CONCEPTOS BÁSICOS DE

SEGURIDAD INFORMÁTICA
Astrid Jaramillo Betancur
Ing. MSc Ingeniero de Sistemas,
Magister en Recursos Digitales

UNIVERSIDAD NATONIO NARIÑO

 AGENDA (1)
1 INTRODUCCIÓN
1.1 Objetivo de la seguridad informática
1.2 ¿De quién debemos protegernos?
1.3 Relación Operatividad – Seguridad – Costo
1.4 Tendencias y estadísticas
2 GESTIÓN DE LA SEGURIDAD
2.1 Conceptos importantes
2.2 El proceso de Clasificación de la
Información
2.3 Políticas de Seguridad
2.4 Gestión de Riesgos
2.5 Sensibilización en Seguridad
 1. INTRODUCCIÓN

1.1 Objetivo de la seguridad informática

Proteger los recursos informáticos de la organización
• Hardware
• Software
• Datos.
Ayuda a la organización cumplir sus objetivos
protegiendo:
• Recursos financieros
• Activos informáticos
• Bienes inmateriales (Reputación, Good Will)
 1.1 Objetivo de la seguridad informática

1.1.1 Los 3 conceptos básicos (CIA)

Confidencialidad (Confidenciality): Evita la
divulgación accidental o intencional de la información.

Integridad (Integrity): Garantiza que la información es

exacta y completa. Identifica los datos que han sido
alterados.

Disponibilidad (Availability): Garantiza que los

usuarios siempre podrán hacer uso de los recursos de
una manera confiable.
 1.1 Objetivo de la seguridad informática

1.1.2 Otros conceptos importantes

Identificación (Identification): Medio por el cual el
usuario proclama su identidad ante el sistema.

Autenticación (Authentication): Es el proceso mediante

el cual se comprueba que la identificación del usuario es
valida.

Autorización (Authorization): Se relaciona con los

permisos y recursos que se conceden a un usuario
previamente autenticado.
 1.1 Objetivo de la seguridad informática

1.1.2 Otros conceptos importantes

Observancia (Accountability): Registro de las acciones

y el comportamiento de un individuo dentro de un
sistema y su capacidad para determinar la identidad del
usuario.

No repudio (Don’t Disavowal): Los individuos que

participan en un evento no pueden negar su
intervención o su responsabilidad.
 1.2 ¿De quién debemos protegernos?

Clase D: Hackers atraídos

por el lado oscuro.
Clase C: Encuentran bugs
basándose en sus
conocimientos.
Clase B: Buscan bugs,
compilan exploits.
Clase A: Descargan y
prueban.
1.3 Relación Operatividad – Seguridad - Costo

¡La S.I. es un medio de apoyo para organización,

aunque algunas veces no lo parezca!
1.4 Tendencias y Estadísticas
1.4 Tendencias y Estadísticas
1.4 Tendencias y Estadísticas
 2. GESTIÓN DE LA S.I.

2.1 Conceptos importantes

2.2 El proceso de clasificación de la
información
2.3 Políticas de Seguridad
2.4 Gestión de Riesgos
2.5 Sensibilización en Seguridad
 2.1 Conceptos importantes

2.1.1 Ciclo de vida de los sistemas de S.I.

Existen muchos modelos, pero la mayoría

coincide en:
• Inicio
• Desarrollo o adquisición
• Pruebas e implementación
• Operación y mantenimiento
• Finalización
 2.2 Clasificación de la información

2.2.1 ¿Qué es Información?

Es un Bien que tiene valor para la empresa y por

tanto necesita ser protegida
• Datos procesados = Información
• Información en diferentes manifestaciones:
impresa, electrónica, etc.

¡Sin importar su forma, la información debe ser

protegida!
 2.2 Clasificación de la información

2.2.2 Objetivo de la clasificación

• No todos los recursos tienen el mismo valor para

una organización.
• Permite definir prelaciones y nivel de prioridad.
• Ayuda a facilitar la asignación de recursos.
• Información clasificada puede protegerse con las
leyes.
 2.2 Clasificación de la información

2.2.3 Nivel de clasificación

• Ambiente militar o gubernamental:

No clasificado, sensible pero no clasificada,
confidencial, secreto, y máximo secreto.

• Empresas del sector privado:

Pública, sensible, privada y confidencial.
 2.2 Clasificación de la información

Clasificación Descripción Ejemplo

No Información no clasificada, no sensible. Información de garantías.
Información para el público. Manuales de computadores
Clasificado o procedimientos públicos.

Sensible pero Secreto menor. Datos médicos, resultados a

pruebas.
no clasificada

Confidencial Información personal para uso dentro de la Historial de trabajo. Historia

organización. La revelación no autorizada medica o de recursos
podría afectar negativamente al personal. humanos.

Secreto Si es revelada podría causar daños serios a la Plan de operación de tropas.

seguridad nacional. Ubicación de armamento y
artillería.

Top Secret Si es revelada podría causar daños graves a la Espionaje. Diseño de nuevas
seguridad nacional. armas. Ubicación de armas
de alto alcance o nucleares.
 2.2 Clasificación de la información

Clasificación Descripción Ejemplo

Pública Información publicable. También puede ser
información cuya revelación no es deseable
pero que en caso de que esto suceda, no
causaría daños a la organización ni al
personal.
Proyectos futuros. Cuanta
gente se encuentra
trabajando en un proyecto.

Sensible Requiere precauciones especiales para Información financiera o

asegurar la integridad de la información, detalles de proyectos.
protegiéndola de eliminación o alteración no
autorizada.

Privada Información personal para uso dentro de la Historial de trabajo. Historia

organización. La revelación no autorizada medica o de recursos
podría afectar negativamente al personal. humanos.

Confidencial Para uso único al interior de la organización. Secretos del negocio.

Su revelación no autorizada puede afectar Códigos fuente o patentes
seriamente a la organización. vigentes.
 2.2 Clasificación de la información

2.2.3 Roles en el proceso de clasificación

• Propietario: Responsable de los bienes o activos.

Determina el nivel de importancia. Selecciona el
custodio. Realiza la gestión. (Gerente-CEO)

• Custodio: Encargado de proteger la información

(Gerente TI - CTO, CIO, CISO, ISO, DBA)

• Usuario: Utiliza la información. Debe apegarse a

las políticas de S.I.
 2.3 Políticas de Seguridad Informática

2.3.1 Definición de políticas de S.I.

Una política puede ser, desde un procedimiento

administrativo hasta un requerimiento
gubernamental.

Los estándares, lineamientos y procedimientos

también pueden ser referidos como políticas de
S.I.
 2.3 Políticas de Seguridad Informática
El NIST[1], clasifica la políticas de S.I. así:

Políticas del programa de seguridad: Crear el programa de

S.I. de la organización. Son de alto nivel y en muchos casos
de tipo administrativo Ej: Presupuesto asignado a seguridad.

Políticas de asuntos específicos: Direccionar asuntos

específicos de la organización. Ej: Políticas de privacidad
para el correo electrónico.

Políticas de sistemas específicos: Generar directivas

técnicas para la administración de un sistema en particular.
Ej: Listas de control de acceso para un router.
[1] Nacional Institute of Standard and Technology
 2.3 Políticas de Seguridad Informática

2.3.2 Estándares de S.I.

• Definen de forma uniforme el uso de tecnologías

específicas.
• Generalización de metodologías usadas en los
controles de seguridad.
• Los estándares tienen un carácter obligatorio y
deben implementarse uniformemente en toda la
organización.
• ISO/IEC 27001, BS 17799-2 (ISO 27002)
 2.3 Políticas de Seguridad Informática

2.3.3 Lineamientos (Guidelines).

• Son similares a los estándares.
• Se refieren a las metodologías de aseguramiento
• No tienen el carácter obligatorio, mas bien, son
acciones recomendadas.
• Son mucho más flexibles pues toman en
consideración la naturaleza variable de los sistemas
informáticos
• Suelen ser usados para especificar la forma en que
un estándar debe ser implementado.
 2.3 Políticas de Seguridad Informática

2.3.4 Procedimientos de S.I.

• Contienen pasos detallados que se deben seguir

para realizar una tarea especifica.
• Son considerados el nivel más bajo en la cadena de
políticas de seguridad.
• Proporcionan una guía detallada para la
implementa- ción de políticas, estándares y
lineamientos previamente establecidos.
• Guías para la buena práctica.
Conceptos Básicos de Seguridad Informática
Seguridad: Códigos de Buenas Prácticas y Normativas

◦ ISO 27002:2013 !!!!!!!!

◦ MAGERIT 2

◦ OSSTMM / OWASP

◦ Circular 052/042 de la SIF

◦ Ley 1581 habeas data

◦ SOX, HIPPA, PCI…. Y muchas más

 Conceptos Básicos de Seguridad Informática
Seguridad: Certificaciones

 CISA / CISM

 CISSP

 Microsoft MCSA –Security

 Cisco SecuritySpecialist

 Y Muchas más……
 Historia de ISO 27001 e ISO 17799 (27002)

1998 1999 2002 2005

Revisión y
Nuevo acercamiento a:
Revisión •
estándar ISO 9001 Estándar
conjunta de las •
nacional ISO 14001 Internacional
partes 1 y 2 •
■ Certificable certificable OCDE
■ ■ ■ ■
■ No certificable BS 7799-2 BS 7799- BS 7799- ISO/IEC 27001
2 :1999 2 :2002 :2005

Centro de
Seguridad de Revisión por: En 2007 se
• NCC (Centro renombro
Informática
Nacional de
Comercial del como ISO/IEC
Reino Unido Computación) Revisión
• Consorcio Estándar nacional conjunta de las Estándar Internacional 27002
Revisión periódica
(CCSC/DTI) (Fast Track)
usuarios británico partes 1 y 2 (5 años)
■Código de ■PD0003 ■ ■ ■ ■
BS 7799 BS 7799- ISO/IEC ISO/IEC
prácticas Código de 1 :1999 17799 :2000 17799 :2005
para prácticas
usuarios para la
gestión de la
seguridad de
la
información

1989 1993 1995 1999 2000 2005

Agustín López Neira / Javier Ruiz Spohr. www.iso27000.es
 2.3.5 Estándar ISO/IEC 27001

El estándar internacional ISO-IEC 27001 ha sido

preparado para proveer un modelo que permita
establecer, implementar, operar, monitorear y mejorar
un Sistema de Gestión de la Seguridad de la
Información (SGSI).

El diseño y la implementación del SGSI dependen de

las necesidades y objetivos de una organización, de
sus requerimientos de seguridad, del proceso
empleado y sobre todo del tamaño y estructura de la
misma.
 2.3.5 Estándar ISO/IEC 27001

El proceso de acercamiento hacia un modelo de Gestión

de la Seguridad de la Información, se basa en:
• Entender los requerimientos de SI de la organización y la
necesidad de establecer políticas y objetivos de seguridad de
la información.
• Implementar y operar controles para gestionar el riesgo de
SI dentro del contexto de riesgo global del negocio.
• Monitorear y revisar el desempeño y la efectividad del
SGSI.
• Garantizar el mejoramiento continuo basado en indicadores
de gestión para el cumplimiento de los objetivos.
 2.3.5 Estándar ISO/IEC 27001

ISO/IEC 27001 adopta el modelo de procesos PDCA

(Plan-Do-Act-Check), y lo aplica a la estructura del
SGSI.

• Planear (Plan): Establecer las políticas, objetivos y

procesos o procedimientos relevantes para gestionar
el riesgo y mejorar la SI, de forma tal que los
resultados se encuentren alineados con los objetivos
de la organización.
 2.3.5 Estándar ISO/IEC 27001

• Hacer (Do): Implementar y operar las políticas,

controles, procesos y procedimientos del SGSI.
• Verificar (Check): Evaluar y en lo posible medir el
desempeño de los procesos o controles frente a las
políticas del SGSI. Reportar los resultados a la
administración para su revisión .
• Actuar (Act): Tomar acciones preventivas o
correctivas basadas en los resultados de la auditoria
interna del SGSI y del proceso de gestión, para
garantizar el mejoramiento continuo.
2.3.5 Estándar ISO/IEC 27001

El modelo PDCA (Plan-Do-Act-Check)

 2.3.5 Estándar ISO/IEC 27001
Impulsores de Arquitectura de Seguridad Informática

Fundamentos SI Planear
Requerimientos SI Análisis de Diseño/Evaluación y
Visión Seguridad Áreas
Organización Requerimientos y Adquisición de
Riesgos SI Gestión de Políticas SI Mecanismos de SI
Estándares SI

Continuidad Negocio Hacer

Actuar Gestión de Recomendaciones
Industria SI
Implementación de
Pilotos MS
Riesgos Prueba de Detección de Análisis de
Vulnerabilidades Intrusos (7x24) Riesgos e
Metodología Calidad Incidentes Pruebas MS

Informes Áreas Control MODELO DE SEGURIDAD INFORMÁTICA Puesta en Marcha MS

Políticas
Verificar
Normatividad
Áreas de Control Administración y Operación
 2.3.5 Estándar ISO/IEC 27001

Indicadores de gestión
Métricas de SI.
 2.4 Gestión de Riesgos en S.I.

2.4.1 Objetivo de la gestión de riesgos de S.I.

• Justificar el factor costo-beneficio de las posibles
contramedidas aplicables para mitigar el riesgo.
• Decide la viabilidad de un proyecto
• Influencia la planeación e incluso las decisiones de
construcción.
• Ayuda al enfocar recurso y presupuestos a las
aplicaciones que más los necesitan.
 2.4 Gestión de Riesgos en S.I.

Análisis de Riesgos
• Identificaci
• Valorar los activos.
• Identificar la amenaza.
• Identificar las
vulnerabilidades.
• Determinar la
probabilidad de
ocurrencia de la amenaza.
• Evaluar las protecciones
• Valorar el riesgo.
• Asumir el riesgo residual.
 2.4 Gestión de Riesgos en S.I.

2.4.2 Valoración de Bienes o Activos

• Cuantificar el impacto de las amenazas potenciales,

es decir, poner un precio o un valor, al costo asociado
a una perdida de funcionalidad en la organización.
• Una mala valoración de los activos de la
organización conlleva en muchos casos a la mala
selección de soluciones de seguridad informática.
• Los bienes se pueden valorar desde el punto de vista
cuantitativo o desde una perspectiva cualitativa.
 2.4 Gestión de Riesgos en S.I.

2.4.2 Valoración de Bienes o Activos (2)

El valor de un bien se puede determinar a partir de:

• El costo inicial y operativo asumido al comprar,
licenciar, desarrollar o soportar un activo.
• El valor del activo para las labores de producción,
investigación y desarrollo.
• El valor del activo establecido por el mercado
externo.
• El valor estimado de la propiedad intelectual.
 2.4 Gestión de Riesgos en S.I.

2.4.3 Identificar las Amenazas

Se define una amenaza como el potencial para que su

fuente aproveche una vulnerabilidad, ya sea por una
ejecución accidental o por una explotación intencional.

Es necesario tener en cuenta, que una fuente de

amenaza no representa ningún riesgo siempre y
cuando, no exista una vulnerabilidad que pueda ser
explotada.
 2.4 Gestión de Riesgos en S.I.

2.4.3 Identificar las Amenazas

Cualquier circunstancia o evento con el potencial para
causar daños al sistema de IT, se considera una fuente
de amenaza.
• Amenazas naturales: Inundaciones, terremotos,
tornados, derrumbes y avalanchas, tormentas eléctricas,
erupciones volcánicas, etc.
• Amenazas ambientales: Fallas prolongadas de energía,
polución, corrosión, humedad, temperaturas extremas.
• Amenazas humanas: Eventos permitidos o causados
por seres humanos.
 2.4 Gestión de Riesgos en S.I.
Fuente Motivación Amenaza
Hacker, Desafío, ego, rebeldía. Hacking, ingeniería social, ingeniería reversa,
cracker intrusión a sistemas de IT, accesos no autorizados.
Criminal Destrucción de información, Crímenes informáticos, actos fraudulentos,
informático revelación ilegal de información, suplantación, intercepción, intrusión a sistemas de
retribución monetaria, alteración IT, hacking, accesos no autorizados, ingeniería
no autorizada de datos. social, etc.
Terroristas Chantaje, destrucción, Explotación económica, robo de información,
explotación, venganza., ingeniería social, intrusión a sistemas
fanatismo. informáticos, invasión a la privacidad.
Espionaje Ventaja competitiva, Explotación económica, robo de información,
Industrial espionaje económico invasión a la privacidad, ingeniería social, acceso
no autorizado, etc.
Empleados Curiosidad, ego, inteligencia, Chantaje, invasión de la privacidad, abuso de los
ganancia monetaria, venganza, sistemas, fraude y robo, intercepción de
errores no intencionales u información, ingreso de datos falsificados, códigos
omisiones. maliciosos, vulnerabilidades del sistema, sabotaje,
acceso no autorizado, etc.
Amenazas humanas: fuente, motivación y amenaza. (Fuente: NIST SP800-30)
2.4 Gestión de Riesgos en S.I.
 2.4 Gestión de Riesgos en S.I.

2.4.4 Identificar las Vulnerabilidades

Una vulnerabilidad puede definirse como una falla o una
debilidad en los procedimientos de seguridad de un
sistema, en su diseño, en su implementación o en los
controles internos que podrían ser evitados, dando como
resultado una ruptura de seguridad o una violación a las
políticas de seguridad.
Existen varias técnicas para obtener información que
permita develar vulnerabilidades técnicas y no técnicas
de un sistema de IT dentro de sus límites operacionales:
 2.4 Gestión de Riesgos en S.I.

2.4.4 Identificar las Vulnerabilidades

• Cuestionarios: El proceso de indagación debe ser

distribuido al personal administrativo técnico y
no técnico.
• Entrevistas: Las entrevistas “en el sitio” favorecen la
recolección de información acerca del entorno físico
y operativo.
• Revisión documental: Las políticas, los manuales de
los sistemas y los procedimientos relacionados al
servicio.
 2.4 Gestión de Riesgos en S.I.

• Fuentes de vulnerabilidades: Internet representa una

gran fuente de información. Los reportes son
generalmente publicados por los fabricantes, grupos de
respuesta a incidentes o en general, grupos dedicados a
publicar listas de vulnerabilidades.
• Pruebas de seguridad y desempeño del sistema:
Recopilan información a base de pruebas de penetración
o pruebas de desempeño y disponibilidad del sistema,
dejando a la vista las vulnerabilidades del sistema y las
vulnerabilidades de los planes de contingencia. Se usan
herramientas de escaneo automático.
 2.4 Gestión de Riesgos en S.I.
 Clasificación de las vulnerabilidades (CVSS)

Fuente: http://www.first.org/cvss/cvss-guide.html
 2.4 Gestión de Riesgos en S.I.

US-CERT Vulnerabilidades Reportadas Mes

120

100

80
High
60 Medium
40 Low

20

0
Sep-26 Oct-3 Oct-10 Oct-17

Fuente: http://www.us-cert.gov/cas/bulletins/
 2.4 Gestión de Riesgos en S.I.

2.4.5 Determinar la probabilidad de ocurrencia

Para determinar un rango global que indique la
probabilidad de que una vulnerabilidad sea
aprovechada por una amenaza, es necesario
considerar los siguientes factores:
• La motivación y la capacidad de ejecución de una
fuente de amenaza.
• La naturaleza de la vulnerabilidad.
• La existencia y la efectividad de los controles.
 2.4 Gestión de Riesgos en S.I.

Probabilidad Definición
de Ocurrencia

Alto La fuente de la amenaza se encuentra altamente motivada y es

lo suficientemente capaz de aprovechar una vulnerabilidad
existente. Los controles para prevenir que la vulnerabilidad sea
aprovechada son inefectivos.

Medio La fuente de amenaza se encuentra motivada y es capaz de

aprovechar la vulnerabilidad, sin embargo, los controles
disponibles podrían impedir que el ataque sea exitoso.

Bajo A la fuente de amenaza le falta motivación o destreza para

aprovechar o descubrir la vulnerabilidad. Los controles
disponibles pueden prevenir, o al menos, impedir
significativamente que la vulnerabilidad sea aprovechada.
Clasificación según la probabilidad de ocurrencia. (Fuente: NIST SP800-30)
 2.4 Gestión de Riesgos en S.I.

2.4.6 Análisis de los Control o Protecciones en S.I.

El objetivo de esta tarea es analizar los controles
existentes o los que se han planeado implementar por
parte de la organización para minimizar o eliminar la
probabilidad de que una amenaza se haga efectiva a
través de una vulnerabilidad del sistema
• Control disuasivo (Advertencia)
• Control preventivo (Predicción)
• Control detectivo (Acción)
• Control correctivo (Reflexión)
2.4 Gestión de Riesgos en S.I.
 2.4 Gestión de Riesgos en S.I.

2.4.7 Análisis de Impacto

Determina o cuantifica el impacto adverso producto del

aprovechamiento exitoso de una vulnerabilidad. Para
determinar el impacto hay que tener en cuenta:

• La misión del sistema.

• Criticidad del sistema y de sus datos.
• Sensitividad del sistema y de sus datos.
 2.4 Gestión de Riesgos en S.I.

2.4.7 Análisis de Impacto

El impacto de un evento de seguridad puede describirse

en términos de la perdida o la degradación de cada
uno de los pilares de la SI:
• La perdida de confidencialidad.
• La perdida de integridad.
• La perdida de disponibilidad.
• La perdida de imagen.
El impacto puede medirse cuantitativamente o
cualitativamente.
 2.4 Gestión de Riesgos en S.I.

2.4.7.1 Valoración cuantitativa

Intenta asignar, de forma independiente, un precio o un

valor a los bienes de la compañía.

Esta valoración se realiza mediante patrones numéricos

objetivos y estándares (pesos, dólares, euros).

El proceso de valoración cuantitativa es un proyecto en

sí mismo, y como tal, requiere un gerente de
proyectos para su desarrollo.
 2.4.4 Análisis de cuantitativo

Calcular la Rata de Ocurrencia Anual

• ¿Qué tan probable o con qué frecuencia se podrían
presentar una amenaza? - Información histórica sobre las
amenazas halladas y su clasificación (riesgo bajo, medio,
alto, critico).
• El resultado de este análisis es la Rata de Ocurrencia
Anual (ROA), y es básicamente, el número de veces que
se presenta el ataque en un periodo de un año. La ROA
puede tener un valor muy pequeño (un meteorito
destruyendo el centro de computo, 0.00001), o un valor
alto (ataques de fuerza bruta contra un usuario FTP, 100).
 2.4.4 Análisis de cuantitativo

Estimar las Pérdidas

Requiere que los bienes y activos hayan sido valorados.
Las perdidas potenciales se derivan de dos factores:
• Factor de Exposición, FE:
Representa el porcentaje de perdida al que se puede llegar
si se presenta un evento o amenaza sobre un activo
especifico.
• Expectativa de perdida simple, EPS:
Es la representación económica que se le asigna a un único
evento y se calcula de la siguiente forma:
EPS = Valor del activo (US$) x Factor de Exposición (%)
 2.4.4 Análisis de cuantitativo

Determinar las expectativa de perdida anual

La EPA, es el valor de las perdidas económicas esperadas

anualmente ante un riesgo. Este valor es de vital importancia
a la hora de realizar el análisis costo-beneficio de un una
solución de seguridad.

EPA = ROA (#) x EPS (US$)

 2.4 Gestión de Riesgos en S.I.

2.4.7.2 Análisis de cualitativo

No asigna costos a los elementos de la perdida.
Está orientado a escenarios, aún así, necesita
información acerca de las amenazas presentes, su
frecuencia y el impacto que causan sobre la
organización.

En este tipo de análisis, la seriedad de las amenazas y la

sensitividad de los bienes reciben un ranking
mediante la aproximación de un escenario y los
rangos de exposición para dado contexto.
 2.4 Gestión de Riesgos en S.I.

2.4.7.2 Descripción del escenario

• Se describe un escenario por cada una de las mayores
amenazas.
• Los administradores de la unidad de negocios revisan los
escenarios para validar su aproximación a la realidad.
• El grupo de AR recomienda y evalúa una serie de
protecciones para cada amenaza.
• El grupo de AR trabaja sobre cada escenario finalizado
usando una amenaza, un activo y una protección.
• Finalmente, el grupo de AR envía sus hallazgos al grupo
administrativo
 2.4 Gestión de Riesgos en S.I.

Magnitud del Definición

Impacto

Alto El aprovechamiento de una vulnerabilidad puede: (1) resultar en

la perdida altamente costosa de activos tangibles o recursos; (2)
violar la misión de la organización, lastimar su reputación o
impedir sus intereses; (3) puede resultar en lesiones graves o
incluso en la muerte de sus empleados.

Medio El aprovechamiento de una vulnerabilidad puede: (1) resultar en

la perdida costosa de activos tangibles o recursos; (2) violar la
misión de la organización, lastimar su reputación o impedir sus
intereses; (3) puede resultar en lesiones graves en los empleados.

Bajo El aprovechamiento de una vulnerabilidad puede: (1) resultar en

la perdida de algunos activos tangibles o recursos; (2) puede
afectar notoriamente la misión de la organización, su reputación
o sus intereses.
 2.4 Gestión de Riesgos en S.I.

2.4.9 Determinación del nivel de Riesgo

La determinación del riesgo para una pareja particular

amenaza/vulnerabilidad puede expresarse en función de:

• La probabilidad de ocurrencia.
• La magnitud del impacto.
• Los controles existentes o planeados.

Para medir el riesgo es aconsejable usan una escala de

riesgo y su correspondiente matriz de riesgo.
 2.4 Gestión de Riesgos en S.I.

PROBABI- IMPACTO
LIDAD
Bajo (10) Medio (50) Alto (100)

Alta (1) Bajo Medio Alto

1 x 10 = 10 1 x 50 = 50 1 x 100 = 100
Media (0.5) Bajo Bajo Medio
0.5 x 10 = 5 0.5 x 50 = 25 0.5x 100 = 50
Baja (0.1) Muy bajo Bajo Bajo
0.1 x 10 = 1 0.1 x 50 = 5 0.1x 100 = 10
 2.4 Gestión de Riesgos en S.I.

2.4.10 Aceptación y mitigación de riego

Dado que la eliminación de todo el riesgo no es práctica o

más bien, es casi imposible, la aceptación o mitigación
del riesgo se hace una labor administrativa.

Se busca el acercamiento de menor costo y la

implementación de los controles más apropiados para
disminuir el riesgo a un nivel aceptable; y minimizar el
impacto adverso a los recursos y a la misión de la
organización.
 2.4 Gestión de Riesgos en S.I.

2.4.10 Aceptación y mitigación de riego

• Asumir el riesgo: Aceptar el riesgo potencial y continuar

operando el sistema de TI.
• Evadir el riesgo: Evadir el riesgo eliminando la causa o
la consecuencia.
• Transferir el riesgo: Se transfiere el riesgo usando otras
opciones o asegurando las perdidas.
• Limitar el riesgo: Limitar el riesgo mediante el uso de
controles y protecciones. Asumir o transferir el riesgo
residual.
 2.5 Sensibilización en Seguridad.

Evita descuidar el vínculo más débil en la seguridad de una

organización, los empleados.

Los empleados que no son entrenados o que no tienen

conciencia de la importancia de la seguridad informática para
la organización, terminan siendo el punto de quiebra.

Los empleados deben ser capacitados para que entiendan sus

acciones (por insignificantes que parezcan), pues estas
pueden impactar la seguridad global de la organización.
 2.5 Sensibilización en Seguridad.

Un programa de Sensibilización: PUNTOS CLAVE

1. Escriba claro y enfocado a las políticas

2. Haga seguimiento y pruebas (Monitoreo)

3. Mida (metricas)

4. Provea fácil acceso

5. Actualice las políticas regularmente

 2.5 Sensibilización en Seguridad.
• Porqué?
• Comunicar las políticas a los usuarios y asegurar cumplimiento
• Mitigar la ecuación Seguridad vs Usabilidad
• Defendernos contra los componentes de la amenazas de Ingeniería
Social
• Fomentar un perfil de seguridad general en las personas
• Que deseo obtener con la sensibilización?
• Fomentar hábitos seguros de uso y des-fomentar el comportamiento
inseguro
• Cambiar la percepción de la Seguridad Informática
• Educar a los usuarios acerca de las técnicas de seguridad que existen
y ellos pueden usar
• Cómo Obtengo los resultados esperados?
• Contrayendo interés
• Educando
• Comunicando
• Repitiendo
 2.5 Sensibilización en Seguridad.
Los retos de la Sensibilización

• Enviar un mensaje consistente acerca de la importancia de la seguridad de

la información

• Convencer a los usuarios de desarrollar y mantener hábitos seguros

alrededor de la información

• Motivar a los usuarios a tomar interés personal en la seguridad de la

información

• Dar alta prioridad dentro de la organización al tema de sensibilización en

seguridad de los usuarios

• Desarrollar materiales que envíen un mensaje claro acerca de los tópicos

de seguridad
 2.5 Sensibilización en Seguridad.

Modelo de Defensa en Profundidad

La seguridad del usuarios y su conciencia
de seguridad residen en el nivel de
políticas, procedimientos sensibilización

El nivel de conciencia de los usuarios

puede afectar cualquier aspecto de la
Organización

La sensibilización de los usuarios es una

parte significativa de un perfil real de
seguridad organizacional, pues muchos
ataques radican en la intervención
humana
 2.5 Sensibilización en Seguridad.

Qué deben saber los usuarios?

Ellos requieren saber acerca de los problemas de seguridad que afectan su trabajo, su hogar, a ellos mismos y
sus familias. Ellos necesitan entender las amenazas y riesgos como también los métodos que ellos pueden
usar para defenderse contra esas amenazas.

• Malware (defenderse de virus caballos de troya spyware, etc)

• Scams (mensajes como spam, ingenieria social, phishing)

• Safe internet and Email Usage (protegerse su espacio de trabajo y su familia de contenido
no deseado o inseguro)

• Account security (password fuertes, uso apropiado de privilegios)

• Information Theft/ identity Theft (destruir documentos de información confidencial, proteger la

información de robo

• Physical Security Como proteger la información en dispositivos móviles, bloqueo de

computadores, acceso a zonas de trabajo..)

• Regulations, policies and trust (porque existen las políticas de seguridad y que otras
regulaciones nos rigen)
2.5 Sensibilización en Seguridad.