Cuestionario Actividad AA12-1: Sistema de Seguridad de la

Informacin
1. Cul es la funcin del SGSI?
El Sistema de Seguridad de la Informacin (SGSI) es el elemento
ms importante de la norma ISO 27001, que unifica los criterios
para la evaluacin de los riesgos asociados al manejo de la informacin
corporativa en las empresas.
Suele creerse que la gestin de la informacin es un elemento que slo
compete a las compaas que trabajan directamente con datos, como
por ejemplo las empresas de telefona mvil, las firmas aseguradoras o
todas aquellas a las que los consumidores les confan el uso de
informacin personal.
Sin embargo, no es del todo cierto. Por informacin corporativa
entendemos todos los datos que aportan valor a las empresas,
independiente del rea o del formato en el que estn recogidos. Es decir,
todo lo que sea patrimonio organizacional.
As las cosas, la informacin de este tipo puede ser de varia ndole,
desde financiera, econmica, judicial, laboral, contractual, de Recursos
Humanos, cultural y de aspectos y procesos que se relacionan con el
carcter de las empresas.
Un SGSI es, por tanto, el conjunto de prcticas orientadas a
garantizar la seguridad, la integridad y la confidencialidad de
estos datos.

2. Cules son los elementos que conforman el SGSI?

Funciones y elementos clave de un SGSI
Como todo sistema, el SGSI debe implementarse de manera estratgica
para que los resultados sean acordes con los objetivos propuestos. Si
slo se aplicara parcialmente, no habra garantas para el resto de
informacin proveniente de aquellas secciones o reas que han quedado
sin cobertura.

Tal como adelantbamos, el Sistema de Seguridad de la Informacin est

basado en tres principios bsicos que explicamos a continuacin:

Confidencialidad:
Es una caracterstica esencial de la informacin corporativa. Segn este
principio, los datos internos o que forman parte del capital de una
empresa no se revelan ni se ponen a disposicin de terceros individuos,
entidades o procesos no autorizados. Son propiedad exclusiva y como tal
deben preservarse.

Integridad:
La integridad habla de la exactitud y la inalterabilidad de la informacin,
as como de sus mtodos de proceso. Esto quiere decir que no deben
alterarse ni modificarse bajo ningn fin, salvo que la propia empresa as
lo decida y siempre y cuando haya motivos que justifiquen tal medida.

Disponibilidad:
El tercer elemento de un SGSI seala la posibilidad de que individuos,
entidades o procesos autorizados tengan pleno acceso al manejo de la
informacin que est en la base de datos de una compaa, as como los
sistemas que la regulan. Este no es un principio que se oponga a la
confidencialidad, pues se trata del acceso a todos los agentes, internos o
externos, que tengan autorizacin.
3. Con sus palabras, explique el concepto de Seguridad de la
Informacin
La seguridad informtica es una disciplina que se encarga de proteger la
integridad y la privacidad de la informacin almacenada en un sistema
informtico. De todas formas, no existe ninguna tcnica que permita
asegurar la inviolabilidad de un sistema.
Un sistema informtico puede ser protegido desde un punto de
vista lgico (con el desarrollo de software) o fsico (vinculado al
mantenimiento elctrico, por ejemplo). Por otra parte, las amenazas
pueden proceder desde programas dainos que se instalan en
la computadora del usuario (como un virus) o llegar por va remota (los
delincuentes que se conectan Internet e ingresan a distintos sistemas).
4. En qu consiste el ciclo PHVA?
En la actualidad, las empresas tienen que enfrentarse a un nivel tan alto
de competencia que para poder crecer y desarrollarse, y a veces incluso
para lograr su propia supervivencia, han de mejorar continuamente,
evolucionar y renovarse de forma fluida y constante. El ciclo

PHVA de mejora continua es una herramienta de gestin presentada en

los aos 50 por el estadstico estadounidense Edward Deming.
Tras varias dcadas de uso, este sistema o mtodo de gestin de
calidad se
encuentra plenamente
vigente
(ha
sido
adoptado
recientemente por la familia de normas ISO) por su comprobada
eficacia para: reducir costos, optimizar la productividad, ganar cuota de
mercado e incrementar la rentabilidad de las organizaciones. Logrando,
adems, el mantenimiento de todos estos beneficios de una manera
continua, progresiva y constante

5. Explique a qu hacen referencia los trminos: autenticacin,

confidencialidad, disponibilidad e integridad
Confidencialidad
En general el trmino 'confidencial' hace referencia a "Que se hace o se
dice en confianza o con seguridad recproca entre dos o ms
personas." (http://buscon.rae.es)
En trminos de seguridad de la informacin, la confidencialidad hace
referencia a la necesidad de ocultar o mantener secreto sobre
determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no
autorizada de la informacin.
En general, cualquier empresa pblica o privada y de cualquier mbito
de actuacin requiere que cierta informacin no sea accedida por
diferentes motivos. Uno de los ejemplos ms tpicos es el del ejrcito de
un pas. Adems, es sabido que los logros mas importantes en materia
de seguridad siempre van ligados a temas estratgicos militares.
Por otra parte, determinadas empresas a menudo desarrollan diseos
que deben proteger de sus competidores. La sostenibilidad de la
empresa as como su posicionamiento en el mercado puede depender de
forma directa de la implementacin de estos diseos y, por ese motivo,
deben protegerlos mediante mecanismos de control de acceso que
aseguren la confidencialidad de esas informaciones.
Un ejemplo tpico de mecanismo que garantice la confidencialidad es la
Criptografa, cuyo objetivo es cifrar o encriptar los datos para que
resulten incomprensibles a aquellos usuarios que no disponen de los
permisos suficientes.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que
proteger y es la clave de encriptacin. Esta clave es necesaria para que

el usuario adecuado pueda descifrar la informacin recibida y en funcin

del tipo de mecanismo de encriptacin utilizado, la clave puede/debe
viajar por la red, pudiendo ser capturada mediante herramientas
diseadas para ello. Si se produce esta situacin, la confidencialidad de
la operacin realizada (sea bancaria, administrativa o de cualquier tipo)
queda comprometida.
Integridad
En trminos de seguridad de la informacin, la integridad hace
referencia a la fidelidad de la informacin o recursos, y normalmente se
expresa en lo referente a prevenir el cambio impropio o desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no
autorizadas de la informacin.
La integridad hace referencia a:
la integridad de los datos (el volumen de la informacin)
la integridad del origen (la fuente de los datos, llamada
autenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede
afectar a su exactitud, credibilidad y confianza que las personas ponen
en la informacin.
A menudo ocurre que al hablar de integridad de la informacin no se da
en estos dos aspectos.
Por ejemplo, cuando un peridico difunde una informacin cuya fuente
no es correcta, podemos decir que se mantiene la integridad de la
informacin ya que se difunde por medio impreso, pero sin embargo, al
ser la fuente de esa informacin errnea no se est manteniendo la
integridad del origen, ya que la fuente no es correcta.
Disponibilidad
En general, el trmino 'disponibilidad' hace referencia a una cualidad de
'disponible' y dicho de una cosa "Que se puede disponer libremente de
ella o que est lista para usarse o utilizarse."
En trminos de seguridad de la informacin, la disponibilidad hace
referencia a que la informacin del sistema debe permanecer accesible a
elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no
autorizadas/controladas de los recursos informticos.

En trminos de seguridad informtica un sistema est disponible

cuando su diseo e implementacin permite deliberadamente negar el
acceso a datos o servicios determinados. Es decir, un sistema es
disponible si permite no estar disponible.
Y un sistema 'no disponible' es tan malo como no tener sistema. No
sirve.
Como resumen de las bases de la seguridad informtica que hemos
comentado, podemos decir que la seguridad consiste en mantener el
equilibrio adecuado entre estos tres factores. No tiene sentido conseguir
la confidencialidad para un archivo si es a costa de que ni tan siquiera el
usuario administrador pueda acceder a l, ya que se est negando la
disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades se puede dar
prioridad a un aspecto de la seguridad o a otro. En ambientes militares
suele ser siempre prioritaria la confidencialidad de la informacin frente
a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda
eliminarla no podr conocer su contenido y reponer dicha informacin
ser tan sencillo como recuperar una copia de seguridad (si las cosas se
estn haciendo bien).
En ambientes bancarios es prioritaria siempre la integridad de la
informacin frente a la confidencialidad o disponibilidad. Se considera
menos daino que un usuario pueda leer el saldo de otro usuario a que
pueda modificarlo.
Autenticacin
Definimos la Autenticacin como la verificacin de la identidad del
usuario, generalmente cuando entra en el sistema o la red, o accede a
una base de datos.
Normalmente para entrar en el sistema informtico se utiliza un nombre
de usuario y una contrasea. Pero, cada vez ms se estn utilizando
otras tcnicas mas seguras.
Es posible autenticarse de tres maneras:
1. Por lo que uno sabe (una contrasea)
2. Por lo que uno tiene (una tarjeta magntica)
3. Por lo que uno es (las huellas digitales)
La utilizacin de ms de un mtodo a la vez aumenta las probabilidades
de que la autenticacin sea correcta. Pero la decisin de adoptar ms de

un modo de autenticacin por parte de las empresas debe estar en

relacin al valor de la informacin a proteger.
La tcnica ms usual (aunque no siempre bien) es la autenticacin
utilizando contraseas. Este mtodo ser mejor o peor dependiendo de
las caractersticas de la contrasea. En la medida que la contrasea sea
ms grande y compleja para ser adivinada, ms difcil ser burlar esta
tcnica.
Adems, la contrasea debe ser confidencial. No puede ser conocida por
nadie ms que el usuario. Muchas veces sucede que los usuarios se
prestan las contraseas o las anotan en un papel pegado en el escritorio
y que puede ser ledo por cualquier otro usuario, comprometiendo a la
empresa y al propio dueo, ya que la accin/es que se hagan con esa
contrasea es/son responsabilidad del dueo.
Para que la contrasea sea difcil de adivinar debe tener un conjunto de
caracteres amplio y variado (con minsculas, maysculas y nmeros). El
problema es que los usuarios difcilmente recuerdan contraseas tan
elaboradas y utilizan (utilizamos) palabras previsibles (el nombre, el
apellido, el nombre de usuario, el grupo musical preferido,...), que
facilitan la tarea a quin quiere entrar en el sistema sin autorizacin.
6. Cules son los niveles de proteccin de la informacin?
Nivel C1: Proteccin Discrecional
Se requiere identificacin de usuarios que permite el acceso a distinta
informacin. Cada usuario puede manejar su informacin privada y se
hace la distincin entre los usuarios y el administrador del sistema,
quien
tiene
control
total
de
acceso
Nivel C2: Proteccin de Acceso Controlado
Este subnivel fue diseado para solucionar las debilidades del C1.
Cuenta con caractersticas adicionales que crean un ambiente de acceso
controlado. Se debe llevar auditora de accesos o intentos fallidos de
acceso a objetos.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B.
Soporta seguridad multinivel, como la secreta y la ultra secreta. Se
establece que el dueo del archivo no puede modificar los permisos de

un

objeto

que

est

bajo

control

de

acceso

obligatorio.

Nivel B2: Proteccin Estructurada

La Proteccin Estructurada es la primera que empieza a referirse al
problema de un objeto a un nivel ms elevado de seguridad en
comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser
etiquetado por almacenar archivos que son accedidos por distintos
usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalacin de hardware: por ejemplo el
hardware de administracin de memoria se usa para proteger el dominio
de seguridad de acceso no autorizado a la modificacin de objetos de
diferentes
dominios
de
seguridad.
Nivel A: Proteccin verificada
Es el nivel ms elevado, incluye un proceso de diseo, control y
verificacin, mediante mtodos formales (matemticos) para asegurar
todos los procesos que realiza un usuario sobre el sistema.
7. Enumere dos de los controles fsicos para la seguridad de la
informacin
El control fsico es la implementacin de medidas de seguridad en una
estructura definida usada para prevenir o detener el acceso no
autorizado a material confidencial. Ejemplos de los controles fsicos son:

Cmaras de circuito cerrado

Sistemas de alarmas trmicos o de movimiento

Guardias de seguridad

Identificacin con fotos

Puertas de acero con seguros especiales

Biomtrica (incluye huellas digitales, voz, rostro, iris, escritura a

mano y otros mtodos automatizados utilizados para reconocer
individuos)

8. Enumere tres de los controles lgicos para la seguridad de la

informacin
Los controles lgicos son aquellos basados en un software o parte de
l, que nos permitirn:
Identificar los usuarios de ciertos datos y/o recursos: hacer una
clasificacin de tipos de usuarios y sus objetivos de acceso a los
sistemas.
Restringir el acceso a datos y recursos de los sistemas:
establecer los permisos por tipo de usuario. Por ejemplo, establecer que
un usuario comn de un sistema no tendr acceso a los datos
financieros de la organizacin.
Producir pistas para posteriores auditorias: todos los movimientos
hechos por los usuarios deben ser registrados y guardados a modo de
historia de lo que ha ocurrido. Generalmente archivos llamados logs,
son los que mantienen este tipo de informacin.
9. Cmo se clasifican los controles para reducir el riesgo en la
seguridad de la Informacin?
La fuerza y el alcance de las medidas de proteccin, dependen del nivel
de riesgo

Alto riesgo: Medidas deben evitar el impacto y dao.

Medio riesgo: Medidas solo mitigan la magnitud de dao pero no
evitan el impacto.

10. Enumere 3 riesgos fsicos y 3 riesgos lgicos que afectan la

seguridad de la informacin
Ciberplagas
A veces tambin se le denomina como software malintencionado. Abarca
un conjunto diverso de programas (virus, gusanos, caballos de Troya,
etc.) cuyos objetivos es aduearse del control del sistema operativo con
el fin de provocar, en la mayora de los casos, la destruccin de la
informacin u otros tipos de daos a los sistemas informticos.

.Las caractersticas de los principales tipos de software malintencionados

son las que se explican en los siguientes prrafos, aunque lo normal es
que no existan tipos puros, sino programas que renen las
caractersticas de varios del tipo bsicos.
Copias Ilegales
Cada vez ms circulan por la red todo tipo de programas que permiten la
copia de otros programas, msica, tarjetas de TV, CD, pelculas, etc.
Todo ello ocasiona un fraude a los derechos de autor y a los beneficios
de empresas editoras, cinematogrficas, discogrficas, de TV, etc., que
se elevan a miles de millones anuales, y que ponen en peligro el futuro
de algunos sectores econmicos dedicados al ocio.
Medidas de proteccin: Cambio peridico de los sistemas de proteccin
del diferente soporte. Estas medidas son muy poco eficaces, ya que en
plazos muy breves aparecen sistemas de desproteccin.
Denegacin de servicio
Consiste en el envo de mensajes masivos a un servidor, mediante los
programas ya comentados, con el nico fin de saturarlo y bloquearlo,
impidiendo el normal funcionamiento del sistema.
El riesgo es muy importante en servidores y hosts que administran
servicios importantes como el trfico areo, ferroviario, distribucin
elctrica, o seguridad nacional por las graves consecuencias que para el
normal funcionamiento de los correspondientes servicios tendra la
denegacin de los mismos
Medidas de proteccin: Separar el servidor de correo electrnico o de
pginas web de la red local o de la Intranet del usuario. Muchas veces
esto es imposible por la propia configuracin del sistema. Adems en los
entornos de la Seguridad Informtica, existe el aforismo de que el nico

ordenador seguro es el que se encuentra aislado en una habitacin con

las correspondientes medidas de seguridad fsica y sin estar conectado a
ninguna fuente de suministro elctrico. Es decir, un ordenador inactivo,
muerto.

11. Mediante un esquema explique el procedimiento para el

anlisis del riesgo

12.

Explique el tratamiento para el riesgo

Para aquellos riesgos cuyo nivel est por encima del umbral deseado la
empresa debe decidir cul es el mejor tratamiento que permita
disminuirlos. Esta decisin siempre ha de pasar un filtro econmico
donde el coste del tratamiento, o coste de proteccin, no supere el coste
de riesgo disminuido.
Para el tratamiento de riesgos las empresas cuentan, entre otras, con las
siguientes opciones:
Evitar o eliminar el riesgo: por ejemplo sustituyendo el activo por
otro que no se vea afectado por la amenaza o eliminando la actividad
que lo produce.
Reducirlo o mitigarlo: tomando las medidas oportunas para que el
nivel de riesgo se site por debajo del umbral.
Transferirlo, compartirlo o asignarlo a terceros: en ocasiones la
empresa no tiene la capacidad de tratamiento y precisa la contratacin
de un tercero con capacidad para reducir y gestionar el riesgo dejndolo
por debajo del umbral.
Aceptarlo: se asume el riesgo, bien porque est debajo del umbral
aceptable de riesgo bien en situaciones en las que los costes de su
tratamiento son elevados y aun siendo riesgos de impacto alto su

probabilidad de ocurrencia es baja o porque aun a pesar del riesgo la

empresa no quiere dejar de aprovechar la oportunidad que para su
negocio supone esa actividad arriesgada.