Principios de

seguridad de
la información

Jorge Andrés Dapena

Magister en seguridad informática
Seguridad de la
información

• Durante miles de años, las personas han

buscado la certeza de que la información se
ha capturado, almacenado, comunicado y
utilizado de manera segura. Dependiendo del
contexto, se ha puesto énfasis en diferentes
niveles de disponibilidad, integridad y
confidencialidad de la información, pero
lograr estos objetivos básicos siempre ha
sido el núcleo de la práctica de seguridad.
 Seguridad de la
información
• En el mundo actual, donde vastas
cantidades de información son accesibles
con solo hacer clic en un ratón, nuestras
decisiones de seguridad aún deben
considerar a las personas, los procesos y los
sistemas que nos aseguran que la
información esté disponible cuando la
necesitamos, que no haya sido alterada y
que esté protegida contra la divulgación a
aquellos que no tienen derecho a ella.
Seguridad de la
información
• La seguridad de la
información es un conjunto
de principios, políticas,
procedimientos y medidas
técnicas diseñadas para
proteger la confidencialidad,
integridad y disponibilidad
de la información.
Seguridad de la
información
• Este campo de estudio y
práctica se centra en
garantizar que la
información, ya sea
almacenada, procesada o
transmitida, se mantenga
protegida contra
amenazas, riesgos y
vulnerabilidades.
Seguridad de la
información
• En el ámbito de la seguridad
de la información, los
procesos, prácticas y
tecnologías pueden ser
evaluados en función de
cómo afectan la
confidencialidad, integridad
y disponibilidad de la
información
Seguridad de la
información
• La aparente simplicidad de
la Triada CIA impulsa una
serie de principios de
seguridad, los cuales se
traducen en prácticas y se
implementan con diversas
tecnologías frente a una
amplia variedad de fuentes
de información
 Seguridad de la
información
• En el ámbito de la
seguridad de la
información, los procesos,
prácticas y tecnologías
pueden ser evaluados en
función de cómo afectan la
confidencialidad,
integridad y disponibilidad
de la información
 • La confidencialidad. Asegurar
que la información sea
proporcionada solo a aquellas
CONFIDENCIALIDAD personas que tienen el derecho
de acceder a ella ha sido un
desafío central en la gestión y
protección de la información
 • Imaginemos un escenario en el
que necesitamos compartir
información sensible, como
CONFIDENCIALIDAD
datos financieros, estrategias
empresariales o datos
personales.
 • Aquí es donde entra en juego la
confidencialidad. Este principio
implica restringir el acceso,
asegurando que solo aquellos
CONFIDENCIALIDAD
que tienen el derecho y la
necesidad de conocer la
información tengan acceso a
ella.
 • Para lograr la confidencialidad,
es esencial identificar controles
que separen a aquellos que
necesitan conocer la
CONFIDENCIALIDAD
información de aquellos que no
lo necesitan. Imaginen una
empresa con distintos niveles de
acceso a datos.
 • Los controles se establecen para
garantizar que solo aquellos en
CONFIDENCIALIDAD roles específicos tengan acceso
a información crítica para sus
funciones.
 • En el contexto de seguridad de
la información, el valor
CONFIDENCIALIDAD contrario a la confidencialidad
es la "Divulgación" o "Falta de
Confidencialidad".
 • Mientras que la confidencialidad
se refiere a la protección de la
información para asegurar que
solo las personas autorizadas
tengan acceso a ella, la
CONFIDENCIALIDAD
divulgación implica la revelación
no autorizada o el acceso por
parte de personas no autorizadas
a información sensible o
confidencial.
 • Tomar decisiones acertadas
requiere actuar sobre
información válida y precisa.
INTEGRIDAD Los cambios en la información
pueden ocurrir de manera
inadvertida o ser el resultado de
acciones intencionales.
 • Asegurar que la información no
haya sido alterada
inapropiadamente requiere la
INTEGRIDAD aplicación de controles sobre la
creación, transmisión,
presentación y almacenamiento
de la información.
 • La detección de cambios
inapropiados es una forma de
INTEGRIDAD
respaldar niveles más altos de
integridad de la información.
 • Existen numerosos mecanismos
para detectar cambios en la
información; la criptografía, las
funciones hash, los datos de
INTEGRIDAD
referencia y los logs son solo
algunos de los medios mediante
los cuales se puede detectar la
alteración.
 • Otros controles garantizan que
la información tenga la calidad
INTEGRIDAD
suficiente para ser confiable en
la toma de decisiones.
 • Ejecutar transacciones bien
formadas contra elementos de
datos restringidos asegura que el
INTEGRIDAD
sistema mantenga su integridad
a medida que se captura la
información.
 • En el contexto de seguridad de
la información, el valor
INTEGRIDAD contrario a la integridad es la
"Alteración" o "Falta de
Integridad".
 • Mientras que la integridad se
refiere a la garantía de que la
información no ha sido
modificada de manera no
INTEGRIDAD autorizada o inapropiada, la
alteración representa
precisamente lo opuesto: la
modificación indebida o no
autorizada de la información.
 • La disponibilidad garantiza que
DISPONIBILIDAD la información sea accesible
cuando sea necesaria.
 • Muchas circunstancias pueden
alterar la disponibilidad de
información. La destrucción
física de la información, la
DISPONIBILIDAD interrupción de la ruta de
comunicación y la aplicación
inadecuada de controles de
acceso son sólo algunas de las
formas en que la disponibilidad
puede verse comprometida.
 • Los controles de disponibilidad
DISPONIBILIDAD deben abordar personas,
procesos y sistemas.
 • Los sistemas con alta
disponibilidad como los
proporcionados por la
computación en la nube o la
DISPONIBILIDAD agrupación en clústeres, son de
poco valor si las personas
necesarias para realizar las
tareas de la organización no
están disponibles.
 • En el contexto de la seguridad
informática, el valor contrario a
DISPONIBILIDAD la disponibilidad es la
"Indisponibilidad" o "Falta de
Disponibilidad".
 • Mientras que la disponibilidad
se refiere a la capacidad de
acceder a la información o
recursos cuando sea necesario,
DISPONIBILIDAD
la indisponibilidad implica la
incapacidad de acceder a esos
recursos de manera oportuna o
en momentos críticos.
 • La indisponibilidad puede ser
causada por diversos factores,
como fallos en hardware,
DISPONIBILIDAD ataques maliciosos, errores en la
configuración, congestión de
red, desastres naturales, entre
otros.
Limitaciones de la
triada CIA
• La triada CIA, surge de
un trabajo en 1960. Y
fue ampliamente
difundida y adoptada
por su simplicidad
Limitaciones de la
triada CIA
• Deja por fuera
conceptos muy
importantes como
Autencidad y No
repudio
Limitaciones de la
triada CIA
• El no repudio consiste
en que ninguna de las
partes de la
comunicación puedan
negar la autoría de los
mensajes
Limitaciones de la
triada CIA

• Por ejemplo. Cuando se

envía un documento
firmado con firma
digital, el que firma no
puede desconocer que
fue el quien firmó el
mensaje
Extensiones de la triada
CIA

• La extensión de la triada
CIA, más famosa fue
creada por Donn B.
Parker
 Extensiones de la
triada CIA
• Confidencialidad: Los límites
sobre quién tiene acceso a la
información
• Integridad: Si la información
se encuentra en su estado
previsto
• Disponibilidad: Si la
información puede ser
accedida de manera
oportuna
 Extensiones de la
triada CIA
• Autenticidad: La correcta
atribución de la persona que
creó la información
• Utilidad: La utilidad de la
información
• Posesión o control: El estado
físico donde se mantiene la
información
 • El control se refiere a la
disposición física de los medios
en los que se almacenan los
datos. Esto nos permite, sin
CONTROL
involucrar otros factores como
la disponibilidad, discutir
nuestra pérdida de datos en su
medio físico.
 • Esto es fundamental en el
entorno actual, donde los datos
CONTROL pueden estar en varios
dispositivos y puede haber
numerosas versiones
 • Ejemplo: Un computador de un
ejecutivo es robado. Si el disco
duro se encuentra encriptado
CONTROL
es un problema de control, si no
es un problema de
confidencialidad
 • La autenticidad nos permite
hablar de la atribución
AUTENTICIDAD adecuada en cuanto al
propietario o creador de los
datos en cuestión.
 • Por ejemplo, si enviamos un
mensaje de correo electrónico
que está alterado de modo que
parezca que proviene de una
AUTENTICIDAD dirección de correo electrónico
diferente a aquella desde la que
realmente se envió, estaríamos
violando la autenticidad del
correo electrónico
 • La utilidad se refiere a la
utilidad de los datos para
nosotros. La utilidad es también
UTILIDAD el único principio del hexágono
Parkeriano que no es
necesariamente de naturaleza
binaria.
 • Podemos tener una variedad de
grados de utilidad,
dependiendo de los datos y su
UTILIDAD formato. Este es un concepto
algo abstracto, pero resulta útil
para discutir ciertas situaciones
en el mundo de la seguridad.
¿Que se busca?

• La práctica de
seguridad de la
información existe
para respaldar a la
organización en el
logro de sus
objetivos.
 ¿Que se busca?
• la práctica de seguridad de la
información debe tener en cuenta el
entorno de liderazgo organizacional,
la tolerancia al riesgo corporativo,
las expectativas de cumplimiento,
las tecnologías y prácticas nuevas y
heredadas, y un conjunto de
amenazas en constante evolución.
 Debida diligencia
• Este concepto legal espera que estas
personas aborden cualquier riesgo
como lo haría una persona razonable
dadas las mismas circunstancias.
Esta prueba del "individuo
razonable" generalmente se
considera que incluye el
conocimiento del entorno de
cumplimiento, actuar de buena fe y
dentro de los poderes del cargo, y
evitar conflictos de interés.
 Debida diligencia
• Las fallas de seguridad
pueden llevar a
consecuencias legales y
económicas. La
organización y sus
miembros puede llegar a
ser hallada responsable
 Debida diligencia
• Se debe demostrar que se
tomaron medidas y se
aplicaron controles
razonables de acuerdo al
contexto para asegurar la
información
Ejemplos
• Supongamos que una empresa de
tecnología, XYZ Inc., maneja
información confidencial de sus
clientes, incluyendo detalles sobre
proyectos en desarrollo,
estrategias comerciales y datos
personales. En este entorno, el
principio de confidencialidad es
fundamental para proteger la
información sensible y mantener
la confianza de los clientes.
Ejemplos
• Un día, un empleado descontento de
Z Inc., que tiene acceso a
información confidencial debido a
sus responsabilidades laborales,
decide vengarse por una reciente
disputa laboral. Este empleado, sin
la autorización adecuada, accede a
la base de datos de clientes y extrae
detalles confidenciales, como planes
futuros de productos, estrategias de
marketing y la información personal
de algunos clientes.
Ejemplos
• El empleado, con la intención de
perjudicar a la empresa, divulga
esta información confidencial a
competidores y medios de
comunicación. Como resultado, la
competencia de Z Inc. obtiene
información privilegiada sobre
próximos lanzamientos de
productos, estrategias comerciales
y detalles internos, lo que podría
afectar significativamente la
posición competitiva de la empresa.
Ejemplos
• En este escenario, se viola el principio
de confidencialidad, ya que el empleado
no solo accede de manera no autorizada
a la información confidencial, sino que
también la divulga de manera maliciosa,
comprometiendo la seguridad de la
empresa y generando repercusiones
negativas tanto para Z-inc. como para
sus clientes. La falta de controles
adecuados y la mala conducta del
empleado condujeron a la violación de
la confidencialidad y a consecuencias
perjudiciales para la empresa y sus
partes interesadas.
Ejemplos
• Imaginemos una institución
financiera, Banco de Medellín,
que utiliza un sistema informático
para gestionar las transacciones
de sus clientes, asegurando la
integridad de los datos
financieros. La integridad en este
contexto implica que los datos
financieros deben mantenerse
precisos y sin manipulaciones no
autorizadas.
Ejemplos
• Un día, un hacker talentoso logra
infiltrarse en el sistema del Banco
de Medellín mediante una
vulnerabilidad de seguridad. Una
vez dentro, el hacker altera los
saldos de algunas cuentas
bancarias, incrementando o
disminuyendo arbitrariamente las
cifras. Además, manipula las tasas
de interés de algunos productos
financieros, como préstamos y
cuentas de ahorro.
Ejemplos
• El impacto de estas manipulaciones
es significativo. Los clientes
afectados podrían enfrentar cargos
indebidos, experimentar pérdidas
financieras o, en el caso de
préstamos, recibir información
errónea sobre las tasas de interés
aplicadas. Además, la confianza de
los clientes en la integridad del
sistema bancario se vería
comprometida, lo que podría resultar
en pérdida de clientes y daño a la
reputación del Banco de Medellín.
Ejemplos
• El impacto de estas manipulaciones
es significativo. Los clientes
afectados podrían enfrentar cargos
indebidos, experimentar pérdidas
financieras o, en el caso de
préstamos, recibir información
errónea sobre las tasas de interés
aplicadas. Además, la confianza de
los clientes en la integridad del
sistema bancario se vería
comprometida, lo que podría resultar
en pérdida de clientes y daño a la
reputación del Banco A.
Ejemplos
• Imaginemos una empresa de
comercio electrónico, E-Mercado,
que depende en gran medida de su
plataforma en línea para realizar
transacciones y atender a sus
clientes. La disponibilidad en este
contexto se refiere a la capacidad
de la plataforma para estar
operativa y accesible en todo
momento, permitiendo a los
clientes realizar compras y
acceder a servicios.
Ejemplos
• En un día de alto tráfico, por
ejemplo, Black Friday, E-
Mercado experimenta una
avalancha de usuarios en su sitio
web. Sin embargo, la empresa no
ha implementado medidas de
escalabilidad suficientes para
manejar picos de tráfico
significativos.
Ejemplos
• Como resultado, el servidor de E-
Mercado se ve sobrecargado y
experimenta una caída en su
rendimiento. Los clientes
experimentan tiempos de carga
lentos, errores en las transacciones y,
en algunos casos, la imposibilidad de
acceder al sitio web. Esta falta de
disponibilidad afecta directamente la
capacidad de la empresa para
completar transacciones y satisfacer
las necesidades de los clientes en un
momento crucial.
Ejercio
• En equipos de máximo 3
personas. Hacer un documento
con un caso donde exista
violación del principio de
confidencialidad, otro caso donde
se viole el principio de integridad
y otro donde se viole el de
disponibilidad. No se puede
repetir los de la presentación
Fuentes bibliográficas
• Warsinske, J., Graff, M., Henry, K., Hoover,
C., Malisow, B., Murphy, S., Oakes, C. P.,
Pajari, G., Parker, J. T., & Seidl, D.
(2019). The official (ISC)2 guide to the
CISSP CBK reference the official (ISC)2
guide to the CISSP CBK reference: Certified
information systems security
professional (5a ed.). John Wiley & Sons.
• Vega Briceño, E. (2021). Seguridad de la
información. Editorial Científica 3Ciencias.