SEMANA 8

SEGURIDAD DE LA INFORMACIÓN
Informática Aplicada a la Contaduría
Sección 1600
2020
Lic. Karen Hernández
 DEFINICIONES IMPORTANTES

Seguridad Informática: se refiere a la protección

de las infraestructuras tecnológicas y de comunicación
que soportan la operación de una organización, es decir,
los hardware y software empleados por la organización.

Seguridad de la Información: se refiere a la

protección de los activos de información fundamentales
para el éxito de cualquier organización.
ACTIVOS DE INFORMACIÓN

CLASIFICACION

❖ Datos Digitales
Ej. base de datos, copias de
seguridad, claves, etc.
❖ Activos tangibles
Ej. correo, fax, libros, etc.
❖ Activos Intangibles
Ej. Software, patentes, conocimiento,
Sistemas Operativos
 RIESGO
Se considera riesgo la estimación del
grado de exposición de un activo, a
que una amenaza se materialice sobre
el causando daños a la organización.
El riesgo indica lo que le podría pasar
a los activos si no se protegen
adecuadamente.
AMENAZA
Las amenazas son los eventos que
pueden desencadenar un incidente,
produciendo daños materiales o
inmateriales en los activos.
Tipos de amenazas
-Naturales: inundaciones,
terremotos que destruyan el
centro de computo
-Humanas: hacker, robo, fraude
realizado al modificar
 VULNERABILIDAD

E
J
E IMPACTO
M
P
L
O
S
 SALVAGUARDA
Las salvaguardas son las practicas,
procedimientos o mecanismos que
reducen el riesgo. Estas pueden
actuar disminuyendo el impacto a la
probabilidad
RIESGO RESIDUAL
Por muy bien que protejamos
nuestros activos, es imposible
eliminar el riesgo al 100% por lo que
siempre quedara un riesgo residual..
Spyware: El spyware es una herramienta creada por hackers que se vende en
el mercado negro para que otros delincuentes puedan utilizarla para cometer
fraudes y otros delitos cibernéticos. Estos programas generalmente roban
dicha información con fines publicitarios o para comerciar con ella.

Scareware: es una forma de malware que utiliza técnicas de ingeniería social

para causar conmoción, ansiedad o conseguir que el usuario perciba una
amenaza con el fin de manipularlo para que instale o compre software que no
necesita. Es parte de un tipo de amenazas maliciosas que incluyen falsos
programas de seguridad, como supuestos software de desinfección y rescate.

Dialer: es un programa malicioso que se instala en una computadora e

intenta utilizar los dispositivos para marcar líneas telefónicas en otros lugares,
a menudo creando costosas facturas telefónicas para la víctima. Un marcador
es diferente de otras amenazas de spyware, aunque es habitual que se incluya
con descargas similares de software gratuito.
A diario, estamos amenazados por riesgos que ponen en peligro la
integridad de nuestra informacion, riesgos que provienen no solo desde,
el exterior de nuestras empresas, si no tambien desde el interior.
Para poder trabajar en un entorno como este de forma segura, las
empresas pueden asegurar sus datos e información de valor con la
ayuda de los Sistemas de Gestión de Seguridad de la Información(SGSI)
SISTEMAS DE GESTIÓN
D E S E G U R I DA D D E L A
I N F O R M AC I Ó N ( S G S I )

Herramienta de
gestión que nos va
permitir conocer,
gestionar y minimizar
los posibles riegos que
atentan contra la
seguridad de la
información de nuestra
empresa.
 • 1. Analizar los posibles riesgos.
• Establecer las medidas de seguridad
necesarias
• Disponer de controles que nos
permiten evaluar la eficacia de esas
¿QUÉ PERMITE medidas.
EL SGSI?
 PASOS PREVIOS A LA SELECCIÓN DE
MEDIDAS PARA PROTEGER LA
INFORMACIÓN

• 1. Conocer la información que gestiona la organización.

• 2. Clasificarla segun su criticidad
• 3. Determinar su grado de seguridad. ¿Es alto el riesgo de pérdida
de información?
• 4. Establecer las medidas necesarias para mejorar su seguridad.
 ➢ Técnicos:
medidas de carácter tecnológico dentro del ámbito de la
seguridad. Son medidas técnicas: antivirus, cortafuegos o
sistemas de copias de seguridad.
➢ Organizativos:
medidas que se centran en la mejora de la seguridad
teniendo en cuenta a las personas, por ejemplo: formación
TIPOS DE en seguridad, identificación de responsables o implantación
CONTROLES de procedimientos formales de alta y baja de usuarios.
➢ Físicos:
medidas físicas para proteger nuestra organización. Como
por ejemplo, acondicionar adecuadamente la sala de
servidores frente a riesgos de incendio, inundaciones o
accesos no autorizados, establecer un sistema de control de
acceso para entrar en las oficinas, poner cerraduras en los
despachos y armarios o guardar las copias de seguridad en
una caja ignífuga.
 Errores más comunes en el tratamiento de la
información en la empresa

Errores Como Evitarlos

Información importante de la que no se
realiza copia de seguridad.
Carpetas de red compartidas sin control
de acceso.
Usuarios que no saben dónde está la
última versión de un documento.
Para evitar cometer este error tendremos que
asegurarnos que tenemos una copia de seguridad
actualizada de la información, al menos de aquella
más crítica. Y comprobaremos que sabemos y
que podemos
recuperarla.
Estos errores se pueden evitar si hacemos que la
información sólo sea accesible a quien la necesita
y esté autorizado para ello. Es decir implantar un
«control de accesos».

Usuarios que tras un cambio de puesto

conservan acceso a información que, por
el nuevo tipo de trabajo que van a
desempeñar, no es necesaria.
 Errores más comunes en el tratamiento de la
información en la empresa

Errores Como Evitarlos

Presencia de discos duros portátiles sin
que la organización conozca y tenga
inventariados quién los utiliza y qué
información pueden tener almacenada.
Dejar que los empleados utilicen
almacenamiento en la nube y su correo personal
para actividades profesionales
Tirar los ordenadores y discos a la basura sin
ningún control previo de su contenido.
Si no se limita el uso de aplicaciones no
corporativas (correo personal, almacenamiento
en la nube) y se controla el uso de los
dispositivos externos ni los usuarios tienen la
adecuada formación, cometeremos estos errores.
Tener controlados los soportes y los equipos es
esencial pues algún día dejan de ser útiles, por
obsoletos o por desgaste. Es el momento de
deshacerse de ellos, borrar toda la información
que tenían, de forma que no quede ni rastro de
su uso previo
 AMENAZAS A LA SEGURIDAD DE LA
4MKKUINFORMACIÓN

https://www.youtube.com/watch?v=Y6vO2HxrEPc

https://www.youtube.com/watch?v=HJKkkaL6Trc
 LA GES TIÓN DE RIEGOS A
TRA VÉS DE U N S GS I ,
PRES ERVA LA :

1. Confidencialidad: implica el acceso a la

información por parte únicamente de quienes
están autorizados. (violacion de la privacidad
de los empleados, password, cracking.
2. Integridad: Con lleva el mantenimiento de la
exactitud y completitud de la información.
Fraudes informaticos, destruccion de
equipamiento.
3. Disponibilidad: el acceso a la información y los
sistemas de tratamiento de la misma por parte
de los usuarios autorizados en el momento
que lo requiera. Backups inexistentes,
denegacion de servicio.
 ESTÁNDARES DE GESTIÓN DE LA
SEGURIDAD DE L A INFORMACIÓN
 NORMA ISO/IEC 27000

Creadas para facilitar la

implementación de Sistemas de
Gestión de Seguridad de la
Información.

ISO(Organización Internacional
de Normalización)
IEC(Comisión electrotécnica
Internacional)
 MAS SOBRE ISO…

• Es el organismo encargado de promover el desarrollo de

normas internacionales de fabricación, comercio y
comunicación para todas las ramas industriales a excepción
de la eléctrica y la electrónica.
• Es una red de los institutos de normas nacionales en 160
países un miembro por país, con una Secretaria General en
Ginebra(suiza) que coordina el sistema.
• Las normas desarrolladas por ISO son voluntarias.

ISO/IEC 27000
TÉRMINOS Y DEFINICIONES
IS O/IEC 27001
REQU ERIMIENTOS DE U N S GS I
Recoge los términos y definiciones
empleados en el resto de normas de la
serie., incluye una visión general de la
familia de normas en esta área e
introducción al SGSI.
Aplicada a cualquier tipo de
organización, no importando tamaño o
actividad. Contiene los requisitos para
establecer, implementar, operar,
supervisar, revisar, mantener y mejorar
un SGSI.
Norma con la que serán certificados
los SGSI de las empresas que lo
desean.
EJEMPLO DEL DISEÑO DE LA NORMA
 Es una guía de buenas practicas que
IS O/IEC 27002
GU ÍA DE BU ENA S PRAC TIC A S
recoge las recomendaciones sobre las
medidas a tomar para asegurar los
sistemas de información de una
organización.

Para ello describe 11 dominios, es

decir áreas de actuación, 39 objetivos
de control o aspectos a asegurar
dentro de cada área y 133 controles o
mecanismos para asegurar los
distintos objetivos de control.
 Guia para la implementación de un SGSI.
Centrado en el circulo de mejora
continua de Deming para la calidad.

El circulo de Deming incluye los siguiente

pasos:
ISO/IEC 27003
• Planificar: diseñar el SGSI.
• Hacer: implementar y operar el SGSI
• Verificar: monitorear y revisar el SGSI.
• Actuar: actualiza y mejora el SGSI.

• En ingles Plan – Do- Check - Act

 Publicada en el 2009, esta norma se
ISO/IEC 27004 aplica a la administración del SGSI, su
medición e indicadores de gestión.

Esta es la metodología del estándar

ISO/IEC 27005
ISO para la gestión de riesgos de
seguridad de la información

Esta norma ofrece las directrices para

ISO/IEC 27006 la acreditación de las organizaciones
que ofrecen la certificación del SGSI.
EVALUACIÓN Y VALORACIÓN DEL
RIESGO
 ANÁLISIS DE RIESGOS

Se podría decir que este proceso consiste en identificar los

riesgos de seguridad en nuestra empresa, determinar su
magnitud e identificar las áreas que requieren implantar
salvaguardas.

Gracias al análisis de riesgos conoceremos el impacto

económico de un fallo de seguridad y la probabilidad realista
de que ocurra ese fallo.
 PASOS BÁSICOS PARA EL
ANÁLISIS DE RIESGOS
1. 1. Inventario de activos, si el
inventario es muy extenso,
realizar análisis solo de los
activos mas críticos
2. 2. Identificas las amenazas que
puedan afectar estos activos.
Se realiza una valoración en
función del impacto que la
amenaza puede causarle en el
caso de que se materialice.
3.Analizamos las vulnerabilidades de
los activos identificados y se realizara
una valoración de las mismas. Si un
activo esta expuesto a una amenaza
pero no tiene una vulnerabilidad que
le permita manifestarse, el riesgo es
menor que si exista la vulnerabilidad.
4. Realizar un análisis de las
salvaguardas o medidas de seguridad
implantadas en la organización.
Con todo estos datos podremos
realizar el estudio del riesgo y el
impacto de todas estas variables sobre
los diferentes activos.
El análisis de riesgo definirá a que nivel de riesgo esta
expuesta la organización y tomar medidas al respecto.

El proceso de análisis de riesgos debe

estar documentado
¿Por qué? para poder justificar las
acciones que se van a desarrollar y
conseguir el nivel de seguridad que la
organización quiere alcanzar.

Metodologías para el análisis de

riesgos: ISO/IEC 27005, magerit,
octave, NIST SP 800-30.
 RIEGOS OPERATIVO:

Es la posibilidad de
ocurrencia de perdidas
financieras por deficiencias o
fallas en los procesos
internos, en la tecnología de
información, en las personas
o por ocurrencia de eventos
externos adversos.
 FUENTES DE RIESGO
OPERATIVO

La evaluación, valuación o
valoración de riesgos de TI
ayuda a la administración a
considerar medidas orientadas
a minimizar las perdidas
financieras que podrían
provocar las fuentes y eventos
de riesgo operativo.
GRACIAS POR SU ATENCIÓN