I.

PLANTEAMIENTO DEL ESTUDIO

II. MARCO TEORICO

2.1 Antecedentes de otras investigaciones

2.2 Base teórica

2.2.1 Seguridad de la Información

Es la protección de la información de un rango amplio de amenazas para poder asegurar la

continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones
y las oportunidades comerciales. Se logra implementando un adecuado conjunto de controles
incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de
software y hardware. (ISO/IEC 27002, 2005)

Preservación de la confidencialidad, integridad y disponibilidad de la información, así mismo,

otras propiedades como la autenticidad, no rechazo, contabilidad y confiabilidad también
pueden ser consideradas. (NTP-ISO/IEC 17799, 2007)

2.2.1.1 Principios de la Seguridad de la Información

a) Confidencialidad: Es el requisito que intenta que la información privada o secreta no se

revele a individuos no autorizados. La protección de la confidencialidad se aplica a los
datos almacenados durante su procesamiento, mientras se transmiten y se encuentran
en tránsito. ( (Bertolín, 2008)
b) Integridad: Se encarga de garantizar que la información del sistema no haya sido
alterada por usuarios no autorizados, evitando la perdida de consistencia. (Bertolín,
2008)
c) Disponibilidad: Accesibilidad de los sistemas y datos, sólo para su uso autorizado. Es un
requisito necesario para garantizar que el sistema trabaje puntualmente, con prontitud y
que no se deniegue el servicio a ningún usuario autorizado. (Bertolín, 2008)

2.2.1.2 Evento de Seguridad de la Información

Una ocurrencia identificada del estado de un sistema, servicio o red indicando una posible
violación de la política de seguridad de la información o falla en las salvaguardas, o una
situación previamente desconocida que puede ser relevante para la seguridad. (ISO/IEC TR
18044, 2004)

2.2.1.3 Incidente de Seguridad de la Información

 Un solo o una serie de eventos de seguridad de la información no deseados o inesperados
que tienen una significativa probabilidad de comprometer las operaciones comerciales y
amenazan la seguridad de la información. (ISO/IEC TR 18044, 2004)

2.2.1.4 Políticas de Seguridad de la Información

Peltier, en su libro “Information Security Fundamentals” considera que una política de

seguridad de la información es la documentación de las decisiones que toda empresa
realiza en relación al manejo y la protección de la información. Escribe que al tomar estas
decisiones, los gerentes se enfrentan a decisiones difíciles que involucran la asignación de
recursos, los objetivos competitivos y la estrategia de la organización relacionada con la
protección de los recursos técnicos y de información, además de guiar el comportamiento
de los empleados. (Peltier, 2014)

La política de seguridad trata las amenazas a la seguridad de la información y específica los

procedimientos adoptar en una organización en relación para prevenir la ocurrencia de una
amenaza y la reacción frente a la amenaza reducida. La política de seguridad también
específica las reglas generales relacionadas con la utilización de medios electrónicos.

Asimismo se deben conocer los motivos para implantar una política de seguridad de la
información, ya que forma la base de todo programa o plan director de seguridad, así como
la importancia de desarrollo de una política robusta y efectiva. Además las TIC (tecnologías
de la información y las comunicaciones) están en constante evolución y traen consigo
nuevas y cambiantes amenazas que deben tenerse en cuenta.

Para desarrollar una política de seguridad, se deben seguir cinco fases interrelacionadas:

1. Análisis y valoración de riesgos.

2. Construcción de la política.
3. Implantación de la política.
4. Mantenimiento de la política.
5. Implicación de todo el componente humano.

(Bertolín, 2008)

2.2.1.5 …

2.2.2 Sistema de Gestión de Seguridad de la Información

 Es parte del sistema gerencial general, basado en un enfoque de riesgo comercial; para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información. (ISO/IEC 27001, 2005)

Un sistema de Gestión de Seguridad de la Información (SGSI) tiene como objetivo final, no

garantizar la seguridad, sino garantizar que los riesgos de la seguridad de la información sean
conocidos, asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se
produzcan en los riesgos, el entorno y las tecnologías. (De Pablos Heredero, López-Hermoso
Agius, Martín-Romo Romero, & Medina Salgado, 2011)

2.3 Definiciones de términos técnicos

2.3.1 Activo

Cualquier cosa que tenga valor para la organización. (ISO/IEC 13335-1, 2004)

Existen muchos tipos de activos, incluyendo:

- Activos de información: Archivos y bases de datos, documentación del sistema,
manuales de los usuarios, material de formación, procedimientos operativos o de
soporte, planes de continuidad, configuración del soporte de recuperación, información
archivada;
- Activos de software: Software de aplicación, software del sistema, herramientas y
programas de desarrollo.
- Activos físicos: Equipo de cómputo, equipo de comunicaciones, medios magnéticos
(discos y cintas) u otro equipo técnico;
- Servicios: Servicios de cómputo y comunicaciones, servicios generales (calefacción,
alumbrado, energía, aire acondicionado);
- Personas: Sus calificaciones, habilidades y experiencia;
- Intangibles: Reputación y la imagen organizacional.

(NTP-ISO/IEC 17799, 2007)

2.3.2 Información

Es un activo esencial para el negocio de una organización. Puede existir de muchas formas.
Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o
utilizando medios electrónicos, mostrada en películas o hablada en una conversación. (ISO/IEC
27002, 2005)

2.3.3 Sistema de Gestión

Es la herramienta que permite dar coherencia a todas las actividades que se realizan, y en
todos los niveles, para alcanzar el propósito de la organización. Una organización se encuentra
en un nivel determinado de madurez dependiendo del sistema de gestión que está utilizando, o
dicho de otra manera, una empresa crece en madurez a medida que va consolidando un
sistema de gestión que le permite alinear todos los esfuerzos en la misma dirección y está
dirección apunta a una imagen de empresa concreta (visión). (Ogalla Segura, 2005)

2.3.4 Amenaza

Causa potencial de un incidente no deseado que puede resultar en daño al sistema u

organización. (ISO/IEC 13335-1, 2004)

2.3.5 Vulnerabilidad

Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas.
(ISO/IEC 13335-1, 2004)

2.3.6 Riesgo

Efecto de la incertidumbre en los objetivos. Un efecto es una desviación de lo esperado -

positivo y / o negativo; la incertidumbre es el estado, incluso parcial, de la deficiencia de
información relacionada, comprensión o conocimiento de un evento, su consecuencia o
probabilidad y los objetivos pueden tener diferentes aspectos (como los objetivos financieros,
de salud y seguridad y medioambientales) y pueden aplicarse a diferentes niveles (por ejemplo,
estratégico, de toda la organización, proyecto, producto y proceso). (ISO GUIDE 73, 2009)

2.3.7 Impacto

El impacto en un activo es la consecuencia sobre éste de la materialización de una amenaza.

De forma dinámica, es la diferencia en las estimaciones del estado de seguridad del activo
antes y después de la materialización de la amenaza sobre éste. (Fernández-Medina Patón,
Moya Quiles, & Piattini, 2003)

2.3.8 Control

Herramienta de la gestión del riesgo, incluidas políticas, pautas, estructuras organizacionales,

que pueden ser de naturaleza administrativa, técnica, gerencial o legal. También usado como
sinónimo de salvaguardia o contramedida. (NTP-ISO/IEC 17799, 2007)

2.3.9 Política

Intención y dirección general expresada formalmente por la gerencia. (ISO/IEC 27002, 2005)
Las políticas de Seguridad de Información son estándares aplicables a todo nivel de la
organización, desde la Alta Gerencia, pasando por los usuarios hasta el personal técnicos que
velan por el salvaguarda de los activos de información pero buscando mantener un balance
adecuado entre el proceso de controlar (costo y esfuerzo para establecer y monitorear
controles) y la productividad (los controles no deben complicar la labor de los usuarios de TI).
Son documentos de alto nivel que revelan la filosofía corporativa y el pensamiento estratégico
de la organización. (Espinoza Aguinaga, 2013)

2.3.10 …