PILARES DE LA SEGURIDAD INFORMATICA Y LA SEGURIDAD DE LA INFORMACION

ING. JOHN ALEXANDER LAMPREA HERNANDEZ

TRABAJO INVESTIGATIVO - LEGISLACION

Docente
Dr. Leonardo Cristancho Hoyos

UNIVERSIDAD PILOTO DE COLOMBIA

FACULTAD DE SISTEMAS
ESPECIALIZACION EN SEGURIDAD INFORMATICA
BOGOTA
2014

PILARES DE LA SEGURIDAD
INFORMATICA Y LA SEGURIDAD DE LA
INFORMACION.
John Alexander Lamprea*
Universidad Piloto de Colombia

RESUMEN

funcionamiento directo o a los resultados que

Las Tecnologas de la informacin (TICs)

se obtienen

contribuyen a mejorar la toma de decisiones

ABSTRACT

en las organizaciones suministrando datos con

la calidad y en la cantidad que estas requieren,
sin embargo, este flujo de la informacin
genera

riesgos

de

varios

tipos

todos

relacionados con la seguridad.

La Seguridad de la Informacin tiene como fin
la proteccin de la informacin y de los
sistemas de la informacin del acceso, uso,
divulgacin, interrupcin o destruccin no
autorizada.
La seguridad es un concepto asociado a la
certeza, falta de riesgo o contingencia.
Podemos entender como seguridad un estado
de cualquier sistema o tipo de informacin
(informtico o no) que nos indica que ese
sistema o informacin est libre de peligro,
dao o riesgo. Se entiende como peligro o
dao todo aquello que pueda afectar a su

The

Information

Technologies

(ICTs)

contribute to improved decision-making in

organizations providing data quality and
quantity that they require, however, this flow of
information creates risks of various types all
related to security.
The Information Security is designed to protect
information and information systems from
unauthorized

access,

use,

disclosure,

disruption or unauthorized destruction.

Security is a concept associated with certainty,
lack of risk or contingency. We can understand
how a state security of any system or
information

(computerized

or not) which

indicates that the system or information is free

from danger, harm or risk. It is understood as
danger or harm anything that could affect their
safe operation or the results obtained.

1. INTRODUCCION

Cuando una empresa define la seguridad de la

En la actualidad, para llevar a cabo sus

actividades la sociedad se apoya en las
llamadas tecnologas de la informacin y la

informacin como prioridad, estableciendo

medidas que ayuden a conseguirla, de manera
inmediata se plantea la necesidad de instalar
mecanismos, fsicos, que permitan controlar

comunicacin - TIC.

los

riesgos

asociados

la

seguridad

Mediante ellas se realizan innumerables

perimetral,

transacciones y operaciones; asimismo, se

asociadas a la arquitectura de su red, dejando

comunican

eficaz,

a un lado aspectos muy relevantes sin los

econmica y veloz; es decir se manejan

cuales no se puede considerar una buena

grandes

sin

gestin de la seguridad. Bsicamente se

tecnologas

centra en la aplicacin de una seguridad

personas

de

volmenes

embargo,

el

uso

eventualmente
relacionados

de
de

Informacin;
estas

podra
con

manera

derivar

la

seguridad

hasta

las

medidas

fsicas

riesgos

informtica y no en la aplicacin de una

de

seguridad de la informacin.

la

informacin, lo cual es el tema ms crtico

pues esta informacin y las personas que la
manejan

pueden,

por

ejemplo,

quedar

2. SEGURIDAD DE LA INFORMACION

expuestas a las actuaciones de piratas

electrnicos

que

roban,

comercializan,

usufructan

informacin

sus

de

sabotean,
o

vctimas,

borran
causando

La Seguridad de la Informacin tiene como fin

la proteccin de la informacin y de los
sistemas de la informacin del acceso, uso,
divulgacin, interrupcin o destruccin no

perjuicios a los usuarios o dueos.

autorizada. La seguridad es un concepto

La informacin est definida como el activo

asociado a la certeza, falta de riesgo o

ms valioso de una compaa, los costos

contingencia.

derivados de perdida de seguridad no son solo

seguridad un estado de cualquier sistema o

costos econmicos directos, sino que tambin

tipo de informacin (informtico o no) que nos

afectan a la imagen de la empresa, por lo que

indica que ese sistema o informacin est libre

cada vez ms, la seguridad de la informacin

de peligro, dao o riesgo. Se entiende como

forma

las

peligro o dao todo aquello que pueda afectar

organizaciones y, sin embargo, y a pesar de

a su funcionamiento directo o a los resultados

esa

que se obtienen.

parte

de

concienciacin

los

objetivos

generalizada

de

muchas

compaas no se enfrentan a este aspecto con

la globalidad con la que debera tratarse.

Podemos

entender

como

Conviene aclarar que la seguridad absoluta no

es posible, no existe un sistema 100% seguro,
de forma que el elemento de riesgo est
siempre

presente,

independiente

de

fallas parciales o totales, cuando la

informacin es el activo que se
encuentra en riesgo. [Jeimy J. Cano,
Ph.D., CFE.]1

las

Seguridad Informtica sera la disciplina que

medidas que tomemos, por lo que se debe

se encargara de llevar a cabo las soluciones

hablar de niveles de seguridad.

tcnicas de proteccin de la informacin (los

activos).

A primera vista "Seguridad Informtica" y

No obstante, aunque estn destinados a vivir

Seguridad de la Informacin es la
disciplina que nos habla de los riesgos,
de las amenazas, de los anlisis de
escenarios, de las buenas prcticas y
esquemas normativos, que nos exigen
niveles de aseguramiento de procesos
y tecnologas para elevar el nivel de
confianza en la creacin, uso,
almacenamiento,
transmisin,
recuperacin y disposicin final de la
informacin.[Jeimy J. Cano, Ph.D.,
CFE.]2

en armona y trabajar conjuntamente, cada

Seguridad de la informacin sera la disciplina

uno de las reas de Seguridad tiene objetivos

que encargara de proporcionar evaluar el

y actividades diferentes.

riesgos y las amenazas, trazar el plan de

"Seguridad de la Informacin" pueden parecer

exactamente lo mismo, sobre todo si se tiene
en cuenta que el desarrollo y la evolucin de
la tecnologa tienden hacia el modelo de
"digitalizar" y "manejar" cualquier tipo de
informacin mediante un sistema informtico.

accin y adecuacin para minimizar los

La Seguridad Informtica se describe como la

riesgos, bajo normativa o buenas prcticas

distincin

la

con el objetivo de asegurar la confidencialidad,

Seguridad, mientras la Seguridad de la

integridad y disponibilidad en el manejo de la

Informacin sera la lnea estratgica de la

informacin (activos).

tctica

operacional

de

Seguridad.
Seguridad Informtica, esta disciplina
se encargara de las implementaciones
tcnicas de la proteccin de la
informacin, el despliegue de las
tecnologas
antivirus,
firewalls,
deteccin de intrusos, deteccin de
anomalas, correlacin de eventos,
atencin de incidentes, entre otros
elementos,
quearticulados
con
prcticas de gobierno de tecnologa de
informacinestablecen la forma de
actuar y asegurar las situaciones de

de Seguridad y el Anlisis de Riesgos en el

que se debera basar la Poltica.

3. BUSCANDO LA SEGURIDAD FISICA

Es evidente que las medidas para la seguridad
fsica

(seguridad

informtica)

siempre

formarn parte de las medidas generales de

seguridad a implantar. En este punto se debe
tener presente que proteger la informacin
Figura 1. Mapa Conceptual Seguridad de la

supone aplicar aquellas medidas destinadas a

informacin y Seguridad Informtica3

garantizar

la

integridad,

confidencialidad,

disponibilidad, autenticidad y no repudio de la

Es habitual que la Seguridad de la Informacin

informacin, por lo que las medidas fsicas

se apoye en una Poltica de Seguridad que se

deben seleccionarse para asegurar estos

desarrolla mediante la elaboracin de un Plan

aspectos,

Director de Seguridad. La Direccin (de la

directas e indirectas que la puesta en marcha

Organizacin / Empresa) ser la encargada de

de las mismas pudieran provocar en la

marcar las lneas de actuacin (estrategia) en

operativa diaria de la organizacin.

sin

olvidar

las

consecuencias

materia de Seguridad, y mediante el Plan

Director determinar las medidas tanto tcnicas
como

procedimentales

(Seguridad

como

Proceso) que garantice los objetivos marcados

por la Poltica de Seguridad.
Las

medidas

tcnicas

(tcticas

operacionales) sern llevadas a cabo por el

equipo

de

Seguridad

Informtica,

---

Figura 1. Pilares de la Seguridad de la informacin4

Administradores de Sistemas y Seguridad

roles de Seguridad hablaremos en otra
ocasin ---, que implementaran las medidas

Confidencialidad: La informacin slo puede

necesarias para el cumplimiento de la Poltica

ser accedida y utilizada por el personal de la

empresa que tiene la autorizacin para

hacerlo. En este sentido se considera que este

La integridad hace referencia a:

tipo de informacin no puede ser revelada a

terceros, ni puede ser pblica, por lo tanto

la integridad de los datos (el volumen

de la informacin)
la integridad del origen (la fuente de los
datos, llamada autenticacin)

debe ser protegida y es la que tiende a ser ms

amenazada por su caracterstica.5
El objetivo de la confidencialidad es, entonces,
prevenir la divulgacin no autorizada de la
informacin.

Es importante hacer hincapi en la integridad

del origen, ya que puede afectar a su
exactitud, credibilidad y confianza que las
personas ponen en la informacin.

Uno de los ejemplos ms tpicos es el del

ejrcito de un pas. Adems, es sabido que los
logros

ms

importantes

en

materia

de

Disponibilidad:

Se

refiere

que

la

seguridad siempre van ligados a temas

informacin facilitada en cualquier medio

estratgicos militares.

digital o software se encuentre disponible para

Un ejemplo tpico de mecanismo que garantice

la confidencialidad es la Criptografa, cuyo
objetivo es cifrar o encriptar los datos para que
resulten incomprensibles a aquellos usuarios

el procesamiento de la informacin, para el

correcto funcionamiento de una organizacin,
as como de sus clientes o personal requerido
sin que estos sean interrumpidos.7

que no disponen de los permisos suficientes,

El objetivo de la disponibilidad es, entonces,

pero, incluso en esta circunstancia, existe un

prevenir

dato sensible que hay que proteger y es la

autorizadas/controladas

clave de encriptacin.

informticos.

interrupciones
de

los

no
recursos

Un sistema 'no disponible' es tan malo como

Integridad: Se refiere al momento en que la

no tener sistema. No sirve.

informacin no ha sido borrada, copiada o

Algunas fuentes consideran la existencia de

modificada, es decir, cuando se conserva tal

un cuarto pilar llamado autenticidad, Este pilar,

como fue creada o enviada desde cualquier

es similar al de integridad por lo tanto en

medio desde su origen hacia su destino.6

algunos documentos de seguridad informtica

El objetivo de la integridad es, entonces,

prevenir modificaciones no autorizadas de la
informacin.

no la contemplan.

Como resumen de las bases de la seguridad

Las

informtica que hemos comentado, podemos

legislacin de su jurisdiccin, es por ello que

decir que la seguridad consiste en mantener el

es til hacer un reconocimiento de la

equilibrio adecuado entre estos tres factores.

normatividad que regula la seguridad de la

No tiene sentido conseguir la confidencialidad

informacin y ver su aplicabilidad en la

para un archivo si es a costa de que ni tan

organizacin.

siquiera

el

usuario

administrador

pueda

acceder a l, ya que se est negando la

organizaciones

deben

respetar

la

La ley 1273 de 2009 Por medio de la cual se

modifica el Cdigo Penal, se crea un nuevo

disponibilidad.

bien jurdico tutelado denominado de la

Dependiendo del entorno de trabajo y sus

proteccin de la informacin y de los datos- y

necesidades se puede dar prioridad a un

se preservan integralmente los sistemas que

aspecto de la seguridad o a otro. En ambientes

utilicen las tecnologas de la informacin y las

militares suele ser siempre prioritaria la

comunicaciones

confidencialidad de la informacin frente a la

mediante los artculos 269a al 269h tipifica las

disponibilidad. Aunque alguien pueda acceder

acciones contra los pilares de la seguridad de

a ella o incluso pueda eliminarla no podr

la informacin

conocer

su

contenido

reponer

dicha

informacin ser tan sencillo como recuperar

una copia de seguridad (si las cosas se estn
haciendo bien).
En ambientes bancarios es prioritaria siempre
la integridad de la informacin frente a la
confidencialidad

disponibilidad.

Se

considera menos daino que un usuario pueda

leer el saldo de otro usuario a que pueda
modificarlo.

4. NORMATIVIDAD COLOMBIANA
En Colombia existe normatividad jurdica
relacionada
informacin:

con

la

seguridad

legislacin

de

la

doctrina,

jurisprudencia, y convenios supranacionales.

en

su

captulo

primero

Artculo 269 A. Acceso abusivo a un

sistema
informtico.
El
que,
sin
autorizacin o por fuera de lo acordado,
acceda en todo o en parte a un sistema
informtico protegido o no con una medida
de seguridad, o se mantenga dentro del
mismo en contra de la voluntad de quien
tenga el legtimo derecho a excluirlo,
incurrir en pena de prisin de cuarenta y
ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mnimos
legales mensuales vigentes.
Artculo 269 B. Obstaculizacin ilegtima de
sistema
informtico
o
red
de
telecomunicacin. El que, sin estar
facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un
sistema
informtico,
a
los
datos
informticos all contenidos, o a una red de
telecomunicaciones, incurrir en pena de
prisin de cuarenta y ocho (48) a noventa y
seis (96) meses y en multa de 100 a 1000
salarios mnimos legales mensuales
vigentes, siempre que la conducta no
Constituya delito sancionado con una pena
mayor.

Artculo 269 C. Interceptacin de datos

informticos. El que, sin orden judicial
previa intercepte datos informticos en su
origen, destino o en el interior de un
sistema informtico, o las emisiones
electromagnticas provenientes de un
sistema informtico que los trasporte
incurrir en pena de prisin de treinta y seis
(36) a setenta y dos (72) meses.
Artculo 269 D. Dao informtico. El que,
sin estar facultado para ello, destruya,
dae, borre, deteriore, altere o suprima
datos informticos, o un sistema de
tratamiento de informacin o sus partes o
componentes lgicos, incurrir en pena de
prisin de cuarenta y ocho (48) a noventa y
seis (96) meses y en multa de 100 a 1000
salarios mnimos legales mensuales
vigentes.
Artculo 269 E. Uso de software malicioso.
El que, sin estar facultado para ello,
produzca, trafique, adquiera, distribuya,
venda, enve, introduzca o extraiga del
territorio nacional software malicioso u
otros programas de computacin de
efectos dainos, incurrir en pena de
prisin de cuarenta y ocho (48) a noventa y
seis (96) meses y en multa de 100 a 1000
salarios mnimos legales mensuales
vigentes.
Artculo 269 F. Violacin de datos
personales. El que, sin estar facultado para
ello, con provecho propio o de un tercero,
obtenga, compile, sustraiga, ofrezca,
venda, intercambie, enve, compre,
intercepte, divulgue, modifique o emplee
cdigos personales, datos personales
contenidos en ficheros, archivos, bases de
datos o medios semejantes, incurrir en
pena de prisin de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de
100 a 1000 salarios mnimos legales
mensuales vigentes.
Artculo 269 G. Suplantacin de sitios web
para capturar datos personales. El que con
objeto ilcito y sin estar facultado para ello,
disee, desarrolle, trafique, venda, ejecute,
programe o enve pginas electrnicas,
enlaces o ventanas emergentes, incurrir
en pena de prisin de cuarenta y ocho (48)
a noventa y seis (96) meses y en multa de

100 a 1000 salarios mnimos legales

mensuales vigentes, siempre que la
conducta no constituya delito sancionado
con pena ms grave. En la misma sancin
incurrir el que modifique el sistema de
resolucin de nombres de dominio, de tal
manera que haga entrar al usuario a un a
IP diferente en la creencia de que acceda a
su banco o a otro sitio personal o de
confianza, siempre que la conducta no
constituya delito sancionado con pena ms
grave. La pena sealada en los dos incisos
anteriores se agravar de una tercera parte
a la mitad, si para consumarlo el agente ha
reclutado vctimas en la cadena del delito.
Artculo 269 H. Circunstancias de
agravacin punitiva. Las penas imponibles
de acuerdo con los artculos descritos en
este ttulo, se aumentarn de la mitad a las
tres cuartas partes si la conducta se
cometiere:
1. Sobre redes o sistemas informticos o de
comunicaciones estatales u oficiales o del
sector financiero, nacionales o extranjeros.
2. Por servidor pblico en ejercicio de sus
funciones
3. Aprovechando la confianza depositada
por el poseedor de la informacin o por
quien tuviere un vnculo contractual con
este.
4. Revelando o dando a conocer el
contenido de la informacin en perjuicio de
otro.
5. Obteniendo provecho para si o para un
tercero.
6. Con fines terroristas o generando riesgo
para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero
de buena fe.

8. Si quien incurre en estas conductas es el

responsable de la administracin, manejo o
control de dicha informacin, adems se le
impondr hasta por tres aos, la pena de
inhabilitacin para el ejercicio de profesin
relacionada con sistemas de informacin
procesada con equipos computacionales8

Y en el captulo segundo establece las

la informacin y la comunicacin an no es

acciones

suficiente. Sobre esto, Velasco afirma:

punibles

reconocer

como

atentados informticos.
Artculo 269 I. Hurto por medios
informticos y semejantes. El que,
superando
medidas
de
seguridad
informticas, realice la conducta sealada
en el artculo 239 manipulando un sistema
informtico, una red de sistema electrnico,
telemtico u otro medio semejante, o
suplantando a un usuario ante los sistemas
de autenticacin y de autorizacin
establecidos, incurrir en las penas
sealadas en el artculo 240 de este
Cdigo.
Artculo 269 J. Transferencia no consentida
de activos. El que, con nimo de lucro y
valindose de alguna manipulacin
informtica o artificio semejante, consiga la
transferencia no consentida de cualquier
activo en perjuicio de un tercero, siempre
que la conducta no constituya delito
sancionado con pena ms grave, incurrir
en pena de prisin de cuarenta y ocho (48)
a ciento veinte (120) meses y en multa de
200 a 1500 salarios mnimos legales
mensuales vigentes. La misma sancin se
le impondr a quien fabrique, introduzca,
posea o facilite programa de computador
destinado a la comisin del delito descrito
en el inciso anterior, o de una estafa. Si la
conducta descrita en los dos incisos
anteriores tuviere una cuanta superior a
200 salarios mnimos legales mensuales, la
sancin all sealada se incrementar en la
mitad.9

El desarrollo en nuestro pas de normas

jurdicas que respondan a los
problemas que surgen del fenmeno de
las TIC es mnimo. La Ley 527 de 1999
constituye uno de los pocos desarrollos
importantes en este sentido. Esta
situacin genera un grado importante
de inseguridad e incertidumbre no slo
para las organizaciones, sino para
tambin los ciudadanos, en su
condicin de usuarios, consumidores y
titulares de datos personales.10

5. NORMAS DE CARCTER TECNICO

Se encuentran normas de carcter tcnico
cuya finalidad es la gestin de la informacin;
al respecto, la familia de las Normas ISO
27000, que se han venido desarrollando con
fuerza en la ltima dcada; los Sistemas de
Gestin de Seguridad de la Informacin - SGSI
son certificables bajo el estndar ISO 27001.
La norma/estndar UNE ISO/IEC 27001 del
Sistema de Gestin de la Seguridad de la
Informacin es la solucin de mejora continua
ms adecuada para evaluar los riesgos fsicos
(incendios,

inundaciones,

sabotajes,

Aunque no tiene relacin directa con la

vandalismos,

seguridad en la informacin otra ley que existe

indeseados) y lgicos (virus informticos,

en colombia es la 527 de 1999 que trata sobre

ataques

procesos electrnicos.

servicios) y establecer las estrategias y

Pero aun as la reglamentacin colombiana en

controles adecuados que

materia de seguridad de la informacin, al

permanente proteccin y salvaguarda de la

menos la que se deriva de las tecnologas de

informacin.

de

accesos

intrusin

indebidos

denegacin

de

aseguren una

No hay que confundir mejores prcticas con

requerimientos de la norma pues no todas las
reglas de seguridad son aplicables para todos
los tipos de organizaciones.

7. BIBLIOGRAFIA
[1]. [ISACA] La Gerencia de la Seguridad de la
Informacin: Evolucin y Retos Emergentes
[Jeimy J. Cano, Ph.D., CFE]
[2]. [ISACA] La Gerencia de la Seguridad de la
Informacin: Evolucin y Retos Emergentes
[Jeimy J. Cano, Ph.D., CFE]

6. CONCLUSIONES
Actualmente la continuidad de un negocio se
basa

en

la

definicin,

implantacin,

mantenimiento y evolucin de una estrategia

de seguridad global marcada por la Alta
direccin de la compaa y seguida por toda la
organizacin.
Esta estrategia debe incluir todos los aspectos
(generales, tcnicos, normativos, legislativos,
econmicos) en los que deben aplicarse
medidas de seguridad, con lo que se convierte
en una estrategia para la seguridad de la
informacin y no una estrategia de seguridad
informtica.
El compromiso de la alta direccin de una
compaa debe ser firme con la seguridad de
la informacin, evitando la creacin de focos
de seguridad no alineados con los objetivos
marcados.
La fase de la verificacin del PHVA en la
seguridad deben ser una constante en las
organizaciones; la concienciacin tiene un
papel protagonista.

[3].
http://www.seguridadparatodos.es/2011/10/se
guridad-informatica-o-seguridad-de-la.html
[4].
http://datateca.unad.edu.co/contenidos/23300
3/modulo/modulo-233003online/11_leccin_1_pilares_de_la_seguridad_
informtica.html
[5][6][7].
http://datateca.unad.edu.co/contenidos/23300
3/modulo/modulo-233003online/11_leccin_1_pilares_de_la_seguridad_
informtica.html
[8][9].
http://www.ccit.org.co/files/Leyes/Ley_1273_d
e_2009.pdf
[10]. VELASCO, Arean. El derecho informtico
y la gestin de la seguridad de la informacin:
una perspectiva con base en la Norma ISO
27001. Barranquilla. 2008. [En lnea]. Revista
de Derecho. Academic Search Complete,
EBSCOhost