Manual Aplicacion de La Seguridad Jnformatica

Colegio Nacional de Educacin Profesional Tcnica
ORGANISMO PBLICO DESCENTRALIZADO DEL GOBIERNO FEDERAL

ConalepMich Plantel Zamora
Aplicacin de la seguridad
informtica
Manual del participante

Recopilacin realizada en agosto 2014
Por Juan Manuel Campos Navarro

PRESENTACIN
El mdulo de Aplicacin de la seguridad informtica, se imparte en el tercer semestre y
corresponde al ncleo de formacin profesional, de la carrera de Profesional Tcnico-Bachiller en
Informtica. Tiene como finalidad, que el alumno conozca y aplique los procedimientos y
estndares de seguridad en equipos de cmputo y en las redes de comunicacin, que acorde a los
requerimientos de uso, conserven la integridad de la informacin generada, procesada y
almacenada.
Para ello, el mdulo est conformado por dos unidades de aprendizaje. La primera unidad aborda
la aplicacin de estndares de proteccin de informacin; la segunda unidad desarrolla la
administracin de herramientas y mtodos de seguridad informtica y en la tercera unidad se
establecen las acciones de monitoreo y control de parmetros de proteccin.
La contribucin del mdulo al perfil de egreso de la carrera incluye el desarrollo de competencias
para proteger la informacin almacenada en equipos de cmputo y de comunicacin, a fin de evitar
prdidas de datos ataques de virus y acceso a usuarios no autorizados, en un marco de actuacin
profesional tica y responsable.
PROPSITO DEL MDULO
Ofrecer servicios de seguridad informtica apegados a procedimientos, estndares en equipos de
cmputo y necesidades del cliente, a travs de la aplicacin, administracin y control de
herramientas de proteccin, garantizando integridad, disponibilidad y confidencialidad en la
informacin almacenada en sistemas informticos.
MAPA DEL MDULO
Juan Manuel Campos Navarro
jm.conalep@gmail.com

CONCEPTO DE SEGURIDAD
La seguridad es la ausencia de riesgo o tambin a la confianza en algo o alguien. Sin embargo, el
trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia. La
seguridad es un estado de nimo, una sensacin, una cualidad intangible. Se puede entender
como un objetivo y un fin que el hombre anhela constantemente como una necesidad primaria.
CONCEPTO DE INFORMACINEn sentido general, la informacin es un conjunto organizado de
datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o
sistema que recibe dicho mensaje. Los datos sensoriales una vez percibidos y procesados
constituyen una informacin que cambia el estado de conocimiento, eso permite a los individuos o
sistemas que poseen dicho estado nuevo de conocimiento tomar decisiones pertinentes acordes a
dicho conocimiento. Desde el punto de vista de la ciencia de la computacin, la informacin es un
conocimiento explcito extrado por seres vivos o sistemas expertos como resultado de interaccin
con el entorno o percepciones sensibles del mismo entorno. En principio la informacin, a
diferencia de los datos o las percepciones sensibles, tienen estructura til que modificar las
sucesivas interacciones del ente que posee dicha informacin con su entorno.
CONCEPTO DE INFORMTICA
La Informtica es la ciencia aplicada que abarca el estudio y aplicacin del tratamiento automtico
de la informacin, utilizando sistemas computacionales, generalmente implementados como
dispositivos electrnicos. Tambin est definida como el procesamiento automtico de la
informacin.
CONCEPTO DE SEGURIDAD DE INFORMATICA
La seguridad informtica es el rea de la informtica que se enfoca en la proteccin de la
infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida).
Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes
concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad
informtica comprende software, bases de datos, metadatos, archivos y todo lo que la
organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este
tipo de informacin se conoce como informacin privilegiada o confidencial.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo
encontrar informacin en diferentes medios o formas.
CONCEPTO DE PRINCIPIOS DE LA SEGURIDAD INFORMATICA
Confidencialidad
La confidencialidad se entiende en el mbito de la seguridad informtica, como la proteccin de
datos y de informacin intercambiada entre un emisor y uno o ms destinatarios frente a terceros.
Esto debe hacerse independientemente de la seguridad del sistema de comunicacin utilizado: de
hecho, un asunto de gran inters es el problema de garantizar la confidencialidad de la
comunicacin utilizada cuando el sistema es inherentemente insegura (como Internet).
En un sistema que garantice la confidencialidad, un tercero que entra en posesin de la
informacin intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier
contenido inteligible.
Para garantizarla se utilizan mecanismos de cifrado y de ocultacin de la comunicacin.
Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves
asimtricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario
para descifrar el mensaje. Por esta razn, es necesario determinar durante cunto tiempo el

mensaje debe seguir siendo confidencial. No existe ningn mecanismo de seguridad
absolutamente seguro.
Integridad
En informtica, la integridad de datos puede referirse a:
Integridad de datos en general: hace referencia a que todas las caractersticas de los datos
(reglas, definiciones, fechas, etc) deben ser correctos para que los datos estn completos.
Integridad de datos en bases de datos: Integridad de datos se refiere al estado de
correccin y completitud de los datos ingresados en una base de datos.
Los SGBD relacional deben encargarse de mantener la integridad de los datos almacenados en
una base de datos con respecto a las reglas predefinidas o restricciones. La integridad tambin
puede verificarse inmediatamente antes del momento de introducir los datos a la base de datos
(por ejemplo, en un formulario empleando validacin de datos). Un claro ejemplo de error de
integridad es el ingreso de un tipo de dato incorrecto dentro de un campo. Por ejemplo, ingresar un
texto cuando se espera un nmero entero. Tambin una error en la integridad en una base de
datos puede ser la existencia de un valor numrico (id cliente) en la compra de un producto por
parte de un cliente que no existe en su correspondiente tabla con ese nmero. (integridad
referencial).
Disponibilidad
Garantizar que los usuarios autorizados tengan acceso en todo momento a la informacin cuando
sea requerido.
CONCEPTO DE RIESGO
Los riesgos informticos se refieren a la incertidumbre existente por la realizacin de un suceso
relacionado con la amenaza de dao respecto a los bienes o servicios informticos. Cuanto mayor
es la vulnerabilidad mayor es el riesgo (e inversamente), pero cuanto ms factible es el perjuicio o
dao mayor es el peligro (e inversamente). Por tanto, el riesgo se refiere slo a la terica
"posibilidad de dao" bajo determinadas circunstancias, mientras que el peligro se refiere slo a la
terica "probabilidad de dao" bajo determinadas circunstancias.
TIPOS DE RIESGOS
El Riesgo, que es el producto de la multiplicacin Probabilidad de Amenaza por Magnitud de Dao,
est agrupado en tres rangos: bajo, medio y alto.
1. Riesgo de integridad:
Este tipo abarca todos los riesgos asociados con la autorizacin, completitud y exactitud de la
entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin. Estos
riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y estn
presentes en mltiples lugares, y en mltiples momentos en todas las partes de las aplicaciones;
no obstante estos riesgos se manifiestan en los siguientes componentes de un sistema:
Interface del usuario: Los riesgos en esta rea generalmente se relacionan con las restricciones,
sobre las individualidades de una organizacin y su autorizacin de ejecutar funciones
negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una razonable segregacin de
obligaciones. Otros riesgos en esta rea se relacionan a controles que aseguren la validez y
completitud de la informacin introducida dentro de un sistema.
Procesamiento: Los riesgos en esta rea generalmente se relacionan con el adecuado
balance de los controles defectivos y preventivos que aseguran que el procesamiento de la
informacin ha sido completado. Esta rea de riesgos tambin abarca los riesgos
asociados con la exactitud e integridad de los reportes usados para resumir resultados y
tomar decisiones de negocio.
Procesamiento de errores: Los riesgos en esta rea generalmente se relacionan con los
mtodos que aseguren que cualquier entrada/proceso de informacin de errores
(Excepciones) sean capturados adecuadamente, corregidos y reprocesados con exactitud
completamente.
Administracin de cambios: Estos riesgos estn asociados con la administracin
inadecuadas de procesos de cambios de organizaciones que incluyen: Compromisos y
entrenamiento de los usuarios a los cambios de los procesos, y la forma de comunicarlos e
implementarlos.
Informacin: Estos riesgos estn asociados con la administracin inadecuada de controles,
incluyendo la integridad de la seguridad de la informacin procesada y la administracin
efectiva de los sistemas de bases de datos y de estructuras de datos.
2. Riesgos de relacin:
Los riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin.
Estos riesgos se relacionan directamente a la informacin de toma de decisiones (Informacin y
datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar
decisiones correctas).
3 Riesgos de acceso:
Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin. Estos riesgos
abarcan: Los riesgos de segregacin inapropiada de trabajo, los riesgos asociados con la
integridad de la informacin de sistemas de bases de datos y los riesgos asociados a la
confidencialidad de la informacin. Los riesgos de acceso pueden ocurrir en los siguientes niveles
de la estructura de la seguridad de la informacin:
Administracin de la informacin: El mecanismo provee a los usuarios acceso a la
informacin especfica del entorno.
Entorno de procesamiento: Estos riesgos en esta rea estn manejados por el acceso
inapropiado al entorno de programas e informacin.
Redes: En esta rea se refiere al acceso inapropiado al entorno de red y su procesamiento.
Nivel fsico: Proteccin fsica de dispositivos y un apropiado acceso a ellos.
4. Riesgo de utilidad:
Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los riesgos pueden ser
enfrentados por el direccionamiento de sistemas antes de que los problemas ocurran. *Tcnicas
de recuperacin/restauracin usadas para minimizar la ruptura de los sistemas. *Backups y planes
de contingencia controlan desastres en el procesamiento de la informacin.
5. Riesgos de infraestructura:
Estos riesgos se refieren a que en las organizaciones no existe una estructura informacin
tecnolgica efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos
riesgos estn asociados con los procesos de la informacin tecnolgica que definen, desarrollan,
mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas
(servicio al cliente, pago de cuentas, etc.
6. Riesgos de seguridad general:

Los estndares IEC 950 proporcionan los requisitos de diseo para lograr una seguridad general y
que disminuyen el riesgo:
Riesgos de choque de elctrico: Niveles altos de voltaje.
Riesgos de incendio: Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energa elctrica.
Riesgos de radiaciones: Ondas de ruido, de lser y ultrasnicas.
Riesgos mecnicos: Inestabilidad de las piezas elctricas.
MATRIZ DE RIESGO
1 = Insignificante (Ninguna o muy bajo)
2 = Baja
3 = Mediana
4 = Alta
Tipo de Riesgo
Robo de hardware
Robo de informacin
Vandalismo
Fallasen los equipos
Virus Informticos
Equivocaciones
Accesos no autorizados
Fraude
Fuego
Terremotos
Factor
Alto
Alto
Medio
Medio
Medio
Medio
Medio
Bajo
Muy Bajo
Muy Bajo
CONCEPTO DE VULNERABILIDAD
En seguridad informtica, la palabra vulnerabilidad hace referencia a una debilidad en un sistema
permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y
consistencia del sistema o de sus datos y aplicaciones.
RIESGOS LGICOS

Son aquellos daos que el equipo puede sufrir en su estado lgico, perjudicando directamente a su
software.
Cdigos maliciosos
En seguridad informtica, cdigo malicioso es un trmino que hace referencia a cualquier conjunto
de cdigos, especialmente sentencias de programacin, que tiene un fin malicioso. Esta definicin
incluye tanto programas malignos compilados, como macros y cdigos que se ejecutan
directamente, como los que suelen emplearse en las pginas web (scripts).Los cdigos maliciosos
pueden tener mltiples objetivos como: Extenderse por la computadora, otras computadoras en
una red o por internet.
Robar informacin y claves.
Eliminar archivos e incluso formatear el disco duro.
Mostrar publicidad invasiva. Mnimos cambios en un cdigo malicioso, pueden hacer que ya
no sea reconocido como malicioso por un programa antivirus; es por esta razn que existen
tantas variantes de los virus, los gusanos y otros malwares. Adems, los antivirus todava
no tienen la suficiente "inteligencia" como para detectar cdigos maliciosos nuevos.
Spam
Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de
remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso
masivas) que perjudican de alguna o varias maneras al receptor. La accin de enviar dichos
mensajes se denomina spamming. La palabra Spam proviene de la segunda guerra mundial,
cuando los familiares de los soldados en guerra les enviaban comida enlatada. Entre estas
comidas enlatadas estaba Spam una carne enlatada, que en los Estados Unidos era y es muy
comn.
Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en general es la basada
en el correo electrnico. Otras tecnologas de Internet que han sido objeto de correo basura
incluyen grupos de noticias, usenet, motores de bsqueda, redes sociales, wikis, foros, blogs,
tambin a travs de ventanas emergentes y todo tipo de imgenes y textos en la web.
El correo basura tambin puede tener como objetivo los telfonos mviles (a travs de mensajes
de texto) y los sistemas de mensajera instantnea como por ejemplo Outlook, Lotus Notes, etc.
Tambin se llama correo no deseado a los virus sueltos en la red y pginas filtradas (casino,
sorteos, premios, viajes, drogas, software y pornografa), se activa mediante el ingreso a pginas
de comunidades o grupos o acceder a enlaces en diversas pginas.
Piratera
Trmino utilizado para referirse a la copia ilegal de obras literarias, musicales, audiovisuales o de
software, infringiendo los derechos de autor.
Fuga de informacin
Incidente que pone en poder de una persona ajena a la organizacin, informacin confidencial y
que slo debera estar disponible para integrantes de la misma. La fuga de informacin ocurre
cuando un sistema diseado para realizar tareas que no deben ser observadas por un atacante
revela parte de esa informacin debido a errores en los procedimientos de trabajo. Por ejemplo, al
disearse una red de mensajera instantnea cifrada un experto en telecomunicaciones puede
saber en qu momento se emiten los mensajes. Si en el proceso de generacin de nmeros seudo
aleatorios se utiliz la hora como semilla se podra deducir la clave secreta estimando el tiempo
que tarda la mensajera instantnea en cifrar el mensaje antes de transmitirla.
Ingeniera social

En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin
confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar
ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales,
para obtener informacin, acceso o privilegios en sistemas de informacin que les permitan
realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o
abusos.
El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el
eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para
engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra
empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la web se usa,
adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o
memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as a revelar
informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas
situaciones, por ejemplo proporcionando detalles financieros a un aparente funcionario de un
banco en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos.
Intrusos informticos
Los intrusos informticos, son archivos cuyo propsito es invadir la privacidad de tu computadora,
posiblemente dejando daos y alterando el software del equipo. Entre ellos estn: los spyware, etc.
RIESGOS FSICOS
Son aquellos riesgos que el equipo puede sufrir un dao en su estado fsico, o que perjudica
inmediatamente al hardware. Se clasifican en:
1. Controles de acceso.
Palabras Claves (Passwords)
Generalmente se utilizan para realizar la autenticacin del usuario y sirven para proteger los datos
y aplicaciones. Los controles implementados a travs de la utilizacin de palabras clave resultan
de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias
palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y
probablemente las escriba o elija palabras fcilmente deducibles, con lo que se ve disminuida la
utilidad de esta tcnica.
Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instancia cada uno
de ellos se romper por este eslabn: la eleccin de passwords dbiles.
Es mi deseo que despus de la lectura del presente quede la idea til de usar passwords seguras
ya que aqu radican entre el 90% y 99% de los problemas de seguridad planteados.
Sincronizacin de passwords: consiste en permitir que un usuario acceda con la misma
password a diferentes sistemas interrelacionados y, su actualizacin automtica en todos
ellos en caso de ser modificada. Podra pensarse que esta es una caracterstica negativa
para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se
podra tener acceso a los mltiples sistemas a los que tiene acceso dicho usuario. Sin
embargo, estudios hechos muestran que las personas normalmente suelen manejar una
sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir
diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un
riesgo an mayor. Para implementar la sincronizacin de passwords entre sistemas es
necesario que todos ellos tengan un alto nivel de seguridad.
Caducidad y control: este mecanismo controla cundo pueden y/o deben cambiar sus
passwords los usuarios. Se define el perodo mnimo que debe pasar para que los usuarios

puedan cambiar sus passwords, y un perodo mximo que puede transcurrir para que stas
caduquen.
Encriptacin
La informacin encriptada solamente puede ser desencriptada por quienes posean la clave
apropiada. La encriptacin puede proveer de una potente medida de control de acceso. Este tema
ser abordado con profundidad en el Captulo sobre Proteccin del presente.
Listas de Control de Accesos
Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el
permiso de acceso a un determinado recurso del sistema, as como la modalidad de acceso
permitido. Este tipo de listas varan considerablemente en su capacidad y flexibilidad.
Lmites sobre la Interfase de Usuario
Esto lmites, generalmente, son utilizados en conjunto con las listas de control de accesos y
restringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens,
vistas sobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los cajeros
automticos donde el usuario slo puede ejecutar ciertas funciones presionando teclas
especficas.
Etiquetas de Seguridad
Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden
utilizarse para varios propsitos como control de accesos, especificacin de medidas de
proteccin, etc. Estas etiquetas no son modificables.
2. Proteccin contra falla elctrica
Los picos y ruidos, alto y bajo voltaje, como apagones, van daando poco a poco los componentes
elctricos de los aparatos. Recordemos que la mayora de estos equipos no cubren garanta por
falla elctrica. Actualmente los Centros de Datos tienen la conciencia de que deben proteger todos
sus equipos contra incendios y fallas elctricas por toda la informacin que manejan. Las
soluciones de respaldo de energa (UPS) proveen proteccin, seguridad y respaldo en fallas
elctricas para que los equipos protegidos funcionen eficientemente, por ello buscamos capacitar a
quien lo solicite para asegurar que la cultura del respaldo y proteccin de energa llegue a
cualquier sitio donde se guarde informacin o se cuide la seguridad de las personas.
Necesariamente deben contar con un UPS de calidad, que proteja y respalde toda la informacin
acumulada en caso de falla del suministro elctrico. Porque sin energa, simplemente la solucin
de seguridad se viene abajo y deja de funcionar. La importancia de llevar a la oficina, a la
empresa, al hogar una energa limpia y apropiada para los equipos que se utilizan, adems de
ofrecer soluciones que den respaldo a los equipos durante apagones.
3. Proteccin contra desastres naturales
Desastres naturales
Terremoto: Tcnicamente el terremoto es un estado vibratorio o inestabilidad de la corteza
terrestre, que se presenta sbita y violentamente, produciendo desplazamientos en el
suelo, que pueden ser horizontales o verticales. Esto trae como consecuencia las continuas
transfomaciones y cambios de la superficie de la tierra. Su origen es diverso, ya que puede
ser por la ruptura de la corteza terrestre, por el movimiento de las placas tectnicas o por
influencia de un volcn.
Huracn: Los huracanes son tormentas organizadas alrededor de un punto central

conocido como ojo. Los vientos alcanzan velocidades por encima de los 119 kph., y los
mismos circulan alrededor del ojo. El dimetro del huracn vara entre 80 y 150 Kms. Los
huracanes se desarrollan en los mares tropicales; en el Ocano Atlntico se mueven de
Este a Oeste. El ojo del huracn, que viene siendo el centro de la tormenta, se caracteriza
por tener cielos despejados, vientos ligeros y es donde se registra la presin ms baja del
sistema
Inundaciones: Se define como la invasin de agua por exceso de escurrimientos
superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea
natural o artificial. Esta es una de las causas de mayores desastres en centros de
cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de
una inundacin provocada por la necesidad de apagar un incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas
para contener el agua que bajase por las escaleras.
4. Administracin del software de la organizacin.

Dentro de muchas empresas el rea de informtica y sistemas se encuentra apenas en etapa de
desarrollo, pero en la actualidad esto ha ido cambiando y se pueden encontrar una gran cantidad
de empresas en donde este departamento ya forma parte del rea administrativa y estratgica de
la empresa.
El software comercial resulta indispensable para cualquier organizacin, ya sea grande o pequea.
Gracias al software, su empresa se vuelve ms eciente, sus trabajadores ms productivos, y
usted puede aprovechar todos los benecios que ofrece el comercio electrnico. Pero para poder
sacar el mayor provecho de su software, usted debe administrarlo correctamente, tal y como lo
hara con cualquier otro activo de valor de su empresa. La administracin deciente de los
programas de software priva a su empresa del valor total de la productividad y la ecacia del
software. Adems, puede ocultar fcilmente la piratera de dichos programas, que consiste en la
instalacin o empleo de copias no autorizadas de software. La piratera de software es ilegal y
puede tener consecuencias muy costosas para su empresa.
ITIL
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin
(ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos.
Iniciado como una gua para el gobierno del Reino unido, la estructura base ha demostrado ser til
para las organizaciones en todos los sectores a travs de su adopcin por innumerables
compaas como base para consulta, educacin y soporte de herramientas de software. Hoy, ITIL
es conocido y utilizado mundialmente. Pertenece a la OGC (Open Geospatial Consortium), pero
es de libre utilizacin. ITIL fue desarrollada al reconocer que las organizaciones dependen cada
vez ms de la Informtica para alcanzar sus objetivos corporativos. Esta dependencia en aumento
ha dado como resultado una necesidad creciente de servicios informticos de calidad que se
correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del
cliente. A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones a la
gestin de servicios. La aplicacin (a veces nombrada como un sistema de informacin) slo
contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en
caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y
operaciones.
A lo largo de todo el ciclo de los productos, la fase de operaciones alcanza cerca del 70-80% del
total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin). De

esta manera, los procesos eficaces y eficientes de la Gestin de Servicios se convierten en
esenciales para el xito de los departamentos de Tecnologa e informacin. Esto se aplica a
cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios centralizados o
descentralizados, con servicios Tecnolgicos de informacin internos o suministrados por terceros.
En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de costo aceptable.
COBIT
Es una metodologa aceptada mundialmente para el adecuado control de proyectos de tecnologa,
los flujos de informacin y los riesgos que stas implican. La metodologa COBIT se utiliza para
planear, implementar controlar y evaluar el gobierno sobre tecnologas de la informacin y la
comunicacin; incorporando objetivos de control, directivas de auditora, medidas de rendimiento y
resultados, factores crticos de xito y modelos de madurez. Permite a las empresas aumentar su
valor tecnologas de la informacin y la comunicacin y reducir los riesgos asociados a proyectos
tecnolgicos. Ello a partir de parmetros generalmente aplicables y aceptados, para mejorar las
prcticas de planeacin, control y seguridad de las Tecnologas de Informacin. COBIT contribuye
a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos,
necesidades del control y aspectos tcnicos propios de un proyecto TIC proporcionado un Marco
Referencial Lgico para su direccin efectiva.
ISM3
Pretende alcanzar un nivel de seguridad definido, tambin conocido como riesgo aceptable, en
lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la informacin el
garantizar la consecucin de objetivos de negocio. La visin tradicional de que la seguridad de la
informacin trata de la prevencin de ataques es incompleta. ISM3 relaciona directamente los
objetivos de negocio (como entregar productos a tiempo) de una organizacin con los objetivos de
seguridad (como dar acceso a las bases de datos slo a los usuarios autorizados). Algunas
caractersticas significativas de ISM3 son:
Mtricas de Seguridad de la Informacin - "Lo que no se puede medir, no se puede
gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la
seguridad un proceso medible mediante mtricas de gestin de procesos, siendo
probablemente el primer estndar que lo hace. Esto permite la mejora continua del
proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de
gestin de seguridad de la informacin.
Niveles de Madurez ISM3 se adapta tanto a organizaciones maduras como a
emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos
de seguridad de la organizacin y a los recursos que estn disponibles.
Basado el Procesos - ISM3 v1.20 est basado en procesos, lo que lo hace especialmente
atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como
modelo de gestin de TIC. El uso de ISM3 fomenta la colaboracin entre proveedores y
usuarios de seguridad de la informacin, dado que la externalizacin de procesos de
seguridad se simplifica gracias a mecanismos explcitos, como los ANS y la distribucin de
responsabilidades.
Adopcin de las Mejores Prcticas Una implementacin de ISM3 tiene ventajas como
las extensas referencias a estndares bien conocidos en cada proceso, as como la
distribucin explcita de responsabilidades entre los lderes, gestores y el personal tcnico
usando el concepto de gestin Estratgica, Tctica y Operativa.
Certificacin Los sistemas de gestin basados en ISM3 pueden certificarse bajo
ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un
10
SGSI basado en ISO 27001. Esto tambin puede ser atractivo para organizaciones que ya
estn certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible Una de las principales ventajas de ISM es que los Accionistas y Directores
pueden ver con mayor facilidad la Seguridad de la Informacin como una inversin y no
como una molestia, dado que es mucho ms sencillo medir su rentabilidad y comprender
su utilidad.
Estandares BS 7799 (Reino Unido)

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin inglesa equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad
de su informacin.
El estndar britnico BS 7799 es un estndar aceptado ampliamente que ha sido utilizado como
base para elaborar otros estndares de seguridad de la informacin incluyendo el ISO 17799
La versin actual de estndar tiene dos partes:
BS7799-1:1999 Information Security Management. Code of Practice for Information
Security Management. Es la gua de buenas prcticas, para la que no se establece un
modelo de certificacin.
BS7799-2:1999 Information Security Management. Specification for Information Security
Management Systems. Establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Estandares ISO 17799
El estndar de seguridad de la informacin ISO 17799, es descendiente del BS 7799 Information
Security Management Standard de la BSI (British Standard Institute) que public su primera
versin en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos
partes:
Parte 1. Cdigo de prcticas.
Parte 2. Especificaciones del sistema de administracin de seguridad de la informacin.
Por la necesidad generalizada de contar con un estndar de carcter internacional que permitiera
reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se
elabor el estndar ISO17799:2000, basado principalmente en la primera parte del BS 7799
conocida como Cdigo de Prcticas (BS 7799 Part 1: Code of Practice).
El ISO 17799, al definirse como una gua en la implementacin del sistema de administracin de la
seguridad de la informacin, se orienta a preservar los siguientes principios de la seguridad
informtica:
Confidencialidad. Asegurar que nicamente personal autorizado tenga acceso a la
informacin.
Integridad. Garantizar que la informacin no ser alterada, eliminada o destruida por
entidades no autorizadas.
11
Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin

cuando la requieran.
Estos principios en la proteccin de los activos de informacin constituyen las normas bsicas
deseables en cualquier organizacin, sean instituciones de gobierno, educativas e investigacin;
no obstante, dependiendo de la naturaleza y metas de las organizaciones, stas mostrarn
especial nfasis en algn dominio o rea del estndar ISO 17799.
Los controles del ISO 17799
El xito de la implementacin del estndar de seguridad ISO 17799 requiere de una serie de
procedimientos donde, inicialmente, el anlisis de riesgos identificar los activos de la informacin
y las amenazas a las cuales se encuentra expuesta.
El anlisis de riesgos guiar en la correcta seleccin de los controles que apliquen a la
organizacin; este proceso se conoce en la jerga del estndar como Statement of Applicability, que
es la definicin de los controles que aplican a la organizacin con objeto de proporcionar niveles
prcticos de seguridad de la informacin y medir el cumplimiento de los mismos.
A continuacin, se describirn cada una de las diez reas de seguridad con el objeto de esclarecer
los objetivos de estos controles.
1. Polticas de seguridad. El estndar define como obligatorias las polticas de seguridad
documentadas y procedimientos internos de la organizacin que permitan su actualizacin y
revisin por parte de un Comit de Seguridad.
2. Seguridad organizacional. Establece el marco formal de seguridad que debe integrar una
organizacin, tales como un foro de administracin de la seguridad de la informacin, un contacto
oficial de seguridad (Information System Security Officer ISSO), revisiones externas a la
infraestructura de seguridad y controles a los servicios de outsourcing, entre otros aspectos.
3. Clasificacin y control de activos. El anlisis de riesgos generar el inventario de activos que
deber ser administrado y controlado con base en ciertos criterios de clasificacin y etiquetado de
informacin, es decir, los activos sern etiquetados de acuerdo con su nivel de confidencialidad.
4. Seguridad del personal. Proporcionar controles a las acciones del personal que opera con los
activos de informacin.
El objetivo de esta rea del estndar es contar con los elementos necesarios para mitigar el riesgo
inherente a la interaccin humana, es decir, establecer claras responsabilidades por parte del
personal en materia de seguridad de la informacin.
5. Seguridad fsica y de entorno. Identificar los permetros de seguridad, de forma que se
puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los
accesos a las distintas reas con base en el tipo de seguridad establecida.
6. Comunicaciones y administracin de operaciones. Integrar los procedimientos de operacin
de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el
control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de
aceptacin de sistemas, hasta el control de cdigo malicioso.
7. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los activos
de informacin, que incluyen los procedimientos de administracin de usuarios, definicin de
responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
12

8. Desarrollo de sistemas y mantenimiento. La organizacin debe disponer de procedimientos
que garanticen la calidad y seguridad de los sistemas desarrollados para tareas especficas de la
organizacin.
9. Continuidad de las operaciones de la organizacin. El sistema de administracin de la
seguridad debe integrar los procedimientos de recuperacin en caso de contingencias, los cuales
debern ser revisados de manera constante y puestos a prueba con la finalidad de determinar las
limitaciones de los mismos.
10. Requerimientos legales. La organizacin establecer los requerimientos de seguridad que
deben cumplir todos sus proveedores, socios y usuarios; stos se encontrarn formalizados en los
contratos o convenios.
Cada una de las reas establece una serie de controles que sern seleccionados dependiendo de
los resultados obtenidos en el anlisis de riesgos, adems, existen controles obligatorios para toda
organizacin, como es el de las polticas de seguridad cuyo nmero depender ms de la
organizacin que del estndar, el cual no establece este nivel de detalle.
Estandares ISO 27000
ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo- por ISO
(International Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier
tipo de organizacin, pblica o privada, grande o pequea.
El ISO-27000 se basa en la segunda parte del estndar britnico BS7799 (BS7799:2). Est
compuesta a grandes rasgos por:
ISMS(Information Security Management System).
Valoracin de Riesgo.
Controles.
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares.
ISO 27000: En fase de desarrollo. Contendr trminos y definiciones que se emplean en
toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.
Esta norma ser gratuita, a diferencia de las dems de la serie, que tendrn un coste.
ISO 27001: Es la norma principal de requisitos del sistema de gestin de seguridad de la
informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se
certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de
Octubre de 2005 y sustituye a la BS 7799-2, habindose establecido unas condiciones de
transicin para aquellas empresas certificadas en esta ltima.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla
la ISO 27002:2005 (nueva numeracin de ISO 17799:2005 desde el 1 de Julio de 2007), para que
sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser
obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin
deber argumentar slidamente la no aplicabilidad de los controles no implementados.
ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007.

Es una gua de buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
13
ISO 27003: En fase de desarrollo; probable publicacin a finales de 2008. Contendr una
gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS77992 y en la serie de documentos publicados por BSI a lo largo de los aos con
recomendaciones y guas de implantacin.
ISO 27004: En fase de desarrollo; probable publicacin a lo largo de 2008. Especificar las
mtricas y las tcnicas de medida aplicables para determinar la eficacia de un SGSI y de
los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de
los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
ISO 27005: En fase de desarrollo; probable publicacin a finales de 2007 principios de
2008. Consistir en una gua para la gestin del riesgo de la seguridad de la informacin y
servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar en la
BS7799-3 (publicada en Marzo de 2006) e ISO 13335-3.
ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de gestin de seguridad de la
informacin.
ESQUEMAS DE SEGURIDAD INFORMTICA

Polticas de Seguridad
Las polticas de seguridad informtica (PSI) surgen como una herramienta organizacional para
concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad
de la informacin y servicios crticos que permiten a la compaa desarrollarse y mantenerse en su
sector de negocios.
De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad requiere un alto
compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las
organizaciones modernas.
La poltica de seguridad es un conjunto de leyes, reglas y prcticas que regulan la manera de
dirigir, proteger y distribuir recursos en una organizacin para llevar a cabo los objetivos de
seguridad informtica dentro de la misma.
Las polticas de seguridad definen lo que est permitido y lo que est prohibido, permiten definir
los procedimientos y herramientas necesarias, expresan el consenso de los dueos y permiten
adoptar una buena actitud dentro de la organizacin.
La OCDE considera que los elementos de las polticas son:
1) Concienciacin: Los participantes debern ser conscientes de la necesidad de contar con
sistemas y redes de informacin seguros, y tener conocimiento de los medios para ampliar la
seguridad.
El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, es el primer paso
en la defensa de la seguridad de los sistemas y redes de informacin. Estos sistemas y redes de
informacin pueden verse afectados tanto por riesgos internos como externos. Los participantes
deben comprender que los fallos en la seguridad pueden daar significativamente los sistemas y
redes que estn bajo su control. Deben asimismo ser conscientes del dao potencial que esto
puede provocar a otros derivados de la interconexin y la interdependencia. Los participantes
deben tener conocimiento de las configuraciones y actualizaciones disponibles para sus sistemas,
as como su lugar que ocupan dentro de las redes, las prcticas a ejecutar para ampliar la
seguridad, y las necesidades del resto de los participantes.
14

2) Responsabilidad
Todos los participantes son responsables de la seguridad de los sistemas y redes de informacin.
Los participantes dependen de los sistemas y redes de informacin local y global, y deben
comprender su responsabilidad en la salvaguarda de la seguridad de los sistemas y redes de
informacin. Asimismo deben responder ante esta responsabilidad de una manera apropiada a su
papel individual. Los participantes deben igualmente revisar sus propias polticas, prcticas,
medidas y procedimientos de manera regular, y evaluar si stos son apropiados en relacin con su
propio entorno. Aquellos que desarrollan y disean o suministran productos o servicios debern
elevar la seguridad de los sistemas y redes, y distribuir a los usuarios de manera apropiada
informacin adecuada en materia de seguridad, incluyendo actualizaciones, para que stos
entiendan mejor la funcionalidad de la seguridad de sus productos y servicios, as como la
responsabilidad que les corresponde en materia de seguridad.
3) Respuesta
Los participantes deben actuar de manera adecuada y conjunta para prevenir, detectar y
responder a incidentes que afecten la seguridad.
Al reconocer la interconexin de los sistemas y de las redes de informacin, as como el riesgo
potencial de un dao que se extienda con rapidez y tenga un alcance amplio, los participantes
deben actuar de manera adecuada y conjunta para enfrentarse a los incidentes que afecten la
seguridad. Asimismo han de compartir informacin sobre los riesgos y vulnerabilidades y ejecutar
procedimientos para una cooperacin rpida y efectiva que permita prevenir, detectar y responder
a incidentes que afecten a la seguridad. Cuando sea posible, estas actuaciones habrn de suponer
un intercambio de informacin y una cooperacin transfronteriza.
4) tica
Los participantes deben respetar los intereses legtimos de terceros.
Debido a la permeabilidad de los sistemas y de las redes de informacin en nuestras sociedades,
los participantes necesitan reconocer que sus acciones o la falta de stas, pueden comportar
daos a terceros. Es crucial mantener una conducta tica, debiendo los participantes hacer
esfuerzos por desarrollar y adoptar buenas prcticas y promover conductas que reconozcan la
necesidad de salvaguardar la seguridad y respetar los intereses legtimos de terceros.
5) Democracia.
La seguridad de los sistemas y redes de informacin debe ser compatible con los valores
esenciales de una sociedad democrtica.
La seguridad debe lograrse de manera consistente con garanta de los valores reconocidos por las
sociedades democrticas, incluyendo la libertad de intercambio de pensamiento e ideas, as como
el libre flujo de informacin, la confidencialidad de la informacin y la comunicacin y la proteccin
apropiada de informacin personal, apertura y transparencia.
6) Evaluacin del riesgo
Los participantes deben llevar a cabo evaluaciones de riesgo.
La evaluacin del riesgo identificar las amenazas y vulnerabilidades, y debe ser lo
suficientemente amplia para incluir factores internos y externos fundamentales como tecnologa,
factores fsicos y humanos, y polticas y servicios de terceros que tengan repercusiones en la
seguridad. La evaluacin del riesgo permitir determinar los niveles aceptables de seguridad y
ayudar en la seleccin de controles apropiados para administrar el riesgo de daos potenciales a
los sistemas y redes de informacin, en relacin a la naturaleza e importancia de la informacin
que debe ser protegida. Debido a la creciente interconexin de los sistemas de informacin, la
15

evaluacin del riesgo debe incluir asimismo consideraciones acerca del dao potencial que se
puede causarse a terceros o que pueden tener su origen en terceras personas.
7) Diseo y realizacin de la seguridad.
Los participantes deben incorporar la seguridad como un elemento esencial de los sistemas y
redes de informacin.
Los sistemas, las redes y las polticas debern ser diseados, ejecutados y coordinados de
manera apropiada para optimizar la seguridad. Un enfoque mayor pero no exclusivo de este
esfuerzo ha de encontrarse en el diseo y adopcin de mecanismos y soluciones que
salvaguarden o limiten el dao potencial de amenazas o vulnerabilidades identificadas. Tanto las
salvaguardas tcnicas como las no tcnicas as como las soluciones a adoptar se hacen
imprescindibles, debiendo ser proporcionales al valor de la informacin de los sistemas y redes de
informacin. La seguridad ha de ser un elemento fundamental de todos los productos, servicios,
sistemas y redes; y una parte integral del diseo y arquitectura de los sistemas. Para los usuarios
finales el diseo e implementacin de la seguridad radica fundamentalmente en la seleccin y
configuracin de los productos y servicios de sus sistemas.
8) Gestin de la Seguridad.
Los participantes deben adoptar una visin integral de la administracin de la seguridad.
La gestin de la seguridad debe estar basada en la evaluacin del riesgo y ser dinmica, debiendo
comprender todos los niveles de las actividades de los participantes y todos los aspectos de sus
operaciones. Asimismo ha de incluir posibles respuestas anticipadas a riesgos emergentes y
considerar la prevencin, deteccin y respuesta a incidentes que afecten a la seguridad,
recuperacin de sistemas, mantenimiento permanente, revisin y auditora. Las polticas de
seguridad de los sistemas y redes de informacin, as como las prcticas, medidas y
procedimientos deben estar coordinadas e integradas para crear un sistema coherente de
seguridad. Las exigencias en materia de gestin de seguridad dependern de los niveles de
participacin, del papel que desempean los participantes, del riesgo de que se trate y de los
requerimientos del sistema.
9) Reevaluacin
Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redes de informacin, y
realizar las modificaciones pertinentes sobre sus polticas, prcticas, medidas y procedimientos de
seguridad.
De manera constante se descubren nuevas amenazas y vulnerabilidades. Los participantes
debern, en este sentido, revisar y evaluar, y modificar todos los aspectos de la seguridad de
manera continuada, a fin de poder enfrentarse a riesgos siempre en evolucin permanente.
Postura: De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), la confianza es el principio
bsico que rige el desarrollo de polticas. Lo primero es determinar quin tiene privilegios, y hay
que usar el principio del mnimo privilegio posible.
Hay que tener cuidado en que tanto se confa en el personal. Se otorgan privilegios a medida que
se necesitan y se requieren controles tcnicos para asegurar que no se den violaciones.
Adoptar el modelo Todo lo que no est especficamente prohibido est permitido o
bien Todo est prohibido excepto lo que est especficamente permitido.
Beneficios: Las polticas de seguridad informtica muchas veces ayudan a tomar decisiones
sobre otros tipos de poltica (propiedad intelectual, destruccin de la informacin, etc.). Tambin
16

son tiles al tomas decisiones sobre adquisiciones porque algunos equipos o programas no sern
aceptables en trminos de las polticas mientras que otras la sustentaran.
Las polticas de seguridad informtica deben considerarse como un documento de largo plazo, que
evolucionan. No contienen asuntos especficos de implementacin, pero si asuntos especficos del
equipo de cmputo y telecomunicaciones de la organizacin. Probablemente sern la gua para el
diseo de cambios a esos sistemas.
El desarrollo e implantacin de polticas de seguridad informtica es una indicacin de que una
organizacin est bien administrada y los auditores lo toman en cuenta en sus evaluaciones.
Condicen a una profesionalizacin de la organizacin.
Proceso del Diseo de Polticas
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que especificar el alcance de las
polticas y los objetos de las mismas, consistentemente con la misin de seguridad previamente
establecida.
Las polticas promulgadas deben escribirse en prrafos que sean, cada uno por separado,
implementarles mediante un mecanismo especfico. Es decir, hay que procurar pensar claramente
en la conveniencia de que las polticas sean sumamente especficas, si esto se puede lograr, es
deseable fragmentar las polticas por departamento o unidad de trabajo. Pueden entonces
pensarse en una jerarqua de polticas, unas con aplicabilidad general, y otras para aplicabilidad
para grupos o tareas especficas.
Las polticas que no cuenten con la aceptacin entusiasta de los usuarios de todos los niveles
sern muy difciles de implantar. Todos aquellos que seran afectados por las polticas deben tener
la oportunidad de revisarlas y hacer comentarios antes de que se promulguen, deben contar con el
apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de difusin, capacitacin y concientizacin
iniciales y permanentes sobre seguridad informtica.
La cultura de la organizacin y sus necesidades de seguridad son un factor determinante para el
equipo de redaccin de las polticas. El nivel del control que se establezca no debe resultar en una
reduccin de la productividad, pues en muchos casos los ingresos y la carrera de la persona esta
designadas por su productividad. Si son demasiadas restrictivas en comparacin de la cultura
organizacional se violarn las polticas.
Las razones que llevan la implantacin de una poltica deben de explicarse dentro de la poltica
misma. Tambin debe definirse la cultura de cada poltica: quin, qu y cundo.
Algunas polticas necesarias
De acuerdo a (Daltabuit Gods & Vzquez Gmez, 2007), hay que considerar las siguientes
polticas necesarias:
Polticas de uso aceptable
Determina que se puede hacer con los recursos de cmputo (equipo y datos) de la
organizacin. Tambin determinan lo que no se puede hacer con esos recursos. Indica l
responsabilidad de los usuarios en la proteccin de la informacin que manejan y en qu
condiciones puede afectar o leer datos que no les pertenezca.
Polticas de cuentas de usuario
Determina el procedimiento que hay que seguir para adquirir privilegios de usuarios en uno
o ms sistemas de informacin y la vigencia de estos derechos.
Adems quien tiene la autoridad de asignar estos privilegios y quienes no podran recibir
esos privilegios por causas legales. Debe exhibir explcitamente los deberes y derechos de
17
los usuarios. Se explicara cmo y cundo se deshabilitaran las cuentas de usuarios y que
se har con la informacin que contenga. Debe especificar claramente los detalles de los
procedimientos de identificacin y autenticacin.
Polticas de acceso remoto
Se definen y explican los mtodos aceptables para conectarse a los sistemas de
informacin de la organizacin desde el exterior de la misma. Son particularmente para
organizaciones geogrficamente extendidas o aquellas cuyos miembros pasa la mayor
parte del tiempo viajando. Adems de establecer quien tiene derecho a este tipo de
conexin tambin establecen quienes pueden emplear mdems para conectarse al exterior
de la organizacin, sobre todo mdems de alta velocidad.
Polticas de la proteccin de la informacin
El objetivo es evitar que la informacin sea modificada o difundida durante su proceso,
almacenamiento o transmisin. Especfica como deben establecerse jerarquas de
confidencialidad e integridad, y como se implementan su proteccin. Debe ponerse especial
atencin a la divulgacin y la destruccin de la informacin.
Polticas de configuracin del cortafuego
Establece quien determina el establecimiento y los cambios de la configuracin. Tambin
quin debe tener acceso a ser usuario del cortafuego y quin puede obtener informacin
acerca de la configuracin del mismo. Debe establecer los de administracin de la
configuracin, para que responda a las necesidades de la organizacin.
Polticas de cuentas privilegiadas
Establece los requisitos que debe satisfacer quienes usen cuentas privilegiadas (root, bkup,
admin) en cuanto a su biografa y trayectoria dentro de la organizacin. Contienen
procedimientos de la auditoria del uso de este tipo de cuentas, particularmente sobre los
procedimientos de identificacin y autenticacin, y su uso. Determina en qu condiciones
se debe cancelar el acceso privilegiado.
Polticas de conexin a la red
Define los requisitos que deben cumplirse para que se conecten nuevos dispositivos a la
red de la organizacin. Son particularmente importantes para organizaciones que tienen
una diversidad de equipos de soporte tcnico, y para aquellos que no estn protegidos con
un cortafuegos. Deben especificar quien puede instalar nuevos recursos en la red, cul es
la autorizacin requerida y como se documentan los cabios. Deben aclarar cmo se
manejan los dispositivos inseguros.
Restricciones a las polticas

La principal fuente de restricciones es la prdida de productividad. Es inevitable que la
implementacin poltica de seguridad informtica distraiga recursos humanos e informticos que se
podan emplear para otros fines.
Otra fuente de restricciones son la legislacin y los derechos de los empleados y de los clientes.
Cada pas tiene su propia cultura, as como cada organizacin tiene la propia. Las polticas deben
ajustarse al entorno cultural en el que estn inmersas y ciertamente no pueden violar la legislacin
vigente localmente.
Procedimientos
Una vez que se han determinado las polticas de seguridad que especifican lo que hay que
proteger, es necesario realizar los procedimientos de seguridad que indican cmo hay que llevar a
cabo la proteccin. Estos procedimientos tambin constituyen los mecanismos para hacer las
polticas. Adems resultan tiles, pues indican detalladamente que hay que hacer cuando
18

sucedan incidentes especficos, son referencias rpidas en casos de emergencia y ayudan a
eliminar los puntos de falla crticos.
A continuacin se menciona algunos procedimientos que son necesarios, de acuerdo a (Daltabuit
Gods & Vzquez Gmez, 2007):
Auditora de la seguridad de los sistemas
Dado que los datos que se almacenan sobre el uso de los sistemas son la principal
herramienta para detectar violaciones a las polticas, es necesario especificar
detalladamente lo que se desea almacenar. Como se resguardan estas bitcoras y quien
tiene acceso a ellas.
Administracin de cuentas
Abarca desde cmo se tiene que solicitar una cuenta en su sistema de informacin, o en
varios sistemas hasta qu tienen que hacer el departamento de personal antes de despedir
a un empleado. Tambin lo que debe hacerse para cambiar los privilegios de una cuenta o
cancelarla. Especifican como se documentan el manejo de las cuentas y como se vigila el
cumplimiento de las polticas correspondientes.
Administracin de autenticadores
Hay cuatro tipos de autenticadores: mediante conocimientos, caractersticas fsicas, objetos
y ubicacin geogrfica. Los sistemas de control de acceso, en general deben emplear por
los menos dos autenticadores de tipos de distintos para cada usuario. Estos procedimientos
indican cmo deben obtenerse los autenticadores, como deben resguardarse, la vigencia
de los mismos y las caractersticas que deben tener. Por ejemplo el procedimiento de uso
de contraseas indicar su longitud, su posicin, el algoritmo de cifrado que se debe
emplear para archivarlas y resguardarlas. En el caso de autenticadores biomtricos se
especifican la caracterstica seleccionada, los algoritmos que permiten uso, cmo se puede
evitar que se construya la caracterstica y como se debe archivar y resguarda los datos
correspondientes.
Administracin de la configuracin de los sistemas
Define como se instala y prueba un equipo nuevo o un programa nuevo, cmo se
documentan los cambios de los equipos y la configuracin, a quien se debe informar
cuando hagan cambios y quin tiene la autoridad para hacer cambios de equipo,
programas y configuracin.
Respaldos y acervos de datos y programas
Define qu sistema de archivos hay que respaldar, cuando hay que hacer los respaldos,
cmo se administran los medios que se utilizan para los respaldos, donde se guardan los
respaldos fuera de sitio, como se etiquetan los medios y como documentan los respaldos.
Manejo de incidentes
Define cmo se manejan las instrucciones, delimita la responsabilidad de cada miembro del
equipo de respuesta, indica que informacin hay que anotar e investigar, a quin hay que
notificar y cundo, determinar quin, cundo y cmo se har el anlisis posterior del
incidente.
Escalamiento del problema
Es una coleccin de recetas para el personal de soporte de primera lnea. Define a quin
hay que llamar y cundo, indica que pasos iniciales hay dar y que informacin inicial hay
que anotar.
Planes de respuesta a desastres
Un desastre es un evento de gran escala que afecta a grandes secciones de la
organizacin. El plan debe delinear qu acciones hay que tomar para que los recursos
crticos sigan funcionando y minimice el impacto del desastre. Debe indicar que hay que
tener fuera del sitio y fcilmente disponible para emplearlo despus de un desastre. Hay
19

que estratificar el plan para responder a distintos niveles de daos. Definir si se requieren
sitios alternos calientes o fros. Se debe establecer cada cuando se harn simulacros
para probar el plan
Modelos de Seguridad
Un modelo de seguridad es la presentacin formal de una poltica de seguridad. El modelo debe
identificar el conjunto de reglas y prcticas que regulan cmo un sistema maneja, protege y
distribuye informacin delicada (Lpez Barrientos & Quezada Reyes, 2006).
De acuerdo a (Lpez Barrientos & Quezada Reyes, 2006), los modelos se clasifican en:
1. Modelo abstracto: se ocupa de las entidades abstractas como sujetos y objetos. El modelo
Bell LaPadula es un ejemplo de este tipo.
2. Modelo concreto: traduce las entidades abstractas en entidades de un sistema real como
procesos y archivos.
Adems, los modelos sirven a tres propsitos en la seguridad informtica:
1. Proveer un sistema que ayude a comprender los diferentes conceptos. Los modelos
diseados para este propsito usan diagramas, analogas, cartas. Un ejemplo es la matriz
de acceso.
2. Proveer una representacin de una poltica general de seguridad formal clara. Un ejemplo
es el modelo Bell-LaPadula.
3. Expresar la poltica exigida por un sistema de cmputo especfico.
Problemas al implantar las polticas de seguridad
Muchas veces las organizaciones realizan grandes esfuerzos para definir sus directrices de
seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo
xito. Pero resulta una labor ardua el convencer a los altos ejecutivos de la necesidad de buenas
polticas y prcticas de seguridad informtica.
Muchos de los inconvenientes se inician por los tecnicismos informticos y la falta de una
estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos directivos a
pensamientos como: ms dinero para los juguetes de los ingenieros. Esta situacin ha llevado a
que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas
de seguridad, que en muchos de los casos lleva a comprometer su informacin sensitiva y por
ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas
relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de
acuerdo con las decisiones tomadas en relacin con esos asuntos. En particular, la gente debe
saber las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podra ocurrir.
Luego, para que las polticas de seguridad logren abrirse espacio al interior de una organizacin
deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los
que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades
de la compaa. De igual forma, las polticas de seguridad deben ir acompaadas de una visin de
negocio que promueva actividades que involucren a las personas en su diario hacer, donde se
identifiquen las necesidades y acciones que materializan las polticas.
En este contexto, el entender la organizacin, sus elementos culturales, es decir, la forma en que
acta la gente cuando nadie le dice qu hacer, estableciendo la manera en que los miembros de la
20

empresa deben conducirse, y los comportamientos, los cuales depender de su motivacin,
caractersticas personales y del ambiente que lo rodea, nos deben llevar a reconocer claramente
las normas de seguridad que tendrn que privar en ese sitio de seguridad necesarias y suficientes
que aseguren confiabilidad en las operaciones y funcionalidad de la compaa.
Procedimientos y Planes de Contingencia
En el mundo de hoy, las organizaciones dependen del procesamiento de datos para el flujo de
informacin esencial, ya que si se quedara sin procesamiento de datos durante dos das, o durante
una o dos semanas, las operaciones comerciales podran limitarse de tal manera que afectaran los
activos corporativos, los movimientos comerciales, el servicio a clientes, el flujo de dinero, las
oportunidades de inversin y el margen de competencia, toda la organizacin sera vulnerable en
caso de que las operaciones de cmputo no funcionen.
Las amenazas son reales y un desastre puede resultar de diferentes fuentes. Pueden ocurrir
desastres naturales, fallas prolongadas de energa elctrica, incendios, sabotaje y hasta explosin
de bombas. Asimismo, es importante comprender que un desastre puede ocurrir de la misma
manera que producirse, por ello se debe estar preparado.
Por lo que en esta seccin se revisarn los siguientes puntos:
Definicin
Utilidad del Plan de contingencia
Elementos
Quin debe escribir el Plan de Contingencia?
Metodologas de desarrollo de Planes de Contingencia
Definicin
Un plan de contingencia o plan de recuperacin en caso de desastre es una gua para la
restauracin rpida y organizada de las operaciones de cmputo despus de una suspensin.
Especfica quin hace qu y cmo. Los objetivos de dicho plan son los de restablecer, lo ms
pronto posible, el procesamiento de aplicaciones crticas (aquellas necesarias para la
recuperacin) para posteriormente restaurar totalmente el procesamiento normal. Un plan de
contingencias no duplica un entorno comercial normal (en forma inmediata), pero s minimiza la
prdida potencial de activos y mantiene a la empresa operando, al tomar acciones decisivas
basadas en la planeacin anticipada.
Dicho de otra manera, un plan de contingencias es un programa de recuperacin de la
organizacin, cabe aclarar que el plan de contingencias no slo es un problema del rea de
sistemas, sino de toda la organizacin.
Un plan de contingencia es un plan escrito en el que se detallan acciones, procedimientos y
recursos que deben usarse durante un desastre que cause destruccin parcial o total de los
servicios de computacin. En este plan se define qu tareas son crticas, quin es el responsable
de todos los aspectos del proceso de recuperacin, y cmo va a funcionar la organizacin mientras
los sistemas estn siendo reparados o transportados a un nuevo local.
Utilidad del Plan de contingencian
Un plan de contingencia o tambin llamado plan de recuperacin de desastres, permite controlar la
situacin y realizar las actividades necesarias sin afectar a la informacin y para ello se debe de
tomar en cuenta lo siguiente:
Disminuir los efectos de esos desafortunados desastres y permitir una respuesta rpida,
una transferencia del procesamiento crtico a otras instalaciones, y una eventual
recuperacin.
21
Proporcionar a los directivos de una empresa una excelente oportunidad para aliviar o
minimizar problemas potenciales que, en un momento dado, podran interrumpir el
procesamiento de datos.
Debern tener sentido, ser legibles e indicar todos los aspectos de la funcin de la
cuestin.
El nivel de detalle para el plan de contingencia, para respaldar la informacin y para los
procedimientos de recuperacin, depender de la importancia de la aplicacin y del tipo de
informacin.
Se desarrollar un plan de contingencia propio para cada empresa y as cubrir sus
necesidades especficas.
Elementos
El plan de contingencia, es un plan de emergencia y recuperacin porque incorpora seguridad
fsica al centro de cmputo, es decir, es un plan formal que describe los pasos a seguir en el caso
de presentarse alguna situacin de emergencia, con la finalidad de reducir el impacto que pueda
provocar el desastre, y posteriormente restablecer las operaciones del procesamiento electrnico
de datos en forma tan inmediata como sea posible.
Por lo tanto, el diseo e implementacin de un plan de esta naturaleza debe contemplar:
Los riesgos y los porcentajes de factibilidad de stos, a los que est expuesta la
organizacin.
La asignacin de responsabilidades al personal, tanto en las actividades que se realizarn
durante la emergencia como en las de preparacin y las de recuperacin.
La identificacin de aplicaciones (sistemas automatizados) de mayor importancia dentro de
la produccin de datos, para darles la seguridad necesaria.
La especificacin de alternativas de respaldo.
La definicin de procedimientos y polticas a seguir durante el momento de la crisis.
La definicin de medidas y el tiempo previsto para la recuperacin.
La integracin de prcticas de mantenimiento, entrenamiento en el plan y pruebas del
mismo.
Es importante destacar que un plan de contingencia no evita los desastres, sino que provee los
medios para salvaguardar al mximo los recursos del rea de procesamiento electrnico de datos
y reducir as las posibles prdidas que resultan de estos desastres.
Una de las claves en el desarrollo de un plan de contingencia estriba en la evaluacin de posibles
riesgos (posibilidad de ocurrencia), que envuelven el ambiente informtico. Sin embargo, es
posible prever en un 100% todos y cada uno de los riesgos que acosan nuestra operatividad. Es
entonces vital en listarlos y agruparlos con la finalidad de anticipar la mayor parte de ellos y
posteriormente establecer el impacto que pueden causar en caso de su materializacin.
La concepcin del plan de contingencia debe tener un alcance tal que permita una completa
recuperacin de la prdida eventual, segn el tiempo que de antemano se haya considerado para
ello. Surge entonces la pregunta qu significa hacer exitoso un plan de contingencia?
Consideramos que el xito de este plan estar en funcin del tiempo y del costo necesario para
restablecer la operacin normal de los sistemas de cmputo.
Quin debe escribir el Plan de Contingencia?
Una vez que se ha tomado la decisin de hacer un plan de contingencia, el Director de Sistemas
junto con el cuerpo directivo de la empresa determinarn que es lo que ms le interesa a la
organizacin y as tomar la decisin si se contrata a un consultor externo para hacerlo o
desarrollarlo en casa. Ambas opciones tienen pros y contras.
22

De acuerdo a (Rodrguez, 1995), a primera vista, contratar a un consultor externo con muchos
aos de experiencia en el desarrollo de este tipo de proyectos puede parecer la mejor opcin.
Algunas de las ventajas son:
El desarrollo de un plan de contingencia estn complicado como cualquier sistema
importante (figura 4.1), debido a que en ambos se debe de seguir una serie de pasos
ordenadamente para obtener un buen resultado. Por esto requiere de una persona (o un
equipo) dedicado exclusivamente al desarrollo de este proyecto.
Los consultores poseen conocimientos especializados que pueden facilitar el desarrollo
ms rpido de un buen plan. Un consultor con experiencia sabe cmo se hace un plan de
contingencias, adems sabe quin es quin dentro de la industria de la seguridad de la
informacin.
Figura 4.1. Comparacin entre el Ciclo de Vida de un Sistema de Informacin y el de un Plan

de Contingencias.
Los consultores, al ser externos a la empresa, miran con ojo nuevo al proyecto, y se
percatan de requerimientos que podran ser pasados por alto por una persona de la
empresa.
Los planes hechos por consultores, tpicamente vienen acompaados de un acuerdo de
mantenimiento. Por alguna cuota, el consultor regresar con determinada frecuencia a
ayudar en las pruebas, entrenamiento y actualizacin del plan.
Por su parte la mayor desventaja de contratar consultores especializados en el desarrollo
de planes de contingencias es su precio: es muy caro, por lo que muchas empresas no
estaran en condiciones de pagarlo.
Por otro lado, si se decide que el plan sea desarrollado en casa, se tienen las siguientes
ventajas:
El desarrollador del plan de contingencias, al formar parte de la empresa, tendra un acceso
ms rpido y completo a la informacin que necesite.
El desarrollador del plan, como miembro del rea de sistemas (seguramente as ser) con
ayuda de todos los miembros del personal de sistemas, tendr ms facilidad para la
realizacin del inventario de hardware y software, as como para la etapa de clasificacin
23
de los sistemas de acuerdo a su importancia y consecuentemente para la definicin de los

procedimientos de respaldo.
Podr conocer todas las medidas de seguridad de la informacin implementadas en la
empresa sin ninguna reserva.
Puede utilizar el conocimiento que tiene acerca de sus compaeros de trabajo, para tratar
de definir quines son las personas ms adecuadas para la conformacin de los diversos
equipos de contingencia.
Por lo que respecta a las desventajas de que el plan sea desarrollado por un empleado de
la empresa, podemos mencionar las siguientes:
La persona encargada, en la mayora de los casos no contar con la experiencia necesaria
en el desarrollo de este tipo de proyectos.
Nuevamente en la mayora de los casos, a la persona encargada de desarrollar el plan se
asignar esta tarea como una adicional a las que ya vena realizando. Es decir, no contar
con tiempo completo para dedicarlo a este proyecto. Por lo tanto, el tiempo de desarrollo
del plan ser excesivamente largo, o bien, ser terminado en el lmite fijado, pero la calidad
del mismo podra no ser completamente satisfactoria.
METODOLOGAS DE DESARROLLO DE PLANES DE CONTINGENCIA

A continuacin se describen tres metodologas de desarrollo de Planes de Contingencia para
Sistemas de Informacin (Rodrguez, 1995): la de William Toigo, la de Hewlett-Packard y una
Universal llamada as por sus caractersticas.
a. Metodologa de William Toigo
b. Metodologa de Hewlett-Packard
c. Metodologa Universal
d. Metodologa para el Desarrollo de Planes de Atencin de Emergencias
Metodologa de William Toigo
Esta metodologa consta de ocho etapas. De cada una de ellas se enuncian las principales tareas
que la componen.
I. Definicin y Arranque
Definir los objetivos del plan
Seleccionar la metodologa
Obtener la aprobacin de la Direccin
Diseo de cuestionarios
II. Anlisis de riesgos
a) Recoleccin de datos
Inventario de hardware, software, aplicaciones, bases de datos y telecomunicaciones.
Se obtiene el grado crtico de los sistemas, tanto desde el punto de vista de los usuarios
como de los tcnicos.
Se determina la tolerancia a una falla o desastre. En trminos prcticos, la tolerancia
puede ser expresada como un valor en pesos: es la prdida de ingresos de la empresa,
debida a una suspensin del procesamiento de cierta duracin.
Identificacin de amenazas al procesamiento normal. Estas amenazas pueden ser
humanas, de error de hardware, de error de red, de tipo lgico y de desastres, ya vistas en
el captulo anterior.
24

b) Anlisis de datos
Habiendo clasificado el grado crtico de los sistemas, asignado costos a suspensin de
funcionamiento del sistema, e identificado amenazas a los sistemas y a la informacin,
resta analizar todos estos datos y formular un conjunto de objetivos especficos para guiar
el desarrollo de la capacidad de recuperacin. El objetivo es eliminar los riesgos que
puedan ser eliminados y minimizar los efectos de los riesgos que no puedan eliminar.
III. Proteccin de la instalacin
En esta seccin se discuten varias estrategias comunes de prevencin de desastres y de
proteccin que se pueden poner en prctica para proveer la capacidad de evitar desastres:
Deteccin de agua
Proteccin contra fuego
Eliminacin de contaminantes
Falla de suministro de elctrico
Control de acceso fsico
El diseador del plan de contingencia debe conocer estos temas y su aplicacin en la empresa, ya
que sin factores que comnmente organizan desastres.
IV. Almacenamiento fuera del Site
El almacenamiento fuera del site incluye el anlisis y clasificacin de los datos, la revisin de los
procedimientos de respaldo existentes (si los hay), la evaluacin y seleccin de un proveedor de
espacio de almacenamiento, y la formalizacin de agendas para el mantenimiento actualizado de
datos del sitio externo.
Se requiere que la informacin correcta (que se usar para reducir el tiempo de suspensin del
funcionamiento de los sistemas y sus efectos negativos) sea identificada, para conseguir esto debe
realizarse las siguientes acciones:
a. Deben identificarse los sistemas crticos y vitales (este autor clasifica los registros de
informacin como crticos, vitales, sensibles y no crticos, en orden descendente de
importancia).
b. Las entradas y salidas de esos sistemas deben ser definidas.
c. Tambin deben almacenarse respaldos de los programas, sistemas y software de la base
de datos en produccin.
d. Identificar la documentacin requerida para restaurar los sistemas e informacin; esto
incluye inventarios, manuales tcnicos y de usuario, formas impresas, copias del plan de
contingencia, etc.
V. Estrategia de respaldo de Sistemas
En esta etapa nuevamente se hace uso de los resultados del anlisis de riesgos. Hay que saber:
a. Qu aplicaciones son crticas o vitales?
b. Cul es la configuracin mnima de hardware para correr los sistemas?
c. Cuntos usuarios tienen los sistemas?
d. Cules son los requerimientos de la empresa?
Existen muchas estrategias de respaldo de los sistemas de cmputo; debe analizarse cada caso
para determinar cul es la ms conveniente.
VI. Estrategia de respaldo de redes
El diseador del plan de contingencia debe entender las redes de comunicacin que estn
alrededor de los procesadores.
25

Una actividad preliminar consiste en revisar el anlisis de riesgo para identificar dependencias en
redes, el grado crtico de los servicios de red y el nivel mnimo de servicio requerido para la
continuidad del negocio.
Existen varias opciones para recuperar las redes que han tenido fallas:
a. Para sistemas de comunicacin interna:
Es importante adquirir software apropiado para diagnstico y reparacin de problemas de
redes
En el caso de una falla del conmutador hay dos opciones: (1) instalar suficientes lneas
directas para las funciones dependientes de las telecomunicaciones y (2) comprar un
segundo conmutador y tenerlo de respaldo.
VII. Toma de decisiones en caso de emergencia
Se refiere a tres proyectos fundamentales para la recuperacin de emergencias:
Evacuacin
Recuperacin
Reinstalacin de las actividades normales
Debe tomarse en cuenta las siguientes consideraciones:
a. Es imposible predecir todos los escenarios y tomar todas las decisiones por adelantado; por
eso, resulta intil disear procedimientos muy rgidos.
b. Sin embargo, el plan es necesario para coordinar las acciones de recuperacin ya que sin l,
sera ms lenta; y el desastre causara daos mayores a la empresa.
c. En esta fase debe disearse los equipos que llevarn a cabo el plan de contingencia (estos
mismos equipos pueden tener diferentes funciones durante la evacuacin, la recuperacin y la
reinstalacin de actividades normales).
d. Despus de disearse, debe formarse los equipos. As mismo debe hacerse el directorio
telefnico de estas personas y de todas las que tengan alguna relacin con este plan.
e. Puede disearse uno o varios Diagramas de Flujo de Manejo de Emergencias que describan la
secuencia en la cual se realizarn las tareas de recuperacin.
VIII. Mantenimiento y pruebas del plan
El plan de contingencia es un documento vivo y cambiante, por lo que requiere de
mantenimiento.
Antes de probar el plan, se debe dar entrenamiento especfico a todos los miembros de los
equipos de recuperacin en las tareas que realizarn en caso de desastre. Los lderes de los
equipos, en cambio, deben recibir entrenamiento general sobre todo el plan completo.
a. Los objetivos principales de las pruebas son:
Asegurar que el plan pueda aplicarse exitosamente recuperando lo que sea posible.
Las pruebas sirven como una herramienta de auditora.
Las pruebas pueden revelar informacin til acerca del desempeo de los sistemas a un
nivel de emergencia, entre otras cosas.
Las pruebas son una forma de entrenar y adems pueden utilizar sus resultados para
corregir el plan o agregarle aspectos no considerados originalmente.
b. Para hacer pruebas:
Debe establecerse un escenario
Deben definirse los objetivos de la prueba
Definirse las reglas
Designar participantes y observadores
Documentar los resultados
26

Metodologa Hewlett-Packard
Esta metodologa consta de 11 etapas (ver imagen) y de cada una de ellas se enuncian las
principales tareas que la componen.
1. Administracin de proyectos
a) Obtener un compromiso preliminar de la Gerencia: la Direccin de la empresa debe
comprometerse a desarrollar el plan de contingencia en caso de desastre, de tal manera que los
recursos necesarios puedan ser asignados al proyecto.
b) Organizar el equipo de desarrollo del plan de contingencia: identificar a los individuos de la
administracin, del procesamiento de datos y usuarios, para que participen en la preparacin del
programa de recuperacin.
c) Auditar el estado de la preparacin del plan de contingencia previo(si existe): algunos
procedimientos e informacin necesarios para el plan de recuperacin de desastres posiblemente
ya se han desarrollado y puesto en prctica. Sabiendo lo que ya existe y lo que falta por hacer,
ser posible tomar decisiones ms realistas sobre el tiempo y los recursos que debe asignarse al
proyecto.
d) Desarrollar un plan administrativo para el proyecto: realizar una estimacin de la duracin
de las tareas, asignar recursos y desarrollar un calendario para el proyecto.
e) Seleccionar las herramientas de documentacin: decidir qu paquete o paquetes se usarn
y los procedimientos generales; por ejemplo, quin ser responsable de la documentacin, cundo
se har (al concluirlo o durante el desarrollo del plan), existen normas de la empresa para la
generacin de este tipo de documentos?, etc.
2. Aplicaciones crticas
a) Establecer prioridades de las aplicaciones: analizar todas las aplicaciones para priorizarlas e
identificar cules son crticas. Esta metodologa maneja tres categoras: crtica, importante y todas
las dems. Considera que la prioridad de una aplicacin se basa en tres factores principales: valor
monetario (cantidad de ingresos producidos por la aplicacin), limitaciones y prioridades (las
27

aplicaciones pueden ser necesarias por las limitaciones, p. ej. Leyes, regulaciones, contratos; o
porque son usadas para reunir las prioridades claves comerciales, p. ej. Servicio a clientes),
urgencia de tiempo (la necesidad de ejecutar una aplicacin en perodos o frecuencias
determinadas).
b) Especificar prioridades de procesamiento para la recuperacin de desastres: listas las
aplicaciones en orden de restauracin durante la recuperacin. Esta lista sirve para distintos
propsitos. En primer lugar, es una herramienta excelente para comunicar las prioridades de
procesamiento que sern seguidas en caso de desastre. En segundo lugar, es utilizada en la
siguiente actividad, en donde se debe determinar los requerimientos de procesamiento para cada
tipo de prioridad. Esto, a su vez, se usa para establecer los objetivos de recuperacin y para
seleccionar las instalaciones de respaldo apropiadas. Finalmente, es un paso preliminar en el
desarrollo de un plan de restauracin.
c) Determinar los requerimientos del procesamiento: analizar los recursos necesarios para
procesar las aplicaciones con prioridad alta, de tal manera que se tenga suficiente capacidad de
respaldo. Una decisin clave que debe tomarse es definir cuntos niveles de prioridad van a ser
respaldados.
d) Establecer objetivos de la recuperacin de desastres: especificar el nivel de procesamiento
y tiempos de recuperacin que se han de lograr en la restauracin de desastres menores, mayores
y catastrficos.
3. Instalacin de respaldo y procedimientos
a) Seleccionar una localidad externa de almacenamiento (caja de seguridad): los datos y
documentacin de respaldo deben almacenarse fuera de la instalacin para que sobrevivan, aun
cuando exista una destruccin total del centro de cmputo. En esta etapa se debe identificar una o
ms localidades externas donde se puedan almacenar seguramente los datos y documentacin de
respaldo.
b) Determinar el contenido indispensable de la caja de seguridad externa: identificar los
archivos, programas, documentacin, materiales, etc., especficos que deban respaldados y
mantenidos en un lugar fuer de la instalacin.
c) Especificar procedimientos de almacenamiento y actualizacin: determinar el equipo y la
capacidad de procesamiento necesaria en la instalacin de respaldo.
d) Identificar los requerimientos del sistema para las instalaciones de respaldo: determinar el
equipo y la capacidad de procesamiento necesaria en la investigacin de respaldo. El propsito de
esta tarea es investigar qu recursos de cmputo son necesarios en la instalacin de respaldo:
tiempo, sistemas, perifricos, comunicaciones de datos y otros equipos, para procesar las
aplicaciones de determinada prioridad.
e) Seleccionar una o ms de estas instalaciones: evaluar las instalaciones potenciales de
respaldo y elegir una o ms para hacer los arreglos necesarios. El plan de contingencia en caso de
desastre debe tomar en cuenta un rango de posibilidades desde un desastre menor, tal como una
suspensin de cmputo prolongada, hasta un desastre catastrfico que destruya totalmente el
centro de cmputo.
f) Producir una gua de respaldo de la instalacin: una o ms instalaciones de respaldo han
sido seleccionadas para ser usadas durante la recuperacin de desastres. Estas instalaciones se
diferenciarn entre s y del centro de cmputo primario. La informacin especfica de cada una
debe documentarse en una gua de la instalacin de respaldo.
g) Identificar al personal de respaldo: idealmente, el personal del centro de cmputo estar
disponible durante un desastre. De cualquier modo, si no est disponible, entonces sus funciones
tendrn que ser realizadas por otras personas (el personal de respaldo).
28

4. Procedimientos y procesamiento alterno
a) Identificar las aplicaciones crticas que requieran procedimientos del procesamiento
alterno: las aplicaciones crticas son, por definicin, aquellas necesarias para la supervivencia de
la compaa; el plan de contingencia, en caso de desastre, proporcionan restauracin para estas
aplicaciones.
b) Desarrollar los procedimientos de procesamiento alterno: para las aplicaciones crticas
seleccionadas, se debe crear el procedimiento de procesamiento alterno, que pueda usarse en
caso de que las instalaciones del centro de cmputo no estn disponibles.
5. Procedimientos de recuperacin
a) Definir equipos de recuperacin y sus funciones: las acciones que deben tomar para
efectuar el restablecimiento de un desastre, son llevadas a cabo por equipos de recuperacin,
cada uno con su propia rea de responsabilidad. El propsito de esta tarea es especificar los
equipos de recuperacin y las funciones de cada uno.
b) Identificar a los miembros de cada equipo: nombrar a las personas que servirn en cada
equipo de recuperacin.
c) Especificar sus procedimientos: establecer los pasos de accin que tienen que seguir los
lderes y miembros del equipo. Se debe distinguir entre lo que debe realizar el lder y lo que
pueden hacer los otros miembros.
6. Procedimientos de deteccin de eventos
a) Especificar los procedimientos de emergencia: los procedimientos de emergencia son las
acciones que deben realizarse inmediatamente, en respuesta a un evento daino o a una
situacin amenazadora.
b) Establecer los procedimientos de escalacin: el propsito de esta estos procedimientos es
definir la distribucin de los pasos y del tiempo que llevan a la declaracin de un desastre menor.
7. Procedimientos del equipo de manejo de desastres (EMD)
a) Identificar a los miembros del Equipo de Manejo de Desastres: este equipo tiene la
responsabilidad de dirigir las operaciones de recuperacin y la restauracin del procesamiento
normal. En esta tarea se debe seleccionar al Gerente de Recuperacin de Desastres, al
Coordinador del Equipo de Recuperacin y a los lderes de los equipos.
b) Especificar las funciones y los procedimientos del equipo: el EMD est orientado a los
esfuerzos de recuperacin dirigidos que siguen a un desastre. Para asegurar que el equipo pueda
funcionar efectiva y eficientemente, sus responsabilidades son establecidas en un estatuto
formalizado, junto con sus funciones en caso de desastre.
c) Seleccionar las ubicaciones de los centro de control: elegir localidades internas y externas
para usarse como centro de control. Las operaciones de recuperacin de desastre se deben dirigir
desde un centro de control y su propsito puede establecer una sola palabra: comunicacin.
Cuando se declara un desastre y durante las operaciones subsecuentes de restablecimiento, todos
los equipos y el personal estarn en contacto continuo con el centro de control. Por esto, es
importante que todos sepan dnde estar el centro nervioso durante una emergencia.
d) Listar los recursos del centro de control: el centro de control debe estar bien equipado,
especialmente con herramientas de comunicaciones (telfonos, radios, directorios pblicos, etc.).
Una lista de verificacin de los recursos y registros necesarios en el centro de control activado,
minimizar el tiempo necesario para hacerlo funcionar.
e) Realizar un inventario del material necesario para las aplicaciones crticas: la evaluacin
del dao y del impacto son actividades clave de la administracin de desastres porque
proporcionan la informacin necesaria para la toma de decisiones. Un inventario completo y
29

categorizado (recopilado en la siguiente fase) puede servir como base para la evaluacin del dao
y del impacto.
8. Inventario
a) Llevar un inventario de todos los recursos del procesamiento de datos: el inventario debe
dividirse en categoras y despus subdividirse en categoras dentro de esas categoras, para hacer
ms fcil la recopilacin, la actualizacin y el uso. Se deben recopilar listas de hardware, software,
equipo, materiales y otros recursos usados para el procesamiento de datos.
b) Listar a los distribuidores de los recursos crticos: es necesario recopilar informacin de
distribuidores, por lo menos de cosas utilizables en el procesamiento de aplicaciones con prioridad
alta.
9. Entrenamiento
a) Disear un plan completo para el entrenamiento de recuperacin de desastres: es
necesario un programa general de entrenamiento para asegurar que las personas correctas
obtengan el tipo de adiestramiento adecuado. Debe entrenarse a cada persona en las funciones
que tiene asignadas en el plan de contingencia, esto es, en las funciones que desempear el
equipo o equipos de recuperacin a que pertenezca. Por lo menos debe incluir objetivos,
programas, calendario y administracin.
b) Desarrollar actividades especficas de entrenamiento: el plan de instrucciones de cada una
de las actividades en el programa de adiestramiento debe seguir cualquier formato acostumbrado
o conveniente. Los planes deben ser especficos, claros y completos. Los objetivos deben ser
especficos y describir lo que los estudiantes podrn hacer como resultado del adiestramiento.
c) Desarrollar tcnicas y herramientas de evaluacin: el entrenamiento tiene como funcin
primaria el desarrollo del conocimiento y la habilidad. La tcnicas de evaluacin deben dirigirse
para contestar tres preguntas bsicas:
1) son capaces los estudiantes de llevar a cabo sus responsabilidades?,
2) cmo puede mejorarse el entrenamiento? y
3) cmo puede mejorarse el plan de contingencia?
10. Pruebas
a) Disear un programa completo de pruebas del plan de contingencia: las pruebas del plan
de contingencia en caso de desastres deben llevarse a cabo de manera cuidadosa y sistemtica.
Los puntos clave para que deben incluirse en el diseo de este programa son: objetivos, polticas y
guas, responsabilidad gerencial de las pruebas, especificacin de las pruebas.
b) Desarrollar planes para pruebas especficas: escribir un plan para cada prueba que ha de
ser conducida.
c) Desarrollar tcnicas y herramientas de evaluacin de las pruebas: la pruebas del plan de
contingencia proporcionan informacin importante sobre la adecuacin del plan y del
entrenamiento. Por ello, esta tarea est dedicada a las tcnicas y herramientas que se usarn para
reunir esta informacin.
11. Mantenimiento
a) Asignar responsabilidades para la administracin y el mantenimiento del plan de
contingencia: el mantenimiento del plan de contingencia involucra varias funciones:
Recibir y controlar informacin de las revisiones necesarias
Mantener una lista de distribucin de las copias del plan y controlar su circulacin
Mantener la historia de revisiones del plan
30
Asegurar que las revisiones se lleven a cabo puntualmente

Distribuir las actualizaciones como sea necesario
Coordinar el ciclo de revisin con los calendarios de entrenamiento y de pruebas
Coordinar con los auditores el calendario de revisin y mantenimiento.
b) Establecer procedimientos y calendarios de revisin y mantenimiento: los
propsitos de esta tarea son proporcionar un calendario para la revisin regular y
sistemtica del contenido del plan de contingencia en caso de desastre y definir un
procedimiento para los cambios sugeridos.
c) Crear listas de distribucin y polticas para el programa de recuperacin: el plan de
contingencia contiene mucha informacin sensible sobre las operaciones de cmputo y
comerciales de la compaa; por ejemplo, aplicaciones crticas, ubicacin de la caja de
seguridad, arreglos para instalaciones de respaldo, etc. Es por esto que la distribucin del
plan de recuperacin es un punto que merece una consideracin cuidadosa.
Metodologa Universal
Independientemente de la metodologa que se elija para el desarrollo del Plan de Contingencias, o
que se desarrolle una propia, existen ciertas constantes que deben aparecer en cualquier plan de
este gnero. En el marco terico que se presenta a continuacin, se proporcionan estos
elementos; con ello se puede desarrollar una metodologa propia o adaptar una existente. Adems,
podemos denominar a esta metodologa como universal porque con ella se puede desarrollar
planes de contingencia no slo para sistemas, sino para cualquier otra rea o empresa de
cualquier giro o tamao que resida en cualquier lugar.
1. Conceptualizacin del Fenmeno de Desastre
La produccin de Desastres
El desastre, en trminos generales, se considera como un evento, frecuentemente concentrado en
tiempo y espacio, en el cual la sociedad una parte de ella sufre severos daos, de gran magnitud y
extensin, e incurre en prdidas para sus miembros, de tal manera que su estructura social ya
administrativa se desajusta, impidiendo la realizacin de sus actividades esenciales, afectando su
funcionamiento y operacin normales, perjudicando crucialmente su capacidad de afrontar y
combatir la situacin de emergencia.
Se pueden identificar dos sistemas interactuantes responsables por la problemtica de desastres.
Por un lado, el sistema perturbador (SP), que corresponde a aquel capaz de generar o producir
calamidades y, por el otro, el sistema afectable (SA), integrado por el hombre (personal), bienes
(hardware, software, informacin, comunicaciones), el medio ambiente (centro de cmputo, aire
acondicionado, etc.) y servicios necesarios para subsistencia (energa elctrica, servicios
portadores), expuestos a las calamidades, las cuales pueden provocar daos en ste y,
consecuentemente el desastre.
El anlisis de la relaciones entre el SP y el SA muestra que las calamidades como productos del
SP estn interrelacionadas entre s, en tal forma que la ocurrencia y caractersticas de una pueden
verse modificadas por las otras. Esta interrelacin se denomina retroalimentacin SP-SP. As
mismo, el estado del sistema afectable puede activar o reprimir la produccin de calamidades por
el SP. Esta interrelacin se denomina retroalimentacin SA-SP.
Finalmente, se observa situaciones cuando el sistema afectable influye sobre su propio
comportamiento y estado, de tal manera que se agrava o disminuye el desastre, o se abandona o
fortalece el estado normal; por ejemplo la interrupcin del servicio elctrico implica la suspensin
del servicio de procesamiento de datos. Este tercer tipo de interrelacin se denomina
retroalimentacin SA-SA.
31

2. La regulacin
Para disminuir la ocurrencia de los desastres, surgen dos posibilidades: una, de intervenir en el
proceso de produccin de las calamidades, con el fin de impedir o disminuir su ocurrencia, y la
otra, de cambiar el estado y funcin del sistema afectable para disminuir las consecuencias del
impacto desastroso (ver figura 5.5). La primera corresponde al objetivo de prevencin; la segunda,
al objetivo de mitigacin; ambas constituyen el objetivo general de reduccin de riesgos o de
proteccin (ver figura 5.6).
Figura 5.5 El Control de desastres
Es necesario enfrentar y combatir las situaciones de emergencia durante los desastres, buscando
salvar vidas e informacin de datos e impedir la extensin del desastre, siendo ste el objetivo del
rescate o auxilio. En la siguiente fase, llamada de retorno, con el eventual mejoramiento de la
situacin, se trata de reconstruir y mejorar el sistema afectado, planteando el objetivo de
recuperacin. Ambos se engloban en el objetivo general de restablecimiento (ver figura 5.6).
32
Figura 5.6 Objetivos de Control de Desastre

El sistema regulador tiene que alcanzar todos estos objetivos, apoyndose en la informacin sobre
el estado actual de los SP y SA, y a travs de la previsin, toma de decisiones y de la ejecucin de
una multitud de diversas acciones, tanto antes como durante y despus del desastre, organizadas
en el tiempo y apoyadas con recursos correspondientes, por medio de equipos con
responsabilidades bien definidas.
2. Elementos fundamentales del marco conceptual
1. Estudios bsicos del sistema perturbador
El estudio del sistema perturbador (SP) se inicia con la identificacin, definicin y clasificacin
de las calamidades potenciales que puede producir. Tradicionalmente se ha distinguido por las
llamadas naturales y de origen humano.
33

Los fenmenos destructivos naturales pueden ser de origen geolgico y de origen
hidrometeorolgico. Los fenmenos destructivos de origen humano son principalmente los
llamados socio-organizativos. Sin embargo, hay ciertas calamidades cuyo origen est
relacionado tanto con los procesos naturales, como con las acciones humanas que las
provocan. En este sentido, las calamidades fsico-qumicas y sanitarias son de origen mixto.
Un factor crucial en el desarrollo del marco conceptual para conocer, explicar y controlar las
calamidades, constituye la definicin de sus caractersticas, as como la descripcin y
estimacin de sus impactos.
En relacin con los impactos, que constituyen la ms importante caracterstica de la calamidad,
se define dos tipos bsicos, los primarios y los agregados.
Entre los primarios se distinguen, segn su forma de manifestacin, los mecnicos, trmicos,
qumicos, elctricos, radiolgicos, bacteriolgicos y psicolgicos, mientras que los agregados se
dividen en biolgicos, productivos, sociales y polticos.
2. Estudios bsicos del sistema afectable
El estudio de los sistemas afectables empieza con la consideracin de que los asentamientos
humanos, por su propensin a las diversas calamidades y debido a la alta densidad poblacional
y complejidad de sus servicios, resultan con mayores prdidas humanas, daos materiales y
otras consecuencias desastrosas.
Para estimar el riesgo latente en un sistema afectable, es necesario conocer el estado y
vulnerabilidad
de
cada
uno
de
los
subsistemas
que
lo
componen.
En este sentido, el estado de un sistema se define como una caracterstica global que est
determinada por un conjunto de valores en que s encuentran los parmetros relevantes para su
funcionamiento en un momento dado. Se distinguen cuatro tipos de estado:
Estado normal de un sistema: se presenta cuando su funcionamiento garantiza el logro
de su finalidad.
Estado insuficiente de un sistema: ocurre cuando, en su funcionamiento normal, se
presenta alguna alteracin no significativa que hace vulnerable al sistema.
Estado de desastre de un sistema: aparece cuando su funcionamiento falla, es decir,
cuando se presenta una alteracin significativa y con tendencia a crecer; se identifica por
daos de distintos tipos: humanos, materiales, productivos, sociales, ecolgicos, etc.
Estado de retorno de un sistema: se caracteriza por la disminucin de la alteracin y por
la recuperacin progresiva de su funcionamiento normal.
Para determinar el estado en que se encuentra un sistema, es necesario el conocimiento de los
rangos permisibles para cada uno de los parmetros que caracterizan al mismo.
Una caracterstica integral del sistema es la vulnerabilidad, considerada como medida de
susceptibilidad al dao y la intensidad del impacto. Su forma tpica se muestra en figura 5.7. Se
observa que la primera parte de la curva se refiere a los niveles de intensidad relativamente bajos
que normalmente se absorben por el propio sistema sin sufrir daos sensibles; por su parte, la
ltima corresponde al caso de su destruccin o inutilizacin completa.
El concepto de vulnerabilidad de un sistema es general, por lo que su evaluacin puede realizarse
tanto a travs de la informacin histrica como del conocimiento de los mecanismos y estructura
interna del sistema. En la segunda opcin, la evaluacin de la vulnerabilidad de un sistema
complejo se realiza a travs del anlisis de sus estructuras y de la estimacin de las
vulnerabilidades de los subsistemas, partes, componentes y elementos que lo integran; por lo que
es posible identificar los que son crticos y buscar consecuentemente las medidas para disminuir
su vulnerabilidad y, por ende, la del sistema en su totalidad.
34
Figura 5.7 Curva tpica de vulnerabilidad

3. Sistema regulador
En el caso del proceso de control de desastres surgen dos objetivos generales: uno, encaminado a
reducir los riesgos, que integra los objetivos de prevencin y de mitigacin, antes de la ocurrencia
del desastre; el otro, atender la situacin de emergencia, durante la respuesta, que engloba los
objetivos de auxilio y de recuperacin (figura 5.6).
La reduccin de riesgos, es decir, de los probables daos que pueden producir las calamidades en
el SA, implica la necesidad de determinar los fenmenos destructivos, a los cuales est propenso
el SA, y de estimar sus caractersticas relevantes. Posteriormente, implica la necesidad de
intervenir en los mecanismos de su produccin, en el SP, con el fin de prevenir so concurrencia y
disminuir sus impactos.
Asimismo el riesgo depende de la vulnerabilidad del SA, que a su vez, se define por la
vulnerabilidad de sus componentes y elementos. Es por ello que la reduccin de riesgos tambin
depende, en gran parte, de la eficiencia en la disminucin de la vulnerabilidad, por medio del
reforzamiento estructural del SA o de la modificacin adecuada de su funcionamiento.
El otro objetivo general, el de restablecimiento, implica la necesidad de realizar los preparativos
durante la situacin normal para asegurar el logro de los objetivos de rescate y recuperacin en
caso de desastre.
Los preparativos contemplan el establecimiento de la organizacin relevante, incluyendo los
equipos de recuperacin de emergencias, la integracin y capacitacin de su personal, la
elaboracin de planes y programas de accin, realizacin de los simulacros pertinentes as como
el suministro de dispositivos, equipos y materiales necesarios para su operacin en caso de
desastre. Asimismo, debe tomarse en cuenta a los cuerpos especializados de rescate y atencin
de emergencias de la localidad, as como los planes de proteccin civil y de respuesta a desastres.
El rescate o auxilio constituye el objetivo medular de la fase de respuesta y est integrado por las
once funciones principales que se listan a continuacin:
Alerta. Avisa tanto a los probables afectados, como a los responsables de la atencin de
emergencia.
Reconocimiento de daos. Conocer y evaluar el estado actual de daos.
Concrecin del plan de emergencia. Revisar constantemente el plan de atencin d
emergencias, de acuerdo con la situacin presentada.
35
Coordinacin de auxilio. Asegurar la congruencia, compatibilidad y sincronizacin de los

esfuerzos de los diversos organismos.
Seguridad. Orientada a proteger no solo la integridad fsica sino tambin el patrimonio
(recursos informticos, hardware y software).
Rescate. Contempla la bsqueda y salvamento de los recursos.
Servicios estratgicos, equipamiento y bienes. Consiste en restablecer el
funcionamiento de los servicios bsicos afectados.
Salud. Proporcionar y coordinar la atencin mdica al personal afectado durante el
desastre.
Aprovisionamiento. Realiza, administra y coordina el acopio, distribucin y control de los
elementos requeridos para sustentar las actividades bsicas.
Comunicacin social de emergencia. Busca logar la participacin de todo personal y
crear una atmsfera de confianza.
Reconstruccin inicial y vuelta a la normalidad. Recuperar las condiciones de
normalidad, rehabilitando el funcionamiento de los sistemas afectados.
El ltimo objetivo, el de recuperacin, concluye la fase de emergencia y corresponde al estado de
retorno; es uno de los ms importantes, debido a que su inadecuado planteamiento puede agravar
el desastre y producir consecuencias mucho ms graves que el fenmeno destructivo por s
mismo.
Planes de Atencin de Emergencias
El desarrollo de los planes de atencin de emergencia constituye una parte esencial de cualquier
programa de control de desastres en un sistema, ya que proporciona una herramienta de apoyo a
la toma de decisiones para atender las emergencias, en conjugacin con los planes de otros
sistemas externos.
Los planes de atencin de emergencia tienen que contemplar una serie de actividades previstas a
realizarse para resolver las diversas situaciones de emergencia que se presentan en un sistema
como resultado de los impactos de una calamidad. A continuacin se presenta la concrecin y
adaptacin de planeacin para la atencin de emergencias.
Se distinguen cuatro etapas:
Diagnstico: plantea los problemas actuales y futuros.
Prescripcin: busca y selecciona una de las soluciones.
Instrumentacin: transforma la solucin en actividades o programas que garantizan su
logro.
Control: pone en prctica los programas y evala sus resultados, a fin de realizar ajustes y
adaptaciones que mejoren la ejecucin de las acciones.
La elaboracin de los planes de atencin de emergencias no debe pretender dar como resultado
un producto terminado, ya que esto conducira a un enorme gasto de tiempo y esfuerzo, para
lograr finalmente un plan que de todas maneras no sera perfecto. Por lo tanto, para la adaptacin
del esquema general de planeacin, se tiene como propsito buscar un plan preliminar, una
primera aproximacin, susceptible de ser mejorado y adaptado fcilmente de acuerdo con las
nuevas experiencias y/o las condiciones del sistema y su entorno.
La adaptacin del esquema general del proceso de planeacin se realiza de la siguiente manera:
1. La etapa del diagnstico se interpreta como la identificacin de las posibles situaciones
de emergencia, que se presentan en un sistema ante la ocurrencia de una calamidad. La
identificacin de estas situaciones debe incluir su descripcin y la determinacin de los
lmites mnimo y mximo de la gravedad de la emergencia.
2. La etapa de prescripcin se interpreta como la especificacin de alternativas de solucin
a las soluciones de emergencia, las que, de acuerdo con los estudios desarrollados, deben
36

estar orientadas a brindar el apoyo a la realizacin de la atencin de emergencia, as como
a impedir la extensin del dao.
3. La etapa de instrumentacin se interpreta con la trasformacin de las soluciones para
cada una de las determinadas situaciones de emergencia en un conjunto de elementos
especficos que constituyen un programa. Estos elementos deben normar los criterios del
personal responsable de decidir la seleccin de acciones imprevistas, as como el
establecimiento del conjunto de alternativas de accin del decisor y las acciones de los
organismos involucrados.
4. Finalmente, la etapa del control se interpreta como la estimacin de la eficiencia y
adaptacin del plan, a travs del conocimiento de los resultados de su ejecucin, con el fin
de corregirlo sistemticamente de acuerdo con las condiciones cambiantes internas y del
entorno.
Una vez establecidas las posibles situaciones y fijados los lmites de la gravedad de las
emergencias, se debe plantear los objetivos y metas d la atencin de emergencias.
Estos objetivos y metas constituyen la base normativa de los criterios que deben utilizarse al
aplicar el plan, ya que es posible que durante su ejecucin surjan alternativas o necesidades no
previstas.
Perfiles de Proteccin
Los Criterios Comunes (CC) contienen el criterio de evaluacin que permite a un evaluador
informar si un Perfil de Proteccin (PP) es completo, consistente y tcnicamente vlido.
Un PP debe presentarse como un documento orientado al usuario, y se ajustar al contenido de
los requerimientos descritos en CC. La estructura que se presenta a continuacin, es la forma en
cmo se ha construido la metodologa de perfiles de proteccin y la cual se basa en el
seguimiento de los puntos contemplados de manera general en la figura 5.8.
Figura 5.8 Contenido del perfil de proteccin

37

Estructura - Introduccin
Contendr el documento administrador y un panorama del PP como se indica a continuacin:
El documento administrador se refiere a la identificacin del PP que proporcionar la
etiqueta y la informacin descriptiva necesaria para identificar, clasificar, registrar y cruzar
referencias en un PP.
El panorama del PP recopilar el PP en su forma narrativa, ser lo suficiente detallado a
fin de que los lectores de la introduccin puedan determinar sin lugar a dudas si el PP es de
inters para la organizacin.
Con base a lo anterior podemos decir que la introduccin es:
Resumen ejecutivo (lo que el dueo o directivo de la organizacin tiene que ver)
Explicacin clara y concisa del problema de seguridad que hay que resolver y de cmo el
esquema de seguridad dar solucin al mismo.
Sntesis de la informacin consistente con el contenido tcnico del PP.
Estructura - Descripcin del objeto de evaluacin
En esta parte del PP se describe al objeto de evaluacin a fin de entender sus requerimientos de
seguridad.
La descripcin:
Aade detalles que complementan la informacin que aparece en la Introduccin.
Va dirigido principalmente al tcnico administrador.
Incluye una descripcin funcional, la cual es ms detallada y va ms all de una
descripcin de las caractersticas de seguridad.
Contiene una descripcin de la frontera del objeto de evaluacin, informando de manera
muy clara qu es lo que est contenido en el objeto de evaluacin, y qu es lo que est
fuera de l.
Debe ser consistente tcnicamente.
Estructura - Entorno de seguridad
Se deben describir los aspectos de seguridad del entorno en el cual se pretende utilizar el objetivo
de evaluacin y la forma como se espera ste sea empleado, de manera que debe incluir:
Una descripcin de las hiptesis.
Una descripcin de las amenazas.
Una descripcin de las polticas de seguridad organizacional.
En el entorno de seguridad:
La descripcin se enfoca principalmente a las necesidades del usuario y con ello facilita la
definicin de requerimientos.
El anlisis considera los diversos factores con los que interacta.
Su anlisis hace explcitas las hiptesis que se plantea al desarrollar el PP y las
expectativas sobre el entorno que no se resolvern en otros mbitos.
Su anlisis identifica las amenazas a las que est expuesto el objeto de evaluacin y
determina las polticas de seguridad que debern operar para resguardar el entorno.
Hiptesis
A travs de las hiptesis se mostrarn los aspectos de seguridad del entorno, para lo cual se debe
incluir: informacin acerca de cmo se pretende utilizar el objeto de evaluacin, informacin acerca
del entorno de uso objeto de evaluacin. As:
Con base en el entorno y su interaccin con diversos elementos, se establecen las
hiptesis, esto es, la forma en que se considera debera comportarse de manera segura el
objeto de evaluacin.
38
Deben identificarse las hiptesis y el alcance de los requerimientos relacionados con el

entorno fsico, el personal, los procedimientos y la conectividad.
Debe evitarse, en la medida de lo posible, incluir detalles de las funciones de seguridad en
la definicin de hiptesis.
Debe asignarse una etiqueta o nombre a cada hiptesis para facilitar las referencias.
Amenazas
Se consideran todas aquellas que atentan contra los bienes de la organizacin y contra las cuales
se requiere proteccin, cada amenaza ser descrita en trminos den un agente identificado como
una amenaza, un ataque y del bien que es el sujeto del ataque. El apartado correspondiente a
amenazas contendr:
Las que sean importantes en trminos de desarrollo de los requerimientos.
Las que los usuarios del objeto de evaluacin y quienes hagan uso del esquema de
seguridad quieran ver explcitamente todas en cuenta.
Las amenazas que sean relevantes, determinando cules son los bienes que requieren
proteccin, contra qu mtodos de ataque o contra qu eventos indeseables hay que
protegerlos, y quines o cules son los agentes amenazadores.
Las descripciones de las amenazas de forma explcita, especificando claramente el origen
de la amenaza, que bienes estn bajo ataque y cul es el mtodo de ataque.
Las descripciones de las amenazas de manera concisa, evitando el traslape de stas.
Las amenazas que pongan en riesgo a los bienes informticos, en lugar de los ataques que
se basen en debilidades o fallas de la implementacin del objeto de evaluacin.
Una etiqueta o nombre para cada amenaza a fin de facilitar las referencias.
Polticas de seguridad de la organizacin
A travs de las polticas de seguridad se identificar, y si es necesario explicar, cualquier
enunciado de poltica de seguridad organizacional y las normas con las cuales el objeto de
evaluacin debe cumplir; con lo que se pretende:
Determinar las polticas de seguridad informtica para la organizacin, as como los
requisitos que no se puedan satisfacer slo mediante el estudio de las amenazas.
Determinar las polticas como conjuntos de reglas que deben ser implementadas por el
objeto de evaluacin.
Asignar una etiqueta o nombre a cada poltica para facilitar las referencias.
Con el diagrama mostrado en figura 5.8 se observa que despus de llevar a cabo la introduccin al
PP que se pretende desarrollar, as como la descripcin del objeto, la primera parte del anlisis se
refiere al estudio del entorno de seguridad en el cual se encuentra el objeto de evaluacin, y esta
primera parte del anlisis se muestra grficamente en la figura 5.9.
Figura 5.9. Anlisis del entorno de seguridad

Estructura - Objetivos
39

El informe de los objetivos de seguridad definir los objetivos de seguridad para el objeto de
evaluacin y su entorno. Se identificarn las siguientes categoras de objetivos:
Objetivos de seguridad para el objeto de evaluacin: debern estar claramente

documentados y referidos a los aspectos de las amenazas identificadas para que puedan
ser contrarrestadas por el objeto de evaluacin y por las polticas de seguridad
organizacional.
Objetivos de seguridad para el entorno: debern estar claramente documentados y
referidos a los aspectos de las amenazas identificadas no contrarrestadas completamente
por el objeto de evaluacin y las polticas de seguridad organizacional o hiptesis no
completamente reunidas.
Los objetivos de seguridad indicarn:
Cmo se hace frente a las amenazas y a las polticas desde el punto de vista de las
hiptesis.
La naturaleza de los requerimientos.
El grado de efectividad esperado.
El enfoque particular de cada objetivo.
Relacin entre el objetivo, las polticas y las amenazas; la cual puede ser: uno a uno, uno a
muchos, o muchos a uno.
Un objetivo de seguridad para cada requerimiento funcional, principal si es qu stos se
conocen, a fin de facilitar el mapeo de los objetivos a los requisitos.
Cualquier objetivo de seguridad que se deba cumplir en el entorno.
Cualquier responsabilidad de procedimientos que se refiera a la administracin y uso de
medidas de defensa del objeto de evaluacin como objetos de seguridad, y debe incluir
hasta qu punto se satisfagan los requerimientos.
El tipo de cada objetivo, esto es, si es de tipo preventivo, detectivo o correctivo.
Una etiqueta o nombre a cada objetivo para facilitar las referencias.
Como se observa, para establecer los objetivos de seguridad (ver figura 5.10) ha sido necesario
considerar los resultados obtenidos del anlisis del entorno de seguridad (hiptesis, amenazas y
polticas de seguridad), a travs de un proceso cclico y de refinamiento.
Figura 5.10. Determinacin de objetivos de seguridad

40

Estructura - Requerimientos
En esta parte del PP se definen detalladamente los requerimientos de seguridad IT que debern
ser cubiertos por el objeto de valuacin o por su entorno, para ello ser necesario realizar una
valoracin de los bienes, a fin de determinar el nivel de seguridad y de garanta necesarios y
seleccionar los requerimientos de garanta de la tecnologa de la informacin con base en el valor
de los activos que se desean proteger; para definir los requerimientos de seguridad de IT
necesarios , hay que considerar los catlogos de requerimientos incluidos en CC (figura 5.11).
Figura 5.11 Determinacin de objetivos de seguridad

El informe de los requerimientos de seguridad definir los requerimientos que le permitan al objeto
de evaluacin y a su entorno funcionar seguramente, as como aquellos que le permita al entorno
garantizar su seguridad, y se definirn en dos vertientes: la primera se refiere todo aquello que
requiera el objeto de evaluacin a fin de que ste opere (funcione) de manera segura, a este tipo
de requerimientos se le denominarequerimientos funcionales; la segunda se refiere a aquello que
garantice que el objeto de evaluacin es seguro y por lo tanto el usuario de ste lo considere
confiable, a este tipo de requerimientos se des denominarequerimientos de garanta.
Estructura - Justificacin
La justificacin debe realizarse considerando dos aspectos fundamentales: los objetivos de
seguridad y los requerimientos de seguridad; el primero demostrar que el conjunto de los
objetivos de seguridad es fcil de seguir para todos los aspectos identificados en el entorno de
seguridad del objeto de evaluacin, y que es conveniente cubrirlos, y el segundo demostrar que
ser de gran utilidad reunir el conjunto de requerimientos de seguridad, y que es fcil de seguir
para alcanzar los objetivos planteados.
Definicin de la arquitectura
Se seleccionan los mecanismos y herramientas necesarios y se lleva a cabo su implementacin,
(figura 5.12), para lo cual es imprescindible:
Disear la arquitectura de seguridad basada en los requerimientos identificados.
Llevar a cabo la seleccin de las herramientas que logren los objetivos planteados, hagan
cumplir las polticas de seguridad y contrarresten las amenazas identificadas.
Buscar soluciones que protejan el objeto de evaluacin en particular, as como el software,
el hardware y el firmeware asociados al entorno de seguridad, con lo que las compaas y
proveedores de servicio estn comprometidos a fin de detener, evitar y contrarrestar
ataques de seguridad IT.
41
Figura 5.12 Implantacin del esquema de seguridad

Implementacin
En este proceso se llevan a cabo la instalacin de las herramientas de seguridad, siendo las
indicaciones dadas por el fabricante a travs de los manuales y configurndolas de acuerdo con
las polticas de seguridad, para lo cual:
Se instalan las herramientas seleccionadas.
La configuracin de la herramientas de hace obedeciendo la polticas de seguridad.
Se lleva a cabo las pruebas pertinentes.
El esquema de seguridad est en reproduccin.
ANLISIS DE RIESGOS
Definicin
Podemos definir el riesgo como:
"La posibilidad de que ocurra algn evento negativo para las personas y/o empresas."
Ya que cualquier persona o entidad est expuesta a una serie de riesgos derivados de factores
internos y externos, tan variables como su propio personal, su actividad, la situacin econmica, la
asignacin de sus recursos financieros o la tecnologa utilizada (Rodrguez, 1995).
Los equipos de cmputo que habitualmente se utilizan en las empresas estn sujetos al riesgo de
que ocurra alguna eventualidad que los dae y debido a que no existe una seguridad total y las
medidas de seguridad no pueden asegurar al 100% la proteccin en contra de las
vulnerabilidades, es imprescindible realizar peridicamente en una organizacin, un anlisis de
riesgos, para identificar las consecuencia probables o los riesgos asociados con las
vulnerabilidades, y as, lograr un manejo de riesgo tras la implementacin y mantenimiento de
controles que reduzcan los efectos de ste a un nivel aceptable.
El anlisis de riegos proporciona herramientas tiles para cuantificar el riesgo y evaluar si este
anlisis es adecuado, tomar medidas para reducirlo, adems intenta mantener un balance
econmico entre el impacto de los riesgos y el costo de las soluciones de un programa efectivo de
seguridad destinadas a manejarlos.
Proceso del Anlisis de Riesgos
En un proceso de anlisis del riesgo debe considerarse la siguiente terminologa:
42

1. Activo: es todo aquello con valor para una organizacin y que necesita proteccin datos
infraestructura, hardware, software, personal y su experiencia, informacin, servicios.
2. Riesgo: posibilidad de sufrir algn dao o prdida.
3. Aceptacin del riesgo: decisin para aceptar un riesgo.
4. Anlisis de riesgo: uso sistemtico de informacin disponible para identificar las fuentes y
para estimar qu tan seguido determinados eventos no deseados pueden ocurrir y la
magnitud de sus consecuencias. Uso sistemtico de la informacin para describir y calcular
el riesgo (ver tabla 5.3). Evaluacin de amenazas y vulnerabilidades de la informacin y su
impacto (ver tabla 5.4) en el procesamiento de la informacin as como su frecuencia de
ocurrencia (ver tabla 5.5).
Tabla 5.3 Un ejemplo de la escala del riesgo
Tabla 5.4 Un ejemplo de impacto del acontecimiento
Tabla 5.5 Un ejemplo de la frecuencia de ocurrencia de un acontecimiento
43

5. Evaluacin del riesgo: comparacin de los resultados de un anlisis del riesgo con los
criterios estndares del riesgo u otros criterios de decisin.
6. Impacto: prdidas como resultado de la actividad de una amenaza, las prdidas son
normalmente expresadas en una o ms reas de impacto destruccin, denegacin de
servicios, revelacin o modificacin.
8. Prdida esperada: el impacto anticipado y negativo a los activos debido a una
manifestacin de la amenaza.
9. Vulnerabilidad: una condicin de debilidad.
10. Amenaza: una accin potencial (que puede suceder o existir, pero no existe an) con la
posibilidad de causar dao.
11. Riesgo residual: el nivel de riesgo que queda despus de la consideracin de todas las
medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. ste debe
ser aceptado como es o reducirse a un punto donde pueda ser aceptado.
12. Control: son los protocolos y mecanismos de proteccin que permiten el cumplimiento de
las polticas de seguridad de la organizacin
Un anlisis de riesgo de seguridad es un procedimiento para estimar el riesgo de los activos de
cmputo relacionados y la prdida debido a la manifestacin de las amenazas. El primer
procedimiento determina el nivel de vulnerabilidad del activo tras identificar y evaluar el efecto de
los controles colocados en el lugar. Un nivel de vulnerabilidad de activo para cierta amenaza se
determina con controles que se encuentran en el lugar en el momento en el que se realiza el
anlisis del riesgo.
Un anlisis de riesgos de seguridad define el ambiente actual y realiza acciones correctivas
recomendadas si el riesgo residual no es aceptable; es un parte virtual de cualquier programa de
manejo de riesgo de seguridad. El proceso de anlisis de riesgo debe ser realizado con suficiente
regularidad para asegurar que cada aproximacin del manejo del riesgo de la organizacin sea
respuesta real a los riesgos actuales asociados con la informacin de sus activos. El manejo de
riesgos debe decir si acepta el riesgo residual o implementa las actividades recomendadas.
Las relaciones entre lo elementos de un anlisis del riesgo se muestra en la figura 5.13.
Figura 5.13 Relaciones entre los elementos de un anlisis de riesgo.

44

Objetivo
El objetivo del anlisis de riegos es tener capacidad de:
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposicin de un recurso a una amenaza determinada.
Determinar qu combinacin de medidas de seguridad proporcionar un nivel de seguridad
razonable a un costo aceptable.
Tomar mejores decisiones en seguida de la informacin.
Enfocar recursos y esfuerzos en la proteccin de activos
Tipos de anlisis del riesgo
Una de las principales funciones del anlisis del riesgo de seguridad es poner este proceso sobre
una base ms objetiva.
Existen dos tipos esenciales del anlisis del riesgo:
1. Anlisis cuantitativo del riesgo
Todos los activos, sus recursos y los controles se identifican, y se evalan en trminos monetarios.
Todas las amenazas potenciales se identifican y se estima la frecuencia de su ocurrencia, estas
amenazas se comparan con las vulnerabilidades potenciales del sistema de tal forma que se
identifiquen las reas que son sensibles.
Posteriormente el anlisis cuantitativo del riesgo hace uso del trmino Expectativa de Prdida
Anual (ALE) o Costo Anual Estimado (EAC), el cual es calculado para cierto acontecimiento
simplemente multiplicando la frecuencia de la ocurrencia de la amenaza por el valor del activo o
clasificacin del dao. Para esto, es necesario recolectar con detalle estimaciones exactas
utilizando tcnicas matemticas y estadsticas.
De esta forma se puede decidir si los controles existentes son adecuados o si se requiere la
implementacin de otros, esto se observa cuando el producto obtenido tras multiplicar el valor del
activo por la frecuencia de la ocurrencia de la amenaza en un perodo de tiempo determinado por
la duracin del control es menor que el costo de dicho control.
Los problemas con este tipo de anlisis de riesgo se asocian generalmente a la falta de fiabilidad y
a la inexactitud de los datos y algunas veces puede interpretarse errneamente los resultados.
2. Anlisis cualitativo del riesgo
En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio que representan
la frecuencia de ocurrencia y el valor de los activos. La desventaja es que pueden existir reas
significativamente expuestas que no hayan sido identificadas como posibles fuentes de riesgo.
Ambos tipos de anlisis del riesgo hacen uso de los siguientes elementos interrelacionados:
Amenazas: las amenazas estn siempre presentes en cada sistema.
Vulnerabilidades: las vulnerabilidades permiten que un sistema sea ms propenso a ser
atacado por una amenaza o que un ataque tenga mayor probabilidad de tener xito o
impacto.
Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
Los controles disuasivos reducen la probabilidad de un ataque deliberado.
Los controles preventivos protegen vulnerabilidades y hacen que un ataque fracase o
reduzca su impacto.
Los controles correctivos reduce el efecto de un taque.
Los controles detectores descubren ataques y disparan controles preventivos o correctivos.
Cmo establecer los requerimientos y riesgos de seguridad
Existen tres fuentes principales que deben considerarse para que una organizacin identifique sus
requerimientos de seguridad:
45
La primera fuente se deriva de determinar los riesgos de la organizacin. A travs de la

evaluacin del riesgo se identifican las amenazas a los activos y la vulnerabilidad de stos,
tambin se evala la probabilidad de ocurrencia y se estima el potencial de impacto.
La segunda fuente se refiere a los requerimientos legales, regulatorios, contractuales y
establecidos que una organizacin, sus socios comerciales y proveedores de servicio
tienen que satisfacer.
La tercera fuente es el conjunto particular de principios, objetivos y requerimientos para el
procesamiento de la informacin que una organizacin ha desarrollado para mantener sus
operaciones.
Los requerimientos de seguridad son identificados mediante una evaluacin metdica de riesgos
de seguridad. Las tcnicas de evaluacin de riesgo pueden ser aplicadas a toda la organizacin, o
slo en algunas partes, como en los sistemas individuales de informacin, componentes
especficos del sistema o servicios donde esto es factible, realista y til.
La evaluacin del riesgo es una consideracin sistemtica de:
El dao al negocio es probablemente debido a una falla de seguridad, tomando en cuenta
las consecuencias potenciales de una prdida de confidencialidad, integridad o
disponibilidad de la informacin y otros activos.
La probabilidad real de la ocurrencia de una falla ante amenazas y vulnerabilidades
comunes y de controles recientemente implementados.
Los resultados de esta evaluacin ayudarn a guiar y determinar la accin apropiada de
administracin y las prioridades para manejar los riesgos de seguridad de la informacin.
Es necesario realizar revisiones peridicas de riesgos de seguridad y controles implementados
para:
Tomar en cuenta los cambios de requerimientos de negociacin y las prioridades.
Considerar nuevas amenazas y vulnerabilidades.
Confirmar que los controles son efectivos y apropiados.
Las evaluaciones de riesgo son generalmente verificadas primero en un nivel alto, como medio
para establecer la prioridad de los recursos en reas de alto riesgo, y posteriormente en un nivel
ms detallado para analizar los riesgos especficos.
Pasos del anlisis del riesgo
Cualquier anlisis del riesgo de seguridad debe indicar:
El actual nivel de riesgo.
Las consecuencias probables.
Qu hacer con el riesgo residual si es muy alto.
Los tres elementos principales en un anlisis de riesgo son:
Un balance del impacto o del costo de alguna dificultad especfica si sta sucede.
Una medida de la efectividad de los controles dentro del lugar,
Una serie de recomendaciones para corregir o minimizar los problemas identificados.
El proceso de anlisis de riesgo consiste de ocho pasos interrelacionados:
1. Identificar y evaluar los activos
Identificar y asignar un valor a los activos que necesitan proteccin. El valor del activo se basa en
su costo, sensibilidad, misin crtica, o la combinacin de estas propiedades.
46

2. Identificar las amenazas
Despus de identificar los activos que requieren proteccin, las amenazas a stos deben ser
identificadas y examinadas para determinar cul sera la prdida si dichas amenazas se presentan.
3. Identificar/describir vulnerabilidades
El nivel de riesgo se determina analizando la relacin entre las amenazas y las vulnerabilidades.
Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay reas
de lata vulnerabilidad que no tienen consecuencia si no presentan amenazas.
4. Determinar el impacto de la ocurrencia de una amenaza
Cuando la explotacin de una amenaza ocurre, los activos sufren cierto impacto. Las prdidas son
catalogadas en reas de impacto llamadas:
Revelacin: cuando la informacin es procesada y se pierde la confidencialidad.
Modificacin: el efecto de la manifestacin de una amenaza cambia de estado original del
activo
Destruccin: el activo es logrando su completa prdida.
Denegacin de servicio: prdida temporal de los servicios.
5. Controles en el lugar
La identificacin de los controles es parte del proceso de recoleccin de datos en cualquier
proceso de anlisis del riesgo. Existen dos tipos principales:
Controles requeridos: todos los controles de es esta categora pueden ser definidos con
base en una o ms reglas escritas.
Controles discrecionales: este tipo de controles es elegido por los administradores.
6. Determinar los riesgos residuales (conclusiones)
Siempre existir un riesgo residual por lo tanto, debe determinarse cundo el riesgo residual, es
aceptable o no. El riesgo residual toma la forma de las conclusiones alcanzadas en el proceso de
evaluacin. Las conclusiones deben identificar:
Las tareas que tienen alta vulnerabilidad junto con la probabilidad de ocurrencia de la
amenaza.
Todos los controles que no estn dentro del lugar.
7. Identificar los controles adicionales (recomendaciones)
El siguiente paso es identificar la forma ms efectiva y menos costosa para reducir el riesgo a un
nivel aceptable. Un intercambio operacional el cual puede tomar la forma de costo, convivencia,
tiempo, o una mezcla de los anteriores- debe realizarse al mismo tiempo que los controles
adicionales son implementados. Las recomendaciones son:
Recomendacin de controles requeridos: controles requeridos u obligatorios que no se
encuentran en el lugar son las primeras recomendaciones.
Recomendaciones de controles discrecionales: la segunda recomendacin generalmente
identifica los controles direccionales necesarios para reducir el nivel de riesgo.
8. Preparar un informe del anlisis del riesgo
El proceso de anlisis del riesgo determina si los controles son efectivos. Cuando el anlisis est
completo, un informe de la evaluacin del riesgo debe prepararse. Los detalles tcnicos del reporte
deben incluir como mnimo:
Niveles de vulnerabilidad.
Amenazas correspondientes y su frecuencia.
47
El ambiente usado.
Conexin del sistema
Nivel o niveles de sensibilidad de los datos
Riesgo residual, expresado en una base individual de vulnerabilidad.
Clculos detallados de la expectativa de prdida anual.
Es esencial asegurarse que los controles y el gasto que implica sean completamente
proporcionales a los riesgos a los cuales se expone la organizacin.
Consideraciones adicionales durante el anlisis del riesgo
En cualquier anlisis del riesgo deben tomarse en cuenta tres costos o valores fundamentales:
Costo del sistema informtico (Cr): valor de los recursos y la informacin a proteger.
Costo de los medios necesarios (Ca): qu medios y el costo respectivo que un
criptoanalista requiere para romper las medidas de seguridad establecidas en el sistema.
Costo de las medidas de seguridad necesarias (Cs): medidas y su costo para salvaguardar
los bienes informticos.
Para que la poltica se seguridad del sistema sea lgica debe cumplirse la siguiente relacin:
Ca > Cr > Cs
En el que Ca > Cr, significa que el ataque al sistema debe ser ms costoso que su valor.
El que Cr > Cs, significa que no debe costar ms la informacin que la informacin protegida. Si
esto ocurre, resultara conveniente no proteger el sistema y volver a obtener la informacin en
caso de prdida.
a) Anlisis del valor del sistema informtico
Al evaluarse el sistema informtico que se desea proteger, su valor puede desglosarse en dos
parte fundamentales:
El valor intrnseco del producto que se va a proteger.
Los costos derivados de su prdida.
b) Valor intrnseco
Es la parte ms sencilla de valorar, puesto que en la mayora de los casos se pueden establecer
valores objetivos y medibles de los recursos e informacin. Se trata de enumerar los recursos
incluidos en el sistema informtico y de establecer su valor.
c) Costos derivados
Dependiendo del tipo de sistema con que se trata, pueden ser muy distintos, o su valor e
importancia relativa pueden variar enormemente. En trminos generales se puede incluir los
siguientes conceptos:
Valor de sustituir el hardware.
Valor de sustituir el software.
Valor de los resultados.
Costo de reproducir los experimentos significativos.
Costo de regenerar la informacin personal.
48

ASPECTOS LEGALES Y TICOS
Leyes Mexicanas
El Derecho surge como un medio efectivo para regular la conducta del hombre en sociedad, regula
la conducta y los fenmenos sociales a travs de leyes; cabe sealar que el proceso de creacin
de las leyes es largo y lento, por esto presenta un grave rezago considerable en materia de leyes
informticas.
Los principales asuntos que se deberan legislar son:
1. Delitos informticos
2. Contratos electrnicos y firma electrnica
3. Proteccin de la privacidad y de la informacin
4. Propiedad Intelectual
5. Cmputo forense
6. Contenidos en Internet
1. Delitos informticos
El delito informtico puede considerarse como toda accin (accin u omisin) culpable realizada
por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el
autor o que, por el contrario, produzca un beneficio ilcito a su autor aunque no perjudique de
forma directa o indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno informtico
y est sancionado con una pena. Tambin los delitos informticos se definen como "cualquier
comportamiento criminal en que la computadora est involucrada como material, objeto o mero
smbolo".
Encontramos sancionadas las siguientes conductas:
a) Modificacin, destruccin o provocar la prdida de informacin contenida en sistemas o equipos
informticos, (virus, gusanos)
b) Conocer o copiar la informacin contenida en sistemas o equipos.
Es importante sealar que las penas varan si se trata de sistemas o equipos de particulares, del
Estado o de las Instituciones que integran el Sistema Financiero, asimismo se agravan si
tratndose de sistemas o equipos del Estado, el presunto contaba con autorizacin para el acceso.
Las penas se incrementan si son realizadas por empleados del Sistema Financiero o si se obtiene
provecho de la informacin obtenida (en ste caso, estaramos en presencia de fraude, si bien el
Cdigo no lo tipifica como tal). Sin embargo, inexplicablemente no se sancionan las conductas
descritas tratndose de equipos o sistemas privados cuando el agente cuenta con autorizacin
para el acceso.
c) Uso y/o reproduccin no autorizada de programas informticos con fines de lucro (piratera).
En este caso vale la pena resaltar que es sta una de las conductas antijurdicas en esta materia
mejor regulada, en virtud de la armonizacin lograda con la Ley Federal del Derecho de Autor,
misma que protege los programas de cmputo. Tambin cabe aclarar que se sanciona asimismo al
que fabrique, importe, venda o arriende algn sistema o dispositivo destinado a descifrar seales
cifradas de satlite que contengan programas o algn dispositivo o sistema diseado para
desactivar la proteccin de un programa de cmputo. Las penas por la reproduccin de obras
protegidas con fines de lucro son fuertes (2 a 10 aos de prisin y de 2000 a 20,000 das de
multa).
d) Ataque a las vas de comunicacin y obtencin de informacin que pasa por el medio.
El Cdigo Penal Federal sanciona con uno a cinco aos de prisin y 100 a 10,000 das de multa al
que dolosamente o con fines de lucro, interrumpa o interfiera comunicaciones almbricas,
49

inalmbricas, o de fibra ptica, sean telegrficas, telefnicas o satelitales, por medio de las cuales
se transmitan seales de audio, video o datos.
Aqu encuadran, entre otras, las conductas encaminadas a obtener informacin financiera o de
crdito de las personas (al hacer una compra por Internet, por ejemplo), as como el interceptar
correos electrnicos antes de que lleguen a su destinatario; sin embargo, no se tipificara el hecho
de acceder al buzn de correo electrnico de alguien y leer su correspondencia, lo cual crea un
vaco legal al resultar controversial (o al menos, merecer interpretacin) el poder encuadrar esta
conducta en el delito de violacin de correspondencia, que se refiere al que abra o intercepte una
comunicacin escrita que no est dirigida a l
En este caso la ley especficamente hace alusin al caso de la exhibicin corporal, lasciva o sexual
de menores de 18 aos mediante anuncios electrnicos, sancionando al que procura, facilita,
induce u obliga a los menores, as como al o los que elaboran, reproducen, venden, arriendan,
exponen, publicitan o transmiten el material referido. stas conductas se punen con prisin que va
de los 5 a los 14 aos y multa de 1000 a 3000 das, pero a quien dirija asociacin delictuosa
dedicada a los fines descritos, se le impondrn de 8 a 16 aos y de 3,000 a 10,000 das de multa.
e) Asociacin delictuosa y pandilla.
El Cdigo Penal sanciona el hecho de formar parte de alguna asociacin o banda con el propsito
de delinquir y tambin regula de forma especial a las pandillas, entendiendo por stas la reunin
habitual, ocasional o transitoria de tres o ms personas que sin estar organizadas con fines
delictivos, llegan a cometer algn delito.
A este respecto tambin cabe la consideracin de si encuadraran en la descripcin del tipo penal
las asociaciones, bandas y pandillas electrnicas, es decir, gente que sin conocerse siquiera, se
rene electrnicamente a travs de Internet para planear la comisin de ilcitos, o bien, que
reunindose con otros fines, llegan a intervenir en la realizacin de algn delito, sean stas
habituales, ocasionales o de primera vez.
2. Contratos electrnicos y firma electrnica
La firma electrnica es un conjunto de datos adjuntados o asociados a un mensaje y utilizados
como medio para identificar al autor y garantizar la integridad de los documentos digitales.
Entonces, es el resultado de obtener un patrn que se asocie biunvocamente a un individuo y su
voluntad de firmar, utilizando determinados mecanismos, tcnicas o dispositivos electrnicos que
garanticen que despus no pueda negar su autora.
El fin de la firma digital es el mismo que el de la firma olgrafa: Prestar conformidad y
responsabilizarse con el documento firmado. No obstante de los conceptos que anteceden se
desprende que hay distintos niveles de confiabilidad y/o de seguridad de la firma electrnica.
Al hablar de contratos nos referimos al acuerdo de voluntades en orden a una determinada
convencin destinada a reglar sus derechos. Se fundamenta principalmente en la autonoma de la
voluntad de las partes. Pero en el mundo de Internet, las nuevas estrategias de contratacin y los
contratos electrnicos no son ms que un acuerdo de voluntades, aunadas a travs de redes
digitales, destinadas a crear, modificar o transferir derechos de las partes.
sta materia se encuentra regulada en varias leyes:
La Ley de Instituciones de Crdito
La Ley del Mercado de Valores
El Cdigo de Comercio
50
La Ley Federal de Proteccin al Consumidor

El Cdigo Civil Federal
a) La Ley de Instituciones de Crdito

Autoriza a las mismas a pactar la celebracin de sus operaciones y la prestacin de servicios con
el pblico, mediante el uso de equipos, medios electrnicos, pticos o de cualquier otra tecnologa,
sistemas automatizados de procesamiento de datos y redes de telecomunicaciones, ya sean
privados o pblicos.... La propia ley determina asimismo, que en los contratos respectivos deben
de establecerse cules sern los medios para identificar al usuario y para hacer constar la
creacin, transmisin, modificacin o extincin de los derechos y obligaciones inherentes a las
operaciones de que se trate, otorgndoles validez y valor probatorio a los medios de identificacin
que se establezcan en sustitucin de la firma autgrafa.
b) La Ley del Mercado de Valores
Al regular el contrato de intermediacin burstil, autoriza a las partes a convenir libremente el uso
de tlex, telefax o cualquier otro medio electrnico, de cmputo o telecomunicaciones para el
envo, intercambio o confirmacin de las rdenes de la clientela inversionista, debiendo las partes
precisar las claves de identificacin recproca y las responsabilidades que conlleve su utilizacin.
c) El Cdigo de Comercio
La primera vez que se legisl en materia de comercio electrnico en Mxico fue en mayo de 2000,
con las primeras reformas realizadas al Cdigo de Comercio, al Cdigo Civil que despus sera
federal y al Cdigo Federal de Procedimientos Civiles; posteriormente, en agosto de 2003, se
volvi a reformar el Cdigo de Comercio, incorporando un Ttulo Segundo referente al Comercio
electrnico. Bsicamente, se autoriza el empleo de medios electrnicos, pticos y de cualquier otra
tecnologa en los actos de comercio y la formacin de los mismos, sentando las bases de lo que se
entiende por mensaje de datos y firma electrnica, estableciendo la necesidad de que se confirme
el vnculo entre un firmante y los datos de creacin de la firma electrnica mediante un certificado,
que deber ser expedido por un prestador de servicios de certificacin autorizado en este caso por
la Secretara de Economa. El Cdigo dicta los lineamientos para determinar cundo y dnde se
presume que un mensaje de datos ha sido enviado y recibido, las formalidades a seguir cuando el
acto deba constar por escrito o ante fedatario pblico, los requisitos para que una firma electrnica
se considere fiable, las obligaciones del firmante y del destinatario, los requisitos para ser
prestador del servicio de certificacin, las obligaciones de los prestadores de este servicio y los
elementos de un certificado (nacional o extranjero) vlido.
d) La Ley Federal de Proteccin al Consumidor
Protege como confidencial la informacin que ste proporcione al proveedor, prohibiendo su
difusin a otros proveedores ajenos, salvo autorizacin expresa e imponiendo al proveedor la
obligacin de utilizar los elementos tcnicos disponibles para brindar confidencialidad y seguridad
a la informacin proporcionada. Tambin obliga al proveedor a entregar al consumidor antes de la
transaccin, sus nmeros telefnicos y domicilio fsico en donde pueda presentar reclamaciones.
e) El Cdigo Civil Federal
Al regular el consentimiento, menciona que ser expreso cuando se manifieste verbalmente, por
escrito, por medios electrnicos, pticos o por cualquier otra tecnologa, o por signos
inequvocos...; asimismo, equipara a la oferta hecha entre presentes la realizada por medios
electrnicos, pticos o de cualquier otra tecnologa que permita la expresin de la oferta y la
aceptacin de sta en forma inmediata.
51

3. Proteccin de la privacidad y de la informacin
La intimidad o Privacidad podemos definirla como: Conjunto de circunstancias, cosas,
experiencias, sentimientos y conductas que un ser humano desea mantener reservado para s
mismo, con libertad de decidir a quin le da acceso. Que impone a todos los dems la obligacin
de respetar. En Internet podemos entender esto como el derecho de una persona a no ser
publicitada, exhibida.
sta materia se encuentra regulada en varias leyes:
I.
La Ley Federal de Proteccin al Consumidor
II.
La Ley Federal del Derecho de Autor
III.
La Ley de Instituciones de Crdito
IV.
Existe una iniciativa de Ley Federal de Proteccin de Datos Personales
a) La Ley Federal de Proteccin al Consumidor
Como veamos en el punto anterior, protege como confidencial la informacin que ste proporcione
al proveedor, prohibiendo su difusin a otros proveedores ajenos, salvo autorizacin expresa e
imponiendo al proveedor la obligacin de utilizar los elementos tcnicos disponibles para brindar
confidencialidad y seguridad a la informacin proporcionada.
b) La Ley Federal del Derecho de Autor
Al proteger las bases de datos que por razones de disposicin de su contenido constituyan obras
intelectuales, establece que la informacin privada de las personas contenidas en dichas bases no
podr ser divulgada, transmitida ni reproducida, salvo con el consentimiento de la persona de que
se trate.
c) La Ley de Instituciones de Crdito,
Sanciona con prisin y multa al que "obtenga o use indebidamente la informacin sobre clientes u
operaciones del sistema bancario sin contar con las autorizacin correspondiente"; sin embargo,
slo puede imponer pena de prisin un juez penal y su fundamento tiene por fuerza que ser una
ley penal. El Cdigo Penal Federal sanciona al que indebidamente utilice informacin confidencial
reservada a la institucin o a persona facultada, con el objeto de producir, alterar o enajenar
tarjetas o documentos utilizados para el pago de bienes o servicios o para disposicin de efectivo,
por lo que como se ve, la disposicin no va encaminada a proteger la privacidad, sino slo en la
medida en que se evita el fraude.
d) Existe una iniciativa de Ley Federal de Proteccin de Datos Personales,
La ley define lo que se entiende por datos personales, datos sensibles, banco de datos,
tratamiento de datos, usuario, responsable e interesado y establece que toda persona tiene
derecho a ser informada sobre la existencia de un archivo de datos sobre ella, la identidad y
domicilio del responsable del mismo y su posibilidad de ejercer derechos de acceso,
complementacin, rectificacin, reserva y cancelacin. Se determinan los derechos y obligaciones
de los responsables de archivos o bases de datos, as como la creacin de un Instituto encargado
de controlar, organizar, estructurar, y vigilar la proteccin de datos personales. Tambin se crea la
accin de proteccin de datos personales, como procedimiento civil.
e) Por lo que se refiere al spam
Desde finales de 2003, la PROFECO colabor activamente con pases miembros del comit de
polticas de consumidor para la elaboracin de un documento titulado: Background Paper on Spam
en donde se hace un anlisis del problema de spam y trata de esbozar las herramientas legales
que posee cada una de las agencias con la finalidad de combatir esta prctica.
52

Posteriormente como resultado de las reformas a la Ley Federal de Proteccin al Consumidor del
4 de Febrero de 2004, la PROFECO reforz y mejor el marco jurdico en los siguientes rubros:
Las prcticas de mercadotecnia y de publicidad con el objeto de proteger al consumidor
mexicano de los mensajes no solicitados que constantemente envan empresas de tele
mercade y publicidad por correo electrnico.
Veracidad de la informacin sobre bienes y servicios para evitar prcticas abusivas o
engaosas por parte de empresas y proveedores.
Celebracin de contratos de adhesin por va electrnica y servicios adicionales o conexos
no previstos en el contrato original.
La presentacin de denuncias por va electrnica por incumplimiento a las disposiciones de

la LFPC, la Ley Federal de Metrologa y Normalizacin, normas oficiales mexicanas y
dems disposiciones aplicables
4. Propiedad Intelectual
La propiedad intelectual supone el reconocimiento de un derecho de propiedad especial en favor
de un autor u otros titulares de derechos, sobre las obras del intelecto humano.
En Mxico, estn protegidos los programas de cmputo as como las bases de datos que por su
composicin constituyan obra intelectual, como apuntamos anteriormente. La ley que tutela stos
derechos es la Ley Federal del Derecho de Autor, misma que entiende por programa de cmputo
"la expresin original en cualquier forma, lenguaje o cdigo, de un conjunto de instrucciones que
con una secuencia, estructura y organizacin determinada, tiene como propsito que una
computadora o dispositivo realice una tarea o funcin especfica".
La Ley protege programas tanto operativos como aplicativos y deja fuera a los que tienen por
objeto causar efectos nocivos. Autoriza al usuario legtimo a hacer las copias que le permita la
licencia, o bien, una sola que sea indispensable para la utilizacin del programa o sea destinada
slo para resguardo. El autor tiene derecho de prohibir adems de la reproduccin, la traduccin,
adaptacin o arreglo al programa, as como su distribucin o decompilacin. Se prohbe adems la
importacin, fabricacin, distribucin y utilizacin de aparatos o prestacin de servicios destinados
a eliminar la proteccin tcnica de los programas de cmputo. La violacin a lo anterior, constituye
una infraccin en materia de comercio, sancionada con multa por el Instituto Mexicano de la
Propiedad Intelectual. Adems, est la tipificacin penal a que aludimos en el punto uno de este
trabajo.
En Mxico existe el reconocimiento que hace el Estado a travs de la Ley Federal del Derecho de
Autor (LFDA) a favor de todo creador de programas de cmputo otorgando proteccin para que el
autor goce de prerrogativas y privilegios exclusivos de carcter personal y patrimonial.
La proteccin que otorga esta ley se concede a los programas de cmputo desde el momento en
que hayan sido fijados en un soporte material, por lo que no se requiere ni registro ni documento
de ninguna especie, sin embargo para efectos legales es recomendable que se realice el registro
en el Instituto Nacional del Derecho de Autor (INDAUTOR) quien garantiza el reconocimiento de
este derecho a travs de un antecedente fechado por esta institucin de carcter oficial, quien
ayudara a resolver controversias en caso de suscitarse.
Para el registro de programas de cmputo en el INDAUTOR se tienen que cumplir los siguientes
requisitos:
Se deben presentar por duplicado, engargolados o en forma tal que se evite su maltrato o prdida:
53

Sntesis de la funcin del programa de cmputo
Relacin ascendente de archivos que componen el programa
Las diez primeras hojas y las diez ultimas hojas del cdigo fuente.
Ejemplar del programa de cmputo completo grabado en cualquier soporte material.
Los documentos necesarios se pueden descargar de:
http://www.sep.gob.mx/wb/sep1/sep1_Formatos_y_requisitos_para_tramites
Dentro de los documentos que se tiene dentro de la pgina son:

Solicitud de registro del programa de cmputo RPFA-01 debidamente llenado.
RDPA-01 A1, Hoja adjunta para los casos en que haya varios autores y titulares.
RDPA-01 A2, Hoja adjunta para los casos en que se hace referencia a las diversas obras
primigenias que se utilizaron para la creacin de una obra derivada.
Formato SHCP-5 Original de la forma en la que conste el pago de los derechos
correspondientes.
En caso de haberlo, carta poder para el gestor o representante legal.
Si el solicitante no es el titular de los derechos patrimoniales de autor (Facultad que posee
el autor de explotar su obra con fines de lucro), deber acreditar su titularidad con el
original de la carta de colaboracin, contrato o documento respectivo.
Si el titular de los derechos patrimoniales de autor es una persona moral, deber acreditar
su personalidad y la de su representante.
El plazo de respuesta una vez efectuado el registro, el autor o su representante legal podrn
recoger el certificado de registro y un ejemplar de la obra con los datos de inscripcin, en un
trmino de 14 das hbiles. El costo de Registro de Obra es de $148.00 (ciento cuarenta y ocho
pesos 00/100 M.N.)
5. Cmputo forense
Es el proceso de aplicacin de tcnicas cientficas y analticas a infraestructura de cmputo, para
identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un
procedimiento legal. El trmino forense proviene de foro -sitio donde los tribunales juzgan las
causas- implica un ejercicio y aplicacin de ndole tcnica y de procedimientos mediante los cuales
se aprovechan una o varias ramas de la investigacin criminal o de ciencias conexas que estudian
y resuelven casos concretos ligados habitualmente a situaciones legales o jurdicas. Lo forense es
tambin establecer premisas y fundar conclusiones especficas, amoldndolas para ello a un
proceso, siguiendo un mtodo estructurado de tal manera que permita formular una resolucin
expresada en trminos tcnicos.
Apenas legislada esta materia, diversos ordenamientos legales se limitan a otorgarles valor
probatorio a los documentos o instrumentos que se obtengan por medios electrnicos (Cdigo de
Comercio, Ley de Instituciones de Crdito, Ley del Mercado de Valores). El Cdigo Federal de
Procedimientos Civiles expresamente reconoce como prueba la informacin generada o
comunicada que conste en medios electrnicos, pticos o en cualquier otra tecnologa, debindose
estar a la fiabilidad del mtodo con el que haya sido generada, comunicada, recibida o archivada y
si es posible atribuir a las personas obligadas el contenido de la misma, siendo accesible para su
ulterior consulta.
En este caso, adems de la necesidad de unificar las diversas legislaciones del pas tanto en
materia penal como civil, se requiere ser ms especficos ya que no se dice qu determina "la
fiabilidad del mtodo con el que haya sido generada", por lo que es necesario remitir a
54

estndares internacionales como son el ISO (International Standard Organization) y el IEEE
(Institute of Electric and Electronic Engineers).
Pero adems sera conveniente establecer ciertas obligaciones para los proveedores del servicio
de Internet, y para los titulares de nombres de dominio, como el establecer cuentas abuse (para
recibir quejas de los usuarios), llevar de manera organizada logs o bitcoras y tener identificables
los nmeros de telfono, IP asignada y tiempo de conexin de los usuarios, para que sea ms fcil
en determinado momento para un perito en cmputo, reunir los documentos que deban aceptarse
como prueba en un juicio.
6. Contenidos en Internet
Es ste un asunto de los ms difciles en cuanto a regulacin se trata, en virtud del carcter
absolutamente internacional del Internet y de la enorme cantidad de sitios que existen. Se han
hecho algunos esfuerzos por regular un adecuado uso de Internet, aislados y sin fructificar
(Europa, Estados unidos de Amrica). Este complejo asunto se manifiesta por ejemplo, en el
hecho de que estando prohibidos los casinos en Mxico, no exista forma alguna de evitar que las
personas jueguen en casinos virtuales y mucho menos, de sancionarlas.
Consideramos que el nico contenido de Internet que est prohibido y sancionado en nuestro pas
es el de la pornografa infantil, mencionado en el punto uno de este escrito.
En este aspecto vuelve a resaltar la necesidad de establecer obligaciones para los titulares de
nombres de dominio, llevando une estricto registro de los mismos, as como para los proveedores
del servicio.
TICA
Por lo que la tica en la Informtica (EI) podra definirse las siguientes formas:
Se define "como la disciplina que analiza los problemas ticos que son creados por las
tecnologas computacionales o tambin los que son transformados o agravados por la
misma". Es decir, por las personas que utilizan los avances de las tecnologas de la
informacin.
"Es el anlisis de la naturaleza y el impacto social de la tecnologa informtica y la
correspondiente formulacin y justificacin de polticas para un uso tico de dicha
tecnologa", esta definicin est relacionada con los problemas conceptuales y los vacos
en las regulaciones que ha ocasionado la tecnologa de la informacin.
Tambin se define a la EI "como la disciplina que identifica y analiza los impactos de las
tecnologas de la informacin en los valores humanos y sociales", estos valores afectados
son: la salud, la riqueza, el trabajo, la libertad, la democracia, el conocimiento, la privacidad,
la seguridad o la autorrealizacin personal.
Objetivos
Para esta disciplina de tica Informtica se plantea varios objetivos:
Descubrir y articular dilemas ticos clave en informtica.
Determinar en qu medida son agravados, transformados o creados por la tecnologa
informtica.
Analizar y proponer un marco conceptual adecuado y formular principios de actuacin para
determinar qu hacer en las nuevas actividades ocasionadas por la informtica en las que
no se perciben con claridad lneas de actuacin.
Utilizar la teora tica para clarificar los dilemas ticos y detectar errores en el razonamiento
tico.
55
Proponer un marco conceptual adecuado para entender los dilemas ticos que origina la
informtica y adems establecer una gua cuando no existe reglamentacin de dar uso a
Internet.
Deontologa
La deontologa informtica, por tanto trata, de la moral o tica profesional en el manejo del activo
ms importante que tenemos, un bien cada vez ms apreciado, que es la informacin, a travs de
los cdigos de tica.
Cdigo de tica
Los cdigos de tica contienen principios claves, relacionados con el comportamiento y las
decisiones tomadas de las diferentes profesiones que comprende el campo de la programacin y
la informacin, ya sean profesionales en ejercicio, educadores, gestores, directivos y
responsables, as como educandos y estudiantes de la profesin.
Algunos cdigos de tica son:
Cdigo de tica del ingeniero mexicano
El Ingeniero reconoce que el mayor mrito es el trabajo, por lo que ejercer su profesin
comprometido con el servicio de la sociedad mexicana, a tendiendo al bienestar y progreso de la
mayora.
Al transformar la naturaleza en beneficio de la humanidad, el Ingeniero debe acrecentar su
conciencia de que el mundo es la morada del hombre y de que su inters por el universo es una
garanta de la superacin de su espritu y del conocimiento de la realidad para hacerla ms justa y
feliz.
El Ingeniero debe rechazar los trabajos que tengan como fin atentar contra el inters general, de
esta manera evitara situaciones que involucren peligro o constituyan una amenaza contra el medio
ambiente, la vida, la salud y dems derechos del ser humano.
Es un deber ineludible del ingeniero sostener el prestigio de la profesin y velar por su cabal
ejercicio; as mismo, mantener una actitud profesional amentada en la capacidad, la honradez, la
fortaleza, la templanza, la modestia, la franqueza y la justicia, con la conciencia de subordinar el
bienestar individual al bienestar social.
El Ingeniero debe procurar el perfeccionamiento constante de sus conocimientos, en particular de
su profesin, divulgar su saber, compartir su experiencia, proveer oportunidades para la formacin
y capacitacin de los trabajadores brindar reconocimiento, apoyo moral y material a la educacin
educativa donde realiz sus estudios de esta manera revertir a la sociedad las oportunidades que
ha recibido.
Es responsabilidad del Ingeniero que su trabajo se realice con eficiencia y apego a las
disposiciones legales. En particular velara por el cumplimiento de las normas de proteccin a los
trabajadores, establecidas en la legislacin laboral mexicana.
En el ejercido de su profesin, el Ingeniero debe cumplir con diligencia los compromisos que haya
asumido y desempeara con dedicacin y lealtad los trabajos que se le asignen, evitando
anteponer sus intereses personales en la atencin de los asuntos que se le encomienden, o
coludirse para ejercer competencia desleal en perjuicio de quien reciba sus servicios.
56

Observara una conducta decorosa, tratando con respeto, diligencia, imparcialidad y rectitud, a las
personas con las que tenga relacin, particularmente a sus colaboradores, abstenindose de
incurrir en desviaciones o abuso de autoridad y de disponer o autorizar a un subordinado
conductas ilcitas, as como de favorecer indebidamente a terceros.
Debe salvaguardar los intereses de la institucin o personas para las que trabaje y hacer buen uso
de los recursos que se le hayan asignado para el desempeo de sus labores.
Cumplir con eficiencia que en ejercicio de sus atribuciones le dicten sus superiores jerrquicos,
respetar y har respetar su posicin y trabajo; si discrepara de sus superiores tendr la obligacin
de manifestar ante ellos las razones de su discrepancia.
El Ingeniero tendr como norma crear y promover la tecnologa nacional, pondr especial cuidado
en vigilar que la transformacin tecnolgica se adapte a nuestras condiciones conforme el marco
legal establecido. Se obligara a guardar secreto profesional de los datos confidenciales que
conozca en ejercido de su profesin salvo que sean requeridos por autoridades competentes.
Cdigo de tica de la ACM (Association for Computing Machinery)
Este Cdigo, consistente en 24 preceptos expresados como declaraciones de responsabilidad
personal, identifica los elementos de tal compromiso.
Este cdigo trata muchos de los aspectos, pero no todos, que los profesionales probablemente
afrontarn. La Seccin 1 perfila las consideraciones ticas fundamentales, mientras que la Seccin
2 trata reflexiones adicionales, ms especficas sobre la conducta profesional. Los preceptos de la
Seccin 3 incumben ms especficamente a personas que tengan una funcin de liderazgo, bien
sea en su lugar de trabajo o en calidad de voluntarias, como puede suceder en organizaciones
tales como la ACM.
1. Preceptos Morales Generales
1. Contribuir al bienestar de la sociedad y de la humanidad.
2. Evitar dao a otros.
3. Ser honesto/a y confiable.
4. Ser justo/a y actuar para no discriminar.
5. Respetar los derechos de propiedad, incluyendo las patentes y derechos de autor.
6. Reconocer adecuadamente la propiedad intelectual.
7. Respetar la intimidad de otros.
8. Respetar la confidencialidad.
2. Responsabilidades profesionales ms especficas
1. Me esforzar para alcanzar la mayor calidad, efectividad y dignidad en los procesos
y productos del trabajo profesional.
2. Adquirir y mantendr la capacitacin profesional.
3. Conocer y respetar las leyes existentes relacionadas con el trabajo profesional.
4. Aceptar y proporcionar la adecuada revisin profesional.
5. Proporcionar evaluaciones completas y extensas de los sistemas informticos y
sus consecuencias, incluyendo el anlisis de los posibles riesgos.
6. Respetar los contratos, acuerdos y las responsabilidades asignadas.
7. Mejorar la comprensin por la comunidad de la informtica y sus consecuencias.
8. Acceder a los recursos de comunicacin e informtica slo cuando se est
autorizado a hacerlo
57

3. Obligaciones de liderazgo organizativo
1. Articular las responsabilidades sociales de los miembros de una unidad
organizativa y fomentar la completa aceptacin de esas responsabilidades.
2. Gestionar personal y recursos para disear y construir sistemas de informacin
que mejoren la calidad, efectividad y dignidad de la vida laboral.
3. Reconocer y apoyar los usos adecuados y autorizados de los recursos
informticos y de comunicaciones de la organizacin.
4. Garantizar que los usuarios y aquellos que se vern afectados por el sistema
informtico han articulado claramente sus necesidades durante la evaluacin y el
diseo de los requisitos. Despus el sistema debe ser validado para cumplir los
requisitos.
5. Articular y apoyar las polticas que protegen la dignidad de los usuarios y de
quienes se vean afectados por el sistema informtico.
6. Crear condiciones para que los miembros de la organizacin aprendan los
principios y limitaciones de los sistemas informticos.
4. Conformidad con el cdigo
1. Defender y promover los principios de ste cdigo.
2. Tratar los incumplimientos de este cdigo como inconsecuentes con la afiliacin a
la ACM.
Cdigo de tica IEEE-CS/ACM
Cdigo de tica desarrollado por el comit conjunto IEEE-CS/ACM en tica y Ejercicio
Profesional de Ingeniera de Software (SEEPP)
Los ingenieros de software debern comprometerse consigo mismo en convertir el anlisis,
especificacin, diseo, desarrollo, prueba y mantenimiento de software en una profesin
respetable y beneficiosa. Principio de acuerdo con su compromiso con la salud, seguridad y
bienestar del pblico, los Ingenieros de Software debern apegarse a los siguientes Ocho
Principios:
1. PUBLICO - Los Ingenieros de Software debern actuar consistentemente con el inters
pblico.
2. CLIENTE Y EMPLEADOR - Los Ingenieros de Software debern actuar de una forma
determinada que est en los mejores intereses de su cliente y empleador consistente con el
inters pblico.
3. PRODUCTO - Los Ingenieros de Software debern asegurar que sus productos y
modificaciones relacionadas logren el ms alto estndar profesional posible.
4. JUICIO - Los Ingenieros de Software debern mantener integridad e independencia al
emitir su juicio profesional.
5. GERENCIA - Los gerentes y lderes de Ingeniera de Software debern suscribirse y
promocionar un enfoque tico para la gerencia de desarrollo y mantenimiento de software.
6. PROFESION - Los Ingenieros de Software debern fomentar la integridad y reputacin de
la profesin consistente con el inters pblico.
7. COLEGAS - Los Ingenieros de Software debern ser justos y comprensivos con sus
colegas.
8. INTERES PROPIO - Los Ingenieros de Software debern participar en el aprendizaje de
por vida del ejercicio de su profesin y debern promover un enfoque tico para el ejercicio
de la misma.
58

tica en Internet (Ciberespacio)
Internet es el ltimo y el ms poderoso de una serie de medios de comunicacin (telgrafo, radio y
televisin) que durante el ltimo siglo y medio ha eliminado progresivamente el tiempo y el espacio
como obstculos para la comunicacin entre un gran nmero de personas. Como sucede con otros
medios de comunicacin, la persona y la comunidad de personas son el centro de la valoracin
tica de Internet. Con respecto al mensaje comunicado, al proceso de comunicacin y a las
cuestiones estructurales y sistemticas de la comunicacin.
La cuestin tica consiste en saber si esto est contribuyendo al autntico desarrollo humano y
ayudando a las personas y a los pueblos a ser fieles a su destino trascendente, "el principio tico
fundamental es el siguiente: la persona humana y la comunidad humana son el fin y la medida del
uso de los medios de comunicacin social; la comunicacin debera realizarse de persona a
persona, con vistas al desarrollo integral de las mismas".
Internet tiene un conjunto de caractersticas impresionantes como lo describimos a continuacin:
Instantneo.
Inmediato.
Mundial.
Descentralizado.
Interactivo.
Capaz de extender ilimitadamente sus contenidos y su alcance, flexible y adaptable en grado
notable. Puede emplearse para romper el aislamiento de personas y grupos o al contrario, para
profundizarlo. Internet le sirve a la gente en su ejercicio responsable de la libertad y la democracia,
ampliar la gama de opciones realizables en diversas esferas de la vida, ensanchar los horizontes
educativos y culturales, superar las divisiones y promover el desarrollo humano de mltiples
modos.
Los problemas ticos ms significativos en Internet
En gran medida el desarrollo cientfico y tecnolgico se desarrolla da a da, por lo que debemos
adaptarnos a l, pero una de las causas que generan inquietud es la vida privada, debido al gran
almacenamientos de datos que se encuentran en las diferentes bases de datos y que a causa del
aumento de las tcnicas de bsqueda en la red (minera de datos) o en bases de datos, se
encuentran en peligro debido a que dicha informacin pueda estar a disposicin de personas no
autorizadas.
As mismo debido a stos avances ahora es posible, en muchos campos de trabajo, que gran
parte del mismo puedan realizarse desde diferentes sitios y no necesariamente en la oficina, por lo
que tiene tanto ventajas como desventaja, en cuanto ventajas, podemos mencionar que se reduce
la cantidad de tiempo y de dinero que se realiza de trayecto de la casa a la oficina, pero como
desventaja podemos ver que se pierde las relaciones humanas, debido a que ya no existe el
contacto con la gente y que como seres humanos necesitamos de las relaciones sociales para
poder desempearnos mejor.
Un problema ms a mencionar es la cantidad de informacin que nos brinda internet en donde hay
que saber discernir entre las diferentes fuentes de informacin, evaluarlas y determinar si son
verdaderas y reales, ya que de lo contrario nos estaramos mal informando. Por ellos es necesario
la creacin de sitios seguros, donde la informacin este respaldada y que adems se informe
responsablemente a los usuarios de las diferentes amenazas y vulnerabilidades que existen, de
esta manera los usuarios podrn crearse un criterio ms amplio y as descubrir, usar y evaluar las
fuentes de informacin que posibiliten su desarrollo, tanto profesional como humano.
59

Manual Aplicacion de La Seguridad Jnformatica

Încărcat de

Informații document

Descriere originală:

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Manual Aplicacion de La Seguridad Jnformatica

Încărcat de

Drepturi de autor:

Formate disponibile

Colegio Nacional de Educacin Profesional Tcnica

ORGANISMO PBLICO DESCENTRALIZADO DEL GOBIERNO FEDERAL

Manual del participante

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Huracn: Los huracanes son tormentas organizadas alrededor de un punto central

4. Administracin del software de la organizacin.

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Estandares BS 7799 (Reino Unido)

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Disponibilidad. Asegurar que los usuarios autorizados tendrn acceso a la informacin

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007.

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ESQUEMAS DE SEGURIDAD INFORMTICA

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Restricciones a las polticas

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Figura 4.1. Comparacin entre el Ciclo de Vida de un Sistema de Informacin y el de un Plan

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

de los sistemas de acuerdo a su importancia y consecuentemente para la definicin de los

METODOLOGAS DE DESARROLLO DE PLANES DE CONTINGENCIA

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

ConalepMich Plantel Zamora

Asegurar que las revisiones se lleven a cabo puntualmente

Juan Manuel Campos Navarro

ConalepMich Plantel Zamora

Figura 5.5 El Control de desastres

Juan Manuel Campos Navarro