de negocio
serán alcanzados y los eventos no deseados deberán ser prevenidos,
detectados y corregidos.

Ejemplos de controles puede ser:

Políticas, procedimientos, prácticas, mecanismos tecnológicos,

estructuras organizacionales, etc.
 Controles normativos

Estos controles son fundamentales para cualquier modelo de

seguridad y establecen las reglas de como los controles de seguridad
deben de diseñarse, implementarse y operarse.

Son como la constitución y las leyes de los países.

Ejemplos de controles de seguridad normativos pueden ser políticas

corporativas, políticas específicas, estándares, guías, procedimientos
operativos, base-lines, etc.
 Controles procedurales

Esta familia de controles la podemos ubicar dentro de la misma familia

de controles normativos, de hecho son una derivación de estos
controles.

Dada su importancia y relevancia, podemos ubicar a estos controles

como los más relevantes, estos controles son normalmente un
conjunto de descripciones detalladas de los pasos necesarios para
realizar una operación específica de acuerdo a estándares ya
establecidos.
 Controles procedurales

Ejemplos de controles de seguridad procedurales pueden ser

procedimientos de respaldos de información, administración de la
capacidad, procedimientos de software malicioso, etc.
 Controles tecnológicos

Esta familia de controles son los que tienen que ver con las diversas
tecnologías, normalmente detrás de estos controles hay fabricantes
que los desarrollan y venden en forma de producto.

Podemos establecer que existen diversos tipos de controles

tecnológicos de seguridad de información:
• Controles que protegen los perímetros de las redes,
• Controles que protegen la seguridad interna de los Servidores
• Controles criptográficos
• Controles para identificación y autentificación de usuarios (acceso
lógico), etc.
 Otros tipos de controles de seguridad de
información
Existen otros tipos de controles de seguridad de Información
conocidos
como controles físicos, estos controles son de demasiada importancia
dado que si no existieran solo protegeríamos el lado lógico de los
activos de Información, ejemplos de estos controles son:

• Protección a instalaciones
• Guardias de seguridad
• Cerraduras
• Monitoreo de ambiente
• Monitores de temperatura y humedad, etc.
 Justificación de controles de seguridad

Los controles de Seguridad de Información tienen que ser justificados

ante la Administración de las organizaciones de tal forma que den un
mayor beneficio que el costo de comprarlos, diseñarlos,
implementarlos, operarlos y mantenerlos.

Típicamente las organizaciones de seguridad de Información para

llevar a cabo lo anterior recurren a técnicas de administración
conocidas como “retorno a la inversión”, “valor presente neto”, “costo
total de propiedad”, etc.
 Justificación de controles de seguridad

Cada organización de seguridad de información dependiendo de su

cultura financiera en la empresa u organización deberá desarrollar su
metodología más apropiada para justificar las inversiones en materia
de seguridad.
Modelo de Deming, mejora continua de
controles de seguridad
Amenazas vs. Controles (muestra)