Fundamentos de Seguridad Informática
Jorge Armando Ramos Torrado
Universidad Nacional Abierta a Distancia UNAD
Tunja, Colombia
ramtorrado@gmail.com ; jaramos@unadvirtual.edu.co

Resumen— Este documento nos permite abordar algunos temas
específicos sobre seguridad de la información y seguridad
informática con sus respectivas diferencias, a su vez
mencionando normas como la ISO 2700 y 27001 y unos
estándares como COBIT, ITIL que nos permite asegurar los
procesos de los sistemas de seguridad tecnológicos de las
organizaciones.
Palabras clave— Hacker, Normas, controles, amenazas,
riegos, seguridad de la información, control de acceso, COBIT,
ITIL ,protección electrónicas, delincuentes informáticos
Abstract— This document allows us to address some specific
issues on information security and computer security with their
respective differences, in turn mentioning standards such as
ISO 2700 and 27001 and standards such as COBIT, ITIL that
allows us to ensure the processes of security systems
technological aspects of organizations.
Keywords— Hacker, Standards, controls, threats, risks,
information security, access control, COBIT, ITIL,
electronic protection, computer criminals
I. INTRODUCCIÓN
Este documento nos permite orientar y exponer los conceptos
más importantes que componen el sistema de seguridad de la
información y sus diferentes mecanismos que nos permiten
tener una gobernabilidad IT aplicando los diferentes
estándares, buenas prácticas y normas respecto al manejo de
la información en todas las áreas de una organización siempre
enfocado en el rendimiento aplicando buenas prácticas en los
departamentos de TI enfocado en la gestión del negocio.

II. SEGURIRDAD INFORMATICA Y SEGURIDAD
INFORMACION
Seguridad de la información
Son un conjunto de técnicas, reglas y medidas tanto
preventivas y reactivas que se adoptan dentro de las
instituciones y empresas con un único objetivo o
enfoque de resguardar y proteger la información que
están disponibles en los sistemas internos, esta
información resguardada puede ser vinculados con
trabajadores, información interna de sus transacciones e
información de clientes.
Las características esenciales debe responder a 3
cualidades y 4 pilares tales como
Cualidades
• Critica: Esta permite fundamentalmente a las
compañías llevar a cabo operaciones sin asumir
demasiados riesgos
• Valiosa: Esta información debe ser esenciales para el
devenir de los negocios de la compañía
• Sensible: Solo los sistemas se podrán acceder las
personas con debida autorización.
Pilares
• Disponibilidad: Es el proceso que permite a los
sistemas tener siempre a disposición la información
enfocada en suministrar los acceso adecuados con la
privacidad adecuada.
• Confidencialidad: Proceso por el cual permite solo
acceder a personas autorizadas a la información
almacenada, garantizando que los datos guardados estén
disponibles a personas no autorizadas
• Integridad: Proceso por el cual se garantiza que la
información no sea modificada o este modificada,
entregando la información correcta sin errores
• Autenticación: Procesos o mecanismos que permiten
identificar que los usuarios que acceden a la información
sean las autorizadas o permitidas
Seguridad Informática
Es el proceso de prevenir y detectar el uso no autorizado
de sistemas informáticos, protegiendo la infraestructura
tecnológica contra los intrusos abarcando medidas o
sistemas que permiten la seguridad tecnológica de la
arquitectura de la compañías
Existen 3 características de seguridad informática
 Seguridad en la Red: Son medidas o componentes
tecnológicos que permiten detectar y bloquear las
intrusiones ilegales o ataques a los componentes
físicos de la red, previniendo al máximo posibles
entradas de amenazas tales como los Firewall
 Seguridad en Software: Son las buenas prácticas de
desarrollo con los estándares de seguridad para
código que adoptaron los desarrolladores, a su vez
son herramientas de software que permiten validar
el estado de los software instalados en la compañías
 Seguridad en Hardware: Son elementos de seguridad
creados por los fabricantes de hardware tales como
los servidores proxy que permiten controlar el tráfico
que se producen en una red, también se pueden usar
módulos de Seguridad (HSM) que permiten proteger
mediante cifrados los dispositivos o la información
Diferencias Entre Seguridad de la información y
seguridad Informática
 La seguridad informática es la encargada de
asegurar los recursos tecnológicos de la
organización.
 Genera tipo de seguridad o restricciones al sistema o
aparte de ellas.
 Seguridad de la información está encaminada a la
confidencialidad, integridad y disponibilidad de los
datos más importantes de la compañía.
 Está enfocado al cuidado de la información que es
relevante para la empresa agregando medidas de
seguridad para el acceso a estas.
 Las últimas versiones de COBIT conceptualiza a TI como
una función inmersa en el negocio permitiendo
Satisfacer las necesidades del accionista con el fin de
Considerar la empresa de punta a punta. •
Permite Gestionar la información empresarial aplicando
un único modelo de referenciación integrado.
 Permite tener una guía con el fin de orientarnos a la
innovación, observando que la competencia en fuerte y
las tecnologías emergentes están cambiando
radicalmente.
 Cobit toma control sobre las soluciones de los usuarios
locales permitiendo controlar o mitigar los riesgos en la
información por aplicaciones no confiables.
 Crear un valor óptimo que permita tener beneficios
tecnológicos desde la vista del negocio para así optimizar
los riesgos y recursos.
B. ITIL
Permite tener mejores prácticas en las empresas para la
gestión de los servicios de la tecnología de la información
(ITSM) independientemente del tamaño de su empresa o del
sector al que pertenezca, ya que permite tener un marco
simple y practico enfocado en alinear los servicios de
tecnología de información (TI) con las necesidades prácticas
del negocio.
Características
 Itil permite aplicar estándares ya aprobados en la
organización para mejorar los servicios y que sean más
confiables.
 Permite incrementar la productividad mejorando la
eficiencia y efectividad a partir de servicios mas
confiables de TI, disminuyendo frecuencia de incidentes
y el tiempo que se usa para resolverlos.
 Mejora los procesos de innovación permitiendo
implementar cambios a la organización y que sean
adaptados rápidamente para supervivencia a largo plazo.
 Itil se organiza en 5 etapas, estrategia del servicio, diseño
del servicio, transición del servicio, continuidad del
servicio.
C. ISO 2700
El estándar ISO/IEC 27000 ofrece una información general
de los estándares relacionados con la Gestión de la Seguridad
de la Información.
El documento brinda el vocabulario usado, el alcance y
propósito de cada uno de los estándares de la serie ISO/IEC
27000.
El propósito del estándar es describir los fundamentos de
ISMS (Information security management system). Sistema de El Oficial de seguridad informática (OSI), es la persona
gestión de la seguridad de la información. responsable de planear, coordinar y administrar los procesos
de seguridad informática en una organización
D. ISO 27001
Tener mínimo una estudios en el área de cómputo y
conocimiento en
Es un estándar que proporciona un marco para la gestión de
la seguridad de la información que especifican los requisitos
mínimos para establecer, implantar, revisar, manejar y
mejoras los controles al gestión de la información (SGSI),
apalancados por la definición de objetivos, planificación e
implementaciones de controles para el diagnóstico y la
reacción ante incidentes y eventos ocurridos en las compañías
que permite tener un proceso de mejora continua de la
seguridad de la información contenidas internamente.

Características

 Es una norma para definición, implementación y

certificación de las empresas en el SGSI que permite
mejorar la organización de la seguridad.
 Se encarga de velar por la protección de la información
definiendo el control y la clasificación de la información Tener iniciativa y habilidades de Planeación, organización y
o activos de la empresa dependiendo su nivel de comunicación.
criticidad.
 Permite a las empresas evaluar los riesgos de manera III. Que es seguridad física y seguridad tecnológica
coherente para el modelo del negocio que tenga las
empresas.
 Esta norma permite tener un compromiso muy alto frente E. Seguridad Física
al SGSI por parte de la dirección con la seguridad de la
información, permitiendo involucrar a todos los Seguridad Física consiste en la "aplicación de barreras
empleados a la implicación y participación de la SGSI. físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e
información confidencial". Se refiere a los controles y
La norma permite tener 5 aspectos importantes para la mecanismos de seguridad dentro y alrededor del Centro de
implementación Cómputo así como los medios de acceso remoto al y desde el
mismo; implementados para proteger el hardware y medios
 Compromiso y sensibilización de almacenamiento de datos.
 Organización
 Análisis de procesos y servicios
 Gestión de Riesgos (Amenazas y Vulnerabilidades)
 Mejora Continua (Auditorias Externas)

F. Seguridad Tecnológica

La seguridad tecnológica es definida como un conjunto de

reglas, planes y acciones que n os permiten resguardar y
asegurar la información contenida en los sistemas de las
organizaciones, sin embargo, para lograr esta seguridad no es
suficiente mecanismos de software avanzados que sean
II. Conocimientos Mínimos para un profesional de la capaces de proteger la red, a este sistema debe principalmente
seguridad dar un rol principal al personal que administra el sistema con
el fin de ser capaz de analizar las diferentes situaciones que
puedan acontecer sobre ataques informáticos.
Las principales áreas que cobre la seguridad informática es la
confidencialidad, integridad, disponibilidad y autenticación a
todos los sistemas que tengan los accesos adecuados.
IV. Dimensiones de la seguridad y sus importancia en
organizaciones y empresas.
La seguridad informática nos permite indagar sobre tres
dimensiones fundamentales muy importantes para la
seguridad de la información tales como, la confidencialidad,
integridad y disponibilidad.
La confidencialidad se refiere a la privacidad de los elementos
de información almacenados y procesados en un sistema
informático, basándose en este principio, las herramientas de
seguridad informática deben proteger el sistema de invasores
y accesos por parte de personas o programas no autorizados.
Este principio es particularmente importante en sistemas
distribuidos, es decir, aquellos en los que los usuarios,
computadores y datos residen en localidades diferentes, pero
están físicamente y lógicamente interconectados
La integridad de la información implica que los datos no se
ven afectados por errores o por modificaciones no deseadas,
ni estén incompletos. Debe ser información real, correcta y
verídica.
La disponibilidad se refiere a la continuidad de acceso a los
elementos de información almacenados y procesados en un
sistema informático. Basándose en este principio, las
herramientas de seguridad informática deben reforzar la
permanencia del sistema, en condiciones de actividad
adecuadas para que los usuarios accedan a los 12 datos con la
frecuencia y dedicación que requieran, este principio es
importante en sistemas informáticos cuyos compromisos con
el usuario, son prestar servicio permanente.
El reto es saber administrar y gestionar los recursos de dichas
empresas con el fin de establecer políticas efectivas de
seguridad informática, confiables y acordes a la legislación
Nacional determinadas por el gobierno y amparadas por la
norma Mundial.
V. Defensa Profunda conocida como DiD
Defensa en profundidad (Defense in Depth) es una iniciativa
que pretende aislar en capas y dividir en diferentes áreas las
instalaciones con el propósito de hacer más difícil el acceso a
nuestro último bastión, es decir, los servidores donde se
contiene nuestra información.
A continuación, algunas recomendaciones que nos propone
DiD (Defense in Depth) en MSAT (Microsoft Assessment
Tool) herramienta que, a través de un cuestionario, crea una
pequeña línea base del estado de la organización, en algunos
tópicos básicos de seguridad.
 Firewalls
 Antivirus
 Redes privadas virtuales (VPN)
 Segmentación
 Contraseñas Complejas para Usuarios Administrativos
 Contraseñas complejas para usuarios estándar
 Contraseñas complejas para usuarios de acceso remoto
 Contraseñas complejas
 Creación de contraseñas para administradores
 Paquetes de administración
 Archivo con la bitácora del uso
 Proceso de creación para parches
 Terminales de trabajo
VI. Definición de Control de Acceso
Es un sistema electrónico que restringe o permite el acceso de
un usuario a un área especifica validando la identificación por
medio de diferentes tipos de lectura (Clave por teclado, facial,
huella, tags de aproximidad, tarjeta y biometría)
La gestión de estos sistemas deben ser descentralizadas
emitiendo tener una relación de confianza, garantizando una
gestión por los proveedores del recurso y controlando le
recurso que activa el gestor de comunicación con la interfaz
de autenticación.
Hay tres componentes fundamentales que determinan el
acceso a los recursos, los cuales son:
 Mecanismo de autenticación: Clave, lector biométrico,
contraseña.
 Mecanismo de autorización: Es la que permite o no el
acceso.
 Mecanismo de trazabilidad: Complementa el mecanismo
de autorización en los casos que este puede fallar.
Se encuentran dos clases de acceso de control, por software o
por hardware.
Podemos decir que el sistema de control de acceso mediante
software es cuando por ejemplo se digita la clave para ingreso
de inicio de sesión a un S.O, otro ejemplo sería cuando nos
autenticamos al momento de ingresar al correo electrónico.
Por otra parte, un sistema de control de acceso por hardware
los podemos clasificar en dos:
 Sistemas de control de acceso autónomos
 Sistemas de control de acceso en red
G. Clases y tipos de controles existentes
Unidades controladoras INBIO-ZKTECO, dispositivo que
aloja la configuración y los accesos, usuarios y demás reglas
de ingreso configuradas
Este dispositivo tiene un costo comercial aproximadamente de
350 mil pesos en el mercado tecnológico
Lectoras de Acceso son los dispositivos que permiten realizar
la interfaz de conexión entre el mecanismo de acceso que
posee el cliente utilizando la ZK INBIO260PAK con u costo
comercial de 150000 mil pesos
Controles Biometricos son los dispostitivos que permiten
reconocer rasgos de los serres humanos tanto conductuales o
fisicos, permitiendo a TI medir y analizar las caraceristicas
fisicas con el fin de identificar una persona.
Anviz y ZKTeco con un precio aproximado de 343900 mil
pesos
Control de accesp mediante Bloqueo o Barrera tiene un costo
3.000.000 millones
VII. Pilares de la seguridad Informatica
• Disponibilidad: Es el proceso que permite a los sistemas
tener siempre a disposición la información enfocada en
suministrar los acceso adecuados con la privacidad adecuada.
Ejm: sería un fallo en el servidor causando que no se pueda
acceder a la información o un computador que por algún
motivo deje de funcionar por alguna circunstancia causando
demoras en la información que se desea obtener de estos, con
el fin de evitar estos problemas es aconsejable que se cuente
con copias de seguridad de toda la organización
• Confidencialidad: Proceso por el cual permite solo acceder a
personas autorizadas a la información almacenada,
garantizando que los datos guardados estén disponibles a
personas no autorizadas
Ejm: Un ejemplo de este tema seria que un empleado de la
organización brinde información confidencial de esta a su
competencia causando pérdidas económicas a la
organización. Para evitar esto es aconsejable bloquear las
entradas a dispositivos externos en los computadores como lo
son puertos usb y unidades de CD
• Integridad: Proceso por el cual se garantiza que la
información no sea modificada o este modificada, entregando
la información correcta sin errores
Ejm: Si una persona no autorizada ingresara a la información
de una empresa y modificara datos de la base de la
información de un registro se estaría vulnerando esta
propiedad, para este tipo de riesgos existen diferentes tipos de
medidas preventivas entre las que se destaca la firma digital.
• Autenticación: Procesos o mecanismos que permiten
identificar que los usuarios que acceden a la información sean
las autorizadas o permitidas
Ejm: Las contraseñas de acceso a nustra maquinas de
windows en la empresa donde laboramos mediante el
directorio activo, pero que el administrador por equivocacion
lo asigne a un grupo con privilegios de administrador cuando
es un usuario basico.
VIII. Que son los Black Hackers y un white Hackers
Un hacker informático es un usuario experto en tecnología
que manipula y detiene los sistemas informáticos para que
hagan funciones no intencionadas en la naturaleza del
sistema. A veces esta manipulación es noble, con el objetivo
de crear algo beneficioso. Otras veces, es mal intencionada, y
hecha con el objetivo malvado de hacer daño a la gente a
través del robo de identidad u otros daños.
H. Hackers Black
Esta es la definición clásica de un hacker: un usuario que
intencionalmente destroza o comete robo en las redes de otras
personas.
‘Black hat’ es una forma elegante para describir sus malas
intenciones. Son usuarios dotados pero no éticos que están
motivados por sentimientos de poder y venganza. Son
matones en todos los sentidos de la palabra, y comparten los
mismos rasgos de personalidad como los adolescentes con
problemas de crecimiento emocional que golpean los vitrales
en las paradas de autobuses por satisfacción personal.
Los hackers de sombrero negro son reconocidos por los
siguientes delitos informáticos:
 Ataques DDoS que dañan las redes de ordenadores.
 El robo de identidad.
 El vandalismo de los sistemas.
 La creación de programas destructivos, como los
gusanos.
I. Hackers White
Son conocidos como ‘hackers éticos’, son usuarios de
seguridad informática con talento empleado a menudo para
ayudar a proteger las redes informáticas.
Algunos hackers white se reforman de ser black hat, al igual
que los ex convictos. Mientras que ellos pueden haber sido
poco éticos en el pasado, su vocación actual se considera
ética.
Los hackers éticos están motivados por un sueldo fijo. No es
sorprendente ver a los hackers éticos gastar su paga
en ordenadores personales muy caros para uso personal, para
poder jugar juegos en línea después del trabajo. Mientras
tengan un trabajo bien pagado para mantener sus hábitos
personales, un hacker ético no suele destruir ni robar de su
empleador.
Nota especial: algunos hackers de sombrero blanco son
hackers ‘académicos’. Estos son artesanos del ordenador que
están menos interesados en la protección de sistemas, y más
interesados en la creación de programas inteligentes y
hermosas interfaces. Su motivación es mejorar un sistema a
través de alteraciones y adiciones. Los piratas informáticos
académicos pueden ser aficionados casuales, o pueden ser
ingenieros informáticos que trabajan en grados de nivel alto.
IX. Es lo mismo Hacker a un delincuente informatico?
El hacker no es un delincuente informático, es muy hábil y
letrada en informática advirtiendo, prediciendo fallas, huecos,
malas configuraciones en los sistemas físicos o digitales; un
hacker predice y mejora continuamente fallos digitales.
El mundo digital que se observa en la actualidad, tiene como
retos la protección de los datos, información y procesos
económicos, estos elementos para bien o mal, benefician
económicamente y generan poderes especiales que mejoran la
calidad de vida de los que los poseen.
El sector empresarial que es atacado y vulnerado en sus
sistemas de seguridad, generando pérdidas de datos,
información y / o procesos económicos no hacen visibles estas
incursiones a organismos de control, seguimiento y sanción,
debido a los impactos negativos que traerían a sus compañías.
En el lenguaje popular se entiende hacker como persona con
habilidades tecnológicas y de sistemas para hacer actividades
poco éticas o ilícitas, ¿pero esta definición estará correcta?
Así que la pequeña brecha entre estas dos
expresiones: “Hacker y Delincuente Informático” se
diferenciaría con la correcta definición y ejecución de esta
sola palabra -> “Ética”.
Un Delincuente Informático al igual, es bastante letrado y
Hábil, sin ética, corruptible, no tiene ninguna condición en
ser catalogado como delincuente y evita ser sancionado por
estas acciones. La formación que tiene la utiliza a su
provecho, no respeta políticas empresariales aprovechando el
conocimiento que tenga de estas. Dentro de los perfiles de los
Delincuentes Informáticos se encuentran los que son movidos
por intereses económicos, conocimientos, retos a vulnerar, un
reconocimiento en el medio digital y de sistemas.
Un Hacking ético genera ataques controlados a sistemas
Digitales sobre ambientes controlados y con permisos y
autorizaciones para estas acciones, un delincuente
informático genera ataques a sistemas digitales sin permisos
ni autorizaciones para estas acciones, por lo tanto si es
descubierto, es sancionado.
III. CONCLUSIONES
Este artículo nos permitió conocer diferentes aspectos
importantes para la seguridad de la información y que son
relevantes para la optimización de recursos para la continua
mejora del negocio de las organizaciones, siempre velando
por la seguridad de la información de la empresa
Se logró identificar o reconocer las diferencias entre los
aspectos más relevantes con lo que tiene que ver con los
diferentes hackers que existen en el mercado de TI vs un
delincuente informático.
Se realizó un recorrido sobre las diferentes normas y
estándares que existen en el marcado para seguridad de la
información con el fin de identificar sus aspectos más útiles y
necesarios para la seguridad de la información
Colombia se ha fortalecido en cuanto a las leyes que incluya
delitos informáticos y gracias al paso de la ley 1273 de 2009
se ha logrado disminuir las estafas o robos informáticos
debido a las penas que interpone dicha ley, de tal forma que
existen entidades encargadas de velar por la seguridad de la
transmisión de datos en Colombia.

IV. REFERENCIAS

[1] [AXELOS GLOABL BET PRACTICE, "What is ITIL® Best Practice?,"

[Online]. Available: https://www.axelos.com/best-
practicesolutions/itil/what-is-itil. [Accessed 1 Septiembre 2017].
[2] ISO/IEC, ISO/IEC 27000:2016(E) 4th, Vernier: ISO, 2016.
[3] ISO, "Freely Available Standards," [Online]. Available:
http://standards.iso.org/ittf/PubliclyAvailableStandards/. [Accessed 01
Septiembre 2017].
[4] MercadoLibre, [Online]. Available:
https://articulo.mercadolibre.com.co/MCO-447176439- control-de-acceso-
anviz-ep300-con-sistema-biometricousb-_JM. [Accessed 3 Septiembre
2017].
[5] Definición ABC, "Definición de Hacker," [Online]. Available:
https://www.definicionabc.com/tecnologia/hacker-2.php. [Accessed 3
Septiembre 2017].
[6] ISEC, "Control de acceso: qué es y para qué sirve," [Online]. Available:
http://www.isec.com.co/control-deacceso-que-es-y-para-que-sirve/.
[Accessed 3 Septiembre 2017]

V. BIOGRAFÍA

John Quintero nació en Colombia – Bucaramanga,

el xxx de xxxxxx de xxxxxx. Se graduó de la xxxxxx,
en ingeniería de Sistemas, y estudio
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxx.

Su experiencia profesional esta enfocada a la

investigación en el campo de seguridad informática,
actualmente xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx,
fue contratado por ser estudiante destacado en la
especialización en seguridad informática.
Actualmente trabaja sobre un Sistema de Gestión de la seguridad de la
Información (SGSI), aplicandolo a la norma externa 052 de 2007 de la
superintendencia financiera de Colombia, hace parte del grupo de investigación
xxxxxxxxxxxxxx ‘xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx’’