Professional Documents
Culture Documents
Sifii Ca U4
Sifii Ca U4
Gestión de la
seguridad de la
información
Sistemas de Información II
Página 2 de 24
Introducción .......................................................................................................................................3
1. Fundamentos de seguridad de la información .................................................................................4
2. Organización de la función de seguridad de la información...............................................................7
3. Controles de acceso lógico.......................................................................................................... 10
4. Seguridad de la infraestructura de red ......................................................................................... 11
5. Exposición y controles de acceso físico y ambientales .................................................................... 19
5.1. ¿Qué es la seguridad física y cómo funciona? ................................................................................ 19
5.1.1.Control de acceso ...................................................................................................................... 19
5.1.2.Vigilancia .................................................................................................................................. 20
5.1.3.Pruebas .................................................................................................................................... 21
5.2. Importancia de la seguridad física................................................................................................ 21
5.3. Enfoque basado en el riesgo........................................................................................................ 22
6. Sistema de gestión integral de seguridad de la información (SGSI) .................................................. 22
6.1. ¿Qué es la gestión de la seguridad de la información?.................................................................... 22
6.2. ¿Por qué es importante la gestión de la seguridad de la información? ............................................. 23
6.3. ¿Qué es la ISO 27.001? ............................................................................................................... 24
6.4. Beneficios de la gestión de la seguridad de la información.............................................................. 24
Conclusión........................................................................................................................................ 27
Referencias bibliográficas................................................................................................................... 28
Página 3 de 24
Introducción
La gestión de la seguridad de la información describe el conjunto de políticas y controles de
procedimiento que implementan las organizaciones empresariales y de TI para proteger sus
activos de información contra amenazas y vulnerabilidades. Muchas organizaciones
desarrollan un proceso formal y documentado para gestionar un sistema de gestión de
seguridad de la información o SGSI.
En la era digital que vivimos y cercanos a la V Revolución robótica con inteligencia artificial,
se hace cada más necesario no sólo gestionar seguridad de la información en las entidades,
sino que también la ciberseguridad, que si bien son conceptos similares, pero no es lo
mismo, cuestión que se estará explicando también a lo largo de la presente Unidad, por lo
que se estará examinando desde los conceptos relacionados, pasando por la estructura de la
función de seguridad de la información y su rol en el ambiente de control de las entidades,
abordando también la implementación de un SGSI basado en el marco de referencia
generalmente aceptado denominado ISO 27.001.
Página 4 de 20
Integridad se refiere a mantener los datos y evitar que se modifiquen de forma accidental o
maliciosa. Las técnicas utilizadas para la confidencialidad pueden proteger la integridad de los
datos, ya que un ciberdelincuente no puede cambiar los datos cuando no puede acceder a
ellos. Para garantizar la integridad en profundidad, pocas herramientas ayudan a mejorarla.
Integridad
Documentación del proyecto en curso: La documentación del proyecto en curso consiste en los
detalles documentados de los productos o servicios que están en proceso de lanzamiento. Si
sus competidores descubren lo que está haciendo, es posible que intenten lanzar un producto
o función de la competencia más rápido de lo previsto e incluso podrían compararlo con su
nuevo producto en un esfuerzo por dejarlo fuera del mercado.
Datos de los empleados: Los departamentos de recursos humanos recopilan y conservan datos
sobre sus empleados, incluidas revisiones de desempeño, historial de empleo, salarios y otra
información. Estos registros podrían contener información confidencial que un atacante
cibernético podría usar para chantajear a sus empleados. Una organización competidora podría
usar estos datos para identificar objetivos antes de intentar robar a sus empleados.
Todos estos ejemplos se enumeran además de los datos enviados de forma confidencial, donde
la falta de protección de los datos contra el robo constituiría un abuso de confianza y, en
algunos casos, una falta de conformidad con los estándares o la legislación de seguridad de la
información.
Página 7 de 20
Dentro del campo de TI, las funciones y responsabilidades de los equipos de seguridad tienden
a centrarse en los aspectos técnicos de la protección contra las ciberamenazas. Otros roles que
no son de TI tienden a preocuparse por contrarrestar las amenazas a la seguridad de la
información que no están basadas en tecnología, como el almacenamiento de documentos
físicos y el envío seguro de información por correo. Proporcionar las funciones de seguridad de
la información a una organización debe considerar todos los aspectos de las responsabilidades
de seguridad de la información para mantener la confidencialidad, integridad y disponibilidad
de todos los datos, independientemente de cómo se almacenen y transmitan.
Las actividades individuales que se incluyen en cuáles son las funciones y responsabilidades de
la seguridad de TI pueden variar de una organización a otra, dependiendo de factores que
incluyen:
• El tamaño de la organización.
• es estructura
• Las tecnologías en uso.
• El tipo de negocio.
estén claramente definidas, comunicadas y entendidas por todas las partes interesadas. Un
individuo puede, por supuesto, asumir múltiples roles. Los roles deben estar definidos para que
no haya superposición de responsabilidades. Deben estar respaldados por una política de roles
y responsabilidades de seguridad de la información, que establezca las reglas y los controles
que son necesarios para una seguridad de la información efectiva.
Es una buena idea publicar un organigrama comprensible y bien definido que muestre la
estructura de su equipo de seguridad de TI y cómo encaja dentro de la organización más
amplia. Estos son algunos ejemplos de roles y responsabilidades del equipo de seguridad de TI
comúnmente vistos:
Estos roles son responsables de diseñar, implementar, administrar y mantener las políticas,
estándares, líneas de base, procedimientos y pautas de seguridad de la organización. Ejemplos
de títulos de roles incluyen:
Cada elemento de datos debe tener un propietario. Para algunos datos, como el nombre de un
usuario individual, el propietario será obvio. Será menos obvio para muchos otros datos en los
que se basa la organización, en particular los datos utilizados por muchas personas diferentes.
Se deben realizar esfuerzos para que todos los datos tengan una propiedad claramente
definida.
Las descripciones de trabajo para los roles de seguridad de TI, de hecho, para todos los roles,
deben mantenerse actualizadas, con revisión periódica para garantizar que sigan siendo
relevantes y apropiados. También deben revisarse después de cualquier violación de la
seguridad como parte de una actividad de lecciones aprendidas.
Los organigramas son una forma útil de mostrar cómo se organiza la seguridad de TI y cómo
encaja con el resto de la organización. Los gráficos generalmente se representan como un árbol
con los roles de más alto nivel en la parte superior respaldados por los roles que informan hacia
arriba. El propósito de estos gráficos es crear una vista fácil de entender de la jerarquía de la
organización que permita a todos los empleados comprender las líneas de autoridad, las
relaciones entre otras personas y equipos en la organización, y a quién deben informar
cualquier problema.
Auditor de SI
Conocimiento del
Exposiciones de
entorno TI de la Vías de acceso lógico
acceso lógico
empresa
Almacenar,
recuperar,
Software de control Identificación y
transportar y
de acceso lógico autenticación
desechar información
confidencial
• Limite las comunicaciones laterales innecesarias: No debe pasarse por alto las
comunicaciones entre pares dentro de una red. La comunicación sin filtrar entre pares
podría permitir a los intrusos moverse libremente de una computadora a otra. Esto
brinda a los atacantes la oportunidad de establecer la persistencia en la red de destino
incorporando puertas traseras o instalando aplicaciones.
• Reforzar los dispositivos de red: Reforzar los dispositivos de red es una forma principal
de mejorar la seguridad de la infraestructura de red. Se recomienda adherirse a los
estándares de la industria y las mejores prácticas con respecto al cifrado de la red, los
Página 13 de 20
• Realice una gestión de red fuera de banda (OoB): La gestión OoB implementa rutas de
comunicación dedicadas para gestionar dispositivos de red de forma remota. Esto
fortalece la seguridad de la red al separar el tráfico de usuarios del tráfico de
administración.
• Valide la integridad del hardware y el software: Los productos del mercado gris
amenazan la infraestructura de TI al permitir un vector de ataque en una red. Los
productos ilegítimos pueden estar precargados con software malicioso a la espera de
ser introducidos en una red desprevenida. Las organizaciones deben realizar
comprobaciones de integridad periódicas en sus dispositivos y software.
Aunque hay una gran cantidad de ataques dañinos que los piratas informáticos pueden infligir
en una red, asegurar y defender la infraestructura de enrutamiento debe ser de importancia
primordial para evitar la infiltración profunda del sistema.
• Licencias de sitios compartidos: La seguridad garantiza que las licencias de sitios sean
más económicas que las licencias de todas las máquinas.
• Las comunicaciones internas son seguras: Los sistemas internos de chat y correo
electrónico estarán protegidos de miradas indiscretas.
• Compartir archivos seguros: Los archivos y datos de los usuarios ahora están protegidos
entre sí, en comparación con el uso de máquinas que comparten varios usuarios.
• Redes privadas virtuales (VPN): Las VPN cifran las conexiones entre puntos finales
creando un "túnel" seguro de comunicaciones a través de Internet.
• Seguridad inalámbrica: Las redes inalámbricas son menos seguras que las redes
cableadas y, con la proliferación de nuevos dispositivos móviles y aplicaciones, existen
vectores cada vez mayores para la infiltración de redes.
Los ejemplos de topología de red física incluyen redes de topología de estrella, malla, árbol,
anillo, punto a punto, circular, híbrida y de bus, cada una de las cuales consta de diferentes
configuraciones de nodos y enlaces. La topología de red ideal depende del tamaño, la escala,
los objetivos y el presupuesto de cada empresa. Un diagrama de topología de red ayuda a
visualizar los dispositivos de comunicación, que se modelan como nodos, y las conexiones entre
los dispositivos, que se modelan como enlaces entre los nodos.
Página 16 de 20
Hay tres componentes en los entornos cliente-servidor: el cliente, el servidor (puede haber
varios servidores) y la red. La red salva la separación física y funcional entre el cliente y el
servidor. Las múltiples conexiones posibles entre clientes y múltiples servidores realmente
brindan la imagen de una web o red. Las redes proporcionan un entorno flexible en el que los
clientes pueden combinar hardware, software y sistemas operativos.
Sin embargo, las mismas características que hacen que los servidores cliente sean populares
también son las que los hacen más vulnerables a las brechas de seguridad. Es precisamente la
distribución de servicios entre el cliente y el servidor lo que los expone a daños, fraudes y mal
uso. La consideración de seguridad debe incluir los sistemas host, las computadoras personales
(PC), las redes de área local (LAN), las redes de área amplia global (WAN) y los usuarios. Debido
a que las inversiones en seguridad no producen rendimientos visibles de inmediato y los
compradores de servidores cliente a veces no se informan acerca de la seguridad, esta área de
desarrollo a menudo se pasa por alto hasta que surge un problema.
clientes.
Por ejemplo, la máquina asume que quien enciende la computadora es el propietario de todos
los archivos almacenados en ella. Incluso tienen acceso a los archivos de configuración. Esto
podría resultar en sabotaje o la filtración de datos confidenciales. La transmisión de datos
corruptos también puede ocurrir a nivel del sistema operativo, fuera del ámbito de la seguridad
de la aplicación cliente-servidor, ya que los datos se transfieren a diferentes niveles de la
arquitectura.
Sin embargo, los principales culpables de violar la seguridad de las entidades no son los piratas
informáticos ni los virus, sino los propios usuarios. La primera línea de defensa en la seguridad
de las entidades es la identificación y autenticación del usuario. La forma más fácil de obtener
acceso ilegal a las computadoras es obtener el ID de inicio de sesión y las contraseñas de los
usuarios. A veces, los usuarios eligen contraseñas cortas o fáciles de adivinar o comparten sus
contraseñas con otros.
Según 'networkworld.com', que realiza pruebas sobre nuevas tecnologías para recopilar su
problema de 'mejores productos', el mejor producto de seguridad del lado de las entidades es
Secure Web Gateway de McAfee. En sus pruebas, desvió la mayoría de los ataques de spyware.
El sistema contiene un esquema (lenguaje de programación minimalista y multiparadigma) que
detecta y bloquea proactivamente el spyware. También se actualiza diariamente. Las puertas
de enlace son nodos en una red que crean entradas a otras redes. Enruta el tráfico desde las
estaciones de trabajo a redes más amplias. Por lo tanto, asegurar las puertas de enlace evitará
que el malware llegue a la entidad. Antispy Enterprise de OmniQuad también obtuvo altas
calificaciones de los evaluadores de 'networkworld.com'.
Página 19 de 20
Control de
acceso
Pruebas Vigilancia
El edificio suele ser la primera línea de defensa para la mayoría de los sistemas de seguridad
física. Elementos como cercas, portones, paredes y puertas actúan como disuasivos físicos para
Página 20 de 20
Los controles de acceso más sofisticados implican un enfoque respaldado por tecnología. Los
escáneres de tarjetas de identificación y las tarjetas de identificación de comunicación de
campo cercano (NFC) son métodos de autenticación física que los equipos de seguridad pueden
usar para verificar las identidades de las personas que ingresan y salen de varias instalaciones.
Algunas empresas suecas experimentaron recientemente con la incorporación de microchips
NFC debajo de la piel de sus empleados, lo que hace que sea extremadamente difícil falsificar o
replicar sus credenciales. Sin embargo, los dispositivos invasivos como este son mucho menos
populares entre los sindicatos, dado el grado de dolor físico y preocupación corporal.
Pero los delincuentes no son la única amenaza que los controles de acceso pueden minimizar.
Barreras como muros y cercas también se pueden usar para fortalecer edificios contra
desastres ambientales, como terremotos, deslizamientos de tierra e inundaciones. Estos
riesgos dependen en gran medida de la ubicación. Las organizaciones que desvían recursos
hacia tales medidas de endurecimiento deben equilibrar el costo y el beneficio de su
implementación antes de la inversión.
5.1.2. Vigilancia
Este es uno de los componentes de seguridad física más importantes tanto para la prevención
como para la recuperación posterior a un incidente. La vigilancia, en este caso, se refiere a la
tecnología, el personal y los recursos que utilizan las organizaciones para monitorear la
actividad de diferentes ubicaciones e instalaciones del mundo real. Estos ejemplos pueden
incluir guardias de patrulla, sensores de calor y sistemas de notificación.
El tipo más común de vigilancia son las cámaras de circuito cerrado de televisión (CCTV) que
registran la actividad de una combinación de áreas. El beneficio de estas cámaras de vigilancia
es que son tan valiosas para capturar el comportamiento delictivo como para prevenirlo. Los
actores de amenazas que ven una cámara de circuito cerrado de televisión están menos
inclinados a entrar o destrozar un edificio por temor a que registren su identidad. De manera
similar, si se roba un activo o equipo en particular, la vigilancia puede proporcionar la evidencia
visual que se necesita para identificar al culpable y sus tácticas.
Página 21 de 20
5.1.3. Pruebas
La seguridad física es una medida preventiva y una herramienta de respuesta a incidentes. Los
planes de recuperación ante desastres (DRP), por ejemplo, se centran en la calidad de los
protocolos de seguridad física de uno: qué tan bien una empresa identifica, responde y
contiene una amenaza. La única forma de garantizar que dichas políticas y procedimientos de
DR sean efectivos cuando llegue el momento es implementar pruebas activas.
Las pruebas son cada vez más importantes, especialmente cuando se trata de la unidad de una
organización. Los simulacros de incendio son una actividad necesaria para escuelas y edificios
porque ayudan a coordinar grupos grandes, así como su método de respuesta. Estas pruebas
de políticas deben realizarse periódicamente para practicar las asignaciones de funciones y
responsabilidades y minimizar la probabilidad de errores.
Los múltiples intentos de inicio de sesión fallidos y los intentos de acceso con una tarjeta
perdida son herramientas de seguridad física que las organizaciones pueden utilizar para
realizar un seguimiento fiable de la actividad de sus activos. En el caso de una brecha de
Página 22 de 20
seguridad, estos registros pueden resultar increíblemente valiosos para identificar las
debilidades de seguridad.
Al administrar los riesgos, las organizaciones obtienen una comprensión integral de las formas
específicas en que podrían sufrir violaciones de datos y otros eventos disruptivos, y los pasos
que pueden tomar para protegerse.
Página 23 de 20
Con la amenaza cada vez mayor de las filtraciones de datos y las medidas reglamentarias
asociadas, es fundamental que las organizaciones gestionen los riesgos de seguridad de la
información de manera eficaz.
Este conjunto de reglas se puede escribir en forma de políticas, procedimientos y otros tipos de
documentos, o puede estar en forma de procesos y tecnologías establecidos que no están
documentados. ISO 27001 define qué documentos se requieren, es decir, cuáles deben existir
como mínimo.
Cualquiera que sea el propósito de estos datos, es esencial que las organizaciones los protejan.
Si los actores no autorizados obtienen la información, ya sea por un ataque cibernético o una
violación de la privacidad, causará un daño duradero.
Al crear un SGSI, las organizaciones mitigan el riesgo de una infracción y demuestran a los
reguladores que se toman en serio la seguridad de la información. Esto ayudará durante la
etapa de investigación y dará como resultado una sanción más indulgente, o posiblemente
ninguna sanción. El marco de referencia generalmente aceptado en todo el mundo para la SGSI
es la ISO 27.001. (Bravo, 2018)
Página 24 de 20
Es importante tener en cuenta que el nombre completo de ISO 27001 es "ISO/IEC 27001 -
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la
información - Requisitos", es el estándar internacional líder centrado en la seguridad de la
información, publicado por la Organización Internacional de Normalización (ISO), en asociación
con la Comisión Electrotécnica Internacional (IEC). Ambos son organizaciones internacionales
líderes que desarrollan estándares internacionales.
Las personas también pueden obtener la certificación ISO 27001 asistiendo a un curso y
aprobando el examen y, de esta manera, demostrar sus habilidades a posibles empleadores.
Por ser una norma internacional, la ISO 27001 es fácilmente reconocida en todo el mundo,
aumentando las oportunidades para organizaciones y profesionales.
El enfoque holístico de la norma ISO 27.001 cubre toda la organización, no solo TI, e incluye
personas, procesos y tecnología. Esto permite a los empleados comprender fácilmente los
riesgos y adoptar los controles de seguridad como parte de sus prácticas laborales diarias.
Asimismo, muchas organizaciones hoy en día solo trabajarán con terceros que puedan
demostrar una seguridad de la información efectiva. Esto es comprensible, dado que una
violación de datos podría generar demoras costosas e incluso puede instigar un ataque a la
cadena de suministro.
Para hacer esto, las organizaciones deben dividir el riesgo en sus componentes constituyentes:
Vulnerabilidades Amenazas
Impacto Probabilidad
Mientras tanto, las organizaciones también deben considerar las diferentes formas en que se
puede violar la información. Esto se puede considerar a través de los tres pilares de la
seguridad de la información revisados anteriormente.
Por ejemplo, cualquier organización que desee certificarse en ISO 27001, el estándar
internacional que describe las mejores prácticas para la seguridad de la información debe
implementar un SGSI. (Susanto, 2010)
Página 27 de 20
Conclusión
La seguridad de la información como se ha podido revisar en la presente Unidad, es uno de
los aspectos fundamentales que toda organización requiere abordar como parte de sus
prioridades, sobre todo considerando aquellas entidades que son dominantes al uso de las
tecnologías de la información.
A lo anterior, se debe sumar el hecho de que existen ciertas entidades que pertenecen a
sectores de la economía, donde las tecnologías de la información son en un alto porcentaje
dominantes como es el caso de: Telecomunicaciones, Bancos, Compañías de Seguro, Retail,
entre otras, por lo que abordar los aspectos tratados en esta Unidad, se hace mandatorio y
con toda una orgánica que permita llevar a cabo una gestión integral de seguridad de la
información, con enfoque holístico, es decir, que abarque a toda la organización de extremo
a extremo y de arriba hacia abajo.
El monitoreo continuo que se debe llevar a cabo a los aspectos que contempla la triada o
principios de seguridad de la información (Confidencialidad, integridad y disponibilidad de la
información), se hace cada vez más necesario apoyado por tecnologías, con especial énfasis
en lo relativo a la seguridad lógica, A esto sumar, aspectos relativos a la privacidad, que si
bien no es parte de la triada de seguridad de la información, los riesgos asociados podrían
vulnerar información privada de las personas y con el consiguiente perjuicio en imagen y
reputación, considerando además que la privacidad es un derecho fundamental consagrado
en la Constitución Política de la República.
Los desafíos en esta materia son significativos y más aún en la medida que nos acercamos
cada vez más a la era robótica con inteligencia artificial y que actualmente es insipiente y
que avanza aceleradamente en los países del primer mundo o desarrollados.
Página 28 de 20
Referencias bibliográficas
Este material fue desarrollado por el docente Mg. Pedro David Hernández Farías
para la Universidad Mayor.
Última actualización septiembre, 2022.
Este documento ha sido diseñado para su lectura en formato digital.