UAGRM.

Diplomado en Seguridad
Informática

DOCENTE: Ing. Rolando Lijerón L.

MSc. Auditoría y Seguridad Informática
SEPTIEMBRE DEL 2009
 Programa del Curso
1. La Seguridad Informática: Términos
relacionados con la Seguridad Informática;
Objetivos de la Seguridad Informática; • Aprobación
Políticas, Normas y Procedimientos de la – Evaluación Continua
Seguridad Informática.
2. Seguridad Física y Lógica: Factores
Trabajos Prácticos 25
potenciales de riesgo. Ejemplos. %.
Soluciones de Seguridad Lógica. – Trabajo Obligatorio
Identificación de amenazas potenciales.
Prevención de riesgos. Ejemplos. sobre la Seguridad
Soluciones de seguridad física. Informática Expuesto
3. Análisis de Riesgos: Identificación del 35%.
Riesgos, Seguimiento y Monitoreo del
Riesgo en la Actividad Informática. – Examen de 13 preguntas
Estándar Australiano ASNZS 43601999 40%.
4. Gobierno de la Seguridad Informática:
Sistemas de Evaluación de Seguridad.
Estándar ISO 27001, ITL, COBIT.
TEMA 1:

LA SEGURIDAD
INFORMÁTICA
 Consideración de “Seguridad”
• La seguridad es una meta ambiciosa es considerada
por otros estudios una herramienta dentro del
ámbito en la que se la estudia, ya que como materia
no existe.
• Muchos se arriesgan ha que esta teoría es tan amplia,
compleja y abstracta como la pobreza, la belleza o el
amor y ni si quiera se arriesgan a dar su definición.
• El Dr. MANUNTA en su libro: “Seguridad: Una
Introducción” dice:
“La Seguridad hoy en día es una profesión
compleja con funciones especializadas”.
• Podemos decir que la seguridad es un problema
antagonista (de rivalidad, oposición substancial) y de
la competencia.
 Concepto: “Seguridad”
Seguridad, certeza, confianza.
Certeza: Conocimiento seguro y claro de
alguna cosa.
Firme adhesión de la mente a algo
conocible, sin temor de errar.
Confianza: Esperanza firme que se tiene
de una persona o
cosa/Ánimo, aliento, vigor para obrar.
La cualidad de estar Libre y protegido u
exento de todo peligro, daño o riesgo.
Cierto, indubitable y en cierta manera infalible.
Condición de ese o aquel en que se puede
fiarse.
 Concepto: “Informática”
• La Informática es la ciencia que estudia el tratamiento
automático de la información en computadoras,
dispositivos electrónicos y sistemas informáticos.
• Proviene del francés “informatique” y fue acuñado por
el ingeniero Philippe Dreyfus en 1962. Formó una
conjunción entre las palabras "information" y
"automatique".
 Sistemas Informáticos
• Cada día más los sistemas informáticos resuelven por
nosotros cada día más problemas.
• Esto implica dos consecuencias:
– Los Sistemas Informáticos manejan información
vital para individuos y organizaciones.
– Muchas veces es imprescindible que los Sistemas
Informáticos de una organización estén disponibles.
La mayoría del mundo informático desconoce
la magnitud de los problemas a los que se enfrenta; y
generalmente no se invierte capital económico
y humano necesarios para prevenir
principalmente el daño de la perdida de
información.
 “Seguridad Informática”
• Seguridad informática es un conjunto de
soluciones técnicas a problemas no técnicos.
• Seguridad Informática es el conjunto de reglas,
planes y acciones que permiten asegurar la
información contenida en un sistema computacional.
Seguridad informática es un conjunto de soluciones
técnicas a problemas no técnicos.
• Como se sabe el problema nunca se resuelve: ya
que la energía no desaparece solo se transforma en
solución; estará dada en transformación de
problemas diferentes y aceptables.
 “Seguridad Informática” (SI)

• La SI es una disciplina que permite asegurar que los recursos

del sistema de información de una organización u entidad sean
utilizado de la manera que decidió; libre de toda falla,
peligro, daño o riesgo que pueda afectar su funcionamiento
directo o los resultados que se obtienen del mismo.
 Elementos de La Seguridad
El Objetivo de la Seguridad Informática será mantener la Integridad,
Disponibilidad, Confidencialidad, Control y Autenticidad de la Información
manejada por un Sistema Informático.
La información sólo puede
Integridad ser modificada por quien está
autorizado y de manera
controlada.

Disponibilidad E-Security Confidencialidad

Debe estar disponible La información sólo
cuando se necesita debe ser legible para
los autorizados.

Autenticidad
La información fue producida, expedida, cambiada o destruida
por una determinada persona física, o por determinado sistema
o entidad;
Relación con otros aspectos…
• No repudio: Es la protección contra la falsa
negación del involucramiento en una asociación, o
sea, garantizar la autoría de determinadas acciones
impidiendo el repudio (negación) de la misma;
• Auditoria: Es la capacidad de determinar que
acciones o procesos se están llevando en el
sistema, así como quien y cuando las realiza.
• Protección a la Replicas: Asegurar que una
transacción pueda realizarse una sola vez (a menos
que se especifique lo contrario).
• Consistencia: Se debe asegurar que el sistema se
comporte como se supone que debe hacerse ante
los usuarios que corresponda.
Términos Relacionados..1
• Activo: recurso del sistema de
información o relacionado con éste,
necesario para que la organización
funcione correctamente y alcance los
objetivos propuestos.
• Amenaza: es un evento que puede
desencadenar un incidente en la
organización, produciendo daños
materiales o pérdidas inmateriales en
sus activos.
Términos Relacionados..2
• Impacto: medir la consecuencia al
materializarse una amenaza.
• Riesgo: posibilidad de que se
produzca un impacto determinado en
un Activo, en un Dominio o en toda la
Organización.
• Vulnerabilidad: posibilidad de
ocurrencia de la materialización de
una amenaza sobre un Activo.
Términos Relacionados..3
• Ataque: evento, exitoso o no,
que atenta sobre el buen
funcionamiento del sistema.
• Desastre/Contingencia:
interrupción de la capacidad de
acceso a información y
procesamiento de la misma a
través de computadoras
necesarias para la operación
normal de un negocio.
 Seguridad de que…
• Se trata de la protección de los activos informáticos (ISO
27001):
1. Información
– Es el objeto de mayor valor para una organización, el objetivo
es el resguardo de la información, independientemente del
lugar en donde se encuentre registrada, en algún medio
electrónico o físico.
– Registros electrónicos o físicos.
– Todo lo importante para el negocio.
2. Equipos que la soportan.
– Software, hardware y organización.
3. Usuarios
– Individuos que utilizan la estructura tecnológica y de
comunicaciones que manejan la información.

• Esto implica:
– Protección de información.
– Asegurar la continuidad de los sistemas informáticos que dan
soporte a las operaciones de una organización.
 1.Información •Impresos o escritos en papel.
•Almacenada electrónicamente.
•Transmite por correo o en forma
electrónica.
•La que se muestra en videos corporativos.
• Tipos de Información •Lo que se habla en conversaciones.
•Estructura corporativa de información.
•Documentos, informes, libros, manuales,
código de programación, lineas de
Valor de la Información (Vi) comando, planilla de sueldos de
empleados, …etc.
Establecer el valor de la
información es algo totalmente
relativo, pues es un recurso que no
se valora adecuadamente debido a
su intangibilidad, cosa totalmente
diferente que no ocurre con
equipos, aplicaciones y
documentación que la soportan.
Vi=CR+CNT
CR=Costo de Recuperación
CNT=Costo de No Tenerla
 1. Clasificación de la Información
– Existe información que no puede
ser pública: puede ser visualizada
por otra persona; y aquella que debe
ser privada solo puede ser
visualizada por un grupo selecto de
personas.
– Esta ultima debe ser a la vez
subclasificada de acuerdo a las
siguientes características:
• Es Critica: es indispensable
para garantizar la continuidad
operativa.
• Es valiosa: es un activo con
valor en si misma.
• Es sensitiva: Debe ser
conocida por personas que la
procesan y sólo por ellas.
La Información es un activo que
como cualquier otro activo
importante del negocio, tiene
valor para la organización,
consecuentemente necesita
“Protección Adecuada”.
Riesgos de la Información
•Robo de información vital para
el negocio,
•Perdida de información
sensible,
•Pérdida de archivos,
Falsificación de Documentos:
puede producirse la alteración
de contenidos, introducción de
datos falsos, manipulación
fraudulenta de datos, etc.
 2.Equipos: Software
Software.
Todos los programas usados para automatizar procesos.

Se busca evaluar la Riesgos de Software

creación, distribución •Fallas publicadas no reparadas que
y uso de software puedan representar accesos
para detectar indebidos a los equipos. Pérdida de
vulnerabilidades. En los sistemas de respaldo.
los Sistemas •Puede producirse la sustracción de
operativos (Unix, programas, ejecución errónea,
Windows, Linux, modificación, defectos en llamadas al
etc.), Programas de sistema, etc.
correo electrónico, •Puede producirse la introducción de
Sistemas de un virus, mal uso de la gestión de
Respaldo, Sistemas memoria, bloqueo del sistema, etc.
…etc.
2.Equipos: Hardware
Hardware.
•Toda la infraestructura tecnológica que brinda soporte a la
información.
•Cualquier equipo en el cual se almacene, procese o
transmita la información de la empresa.
Ej.: computadores, servidores, portátiles, mainframes,
medios de almacenamiento, equipos de conectividad,
routers, switchs y cualquier otro elemento de una red de
computadoras por donde transita la información.

Riesgos de Hardware
•Denegación de servicios necesarios para la operativa.
•Fallas eléctricas que dañen los equipos, inundaciones en
centros de cómputo, robo de equipos portátiles.
•Pueden producirse errores intermitentes, conexiones
suelta, desconexión de tarjetas, etc.
 2.Equipos: Organización
Organización.
•Todos los aspectos que componen la estructura física y
organizativa de las empresas
•La organización lógica y física que tiene el personal dentro
de la empresa
Ej.: la estructura departamental y funcional, el cuadro de
asignación de funcionarios, la distribución de funciones y los
flujos de información de la empresa, ambiente físico
Riesgos Organización
Inseguridad en la ubicación FISICA: documentos, equipos o
personas.
Estructura organizacional que no permita los cambios en materia
de seguridad.
 3. Usuarios
Organización.
•Todos los individuos que utilizan la estructura tecnológica y
de comunicación de la empresa y que manejan la
información
•Enfocado a la toma de conciencia de formación del hábito
de la seguridad
Ej.: Empleados del área de contabilidad, directivos de la
empresa
Riesgos de Organización
Robo de Información por: No usar contraseñas complejas o No
bloquear el computador.
Falta de cooperación por parte de los usuarios en materia de
seguridad.
Descuido de parte de los usuarios en el manejo de la
información.
La Ingeniería Social: Como conocer o aprender detalles
operativos internos. Debilidad humana toman ventaja de:
descuidos internos, Debilidad humana toman ostentosa o
aparente autoridad, exceso de colaboración y otros.
 ¿Todos estos riesgos ocurren?
Si y es más frecuentemente de lo que en principio imaginamos.

¿ Estamos prestando atención a

este tema ?
Es raro que se hagan públicos estos problemas.
La base del problema
• Muchas aplicaciones informáticas están concebidas como sistemas
abiertos, se comunican sobre protocolos estándar, se integran
fácilmente con otras herramientas...
• Soluciones baratas, abiertas, escalables, cuyos detalles técnicos son
conocidos por todos.
• Estas ventajas también abren la posibilidad de
ataques que permiten vulnerar nuestros sistemas.
Recomendación

Es muy peligroso enfocar la seguridad

informática en torno a “reaccionar a ataques”.
Es preferible adoptar una actitud proactiva,
orientada a detectar incidentes e intervenir de
inmediato, de modo de evitar ataques.
 ISO/IEC 27002
 Seguridad de la información: Es la
protección de las informaciones de los
diversos tipos de amenazas para minimizar
daño al negócio y garantizar su
continuidad, maximizando el returno de las
inversiones y las oportunidades de negócio;
 Evolución de la Seguridad de la
Información
Seguridad no es solamente un problema
tecnológico, si no una gestión inteligente de
la información en todos los ambientes;
 Política
Políticade
delala Comprometimiento
Comprometimientoyy
Apoyo
Apoyodedelala seguridad Buen
Buenentendimien
seguridadque
que apoyo
apoyovisible
visiblede
de entendimien
Alta
AltaGerencia; refleje oode
delos
losrequisitos
Gerencia; reflejelos
losobjetivos
objetivos todos
todoslos
losniveles
nivelesde
de requisitos
del de
deseguridad
seguridadyy
delnegócio;
negócio; lalaorganización;
organización;
Gestión
Gestiónde
deriesgos;
riesgos;

Gestión de la Seguridad
La GS de la Información es obtenida a partir de la implementación de un
conjunto de controles adecuados, incluyendo políticas, normas,
procedimientos, procesos, estructuras organizacionales y funciones de
hardware y software;

Proporcionar
Proporcionar
divulgación,
divulgación,
Conscientización, Provisión
Provisiónde Adoción
Conscientización, de Adociónde deindicadores
indicadores
entrenamiento
entrenamientoyy Recursos para
Recursos paralalaMedición
Medicióndedelala
Educación
Educación financieros
financierospara
paralala Seguridad;
Seguridad;
adecuados;
adecuados; Seguridad;
Seguridad;
 PNP
PNP
Documento fundamental que forma el
establecimiento, direccionamiento y
soporte administrativo necesario para la
gestión de la seguridad de la información.
La Política de Seguridad Informática (PSI)
es un conjunto de leyes, reglas, guías y
prácticas que regulan cómo una
organización u entidad maneja, protege y
Política distribuye información sensitiva.

Regla que especifica que

acción o respuesta que se
debe seguir a una situación
Norma dada.

Los procedimientos definen cómo las políticas, normas

basadas en estándares, mejores prácticas o guías que
serán implementados en una situación dada
dependiendo de las tecnologías, infraestructura
Procedimiento procesos o plataformas utilizadas.
Contenido de la Política de Seguridad
1. Alcance de la políticas, incluyendo facilidades,
sistemas y personal sobre la cual aplica.
2. Objetivos de la política y descripción clara de
los elementos involucrados en su definición.
3. Responsabilidades por cada uno de los servicios
y recursos informáticos a todos los niveles de la
organización.
4. Requerimientos mínimos para configuración de
la seguridad de los sistemas que cobija el alcance
de la política.
5. Definición de violaciones y de las consecuencias
del no cumplimiento de la política.
6. Responsabilidades de los usuarios con respecto
a la información a la que él o ella tiene acceso.
 • La administración superior debe definir una política clara y
apoyar la Seguridad de la Información a través de la creación
y mantenimiento de una política de seguridad de la
información a lo largo de la organización.
El Documento debe ser aprobado por la administración,
publicado y comunicado a todos los empleados.
• La evaluación y revisión política debe ser administrada por
una persona quién es responsable de su mantenimiento de
acuerdo a un proceso definido.
Todos estos documentos (normas, procedimientos, modelos,
PNP guías y orientaciones) deben ser creados y mantenidos, de
acuerdo con la jerarquía de la documentación de la
organización; para ello debemos apoyarnos a estándares por
ejemplo: El Estándar Internacional para Criterio de Evaluación
de Seguridad 15408, COBIT(Objetivos de Control para la TI),
ITIL ISO 27001,..ETC.
Objetivos de PNP
1. Informar al mayor nivel de detalle a los
usuarios, empleados y gerentes de las normas y
mecanismos que deben cumplir y utilizar para
proteger los componentes de los sistemas de la
organización.
2. Proporcionar los criterios para adquirir,
configurar y auditar los sistemas de
computación y redes para que estén en
concordancia con la política de seguridad.
3. Establecer metodologías para evaluar en forma
efectiva los riesgos y debilidades de seguridad en los
sistemas de la organización.
4. Comunicar las responsabilidades para la protección
de la información.
5. Establecer la metodología de comunicación de la
presente política a todos lo usuarios de la información
de la organización.
6. Explicitar el Impacto de los Eventos de Seguridad en
la Organización
7. Básicamente poner por escrito qué y como se va a
hacer con cada una de las cosas que vimos en el curso y
otras que van a ver próximamente.
 • Privacidad de la Información: Asegurar que los
activos de información reciben un apropiado nivel de
protección. Clasificar la Información: Pública, Uso
Interno Solamente/Privada, Secreto, Confidencial,
Equilibrio entre la Confidencialidad, Integridad y
Disponibilidad, Valorar los Activos de Información,
Evaluar Riesgos, Determinar Relación de
costo/beneficio, atenuar incidentes de seguridad, definir
matriz de dueños de la información y las
responsabilidades por cada rol de usuario especificando
PNP las reglas de seguridad y el propósito de su uso.
• Clasificación y Control de Activo: Mantener
protecciones apropiadas para los activos
organizacionales. Realizar un Inventario de los Activos
para ello cada activo deberá ser claramente identificado
y se debe documentar la propiedad y clasificación de
seguridad, además de su ubicación actual.
 • Controles de Acceso: Controlar el acceso a la información.
– Gestión del acceso de los usuarios : Registro de usuarios, Gestión
de contraseñas de los usuarios, Identificación y Autenticación
(Cruzado roles y categorías de Información), Reglas para las
contraseñas, Gestión de privilegios, Revisión de los permisos de
acceso de los usuarios, Privilegios para acceso por defecto.
– Control de acceso a la red de comunicaciones: Protección de los
datos de las estaciones de trabajo, Control de acceso para las
aplicaciones, Restricciones al acceso de la información.
– Accesos a sistemas: Aislamiento de sistemas aplicativos
sensitivos, Uso de los utilitarios del sistema, Monitoreo del
PNP acceso y uso de los sistemas, Registro (log) de eventos (sistemas
automáticos de advertencias), Monitoreo del uso de los sistemas,
Sincronización de relojes
– Acceso remoto, uso de módem y equipos portables.
– Segregación de responsabilidades
– Uso de criptografía
 • Seguridad Física y Ambiental: Prevenir el acceso no autorizado,
daño e interferencia a la información y premisas del negocio.

– Los elementos que forman parte del procesamiento de información sensitiva

o crítica del negocio deberán ser resguardados y protegidos por un perímetro
de seguridad definido con controles apropiados de entrada.
– Los equipos deben ser protegidos de caídas de electricidad y otras anomalías
eléctricas.
– Incluir Medidas de acceso físico
– Acceso a áreas restringidas
– Acceso de proveedores de servicios
– Detecciones de irregularidades
– Seguridad eléctrica
PNP – Incendios y humo
– Cableado
– Almacenamiento de respaldos
– Inventario de dispositivos de tecnología de la información
– Ubicación de los dispositivos de conectividad
– Ubicación y documentación de llaves
– Seguridad de insumos
– Seguridad lógica
– Seguridad de acceso lógico
– Logs del sistema
– Respaldos
 • Seguridad del Personal: Reducir los riesgos de errores humanos,
robo, fraude o mal uso de las facilidades organizacionales.

– Todos los empleados y usuarios externos de los servicios de procesamiento

de la información deberían firmar un acuerdo de confidencialidad y
programa de divulgación.
– El acuerdo de confidencialidad debe hacer notar que la información es
confidencial o secreta.
– Todos los empleados de la organización deberán recibir entrenamiento
apropiado en los procedimientos y políticas organizacionales.
– La regularidad dependerá de la actualización o los cambios que se den en la
organización.
– Debe establecerse un procedimiento formal de reporte de incidentes como
de respuesta a incidentes (aprender de los incidentes para minimizar daños
PNP futuros).
– Los usuarios deberán reportar cualquier debilidad de seguridad
observada o sospechas que tengan de los sistemas o servicios.
– Desecho seguro de contenidos
– Seguridad en las descripciones de tareas y actividades del negocio
– Seguridad en la asignación de tareas
– Seguridad en la Contratación, Modificación o Baja de Personal.
– Seguridad en la interacción con entidades externas (Clientes, Proveedores).
– Seguridad en la Gestión Tercerizada.
 • Seguridad Organizacional: Administrar la seguridad
de la Información dentro de la organización.

– Infraestructura de la Información: El consejo directivo

o un grupo designado por este debería de asumir la
responsabilidad de la seguridad de información.
• Definir claramente las responsabilidades para la protección
de activos de información ó físicos y procesos de seguridad.
• Se deben establecer procesos de autorización para nuevas
facilidades de procesamiento de la información.
PNP
• Es recomendable disponer de la asesoría de un especialista
de seguridad (para propósitos de evaluación o de
investigación de incidentes).
– Seguridad en el acceso de terceros: Revisar los tipos de
acceso (físicos y lógicos), Los contratos deben incluir
controles.
 • Administración de Comunicaciones y Operaciones:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.
– Los procedimientos de operación identificados por la
política de seguridad deberán ser documentados y
revisados constantemente.
– Los cambios en los sistemas y elementos de
procesamiento de información deben ser controlados.
– Se deben establecer procedimientos y responsabilidades
para el manejo de incidentes, como:
PNP • Procedimientos que cubran todos los tipos potenciales de
incidentes de seguridad (pérdidas de servicio, negación de
servicio, datos incorrectos, brechas de confidencialidad.
• Procedimientos para Planes de Contingencia, Análisis e
Identificación de las causas de un incidente, Colección de
pistas de auditoría, Reporte a las autoridades, etc.
• Las acciones a seguir para recuperarse de problemas de
seguridad y corrección de fallas en los sistemas, (las
acciones de emergencias deben ser documentadas en
detalle).
 • Administración de Comunicaciones y Operaciones:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.
– La segregación de tareas y oposición de intereses es un
método de reducir los riesgos del mal uso (accidental o
deliberado) de los sistemas.
– Las áreas de desarrollo de Sistemas y Pruebas deben estar
separadas de los Sistemas en Producción.
– La planeación y aceptación de sistemas debe minimizar
PNP los riesgos de fallas en los sistemas.
• Se debe monitorear y proyectar los requerimientos de
capacidad a fin de asegurar que hay disponible una adecuada
capacidad de procesamiento y almacenamiento.
• Deben establecerse criterios de aceptación para nuevos
sistemas de información, actualizaciones y nuevas versiones
y se deben definir pruebas para llevarlas a cabo antes de su
aceptación.
 • Administración de Comunicaciones y Operaciones:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.

– Asegurar la protección de la información en las redes así como de

su infraestructura.
• Los administradores de la red deben implementar controles que
aseguren a los datos en la red de accesos no autorizados por el:
– Correo Electrónico
– File transfer Protocol
– World Wide Web (WWW), HTTP y HTTPS
– Auditoría a la actividad en Internet
• Seguridad en la protección de equipos su instalación y configuración.
PNP • Concienciar la Seguridad en la red Internet
• Establecer medidas de protección de los servicios en Internet
• También se deben implementar controles adicionales para proteger los
datos sensitivos que pasan sobre redes públicas.
– Hacer copias en forma regular de la información esencial del
negocio y del software. Se pueden utilizar los siguientes
controles:
• Documentación de los Backups, copias adicionales y almacenadas en
una localidad remota.
• Los Back-ups se deben proteger físicamente y contra las condiciones
del ambiente.
 • Administración de Comunicaciones y Operaciones:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.

– Proteger la integridad del Software y la Información contra

Software Malicioso.
• Política para el cumplimiento con licencias de software y prohibir el
uso de software No autorizado.
• Política para proteger contra los riesgos asociados al obtener archivos
o software de redes externas.
• Instalación y actualización regular de Antivirus y software scaneador
de computadoras cono una medida preventiva.
• Revisar regularmente del software y contenido de datos de los
PNP sistemas que soportan los sistemas críticos del negocio.
• Revisar cualquier archivo electrónico contra virus.
• Revisar los documentos adjuntos en correos electrónicos así como
cualquier archivo que se baje de Internet contra código malicioso.
• Procedimientos y responsabilidades administrativas para lidiar con la
protección de virus en los sistemas, entrenamiento y reporte y
recuperación de ataques.
• Planes de Continuidad del Negocio para recuperarse ante ataques de
virus.
• Procedimientos para verificar todas la información en relación con
software malicioso y verificar que los boletines de advertencia son
verdaderos.
 • Administración de Comunicaciones y Operaciones:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.

– Se deben definir procedimientos para la protección de

documentos, discos, cintas, bases de datos, etc., del robo o acceso
no autorizado.
– Los medios que no se ocupen más en la empresa deben ser
desechados en forma segura.
– La documentación de sistemas puede contener información
sensitiva por lo que debe ser almacenada con seguridad.
PNP – Se debe prevenir la pérdida, modificación o mal uso de la
información intercambiada entre organizaciones.
• El correo electrónico presenta los siguientes riesgos:
– Vulnerabilidad de los mensajes ó acceso no autorizado.
– Vulnerabilidad a errores (direcciones incorrectas).
– Cambio en los esquemas de comunicación (más personal).
– Consideraciones legales (prueba de origen).
– Controles para el acceso remoto al correo.
 • Desarrollo y Mantenimiento de Sistemas: Asegurar que la
seguridad es incluida en los Sistemas de Información.
– Seguridad en las Aplicaciones
– Prevenir la pérdida, modificación, o mal uso de los datos en las
aplicaciones.
– Seguridad en los archivos del Sistema.
– Asegurar que los proyectos de TI y actividades de soporte son
conducidas en una manera segura.

• Administración en la Continuidad del Negocio: Actuar ante

interrupciones de las actividades del Negocio y proteger
procesos críticos del negocio de los efectos de fallas o
PNP desastres considerables.
– Establecer un marco de trabajo para el planeamiento de la
continuidad de las actividades del negocio.
– El marco de trabajo de los planes de continuidad del negocio debe
ser mantenido para asegurarse que todos son desarrollados en
forma consistentes, pruebas y mantenimiento.
– Se deben probar con frecuencia los Planes de Continuidad ante la
falla de conectividad, falla del suministro electrico o escenarios
parecidos entre otros.
– Establecer Responsabilidades y acciones a Tomar en caso de falla
• De incumplimiento
• De sabotaje
• Otros
Aspectos legales…
• Las PNP deben definir
procedimientos apropiados para
ser implementados de manera de
asegurarse del cumplimiento de
las restricciones legales para
evitar brechas o violaciones a
cualquier ley criminal o civil,
regulatoria o contractual.
Ej.: Pueden en materia de
derecho de la propiedad
intelectual entre otros.
TEMA 2:

SEGURIDAD FÍSICA Y
LÓGICA
 Tipo de Seguridad con
respecto a la naturaleza de la
Existen amenaza
dos tipos de
seguridad con respecto a la naturaleza de la
amenaza:

Seguridad lógica: Seguridad Física:

Conjunto de medidas vueltas para
la prevención y la obstrucción de
las acciones u ocorrencias
adversas de cualquier naturaleza
que puedan comprometer medios
computacionales donde sean
tratadas las Informaciones;
Involucra la Protección de la
información en su propio medio
mediante el enmascaramiento de
la misma usando técnicas de
criptografía. Aplicaciones para
seguridad, herramientas
informáticas, etc.
Conjunto de medidas vueltas para la
prevención y la obstrucción de las acciones u
ocurencias adversas de cualquier naturaleza
que puedan comprometer las áreas o las
instalaciones donde sean tratadas las
informaciones;
Involucra la Protección del sistema
ante las amenazas físicas,
planes de contingencia,
control de acceso físico,
políticas de seguridad, normativas,
mantenimiento eléctrico,
anti-incendio, humedad, etc.
 Proteger Activos…
Proteger los activos
significa mantenerlos
seguros contra las
AMENAZAS que puedan
afectar su funcionalidad.
• Integra, nadie que no tenga acceso para eso
puede modificarla en su transito. No
Corrompida.
• Confidencial, la pueden ver solo los que tienen
permiso para ello. Libre de Robo.
• Disponible, debe poder ser consultada en el
momento necesario, sin interrupciones. Libre
de Fallos en la Disponibilidad.
Vulnerabilidades que
pueden hacer que las
amenazas impacten
nuestros sistemas
Son los elementos que, al ser
explotados por amenazas, afectan la
confidencialidad, disponibilidad e
integridad de la información

Puntos débiles

Los puntos débiles dependen

de la forma en que se
organizó el ambiente en que
se maneja la información
Nueva tarea: La corrección de puntos débiles existentes en el
ambiente en que se usa la información.
Objetivos: Amenazas+puntos débiles
Conocer los diferentes tipos de
amenazas que puedan presentarse en
todos los activos de la empresa, para
reconocer su importancia y
permitirnos minimizar el impacto que
provocan.
Identificar los diferentes tipos de
Puntos débiles o Vulnerabilidades
de los activos y conocer como éstos
pueden permitir que las amenazas
alteren la disponibilidad,
confidencialidad o integridad de la
Información.
 AMENAZAS
Las AMENAZAS son agentes que pueden explotar fallos de seguridad
(PUNTOS DEBILES) y como consecuencia causar la perdida o daños a los
ACTIVOS de la empresa.
Naturales: Condiciones de la naturaleza que
podrán causar desastres y daños a los activos,
Ej.: fuego/incendio, inundación, terremotos.
Intencionales: Ataques (es un problema
complejo, a veces no se descubren los ataques,
o se descubren mucho después que ocurrieron.
Tipos de ), Hacker, Sabotajes, espionaje, invasiones,
robos...etc.
AMENAZAS: Involuntarias: Generalmente son acciones
inconscientes de usuarios, Ej., virus, empleados
conectándose a través de un módem a Internet y
compartiendo la red corporativa,
Programas malignos: virus , espías , troyanos,
gusanos, phishing, spamming, etc.
 Amenazas y Puntos Débiles
Las AMENAZAS siempre han existido y conforme avanza la tecnología,
estas surgen en nuevas formas.
Es importante conocer como se clasifican las VULNERABILIDADES o
PUNTOS DEBILES que pueden hacer que las amenazas impacten en los
sistemas de la empresa.
Físicas: Afectan la disponibilidad, Son aquellos presentes en
ambientes donde se maneja la info, Ej.: no disponer de bomberitos.
Naturales: Condiciones de la Naturaleza que pueden colocar en
riesgo la info.
Clasificación De Hardware: Los posibles defectos en la fabricación o
configuración de los equipos, Robos, Averías en Cables,
de Conservación o mantenimiento inadecuado.
De Software: Permiten que ocurran accesos indebidos a sistemas
PUNTOS informáticos, Configuración inadecuada, Puertas traseras….
De Comunicación: Abarca todo el tránsito de la información.
DEBILES: Humanas: Daños que las personas pueden causar a la información
y al ambiente tecnológico que la soporta. Personal interno.

“Existe la opinión de que la principal amenaza para la seguridad en una

empresa pasa por los mismos empleados = amenazas internas.”
 Amenazas y Puntos Débiles
El RIESGO es la probabilidad de que las amenazas
exploten los PUNTOS DEBILES, causando pérdidas o
daños a los ACTIVOS e impactos al negocio, afectando:
La confidencialidad, la integridad y la disponibilidad de
la información.

Con lo cual la SEGURIDAD INFORMATICA, es: Una

Práctica Orientada hacia la eliminación de las
VULNERABILIDADES o PUNTOS DEBILES para
reducir la posibilidad de que las potenciales
AMENAZAS sean exitosas.
Como Objetivo: Garantizar el éxito de la comunicación
segura, con información integra, confidencial y
disponible apoyándose en las MEDIDAS DE
SEGURIDAD para lograr dicho objetivo.
Medidas de Seguridad
• Son las acciones que evitan o
eliminan vulnerabilidades
• Medidas de seguridad para cada tipo
de vulnerabilidad

Preventivas
evitar los puntos
Tipos de Medida débiles
de Seguridad Perceptivas
encontrar actos que
provoquen riesgo
Correctivas
corrección de
problemas cuando
Medidas de Seguridad
Son un conjunto de prácticas
1. Análisis de riesgos
– busca rastrear vulnerabilidades en los
activos que puedan ser explotados por
amenazas
– Resultado: recomendaciones para
corrección de activos
2. Política de seguridad
– establecer los estándares de seguridad
a ser seguidos por todos los
involucrados con el uso y
mantenimiento de los activos
– aumentar la conciencia de la
seguridad de las personas
 Medidas de Seguridad
3. Especificación de seguridad
Busca la correcta implementación de un nuevo
ambiente tecnológico, por medio del detalle de sus
elementos constituyentes
Incluso su disposición para seguir los principios de
la Seguridad Informática.
4. Administración de seguridad
– Es gestión de los riesgos de un ambiente
– Involucra a todas las medidas mencionadas
anteriormente, en forma preventiva, perceptiva y
correctiva
Ciclo de Vida de la Seguridad Informática
 Ciclo de vida de la Seguridad
Informática

• Ciclo en el cual se mantiene la seguridad informática en la

organización desde la: Identificación de amenazas,
• Visualización de los puntos débiles, la exposición de los
activos a riesgos de seguridad, la evaluación del impacto
potencial en el negocio en la empresa y finalmente hasta
la aplicación de medidas de seguridad para reducir puntos
débiles e impacto en el negocio.
• Está formada por un conjunto de fases.
• Es un método continuo para mitigar el riesgo.
Fases del proceso de seguridad

Como lo define el Sans Institute 2001

Fases del proceso de seguridad.
Evaluación

• Evaluación (Assess):
– Identificación de amenazas
– Visualización de los puntos débiles
– Exponiendo los activos a riesgos de seguridad
– Potencial impactos en el negocio de la empresa
– Medidas de seguridad para reducir puntos débiles e
impacto en el negocio.
Fases del proceso de seguridad.
Evaluación

• Evaluación (Assess):
– Análisis de Riesgos basados en el OCTAVE
method.
– Identificación de las Amenazas de Seguridad y
Visualización de Puntos Débiles en Seguridad
Informática (ej., auditorias, evaluación de
Vulnerabilidades, pruebas de penetración, revisión
de aplicaciones)
– Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.
Evaluación
• Debilidades:
– Determinar el estado de la
seguridad en dos áreas
principales: Técnica y No
Técnica.
– No técnica: Evaluación de
políticas.
– Técnica: Evaluación de
Seguridad física, diseño de
seguridad en redes, matriz de
habilidades.
Fases del proceso de seguridad.
Evaluación

• Otras áreas que se deben revisar:

– Seguridad exterior
– Seguridad de la basura
– Seguridad en el edificio
– Passwords
– Ingeniería social
– Clasificación de los datos
– Etc.
Fases del proceso de seguridad.
Evaluación

• El Análisis de Riesgos nos permitirá:

– Realizar acciones:
• Proactivas
• Reactivas
– Administrar el Riesgo:
• Identificar
• Analizar
• Evaluar
• Tratamiento a seguir
Fases del proceso de seguridad.
Evaluación

• Administración de Riesgos:
– Método lógico y sistemático de establecer el contexto,
identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con una actividad,
función o procesos para minimizar pérdidas.
– La Administración de Riesgos se puede basar en el
Estándar Australiano AS/NZ 4360:1999.
 Fases del proceso de seguridad.
Evaluación

Establecer el Tratar riesgos,

Análisis y
Contexto e Monitorear y
Evaluación de
Identificar los comunicar
los Riesgos
riesgos

Administración (basada en el estándar AS/NZ 4360)

Fases del proceso de seguridad.
Diseño

• Actividades a desarrollar para

evitar que sucedan acciones
indeseables.
• Configuraciones de Seguridad
efectivas basadas en estándares
de la industria y
organizacionales.
Fases del proceso de seguridad.
Diseño

• Necesitamos políticas?
– Empleados accesando Internet?
– Problemas con el uso de la red o el email?
– Empleados utilizando información confidencial o privada?
– Acceso remoto a la organización?
– Dependencia de los recursos informáticos?
• Políticas define que prácticas son o no son aceptadas.
Fases del proceso de seguridad.
Diseño
• Como concientizar?
– En persona, por escrito o través de la Intranet.
– Reuniones por departamento.
– Publicar artículos, boletines, noticias.
– Crear un espacio virtual para sugerencias y comentarios.
– Enviar emails con mensajes de concientización.
– Pegar letreros en lugares estratégicos.
– Dar premios a empleados.
– Exámenes On-line.
– Crear eventos de Seguridad Informática.
Fases del proceso de seguridad.
Diseño

• Logs en Firewalls.
• Se requiere Sistemas de detección de Intrusos?
• O necesitamos Sistemas de prevención de
Intrusos?
• Firma digital para envío de documentos?
Fases del proceso de seguridad.
Implementar

• Personal especializado pone en marcha los

controles basados en el diseño desarrollado.
Fases del proceso de seguridad.
Administración y soporte

• Observar las actividades normales y reaccionar

ante incidentes.
• Monitoreo y alertas.
• Las respuestas se basan en el documento de
Políticas de Seguridad definido.
Fases del proceso de seguridad.
Administración y soporte

• Forma en que se trata el incidente.

• Encontrar el problema y corregirlo.
• Prácticas forenses.
• Definir la responsabilidad y el causante del
problema.
Fases del proceso de seguridad.
Administración y soporte

• Manejo de Incidentes:
– Organización,
– Identificación,
– Encapsulamiento,
– Erradicación,
– Recuperación y
– Lecciones aprendidas.
Fases del proceso de seguridad.
Capacitación continua

• Debe ser continuo con todo el Ciclo de Vida en la

medida que se extienda en toda la organización.
• Habilidades y experiencia se alcanzan dentro de
todo el proceso.
 CONCLUSIONES Y
RECOMENDACIONES
• Seguridad es…
– Proteger a los activos contra y accesos no autorizados
– Evitar alteraciones indebidas que pongan en peligro su
integridad.
– Garantizar la disponibilidad de la información.
– Cómo:
• políticas y procedimientos de seguridad
– Para:
• identificación y control de amenazas y puntos débiles
• Para lograr: confidencialidad, disponibilidad,
control y autenticad de la información.
 CONCLUSIONES Y
•
RECOMENDACIONES
La PNP es una invitación de la organización a cada uno de sus miembros a
reconocer la información como uno de sus principales activos así como, un motor
de intercambio y desarrollo en el ámbito de sus negocios.
– Es la forma de comunicarse con el colectivo sobre las pautas de seguridad a seguir.
– Debe concluir en una posición consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos críticos de la compañía.
– No es una descripción técnica de mecanismos de seguridad, ni una expresión
legal que involucre sanciones a Conductas de los empleados, es más bien una
descripción de los que deseamos proteger y el por qué de ello.
– Son las reglas claras y procedimientos que regulan la forma en que una organización
previene, protege y maneja los riesgos de daño sobre:
– Los computadores de sus sistemas y los elementos físicos asociados con éstos
(edificación, impresoras, discos, cables, dispositivos de interconexión, etc.),
el software y la información almacenada en tales sistemas.
– Los usuarios del sistema.
TAREAS:
• Copyright o Copyleft.
• Administración (basada en el
estándar AS/NZ 4360)
• Cualidades del Cifrado para
preservar los Requisitos de la
Seguridad de la Información.
• Cualidades de Protección de
Antivirus:
– Avast
– Nod 32
– AVG
– Norton
– Panda
– Kaspersky
• Hasta Aquí Todo Bien.
• Preguntas?