MAESTRÍA EN SEGURIDAD DE TECNOLOGÍAS DE LA INFORMACIÓN

NOMBRE DE LA MATERIA: SEGURIDAD EN SISTEMAS OPERATIVOS

TÍTULO DE LA PRESENTACIÓN: PROYECTO FINAL

NOMBRE DEL AUTOR: DANIEL ALBERTO MAYA MARTÍNEZ

PROFESOR: JORGE RUBÉN VÁZQUEZ DEL RIO

21 de junio de 2019

Campus Marina
ssssss
Seguridad en Sistemas Operativos

Índice

1. Dirección de la seguridad de tecnología de información, TI

Hoy en día los avances tecnológicos han avanzado a pasos agigantados y en consecuencia de la digitalización
de los procedimientos en todos los ámbitos de la vida cotidiana, podemos hacer énfasis en los procesos de las
empresas alrededor del mundo, así como a la gran cantidad de información que manejan, en consecuencia,
surgen con ello las amenazas que vulneran la seguridad de la información a través de ataques informáticos que
buscan lucrar con citada información, por ello es necesario la implementación de una figura primordial que se
encargue de gestionar el uso seguro y un funcionamiento estratégico dentro de la organización, derivado de
esto surge la creación de la Dirección de la Seguridad de Tecnología de Información, mejor conocido como
CISO (Chief Information Security Officer).

1.1. Objetivo

El objetivo principal de implementar un área de Seguridad de Tecnologías de la Información es detectar y

analizar los puntos débiles de la organización en materia de ciberseguridad y protección informática, a fin de
garantizar el resguardo de la información dentro de la organización, tratando de crear un objetivo corporativo
alineando las estrategias de seguridad con las estrategias organizacionales a través de la gestión, control y
vigilancia de acceso a la información con base a la normatividad de la organización.

1.2. Modelos de gobierno de seguridad de TI

Dentro de este rubro es importante destacar que para que exista un modelo de gobierno funcional y que cumpla
con los objetivos institucionales, es necesario que los procesos de TI y las iniciativas estén debidamente
alineadas con los procesos de negocio y sus objetivos. Las organizaciones deben asegurar que cuentan con
los controles de seguridad necesarios para vigilar y cumplir con las políticas establecidas, analizadas
previamente con las estrategias organizacionales, debiendo contar con su gestión de control y riesgos
respectivamente. Es necesario cuando se hable de gestión considerar las normas, procedimientos y directrices
que apoyen las políticas de seguridad de la información establecidas con el objetivo de adoptar una seguridad
eficaz basada en la estructura organizacional.

1.3. Roles y responsabilidades de los actores y grupos de interés

En este punto podemos mencionar a los Stakeholder, tal cual lo define R. Edwar Freeman como todas aquellas
personas o entidades que pueden afectar o son afectados por las actividades de una empresa, ya sea de
manera positiva o negativa, todos los actores sociales de la organización desde el dueño de la compañía,
trabajadores, proveedores, entre otros forman parte de este grupo, sin embargo, a partir de este grupo se
derivan dos grupos de interés, los primarios y los secundarios, los primarios son fundamentales para la
operación de la organización y tienen una relación económica con la organización (accionistas, clientes
proveedores, etc.) y los secundarios que no participan directamente con la organización pero que si se pueden
2
ssssss
Seguridad en Sistemas Operativos

ver o no afectados con las acciones de esta (competidores, medios de comunicación, ONG´s, Etc.).

2. Planeación en el gobierno de seguridad de TI

Es de mucha utilidad para la organización la planeación de un área estratégica que sea de utilidad para priorizar
los riesgos y ofrecer apoyo a la hora de proteger la información, este órgano puede ser utilizado como una
plataforma para la toma de decisiones relacionadas con la seguridad de la información. Una vez que se ha
constituido el gobierno de seguridad de TI, es necesario priorizar los riesgos relacionados con dicha seguridad,
con el propósito de acabar con la totalidad de los riesgos que requieren mayor atención, hasta los que no
representan ningún riesgo para la organización.

El gobierno de seguridad de TI, debe considerarse de vital importancia para la organización en sentido de que
deberá de centrar los esfuerzos necesarios para mitigar cualquier riesgo que vulnere la información de la
organización, proporcionando una estructura sólida que tiene como misión unir los procesos de seguridad con
las estrategias organizacionales.

2.1. Importancia de la planeación en el gobierno de seguridad TI

La importancia de contar con una planeación estratégica en el gobierno de seguridad de TI, es una de las partes
esenciales para identificar y definir los objetivos de la organización, la planeación estratégica además de ayudar
a establecer los objetivos nos va a permitir identificar las limitaciones en cuanto a recursos y las capacidades
que la organización requiere para alcanzar los objetivos, lo que ayudara a mantenerse dentro del mercado de
manera competitiva.

El considerar e implementar un planeamiento en el gobierno de seguridad de TIC´s nos ayudara en muchos

sentidos a dirigir los esfuerzos en materia de seguridad y garantizar que las estrategias implementadas vayan
por buen camino, pero sobre todo nos ayudara a saber cuándo cumplir los objetivos de seguridad y coadyubar
como un acelerador de la organización y no solo como un área encargada de monitoreo y regulación de políticas
organizacionales.

2.2. Creación del plan estratégico de seguridad de TI

A la hora de la crear un plan estratégico de seguridad, independientemente del tamaño de la organización se

deberán de considerar procesos secuenciales, mismos que se mencionan a continuación:

1.- Se necesita conocer el estado actual en materia de seguridad.

2.- Definir a donde queremos llegar en materia de seguridad.
3.- Definir objetivos de seguridad alineados a los objetivos estratégicos de la organización.
4.- Definir estrategias en materia de seguridad
5.- Identificar proyectos prioritarios para alcanzar los objetivos.
6.- clasificar proyectos de corto y largo plazo.
7.- Priorizar proyectos en términos de riesgo y costo.
3
ssssss
Seguridad en Sistemas Operativos

2.2.1. Niveles de planeación

El implementar una planificación, acarrera múltiples beneficios para la organización, pero si no se contempla
una planificación, se necesitaría trabajar mucho más para el logro de los objetivos, por otro lado, si se cuenta
con una planificación acertada el equipo de trabajo tendría perfectamente claras tanto las estrategias como las
metas que se necesitan alcanzar, por lo tanto contar con una buena planificación y con los niveles de
planeación perfectamente establecidos, la ejecución de proyectos será considerablemente rápida, más
ordenada, escalable y menos conflictiva.

Para una correcta implementación es necesario contar con tres niveles dentro de la planificación, cada uno
independiente del otro, sin embargo, uno complementa a otro:

Planificación a largo plazo: Define objetivos que se lograran con el tiempo y que el alcanzar estos objetivos
requieren de un tiempo relativamente largo.

Planificación a mediano plazo: En este nivel de planeación podemos considerar objetivos que se requieran
cumplimentar en un tiempo no mayor a 3 meses, se pueden considerar pequeños proyectos que ocupen muy
poco espacio de tiempo.

Planificación a corto plazo: Dentro de este nivel de planificación se consideran metodologías agiles de trabajo,
mismas que se consideran como tareas diarias o los objetivos que requieren de un tiempo relativamente corto.

2.2.2. Planeación para la implementación de la seguridad de TI

Al crear un planeamiento dentro del área de gobernanza para la aplicación de controles podemos decir que se
necesita conocer los riesgos organizacionales a los cuales está expuesta y a la forma de reducir y/ o eliminar
los impactos que se pueden llegar a tener, por eso la necesidad de establecer una planeación para la
implementación de la seguridad de TI. La planeación nos ayudara a establecer adecuadamente las políticas y
procedimiento relacionados con los objetivos organizacionales, lo anterior con la finalidad de mantener un nivel
aceptable de respuesta adecuado a los riesgos que se pudiera estar expuesto.

2.3. Ciclo de vida de la seguridad de TI

En este apartado se describe la importancia de apegarnos al ciclo de vida de la seguridad de TI, es un ciclo
donde se puede mantener la seguridad informática de la organización, donde se definen fases metodológicas
para la mitigación de riesgos, como primer punto podemos mencionar a la investigación donde se pretende
4
ssssss
Seguridad en Sistemas Operativos

conocer el estado que guarda la organización en temas de seguridad, posteriormente se diseñan las actividades
necesarias para evitar vulnerabilidades, en este punto se llevan a cabo las configuraciones necesarias para la
prevención de incidentes y creación de políticas dentro de la organización, posteriormente tenemos la fase de
implementación, en este paso es donde se ponen en marcha las políticas implementadas en la etapa de diseño
y por último se llevan a cabo los controles de administración, en esta etapa observamos las actividades
anormales y podemos tener una respuesta a incidentes adecuada con base a las políticas de seguridad
implementadas.

2.3.1. Investigación

En al apartado 2.3 se dio una breve reseña del ciclo de vida de la seguridad de TI, como se mencionó para
poder determinar los riesgos actuales de la organización es necesario llevar a cabo una investigación de la
situación actual de la organización en el tema de seguridad, en este proceso podemos hacer uso de auditorías,
evaluaciones, revisiones etc, mismas que nos ayudaran a determinar el estado de la seguridad en el cual nos
encontramos, aquí es donde se pueden llevar a cabo auditorias, evaluaciones, pruebas de penetración, entre
otras.

2.3.2. Análisis

Derivado de la investigación efectuada al estado que guarda la organización en el tema de seguridad podemos
seguir con el análisis, en esta etapa del ciclo de vida se pueden determinar las debilidades de la organización,
podemos definir el estado de la seguridad en dos áreas técnicas y las no técnicas, en las no técnicas se
encuentran detalladas la evaluación de políticas y en las técnicas se encuentran las evaluaciones de seguridad
de la red y las físicas.
Sin embargo, podemos asentar también en esta fase las áreas a revisar como seguridad ambiental, ingeniería
social, clasificación de datos entre otros.
En el análisis también nos permitirá realizar acciones proactivas y reactivas, así como administrar el riesgo
identificando, analizando, evaluando y el procedimiento a seguir del riesgo asociado con una actividad.

2.3.3. Diseño

Dentro de la fase de diseño se encuentran las actividades a desarrollar a fin de evitar escenarios indeseables,
por ello es indispensable el diseño de configuraciones de seguridad efectivas, mismas que se deben de basar
en estándares de la organización, esta etapa de diseño se lleva a cabo con la ayuda de todos los miembros de
la organización o bien conocidos steakholders, ya que son los que llevaran a cabo campañas de concientización
con reuniones, exámenes, publicaciones, entre otras.

Se pueden determinar si es necesario la aplicación de sistemas de detección y/o prevención de intrusos o si es

necesaria la aplicación de firmas digitales, entre otros.

2.3.4. Implementación

Derivado del diseño, pasamos a la etapa de la implementación, es aquí donde llevaremos a cabo el
5
ssssss
Seguridad en Sistemas Operativos

proceso de implementar los controles establecidos durante el diseño, este proceso es llevado a cabo
por personal especializado y es el encargado de poner en marcha los controles establecidos en el
diseño, podemos mencionar algunos controles que se pueden implementar como antivirus, firewalls,
IDS, IPS, filtros, etc.

2.3.5. Mantenimiento y cambio

En la fase de mantenimiento y cambio se verifican las actividades normales y reacciones ante incidentes, se
lleva a cabo el monitoreo de los incidentes, así como las alertas de seguridad, se puede llevar a cabo también
practicas forenses con la intensión de encontrar los problemas y poderlos corregir de manera exitosa, se definen
también responsabilidades y las causas de los problemas, así como el manejo de incidentes con ayuda de la
fases de organización, identificación, erradicación y recuperaciones.

2.3.6. Evaluación del rendimiento

La evaluación del rendimiento es un procedimiento que se utiliza para medir, evaluar e influir sobre el proceso
de las políticas de TI implementadas dentro de la organización, los criterios de evaluación, pueden ser uno
solo o múltiples dependiendo de la característica que la organización quiera evaluar, cada evaluación tiene un
nivel de importancia diferente, así como una gama de estándares con la intensión de emitir un juicio sobre las
contribuciones de las políticas implementadas.

3. Evaluación de la seguridad de TI

La evaluación de la seguridad de TI de la organización se debe generar como resultado de la gestión de riesgos,

mismos que la dirección de gobernanza debe ser capaz de determinar, analizar, ponderar y realizar una
clasificación, para mantener la seguridad en la organización. Para dar inicio a una evaluación se debe llevar a
cabo una evaluación rápida para tomar medidas correctivas oportunas y que no generen un costo mayor, se
busca cuantificar el impacto de amenazas potenciales y el impacto que provocaría dicha vulnerabilidad.

3.1. Tipos de amenazas para la seguridad de TI

Dentro de este apartado se mantendrá una clasificación de las amenazas por tipo, se llevará un control de las
amenazas que han surgido en la organización y se detallara los riesgos de acuerdo al tipo, así como los activos
que afectan, se determina si la amenaza afecta la integridad, confidencialidad o disponibilidad de la información,
para poder detallar un poco en el tema de amenazas se pueden citar las siguientes:

Amenazas físicas: incendios, inundaciones, vandalismo, desastres, etc.

Ataques internos o externos: hackers, crackers, ataques, etc.
Errores de aplicación: errores de computo, desbordamientos de memoria, etc.
6
ssssss
Seguridad en Sistemas Operativos

Interacción humana: intencional, no intencional, por accidente, etc.

3.2. Conducción de evaluaciones de seguridad de TI

Se llevarán a cabo revisiones en intervalos planificados de los riesgos presentados y su nivel de aceptación,
tomando en cuenta los cambios que se pudieran haber producido en la organización, tecnologías, objetivos y
procesos, se llevaran a cabo auditorías internas al interior de la organización y a niveles directivos con el objeto
de determinar y garantizar si los alcances definidos siguen siendo los adecuados.

Se actualizarán los planes de seguridad con base a las conclusiones y los hallazgos encontrados en las
actividades de monitoreo y revisión.

3.2.1. Seguridad física y ambiental

Se deberán tener controles y medidas de seguridad en relación a la seguridad física dentro de la ubicación de
los sistemas informáticos, así como los controles de acceso adecuados a los mismos se deberá de contemplar
medidas físicas como lectores biométricos, circuito cerrado de televisión centros de respaldo, ubicaciones y
acondicionamientos físicos.

En cuanto a la seguridad ambiental se deben de tener en cuenta las condiciones climáticas para decidir la
ubicación del centro de datos, dentro de algunos factores ambientales podemos mencionar los incendios,
inundaciones, terremotos y cualquier otro factor que conlleve a vulnerar la seguridad física.

3.2.2. Riesgos y respuesta a incidentes

Entendemos por riesgo a la probabilidad de una amenaza la cual puede aprovechar una vulnerabilidad y es
resultado de una clara imagen de un acontecimiento negativo de la organización, antes de aplicar cualquier
control dentro como parte del proceso de la seguridad, es necesario calcular un riesgo a través de una
vulnerabilidad y posteriormente podemos evaluar la vulnerabilidad con ayuda de controles, es lo que nos dará
la pauta para tener un plan de reacción ante cualquier incidente, podemos tener varios tipos de riesgos, entre
los que podemos mencionar Físicos, por interacción humana, ataques internos o externos, por uso incorrecto
de la información, por perdida de información, por errores en los procesos, etc....

3.2.3. Comunicaciones

Es el proceso donde se pretende monitorear y llevar a cabo un control de las comunicaciones a lo largo de la
ejecución del proyecto para poder asegurar que satisfagan las necesidades, dentro de este proceso se
desencadenan una iteración de procesos como la planificación de las comunicaciones y la gestión de las
mismas, algunos elementos claves de la comunicación tales como incidentes de desempeño pueden
desencadenar revisiones inmediatas.

7
ssssss
Seguridad en Sistemas Operativos

3.2.4. Integridad de la información

Es una dimensión de la calidad de los datos cuya perdida puede significar un impacto mayor dentro de la
privacidad, este concepto es un término utilizado para referirse a la exactitud y fiabilidad de los datos. Los datos
deben ser completos, sin modificaciones, variaciones o legitimidad del original, mismo que se considera como
confiable y exacto. Mantener la integridad de los datos significa asegurar que los datos ingresados permanezcan
de manera intacta y sin cambios a lo largo del ciclo de vida de los mismos.

3.2.5. Servicios adquiridos

Cada organización cuenta con sus riesgos y sus objetivos de seguridad, por lo que cada una necesita de sus
propias métricas vinculadas a sus estrategias organizacionales, un ejemplo calor de ello es el impacto que
tendrá acorde a los servicios contratados, de acuerdo al objetivo de cada una se puede tener varios servicios,
es necesario la identificación de los objetivos a seguir para después analizar cuáles son los servicios que nos
beneficiaran o nos llevaran al cumplimiento de los objetivos.

3.2.6. Planeación y mantenimiento

En este apartado se clasifican los procesos y se definen estructuras comunes para la planeación y el
mantenimiento, es necesario definir un modelo de gestión que permita estandarizar la organización de los
trabajos de mantenimiento qué se realizaran a cada uno de los sistemas a mantener, se tiene como objetivo
minimizar los problemas que pudieran aparecer por falta de organización, se establece la manera de llevar a
cabo las cosas.

3.2.7. Certificaciones y acreditaciones

Surgen como mecanismos de autenticación del conocimiento profesional, con estas certificaciones se busca
identificar o generar evidencias requeridas para cumplir con lo establecido por criterios previamente aceptados,
estas certificaciones buscan en específico el cabal cumplimiento de las políticas establecidas por la
organización, así como los procedimientos que soportan cada uno o varios programas de certificación, desde
su inicio, diseño, aplicación y generación de resultados.

3.3. Técnicas para el análisis de riesgos

El análisis comprenderá técnicas que nos pudieran ayudar a mitigar y reducir los riesgos y evitar pérdidas que
puedan afectar la seguridad, calidad y producción en la organización. Se debe realizar un estudio en el cual se
considere al personal implicado en cada fase, el equipo8 necesario, el material utilizado y el ambiente laboral:
ssssss
Seguridad en Sistemas Operativos

Estos tipos de análisis pueden ser cualitativos, que se enfocan a identificar y describir los riesgos existentes y
los cuantitativos, que tienen por objeto asignar valores de peligrosidad a cada riesgo de tal manera que se
pueda comparar y ordenar acorde a la importancia.

3.3.1. Inventarios de activos de información

Son los recursos que utiliza un sistema de gestión de seguridad de la información para que todas las
organizaciones funcionen y consigan los objetivos establecidos por la alta dirección, los activos se encuentran
ligados de forma directa e indirecta, toso esto deberá de apegarse a la norma ISO 27001, donde se tiene que
tener un valor para la empresa y quedan dentro del alcance del sistema de gestión de la seguridad.

3.3.2. Identificación de amenazas

Como bien se mencionó para poder incorporar una planificación que cumpla con todos los estándares
establecidos por la organización es necesario de primera instancia la identificación de amenazas, con esto
podremos saber en qué estado se encuentra nuestra seguridad, podemos partir de este punto para empezar a
actuar de una manera ordenada y con objetivos claros, posteriormente se pueden implementar acciones que
conlleven a mitigar citadas amenazas.

3.3.3. Matriz de riesgos

Es una herramienta para identificar los riesgos más significativos inherentes a las actividades de la organización,
tanto de procesos como de servicios, por lo que se considera un instrumento válido para mejorar el control de
riesgos y la seguridad dentro de la organización, se puede llevar a cabo un diagnostico objetivo y global de la
empresa de diferente tamaño y sectores, mediante la matriz de riesgos es posible evaluar la efectividad de la
gestión de riesgos.

https://core.ac.uk/download/pdf/30044357.pdf
9
ssssss
Seguridad en Sistemas Operativos

https://upcommons.upc.edu/bitstream/handle/2099.1/17192/Modelo de
gesti%B3n%20y%20seguridad%20en%20el%20mantenimiento.pdf

1
0