Seguridad y

manejo de la
información

Ciberdelitos

1
 Seguridad y manejo de la
información
En la presente unidad, el alumno estudiará los conceptos generales de la
Se sugiere como
material de consulta el seguridad de la información y su diferencia con la seguridad informática.
siguiente link: Asimismo, conocerá las distintas formas de clasificar la información como
https://goo.gl/oED8AQ así también los privilegios con que cuenta cada una de ellas. Aprender el
(Enisa, 2009). manejo de la información será clave, ya que conoceremos quiénes son las
personas que pueden disponer de esta y también los tres pilares o estadios
de la información.

Seguridad y manejo de la información

Al hablar de seguridad de la información, es importante tener en cuenta la
norma internacional ISO 27001, que tiende a:

“... el aseguramiento, la confidencialidad e integridad de los datos y de la

información, así como de los sistemas que la procesan” (International
Organization for Standarization, 2016, https://goo.gl/Cqzomn).

Por otro lado, otros académicos lo definen como el conjunto de medidas

técnicas y legales tendientes a la prevención para el resguardo y protección
de la información, cumpliendo con los principios de confidencialidad,
integridad y disponibilidad (ver Figura 1).

Figura 1: Seguridad de la información: confidencialidad, integridad y

disponibilidad

Fuente: Mifsud, 2012, https://goo.gl/mRJ1H4

2
En otro costado, es importante destacar que no se debe confundir el
concepto de seguridad de la información con el de seguridad informática,
ya que este último se encarga de la seguridad solamente del medio
informático o infraestructura de tecnología (ver Figura 2).

Figura 2: Seguridad de la información frente a Seguridad Informática

Fuente: RCaire, 2013, https://goo.gl/PyXAkv

En la figura que precede, se puede ver un cuadro con las diferencias

generales entre Seguridad de la Información y Seguridad Informática.

Alcances
Dentro de los alcances de la seguridad de la información, debemos tener
presente que, en toda organización, el bien más preciado es la información.
Para ello, es importante identificar cada uno de los activos (correos de
mails, página web, bases de datos, contratos, etc.) que existen en la
empresa y de qué manera fijar políticas de protección. Existe, para ello,
una clasificación de cierta información, que puede ser:

 Crítica: es aquella información imprescindible que no puede faltar en

la actividad de toda empresa (p. ej.: la base de datos de empleados de
la empresa).
 Valiosa: es aquella información que se considera un activo preciado
(base de información contable que lleva la empresa).

3
  Sensible: es aquella que solo debe ser conocida por personal facultado
de acuerdo a niveles de acceso (base de información de proyectos y
códigos fuente de software propios de la empresa).

Una vez que hemos identificado cada uno, debemos conocer de qué fuente
interna provienen, es decir, de qué área y en qué soporte se encuentran
alojados, ya sea en documentos, CD, DVD, discos duros extraíbles,
servidores, pero también debemos tener en cuenta su durabilidad en el
tiempo.

A su vez, dentro de la seguridad de la información, encontramos riesgos, es

decir, las propias debilidades que presentan las empresas a través de sus
sistemas, que quedan expuestos a terceros debido a la falta de políticas de
gestión internas y ponen en peligro la información de la empresa y datos
de los clientes. Claramente, esto genera un impacto negativo en la imagen
de la organización y ocasiona grandes pérdidas económicas.

Con base en ello, podemos clasificar los riesgos en 3 categorías:

1) Errores involuntarios de personas o máquinas.

2) Desastres naturales en general.
3) Ataques voluntarios con un fin determinado.

Dentro de la categoría 1, se puede encontrar la mayoría de los problemas

de las empresas, ello se reduce con la debida formación de los empleados;
Los desastres naturales, si bien no se sabe cuándo pueden suceder, pero si
se debe contar con un plan de contingencia ante una eventual
circunstancia involuntaria (categoría 2) y por último contamos el caso de
ataques voluntarios con un fin determinado de producir un daño u obtener
un rédito y afecte de una manera considerable a la organización (categoría
3). (Flores Barahona, 2000).

Frente a este panorama, la seguridad se presentaría como la solución

frente a estos riesgos, siempre y cuando cumpla con ciertas normas y
protocolos que permitan la gestión propia de los riesgos que puedan
presentarse. No obstante, es importante resaltar que los riesgos no se
presentan solamente desde el exterior, sino también de manera interna.
Ahora bien, una de las herramientas para contrarrestar los riesgos sería el
uso del sistema de gestión de seguridad de la información (SGSI), el cual
permite detectar, administrar y disminuir los posibles riesgos que intentan
atacar los sistemas de una empresa u organización. Esto se podrá realizar,
en primer lugar, analizando los activos y los riesgos de la organización, para
luego considerar las medidas de protección, a fin de definir los
procedimientos que debemos aplicar para evitar fuga de la información y
adoptar una política de seguridad con el objeto de lograr con eficacia los
resultados esperados a través de las medidas adoptadas.

4
Uno de los puntos más críticos relacionados a los ciberdelitos es que en la
mayoría de los casos no se conoce, dentro de las propias empresas, la
diferenciación de la información ni tampoco se invierte en un sistema de
gestión y control interno, lo cual lleva a numerosas empresas u
organizaciones a sufrir ataques, ya que son un blanco fácil para obtener
información por parte de los cibercriminales. Esto se ve claramente
reflejado no solo cuando no se cuenta con una protección de la
información en diferentes niveles de seguridad internos (firewalls), sino
cuando tampoco se realizan auditorías o controles para conocer los niveles
de seguridad con que cuenta la organización. Un claro ejemplo lo vemos
cuando empresas son víctimas de ransomware y no pueden disponer de su
información o el caso de exempleados que extorsionan o amenazan a los
gerentes con información clasificada.

Manejo de la información
Como hemos venido hablando de la seguridad de la información, es
importante hacer mención del manejo de esta. Para ello, comencemos
hablando de ciertos estudios, de los cuales se destaca el de la empresa
Eset, el cual refleja que: un 38,85 % de los ataques proviene de
exempleados de la compañía; el 34,53 %, de actuales empleados; un 28,22
%, de agentes externos (cibercriminales), y un 27,90 %, de competidores,
entre otros (ver Figura 3).

Figura 3: Origen de incidentes de seguridad en Latinoamérica

Fuente: Pagnotta, 2014, https://goo.gl/nX2PoE

Cuando vemos estos números, nos encontramos con altos índices de

empleados internos y exempleados, ya que son los principales
responsables de los ataques a la información de la empresa. Si nos
retrotraemos a cómo se expone la información, puede ser:

5
  Documentos escritos (contratos, licitaciones, estados contables,
etc.).
 Documentos almacenados electrónicamente (proyectos, base de
clientes, etc.).
 Información presentada en imágenes (nuevos modelos de negocio,
presentaciones, etc.).
 Información plasmada en una conversación.

Con estos detalles, podemos ver que las organizaciones deben clasificar la
información, como ya hemos dicho anteriormente, de tal manera que los
empleados, dependiendo del área, tengan ciertos privilegios para acceder a
ella. Estos son claros ejemplos de hechos de ciberdelitos que se ven a
diario, en especial cuando las compañías que compiten tratan de manipular
a determinados empleados con ciertas cantidades de dinero a fin de
obtener información clasificada o sensible de la empresa.

Por otra parte, se presenta lo que hace a la imagen de la organización, ya

que, cuando hablamos de que la información es uno de los activos de la
empresa, debemos tener en cuenta que cuanta mayor seguridad
brindemos, mayor confianza se logra en nuestros clientes y, a la vez, estos
recomiendan el servicio que se brinda por ser confiable, lo cual acrecienta
la organización y sus ganancias.

Como vemos, es una cadena que se encuentra entrelazada, pero qué

pasaría si existe un caso de fuga de información por parte de uno de los
empleados de la organización a partir de la cual se vea afectada la mayoría
de las cuentas de homebanking de clientes, incluidos sus depósitos. No es
de esperarse, independientemente de los reclamos judiciales, que al otro
día se vayan a la competencia. Esa situación puntual le costaría millones de
dólares a ese banco en particular por no haber tomado los recaudos de
control de su información interna. Pero, más allá del robo de depósitos y
cuentas de los clientes, lo peor es el costo de la imagen y todo lo que hace
en los siguientes rubros, es decir: pagar personal IT para que solucione las
vulnerabilidades, el costo de los abogados por representar los intereses de
la entidad frente a reclamos judiciales, el costo de facturación que se va a
perder hasta tanto no se haya solucionado esa situación. En definitiva, el
desastre sería enorme, y las pérdidas, inimaginables.

Como vemos, desde la óptica de los ciberdelitos, es muy común ver estos
casos de fuga de información en empresas, pero en la práctica no se
denuncian estos hechos para no perder imagen. Un ejemplo de control
sobre esto es que en España ahora comenzarán a controlar a las empresas,
a fin de que estas denuncien ciberdelitos que hayan sufrido. De este modo
se pretende que eviten la lista negra y el hecho de que nunca puede

6
lograrse cuantificar el número de víctimas ni el monto económico sufrido
por ellas.

Estadios de la información
En la primera parte, hemos venido hablando de tres pilares que deben
respetarse sí o sí en una organización cuando hablamos de la seguridad de
la información. Son los siguientes:

 (C)onfidencialidad: implica el acceso a la información por parte de las

personas autorizadas para su ingreso. Ello significa que dependerá de
los privilegios con que cuente el empleado para poder acceder a cierta
información o no. Un ejemplo de ello es la identificación, ya sea con
nombre de usuario y autentificación o con el uso de contraseñas, así
como los permisos con que cuenta el usuario para acceder a un sistema.
Ahora bien, con relación a los ataques sufridos, generalmente suceden
debido a la ingeniería social (a través de técnicas de phishing), usuarios
descuidados, suplantación de identidad, actividad de usuarios no
autorizados, haber descargado archivos que se encuentren protegidos,
etcétera. Una de las recomendaciones es usar cifrados en las
comunicaciones a fin de evitar fuga de información, capacitación
constante del personal y control de acceso a la información.
 (I)ntegridad: es el proceso tendiente asegurar que la información se
mantenga sin ningún tipo de modificación y que, en caso de que la
sufra, sea realizada por personal autorizado para ello. Aquí se pueden
ver los casos mencionados anteriormente, pero principalmente las
puertas traseras o backdoors, que es donde se encuentra la
vulnerabilidad. También se puede dar por errores de software. Una de
las sugerencias es no permitir el acceso de todos a toda la información
y, en cambio, dar permisos a los empleados con base en la información
que vayan a utilizar en su jornada laboral, es decir, limitar el acceso,
usar herramientas criptográficas y sistemas hash a fin de corroborar que
la información no haya sufrido ninguna alteración.
 (D)isponibilidad: conlleva que las personas autorizadas en el manejo de
la información puedan tener acceso a esta en el momento que lo
necesiten. Aquí los casos que generalmente se ven son situaciones
extremas generadas por la naturaleza, por un ataque de denegación del
servicio o por hechos generados por el hombre tanto voluntaria como
involuntariamente. En este caso particular, lo que sugiere es tener un
plan de contingencia frente a estas circunstancias, mediante el cual se
apliquen protocolos determinados para tal situación y así se logre evitar
la pérdida de productividad.

En resumen:

7
Figura 4: conclusión

Fuente: elaboración propia.

8
Bibliografía de referencias
Barahona, J. F. (2000). Diseño de un software criptográfico de seguridad
para las comunicaciones navales. Ecuador. Recuperado de:
https://www.dspace.espol.edu.ec/bitstream/123456789/3300/1/5819.pdf

Enisa. (2009). Beneficios y riesgos en la Seguridad de la Información.

Recuperado de: https://goo.gl/oED8AQ

International Organization for Standardization. (2016). ISO/IEC 27000

family - Information security management systems. Recuperado de
https://www.iso.org/isoiec-27001-information-security.html

Iso, N. (2013). Iso Tools. Recuperado de: https://goo.gl/QxtvQ3

Mifsud, E. (2012). [Imagen sin título sobre seguridad de la información].

Recuperado de
http://recursostic.educacion.es/observatorio/web/ca/software/software-
general/1040-introduccion-a-la-seguridad-informatica?start=1

Ministerio de Educación (2007). Observatorio Tecnológico. Recuperado de:

https://goo.gl/EoIPFf

Pagnotta, S. (2014). Incidentes de seguridad crecen 48% en 2014: reporte

de PwC. Recuperado de https://www.welivesecurity.com/la-
es/2014/10/06/incidentes-de-seguridad-crecen-2014/

Pagnotta, S. (2014). Eset -We Live Secutiry-. Recuperado de:

https://goo.gl/nX2PoE

RCaire. (2013). [Imagen sin título sobre seguridad de la información y

seguridad informática]. Recuperado de
https://seguridadetica.wordpress.com/2013/09/16/seguridad-informatica-
o-seguridad-de-la-informacion/

Seguridad. (2013). Seguridad y Ética. Recuperado de:

https://goo.gl/PyXAkv