FACULTAD DE POSTGRADO

Maestría en Gestión de Tecnologías de la Información

“Seguridad de la Información”

Ing. José Luis Martínez, MSc.

INFORMACIÓN:
Def.: La información está definida como
una serie de datos con significado, que organiza
el pensamiento de los seres vivos, en especial el
de los seres humanos.
En sentido general, es un grupo organizado de
datos procesados “permitiendo que el hombre
adquiera el conocimiento necesario para la
toma de decisiones en su vida cotidiana.”
SEGURIDAD DE LA INFORMACIÓN
Def.: es el conjunto de medidas preventivas y
reactivas de​ las organizaciones y de los sistemas
tecnológicos que permiten resguardar y
proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad
de datos y de la misma.
En pocas palabras la “Seguridad Informática” se
enfoca en los equipos de IT y sus
vulnerabilidades y la “Seguridad de la
Información” amplía su visión no solo a los
equipos y sus vulnerabilidades sino que también
incluye el conjunto de factores que determinan
los riesgos: Activos, Vulnerabilidades y
Amenazas.
QUE INDUSTRIAS PARTICIPAN DE LA
SEGURIDAD DE LA INFORMACION?
Los gobiernos, las instituciones financieras, los
hospitales y las organizaciones privadas tienen
enormes cantidades de información confidencial
sobre sus empleados, productos, investigación,
clientes, etc. La mayor parte de esta información
es reunida, tratada, almacenada y puesta a
disposición de las personas que deseen
revisarla.
GESTION DEL CICLO DE VIDA DE LA
INFORMACION
Creación y
Captura

Análisis y
explotación de Transmisión,
los datos Almacenamiento
aplicado al y Seguridad
negocio

Gestión y
Trabajo
Colaborativo
¿CÓMO PODEMOS PREVENIR LA PERDIDA DE
INFORMACIÓN?
Conocimiento de
la Información

Establecimiento
Clasificación de
de Medidas de
la Información
Seguridad

Determinación
del Grado de
Seguridad
TIPOS DE MEDIDAD DE SEGURIDAD:
• Técnicas. Servicios y herramientas que
permiten detectar y prevenir la fuga de
información:
– Cifrado de la Información confidencial corporativa
– Instalación, configuración y actualización de
Cortafuegos
– Mantener actualizadas todas las aplicaciones de
nuestros sistemas, etc.
TIPOS DE MEDIDAD DE SEGURIDAD:
• Para empresas con mayores recursos
económicos podemos aplicar otras medidas
más avanzadas utilizando:
– Soluciones de prevención de pérdida de datos
o DLP (del inglés Data Loss Prevention)
– Las destinadas a la gestión del ciclo de vida de la
información o ILM (del inglés Information Lifecycle
Management).
TIPOS DE MEDIDAD DE SEGURIDAD:
– Herramientas de control de dispositivos externos
de almacenamiento, que están destinadas a
controlar el acceso físico a puertos y dispositivos
extraíbles como USB para evitar fugas de
información.
• Organizativas. Fijar políticas de seguridad,
junto con acciones de concienciación a todos
los empleados.
TIPOS DE MEDIDAD DE SEGURIDAD:
• Jurídicas.:
- Acuerdos de nivel de servicio (SLA)
- Acuerdos de confidencialidad
- Tratamiento de ficheros que contienen
datos de carácter personal.
POLÍTICAS DE SEGURIDAD:
Una política de seguridad en el ámbito de la
criptografía de clave pública o PKI es un plan de
acción para afrontar riesgos de seguridad, o un
conjunto de reglas para el mantenimiento de cierto
nivel de seguridad.

La política de seguridad es un documento de alto

nivel que denota el compromiso de la gerencia con
la seguridad de la información. Contiene la
definición de la seguridad de la información desde
el punto de vista de cierta entidad.
POLÍTICAS DE SEGURIDAD
En el contenido de los documentos deben estar
claramente establecidos: El objetivo, los
responsables del cumplimiento, las medidas que
se aplicarán en caso de incumplimiento.
POLÍTICAS DE SEGURIDAD:
Entre los documentos pueden citarse los
siguientes:
• Administración de usuarios que reglamentará
el acceso a los recursos por el personal de la
organización.
• Copias de respaldo
• Tratamiento de la información
POLÍTICAS DE SEGURIDAD
Las políticas de seguridad deberán incluir las
reglas para:
• Uso de Software legal
• Uso del servicio de Internet y del correo
electrónico
• Ambientes de Procesamiento
• Seguridad en las comunicaciones
• Auditorías de los sistemas
• Continuidad del procesamiento
POLÍTICAS DE SEGURIDAD
Las políticas de seguridad deberán incluir las
reglas para:
• Protección física:
• Sanciones por incumplimientos
ANALISIS DE RIESGO
El Análisis de Riesgos Informáticos es un
proceso que comprende la identificación de
activos informáticos, sus vulnerabilidades y
amenazas a lo que se encuentran expuestos así
como su probabilidad de ocurrencia y el impacto
de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o
evitar la ocurrencia del riesgo.
AMENAZAS A LA SEGURIDAD DE LA
INFORMACIÓN (RIESGOS)
Entre las amenazas más frecuentes se encuentran:
• Catástrofes naturales
• Amenazas físicas
• Fraude Informático
• Intrusiones
• Errores humanos
• Software ilegal
• Código malicioso
Metodología Para Implementar un Sistema de
Seguridad
PROCESO DE ANALIS DE RIESGO INFORMATICO
El proceso de análisis de riesgo genera
habitualmente un documento al cual se le
conoce como matriz de riesgo. En este
documento se muestran los elementos
identificados, la manera en que se relacionan y
los cálculos realizados. Este análisis de riesgo es
indispensable para lograr una correcta
administración del riesgo.
PROCESO DE ANALIS DE RIESGO INFORMATICO
La fórmula para determinar el riesgo total es:

RT (Riesgo Total) = Probabilidad x Impacto Promedio

 PROCESO DE ANALIS DE RIESGO INFORMATICO

Definir el
Alcance

Identificar
los Activos

Identificar
Amenazas

Identificar Vulnerabilidades
Identificas Salvaguardas

Evaluar el
Riesgo

Tratar el
Riesgo
FASE 1. DEFINIR EL ALCANCE
El primer paso a la hora de llevar a cabo el
análisis de riesgos, es establecer el alcance del
estudio. Vamos a considerar que este análisis de
riesgos forma parte del Plan Director de
Seguridad.
Por otra parte, también es posible definir un
alcance más limitado atendiendo a
departamentos, procesos o sistemas.
FASE 2. IDENTIFICAR LOS ACTIVOS
Una vez definido el alcance, debemos identificar
los activos más importantes que guardan
relación con el departamento, proceso, o
sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser
suficiente con hacer uso de una hoja de cálculo
o tabla como la que se muestra a continuación a
modo de ejemplo:
FASE 2. IDENTIFICAR LOS ACTIVOS
FASE 3. IDENTIFICAR / SELECCIONAR LAS
AMENAZAS
Habiendo identificado los principales activos, el
siguiente paso consiste en identificar las
amenazas a las que estos están expuestos. Tal y
como imaginamos, el conjunto de amenazas es
amplio y diverso por lo que debemos hacer un
esfuerzo en mantener un enfoque práctico y
aplicado.
FASE 3. IDENTIFICAR / SELECCIONAR LAS
AMENAZAS
Ejemplo: Si nuestra intención es evaluar el riesgo
que corremos frente a la destrucción de nuestro
servidor de ficheros, es conveniente, considerar
las averías del servidor, la posibilidad de daños
por agua (rotura de una cañería) o los daños por
fuego, en lugar de plantearnos el riesgo de que
el Centro de Procesamiento de Datos sea
destruido por un meteorito.
FASE 4. IDENTIFICAR VULNERABILIDADES Y
SALVAGUARDAS
La siguiente fase consiste en estudiar las
características de nuestros activos para
identificar puntos débiles o vulnerabilidades.
Posteriormente, a la hora de evaluar el riesgo
aplicaremos penalizaciones para reflejar las
vulnerabilidades identificadas.
FASE 4. IDENTIFICAR VULNERABILIDADES Y
SALVAGUARDAS
Por otra parte, también analizaremos y
documentaremos las medidas de seguridad
implantadas en nuestra organización.
Estas consideraciones (vulnerabilidades y
salvaguardas) debemos tenerlas en cuenta
cuando vayamos a estimar la probabilidad y el
impacto como veremos en la siguiente fase.
FASE 5. EVALUAR EL RIESGO
Llegado a este punto disponemos de los
siguientes elementos:
– Inventario de activos.
– Conjunto de amenazas a las que está expuesta
cada activo.
– Conjunto de vulnerabilidades asociadas a cada
activo (si corresponde).
– Conjunto de medidas de seguridad implantadas
FASE 5. EVALUAR EL RIESGO
Con esta información, nos encontramos en
condiciones de calcular el riesgo. Para cada par
activo-amenaza, estimaremos la probabilidad de
que la amenaza se materialice y el impacto
sobre el negocio que esto produciría. El cálculo
de riesgo se puede realizar usando tanto
criterios cuantitativos como cualitativos.
FASE 5. EVALUAR EL RIESGO

Tabla para el Cálculo de la Probabilidad

FASE 5. EVALUAR EL RIESGO

Tabla para el Cálculo del Impacto

Cálculo del Riesgo
A la hora de calcular el riesgo, si hemos optado
por hacer el análisis cuantitativo, calcularemos
multiplicando los factores probabilidad e
impacto:

RIESGO = PROBABILIDAD x IMPACTO.

Cálculo del Riesgo
Si por el contrario hemos optado por el análisis
cualitativo, haremos uso de una matriz de riesgo
como la que se muestra a continuación:
FASE 6. TRATAR EL RIESGO
Una vez calculado el riesgo, debemos tratar
aquellos riesgos que superen un límite que
nosotros mismos hayamos establecido.
A la hora de tratar el riesgo, existen cuatro
estrategias principales:
– Transferir el riesgo a un tercero.
– Eliminar el riesgo.
– Asumir el riesgo, siempre justificadamente.
– Implantar medidas para mitigarlo.
FASE 6. TRATAR EL RIESGO
Por último, cabe señalar que como realizamos
este análisis de riesgos en el contexto de
un PLAN DIRECTOR DE SEGURIDAD (PDS), las
acciones e iniciativas para tratar los riesgos
pasarán a formar parte del mismo. Por lo tanto,
deberemos clasificarlas y priorizarlas
considerando el resto de proyectos que forman
parte del PDS.
FASE 6. TRATAR EL RIESGO
Asimismo, tal y como indicábamos en la
introducción, llevar a cabo un análisis de riesgos
nos proporciona información de gran valor y
contribuye en gran medida a mejorar la
seguridad de nuestra organización.
CRIPTOGRAFIA
Criptografía es la ciencia y arte de escribir
mensajes en forma cifrada o en código. Es parte
de un campo de estudios que trata las
comunicaciones secretas, usadas, entre otras
finalidades, para:
• autentificar la identidad de usuarios
• autentificar y proteger el sigilo de
comunicaciones personales y de transacciones
comerciales y bancarias
CRIPTOGRAFIA
• proteger la integridad de transferencias
electrónicas de fondos

Básicamente, a criptografía es la técnica que

protege documentos y datos.
Funciona a través de la utilización de cifras o
códigos para escribir algo secreto en
documentos y datos confidenciales que circulan
en redes locales o en internet. Su utilización es
tan antigua como la escritura.
CRIPTOGRAFIA
Los métodos de criptografía actuales son
seguros y eficientes y basan su uso en una o más
llaves.
La llave es una secuencia de caracteres, que
puede contener letras, dígitos y símbolos (como
una contraseña), y que es convertida en un
número, utilizada por los métodos de
criptografía para codificar y decodificar
mensajes.
CRIPTOGRAFIA
Las claves criptográficas pueden ser
básicamente de dos tipos:
• Simétricas: Es la utilización de
determinados algoritmos para descifrar y
encriptar (ocultar) documentos. Son grupos de
algoritmos distintos que se relacionan unos
con otros para mantener la conexión
confidencial de la información.
CRIPTOGRAFIA
• Asimétricas: Es una fórmula matemática que
utiliza dos llaves, una pública y la otra
privada. La llave pública es aquella a la que
cualquier persona puede tener
acceso, mientras que la llave privada es
aquella que sólo la persona que la recibe es
capaz de descifrar.
CRIPTOGRAFIA
TIPOS DE CLAVES CRIPTOGRÁFICAS
• Criptografía de llave única: La criptografía de
llave única utiliza la misma llave tanto para
codificar como para decodificar mensajes.
Tiene como principal desventaja la necesidad
de utilización de un medio seguro para que la
llave pueda ser compartida entre personas o
entidades que deseen intercambiar
información criptografiada.
CRIPTOGRAFIA
• Criptografía de llaves pública y privada: La
criptografía de llaves pública y privada utiliza dos
llaves distintas, una para codificar y otra para
decodificar mensajes. Con este método cada persona
o entidad mantiene dos llaves: una pública, que
puede ser divulgada libremente, y otra privada, que
debe ser mantenida en secreto por su
dueño. Los mensajes codificados con la llave pública
solo pueden ser decodificados con la llave privada
correspondiente.
FIRMA DIGITAL
La firma digital consiste en la creación de un
código, a través de la utilización de una llave
privada, de modo que la persona o entidad que
recibe un mensaje conteniendo este código
pueda verificar si el remitente es quien dice
ser e identificar cualquier mensaje que pueda
haber sido modificado.
FIRMA DIGITAL

De esta forma, es utilizado el método de criptografía de llaves pública y

privada, pero en un proceso inverso al presentado en el ejemplo anterior.
FIRMA DIGITAL

Es importante resaltar que la seguridad del método se basa en el hecho de que la llave
privada es conocida sólo por su dueño. También es importante resaltar que el hecho
de firmar un mensaje no significara un mensaje sigiloso.
EJEMPLOS DE CRIPTOGRAFÍA DE LLAVE ÚNICA Y
DE LLAVES PÚBLICA Y PRIVADA
Ejemplos que combinan la utilización de los
métodos de criptografía de llave única y de
llaves pública y privada son las conexiones
seguras, establecidas entre el browser de un
usuario y una web, en transacciones comerciales
o bancarias vía Web.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Los métodos de criptografía actualmente
utilizados, y que presentan buenos niveles de
seguridad, son públicamente conocidos y son
seguros por la robustez de sus algoritmos y por
el tamaño de las llaves que utilizan.
Para que alguien descubra una llave necesita
utilizar algún método de fuerza bruta, o sea,
probar combinaciones de llaves hasta que la
correcta sea descubierta.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Actualmente, para obtenerse un buen nivel de
seguridad en la utilización de un método de
criptografía de llave única, es aconsejable
utilizar llaves de un mínimo de 128 bits. Y para
el método de criptografía de llaves pública y
privada es aconsejable utilizar llaves de 2048
bits, siendo el mínimo aceptable de 1024 bits.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Dependiendo para los fines para los cuales los
métodos criptográficos serán utilizados, se debe
considerar la utilización de llaves mayores: 256 o
512 bits para llave única y 4096 o 8192 bits para
llaves pública y privada.
CERTIFICADO DIGITAL
Un certificado digital o certificado
electrónico es un fichero informático firmado
electrónicamente por un prestador de servicios
de certificación, considerado por otras
entidades como una autoridad para este tipo de
contenido, que vincula unos datos de
verificación de firma a un firmante, de forma
que únicamente puede firmar este firmante, y
confirma su identidad.
CERTIFICADO DIGITAL
Tiene una estructura de datos que contiene
información sobre la entidad (por ejemplo una
clave pública, una identidad o un conjunto de
privilegios). La firma de la estructura de datos
agrupa la información que contiene de forma que
no puede ser modificada sin que esta modificación
sea detectada.
Normalmente cuando se habla de certificado digital
se está hablando de los certificados de clave
pública que son un tipo de certificado digital.
CERTIFICADO DIGITAL
La información contenida en un certificado
depende del propósito para el cual fue creado el
certificado. Podemos clasificar los certificados
atendiendo al propósito en:
• Certificados de clave pública. Asocian
una clave pública a alguna representación de
la identidad de una entidad. La clave privada
asociada a dicha clave pública es asumida que
está en posesión de dicha entidad.
CERTIFICADO DIGITAL
• Certificados de atributos. Normalmente no
contienen claves públicas, sino que asocian
otro tipo de información (ej. roles, derechos
de uso o privilegios) a alguna representación
de la identidad de una entidad. Son usados
principalmente en protocolos relacionados
con la autorización de entidades.
CERTIFICADO DIGITAL
Se han definido varios formatos de los
certificados digitales. Los más importantes son:
• X.509
• SPKI
• PGP
• SAML
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
Todo líder debería desarrollar determinadas
capacidades que le pueden ayudar a dirigir un
equipo. Las habilidades de liderazgo son cualidades
que permiten al individuo tomar mejores decisiones
en un marco de responsabilidad, asignar los
recursos disponibles de manera más eficiente,
planificar con acierto y gestionar a las personas
desde la motivación, el entusiasmo y el
compromiso.
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
Entre estas capacidades tan necesarias para
cualquier líder se encuentran las siguientes:
• Saber delegar
• Capacidad de coordinación y colaboración
• Planificación estratégica
• Habilidad comunicativa
• Empatía
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
• Motivación e Inspiración
• Valor
• Compromiso
• Resolución de problemas
• Resiliencia