Unidad 4

Gestión de la
seguridad de la
información

Sistemas de Información II
 Página 2 de 24

Introducción .......................................................................................................................................3
1. Fundamentos de seguridad de la información .................................................................................4
2. Organización de la función de seguridad de la información...............................................................7
3. Controles de acceso lógico.......................................................................................................... 10
4. Seguridad de la infraestructura de red ......................................................................................... 11
5. Exposición y controles de acceso físico y ambientales .................................................................... 19
5.1. ¿Qué es la seguridad física y cómo funciona? ................................................................................ 19
5.1.1.Control de acceso ...................................................................................................................... 19
5.1.2.Vigilancia .................................................................................................................................. 20
5.1.3.Pruebas .................................................................................................................................... 21
5.2. Importancia de la seguridad física................................................................................................ 21
5.3. Enfoque basado en el riesgo........................................................................................................ 22
6. Sistema de gestión integral de seguridad de la información (SGSI) .................................................. 22
6.1. ¿Qué es la gestión de la seguridad de la información?.................................................................... 22
6.2. ¿Por qué es importante la gestión de la seguridad de la información? ............................................. 23
6.3. ¿Qué es la ISO 27.001? ............................................................................................................... 24
6.4. Beneficios de la gestión de la seguridad de la información.............................................................. 24
Conclusión........................................................................................................................................ 27
Referencias bibliográficas................................................................................................................... 28
 Página 3 de 24

Introducción
La gestión de la seguridad de la información describe el conjunto de políticas y controles de
procedimiento que implementan las organizaciones empresariales y de TI para proteger sus
activos de información contra amenazas y vulnerabilidades. Muchas organizaciones
desarrollan un proceso formal y documentado para gestionar un sistema de gestión de
seguridad de la información o SGSI.

Toda entidad requiere gestionar la seguridad de la información con un enfoque holístico,

puesto que donde hay procesos con relación a sistemas, es necesario que sea considerado
en un sistema de gestión integral de seguridad de la información, a fin de considerarlo en los
protocolos de mitigación de riesgos que poseen estos modelos.

Cuando se desarrolla un sistema de información o se adquiere un sistema preconfigurado, es

necesario contemplar un enfoque de mitigación de riesgos en este ámbito, lo cual va de la
mano también lo que se abordó en la Unidad 3, en lo relativo al control de la producción y
continuidad, donde se mencionaba también que la función de operaciones de los sistemas
de información, dentro de sus roles y responsabilidades poseen el de gestionar los aspectos
de seguridad que sustentan a los sistemas de información.

En la era digital que vivimos y cercanos a la V Revolución robótica con inteligencia artificial,
se hace cada más necesario no sólo gestionar seguridad de la información en las entidades,
sino que también la ciberseguridad, que si bien son conceptos similares, pero no es lo
mismo, cuestión que se estará explicando también a lo largo de la presente Unidad, por lo
que se estará examinando desde los conceptos relacionados, pasando por la estructura de la
función de seguridad de la información y su rol en el ambiente de control de las entidades,
abordando también la implementación de un SGSI basado en el marco de referencia
generalmente aceptado denominado ISO 27.001.
 Página 4 de 20

1. Fundamentos de seguridad de la información

1.1. ¿Qué es la seguridad de la información?
La seguridad de la información es un conjunto de prácticas diseñadas para mantener los datos
personales a salvo del acceso no autorizado y la alteración durante el almacenamiento o la
transmisión de un lugar a otro.

La seguridad de la información está diseñada e implementada para proteger los datos

impresos, electrónicos y otros datos privados, confidenciales y personales de personas no
autorizadas. Se utiliza para proteger los datos contra el mal uso, la divulgación, la destrucción,
la modificación y la interrupción.

1.2. Seguridad de la información vs ciberseguridad

La seguridad de la información y la ciberseguridad pueden utilizarse de forma sustituible, pero
son dos cosas diferentes. La ciberseguridad es una práctica que se utiliza para brindar seguridad
frente a los ataques en línea, mientras que la seguridad de la información es una disciplina
específica que se incluye en la ciberseguridad. La seguridad de la información se centra en la
red y el código de la aplicación.

1.3. ¿Qué es la ciberdefensa?

La ciberdefensa es un mecanismo de defensa de redes informáticas que incluye respuesta a
acciones y protección de infraestructura crítica y aseguramiento de la información para
organizaciones, entidades gubernamentales y otras posibles redes.

La ciberdefensa se enfoca en prevenir, detectar y brindar respuestas oportunas a ataques o

amenazas para que no se altere ninguna infraestructura o información. Con el crecimiento en
volumen y la complejidad de los ataques cibernéticos, la defensa cibernética es esencial para la

mayoría de las entidades a fin de proteger la información confidencial y salvaguardar los

activos.

1.4. Principios de seguridad de la información o triada

Confidencialidad es uno de los elementos básicos de la seguridad de la información. Los datos
son confidenciales cuando solo acceden personas autorizadas. Para garantizar la
confidencialidad, es necesario utilizar todas las técnicas diseñadas para la seguridad, como
contraseña segura, cifrado, autenticación y defensa contra ataques de penetración.
 Página 5 de 20

Integridad se refiere a mantener los datos y evitar que se modifiquen de forma accidental o
maliciosa. Las técnicas utilizadas para la confidencialidad pueden proteger la integridad de los
datos, ya que un ciberdelincuente no puede cambiar los datos cuando no puede acceder a
ellos. Para garantizar la integridad en profundidad, pocas herramientas ayudan a mejorarla.

Disponibilidad es otro elemento básico en la seguridad de la información. Es fundamental

asegurarse de que no accedan personas no autorizadas a sus datos, sino que solo puedan
acceder a ellos aquellos que tengan permiso. La disponibilidad en la seguridad de la
información significa hacer coincidir los recursos informáticos y de red para calcular el acceso a
los datos e implementar una mejor política para fines de recuperación de desastres.

Figura 01: Triada de seguridad de la información

Integridad

Confi denciualidad Disponibilidad

Fuente: Elaboración propia

1.5. ¿Qué es un activo de la información?

Casi todas las organizaciones poseen información que no les gustaría compartir o publicitar. Ya
sea que estos datos se mantengan en formato digital o físico, la disciplina de Gestión de la
seguridad de la información es fundamental para proteger los datos contra el acceso no
autorizado o el robo.

Los activos de la información se pueden clasificar como se menciona a continuación:

Documentación estratégica: Las empresas y las organizaciones de TI desarrollan y documentan

objetivos estratégicos a largo plazo y tácticos a corto plazo que establecen sus metas y su visión
para el futuro. Estos valiosos documentos internos contienen secretos y conocimientos a los
que los competidores pueden querer acceder.
 Página 6 de 20

Información de productos/servicios: La información crítica sobre productos y servicios,

incluidos los ofrecidos por la empresa y por TI, debe protegerse mediante la gestión de la
seguridad de la información. Esto incluye el código fuente de la aplicación desarrollada
internamente, así como cualquier dato o producto informativo que se venda a los clientes. Si su
empresa vende un producto digital, necesitará seguridad de la información para garantizar que
los piratas informáticos no puedan robar su producto y distribuirlo sin su consentimiento o
conocimiento.

Propiedad intelectual/patentes: Si entidad genera propiedad intelectual, incluido el desarrollo

de software, es posible que necesite controles de seguridad de la información para protegerla.
Es posible que sus competidores quieran robar su código fuente y usarlo para realizar
ingeniería inversa de un producto para competir con el suyo. Algunos países no hacen cumplir
las leyes de derechos de autor o propiedad intelectual, por lo que es posible que no tenga
ningún recurso si se permite que esto suceda.

Conocimiento propietario/secretos comerciales: Todas las organizaciones generan

conocimiento propietario a lo largo de su actividad comercial. Para las organizaciones de TI, ese
conocimiento puede almacenarse en una base de conocimiento interna a la que pueden
acceder los operadores de TI y el personal de soporte. Los secretos comerciales son los
conocimientos y la comprensión únicos que le dan a su empresa una ventaja competitiva. Si no
los compartiría abiertamente con su competencia, debería proteger los secretos comerciales y
el conocimiento patentado mediante controles de gestión de seguridad de la información.

Documentación del proyecto en curso: La documentación del proyecto en curso consiste en los
detalles documentados de los productos o servicios que están en proceso de lanzamiento. Si
sus competidores descubren lo que está haciendo, es posible que intenten lanzar un producto
o función de la competencia más rápido de lo previsto e incluso podrían compararlo con su
nuevo producto en un esfuerzo por dejarlo fuera del mercado.

Datos de los empleados: Los departamentos de recursos humanos recopilan y conservan datos
sobre sus empleados, incluidas revisiones de desempeño, historial de empleo, salarios y otra
información. Estos registros podrían contener información confidencial que un atacante
cibernético podría usar para chantajear a sus empleados. Una organización competidora podría
usar estos datos para identificar objetivos antes de intentar robar a sus empleados.

Todos estos ejemplos se enumeran además de los datos enviados de forma confidencial, donde
la falta de protección de los datos contra el robo constituiría un abuso de confianza y, en
algunos casos, una falta de conformidad con los estándares o la legislación de seguridad de la
información.
 Página 7 de 20

2. Organización de la función de seguridad de la información

Todas las responsabilidades y obligaciones de rendir
cuentas definidas y documentadas de enfrentarías y
comunicadas a todo el personal y gerencia de la
organización.

Durante muchos años, la seguridad de TI se

consideró solo como una pequeña parte de lo que
hacían los equipos de TI. Dado el crecimiento
explosivo de los ataques cibernéticos para muchas
organizaciones, este ya no es el caso. Los roles de
seguridad de TI se mantienen separados de los otros
roles en TI, reconociendo que la ciberseguridad y la
seguridad de TI requieren habilidades especializadas
y roles dedicados. En este artículo, examinaremos las
funciones y responsabilidades de la seguridad de TI y
exploraremos algunas funciones típicas de seguridad
cibernética.

Dentro del campo de TI, las funciones y responsabilidades de los equipos de seguridad tienden
a centrarse en los aspectos técnicos de la protección contra las ciberamenazas. Otros roles que
no son de TI tienden a preocuparse por contrarrestar las amenazas a la seguridad de la
información que no están basadas en tecnología, como el almacenamiento de documentos
físicos y el envío seguro de información por correo. Proporcionar las funciones de seguridad de
la información a una organización debe considerar todos los aspectos de las responsabilidades
de seguridad de la información para mantener la confidencialidad, integridad y disponibilidad
de todos los datos, independientemente de cómo se almacenen y transmitan.

Las actividades individuales que se incluyen en cuáles son las funciones y responsabilidades de
la seguridad de TI pueden variar de una organización a otra, dependiendo de factores que
incluyen:

• El tamaño de la organización.
• es estructura
• Las tecnologías en uso.
• El tipo de negocio.

Esto también se aplica a las funciones y responsabilidades de seguridad de la información y

ciberseguridad de una organización. Es importante que las funciones individuales de seguridad
de TI, las funciones de seguridad cibernética y las funciones de seguridad de la información
 Página 8 de 20

estén claramente definidas, comunicadas y entendidas por todas las partes interesadas. Un
individuo puede, por supuesto, asumir múltiples roles. Los roles deben estar definidos para que
no haya superposición de responsabilidades. Deben estar respaldados por una política de roles
y responsabilidades de seguridad de la información, que establezca las reglas y los controles
que son necesarios para una seguridad de la información efectiva.

Es una buena idea publicar un organigrama comprensible y bien definido que muestre la
estructura de su equipo de seguridad de TI y cómo encaja dentro de la organización más
amplia. Estos son algunos ejemplos de roles y responsabilidades del equipo de seguridad de TI
comúnmente vistos:

2.1. Dirección Ejecutiva

Obtener y mantener la aceptación de la seguridad de TI desde la parte superior de la
organización es crucial para el éxito. Esto no solo ayudará a asegurar la financiación necesaria,
sino que también demostrará a todos los empleados que la organización se toma en serio la
seguridad de TI. Los roles de nivel ejecutivo que son responsables de todos los aspectos de la
seguridad de TI incluyen:

• CISO (Director de seguridad de la información)

• CTO (Director de tecnología)
• CRO (Director de riesgos)
• CSO (Director de seguridad)

Estos roles, actuando en conjunto, tienen la responsabilidad de garantizar el desarrollo y uso de

una estrategia de seguridad de la información empresarial que asegure la protección de todos
los activos de información.

2.2. Profesionales de la seguridad informática:

Estos roles son responsables de diseñar, implementar, administrar y mantener las políticas,
estándares, líneas de base, procedimientos y pautas de seguridad de la organización. Ejemplos
de títulos de roles incluyen:

• Responsable de seguridad informática.

• Gerente de riesgos de TI.
• Analista de seguridad TI.
 Página 9 de 20

2.3. Usuarios: (Usuarios Finales)

Los usuarios son responsables de cumplir con la política de seguridad de TI de la organización,
incluida la preservación de la confidencialidad, integridad y disponibilidad de los activos bajo su
control personal. Los usuarios suelen ser el rol más descuidado en la seguridad de TI, a pesar de
que crean la mayor vulnerabilidad para la organización debido a los ataques cibernéticos
enviados por correo electrónico y redes sociales.

2.4. Propiedad de los datos

La seguridad de TI no puede operar en el vacío; debe ser parte de una disposición general de
seguridad de la información. Además, definir las funciones y responsabilidades de los miembros
del equipo de seguridad no es suficiente para salvaguardar todos los activos de datos. Una
buena política de roles y responsabilidades de seguridad de la información también tendrá en
cuenta los roles que se ocupan específicamente de los datos. Estos roles deben trabajar con los
equipos de seguridad de TI, no de forma aislada, e incluyen:

Cada elemento de datos debe tener un propietario. Para algunos datos, como el nombre de un
usuario individual, el propietario será obvio. Será menos obvio para muchos otros datos en los
que se basa la organización, en particular los datos utilizados por muchas personas diferentes.
Se deben realizar esfuerzos para que todos los datos tengan una propiedad claramente
definida.

2.5. Custodios de datos

Los custodios de datos son responsables de cuidar los datos en nombre de los propietarios de
los datos. Un ejemplo de fuera de TI es la persona que cuida la llave de la caja fuerte. Dentro de
los roles de seguridad de TI, los custodios de datos típicos incluyen administradores de bases de
datos y administradores de redes.

2.6. Documentación de los roles de seguridad de TI

La documentación de las descripciones de puestos ayuda a garantizar que todo el personal
comprenda sus funciones y responsabilidades y contribuya a la seguridad de TI. El personal
nuevo debe realizar actividades de inducción que utilicen las descripciones de puestos para
ayudar al empleado a comprender cuáles son estas responsabilidades y cómo encajan en el
modelo general de seguridad de la información. Esto es cierto ya sea que estén asumiendo uno
de los roles de seguridad de TI, roles de seguridad cibernética o cualquier otro rol en la
organización. La seguridad de TI solo puede ser tan fuerte como el eslabón más débil, y cada
empleado tiene un papel que desempeñar para brindar protección contra las ciberamenazas.
 Página 10 de 20

Las descripciones de trabajo para los roles de seguridad de TI, de hecho, para todos los roles,
deben mantenerse actualizadas, con revisión periódica para garantizar que sigan siendo
relevantes y apropiados. También deben revisarse después de cualquier violación de la
seguridad como parte de una actividad de lecciones aprendidas.

Los organigramas son una forma útil de mostrar cómo se organiza la seguridad de TI y cómo
encaja con el resto de la organización. Los gráficos generalmente se representan como un árbol
con los roles de más alto nivel en la parte superior respaldados por los roles que informan hacia
arriba. El propósito de estos gráficos es crear una vista fácil de entender de la jerarquía de la
organización que permita a todos los empleados comprender las líneas de autoridad, las
relaciones entre otras personas y equipos en la organización, y a quién deben informar
cualquier problema.

Cuadro 01: Orgánica de la función de seguridad de la información

Comité de dirección de seguridad de la información

Propi eta-
ri os de Admi nis-
Es pecia-
Grupo de a cti vos de tra dor de
Propi eta- l i stas
Di rección a s esoría Di rector de l a i nforma- Tercera s s eguridad
CISO ri o de Us uarios a s esores
ejecutiva en pri va cidad ci ón pa rtes de l a
proces os de
s eguridad (Propi eta- i nforma-
s eguridad
ri o de ci ón
da tos)

Auditor de SI

Fuente: Elaboración propia

3. Controles de acceso lógico

3.1. ¿Qué significa acceso lógico?
El acceso lógico en TI a menudo se define como interacciones con el hardware a través del
acceso remoto. Este tipo de acceso generalmente cuenta con protocolos de identificación,
autenticación y autorización. Esto a menudo contrasta con el término "acceso físico", que se
refiere a las interacciones con el hardware en el entorno físico, donde se almacena y utiliza el
equipo.

Las empresas, organizaciones y otras entidades utilizan un amplio espectro de controles de

acceso lógico para proteger el hardware del acceso remoto no autorizado. Estos pueden incluir
 Página 11 de 20

programas de contraseña sofisticados, características de seguridad biométrica avanzada o

cualquier otra configuración que identifique y evalúe a los usuarios de manera efecti va en
cualquier nivel administrativo.

Los controles de acceso lógico particulares utilizados en una instalación e infraestructura de

hardware dadas dependen parcialmente de la naturaleza de la entidad que posee y administra
la configuración del hardware. La seguridad de acceso lógico del gobierno a menudo es
diferente de la seguridad de acceso lógico comercial, donde las agencias federales pueden
tener pautas específicas para controlar el acceso lógico. Es posible que se requiera que los
usuarios tengan autorizaciones de seguridad o pasen por otros procedimientos de control que
complementen las funciones biométricas o de contraseñas seguras. Todo esto es parte de la
protección de los datos guardados en una configuración de hardware específica.

A continuación, algunas exposiciones de acceso lógico:

Figura 02: Orgánica de la función de seguridad de la información

Conocimiento del
Exposiciones de
entorno TI de la Vías de acceso lógico
acceso lógico
empresa

Almacenar,
recuperar,
Software de control Identificación y
transportar y
de acceso lógico autenticación
desechar información
confidencial

Fuente: Elaboración propia

4. Seguridad de la infraestructura de red

4.1. ¿Qué es la seguridad de la infraestructura de red?
La seguridad de la infraestructura de red, que normalmente se aplica a los entornos de TI
empresariales, es un proceso de protección mediante la instalación de medidas preventivas
para denegar el acceso no autorizado, la modificación, la eliminación y el robo de recursos y
datos. Estas medidas de seguridad pueden incluir control de acceso, seguridad de aplicaciones,
firewalls, redes privadas virtuales (VPN), análisis de comportamiento, sistemas de prevención
de intrusiones y seguridad inalámbrica.
 Página 12 de 20

4.2. ¿Cómo funciona la seguridad de la infraestructura de red?

La seguridad de la infraestructura de red requiere un enfoque holístico (con cobertura en 360
grados) de los procesos y prácticas en curso para garantizar que la infraestructura subyacente
permanezca protegida. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)
recomienda considerar varios enfoques al abordar qué métodos implementar.

Figura 03: Algunas consideraciones de seguridad de la infraestructura de red

Li mi te las Acces o seguro

Segmentar y Reforzar l os
comunicacione a di spositivos
s egregar redes di s positivos de
s l a terales de
y funci ones red
i nnecesarias i nfra estructura

Realice una Valide la

Seguridad de la
gestión de red integridad del
fuera de banda hardware y el infraestructura
de red
(OoB) software

Fuente: Elaboración propia

• Segmentar y segregar redes y funciones: Se debe prestar especial atención al diseño

general de la infraestructura. La segmentación y la segregación adecuadas son un
mecanismo de seguridad eficaz para evitar que los posibles intrusos se propaguen a
otras partes de la red interna. El uso de hardware como enrutadores puede separar las
redes creando límites que filtran el tráfico de transmisión. Estos microsegmentos
pueden restringir aún más el tráfico o incluso cerrarse cuando se detectan ataques. La
separación virtual tiene un diseño similar a la separación física de una red con
enrutadores pero sin el hardware necesario.

• Limite las comunicaciones laterales innecesarias: No debe pasarse por alto las
comunicaciones entre pares dentro de una red. La comunicación sin filtrar entre pares
podría permitir a los intrusos moverse libremente de una computadora a otra. Esto
brinda a los atacantes la oportunidad de establecer la persistencia en la red de destino
incorporando puertas traseras o instalando aplicaciones.

• Reforzar los dispositivos de red: Reforzar los dispositivos de red es una forma principal
de mejorar la seguridad de la infraestructura de red. Se recomienda adherirse a los
estándares de la industria y las mejores prácticas con respecto al cifrado de la red, los
 Página 13 de 20

servicios disponibles, la protección del acceso, las contraseñas seguras, la protección de

los enrutadores, la restricción del acceso físico, la copia de seguridad de las
configuraciones y la prueba periódica de la configuración de seguridad.

• Acceso seguro a dispositivos de infraestructura: Se otorgan privilegios administrativos

para permitir que determinados usuarios de confianza accedan a los recursos. Para
garantizar la autenticidad de los usuarios mediante la implementación de la
autenticación multifactor (MFA), la gestión del acceso privilegiado y la gestión de las
credenciales administrativas.

• Realice una gestión de red fuera de banda (OoB): La gestión OoB implementa rutas de
comunicación dedicadas para gestionar dispositivos de red de forma remota. Esto
fortalece la seguridad de la red al separar el tráfico de usuarios del tráfico de
administración.

• Valide la integridad del hardware y el software: Los productos del mercado gris
amenazan la infraestructura de TI al permitir un vector de ataque en una red. Los
productos ilegítimos pueden estar precargados con software malicioso a la espera de
ser introducidos en una red desprevenida. Las organizaciones deben realizar
comprobaciones de integridad periódicas en sus dispositivos y software.

4.3. ¿Por qué es importante la seguridad de la infraestructura de

red?
La mayor amenaza para la seguridad de la infraestructura de red proviene de los piratas
informáticos y las aplicaciones maliciosas que atacan e intentan controlar la infraestructura de
enrutamiento. Los componentes de infraestructura de red incluyen todos los dispositivos
necesarios para las comunicaciones de red, incluidos enrutadores, cortafuegos, conmutadores,
servidores, equilibradores de carga, sistemas de detección de intrusos (IDS), sistema de
nombres de dominio (DNS) y sistemas de almacenamiento. Cada uno de estos sistemas
presenta un punto de entrada para los piratas informáticos que desean colocar software
malicioso en las redes de destino.

• Riesgo de puerta de enlace: Los piratas informáticos que obtienen acceso a un

enrutador de puerta de enlace pueden monitorear, modificar y denegar el tráfico
dentro y fuera de la red.

• Riesgo de infiltración: Al obtener más control de los dispositivos de conmutación y

enrutamiento internos, un pirata informático puede monitorear, modificar y denegar el
tráfico entre hosts clave dentro de la red y explotar las relaciones confiables entre hosts
 Página 14 de 20

internos para moverse lateralmente a otros hosts.

Aunque hay una gran cantidad de ataques dañinos que los piratas informáticos pueden infligir
en una red, asegurar y defender la infraestructura de enrutamiento debe ser de importancia
primordial para evitar la infiltración profunda del sistema.

4.4. ¿Cuáles son los beneficios de la seguridad de la

infraestructura de red?
La seguridad de la infraestructura de red, cuando se implementa bien, proporciona varios
beneficios clave para la red de una empresa.

• El uso compartido de recursos mejorado ahorra costos: Debido a la protección, los

recursos en la red pueden ser utilizados por múltiples usuarios sin amenazas, lo que en
última instancia reduce el costo de las operaciones.

• Licencias de sitios compartidos: La seguridad garantiza que las licencias de sitios sean
más económicas que las licencias de todas las máquinas.

• El uso compartido de archivos mejora la productividad: Los usuarios pueden compartir

archivos de forma segura en la red interna.

• Las comunicaciones internas son seguras: Los sistemas internos de chat y correo
electrónico estarán protegidos de miradas indiscretas.

• Compartir archivos seguros: Los archivos y datos de los usuarios ahora están protegidos
entre sí, en comparación con el uso de máquinas que comparten varios usuarios.

• Protección de datos: La copia de seguridad de datos en servidores locales es simple y

segura, protegiendo

4.5. ¿Cuáles son los diferentes tipos de seguridad de

infraestructura de red?
Existe una variedad de enfoques para la seguridad de la infraestructura de red, es mejor
adherirse a múltiples enfoques para ampliar la defensa de la red.

• Control de acceso: La prevención de que usuarios y dispositivos no autorizados accedan

a la red.

• Seguridad de la aplicación: Medidas de seguridad colocadas en el hardware y el

software para bloquear posibles vulnerabilidades.
 Página 15 de 20

• Cortafuegos: Dispositivos de control que pueden permitir o evitar que un tráfico

específico entre o salga de la red.

• Redes privadas virtuales (VPN): Las VPN cifran las conexiones entre puntos finales
creando un "túnel" seguro de comunicaciones a través de Internet.

• Análisis de comportamiento: Estas herramientas detectan automáticamente la

actividad de la red que se desvía de las actividades habituales.

• Seguridad inalámbrica: Las redes inalámbricas son menos seguras que las redes
cableadas y, con la proliferación de nuevos dispositivos móviles y aplicaciones, existen
vectores cada vez mayores para la infiltración de redes.

4.6. ¿Qué es la topología de red?

La topología de red se refiere a la forma en que los enlaces y nodos de una red se organizan
para relacionarse entre sí. Las topologías se clasifican como topología de red física, que es el
medio de transmisión de señales físicas, o topología de red lógica, que se refiere a la forma en
que los datos viajan a través de la red entre dispositivos, independientemente de la conexión
física de los dispositivos. Los ejemplos de topología de red lógica incluyen Ethernet de par
trenzado, que se clasifica como topología de bus lógico, y Token Ring, que se clasifica como
topología de anillo lógico.

Los ejemplos de topología de red física incluyen redes de topología de estrella, malla, árbol,
anillo, punto a punto, circular, híbrida y de bus, cada una de las cuales consta de diferentes
configuraciones de nodos y enlaces. La topología de red ideal depende del tamaño, la escala,
los objetivos y el presupuesto de cada empresa. Un diagrama de topología de red ayuda a
visualizar los dispositivos de comunicación, que se modelan como nodos, y las conexiones entre
los dispositivos, que se modelan como enlaces entre los nodos.
 Página 16 de 20

Figura 04: Topología diversas de red

Fuente: (ISACA, Manual de preparación al Examen CISA, 2014)

4.7. Arquitectura cliente/servidor

Los entornos cliente-servidor son populares porque aumentan la eficiencia del procesamiento
de aplicaciones al tiempo que reducen los costos y obtienen el máximo beneficio de todos los
recursos que trabajan juntos. Estos beneficios se obtienen al dividir el procesamiento entre la
máquina/software de las entidades y la máquina/software del servidor. Cada proceso funciona
de forma independiente, pero en cooperación y compatibilidad con otras máquinas y
aplicaciones (o piezas de aplicaciones).

Se debe realizar todo el procesamiento independiente para completar el servicio solicitado. La

cooperación del procesamiento de aplicaciones produce otra ventaja cliente-servidor, reduce el
tráfico de red. Dado que cada nodo (cliente y/o servidor) realiza parte del procesamiento
dentro de sí mismo, la comunicación de red puede reducirse al mínimo. Por ejemplo, los
procesos estáticos, como los menús o las ediciones, suelen tener lugar en el lado de las
entidades. El servidor, por otro lado, es responsable de procesos como la actualización y la
generación de informes.
 Página 17 de 20

Figura 05: Arquitectura cliente/servidor

Fuente: (ISACA, Manual de Preparación al Examen CISM (Gerente de Seguridad de la Información),

2008)

Hay tres componentes en los entornos cliente-servidor: el cliente, el servidor (puede haber
varios servidores) y la red. La red salva la separación física y funcional entre el cliente y el
servidor. Las múltiples conexiones posibles entre clientes y múltiples servidores realmente
brindan la imagen de una web o red. Las redes proporcionan un entorno flexible en el que los
clientes pueden combinar hardware, software y sistemas operativos.

Sin embargo, las mismas características que hacen que los servidores cliente sean populares
también son las que los hacen más vulnerables a las brechas de seguridad. Es precisamente la
distribución de servicios entre el cliente y el servidor lo que los expone a daños, fraudes y mal
uso. La consideración de seguridad debe incluir los sistemas host, las computadoras personales
(PC), las redes de área local (LAN), las redes de área amplia global (WAN) y los usuarios. Debido
a que las inversiones en seguridad no producen rendimientos visibles de inmediato y los
compradores de servidores cliente a veces no se informan acerca de la seguridad, esta área de
desarrollo a menudo se pasa por alto hasta que surge un problema.

4.8. Seguridad de las entidades y del usuario

Los escritorios son los dispositivos del sistema front-end, los que tratan más directamente con
la entrada del usuario. También son los entornos menos seguros en los modelos cliente-
servidor. Los clientes se conectan a los servidores y estas conexiones, si se dejan abiertas o no
están protegidas, proporcionan puntos de entrada para los piratas informáticos y otros intrusos
que pueden usar los datos con fines nefastos. Además de la seguridad física de las entidades en
forma de bloqueos de unidades de disco o estaciones de trabajo sin disco que prohíben la carga
de software o virus no autorizados, la accesibilidad a todos los archivos almacenados en el
sistema operativo de una estación de trabajo es el otro gran agujero de seguridad en los
 Página 18 de 20

clientes.

Por ejemplo, la máquina asume que quien enciende la computadora es el propietario de todos
los archivos almacenados en ella. Incluso tienen acceso a los archivos de configuración. Esto
podría resultar en sabotaje o la filtración de datos confidenciales. La transmisión de datos
corruptos también puede ocurrir a nivel del sistema operativo, fuera del ámbito de la seguridad
de la aplicación cliente-servidor, ya que los datos se transfieren a diferentes niveles de la
arquitectura.

Sin embargo, los principales culpables de violar la seguridad de las entidades no son los piratas
informáticos ni los virus, sino los propios usuarios. La primera línea de defensa en la seguridad
de las entidades es la identificación y autenticación del usuario. La forma más fácil de obtener
acceso ilegal a las computadoras es obtener el ID de inicio de sesión y las contraseñas de los
usuarios. A veces, los usuarios eligen contraseñas cortas o fáciles de adivinar o comparten sus
contraseñas con otros.

La administración de contraseñas proporciona una medida de seguridad para esto al requerir

que se use una cantidad mínima de caracteres en las contraseñas, verificar que las contraseñas
sean adivinables y pedir regularmente a los usuarios que cambien sus contraseñas. Por
ejemplo, más organizaciones están adoptando políticas de "frases de contraseña" en lugar de
contraseñas que son más complicadas y difíciles de identificar o adivinar.

Según 'networkworld.com', que realiza pruebas sobre nuevas tecnologías para recopilar su
problema de 'mejores productos', el mejor producto de seguridad del lado de las entidades es
Secure Web Gateway de McAfee. En sus pruebas, desvió la mayoría de los ataques de spyware.
El sistema contiene un esquema (lenguaje de programación minimalista y multiparadigma) que
detecta y bloquea proactivamente el spyware. También se actualiza diariamente. Las puertas
de enlace son nodos en una red que crean entradas a otras redes. Enruta el tráfico desde las
estaciones de trabajo a redes más amplias. Por lo tanto, asegurar las puertas de enlace evitará
que el malware llegue a la entidad. Antispy Enterprise de OmniQuad también obtuvo altas
calificaciones de los evaluadores de 'networkworld.com'.
 Página 19 de 20

5. Exposición y controles de acceso físico y ambientales

5.1. ¿Qué es la seguridad física y cómo funciona?
La seguridad física es la protección del personal, hardware, software, redes y datos de acciones
y eventos físicos que podrían causar pérdidas o daños graves a una empresa, agencia o
institución. Esto incluye protección contra incendios, inundaciones, desastres naturales, robos,
hurtos, vandalismo y terrorismo. Si bien la mayoría de estos están cubiertos por un seguro, la
priorización de la prevención de daños por parte de la seguridad física evita la pérdida de
tiempo, dinero y recursos a causa de estos eventos. (Alberts, 2003)

El marco de seguridad física se compone de tres componentes principales: control de acceso,

vigilancia y pruebas. El éxito del programa de seguridad física de una organización a menudo se
puede atribuir a qué tan bien se implementa, mejora y mantiene cada uno de estos
componentes.

Figura 06: tres componentes principales de seguridad física

Control de
acceso

Pruebas Vigilancia

Fuente: Elaboración propia

5.1.1. Control de acceso

La clave para maximizar las medidas de seguridad física de uno es limitar y controlar a qué
personas tienen acceso a los sitios, instalaciones y materiales. El control de acceso abarca las
medidas tomadas para limitar la exposición de ciertos activos solo al personal autorizado. Los
ejemplos de estas barreras corporativas a menudo incluyen tarjetas de identificación, teclados
y guardias de seguridad. Sin embargo, estos obstáculos pueden variar mucho en términos de
método, enfoque y costo.

El edificio suele ser la primera línea de defensa para la mayoría de los sistemas de seguridad
física. Elementos como cercas, portones, paredes y puertas actúan como disuasivos físicos para
 Página 20 de 20

la entrada de delincuentes. Cerraduras adicionales, alambre de púas, medidas de seguridad

visibles y letreros reducen la cantidad de intentos casuales realizados por ciberdelincuentes.

Los controles de acceso más sofisticados implican un enfoque respaldado por tecnología. Los
escáneres de tarjetas de identificación y las tarjetas de identificación de comunicación de
campo cercano (NFC) son métodos de autenticación física que los equipos de seguridad pueden
usar para verificar las identidades de las personas que ingresan y salen de varias instalaciones.
Algunas empresas suecas experimentaron recientemente con la incorporación de microchips
NFC debajo de la piel de sus empleados, lo que hace que sea extremadamente difícil falsificar o
replicar sus credenciales. Sin embargo, los dispositivos invasivos como este son mucho menos
populares entre los sindicatos, dado el grado de dolor físico y preocupación corporal.

Mediante el uso de obstáculos colocados tácticamente, las organizaciones pueden dificultar

que los atacantes accedan a activos e información valios os. Del mismo modo, estas barreras
aumentan el tiempo que tardan los actores de amenazas en llevar a cabo con éxito actos de
robo, vandalismo o terrorismo. Cuantos más obstáculos existan, más tiempo tendrán las
organizaciones para responder a las amenazas de seguridad física y contenerlas.

Pero los delincuentes no son la única amenaza que los controles de acceso pueden minimizar.
Barreras como muros y cercas también se pueden usar para fortalecer edificios contra
desastres ambientales, como terremotos, deslizamientos de tierra e inundaciones. Estos
riesgos dependen en gran medida de la ubicación. Las organizaciones que desvían recursos
hacia tales medidas de endurecimiento deben equilibrar el costo y el beneficio de su
implementación antes de la inversión.

5.1.2. Vigilancia
Este es uno de los componentes de seguridad física más importantes tanto para la prevención
como para la recuperación posterior a un incidente. La vigilancia, en este caso, se refiere a la
tecnología, el personal y los recursos que utilizan las organizaciones para monitorear la
actividad de diferentes ubicaciones e instalaciones del mundo real. Estos ejemplos pueden
incluir guardias de patrulla, sensores de calor y sistemas de notificación.

El tipo más común de vigilancia son las cámaras de circuito cerrado de televisión (CCTV) que
registran la actividad de una combinación de áreas. El beneficio de estas cámaras de vigilancia
es que son tan valiosas para capturar el comportamiento delictivo como para prevenirlo. Los
actores de amenazas que ven una cámara de circuito cerrado de televisión están menos
inclinados a entrar o destrozar un edificio por temor a que registren su identidad. De manera
similar, si se roba un activo o equipo en particular, la vigilancia puede proporcionar la evidencia
visual que se necesita para identificar al culpable y sus tácticas.
 Página 21 de 20

5.1.3. Pruebas
La seguridad física es una medida preventiva y una herramienta de respuesta a incidentes. Los
planes de recuperación ante desastres (DRP), por ejemplo, se centran en la calidad de los
protocolos de seguridad física de uno: qué tan bien una empresa identifica, responde y
contiene una amenaza. La única forma de garantizar que dichas políticas y procedimientos de
DR sean efectivos cuando llegue el momento es implementar pruebas activas.

Las pruebas son cada vez más importantes, especialmente cuando se trata de la unidad de una
organización. Los simulacros de incendio son una actividad necesaria para escuelas y edificios
porque ayudan a coordinar grupos grandes, así como su método de respuesta. Estas pruebas
de políticas deben realizarse periódicamente para practicar las asignaciones de funciones y
responsabilidades y minimizar la probabilidad de errores.

5.2. Importancia de la seguridad física

A medida que las entidades se vuelven más dependientes del Internet de las cosas (IoT),
también lo hace la necesidad de seguridad digital y física. IoT exige una cantidad significativa de
seguridad física para salvaguardar datos, servidores y redes. La creciente interconexión de IoT
ha ampliado la esfera de la seguridad física. Las máquinas virtuales (VM) y las aplicaciones que
se ejecutan en la nube, por ejemplo, están tan protegidas como sus servidores físicos.

Ya sea que las organizaciones inviertan en servicios de computación en la nube propios o de

terceros, estos centros de datos deben estar suficientemente protegidos mediante medidas de
seguridad física para evitar pérdidas graves de datos.

5.2.1. Ejemplos de seguridad física

La seguridad física puede adoptar muchas formas y formas. Las estrategias, barreras y técnicas
que utilizan las organizaciones para respaldar la seguridad general de la tecnología de la
información (TI) física, por ejemplo, son significativamente diferentes de las que se utilizan para
facilitar la seguridad de la red física constante. Aquí hay algunos ejemplos de seguridad física
utilizados para contener y controlar amenazas del mundo real.

5.2.2. Mantenimiento de troncos y senderos

Mantener un registro de lo que se accede, y de lo que las personas intentan acceder, es una
forma confiable no solo de desalentar a los usuarios no autorizados, sino también de crear un
entorno de datos compatible con el análisis forense.

Los múltiples intentos de inicio de sesión fallidos y los intentos de acceso con una tarjeta
perdida son herramientas de seguridad física que las organizaciones pueden utilizar para
realizar un seguimiento fiable de la actividad de sus activos. En el caso de una brecha de
 Página 22 de 20

seguridad, estos registros pueden resultar increíblemente valiosos para identificar las
debilidades de seguridad.

5.3. Enfoque basado en el riesgo

Una de las formas más efectivas de optimizar una inversión en seguridad física
es utilizar un enfoque basado en el riesgo. Esta es una técnica de análisis de
datos utilizada para evaluar escenarios en función del perfil de riesgo de cada
uno.

Si una empresa es particularmente adversa al riesgo, como una cooperativa de crédito o un

restaurante, optará por invertir en un sistema de seguridad física más costoso que esté mejor
equipado para mitigar el riesgo. Por lo tanto, la cantidad de recursos que una empresa dedica a
su seguridad física utilizando un enfoque basado en el riesgo debe ser equivalente al valor que
asigna a la mitigación del riesgo.

5.3.1. Control de acceso responsable

Al vincular el control de acceso a las personas, una organización puede mejorar su visibilidad
sobre la actividad del personal. Imagine que solo se puede acceder a una habitación en
particular con una sola llave, y esa llave se entrega a dos personas. Si un activo en esa
habitación desaparece, solo esas dos personas son responsables de su desaparición.

6. Sistema de gestión integral de seguridad de la

información (SGSI)
6.1. ¿Qué es la gestión de la seguridad de la información?
La gestión de la seguridad de la información es una forma de proteger los datos confidenciales
de una organización frente a amenazas y vulnerabilidades.

El proceso generalmente está integrado a través de un SGSI (sistema de gestión de seguridad

de la información), que proporciona el marco para gestionar la seguridad de la información.

En el centro del marco se encuentra la gestión de riesgos de la información, en la que las

organizaciones evalúan los riesgos y las formas en que pueden comprometer la
confidencialidad, integridad y disponibilidad de la información.

Al administrar los riesgos, las organizaciones obtienen una comprensión integral de las formas
específicas en que podrían sufrir violaciones de datos y otros eventos disruptivos, y los pasos
que pueden tomar para protegerse.
 Página 23 de 20

Con la amenaza cada vez mayor de las filtraciones de datos y las medidas reglamentarias
asociadas, es fundamental que las organizaciones gestionen los riesgos de seguridad de la
información de manera eficaz.

6.1.1. ¿Qué es un SGSI?

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de reglas que
una entidad debe establecer para:

• Identificar las partes interesadas y sus expectativas de la empresa en términos de

seguridad de la información.
• Identificar qué riesgos existen para la información.
• Definir controles (salvaguardas) y otros métodos de mitigación para cumplir con las
expectativas identificadas y manejar los riesgos.
• Establecer objetivos claros sobre lo que debe lograrse con la seguridad de la
información.
• Implementar todos los controles y otros métodos de tratamiento de riesgos .
• Medir continuamente si los controles implementados funcionan como se esperaba.
• Realizar mejoras continuas para que todo el SGSI funcione mejor.

Este conjunto de reglas se puede escribir en forma de políticas, procedimientos y otros tipos de
documentos, o puede estar en forma de procesos y tecnologías establecidos que no están
documentados. ISO 27001 define qué documentos se requieren, es decir, cuáles deben existir
como mínimo.

6.2. ¿Por qué es importante la gestión de la seguridad de la

información?
Las entidades modernas procesan y almacenan grandes cantidades de datos confidenciales. La
información puede ser necesaria para brindar servicios, mejorar la experiencia del usuario o
tomar mejores decisiones sobre la forma en que opera.

Cualquiera que sea el propósito de estos datos, es esencial que las organizaciones los protejan.
Si los actores no autorizados obtienen la información, ya sea por un ataque cibernético o una
violación de la privacidad, causará un daño duradero.

Al crear un SGSI, las organizaciones mitigan el riesgo de una infracción y demuestran a los
reguladores que se toman en serio la seguridad de la información. Esto ayudará durante la
etapa de investigación y dará como resultado una sanción más indulgente, o posiblemente
ninguna sanción. El marco de referencia generalmente aceptado en todo el mundo para la SGSI
es la ISO 27.001. (Bravo, 2018)
 Página 24 de 20

6.3. ¿Qué es la ISO 27.001?

ISO 27001 es la norma internacional líder enfocada en la seguridad de la información, que fue
desarrollada para ayudar a las organizaciones, de cualquier tamaño o industria, a proteger su
información de manera sistemática y rentable, mediante la adopción de un Sistema de Gestión
de Seguridad de la Información.

Es importante tener en cuenta que el nombre completo de ISO 27001 es "ISO/IEC 27001 -
Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la
información - Requisitos", es el estándar internacional líder centrado en la seguridad de la
información, publicado por la Organización Internacional de Normalización (ISO), en asociación
con la Comisión Electrotécnica Internacional (IEC). Ambos son organizaciones internacionales
líderes que desarrollan estándares internacionales.

ISO-27001 es parte de un conjunto de estándares desarrollados para manejar la seguridad de la

información: la serie ISO/IEC 27000.

6.3.1. Marco ISO y el propósito de ISO 27001

El marco ISO es una combinación de políticas y procesos para que las organizaciones lo utilicen.
ISO 27001 proporciona un marco para ayudar a las organizaciones, de cualquier tamaño o
industria, a proteger su información de manera sistemática y rentable, a través de la adopci ón
de un Sistema de Gestión de Seguridad de la Información (SGSI).

6.3.2. ¿Por qué es importante la norma ISO 27001?

El estándar no sólo brinda a las entidades el conocimiento necesario para proteger su
información más valiosa, sino que una empresa también puede obtener la certificación ISO
27001 y, de esta manera, demostrar a sus clientes y socios que protege sus datos.

Las personas también pueden obtener la certificación ISO 27001 asistiendo a un curso y
aprobando el examen y, de esta manera, demostrar sus habilidades a posibles empleadores.

Por ser una norma internacional, la ISO 27001 es fácilmente reconocida en todo el mundo,
aumentando las oportunidades para organizaciones y profesionales.

6.4. Beneficios de la gestión de la seguridad de la información

Además de reducir el riesgo de filtraciones de datos y sanciones posteriores, la gestión de la
seguridad de la información proporciona una variedad de otros beneficios.

Por ejemplo, las organizaciones que implementan un SGSI:

• Reducir los costos de seguridad de la información

 Página 25 de 20

• Gracias al enfoque de evaluación y análisis de riesgos de un SGSI, las organizaciones

pueden reducir los costos invertidos en agregar indiscriminadamente capas de
tecnología defensiva que podrían no funcionar.
• Mejorar la cultura de la empresa.

El enfoque holístico de la norma ISO 27.001 cubre toda la organización, no solo TI, e incluye
personas, procesos y tecnología. Esto permite a los empleados comprender fácilmente los
riesgos y adoptar los controles de seguridad como parte de sus prácticas laborales diarias.

Asimismo, muchas organizaciones hoy en día solo trabajarán con terceros que puedan
demostrar una seguridad de la información efectiva. Esto es comprensible, dado que una
violación de datos podría generar demoras costosas e incluso puede instigar un ataque a la
cadena de suministro.

6.4.1. ¿Cuáles son los objetivos de la gestión de la seguridad de la

información?
El principal objetivo de la gestión de la seguridad de la información es evitar las violaciones de
datos, pero es útil desglosarlo en detalles más granulares.

Por ejemplo, la prevención de violaciones de datos comienza con la gestión de riesgos, en la

que una organización identifica sus activos de información y las formas en que pueden verse
comprometidos.

Para hacer esto, las organizaciones deben dividir el riesgo en sus componentes constituyentes:

•fallas conocidas que •las acciones mediante

pueden explotarse las cuales se explotan
para dañar o las vulnerabilidades.
comprometer Por ejemplo, un
información ciberdelincuente
confidencial. aprovechando una
falla de software.

Vulnerabilidades Amenazas

Impacto Probabilidad

•el daño que se •qué tan probable es

produce cuando se que se explote una
explota una amenaza. vulnerabilidad.
Esto abarca retrasos,
negocios perdidos,
efectos financieros y
daños a la reputación.
 Página 26 de 20

Mientras tanto, las organizaciones también deben considerar las diferentes formas en que se
puede violar la información. Esto se puede considerar a través de los tres pilares de la
seguridad de la información revisados anteriormente.

El primero es la confidencialidad, que se refiere a si la información es accesible o

revelada a personas no autorizadas.

En segundo lugar, está la integridad, que se refiere a la integridad y precisión de la

información confidencial.

Finalmente, está la disponibilidad de información sensible, que se refiere a si los

usuarios autorizados pueden acceder a la información bajo demanda.

6.4.2. Cumplimiento y estándares de gestión de la seguridad de la

información
En muchos casos, la gestión de la seguridad de la información no es simplemente una
recomendación sino un requisito de cumplimiento.

Por ejemplo, cualquier organización que desee certificarse en ISO 27001, el estándar
internacional que describe las mejores prácticas para la seguridad de la información debe
implementar un SGSI. (Susanto, 2010)
 Página 27 de 20

Conclusión
La seguridad de la información como se ha podido revisar en la presente Unidad, es uno de
los aspectos fundamentales que toda organización requiere abordar como parte de sus
prioridades, sobre todo considerando aquellas entidades que son dominantes al uso de las
tecnologías de la información.

A lo anterior, se debe sumar el hecho de que existen ciertas entidades que pertenecen a
sectores de la economía, donde las tecnologías de la información son en un alto porcentaje
dominantes como es el caso de: Telecomunicaciones, Bancos, Compañías de Seguro, Retail,
entre otras, por lo que abordar los aspectos tratados en esta Unidad, se hace mandatorio y
con toda una orgánica que permita llevar a cabo una gestión integral de seguridad de la
información, con enfoque holístico, es decir, que abarque a toda la organización de extremo
a extremo y de arriba hacia abajo.

En este contexto, es de suma importancia ir familiarizándose con estos conceptos tratados

en esta Unidad, más aún en estos tiempos donde la era digital está llevando a entidad de
todos los tamaños a automatizar procesos y en la medida que exista conectividad con el
ciberespacio, los riesgos de ciberseguridad se tienden a exacerbar y en consecuencia, es
necesario contar con toda una operativa funcional y orgánica que permita responder a las
potenciales vulnerabilidades, con controles de mitigación que sean eficaces.

El monitoreo continuo que se debe llevar a cabo a los aspectos que contempla la triada o
principios de seguridad de la información (Confidencialidad, integridad y disponibilidad de la
información), se hace cada vez más necesario apoyado por tecnologías, con especial énfasis
en lo relativo a la seguridad lógica, A esto sumar, aspectos relativos a la privacidad, que si
bien no es parte de la triada de seguridad de la información, los riesgos asociados podrían
vulnerar información privada de las personas y con el consiguiente perjuicio en imagen y
reputación, considerando además que la privacidad es un derecho fundamental consagrado
en la Constitución Política de la República.

Los desafíos en esta materia son significativos y más aún en la medida que nos acercamos
cada vez más a la era robótica con inteligencia artificial y que actualmente es insipiente y
que avanza aceleradamente en los países del primer mundo o desarrollados.
 Página 28 de 20

Referencias bibliográficas

Alberts, C. y. (2003). Managing Information Security Risk. Boston: Pearson Education.

Bravo, M. (2018). Desarrollo de un Sistema de Gestión de Seguridad de la información para
bibliotecas basado en una metodología mejorada para análisis de riesgos compatible
con la norma ISO/IEC 27001: 2013. Ecuador.
ISACA. (2008). Manual de Preparación al Examen CISM (Gerente de Seguridad de la
Información). IL, USA: ISACA.
ISACA. (2014). Manual de preparación al Examen CISA. IL. USA: ISACA.
Susanto, H. y. (2010). ultimedia information security architecture framework. South Korea: 5th
International Conference on Future Information Technology.
 Página 29 de 20

Este material fue desarrollado por el docente Mg. Pedro David Hernández Farías
para la Universidad Mayor.
Última actualización septiembre, 2022.
Este documento ha sido diseñado para su lectura en formato digital.