Universidad Técnica Particular de Loja

CIBERSEGURIDAD
Gestión de seguridad
La seguridad de la información es un tema muy relevante que muchas de las veces no se le da
la verdadera importancia que realmente tiene, ya sea por considerar que esta no es importante
o porque que creen que jamás esta se la utilizara. Pero hoy en día en el mundo moderno cada
vez más y más personas mal intencionadas intentan tener acceso a los datos de nuestros
ordenadores o algún dispositivo electrónico, por lo cual la seguridad se ha vuelto un factor
imprescindible ya sea en el ámbito profesional como también en el de la informática, todos
estos ámbitos son muy importantes ya sea porque cada uno de estos cuenta con diferentes
dispositivos electrónicos en donde al igual estos dispositivos están en riesgo porque es ahí donde
esta almacenada la información confidencial de una empresa o de cualquier persona particular.
Las empresas constantemente son amenazadas por la pérdida o robo de información o de sus
activos por lo que para muchas empresas es algo negativo por lo que representaría una pérdida
de miles de dolaras un ejemplo claro seria la divulgación de la información de una empresa
sobre sus clientes en el caso de un banco esta podría ocasionar grandes pérdidas millonarias.
Por lo que se debe tener en cuenta acerca de las vulnerabilidades presentes en los sistemas de
información que pueden ocasionar problemas muy graves, por ello es muy importante conocer
y comprender los diferentes conceptos necesarios para combatirlos y defendernos de los
posibles ataques informáticos. Esto se podría controlar con la presencia de los diferentes
directivos o gerentes encargados de promover la seguridad de la información en la toda la
organización, mediante la implementación y monitoreo de un programa de seguridad de la
información.
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables
del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo
beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los
aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante
ayuda para la gestión de las organizaciones. (27000, 2005)
El CISO es la persona responsable del programa de seguridad de la información empresarial,
que tiene una conexión directa entre la administración ejecutiva y el programa se seguridad de
la información.
Una organización debe proporcionar a un gerente suficientemente alto, como un jefe de
seguridad de la información (CISO), con la autoridad y los recursos adecuados para la seguridad
de la información en toda la organización. El CISO, o una persona similar, es responsable de
supervisar los proyectos relacionados con la seguridad, promover la seguridad de la información
en toda la organización, gestionar el riesgo y desarrollar una política de seguridad de la
información completa y aprobada. (Stallings, 2019)
La gestión de seguridad implica múltiples niveles de gestión. Los diferentes niveles de gestión
contribuyen al programa de seguridad general con varios tipos de experiencia, autoridad y
recursos. En general, los gerentes ejecutivos (como los de la sede) entienden mejor la
organización en su conjunto y tienen más autoridad. Por otro lado, los gerentes de primera línea
(en las instalaciones de TI y los niveles de aplicaciones) están más familiarizados con los
requisitos específicos, tanto técnicos como de procedimiento, y los problemas de los sistemas
y los usuarios. Los niveles de gestión del programa de seguridad informática deben ser
complementarios para que cada uno pueda ayudar a los demás a ser más efectivos. (Stallings,
2019)
Los niveles de gestión del programa de seguridad informática consisten en desarrollar planes
de seguridad para sistemas de información federales proporcionando una visión general de los
requisitos de seguridad del sistema y descubrir los controles establecidos o planificados para
cubrir con esos requisitos. Y su a vez también se espera por parte de todas las personas que
acceden al sistema que cumplan con sus responsabilidades ante este plan de seguridad.
Este plan de seguridad proporciona una visión general de los requisitos de seguridad para un
sistema de información y describe los controles de seguridad establecidos o planificados para
cumplir con esos requisitos.
SP 800-18 recomienda que cada sistema de información en una organización tenga un
documento de plan separado con los siguientes elementos:
 Nombre / identificador del sistema de información: un nombre o identificador
asignado de forma exclusiva a cada sistema. La asignación de un identificador único
respalda la capacidad de la organización de recopilar fácilmente información y métricas
de seguridad específicas del sistema.
 Propietario del sistema de información: la persona responsable de administrar este
activo.
 Persona que autoriza: El funcionario o ejecutivo de la alta dirección con la autoridad
para asumir formalmente la responsabilidad de operar un sistema de información.
 Asignación de responsabilidad de seguridad: El individuo responsable de la
seguridad del sistema de información.
 Categorización de seguridad: Utilizando FIPS 199, estándares para la categorización
de seguridad de la información federal y los sistemas de información , categorías, el
nivel aceptable de riesgo (bajo, moderado o alto) para la confidencialidad, integridad y
disponibilidad (para cada elemento distinto del sistema, si necesario).
 Estado operativo del sistema de información: estado como operativo, en desarrollo o
en proceso de modificación importante.
 Tipo de sistema de información: aplicación principal o el sistema de soporte.
 Descripción / propósito: una breve descripción (de uno a tres párrafos) de la función y
el propósito del sistema.
 Entorno del sistema: una descripción general del sistema técnico, incluido el hardware
principal, el software y el equipo de comunicaciones.
 Interconexiones del sistema / intercambio de información: otros sistemas / activos
de información que interactúan con este sistema de información.
 Leyes / regulaciones / políticas relacionadas: cualquier ley, regulación o política que
establezca requisitos específicos para la confidencialidad, integridad o disponibilidad
del sistema y la información retenida, transmitida o procesada por el sistema.
 Controles de seguridad existentes: descripción de cada control.
 Controles de seguridad planificados: Descripción de cada plan de control más
implementación.
  Fecha de finalización del plan de seguridad del sistema de información: la fecha
objetivo.
 Fecha de aprobación del plan de seguridad del sistema de información: la fecha de
aprobación del plan de datos. (Stallings, 2019)
Este tipo de documentación le permite al CISCO supervisar todos los proyectos de seguridad
en toda la organización.
Así mismo como ya se estableció un pan de seguridad de la información existen las diferentes
políticas de seguridad de la información que se debe tener en cuenta para el sistema de gestión
de la seguridad de la información. Las políticas de seguridad consisten en un conjunto de
directivas, reglas y prácticas que prescribe cómo una organización administra, protege y
distribuye la información. (Stallings, 2019)
El propósito de una política de seguridad de la información es garantizar que todos los
empleados de una organización, especialmente aquellos con responsabilidad de algún tipo por
uno o más activos, comprendan los principios de seguridad en uso y sus responsabilidades
individuales relacionadas con la seguridad. (Stallings, 2019). La falta de estas políticas puede
afectar al propósito del programa de seguridad causando pérdidas significativas. Los
documentos de políticas de seguridad abarco lo que se espera de los empleados y del resto de
las personas que se encargan de los diferentes roles de la organización. Estas políticas se
clasifican en las diferentes categorías que dependiendo del tamaño de la organización estos
documentos pueden variar. A continuación se detallan las siguientes:
 Política de control de acceso: cómo se accede a la información
 Política de planificación de contingencia: cómo se proporciona la disponibilidad de
datos 24/7
 Política de clasificación de datos: cómo se clasifican los datos
 Política de control de cambios: cómo se realizan los cambios en los directorios o en el
servidor de archivos
 Política inalámbrica: cómo deben configurarse los dispositivos de infraestructura
inalámbrica
 Política de respuesta a incidentes: cómo se informan e investigan los incidentes
 Política de terminación de acceso: cómo se maneja el acceso de los empleados a los
activos de la organización durante la terminación
 Política de respaldo: cómo se respaldan los datos
 Política de virus: cómo deben tratarse las infecciones por virus
Este tipo de políticas debe tomar en cuenta una organización la cual nos ayudaría a mantener
un menor riesgo.
Conclusión
 El sistema de gestión de seguridad se ha convertido en un herramienta muy importante
para las gestiones de una organización, ya que estos sistemas de información están
expuestas a diversos amenazas, en donde aprovechando cualquiera de sus
vulnerabilidades pueden exponer cierta información a fraudes, espionajes entre otros.
  El sistema de gestión de la seguridad de la información también nos ayudó a establecer
los diferentes planes y políticas de seguridad a una organización con el propósito de
simplificarnos los diversos riesgos.

Bibliografía
27000, I. (2005). El portal de ISO 27000. Obtenido de http://www.iso27000.es/sgsi.html

Stallings, W. (2019). Effective Cybersecurity "A guide to using best practices and standasrds". New
York: Addison-Wesley.