Gestion de La Seguridad2

La seguridad de la información en las
organizaciones
[1.1] ¿Cómo estudiar este tema?
[1.2] Introducción
[1.3] La seguridad de la información implica la confidencialidad,

integridad y disponibilidad
[1.4] La seguridad es un asunto económico
[1.5] La seguridad es un proceso
[1.6] La clasificación de la información
[1.7] La seguridad en la información implica la

gestión de los riesgos
[1.8] La seguridad se articula con controles de

1
seguridad
[1.9] La seguridad es tanto física como lógica

TEMA
[1.10] La seguridad implica a las personas

La seguridad de la información
Esquema
es un
confidencialidad
TEMA 1 – Esquema
proceso protege integridad
sobre un disponibilidad
Sistema de
información
1
de
que incluye que identifica Activos de
información valiosos
basado en
Sistema Sistema social analizar
técnico (personas) riesgos amenazas
de ocurrencia de
controles físicas
que implementa
Lógicas
(en el software)
© Universidad Internacional de La Rioja (UNIR)

Gestión de la Seguridad
Ideas clave
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
El objetivo fundamental de esta unidad es el de comprender la seguridad de la

información como una actividad orientada a garantizar la confidencialidad,
integridad y disponibilidad de los recursos valiosos de un sistema de
información.
Concretamente se espera que al finalizar el tema seas capaz de:
» Dar ejemplos y describir amenazas y situaciones en las que no se garantiza la

confidencialidad, integridad y/o disponibilidad de recursos de información.
» Explicar por qué la seguridad de la información debe considerarse como un proceso
y no como un producto.
» Enunciar y explicar los aspectos económicos fundamentales de la seguridad de la
información.
» Describir y dar ejemplo de los diferentes tipos de amenazas y controles para la
seguridad física.
» Describir la importancia y el papel de la gestión de riesgos en la seguridad de la
información.
» Diferenciar y dar ejemplos de las diferentes herramientas de gestión para la
seguridad de la información.
» Describir la importancia del factor humano en la seguridad de la información,
definir las técnicas de ingeniería social y dar ejemplos de las mismas.
TEMA 1 – Ideas clave 2 © Universidad Internacional de La Rioja (UNIR)

1.2. Introducción
Este primer tema introduce el concepto de la seguridad en la información como

un proceso para eliminar los riesgos asociados a la confidencialidad, integridad y
disponibilidad de uno de los recursos empresariales más valiosos: la información.
Para comenzar el tema, debes leer el caso de estudio y consultar las fuentes
mencionadas en él para comprender la perspectiva de la seguridad de la información
desde el punto de vista de la empresa. Es particularmente interesante buscar
información de estimaciones de coste de incidentes o brechas de seguridad que han
sido notorias en los medios.
Finalmente, la pregunta fundamental en la gestión es si el coste de la «no-seguridad» es

mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad
tiene que fundamentarse en un análisis coste-beneficio. El problema es que la
cuantificación del coste en este caso depende del análisis de riesgos.
El tema debe comenzarse comprendiendo y sabiendo enunciar:
Qué se protege La confidencialidad, integridad y disponibilidad.
De qué activos De los clasificados como valiosos.
Mediante controles implementados en políticas, estándares y

Por qué medios
procedimientos.
Además de lo anterior, es importante conocer la protección de las amenazas

físicas. En estos materiales solo se repasan sucintamente, pero esa formación debe
completarse con recursos externos.
También como aspecto general de gran relevancia debes comprender la importancia del
«factor humano» y entender que las técnicas de «ingeniería social» hacen
inútiles a los medios técnicos más sofisticados. Es interesante buscar y leer casos de
brechas de seguridad en las que el «eslabón más débil» fue un empleado y no un
sistema pobremente configurado.

1.3. La seguridad de la información implica la confidencialidad,

integridad y disponibilidad
Hablar de seguridad de información es mucho más que tratar sobre cómo

configurar firewalls, aplicar parches para corregir nuevas vulnerabilidades en el
sistema operativo o guardar de forma cuidadosa los backups.
Seguridad de información implica determinar qué hay que proteger y por qué, de
qué se debe proteger y cómo protegerlo.
Los términos «seguridad de la información» y «seguridad informática» se utilizan con

frecuencia como sinónimos, aunque no describen exactamente lo mismo. En general, la
seguridad de la información (information security) hace referencia a la
confidencialidad, integridad y disponibilidad de la información, independientemente
del medio en que se almacenen los datos.
La información se almacena en diferentes soportes, que pueden ser electrónicos,

impresos o de otro tipo. Por otro lado, la seguridad de la información implica la
implementación de estrategias que cubran los procesos de la organización en los
cuales la información es el activo primordial. En contraposición, «seguridad
informática» es un concepto más restrictivo que caracteriza la seguridad técnica de los
sistemas informáticos.
Ejemplo
Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía,

detección de intrusos y seguimiento de la actividad interna. No obstante, la simple
negligencia de un empleado relativa a la política de claves de seguridad puede permitir el
acceso a un intruso. Es importante entender que un sistema de seguridad incluye también
a personas y procedimientos, más allá de los sistemas informáticos en sí.
En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus
problemas de seguridad, eso quiere decir que no comprendes los problemas y que no
comprendes la tecnología».

Hay tres perspectivas fundamentales en la seguridad de la información:
Legal Técnica Organizativa
El punto de vista legal concierne a las regulaciones internacionales, nacionales y

regionales que protegen básicamente la privacidad y los derechos de propiedad
intelectual.
La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de

elementos técnicos (hardware, software, redes) que tiene determinadas características
relacionadas con la seguridad.
Finalmente, la visión organizativa considera esencialmente la seguridad como un

elemento fundamental para el negocio, dado que permite asegurar que los procesos de
negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e
integridad de la información. La perspectiva organizativa de la seguridad se basa en el
análisis de riesgos, dado que el coste de las brechas o de los ataques contra la
seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos
legales, dado que en la mayoría de las empresas se guarda información personal, al
menos, de los clientes.
Podemos decir que la perspectiva organizativa y la legal indican qué hay que
proteger (lo establecido en la ley y los recursos importantes para la organización) y
por qué y de qué (porque se protegen derechos de las personas frente a violaciones
de la privacidad o porque comprometer ciertos recursos de información afecta al
negocio por acciones de robo de información o espionaje industrial).
La perspectiva técnica se encarga del cómo hay que proteger desde el punto de vista
técnico (por ejemplo, si hay que utilizar ciertas actualizaciones de un sistema operativo,
si hay que desplegar honeypots o instalar un IDS) dependiendo de la tipología
cambiante de las amenazas (por ejemplo, la difusión generalizada de los smartphones
requiere medidas adicionales para este tipo de plataformas).
La seguridad de la información en una organización básicamente implica la protección

de los recursos necesarios para que la organización cumpla con su misión frente al daño
o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado

que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de

seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión.
Comentario
Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad

como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad
deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe
ser objeto de formación, entrenamiento y explicación.
Por otro lado, es importante resaltar que la seguridad es un proceso continuo de

mejora y no un estado de un sistema, por lo que las políticas y controles establecidos
para la protección de la información deberán revisarse y adecuarse, de ser necesario,
ante los nuevos riesgos que se identifiquen.
En este sentido, se puede decir que no existe un sistema de información

perfectamente seguro, dado que las amenazas evolucionan, y también la propia
organización y sus recursos de información. No obstante, dependiendo de los procesos
relacionados con la seguridad, será más o menos fácil que se produzca una violación o
brecha de seguridad, y también esta tendrá más o menos impacto y será más o menos
costosa de paliar.

Aclaración
Un sistema de información es un conjunto de componentes interrelacionados que

recogen, almacenan, procesan y distribuyen información para dar soporte a la toma de
decisiones y el control dentro de una organización.
Los componentes incluyen software y hardware, pero también procedimientos,

estructuras organizativas y otros elementos. Hay que diferenciarlo de «sistema
informático». Para estudiarlos, se debe utilizar una aproximación «socio-técnica».
Entorno (environment)
Sistema social Sistema técnico
Clientes
Socios Estructura Tecnología
Gestión de los SI
Competidores
Personas Tareas
Marco regulatorio
Por tanto, la gestión de la seguridad de los Sistemas de Información cubren todos los
elementos que aparecen en la anterior figura. Para saber más sobre conceptos de sistemas
de información puede consultarse el libro de Laudon&Laudon:
Pearson. Laudon, K. C. y Laudon. J. P. (2004). Sistemas de información gerencial (10ª

ed.). México: Pearson- Prentice Hall.
La seguridad de la información se suele conceptualizar en torno a tres atributos

principales ya mencionados: confidencialidad, integridad y disponibilidad. A
continuación se describe cada uno de ellos.
Confidencialidad
Integridad Disponibilidad
Figura 1. Los tres principios generales de la seguridad de la información

Estos tres atributos pueden utilizarse como criterio para los controles de seguridad
dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no
deseable, son la revelación, la alteración y la destrucción.
La confidencialidad
La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto

a la confidencialidad. La privacidad de la información personal es un derecho protegido
por regulaciones internacionales y nacionales, pero no es más que una de las caras de la
confidencialidad.
En una empresa, la lista de los mejores proveedores en un área no es información

personal, pero obviamente su acceso debe estar limitado a ciertos empleados.
Pensemos como otro ejemplo en el código fuente de una aplicación informática

desarrollada en una empresa para su venta, ese código no debería revelarse y debería
estar estrictamente protegido. En otros casos, la confidencialidad está asociada a otras
restricciones externas. Por ejemplo, los planes de defensa por su naturaleza deben
clasificarse como confidenciales.
Confidencialidad
Es la propiedad de prevenir la revelación y divulgación intencionada o no
intencionada de información a personas o sistemas no autorizados.
Las amenazas a la confidencialidad son múltiples y diversas, y los medios para

conseguir acceso muy diversos. Más adelante hablaremos de la ingeniería social, que
aprovecha el factor humano para hacerse con información confidencial, pero también
muchos troyanos tienen como objeto extraer información confidencial de manera
automática, por ejemplo.

Ejemplo
Un ejemplo de técnica para obtener información confidencial es el conocido pishing.
Con el auge de las redes sociales online como Facebook también ha llegado el pishing
especializado en estas redes. El ejemplo que se muestra debajo es un mensaje de correo
electrónico que aparentemente es una invitación a hacer un contacto en Facebook. A
pesar de que hay signos para reconocer que es fraudulento (como el dominio aol.com del
remitente), muchos usuarios siguen cayendo en la trampa. En este caso, el fraude
permitiría acceder a la información privada de nuestra cuenta de Facebook.
La integridad
Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un

balance de una cuenta bancaria. Los ataques contra la integridad suelen implicar
también pérdidas de confidencialidad, pero no necesariamente. En ocasiones, el intruso
o persona no autorizada no modifica la información directamente, sino que modifica
alguno de los programas que la actualizan. De este modo, incluso sin conocer el saldo
de una cuenta bancaria, se puede reducir su cuantía mediante la alteración deliberada
del software, bien del programa en sí o del proceso en ejecución del programa.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas.

Algunos autores consideran que la integridad debe también cubrir las modificaciones no
autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones.
La integridad de la información se gestiona de acuerdo a tres principios básicos:
» Dar acceso de acuerdo al criterio del menor privilegio (criterio need-to-know).

» Separación de obligaciones (duties).
» Rotación de obligaciones.
El primero de los principios es muy simple. Solo se debe dar acceso a los usuarios a
aquellos recursos de información que les sean absolutamente imprescindibles para
realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles
específicos para evitar que los usuarios puedan modificar información de maneras que
comprometan su integridad. Un ejemplo de este tipo de controles es un registro de
transacciones de las acciones del usuario, de modo que puedan inspeccionarse
posteriormente.
Ejemplo
El análisis de código estático es un conjunto de técnicas que analiza el código de las

aplicaciones para buscar vulnerabilidades. Las técnicas de «taint analysis» tratan de
explorar cómo los valores de entrada de la interfaz de usuario de una aplicación se utilizan
en el código para modificar los datos. Este análisis estático es un ejemplo de control
relacionado con la integridad.
El segundo de los principios implica que, para una determinada tarea, no haya nunca
un solo usuario responsable de realizarla. De esta manera, al menos habrá dos personas
implicadas y será más difícil que se utilice una manipulación de datos para beneficio
personal. El tercero de los principios va en la misma dirección y propone que las tareas
asignadas a los empleados cambien de responsable de vez en cuando. El problema con
la rotación es que, en empresas con pocos empleados en un determinado tipo de
puesto, puede ser difícil el intercambiar sus tareas.
La disponibilidad
Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo para
realizar funciones legítimas. Es decir, para realizar el trabajo necesario para el negocio.

Disponibilidad
Es la característica, cualidad o condición de la información de encontrarse
a disposición de quienes deben acceder a ella como usuarios autorizados,
ya sean personas, procesos o aplicaciones.
En el contexto de la seguridad de la información, habitualmente se habla de la

disponibilidad en dos situaciones típicas:
» Ataques de denegación de servicio (denial of service, DoS).

» Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes
naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes,
etc.).
Los ataques DoS se han hecho populares en la web a través de los medios de
comunicación. Un ataque DoS sobre un sistema es básicamente un ataque por el cual
los recursos de cómputo del sistema se redirigen por medios externos a tareas que
impiden su uso por los usuarios legítimos.
Estos ataques frecuentemente se realizan mediante la infección previa de otros

equipos en la red sin el conocimiento de sus propietarios, de modo que se coordinan
para solicitar el servicio de un determinado sitio web.
Ejemplo
En el 2000, Michael Calce (alias «Mafiaboy») un estudiante de quince años en Quebec

lanzó un ataque de DoS distribuido contra Yahoo, Amazon y otros sitios de los más
visitados en la web. Yahoo estuvo fuera de servicio por varias horas.
Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas
posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de
catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Un ejemplo son los sitios alternativos de proceso, que permiten continuar la operación
del negocio transfiriendo a otra infraestructura física alternativa. En el terreno técnico,
los avances en la computación tolerante a fallos son mecanismos que usualmente
combinan hardware y software para asegurar la disponibilidad.

Otros conceptos previos importantes
Además de la tríada que acabamos de describir, hay otros conceptos básicos

importantes que se deben tener en cuenta en la gestión de la seguridad y que conviene
recordar en este momento. La siguiente tabla los resume:
Concepto Definición Ejemplo
El medio más comúnmente

Identificación Medios por los que los usuarios
conocido es la identificación
reclaman su identidad.
mediante usuario y clave.
La comprobación de la
Autenticación La evaluación de la evidencia
contraseña introducida con la
de la identidad de un usuario.
almacenada en el sistema.
La capacidad de un sistema de
Rendición de cuentas Los sistemas de auditoría y las
hacer el seguimiento de las
(accountability) bitácoras (logs) cumplen esta
acciones de un usuario
función.
determinado.
Los derechos y permisos

Autorización Derechos de lectura o escritura
asignados a un individuo con
sobre determinados ficheros.
respecto a recursos del sistema.
La forma y grado en que los

Privacidad Nivel de confidencialidad dado usuarios de una red social
a los usuarios de un sistema. pueden ver los datos de los
demás usuarios.
1.4. La seguridad es un asunto económico
En muchas empresas no se toma suficientemente en cuenta la seguridad de la

información hasta que experimentan un ataque o una brecha de seguridad. Y una vez
que el evento indeseado sucede, es cuando comienza la consideración económica.
Dado que la seguridad cuesta dinero, el problema fundamental es buscar un

equilibrio entre el coste de la seguridad y el impacto económico de los
riesgos probables. Es importante entender la vertiente económica de la seguridad,
dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía
en su día) no mejoran la seguridad de las empresas si estas no la ponen en práctica.

La criptografía, siguiendo el ejemplo, se convierte en un «arma matemática» inútil si

los empleados no cumplen con la política de elección y custodia de sus claves.
En general, la seguridad implica costes incluso más allá del coste de los sistemas,
software o tiempo de expertos en la configuración y diseño de los mismos. También
tiene un coste en la forma de la resistencia de los empleados o su frustración, que en
ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo
más ágilmente.
En el caso del desarrollo de aplicaciones, un software bien protegido es más caro y

requiere más tiempo de desarrollo que uno que no lo esté. Por otro lado, solo las
intrusiones con un efecto importante tienen un impacto económico considerable, y rara
vez han llegado históricamente a llevar al cierre de operaciones de la empresa. Esto
hace que «racionalmente» muchas empresas no dediquen grandes esfuerzos a la
seguridad.
Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos
siguientes elementos:
Los auditores de seguridad comienzan a

Son fáciles de implantar
demandarlas
Este es el caso por ejemplo de los firewalls. El coste de implantarlos se ha reducido

considerablemente porque cada vez son más fáciles de implantar y hay más gente
preparada para hacerlo, y por otro lado, el coste de no tenerlos, en el caso de una
auditoría, es grande (la empresa no pasará la auditoría).
El aspecto económico de la seguridad es tan importante que es un campo de estudio en

sí mismo, denominado «Information Security Economics». Tyler Moore y Roose
Anderson elaboran informes técnicos con los avances en esta área que merece la pena
conocer.
Un marco económico para la seguridad de la información
Adrian Mizzi ha elaborado un marco conceptual para responder a la pregunta que se

hacen tantas empresas sobre si están invirtiendo mucho o poco en seguridad de la
información. Básicamente, este marco permite estimar el retorno de la inversión, si

bien la estimación de las variables es compleja por lo elusiva de la medición de las

amenazas y las vulnerabilidades. El siguiente gráfico resume el marco conceptual.
La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la
defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de
defensa explícitas y a la identificación de vulnerabilidades.
En general, para que un atacante incurra en este «coste de ruptura» o CTB los
beneficios de su acción tienen que ser superiores. El problema en este lado es doble:
» Por un lado, los beneficios de los ataques son difíciles de estimar a priori pero en
general, si se pretende vender información confidencial, por ejemplo, para el fraude
de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en
relación al beneficio posible. Solo cuando los mecanismos de protección sean más
complejos de burlar un atacante no lo seguirá intentando.
» Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones
no económicas que les pueden llevar a incurrir en CTBs mayores que los beneficios
económicos esperados (que en ocasiones es ninguno, simplemente). La estimación
del CTB puede hacerse mediante la contratación de consultoría de «penetration
testing», donde se contratan servicios de profesionales que intentan realizar un
ataque en condiciones realistas.

Del lado de la organización, los dos costes básicos son:
» Coste de construcción de las medidas defensivas, incluyendo la

configuración de firewalls, sistemas redundantes, IDS, etc.
» Coste de reparación de vulnerabilidades. En una configuración simple, esto
puede consistir en mantener el software actualizado con los últimos parches, pero
en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar
vulnerabilidades potenciales según aparecen.
Ejemplo
Metasploit mantiene una base de datos de exploits (descripciones de secuencias de

acciones o módulos software que permiten aprovechar una vulnerabilidad para conseguir
un comportamiento no deseado de un sistema) que puede buscarse online en esta URL:
http://www.metasploit.com/modules/
Una política de reparación de vulnerabilidades proactiva puede incluir la búsqueda de

este tipo de herramientas para comprobar vulnerabilidades en los sistemas a medida que
aparecen.
Por ejemplo, si tenemos una PYME que ha

decidido utilizar el sistema de CRM de código
abierto SugarCRM, podemos encontrar la
vulnerabilidad que se detalla en la siguiente
captura de pantalla. Metasploit ofrece código,
muestras de ejecución y documentación
completa para la reparación de la
vulnerabilidad.
Además de los anteriores, hay costes, postincidente, que incluyen el cálculo de las
pérdidas derivadas (véanse las referencias del Ponemon Institute en el caso de estudio
del tema), y también el coste de la reconstrucción de los sistemas. Esta reconstrucción,
dependiendo del efecto del incidente, puede ser tan simple como una reinstalación o
reparación de un software. Pero en ocasiones puede ser tan costosa como el requerir
servicios profesionales para recuperar datos dañados. En otras ocasiones, y de manera
discutible, la reparación se complementa con un «contraataque» o «persecución» de
los intrusos.

1.5. La seguridad es un proceso
La seguridad no es un producto, algo que se pueda conseguir y, una vez terminado, se

tiene. Por el contrario, la seguridad son actividades continuas realizadas dentro de un
plan sistemático que debe evaluarse continuamente. Es decir, la seguridad de la
información es un proceso. Los elementos fundamentales de ese proceso son los
activos de información, por eso la base de todo el proceso es su identificación, para
después aplicar una serie de herramientas de gestión.
La gestión de la seguridad implica la identificación de activos de información y el

desarrollo, documentación e implementación de políticas, normas,
procedimientos y directrices que garanticen su disponibilidad, integridad y
confidencialidad.
Las herramientas de gestión (como la clasificación de datos, la formación de

concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se
utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para
establecer controles de seguridad eficaces.
Es importante diferenciar las diferentes herramientas de gestión. En muchas ocasiones

se habla de «políticas» para hacer referencia a diferentes herramientas que se utilizan
en diversos niveles de la gestión. Por ello, es importante hacer una clarificación
terminológica. La siguiente figura muestra una jerarquía de herramientas y sus
relaciones.
Política general de seguridad

de la organización
establece los
objetivos de
Políticas generales
de la organización
se detallan en
Políticas funcionales
se implantan mediante
Estándares obligatorios Directrices Procedimientos Líneas base

A continuación, se describen cada una de ellas.
Política general de seguridad
Esta es una política general de alto nivel y de carácter estratégico de la que se derivan
las demás. Típicamente contiene lo siguiente:
» Una declaración de la importancia de los recursos de información en la empresa.

» Una declaración de compromiso de la dirección clara con la seguridad de la
información.
» Un compromiso de delegación a las políticas derivadas de ella.
Políticas funcionales
Estas políticas son también de alto nivel, por lo que indican qué debe hacerse pero no
detallan el cómo (esto vendrá detallado concretamente en los procedimientos).
Típicamente, estas políticas afectan a un área funcional o a un determinado tipo de
aplicación, como puede ser la «política de uso del correo electrónico».
Estándares, directrices y procedimientos
Los estándares, directrices y procedimientos son medios para implementar las

políticas.
Los estándares especifican el uso de ciertas tecnologías o métodos de un modo

uniforme. Son obligatorios y en ocasiones implican determinados compromisos con
ciertos sistemas operativos o fabricantes de software.
Las directrices son similares a los estándares pero son solo recomendaciones, no son
de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden
utilizarse para determinar estándares.
Los procedimientos (a veces denominados «prácticas») son descripciones detalladas

de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan
llevar a cabo sin dudas.

También mencionamos las líneas base (baselines) que son descripciones sobre cómo
configurar determinados elementos de seguridad para que sean aplicados de manera
uniforme en toda la organización.
Para comprender las diferencias, la siguiente tabla recoge un ejemplo concreto:
Los responsables deben proveer un entorno de procesamiento seguro en

Política
el que se mantenga la seguridad de la información.
Los responsables deben utilizar la solución de antivirus de McAfee en

Estándar
todos los equipos de usuario.
Los usuarios de equipos deben atender a una sesión online de formación

Directriz
sobre el uso de antivirus y su importancia.
Todos los usuarios de equipos deben establecer la actualización del

Procedimiento antivirus corporativo con periodicidad semanal. Los pasos a seguir son los
siguientes: […]
La configuración del antivirus de McAfee por defecto en los ordenadores

Línea base
debe establecerse de acuerdo a los siguientes parámetros: […]
En el ejemplo anterior, la política es aún de un nivel general. Es frecuente tener

políticas más específicas para cada tipo de aplicación a utilizar en la organización.
1.6. La clasificación de la información
No toda la información en la organización es igualmente valiosa. Por ejemplo, los

secretos industriales como la fórmula de fabricación de un producto afectan a la propia
ventaja competitiva y a la razón de ser de muchas empresas. Su revelación a terceros
simplemente puede terminar con la organización. Algo parecido ocurre con la
información sobre la estrategia de nuevos productos de una empresa, esa información
es el objeto más preciado del espionaje industrial.
Dado que la protección de la información cuesta dinero, clasificarla permite dedicar

más dinero a los recursos más valiosos.

En el entorno militar y el sector público, la clasificación de la información tiene una

larga historia. No obstante, es útil para cualquier organización, bien como mecanismo
de análisis, o para evaluar qué información está afectada por determinadas
protecciones legales.
La clasificación de la información permite identificar el valor de los recursos

de información, incluyendo la información más sensible o vital para la empresa.
Clasificar la información además demuestra un compromiso con la seguridad y puede

ser imprescindible debido a regulaciones existentes.
Niveles de clasificación
La clasificación suele hacerse en función de una serie de niveles. La siguiente tabla

resume una tipología habitual en los documentos en el entorno del gobierno.
Tipo Definición
Información no clasificada como sensible o clasificada. Por

Sin clasificar definición, la difusión de esta información no afecta a la
confidencialidad.
Sensible pero no clasificada Información que tiene un impacto menor si se difunde.
La información que de ser difundida puede causar daño a la

Confidencial
seguridad nacional.
Secreta Su difusión causaría un daño importante.
Alto secreto Su difusión causaría un daño extremadamente grave.
En el entorno de las empresas se utilizan otro tipo de clasificaciones. La siguiente tabla

proporciona un ejemplo.
Tipo Definición
Uso público Puede difundirse públicamente.
Información que se puede difundir internamente pero no

Uso interno externamente. Por ejemplo, información sobre los
proveedores y su eficiencia.

La información más sensible. Por ejemplo, información sobre

Confidencial fórmulas de productos, productos nuevos o fusiones
empresariales en curso.
La anterior clasificación tiene que ver con el impacto en la empresa globalmente,

pero hay otra categoría, la de la información personal, cuya difusión está protegida
por la ley dado que afecta a los derechos de los individuos. Por ejemplo, el sueldo de un
empleado o la información médica sobre el mismo.
Además de los criterios de impacto en su difusión que acabamos de ver, la edad de la

información suele ser también un criterio, los documentos de Defensa normalmente se
desclasifican tras un cierto tiempo, y una fórmula de un producto antiguo
probablemente ya no tenga el mismo valor si se ha imitado por el tiempo o por los
competidores.
Roles y procedimientos en la clasificación
La clasificación de la información requiere unos roles bien definidos y una serie de

pasos o actividades sistemáticas.
Los roles principales son los siguientes:
» Propietario (owner). El propietario debe ser un directivo o gestor encargado

de la protección de los recursos de información. Establece las políticas de
clasificación y delega las tareas rutinarias al responsable.
» Responsable (custodian). Normalmente es personal técnico, en quien el
propietario delega la custodia efectiva de la información. Esto incluye la gestión de
las copias de seguridad y cualquier otra tarea técnica necesaria.
» Usuario. Son los «consumidores» de la información para su trabajo diario.
Los principios fundamentales para este rol son los siguientes:
o La información y los recursos deben utilizarse para la organización, nunca

para usos personales.
o Son responsables de la gestión de la información que utilizan durante su
trabajo. Particularmente, tienen que cuidar que esa información no quede «a la
vista». Un ejemplo es cerrar con password su terminal si abandonan
temporalmente su puesto.

o Deben comprender y aplicar las políticas y procedimientos de

seguridad de la organización.
Las actividades de clasificación pueden resumirse en las siguientes:
» Identificar los roles mencionados.

» Especificar los criterios de clasificación.
» Clasificar los datos por su propietario.
» Especificar y documentar cualquier excepción a la política de clasificación.
» Especificar los controles que se aplican a cada nivel de clasificación.
» Especificar los procedimientos de terminación para la desclasificación de la
información o para la transferencia de custodia de la información a otra entidad.
» Crear un programa de concienciación empresarial sobre la clasificación y sus
controles asociados.
1.7. La seguridad se articula con controles de seguridad
Toda la gestión de la seguridad de la información gira en torno de la identificación de

amenazas potenciales, es decir, de riesgos. Dado que el riesgo por su naturaleza no
puede eliminarse completamente, de lo que se trata es de establecer mecanismos para
reducir su probabilidad de ocurrencia (en el sentido de posibilidad) o bien para
disminuir su impacto en caso de que finalmente la amenaza se materialice.
Control de seguridad
Tiene como objetivo reducir los efectos de una amenaza o vulnerabilidad
de la seguridad.
El establecimiento de un control de seguridad es consecuencia de un estudio previo

del impacto de determinadas vulnerabilidades o amenazas. El proceso estructurado que
produce estimaciones de las pérdidas por esas vulnerabilidades es el análisis de
riesgos (Risk Assessment).

Los conceptos de riesgo son la vara de medir para determinar si un control está bien
implementado o no. Por ejemplo, consideremos el siguiente control mencionado en la
norma ISO 27001:
» Objetivo de control: responsabilidades del usuario.

» Control o medida de ejemplo: [A.11.3.1] Uso de clave control: Se debe requerir
que los usuarios sigan buenas prácticas de seguridad en la selección y uso de claves.
El riesgo en este caso redundaría en la pérdida de confidencialidad (y también de

integridad y/o disponibilidad, ya que la obtención de claves de usuarios puede permitir
a un intruso entrar en los sistemas y modificarlos).
La organización debe implementar este control en la forma de políticas (filosofía

general sobre las claves) y en procedimientos concretos (por ejemplo, cambios de
contraseña cada seis meses y uso de un comprobador de fortaleza de las contraseñas).
Esas medidas concretas, en este caso, permiten reducir la probabilidad de que un

intruso sea capaz de «adivinar» una clave, y en el caso de que lo consiga, que su efecto
(impacto) sea temporal. No obstante, no permitirán eliminar el riesgo completamente,
dado que un ataque de «ingeniería social» puede engañar a un usuario para dar la clave
a un software malicioso (este sería el caso del pishing).
1.8. La seguridad en la información implica la gestión de los riesgos
Todo el mundo tiene una noción intuitiva de qué es un riesgo. «Asumir un riesgo» es
equivalente a «hacer una elección», dado que siempre que actuamos, elegimos hacer
algo en lugar de dedicar nuestro tiempo y recursos a otras cosas.
En el dominio de la seguridad de la información los riesgos están asociados a «eventos

no deseados». Por ejemplo, el riesgo de tener un ataque de un cierto tipo y como
consecuencia sufrir un robo de datos personales.
No obstante, para poder medir con una cierta fiabilidad el impacto y la posibilidad
de que un evento no deseado suceda, primero hay que analizar los elementos que
componen el riesgo y sus relaciones. Una vez un riesgo ha sido analizado, y

evaluado, hay básicamente dos opciones. O bien aceptarlo tal cual, o tratar de tomar
alguna medida para mitigarlo en su impacto o en su probabilidad de ocurrencia.
Hay una tercera vía para la gestión del riesgo que realmente no actúa sobre el riesgo en
sí. Esta es la opción de externalizar el riesgo, es decir, de recurrir a algún tipo de
seguro para que, en caso de ocurrencia del evento no deseado, haya una compensación
económica.
Al conjunto de procesos de análisis, evaluación y planificación del riesgo se le

denomina gestión de riesgos. Más adelante en la asignatura se tratarán las
actividades de gestión de riesgos.
La gestión de riesgos en la seguridad informática es especialmente complicada por la

dificultad de estimar los riesgos. Bruce Schenier lo identifica en su artículo «Does Risk
Management make Sense?». Puede consultarse aquí:
http://www.schneier.com/essay-240.html
1.9. La seguridad es tanto física como lógica
El dominio de la seguridad abarca todo aquello en el entorno de los sistemas de

información que puede tener un impacto en la disponibilidad, integridad y
confidencialidad de la información. Un desastre natural es un ejemplo de una
amenaza física. Las medidas son también de una variedad muy diversa, como los
circuitos cerrados de televigilancia. A pesar de que este dominio de la seguridad de la
información puede parecer el más alejado de la profesión en sí, es importante
entenderlo, ya que el firewall mejor configurado no podrá aguantar si alguien es capaz
de acceder físicamente a la máquina que lo ejecuta.
Como ejemplo de la importancia de la seguridad, es interesante conocer algún ejemplo

de instalación con medidas bien diseñadas de seguridad física.
Un ejemplo es el búnker de la empresa Bahnhof, que cuenta con Wikileaks como uno
de sus clientes más famosos. Aunque el construir un centro de datos en un búnker
parece a muchos analistas más una operación de marketing que una necesidad física,
sus características son interesantes para ilustrar el diseño conjunto físico-lógico de
sistemas seguros.

Entre los aspectos que sus creadores tuvieron en cuenta fueron la estabilidad geológica
y el aislamiento frente a ataques físicos externos. No obstante, dado que uno de los
mayores riesgos físicos es el acceso no autorizado, en ese aspecto la ubicación del
centro no aporta ningún beneficio adicional.
Instalaciones del proveedor de servicios sueco Bahnhof situado en un antiguo búnker de la Segunda Guerra
Mundial en las montañas cerca de Estocolmo.
Donn B. Parker, en su libro «La lucha contra los delitos informáticos» (Wiley, 1998),
ha recopilado una lista muy completa que él llama las siete principales fuentes de
pérdidas físicas. El siguiente es un resumen con ejemplos:
» Temperatura: variaciones extremas de la temperatura, por ejemplo, en un

incendio.
» Gases: gases de guerra como el gas Sarin, pero también gases industriales o
partículas en suspensión.
» Líquidos: agua de una inundación, líquidos utilizados en la limipieza.
» Organismos: virus, bacterias o insectos, por ejemplo. Pero también las personas.
» Proyectiles: desde meteoritos a balas o explosiones.
» Movimientos: caídas o terremotos.
» Anomalías en la electricidad: magnetismo, radiaciones, etc.
Los controles de seguridad física son tan diversos como las amenazas. Las áreas
fundamentales que deben considerarse pueden resumirse en las que se presentan a
continuación.

Controles administrativos
Incluyen todos los procedimientos administrativos (en oposición a los controles

propiamente físicos o técnicos).
Podemos mencionar los siguientes como aspectos fundamentales:
» Planificación de los requisitos de las instalaciones.

» Gestión de la seguridad de las instalaciones.
» Controles administrativos al personal.
Controles del entorno y de la habitabilidad
Son los controles físicos esenciales para mantener la operación de los sistemas y
del personal que los opera. Las siguientes son las áreas principales:
» Suministro eléctrico.
» Detección y supresión de incendios.
» Calefacción, ventilación y aire acondicionado.
Controles técnicos y físicos
En este apartado agrupamos controles que no son puramente administrativos

(a pesar de tener aspectos administrativos). Las principales áreas son las siguientes:
» Control del inventario de equipos. Esencialmente, el control del robo y el daño a los
equipos.
» Dispositivos de control de acceso a las instalaciones.
» Control de las condiciones de las instalaciones.
» Detección de intrusos y alarmas.
» Requisitos de los medios de almacenamiento.

1.10. La seguridad implica a las personas
Una percepción falsa relativamente extendida es la de que el mantenimiento de los

sistemas en cuanto al sistema operativo, software de red y aplicaciones, junto a
sistemas defensivos y políticas de seguridad escritas proporcionan un nivel adecuado
de seguridad. La realidad es que el elemento más débil del sistema de seguridad es
en muchos casos el factor humano.
Ingeniería social
La práctica y los métodos de obtener información confidencial a través de la
manipulación de usuarios legítimos.
Es importante entender que el factor humano es un elemento más del sistema

de información, y como tal, las políticas y las herramientas para implementarlas
deben tenerlos en cuenta.

Lo + recomendado
Lección magistral
La seguridad de la información, ¿un asunto económico?
En esta lección magistral, el profesor Miguel Ángel Sicilia tratará la seguridad de la

información, centrándose en el aspecto económico que esta conlleva.
TEMA 1 – Lo + recomendado 27 © Universidad Internacional de La Rioja (UNIR)

No dejes de leer…
Secrets and Lies
Schneier, B. (2000). Secrets and Lies. Indiana: John Wiley & Sons.
Schneier es uno de los criptógrafos y consultores de seguridad más

conocidos en el mundo. En su libro Secrets and Lies, Shneier
parece apuntar a la falta de responsabilidad legal (liability) de los
fabricantes de software como el principal impedimento para tener
sistemas más seguros.
En sus palabras: «Hay muchas partes implicadas en un ataque

software típico. En primer lugar, la empresa que vendió el
software con la vulnerabilidad. La persona que escribió la herramienta de ataque. El
atacante propiamente. El propietario de la red, que debía defenderla. […] Hoy, el 100%
de la responsabilidad recae en el propietario de la red. […] Actualmente, no hay
motivos para que un fabricante de software no ofrezca más características, más
complejidad, más versiones. La responsabilidad fuerza a los fabricantes de software a
pensárselo dos veces antes de cambiar algo».
El libro está parcialmente disponible en el aula virtual o en la siguiente dirección web:

http://books.google.es/books?id=z_7CAjmql6kC&printsec=frontcover&hl=es

The Art of Deception
Mitnick, K. (2002).The Art of Deception. Indiana: John Wiley & Sons.
Mitnick es uno de los hackers más famosos de Estados Unidos. En

1981, siendo menor de edad, entró físicamente con dos amigos a
las oficinas de COSMOS, de Pacific Bell, consiguiendo claves e
información. COSMOS era una base de datos utilizada por
compañías telefónicas para controlar el registro de llamadas. Este
fue el comienzo de una corta carrera como delincuente
informático que le llevó a la cárcel.
En el libro, Mitnick ilustra con ejemplos cómo los sistemas de seguridad más
sofisticados pueden tornarse inefectivos si alguien es capaz de engañar a un empleado
negligente con simples herramientas como la simpatía o la persuasión.

http://books.google.es/books?id=OIy4F-8b_uEC&printsec=frontcover&hl=es
¿Por qué la seguridad de la información es difícil?
El artículo de Anderson del 2001 mostró cómo el análisis económico explica muchos
fenómenos que los investigadores de seguridad habían encontrado hasta entonces sin
poder explicar por qué sucedían. Por ejemplo, ¿por qué el software como Windows
contiene errores de seguridad que afectan a tanta gente? Aunque es un artículo un
tanto antiguo, puede considerarse como el primero que abordó de manera sistemática
el análisis económico de la seguridad de la información.
El artículo completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.cl.cam.ac.uk/~rja14/Papers/econ.pdf

OpenLearn: An introduction to information security
Esta unidad introduce los conceptos fundamentales de la seguridad de la información y

su gestión.
El documento completo está disponible en el aula virtual o en la siguiente dirección web:

http://www.open.edu/openlearn/science-maths-technology/computing-and-
ict/introduction-information-security/content-section-0
No dejes de ver…
Historia secreta de los hackers informáticos
Año: 2012.
Duración: 46:52.
Sinopsis: Este vídeo del Discovery Channel hace un relato histórico de los primeros
hackers informáticos, desde sus precursores, los phreakers del sistema telefónico. El
vídeo es interesante porque menciona los orígenes de la «ingeniería social» con el
sistema de operadores telefónicos.
NOTA: La traducción tiene algunos términos que pueden inducir a confusión. Por
ejemplo hacker se traduce en el vídeo por «pirata informático», lo cual no encaja bien
con el uso de este último término en español.
El vídeo completo está disponible en el aula virtual o en la siguiente dirección web:

https://www.youtube.com/watch?v=snGOYafOGpI

+ Información
A fondo
Economía de la seguridad de la información
En este artículo, los autores Ross Anderson y Tyler Moore hacen una revisión del área
de «Information Security Economics», destacando el balance entre los aspectos
técnicos y los que no lo son, como los incentivos o las externalidades, que provienen de
la ciencia económica e incluso de la sociología o la psicología. También se revisa el rol
de los gobiernos en la seguridad de la información. El artículo solamente menciona los
principales elementos y proporciona ejemplos y referencias para profundizar.
El artículo está disponible en el aula virtual o en la siguiente dirección web:

http://www.cl.cam.ac.uk/~rja14/Papers/econ_czech.pdf
Social Engineering Fundamentals, Sarah Granger (Symantec)
Compilación de terminología y técnicas de ingeniería social y principios básicos para

defenderse de ellas.

http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-
hacker-tactics
TEMA 1 – + Información 31 © Universidad Internacional de La Rioja (UNIR)

Enlaces relacionados
Web de Bruce Scheier
Scheier es uno de los expertos de seguridad más conocidos en el mundo. En su web

podemos encontrar su blog, una lista de ensayos y artículos con un buscador asociado,
y la forma de suscribirnos a su newsletter de seguridad, CRYPTO-GRAM (puede
escucharse como podcast también en: http://crypto-gram.libsyn.com/)
http://www.schneier.com/
Bibliografía
Krutz, R. L. And Dean Vines, R. (2004). The CISSP Prep Guide: Mastering the CISSP
and ISSEP Exams (2nd edition). Wiley.
Tipton, H. F. and Micki K. (2004). Information Security Management Handbook.

Florida: Auerbach Publications.

Test
1. Indica cuáles de las siguientes afirmaciones son correctas con respecto a la seguridad
de la información.
A. Los procedimientos detallan los pasos que deben seguirse para implementar
las políticas.
B. Las directrices establecen normas de obligado cumplimiento sobre la
configuración de distintos elementos del sistema.
C. Una línea base puede servir para complementar un estándar con información
adicional.
D. Las políticas detallan los elementos software que la organización debería
utilizar para cubrir objetivos de control de seguridad de la información.
2. ¿Cuál de las siguientes afirmaciones describen mejor la diferencia entre los roles del
responsable y el propietario de la información?
A. El responsable implementa el esquema de clasificación por órdenes del
propietario.
B. El propietario implementa el esquema de clasificación por órdenes del
responsable.
C. El responsable define la clasificación y los usuarios la implementan valorando
el tipo de información que manejan.
D. El responsable es el rol que decide sobre el esquema de clasificación de
acuerdo a las directrices de los procedimientos establecidos por la dirección.
3. Indica cuáles de las siguientes afirmaciones son verdaderas:

A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la
información exclusivamente.
B. Las prácticas de ingeniería social tratan de explotar el factor humano para
obtener datos confidenciales.
C. La privacidad de los datos personales sensibles es el objetivo de mantener la
confidencialidad.
D. La clasificación de la información tiene como objeto establecer niveles de
disponibilidad de la información.
4. Indica cuáles de las siguientes son posibles vías para gestionar un riesgo de
seguridad de la información:
TEMA 1 – Test 33 © Universidad Internacional de La Rioja (UNIR)

A. Contratar un seguro con una aseguradora que cubra la eventualidad de una

pérdida de datos.
B. Establecer controles sobre la forma en que los usuarios gestionan sus claves,
por ejemplo, obligándoles a cambiarlas cada cierto tiempo.
C. Iniciando medidas de contra-ataque cuando se detecta una intrusión por parte
de hackers.
D. Ignorando el riesgo cuando los costes de asumirlo son pequeños.
5. Indica cuáles de las afirmaciones siguientes son ciertas:

A. El coste de ruptura hace referencia al coste que la empresa asume cuando se
produce una intrusión.
B. En general, los costes de construcción de mecanismos de defensa son siempre
inferiores a las pérdidas de beneficio ante cualquier tipo de intrusión.
C. Los costes post-incidente que asumen las empresas ante un incidente de
seguridad de la información incluyen como elemento fundamental los costes
de reparación de vulnerabilidades en el software estándar como los sistemas
operativos.
D. Ninguna de las anteriores.
6. Indica cuáles de las siguientes afirmaciones son ciertas.

A. Una política de revisión del DNI mediante un guardia de seguridad para
visitantes de un centro de cálculo es un ejemplo de medida física de seguridad
de la información.
B. La disponibilidad de la información puede verse comprometida por un
problema de ventilación.
C. La seguridad física de un sistema de información tiene como ámbito de
aplicación a todos los ordenadores propiedad de la empresa.
7. Indica cuáles de los siguientes son ejemplos de controles de seguridad:

A. No permitir que los usuarios de ordenadores portátiles los saquen de la
empresa.
B. Obligar a que las contraseñas sean seguras.
C. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido
ilegal.

8. Indica cuáles de las siguientes afirmaciones son ciertas:

A. La identificación de los usuarios es la autentificación de los mismos en el
sistema.
B. La criptografía permite establecer almacenamiento seguro pero no
transferencia de datos segura.
C. El desarrollo de software seguro es más barato para los fabricantes de
paquetes de software, dado que reduce el impacto económico de su
responsabilidad legal.

A. La clasificación de la información tiene como objetivo cumplir con los
requisitos legales de su difusión.
B. Una información clasificada como de difusión restringida podría más adelante
ser reclasificada como información de uso interno general.
C. La clasificación de los recursos de información no pueden tener excepciones.
10. Indica cuál de las siguientes afirmaciones es cierta:

A. La adopción de las tecnologías de seguridad por parte de las empresas
depende exclusivamente del riesgo asociado con no implantar esa medida de
seguridad.
B. La probabilidad de un ataque depende de la motivación económica de los
atacantes.
C. El coste de no implantar una medida de seguridad puede depender de la
práctica de la auditoría.

El profesional de la seguridad de la
información
[2.2] Introducción
[2.3] La seguridad de la información como profesión
[2.4] Las certificaciones (ISC)2
[2.5] El estándar ISO 27001
[2.6] Buenas prácticas de seguridad en la gestión de servicios

de TI
[2.7] Modelos de madurez para la seguridad de la

información
[2.8] Otras certificaciones, estándares y recursos

profesionales
TEMA
Esquema
TEMA 2 – Esquema
es una implica
profesión Sistema de gestión de la seguridad de la información
2
definida en certificable
definido en definido en
por
certificaciones
guías modelos estándares
ejemplo
ejemplo ejemplo ejemplo
CISSP
ITIL O-ISM3 ISO 27001

Ideas clave
Para estudiar este tema lee el caso de estudio, disponible en el aula virtual, además
de las Ideas clave que encontrarás a continuación.
El objetivo fundamental de este tema es el de conocer los principales estándares,

asociaciones y certificaciones relacionadas con la profesión de la seguridad
de la información. Este conocimiento es esencial para comprender los
conocimientos que son necesarios para convertirse en un profesional en el área.
Más concretamente, los objetivos de este tema son los siguientes:
» Entender y saber explicar el rol del profesional de la seguridad de la información en

referencia al reconocimiento de la profesión por los clientes, el entorno académico y
los conocimientos comúnmente requeridos.
» Comprender y saber explicar el rol del hacker ético dentro del contexto de la
» Conocer las fundamentales certificaciones en el área de la seguridad de la
información y entender el proceso de certificación.
» Conocer el marco del estándar ISO 27001 y saber aplicar los conceptos de la norma
en situaciones prácticas.
» Conocer modelos de buenas prácticas de gestión y de madurez en el área de la
Seguridad de la Información y saber diferenciarlos entre sí y con relación a los
estándares de certificación.
2.2. Introducción
Este tema trata de introducirte en el mundo profesional de la seguridad de la

información. Como tal, lo que se pretende es que el estudiante obtenga una visión
general de algunas de las asociaciones, certificaciones y estándares más importantes en
el área. En la unidad se introducen algunas de ellas, pero debes complementarlas con
lecturas y búsquedas de información adicionales para tener una visión completa de qué
implica llegar a ser un profesional de la seguridad de la información.

Después de una lectura rápida de la unidad, es especialmente importante por su

relevancia como estándar dedicar tiempo a entender y conocer en detalle el estándar
ISO 27000 en lo relativo a su marco conceptual y terminología. Los aspectos de
auditoría no se tratan en esta unidad, ya que son objeto de otra asignatura.
2.3. La seguridad de la información como profesión
Una profesión puede caracterizarse por el desarrollo de los siguientes cinco criterios:
1 La creación de un cuerpo organizado de conocimientos.
2 El reconocimiento por parte de los clientes de la autoridad de la profesión.
3 La aprobación de la comunidad de la autoridad de la profesión.
4 Un código de ética.
5 Una cultura profesional apoyada por actividades académicas y profesionales.
Si miramos a la seguridad de la información, aunque no existe una carrera de Grado

específica para la misma, sí se ha desarrollado claramente como disciplina
independiente.
Aunque no hay una asociación profesional de clara aceptación general, el cuerpo de

conocimiento (body of knowledge, BOK) del consorcio (ISC)2 es un ejemplo de
recopilación de requisitos en el área que puede considerarse como definitorio de qué
debe saber un profesional de la seguridad de la información. También el (ISC)2 incluye
en sus requisitos un código ético al que los certificados por la organización deben
adherirse.
El reconocimiento de la profesión por la comunidad y los clientes parece más que

evidente por la existencia de consultoras y empresas especializadas. Y desde el punto de
vista académico, existen conferencias académicas especializadas. También hay
conferencias y eventos profesionales no específicos del ámbito académico.

Comentario
Desde el punto de vista académico, un ejemplo de evento especializado sería la

conferencia ACM Conference on Computer and Communications Security (CCS)
(http://www.sigsac.org/ccs.html) que se celebra desde 1993, organizada por el Grupo de
Interés SIGSAC (Security, Audit and Control) de ACM.
Además de las conferencias, existen numerosas revistas especializadas:
IEEE Security and Privacy es un magacín técnico del IEEE.

Como tal, los artículos publicados son breves. A pesar de
quedar sometidos a evaluación por pares (peer review), los
artículos según la política editorial «en general no son
adecuados para su publicación los artículos que cubren un
área técnica muy particular». Para estos artículos que no
encajan, se nos sugieren otras revistas de IEEE más
orientadas a la investigación.
Un ejemplo de esas revistas es IEEE Transactions on

Secure and Dependable Systems:
http://www.computer.org/portal/web/tdsc/
¿El hacker como profesional?
Existe mucha confusión sobre el término hacker y la connotación peyorativa que a

veces se le ha asignado. Sin entrar en discusiones terminológicas, es importante
resaltar que actualmente existe un concepto de «hacking ético» que implica el
análisis de vulnerabilidades de sistemas mediante acciones ofensivas, pero
excluyendo los motivos maliciosos o espurios. Por ello, el hacker ético actúa en
coordinación con las empresas, que utilizan sus servicios para mejorar su seguridad.
El hacker ético es un profesional con unas capacidades muy concretas que

normalmente realiza «penetration testing» de manera controlada y previo contrato o

acuerdo con la empresa. La perspectiva de hacking ético tiene como elemento

interesante el situar la seguridad desde el contexto del atacante.
Los eventos relacionados con el hacking son diferentes de las conferencias académicas.
Ejemplos de estos eventos son:
El evento DefCon: https://www.defcon.org/

HackerHalted: http://www.hackerhalted.com/
En estos eventos se diseminan las técnicas y vulnerabilidades de seguridad que

se encuentran en la práctica, las cuales pueden utilizarse de manera maliciosa o ética;
aunque realmente las técnicas son las mismas, son la intención o el uso las que las
diferencian.
2.4. Las certificaciones (ISC)2
El Consorcio internacional de Certificación de Seguridad de Sistemas de

Información o (ISC)2 (International Information Systems Security Certification
Consortium: https://www.isc2.org/), fundado en 1989, es una organización sin
ánimo de lucro con sede en Florida, dedicada fundamentalmente a la formación y
certificación en seguridad de la información.
Las certificaciones (ISC)2 incluyen:
Certified Information Systems Security Professional (CISSP), que incluye:
o Information Systems Security Architecture Professional (CISSP-ISSAP)

o Information Systems Security Engineering Professional (CISSP-ISSEP)
o Information Systems Security Management Professional (CISSP-ISSMP)
Certified Secure Software Lifecycle Professional (CSSLP)

Certification and Accreditation Professional (CAP)
Systems Security Certified Practitioner (SSCP)
Probablemente la más conocida y extendida de todas ellas es el CISSP, que es una

certificación profesional generalista muy amplia.

El CISSP
La certificación CISSP es una de las más valoradas por su reconocimiento

internacional. Un CISSP está certificado como profesional para «definir la arquitectura,
diseño, gestión y controles de los sistemas empresariales». Los certificados, además de
contar con un valor añadido para su contratación, forman parte de la comunidad de
(ISC)2, donde pueden actualizarse y tener oportunidades adicionales para interactuar
con sus colegas.
El CISSP se estructura en diez dominios que conforman el Common Body of Knowledge

(CBK):
» Seguridad de la información y gestión de riesgos (Information Security and Risk

Management).
» Sistemas y metodología de control de acceso (Access Control Systems and
Methodology).
» Criptografía (Cryptography).
» Seguridad física (Physical Security).
» Arquitectura y diseño de seguridad (Security Architecture and Design).
» Legislación, eegulaciones, cumplimiento de las mismas e investigación (Legal,
Regulations, Compliance, and Investigation).
» Seguridad de red y telecomunicaciones (Telecommunications and Network
Security).
» Planes de continuidad del negocio y de recuperación frente a desastres (Business
Continuity and Disaster Recovery Planning).
» Seguridad en el desarrollo de aplicaciones (Application Development Security).
» Seguridad de operaciones (Operations Security).
Para la certificación CISSP se deben cumplir los siguientes requisitos:
» Aprobar el examen CISSP: Consta de 250 preguntas de selección simple y 6

horas de duración.
» Demostrar experiencia mínima de 5 años en al menos dos de los diez dominios
del CBK.
» Adherirse al Código Ético de la ISC2.

Para mantener la certificación CISSP se debe realizar una cierta cantidad de

actividades cuya finalidad es asegurar que el profesional se ha mantenido
activo en el área de la seguridad en el tiempo. Cada una de estas actividades recibe
cierta cantidad de créditos (CPE) de los cuales el profesional debe reunir 120 cada 3
años.
La certificación CAP
La certificación CAP (Certified Authorization Professional) se dirige a certificar los

conocimientos, las habilidades y las capacidades que necesitan los
profesionales que evalúan riesgos y establecen parámetros de seguridad para
contrarrestar los riesgos potenciales. Se ha preparado con la colaboración de la Oficina
de Seguridad de la Información del Departamento de Estado de los EE.UU.
Esta certificación se centra en los siguientes dominios:
1 Entender la autorización de seguridad de sistemas de información
2 Categorizar los sistemas de información
3 Establecer la línea de base de control de seguridad
4 Aplicar controles de seguridad
5 Evaluar los controles de seguridad
6 Autorizar sistemas de información
7 Monitorizar los controles de seguridad
Como se puede ver, es una certificación asociada a los procesos de

autorización y certificación, no tan amplia como el CISSP.

2.5. El estándar ISO 27001
El estándar UNE-ISO/IEC 27001:2007 «Sistemas de Gestión de la Seguridad de

la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO
27000. Es la norma principal de la familia, ya que establece los requisitos para la
gestión del SGSI y su auditoría.
Antecedentes del estándar ISO 27001: ISO/IEC BS7799
El Estándar Británico ISO-IEC BS7799-IT es un código aceptado

internacionalmente en la práctica de la seguridad de la información. El estándar aplica
un método de cuatro fases para implementar una solución de sistemas de
administración de seguridad de la información. La norma ISO 27001 puede
considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la
que ya había en el mundo previamente alrededor de 2.000 certificados.
La familia ISO 27000
La siguiente figura resume las normas de seguridad de la familia 27000. Por

ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando
una guía de buenas prácticas que describe los objetivos de control y controles en cuanto
a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.
No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino
una especificación de apoyo o buenas prácticas.

ISO 27001 a 27010

Normas de seguridad
27001 Requerimientos del SGSI
27002 Buenas prácticas en seguridad
27003 Gestión del riesgo en el SGSI
27004 Métricas y mediciones del SGSI
27005 Guía de implementación del SGSI
27006
a Numeración reservada a diferentes temas de la seguridad de la información
17010
Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en

tránsito: Los medios que contienen información debieran ser protegidos contra accesos
no-autorizados, mal uso o corrupción durante el transporte más allá de los límites
físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso
de que se dé el citado tránsito.
Introducción a la norma 27001
La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la

Seguridad de la Información (SGSI). Proporciona un marco común para la
elaboración de las normas de seguridad de cualquier tipo de organización,
estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del
proceso de auditoría y certificación de los sistemas de seguridad de información
de las organizaciones.
El establecimiento del SGSI se realiza seleccionando una serie de controles

elegidos en función de su importancia en la gestión del sistema de seguridad.
La siguiente tabla resume la estructura de la norma y sus principales contenidos.

Capítulo Título Contenidos
Establece el alcance y ámbito de aplicación

1 Alcance
de la norma.
2 Referencias Detalla otras normas relacionadas
Proporciona las definiciones de la

3 Términos y definiciones
terminología básica.
Requisitos del SGSI, descritos en cuanto a

Sistema de Gestión de la
4 las fases de su ciclo de vida y a la
Seguridad de la Información
documentación necesaria.
Establece los requisitos de compromiso de

5 Responsabilidad de la dirección
la dirección y de asignación de recursos.
Descripción del proceso de la auditoría

6 Auditorías internas del SGSI
interna.
7 Revisión por la dirección del SGSI Procedimientos de revisión directiva.
8 Mejora del SGSI El SGSI como proceso de mejora.
En todos los procesos de un sistema de gestión de seguridad de la información,

se utiliza el modelo PDCA (Planear-Hacer-Chequear-Actuar).
Establecer el
SGSI
Partes Partes
interesadas interesadas
Mantener y Implantar y
mejorar el ejecutar el
SGSI SGSI
Requisitos y Seguridad de la
e xpectativas de información
la se guridad de gestionada
la información
Seguimiento
y revisión
del SGSI
El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la

evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes
mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha
implantando y «ejecutando» el SGSI.

En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo.

Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán
auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se
propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño.
Requisitos generales
La adopción de un sistema de gestión de seguridad de la información es una decisión

estratégica y se diseña e implanta de forma diferente en cada organización. Una
organización debe definir el alcance y los límites del sistema de gestión de
seguridad de la información de acuerdo con las características de la organización,
su ubicación, activos y tecnología.
Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la

información, identificando los posibles riesgos o amenazas que se podrían producir.
Ejemplo
En una organización pequeña, puede que el alcance del SGSI sea toda la organización.
No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede
que el alcance en una empresa de venta por Internet abarque la parte de comercio
electrónico pero no el aprovisionamiento (si este se realiza de manera tradicional, sin
conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las
localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan
incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir
por ejemplo mediante un diagrama de red.
Requisitos de documentación
La documentación del sistema de gestión de seguridad de la información deberá

incluir la política, alcance y objetivos del SGSI, así como los diferentes
procedimientos y controles de seguridad del sistema.
La documentación será más o menos amplia dependiendo de la organización y de las

diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los
requerimientos de seguridad variarán en función de estas circunstancias.

La dirección debe aprobar un documento de política de seguridad de la

información que deberá publicar y comunicar a todos los empleados y entidades
externas relevantes.
Se deben aprobar los documentos previamente a su distribución, revisando y

actualizándolos según las necesidades requeridas, y siempre que se garantice que los
documentos están periódicamente actualizados.
Jerarquía de la documentación
Política, alcance ,
e valuación d e
rie sgos,
d eclaración de
aplicabilidad Manual d e segurid ad
Proce sos
Quién, qué, cuándo, dónde
Proce dimientos
De talla cómo se realizan las actividad es

Instrucciones
Proporciona la evidencia objetiva del

cumplimie nto de los requerimientos del SGSI
Re gistros
Compromiso de la dirección
La Norma ISO 27001 especifica la obligación de suministrar evidencias del

compromiso planteado, tanto en el desarrollo como en la implantación y mejora del
sistema, en los siguientes aspectos:
» En el proceso de comunicación interna al personal de la organización de la

gestión de la seguridad de la información en la empresa.
» En el establecimiento de la política y los objetivos del sistema de gestión de
seguridad de la información de la empresa.
» En la revisión periódica del desempeño del sistema de gestión.
» En el aseguramiento de la disponibilidad de los recursos necesarios para la
plena efectividad del sistema.

Responsabilidades
Las responsabilidades y sus correspondientes autoridades deben estar

perfectamente definidas en cualquier organización o empresa.
La Norma ISO requiere que la alta dirección asegure que se cumplan estos
requisitos y que las responsabilidades sean comunicadas dentro de la organización,
valorando el tamaño, complejidad y cultura de la organización.
Se puede nombrar un representante de la dirección que tendrá la responsabilidad de:
» Asegurar que los procesos del sistema de gestión de seguridad de la información se

implanten y funcionen.
» Informar a la alta dirección sobre el desempeño del sistema y de cualquier
oportunidad de mejora.
Revisión por la dirección
La dirección debe desarrollar una actividad de revisión que implique la

verificación de la eficacia y efectividad del sistema de gestión de seguridad de la
información para asegurar su plena validez.
El proceso de revisión por la dirección no debería ser un planteamiento realizado

solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería
ser una parte integral de los procesos de gestión de la organización.

2.6. Buenas prácticas de seguridad en la gestión de servicios de TI
La gestión de los servicios de Tecnología de la Información (TI) ha evolucionado

desde una organización ad hoc centrada en la visión técnica de los recursos de TI a una
visión integradora que considera los aspectos humanos, sociales y
tecnológicos que intervienen en un servicio de TI.
Servicio de TI
Servicio a uno o más clientes, por un proveedor de servicios de TI. Un
servicio de TI se basa en el uso de tecnologías de la información y apoya al
cliente en sus procesos de negocio. Un servicio de TI se compone de una
combinación de personas, procesos y tecnología, y deben definirse en un
acuerdo de nivel de servicio.
La definición indica varios elementos fundamentales en la gestión de los servicios:
» En primer lugar, hace referencia al apoyo al cliente en sus tareas. Esta es la

consideración central, y es especialmente importante dado que un fallo en un
servicio de TI en muchas ocasiones implica que hay usuarios que no pueden hacer su
trabajo.
» En segundo lugar, un servicio tiene tres componentes: personas, procesos y
tecnología, y estos tres elementos deben tenerse en cuenta en la definición, diseño
y evaluación de cada servicio.
» Por último, la definición hace referencia a los Acuerdos de Nivel de Servicio
(Service Level Agreement, SLA), que pueden entenderse como los «contratos» entre
los usuarios y proveedores del servicio, dando un carácter de predictibilidad a los
servicios y permitiendo una evaluación del servicio no ambigua, dado que los niveles
de calidad son explícitos en los acuerdos. Más adelante veremos algunos detalles
sobre la forma de estos acuerdos.
Los acuerdos de nivel de servicio (service-level agreement, SLA) son acuerdos

formales sobre la división de la responsabilidad de los medios de computación entre
el Departamento de Sistemas de Información (DSI) y los usuarios finales.
Estos acuerdos pueden considerarse contratos, y deben abarcar todos los recursos
fundamentales de las tecnologías de la información: hardware, software, personal,
datos, redes y procedimientos.

Comentario
De hecho, los SLA no son específicos de las relaciones de los DSI, sino que se utilizan para
todo tipo de relaciones de provisión de servicios. Se definen de manera general como
«protocolo plasmado normalmente en un documento de carácter legal por el que una
compañía que presta un servicio a otra se compromete a prestar el mismo bajo unas
determinadas condiciones y con unas prestaciones mínimas». Se utilizan también con
profusión en contratos de outsourcing.
La fundamental ventaja de un SLA es que las responsabilidades quedan claramente

definidas, y los procesos para el funcionamiento diario también están determinados de
manera precisa.

Ejemplo
Ejemplo de SLA: Garantía de disponibilidad de red
Se define como tiempo en que el servidor tiene disponible la conectividad a Internet en el

puerto de red asignado. La disponibilidad del servicio se calcula según la siguiente
fórmula:
D = (T - Td) / T, donde
• D es el tiempo de disponibilidad del servicio
• T es el tiempo total mensual.
• Td es el tiempo con pérdida total de conectividad. Este tiempo de pérdida será igual al
que trascurre desde la apertura de la incidencia hasta el cierre de dicha incidencia.
En caso de pérdida de disponibilidad real de este nivel de servicio, se aplicarán las

penalizaciones de la siguiente tabla, de acuerdo a las condiciones de penalización
generales del contrato.
Penalizaciones:
99 % > D >= 98 % Nivel A
98 % > D >= 96 % Nivel B
96 % > D >= 90 % Nivel C
D < 90 % Nivel D
Cálculo del tiempo de caída:
El cálculo de esta magnitud se establecerá desde que se ha dado noticia al DSI del
problema. El tiempo de la incidencia finaliza cuando el DSI comprueba que dicho servicio
se ha restaurado completamente.
No se considera tiempo de caída aquel debido a problemas derivados de un mal uso de la

red, o a una mala configuración de la red por parte del cliente.
Las buenas prácticas en los servicios de TI: ITIL
La práctica de la gestión de los servicios de TI maduró progresivamente durante los

años ochenta. El gobierno británico, guiado por la necesidad de una gestión más
efectiva de esos servicios, comenzó a recopilar las formas en las que las organizaciones
con más éxito gestionaban sus servicios. Esto llevó a la primera versión de la IT
Infrastructure Library (ITIL) al final de los ochenta, que no era otra cosa que un
conjunto de libros documentando los hallazgos de los estudios mencionados.

El Information Technology Service Management Forum (itSMF) es el único grupo

de usuarios internacionalmente reconocido e independiente dedicado a la gestión
de servicios TI, que surgió como un foro para que los usuarios de ITIL pudiesen
intercambiar experiencias y aprender colectivamente. Es propiedad de sus miembros y
son ellos quienes lo operan. El itSMF tiene gran influencia y contribuye a la industria
de las mejores prácticas y a los estándares a nivel mundial.
La primera filial del itSMF se fundó en el Reino Unido en 1991. El itSMF holandés
(itSMF Holanda) fue la siguiente, establecida en noviembre de 1993. Ahora existen
filiales itSMF en países como Sudáfrica, Bélgica, Alemania, Austria, Suiza, Canadá,
Estados Unidos, Francia y Australia, que cooperan con itSMF Internacional.
OGC (The Office of Government Commerce) es la Oficina independiente del Tesoro en

el Reino Unido. El objetivo de la OGC es definir estándares y proporcionar las mejores
prácticas para el mercado del RU. La OGC es la dueña de ITIL® y el desarrollo de
ITIL® v3 ha sido auspiciado por la OGC.
La APMG, o el Grupo APM Group, han sido contratados por la OGC para ser el
proveedor acreditado en los siguientes años. Él definirá el estándar de los
exámenes, la provisión de los exámenes y entrenadores capacitados, materiales de
capacitación y proveedores de capacitación de ITIL® v3.
El principio fundamental de ITIL es el de recoger todas las prácticas que «funcionan».

Esta aproximación se resume en unas características clave que pueden resumirse en las
siguientes:
» ITIL no es propietario. Las prácticas de ITIL no son específicas de ningún tipo de

tecnología o de sector. Además, ITIL es propiedad del gobierno británico, no estando
por lo tanto en manos de ningún proveedor concreto.
» ITIL no es prescriptivo. ITIL recoge prácticas maduras, probadas de
aplicabilidad general. Por su carácter genérico, no establece ningún tipo de
obligatoriedad o uso concreto de tecnologías o técnicas.
» ITIL consiste en las mejores prácticas. ITIL recoge las mejores prácticas a
nivel global, por lo tanto, es el resultado de la experiencia acumulada.
» ITIL consiste en buenas prácticas. No todas las prácticas en ITIL pueden
considerarse como las «mejores». Esto es una consecuencia del carácter evolutivo de
la práctica. Lo que hoy es «lo mejor» mañana pasará simplemente a ser bueno o

común, dado que se habrán descubierto formas mejores de hacer lo mismo, o bien el
entorno habrá cambiado.
ITIL abarca prácticas de soporte y de entrega del servicio. La siguiente figura las
esquematiza.
Gestión de servicios TI
Soporte de servicios Entrega del servicio
• Service Desk
• Gestión de incidentes • Gestión de los niveles de servicio.
• Gestión de problemas • Gestión financiera.
• Gestión de configuración • Gestión de la disponibilidad.
• Gestión del cambio • Gestión de la capacidad
• Gestión de entregas
Las prácticas que ITIL recoge tienen unas características comunes cuando se
observa su tipo y cómo las aplican las mejores organizaciones de servicio. Esas
características pueden resumirse en los siguientes puntos:
» Son predictivos en lugar de reactivos. Es decir, se basan en estudiar los

patrones de uso de los clientes o usuarios.
» Son consistentes y medibles. Las mejores prácticas son estables y proporcionan
predictibilidad a los servicios de TI.
» Son adaptables. Por último, las prácticas deben permitir su optimización y mejora
continua.
Tomemos como ejemplo la práctica de la «Gestión de la capacidad». Podemos definirla

como la práctica encargada de «asegurar que la infraestructura de TI se proporciona
cuando se necesita, en el volumen necesario y con el precio adecuado, garantizando su
uso eficiente».
Siguiendo el esquema anterior, como toda práctica ITIL, debe ser:
» Predictiva. Esto se refleja, por ejemplo, en considerar que un factor crítico de éxito
en esta práctica es «proporcionar previsiones de demanda de TI precisas».

» Consistente. Esto se refleja, por ejemplo, en la necesidad de implementar:

«políticas, procesos y procedimientos de gestión de la capacidad».
» Medible. Esto se refleja en los indicadores recomendados para la evaluación del
servicio. Para esta práctica, entre los KPI (key performance indicators) tenemos por
ejemplo:
o Dólares en capacidad de TI no utilizada.
o Número de incidentes/violaciones de SLA debidos a la capacidad.
» Adaptable. Entre las actividades encontramos: «Implementar cambios
relacionados con la capacidad».
Es importante entender que las recomendaciones y directrices relativas a cada práctica

tienen en cuenta las cuatro características que acabamos de comentar.
El proceso de gestión de la seguridad en ITIL
El proceso de gestión de la seguridad en ITIL se basa en la norma ISO 27001 que ya

hemos visto. Para diseñar los procesos, las entradas son los requisitos que se formulan
por parte de los clientes. Estos requisitos se traducen en servicios de seguridad y de
calidad de seguridad que debe ser proporcionada en la sección de seguridad de los
acuerdos de nivel de servicio. El proceso de gestión de la seguridad en ITIL es complejo
y abarca un buen número de diferentes actividades. La siguiente tabla resume algunas
de ellas.
Subproceso Objetivo
Diseñar las medidas técnicas y organizativas necesarias para

Diseño de controles de
asegurar la disponibilidad, integridad y confidencialidad de los
seguridad
recursos y servicios de información.
Asegurar que los mecanismos de seguridad están sujetos a

Pruebas de seguridad
pruebas regulares.
Gestión de incidentes de Detectar y combatir los ataques y las intrusiones y minimizar el

seguridad daño de las brechas de seguridad.
Revisar si las medidas y procedimientos de seguridad son

Revisión de la seguridad coherentes con las percepciones de riesgo del negocio, y si esas
medidas y procedimientos se revisan y evalúan regularmente.
Respecto a los indicadores, la siguiente tabla describe indicadores típicos para este
proceso.

KPI Descripción
Número de medidas de prevención Número de medidas de prevención implementadas en

implementadas respuesta a amenazas a la seguridad implementadas.
Tiempo transcurrido desde la identificación de una

Duración de la implementación amenaza hasta la implementación de una
contramedida adecuada.
Número de incidentes de seguridad

Número de incidentes, clasificados por severidad.
importantes
Número de caídas del nivel de

Número de incidentes que han causado no
servicio relacionadas con la
disponibilidad del servicio limitada o interrupción
seguridad
Número de test de seguridad (y de procesos de

Número de test de seguridad
formación) llevados a cabo.
Número de problemas identificados Número de problemas identificados en el transcurso de

durante los test los test de seguridad
Es interesante detenerse a pensar cómo los KPI que se acaban de mencionar se

relacionan con los modelos económicos de la seguridad. Las medidas de
prevención son pre incidente, así como los test, si bien el número de incidentes es post
incidente. La orientación al servicio hace que uno de los KPI tenga que ver con el
concepto de disponibilidad de manera directa.
2.7. Modelos de madurez para la seguridad de la información
Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de

una gestión sistemática, predecible y optimizable. Estos modelos se han
popularizado en el contexto del desarrollo de software, pero poco a poco han sido
adaptados a otros dominios, incluyendo el de la seguridad de la información.
A continuación introducimos uno de esos modelos, el CMMI, quizá el más conocido y

extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se
han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009).
Posteriormente describimos un modelo de madurez específico de la seguridad de la
información.

El modelo de madurez CMMI
El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una
evolución de un modelo anterior denominado CMM inicialmente desarrollado por el
Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon.
El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como
base para establecer un sistema de capacitación de las compañías que suministraban
software al gobierno de los Estados Unidos. Dicho modelo fue definido como:
«Un enfoque para la mejora de procesos que proporciona a una organización los
elementos esenciales para llevar a cabo sus procesos de manera efectiva. Puede
utilizarse para guiar la mejora de procesos en un proyecto, en un departamento, o
en una organización completa. CMMI ayuda a integrar funciones de la
organización tradicionalmente separadas, a establecer prioridades y objetivos en
la mejora de procesos, proporciona guías para los procesos de calidad y sirve
como punto de referencia para la evaluación de los procesos actuales».
Nótese que CMMI no es un proceso de desarrollo de software, sino más bien una guía
que describe las características que hacen efectivo a un proceso. Las ideas
que aporta pueden ser, por tanto, utilizadas como un conjunto de buenas prácticas,
como un marco para la organización y priorización de actividades, o como una forma de
alinear los objetivos de la organización con los objetivos del proceso en estudio.
CMMI se interesa por la mejora de los procedimientos y métodos (procesos) que las
personas de una organización llevan a cabo con ayuda de tecnología y otras
herramientas ya que, si los procesos no están correctamente definidos, son maduros y
ampliamente conocidos, ni las más cualificadas personas serán capaces de rendir a su
mejor nivel aún disponiendo de las mejores herramientas.

El modelo O-ISM3
El Open Group ha desarrollado un modelo de madurez, denominado Open Group

Security Management Maturity Model (O-ISM3), que permite el diseño de sistemas
de gestión de la seguridad alineados con la misión de la organización
empresarial y el cumplimiento de las necesidades.
Puedes encontrar más información sobre el Open Group y el modelo O-ISM3 en las
siguientes direcciones web:
http://www.opengroup.org/
https://www2.opengroup.org/ogsys/jsp/publications/PublicationDetails.jsp?publicati
onid=12238
La nueva norma permite a las organizaciones priorizar y optimizar las

inversiones en seguridad de la información, así como permitir la mejora
continua de los sistemas que utilizan métricas bien definidas.
El modelo se basa en la consideración de tres elementos fundamentales en la seguridad

de la información que ya se han tratado en la asignatura:
» Gestión de riesgos.
» Controles de seguridad.
» Gestión de la seguridad, mediante un sistema de políticas y herramientas que la
implementan.
Por otro lado, el estándar se basa en las siguientes definiciones:
» Proceso. Los procesos tienen capacidades que se realizan mediante prácticas de

gestión.
» Capacidad. Las métricas de un proceso revelan las capacidades del mismo.
» Madurez (grado de). Ciertos conjuntos de procesos seleccionados según ciertas
capacidades permiten clasificar a la organización en un nivel de madurez.

La siguiente tabla resume la relación entre procesos, capacidades y niveles de

capacidad o madurez.
Capability Manage Controlle

Initial Defined Optimized
Level d d
Management Benefits
Audit. Monito Plannin Assessme Optimizati
Practices Test Realizati
Certify r g nt on
Enabled on
Documentation * * * * * * *
Activity * * * * * *
Scope * * * * * *
Unavailabilit
* * * * * *
y1
Effectiveness * * * * * *
Load * * * * *
Metric Type
Quality * *
Efficiency *
2.8. Otras certificaciones, estándares y recursos profesionales
En esta sección se amplían los estándares, certificaciones y recursos tratados en los

anteriores apartados con otras adicionales para completar la visión general del contexto
de la profesión.
La certificación ICSM de ISACA
La Information Systems Audit and Control Association (ISACA, Asociación de

Auditoría y Control de Sistemas de Información), es una asociación internacional
fundada en 1967 que promueve y organiza el desarrollo de metodologías y
certificaciones para las actividades de auditoría y control en sistemas de
información. Entre sus productos más conocidos está el framework COBIT de control
de sistemas de información o las certificaciones de auditoría.

ISACA ofrece también el Certified Information Security Manager (CISM, o Gestor

Certificado en Seguridad de la Información), dirigido específicamente al área de gestión
en el contexto de la seguridad.
Los dominios que cubre ICSM son los siguientes:
» Gobierno de seguridad de la información.

» Gestión de riesgos de información y cumplimiento.
» Desarrollo y gestión del programa de seguridad de la información.
» Gestión de incidentes de seguridad de la información.
El proceso de certificación tiene bastantes puntos en común con el de CISSP.

Concretamente, los pasos son los siguientes:
» Aprobar el examen CISM.

» Adherirse al Código de Ética Profesional de ISACA.
» Estar de acuerdo en cumplir con la Política de Educación Continua.
» Acreditar experiencia laboral en el ámbito de la seguridad de la información.
» Presentar una solicitud de certificación CISM.

Lo + recomendado
Lección magistral
Modelos de madurez
En esta lección magistral el profesor Ricardo Cañizares hará un repaso por los modelos
de madurez existentes en la seguridad de la información.
No dejes de leer…
Norma UNE/ISO 27001
La norma ISO 27001 establece los requisitos para la certificación de los SGSI. Como tal,
es muy importante conocer sus contenidos y definiciones.
Accede a la norma a través de la Biblioteca Virtual de UNIR

Hacking ético
En este libro gratuito, el autor expone las principales técnicas y

fuentes de información para el denominado hacking ético, que
no es otra cosa que la intrusión proactiva en los sistemas sin
intención maliciosa y mediando el consentimiento. El libro es
gratuito.
El libro está disponible en el aula virtual o en la siguiente dirección web:

http://www.etnassoft.com/biblioteca/hacking-etico/
The CISSP Prep Guide — Gold Edition
Hay numerosos libros para la preparación del examen CISSP

(además de la propia guía del ISC2). Estas guías habitualmente
se estructuran de acuerdo a los dominios de la certificación e
incluyen preguntas de test similares a las del examen con
diferentes niveles de dificultad.

http://www.amazon.com/gp/reader/047126802X/ref=sib_dp_pop_fc?ie=UTF8&p=S001#reader-link

No dejes de ver…
Vídeos introductorios a ISO 27001
Año: 2011.
Duración: 05:18.
Sinopsis: Esta serie de vídeos introduce los conceptos de ISO 27001 contados por
expertos en el área. Es una serie de vídeos cortos introductorios especialmente
recomendados mientras se está estudiando la norma.

https://www.youtube.com/watch?v=V7T4WVWvAA8

+ Información
A fondo
ITIL e ISO/IEC 27001
El artículo propone una correspondencia de ITIL con ISO 27001. Aunque la

correspondencia es solo una propuesta no oficial, es interesante para entender mejor la
complementariedad de las dos especificaciones.

http://www.indjst.org/index.php/indjst/article/view/30359/26290
Web informativa de la familia de estándares ISO 27000
Esta web ofrece información general de la familia de estándares.
http://www.27000.org/index.htm
TEMA 2 – + Información © Universidad Internacional de La Rioja (UNIR)

Web de la organización (ISC)2
ISC2 es la organización dedicada a la certificación de los profesionales de la seguridad

que soporta la certificación CISSP. En su web se pueden encontrar los detalles de las
diferentes certificaciones, enlaces a los materiales oficiales de preparación de los
exámenes y también algunos recursos introductorios a los diferentes dominios de las
certificaciones.
https://www.isc2.org/
Bibliografía
Merino, C. y Cañizares, R. (2011). Implantación de un sistema de gestión de seguridad

de la información según ISO 27001. Madrid: Fundación Confemetal.
Tipton, H.F. and Micki, K. (2004). Information Security Management Handbook.

Florida: Auerbach Publications.
VV. AA. (2003). Official (ISC)2 Guide to the CISSP Exam. Massachusetts: Auerbach
Publications.
TEMA 2 – + Información © Universidad Internacional de La Rioja (UNIR)

Actividades
Trabajo: Estudio de la norma ISO 27001
Merino Bada, C. y Cañizares Sales, R. (2011). Implantación de un sistema de gestión de

seguridad de la información según ISO 27001. Madrid: Fundación Confemetal.
Lee las páginas del libro Implantación de un sistema de gestión de seguridad de la

información según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y
27002:2015, disponibles en el aula virtual y responde a las siguientes preguntas de
forma breve:
» Establece un objetivo de negocio para el que se sustente la necesidad de realizar un

SGSI dentro de una compañía. Contextualizar la actividad (misión, visión) de la
compañía para entender su objetivo. El objetivo debe estar suficientemente
explicado para justificar la necesidad de realizar un SGSI.
» Respondiendo a ese objetivo de negocio, establece un posible alcance para vuestro
SGSI de forma justificada.
» De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la
seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos
según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy
brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.
Ejemplo para la categoría 5, el control: 5.1.1 Políticas para la seguridad de la

información: La respuesta sería [N], [O].
[N]: Se requiere un documento normativo que lo establezca.

[O]: En la guía de implantación se indica que deben asignarse las responsabilidades
generales.
El texto está disponible en el aula virtual
TEMA 2 – Actividades © Universidad Internacional de La Rioja (UNIR)

Test
1. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la
profesión dentro del área de la seguridad de la información.
B. La profesión de la seguridad de la información cuenta con cuerpos de
conocimientos definidos y una cultura profesional como otras profesiones
diferenciadas.
C. El código ético del profesional de la información es el definido en las normas
de auditoría ISO 27001.

A. Las revistas académicas del área de la seguridad de la información son el
principal medio de formación básica para los profesionales de la seguridad de
la información.
B. Se llama hacker ético a cualquier profesional de la seguridad de la
información.
C. Un hacker ético puede realizar acciones de penetration testing contra una
empresa siempre que no perciba beneficios económicos por ello.
3. Indica cuáles de las áreas o conocimientos están incluidas de forma explícita en la

certificación CISSP:
A. La seguridad física de los sistemas.
B. La regulación sobre la protección de datos.
C. El desarrollo de software seguro.
D. La psicología de los delincuentes informáticos.
4. Indica cuáles de las siguientes afirmaciones son ciertas sobre las certificaciones de
A. La certificación CAP tiene un contenido técnico equivalente a la certificación
CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no
necesitan renovarse.
TEMA 2 – Test © Universidad Internacional de La Rioja (UNIR)

C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia

profesional en el área.
5. Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar 27001.
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Seguridad de la Información.
C. ISO 27001 considera como uno de los elementos fundamentales el
compromiso de la dirección, requisito imprescindible para el establecimiento
de un Sistema de Gestión de la Seguridad de la Información.

A. ISO 27001 se basa en un modelo de mejora continua donde la fase de
planificación implica el diseño de mecanismos de gestión del Sistema de
Gestión de la Seguridad de la Información.
B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la
Información debe estar motivada por decisiones tácticas referentes a la mejora
de los costes asociados con la seguridad.
C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información
debe comprender a toda la organización, para garantizar que no existe
ninguna posibilidad de intrusión en ninguno de sus niveles.

A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento
de los requisitos del Sistema de Gestión de la Seguridad de la Información.
B. Según ISO 27001, la revisión de la dirección es el paso previo a la visita de los
auditores, que se realiza con el objeto de ser una comprobación para evitar no
conformidades.
C. La política de seguridad de la información es el documento que debe
comunicarse a toda la empresa y a partir del cual se deriva el resto de los
requisitos del sistema.


A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de
calidad de los servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un
sistema de seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad
diseñados dentro del SGSI.

A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un
SGSI que sea certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del
staff de la empresa que se dedica a la seguridad de la información.
C. En un nivel de madurez controlado, se evalúa de manera continua desde la
gestión la calidad y efectividad de los diferentes aspectos de la seguridad.

A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestión de la
seguridad.
B. El concepto de KPI en ITIL tiene en común con el de métrica en OISM3 el que
hacen referencia a la medición de los diferentes procesos.
C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que
tienen una base común con ISO 27001.

Control de accesos
[3.2] Introducción
[3.3] Requisitos del control de accesos
[3.4] Mecanismos de autenticación
[3.5] Métodos de autorización
[3.6] Contabilidad y auditoría de accesos
[3.7] Tecnologías «Triple A»
3
TEMA
requiere
Esquema
TEMA 3 – Esquema
Control de accesos
logging
implica
requiere
contabilidad
autenticación autorización
(accountability)
1
basado en
utiliza
métodos Tecnologías
conocimiento característica
«triple A»
posesión
ejemplo
utiliza DAC MAC RBAC
Técnicas de RADIUS
Single-Sign-On (SSO)
ejemplo
Kerberos

Ideas clave
Para estudiar este tema lee el caso de estudio, que encontrarás en el aula virtual,
además de las Ideas clave que se muestran a continuación.
El objetivo fundamental de este tema es el de conocer los conceptos fundamentales

del control de accesos en el contexto de la seguridad de la información como la
primera línea de defensa de la organización. Concretamente, tras terminar el estudio
del tema, el estudiante debería ser capaz de:
» Diferenciar los conceptos de autenticación, autorización y contabilidad

(accountability).
» Conocer y saber analizar y hacer recomendaciones sobre los diferentes tipos de
tecnologías de autenticación.
» Conocer y saber aplicar las principales tecnologías de Single Sign On (SSO).
» Diferenciar y saber aplicar las diferentes técnicas de autorización, de acuerdo al
poseedor del control y la forma de implementar la autorización.
» Entender y saber relacionar los conceptos de contabilidad, auditoría, bitácoras
(logging) y monitorización en el contexto del control de accesos.
» Conocer y saber seleccionar y analizar las principales técnicas de contabilidad.
3.2. Introducción
Este tema trata de la protección de los sistemas mediante técnicas para que los
usuarios puedan decir quiénes son y probarlo de algún modo —autenticación— y,
posteriormente, puedan utilizar el sistema de manera limitada de acuerdo al
establecimiento de qué puede hacer con qué recursos (autorización).
Cuando se producen intrusiones o accesos indebidos, el sistema debe estar preparado

para proporcionar una traza fiable de las acciones de los usuarios (accountability) para
identificar el problema y las responsabilidades.

En este tema, primero debes comprender los conceptos fundamentales (la «triple A»), y
después pasar a profundizar en las diferentes técnicas, métodos y tecnologías para cada
uno de ellos. El énfasis debe estar en saber comparar las diferentes soluciones
para ser capaz de seleccionar o analizar su aplicabilidad en contextos determinados.
3.3. Requisitos del control de accesos
El concepto de control de accesos
El control de accesos es el conjunto de mecanismos y procedimientos que

permiten a los gestores de la seguridad controlar y restringir el uso de los
recursos del sistema de información y el comportamiento de los usuarios en
relación al mismo.
Particularmente, se trata de controlar:
Qué pueden hacer los usuarios Qué recursos pueden acceder
Qué operaciones pueden hacer con esos recursos
Por lo anterior, este dominio de la seguridad se basa fundamentalmente en la

confidencialidad, mediante el control de quién accede a qué información.
No obstante, la integridad solo se puede garantizar si el control de accesos asegura la

integridad de los datos (que los datos sean fieles a la información que deben reflejar) y
la integridad del sistema, es decir, que se comporte como se espera. Desde una
perspectiva diferente, el control de accesos debe garantizar la disponibilidad del acceso
de los usuarios autorizados de acuerdo a los usos legítimos del sistema y de la
información.
Control de accesos
Es el conjunto de mecanismos que especifican qué pueden hacer los usuarios

en el sistema: los recursos que pueden acceder y qué operaciones pueden realizar.
Son las contramedidas para garantizar que solo los usuarios con las necesidades y la
autoridad adecuada puedan tener acceso, un uso limitado de la ejecución de
programas y de leer, editar, agregar y borrar la información pertinente.

Puede considerarse que el control de accesos es la primera línea de defensa de

seguridad. El control de accesos afecta tanto a los accesos físicos como a los accesos
por vía informática. Aunque aquí tratamos fundamentalmente los medios de tecnología
de información para el control de accesos, es importante combinar este conocimiento
con el de los medios de seguridad físicos para comprender el contexto en su totalidad.
La triple A del control de accesos
La función del control de accesos se puede resumir en la «triple A», que proviene de los
siguientes términos en inglés:
Antes de que un usuario pueda tan siquiera acceder al sistema, debe

Authentication haber sido autenticado, es decir, su identidad debe haber sido
comprobada.
Para los usuarios legítimos, el acceso a los recursos debe provenir de

Authorization
una autorización explícita y reconocible de usos legítimos.
El sistema debe permitir conocer las acciones de los usuarios en el

Accountability sistema, para comprobar a posteriori que los usos han sido los
autorizados.
El control de accesos se basa en la separación de responsabilidades
La separación de responsabilidades (separation of duties) implica que, para cada

tarea, se separan los diferentes pasos, y estos deben ser realizados por personas
diferentes.
Para hacerlo, primero hay que definir los elementos de cada proceso o función de
trabajo. Una vez hecho, los elementos definidos se dividen entre los diferentes
empleados. Esto evita que un individuo tenga control de un proceso y, por tanto,
la capacidad de manipular el proceso para obtener beneficios personales. Visto desde
otra perspectiva, implica que para cometer un fraude, al menos hace falta el acuerdo de
dos personas.
El control de accesos se basa en el principio del mínimo privilegio

El principio del mínimo privilegio establece que solo se debe autorizar a un

usuario aquellos recursos de información (y operaciones sobre ellos) que sean
imprescindibles para su trabajo.
Este principio y el de separación de responsabilidades se deben combinar con la

clasificación de la información para configurar el mapa de autorizaciones.
3.4. Mecanismos de autenticación
La identificación de un usuario es el proceso por el cual este dice ser una persona
concreta, es decir, reclama una identidad. La autenticación es el proceso de
proporcionar alguna prueba o pruebas de que esa afirmación es verdadera. La
autenticación se basa en algo que solo el usuario legítimo:
Por ejemplo, se asume que solo la persona conoce su palabra clave, el

Conoce (tipo 1) PIN, o la respuesta a una pregunta relacionada con la vida privada de la
persona.
Posee (tipo 2) Por ejemplo, se supone que solo la persona posee su tarjeta inteligente.
En este caso, se reconoce alguna característica física del individuo. Este

Es (tipo 3) tipo agrupa las técnicas biométricas, como el reconocimiento de huellas
dactilares, los escáneres de retina o el reconocimiento de patrones de voz.
En muchas ocasiones, la autenticación no se basa solo en uno de los tipos sino en una
combinación. Este es el caso de las tarjetas inteligentes, que se utilizan en
combinación habitualmente con medidas del tipo 1.
Técnicas biométricas
La biometría se refiere a la
identificación automática de una
persona en base a sus características
fisiológicas o de comportamiento. Es
una técnica alternativa o complementaria
para los casos en que se requiere la
presencia física de la persona para la

autorización. Hay muchos tipos de características biométricas utilizadas en la

actualidad. La siguiente tabla resume algunas de ellas.
Característica Descripción
Un método utilizado desde hace mucho tiempo. Se basa en que

los dibujos de los dactilogramas son perennes, inmutables,
Huellas dactilares diversiformes y originales, lo que permite la identificación.
Actualmente, es probablemente la tecnología biométrica más
barata y escalable.
Reconocimiento bi o tridimiensional de ciertas características

Reconocimiento facial
de la cara.
Proporciona una precisión muy alta en relación a las otras

Información del iris
técnicas.
Las diferentes técnicas varían en su grado de precisión y en el coste de su

implementación, entre otras características importantes para la gestión, como puede
ser la aceptabilidad por parte de los usuarios.
Técnicas de Single Sign On (SSO)
El inicio de sesión único (Single Sign On, SSO) es un control de acceso coordinado
para varios sistemas software independientes. Con SSO, un usuario inicia sesión una
vez y le sirve para todos los sistemas sin que se le pida que se autentifique de nuevo en
cada uno de ellos.
El uso de SSO tiene muchas ventajas, incluyendo la reducción de la

incomodidad para los usuarios, reducción del tiempo de acceso a los sistemas y
también una reducción del esfuerzo dedicado a asistir a los usuarios en su entrada
al sistema por parte del servicio.
Reflexión
A primera vista, parecen evidentes los beneficios del uso de una solución SSO; no
obstante, también se puede criticar o analizar en cuanto a puntos débiles. ¿Podrías
argumentar por qué el SSO puede tener efectos negativos en ciertas situaciones?

La siguiente tabla compara dos tecnologías de SSO muy conocidas, Kerberos y

SESAME. En lo que sigue se describen brevemente.
Tecnología Kerberos SESAME
Origen MIT Europa
Tipo de criptografía Simétrica Asimétrica
Características Basado en un sistema de distribución de claves Mejor escalabilidad
Kerberos
El protocolo Kerberos está diseñado para proporcionar una autenticación fiable en

redes abiertas e inseguras, donde las comunicaciones entre los ordenadores que
pertenecen a la misma pueden ser interceptadas. Fue diseñado e implementado a
mediados de 1980, como parte del Proyecto Athena en el Instituto de Tecnología de
Massachusetts (MIT).
Puedes encontrar más información sobre Kerberos en:

http://web.mit.edu/kerberos//
Las ideas principales del diseño de Kerberos se pueden resumir en las siguientes:
1 La contraseña del usuario nunca debe viajar a través de la red.
La contraseña del usuario nunca debe ser almacenada en la máquina cliente: debe
2
ser inmediatamente descartada después de su uso.
La contraseña del usuario nunca debe ser almacenada en una forma no cifrada
3
incluso en la base de datos del servidor de autenticación.
Al usuario se le pide que introduzca una contraseña solo una vez por sesión de
trabajo. Por lo tanto, los usuarios pueden acceder de forma transparente a todos los
servicios que están autorizados para no tener que volver a introducir la contraseña
durante esta sesión.

La información de autenticación está centralizada y reside en el servidor de

autenticación. Los servidores de aplicaciones no deben contener la información de
autenticación de sus usuarios.
Esto es esencial para obtener los siguientes resultados:
» El administrador puede desactivar la cuenta de cualquier usuario actuando

en una única ubicación, sin tener que actuar sobre los varios servidores de
aplicaciones que proporcionan los distintos servicios.
» Cuando un usuario cambia su contraseña, se cambia para todos los
servicios al mismo tiempo.
» No hay redundancia de la información de autenticación que de otro modo
ha de ser salvaguardada en diversos lugares.
» No solo los usuarios tienen que demostrar que son quienes dicen, cuando se les
solicite, los servidores de aplicaciones también deben probar su autenticidad al
cliente. Esta característica se conoce como autenticación mutua.
» Tras la finalización de autenticación y autorización, el cliente y el servidor deben ser
capaces de establecer una conexión cifrada, si es necesario. Para este propósito,
Kerberos proporciona soporte para la generación y el intercambio de una
clave de cifrado que se utiliza para cifrar datos.
La siguiente figura resume los elementos y la operativa en la autenticación con

Kerberos. Tenemos un cliente, un servidor de aplicaciones que proporciona el servicio
al cliente, y un «Key Distribution Center» (KDC) con dos partes.
Esquema básico del funcionamiento de Kerberos (fuente: MIT)

Cuando un cliente comienza el login, cifra la información de login (username +

password) con una clave secreta de cliente. Los pasos más importantes son los
siguientes:
» El cliente indica al Authentication Server que desea utilizar el servicio (en este caso,
el servidor de aplicaciones). El AS comprueba si tiene al cliente en su lista de
registrados. En caso de que sea así, envía al cliente dos mensajes:
o El Ticker Granting Ticket (TGT) cifrado con la clave del TGS. El cliente no
podrá descrifrarlo, dado que no posee esa clave.
o La clave con la información de sesión, incluyendo la clave de sesión, cifrada

con la clave del cliente. Esta información sí la podrá descifrar el cliente.
El cliente entonces se comunica con el TGS y le envía:
» El TGT que recibió en el paso anterior.

» Una autenticación cifrada con la clave de sesión que recibió en el paso anterior.
El TGS entonces responde con la siguiente información:
» El ticket de servicio cifrado con la clave secreta del servicio.

» Una clave se sesión en el servicio, generada por el TGS y cifrada con la clave
previamente generada por el AS.
Entonces el cliente se comunica con el servicio y le proporciona:
» El ticket del servicio que se ha obtenido en el paso anterior.

» Una autenticación generada por el cliente pero esta vez cifrada con la clave de la
sesión del servicio (generada por el TGS).
Finalmente, en el caso en que se requiera autenticación mutua, el servidor le

enviará una comunicación al cliente para comprobar que es el servidor que estaba
esperando.

Como se puede ver, Kerberos sigue un intercambio complejo de mensajes con

dos intermediarios para garantizar la seguridad. Esencialmente, el protocolo
permite que los clientes, al acceder al servidor, presenten un ticket generado por el
TGS como intermediario. Ese ticket está cifrado con la clave secreta del servicio y
suele tener un tiempo de expiración pequeño.
Para saber más
El tutorial de Kerberos proporciona la descripción detallada de todos los pasos y mensajes

intercambiados. Su lectura es muy recomendable para comprender el rol de cada uno de
los intercambios y por qué son necesarios. El tutorial está disponible en:
http://www.kerberos.org/software/tutorial.html
Después de leerlo, intenta contestar a la siguiente pregunta: ¿cuántas claves se utilizan en

el protocolo y qué parte las conoce? ¿por qué es necesaria cada una de ellas?
SESAME
SESAME (Secure European System for Applications in a Multi-vendor Environment)

es un proyecto europeo de investigación financiado por la Comisión Europea dentro
de su programa RACE. También es el nombre de la tecnología que se obtuvo de ese
proyecto.
La tecnología ofrece SESAME inicio de sesión único sofisticado con características

distribuidas de control de acceso y protección criptográfica para los datos
intercambiados. SESAME se basó inicialmente en Kerberos, pero le añade
diferentes características, tales como:
» Heterogeneidad.
» Más funciones de control de acceso.
» Escalabilidad de los sistemas de clave pública.
» Capacidad de una mejor gestión, auditoría y delegación.
Concretamente, SESAME permite el acceso basados en roles, por lo que permite la

autorización junto con servicios de autenticación. También es compatible con el
concepto de delegación de privilegios de un usuario a otro usuario/aplicación.

Comparación
¿Qué impacto tiene en la gestión el utilizar un sistema de SSO que se basa en clave pública
al caso de uno que utiliza clave privada solamente?
Si miramos a implementaciones comerciales como la de Microsoft Server:
http://technet.microsoft.com/en-us/library/hh831747
¿Qué protocolo de SSO implementa? ¿utiliza criptografía simétrica o asimétrica?
3.5. Métodos de autorización
Método de autorización
Es un mecanismo diseñado para la autorización del acceso a recursos
siguiendo determinadas reglas. Estos mecanismos se han desarrollado en diferentes
entornos, empezando por los propios sistemas operativos y las bases de datos.
La siguiente tabla resume los métodos principales de autorización que se describen más
adelante.
Método
Controlado por Basado en Uso
discrecional
Discrecional
El usuario ACL En los sistemas operativos
(DAC)
Obligatorio
El sistema Etiquetas En las bases de datos
(MAC)
Basado en roles Híbrido En los sistemas operativos

ACL
(RBAC) (usuarios/sistema) y las bases de datos
DAC
El método de control de acceso discrecional (discretionary access control) es un

medio para restringir el acceso a los objetos en función de la identidad de los
sujetos y/o grupos a los que pertenecen. Los controles son discrecionales en el

sentido de que un sujeto con un permiso de acceso es capaz de transmitir ese permiso
(quizás indirectamente).
Un ejemplo de un sistema DAC es el sistema de ficheros en Unix, en el que los usuarios

(propietarios) tienen la capacidad de tomar decisiones y asignar atributos de seguridad.
Un ejemplo sencillo es el modo de archivo de Unix que representan escribir, leer y
ejecutar en cada uno de los 3 bits para cada uno de usuario, grupo y otros.
MAC
Con el control de acceso obligatorio (Mandatory Access Control), la política de

seguridad está controlada por un administrador y los usuarios no tienen la capacidad
de anular la política y, por ejemplo, permitir el acceso a los archivos que de otra manera
serían restringidos. Algunos sistemas operativos como Secure-Enhanced Linux
(SELinux) o Windows Vista con el denominado Mandatory Integrity Control (MIC)
incorporan mecanismos MAC en lugar de DAC.
Desde el punto de vista de la seguridad, un esquema DAC implica que un intruso

que consigue acceso al núcleo de un sistema operativo tiene acceso a todo el
sistema.
En el caso de un esquema MAC, esto no tiene por qué ser así, dado que permite
definir una política central de seguridad que se comprueba cuando una
determinada aplicación quiere acceder a un determinado objeto. La siguiente figura
ilustra esta diferencia.

Diferencias DAC y MAC (Fuente: RedHat Magazine: http://magazine.redhat.com/2007/05/04/whats-

new-in-selinux-for-red-hat-enterprise-linux-5/)
Muchos sistemas implementan DAC y MAC a la vez. DAC es el mecanismo para

transferir los privilegios y MAC un mecanismo simultáneo para controlar esa
transferencia.
RBAC
Los sistemas de acceso basados en roles (Role-Based Access System, RBAC) se

basan en la idea de dar los permisos a roles predefinidos y nunca a los usuarios
directamente. Esto hace más fácil la gestión de los permisos, dado que hay un proceso
de clasificación previa de los niveles de acceso que se materializa en roles, los cuales
pueden relacionarse en jerarquías, formando árboles o, más en general, grafos.
Las aplicaciones (subject) o usuarios se asignan a roles determinados, y son estos roles
los que tienen asociados ciertos permisos sobre ciertas operaciones.

Elementos de un modelo RBAC

Fuente: http://en.wikipedia.org/wiki/File:RBAC.jpg
RBAC es una tecnología de control de acceso flexible, cuya flexibilidad permite

implementar DAC o MAC. RBAC se diferencia de las listas de control de acceso
(Access Control Lists, ACL), que es el control de acceso discrecional, al dar los permisos
para operaciones con un significado en la organización, en lugar de a objetos de bajo
nivel como un fichero.
Por ejemplo, una lista de control de acceso puede utilizarse para conceder o denegar el
acceso de escritura a un archivo de sistema en particular, pero no puede decir cómo ese
archivo se podía cambiar. En un sistema RBAC, se pueden definir operaciones tales
como «actualizar la cuenta de puntos de fidelización de un usuario» que son específicas
del dominio concreto.
3.6. Contabilidad y auditoría de accesos
La contabilidad (accountability) hace referencia a la posibilidad de registrar las

sesiones y transacciones de los usuarios del sistema, de cara a obtener
información de los mismos con propósitos de auditoría de seguridad. Actualmente, se
suele hablar de auditoría como término más general, que incluye la contabilidad.
Un aspecto fundamental de esta auditoría es el mantenimiento de bitácoras o registros

de transacciones (logs) y, lógicamente, el que esas bitácoras no puedan alterarse o ser
accedidas por usuarios no legítimos.
No obstante, los logs son una colección de documentos que no producen ninguna
información valiosa per se, sino solamente cuando se someten a procesos de
monitorización, es decir, la revisión periódica de los mismos con el objeto de detectar
intrusiones o usos no legítimos.
El mantenimiento y análisis sistemático de los logs es una herramienta

fundamental en la gestión, dado que permite elaborar análisis de tendencias y
medir el progreso del control de accesos en la organización.

3.7. Tecnologías «triple A»
En seguridad de la información, AAA es sinónimo de «autenticación, autorización

y contabilidad» en su traducción al inglés. Hace referencia a una arquitectura de
seguridad para sistemas distribuidos, que permite el control sobre a qué usuarios se les
permite el acceso a los servicios, y la cantidad de los recursos que han utilizado.
La siguiente tabla resume tres de los protocolos AAA más populares y sus
características comparadas.
Tecnología RADIUS Diameter TACACS+
RFC RFC Propietario

Definición
http://tools.ietf.org/html/rfc2865 http://tools.ietf.org/html/rfc6733 (CISCO)
Basado en
Protocolo Basado en UDP Basado en TCP
TCP
AAA se
Evolución de RADIUS con implementan
Características AAA consolidado mejoras en la fiabilidad y como
escalabilidad funciones
separadas
Protege
Protección Sólo credenciales de usuario Se basa en IPSec o TLS todos los
datos AAA
A continuación se describen sucintamente RADIUS y Diameter.
RADIUS
Remote Authentication Dial In User Service (RADIUS) es un protocolo de red que

proporciona autenticación centralizada, autorización y gestión de
contabilidad (es decir, un servicio AAA) para los equipos de un sistema de red. El
siguiente esquema resume los elementos fundamentales de la implementación de
RADIUS.

Elementos de un servicio AAA basado en RADIUS (fuente: Novell)
Un sistema que implementa RADIUS proporciona un punto de acceso a la red

mediante un Network Access Server (NAS), que utiliza el protocolo RADIUS para
validar la información de acceso con un servidor RADIUS.
Desde el lado de las máquinas clientes, RADIUS funciona con una variedad de
protocolos de autenticación, incluyendo PPP (Point-to-Point Protocol), PAP
(Password Authentication Protocol) o el login de los sistemas Unix.
El servidor RADIUS, en primer lugar, comprueba que la dirección del NAS es una de las
que tiene registradas como autorizadas, y la ignora en caso de que no lo esté, creando
un registro de auditoría para el acceso. El NAS y el Servidor RADIUS utilizan un
secreto compartido y utilizan RSA para la encriptación de la información de login.
Cuando se concede acceso a la red al usuario, el NAS notifica al servidor RADIUS para
indicar el inicio de acceso del usuario de la red. Los registros de «Inicio»
típicamente contienen la identificación del usuario, dirección de red, punto de acceso y
un identificador de sesión único.
Periódicamente, el NAS puede enviar al servidor RADIUS registros intermedios de

actualización para «ponerlo al día» sobre el estado de una sesión activa. Los registros
suelen transmitir la duración de la sesión actual y la información sobre el uso de datos
actual.

Por último, cuando el acceso a la red del usuario se cierra, el NAS emite un registro
contable parada final al servidor RADIUS, que proporciona información sobre el
uso final en términos de tiempo, los paquetes transferidos, los datos transferidos, razón
de la desconexión y otra información relacionada con el acceso a la red del usuario.
Este intercambio de datos de sesión seguro es la base de la contabilidad de las

acciones del usuario. Puede utilizarse para facturar un servicio de red, pero también
como forma de auditar las conexiones para el control de la seguridad.
Diameter
El protocolo Diameter es una versión mejorada (pero no compatible hacia atrás) del
protocolo RADIUS. Incluye numerosas mejoras en todos los aspectos, como el
manejo de errores y fiabilidad en la entrega de mensajes.
El protocolo es extensible, dado que se ha separado lo esencial del AAA de RADIUS

y se ha definido un conjunto de mensajes que son lo suficientemente generales como
para ser el núcleo de la base de protocolo Diameter.
Las diversas aplicaciones que requieren funciones de AAA pueden definir sus propias
extensiones sobre la base de protocolo Diameter, y pueden beneficiarse de las
capacidades generales proporcionadas por la base de protocolo.
Por ejemplo, la aplicación «Diameter Network Access Server Application»

(http://tools.ietf.org/html/rfc4005) define servicios AAA que utilizan un NAS, de
forma similar a Radius. Pero la aplicación «Diameter Credit-Control Application»
(http://tools.ietf.org/html/rfc4006), sin embargo, se orienta al control de consumo de
crédito en tiempo real.
Respecto a la autenticación y autorización, Diameter se usa de manera diferente

dependiendo de la aplicación.
Pero a diferencia de la autenticación y la autorización, el comportamiento y el mensaje

que se intercambian, para la contabilidad está claramente definida. Esencialmente
sigue un modelo dirigido por el servidor, lo que significa que el dispositivo que
genera registros contables sigue la dirección de un servidor de autorización.

De acuerdo al perfil de usuario, un servidor informa al cliente correspondiente respecto

a cuál es el comportamiento que se espera. Por ejemplo, la frecuencia de los
registros de contabilidad que deben ser enviados desde el cliente al servidor, o si el
registro contable debe ser generado de forma continua en una sesión de contabilidad.

Lo + recomendado
Lección magistral
Análisis de riesgos. Escenarios vs. Inventario de activos
En esta lección magistral el profesor Ricardo Cañizares se centra en el análisis de

riesgos.
No dejes de leer…
Guía INTECO sobre tecnologías biométricas
Esta guía de INTECO hace un resumen del estado de las tecnologías biométricas y
proporciona recomendaciones prácticas de uso.

https://www.incibe.es/CERT/guias_estudios/guias/guia_biometria

No dejes de ver…
Vídeo explicativo de Kerberos
Año: 2012
Duración: 7:07.
Sinopsis: En este vídeo corto se explica de manera simple el funcionamiento de
Kerberos en general. Es muy recomendable para entender dónde residen los secretos
compartidos.

https://www.youtube.com/watch?v=kp5d8Yv3-0c
Face in focus: Infrared face recognition
Año: 2012.
Duración: 32:34.
Sinopsis: En este vídeo de la Conferencia Biometrics 2012 se hace una comparación de
diferentes técnicas biométricas para la seguridad. Posteriormente, se entra en las
características de técnicas de reconocimiento facial y cómo mejorar su fiabilidad.

http://www.youtube.com/watch?v=DGrMgM_NuR8

+ Información
A fondo
Report on the Survey of Role-Based Access Control (RBAC) in Practice
Este informe de un estudio entre profesionales muestra datos sobre el grado en que la
autorización mediante RBAC es útil en la práctica. Es un complemento interesante a la
teoría desde el punto de vista de la gestión.

http://doc.utwente.nl/79714/
El mecanismo DAC en SELinux
Esta entrada de blog explica de manera práctica cómo funciona el sistema DAC de
SELinux, incluyendo el modo estricto y el no estricto, siendo este último más adecuado
si solo se quiere utilizar para servicios determinados como los servidores web.

http://www.securityartwork.es/2010/05/11/selinux-teoria/

Test

A. Las tecnologías triple A integran mecanismos de autenticación, autorización y
contabilidad.
B. El control de accesos debe regirse por el principio del mínimo privilegio.
C. El control de accesos se debe implementar teniendo en cuenta los aspectos
físicos y lógicos.

A. La separación de responsabilidades es un principio por el cual se deberían
separar los pasos de las tareas para ser realizados por diferentes personas.
B. Las autorizaciones depende de las tareas pero también de la clasificación de la
información.
C. El control de accesos se hace necesario cuando se tienen usuario externos que
trabajan fuera de la organización y acceden de manera remota.

A. La autenticación consiste en proporcionar una prueba de la identidad del
usuario.
B. La autenticación biométrica permite utilizar características biológicas de las
personas como prueba de autenticación, permitiendo un modo más barato de
realizar este proceso.
C. La aceptabilidad de un método de autenticación puede ser un determinante de
su adopción.

A. En un sistema que ha implementado el Single Sign On, las claves de los
usuarios se almacenan en un solo servidor en la red.
B. El Single Sign On proporciona una seguridad mayor porque el usuario solo
tiene que recordar una clave.
C. El Single Sign On puede implementarse con diferentes combinaciones de
técnicas criptográficas.


A. En el protocolo Kerberos, los servicios con las aplicaciones nunca almacenan
claves ni información de autenticación de los usuarios.
B. El carácter distribuido de Kerberos implica que los usuarios tienen diferentes
autenticaciones para cada aplicación que utilizan, aunque éstas se asocian a una
cuenta única.
C. El segundo de los intermediarios del protocolo Kerberos puede eliminarse de la
arquitectura en caso de que no se requiera un nivel de seguridad muy elevado.

A. SESAME permite un acceso basado en roles sobre las aplicaciones.
B. En los sistemas de SSO se necesita un sistema de claves asimétricas para
implantar la seguridad en el acceso.
C. Los sistemas de SSO implícitamente permiten controlar las sesiones de los
usuarios y su actividad.

A. En el control de acceso discrecional se restringe el acceso a los objetos,
permitiendo a los usuarios controlar esa autorización.
B. En el control de accesos obligatorio, hay políticas generales impuestas por un
administrador que los usuarios no pueden violar.
C. El control de acceso basado en roles se basa en que los permisos se gestionan a
través de roles genéricos y no de usuarios.

A. En el protocolo RADIUS, un nodo de acceso controla una serie de nodos de
acceso autorizados.
B. Los servidores NAS en RADIUS son los únicos que controlan la información de
contabilidad.
C. DIAMETER es un protocolo AAA extensible, sobre un protocolo básico.

A. En el control de acceso basado en roles es posible establecer condiciones de

activación de roles.
B. Las listas de comprobación de acceso que se utilizan en el acceso basado en
roles y en el acceso discrecional se aplican sobre objetos del sistema operativo
como los ficheros.
C. La posibilidad de acceder a objetos con privilegios en el acceso discrecional es
mayor que en el caso de que se use un acceso obligatorio con políticas estrictas.

A. La contabilidad (accountability) tiene como interés principal el poder analizar
los accesos a posteriori.
B. La autentificación biométrica tiene una fiabilidad perfecta en el caso de
algunas técnicas, como el reconocimiento facial.
C. En un sistema con Single Sign On, el acceso a las credenciales de un usuario,
por ejemplo, mediante pishing, tiene potencialmente un riesgo de daño mayor
que en un sistema que no lo tenga.

Programas, procesos y políticas de
seguridad de la información
[4.2] Introducción
[4.3] Programas de gestión de la seguridad
[4.4] La gestión de riesgos
[4.5] Diseño de políticas de seguridad
4
TEMA
Programas, procesos y políticas de seguridad de la información
Esquema
TEMA 4 – Esquema
se gestiona mediante
Programas
1
implica
Gestión de riesgos Políticas de generales

de la organización
se detallan en
Asunción Mitigación Externalización Políticas funcionales

Ideas clave
Para estudiar este tema lee el caso de estudio, además de las Ideas clave que
encontrarás a continuación.
4.2. Introducción
Este tema aborda dos elementos clave en la gestión de la seguridad de la información
Gestión de riegos Políticas
La gestión de riesgos es una actividad central que se debe contextualizar en las opciones
de mitigación del riesgo, con diferentes modelos económicos. Aquí se trata de
comprender y saber utilizar la terminología, dado que el Máster tiene una asignatura
donde se trata el Análisis de Riesgos más en detalles. Es necesario entender bien la
diferencia entre asumir, mitigar y externalizar el riesgo y sus consecuencias
económicas, poniendo en relación este tema con los modelos económicos vistos en la
primera unidad. Por otro lado, es importante comprender que los controles, como los
que se describen en las normas ISO, son el resultado de la gestión del riesgo.
Respecto a las políticas, se describen de manera general, y se estudiarán mediante

ejemplos en el Aula Virtual, para diferentes áreas.
4.3. Programas de gestión de la seguridad
Como ya sabemos, el objetivo de la gestión de la seguridad es garantizar la

confidencialidad, integridad y disponibilidad de los recursos de información
de la organización.

Programa de gestión de la seguridad

Es un conjunto de actividades planificadas dentro de una organización para
garantizar las disponibilidad, confidencialidad e integridad de los recursos
de información.
Los programas deben ser comunicados de forma entendible a todos los

empleados.
Un programa no es una acción concreta, sino un área de gestión orientada a la mejora

continua. La importancia de la seguridad de la información ha dado lugar a la
profesionalización, materializada en el rol del Responsable de Seguridad de
Información (RSI) o denominación equivalente.
La gestión de la seguridad se materializa en políticas, estándares, líneas base

y procedimientos.
Políticas Establecen las directrices generales
Estándares Establecen las herramientas requeridas
Líneas base Establecen los parámetros que se utilizarán
Procedimientos Establecen las guías paso a paso que se deben realizar diariamente
Es importante resaltar la importancia de los programas de concienciación (o

educación) de los empleados, necesarios para hacer efectiva la implementación de
políticas, estándares y procedimientos.
En cualquier caso, los programas de gestión de la seguridad comienzan por un proceso

fundamental, la gestión de riesgos, que establece los objetivos de la gestión
analizando las amenazas y su potencial impacto.
Posteriormente, esos riesgos analizados serán el criterio para implementar

diferentes tipos de controles. Aquí nos detenemos en las políticas, un tipo de
control administrativo.

4.4. La gestión de riesgos
Un riesgo es esencialmente la posibilidad de ocurrencia de un evento no deseado, de

consecuencias negativas, en nuestro contexto, sobre la seguridad de los recursos de
información. Los riesgos deben ser estudiados y analizados, para poder tomar
decisiones sobre los mismos. Las decisiones pueden ser básicamente tres:
1 Asumir el riesgo tal cual
2 Implementar algún tipo de acción para mitigar el riesgo
Externalizar o transferir el coste del riesgo, normalmente mediante la contratación

de algún tipo de seguro que actuaría como compensación económica en caso de
3
ocurrencia del mismo. Otra opción es la de subcontratar ciertos servicios a terceros,
que se hacen responsables del riesgo.
Una cuarta opción sería, lógicamente, la de evitar el riesgo dejando de utilizar ciertos
recursos o cesando en las actividades asociadas al riesgo; pero, lógicamente, esto tiene
el coste de oportunidad de no obtener beneficios de la actividad. La primera opción
obviamente solo es viable si la organización es capaz de absorber el coste de la
materialización del riesgo. En el caso de seguir la segunda opción, típicamente la
organización debe realizar un análisis coste-beneficio con el que, particularmente,
calcular el riesgo residual.
Gestión de riesgo
Es el conjunto de procesos para identificar, analizar y evaluar los riesgos y
para tomar las decisiones sobre su asunción, mitigación o transferencia.
Las preguntas sobre el análisis y gestión del riesgo pueden resumirse en las siguientes:
» ¿Qué podría suceder (cuáles son los eventos indeseados o amenazas)?

» Si se da el evento, ¿cuán malo puede ser (impacto de la amenaza)?
» ¿Con qué frecuencia puede ocurrir (frecuencia de amenaza, por ejemplo,
anualmente)?
» ¿Cuán seguros estamos de las respuestas a las tres primeras preguntas
(reconocimiento de nuestra incertidumbre)?

Una vez los riesgos han sido analizados y evaluados, la gestión debe responder a las
siguientes preguntas fundamentales:
» ¿Qué se puede hacer (mitigación de riesgos)?

» ¿Cuánto va a costar (por intervalos de tiempo, por ejemplo, anuales)?
» ¿Es rentable (análisis coste/beneficio)?
En lo que sigue profundizamos en los elementos y actividades fundamentales de la

gestión de riesgos en la seguridad de la información.
Algunas definiciones previas
La terminología en la gestión de los riesgos, para evitar ambigüedades, debe basarse en

estándares como ISO 17799. Algunas definiciones previas importantes son las
siguientes:
» Amenaza (threat): un peligro potencial a un recurso.

» Fuente/agente de la amenaza (threat-source/agent): algo o alguien que tiene
capacidad potencial para materializar la amenaza.
» Vulnerabilidad: una debilidad o fallo en un recurso.
» Exposición: una oportunidad para que una amenaza cause un daño.
En cuanto a los controles, suelen diferenciarse los siguientes:
» Mecanismos de mitigación técnicos (por ejemplo, un firewall) o no-técnicos

(administrativos y físicos). Las medidas administrativas incluyen por ejemplo
políticas y procedimientos y las físicas por ejemplo alarmas, cerraduras o detectores
de fuego.
» Salvaguardas (safeguard): controles preventivos y proactivos.
» Contramedidas: controles correctivos (reactivos).

Procesos en la gestión de riesgos de la información
Existen diferentes modelos y estándares sobre los procesos en la gestión de riesgos. Por
ejemplo, el estándar NIST SP-830 agrupa los procesos en tres fases:
» Evaluación del riesgo (risk assessment). A su vez, se considera dentro de esta fase
otras, incluyendo:
o Análisis de riesgos: cuantitativa (estimando el valor monetario de la ocurrencia
de las amenazas) o cualitativa (basada en escenarios).
» Implementación de controles.
» Evaluación continuada de los controles.
Independientemente del modelo de procesos o buenas prácticas que se utilice, todos

ellos comparten una estimación de la probabilidad de ocurrencia del riesgo y una
sugerencia de contramedidas que puedan utilizarse y que se implementarán mediante
controles.
Análisis de riesgos cuantitativo
El análisis de riesgos cuantitativo trata de asignar valores cuantitativos (por ejemplo,

unidades monetarias) a los diferentes elementos. Para ello, hay que comenzar haciendo
una valoración económica de los recursos. A partir de esa valoración, se
establecen una serie de medidas, y las principales se resumen en la siguiente tabla.
Concepto Formulación
Factor de exposición Porcentaje de pérdida de valor de un recurso

(exposure factor, FE) asociado a una amenaza.
Expectativa de pérdida
Valor del recurso multiplicado por FE.
(single loss expectancy, SLE)
Tasa de ocurrencia anualizada Frecuencia de la ocurrencia de la amenaza

(annualized rate of occurency, ARO) anual.
Expectativa de pérdida anual

SLE*ARO
(annualized loss expectancy, ALO)

El problema fundamental del análisis es la dificultad de medir el valor de los

recursos. Este valor puede estimarse de diferentes formas, no excluyentes:
» El coste inicial y continuo (para una organización) de la compra, concesión de

licencias, el desarrollo y el mantenimiento.
» El valor del recurso para el mantenimiento del modelo de negocio o la ventaja
competitiva, o el valor que aporta al negocio en su funcionamiento.
» El valor de mercado del recurso, si se puede evaluar. Por ejemplo, el valor por
el que se podría vender un secreto industrial.
La valoración, una vez establecida, permite el análisis coste-beneficio, dado que las
medidas de mitigación (o el coste de externalización) estimado puede compararse con
estas valoraciones, sobre la base de estimaciones anualizadas.
4.5. Diseño de políticas de seguridad
Las políticas tienen muchas utilidades. Por ejemplo, pueden ser literalmente un
salvavidas durante un desastre, o podrían ser un requisito de una función reguladora.
La política también puede proporcionar protección contra la responsabilidad debida a
un trabajador o definir acciones para el control de los secretos comerciales.
Los diferentes tipos de políticas
El término «política» es uno de esos términos que pueden significar varias cosas en
seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores
que se refieren al control de acceso y la información de enrutamiento. Los estándares,
procedimientos y directrices también se conocen como políticas en el sentido más
amplio de la seguridad.
Aquí hacemos referencias a las políticas como controles administrativos de

carácter temático, a veces denominadas políticas funcionales. Por ello,
adoptamos la siguiente definición de política. Estas políticas detallan las políticas
generales de la organización.

Las políticas y su importancia
Política de seguridad de la información

Es un plan de alto nivel que describe los objetivos de los procedimientos.
Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente

procedimientos. Las políticas describen la seguridad en términos generales y
no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que
determinan cómo se diseñarán e implementarán los diferentes elementos de la
seguridad.
La diferencia entre política e implementación es importante. Por ejemplo, si una

política estableciese que el login único debe hacerse con un producto concreto de una
empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No
parece razonable que el objetivo (que es lo que define la política) esté ligado a un
producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la
política sí que puede indicar la obligatoriedad de que, independientemente de la
elección de producto final, se documenten las razones de por qué se ha seleccionado.
El diseño de políticas es importante porque estas definen los objetivos de la

seguridad. Además, la participación de la dirección en la definición de las políticas
proporciona un mensaje claro sobre la implicación y compromiso de la
organización en sus niveles directivos. Las políticas se aplican a la organización
entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto
es algo que los clientes pueden apreciar y hace la gestión más sencilla.
Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un
empleado por una acción relacionada con la seguridad, y no había política escrita, es
complicado justificar esa amonestación.
Desde una perspectiva más pragmática, la ausencia de políticas escritas correctamente

simplemente impide la evaluación externa y la auditoría.

Un ejemplo para comenzar
Terminamos esta sección con un ejemplo de política y un análisis de su forma, tomado

de comunidad SANS http://www.sans.org/security-resources/policies/, sus diferencias
con otras herramientas de gestión y sus implicaciones.
El documento está disponible en el aula virtual o en la dirección web:

http://www.sans.org/security-resources/policies/web-app-sec-a-pol.pdf
En la política anterior podemos apreciar una estructura general que suele darse de
manera explícita o implícita:
1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere
controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la
búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican
como importantes en las aplicaciones web por su propia naturaleza.
2. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en

este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a
cabo los procedimientos que implementarán la política y qué grado de diseminación
tendrá.
3. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar,

su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc.
Podemos considerar esta como una política bastante detallada.
4. Responsabilidades. Quién es responsable de que se cumpla la política, en este

caso es una combinación del staff de seguridad y el personal implicado en el
desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los
responsables pueden ser todo el personal de la empresa, por ejemplo, si la política
hace referencia a la gestión del correo electrónico de la empresa, que implica a todos
los empleados.
Además de lo anterior, la política incluye una sección de definiciones para hacer precisa
la política en sí, así como referencias. Finalmente, dado que las políticas provienen de
la implementación de la gestión que es un ciclo de mejora continua, deben tener algún
mecanismo de seguimiento de versiones o revisiones.

Estos son los elementos fundamentales que se encuentran de un modo u otro en las
políticas. Además de lo anterior, podemos apreciar, en este caso, cómo se reutilizan
estándares, concretamente, definiciones de OWASP.
En este caso, esta política llega a detallar herramientas de evaluación concretas. Este es
un caso especial, dado que en muchas organizaciones esto se especifica en los
procedimientos o estándares, dejando la política en sí en un nivel más general. No
obstante, es importante resaltar que esta política deberá tener después guías de
implementación más detalladas en un procedimiento o varios.

Lo + recomendado
Lección magistral
La gestión de la seguridad de la información en la empresa
En esta lección magistral el profesor Ricardo Cañizares destaca la importancia de la

gestión de la seguridad de la información en las empresas.
No dejes de leer…
Guía NIST de gestión de riesgos de seguridad de la información
Este documento desarrolla en profundidad un proceso de gestión de riesgos multinivel.

Incluye las definiciones, los roles y el proceso de manera exhaustiva. El documento es
un buen ejemplo para profundizar en el contexto amplio de la gestión del riesgo.

http://www.nist.gov/itl/csd/20110301_sp800-39_final.cfm

No dejes de ver…
OWASP Hacking by numbers
Año:
Duración:
Sinopsis: En esta serie de vídeos del evento OWASP App Research de 2010 se aborda la
cuantificación del riesgo en aplicaciones web de acuerdo al tipo de vulnerabilidades y la
probabilidad de ocurrencia.

https://www.youtube.com/watch?v=vy2uZyZ_pjs

+ Información
Recursos externos
TORproject
TORproject se trata de un software gratuito que permite a los usuarios el acceso a la

red TOR y facilita que se comuniquen entre ellos de forma anónima, confidencial y
segura.
Accede a la página desde el aula virtual o a través de la siguiente dirección web:

https://www.torproject.org/
The University of Manchester IT security policies
Esta web recoge un ejemplo de políticas de seguridad en una organización de tamaño

medio.
http://www.itservices.manchester.ac.uk/
Bibliografía
Barman, S. (2001). Writing information security policies. New Riders Publishing.
Talabis, M. y Martin, J. (2012). Information Security Risk Assessment Toolkit:

Practical Assessments through Data Collection and Data Analysis. Massachusetts:
Syngress.

Actividades
Laboratorio #1: Atacando con Redes TOR y defendiendo con

OSNT
Presentación del laboratorio
Para poder afrontar los ejercicios planteados en este laboratorio es necesario haber
visualizado la presentación que hará el profesor respecto a este laboratorio, donde
explicará de una forma detallada el acceso a herramientas gratuitas que el alumno
deberá usar para realizar el trabajo correctamente. Es el caso del software TORproject,
que facilita el acceso a la red TOR.
Esta sesión de laboratorio consta de dos partes que están bien diferenciadas y que se
explican con detalle a continuación:
» Defendiendo: ¿Cómo llega un ciberdelincuente a una víctima? Sin duda alguna, se

aprovecha de su curiosidad, ambición, confianza, desconocimiento, etc. En muchas
ocasiones, recaba información de la víctima en Internet de una forma tan sencilla
como peligrosa.
¿Somos conscientes de toda la información que hay en Internet sobre nosotros como
paso previo a la realización de un delito? OSINT (Open Source Intelligence o
Inteligencia en fuentes abiertas) hace referencia a la recopilación de todo el
conocimiento existente en la red a partir de fuentes de acceso público, incluyendo en
este proceso la búsqueda, selección y adquisición de la información. Tras un
adecuado procedimiento y el posterior análisis de esta información, nos permite
obtener conocimiento útil y aplicable en distintos ámbitos.
» Atacando: TOR (The Onion Router) es una red superpuesta sobre Internet, que
permite el intercambio de información entre un origen y un destino sin revelar la
identidad de los usuarios; es decir, su IP. Mantiene la integridad y el secreto de la
información que viaja por ella gracias a la criptografía asimétrica y el concepto de
clave pública y privada. La garantía de navegar de una forma anónima y acceder a la
Deep Web (Red Profunda) es total, accediendo a servicios que muchas veces están al
otro lado de la legalidad.
TEMA 4 – Actividades 14 © Universidad Internacional de La Rioja (UNIR)

Aquello que nació como una herramienta, para que periodistas pudieran informar
acerca de lo que ocurría en países poco democráticos, ha derivado a sus usuarios en
un paraíso de servicios ocultos (anonymous, pedofilia, hackers, etc.).
Puedes encontrar la información necesaria del recurso en el apartado Recursos

Externos del tema.
Objetivos del laboratorio
» Aprender a través de herramientas OSINT a buscar información de todo tipo en

fuentes abiertas.
» Saber gestionar esta información y saber realizar peticiones de derecho al olvido.
» Concienciar sobre toda la información expuesta en redes sociales.
» Saber que es y cómo funciona la Deep Web.
» Acceder a la Internet profunda con los conocimientos mínimos.
Descripción del laboratorio
Esta sesión de laboratorio está destinada a que los alumnos tengan conocimiento y
sepan manejarse en ambas partes. Por un lado, en «Me defiendo» se pretende que los
estudiantes se conozcan mejor y aprendan todo lo que se puede conocer de uno mismo
por la red, ver hasta dónde cualquier persona que indague con inteligencia por la
misma puede saber y, por extensión, averiguar las posibilidades que existen para
silenciar esos conocimientos.
En Google existen operadores con capacidad de combinación que nos aportan una
información muy extensa. intitle, allintitle, inurl, allinurl, filetype, etc. Y otros más
avanzados como link, inanchor, daterange, etc. Por otro lado, existen multitud de
metabuscadores y otras grandes fuentes de información dentro de Internet para buscar
cualquier huella o rastro digital. De todo esto dará buena cuenta en clase el profesor del
Laboratorio.
Por otro lado, en el apartado «Atacando», a través de TOR, se mostrará cómo acceder
a la navegación por la red de forma anónima, con todas las consecuencias que eso tiene.
Pero más importante todavía es dejar bien claras las medidas de seguridad previas que
se deben realizar.

Entrega del laboratorio
La entrega del laboratorio deberá contener:
» Respecto al primer apartado «Me defiendo» debes averiguar en profundidad todo

lo que hay en Internet acerca de tu persona —u otro objetivo que bien puede ser el
profesor de la asignatura— usando las herramientas que se describirán en la
presentación que hará el profesor en el Laboratorio y generando los informes
oportunos debidamente detallados. Por otro lado, te debes informar sobre los
procedimientos necesarios y la problemática existente para dar de baja
determinados contenidos accesibles y no deseados sobre tu persona en alguna de las
redes sociales más famosas en las que estés inscrito.
Además, habrá que evaluar la calidad de la información que dan estas herramientas
y explicar si se cree que, en manos no deseadas, pudiera ser el inicio de un delito
contra la persona. ¿Es fácil realizar un delito informático con la información
recopilada? En caso afirmativo, ¿cómo se podrían evitar?
» Del apartado «Atacando», y dada la delicadeza de la información a la que se puede

acceder, no será necesario hacer entrega alguna. En el Laboratorio enseñaremos a
navegar. Es muy importante que se sepa de su existencia y de las consecuencias que
conllevan los posibles errores.
Competencias relacionadas con la actividad
» CB6 - Poseer y comprender conocimientos que aporten una base u oportunidad de

ser originales en el desarrollo y/o aplicación de ideas, a menudo en un contexto de
investigación.
» CE22 - Realizar un asesoramiento integral que fomente una actitud proactiva y
responsable hacia la seguridad informática en todos los niveles.
» CE24 - Diseñar un plan de seguridad adaptado a las necesidades del entorno y su
perfil de riesgos.
» CT4 - Adquirir la capacidad de trabajo independiente, impulsando la organización y
favoreciendo el aprendizaje autónomo.

Test

A. Los programas de gestión de la seguridad incluyen la gestión del riesgo.
B. La gestión del riesgo incluye el desarrollo de programas de gestión de la
seguridad para las áreas en las que se encuentran debilidades.
C. Los programas de gestión de la seguridad se deben evaluar periódicamente
para analizar su efectividad.

A. En la gestión de riesgos de seguridad se debe considerar como prioritario
aquellas vulnerabilidades que pueden tener un impacto mayor en términos
económicos.
B. Todos los riesgos deben llevar a la implantación de controles para su
mitigación.
C. La fuente de la amenaza en la gestión de riesgos es cada una de las
vulnerabilidades.

A. Las contramedidas se implementan mediante controles.
B. La gestión del riesgo se basa en el análisis de los indicadores relativos al
número de intrusiones que se han detectado en cada período.
C. La gestión de riesgos puede ser basada en escenarios, cuantitativa o una
mezcla de ambas.
4. Indica cuáles de las siguientes afirmaciones son correctas sobre el factor de

exposición.
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.

5. Indica cuáles de las siguientes afirmaciones son correctas sobre la expectativa de

pérdida.
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.
6. Indica cuáles de las siguientes afirmaciones son correctas sobre la tasa de

ocurrencia.
A. Determina el impacto final dado que representa la probabilidad de ocurrencia.
B. En caso de que haya información, puede estimarse mediante frecuencias
registradas en el pasado.
C. Suele presentarse en forma de tasa anual.

A. El valor de los recursos en el análisis de riesgo se debe hacer a partir de su
valor de mercado, y es sólo aplicable a los que lo tienen.
B. El valor de los recursos puede estimarse por el lado de los costes, en caso de
que sean medibles.
C. Algunos recursos tienen un valor estratégico para el mantenimiento del
negocio, que son superiores a los costes invertidos en obtenerlos.
8. Indica cuáles de las siguientes afirmaciones son correctas respecto a las políticas de
seguridad.
A. Indican los objetivos de la seguridad pero no la manera concreta de
obtenerlos.
B. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del
correo electrónico.
C. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes
de seguridad.


A. Las políticas de seguridad deben definir los responsables de su cumplimiento,
en términos de roles.
B. Las políticas de seguridad deben definir el software que se debe utilizar en
cada ámbito de aplicación.
C. Las políticas de seguridad pueden basarse en estándares externos.

A. Las políticas de seguridad funcionales han de ser coherentes con las políticas
funcionales.
B. Las políticas son uno de los elementos que se pueden utilizar dentro de una
auditoría de seguridad de la información.
C. Las políticas deben describirse para aquellos procesos o tareas dentro de la
empresa en la que se tiene contacto con el exterior, y por tanto hay una
posibilidad de intrusión o pérdida de confidencialidad.

Planes de continuidad de negocio
[5.2] Introducción a los PCN
[5.3] Fase I y II
[5.4] Fase III y IV
[5.5] Mantenimiento del PCN
9
5
TEMA
Esquema
TEMA 5 – Esquema
Planes de continuidad de negocio
fases
PCN I. Análisis de respuesta a incidentes
II. Detecta y comunica incidentes
1
protege
Procesos críticos Fase III. Protege y sostiene
Fase IV. Recupera y restablece

Desastres
Fallos
Mantenimiento del
PCN

Ideas clave
Para estudiar este tema lee atentamente las Ideas clave que encontrarás a
continuación.
El objetivo fundamental de este tema es el de conocer cómo funciona un Plan de

Continuidad de Negocio (PCN)y la operatividad que éste debe poseer para reaccionar
ante cualquier evento que interrumpa las actividades del negocio poniendo en riesgo
todos los procesos críticos del sistema ante fallos, desastres o una combinación de
ambos.
Concretamente, tras terminar este estudio del tema, el estudiante debería ser capaz de:
» Conocer las fases que tiene un PCN.

» Conocer las partes que tiene el PCN una vez ocurrido el incidente.
» Definir políticas de seguridad en una red DMZ.
» Comunicar y actuar como proceda ante cualquier fallo o incidente según los PCN
desarrollados.
» Analizar las respuestas a incidentes y estudiar las amenazas.
» Preservar la confianza ante clientes en casos de contingencias.
» Limitar los daños estableciendo planes de contingencia.
» Recuperar y restablecer el sistema y los servicios de la organización.
» Realizar el mantenimiento del PCN.
5.2. Introducción a los PCN
Objetivo
El objetivo principal del PCN es reaccionar a la interrupción de actividades

del negocio y proteger sus procesos críticos frente a fallos y desastres
mediante una combinación de controles preventivos y de recuperación.

Fases del PCN
MIENTRAS
Identificar, contener,
erradicar y recuperar
ANTES DESPUÉS
Preparar análisis Analizar los
previo del PCN hechos
INCIDENTE
Partes del PCN (una vez ocurrido el incidente)
Plan de
comunicación
de crisis
Plan de
Plan de
recuperación Comunicar
contingencia
de desastres
IT
Plan de
Continuidad Proteger y
de Negocio sostener
Plan de Plan de
recuperación emergencia de
de negocio ocupantes Recuperar y
restablecer
Plan de
continuidad
de
operaciones

1 Comunica el incidente y las acciones llevadas a

Comunicación cabo por la organización para remediarlo. No
de Crisis está basado en las TIs.
2 Emergencia Proporciona procedimientos para minimizar los daños
de Ocupantes en caso de amenazas físicas. Se centra en los recursos
humanos, no en los procesos de negocio o en los
sistemas de TI.
3 Continuidad Proporciona procedimientos y capacidades para
de sostener las funciones críticas y estratégicas de una
Operaciones organización en una localización alternativa hasta 30
días. Incluye el conjunto de las misiones más críticas,
no se centra en las TIs.
4 Proporciona procedimientos y capacidades para
Contingencias restaurar aplicaciones críticas o sistema de soporte
IT general. Se centra en las interrupciones de los sistemas
TI, no en los procesos de negocio.
5 Proporciona procedimientos para restablecer las

Recuperación operaciones inmediatamente después de un desastre.
de Negocio Incluye procesos de negocio; sólo incluye las TI como
soporte de los procedimientos de negocio.
6 Proporciona procedimientos detallados e instrucciones

Recuperación técnicas para facilitar la recuperación de las
de Desastres capacidades en el centro principal. Basado en las TIs.
5.3. Fase I y II
Fase I. Análisis de respuesta a incidentes
Constitución del equipo humano de gestión de incidentes:
» Establece el equipo de gestión de incidentes, responsabilidades y sus relaciones.

» Roles y responsabilidades: documentar roles y responsabilidades en un documento
donde se establece la misión, el ámbito y el alcance, así como la estructura
organizativa, flujos de información y servicios proporcionados
Análisis de riesgos
El análisis de riesgos estudia las amenazas, junto con su probabilidad e impacto
en un sistema de información. Mediante la aplicación de medidas de seguridad, estos
riesgos pueden rebajarse, pero no eliminarse. Por ello es necesario tomar medidas en
el caso de que ocurra un incidente. Este es el objetivo del Plan de Continuidad
del Negocio.

Objetivo
Analizar el nivel de riesgo de la información para disminuirlo hasta unos

niveles aceptables mediante la adopción de medidas de seguridad
Un activo es cualquier elemento que forma parte de un sistema de información

(hardware, software, personas). Se debe dibujar un mapa de los activos, eligiendo los
más importantes y reuniendo el resto, de forma que el número de activos no sea
elevado (no más de 100 ó 150).
El valor de los activos depende de los requisitos en las dimensiones de seguridad

que se mencionan más abajo. Deben darse en escalas. Por ejemplo: En PILAR de 1 a 10.
Las amenazas son eventos que pueden desencadenar un incidente en la organización.

Este paso consiste en seleccionar las amenazas de catálogos de análisis de riesgos y ver
su importancia en la organización. Los tipos de amenazas pueden ser desde
desastres naturales, de origen industrial, errores y fallos no intencionados hasta
ataques intencionados.
El conjunto de medidas que se aplica a los activos para reducir el riesgo se denomina
salvaguardas. Ejemplos de salvaguardas pueden ser los cortafuegos, las copias de
respaldo, los sistemas de control de acceso, el establecer procedimientos de alta de
usuarios y asignación de accesos, la adecuación a la legislación de protección de datos,
etc.
Para calcular el riesgo se debe tener en cuenta el impacto de las amenazas en los
activos, junto con su probabilidad de ocurrencia.
Riesgo = probabilidad x impacto
Hay dos tipos de riesgo:
» Intrínseco: el que se calcula sin tener en cuenta las amenazas.

» Efectivo: el riesgo intrínseco no es el real en las organizaciones, puesto que sobre
los activos se aplican salvaguardas. Por ello el riesgo real es el efectivo

BIA
El BIA (Análisis de Impacto en el Negocio) o Business Impact Analysis consiste en

entrevistar a los responsables del negocio para determinar las pérdidas en caso de
que exista un corte en el sistema de información
Para ello se debe evaluar el incremento de costo por no disponibilidad de los servicios y
estudiar el daño concreto de la falta de un servicio.
Existen dos indicadores principales de las exigencias al PCN: el tiempo que puede
soportar la organización sin servicio y el punto al que se deben recuperar los datos en
caso de contingencia.
Crisis Volver a los

RPO RTO sistemas en
producción
Recuperación
de sistema y
datos
Introducción de
Operación
Último back up datos del proceso
normal
Proceso manual manual
Introducción
Recuperación datos perdidos (RPO a de datos
Crisis) perdidos
Se obtiene el coste de la interrupción y los puntos aceptables de recuperación (RTO y RPO)

desde el punto de vista del negocio.
RTO: Recovery Time Objective RPO: Recovery Point Objective
RTO (Objetivo tiempo recuperación) RPO (Objetivo de punto de recuperación)

Tiempo máximo para regresar a la
Antigüedad máxima datos a restablecer
normalidad
A partir del momento de crisis A partir del último backup
Se mide en unidades de tiempo Se mide en unidades de tiempo
Está relacionado con la disponibilidad del
Está relacionado con la integridad del sistema
sistema
Fase II. Detectar y comunicar
El objetivo de esta fase es aprender a detectar un incidente, saberlo ubicar dentro

de un escenario adecuado, y comunicar esta situación a la dirección de la
organización, junto con las autoridades a quienes competa. De esta forma el personal

de la organización conoce las tareas a seguir para corregir sus efectos.
Hay que tomar la decisión de si se activan el plan de recuperación y el de

comunicación de crisis para transmitir al resto de la organización o a las
autoridades la contingencia, junto con su gravedad y las medidas tomadas o previstas
para tomar.
Objetivo
Preservar, en la medida de lo posible, la confianza de los clientes y

proveedores
» Comunicación interna
o Una vez se ha detectado un incidente se debe comunicar al resto de
departamentos y al equipo de respuesta a incidentes.
o Escalado de problemas a los superiores.
» Comunicación externa
o Comunicación a organismos reguladores.
o A los medios de comunicación.
5.4. Fase III y IV
Fase III. Proteger y sostener
Objetivo
El objetivo de esta fase es limitar los daños de la contingencia teniendo en

cuenta el negocio de la organización

Se deben establecer los siguientes planes de contingencia:
Protección a las personas
• Plan de emergencia de ocupantes
Protección a los procedimientos que

soportan el negocio de la organización
• Plan de Continuidad de operaciones
Protección al sistema de información
• Plan de Contingencia IT
» Plan de emergencia de ocupantes: la seguridad de las personas es lo primero,

comprende las actividades encaminadas a la protección de las personas, evacuación
de las personas y asistencia sanitaria si es necesario.
» Plan de Continuidad de operaciones: procedimientos encaminados a
garantizar que las funciones esenciales de una organización continúan operativas.
Objetivo
Asegurar el funcionamiento continuo de las operaciones, proteger las

instalaciones, equipos, datos y otros activos y minimizar las pérdidas y daños
en el negocio
Es importante que durante la recuperación: se trabaje en las oficinas en modo aislado

mientras no está operativo el centro de proceso de datos, trabajar recolectando datos en
modo local (PC), las entradas de formularios de datos en papel y centrarse en clientes,

proveedores o productos + importantes.
» Plan de Contingencia IT: El plan consiste en la activación de un plan de

emergencia y la activación de un centro de respaldo, si el escenario de contingencia
lo requiere.
Plan de emergencia
Acotación de la zona afectada, si es posible.

Si la amenaza es física, cierre de las instalaciones y sustitución de equipos.
Si la amenaza es lógica, cierre de segmentos de comunicaciones y cierre de líneas de acceso de
comunicaciones.
Cierre ordenado de los servicios. Debe hacerse "de fuera hacia dentro", comenzando por las
aplicaciones y terminando por el hardware.
Finalmente debe realizarse el corte de las comunicaciones y el apagado ordenado de los equipos
Activación del centro de respaldo
Traslado del personal al centro de respaldo.

Arranque de programas, si es necesario.
Carga de datos, si es necesaria.
Redirección de las comunicaciones al centro de respaldo.
Dentro de los planes de contingencia, debe activarse una estrategia de emergencia

y recuperación. La selección de la estrategia debe estar basada en función de:
» Tiempo de recuperación (parámetro fundamental).

» Tipo del escenario de contingencia (virus, catástrofe natural, ataque lógico y fuga de
información)
» Coste de las soluciones.
» Fiabilidad que debe darse. Que es función de la criticidad del proceso.
Se debe elegir una instalación alternativa o, mejor dicho, decidir entre una
instalación propia o de una empresa externa (proveedor de continuidad de negocio).
Esta elección dependerá de la ubicación y el precio. En los siguientes cuadros se
muestran las ventajas y los inconvenientes de un proveedor de continuidad de negocio:

Ventajas
Capacidad de realizar pruebas sin necesidad de interrumpir las operaciones de la
empresa, instalación de una red redundante dedicada a la continuidad del negocio,
equipo de recuperación separado del de producción principal, contratación,
formación y mantenimiento de personal especializado y provisión adecuada de
personal de soporte adicional
Inconvenientes
Falta de control, miedo a la pérdida de confidencialidad, posible falta de
disponibilidad… Cuidado con los términos de los contratos, SLAs, ojo a los tiempos
de espera, cláusulas contractuales, acuerdos de nivel de servicio, descripción del
control que se va a realizar al proveedor, pruebas, con su periodicidad, ámbito,
alcance y tipo de software empleado en el centro de respaldo.
También, dentro de una estrategia de emergencia y recuperación, debe tenerse en

cuenta los métodos de backup de datos, las copias de respaldo son una parte muy
importante del PCN, puesto que proporcionan mecanismos de garantía de la integridad
y de la disponibilidad de la información.
Las copias de respaldo dependen de diferentes factores como frecuencia de copias,

rotación, tipo de soporte, lugar de almacenamiento de soportes, área geográfica,
accesibilidad, seguridad, entorno y coste.
¿Qué tipos de centro de respaldo existen?
Hot site
RTO 1 hora
Contiene Equipos, software de base, programas de

aplicación, infraestructuras del edificio y
mobiliario de oficina
El personal se prepara tan pronto se le notifica la activación del plan
Un tipo especial es el «Mirrored site»: Los datos se procesan y almacenan simultáneamente

en la localización principal y en la alternativa. Para un RTO del orden de pocos minutos.

Warm site
RTO 1 día
Contiene Equipos, software de base, infraestructuras

del edificio y mobiliario de oficina
Localización parcialmente equipada que se mantiene en operación y preparada para alojar

equipamiento.
En muchos casos se usa como centro que aloja otro sistema o función y en caso de activación
del plan de contingencia acoge los sistemas de respaldo.
Cold site
RTO 1 semana
Contiene Instalaciones eléctricas, infraestructuras del

edificio, aire acondicionado y refrigeración
No contiene equipamiento ni oficina y en caso de fallo hay que instalar el equipamiento

necesario
Fase IV. Recuperar y restablecer
Objetivo
Una vez los efectos de la contingencia están controlados y se ha resuelto la

causa, se deben realizar las tareas necesarias para recuperar los servicios de
la organización
Las soluciones particulares son muy específicas de cada organización, por lo que aquí se
expresan ideas generales que luego hay que llevarlas a la práctica, tanto desde el punto
de vista del negocio con planes de recuperación del negocio (BRP), como desde
el punto de vista de los SI con los planes de recuperación de desastres (DRP).
El Plan de Recuperación de Negocio (BRP) proporciona procedimientos para

restablecer las operaciones inmediatamente después de un desastre, esto incluye
procesos de negocio y las TI como soporte de los procedimientos de negocio. De vuelta
a las operaciones normales realiza el volcado de trabajo en local en bases de datos
centrales.

Plan de Recuperación de Desastres (DRP)
» Durante la recuperación:
o No hacer nada hasta que todo esté recuperado

o Usar procedimientos manuales
o Analizar la confidencialidad de los procesos
o Usar PC para capturar datos en modo local + proceso local para migrarlos
» Vuelta a las operaciones normales:
o Sustitución de elementos que están dañados en el CPD principal

o HW. Sustitución de equipos
o SW. Reinstalación de programas, comunicaciones, sustitución de líneas dañadas
y carga de los datos
o Normalmente comienza con una copia completa. Continúa con actualizaciones
incrementales hasta alcanzar los objetivos del RPO
o Parada del servicio del centro de respaldo. Esta parada debe hacerse con el menor
daño posible para el negocio
o Redirección de líneas de comunicaciones al centro principal
o Activación del centro de procesos de datos principal
» Desactivación del centro de respaldo:
o Dependiendo del tipo de instalación, hay que dejar la instalación en su estado

anterior a la activación del PCN
o Desinstalación de los equipos
o Hay que tener especial cuidado en el borrado de los datos

5.5. Mantenimiento del PCN
Objetivo
No basta con poner en marcha el Plan de Continuidad de Negocio, hay que

saber mantenerlo vivo y que responda ante cambios en la infraestructura
informática o nuevos servicios ofrecidos por la organización
Documentación de los planes
Que personal inexperto sea capaz de arrancar y administrar los equipos

adecuadamente, gracias a procedimientos de emergencia, de recuperación, guías de
administración de equipos y guías de administración de software (bases de datos,
servidores web y gestores transaccionales).
Procedimientos para mantener actualizado el PC
Control de cambios en todos los activos que configuran el sistema de información.
» Cambios en los procesos de negocio

» Cambios en los sistemas de información
» Nuevas adquisiciones de aplicaciones, hardware o software de base
Pruebas del PCN
Asegurar compatibilidad continuada de la instalación de contingencia
» Paso 1: Definición de objetivos, ámbito y alcance

» Paso 2: Ejecución de las pruebas
» Paso 3: Análisis y medida de resultados
» Paso 4: Elaboración de puntos de mejora
» Paso 5: Seguimiento de las recomendaciones
Formación del personal y Cuadro de mando
Formación de todo el personal involucrado en el PCN con el objetivo de que abarque

todas las tareas del PCN. Respecto a los cuadros de mando, creación y mantenimiento
de un cuadro de mando del PCN. Como cualquier proyecto, los logros deben poder ser
medidos mediante un cuadro de mando, que es un conjunto de indicadores que
muestran si se han conseguido los objetivos del PCN.
El objetivo es mostrar si los objetivos planteados en el PCN se han alcanzado y

determinar la evolución en el tiempo de dichos objetivo

Lo + recomendado
Lecciones magistrales
SOC
En esta lección magistral vamos a tratar el tema de las SOC (Security Operation Center)
y todo lo que pueden reportar a sus clientes. Los Centros de Operaciones de Seguridad
son aquellas empresas que proporcionan un servicio de seguridad a otras que no
desean contar con un departamento propio que se encargue de esta cuestión, por lo que
prefieren subcontratarlo.
Accede al vídeo desde el aula virtual

No dejes de leer…
Business continuity for dummies
Sterling, S., Duddridge, B., Elliott, A., Conway, M, Payne, A. (2012). Businees
continuity for dummies. West Sussex: John Wiley & Sons, Ltd.
En este libro se explica claramente cómo identificar los riesgos para

una organización, cómo debe crearse un Plan de Continuidad del
Negocio propio y ponerlo en práctica así como, en caso de ocurrir lo
peor, qué debe hacerse.

https://goo.gl/wWBd0e

+ Información
Bibliografía
Watters, J. (2005). Disaster Recovery, Crisis Response & Business Continuity. New
York: Apress. ISBN: 978-1-4302-6406-4.

Test de autoevaluación
1. Indica cuáles de las siguientes afirmaciones son correctas:

A. El análisis de riesgos estudia las amenazas, junto con su probabilidad e
impacto en un sistema de información.
B. El análisis de riesgos se realiza con posterioridad al análisis del PCN.
C. Un activo es cualquier elemento que forma parte de un sistema de
información.

A. El objetivo de la fase II es establecer el equipo de gestión de incidentes, junto
con sus responsables y sus relaciones.
B. En la fase II se entrevista a los responsables del negocio para determinar las
pérdidas en caso de que exista un corte en el sistema de información.
C. No es el objetivo de la fase II preservar la confianza de los clientes y los
proveedores.

A. El objetivo del BIA (Business Impact Analysis) es establecer las pérdidas para
el «negocio» de una organización en caso de que se deje de dar servicio durante
un periodo de tiempo determinado.
B. No es necesario evaluar el incremento de costo por no disponibilidad de los
servicios.
C. Existe un solo indicador principal de la exigencia del PCN, que es el tiempo que
puede soportar la organización sin servicio.
4. Indica cuáles de las siguientes afirmaciones son correctas. La Fase III:

A. No se ocupa de la seguridad de las personas, únicamente de los equipos.
B. El objetivo es limitar los daños de la contingencia.
C. En el plan de contingencia se garantiza que las funciones esenciales de una
organización continúan operativas.

5. Indica cuáles de las siguientes afirmaciones son correctas. En Fase III:

A. El Warm Site es la localización parcialmente equipada que se mantiene en
operación y preparada para alojar equipamiento.
B. El Hot site contiene instalaciones eléctricas, infraestructuras del edificio, aire
acondicionado y refrigeración.
C. El Cold Site contiene equipos, software de base, programas de aplicación,
infraestructuras del edificio y mobiliario de oficina.
6. Indica cuáles de las siguientes afirmaciones son correctas. En fase IV.

A. El objetivo es recuperar los servicios de la organización.
B. Existe un Plan de Recuperación del Negocio.
C. Existe un Plan de Recuperación de Desastres.
7. Indica cuáles de las siguientes afirmaciones son correctas. En la fase IV:

A. El plan de recuperación de desastres proporciona procedimientos para
restablecer las operaciones inmediatamente después de un desastre.
B. En el plan de recuperación de desastres, durante la recuperación, no se hace
nada hasta que esté todo recuperado.
C. El plan de recuperación de desastres, durante la recuperación, se analiza la
confidencialidad de los procesos.
8. Indica cuáles de las siguientes afirmaciones son correctas respecto a la

documentación de planes en el Mantenimiento de un PCN.
A. El objetivo es que el personal inexperto sea capaz de arrancar y administrar los
equipos adecuadamente.
B. Se basan, entre otros, en procedimientos de emergencia.
C. El objetivo es asegurar compatibilidad continuada de la instalación de
contingencia.

9. Indica cuáles de las siguientes afirmaciones son correctas; los pasos en las pruebas
en el mantenimiento de un PCN son:
A. Definición de objetivos, ámbito y alcance. Ejecución de las pruebas- Análisis y
medida de resultados. Elaboración de puntos de mejora y Seguimiento de las
recomendaciones.
B. Definición de objetivos, ámbito y alcance. Ejecución de las pruebas. Análisis y
medida de resultados. Elaboración de dosier de resultados.
C. Las dos anteriores son ciertas.
10. Indica cuáles de las siguientes afirmaciones son correctas:

A. Uno de los objetivos en la formación de personal y cuadro de mando es
mostrar si los objetivos planteados en el PCN se han alcanzado.
B. Uno de los objetivos en la formación de personal y cuadro de mando es
determinar la evolución en el tiempo de dichos objetivo.
C. Uno de los objetivos en la formación de personal y cuadro de mando es
asegurar compatibilidad continuada de la instalación de contingencia.

Protejamos nuestra empresa
[6.2] Redes DMZ
[6.3] Sistemas de detección de intrusos
[6.4] Listas de control de accesos
[6.5] Aprender del atacante: Honeypot
TEMA
Esquema
TEMA 6 – Esquema
Protejamos nuestra empresa
HIDS
contiene
IDS
DMZ
NIDS
2
considerando
ACL
Riesgos y amenazas
De alta integración
aplicando
Honeypot
De baja integración
Políticas de seguridad

Ideas clave
Para estudiar este tema lee atentamente las Ideas clave que encontrarás a
continuación.
El objetivo fundamental de este tema es el de conocer los conceptos fundamentales

relacionados con la protección de una empresa dentro del contexto de la seguridad de
la información, como primera línea a defender dentro de una organización.
Concretamente, tras terminar este estudio del tema, el estudiante debería ser capaz de:
» Conocer los objetivos generales y específicos de una red desmilitarizada, así como
las amenazas a considerar.
» Conocer las partes que integran una red desmilitarizada y sus funciones principales.
» Definir políticas de seguridad en una red DMZ.
» Conocer la función de un sistema de detección de intrusos y saber los tipos que hay.
» Saber diferenciar entre HIDS y NDIS.
» Saber desarrollar listas de control de accesos en función de las necesidades
existentes en nuestra empresa.
» Aprender a integrar un honeypot como método de aprendizaje de las técnicas de
cualquier atacante.
» Diferenciar honeypots de alta y de baja integración
6.2. Redes DMZ
¿Qué es una red DMZ? Una DMZ —o Zona Desmilitarizada— es una red local que se
ubica entre la red interna de una organización y una red externa, generalmente
Internet.
Es una analogía aplicada al diseño de redes informáticas equivalente a un área

neutral entre dos países, en la cual las acciones militares no están permitidas. El
término se originó con la zona geográfica de amortiguamiento que se creó entre Corea
del Norte y Corea del Sur, por mandato de las Naciones Unidas, a comienzos de la

década de 1950.
Objetivo
El objetivo de una red DMZ es añadir una capa extra de seguridad para
proteger la red interna de una empresa u organización. De esta forma, desde
la red externa solo se puede acceder hacia la red DMZ, pero no hay ningún
acceso hacia la red interna.
Fuente: security.stackexchange.com
La DMZ se usa habitualmente para ubicar servidores que es necesario que sean
accedidos desde fuera, como servidores SMTP, HTTP o DNS.
Importante
El cortafuegos (firewall) se diseña para bloquear el acceso no autorizado y, al

mismo tiempo, permite comunicaciones autorizadas. Puede estar
implementado en hardware o software, o una combinación de ambos.
Un host bastión se configura para ofrecer los servicios externos de una empresa
(HTTP, FTP, SMTP, DNS) y, por tanto, se ubica fuera de su red interna. Está expuesto a
ataques y en él, solo se habilitan los servicios estrictamente necesarios; de esta forma se
reducen las vulnerabilidades se seguridad.
Riesgos y amenazas. Es muy importante a la hora de preparar un plan de seguridad

evaluar e identificar los riesgos y amenazas potenciales que tiene la red, los sistemas y
los datos.
Amenazas potenciales que se deben considerar:
» Ataques externos de hackers.

» Ataques con troyanos, gusanos y virus.
» Ataques distribuidos de denegación de servicios (DDoS).
» Usurpación o pérdida de información interna confidencial.
» Intercepción de tráfico de datos y monitoreo no autorizado de la red.
» Ataques internos por parte de empleados. Fallo de equipos.
El uso de uno u otro protocolo, dentro de la red, dependerá de las necesidades

específicas. Antes de tomar la decisión de qué protocolos utilizar, se debe buscar
información relativa a las vulnerabilidades conocidas para cada uno de ellos, a fin de
saber cuáles son los ataques más comunes hechos a los mismos.
Protocolo Debilidad básica
FTP Texto claro para usuario y contraseña.
Telnet Desbordamiento de búfer de memoria y spoofing
HTTP Problemas de configuración de servidores web

pueden provocar ganar privilegios
LDAP Desbordamiento de búfer de memoria y ataques

DoS
SNMP DoS, atasques de desbordamiento de búfer de

memoria, y ataques de fuerza bruta.
SSH Vulnerable a ataques DoS.
DNS DNS poisoning. DoS, y ataques DNS flooding.
SMTP Ataques de Open Relay y ataques de spam
Es evidente el uso de direccionamiento privado y público para las redes

internas y redes DMZ. Es necesario el uso de routers NAT (Network Address
Translation) para que realicen una interconexión entre ellas, por medio de
traducciones de direcciones de red.

Ejemplo más avanzado de una DMZ.
Por lo general, la política de seguridad para la DMZ es la siguiente:
» El tráfico de la red externa a la DMZ está autorizado

» El tráfico de la red externa a la red interna está prohibido
» El tráfico de la red interna a la DMZ está autorizado
» El tráfico de la red interna a la red externa está autorizado
» El tráfico de la DMZ a la red interna está prohibido
» El tráfico de la DMZ a la red externa está denegado
Esto permite que los equipos de la DMZ puedan dar servicios a la red externa
mientras protegen la red interna en el caso de que intrusos comprometan la
seguridad de los equipos situados en la zona desmilitarizada.
Para cualquiera de la red externa que quiera conectarse ilegalmente a la red interna, la
zona desmilitarizada se convierte en un callejón sin salida.

6.3. Sistema de detección de intrusos
IDS son las siglas del término en inglés Intrusion Detection System. Es un sistema
basado en software que monitorea el tráfico de los paquetes en una red informática, en
busca de actividades maliciosas. Este sistema es pasivo, ya que solo realiza la actividad
de monitoreo, y luego genera reportes sobre tales actividades. Sus características
principales son:
» Herramienta de seguridad.
» Monitoriza los eventos ocurridos en un determinado sistema.
» Busca violaciones de la política de seguridad establecida.
» Detecta accesos no autorizados a un equipo o a una red.
» Descubre intentos de comprometer el sistema que protege.
» Buscan patrones que impliquen cualquier tipo de actividad sospechosa.
¿IDS software o hardware? Es posible optar por una solución hardware, software
o incluso una combinación de ambas. La posibilidad de introducir un elemento
hardware se debe a la necesidad de disponer de un procesador en redes con mucho
tráfico. A su vez, los registros de firmas y las bases de datos que albergan los posibles
ataques requieren gran cantidad de memoria, otro aspecto a tener en cuenta.
Importante
En función del componente que defiende, el IDS puede ser HIDS o NDIS.

Los HIDS (Host IDS) protegen únicamente al Servidor, PC o host en el que están
instalados. Monitorizan gran cantidad de eventos y analizan actividades con una gran
precisión, determinando de esta manera qué procesos y usuarios se involucran en una
determinada acción. Recaban información del sistema (ficheros, logs, recursos, etc)
para su posterior análisis, en busca de posibles incidencias (todo ello en modo local,
dentro del propio equipo). Fueron los primeros IDS desarrollados por la industria de la
seguridad informática.
Fuente: windowsecurity.com
Los NIDS (Network IDS) protegen una red o parte de ella (instalados en un equipo
dedicado o elemento de construcción de red). Capturan y analizan los paquetes que
pasan por su interior en tiempo real, buscando patrones que supongan algún tipo de
ataque. Monitorizan grandes redes con un impacto pequeño en el tráfico, trabajan tanto
a nivel TCP/IP como a nivel de aplicación y detectan ataques en el momento de
producirse. Basados tanto en Análisis por patrones o firmas (BD con ataques comunes)
como en Análisis heurístico (el comportamiento no habitual delata posibles anomalías).
Fuente: windowsecurity.com

Análisis HIDS NIDS Comentarios

comparativo
Protección de LAN 5 5 Los dos sistemas protegen LAN
Protección fuera de 5 - Solo HIDS porque está instalado
LAN dentro del Host
Facilidad de 5 5 Igual ambos tienen de
administración administración central
Precio 2 5 HIDS son sistemas más asequibles
Facilidad de 5 5 Ambos forman un control central
implementación
Nivel de 2 5 HIDS requiere menos experiencia en
capacitación redes
Consumo de ancho 0 5 NIDS consume ancho de banda LAN
de banda LAN
Sobrecarga de red 1 5 NIDS consume más de ancho de
banda
Internet 5 5 Ambos necesitan Internet para
actualizarse
Conmutación de 0 5 NIDS necesita puertos para explorar
Puertos LAN
Exploración de 5 0 Solo los HIDS pueden hacer este tipo
registro local de análisis
Rechazo de 0 5 Solo los NIDS tienen esta función
paquetes
Alertas 5 5 Ambos sistemas tienen función de
alertar al administrador
También existen los denominados sistemas híbridos, capaces de combinar HIDS y

NIDS, juntando varias técnicas de detección y las herramientas correspondientes en un
solo paquete.

Según las clases de respuestas que ofrecen se pueden catalogar los IDS:
» Pasivos: son aquellos sistemas de detección de intrusos que únicamente notifican

los problemas registrados a la autoridad competente o al administrador de la red
mediante el mecanismo pertinente (alerta, etc.). No aplican ninguna acción sobre el
ataque o atacante.
» Activos: generan algún tipo de respuesta sobre el sistema atacante o fuente de
ataque (por ejemplo, cierran la conexión al detectar intrusión o envían algún tipo de
mensaje predefinido en la configuración).
Las principales dificultades que presenta un IDS se presentan cuando es necesario

integrar esta clase de sistemas en redes conmutadas, ya que no hay ningún segmento
por el que pase todo el tráfico. Si la red posee una velocidad muy elevada es
prácticamente imposible procesar todos los paquetes. En ambos casos existen grandes
riesgos, puesto que al producirse un análisis incompleto hay una vulnerabilidad que
puede ser aprovechada por los atacantes.
Ejemplos de IDS software:
» Ossec: http://www.ossec.net
» Tripwire: http://www.lids.org
» Samhain Labs: http://la-samhna.de/samhain/
» Lids: http://www.tripwire.org
Ejemplos de NIDS software:
» Bro: http://www.bro.org/
» Suricata: http://suricata-ids.org/
» Snort: http://www.snort.org/

6.4. Listas de control de accesos
ACL (Access Control List). Se trata de reglas en forma de sentencias que detallan
puertos de servicio o nombres de domino (de redes) que están disponibles en un
terminal u otro dispositivo de capa de red, cada uno de ellos con una lista de terminales
y/o redes que tienen permiso para usar el servicio.
ACL minimiza los problemas y las pérdidas de protección que pueden ocurrir
debido a una mala configuración de Listas de Control de Acceso (ACL). Por ejemplo,
especifica qué usuario o proceso del sistema tiene acceso a un objeto u objetos, así
como que tipo de permisos tienen sobre ese objeto.
Una Lista de Control de Acceso está conformada por una serie de entradas llamadas
Entradas de Control de Acceso, ACE (Access Control Entry). Cada ACE especifica
una regla de acceso o denegación, de forma simple. Al combinar varias ACE dentro de
una ACL se crea una ACL más compleja, que se adapte a requerimientos específicos y
particulares.
Cuando el sistema sobre el cual se implementa la ACL hace uso de esta, va leyendo cada
ACE que conforma dicha ACL, de arriba hacia abajo, hasta encontrar una
concordancia. Si no se encuentra ninguna regla no se hace nada. Por esta razón se debe
ser cuidadoso a la hora de crear las entradas en las ACL, y al final siempre hay que
especificar una regla que deniegue permiso a todo lo demás.

Ejemplo y explicación de una ACL estándar (básica)
En primer lugar se realiza la configuración, introduciendo las reglas para la ACL

estándar
» Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

» Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255
A continuación se visualizan las reglas, en la forma en que el equipo las enumera dentro
de la ACL.
» Standard IP access list 1
o permit 192.168.1.0 0.0.0.255

o deny 192.168.2.0 0.0.0.255
Estas reglas que se han establecido dentro de esta ACL indican, primeramente, que se
permita el acceso a los paquetes que provengan de la red de origen 192.168.1.0 y se
indica una máscara, la cual establece que para esa red están permitidas 255 host
diferentes. Es decir, que los paquetes que cumplirán esa regla son los que provengan
del rango de direcciones desde la 192.168.1.0 hasta la 192.168.1.255.
En segundo lugar se establece que se denegara el acceso a paquetes que provengan

de la red 192.168.2.0, con una máscara de 255 host también. Esto equivale a un rango
de direcciones que abarca desde la 192.168.2.0 hasta la 192.168.2.255.
En las reglas de las ACL se utiliza la máscara de red invertida a como se utiliza para
describir las direcciones IP de las redes normalmente. A esta máscara invertida se le
llama «Wildcard».

Ejemplo y explicación de una ACL extendida.
En esta parte se hace la configuración, introduciendo las reglas para la ACL extendida
número 100.
» Router(config)#access-list 100 permit tcp 200.100.50.0 0.0.0.255 192.168.1.30

0.0.0.0 eq 80
» Router(config)#access-list 100 deny ip any any
En esta otra parte se visualizan las reglas, de la forma en que el equipo las enumera
dentro de la ACL.
» Extended IP access list 100:
o permit tcp 200.100.50.0 0.0.0.255 host 192.168.1.30 eq www

o deny ip any any
En este caso, se puede apreciar que la primera regla ACL extendida tiene más partes en
su constitución. En esta primera regla se indica que se concede el permiso a los
paquetes cuyo protocolo sea TCP, cuya dirección de red de origen sea 200.100.50.0 con
rango de hosts desde 0 hasta 255, y que vayan dirigidos hacia el equipo con dirección
192.168.1.30, a través del puerto de aplicación WWW que es el puerto 80.
En la segunda regla se indica que todos los paquetes cuyo protocolo sea cualquiera de
los protocolos que pertenecen al conjunto de IP, sean denegados, no importa cuál sea
su origen ni cuál su destino. Con esta segunda regla lo que se logra es que a todos
aquellos paquetes que no cumplan con la primera regla establecida, se les aplique esta
segunda regla, y por tanto sean eliminados.
Esta es la forma recomendada en términos de seguridad, solo permiten lo estrictamente
necesario y luego establecer una denegación para todo lo demás.
Hay que tener mucho cuidado a la hora de crear y establecer estas reglas, ya que si no
están bien hechas para cubrir todos los posibles casos, se dejaría un agujero de
seguridad, que si es descubierto por alguna persona malintencionada podría
aprovecharlo para hacer pasar paquetes hacia equipos de la red interna.

6.5. Aprender del atacante: Honeypot
Un honeypot (tarro de miel) es un sistema que funciona como una especie de trampa
para detectar y desviar ataques a la propia red, es decir, un cebo.
Consiste en un ordenador el cual contiene un programa que aparenta ser parte de una
red, conteniendo información y recursos importantes; pero por el contrario, está
aislado y siendo monitoreado.
El objetivo principal de la implementación de honeypots es para distraer la atención

de atacantes, para que crean que se ha conseguido el acceso a un equipo importante de
la red, y así pierdan interés en atacar a otros equipos. Además, se busca recopilar
información sobre los métodos y ataques utilizados.
Puede ser un software, pero también es viable que sea un conjunto de sistemas que
aparentemente son vulnerables. En cualquier caso, la función en ambos casos es la
misma, atraer a personas que han accedido de forma ilícita para registrar sus acciones.

Se pueden distinguir dos tipos de honeypots, de baja y de alta interacción:
» Los honeypots de alta interacción tienen como principal característica que se

basan, para la atracción de atacantes y el registro de la información, en sistemas
reales. Estos sistemas reales y operativos pueden ser implementados a partir de una
o varias máquinas. El uso más común consiste en colocar en la red de producción
uno o varios equipos «corrientes», pero que resulten interesantes para un atacante
(por el nombre de la máquina, sus servicios, etc.) y esperar a que ocurra cualquier
acceso o intento. Se debe utilizar una máquina alojada en un entorno seguro de la
red para monitorizar
Un error en el diseño del sistema podría provocar que el atacante pudiera acceder a
la información o a los servicios protegidos, poniendo en peligro toda la red. La
principal ventaja de este tipo de honeypots es que, al tratarse de sistemas reales, no
solo permiten identificar técnicas de ataque y vulnerabilidades existentes, sino que
también permiten identificar fallos y estudiar ataques desconocidos hasta el
momento (conocidos como zero days), alertando con antelación y permitiendo
anticiparse a la situación.
» Honeypots de baja interacción: Al contrario que los honeypots de alta

interacción, este tipo se caracteriza por ser sistemas o servicios emulados, quedando
el sistema real «por detrás». Al ser pequeños sistemas o emulaciones responden solo
a ciertas instrucciones, pueden no ofrecer una respuesta a la totalidad de acciones
del potencial atacante. Este tipo de honeypots está destinado, principalmente, a
«atrapar» herramientas automatizadas y no a atacantes reales. Este tipo de
honeypots son utilizados, entre otras cosas, para detectar patrones de ataque y
generar estadísticas acerca de atacantes y vulnerabilidades explotadas.
También puede haber, según su ubicación, dos tipos de honeypots, los aislados del
entorno de producción y los integrados en el mismo.
» Honeypots aislados: se implementan en un entorno aislado y separado del de

producción. Su ventaja es que no están comprometidos los sistemas de producción.
» Honeypots integrados en el entorno de producción: se despliegan dentro del
entorno de producción. Su ventaja es la distracción del atacante de los sistemas de
producción, ya que una vez que se ha accedido al entorno, la lógica indica que
intentará atacar los sistemas más vulnerables.

Top 10 de contraseñas usadas por los atacantes para acceder al servidor SSH Kippo Graph

Lo + recomendado
Lecciones magistrales
Redes DMZ
En esta lección magistral hablaremos sobre las redes desmilitarizadas, su importancia

del diseño, la necesidad de crear, dentro de una gran empresa, una mayor y efectiva
separación entre los servicios al exterior y la información confidencial. También
detallaremos la importancia de tener en cuenta las vulnerabilidades de los protocolos y
de contar con una correcta ubicación de los equipos y servidores.
Accede al vídeo desde el aula virtual
TEMA 6 – Lo +recomendado 17 © Universidad Internacional de La Rioja (UNIR)

No dejes de leer…
Building DMZs for Enterprise Networks
Schmied, W., Imperatore, D., Schinder, T.W., Shimonski, R.J., Chang, V., Simonis, D. .
(2003). Building DMZs for Enterprise Networks. Conceptos fundamentales de Ciencia
Política. Sygress.
Este libro trata todo aquello que un administrador necesita para

planear e integrar una red DMZ ya sea en una pequeña, mediana o
gran red empresarial. En la mayoría de las empresas existe la idea de
que un firewall es suficiente para cubrir un perímetro mayor pero
normalmente, la seguridad de las redes de trabajo internas y los hosts
suele ser muy frágil.

https://goo.gl/aITG4o
Honeypots for Windows
Grimes, R.A. (2005). Honeypots for Windows (Books for Professionals by

Professionals). Nueva York: Apress.
Este libro provee información muy útil tanto si el lector tiene

experiencia previa con Honeypot como si nunca ha oído hablar de
él, por lo que resulta muy atractivo para los interesados en temas de
redes de trabajo y sistemas de seguridad, tanto para los
principiantes como para los más avanzados en estos aspectos.

https://goo.gl/husn23

No dejes de ver…
Kippo-SSH Honeypot and Kippo-Graphs
Año: 2013.
Duración: 17:26.
Sinopsis: En este vídeo podrás descubrir con detalle cómo se crea un honeypot con la
herramienta Kippo Graphs.
Accede al vídeo a través del aula virtual o desde la siguiente dirección web:
https://www.youtube.com/watch?v=OyBiIjrVXgk

+ Información
A fondo
Configuring IP Access Control Lists
En esta página se ofrece información más detallada, con ejemplos e indicaciones de

diversos comandos y cómo filtrar contenidos a la hora de configurar listas de control de
accesos IP.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.cisco.com/en/US/docs/storage/san_switches/mds9000/sw/rel_2_x/san-
os/configuration/guide/ipacl.html
Configuring NAT (Network Address Translation)
En esta sección se describe qué es NAT, cómo trabaja en los aparatos de seguridad, sus
beneficios y sus diferentes tipos.
Accede al artículo desde el aula virtual o a través de la siguiente dirección web:

http://www.cisco.com/c/en/us/td/docs/security/asa/asa80/configuration/guide/conf
_gd/cfgnat.html
Aquí tienes un listado de diversas páginas y blogs donde ahondar en esta temática y a
los que podrás acceder a través de sus respectivas páginas web:
» Blackploit: http://www.blackploit.com
» BruteForce: http://bruteforce.gr
» Carnivore: http://r-s-g.org/carnivore/
» CVE Details: http://www.cvedetails.com
» Edgis Security: http://edgis-security.org

» EthicalHack3r: http://www.ethicalhack3r.co.uk
» Explot-db: http://www.exploit-db.com
» GitHub: https://github.com
» HolisticInfoSec: http://holisticinfosec.blogspot.com.es
» Metasploit: http://www.metasploit.com
» OpenVAS: http://www.openvas.org
» SecurityArtWork: http://www.securityartwork.es
» SourceForge: http://sourceforge.net

Test de autoevaluación

A. El protocolo Telnet es vulnerable por las amenazas de desbordamiento de
búfer de memoria y spoofing.
B. El protocolo LDAP es vulnerable por las amenazas de desbordamiento de búfer
de memoria y ataques DoS.
C. El protocolo DNS es vulnerable por las amenazas de DNS poisoning, DoS y
ataques DNS flooding.

A. El tráfico de la red externa a la red interna está prohibido.
B. El tráfico de la red interna a la red externa está autorizado.
C. El tráfico de la red externa a la DMZ está prohibido.
D. El tráfico de la DMZ a la red externa está autorizado.
3. Indica cuáles de las siguientes afirmaciones son correctas sobre el sistema HIDS.
A. Analizan actividades con una gran precisión.
B. Capturan y analizan los paquetes que pasan por su interior en tiempo real,
buscando patrones que supongan algún tipo de ataque.
C. Protegen únicamente al servidor, PC o host en el que están instalados.
4. Indica cuáles de las siguientes afirmaciones son correctas sobre la catalogación del
IDS.
A. Pasivos: generan algún tipo de respuesta sobre el sistema atacante.
B. Activos: únicamente notifican los problemas registrados a la autoridad
competente o administrador de la red.
C. Activos: pueden cerrar la conexión al detectar la intrusión o enviar algún tipo
de mensaje predefinido.
D. Todas las anteriores.

22

A. La ACL (Access Control List) son reglas en forma de sentencias que detallan
puertos de servicio o nombres de dominio que están disponibles en un terminal u
otro dispositivo de capa de red.
B. El ACL maximiza los problemas y las pérdidas de protección que pueden
ocurrir debido a una mala configuración.
C. Cuando el sistema hace uso de la ACL, va escribiendo cada ACE (Access
Control Entry) que conforma dicha ACL de arriba hacia abajo hasta encontrar
concordancia.

A. Los honeypots de alta integración se basan, para la atracción de atacantes y el
registro de la información, en sistemas reales.
B. Los honeypots de baja integración se basan, para la atracción de atacantes y el
registro de la información, en sistemas reales.
C. Los honeypots de baja integración se basan en ser sistemas o servicios
emulados, quedando el sistema real «por detrás».

A. Honeypots aislados: su principal ventaja es que los sistemas de producción no
se verán comprometidos bajo ningún concepto.
B. Honeypots integrados: su principal ventaja es la distracción del atacante de los
sistemas de producción.
C. Honeypots integrados: su principal desventaja es que cualquier error de diseño
puede desembocar en el compromiso de los sistemas de producción.
8. Indica cuáles de las siguientes afirmaciones son correctas. La DMZ se usa

habitualmente con:
A. SMTP.
B. PC de usuario de la red interna.
C. DNS.
9. Indica cuáles de las siguientes afirmaciones son correctas. Las características

23
principales de un IDS (Intrusion Detection System) son:

A. Monitorizar los eventos ocurridos en un determinado sistema.
B. Detectar accesos a la DMZ.
C. Descubrir intentos de comprometer el sistema que protege.

A. El honeypot solo se implementa por software.
B. El objetivo principal de los honeypot es rechazar ataques.
C. El honeypot es un sistema que funciona como una especie de trampa para
detectar y desviar ataques a la propia red, es decir, un cebo.

24
GLOSARIO
Gestión de incidentes
Proceso para que el incidente pueda ser contenido y alcanzar la recuperación. Coordina
el conjunto de respuesta a incidentes.
Incidente o contingencia
Evento que causa un daño a la organización.
Organización
Empresa privada o administración pública que tiene un objetivo y que usa los
sistemas de información para conseguirlo.
PCN
La acción de prever los incidentes que afecten a funciones o procesos críticos para la
organización y que asegura que la respuesta a todos ellos se ejecuta de una manera
organizada y consecuente. Según el Business Continuity Institute.
Respuesta a incidentes
Plan de acciones a realizar en respuesta y para recuperarse de incidentes.
Sistemas de información
Conjunto de equipos hardware, software y programas de aplicación, junto con las
personas que los administran y manejan.

Gestion de La Seguridad2

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Gestion de La Seguridad2

Încărcat de

Drepturi de autor:

Formate disponibile

La seguridad de la información en las

[1.3] La seguridad de la información implica la confidencialidad,

[1.4] La seguridad es un asunto económico

[1.5] La seguridad es un proceso

[1.6] La clasificación de la información

[1.7] La seguridad en la información implica la

[1.8] La seguridad se articula con controles de

[1.9] La seguridad es tanto física como lógica

[1.10] La seguridad implica a las personas

© Universidad Internacional de La Rioja (UNIR)

1.1. ¿Cómo estudiar este tema?

El objetivo fundamental de esta unidad es el de comprender la seguridad de la

Concretamente se espera que al finalizar el tema seas capaz de:

» Dar ejemplos y describir amenazas y situaciones en las que no se garantiza la

TEMA 1 – Ideas clave 2 © Universidad Internacional de La Rioja (UNIR)

Este primer tema introduce el concepto de la seguridad en la información como

Finalmente, la pregunta fundamental en la gestión es si el coste de la «no-seguridad» es

El tema debe comenzarse comprendiendo y sabiendo enunciar:

Qué se protege La confidencialidad, integridad y disponibilidad.

De qué activos De los clasificados como valiosos.

Mediante controles implementados en políticas, estándares y

Además de lo anterior, es importante conocer la protección de las amenazas

TEMA 1 – Ideas clave 3 © Universidad Internacional de La Rioja (UNIR)

1.3. La seguridad de la información implica la confidencialidad,

Hablar de seguridad de información es mucho más que tratar sobre cómo

Los términos «seguridad de la información» y «seguridad informática» se utilizan con

La información se almacena en diferentes soportes, que pueden ser electrónicos,

Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía,

TEMA 1 – Ideas clave 4 © Universidad Internacional de La Rioja (UNIR)

Hay tres perspectivas fundamentales en la seguridad de la información:

Legal Técnica Organizativa

El punto de vista legal concierne a las regulaciones internacionales, nacionales y

La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de

Finalmente, la visión organizativa considera esencialmente la seguridad como un

La seguridad de la información en una organización básicamente implica la protección

TEMA 1 – Ideas clave 5 © Universidad Internacional de La Rioja (UNIR)

que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de

Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad

Por otro lado, es importante resaltar que la seguridad es un proceso continuo de

En este sentido, se puede decir que no existe un sistema de información

TEMA 1 – Ideas clave 6 © Universidad Internacional de La Rioja (UNIR)

Un sistema de información es un conjunto de componentes interrelacionados que

Los componentes incluyen software y hardware, pero también procedimientos,

Sistema social Sistema técnico

Socios Estructura Tecnología

Pearson. Laudon, K. C. y Laudon. J. P. (2004). Sistemas de información gerencial (10ª

La seguridad de la información se suele conceptualizar en torno a tres atributos

Figura 1. Los tres principios generales de la seguridad de la información

TEMA 1 – Ideas clave 7 © Universidad Internacional de La Rioja (UNIR)

La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto

En una empresa, la lista de los mejores proveedores en un área no es información

Pensemos como otro ejemplo en el código fuente de una aplicación informática

Las amenazas a la confidencialidad son múltiples y diversas, y los medios para

TEMA 1 – Ideas clave 8 © Universidad Internacional de La Rioja (UNIR)

Un ejemplo de técnica para obtener información confidencial es el conocido pishing.

Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un

TEMA 1 – Ideas clave 9 © Universidad Internacional de La Rioja (UNIR)

La integridad de la información se gestiona de acuerdo a tres principios básicos:

» Dar acceso de acuerdo al criterio del menor privilegio (criterio need-to-know).

El análisis de código estático es un conjunto de técnicas que analiza el código de las

TEMA 1 – Ideas clave 10 © Universidad Internacional de La Rioja (UNIR)

En el contexto de la seguridad de la información, habitualmente se habla de la

» Ataques de denegación de servicio (denial of service, DoS).

Estos ataques frecuentemente se realizan mediante la infección previa de otros