Unidad 3

1 //Escenario
Escenario25
Lectura Fundamental

Introducción
Etapas de un aplan
la gestión
de comunicación
estratégica
de la seguridad de la información

Contenido

1 Historia de la Norma ISO-27000

2 La familia de normas ISO-27000

3 Información, seguridad y arquitectura

4 Principios fundamentales de seguridad

5 Información

6 Gestión de seguridad

7 Mitigación de riesgos de seguridad

8 Gestión de riesgos

9 Vigilar, evaluar y controlar el programa de CIM

Palabras clave:
Seguridad, información, gestión, datos.
1. Historia de la norma ISO-27000
Los primeros pasos de los estándares fueron hechos originalmente por el Departamento de Comercio
e Industria del Gobierno del Reino Unido (DTI, por sus siglas en inglés). Su Centro de Seguridad
Informática Comercial (conocido como CCSC) se encargó de varias tareas importantes en esta área.
Una de ellas era la de establecer un criterio de evaluación de seguridad para los productos TI, y otra era la
creación de un código de buenas prácticas para la seguridad de la información.

La primera de estas tareas condujo a la creación de lo que se conoce como ITSEC, la segunda llevó a la
publicación de un documento conocido como DISC PD003, que siguió el desarrollo del NCC (Centro
Nacional de Computación) con sede en Manchester y un consorcio de organizaciones de usuarios.
El documento PD0003 se organizó en diez secciones, cada una de las cuales delineaba numerosos
objetivos y controles. A pesar de haber sido publicado a principios de la década de 1990, su formato y
contenido aún se parecen mucho al estándar actual ISO 17799/27002. Este documento continuó su
desarrollo bajo la custodia del Instituto de Estándares Británico (BSI, por sus siglas en inglés). En 1995 se
convirtió en un estándar formal, conocido como BS7799 (27000.org, 2007).

El desarrollo ahora continúa en dos frentes principales. Por un lado, BSI desarrolló otro estándar, una
especificación de un Sistema de gestión de la seguridad de la información, el cual fue publicado en 1998
como BS7799-2, y que eventualmente se convertiría en ISO 27001. Por otro lado, BS7799-1, bajo los
auspicios de ISO, se convirtió rápidamente en ISO / IEC 17799 en diciembre de 2000.

A pesar de la reciente publicación de la norma ISO 17799, se inició una importante revisión de esta
en la reunión de Oslo del Grupo de Trabajo ISO / IEC JTC1 SC27 en abril de 2001, donde se hicieron
varios comentarios que se consideraron durante un largo período y en varias reuniones del Grupo de
Trabajo (Seúl 2001, Berlín y Varsovia 2002, Ciudad de Quebec y París 2003). Después de la reunión de
Singapur en 2004, se pasó una nueva versión de la norma a una boleta del FCD y se aprobó. La reunión
de Berlín 2004 avanzó esto en un Borrador de Norma Internacional (DIS), el cual se ratificó en una
reunión en Fortaleza en 2004 y se confirmó en abril de 2005 en la reunión de Viena. La nueva versión
de la norma ISO / IEC 17799 finalmente se publicó en junio de 2005 (27000.org, 2007).

El estándar BS7799-2 estaba muy alineado con el enfoque adoptado por otras especificaciones ISO,
como la norma ISO 9000, por lo tanto, su adopción como ISO 27001 fue más directa, con menos
comentarios para procesar. Este fue publicado en octubre de 2005.

A finales de 2007, para alinear el sistema de numeración de la serie, ISO 17799 se renombró como ISO
27002.

POLITÉCNICO GRANCOLOMBIANO 2
2. La familia de normas ISO-27000
La familia de normas ISO/IEC 27000 se creó con el fin de ayudar a las organizaciones a mantener
seguros sus activos de información. Actualmente cuenta con docenas de estándares asociados a los
sistemas de gestión de la seguridad de la información.

• ISO/IEC 27000:2018 Generalidades y vocabulario

Proporciona una descripción general de los sistemas de gestión de la seguridad de la información

(SGSI), asimismo, suministra términos y definiciones utilizados comúnmente en la familia de
estándares SGSI. Este documento es aplicable a todos los tipos y tamaños de organización (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro)
(International Organization for Standardization & Commission, 2018).

• ISO/IEC 27001:2013 Técnicas de seguridad - SGSI - Requisitos

Especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema
de gestión de la seguridad de la información dentro del contexto de la organización. También incluye
requisitos para la evaluación y el tratamiento de riesgos de seguridad de la información adaptados a
las necesidades de la organización. Los requisitos establecidos en la norma ISO/IEC 27001:2013 son
genéricos y están destinados a ser aplicables a todas las organizaciones, independientemente de su
tipo, tamaño o naturaleza (International Organization for Standardization & Commission, 2013a).

Esta es la norma principal de la serie y las organizaciones pueden certificarse en este estándar.

• ISO/IEC 27002:2013 Técnicas de seguridad - Código de prácticas para controles de seguridad

de la información

Proporciona directrices para las normas y las prácticas de gestión de seguridad de la información
organizacional, incluidas la selección, implementación y administración de controles, teniendo
en cuenta los entornos de riesgo de seguridad de la información de la organización (International
Organization for Standardization & Commission, 2013b).

Este estándar se encuentra diseñado para ser utilizado por organizaciones que tienen la intención de:

»» Seleccionar controles dentro del proceso de implementación de un sistema de gestión de

seguridad de la información basado en ISO/IEC 27001.

»» Implementar controles de seguridad de la información comúnmente aceptados.

»» Desarrollar sus propias pautas de gestión de seguridad de la información.

POLITÉCNICO GRANCOLOMBIANO 3
 • ISO/IEC 27003:2017 Sistemas de gestión de seguridad de la información - Orientación

Proporciona los lineamientos para el proceso de diseño e implementación de un SGSI de acuerdo

con la norma ISO/IEC 27001:2013. Describe todo el proceso, desde la concepción y especificación,
hasta el inicio de los planes de implementación (International Organization for Standardization &
International Electrotechnical Commission, 2017).

• ISO/IEC 27004:2016 Gestión de seguridad de la información - Seguimiento, medición, análisis

y evaluación

Suministra directrices destinadas a ayudar a las organizaciones a evaluar el rendimiento de la seguridad

de la información y la eficacia de un sistema de gestión de seguridad de la información, con el fin de
cumplir con los requisitos del estándar ISO/IEC 27001: 2013, 9.1.

Establece los siguientes aspectos:

1. El monitoreo y la medición del rendimiento de la seguridad de la información.

2. El monitoreo y la medición de la efectividad de un sistema de gestión de la seguridad de la

información (SGSI), incluidos sus procesos y controles.

3. El análisis y evaluación de los resultados de monitoreo y medición.

La norma ISO/IEC 27004:2016 es aplicable a todos los tipos y tamaños de organizaciones

(International Organization for Standardization & International Electrotechnical Commission, 2016).

• ISO/IEC 27005:2011 Técnicas de seguridad - Gestión de riesgos de seguridad de la información

Proporciona directrices para la gestión de riesgos de seguridad de la información. Es compatible con

los conceptos generales especificados en el estándar ISO / IEC 27001 y está diseñado para ayudar a
la implementación satisfactoria de la seguridad de la información basada en un enfoque de gestión de
riesgos.

El conocimiento de los conceptos, modelos, procesos y terminologías descritos en los estándares ISO
/ IEC 27001 e ISO / IEC 27002 es importante para una comprensión completa de la norma ISO /
IEC 27005: 2011. De igual forma, es aplicable a todo tipo de organizaciones (por ejemplo, empresas
comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que pretenden gestionar
los riesgos que podrían comprometer la seguridad de la información de la organización (International
Organization for Standardization & Commission, 2011).

Adicional a las normas mencionadas, existen muchas de la familia 27000 relacionadas con seguridad
de la información, para aspectos como auditorías, especificidades en algún sector empresarial,
almacenamiento de medios, métodos de investigación, entre otros.

POLITÉCNICO GRANCOLOMBIANO 4
3. Información, seguridad y arquitectura
La seguridad de la información se logra mediante la implementación de un conjunto adecuado de
controles, que incluyen políticas, procesos, procedimientos, estructuras organizativas y funciones
de software y hardware. Estos controles se deben establecer, realizar, monitorear, revisar y mejorar
cuando sea necesario, para garantizar que se cumplan los objetivos comerciales específicos y de
seguridad de la organización. Esto debe hacerse junto con otros procesos de gestión empresarial
(ISO/IEC 27002, 2013).

El enfoque de proceso para la gestión de la seguridad de la información presentado en la ISO/IEC

27002, 2013), Código de prácticas para la seguridad de la información, abarca la importancia de:

1. Comprender los requisitos de seguridad de la información de una organización y la necesidad de

establecer políticas y objetivos para la seguridad de la información.

2. Implementar y operar controles para administrar los riesgos de seguridad de la información de

una organización en el contexto de los riesgos comerciales generales de esta.

3. Supervisar y revisar el rendimiento y la eficacia del Sistema de gestión de la seguridad de la

información SGSI.

4. Mejora continua basada en mediciones objetivas.

Las organizaciones y sus sistemas de información y redes se enfrentan a amenazas de seguridad de

una amplia gama de fuentes, incluidas el fraude asistido por computadora, el espionaje, el sabotaje, el
vandalismo, los incendios o las inundaciones. Las causas de daños como códigos maliciosos, piratería
informática y ataques de denegación de servicio se han vuelto más comunes, ambiciosas y sofisticadas
(ISO/IEC 27002, 2013).

La seguridad de la información es importante para las empresas del sector público y privado, con el fin
de proteger las infraestructuras críticas. En ambos sectores, la seguridad de la información funcionará
como un habilitador, por ejemplo, para lograr el gobierno electrónico o e-business, y para evitar o
reducir los riesgos relevantes (ISO/IEC 27002, 2013).

POLITÉCNICO GRANCOLOMBIANO 5
4. Principios fundamentales de seguridad
Un programa de seguridad puede tener varios objetivos, grandes o pequeños, pero los principios
más importantes en todos los programas de este tipo son la confidencialidad, la integridad y la
disponibilidad, los cuales se conocen como el triángulo CID. El nivel de seguridad requerido para
lograr estos principios depende de la organización, ya que cada una tiene su propia combinación única
de objetivos y requisitos de negocios y seguridad. Todos los controles de seguridad, mecanismos y
salvaguardas se implementan para proporcionar uno o más de los principios CID, y todos los riesgos,
amenazas y vulnerabilidades se miden por su capacidad potencial para comprometer uno de estos
principios o todos.

Figura 1. El triángulo CID

Fuente: Politécnico Grancolombiano (2018). Modificado de Hintzbergen, Hintzbergen, Smulders, & Baars (2010)

POLITÉCNICO GRANCOLOMBIANO 6
 • Confidencialidad

La confidencialidad, también llamada exclusividad, se refiere a los límites en términos de quién

puede obtener qué tipo de información. Por ejemplo, los ejecutivos pueden estar preocupados por
proteger los planes estratégicos de su empresa de la competencia; los individuos, por otro lado, están
preocupados por el acceso no autorizado a sus registros financieros.

La confidencialidad brinda un alto nivel de reserva a cada elemento de procesamiento de datos y evita
la divulgación no autorizada. Este grado de confidencialidad debe prevalecer mientras que los datos
residen en los sistemas y dispositivos dentro de la red, cuando se transmiten y una vez han llegado a su
destino.

La confidencialidad se puede proporcionar cifrando datos a medida que se almacenan y transmiten,

mediante el uso de relleno de tráfico de red, control de acceso estricto y clasificación de datos,
además de capacitar al personal sobre los procedimientos adecuados.

Algunos casos de medidas de confidencialidad son:

»» El acceso a la información se otorga según la necesidad de saber. No es necesario, por ejemplo,

que un empleado de nómina pueda ver informes de conversaciones con el cliente.

»» Los empleados toman medidas para garantizar que la información no llegue a las personas que
no la necesitan. Por ejemplo, aseguran, que no existan documentos confidenciales sobre su
escritorio mientras están ausentes (política de escritorio clara).

»» La administración de acceso lógico asegura que personas o procesos no autorizados no puedan

ingresar a sistemas, bases de datos y programas automatizados. Por ejemplo, un usuario no tiene
el derecho de cambiar la configuración del computador.

»» Se crea una separación de funciones entre la organización de desarrollo del sistema, la

organización de procesamiento y la organización del usuario. Por ejemplo, un desarrollador de
sistemas no puede realizar ningún cambio en los salarios.

»» Se crean separaciones estrictas entre el entorno de desarrollo, el entorno de prueba y

aceptación, y el entorno de producción.

»» En el procesamiento y uso de datos se toman medidas para garantizar la privacidad del personal
y de terceros. Por ejemplo, el departamento de Recursos Humanos (RR.HH.) puede tener su
propia unidad de red que no es accesible para otros departamentos.

POLITÉCNICO GRANCOLOMBIANO 7
El uso de las computadoras por parte de los usuarios está protegido por medidas de seguridad, de
manera que la confidencialidad de la información está garantizada. Una situación que ilustra esto es la
autenticación de usuarios autorizados mediante una combinación de userlD (contraseña) y, a veces,
un token de respuesta, que crea una contraseña única para cada sesión de inicio, lo cual permite el
acceso a la computadora y a la red. Las capas de red están cifradas, lo que reduce la oportunidad de
análisis de tráfico. Sin embargo, en esas circunstancias todavía es posible que un atacante evalúe la
cantidad de tráfico que entra y sale de cada sistema final. Una contramedida para este tipo de ataque
es el relleno de tráfico.

El relleno de tráfico produce salida de texto de cifrado de forma continua, incluso en ausencia de
texto sin formato; es decir, se genera un flujo constante de datos aleatorios. Cuando el texto plano
está disponible, se cifra y transmite. Cuando el texto simple de entrada no está presente, los datos
aleatorios se cifran y transmiten. Esto hace que sea imposible para un atacante distinguir entre el flujo
de datos verdadero y el relleno, lo que lleva a que sea muy difícil deducir la cantidad de tráfico.

El relleno de tráfico es esencialmente una función de cifrado de enlace. Si solo se utiliza el cifrado de
extremo a extremo, entonces las medidas disponibles para el defensor son más limitadas. Si el cifrado
se implementa en la capa de aplicación, un oponente puede determinar la capa de transporte, las
direcciones de la capa de red y los patrones de tráfico a los que todos pueden acceder.

• Integridad

La integridad se refiere a mantener correcto o consistente el estado previsto de la información.

Cualquier modificación no autorizada de datos, ya sea deliberada o accidental, constituye una
violación de la integridad de los datos. Por ejemplo, se espera que los datos almacenados en el disco
sean estables, lo que supone que no se cambien al azar por problemas con los controladores de
disco. De forma similar, los programas de aplicación deben registrar información correctamente y no
introducir desviaciones de los valores deseados.

Los entornos que aplican y proporcionan este atributo de seguridad garantizan que los atacantes o los
errores de los usuarios no comprometan la integridad de los sistemas o los datos. Cuando un atacante
inserta un virus, bomba lógica o puerta trasera en un sistema, la integridad de este se ve altamente
comprometida. Esto, a su vez, puede afectar negativamente la integridad de la información contenida
en el sistema por corrupción, modificación maliciosa o reemplazo de datos con datos incorrectos. Los
estrictos controles de acceso, detección de intrusos y hashing permiten combatir estas amenazas.

Los usuarios generalmente afectan un sistema o la integridad de sus datos por error (aunque los
usuarios internos también pueden cometer actos maliciosos). Por ejemplo, un usuario con un disco

POLITÉCNICO GRANCOLOMBIANO 8
duro completo puede eliminar involuntariamente los archivos de configuración, bajo el supuesto
erróneo de que eliminar un archivo boot.ini debe estar bien porque no recuerda haberlo usado alguna
vez. O también puede ocurrir que un usuario inserte valores incorrectos ($ 30 000 000 en lugar
de $ 300 000) en una aplicación de procesamiento de datos que termina cobrando a un cliente. La
modificación incorrecta de los datos guardados en las bases de datos es otra forma común en que los
usuarios corrompen accidentalmente los datos, un error que puede tener efectos duraderos.

Algunas medidas para garantizar la integridad son:

»» Los cambios en los sistemas y datos están autorizados. Por ejemplo, un miembro del personal
ingresa un nuevo precio a un artículo en el sitio web y otro verifica la exactitud de ese precio
antes de que se publique.

»» Donde sea posible, se crean mecanismos que obligan a las personas a usar el término correcto.
Por ejemplo, a un cliente siempre se le llama cliente, lo que significa que el término comprador
no se puede ingresar en la base de datos.

»» Las acciones de los usuarios se graban (registran) para que se pueda determinar quién hizo un
cambio en la información.

»» Las acciones vitales del sistema, por ejemplo la instalación de un nuevo software, no pueden ser
llevadas a cabo por una sola persona. Al segregar deberes, cargos y autoridades, se necesitarán al
menos dos personas para llevar a cabo un cambio que tenga consecuencias importantes.

La integridad de los datos se puede asegurar en gran medida a través de las técnicas de cifrado, que
protegen la información de acceso o cambio no autorizado. Los principios de política y gestión para el
cifrado se pueden definir en un documento de política separado.

• Disponibilidad

Las características del principio de disponibilidad son:

»» Oportunidad: la información está disponible cuando es necesario.

»» Continuidad: el personal puede seguir trabajando en caso de falla.

»» Robustez: hay capacidad suficiente para permitir que todo el personal en el sistema funcione.

La disponibilidad puede verse afectada por diferentes situaciones, como un bloqueo del disco, un
ataque de denegación de servicio, cualquier retraso que exceda los niveles de servicio esperados
para un sistema, o por un error del dispositivo o del software. Los dispositivos de respaldo deben
usarse y estar disponibles para reemplazar rápidamente los sistemas críticos, asimismo, los empleados

POLITÉCNICO GRANCOLOMBIANO 9
deben estar capacitados para realizar los ajustes necesarios y así volver a poner el sistema en línea.
Cuestiones ambientales como calor, frío, humedad, electricidad estática y contaminantes también
pueden afectar la disponibilidad del sistema. Los sistemas deben estar protegidos de estos elementos
con una conexión eléctrica a tierra o siendo monitoreados de cerca.

Los ataques de denegación de servicio (DoS, Denial of Service) son métodos populares para que los
hackers interrumpan la disponibilidad y productividad del sistema de una compañía. Estos ataques se
montan para reducir la capacidad de los usuarios de poder acceder a los recursos e información del
sistema. Para protegerse de ellos, solo los servicios y puertos necesarios deberían estar disponibles en
los sistemas, además, los sistemas de detección de intrusos (IDS) deberían monitorear el tráfico de la
red y las actividades del host. Ciertas configuraciones de cortafuegos y enrutadores también pueden
reducir la amenaza de ataques DoS y hasta evitar que ocurran.

A continuación se presentan algunos ejemplos de medidas de disponibilidad:

»» La gestión y el almacenamiento de datos es tal que el riesgo de perder información es mínimo.

Por ejemplo, los datos se almacenan en un disco de red, no en el disco duro del computador.

»» Los procedimientos de respaldo están configurados. Se tienen en cuenta los requisitos legales
sobre cuánto tiempo se deben almacenar los datos. La ubicación de la copia de seguridad está
separada físicamente de la empresa, para garantizar la disponibilidad en casos de emergencia.

»» Los requisitos legales sobre cuánto tiempo se deben almacenar los datos variarán de un país a
otro. Es importante verificar las agencias reguladoras gubernamentales individuales para conocer
los requisitos específicos.

»» Se establecen procedimientos de emergencia para garantizar que las actividades puedan

reanudarse lo antes posible después de una interrupción a gran escala.

• Hexad de Parker (Parkerian hexad)

El hexad de Parker es un conjunto de seis elementos de seguridad de la información propuestos por

Donn B. Parker (el término fue acuñado por M. E. Kabay), el cual agrega tres atributos adicionales
a los tres atributos clásicos de seguridad del triángulo de CID (confidencialidad, integridad,
disponibilidad) (Reid & Gilbert, 2010).

Los atributos del hexad de Parker son los siguientes:

1. Confidencialidad

2. Posesión o control

POLITÉCNICO GRANCOLOMBIANO 10
 3. Integridad

4. Autenticidad

5. Disponibilidad

6. Utilidad

Estos atributos son atómicos en el sentido de que no se dividen en otros constituyentes; no se

superponen, ya que se refieren a aspectos únicos de la información. Cualquier violación a la seguridad
de la información puede afectar a uno o más de dichos atributos.

• Posesión o control

Supongamos que usted olvida un sobre sellado que contiene una tarjeta débito bancaria y su número
de identificación personal está escrito en uno de los documentos. Incluso si nadie abre ese sobre,
usted estaría legítimamente preocupado de que se pudiera usar la tarjeta de forma fraudulenta
en cualquier momento sin su control. Esa situación ilustra una pérdida de control o posesión de
información, pero no implica el incumplimiento de la confidencialidad.

• Autenticidad

La autenticidad se refiere a la veracidad del reclamo por el origen o autoría de la información. Por
ejemplo, un método para confirmar la autoría de un documento escrito a mano es comparar las
características de escritura con una muestra de otras que ya se han verificado. Para la información
electrónica, una firma digital se podría usar para comprobar la autoría de un documento digital
utilizando criptografía de clave pública (esto también podría usarse para verificar la integridad del
documento).

• Utilidad

Utilidad significa usabilidad. Supongamos que alguien cifra datos en un disco para evitar el acceso
no autorizado o modificaciones no detectadas y luego pierde la clave de descifrado; eso sería una
violación de la utilidad, pues los datos serían confidenciales, controlados, integrales, auténticos y
disponibles, y no serían útiles en esa forma. Del mismo modo, hay otras situaciones que muestran
la violación de la utilidad, como la conversión de los datos salariales de una moneda a una moneda
inadecuada, o el almacenamiento de datos en un formato inapropiado para una arquitectura
informática específica, por ejemplo, EBCDIC en lugar de ASCII o cinta magnética en lugar de DVD-
ROM.

La utilidad a menudo se confunde con la disponibilidad porque las infracciones, como las descritas en

POLITÉCNICO GRANCOLOMBIANO 11
estos ejemplos, también pueden requerir tiempo para solucionar el cambio en el formato de datos o la
presentación. Sin embargo, el concepto de utilidad es distinto del de disponibilidad.

5. Información

• Diferencia entre datos e información

Los datos pueden ser procesados por la tecnología, pero se convierten en información una vez que
han adquirido un cierto significado. En nuestra vida diaria encontramos información en innumerables
maneras, por ejemplo, en forma de texto, la palabra hablada o las imágenes de video. Cuando se trata
de seguridad de la información, se deben tener en cuenta todas las diversas formas en las que esta
se presenta. Es importante tener en cuenta que el modo en que se presenta la información, impone
algunas restricciones sobre las medidas que son necesarias para protegerla.

Figura 2. La agregación de datos genera información

Fuente: Politécnico Grancolombiano (2018). Modificado de Hintzbergen et al. (2010)

POLITÉCNICO GRANCOLOMBIANO 12
 • Análisis de la información

El análisis de la información proporciona una imagen clara de cómo una organización maneja la
información, es decir, cómo la información fluye a través de la organización. Por ejemplo, un invitado
se registra en un hotel a través del sitio web. Esta información se transmite al sistema de reserva en
línea, que luego asigna una habitación. La recepción sabe que el invitado llegará hoy. El departamento
de servicios domésticos sabe que la habitación debe estar limpia para la llegada del huésped. En todos
estos pasos es importante que la información sea confiable.

• Informática

La informática desarrolla nuevos usos para la tecnología de la información. Su interés principal

es entender cómo las personas transforman la tecnología y cómo la tecnología transforma a las
personas. La informática convierte datos en información.

• Valor de los datos

Los datos pueden tener gran importancia, dependiendo de cómo se usen, incluso si no están en
el formato de información, como se precisó anteriormente. Si por definición los datos no tuvieran
importancia, no habría necesidad de la protección de datos y tampoco de la seguridad informática. El
valor de los datos está determinado principalmente por el usuario.

• Valor de la información

Como se mencionó, la información es conocimiento que alguien ha adquirido. Si bien algunas

personas pueden considerar que un conjunto particular de datos no es interesante, otras pueden
extraer información valiosa de él. Por lo tanto, el valor de la información está determinado por el valor
que el destinatario le atribuye.

• La información como factor de producción

Los factores de producción estándar de una empresa son capital, trabajo (manual) y materias primas.
En la tecnología de la información es común considerar a esta como un factor de producción. Las
empresas no pueden existir sin información. Un almacén que pierde la información de sus clientes
y acciones, normalmente no podría operar sin ella. Para algunas empresas, como la oficina de un
contador, la información es en realidad su único producto.

• Gestión de la información

La gestión de la información describe la medida a través de la cual una organización planifica, recopila,
organiza, usa, controla, difunde y dispone de su información de manera eficiente; además de definir la
forma en la cual desea que el valor de esa información sea identificado y explotado al máximo.

POLITÉCNICO GRANCOLOMBIANO 13
 • Arquitectura de la información

La definición de arquitectura utilizada en el estándar ANSI/IEEE 1471-2000 es: “La organización

fundamental de un sistema, incorporada en sus componentes, sus relaciones entre sí y el medio
ambiente, y los principios que rigen su diseño y evolución.”

The Open Group Architecture Framework (TOGAF) es un marco de trabajo que proporciona un
enfoque para el diseño, planificación, implementación y gobierno de una arquitectura empresarial
de información para una organización. La clave de TOGAF es el método de desarrollo que utiliza,
el cual es confiable y probado, para establecer una arquitectura empresarial de TI que satisfaga las
necesidades del negocio.

• ¿Por qué es necesaria una arquitectura empresarial?

El propósito de la arquitectura empresarial es optimizar en toda la empresa los procesos (tanto

manuales como automatizados), en un entorno integrado que responda al cambio y respalde la
entrega de la estrategia comercial.

Además, una buena arquitectura empresarial permite lograr el equilibrio correcto entre la eficiencia
de TI y la innovación empresarial. Asimismo, permite a las unidades de negocios individuales innovar
de forma segura en su búsqueda de una ventaja competitiva. Esta arquitectura asegura que se
cumplan las necesidades de la organización para una estrategia de TI integrada, lo que posibilita una
sinergia más estrecha en toda la empresa extendida.

Existen cuatro dominios de arquitectura que se aceptan comúnmente como subconjuntos de una
arquitectura empresarial general, los cuales están diseñados y admitidos por TOGAF:

1. La arquitectura empresarial define la estrategia comercial, la gobernanza, la organización y los

procesos comerciales clave.

2. La arquitectura de datos describe la estructura de los activos de datos lógicos y físicos de una
organización y los recursos de gestión de datos.

3. La arquitectura de aplicaciones proporciona un modelo para las aplicaciones individuales que se

implementarán, sus interacciones y sus relaciones con los procesos empresariales centrales de la
organización.

4. La arquitectura de tecnología describe las capacidades lógicas de software y hardware que se

requieren para admitir la implementación de servicios comerciales, de datos y de aplicaciones.
Esto incluye infraestructura de TI, middleware, redes, comunicaciones, procesamiento,
estándares, etc.

POLITÉCNICO GRANCOLOMBIANO 14
Como se puede observar, los cuatro dominios de TOGAF impactan directamente en la gestión de la
seguridad y, por lo tanto, es necesario que durante estos procesos se tenga en cuenta la seguridad de
la información.

6. Gestión de seguridad
Para comprender cómo se puede administrar la seguridad, primero se deben explicar algunos
conceptos importantes (vulnerabilidad, amenaza, riesgo y exposición), que comúnmente se usan para
referirse a lo mismo, aunque tengan diferentes significados. Es primordial entender la definición de
cada término, pero es aún más fundamental entender su relación con los otros conceptos.

Antes de comenzar a definir una estrategia de seguridad, necesitamos saber qué estamos protegiendo
y de qué lo estamos protegiendo. La metodología que empleamos para ayudarnos a adquirir una idea
de esto se llama análisis de riesgos.

Los requisitos de seguridad se identifican mediante una evaluación detallada de los riesgos que esta
puede tener. Los resultados de dicha evaluación ayudarán a orientar y determinar las acciones y
prioridades de gestión que se necesitan para administrar los riesgos de seguridad de la información y
para implementar controles específicos, con el fin de protegerse contra los peligros y las amenazas.
La evaluación de riesgos (análisis de riesgos) debe repetirse periódicamente, para abordar cualquier
cambio que pueda influir en sus resultados (Departamento Administrativo de la Función Pública,
2006).

• Vulnerabilidad

Una vulnerabilidad es una debilidad de un activo, o grupo de activos, que puede ser explotado por una
o más amenazas. La vulnerabilidad se puede presentar en diferentes situaciones: un servicio ejecutado
en un servidor, aplicaciones no parcheadas o software de sistema operativo, acceso por discado
de módem sin restricciones, un puerto abierto en un firewall, seguridad física laxa que permite que
cualquiera ingrese a una sala de servidores, o administración de contraseñas no forzada en servidores
y estaciones de trabajo.

• Amenaza

Una amenaza es una causa potencial de un incidente no deseado, que puede ocasionar daños a un
sistema u organización. La entidad que aprovecha una vulnerabilidad se conoce como un agente de
amenaza, el cual puede ser: un intruso que ingresa a la red a través de un puerto en el firewall, un
proceso que acceda a los datos violando la política de seguridad, un tornado borrando una instalación,

POLITÉCNICO GRANCOLOMBIANO 15
o un empleado cometiendo un error involuntario que podría exponer información confidencial o
destruir la integridad de un archivo. Las amenazas difieren en cada país según el nivel de desarrollo y
el uso de Internet. La seguridad de la información es fundamental para los gobiernos, la academia, el
ejército, la atención sanitaria, etc. Es importante mencionar que el terrorismo y la guerra también son
amenazas para la seguridad.

• Riesgo

Un riesgo es la probabilidad de que un agente de amenazas se aproveche de una vulnerabilidad, lo que

lleva a un impacto comercial importante. Si un firewall tiene varios puertos abiertos, hay una mayor
posibilidad de que un intruso use uno para acceder a la red de forma no autorizada. Si los usuarios
no reciben formación sobre procesos y procedimientos, existe una mayor probabilidad de que un
empleado cometa un error, intencional o no, que pueda destruir los datos. Si no se implementa
un sistema de detección de intrusos en una red, es muy posible que un ataque pase desapercibido
hasta que sea demasiado tarde. El riesgo vincula la vulnerabilidad, la amenaza y la probabilidad de
explotación con el impacto comercial como resultado.

• Exposición

Es la exposición a pérdidas por parte de un agente de amenaza. Una vulnerabilidad expone a una
organización a posibles daños. Si la administración de contraseñas es laxa y no se aplican reglas para
controlar su uso, la empresa está expuesta a la posibilidad de que las contraseñas de los usuarios
se capturen y utilicen de forma no autorizada. Si una empresa no inspecciona su cableado y no
implementa medidas proactivas de prevención de incendios, se expone a incendios potencialmente
devastadores.

• Una contramedida o salvaguardia

Se establece una contramedida para mitigar el riesgo potencial. Esta puede ser una configuración de
software, un dispositivo de hardware o un procedimiento que elimine o reduzca la probabilidad de que
un agente de amenaza pueda explotar una vulnerabilidad. Entre los ejemplos de contramedidas se
incluyen: la administración segura de contraseñas, un resguardo de seguridad, mecanismos de control
de acceso dentro de un sistema operativo, la implementación de contraseñas en el sistema básico de
entrada / salida (BIOS) y la capacitación sobre seguridad.

Si una empresa tiene un software antivirus pero no mantiene las firmas de virus actualizadas, se
trata de una vulnerabilidad. La compañía es vulnerable a los ataques de virus. La amenaza es que un
virus aparecerá en el entorno y afectará la productividad. La probabilidad de que aparezca un virus
en el medio ambiente y cause daños es el riesgo. Si un virus se infiltra en el entorno de la compañía,

POLITÉCNICO GRANCOLOMBIANO 16
entonces se ha explotado una vulnerabilidad y la empresa está expuesta a pérdidas. La contramedida
en esta situación es evitar un ataque de virus instalando software antivirus en todas las computadoras
y, por supuesto, manteniendo las firmas antivirus al día.

• Evaluar los riesgos de seguridad

Las evaluaciones de riesgos deben permitir identificarlos, cuantificarlos y priorizarlos de acuerdo con
los criterios de aceptación y los objetivos relevantes para la organización. Los resultados deben guiar y
determinar las acciones y prioridades de gestión apropiadas para administrar e implementar controles.
Puede ocurrir que el proceso de evaluación de riesgos y selección de controles deba realizarse varias
veces, con el fin de cubrir diferentes partes de la organización o sistemas de información individuales.

La evaluación de riesgos debe incluir: el enfoque sistemático, para estimar la magnitud de estos
(análisis de riesgos), y el proceso de comparación entre los riesgos estimados y los criterios de riesgo,
para determinar la importancia de los mismos (evaluación de riesgos). Es importante realizar esta
evaluación periódicamente, con el fin de abordar los cambios en los requisitos de seguridad y en la
situación de riesgo; además, debe hacerse de forma metódica y obtener resultados comparables y
reproducibles.

7. Mitigación de riesgos de seguridad

• Controles

Los controles de seguridad son medidas tomadas para salvaguardar un sistema de información de
ataques contra la confidencialidad, integridad y disponibilidad (triángulo CID) del mismo.

• Considerando el tratamiento de un riesgo

Para tomar decisiones sobre el tratamiento de un riesgo es necesario determinar los criterios con los
cuales va ser medido, de manera que la organización pueda determinar si es posible o no asumir el
riesgo. Por ejemplo, en el caso que un riesgo sea bajo o poco costoso, la organización puede aceptarlo.
Es fundamental mencionar que, sin importar la opción que la organización elija, todas las decisiones
deben quedar registradas de forma adecuada.

Se debe tomar una decisión de manejo para cada uno de los riesgos identificados luego de haber
hecho la evaluación. Los posibles controles para el tratamiento de riesgos incluyen:

»» Aplicación de controles apropiados para reducir los riesgos.

»» Aceptar los riesgos de forma objetiva y consciente, siempre que satisfagan claramente la política
y los criterios de la organización para la aceptación del riesgo.

POLITÉCNICO GRANCOLOMBIANO 17
 »» Evitar riesgos al no permitir acciones que causarían que los riesgos ocurran.

»» Transferencia de los riesgos asociados a otras partes, como aseguradores o proveedores.

Los controles se pueden seleccionar a partir del estándar ISO 27002 o de otros controles que
utilice la empresa; de igual forma, se pueden diseñar nuevos controles para satisfacer las necesidades
específicas de la organización. Es necesario reconocer que algunos controles pueden no ser
aplicables a cada sistema de información o entorno, lo que lleva a que no sean factibles para todas las
organizaciones.

Debe tenerse en cuenta que ningún conjunto de controles puede lograr una seguridad completa y que se
deben implementar acciones administrativas adicionales para monitorear, evaluar y mejorar la eficiencia y
efectividad de los controles de seguridad, con el fin de respaldar los objetivos de la organización.

En el momento en que se manifiesta una amenaza, como cuando un pirata informático logra acceder a la
red de la compañía, se habla de un incidente. Por ejemplo, una falla de energía es un gran incidente que
puede amenazar la supervivencia de la compañía eléctrica responsable. Nos referimos a esto como un
desastre.

Cuando se materializa una amenaza, surge un riesgo para la organización. El alcance del riesgo y la
evaluación de la administración determinan si se deben tomar medidas para minimizar el riesgo y cuáles
pueden ser.

El camino de las amenazas a los riesgos y luego a las medidas de seguridad se llama gestión de riesgos.

8. Gestión de riesgos
Es el proceso de planear, organizar, liderar y controlar las actividades de una organización, con el fin
de minimizar los efectos del riesgo sobre su capital y sus ganancias.

• Organización de seguridad

Los riesgos pueden provenir de la incertidumbre en los mercados financieros, fracasos de proyectos,
responsabilidades legales, peligros crediticios, accidentes, causas naturales y desastres, así como
ataques deliberados de un adversario. Se han desarrollado varias normas de gestión de riesgos,
incluidas las del Project Management Institute (PMI), el Instituto Nacional de Estándares y
Tecnología (NIST), las sociedades actuariales y las normas ISO. Los métodos, las definiciones y
los objetivos varían ampliamente según si el método de gestión de riesgos se aplica en el contexto
de la administración de proyectos, la seguridad, la ingeniería, los procesos industriales, las carteras

POLITÉCNICO GRANCOLOMBIANO 18
financieras, las evaluaciones actuariales, o la salud y seguridad públicas.

La estrategia de riesgo puede incluir: transferirlo a otra parte, evitarlo, reducir su efecto negativo
y aceptar algunas o todas sus consecuencias, si se trata de un riesgo particular. La gestión de
riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos. En las
organizaciones grandes, la tarea de monitorear este proceso es llevada a cabo por un especialista en
seguridad de la información, como un oficial o un director, quien es designado especialmente para
este cargo y responsable del nivel más alto de gestión.

• Análisis de riesgo

Es el proceso de definición y análisis de los peligros que corren los individuos, las empresas y las
agencias gubernamentales por la ocurrencia de posibles eventos adversos, naturales o causados por
los seres humanos.

En TI, un informe de análisis de riesgos se puede utilizar para alinear los objetivos sobre temas
tecnológicos de una empresa con sus objetivos comerciales. Un informe de análisis de riesgos puede
ser cuantitativo o cualitativo.

En el análisis cuantitativo, se intenta determinar numéricamente las probabilidades de diversos

eventos adversos y el probable alcance de las pérdidas si se produce un evento en particular.

El análisis cualitativo, que se usa con más frecuencia, no implica probabilidades numéricas ni
predicciones de pérdidas. Mediante este método se pueden definir las diversas amenazas, determinar
el alcance de las vulnerabilidades e idear contramedidas en caso de producirse un ataque.

• Contramedidas para mitigar el riesgo

El análisis de riesgos produce una lista de amenazas y la importancia de cada una es relativa. El
siguiente paso en este tipo de análisis es estudiar una a una las amenazas graves y encontrar las
contramedidas que permitan reducirlas.

Las contramedidas pueden estar dirigidas a: reducir la posibilidad de que ocurra el evento, minimizar
las consecuencias o una combinación de los dos.

• Categorías de contramedidas

¿Cómo definimos un plan de seguridad de la información? Esto se puede hacer de varias maneras y
depende de los objetivos. Las medidas de seguridad siempre deben estar vinculadas a los resultados de
un análisis de riesgos y en función de los aspectos y características de confiabilidad de la información.

POLITÉCNICO GRANCOLOMBIANO 19
¿Qué deseamos lograr? La respuesta a esta pregunta se puede dividir en seis categorías diferentes:

1. Las contramedidas preventivas están destinadas a evitar incidentes

2. Las contramedidas reductoras tienen como objetivo minimizar la probabilidad de que ocurra una
amenaza

3. Las contramedidas de detective están dirigidas a descubrir incidentes

4. Las contramedidas represivas tienen como objetivo limitar un incidente

5. Las contramedidas correctivas están destinadas a reparar el daño causado por un incidente

6. La aceptación del riesgo también es una posibilidad. Por ejemplo, una empresa puede invertir
en seguros, porque decide que la posibilidad de que una amenaza se convierta en realidad es
demasiado baja como para gastar dinero en costosas contramedidas.

• Tipos de amenazas

Las amenazas se pueden dividir en:

A. Amenazas humanas

»» Intencionales: las personas pueden causar daño intencional a los sistemas de información por
varias razones. En este caso se suele pensar en personas ajenas, como un pirata informático
que tiene algo en contra de una empresa y desea entrar en ella y causarle daños. Sin embargo,
¿qué pasa con un empleado de la empresa que destruye los datos de la misma después de ser
despedido, o que, al no obtener la promoción que desea, toma venganza destruyendo los datos o
vendiéndolos a la competencia?

»» No intencionales: las personas también pueden causar daños involuntariamente. Por ejemplo,
presionar de forma accidental el botón eliminar y confirmar la operación con la opción OK.

»» La ingeniería social explota la falta de conciencia de seguridad dentro de una organización.

Usar las expresiones correctas o los nombres de personas conocidas y sus departamentos da
la impresión de ser un colega. La mayoría de las personas desconoce el trabajo que realiza un
ingeniero social. Si el servicio de Helpdesk, o Mesa de ayuda, le llama para preguntar dónde se
encuentra un archivo en particular, debe verificar si realmente está hablando con un miembro
del servicio de asistencia. Tenga en cuenta que un empleado de la mesa de ayuda nunca deberá
pedirle su contraseña.

POLITÉCNICO GRANCOLOMBIANO 20
 B. Amenazas no humanas

»» También hay eventos no humanos que amenazan a una organización. Estos incluyen influencias
externas como rayos, fuego, inundaciones y tormentas. Gran parte del daño causado dependerá
de la ubicación del equipo en las instalaciones. ¿La sala del servidor se encuentra directamente
debajo de un techo plano que es susceptible de tener fugas? ¿Está situado bajo tierra en un área
donde hay aguas subterráneas? ¿La sala de servidores tiene ventanas o está ubicada en una sala
estilo búnker? Todas estas preocupaciones influyen en los riesgos que enfrentará la organización.

Los profesionales de seguridad de la información a menudo se refieren a listas de amenazas estándar,

las cuales se basan en las mejores prácticas y experiencias previas, para determinar las amenazas y
evitar que estas ocurran. Una lista de uso frecuente se encuentra en el Anexo B de la norma ISO
27005, en el cual se describe la identificación y valoración de los activos y la evaluación de impacto.

Es necesario determinar cuáles amenazas son relevantes y cuáles no. La seguridad, después de todo,
requiere que las organizaciones gasten dinero y no es sensato invertir en seguridad contra amenazas
que en realidad no ocurrirán.

• Tipos de daño

Los daños resultantes de la ocurrencia de las amenazas se pueden clasificar en dos grupos: daños
directos y daños indirectos.

Un ejemplo de daño directo es el robo. Un ejemplo de daño indirecto es no poder cumplir con
un contrato debido a la destrucción de la infraestructura de TI por incendio, lo que lleva a un
incumplimiento involuntario de las obligaciones contractuales.

• Tipos de estrategias de riesgo

Los riesgos se pueden enfrentar de diferentes maneras. Las estrategias más comunes son:

»» Asumir el riesgo: significa que se aceptan ciertos riesgos. Esto podría deberse a que los costos
de las medidas de seguridad exceden el posible daño, o que la gerencia decida no hacer
nada, incluso si los costos no son más altos que el posible daño. Las medidas que adopta una
organización con riesgos en el área de la seguridad de la información suelen ser de naturaleza
represiva.

»» Riesgo neutral: significa que las medidas de seguridad se toman para lograr que las amenazas
ya no se manifiestan o, si lo hacen, que el daño resultante se reduzca considerablemente. La
mayoría de las medidas tomadas en el área de seguridad de la información por parte de una
organización de riesgo neutral son una combinación de medidas preventivas, detectivescas y
represivas.

POLITÉCNICO GRANCOLOMBIANO 21
 »» Prevención de riesgos: significa que se toman medidas para que la amenaza se neutralice de tal
manera que ya no genere un incidente. Considere, por ejemplo, los parches de software para un
sistema operativo; inmediatamente después de que estos se encuentren disponibles, se impide
que el sistema tenga problemas técnicos o problemas de seguridad conocidos. Muchas de las
contramedidas dentro de esta estrategia tienen un carácter preventivo.

Independiente de la estrategia que elija una organización, la gerencia debe tomar una decisión
consciente y asumir las consecuencias.

POLITÉCNICO GRANCOLOMBIANO 22
Referencias bibliográficas
27000.org. (2007). A Short History of ISO 27000 Standards. Recuperado de http://www.27000.
org/thepast.htm

Departamento Administrativo de la Función Pública. (2006). Guía de Administración del Riesgo.

Recuperado de http://www.ufps.edu.co/ufpsnuevo/proyectos/meci/documentos/planes/GUIA_
ADMINISTRACION_DEL_RIESGO_-_DAFP.pdf

Hintzbergen, J., Hintzbergen, K., Smulders, A., & Baars, H. (2010). Foundations of IT Security Based
on ISO27001/27002. (S. Newton, Ed.) (2.a ed.). Van Haren Publishing.

International Organization for Standardization, & Commission, I. E. (2011). ISO/IEC 27005:2011 -

Information technology -- Security techniques -- Information security risk management. Recuperado de
https://www.iso.org/standard/56742.html

International Organization for Standardization, & Commission, I. E. (2013a). ISO/IEC 27001:2013

- Information technology -- Security techniques -- Information security management systems --
Requirements. Recuperado de https://www.iso.org/standard/54534.html

International Organization for Standardization, & Commission, I. E. (2013). ISO/IEC 27002:2013

- Information technology -- Security techniques -- Code of practice for information security controls.
Recuperado de https://www.iso.org/standard/54533.html

International Organization for Standardization, & Commission, I. E. (2013b). ISO/IEC 27002:2013

- Information technology -- Security techniques -- Code of practice for information security controls.
Recuperado 1 de marzo de 2018, a partir de https://www.iso.org/standard/54533.html

International Organization for Standardization, & Commission, I. E. (2018). ISO/IEC 27000:2018 -

Information technology -- Security techniques -- Information security management systems -- Overview
and vocabulary. Recuperado de https://www.iso.org/standard/73906.html

International Organization for Standardization, & International Electrotechnical Commission.

(2016). ISO/IEC 27004:2016 - Information technology -- Security techniques -- Information security
management -- Monitoring, measurement, analysis and evaluation. Recuperado de https://www.iso.org/
standard/64120.html

International Organization for Standardization, & International Electrotechnical Commission.

(2017). ISO/IEC 27003:2017(en), Information technology — Security techniques — Information
security management systems — Guidance. Recuperado de https://www.iso.org/obp/ui/#iso:std:iso-
iec:27003:ed-2:v1:en

POLITÉCNICO GRANCOLOMBIANO 23
Reid, R. C., & Gilbert, A. H. (2010). Using the Parkerian Hexad to introduce security in an
information literacy class. Information Security Curriculum Development Conference on - InfoSecCD
’10, 45. Recuperado de https://doi.org/10.1145/1940941.1940953

POLITÉCNICO GRANCOLOMBIANO 24
 INFORMACIÓN TÉCNICA

Módulo: Fundamentos en Gestión Informática

Unidad 3: Gestión de la seguridad de la información
Escenario 5: Introducción a la gestión de la seguridad de la
información

Autor: Javier Alejandro Sáenz L.

Asesor Pedagógico: Óscar Mauricio Salazar L.

Diseñador Gráfico: Henderson Jhoan Colmenares López
Asistente: Leidy Alejandra Morales Eslava

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 25