Politica y Organizacion de La Seguridad. Modulo

POLÍTICA Y ORGANIZACIÓN DE LA SEGURIDAD
ÍNDICE
UNIDAD I: SEGURIDAD INFORMATICA ................................................................................................................... 6

1.1.-Seguridad Informática ..................................................................................................................... 6
1.2.-Caracteristicas ................................................................................................................................. 6
1.3.-Activos ............................................................................................................................................ 7
1.4.-Componentes de la Seguridad Informática ................................................................................... 10
1.5.- Las políticas de Seguridad ............................................................................................................ 11
1.6.- Factores claves para establecer P.S. ............................................................................................. 13
1.7.- Actividades para diseñar un plan de P.S. ...................................................................................... 13
1.8.- Buenas prácticas para implementar P.S. ...................................................................................... 14
1.9.- Importancia de las P.S. ................................................................................................................. 15
1.10.- Ventajas/Desventajas de las P.S. ................................................................................................ 15
UNIDAD II: Política de Seguridad - Norma ISO 27001 ............................................................................................. 17
2.1.- La Norma ISO 27.001 .................................................................................................................... 17
2.2.- ISO 27001 - Alcances .................................................................................................................... 18
2.3.- Propósito de la Política de Seguridad 27001 ................................................................................ 19
2.4.- Estructura modelo para políticas ISO 27001 ................................................................................ 19
2.5.- Política general ISO 27001 ........................................................................................................... 20
2.6.- Dominios ISO 27001 ..................................................................................................................... 21
2.7.- Violaciones a las políticas 27001 .................................................................................................. 22
2.8.- Revisiones Rev.............................................................................................................................. 22
2.9.- Responsabilidades, funciones y roles ........................................................................................... 23
2.10.- Normas....................................................................................................................................... 23
2.11.- Procedimientos vinculados a las políticas de seguridad ............................................................. 23
2.12.- Reglas de configuración ............................................................................................................. 23
2.13.- Recomendaciones ...................................................................................................................... 23
2.14.- Formatos .................................................................................................................................... 24
2.15.- Manual de usuarios .................................................................................................................... 24
2.16.- Seguridad de la Información ...................................................................................................... 24
2.17.- Seguridad de la Información - Elementos .................................................................................. 25
UNIDAD III: Organización de la Seguridad............................................................................................................... 28
3.1.- Cibercrimen - Historia .................................................................................................................. 28
3.2.- Los 80’ .......................................................................................................................................... 29
3.3.- Cronología de los Ciberdelitos...................................................................................................... 30
3.4.- Tipos de Cibercrimen ................................................................................................................... 36
3.5.- Porque tener políticas escritas ..................................................................................................... 38
3.6.- Política ......................................................................................................................................... 39
3.7.- Estándar ....................................................................................................................................... 39
3.8.- Mejor practica .............................................................................................................................. 39
3.9.- Procedimiento .............................................................................................................................. 40
3.10.- Guía ............................................................................................................................................ 41
3.11.- Normas para la organización ...................................................................................................... 41
3.12.- Perfiles laborales ........................................................................................................................ 42
3.13.- Que es la Organización de Seguridad ......................................................................................... 43
3.14.- Infraestructura de seguridad de la información ......................................................................... 43
3.15.- Comité sobre seguridad de la información ................................................................................ 43
3.16.- Coordinación de la seguridad de la información ........................................................................ 44
3.17.- Asignación de responsabilidades ............................................................................................... 44
3.18.- Proceso de autorización ............................................................................................................. 45
Politica y organización de la seguridad |2

3.19.- Asesoramiento ........................................................................................................................... 46
3.20.- Cooperación ............................................................................................................................... 46
3.21.- Revisión ...................................................................................................................................... 47
3.22.- Seguridad frente al acceso por parte de terceros ...................................................................... 48
3.23.- Identificación de los riesgos ....................................................................................................... 48
3.24.- Requerimientos de seguridad por parte de terceros ................................................................. 49
3.25.- Dispositivos móviles ................................................................................................................... 50
3.26.- Teletrabajo ................................................................................................................................. 51
UNIDAD IV: EVALUACION DEL RIESGO ............................................................................................................... 55
4.1.- Introducción ................................................................................................................................. 55
4.2.- Análisis de riesgos ........................................................................................................................ 55
4.3.- Identificación de los activos empresariales .................................................................................. 56
4.4.- Inventario ..................................................................................................................................... 58
4.5.- Cuantificación de los activos ........................................................................................................ 58
4.6.- Identificación de riesgos y amenazas ........................................................................................... 59
4.7.- Identificación de vulnerabilidades ............................................................................................... 61
4.8.- Medidas de prevención y reducción de riesgos ........................................................................... 61
4.9.- Tratamiento ................................................................................................................................. 62
4.10.- Beneficios del análisis de riesgos ............................................................................................... 64
UNIDAD V: SEGURIDAD DEL PERSONAL ............................................................................................................. 67
5.1.- Introducción ................................................................................................................................. 67
5.2.- Vinculación laboral ....................................................................................................................... 67
5.3.- Roles y responsabilidades ............................................................................................................ 68
5.4.- Selección ...................................................................................................................................... 69
5.5.- Términos y condiciones ................................................................................................................ 69
5.6.- En ejercicio laboral ....................................................................................................................... 70
5.7.- Responsabilidad de la dirección ................................................................................................... 70
5.8.- Concientización ............................................................................................................................ 71
5.9.- Medidas disciplinarias .................................................................................................................. 71
5.10.- Desvinculación o cambio de área ............................................................................................... 72
5.11.- Desvinculación- responsabilidades ............................................................................................ 72
5.12.- Retorno de activos ..................................................................................................................... 73
5.12.- Baja de los derechos de accesos ................................................................................................ 73
UNIDAD VI: GESTION DE ACTIVOS ....................................................................................................................... 75
6.1.- Introducción ................................................................................................................................. 75
6.2.- De la gestión de activos................................................................................................................ 75
6.3.- Responsabilidad de los activos ..................................................................................................... 76
6.4.- Inventario de los activos .............................................................................................................. 76
6.5.- Propiedad de los activos .............................................................................................................. 77
6.6.- Uso aceptable de los activos ........................................................................................................ 77
6.7.- Devolución de los activos ............................................................................................................. 77
6.8.- Clasificación de la Información ..................................................................................................... 78
6.9.- Consideración de clasificación ..................................................................................................... 78
6.10.- Manipulación de hardware de almacenamiento ....................................................................... 78
UNIDAD VII: SEGURIDAD DE ACCESO, FISICA Y AMBIENTAL ........................................................................... 81
7.1.- Introducción ................................................................................................................................. 81
7.2.- Requerimientos de acceso ........................................................................................................... 82
7.3.- Administración de acceso de usuarios ......................................................................................... 83
7.4.- Responsabilidad de los usuarios .................................................................................................. 84
7.5.- Control de acceso a la red ............................................................................................................ 86
7.6.- Acceso a los S.O............................................................................................................................ 87
7.7.- Áreas seguras ............................................................................................................................... 88

7.8.- Delimitación de perímetros seguros ............................................................................................ 88
7.9.- Accesos físicos .............................................................................................................................. 88
7.8.- Seguridad del equipo ................................................................................................................... 89
7.9.- Seguridad de energía ................................................................................................................... 91
7.10.- Cableado .................................................................................................................................... 91
UNIDAD VIII: GESTION DE INCIDENTES Y PLANES DE ACCION ....................................................................... 93
8.1.- Introducción ................................................................................................................................. 93
8.2.- Gestión de incidentes ................................................................................................................... 93
8.3.- Matriz de impacto ........................................................................................................................ 95
8.4.- Matriz de clasificación de incidente ............................................................................................. 95
8.5.-Plan de contingencia ..................................................................................................................... 97
8.6.-Se trabaja paso a paso .................................................................................................................. 98
8.6.-Implementacion de un plan .......................................................................................................... 98
8.7.-Ciclo de evento de riesgo .............................................................................................................. 99
8.8.-Elementos necesarios ................................................................................................................... 99

REFERENCIAS DE ÍCONOS

UNIDAD I:
SEGURIDAD INFORMATICA
Informacion
Activos
Sistemas
informaticos
Seguridad
Informatica
Redes
Procesos
Comunicaciones
1.1.-Seguridad Informática
Las políticas de seguridad informática constituyen una forma de comunicación con
los usuarios, debido a que se establecen los canales formales y los protocolos a
utilizar para la misma, empleando los recursos tecnológicos de la empresa. Es inco-
rrecto apreciar que una política de seguridad informática es un análisis técnico de
procedimientos, ni una formalidad legal que involucre sanciones a conductas de las
personas, es más una apreciación de los que deseamos proteger y el motivo del
porqué de ello, pues cada política de seguridad constituye el trabajo en equipo de
los miembros de la empresa y el reconocimiento de la información como uno de sus
principales activos, así como el centro de intercambio y desarrollo en el ámbito de
los procesos de negocios. Por tal motivo, las políticas de seguridad deben centrarse
en una posición consciente y vigilante del personal.
1.2.-Caracteristicas
Existen diferentes políticas de seguridad informática en las organizaciones según
los objetivos y prioridades que define la misma. No obstante, las políticas de segu-
ridad informáticas que son planificadas correctamente disponen de las siguientes
características en común.

CONCRETAS
OBLIGATORIAS
CLARAS TRANSVERSALES
✓ Concretas: su implementación es por medio de procedimientos, reglas y

pautas claras.
✓ Claras: las responsabilidades y obligaciones de cada persona, área o sector
son claramente definidas, empleando un lenguaje adecuado.
✓ Obligatorias: el cumplimiento se debe respetar, mediante procedimien-
tos de seguridad, apercibimientos o sanciones.
✓ Transversales: las normas deben ser comunes a todas las áreas, al igual
que su cumplimiento, sin dejar sectores aislados.
1.3.-Activos
Los activos de información son aquellos recursos que utilizan los SGSI (Sistemas
de Seguridad de Información) para que las empresas funcionen correctamente y
consigan los objetivos que se han definido en el plan estratégico. Los activos pue-
den estar vinculados de forma directa o indirectamente, con los demás actores de la
empresa. De acuerdo a los activos, un proyecto de seguridad de información tiene
por objetivo principal, el controlar la seguridad de todos los activos de información
que se producen en las etapas del proyecto. Los activos se vinculan con el entorno
en forma directa debido a la necesidad de mantener la integridad de los bienes de
la empresa. Existe una gran cantidad de activos dentro de una organización, los
cuales pueden clasificarse por diferentes atributos.
Los activos de informacion pura, son aquellos que por medios digitales extraen,
transforman y cargan la unidad minima de informacion (el dato)

Activos de información pura
Informacion
Datos digitales
Correo
Personales Financieros Legales I+D
electronicos
Digital
Los activos intangibles, son aquellos que no necesariamente deben ser virtuales
para adquirir esa denominación, puesto que son aquellos que regulan una actividad
o bien su percepción puede ser apreciada por la mente humana (relaciones, imagen
empresarial, etc.)
Conocimiento
Imagen
Relaciones
corporativa
Activos
intangibles
Secretos
Experiencia
comerciales
Patentes Licencias

Software
Constituyen un bien intangible, y se define como un conjunto de programas y módu-

los interrelacionados para realizar tareas y/o facilitarlas al operador.
Privativo Cliente
Software
Utilidades BBDD
Sistemas operativos: denominado software base y constituye un activo muy impor-

tante dentro de la empresa. Permite el funcionamiento de las demás aplicaciones,
así como el lugar donde se centralizan las políticas de seguridad.
Sistemas Operativos
Servidor de Servidor de Servidor de

Ordenadores
Archivo internet BBDD

Los activos físicos son aquellos cuya representación física constituye el bien tangi-
ble de las empresas. Con la globalización las empresas desarrollan estrategias de
negocios tendientes a maximizar sus activos intangibles, más que los tangibles,
debido a la dinámica y sinergia que generan.
Activos tangibles
TI Entoro de TI Hardware
Alarmas
Edificios Dispositivos Almacenamiento
contra incendios
Suministro
Oficinas Pc de escritorios
ininterrumpido
Escritorios Estabilizadores Modem
Dispositivos Perifericos
1.4.-Componentes de la Seguridad Informática
La seguridad informática, está formada por todos los mecanismos y procedimientos

orientados a proteger los activos de información de las empresas. No solo el dato
es valioso para las organizaciones, sino también todos los activos que están vincu-
lados en forma directa o indirectamente. En la actualidad el conocimiento y las
ciencias de datos están tomando mucha participación en la definición de las estra-
tegias de negocios.
Se debe considerar que los cambios en las formas de trabajo, la forma de realizar
los procesos y las formas de comunicar permiten que la seguridad informática tam-
bién tenga que evolucionar y adecuarse a lo que representa valor en ese periodo de
tiempo.
La S.I. se basa en:

Confidencialidad
Integridad
Disponibilidad
Seguridad informatica
✓ La confidencialidad o privacidad, que debe impedir que personas no auto-

rizadas accedan al sistema, ni a la información vital. Para ello es muy impor-
tante contar de las herramientas necesarias para el control de accesos a los
sistemas informáticos y que la información de la empresa se encuentre ci-
frada
✓ La integridad de la información que dispone la empresa, impidiendo que la
información sea modificada por personal externo. Un punto importante es
que se debe incluir la posible modificación de la información por motivos ac-
cidentales en el desarrollo de los procesos. Por ej. procesos batch.
✓ La disponibilidad de la información a cualquier persona autorizada. La
misma debe ser accesible en cualquier instante y el sistema debe cumplir
con los requerimientos de rápido funcionamiento en caso de caídas.
Las denominadas políticas de seguridad informática han nacido como una herra-
mienta que utilizan las empresas para crear conciencia a los usuarios sobre la im-
portancia y la sensibilidad de la información y su vínculo directo con la empresa.
Una política de S.I define la forma de intercambiar información con los usuarios,
estableciendo un medio de comunicación en relación a los recursos y los servicios
informáticos de la organización. La política de SI representa lo que se quiere prote-
ger y el motivo, mediante la definición de normas, reglamentos y protocolos a ejecu-
tar, describiendo funciones y responsabilidades de los sectores de la organización y
realizando el control de los mismos.
Las buenas prácticas y según los expertos, mencionan que los requisitos definidos
representan la parte operativa habitual de todo sistema de gestión de SI, y no una
acción adicional a los procesos empresariales.
1.5.- Las políticas de Seguridad

La seguridad informática, implica una serie de cuestiones que van desde la
protección de la PC de escritorio, la información que procesamos hasta las
redes de internet
La definición de políticas de seguridad tiene como resultado la creación de de re-

glamentos de seguridad que definen los lineamientos para la empresa.
Las P.S. deben tener en cuenta:
Alcance TI Servicios Normas
Planes de
Tangibles Intangibles Disponibilidad
contingencia
✓ Las dimensiones y alcance de las mismas, teniendo en cuenta todos los as-
pectos vinculados a la misma.
✓ Los elementos tangibles e intangibles vinculados tanto a nivel: físico, hu-
mano, lógico y logístico.
✓ Disponibilidad de los servicios e infraestructura informática
✓ Determinación de los mínimos requisitos de seguridad necesarios, así como
las estrategias de contingencia ante fallos.
✓ Determinación de las normas y sus sanciones en caso de incumplimiento.
✓ Determinación de los perfiles de usuarios, funciones y accesos.
Las PS deben ser confeccionadas utilizando un lenguaje sencillo, sin tecnicismos y

ambigüedades o formas léxicas complejas, que permitan ser comprendidas por
actores. Deben prever planes de actualización periódicas según la evolución de los
modelos de negocios y los cambios de procesos que se generan en el tiempo.

1.6.- Factores claves para establecer P.S.
Es necesario definir determinados parámetros para poder establecer las políticas de

seguridad:
✓ Estudiar los riesgos a nivel informático, teniendo en cuenta hardware, soft-

ware, los usuarios de la empresa y las relaciones entre todos.
✓ Realizar reuniones con las áreas de los diferentes sectores de la empresa.
✓ Socializar el desarrollo de las políticas de seguridad entre todos los miem-
bros de la empresa.
✓ Identificar de cada departamento, los responsables de la toma de decisio-
nes.
✓ Organizar reuniones periódicas para revisar los procedimientos y operacio-
nes de la empresa y adecuar los cambios.
✓ Describir el alcance de las P.S. teniendo en cuenta los recursos tangibles e
intangibles que deben ser protegidos y el valor que perciben los mismos.
Lo más importante en un proceso de implementación de P.S. en una organización

es que las políticas sean aceptadas y para ello es necesario se integren en el mo-
delo de negocio de la empresa, para que todo el personal comprenda su importan-
cia
Las Poliicias de Seguridad deben ser transversales a todas las area definiendo
normativa y sanciones en caso de incumplimiento
1.7.- Actividades para diseñar un plan de P.S.
Diseñar un plan de políticas de seguridad requiere de un trabajo en equipo de todas

las áreas de una empresa. Es necesario sea transversal a los sectores y todos los
miembros estén informados de los avances y cambios que surjan en el tiempo.
Para desarrollar un plan de P.S. es necesario:

Reuniones con los responsables de areas
Describir los problemas ante perdida de informacion
Asumir el compromiso de las buenas practicas en materia de Seguridad
Establecer reuniones para aunar criterios de las politicas
Definicio de medidas de seguridad para el acceso a internet
Definicio de medidas de seguridad para el respaldo de informacion
Definicio de medidas de seguridad para los grpos de usuarios
Definicio de medidas de seguridad para los niveles de permisos
1.8.- Buenas prácticas para implementar P.S.
Las buenas prácticas constituyen un conjunto de actividades que los expertos re-
comiendan al momento de planificar las políticas de Seguridad.
Se pueden mencionar:
Conocer los riesgos informaticos
• Reuniones con los responsables para valorar el proceso.
Socializar las ventajas del proceso
• Determinar el aporte de cada responsable al proceso
Determinar las metricas para auditar los

procesos

1.9.- Importancia de las P.S.
Las P.S.I. (políticas de seguridad informáticas) nacen como un mecanismo para

poder afrontar los diferentes riesgos de seguridad a la cual están inmersos nuestros
sistemas:
✓ Resguardo de la información, del dato, y su protección contra los accesos

de personas no autorizadas.
✓ Integridad de los datos de la empresa, y su protección ante corrupción por
fallos de procesos batch o errores de los sistemas. .
✓ Disponibilidad de los servicios, ante fallos técnicos sean internos o externos
a la empresa. Por ej., rotura de un disco del servidor, borrado de información
por código SQL embebido.
El objetivo de las políticas de seguridad informática es proporcionar a todo el per-

sonal de una empresa como así también a los usuarios externos que acceden a los
activos de tecnología e información los requisitos y condiciones de actuación nece-
sarios para protegerlos. Por otro lado, estas políticas son de gran utilidad al mo-
mento de realizar auditorías de sistemas de información a las empresas.
1.10.- Ventajas/Desventajas de las P.S.
Las P.S.I. se relacionan de forma directa con los objetivos de seguridad que nuestra
empresa haya definido. En la actualidad es imposible desarrollar un sistema com-
pletamente seguro y resistente ante cualquier tipo de amenaza o vulnerabilidad. Por
tal motivo se debe determinar si nuestras P.S. son o no restrictivas, lo que llevaría a
analizar las ventajas y desventajas:
✓ Coste/riesgo: la implementación de los planes de políticas de seguridad

siempre esta relacionados al costo humano (contratación de personal exper-
to) como monetario (adquisición de hardware y software).
✓ Servicios ofrecidos/seguridad: Los servicios surgen para atender necesi-
dades. Las P.S surgen para hacer frente a delitos informáticos. cada servicio
que proporcionamos a nuestros usuarios conllevan unos riesgos de seguri-
dad, que en algunas situaciones sobrepasan los beneficios del servicio. Esta
conjunción es lo que permite determinar si el negocio es rentable o no desde
el punto de vista de la P.S.I.
✓ Usabilidad/seguridad: Si las P.S son muy estrictas relentizan los procesos
relacionados a ella. Hay que acondicionar bien las medidas más restrictivas
(cómo autenticación multifactor) para que se implementen solamente en los
puntos más críticos.

TRABAJO PRÁCTICO 1 ACTIVIDAD OBLIGATORIA
Debe ser enviada para su evaluación
En base a las lecturas preliminares, investigue y responda las siguientes consignas.

Cada respuesta debe ser de producción persona y ser acompañada de una grafica
que permita una mayor claridad de la respuesta.
1. ¿A que se denomina seguridad informática?

2. ¿Enuncie los objetivos de la seguridad informática?
3. ¿Qué definición pueda brindar de: seguridad de la información?
4. ¿Cuál es la importancia de la seguridad informática y la seguridad de la in-
formación?
5. ¿A que se denomina y cuáles son las amenazas en Internet?
6. ¿A que se denomina Malware?
7. ¿Los malware se propagan a través de?
8. ¿Enumere y defina los tipos de malware?
Aclaraciones:
1) Actividad individual y de producción personal

2) Se puede utilizar Ms Word u otro programa para editar documentos
3) Extensión del documento: hasta 10 pág.
4) Se utilizara fuente Time New Román, 10 puntos, interlineado 1.5.
5) La entrega se realiza por la plataforma en el recurso identificado con el nú-
mero de la Unidad.

UNIDAD II:
Política de Seguridad - Norma ISO 27001
Funciones
Alcances
Importancia
ISO 27001
Protocolos
Estructura
Implementación
2.1.- La Norma ISO 27.001
A lo largo de los años muchas empresas comenzaron a desarrollar un proceso de

transformación digital, que implica el uso de de nuevas tecnologías y almacena-
miento de la información en la nube, compatibles con los distintos dispositivos elec-
trónicos.
Los avances en tecnología, traen múltiples ventajas como aumento de la producti-

vidad y nuevos modelos de negocios, pero a su vez, expone a las empresas a ries-
gos cibernéticos, por lo que representa fundamental contar con un sistema de ges-
tión de seguridad de la información para asegurar la integridad de los activos.
Existe un estándar utilizado por las organizaciones para integrar, asegurar y dispo-
ner de forma confidencial de toda la información y de los sistemas que hacen uso
de ella, la norma ISO 27001.
Esta norma ofrece herramientas que permiten asegurar, integrar y tener de manera
confidencial toda la información de la compañía y los sistemas que la almacenan,
evitando así que un ciberataque se materialice y así mismo, hacer más competitiva
a la empresa y cuidar su reputación.
La ISO 27001 es una norma internacional que consiente en determinar el asegura-

miento, la confidencialidad e integridad de los datos y de la información, también de
los sistemas vinculados que procesan los datos. Los sistemas de Gestión de Segu-
ridad de Información utilizan el estándar ISO 27001:2013 ya que permite a las em-
presas realizar la evaluación del riesgo y la aplicación de los controles inherentes

para reducirlos o eliminarlos. El empleo del estándar ISO-27001 representa una
ventaja respecto a las demás organizaciones, que mejora la competitividad y la
imagen corporativa. Un complemento para la Gestión de la Seguridad de la Infor-
mación es la aplicación de los estándares de la ISO 27.002.
Seguridad
Confianza
Competitividad
ISO 27001
2.2.- ISO 27001 - Alcances
La norma ISO 27001 posibilita que los datos proporcionados sean confidenciales,
íntegros, disponibles y legales para resguardarlos de los distintos riesgos que pue-
dan surgir del contexto. Disponer de este estándar dentro de la empresa genera un
clima de confianza entre los clientes, proveedores y empleados, generando ventaja
competitiva al ser considerando referentes en este campo.
Implementar el modelo, permite evaluar y controlar los diferentes riesgos que surjan
en el tiempo, creando planes de acción para prevenirlos y en caso que ocurrieren,
planes de resguardo para reducir su impacto en la empresa.
La norma ISO 27001 brinda una certificación, es decir, un instrumento legal que
permite a las organizaciones que la alcanzan, demostrar a sus clientes, empleados
y proveedores que cuentan con los más altos requerimientos en materia de seguri-
dad de la información.

Obtener un diagnóstico por medio de entrevistas.
Realizar un análisis exhaustivo de todos los riesgos que se puedan presentar.
Crear un plan de acción acorde a las necesidades puntuales de la empresa.
Diseñar procedimientos.
Entender los requerimientos de seguridad de la información y la necesidad de establecer una política y objetivos
para la seguridad de la información.
Implementar y operar controles para manejar los riesgos de la seguridad de la información.
Monitorear y revisar el desempeño y la efectividad del Sistema de Gestión de Seguridad de la Información (SGSI).
Favorecer el mejoramiento continuo con base en la medición del objetivo.
2.3.- Propósito de la Política de Seguridad 27001
El propósito de la ISO 27001 es principalmente proteger los activos de información

de las empresas frente a las amenazas internas o externas, sean estas, accidenta-
les, naturales o intencionales.
En materia de políticas de seguridad, las empresas deben garantizar:
Disponibilidad
Confidencialidad Integridad de la
de la
de los datos informacion
informacion
Cumplimiento Entrenamiento Respetar las

de las de los obligaciones
regulaciones empleados contractuales
2.4.- Estructura modelo para políticas ISO 27001

Los modelos de políticas de seguridad van evolucionando según los avances de
tecnología. El modelo siguiente representa el resultado de las buenas prácticas en
materia de seguridad junto con la aplicación de la norma ISO 27001. El modelo es
fácilmente adaptable a las empresas, siendo escalable según el rubro de la misma.
Empresas con procesos de manufactura tangible dispondrán de procesos más re-
ducidos en relación a empresas cuya materia prima es el dato (Empresa Textil Vs
Diario).
Política general ISO Estándares de Guías y

27001 configuración recomendaciones
Políticas por
Procedimientos
dominios ISO Formatos
asociados
27001
Violaciones a la Manual de
Normas
política usuarios
Revisiones de la Roles y
política responsabilidades
2.5.- Política general ISO 27001
Una política de seguridad, es un documento formal que describe las reglas, directi-
vas y prácticas que van a dirigir la forma de gestión de los activos de tecnología e
información que dispone una empresa.
La política general de la seguridad de la información refleja el compromiso de la

organización con la protección de los activos de información considerando los
siguientes aspectos

Confidencialidad
Integridad
Disponibilidad
2.6.- Dominios ISO 27001
Los dominios definidos por el estándar ISO 27001 son:
Política de seguridad: Representa el reglamento de alto nivel con correspondencia

a la protección de los activos de información en concordancia con los régimen defi-
nidos por la ISO 27001:2013.
Organización de la seguridad: Administración de la seguridad de la información

dentro de la empresa. (Roles, compromisos, autorizaciones, acuerdos, manejo con
terceros). E este apartado se define cada función y rol de los participantes.
Gestión de activos: Hace referencia a la protección y mantenimiento adecuado de

los activos de información que dispone la organización.
Seguridad del Recurso Humano: Este dominio se orienta al aseguramiento de los

empleados, proveedores y terceros para que entiendan sus responsabilidades inhe-
rentes y tomen conciencia de sus funciones a desempeñar reduciendo los riesgos
vinculados con el personal. El factor humano es un riesgo muy importante debido a
su imprevisibilidad y dinámica.
Seguridad Física y del entorno: Se orienta a prevenir accesos físicos no autoriza-

dos, daños o interferencias a las instalaciones y a su información. En este apartado
hablamos de sensores biométricos.
Gestión de comunicaciones y operaciones: Se orienta a asegurar el correcto y

eficiente funcionamiento de las áreas de procesamiento de información (activida-
des, procesos, almacenamientos y resguardos)

Control de acceso: Se vincula a los accesos a los activos de información. No solo
del acceso físico, sino también lógico. Desde lectores de huellas, hasta claves en-
criptadas.
Adquisición, desarrollo y mantenimiento de sistemas de información: Permite

la instalación de los diferentes controles de seguridad en los equipamientos infor-
máticos o en funcionamiento (infraestructura física, lógica, aplicaciones, servicios,
etc.). A su vez describe el marco regulatorio para la adquisición de software para la
empresa, las normas contractuales de soporte y mantenimiento vinculados.
Gestión de incidentes de seguridad: Brinda los recursos necesarios para que los
eventos relacionados a amenazas de seguridad y las debilidades asociadas con los
sistemas de información, sean socializados de forma eficiente a los efectos de
desarrollar planes de acción correctivos en el momento adecuado
Gestión de la continuidad del negocio: Se relaciona con el concepto de alta dis-

ponibilidad. Describe la forma de reaccionar en contra de interrupciones/daños a las
actividades normales de la empresa y como proteger los procesos críticos contra
incidentes en los sistemas de información. Por otro lado, se ocupa de asegurar la
disponibilidad de los sistemas ante daños. Por ej.: El incidente de las Torres Geme-
las solo demoro 48 hs en volver a funcionar.
Cumplimiento: Se orienta a prevenir la falta de cumplimiento total o parcial de las

leyes, estatutos, regulaciones u obligaciones contractuales que se relacionan direc-
tamente con los controles de seguridad informática.
2.7.- Violaciones a las políticas 27001
En la planificación de las políticas de seguridad de las empresas, se deben definir

por un lado las leyes, estatutos y reglamentaciones que aseguren los activos de
información, pero a su vez también se deben definir los procesos disciplinarios para
aquellos que atenten contra la misma.
Cada país define en su código penal, las leyes generales contra delitos informáti-
cos, y por otro lado el Ministerio de Seguridad trabaja en materia de seguridad para
prevenir delitos y definir nuevas políticas según los cambios en los modelos y ten-
dencias tecnológicas. Por ej., Antes del 2000 nadie imaginaba que un mail podría
servir de prueba legal, en la actualidad peritos informáticos se especializan en cien-
cias de datos.
2.8.- Revisiones Rev
Las políticas de seguridad se deben ser escalables, es decir se deben revisar y

ante algún cambio en los modelos de negocios, tecnología o innovaciones se deben
adaptar a los mismos. Si el modelo, se mantiene sin cambios o estos son mínimos,
se deben revisar anualmente. De acuerdo a las buenas prácticas, los cambios ace-

lerados en materia de informática, permiten que las revisiones sean 2 a 4 veces al
año.
2.9.- Responsabilidades, funciones y roles
En la planificación de los sistemas de seguridad informática, se debe contar con un

equipo multidisciplinario de personas que compartan los mismos objetivos. Ellos
estarán con diferentes funciones, roles y responsabilidades para desarrollar las ac-
tividades asociadas con el diseño, actualización, documentación, divulgación y futu-
ra aprobación de las políticas y normas de seguridad de la información. Es impor-
tante que, en el diseño de asignación, exista oposición de funciones entre ellos para
asegurar la objetividad en cada proceso.
2.10.- Normas
Dentro de los procesos de políticas de seguridad se definen las normas como los
aspectos específicos vinculados a la información. Las mismas deben ser de cum-
plimiento obligatorio y ser definidas con lenguaje claro, si dar lugar a confusiones.
En la definición de las normas, se debe limitar su alcance, su aplicación y objetos
de estudios.
2.11.- Procedimientos vinculados a las políticas de seguridad
Son aquellos documentos que describen paso a paso las actividades específicas
relacionadas con las políticas de seguridad. En este apartado es donde se docu-
menta la forma de realizar cada proceso, el registro de cada evento y el detalle de
cómo actuar en cada imprevisto. Se deben definir los estándares de documenta-
ción, la periodicidad y la validación de los mismos.
Toda esta información es fundamental en el proceso de certificación, debido a que

materializa el trabajo realizado por el equipo de gestión. Los registros de eventos
permiten estudiar la evolución del modelo de negocio y prevenir eventos desafortu-
nados.
2.12.- Reglas de configuración
Los estándares o reglas de configuración pertenecen a parámetros especifica-

dos por la plataforma con el objetivo de asegurar el cumplimiento de los objetivos
definidos en las políticas de seguridad de la información.
Se puede definir un estándar como un producto o mecanismo determinado el cual

es escogido desde un punto de vista universal, para su uso a lo largo de toda la
empresa, con el objetivo principal de dar soporte a la política asumida y aprobada
por la gestión de la organización.
2.13.- Recomendaciones

Las políticas de seguridad están en constante cambio. A medida que la tecnología
avanza, las amenazas también crecen y evolucionan. Es por ello que los cambios
significativos deben ser documentados, pero aquellas prácticas que se reiteran ante
situaciones de amenazas y que resultan efectivas es importante documentarlas
como recomendaciones o buenas prácticas. El conjunto de estos documentos servi-
rán al momento de realizar cambios en las políticas y también serán de utilidades
para implementaciones similares.
2.14.- Formatos
Los formatos son una seria de estructuras que pueden ser electrónicos o físicos
que deben ser completados de manera correcta para poder cumplir con las políticas
de seguridad.
Dentro de la Norma se denominan con iníciales que enmarcan el tipo de documento

a emplear. Podemos disponer de hojas de rutas, procedimientos, o reclamos.
2.15.- Manual de usuarios
El recurso humano es una parte fundamental en el proceso de implementación de

políticas de seguridad. Atento a ello se debe desarrollar un documento formal de
fácil lectura y comprensión que defina las funciones, roles y responsabilidades de
cada persona de la empresa a los efectos de que todo el personal cumpla con la
preservación de la confidencialidad, integridad y disponibilidad de la información
2.16.- Seguridad de la Información
No se debe confundir Seguridad Informática con

seguridad de la Información, ya que tienen objeto
de estudios diferentes.
Proceso integrado que permite proteger la identificación y gestión de la

información y los riesgos a los que esta se puede ver enfrentada

Este proceso se lleva a cabo por medio de estrategias y planes de acción orienta-
dos a reducir las amenazas y asegurar la confidencialidad de los datos de las em-
presas.
La Seguridad Informática está vinculada a la seguridad en el medio informático,

mientras que la seguridad de la información tiene como objeto de estudio todo tipo
de información sea digital o impresa.
Disponibilidad
Recuperacion Comunicacion
Seguridad
de la
Informacion
Identificacion del
Confidencialidad
problema
Integridad Analisis de riesgos
2.17.- Seguridad de la Información - Elementos
Es importante destacar que para implementar modelos de seguridad de la informa-

ción es importante tener en cuenta 3 elementos claves.

Personas
Seguridad
Procesos de la
Informacion
Tecnologias
✓ Personas: son los actores que realizan la gestión y el uso de la información.

Dentro de esta categoría podemos mencionar empleados, gerentes, autori-
dades, clientes, proveedores, contratistas y prestadores de servicio.
✓ Procesos: son aquellas actividades que se llevan a cabo para cumplir con
los objetivos determinados, la gran parte de estos incluyen o dependen de
información y por este motivo están expuestos a amenazas.
✓ Tecnología: vinculada con los servicios e infraestructura de la organización.

Es la que se ocupa de la manipulación y desarrollo de la información. Por
otra parte, brinda la posibilidad de almacenar, recuperar, distribuir y darle
mantenimiento a los datos importantes que se encuentran allí.


En base a la teoría anterior de la norma 27001 realice un plan de implementación de políticas de segu-
ridad en una empresa donde Ud. se desempeñe, o una familiar o una de la zona.
- Prepare un plan de trabajo para la redacción de las políticas (reuniones, tareas, etc.)
- Indique un índice tentativo del documento
- Prepare un capítulo de Normativas referente al teletrabajo
Aclaraciones:

mero de la Unidad.

UNIDAD III:
Organización de la Seguridad
ISO 27002
Normas NI.1.10
Organizacion de NI.4.00
la seguridad
Experiencia
Buenas
practicas
Pllaneacion
3.1.- Cibercrimen - Historia
El Cibercrimen o ciberdelincuencia es una de las disposiciones de delincuencia que

adquirieron mayor importancia y activas en el mundo. Debido a la gran accesibilidad
de internet y la falta de conocimiento de los usuarios surgen amenazas que ponen
en riesgo la información y los sistemas. Incurrir en un delito a través de una compu-
tadora u otro dispositivo electrónico que esté conectado a Internet es peligroso por-
que la identidad del intruso es difícil de averiguar.
A principios de los años 1970, los delincuentes cometían delitos vinculados a través
de líneas telefónicas que eran analógicas. Esos intrusos o perpetradores fueron
denominados Phreakers y descubrieron que el sistema telefónico en Estados Uni-

dos funcionaba sobre la base de ciertos tonos. Iban a imitar estos tonos para hacer
llamadas gratis.
John Draper fue un Phreaker muy reconocido que trabajaba en él medio local pe-
riodístico; realizó una gira por Estados Unidos en su camioneta y utilizó los siste-
mas telefónicos públicos para hacer llamadas gratuitas. Steve Jobs y Steve Woz-
niak se inspiraron en este hombre e incluso se unieron a él. Por supuesto, todos
terminaron en el camino correcto: Steve Jobs y Wozniak fundaron Apple , la cono-
cida compañía de computadoras.
El cibercrimen genera un costo en la economia global de 445 billones de dolares

al año
3.2.- Los 80’
No se pueden registrar antecedentes cibernéticos hasta la década de los 80’, donde

el auge de las tecnologías empezó a tener mayor atención. Una persona encontró
la forma de hackear la computadora de otra para localizar, copiar o manipular datos
e información personal. La primera persona con antecedentes reales en ser decla-
rada culpable de un delito cibernético fue Ian Murphy, también conocido como Capi-
tán Zap, y eso sucedió en el año 1981. Murphy habría hackeado la compañía tele-
fónica estadounidense para manejar su reloj interno, de modo que las personas
pudieran realizar llamadas gratuitas pese a ser horario pico de consumo.
Los llamados piratas informáticos, se desarrollaron de diferentes formas a lo largo

del tiempo. En la época, el primer objetivo fueron las empresas de telefonía por
disponer de sistemas analógicos y con escasa seguridad. A continuación, los pira-
tas comenzaron a expandirse por Bancos, Tiendas Virtuales y particulares que em-
pezaron a surgir. En la actualidad, los bancos virtuales, las bancas online son muy
propensas a amenazas por parte de los piratas puesto que pueden copiar códigos,
nombres de usuarios, contraseñas e incluso los pin de las tarjeas utilizadas.

3.3.- Cronología de los Ciberdelitos
No se pueden registrar antecedentes cibernéticos hasta la década de los 80’, donde

el auge de las tecnologías empezó a tener mayor atención. Una persona encontró
la
✓ 1834 – Sistema de telégrafo francés – Un par de ladrones piratean el sis-

tema de telégrafo francés y roban información del mercado financiero, lle-
vando a cabo de manera efectiva el primer ciberataque del mundo.
✓ 1870 – Hack de centralita – Un adolescente contratado como operador de
centralita puede desconectar y redirigir llamadas y usar la línea para uso
personal.
✓ 1878 – Primeras llamadas telefónicas – Dos años después de que Alexan-
der Graham Bell inventara el teléfono, Bell Telephone Company expulsa a
un grupo de adolescentes del sistema telefónico en Nueva York por desviar
y desconectar repetida e intencionalmente las llamadas de los clientes.
✓ 1903 – Telegrafía inalámbrica – Durante la primera demostración pública
de John Ambrose Fleming de la tecnología de telegrafía inalámbrica “segu-
ra” de Marconi, Nevil Maskelyne la interrumpe enviando mensajes insultan-
tes en código Morse que desacreditan la invención.
✓ 1939 – Rompiendo códigos militares – Alan Turing y Gordon Welchman
desarrollan BOMBE, una máquina electromecánica, durante la Segunda
Guerra Mundial mientras trabajaban como descifradores de códigos en
Bletchley Park. Ayuda a romper los códigos Enigma alemanes.
✓ 1940 – Primer hacker ético – Rene Carmille, miembro de la Resistencia en
la Francia ocupada por los nazis y experto en computadoras de tarjetas per-
foradas que posee las máquinas que el gobierno de Vichy de Francia usa
para procesar información, descubre que los nazis están usando punch-

máquinas de cartas para procesar y rastrear judíos, voluntarios para permi-
tirles usar el suyo, y luego piratearlos para frustrar su plan.
✓ 1955 – Phone Hacker – David Condon silba su “gato Davy Crockett” y “Ca-
nary Bird Call Flute” en su teléfono, probando una teoría sobre cómo funcio-
nan los sistemas telefónicos. El sistema reconoce el código secreto, asume
que es un empleado y lo conecta con un operador de larga distancia. Ella lo
conecta a cualquier número de teléfono que solicite de forma gratuita.
✓ 1957 – Joybubbles – Joe Engressia (Joybubbles), un niño ciego de 7 años
con un tono perfecto, escucha un tono agudo en una línea telefónica y co-
mienza a silbar a una frecuencia de 2600Hz, lo que le permite comunicarse
con líneas telefónicas y convertirse en el primer pirata informático o “phreak
telefónico” de EE. UU.
✓ 1962 – Allan Scherr – MIT establece las primeras contraseñas de compu-
tadora, para la privacidad de los estudiantes y límites de tiempo. El estudian-
te Allan Scherr hace una tarjeta perforada para engañar a la computadora
para que imprima todas las contraseñas y la usa para iniciar sesión como
otras personas cuando se acaba el tiempo. También comparte contraseñas
con sus amigos, lo que lleva al primer “troll” informático. Hackearon la cuen-
ta de su maestro y le dejaron mensajes burlándose de él.
✓ 1969 – Virus CONEJOS – Una persona anónima instala un programa en
una computadora en el Centro de Computación de la Universidad de Wa-
shington. El discreto programa hace copias de sí mismo (se reproduce como
un conejo) hasta que la computadora se sobrecarga y deja de funcionar. Se
cree que es el primer virus informático.
✓ 1970-1995 – Kevin Mitnick – A partir de 1970, Kevin Mitnick penetra en al-
gunas de las redes más protegidas del mundo, incluidas Nokia y Motorola,
utilizando elaborados esquemas de ingeniería social, engañando a los ini-
ciados para que entreguen códigos y contraseñas y utilicen los códigos. pa-
ra acceder a los sistemas informáticos internos. Se convierte en el ciberde-
lincuente más buscado de la época.
✓ 1971 – Steve Wozniak y Steve Jobs – Cuando Steve Wozniak lee un ar-
tículo sobre Joybubbles y otros phreaks telefónicos, se familiariza con John
“Captain Crunch” Draper y aprende a piratear sistemas telefónicos. Constru-
ye una caja azul diseñada para piratear sistemas telefónicos, incluso fin-
giendo ser Henry Kissinger y haciendo bromas al Papa. Comienza a produ-
cir el dispositivo en masa con su amigo Steve Jobs y a venderlo a sus com-
pañeros de clase.
✓ 1973 – Malversación de fondos – Un cajero de un banco local de Nueva
York usa una computadora para malversar más de $ 2 millones de dólares.
✓ 1981 – Condena por delito cibernético – Ian Murphy, también conocido
como “Capitán Zap”, piratea la red de AT&T y cambia el reloj interno para
cobrar tarifas fuera de horario en las horas punta. La primera persona con-
denada por un delito cibernético y la inspiración para la película “Zapatillas”,
hace 1.000 horas de servicio comunitario y 2,5 años de libertad condicional.
✓ 1982 – La Bomba Lógica – La CIA hace explotar un gasoducto siberiano
sin el uso de una bomba o un misil insertando un código en la red y el sis-
tema informático que controla el gasoducto. El código estaba integrado en
un equipo comprado por la Unión Soviética a una empresa en Canadá.

✓ 1984 – Servicio Secreto de los Estados Unidos – La Ley de Control Integral
del Crimen de los Estados Unidos otorga al Servicio Secreto jurisdicción so-
bre el fraude informático.
✓ 1988 – El gusano Morris – Robert Morris crea lo que se conocería como el
primer gusano en Internet. El gusano se libera desde una computadora en el
MIT para sugerir que el creador es un estudiante allí. El ejercicio potencial-
mente inofensivo se convirtió rápidamente en un feroz ataque de denega-
ción de servicio cuando un error en el mecanismo de propagación del gu-
sano lleva a que las computadoras se infecten y reinfecten a un ritmo mucho
más rápido de lo previsto.
✓ 1988-1991 – Kevin Poulsen – En 1988, una factura impaga en un casillero
de almacenamiento conduce al descubrimiento de certificados de nacimien-
to en blanco, identificaciones falsas y una foto del hacker Kevin Poulsen,
también conocido como “Dark Dante”, irrumpiendo en el remolque de una
compañía telefónica. Siendo objeto de una persecución a nivel nacional,
continúa pirateando, incluso manipulando las líneas telefónicas de una esta-
ción de radio de Los Ángeles para garantizar que es la persona que llama
correctamente en un concurso de sorteos. Es capturado en 1991.
✓ 1989 – Trojan Horse Software – Un disquete que dice ser una base de da-
tos de información sobre el SIDA se envía por correo a miles de investigado-
res del SIDA y suscriptores a una revista de informática del Reino Unido.
Contiene un troyano (después del caballo de Troya de la mitología griega) o
un programa destructivo que se hace pasar por una aplicación benigna.
✓ 1994 – Datastream Cowboy y Kuji – Los administradores del Rome Air De-
velopment Center, una instalación de investigación de la Fuerza Aérea de
los EE. UU., Descubren que se ha instalado un “rastreador de contraseñas”
en su red, comprometiendo más de 100 cuentas de usuario. Los investiga-
dores determinaron que dos piratas informáticos, conocidos como Datas-
tream Cowboy y Kuji, están detrás del ataque.
✓ 1995 – Vladmir Levin – El ingeniero de software ruso Vladimir Levin piratea
el sistema de TI de Citibank en Nueva York desde su apartamento en San
Petersburgo y autoriza una serie de transacciones fraudulentas, que final-
mente transfieren un estimado de $ 10 millones a cuentas en todo el mundo.
✓ 1998-2007 – Max Butler – Max Butler hackea sitios web del gobierno de
EE. UU. En 1998 y es sentenciado a 18 meses de prisión en 2001. Después
de ser liberado en 2003, usa WiFi para cometer ataques, programar malwa-
re y robar información de tarjetas de crédito. En 2007, es arrestado y final-
mente se declara culpable de fraude electrónico, robando millones de núme-
ros de tarjetas de crédito y alrededor de $ 86 millones en compras fraudu-
lentas.
✓ 1999 – Hackeo de la NASA y el Departamento de Defensa – Jonathan Ja-
mes, de 15 años, logra penetrar las computadoras de la división del Depar-
tamento de Defensa de EE. UU. E instalar una puerta trasera en sus servi-
dores, lo que le permite interceptar miles de correos electrónicos internos de
diferentes organizaciones gubernamentales, incluidos los que contienen
nombres de usuario y contraseñas varias computadoras militares. Usando la
información, roba un software de la NASA. Los sistemas se apagan durante
tres semanas.
✓ 1999 – El virus Melissa – Un virus infecta los documentos de Microsoft
Word y se disemina automáticamente como un archivo adjunto por correo
electrónico. Se envía a los primeros 50 nombres enumerados en el cuadro

de dirección de correo electrónico de Outlook de una computadora infecta-
da. El creador, David Smith, dice que no tenía la intención de que el virus,
que causó daños por 80 millones de dólares, dañara las computadoras. Es
arrestado y condenado a 20 meses de prisión.
✓ 2000 – Lou Cipher – Barry Schlossberg, también conocido como Lou Cip-
her, extorsiona con éxito 1,4 millones de dólares de CD Universe por los
servicios prestados para intentar atrapar al hacker ruso.
✓ 2000 – Mafiaboy – Michael Calce, de 15 años, también conocido como Ma-
fiaBoy, un estudiante de secundaria canadiense, desata un ataque DDoS en
varios sitios web comerciales de alto perfil, incluidos Amazon, CNN, eBay y
Yahoo! Un experto de la industria estima que los ataques resultaron en $ 1.2
mil millones de dólares en daños.
✓ 2002 – Ataque a Internet – Al apuntar a los trece servidores raíz del Siste-
ma de nombres de dominio (DNS), un ataque DDoS asalta todo Internet du-
rante una hora. La mayoría de los usuarios no se ven afectados.
✓ 2003 – Operación CyberSweep – El Departamento de Justicia de EE. UU.
Anuncia más de 70 acusaciones y 125 condenas o arrestos por phishing, pi-
ratería informática, spam y otros fraudes en Internet como parte de la Ope-
ración CyberSweep.
✓ 2003-2008 – Albert Gonzalez – Albert Gonzales es arrestado en 2003 por
formar parte de ShadowCrew, un grupo que robó y luego vendió números de
tarjetas en línea, y trabaja con las autoridades a cambio de su libertad. Más
tarde, Gonzales se ve involucrado en una serie de delitos de piratería infor-
mática, nuevamente robando detalles de tarjetas de crédito y débito, desde
alrededor de 2006 hasta su arresto en 2008. Robó millones de dólares y se
dirigió a empresas como TJX, Heartland Payment Systems y Citibank.
✓ 2004 – Lowe’s – Brian Salcedo es sentenciado a 9 años por piratear tien-
das de mejoras para el hogar de Lowe’s e intentar robar información de tar-
jetas de crédito de clientes.
✓ 2004 – ChoicePoint – Un ciudadano nigeriano de 41 años compromete los
datos de los clientes de ChoicePoint, pero la compañía solo informa a
35.000 personas sobre la violación. El escrutinio de los medios finalmente
lleva al corredor de datos del consumidor, que desde entonces ha sido com-
prado por LexisNexis, a revelar que otras 128.000 personas tenían informa-
ción comprometida.
✓ 2005 – PhoneBusters – PhoneBusters reporta más de 11K quejas por robo
de identidad en Canadá y pérdidas totales de $ 8.5M, lo que la convierte en
la forma de fraude al consumidor de más rápido crecimiento en Norteaméri-
ca.
✓ 2005 – Polo Ralph Lauren / HSBC – HSBC Bank envía cartas a más de
180.000 clientes de tarjetas de crédito, advirtiendo que la información de su
tarjeta puede haber sido robada durante una violación de seguridad en un
minorista de EE. UU. (Polo Ralph Lauren). Una violación de datos de DSW
también expone información de transacciones de 1,4 millones de tarjetas de
crédito.
✓ 2006 – TJX – Una banda de delincuentes cibernéticos roba 45 millones de
números de tarjetas de crédito y débito de TJX, una empresa minorista con
sede en Massachusetts, y utiliza varias de las tarjetas robadas para financiar
una juerga de compras electrónicas en Wal-Mart. Si bien las estimaciones

iníciales de daños ascendieron a alrededor de $ 25 millones, los informes
posteriores suman el costo total de los daños a más de $ 250 millones.
✓ 2008 – Heartland Payment Systems – 134 millones de tarjetas de crédito
están expuestas mediante inyección SQL para instalar software espía en los
sistemas de datos de Heartland. Un gran jurado federal acusó formalmente
a Albert González y dos cómplices rusos en 2009. González, presunto autor
intelectual de la operación internacional que robó las tarjetas de crédito y
débito, es luego condenado a 20 años en una prisión federal.
✓ 2008 – La Iglesia de Scientology – Un grupo de hackers conocido como
Anonymous apunta al sitio web de la Iglesia de Scientology. El ataque DDoS
es parte de un movimiento activista político contra la iglesia llamado “Pro-
yecto Chanology”. En una semana, el sitio web de Scientology recibe 500
ataques DDoS.
✓ 2010 – El gusano Stuxnet – Un virus informático malintencionado llamado
la primera arma digital del mundo puede atacar los sistemas de control utili-
zados para monitorear instalaciones industriales. Se descubre en plantas de
energía nuclear en Irán, donde destruye aproximadamente una quinta parte
de las centrifugadoras de enriquecimiento utilizadas en el programa nuclear
del país.
✓ 2010 – Zeus Trojan Virus – Una red de ciberdelincuencia de Europa del
Este roba $ 70 millones de bancos estadounidenses utilizando el virus Zeus
Trojan para abrir cuentas bancarias y desviar dinero a Europa del Este. Se
imputan a decenas de personas.
✓ 2011 – Sony Pictures – Un pirateo del almacenamiento de datos de Sony
expone los registros de más de 100 millones de clientes que utilizan los ser-
vicios en línea de su PlayStation. Los piratas informáticos obtienen acceso a
toda la información de las tarjetas de crédito de los usuarios. La violación le
cuesta a Sony más de 171 millones de dólares.
✓ 2011 – Epsilon – Un ciberataque a Epsilon, que proporciona servicios de
marketing y manejo de correo electrónico a clientes como Best Buy y
JPMorgan Chase, da como resultado el compromiso de millones de direc-
ciones de correo electrónico.
✓ 2011 – RSA SAFETY : hackers sofisticados roban información sobre los
tokens de autenticación SecurID de RSA, utilizados por millones de perso-
nas, incluidos empleados gubernamentales y bancarios. Esto pone en riesgo
a los clientes que confían en ellos para proteger sus redes.
✓ 2011 – ESTsoft – Los piratas informáticos exponen la información personal
de 35 millones de surcoreanos. Los atacantes con direcciones IP chinas lo-
gran esto cargando malware en un servidor utilizado para actualizar la apli-
cación de compresión ALZip de ESTsoft y robar los nombres, ID de usuario,
contraseñas hash, fechas de nacimiento, géneros, números de teléfono y di-
recciones de calle y correo electrónico contenidas en una base de datos co-
nectada misma red.
✓ 2011-2012 – LulzSec – Lulz Security, o LulzSec, un grupo separado del co-
lectivo de piratería Anonymous, ataca Fox.com y luego ataca a más de 250
entidades públicas y privadas, incluido un ataque a la PlayStation Network
de Sony. Luego publicitan sus hacks a través de Twitter para avergonzar a
los propietarios de sitios web y burlarse de las insuficientes medidas de se-
guridad.

✓ 2009-2013 – Roman Seleznev – Roman Seleznev hackea más de 500 em-
presas y 3.700 instituciones financieras en los EE. UU., Roba detalles de
tarjetas y las vende en línea, lo que genera decenas de millones de dólares.
Finalmente es capturado y condenado por 38 cargos, incluidos piratería y
fraude electrónico.
✓ 2013-2015 – Global Bank Hack : un grupo de piratas informáticos con sede
en Rusia obtiene acceso a información segura de más de 100 instituciones
de todo el mundo. Los piratas informáticos utilizan malware para infiltrarse
en los sistemas informáticos de los bancos y recopilar datos personales, ro-
bando £ 650 millones de los bancos globales.
✓ 2013 – Fraude de tarjetas de crédito – En el caso de delito cibernético más
grande presentado en la historia de los EE. UU., Los fiscales federales acu-
san a 5 hombres de una ola de fraude de tarjetas de crédito y piratería que
les costó a las empresas más de $ 300 millones.
✓ 2014-2018 – Marriott International – Se produce una infracción en los sis-
temas que respaldan las marcas de hoteles Starwood a partir de 2014. Los
atacantes permanecen en el sistema después de que Marriott adquiere
Starwood en 2016 y no se descubren hasta septiembre de 2018. Los ladro-
nes roban datos sobre aproximadamente 500 millones de clientes. Marriott
lo anuncia a finales de 2018.
✓ 2014 – eBay – Un ciberataque expone los nombres, direcciones, fechas de
nacimiento y contraseñas cifradas de los 145 millones de usuarios de eBay.
✓ 2014 – CryptoWall – El ransomware CryptoWall, el predecesor de Crypto-
Defense, está muy distribuido y produce unos ingresos estimados de 325
millones de dólares.
✓ 2014 – JPMorgan – Los piratas informáticos secuestran uno de los servido-
res de JPMorgan Chase y roban datos sobre millones de cuentas bancarias,
que utilizan en esquemas de fraude que rinden cerca de $ 100 millones.
✓ 2015 – Anthem – Anthem informa el robo de información personal de hasta
78,8 millones de clientes actuales y anteriores.
✓ 2015 – LockerPin – LockerPin restablece el código pin en los teléfonos An-
droid y exige $ 500 a las víctimas para desbloquear el dispositivo.
✓ 2015 – Tarjetas de débito prepagas : una banda mundial de delincuentes
roba un total de $ 45 millones en cuestión de horas al piratear una base de
datos de tarjetas de débito prepagas y luego agotar los cajeros automáticos
de todo el mundo.
✓ 2016 – Fugas de correo electrónico de DNC – Los correos electrónicos del
Comité Nacional Demócrata se filtran y publican en WikiLeaks antes de las
elecciones presidenciales estadounidenses de 2016.
✓ 2017 – Equifax – Equifax, una de las agencias de crédito más grandes de
EE. UU., Es pirateada, exponiendo 143 millones de cuentas de usuario. Los
datos confidenciales filtrados incluyen números de Seguro Social, fechas de
nacimiento, direcciones, números de licencia de conducir y algunos números
de tarjetas de crédito.
✓ 2017 – Chipotle : una banda criminal de Europa del Este que tiene como
objetivo restaurantes utiliza el phishing para robar información de tarjetas de
crédito de millones de clientes de Chipotle.
✓ 2017 – WannaCry – WannaCry, el primer ejemplo conocido de ransomwa-
re que opera a través de un gusano (software viral que se replica y se distri-

buye a sí mismo), apunta a una vulnerabilidad en versiones anteriores del
sistema operativo Windows. En cuestión de días, el cifrado de WannaCry
bloquea a decenas de miles de empresas y organizaciones en 150 países
de sus propios sistemas. Los atacantes exigen 300 dólares por computadora
para desbloquear el código.
✓ 2019 – Facebook – Se descubren 74 grupos de Facebook dedicados a la
venta de datos de tarjetas de crédito robadas, información de identidad, lis-
tas de spam, herramientas de piratería y otros productos básicos de ciberde-
lincuencia
3.4.- Tipos de Cibercrimen
Los Cibercrimen fueron evolucionando dese sus orígenes y adaptándose a los nue-
vos cambios que la tecnología trae aparejados. Algunos tipos de Cibercrimen son:
✓ Fraude por correo electrónico e Internet.

✓ Fraude de identidad (en caso de robo y uso de información personal).
✓ Robo de datos financieros o de la tarjeta de pago.
✓ Robo y venta de datos corporativos.
✓ Ciberextorsión (amenazar con un ataque para exigir dinero).
✓ Ataques de ransomware (un tipo de ciberextorsión).
✓ Cryptojacking (en el que los hackers consiguen criptomoneda con recursos
que no les pertenecen).
✓ Ciberespionaje (en el que los hackers acceden a datos gubernamentales o
empresariales).
Los Cibercrimen a su vez, están divididos en 2 categorías principales:
✓ Ataque que tiene por objetivo causar daño o extraer información de la

computadora.
✓ Ataque cuyo objetivo es una persona o empresa y que se utiliza la compu-
tadora como medio.
En el Cibercrimen dirigido a las computado-

ras los piratas utilizan virus y de malware
para tal fin.
La actividad de los cibercriminales está ba-

sada en infectar computadoras con virus y
malware para causar daños en los dispositi-
vos o bien para que su funcionamiento se
vea perjudicado. También suelen utilizar
malware para extraer, modificar o eliminar datos.

Se denomina ataque de “denegación de servicio” a toda actividad ilegal realizada
por un ciberdelincuente en contra de una empresa para que esta deje de prestar
sus servicios de software a los clientes. (Dos, del inglés "Denia-of-Servicie").
El Cibercrimen utiliza las computadoras como medio para cometer otros delitos,
pero también usan las redes para distribuir virus, malware, información confidencial
o imágenes ilegales.
La actividad de los cibercriminales no se vincula a una sola categoría, sino que en

muchas ocasiones realizan ambas, infectando de virus la computadora y después
empleándolas para distribuir virus y malware en la red u otros equipos.
Una variante del Dos es el DDOS ataque de denegación de servicio distribuido

(DDoS, del inglés "Distributed-Denia-of-Servicie"). En este caso se emplean nume-
rosas computadoras infectadas para poder causar que la empresa deje de prestar
sus servicios. Esta variante surgió en la época donde los sistemas distribuidos y
bases distribuidas fueron tomando poder.
En los EEUU, se describe una 3ra categoría de Cibercrimen, donde el ataque no es

contra la computadora, ni se usa la misma para cometer un delito; sino que se em-
plea el computador como un accesorio. Por ejemplo, para almacenar datos roba-
dos.
Algunos de los ciberdelitos definidos por el convenio europeo firmado por EEUU
son:
✓ Interceptar de forma ilegal o robar datos.

✓ Interferir con los sistemas de forma que pueda poner en peligro la red.
✓ Infracción de copyright.
✓ Casinos y subastas ilegales.
✓ Venta online de artículos ilegales.
✓ Solicitar, producir o poseer pornografía infantil.

3.5.- Porque tener políticas escritas
Es importante que toda organización disponga de sus políticas de seguridad for-

malmente establecidas y escritas. Las nuevas formas de trabajo, como el teletraba-
jo o el trabajo por objetivos requieren que este normado lo que cada persona puede
o no debe hacer en materia de seguridad.
Entre las principales razones podemos mencionar:
✓ Cumplimiento del marco normativo legal y técnico de la región donde se

desempeñen.
✓ Guía para la regulación del comportamiento de los empleados de la empre-

sa.
✓ Regula y establece un marco legal para las diferentes formas de trabajo.
✓ Permiten contrastar comentarios, apreciaciones o mejoras que buscan sub-

sanar situaciones anormales en el trabajo.
✓ Permite identificar las mejores prácticas en el ámbito laboral.
✓ Da lugar a la asociación entre la filosofía laboral y el trabajo.

3.6.- Política
Declaración general de principios que presenta la

posición de la Administración para un área de
control definida. Las políticas se elaboran con el
fin de que tengan aplicación a largo plazo y en el
desarrollo de reglas y criterios más específicos
que aborden situaciones concretas. Las políticas
son desplegadas y soportadas por estándares
copa mejores prácticas procedimientos y guías.
Las políticas deben ser pocas (es decir un núme-
ro pequeño), deben ser apoyadas y aprobadas por los directivos de la empresa y
deben ofrecer el direccionamiento a toda la organización o a un conjunto importante
de dependencia. Por definición las políticas son obligatorias y la incapacidad o im-
posibilidad para cumplir una política exige que se apruebe una excepción
Garantizar la seguridad en el correo electronico cuyo contenido sea informacion

cofidencial.
3.7.- Estándar
Regla que especifica una acción o respuesta que

se debe seguir a una situación dada. Los están-
dares son orientaciones obligatorias que buscan
hacer cumplir las políticas. Los estándares sirven
como especificaciones para la implementación
de las políticas: son diseñados para promover la
implementación de las políticas de alto nivel de
la organización antes que crear nuevas políticas.
Los mensajes con informacion confiencial seran enviados con el sistema

criptografico PGP y seran borrados de manera segura despues de su envio.
3.8.- Mejor practica

Es una regla de seguridad específica a una
plataforma que es aceptada a través de la
industria al proporcionar el enfoque más
efectivo a una implementación de seguri-
dad concreta. Las mejores prácticas son
establecidas para asegurar que las caracte-
rísticas de seguridad de sistemas utilizados
con regularidad estén configurados y admi-
nistrados de manera uniforme, garantizan-
do un nivel consistente de seguridad a tra-
vés de la organización.
Manera de configurar los sistemas de correos con los sistemas operativos sobre
los cuales se ejecutan.
3.9.- Procedimiento
Los procedimientos, definen específicamen-

te como las políticas, estándares, mejores
prácticas y guías que serán implementadas
en una situación dada.
Los procedimientos son independientes de

la tecnología o de los procesos y se refieren
a las plataformas, aplicaciones o procesos
específicos. Son utilizados para delinear los
pasos que deben ser seguidos por una dependencia para implementar la seguridad
relacionada con dicho proceso o sistema específico.
Generalmente los procedimientos son desarrollados, implementados y supervisa-

dos por el dueño del proceso o del sistema, los procedimientos seguirán las políti-
cas de la entidad, los estándares, las mejores prácticas y las guías tan cerca como
les sea posible, y a la vez se ajustaran a los requerimientos procedimentales o téc-
nicos establecidos dentro del a dependencia donde ellos se aplican.

Especifican los requerimientos para que la Politica y los Estandares que la
soportan sean aplicados en una dependencia especifica.
3.10.- Guía
Una guía es una declaración general utilizada

para recomendar o sugerir un enfoque para im-
plementar políticas, estándares buenas prácticas.
Las guías son esencialmente, recomendaciones
que deben considerarse al implementar la seguri-
dad. Aunque no son obligatorias, serán seguidas
a menos que existan argumentos documentados y
aprobados para no hacerlo
Incluyen informacion sobre las recnias, configuraciones y secuencias de

comandos recomendadas que deben seguir los usuarios para asegurar la
informacion confidencial.
3.11.- Normas para la organización
En la actualidad existen 3 normas que brindan los estándares para una correcta
organización de la seguridad en una empresa.
Al ser reglas genéricas, dependiendo de cada empresa, se deben adaptar y profun-

dizar según el campo de acción.

NI.4.00
NI.1:10
ISO
27002:2013
3.12.- Perfiles laborales
En la actualidad podemos mencionar los

siguientes perfiles de Analistas de Segu-
ridad de la Información:
Analista de Controles (SSR): con expe-

riencia en ejecución de controles de se-
guridad relacionados (sistemas operati-
vos y bases de datos), controlar la admi-
nistración de los valores de seguridad
para todas las plataformas. Con conoci-
mientos en ISO 27001, Habeas Data,
BCRA, PCI (deseable)
Analista de Riesgo (SR): con experiencia en desarrollo y adecuación de normas y

procedimientos para el cumplimiento de estándares y regulaciones (ISO27001, PCI-
DSS, BCRA 4609/6017, SOX, Habeas Data), relevamiento de procesos de servicios
de seguridad y TI, identificación de brechas de cumplimiento, e indicadores de efi-
cacia de procesos de gestión IT y de Seguridad de la Información para analizar su
madurez.
Analista de Código y Pentesting de aplicaciones: Con experiencia en ejercicios

de red team, pentesting y hardening. Entre sus principales tareas se encontrarán:
pentesting caja blanca y negra, pruebas de penetración, análisis de vulnerabilida-
des, métodos de pentesting, herramientas de hacking. Soporte técnico para resolu-
ción de vulnerabilidades en aplicaciones e infraestructuras. Revisión de plataformas
de comunicaciones, servidores, bases de datos y dispositivos móviles. Confección
de informes.

3.13.- Que es la Organización de Seguridad
Establece el marco gerencial para iniciar y controlar la implementación de la seguri-

dad de la información dentro de la empresa. Tiene por objetivo administrar la segu-
ridad de la información en la organización.
3.14.- Infraestructura de seguridad de la información
La infraestructura necesaria para poder

implementar un plan de políticas de segu-
ridad está basado en:
✓ Comité (Foro Gerencial) sobre se-

guridad de la información,
✓ Coordinación de la seguridad de
la información,
✓ Asignación de responsabilidades
en materia de seguridad de la información,
✓ Proceso de autorización para instalaciones de procesamiento de informa-
ción,
✓ Asesoramiento especializado en materia de seguridad de la información,
✓ Cooperación entre organizaciones y grupos de interés.
✓ Revisión independiente de la seguridad de la información
3.15.- Comité sobre seguridad de la información
La seguridad de la información es una responsabilidad de la empresa compartida

por todos los miembros del equipo gerencial. Por consiguiente, debe tenerse en
cuenta la creación de un foro gerencial para garantizar que existe una clara direc-
ción y un apoyo manifiesto de la gerencia a las iniciativas de seguridad. Sus funcio-
nes en general son:
✓ Revisar y aprobar la política y las responsabilidades generales en materia

de seguridad de la información;
✓ Monitorear cambios significativos en la exposición de los recursos de infor-
mación frente a las amenazas más importantes;
✓ Revisar y monitorear los incidentes relativos a la seguridad;
✓ Aprobar las principales iniciativas para incrementar la seguridad de la infor-
mación.

3.16.- Coordinación de la seguridad de la información
En una gran organización, podría ser necesaria la creación de un foro ínter-

funcional que comprenda representantes gerenciales de sectores relevantes de la
organización para coordinar la implementación de controles de seguridad de la in-
formación.
✓ Acuerda funciones y responsabilidades específicas relativas a seguridad de

la información para toda la Organización, metodologías y procesos específi-
cos, evaluar riesgos y brinda apoyo a las iniciativas y la concientización;
✓ Garantiza que la seguridad sea parte del proceso de planificación de la in-
formación;
✓ Evalúa la pertinencia y coordina la implementación de controles específicos
de seguridad de la información para nuevos sistemas o servicios;
✓ Revisa incidentes relativos a la seguridad de la información;
✓ Promueve la difusión del apoyo a la seguridad dentro de la organización
3.17.- Asignación de responsabilidades
Uno de los procesos más importantes es la asignación de responsabilidades a cada

parte involucrada en los procesos de Política de Seguridad. Implica definir los al-
cances y funciones de cada persona dentro de cada área y como se vinculan con
las demás.
Las responsabilidades deben ser en oposición de funciones para maximizar el con-

trol y evitar fraudes. Por ej., un cajero no puede ser auditor.
En el proceso de asignación se debe cumplir lo siguiente.
✓ Deben identificarse y definirse claramente los diversos recursos y procesos

de seguridad relacionados con cada uno de los sistemas.
✓ Se debe designar al gerente responsable de cada recurso o proceso de se-
guridad y se deben documentar los detalles de esta responsabilidad.
✓ Los niveles de autorización deben ser claramente definidos y documenta-
dos.

Recursos y
procesos
Designacion
Definicion
de
de alcances
responsable
3.18.- Proceso de autorización
Los cambios en materia de modernización son constantes y acelerados, lo que

permite que nuevas amenazas se den a conocer. Dentro de la definición de las polí-
ticas de seguridad se deben describir los procesos para autorizar los cambios o
instalación de nuevos equipamientos informáticos sean físicos o lógicos.
En esta definición intervienen los actores principales de seguridad para describir la

forma y lineamientos necesarios para cada situación. Por ej., Instalar un paquete
office tiene una política diferente a Instalar un complemento de acceso a una nube.
✓ Las nuevas instalaciones deben ser adecuadamente aprobadas por la ge-

rencia usuaria, y también del gerente responsable del mantenimiento del
ambiente de seguridad del sistema de información local.
✓ Cuando corresponda, debe verificarse el hardware y software para garanti-
zar que son compatibles con los componentes de otros sistemas.
✓ Deben ser autorizados el uso de las instalaciones personales de procesa-
miento de información, para el procesamiento de información de la empresa,
y los controles necesarios.

Aceptacion Verificacion Autorizacion
3.19.- Asesoramiento
En la actualidad con el avance de las ciencias informáticas, son más las empresas
que recurren a un asesor especializado en materia de seguridad informática para
evitar caer en ataques piratas. Idealmente, éste asesoramiento debe ser provisto
por un asesor interno experimentado en seguridad de la información.
La desconfianza o costos de un asesor especializado hacen que algunas empresas

no hagan uso de ellos, pero no obstante realizan tareas para salvaguardar esa de-
bilidad. En estos casos, se sugiere que se designe a una persona determinada para
coordinar los conocimientos y experiencias disponibles en la organización a fin de
garantizar coherencia y brindar ayuda para la toma de decisiones en materia de
seguridad informática.
Competencias
Responsable
interno
Asesor
Muchas empresas han invertido en asesores especializados para formar a sus pro-
pios responsables a los efectos de potenciar las competencias de sus recursos hu-
manos, adquiriendo una herramienta estratégica.
3.20.- Cooperación

Es importante mantener contacto y relaciones con las autoridades policiales y de
seguridad de la región, entes reguladores y proveedores de servicios, con el objeti-
vo de garantizar que, en caso de producirse ataques informáticos, se puedan reali-
zar planes de acción tendientes a subsanar la situación y poder contar con aseso-
ramiento en el menor tiempo posible. A su vez, se debe tener participación en foros
de seguridad y comunidades de investigación a los efectos de estar actualizados en
atería de seguridad ante las nuevas amenazas que van surgiendo.
Esta participación o cooperación debe estar regulada y contar con los controles
correspondientes para evitar que de forma voluntaria o involuntaria se divulguen
datos o información confidencial de la organización.
3.21.- Revisión
El documento que describe las políticas de seguridad de la información de la orga-

nización establece la política y las responsabilidades por la seguridad. Su imple-
mentación debe ser revisada independientemente para garantizar que las prácticas
de la organización reflejan adecuadamente la política, y que ésta es viable y eficaz.
Debe establecerse un plan de revisión periódicamente, independiente si existen o
no cambios. En caso de producirse innovaciones en materia de tecnología o en
materia de amenazas como virus o malware, se debe prever una revisión a la bre-
vedad para planificar los planes de acción.
Esta revisión puede ser ejecutada por el área de auditoría interna de la empresa,
por un gerente independiente o una organización externa especializados en revisio-
nes de esta temática, según estos candidatos tengan la experiencia y capacidad
indicada.

3.22.- Seguridad frente al acceso por parte de terceros
Objetivo: Mantener la seguridad de las instalaciones de procesamiento de informa-

ción y de los recursos de información de la organización a los que acceden terceras
partes.
3.23.- Identificación de los riesgos
En un plan de políticas de seguridad es importante identificar los terceros y sus

riesgos frente al acceso. Los terceros son diferentes según el activo, el rubro y el
medio.
En la identificación de los riesgos se deben identificar los riegos por acceso físico y
por acceso lógico. Cada uno de ellos es crítico según la empresa. En un banco vir-
tual el acceso lógico es el más importante, mientras que en un restaurante es mas
critico es el riesgo físico.
Riesgos Riesgos
Fisicos logicos
Oficinas BBDD
Sala de
Sistemas
servidores
Armarios

En caso de ser necesario que terceros a la empresa deban tener accesos a los sis-
temas, es importante que el referente de seguridad tenga en cuenta:
Tipo de acceso
Motivos
Valor de la información
Controles
Incidencia en la seguridad
Se sugiere no otorgar credenciales de acceso a externos a los datos, infraestructura
de procesamiento u otras áreas vitales de información, mientras no se tomen las
medidas necesarias para asegurar los controles apropiados y se cuente con un
contrato firmado o acuerdo entre las partes que defina las condiciones para la co-
nexión o el ingreso.
3.24.- Requerimientos de seguridad por parte de terceros
Las empresas que terciarizan la administración y el control de sus sistemas de in-

formación, redes y/o módulos deben tener el resguardo respetivo para evitar fugas
de información. El mecanismo más empleado es el contrato entre las partes, el cual
debe contemplar los ítems que se describen a continuación.
Es muy importante que los contratos celebrados con terceros contemplen entre sus
clausulas el permitir la ampliación de los requerimientos y procedimientos de segu-
ridad, considerando los cambios que vayan surgiendo en materia de seguridad.

Como se
cumpliran
Auditoria Disposiciones
Requerimientos
de seguridad
Niveles de
Implementacion
seguridad
Controles fisicos
y logicos
3.25.- Dispositivos móviles
Al emplear dispositivos móviles como celulares, table, o notebook, se deben tomar

las medidas necesarias para garantizar que la información comercial no sea com-
prometida. La política de dispositivos móviles debe considerar los riesgos en entor-
nos desprotegidos:
✓ Registro de dispositivos móviles;
✓ Requisitos de protección física;
✓ Restricción de la instalación de software;
✓ Requisitos para las versiones de software y para la aplicación de parches;
✓ Restricción de la conexión a los servicios de información;
✓ Controles de acceso;
✓ Técnicas criptográficas;
✓ Protección contra malware;
✓ Desactivación, borrado o bloqueos remotos;
✓ Copias de seguridad;

✓ Uso de servicios web y aplicaciones web.
Las empresas dedicadas al rubro de con-

tacto comercial telefónico como Atento,
diseñaron políticas muy robustas en cues-
tiones de seguridad tanto físicas como lógi-
cas, debido a que son terceros que tienen
accesos a diferentes empresas, entre ellas,
a bancos. Es por ello que sus controles,
políticas y accesos son muy auditados y
evaluados con periodicidad. Debido a la
información confidencial que manipulan los
empleados, las normas más resaltantes
son:
✓ Los empleados ingresan sin ningún dispositivo electrónico. Celulares, llaves,

pendriver, discos, etc. deben depositarlos en el looker asignado.
✓ Las PC no tienen acceso libre a internet, sino que funcionan como estacio-
nes específicas, donde solo tienen los sistemas de gestión.
✓ No pueden acceder con lapiceras, agendas o artículos de librería que sirva

para tomar nota.
3.26.- Teletrabajo
En la actualidad la forma de teletra-

bajo tomo mayor importancia debido
a los nuevos medios de comunica-
ción como zoom, meet, skype, entre
otros.
Muchas empresas están migrando

de un modelo físico de trabajo a un
modelo hibrido e incluso totalmente
virtual. Esta modalidad contempla
muchos beneficios entre ellos:
✓ No se requiere espacio físico, oficinas, seguridad, etc.
✓ Flexibilidad horaria
✓ Alta disponibilidad del personal
✓ Se reducen gastos como electricidad, servicios de maestranza, utilería, dis-

penser de agua
✓ Aumenta la confianza de los empleados
✓ Se extiende el campo de contratación de personal, ya que no debe ser re-

gional.

Sin embargo, pese a los beneficios del teletrabajo las organizaciones que permiten
estas actividades deben emitir una política que defina las condiciones y restriccio-
nes para su uso de acuerdo a lo permitido por la ley:
✓ La seguridad física existente del lugar de teletrabajo, teniendo en cuenta la

seguridad física del edificación y medio ambiente local;
✓ El entorno físico de teletrabajo propues-

to;
✓ Los requisitos de seguridad de las co-

municaciones, teniendo en cuenta la
necesidad de acceso remoto a los sis-
temas internos de la organización, la
sensibilidad de la información a la que
se accederá y se transmitirá sobre el
enlace de comunicación y la sensibilidad del sistema interno;
✓ La provisión de acceso a escritorio virtual que impide el procesamiento y al-

macenamiento de información en equipo de propiedad privada
✓ La amenaza de acceso no autorizado a información o recursos de otras per-

sonas que utilizan el alojamiento, p. ej. familiares y amigos;
✓ El uso de redes domésticas y requisitos o restricciones en la configuración

de redes inalámbricas servicios de red;
✓ Políticas y procedimientos para prevenir disputas sobre derechos de propie-

dad intelectual desarrollados en equipo de propiedad privada;
✓ Acceso a equipos de propiedad privada (para verificar la seguridad de la

máquina o durante una investigación), que puede ser impedido por la legis-
lación;

✓ Acuerdos de licencia de software que son tales que las organizaciones pue-
den ser responsables de la licencia de software de cliente en estaciones de
trabajo de propiedad privada de empleados o usuarios externos;
✓ Protección contra malware y requisitos de firewall.

En base a la teoría anterior y considerando la misma empresa utilizada en la activi-

dad anterior realice un documento base para definir la organización de la seguridad
en la misma.
Debido a que cada empresa dispone de una determinada infraestructura Ud. debe-
rá determinar que ítem se debe aplicar.
Aclaraciones:

mero de la Unidad.

UNIDAD IV:
EVALUACION DEL RIESGO
Formales
Actividades
Buenas
Evaluacion practicas
de riesgos
Prevencion
Ventajas
Evitar
costos
4.1.- Introducción
En la actualidad se vive en un camino
de constante cambios hacia la digitali-
zación, con la introducción de los
smartphones, internet, la inteligencia
artificial, el Big Data, e incluso el IoT,
donde los la mayoría de los dispositi-
vos electrónicos también se vuelven
inteligentes y se conectan a la red.
Esta migración hacia una transformación digital trae muchas ventajas que aportan
una ventaja competitiva, pero a su vez vienen acompañadas de amenazas que po-
nen en riesgo la seguridad de la información, los sistemas y atentan contra la confi-
dencialidad.
Debido a este nuevo modelo digital, donde son escasas las empresas que no están
incorporadas, es importante que se asuma el compromiso de tomar las medidas
necesarias para analizar los riesgos informáticos para evitar que se produzcan ata-
ques o para mitigar sus efectos negativos.
4.2.- Análisis de riesgos

En el estudio de la ciberseguridad, se destaca el
análisis de riesgos informáticos que consiste en la
evaluación y cuantificación de los distintos peli-
gros que afectan en forma directa o indirecta a
nivel informático y que pueden generar situacio-
nes de amenaza a la empresa, como sustraccio-
nes o daños contra la información o ataques por
parte de externos que impidan parcial o totalmente
el funcionamiento de los sistemas dando lugar a periodos de inactividad empresa-
rial.
El análisis y gestión de los riesgos tiene por objetivo prevenir a las organizaciones
de todo tipo de situaciones que atenten contra su actividad y desarrolla una serie de
factores importantes para su consecución. La gestión de riesgos no es solo preve-
nir, sino recuperarse con eficiencia ante un ataque. Por ej., políticas de Backus.
4.3.- Identificación de los activos empresariales
Es importante en todo análisis de riesgos es importante determinar cuáles son los

activos empresariales de información para poder centrar los esfuerzos en su pro-
tección.
Los activos incluyen generalmente hardware (servidores y switches), software (por

ejemplo, aplicaciones de misión crítica y sistemas de apoyo) e información confi-
dencial. Los activos de la empresa deben ser protegidos de acceso ilegal, uso, re-
velación, alteración, destrucción o robo, resultando en pérdida de la organización.
Hardware
Dispositivos
Contratos
Datos
Activos
Licencias Software

Datos: todos los datos que maneja la empresa, sea de almacenamiento físico o
lógico. Incluso la propiedad intelectual es el dato que las empresas más resguar-
dan.
Aplicaciones: son los sistemas informáticos que las empresas utilizan para con-
sumir los datos y generar información. Las empresas prestan vital atención en
aquellos sistemas que son propiedad privada de ellos, como sistemas desarrollados
por su empresa.
Personal: en esta categoría se pueden distinguir la estructura organizativa de la

empresa, manuales de funciones, personal, proveedores, contratos de servicios
clientes y todo aquello que tenga acceso a la información.
Servicios: En esta sección pueden distinguirse los servicios internos y externos.

Servicios que la empresa proporciona y servicios que la empresa requiere de terce-
ros.
Tecnología: Engloba a todo el equipamiento informático utilizado para extraer, ma-

nipular y transformar la información. Podemos mencionar servidores, PC, teléfonos,
impresoras, router, cableados, etc.).
Instalaciones: Se refiere a los lugares físicos donde se alojan los equipamientos

informáticos y el personal. Oficinas, edificios, salas de servidores, vehículos.
Equipamiento auxiliar: son aquellos equipamientos que prestan soporte a los de

tecnología. No tienen acceso a la información, pero son necesarios para que los
equipos tecnológicos funcionen correctamente. Aires acondicionados, Matafuegos,
destructores de papel, luces de emergencias, terminales UPS.

4.4.- Inventario
En el proceso de identificación de los activos empresariales es necesario que sean

inventariados para evitar duplicidades y poder llevar un control más detallado de los
mismos.
El método de identificación va a depender del tipo de activo, si es físico o lógico y el
nivel de riesgo que estén vinculados.
Inventario de
Identificacion Tipificacion Descripcion Propietario Localizacion
activos
4.5.- Cuantificación de los activos
Una vez que los activos están identificados y tipificados, lo que sigue es realizar
una valoración de los mismos. Es decir, hay que aproximar o asignar un valor que
tienen para la empresa, cual es su grado de importancia.

Para determinar o cuantificar este valor, se debe considerar la magnitud del daño
que puede ocasionar para la empresa que un activo sea robado, modificado o da-
ñado en cuanto a su disponibilidad, integridad y confidencialidad.
Esta cuantificación se debe realizar de acuerdo a una escala o métrica determinada

y que sea de común acuerdo. Por ej., en una empresa de call center, la métrica es
el tiempo. En una empresa de transporte, la métrica es la trazabilidad. En caso de
valorar económicamente los activos, se utiliza una escala cuantitativa. En la mayor
parte de las situaciones no es posible, o resulta muy complicado cuantificar el valor
por lo que utilizan escalas cualitativas. Por ejemplo: bajo, medio, alto o bien un ran-
go numérico, por ejemplo, de 0 a 10
Los aspectos a tener en cuenta pueden ser los daños como consecuencia de:
Violacion de
leyes
Daños de
Daños operativos
Aspectos funcionamiento
a
considerar
Impacto en la
Daño economico
imagen
4.6.- Identificación de riesgos y amenazas
Una vez se que se han identificado todos los activos de información de la empresa,
se debe identificar las amenazas que pueden atentar contra ellos. Las amenazas
pueden ser de diferentes tipos, como ataques internos, externos, naturales o erro-
res humanos que ponen en riesgos los activos.
Los riesgos surgen de la relación que existe entre las amenazas, los sistemas y las
vulnerabilidades que la empresa desconoce.
Es por ello que la identificación de los riesgos es muy importante debido que permi-
te a las empresas prevenir y desarrollar planes de acción para reducir el impacto de
los mismos.

Los riegos no solo pueden ser físico, sino también lógicos y cada uno de ellos tiene
un impacto diferente en diferentes empresas.
Ataques externos: Aquellos ataques realizados por ciberdelincuentes externos a la

empresa, que utilizan diferentes medios y objetivos. Se debe aclara que los ataques
no siempre son de acceso de información, sino que en muchos casos es que la
empresa deje de funcionar por un tiempo dañando su imagen.
Errores humanos. Las políticas deben ser definidas para restringir los accesos y
perfiles de usuarios según la función asignada. Es importante que los usuarios con
determinados perfiles tengan los conocimientos y competencias necesarias para los
mismos. Un usuario sin una capacitación adecuada y con perfiles de alto nivel, es
muy probable que cause daños involuntarios en los activos.
Naturales. En esta categoría se engloba a los riesgos por causas naturales como
inundaciones, incendios, temblores, etc. Este tipo de riesgo no puede anticiparse,
pero los analistas trabajan para que la recuperación sea lo más rápido posible.
Situaciones extraordinarias: Son aquellas que no son naturales, pero tampoco

provocadas intencionalmente para generar daños en las empresas. En esta catego-
ría podemos mencionar virus como el Covid19 que provoco que los delitos informá-
ticos, robo de identidad tomen más
fuerza. Podemos mencionar tam-
bién daños colaterales, por ej.,
atentados terroristas que inmunita-
riamente dañan el acceso o comu-
nicaciones. Son comunes las caí-
das de servicios de suministros
eléctricos por accidente de anima-
les o cortes de fibras ópticas.

4.7.- Identificación de vulnerabilidades
En el análisis de riesgos, se debe identificar las vulnerabilidades a los cuales están

expuestos los activos de la empresa.
Las vulnerabilidades están en los

activos informáticos y dan lugar a
un riesgo para la información estra-
tégica. Podemos mencionar como
ejemplos de vulnerabilidades: la
falta de actualización de los siste-
mas operativos y el uso de contra-
señas de acceso débiles. En el pri-
mer caso, la falta de actualización
es muy común en las empresas
pequeñas o medianas donde no
maduran el concepto de seguridad. Por tal motivo existen terminales de trabajo que
no actualizan su sistema operativo y están en riesgo de amenazas externas. Las
actualizaciones sirven para que el sistema operativo cuente con las políticas de
seguridad a nivel software de las nuevas amenazas que la empresa proveedora
pudo detectar.
El segundo ejemplo hace referencia a la falta de conciencia de los usuarios para la

información de la empresa. La falta de capacitación o la falta de restricciones a nivel
de servidor permiten que los usuarios utilicen contraseñas “eternas” o fáciles de
descifrar. Una política de seguridad es establecer la ley de formación de contrase-
ñas, su duración y su historial.
4.8.- Medidas de prevención y reducción de riesgos
Una vez identificadas las amenazas y vulnerabilidades de los sistemas de informa-

ción de la empresa y se hayan definido todos los riesgos materiales y su impacto en
la organización, se debe determinar las medidas y procedimiento de tratamiento de
los riesgos con dos objetivos centrales:

Evitar su Reducir su
materializacion impacto
Como medidas esenciales podemos mencionar
Instalar software de seguridad y firewall
Planes de Disaster Recovery.
Seguridad en la Nube
Protocolo de contraseñas
Revision periodica de roles y perfiles
Asegurar a la empresa ante daños
High availability - Asegurar la disponibilidad
El análisis de riesgos demanda de la producción y consolidación de informes perió-

dicos sobre los conceptos de ciberseguridad y de las distintas medidas aplicadas en
la empresa y competencias. Estos análisis permiten medir el grado de éxito que se
está obteniendo en la prevención y mitigación de los riesgos, a su vez da lugar a
identificar las debilidades o errores que requieran de la aplicación de medidas co-
rrectivas.
4.9.- Tratamiento
Las políticas tienden a identificar y evitar que los riesgos se materialicen. En aque-
llas situaciones donde el riesgo llega a estar presente es importante diseñar los
planes de acción necesarios para mitigar su impacto y poner en funcionamiento la
empresa.

Para ello se deben establecer políticas claras y procedimientos que permitan que la
empresa recupere sus activos con la menor pérdida posible. Podemos identificar
políticas de Backus, resguardo de copias de los activos. Servidores espejos. Incluso
copias de seguridad alojadas en otro lugar físico.
Analisis de riesgos
Identificacion de Identificacion de
Alcance Valoracion Ocurrencias
activos vulnerabilidades
Evaluacion de riesgos
Valor del Importancia

Probabilidad
riesgo de los activos
Tratamiento
Revisiones Nuevos Planes de accion Aceptacion del
Poiticas
periodicas procedimientos y respaldo riesgo

4.10.- Beneficios del análisis de riesgos
Las organizaciones que realizan un análisis de sus riesgos informáticos y de ciber-

seguridad dispondrán de varios beneficios como.
Visión precisa de los activos
Identificacion de los riesgos a los que se expone
Medicion del impacto que produciria
Facilitar la toma de decisiones
Mejora la eleccion de una alternativa en métodos de reducción de los riesgos.
Evaluación de los resultados
Garantizar la continuidad del funcionamiento
Crear una cultura de prevención
Cumplir con las normativas legales
La ciberseguridad debe ser una parte importante de la cultura de la empresa, debi-

do a que en la actualidad las TI son esenciales para todas las áreas empresariales.
El análisis de riesgos permite identificar correctamente los activos vinculados con la
información de la empresa, describiendo amenazas y vulnerabilidades que posibili-
ten identificar los riesgos reales a los que la información y los sistemas se encuen-
tran expuestos.
El análisis de riesgo permite diseñar las medidas adecuadas para reducir el impacto
relacionado a los distintos riesgos, permitiendo incluso llegar a evitar que se pre-
senten. Es importante que las empresas realicen un análisis de sus riesgos informá-
ticos y de seguridad, ya que en la actualidad dependen de la tecnología e su mayor
parte para realizar todos sus procesos de producción de productos o servicios. Se
podría decir que todas las empresas se vinculan desde poca incidencia hasta una
incidencia total de la tecnología.

No disponer de las medidas adecuadas de seguridad pone en riesgo a las empre-
sas a sufrir ataques graves que produzcan pérdidas significativas (como periodos
de inactividad o pérdida de datos estratégicos).


dad anterior realice un documento base para la evaluación de riesgos de la misma.
De los riesgos percibidos solo debe centrarse en los 5 más importante a su criterio.
Aclaraciones:

mero de la Unidad.

UNIDAD V:
SEGURIDAD DEL PERSONAL
Antes de
ingresar
Seguridad del
Durante
personal
Desvinculacion
5.1.- Introducción
Las políticas de seguridad del personal, hacen referencia a las medidas que se de-
ben adoptar ante los movimientos del personal dentro de la empresa. Cada movi-
miento de personal trae acompañado una serie de medidas que deben llevarse a
cabo para asegurar los activos de información.
En especial se presta mucha atención en los egresos de personal, para evitar que
puedan acceder a los sistemas o información cuando están desvinculados de la
organización.
5.2.- Vinculación laboral
La vinculación laboral es el primer contacto que las políticas de seguridad tienen

con el agente. En esta etapa se deben tener en cuenta tres aspectos.

Termino y
condiciones
de empleo
Seleccion
Roles y
responsabilidades
El objetivo de las políticas de seguridad previo al ingreso del personal es asegurar

que los nuevos empleados, proveedores y usuarios de las terceras partes tomen
conciencia de sus responsabilidades, sean capacitados para los roles/funciones
que son asignados, para así reducir el riesgo de robo, fraude o mala utilización de
las instalaciones o información.
5.3.- Roles y responsabilidades
Los roles y responsabilidades deben ser asigna-

das al puesto de trabajo, y no en función de la
persona que ocupa el puesto. Es decir, cuando
se realizan los manuales de funciones, también
se deben establecer los accesos, perfiles y auto-
rizaciones que cada usuario debe tener permitido.
Es por ello que cuando una persona se incorpora, no es necesario indagar sobre
sus tareas o perfiles, sino que ya están definidos previamente.
Si el usuario debe realizar otras tareas, o sus perfiles deben ser más restringidos o
más extendidos, el responsable del área en materia de seguridad debe solicitar
tales modificaciones.
Los requerimientos para tal es tareas son.

Implementar y actuar segun las politicas de
seguridad
Proteccion de los activos de la empresa
Procesos o actividades de seguridad

particulares
Responsabilidad de las acciones
Reportar eventos de seguridad o riesgos
5.4.- Selección
Esta tarea se centraliza en RRHH, pero debe ser

comunicada a los responsables de seguridad en
el caso de confirmarse el ingreso.
Se debe revisar los antecedentes de los postu-

lantes para el puesto, contratistas o usuarios
externos a los efectos de que se registre según
la normativa. Una vez registrado se procede a la
asignación de permisos y accesos según los perfiles del puesto
Los requerimientos serán:
Revisión del Validacion

Referencias Antecedentes Identidad
CV crediticia
5.5.- Términos y condiciones

En conjunto con RRHH se debe disponer de una confirmación formal y firmada del
acuerdo de los términos y condiciones con los empleados, contratistas y usuarios
externos que van a sumarse a la empresa. Entre los acuerdos, se deben definir
acuerdos de confidencialidad y propiedad intelectual.
Entre los requerimientos podemos apreciar:
Informacion de
CopyRight Sanciones
terceros
Acuerdo de Claificacion de
Home Office
confidencialidad informacion
5.6.- En ejercicio laboral
En ejercicio de funciones, se deben tomar las medidas necesarias para preservar

los activos de la empresa.
Sanciones
Concientizacion
Responsabilidad de la
direccion
El objetivo de esta actividad es asegurar que se concientice a los empleados, con-

tratistas y usuarios externos de las amenazas y riesgos de la seguridad.
5.7.- Responsabilidad de la dirección
La dirección es el actor en esta tarea. Es importante que, durante el ejercicio de

funciones, cada empleado sienta la motivación por parte de su superior directo. Es
correcta la apreciación de que la seguridad es responsabilidad de todos, pero la
motivación permite alinear la visión individual.

5.8.- Concientización
Se deben realizar tareas periódicas de concientiza-

ción y actualización en materia de seguridad a los
empleados, contratistas y usuarios externos en
materia de riesgos de seguridad relativos al avance
tecnológico y sus variantes. Una amenaza hoy, es
obsoleta mañana.
En el proceso de concientización se suele definir:
Roles, resposanbilidad y capacidades
Amenazas conocidas
Asesores
Canales para informar amenazas
Capacitaciones
5.9.- Medidas disciplinarias
Dentro de las políticas de seguridad, también se debe informar a los empleados

respecto a las disposiciones disciplinarias ante la generación de un incidente de
seguridad.

Naturaleza
Legislacion y Gravedad
contratos del incidente
Impacto en
Advertencia
la empresa
Repititividad
5.10.- Desvinculación o cambio de área
El objetivo es asegurar que las partes involucradas abandonen la organización o

cambien de empleo de una manera ordenada, sin atentar contra la seguridad de la
empresa.
Responsabilidades Retornos de Borrar

de desvinculacion activos accesos
5.11.- Desvinculación- responsabilidades
La responsabilidad de desvinculación debe ser puesta

en RRHH en cuanto al cese de la vinculación entre
usuarios, o contratistas. Esta tarea es muy importante
porque suelen generar fallas en el modelo de seguri-
dad. Una vez confirmada la desvinculación, se debe
notificar a todas las áreas para continuar con el proceso
de seguridad.

5.12.- Retorno de activos
En esta actividad se deben tomar las me-

didas necesarias para que se reintegre a
la Organización todo software, documento
corporativo y equipamiento que le fue pre-
visto al egresante. Las computadoras per-
sonales, tarjetas personales, de ingreso, y
todo activo físico también forma parte de este proceso. La información de la devolu-
ción de cada elemento debe ser documentada por dos o más copias y archivadas
por las partes. Es importante se realicen estas tareas con el área de patrimonio,
debido a los inventarios y con el área de sistemas para los controles de accesos
ilegales.
5.12.- Baja de los derechos de accesos
Es la última tarea de la etapa, y consiste en

quitar todos los accesos, en algunos casos
dejar inactivo el usuario para no perder traza-
bilidad de las operaciones y transacciones en
los sistemas. Es importante contar con el his-
torial de movimientos de cada usuario por fu-
turas causas o resarcimientos. En caso de
tratarse de cambios de puestos, solo se modi-
ficara los perfiles, sin perder la historia de actividad del involucrado.


dad anterior realice un documento base para describir las políticas de seguridad del
personal.
En empresas virtuales debe considerar los mecanismos de selección virtuales, en-

trevistas y formas de garantizar la seguridad de la información.
Aclaraciones:

mero de la Unidad.

UNIDAD VI:
GESTION DE ACTIVOS
Responsabilidad
sobre los activos
GESTION DE Clasificacion de
ACTIVOS la informacion
Manejo de
soportes de
almacenamiento
6.1.- Introducción
Es importante que durante los procesos de definición de las políticas de seguridad

se consideren los activos de información de la empresa, como la pieza fundamental
en el proceso, ya que son ellos los que deben ser protegidos por tales políticas. Los
activos son el objetivo de los ciberdelincuentes.
6.2.- De la gestión de activos

En esta actividad se deben realizar las tareas necesarias para controlar, definir y
proteger cada activo de la empresa sean tangibles o intangibles.
El objetivo esta centralizado en alcanzar y mantener una adecuada protección de

los activos de la empresa.

Inventario de
activos
Devolucion Propiedad de
de los activos los activos
Uso
aceptable
6.3.- Responsabilidad de los activos

En esta actividad se deben realizar las tareas necesarias para controlar, definir y
proteger cada activo de la empresa sean tangibles o intangibles.
Inventario de activos
Propiedad de los activos
Empleo de los activos
Devolucion de los activos
6.4.- Inventario de los activos

Los inventarios de activos permiten asegurar la preservación y protección eficiente
de los recursos de la empresa, y a su vez pueden ser empleados para otros objeti-

vos de la organización, como los vinculados con sanidad y seguridad, seguros o
finanzas.
El proceso de inventario de los activos es muy importante en las políticas de segu-

ridad y la empresa debe contar con la operatividad para identificarlos, y asignarle un
valor relativo e importancia que le corresponde.
Considerando el valor ponderado asignado la empresa puede asignarle niveles de

seguridad proporcionales al grado de importancia de ellos. Por ej., La información
vinculada a los estados contables tendrá un nivel superior a la información de las
publicaciones que se realizan en la página web.
El inventario debe vincular los activos con los sistemas de información que lo ges-
tiona. De esta manera ante una amenaza se puede identificar claramente que sis-
temas tenían acceso a esos activos y centralizar la atención en ellos.
Por último, los activos deben ser claramente identificados junto a sus propietarios y
marcas de tiempo. Esta información es importante para poder realizar los planes de
recuperación en caso de fallas o ataques.
6.5.- Propiedad de los activos

El propietario de los activos debe ser responsable por ellos y tomar las medidas
necesarias para que se encuentren clasificados, definiendo y revisando periódica-
mente restricciones y acceso.
Los recursos de información deben ser asignados a un propietario para que exista
un responsable de ellos y se encargue de tomar las medidas adecuadas para su
protección.
No se recomienda centralizar la propiedad de los recursos en 1 o menos de 5 per-

sonas, ya que ponen en riesgo todos los activos en caso de robo de identidad o
claves.
6.6.- Uso aceptable de los activos
En esta etapa se deben definir las políticas y los “ejercicios” que deben realizar con
los activos. Por ej., si el activo es datos de proveedores y la función es solicitud de
presupuestos, el agente no puede emplear los recursos para emitir facturas, o con-
tactar a los proveedores con fines personales.
Dentro de los manuales de funciones es importante que el empleo de los activos y

sus fines estén debidamente documentados para evitar que se les brinde otro uso.
Cada responsable de los activos debe realizar controles periódicos para evitar que
los activos tengan otros fines. El tiempo y la falta de organización dan lugar a que
las tareas se tornen difusas y para ello es importante que cada cambio sea delimi-
tado en responsabilidad y funciones.
6.7.- Devolución de los activos

Como se pudo apreciar en el capitulo anterior, forma parte de los procesos de
RRHH de desvinculación del personal. Se realiza ante la desvinculación de un per-
sonal o cuando rotan de área.
Es importante que esta tarea se lleve a cabo de forma minuciosa para evitar dejar
caves de acceso activas.
El error más común se presenta en la rotación de personal, donde se realiza en

cambio sin la intervención del área de seguridad y el agente se encuentra desem-
peñando otras funciones con sus credenciales de acceso anteriores.
6.8.- Clasificación de la Información
La información de la empresa debe ser clasificada para indicar la necesidad, las

prioridades y el grado de protección que se le debe asignar
La información de la organización se caracteriza por tener diferentes grados de

sensibilidad y criticidad. Algunos activos, por su importancia o valor pueden requerir
un nivel de protección adicional o un tratamiento especial. Se recomienda emplear
un sistema de clasificación de la información para especificar un conjunto adecuado
de grados de protección e informar cuando es necesario medidas de tratamiento
especial.
6.9.- Consideración de clasificación
En los procesos de clasificación y controles de seguridad asociados a la informa-

ción, s deben considerar los requerimientos de la empresa con respecto a la distri-
bución (uso compartido) o restricción de la información, y del impacto de dichas
necesidades en las actividades de la organización, por ej. Acceso no autorizado o
daño a la información.
Es común, que la información deje de ser sensible o crítica después de un período

de tiempo, por ejemplo, cuando la información se ha hecho pública o el proceso
para el cual estaba restringida ya transcurrió, por ej., un sorteo. Estas consideracio-
nes se deben tenerse en cuenta, debido a que la clasificación por exceso ("over-
classification") se transforma en gastos adicionales innecesarios para la empresa.
Las pautas de clasificación deben tener en cuenta que la información es cambiante,

y su valor también se va a alterar en el tiempo. Con la masificación del teletrabajo,
se cambiaron varias políticas de seguridad al disponer del empleado accediendo
desde su casa a los sistemas.
6.10.- Manipulación de hardware de almacenamiento

En este apartado se debe considerar las tareas a desarrollar ante cambio, actuali-
zación o desecho de los diferentes dispositivos de almacenamiento. A su vez se
consideran los permisos y disponibilidad de dispositivos de almacenamiento móvi-
les para evitar la sustracción de información.
Suele parecer sencilla la tarea indicada,

pero en empresas con información sen-
sible y crítica, es un ítem que debe ser
considerado en las políticas de seguri-
dad, debido a que los datos de un disco,
o una memoria, pueden ser recuperados.
Entre las tareas podemos mencionar.
Soportes
extraibles
Soportes en
transito
Eliminacion
Soportes extraíbles: En muchas empresas las PC de los agentes tienen bloqueo

de dispositivos extraíbles, para evitar poner en riesgo información confidencial. Las
políticas establecen que los responsables tengan accesos para auditar en caso de
ser necesario el transportar información.
Soportes en tránsito: Son aquellas situaciones donde las PC o discos son deriva-
dos para su mantenimiento, reparación o actualización técnica. En estos casos se
deben tomar las medidas necesarias para asegurar la confidencialidad
Eliminación de soportes: Las actividades de desecho de dispositivos de almace-

namiento se deben realizar en conjunto con inventario para señalizar el nuevo dis-
positivo. Lo sugerido es que el dispositivo a desechar sea destruido para evitar re-
cuperaciones posteriores.


dad anterior realice un documento marco para la gestión de activos.
De acuerdo al tipo de empresa solo debe abocarse a los activos de información

más importantes (mínimo 6)
Aclaraciones:

mero de la Unidad.

UNIDAD VII:
SEGURIDAD DE ACCESO, FISICA Y AMBIENTAL
CONTROL DE
ACCESO
SEGURIDAD Areas seguras
FISICA Y
AMBIENTAL
Equipamiento
7.1.- Introducción
En esta sección se podrán describir las pautas necesarias a considerar en el docu-

mento de políticas de seguridad en cuanto a los controles de acceso y seguridad
física y ambiental. .
El objetivo es controlar el acceso a la información.
Acceso sl S.O. Requerimientos
Acceso a la red Administracion
Resposanbilidad
de los usuarios

7.2.- Requerimientos de acceso
El acceso a la información y los procesos de negocio deben ser controlados sobre

la base de los requerimientos de la seguridad y los negocios y para esto se deben
tener en cuenta las políticas de difusión y autorización de la información.
En esta sección se deben establecer dos actividades fundamentales:
Requerimientos
Reglas
politicos
Requerimientos políticos/negocios: Las políticas de acceso deben ser claramen-

te definidas indicando las reglas y derechos de accesos para cada usuario o grupo
de trabajo. Esta tarea se realiza en conjunto con el administrador de red, quien tie-
ne el control de los perfiles de usuarios y sus accesos.
Se debe tener en cuenta:
✓ Requerimientos de seguridad de cada

sistema
✓ Identificación de la información vinculada

a cada sistema
✓ Requerimientos de divulgación y autori-

zación de información.
✓ Relación entre el control de acceso y la

clasificación de la información.
Reglas de control de acceso: las reglas de acceso se definen en los requerimien-

tos del negocio, donde se debe tener en cuenta:
✓ Existen reglas fijas y otras que pueden

ser opcionales u optativas
✓ A diferencia de las actuaciones legales,

se prima el concepto de: “Todo prohibi-
do a menos que se permita expresa-
mente”

✓ Reglas automáticas por el sistema de usuario y otras que administra el res-
ponsable de red.
✓ Reglas que requieren autorización, y otras que por el hecho de ocupar un

puesto o función se le asignan.
7.3.- Administración de acceso de usuarios
La administración de accesos tiene como

fin evitar el acceso no autorizado en los
sistemas de la empresa.
Se deben desarrollar procedimientos for-

males para el control de la asignación de
derechos de acceso a los sistemas y los
diferentes sistemas de la empresa.
Los procedimientos definidos deben considerar todas las etapas del ciclo de vida de
los accesos de los usuarios, desde su incorporación a la empresa, sus rotaciones
hasta la desvinculación. Se debe tener especial atención, cuando los permisos sean
de privilegio, es decir, que permiten al usuario “saltear” los controles por sistemas.
Se sugiere evitar este tipo de accesos para evitar errores involuntarios.
La administración de acceso estará dada por 3 tareas fundamentales:
Administracion de
contraseñas
Administracion de
privilegios
Registracion de
usuarios
Registración de usuarios: Debe existir un procedimiento formal de registración de

usuarios para otorgar acceso a todos los sistemas y servicios de información. El

acceso a servicios de información debe ser controlado a través de un proceso for-
mal de registración de usuarios.
Administración de privilegios: Se debe limitar y controlar la asignación y uso de

privilegios (cualquier característica o servicio de un sistema de información que
permita que el usuario pase por alto los controles de sistemas o aplicaciones). El
uso inadecuado de los privilegios del sistema resulta frecuentemente en el más
importante factor que contribuye a la falla de los sistemas a los que se ha accedido
ilegalmente.
Administración de contraseñas: Las

contraseñas constituyen un medio
común de validación de la identidad
de un usuario para acceder a un sis-
tema o servicio de información. La
asignación de contraseñas debe con-
trolarse a través de un proceso de
administración formal. Las contrase-
ñas nunca deben ser almacenadas en sistemas informáticos sin protección. Se re-
sulta pertinente, se debe considerar el uso de otras tecnologías de identificación y
autenticación de usuarios, como la biométrica, por Ej. Verificación de huellas dacti-
lares, verificación de firma y uso de “tokens” de hardware, como las tarjetas de cir-
cuito integrado (“chip-cards”).
7.4.- Responsabilidad de los usuarios
En esta actividad se debe concientizar a

los usuarios de la empresa acerca de sus
responsabilidades por el mantenimiento de
los controles de acceso a los sistemas, el
resguardo de la información que manipu-
lan pero en especial en lo relacionado con
el uso de contraseñas seguras.
El objetivo es centra en responsabilizar a

cada usuario por el resguardo de su propia
información de acceso. Es decir, cada persona es responsable de su usuario y con-
traseña. Esta actividad genera la más común falla de seguridad, debido a que los
usuarios no les dan la importancia requerida a sus credenciales de acceso, por lo
que terminan compartiendo sus claves a otras personas.
Uso de contraseñas: debe existir una cooperación por parte de los usuarios si-
guiendo buenas prácticas de seguridad en la selección y uso de contraseñas. Las
contraseñas constituyen un medio de validación de la identidad de una persona y
consecuentemente un medio para establecer derechos de acceso a las instalacio-
nes o servicios de procesamiento de información.
Entre las responsabilidades que le son asignadas a cada usuario resaltan:

Confidencialidad de las contraseñas
No escribir contraseñas en papeles
Cambiar contraseñas
Evitar contraseñas relacionadas a la persona
No compartir contraseñas
Evitar guardar contraseñas en la PC

7.5.- Control de acceso a la red
El acceso de los usuarios externos debe estar

previsto de mecanismos de autenticación.
Existen muchos métodos, según la tarea y
algunos de los cuales brindan un mayor nivel
de seguridad que otros, En la actualidad se
emplean métodos criptográficos para mante-
ner un alto estándar de seguridad como “to-
kens” de hardware, o un protocolo de pregun-
ta/respuesta. Los bancos emplean tokens de
seguridad en reemplazo de las tarjetas de
coordenadas.
También suelen emplearse líneas dedicadas privadas o una herramienta de verifi-

cación de la dirección del usuario de red, mac address, u otro método, a fin de
constatar el origen de la conexión. La desventaja de esta opción, es que limita a un
determinado espacio físico el acceso. En esta actividad se debe informar a los
usuarios de la empresa en cuanto a sus responsabilidades por el resguardo de los
controles de acceso a los sistemas, la seguridad de la información que utilizan pero
en especial sobre la importancia de sus credenciales de acceso. Una falla de segu-
ridad importante es cuando emplean PC públicas donde el usuario desconoce que
tratamiento previo tuvieron esas terminales o si están capturando su información.

Una herramienta para controlar la seguridad de redes extensas es seccionarla en
dominios lógicos separados, por ej. Dominios de red internos y externos de una
empresa, cada uno de los cuales estará protegido por un perímetro de seguridad
definido. Cada dominio puede ser creado mediante la instalación de una compuerta
(“gateway”) segura entre las dos redes que han de ser interconectadas, para con-
trolar el acceso y flujo de información entre los mismos.
Este “gateway” debe estar parametrizado para filtrar el tráfico entre los dominios y
para bloquear el acceso no autorizado según con la política de control de accesos
de la empresa. Un ejemplo de este tipo de compuertas es lo que conocemos como
“firewall”.
7.6.- Acceso a los S.O.
Es uno de los primeros controles que se establecen y que el usuario tiene contacto.
Con el teletrabajo, se debe ampliar este control, en especial si se emplean escrito-
rios remotos.
El objetivo consiste en impedir el acceso no autorizado a la PC.
Los procedimientos de seguridad a nivel del sistema operativo deben ser utilizados
para restringir el acceso a los recursos del computador. Esta tarea lo lleva a cabo el
administrador de la red en conjunto con la definición de perfiles de accesos.
Entre las actividades que se llevan a cabo son:
Identificar y verificar iedntidad
Registrar accesos exitosos y fallidos
Suministrar medios de autentificacion:

Contraseñas, llaves electronicas, token, etc
Restringuir tiempos de conexion

7.7.- Áreas seguras
Las áreas seguras tienen por finalidad impedir accesos

físicos no autorizados, daños, o robos en las ins-
talaciones o información de la empresa.
Las instalaciones de procesamiento de información

confidencial o sensible de la organización deben estar
localizadas en áreas protegidas por un perímetro de
seguridad delimitado, vallado y con los controles de
acceso adecuados.
Mencionadas instalaciones deben estar protegidas contra accesos no autorizados,

daños o hurtos. Es importante valorizar el riesgo de los activos, ya que de ellos de-
pende el nivel de seguridad a implementar. Por ej., la seguridad de la sala de servi-
dores será superior a la seguridad de una impresora.
7.8.- Delimitación de perímetros seguros
Las empresas deben emplear y determinar pe-

rímetros de seguridad para resguardar las áreas
que contienen instalaciones de procesamiento
de información, en especial cuando son de ries-
go.
Un perímetro de seguridad es lo que común-

mente conocemos como área restringida, donde
se emplean recursos como vallas, divisores,
señalizaciones, para dar a conocer su prohibi-
ción. El acceso es controlado por tarjetas, sensores biométricos, o seguridad física.
El nivel de seguridad dependerá del valor de los activos.
7.9.- Accesos físicos
Las áreas restringidas deben estar protegidas por controles de acceso adecuados
que permitan garantizar que sólo se permite el acceso de personal autorizado.
Se debe tener en cuenta:

Supervision de visitantes
Control de acceso a instalaciones sensibles
Exigir identificacion visible en caso de externos
Revisar periodicamente los controles de acceso
Deteccion de intrusos
7.8.- Seguridad del equipo
El objetivo de esta actividad es Impedir la pérdida, daños

o exposiciones al riesgo de los activos de la empresa o la
interrupción de las actividades de manera parcial o total.
Se deben considerar:
Los equipos deben estar fisicamente protegidos
Equipos criticos pueden requerir controles especiales
Servidores y BBDD deben uicarse en sitios seguros
Determinar actividades permitidas en el area: comer, beber, musia, etc
Considerar desastres naturales en las politicas

7.9.- Seguridad de energía
En la planificación de las políticas de seguridad se debe establecer la necesidad de

contar con un adecuado suministro de energía que esté de acuerdo con las especi-
ficaciones del fabricante o proveedor de los equipos.
Entre las opciones para garantizar el suministro de energía podemos mencionar las
siguientes:
Disponer de 2 o mas
suministros.
Generador de Suministro de energía

respaldo. ininterrumpible (UPS)
7.10.- Cableado
Una de las debilidades de las empresas, es el proceso de cableado y su trazabili-

dad. En la mayoría de las situaciones el cableado se realiza por demanda y o se
documenta o señaliza adecuadamente lo que provoca dificultades a largo plazo.
Las líneas de suministro eléctrico y telecomunicaciones que se conectan con las

instalaciones de procesamiento de información deben ser en lo posible subterrá-
neas, o bien utilizar bandejas aéreas. No se recomienda periscopios o cable canal.
El cableado de red debe estar resguardado contra la intercepción no autorizada o

daño, por ejemplo, empleando caños.
Una regla importante es que el cableado de red, debe estar separado del cableado
eléctrico para evitar interferencias.


dad anterior realice un documento marco estableciendo las políticas de acceso lógi-
cas y el plan sugerido para la seguridad física.
De los riesgos percibidos solo debe centrarse en los 5 más importante a su criterio.
Aclaraciones:

mero de la Unidad.

UNIDAD VIII:
GESTION DE INCIDENTES Y PLANES DE ACCION
GESTION DE
Procedimientos
INCIDENTES
INCIDENTES
Areas seguras
PLANES DE
ACCION
Equipamiento
8.1.- Introducción
En los capítulos anteriores se desarrollaron descripciones de buenas prácticas para

evitar riesgos. En este capítulo se evaluara que hacer ante la ocurrencia del riesgo
y que planes de acción realizar.
El objetivo principal de esta actividad es contar con un enfoque estructurado y que

se encuentre bien planificado para manejar de forma adecuada todos los incidentes
de seguridad de la información.
8.2.- Gestión de incidentes
En esta actividad se definen las actuaciones a realizar cuando se materializa las

amenazas para poder asegurar un rápido funcionamiento.
Entre los objetivos podemos mencionar:

Definir roles y responsabilidades para evaluar el impacto
Definir los eventos de seguridad para detectar y tratar con eficacia los incidentes
Identificar los incidentes de seguridad de la información
Disminuir los impactos
Consolidar las lecciones
Establecer los mecanismos que permitan cuantificar y monitorear los tipos, volúmenes y costos de todos los
incidentes de seguridad de la información
Definir reportes y escala de los incidentes de seguridad.
Establecer variables de posibles riesgos
Recuperar el Normal funcionamiento de un servicio tan pronto como sea posible,

para minimizar el impacto en la empresa.
Incidente: Es una interrupción no planeada o una reducción en la calidad de un

servicio de Tecnología de Información. También es un incidente una falla en un
componente de Tecnología que aún no ha impactado un servicio de Tecnología de
Información.

8.3.- Matriz de impacto
Los incidentes deben valorizarse para poder cuantificar su urgencia e impacto que
provocan en la empresa. Un modelo estándar es el siguiente:
La matriz debe considerar una ponderación que permita identificar cual incidente
tiene mayor impacto en los activos de la empresa.
8.4.- Matriz de clasificación de incidente
De acuerdo a las buenas prácticas se pueden describir los siguientes tipos de inci-
dentes:
Matriz de clasificación de Incidentes
Clase de Inci-
N° Tipo de Incidente Descripción
dente
Contenido Pornografía Infantil – Se- Pornografía infantil, glorificación de la violen-
1 Abusivo xual – Violencia cia, otros.
Spam «Correo masivo no solicitado», lo que significa
que el destinatario no ha otorgado permiso
verificable para que el mensaje sea enviado y
además el mensaje es enviado como parte de
un grupo masivo de mensajes, todos teniendo
un contenido similar
Difamación Desacreditación o discriminación de alguien
2 Código Mali- Malware, Virus, Gusanos, Software que se incluye o inserta intencional-
cioso Troyanos, spyware, Dialler, mente en un sistema con propósito dañino.

rootkit Normalmente, se necesita una interacción del
usuario para activar el código.
Recopilación Scanning Ataques que envían solicitudes a un sistema
3 de Información para descubrir puntos débiles. Se incluye tam-
bién algún tipo de proceso de prueba para
reunir información sobre hosts, servicios y
cuentas. Ejemplos: fingerd, consultas DNS,
ICMP, SMTP (EXPN, RCPT, …), escaneo de
puertos.
Sniffing Observar y registrar el tráfico de la red (escu-
chas telefónicas o redes de datos).
Ingeniería Social Recopilación de información de un ser humano
de una manera no técnica (por ejemplo, menti-
ras, trucos, sobornos o amenazas).
Intentos de Intentos de acceso Múltiples intentos de inicio de sesión (adivinar /
4 Intrusión descifrar contraseñas, fuerza bruta).
Explotación de vulnerabili- Un intento de comprometer un sistema o inte-
dades conocidas rrumpir cualquier servicio explotando vulnera-
bilidades conocidas que ya cuentan con su
clasificación estandarizada CVE (por ejemplo,
el búfer desbordamiento, puerta trasera, se-
cuencias de comandos cruzadas, etc.).
Nueva Firma de Ataque Un intento de usar un exploit desconocido.
5 Intrusión Compromiso de Cuenta Un compromiso exitoso de un sistema o apli-
Privilegiada cación (servicio). Esto puede han sido causa-
Compromiso de Cuenta sin do de forma remota por una vulnerabilidad
privilegios conocida o nueva, pero también por un acceso
Compromiso de Aplicación, local no autorizado. También incluye ser parte
Bot de una botnet.
6 Disponibilidad Ataque de denegación de Con este tipo de ataque, un sistema es bom-
servicio (DoS / DDoS) bardeado con tantos paquetes que las opera-
Sabotaje ciones se retrasan o el sistema falla. Algunos
Intercepción de informa- ejemplos DoS son ICMP e inundaciones SYN,
ción ataques de teardrop y bombardeos de mail’s.
DDoS a menudo se basa en ataques DoS que
se originan en botnets, pero también existen
otros escenarios como Ataques de amplifica-
ción DNS. Sin embargo, la disponibilidad tam-
bién puede verse afectada por acciones loca-
les (destrucción, interrupción del suministro de
energía, etc.), fallas espontáneas o error hu-
mano, sin mala intención o negligencia.
7 Información de Acceso no autorizado a la Además de un abuso local de datos y siste-
seguridad de información mas, la seguridad de la información puede ser
contenidos Modificación no autorizada en peligro por una cuenta exitosa o compromi-
de la información so de la aplicación. Además, son posibles los
ataques que interceptan y acceden a informa-
ción durante la transmisión (escuchas telefóni-
cas, spoofing o secuestro). El error humano /
de configuración / software también puede ser
la causa.
Fraude Phishing Enmascarado como otra entidad para persua-
dir al usuario a revelar una credencial privada.
Derechos de Autor Ofrecer o instalar copias de software comercial

sin licencia u otros materiales protegidos por
derechos de autor (Warez).
8 Uso no autorizado de re- Usar recursos para fines no autorizados, in-
cursos cluida la obtención de beneficios empresas
(por ejemplo, el uso del correo electrónico para
participar en cartas de cadena de ganancias
ilegales) o esquemas piramidales).
Falsificación de registros o Tipo de ataques en los que una entidad asume
identidad ilegítimamente la identidad de otro para bene-
ficiarse de ello.
9 Vulnerable Sistemas y/o softwares Sistemas «Open Resolvers», impresoras
Abiertos abiertas a todo el mundo, vulnerabilidades
aparentes detectadas con nessus u otros apli-
cativos, firmas de virus no actualizadas, etc.
10 Otros Todos los incidentes que Si la cantidad de incidentes en esta categoría
no encajan en alguna de aumenta, es un indicador de que el esquema
las otras categorías dadas de clasificación debe ser revisado.
11 Test Para pruebas Producto de pruebas de seguridad controladas
e informadas
Fuente: CSIRT
8.5.-Plan de contingencia
El plan de contingencia o plan de acción ante un riesgo consisten en un documento

normativo que describe en forma clara, concisa y completa los riesgos, los actores y
sus responsabilidades en caso de eventos adversos

8.6.-Se trabaja paso a paso
El plan de contingencia se realiza una secuencia de actividades en orden:
Paso 1
• Proteccion del RRHH
Paso 2
• Evaluacion del daño y tiempo de recuperacion
Paso 3
• Recuperacion del daño
Paso 4
• Recuperacion definitiva
Paso 5
• Aspectos legales
8.6.-Implementacion de un plan
Las actividades para desarrollar e implementar un plan de contingencia son:
1: Relevamiento: se realiza una descripción total de todos los equipamientos físi-

cos y lógicos que procesan los activos de la empresa. Se detallan su valoración y
criticidad.
2: Identificación de riesgos: se describe el riesgo, sus probabilidades, posibles

impactos y posibles causas.
3: Evaluación del riesgo: se evalúa el impacto de riesgo sobe diferentes variables,

pero la más importante es la variable económica que marca el mayor impacto.
A: Costo por reemplazo

B: Costo por falta de producción
C: Costo por perdidas de ventas/servicios
D: Costos de imagen
4: Definición de alternativas: se definen las acciones a seguir en caso de sinies-

tros, sus alternativas y responsables.
5: Asignación de prioridades: a cada aplicación según el valor del activo que ma-
nipulan.

6: Establecimiento de los requerimientos de recuperación de los sistemas lógi-
cos y físicos.
7: Confección de la documentación con actividades y procedimientos a seguir

ante cada contingencia probable hasta restablecer el servicio del normal procesa-
miento de la información
8: Verificación e implementación del plan: comprende el entrenamiento del per-

sonal responsable y usuario y pruebas del correcto funcionamiento del Plan desa-
rrollado
9: Distribución y mantenimiento del plan con la realización de los simulacros pre-

vistos y actualizaciones según nuevas prácticas.
8.7.-Ciclo de evento de riesgo
El ciclo de vida del evento adverso puede detallarse como:
Despues Antes
• Prevencion
• Rehabilitacion
• Mitigacion
• Reconstruccion
• Preparacion
Durante
• Respuesta
8.8.-Elementos necesarios
El plan de contingencia con el diseño no es suficiente para su éxito, sino que se

deben reforzar una serie de actividades para afianzar su caso de éxito.

Capacitacion
Recursos
Prueba del Plan
Entre los recursos de contenido deben contar con:
✓ Determinación de prioridades de aplicaciones, sistemas operativos y archi-

vos de datos.
✓ Detalle del orden de ejecución de las tareas
✓ Detalle de notificación para cada parte
✓ Mecanismos para funcionar manualmente hasta la recuperación.
✓ Operaciones del mainframe y de las sedes remotas.
✓ Disponibilidad de hardware alternativo sea propio o de terceros
✓ Disponibilidad en la capacidad de telecomunicaciones
Para la capacitación del personal se debe considerar:
✓ Descripción de las necesidades
✓ Inventario de recursos disponibles
✓ Solicitud y Adquisición de recursos faltantes
✓ Verificar el correcto funcionamiento de los recursos
Las pruebas se deben llevar a cabo en forma periódica para que el personal no se
olvide de los procedimientos o forma de responder. Son esenciales como los simu-
lacros de incendios.

✓ Ejercicios de simulación
✓ Simulacros


dad anterior realice un documento formal indicando los procedimientos básicos para
el manejo de incidentes y el plan de contingencia genérico.
Aclaraciones:

mero de la Unidad.

ACTIVIDAD EN EL FORO
Foro de discusión: Hora de interactuar.
En el aula virtual se dispone de un foro en el cual se trabajara sobre las conclusio-

nes del modulo. Es importante su participación y sus opiniones, así como la expe-
riencia que puedan aportar.
Consigna de trabajo
En base a lo desarrollado en el modulo debe resumir sus conclusiones para que los
compañeros puedan apreciar la labor realizada.

BIBLIOGRAFÍA
[1] BACARD, A. (1995). The Computer Privacy Handbook. Ed. Peachpit Press. Berkeley.
[2] CASTELLS, MANUEL. (1997). Fin del Milenio. Alianza Editorial. Madrid. P. 391.
[3] CASTELLS, MANUEL. (1999). The rise of the Network Society. Ed. Blackwell Publishers Ltd.
[4] DENNING; METCALFE. (1998). Beyond Calculations, The next fifty years of computing. Ed.
Springer_Verlag. Nueva York.
[5] JIJENA LEIVA, RENATO. (2002). Comercio Electrónico, Firma Digital y Derecho. Editorial Jurídica
de Chile. Chile.
[6] MILLER, S. (1996). Civilizing Cyberspace. Ed. ACM Press. Nueva York.
[7] NEUMANN, P. (1995). Computer Related Risks. Ed. Addison Wesley. Nueva York.
[8] PFLEEGER, C. (1997). Security in Computing. Prentice Hall International.
[9] PIATTINI, M. DEL PESO. (1998). Auditoría Informática. Un enfoque práctico. Editorial Ra-Ma.
Madrid
[10] SCHNEIER, B. (2000). Secrets and Lies: Digital Security in a Networked World. John Willey &
Sons y Díaz de Santos. España.
Artículos y otras publicaciones
[1] ALCOVER, G. (2000). "El Real Decreto Ley sobre Firma Electrónica". Editorial Revista de Contra-
tación Electrónica. Nº 1.
[2] BANGEMANN. (1995). Europa y la sociedad global de la información. Recomendaciones al Con-
sejo Europeo. Enlace web: http://europa.eu.int/eur-
lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:31995Y1219(03):ES:HTML [Leído: 28 de marzo de 2006
GMT-5]
[3] GIL, P. (1999). Empresas españolas en relación con e-I. PFA-Research, UK. Pan-European E-
Commerce and Communications Survey; The European Overview OECD. Workshop on Business-to
Business Electronic Commerce: Status, Economic Impact and Policy Implications, Oslo (Noruega) 17
june 1999.
[4] IZQUIERDO, V; y LÓPEZ CRESPO, F. (2000). El papel de la Administración en la sociedad de la
información. Revista Novatica. N°. 145. Mayo-Junio de 2000.
[5] JANSON, EMMA; y MANSELL, ROBIN. (1998). A Case of Electronic Commerce: The On-line Mu-
sic Industry - Content, Regulation and Barriers to Development. Science Policy Research Information
Unit, Information Networks & Knowledge. Electronic Working Paper Series. Paper Nº. 25. Enlace web:
http://www.sussex.ac.uk/Units/spru/publications/imprint/sewps/sewp25/sewp25.pdf [Leído: 28 de
marzo de 2006 GMT-5]
[6] JIJENA LEIVA, RENATO. (2001). Comercio Electrónico y Derecho. Ponencia presentada al Pri-
mer Encuentro Internacional de Derecho e Informática. Panamá. Septiembre de 2001.
[7] LÓPEZ CRESPO, F. (1999). Cómo contribuye la Certificación a la construcción de la confianza.
Revista Novatica. N°. 141. Septiembre-Octubre de 1999.
[8] LÓPEZ CRESPO, F. (1999). La Administración para la sociedad de la información. Oportunidades
y requisitos. Setenes Jornades D´Árxivistica de Catalunya. Revista Lligall. N° 14.
[9] LÓPEZ CRESPO, F. (2000). Relaciones de la Administración con el Sector Empresarial privado.
Revista Novatica. N°. 144. Marzo-Abril de 2000.
[10] NEICE, D. (1998). Measures of Participation in the Digital Techno-structure: Internet Access.
Science Policy Research Unit. Information Networks & Knowledge. Electronic Working Paper Series.
Paper Nº. 21. Enlace web:
http://www.sussex.ac.uk/Units/spru/publications/imprint/sewps/sewp21/sewp21.pdf [Leído: 28 de marzo
de 2006 GMT-5]
Páginas web consultadas
[1] AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Enlace web: www.ag-
protecciondatos.es/regis.html [Leído: 21 de septiembre de 2005 GMT-5]
[2] Business Week on line. Mujeres empresarias en Internet. Enlace
web:http://www.businessweek.com/cgi-bin/ebiz/ebiz_frame.pl?url=/ebiz/9908/dm0825.htm [Leído: 29 de
[3] CCEVS WEBSITE. Enlace web: http://csrc.nist.gov/cc/ [Leído: 24 de marzo de 2006 GMT-5]
[4] CLCERT. Enlace web: http://www.clcert.cl/editorial.jsp?id=30 [Leído: 31 de enero de 2004 GMT-5]

[5] COMADRID. Enlace web: http://www.comadrid.es [Leído: 23 de marzo de 2006 GMT-5]
[6] DELITOS INFORMÁTICOS. Enlace web:
http://www.delitosinformaticos.com/seguridad/firma.shtml [Leído: 24 de marzo de 2006 GMT-5]
[7] DERECHO INFORMÁTICO. Protección de Datos Personales. Enlace web:
http://www.hfernandezdelpech.com.ar/Leyes/Ley%201682%20del%20Paraguay.htm [Leído: 27 de mar-
zo de 2006 GMT-5]
[8] DIARIO TI. Enlace web: http://www.diarioti.com/gate/n.php?id=7652 [Leído: 27 de marzo de 2006
GMT-5]
[9] Enlace web: http://www.ispo.cec.be/ecommerce/legal/documents/ [Leído: 24 de noviembre de
2005 GMT-5]
[10] Enlace web: http://www.setsi.mcyt.es/legisla/internet/ley34_02/sumario.htm. [Leído: 25 de octu-
bre de 2005 GMT-5]
[11] Enlace web: www.sgc.mfom.es/mapa/sitemap.htm [Leído: 27 de octubre de 2005 GMT-5]
[12] Enlace web: http://www2.echo.lu/legal/en/dataprot/protection.html [Leído: 15 de septiembre de
2003 GMT-5]
[13] IANA, Internet Assigned Numbers Authority. Enlace web: www.iana.org [Leído: 24 de marzo de
2006 GMT-5]
[14] ICANN. Internet Corporation For Assigned Names and Numbers. Enlace web: www.icann.org
[Leído: 24 de marzo de 2006 GMT-5]
[15] INVERTIA. Enlace web:
http://cl.invertia.com/noticias/noticia.aspx?idNoticia=200410272300_INV_28026880&idtel= [Leído: 27 de
[16] ISO, International Organization for Standardization. Enlace web:
http://www.iso.ch/liste/JTC1SC27.html [Leído: 24 de marzo de 2006 GMT-5]
[17] Ministerio de Justicia - España. Enlace web: http://www.mju.es/g_firmaelect.htm [Leído: 24 de
[18] NIAP, National Information Assurance Partnership. Enlace web: http://niap.nist.gov [Leído: 24 de
[19] OCDE. Foro sobre Comercio Electrónico. (1999). París. Octubre 12 y 13 de 1999. Enlace web:
http://www.oecd.org//dsti/sti/it/ec/act/Paris_ec [Leído: 13 de abril de 2003 GMT-5]
[20] OECD, Organization for Economic Co-operation and Development. Enlace web:
http://www.oecd.org/dsti/sti/it/index.htm. [Leído: 25 de agosto de 2003 GMT-5]
[21] SECRETARÍA DEL CONSEJO SUPERIOR DE ADMINISTRACIÓN ELECTRÓNICA. España.
Enlace web: http://www.map.es/csi/pg3421.htm [Leído: 14 de enero de 2006 GMT-5]
[22] SEDISI-MINER. Métrica de la sociedad de la información. Enlace web: http://infoxxi.min.es/ [Leí-
do: 24 de marzo de 2005 GMT-5]
[23] TERRA. Enlace web: http://www.terra.cl/tecnologia/index.cfm?accion=bits&id=476007 [Leído: 24
de marzo de 2006 GMT-5]
[24] THE COPENHAGEN HEARING. Enlace web: http://www.fsk.dk/fsk/div/hearing/ [Leído: 20 de
noviembre de 2003 GMT-5]
[25] THE EUROPEAN COMISSION. Enlace web:
http://europa.eu.int/comm/dg15/en/intprop/intprop/1100.htm [Leído: 24 de marzo de 2006 GMT-5]
[26] CRITICAL FOUNDATIONS. The President's Commission on Critical Infrastructure Protection. En-
lace web: http://www.pccip.gov [Leído: 18 de diciembre de 2005 GMT-5]
[27] TICsCHILE. Enlace web: http://www.ticschile.cl/portal/sitio/info.asp?Ob=1&Id=12 [Leído: 24 de
[28] UNIVERSITAT DE GIRONA. Àrea de Dret Civil. Enlace web:
http://civil.udg.es/normacivil/estatal/persona/PF/Lo15-99.htm. [Leído: 28 de agosto de 2005 GMT-5]
[29] WPISP, Información de sus principales productos. Enlace web:
http://www.oecd.org/dsti/sti/it/secur/index.htm [Leído: 13 de abril de 2003 GMT-5]
[30] ZDNN, ZD Net. Enlace web: http://www.zdnet.com/zdnn [Leído: 21 de Diciembre de 2005 GMT-
5]

Sistema de Educación a Distancia - SEAD
Dirección de Diseño y Desarrollo Instruccional
Edición © UCASAL
Este material fue elaborado por el Mg. Rafael Francisco Matías Visa en conjunto a la Dirección de Diseño y Desarrollo Instruccional del Siste-
ma de Educación a Distancia con exclusivos fines didácticos. Todos los derechos de uso y distribución son reservados. Cualquier copia, edi-
ción o reducción, corrección, alquiles, intercambio o contrato, préstamo, difusión y/o emisión de exhibiciones públicas de este material o de
alguna parte del mismo sin autorización expresa, están terminantemente prohibidos y la realización de cualquiera de estas actividades haría
incurrir en responsabilidades legales y podrá dar lugar a actuaciones penales. Ley 11.723 - Régimen Legal de la Propiedad Intelectual; Art. 172
C.P.

Politica y Organizacion de La Seguridad. Modulo

Cargado por

Copyright:

Formatos disponibles

Politica y Organizacion de La Seguridad. Modulo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politica y Organizacion de La Seguridad. Modulo

Cargado por

Copyright:

Formatos disponibles

POLÍTICA Y ORGANIZACIÓN DE LA SEGURIDAD

UNIDAD I: SEGURIDAD INFORMATICA ................................................................................................................... 6

Politica y organización de la seguridad |2

Politica y organización de la seguridad |3

Politica y organización de la seguridad |4

Politica y organización de la seguridad |5

Politica y organización de la seguridad |6

✓ Concretas: su implementación es por medio de procedimientos, reglas y

Politica y organización de la seguridad |7

Politica y organización de la seguridad |8

Constituyen un bien intangible, y se define como un conjunto de programas y módu-

Sistemas operativos: denominado software base y constituye un activo muy impor-

Servidor de Servidor de Servidor de

Politica y organización de la seguridad |9

Escritorios Estabilizadores Modem

1.4.-Componentes de la Seguridad Informática

La seguridad informática, está formada por todos los mecanismos y procedimientos

La S.I. se basa en:

Politica y organización de la seguridad |10

✓ La confidencialidad o privacidad, que debe impedir que personas no auto-

1.5.- Las políticas de Seguridad

Politica y organización de la seguridad |11

La definición de políticas de seguridad tiene como resultado la creación de de re-

Las P.S. deben tener en cuenta:

Alcance TI Servicios Normas

Las PS deben ser confeccionadas utilizando un lenguaje sencillo, sin tecnicismos y

Politica y organización de la seguridad |12

Es necesario definir determinados parámetros para poder establecer las políticas de

✓ Estudiar los riesgos a nivel informático, teniendo en cuenta hardware, soft-

Lo más importante en un proceso de implementación de P.S. en una organización

1.7.- Actividades para diseñar un plan de P.S.

Diseñar un plan de políticas de seguridad requiere de un trabajo en equipo de todas

Para desarrollar un plan de P.S. es necesario:

Politica y organización de la seguridad |13

Describir los problemas ante perdida de informacion

Asumir el compromiso de las buenas practicas en materia de Seguridad

Establecer reuniones para aunar criterios de las politicas

Definicio de medidas de seguridad para el acceso a internet

Definicio de medidas de seguridad para el respaldo de informacion

Definicio de medidas de seguridad para los grpos de usuarios

Definicio de medidas de seguridad para los niveles de permisos

1.8.- Buenas prácticas para implementar P.S.

Conocer los riesgos informaticos

• Reuniones con los responsables para valorar el proceso.

Socializar las ventajas del proceso

• Determinar el aporte de cada responsable al proceso

Determinar las metricas para auditar los

Politica y organización de la seguridad |14

Las P.S.I. (políticas de seguridad informáticas) nacen como un mecanismo para

✓ Resguardo de la información, del dato, y su protección contra los accesos

El objetivo de las políticas de seguridad informática es proporcionar a todo el per-

1.10.- Ventajas/Desventajas de las P.S.

✓ Coste/riesgo: la implementación de los planes de políticas de seguridad

Politica y organización de la seguridad |15

Debe ser enviada para su evaluación

En base a las lecturas preliminares, investigue y responda las siguientes consignas.

1. ¿A que se denomina seguridad informática?

1) Actividad individual y de producción personal

Politica y organización de la seguridad |16