Sustentante:

Frederick Antonio De Los Santos Cabrea

Matricula:
2023-1605
Tecnólogo:
Seguridad Informática
Materia:
Introducción a la ciberseguridad
Docente:
Gerald Williams Silvania Javiel
Tema:
Tarea del capítulo 9
Fecha de Inicio:
Martes 22 de enero 2024
Fecha de entrega:
Viernes 05 de abril 2024
Políticas de seguridad
Funciones y objetivos de una política de seguridad

La política de seguridad define qué es lo que desea proteger y qué espera de los usuarios
del sistema. Proporciona una base para la planificación de la seguridad al diseñar nuevas
aplicaciones o ampliar la red actual.

Describe responsabilidades del usuario como las de proteger información confidencial y

crear contraseñas no triviales. La política de seguridad también debe describir cómo se
va a supervisar la efectividad de las medidas de seguridad. Esta supervisión le ayudará a
determinar si alguna persona podría intentar burlar sus defensas.

Los objetivos de seguridad:

Cuando cree y desarrolle una política de seguridad, deberá tener claros los objetivos. Los
objetivos de seguridad entran dentro de una o más de estas categorías:

• Autenticación: Es la seguridad o la verificación de que el recurso (persona o

máquina) situado en el otro extremo de la sesión es realmente el que dice ser.
• Autorización: La autorización es el proceso de determinar quién o qué puede
acceder a los recursos del sistema o ejecutar determinadas actividades en un
sistema.
• Integridad de los datos: La integridad de los datos los defiende contra riesgos de
seguridad como la manipulación, donde alguien intercepta y modifica la
información sin estar autorizado para ello.
• No repudio: Prueba de que se ha producido una transacción o de que se ha
enviado o recibido un mensaje. El uso de certificados digitales y de la criptografía
de claves públicas para firmar transacciones, mensajes y documentos es la base
del no repudio.
• Confidencialidad: Es la seguridad de que la información confidencial permanece
privada y no es visible para los escuchas intrusos. La confidencialidad es
fundamental para la seguridad total de los datos.
• Actividades de seguridad de auditoría: Consisten en supervisar los eventos
relacionados con la seguridad para proporcionar un archivo de anotaciones de los
accesos satisfactorios y de los no satisfactorios (denegados). Los registros de
accesos satisfactorios indican quién está haciendo cada tarea en los sistemas. Los
 registros de accesos no satisfactorios (denegados) indican que alguien está
intentando abrirse paso a través de las barreras de seguridad del sistema o que
alguien tiene dificultades para acceder al sistema.

Estándares de seguridad

Los estándares de seguridad son técnicas generalmente establecidas en materiales

publicados que intentan proteger el entorno cibernético de un usuario u organización. Este
entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos,
información en almacenamiento o tránsito, aplicaciones, servicios y sistemas que pueden
conectarse directa o indirectamente a las redes.

Los principales estándares de seguridad.

• ISO 15504: Propone un modelo para la evaluación de la capacidad en los procesos

de desarrollo de productos Software.
Tiene como objetivo proponer y desarrollar un estándar de evaluación de procesos
de software, también evaluar su desempeño mediante su experimentación en la
industria del desarrollo de SW y promover la transferencia de tecnología de la
evaluación de procesos de software a la industria del software a nivel mundial.
• ISO 22301: La norma ISO 22301 ha sido una conclusión de los esfuerzos del
ámbito empresarial internacional por obtener un estándar que ayude a gestionar la
continuidad de un negocio y/o actividades de una organización.
El objetivo de esta norma es mantener la continuidad de las actividades de una
organización, proteger sus intereses defendiendo los intereses de sus empleados y
partes interesadas, y mantener su reputación ante cualquier amenaza o
circunstancia adversa.
• ISO 27001: Aportan un Sistema de Gestión de la Seguridad de la Información
(SGSI), consistente en medidas orientadas a proteger la información,
indistintamente del formato de la misma, contra cualquier amenaza, de forma que
garanticemos en todo momento la continuidad de las actividades de la empresa.
Los Objetivos del SGSI son preservar la Confidencialidad, Integridad, y
Disponibilidad de la Información.
• ISO 27002: Establece el código de mejores prácticas para apoyar la implantación
del Sistema de Gestión de Seguridad de la Información (SGSI) en las
organizaciones. A través del suministro de una guía completa de implementación,
 esa norma describe cómo se pueden establecer los controles. Dichos controles, a
su vez, deben ser elegidos en base a una evaluación de riesgos de los activos más
importantes de la empresa.

El principal objetivo es establecer directrices y principios generales para iniciar,

implementar, mantener y mejorar la gestión de la seguridad de la información en una
organización. Esto también incluye la selección, implementación y administración de
controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa.

Esta norma se puede utilizar para apoyar la implantación del SGSI en cualquier tipo de
organización, pública o privada, de pequeño o gran porte, con o sin fines de lucro; y no
sólo en las empresas de tecnología.

• ISO 27005: La norma suministra las directrices para la gestión de riesgos de

seguridad de la información en una empresa, apoyando particularmente los
requisitos del sistema de gestión de seguridad de la información definidos en ISO
27001.

Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos
que puedan complicar la seguridad de la información de su organización. No recomienda
una metodología concreta, dependerá de una serie de factores, como el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.

La norma ISO 27005 también comprende el tratamiento de riesgos, la aceptación del

riesgo, la comunicación y consulta, el monitoreo y revisión. Además, la norma incorpora
algunos elementos iterativos, por ejemplo, si los resultados de la evaluación no son
satisfactorios.

Gracias a esta norma se pueden seguir unas pautas para gestionar riesgos en Tecnologías
de la Información, tales como aquellos originados por aplicaciones en condiciones
vulnerables, sistemas operativos sin actualizaciones o tecnologías obsoletas.

• ISO 27014: Es una norma de seguridad de la información, la cual facilita

orientación sobre los principios y conceptos para gobernar la seguridad de la
información. A través de esta, las organizaciones podrán dirigir, comunicar,
evaluar y controlar la seguridad de la información que está relacionada con las
 actividades de la organización. Su ámbito de aplicación es para todas las clases y
tamaños de organizaciones.

La ISO-27014 indica seis principios de gobiernos de la seguridad de información los

cuales son:

1. Establecer seguridad de la información en toda la empresa.

2. Seguir un enfoque basado en el riesgo.
3. Establecer la dirección de las decisiones de inversión.
4. Confirmar el cumplimiento de los requisitos externos e internos.
5. Promover un ambiente de seguridad positiva.
6. Evidenciar el rendimiento en relación con los resultados del negocio.

La ISO 27014 admite que existe influencia del factor humano en la seguridad a través del
apoyo a la prestación de la seguridad, formación, educación y sensibilización mediante el
Consejo de Administración. El Consejo de Administración es aquella persona que es
responsable tanto en la ejecución como en el cumplimiento de la organización.

• ISO 27017: Es relativa a la seguridad de los servicios en la nube, es un código de

conducta coherente con la norma ISO 27002. Sirve de complemento a esta norma
y establece buenas prácticas de seguridad en el marco de los servicios en la nube.
Para cada artículo, se especifican las posibles consideraciones relativas a estos
servicios en la nube.

La norma ISO 27017 proporciona una guía con 37 controles en la nube basados en
ISO 27002. Además, ofrece siete nuevos controles en la nube que tratan los siguientes
puntos:

1. Quién es el responsable de los que sucede entre el proveedor del servicio y el

cliente.
2. La eliminación de archivo cuando un contrato se resuelve.
3. Protección y separación del entorno virtual del cliente.
4. Configurar una máquina virtual.
5. Operaciones y procedimientos administrativos relacionados con el entorno en
la nube.
6. Seguimiento de la actividad de clientes en la nube.
 7. Alineación del entorno de la red virtual y en la nube.

La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los
proveedores de servicios en la nube mediante un modelo de análisis e intercambio común,
facilitando así su gestión. Las empresas que se ajustan a la norma ISO 27017 permiten
que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad.

• ISO 27018: Es un código de buenas prácticas en controles de protección de datos

para servicios de computación en la nube. La norma se complementa con la norma
ISO 27001 e ISO 27002 en el ámbito de gestión de la seguridad de la información
y que se dirige de forma específica a los proveedores de servicios de nube.

Al igual que la norma ISO 27017, esta norma también complementa las medidas de
seguridad establecidas por la norma ISO 27002, pero en el marco del tratamiento de
información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son
relevantes en el contexto de los servicios de software (SaaS) que procesan información
personal y tienen una aplicación limitada en el caso de nuestros servicios de
infraestructura.

El principal objetivo es crear un conjunto de normas, procedimientos y controles

mediante los que los proveedores de servicios en la nube que actúan como procesadores
de datos.

Así puede garantizar el cumplimiento de las obligaciones legales en materia de

tratamiento de ellos datos personales y al mismo tiempo proporciona a los consumidores
potenciales de servicios en la nube una herramienta comparativa útil para ejercer su
derecho de verificar y auditar los niveles de cumplimiento de las regulaciones
establecidas por el proveedor.

Entre las medidas innovadoras recogidas por la norma ISO 27018 podemos ver las
siguientes:

1. El proveedor tendrá que proporcionar las herramientas.

2. El proveedor debe velar por el cumplimiento del tratamiento de datos únicamente
a los descritos a los clientes en el momento.
3. El tema de la subcontración de forma particularmente incisiva, incluso antes de
empezar el servicio.
 • ISO 27032: Ofrece lineamientos generales de orientación para fortalecer el estado
de la ciberseguridad en una empresa, utilizando los puntos técnicos y estratégicos
más importantes para esa actividad y los que están relacionados con:
1. La Seguridad en la Redes.
2. Seguridad en Internet.
3. Seguridad de la información.
4. La Seguridad de las Aplicaciones.

La Norma ISO/IEC 27032 pretende garantizar la seguridad en los intercambios de

información en la red para lograr hacer frente de una manera más efectiva al cibercrimen
con más cooperación entre todos.

Con esta norma se ha creado un nuevo marco para mejorar la seguridad en internet y está
totalmente orientado a intentar garantizar un entorno seguro a través de directrices y guías
de seguridad.

• ISO 38500: Es la primera norma internacional que trata sobre el concepto de

Gobierno de TI en las organizaciones. Esta norma, denominada "Corporate
governance of information technology" (Gobierno corporativo de las tecnologías
de la información) fija los estándares para el buen gobierno de los procesos y
decisiones empresariales relacionadas con los sistemas y tecnologías de la
información.

Los objetivos principales de la norma se pueden concretar en asegurar que, si la norma es

seguida de manera adecuada, las partes implicadas pueden confiar en el gobierno
corporativo de TI, informar y orientar a los directores que controlan el uso de las TI en
sus organizaciones también proporcionar una base para la evaluación objetiva por parte
de la alta dirección en el gobierno de las TI.

La norma ISO 38500 establece los principios y el modelo básico para el Gobierno de TI
en las organizaciones. Los principios incluyen responsabilidad, estrategia, adquisición,
rendimiento, conformidad y factor humano. La norma también define tres tareas
fundamentales para la alta dirección: evaluar, dirigir y monitorear. Además, establece una
guía general de las prácticas requeridas para implementar los principios, relacionándolos
con las tareas fundamentales de la alta dirección.

Los 5 certificados de la industria más importante en ciberseguridad.

 1. CISM (Certified information Security Manager): Es una certificación en
ciberseguridad dirigida a perfiles que buscan puestos de dirección de mayor nivel.
Se centra en la seguridad de la información, la garantía y la gestión de riesgos, así
como en principios de administración de seguridad.

La demanda de profesionales certificados en CISM está en aumento, ya que las empresas

buscan retener gerentes de seguridad de la información capacitados.

2. CEH (Certified Ethical Hacker): Es una certificación en ciberseguridad que se

enfoca en el hacking ético avanzado, realizando pruebas de penetración para
evaluar la seguridad de una empresa y buscar posibles riesgos en su infraestructura
de redes informáticas. Se recomienda que los candidatos tengan al menos dos años
de experiencia en seguridad de la información. Esta certificación es muy útil en
roles de seguridad, ya que proporciona una introducción al hacking ético y a las
pruebas de penetración, permitiendo identificar vulnerabilidades y fallos de forma
legal. Es una de las certificaciones más prestigiosas a nivel internacional en el
hacking ético y la auditoría de sistemas informáticos, y es muy demandada por
empresas que buscan realizar auditorías de sistemas informáticos.
3. CRISC (Certified in Risk and Information Security Control): Es una
certificación en ciberseguridad que acredita la capacidad para identificar y evaluar
los riesgos de TI de una organización, además de ayudar a alcanzar los objetivos
comerciales. Para obtener esta certificación, se requiere contar con al menos tres
años de experiencia en la gestión de riesgos de TI y al menos dos en áreas
específicas, como la identificación de riesgos de TI, evaluación de riesgos de TI,
mitigación y respuesta al riesgo, así como informes y monitoreo de controles y
riesgos.
4. CISSP (Certified Information Systems Security Professional): Es una
certificación de seguridad informática de élite que demuestra la madurez de los
profesionales con una base sólida en ciberseguridad. Reconocida a nivel mundial,
esta certificación se centra en el diseño, implementación y gestión de sistemas de
seguridad de la información. Requiere al menos cinco años de experiencia laboral
en un campo relacionado con CISSP y conocimientos en al menos dos de los ocho
dominios del material de estudio. Obtener esta certificación puede abrir puertas a
puestos superiores para profesionales con niveles de experiencia similares, pero
que carecen de la certificación.
 5. CCSP (Certified Cloud Security Professional): Es una certificación de
seguridad informática centrada en la seguridad en la nube. Los profesionales de
ciberseguridad buscan esta certificación para demostrar su conocimiento en
seguridad en la nube y consideraciones de seguridad relacionadas con este entorno
en constante evolución en el mundo empresarial de TI.

Conclusión

Las políticas de seguridad son fundamentales para mantener un entorno seguro y

confiable para las operaciones comerciales, también son de mucha importancia los
estándares de seguridad ya que, nos proporcionan pautas y mejores prácticas
reconocidas a nivel internacional para la implementación de medidas de seguridad
efectivas, además fomenta la confianza entre las organizaciones al establecer un
lenguaje común y un conjunto de expectativas compartidas en cuando a la seguridad de
la información.

Para concluir las certificaciones de ciberseguridad son de gran importancia porque

demuestran las habilidades y conocimientos específicos de un profesional en el ámbito
de la ciberseguridad.