La parte más importante de la educación del hombre es aquella que él mismo se da.

Scott, Walter

1.1. Definición de Seguridad de la Información

Para introducirnos en el estudio del presente componente académico, debemos primeramente
establecer la diferencia entre lo que representan los conceptos de “Seguridad de la Información” y
“Seguridad Informática”.

Al abordar el tema de Seguridad Informática, Ormella (s.f.) explica que este puede ser mayormente
asociado a terminología como “computer security” o “network security”, ya que su enfoque es básicamente
técnico y está orientado a la identificación, manejo y mitigación de vulnerabilidades, amenazas y riesgos
que puedan presentarse en medios informáticos.

Dado que la información puede encontrarse en diferentes medios o formas, y no solamente en medios
informáticos, se considera a la Seguridad de la Información como un concepto mucho más amplio, por
cuanto no es solamente una cuestión técnica, sino responsabilidad de la alta gerencia y directivos de la
organización. Esto implica que “para el marco de la Seguridad de la Información se requiere considerar
no solamente los riesgos técnicos de TIC, sino también los riesgos de seguridad que se extienden a toda la
empresa, es decir: organizacionales, operacionales y físicos” (Ormella, s.f.).

“En el contexto de la Seguridad de la Información los riesgos de negocios incluyen no solo las
vulnerabilidades y un aspecto de las amenazas, sino el conjunto de los factores que determinan tales
riesgos: activos, vulnerabilidades y amenazas”. La figura 1 esquematiza el papel de la seguridad
informática como parte de la seguridad de la información.

Figura. 1. Seguridad Informática como parte de la Seguridad de la Información

Fuente: Adaptación de (Ormella M)
Entre los diferentes conceptos encontrados también podemos citar a Areitio(2008), quien define a la
Seguridad de la Información como un proceso en el que intervienen varios elementos como: aspectos
tecnológicos, de gestión-organizacionales, recursos humanos, económicos, de negocios, de tipo legal,
entre otros.

Como podemos observar, la seguridad es vista desde diferentes ámbitos de la sociedad como una
organización, una comunidad, un producto, un servicio o a su vez como un sistema embebido que de
una u otra manera aporta a la gestión, la reingeniería y procesos que se llevan dentro de una empresa.

Basado en estos conceptos, explique con sus propias palabras ¿Qué entiende usted por Seguridad
de la Información?, es recomendable revisar definiciones proporcionadas por otros autores que
nos permitan esclarecer el tema.

Luego de revisar varias definiciones propuestas por otros autores es elemental preguntarnos, ¿para qué
me sirve la seguridad de la información? y ¿qué tan importante es la seguridad dentro de una empresa? En el
siguiente tema se estudia la importancia que debe dársele a la seguridad dentro de una organización.

1.2. Importancia de la Seguridad de la Información

Se debe tener claro que el concepto de Seguridad de Información ha evolucionado paralelamente con el
desarrollo de diferentes y nuevas tecnologías de comunicación y acceso a la información. Es así que como
menciona Areitio(2008), la seguridad ha pasado de utilizarse para preservar datos clasificados del
gobierno, cuestiones militares o diplomáticas, a tener grandes y crecientes aplicaciones en transacciones
financieras, acuerdos contractuales, información personal, archivos médicos, comercio, negocios, etc.,
por lo cual se hace imprescindible que las necesidades de seguridad potenciales sean tomadas en
cuenta y se determinen para todo tipo de aplicaciones.

Actualmente, en el contexto de la comunicación online no se le da la debida importancia a la información

que es publicada a través de diferentes tipos de aplicaciones, ya sea por ingenuidad o por
desconocimiento de las implicaciones que posteriormente pueda haber.

Razones como estas han incrementado la importancia que se le debe dar a la seguridad, obligándola a
tornarse en un componente clave, necesario y obligatorio a implantarse en cualquier tipo de proyecto de
sistemas de información. Así, “el ámbito de aplicación abarca el desarrollo, la integración, la operación, la
administración, el mantenimiento y la evolución de los sistemas y las aplicaciones, es decir, todo el ciclo
de vida de los productos o unidades de negocios” (Areitio, 2008).

Para continuar lo invitamos a desarrollar la siguiente actividad que le ayudará a reforzar los conocimientos
adquiridos.

Para mejorar su comprensión en cuanto al tema en cuestión, le recomendamos: elaborar una

lista de organizaciones en las que seconsidere que es de importancia la seguridad de la
información. Explique las razones.
¿Qué dificultades encontró?, ¿cuál es el papel que juega la seguridad dentro de estas organizaciones? Como
pudo notar, la seguridad de la información juega un papel muy importante y tiene una gran aceptación en
el mercado laboral.

1.3. Objetivos generales de la Seguridad de la Información

La Seguridad de la Información debe tener como finalidad el exitoso cumplimiento de los diferentes
objetivos de negocio y de misión de la organización. Es así que como lo menciona Padial(2014), existen
tres objetivos principales en un departamento de TI a considerar. En figura 2 se esquematiza los 3
principales objetivos de la seguridad de la información.

Figura. 2. Objetivos Principales de la Seguridad de la Información

Fuente: Adaptación de (Padial, 2014)
1.3.1. Disponibilidad

Definida como el funcionamiento ininterrumpido de los sistemas de información, lo cual es indispensable

para garantizar que no se deniegue el servicio a ningún usuario autorizado y su funcionamiento se dé
con puntualidad y prontitud. Para que una aplicación esté disponible, todos los componentes deben
proporcionar un servicio continuo. Esos componentes pueden ser servidores de aplicaciones o de bases de
datos, dispositivos de almacenamiento y la red. Podemos considerar a la disponibilidad como el
objetivos de seguridad más importantes de la organización.

1.3.2. Integridad

Definida como la certeza o garantía de que la información no ha sido modificada de forma no autorizada.
En Areitio(2008) se define dos facetas de la integridad:

a. Integridad de datos, como la propiedad de que los datos no sean alterados mientras se almacenan,
procesan o transmiten.

b. Integridad del sistema, como la cualidad del sistema al realizar la función deseada, sin deterioro y
libre de manipulación no autorizada.

Después de la disponibilidad la integridad es considerada como el objetivo más importante.

1.3.3. Confidencialidad

Se refiere a la protección de la información ante usuarios no autorizados, misma que se aplica durante
su procesamiento, transmisión o durante el tránsito. Las empresas son responsables de la protección de
datos, entre los cuales puede haber información de clientes e información interna de la organización. Su
importancia depende del tipo de organización y de la información por ella manejada.

Adicionalmente, Areitio(2008) considera los objetivos de: (Ver figura 3)

1.3.4. Responsabilidad (registros de autoría)

Este requisito permite que se pueda llevar una trazabilidad de las acciones de una entidad de forma
única, lo que permitiría aislar los fallos y determinar responsabilidades para luego poder actuar de la
manera reglamentada.

1.3.5. Confiabilidad

Garantiza que los objetivos anteriores han sido cumplidos. Es la base de la confianza de que las medidas
de seguridad planificadas están en completo funcionamiento para proteger el sistema y la información.
Figura. 3 Objetivos principales de la seguridad
Fuente: los autores

El desafío de la seguridad puede ser una tarea compleja, así que debemos administrar cuidadosamente
las políticas para mantener el equilibrio entre el acceso transparente, el uso y la seguridad.

Cualquier falla en uno de estos objetivos pondría en riesgo la seguridad de los datos de la entidad. La
siguiente figura 4 muestra este hecho, a la vez que nos introduce en importantes conceptos como activos
(ej: servidores, datos, software, personas, etc.), amenaza (ej: virus, incendio, phising, etc.), vulnerabilidad
(ej: falta de antivirus, salas de servidores desprotegidas, software mal diseñado, etc.), impacto (ej: pérdida
de datos, servidores inoperativos, etc.), salvaguardas (ej: Antivirus, sistema antiincendios, etc.) y riesgo
(ej: virus con alta probabilidad de infección).

Figura. 4. Seguridad de datos

Fuente: Adaptación de (Padial, 2014)
 A continuación le recomendamos desarrollar la siguente actividad:
1. Realice un mapa conceptual y analice cada uno de los objetivos principales de seguridad
de la información.
2. Indique ¿cuáles cree que son de mayor importancia y por qué deberían ser aplicados
dentro de una empresa?

1.4. Conceptos importantes a tener en cuenta

Como se ha mencionado previamente, existen algunos conceptos importantes que constantemente los
mencionaremos y es importante tenerlos en claro, a continuación vamos a detallar a los mismo:

1.4.1. Vulnerabilidad

En Santana (2012), Somarriba (2004) y Prandini (2013) se la define como a una debilidad de un sistema
informático que es utilizada para causar daño. Pueden aparecer en cualquiera de los elementos de un
sistema informático, tanto en hardware, como en software. Para INTECO(s.f.), “las vulnerabilidades son
la piedra angular de la seguridad, puesto que suponen el origen del que derivan numerosos fallos de
seguridad”.

En Mifsud (2012) se agrupa a las vulnerabilidades según su función, (Ver tabla 1).

Tabla 1. Causa de vulnerabilidades

Diseño • Debilidad en el diseño de protocolos utilizados en las redes.

• Políticas de seguridad deficientes e inexistentes.
Implementación • Errores de programación.
• Existencia de “puertas traseras” en los sistemas informáticos.
• Descuido de los fabricantes.
Uso • Mala configuración de los sistemas informáticos.
• Desconocimiento y falta de sensibilización de los usuarios y de
los responsables de informática.
• Disponibilidad de herramientas que facilitan los ataques.
• Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad • Se incluyen en este grupo aquellas vulnerabilidades para las
del día cero cuales no existe una solución “conocida”, pero se sabe cómo
explotarla.

Fuente: Adaptación de Mifsud (2012)

Las vulnerabilidades pueden ser tangibles e intangibles; aunque no existe una clasificación definida,
mencionaremos la clasificación que hace Defaz (2006), así:

a. Vulnerabilidad Física.- Grado en que el sistema puede verse afectado por desastres naturales
o ambientales, como por ejemplo: fuego, inundaciones, rayos, terremotos, o quizás más
comúnmente, fallos eléctricos o picos de potencia. Otro aspecto a considerar es la posibilidad de
acceder físicamente al sistema para robar o dañar discos, cintas, listados de impresora, etc.; las más
relevantes son:

 Acceso no protegido a instalaciones informáticas.

 Construcción deficiente de edificios.
 Materiales inflamables empleados en la construcción.

6
  Puertas y ventanas sin cerrojo.
 Paredes que se pueden asaltar físicamente.
 Paredes interiores que no sellan las salas por completo (techo y suelo).
 Instalación situada sobre una línea de error.
 Instalación situada en una zona de inundaciones.
 Instalación situada en un área de avalanchas.

b. Vulnerabilidad Lógica.- La falta de seguridad y puntos débiles de aplicaciones utilizadas que

puedan permitir el ingreso de personas no autorizadas a los activos, aumenta enormemente la
escala del riesgo, al incrementarse la cantidad de usuarios que puedan tener acceso al mismo. Se
añade a este riesgo de intercepción de comunicaciones, donde se puedan introducir al sistema a
través de la red, interceptando información transmitida desde o hacia el sistema. Desde el punto
de vista del hardware, ciertos tipos de dispositivos pueden ser más vulnerables que otros; algunos
sistemas requieren la utilización de algún tipo de herramienta o tarjeta para poder acceder a los
mismos. Entre las principales vulnerabilidades lógicas tenemos:

 Software antivirus obsoleto.

 Aplicaciones escritas deficientemente.
 Vulnerabilidades de código como desbordamientos de búfer.
 Programas espía como aplicaciones de captura de teclado.
 Virus.
 Errores de configuración.
 Sistemas no protegidos.
 Carencia o insuficiencia de mecanismos de identificación y autenticación.
 Falta de sistemas de encriptación de la información.

c. Vulnerabilidad Humana.- Las personas que administran y utilizan el sistema representan las
mayores vulnerabilidades, que pueden ser voluntarias o involuntarias. La seguridad del sistema
es responsabilidad del administrador del mismo, el cual tiene acceso al máximo nivel y sin
restricciones a estos recursos. Los usuarios del sistema también son considerados como un gran
riesgo, ya que ellos podrían acceder al mismo, físicamente o mediante una conexión. Entre las
principales vulnerabilidades de este tipo tenemos:

 Falta de capacitación al personal de la organización.

 Falta de conciencia por parte del personal a nivel de seguridad.
 Vandalismo.
 Estafas.
 Invasiones.
 Robo de credenciales.

No se puede considerar a un sistema informático como totalmente seguro, pero se puede crear
mecanismos que permitan evitar la mayoría de ataques.

1.4.2. Riesgo

Como se cita en Sullivan (2016), riesgo es “La posibilidad de sufrir daños o pérdidas”. Es la probabilidad
de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas, por separado, no
representan un peligro. Pero juntas se convierten en un riesgo, o sea, en la probabilidad de que ocurra un
desastre.

7
 El riesgo se utiliza sobre todo en análisis de riesgos de un sistema informático. Esté riesgo permite tomar
decisiones para proteger mejor al sistema. Se puede comparar con el riesgo límite aceptable para su
equipo, de forma tal, que si el riesgo calculado es inferior al de referencia, éste se convierte en un riesgo
residual que podemos considerar cómo riesgo aceptable.

Los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y
si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes,
podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres.

1.4.3. Amenaza

Puede ser definida como un evento que puede afectar los activos de información y que pueden estar
relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden
ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con
malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico, etc. También se pueden
considerar amenazas los fallos cometidos por los usuarios al utilizar el sistema, o los fallos internos tanto
del hardware o cómo del software.

1.4.4. Impacto

Es la consecuencia de la materialización de una amenaza. Según ISOTools (2015), el impacto es la

diferencia entre las estimaciones del estado de seguridad del activo antes y después de materializar las
amenazas. En un Sistema de Gestión de Seguridad de la Información al materializarse una amenaza el
activo cambia de estado, es decir, antes de producirse la amenaza tenemos un activo y después de que
efectúe la amenaza tenemos la diferencia entre el estado anterior y el posterior a la amenaza.

Se consideran tres grupos de impactos, ordenados según las consecuencias que reduzcan el estado de la
seguridad del activo atacado, directa e indirectamente, estas son: cualitativo con pérdidas funcionales,
cualitativo con pérdidas orgánicas y cuantitativo.

1.5. Entidades implicadas en la Seguridad de la Información

Como se cita en Areitio (2008), las actividades de seguridad deben ser tomadas en cuenta por todo el
personal relacionado con los sistemas de información, ya sean estos:

 Desarrolladores de software.

 Fabricantes de productos.
 Integradores de datos en el sistema.
 Compradores, que pueden ser organizaciones o usuarios finales.
 Organizaciones de evaluación de la seguridad, como certificadores de sistemas, evaluadores de
productos o acreditadores de operación.
 Administradores de sistemas y de seguridad.
 Terceras partes confiables, como son las autoridades de certificación, fedatarios electrónicos con
servicios de firma electrónica avanzada y sellado temporal.
 Consultores u organizaciones de servicios, por ejemplo, servicios de externalización u outsourcing
de la gestión de la seguridad.

Estos entes se encuentran relacionados con las actividades de la seguridad; a continuación veremos a
modo de ejemplo como intervienen los desarrolladores de software:

U.A.E
22
Desarrollador de software: Cuando se desarrolla un software (un Sistema de Gestión Académica por
ejemplo), el responsable de su elaboración debe cuidar que sea confiable y manipulable por el personal
autorizado; definiendo roles para: administradores, estudiantes, profesores, etc, garantizando la
seguridad de la información y su indebida manipulación.

Para ampliar su conocimiento y para que tenga claro el rol que desempeñan cada ente, recurra a
otro tipo de fuentes bibliográficas como: internet, libros, REAs, etc, y defina ¿Cuál es el rol que
cumple cada uno de ellos?, guiándose por el ejemplo propuesto.

Después de analizar los roles de cada uno de los entes mencionados, estoy seguro que podemos
continuar con el estudio de las áreas del proceso de la seguridad que permiten asegurar que se cumplan a
cabalidad los objetivos de la seguridad.

Es importante realizar las actividades planteadas en el EVA. Con ello además de

afirmar sus conocimientos obtendrá retroalimentación de su tutor y demás
compañeros, con un puntaje para su evaluación a distancia.

1.6. Áreas de proceso de la seguridad

Con el fin de que se cumplan eficientemente los objetivos plantados por el proceso de seguridad, se
definen tres principales áreas, que no son independientes entre sí, pero que podemos considerarlas
individualmente.

1.6.1. Gestión de riesgos

Definido como el proceso que permite la toma de decisiones en un ambiente de incertidumbre, sobre
acciones que probablemente sucedan y las consecuencias de su ocurrencia. En Areitio (2008) se cita
como el proceso encargado de identificar y cuantificar la probabilidad de que se produzcan amenazas y
establecer un nivel aceptable de riesgo para la organización. Es el proceso encargado de identificar
problemas antes de que aparezcan.

Así, identifica tres principales componentes de los incidentes no deseados como se muestra en la figura 5,
amenaza, vulnerabilidad e impacto; los que pueden ser atenuados mediante ciertas medidas de
seguridad. Sin embargo, no se puede tener un control total sobre los diferentes problemas que puedan
presentarse y siempre hay que estar sujetos a algunos niveles de riesgos.

U.A.E
23
 Figura. 5 Componentes del proceso de riesgos
Fuente: (Areitio, 2008)

1.6.2. Ingeniería de seguridad

Se constituye como una parte central de los procesos de seguridad, y mediante la coordinación e
interacción de actividades con otras ramas de ingeniería, busca determinar e implementar soluciones a
problemas presentados por amenazas y peligros. Se realiza en fases que van desde el concepto, diseño,
implementación, verificación, despliegue, operación, mantenimiento, hasta su eliminación.

La integración de este tipo de actividades con el resto de la organización radica en que las soluciones de
seguridad deben tener en cuenta varias consideraciones como: costes, rendimientos, riesgos técnicos,
tecnológicos, humanos, legales, usabilidad, etc.; las cuales deben ser implantadas de forma permanente.

1.6.3. Aseguramiento

Es el grado de confianza de que las medidas adoptadas reducirán los riesgos anticipadamente, y que
estas no tienen que crearse cada vez que se manifieste una nueva amenaza

De acuerdo a lo señalado y como podemos observar en la figura 6, las áreas que constituyen los procesos de
seguridad, no son independientes entre sí.

Recuerde que el área riesgos es el nivel más simple del proceso, sin
embargo es el más importante ya que en se identifica y prioriza los
peligros.

U.A.E
24
Figura. 6 Proceso de seguridad de información
Fuente: Los autores

Muy bien, poco a poco, avanzamos con el estudio de SI, ahora realicemos la siguiente actividad.

• Para medir el grado de comprensión que ha obtenido, sírvase elaborar un mapa conceptual
en el que explique cómo interpreta cada una de las áreas de los procesos de la seguridad de
la información.
• Adicionalmente elabore un ejemplo que se aplique en la vida real, en el que intervengan las
tres áreas de la seguridad de la información.

Qué le parece si profundizamos estos temas revisando y analizando las distintas soluciones que han
tomado empresas de alto prestigio como son: Coca-Cola, Mutualidad de Levante Seguros, Saint Joan
Glass, etc.

Para conocer detalladamente las distintas soluciones optadas por estas empresas revise los
casos de éxito de la página Web: INIXA Security & Communication (Disponible en: http://
www.inixa.com).

1.7. Estándares de Seguridad de la Información

Es recomendable que toda organización que hace uso de Tecnologías de Información implemente
buenas prácticas de seguridad. En muchas ocasiones la carencia de estos procesos o su implementación
inadecuada permite generar vulnerabilidades por la misma complejidad de las organizaciones, lo cual
aumenta la posibilidad de riesgos en la información.

Es así que podemos contar con algunas normas calificadas y debidamente probadas en grandes
organizaciones, de las cuales a continuación daremos una breve revisión a dos de las más importantes y
conocidas.

1.7.1. La Norma ISO 27001.

Es una norma internacional creada por la Organización Internacional de Normalización (ISO), tiene por
objeto proporcionaruna metodología universal para laimplementación, administración y mantenimiento
de la seguridad de la información dentro de una organización. Su revisión más reciente fue realizada en
2013 y su nombre es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en
base a la norma británica BS 7799-2.

U.A.E
25
 Según Advisera (2016), ISO 27001 puede ser implementada en cualquier tipo de organización, con o
sin fines de lucro, privada o pública, pequeña o grande. Esta norma permite que una empresa sea
certificada; lo que significa que una entidad de certificación independiente confirma que la seguridad de
la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

Su principal objetivo es la protección de la confidencialidad, integridad y disponibilidad de la información. Lo

hace mediante una evaluación de posibles riesgos que afectarían la información y definición de los
procesos necesarios para mitigar o tratar estos riesgos.

Las controles de seguridad que se van a implementar, se presentan por lo general como: políticas,
procedimientos e implementaciones técnicas; sin embargo, en la mayoría de los casos las empresas ya
cuentan con implementaciones de hardware y software, aunque utilizados de forma insegura, por lo
cual la mayor parte de la implementación de ISO 27001 está relacionada con la determinación de reglas
organizacionales para prevenir violaciones de la seguridad.

La gestión de la seguridad de la información no se limita solamente a la seguridad de TI (cortafuegos,

anti-virus, etc.), sino también a la gestión de procesos, recursos humanos, protección jurídica, protección
física, etc.

ISO 27001 es una de las principales normas a nivel mundial para la seguridad de la información lo que ha
causado que muchas empresas han certificado su cumplimiento.

Para ampliar la información sobre ISO 27001, nos remitiremos al REA que lo podemos
encontrar en: https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf

1.7.2. La norma COBIT

Su nombre viene del inglés “Control Objetives for Information Systems and related Technology”, ha
sido desarrollado por ISACA (Informatión Systems Audit and Control Association) como resultado de la
investigación de expertos de varios países.

Es un marco de referencia orientado a todos los sectores de la organización y cuya función principal es la
de auditar la gestión y control de los sistemas de información y tecnología. Se centra en el control de
negocios y la seguridad, abarcando controles específicos de TI desde una perspectiva de negocios. Se
basa en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de
procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una
organización para lograr sus objetivos.

COBIT brinda a managers, auditores, y usuarios de TI, un conjunto de medidas, indicadores, procesos
y prácticas de consenso general para ayudarlos en maximizar los beneficios derivados del uso de
las tecnologías de información y para obtener un control y gerenciamiento apropiado de TI en la
organización.

COBIT define un marco de referencia que clasifica los procesos de alto nivel en cuatro principales
dominios:

a. Planificar y organizar. Danielch (2012)Este dominio cubre las estrategias y las tácticas a través de
las cuales TI puede contribuir de la mejor manera, al logro de los objetivos del negocio, incluyendo el
otorgamiento de la certeza de la protección de activos. Además, la realización de la visión
estratégica de TI requiere ser planeada, comunicada y administrada desde diferentes perspectivas
sincronizadas al negocio. Finalmente se debe buscar la implementación de una estructura
U.A.E
26
 organizacional y tecnológica apropiada. De acuerdo a COBIT, el dominio cubre los siguientes
cuestionamientos típicos de la gerencia:

 ¿Están alineadas las estrategias de TI y el negocio?

 ¿La empresa está realizando un uso óptimo de sus recursos?
 ¿Entienden todas las personas dentro de la organización los objetivos de TI?
 ¿Se entienden y administran los riesgos de TI?
 ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

Los procesos de este dominio son (Ver tabla 2) (Romero, 2015):

Tabla 2. Procesos de dominio Planificar y Organizar

PO PLANEAR Y ORGANIZAR
PO1 Definir un plan Estratégico
PO2 Definir la Arquitectura de la Información
PO3 Determinar la dirección tecnológica
PO4 Definir los procesos, organización y relaciones de TI
PO5 Administrar la inversión en TI
PO6 Comunicar las aspiraciones y la dirección de la gerencia
PO7 Administrar recursos humanos de TI
PO8 Administrar la calidad
PO9 Evaluar y Administrar los riesgos de TI
PO10 Administrar proyectos

Fuente: Adaptación Romero (2015)

b. Adquirir e implementar. Las soluciones de TI deben ser identificadas, desarrolladas o adquiridas

e implementadas e integradas al proceso del negocio. Este dominio cubre los cambios y
el mantenimiento realizados a sistemas existentes. Por lo general cubre los siguientes
cuestionamientos de la gerencia:

 ¿Es probable que los nuevos proyectos generen soluciones que satisfagan las necesidades
del negocio?
 ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto?
 ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados?
 ¿Los cambios no afectarán a las operaciones actuales del negocio?

Los procesos de este dominio son (Ver tabla 3):

Tabla 3. Proceso del dominio Adquirir e Implementar

AI ADQUIRIR E IMPLEMENTAR
AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI

U.A.E
27
 AI6 Administrar cambios
AI7 Instalar y acreditar soluciones y cambios

Fuente: Adaptación Romero (2015)

c. Entregar y dar Soporte. Cubre la entrega de servicios requeridos como: prestación del servicio,
administración de seguridad y continuidad, soporte de servicio a usuarios, administración de
datos e instalaciones operativas. Por lo general cubre las siguientes preguntas de la gerencia:

 ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio?
 ¿Están optimizados los costos de TI?
 ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura?
 ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

Los procesos de este dominio son (Ver tabla 4):

Tabla 4. Procesos del dominio Entregar y dar Soporte

DS ENTREGAR Y DAR SOPORTE

DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones

Fuente: Adaptación Romero (2015)

d. Monitorear y evaluar. Todos los procesos de TI deben evaluarse de forma regular tanto en su
calidad como en el cumplimiento de los requerimientos de control. Este dominio abarca la
administración del desempeño, monitoreo del control interno, cumplimiento regulatorio y la
aplicación del gobierno. Por lo general abarca las siguientes preguntas de gerencia:

 ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado
tarde?
 ¿La Gerencia garantiza que los controles internos son efectivos y eficientes?
 ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio?
 ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño?

Los procesos de este dominio son (Ver tabla 5):

Tabla 5. Procesos del dominio Monitorear y Evaluar

U.A.E
28
 ME MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI
ME2 Monitorear y evaluar el control interno
ME3 Garantizar el cumplimiento regulatorio
ME4 Proporciona gobierno de TI

Fuente: Adaptación Romero (2015)

Señor estudiante:
Hemos finalizado el estudio de la unidad 1, se recomienda el desarrollo de la siguiente actividad:
 Realice un cuadro sinóptico de los principales conceptos de seguridad de la información .
Estrategias de desarrollo:
Se recomienda utilizar como base los siguientes recursos:
1. Seguridad de la Información, busque http://ocw.uv.es/ingenieria-y-arquitectura/
seguridad/programa/.
2. Información sobre COBIT, nos remitiremos al REA que lo podemos encontrar en: http://
jevq.blogspot.com/2014/04/descarga-cobit-5-en-espanol.html

U.A.E
29
Hemos concluido el estudio de la primera unidad. Conviene comprobar cuánto ha logrado asimilar de
los temas revisados en esta parte, para lo cual es necesario que desarrolle la siguiente autoevaluación.

Lea detenidamente cada una de los enunciados planteados en la siguiente tabla y determine
de acuerdo a lo solicitado, si la afirmación es verdadera o falsa, o seleccione la opción que sea
correcta.

1. ( ) La seguridad de la información es un proceso en el cual están involucradas pocas

personas

2. ( ) En la seguridad de la información intervienen aspectos tecnológicos

3. ( ) Los objetivos de seguridad de la información están enfocados a que se cumpla en su

totalidad con su misión

4. ( ) La seguridad de la información solo interviene en el desarrollo de los proyectos

5. ( ) Los desarrolladores de software están implicados en seguridad de la información

6. La información puede encontrarsela:

a. En documentos impresos
b. Solamente en medios digitales
c. Las dos opciones

7. El desarrollo e implementación de un sistema se soporte para la Seguridad de la Información de

una determinada organización, debe estar a cargo de:

a. Toda la organización, incluyendo directivos, técnicos, usuarios, etc.

b. Exclusivamente el departamento técnico
c. Exclusivamente los departamentos gerenciales

8. La Integridad de datos se refiere a :

a. La cualidad del sistema de realizar sus funciones sin ningún tipo de deterioro.
b. La propiedad de que la información no sea alterada mientras se almacenas, procesan o
transmiten.
c. Las dos anteriores.

9. Las vulnerabilidades de: Software y antivirus obsoleto, errores de configuración y falta de sistemas
de encriptación son catalogadas como

a. Vulnerabilidades físicas.
b. Vulnerabilidades lógicas.
c. Vulnerabilidades humanas.

30
10. Se define a la Gestión de Riesgos como:

a. El grado de confianza de que las medidas adoptadas reducirán los riesgos anticipadamente.
b. Una parte central de los procesos de seguridad.
c. Proceso que permite la toma de decisiones en un ambiente de incertidumbre.

Existe la respuesta a la autoevaluación al final del texto guía. Es importante que revise el EVA pues
existen actividades adicionales en algunos casos con valoración que le pueden ayudar a la comprensión del
componente.

31