“INTRODUCCIÓN A LA SEGURIDAD

INFORMATICA Y DE LA INFORMACION”

Módulo I:

INTRODUCCIÓN A LA SEGURIDAD
DE LA INFORMACIÓN

GISI – IEEE – UTN – FRC

1
Facundo N. Oliva Cúneo
 Introducción

z LA INFORMACION ES UN BIEN VALIOSO. El valor de la información es

tan importante como para determinar el poder relativo de un grupo de
personas sobre otro.

z LA INFORMACION ES FRAGIL. La fragilidad de la información está dada,

en general, por los medios que la sustentan, por los problemas técnicos
que presentan dichos medios y por su exposición al alcance de personas
que quieran dañarla y/o robarla. En el caso particular de la información
manejada por computadoras, su fragilidad está dada por las amenazas
asociadas a las debilidades y vulnerabilidades de los medios de
almacenamiento, procesamiento y transmisión, siendo las fallas
técnicas, las catástrofes, las impericias y los intrusos (como
saboteadores y hackers), solo unos pocos ejemplos de dichas amenazas.
2
 .

INFORMACIÓN

3
 Información: Concepto

EXISTE EN MUCHAS FORMAS:

RESPECTO AL TIPO DE REPRESENTACION, puede estar dada en:

z o Números, letras o símbolos en general, combinados según las reglas de algún lenguaje de
representación, constituyendo así datos o mensajes inteligibles.
z o Imágenes, por ejemplo, fotografías, esquemas, planos, mapas cartográficos, etc.,
z o Sonidos, como la voz hablada, tonos, música, etc.,
z o Medios audiovisuales, por ejemplo, programas de televisión, películas, etc.
RESPECTO AL SOPORTE, puede estar almacenada:
z o en papel, ya sea escrita, dibujada, impresa, etc.,
z o en forma electrónica, magnética, o de forma de ser recuperada por medios ópticos.
RESPECTO AL MEDIO DE COMUNICACION, la información puede ser transmitida:
z o en forma coloquial, por ej. en una exposición o conversación (directa o telefónicamente)
z o por correo postal,
z o por medios electromagnéticos en general, ya sea:
z § Medios guiados: conductores eléctricos formando líneas de transmisión, (guías de ondas,
cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores ópticos (las fibras
ópticas)
z § Medios no guiados: información transmitida por OEM en el aire o vacío (i.e. redes wireless)
4
CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CUÁLES SE
DISTRIBUYE O ALMACENA, SIEMPRE DEBE ESTAR PROTEGIDA
 Información: Propiedades
La información en buen estado, goza de ciertas propiedades que
deben ser preservadas para mantenerla así.
z Las propiedades fundamentales de la información son:
z - CONFIDENCIALIDAD
z - INTEGRIDAD
z - DISPONIBILIDAD
z La información puede tener también otras propiedades que serán de interés
según el caso. Estás son:
z - AUTENTICIDAD
z - CONTROL
z - AUDITABILIDAD
z - CONFIABILIDAD
z Adicionalmente pueden considerarse algunos otros aspectos, relacionados
con los anteriores, pero que incorporan algunas consideraciones
particulares. Estos son:
z - PROTECCION A LA REPLICA
z - NO REPUDIO 5
z - LEGALIDAD
 Información: Propiedades
CONFIDENCIALIDAD (O PRIVACIDAD):
z Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos)
no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la información es
conocida y accedida sólo por aquellas personas autorizadas a hacerlo.

INTEGRIDAD:
z Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este último
caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en
forma pertinente y correcta. La preservación de dicha propiedad garantiza la exactitud,
coherencia y totalidad de la información y los métodos de procesamiento.
z Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados,
ya sean recursos de almacenamiento, procesamiento o distribución.
z La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.

DISPONIBILIDAD (U OPERATIVIDAD):
z Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a
hacerlo lo requiera. La preservación de dicha propiedad garantiza que la información estará
siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o
procesamiento, por las personas o procesos autorizados.
z Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene
operativos, cada vez que una entidad autorizada los necesite.
z La preservación de esta propiedad requiere que la información se mantenga correctamente
almacenada, en los formatos preestablecidos para su recuperación en forma satisfactoria,
con el hardware que la contiene y el software correspondiente funcionando normalmente.6
 Información: Propiedades
AUTENTICIDAD:
z Propiedad que permite asociarla a una entidad (proceso o usuario). La preservación de
esta propiedad permite asegurar el origen de la información, validando a la entidad
emisora de la misma, evitándose el acceso descontrolado a la información y a los
recursos, y la suplantación de identidades.
z La aplicación mas evidente de la autenticación es en el control de accesos. En general,
el proceso de control de accesos consiste típicamente de dos etapas: identificación y
autenticación. En la identificación, la entidad (proceso o usuario) dice quién es, y en la
autenticación, la entidad demuestra ser quién dice ser. Hay varios métodos para
autenticar y se abordarán en el capítulo correspondiente.
z identificar y autenticar no es lo mismo. Autenticación verifica Identificación.

CONTROL:
z Propiedad que permite asegurar que sólo los usuarios autorizados pueden decidir
quién accede a la información, cuándo y cómo.

AUDITABILIDAD:
z Propiedad que garantiza que todos los eventos de un sistema sean registrados para
posteriores controles o auditorias.

CONFIABILIDAD:
z Propiedad que garantiza que la información generada sea adecuada para sustentar la
toma de decisiones y la ejecución de las misiones y funciones. Garantiza que la
información es válida y utilizable en tiempo, forma y distribución. 7
 Información: Propiedades
z PROTECCION A LA REPLICA (O A LA DUPLICACION):
z Propiedad que garantiza que una transacción sólo puede
realizarse una vez, a menos que se especifique lo contrario. La
preservación de dicha propiedad garantiza que si un intruso
logra atrapar y copiar una transacción con el propósito de
reproducirla simulando ser el remitente original, no pueda
completar satisfactoriamente dichas transacciones.

z NO REPUDIO:
z Propiedad que garantiza que cualquier entidad que envió o
recibió información, no pueda alegar ante terceros, que no la
envió o no la recibió.

z LEGALIDAD:
z Propiedad que garantiza que la información se ajusta al
cumplimiento de las leyes, normas, reglamentaciones o
disposiciones a las que está sujeto la organización. 8
 .

SEGURIDAD
DE LA
INFORMACIÓN

9
 Seguridad de la Información: Concepto
Como cualquier otra temática de la seguridad en
tecnología, consiste en la detección y control de
riesgos.

EL BIEN PROTEGIDO ES LA
INFORMACION

Trata de la protección de la información de una

amplia gama de amenazas, a fin de garantizar la
continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno sobre las
inversiones y las oportunidades comerciales.
10
Seguridad de la Información: Concepto
Los pilares que en general hacen seguro a un sistema son la:
CONFIDENCIALIDAD,
INTEGRIDAD, Y
DISPONIBILIDAD.

11
 Seguridad de la Información: Concepto
Conservando las propiedades de confidencialidad,
integridad y disponibilidad de los datos, se puede decir
que estos se mantienen seguros.

12
 Seguridad de la Información: Definición
La SEGURIDAD DE LA INFORMACION trata de la
preservación de las propiedades de interés en cada
caso, fundamentalmente:
la confidencialidad,
la integridad y
la disponibilidad.

Además, la preservación de la confiabilidad,

autenticidad, control y auditabilidad es típicamente
necesario.

También el no-repudio, protección a la réplica y

legalidad, pueden estar involucradas y ser 13

necesario mantenerlas.
 Seguridad de la información: Necesidad
Necesitan algún grado de seguridad de la
información, personas y organizaciones que:
- manejen información,
- hagan uso de la tecnología informática y de
comunicaciones, y
- se interconecten a través de redes y sistemas no
confiables.

Necesitan además algún grado de

conocimientos en seguridad informática todas
las personas que tiene alguna responsabilidad
sobre menores con posibilidad de acceso a 14

Internet.
 Seguridad de la información: Necesidad
El gráfico siguiente muestra algunos activos que vulnerados
podrían tener impacto, en distintos tipos de organizaciones.

15
 Seguridad de la información:
Datos de la Realidad
Estadística elaborado por la NSA y el FBI donde se detallan las pérdidas que tienen
las organizaciones ante distintos incidentes ocurridos por la falta de seguridad
de la información.

16
 Lograr la Seguridad de la Información
La seguridad que puede lograrse solo por medios
técnicos es insuficiente: no tienen la posibilidad de
brindar cobertura a la totalidad de aspectos a tener
en cuenta, y aún en los casos donde las soluciones
puedan apoyarse en medios técnicos, estos son
insuficientes por si solos.
Enfoque adecuado: los medios técnicos deben
encontrarse en el marco de un Sistema
Integral de Gestión de Seguridad de la
Información (SGSI), al cuál complementan y
respaldan, y sin el cual no son satisfactorios.
Los medios técnicos son la herramienta con que se
implementan determinados procesos de seguridad
informática 17
 .

AREAS DE LA
SEGURIDAD
DE LA
INFORMACIÓN

18
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN
Las normas, procedimientos y herramientas que se utilizan en
seguridad de la información se pueden clasificar en las
siguientes áreas, de acuerdo con el tipo de función que cumplen:

Seguridad Organizativa (o Funcional o

Administrativa)

Seguridad Lógica (o Técnica)

Seguridad Física

Seguridad Legal 19
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Organizativa (o Funcional o
Administrativa):
Asegura el cumplimiento de normas, estándares y
procedimientos físico-técnicos.
Seguridad Lógica (o Técnica):
Actúan directa o indirectamente sobre la información
procesada por los equipos.
Seguridad Física:
Actúan directamente sobre la parte tangible.
Seguridad Legal
Evita las violaciones a cualquier ley; regulación estatutaria,
reguladora o contractual; y cualquier requerimiento de
seguridad. 20
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN
ISO/IEC 27002:2005 (ex ISO/IEC 17799-2005)
En concordancia con la norma ISO/IEC 27002, la Seguridad de
la Información puede pensarse formada por once DOMINIOS
o CLÁUSULAS.

Cada CLÁUSULA contiene un número de CATEGORÍAS o

TEMAS DE SEGURIDAD principales, que suman 39 en total.

Cada CATEGORÍA contiene un número de CONTROLES DE

SEGURIDAD, que suman 133 en total.

Así, los tópicos que se deben contemplar en una

solución efectiva y eficiente de Seguridad de la
Información son 133.
21
 ISO/IEC 27002:2005: Dominios
. 1- Política de
11- Cumplimiento
Seguridad

10- Gestión de la Cont.

11 2- Organización
de las Actividades de la Seguridad
dominios
39
9- Gestión de Incidentes 3- Gestión de Activos
Puntos
8- Adquisición, Desa. y
133 4- Seguridad
Manten. de Sist. del RRHH
Controles
7- Control 5- Seguridad Física
de Accesos y Ambiental
6- Gestión de Operac.
y Comunic. 22
 ISO/IEC 27002:2005: Dominios
5 Política de seguridad de la información
5.1 Política de seguridad de la información. Objetivo: Proporcionar a la gerencia la dirección
y soporte para la seguridad de la información en concordancia con los requerimientos
comerciales y las leyes y regulaciones relevantes.

6 Organización de la seguridad de la información

6.1 Organización interna. Objetivo: Manejar la seguridad de la información dentro de la
organización.
6.2 Grupos o personas externas. Objetivo: Mantener la seguridad de la información y los
medios de procesamiento de
información de la organización que son ingresados, procesados, comunicados a, o
manejados por, grupos externos.

7 Gestión de activos
7.1 Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada protección
de los activos organizacionales.
7.2 Clasificación de la información. Objetivo: Asegurar que la información reciba un nivel de
protección apropiado.
23
 ISO/IEC 27002:2005: Dominios
8 Seguridad de recursos humanos
8.1 Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan
sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y
reducir el riesgo de robo, fraude y mal uso de los medios.
8.2 Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras
personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus
responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad
organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.
8.3 Terminación o cambio de empleo. Objetivo: Asegurar que los usuarios empleados,
contratistas y terceras personas salgan de la organización o cambien de empleo de una
manera ordenada.

9 Seguridad física y ambiental

9.1 Áreas seguras. Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales de la organización.
9.2 Equipo de seguridad. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y
la interrupción de las actividades de la organización.
24
 ISO/IEC 27002:2005: Dominios
10 Gestión de las comunicaciones y operaciones
10.1 Procedimientos y responsabilidades operacionales. Objetivo: Asegurar la operación correcta
y segura de los medios de procesamiento de la información.
10.2 Gestión de la entrega del servicio de terceros. Objetivo: Implementar y mantener el nivel
apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de
entrega de servicios de terceros.
10.3 Planeación y aceptación del sistema. Objetivo: Minimizar el riesgo de fallas en el sistema.
10.4 Protección contra el código malicioso y móvil. Objetivo: Proteger la integridad del software y
la integración.
10.5 Respaldo o Back-Up. Objetivo: Mantener la integridad y disponibilidad de la información y
los medios de procesamiento de información.
10.6 Gestión de seguridad de la red. Objetivo: Asegurar la protección de la información en redes y
la protección de la infraestructura de soporte.
10.7 Gestión de medios. Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o
destrucción de activos; y la interrupción de las actividades comerciales.
10.8 Intercambio de información. Objetivo: Mantener la seguridad en el intercambio de
información y software dentro de la organización y con cualquier otra entidad externa.
10. 9 Servicios de comercio electrónico. Objetivo: Asegurar la seguridad de los servicios de
comercio electrónico y su uso seguro.
10.10 Monitoreo. Objetivo: Detectar las actividades de procesamiento de información no
autorizadas. 25
 ISO/IEC 27002:2005: Dominios
11 Control del acceso
11.1 Requerimiento del negocio para el control del acceso. Objetivo: Controlar el
acceso a la información.
11.2 Gestión de acceso del usuario. Objetivo: Asegurar el acceso del usuario
autorizado y evitar el acceso no autorizado a los sistemas de información.
11.3 Responsabilidades del usuario. Objetivo: Evitar el acceso de usuarios no-
autorizados, evitar poner en peligro la información y evitar el robo de información
y los medios de procesamiento de la información.
11.4 Control de acceso a la red. Objetivo: Evitar el acceso no autorizado a los
servicios de la red.
11.5 Control del acceso al sistema operativo. Objetivo: Evitar el acceso no
autorizado a los sistemas operativos.
11.6 Control de acceso a la aplicación y la información. Objetivo: Evitar el acceso
no autorizado a la información mantenida en los sistemas de aplicación.
11.7 Computación y tele-trabajo móvil. Objetivo: Asegurar la seguridad de la
información cuando se utiliza medios de computación y tele-trabajo móviles.
26
 ISO/IEC 27002:2005: Dominios
12 Adquisición, desarrollo y mantenimiento de los sistemas de información
12.1 Requerimientos de seguridad de los sistemas de información. Objetivo: Garantizar que la
seguridad sea una parte integral de los sistemas de información.
12.2 Procesamiento correcto en las aplicaciones. Objetivo: Prevenir errores, pérdida,
modificación no autorizada o mal uso de la información en las aplicaciones.
12.3 Controles criptográficos. Objetivo: Proteger la confidencialidad, autenticidad o integridad a
través de medios criptográficos.
12.4 Seguridad de los archivos del sistema. Objetivo: Garantizar la seguridad de los archivos del
sistema.
12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: Mantener la seguridad del
software y la información del sistema de aplicación.
12.6 Gestión de la Vulnerabilidad Técnica. Objetivo: Reducir los riesgos resultantes de la
explotación de las vulnerabilidades técnicas publicadas.

13 Gestión de un incidente en la seguridad de la información

13.1 Reporte de los eventos y debilidades de la seguridad de la información. Objetivo: Asegurar
que los eventos y debilidades de la seguridad de la información asociados con los sistemas de
información sean comunicados de una manera que permita que se realice una acción correctiva
oportuna.
13.2 Gestión de los incidentes y mejoras en la seguridad de la información. Objetivo: Asegurar
que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad
27
de
la información.
 ISO/IEC 27002:2005: Dominios
14 Gestión de la continuidad del negocio
14.1 Aspectos de la seguridad de la información de la gestión de la continuidad
del negocio. Objetivo: Contraatacar las interrupciones a las actividades comerciales
y proteger los procesos comerciales críticos de los efectos de fallas importantes o
desastres en los sistemas de información y asegurar su reanudación oportuna.

15 Cumplimiento
15.1 Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a
cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier
requerimiento de seguridad.
15.2 Cumplimiento de las políticas y estándares de seguridad, y cumplimiento
técnico. Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y
estándares de seguridad organizacional.
15.3 Consideraciones de auditoria de los sistemas de información. Objetivo:
Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de
auditoria del sistema de información.
28
29
AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO

30
Normas ISO de Seguridad Informática

Norma ISO-IEC 27002:2005 (17799:2005)

Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión
de la seguridad de la información

Norma ISO-IEC 27001:2005

Tecnología de la Información – Técnicas de
seguridad – Sistema de Gestión de Seguridad de la
Información – Requerimientos 31
 .
SISTEMA EN EL
CONTEXTO DE LA
SEGURIDAD
DE LA
INFORMACIÓN
32
 ACTIVOS (ASSET)
Un activo, es cualquier cosa que tenga valor para la organización.
Existen muchos tipos de activos, incluyendo:
a) Información: Toda representación o comunicación de conocimiento propio o de interés para la
organización, en cualquier forma.
b) Recursos de Información: Toda entidad que le brinda soporte al almacenamiento,
procesamiento o transmisión de información (o a los datos a partir de los cuáles dicha
información se puede construir). Son recursos de información las Bases de datos, archivos de
datos, mensajes en una red de comunicaciones (sea de datos o de telefonía), documentación
de los sistemas, manuales de usuario, material de capacitación, procedimientos operativos o
de soporte, planes de continuidad, acuerdos para contingencias, información archivada,
contratos y acuerdos, información de investigaciones, rastros de auditoria, el código de
programación de programas creados por la organización, etc.

RECURSOS DE INFORMACION
a) Activos o recursos software: Todo programa de computador creado o adquirido por la organización.
Son recursos software los sistemas operativos y software del sistema de quipos en general
(computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades,
software de aplicación, suites ofimáticas, etc.
b) activos o recursos físicos: equipo de cómputo, de comunicación, medios removibles. Etc.
c) servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción,
iluminación, energía y aire acondicionado;
d) personal, y sus calificaciones, capacidades y experiencia;
e) intangibles, tales como la reputación y la imagen de la organización.
El inventariado de activos ayuda a asegurar que se realice una protección efectiva
33
de los mismos. El proceso de compilar un inventario de activos es un pre-requisito
importante de la gestión del riesgo.
 SISTEMA DE INFORMACION
Es posible encontrar diversas formas de definir el concepto
tradicional de sistema de información. La siguiente es una
posible:
Sistema de Información se refiere a un conjunto de
Recursos de Tecnologías de la Información
independientes pero organizados para el manejo de la
información según determinados procedimientos,
tanto automatizados como manuales.

Se entiende por “manejo de la información” la recopilación,

almacenamiento, procesamiento, mantenimiento,
transmisión o difusión de información.
Se entiende por Recursos de Tecnología de la Información,
todo recurso utilizado para el manejo de la información. Son
recursos de tecnología de la información (o recursos IT) los
siguientes: Información, Recursos de Información,
Recursos de software, Recursos de hardware, Recursos 34

Humanos, Servicios
 Sistema en Seguridad de la Información
En el contexto de la seguridad de la información, un
sistema de información está formado por los activos y
recursos de tecnologías de información, mas las
personas, el entorno donde actúan y todas las
interacciones entre estos elementos.

z Personas (gerent., admin., usus, pers. de limp., etc.)

z Computadores (PCs, Servidores, Dispositivos de Red)
z Medios de Enlace (cables UTP, señ. Wireless, etc.)
z Papeles
z Medios de almacenamiento digital
z Entorno
z Etc.
z Interacciones entre estos elementos 35
Sistema Informático para la Seguridad
Informática

36
Ejemplo aspectos de la Seguridad Informática:
Seguridad en el Desarrollo
Inyección SQL: Autenticación de Usuario en una DB

“select * from tabla_usuarios where”

“usuario= ‘$user’ and clave= ‘$pwd’”
37
Ejemplo aspectos de la Seguridad Informática:
Seguridad en el Desarrollo
Inyección SQL: Autenticación de Usuario en una DB
Ingresando cualquier cosa como clave, y la siguiente cadena en el
usuario: administrador’ or 1=1” “or” “’1=1

Se logra la siguiente sentencia, siempre valida:

“select * from tblUsers where”
“user_id= ‘administrador’ or 1=1” “or”
38

“’1=1’ and passwd= ‘cualquier_valor’”

 .

SISTEMA DE GESTION DE
SEGURIDAD DE LA
INFORMACION

39
EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓN
El ciclo de vida de la seguridad de la información, consta
de las siguientes etapas:

Identificación del Sistema de Información de la

organización

Identificación de los Requerimientos y Expectativas de

Seguridad de la Información

Realizar la Valoración del Riesgo (risk assessment)

Diseñar un Sistema de Gestión (o Administración) de

Seguridad de la Información (o SGSI, o ISMS por las
siglas de Information Security Management System)

Establecer, implementar, operar, monitorear, revisar,

mantener y mejorar el ISMS, en forma continua. 40
 Requerimientos de Seguridad
Es esencial que una organización identifique sus requerimientos de
seguridad.

Existen tres fuentes principales de requerimientos de seguridad:

- Una fuente deriva de evaluar los riesgos que enfrenta la organización,

tomando en cuenta la estrategia general y los objetivos de la
organización. Mediante la evaluación de riesgos se identifican las
amenazas a los activos, se evalúan las vulnerabilidades y probabilidades
de ocurrencia, y se estima el impacto potencial.

- Otra fuente son los requerimientos legales, normativos,

reglamentarios, estatuitarios y contractuales que debe cumplir la
organización, sus socios comerciales, los contratistas y los prestadores
de servicios (proveedores), y su ambiente socio-cultural.

- Otra fuente es el conjunto específico de principios, objetivos y

requisitos comerciales para el procesamiento de la información que la
organización ha desarrollado para respaldar sus operaciones. 41
 La evaluación de riesgos
La evaluación de riesgos es una consideración sistemática de los siguientes puntos:
a) impacto potencial en los negocios de una falla de seguridad, teniendo en
cuenta las potenciales consecuencias por una pérdida de la confidencialidad,
integridad o disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.

La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la

magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos
estimados con un criterio de riesgo para determinar la importancia de los
riesgos (evaluación del riesgo).

Los resultados de esta evaluación ayudarán a:

- orientar y a determinar las prioridades y las acciones de gestión adecuadas
para la administración de los riesgos concernientes a seguridad de la
información, y
- para la implementación de los controles seleccionados a fin de brindar
protección contra dichos riesgos.
Los resultados de la evaluación del riesgo debieran ayudar a:
- guiar y determinar las acciones de gestión apropiadas para la
administración de los riesgos concernientes a seguridad de la información, y
- establecer las prioridades para manejar los riesgos de la seguridad de la
información y para implementar los controles seleccionados para protegerse
contra estos riesgos. 42
SGSI

43
 SGSI
Planificar (Plan): Establecer el ISMS
Establecer las políticas, los objetivos, los procesos y procedimientos del
ISMS pertinentes a la gestión de riesgos y la mejora de la seguridad de
la información para entregar resultados de acuerdo con las políticas y
objetivos generales de la organización.
Hacer (Do): Implementar y operar el ISMS
Implementar y operar las políticas, controles, procesos y procedimientos
del ISMS.
Evaluar (Check): monitorear y examinar (revisar) el ISMS
Evaluar y, en cuando sea aplicable, medir el rendimiento de los procesos
encontraste con las políticas y los objetivos del ISMS y la experiencia
práctica, e informar los resultados a la gerencia para su examen.
Actualizar (Act): Mantener y mejorar el ISMS
Tomar acciones correctivas y preventivas, sobre la base de los resultados
de la auditoria interna del ISMS y del examen de la gestión o de otra
información relevante, para lograr la mejora continua del SGSI.
44
SGSI

45
 SGSI

46
 SGSI

47
 SGSI
.

48
 Gestión de la Seguridad
.
2) ASEGURAR
• Cortafuegos
• Software fiable
• IPsec
• PKI

5) GESTIONAR y 3) MONITORIZAR y
1) POLITICA de
MEJORAR REACCIONAR
SEGURIDAD
•Administración • IDS
de recursos

4) COMPROBAR
49
• Escaneo de vulnerabilidades
 Modelo de Seguridad

50