DIPLOMADO EN SEGURIDAD INFORMTICA

UNIDAD 2

1. Anlisis y Gestin de Riesgos

Un proceso de gestin de riesgos comprende una etapa de evaluacin previa de

las amenazas del sistema informtico, la cual se debe garantizar con rigor y
objetividad para que cumpla su funcin con eficiencia. Para ello, el equipo
responsable de la evaluacin debe contar con un nivel adecuado de formacin y
experiencia previa, as como disponer de una serie de recursos y medios para
realizar su trabajo.
El proceso propiamente dicho de gestin de riesgos se trata de definir un plan
para la implantacin de ciertas salvaguardas o contramedidas en el sistema
informtico, que permitan disminuir la probabilidad de que se materialice una

amenaza o bien reducir la vulnerabilidad del sistema o el posible impacto en la

organizacin, as como permitir la recuperacin del sistema o la transferencia del
conflicto a un tercero (mediante la contratacin de un seguro, por ejemplo).

En el siguiente cuadro se muestra un resumen del anlisis y gestin de riesgos en

una organizacin:

Figura Nro.1 Anlisis y gestin de riesgos en la organizacin.

1.1 Conceptos y definiciones bsicos para estudiar el anlisis y gestin de
riesgos en una organizacin
A continuacin se presentan los principales conceptos y definiciones que se deben
manejar a la hora de estudiar el anlisis y gestin de riesgos en una organizacin:

1. Recursos del sistema

Los recursos son los activos a proteger del sistema informtico de la organizacin.
Seguidamente se presenta una relacin de los principales recursos que se
deberan tener en consideracin a la hora de analizar y gestionar los riesgos:
Recursos hardware: servidores y estaciones de trabajo, ordenadores
porttiles , impresoras , escneres y otros perifricos.
Recursos software: sistema operativos, herramientas ofimticas, software
de gestin, herramientas de programacin y aplicaciones desarrolladas a la
medida dentro de la organizacin, etc.
Elementos de comunicaciones: dispositivos de conectividad (hub,
switches, routers), armarios con paneles de conexin, cableado, punto de
acceso a la red y lneas de comunicacin con el exterior, etc.
Informacin que se almacena, procesa y distribuye a travs del
sistema (activo de naturaleza intangible).
Locales y oficinas donde se ubican los recursos fsicos y desde los
que se acceden al sistema los usuarios finales.
Personas que utilizan y se benefician directa o indirectamente del
funcionamiento del sistema.
Imagen y reputacin de la organizacin.
Cada recurso o activo de la organizacin se puede caracterizar por un cdigo, su
descripcin , su costo o precio de adquisicin , su costo de reposicin , su nivel de
criticidad o importancia para el mantenimiento de las actividades de la
organizacin o el nivel requerido de integridad y de confidencialidad, etc.
2. Amenazas
Se considera una amenaza a cualquier evento accidental o intencionado que
pueda ocasionar algn dao en el sistema informtico, provocando prdidas
materiales, financieras o de otro tipo a la organizacin.
Se puede establecer la siguiente clasificacin a la hora de estudiar las amenazas
a la seguridad:
Amenazas naturales: inundacin, incendio, tormenta, tsunami, fallo
elctrico o explosin, etc.

 Amenazas de agentes externos: virus informticos, ataques de una

organizacin criminal, sabotajes terroristas, disturbios y conflictos sociales,
intrusos en la red, robos o estafas, etc.
Amenazas de agentes internos: empleados descuidados, empleados con
una formacin inadecuada o descontentos o errores en la utilizacin de las
herramientas y recursos del sistema, etc.
Tambin podramos definir una clasificacin alternativa, teniendo en cuenta el
grado de intencionalidad de la amenaza:
Accidentes: averas del hardware y fallos del software, incendio e
inundacin, etc.
Errores: Errores de utilizacin, de explotacin o de ejecucin de
determinados procedimientos, etc.
Actuaciones malintencionadas: robos, fraudes, sabotajes e intentos de
intrusin, etc.
La organizacin puede emplear una escala cuantitativa o cualitativa para definir
los niveles para la ocurrencia de una amenaza (es decir, en funcin de su
frecuencia): muy baja, baja , media ,alta o muy alta.
3. Vulnerabilidades
Una vulnerabilidad es cualquier debilidad en el sistema informtico que pueda
permitir a las amenazas causarle daos y producir prdidas en la organizacin.
Las vulnerabilidades se corresponden con fallos en los sistemas fsicos y/o
lgicos, aunque tambin pueden tener su origen en los defectos de ubicacin,
instalacin, configuracin y mantenimiento de los equipos.
Pueden estar ligadas a aspectos organizativos (procedimientos mal definidos,
procedimientos desactualizados y ausencia de polticas de seguridad), al factor
humano (falta de formacin y/o de sensibilizacin del personal con acceso a los
recursos del sistema), a los propios equipos , a los programas y herramientas
lgicas del sistema, a los locales y las condiciones ambientales del sistema
(deficientes medidas de seguridad fsicas, escasa proteccin contra incendios o
mala ubicacin de los locales con recursos crticos para el sistema,etc).
Se suele emplear una escala cuantitativa o cualitativa para definir el nivel de
vulnerabilidad de un determinado equipo o recurso: Baja , Media y Alta.

4. Incidentes de seguridad
Un incidente de seguridad es cualquier evento que tenga o pueda tener como
resultado, la interrupcin de los servicios suministrados por un sistema informtico
y/o posibles prdidas fsicas de activos o financieras. Es decir, se considera que
un incidente es la materializacin de una amenaza.
5. Impactos
El impacto es la medicin y valoracin del dao que podra producir a la
organizacin, un incidente de seguridad. Para valorar el impacto es necesario
tener en cuenta tanto los daos tangibles, como la estimacin de los daos
intangibles (incluida la informacin). En este sentido, podra resultar de gran ayuda
la realizacin de entrevistas en profundidad con los responsables de cada
departamento, funcin o proceso de negocio, tratando de determinar cul es el
impacto real de la revelacin, alteracin o prdida de la informacin para la
organizacin y no solo del elemento TIC que la soporta.
Tambin en este caso puede emplearse una escala cualitativa o cuantitativa para
medir el impacto del dao en la organizacin: Bajo, Moderado y Alto.

Figura Nro.2 : Imagen tomada del link adjunto1.

https://www.google.com.co/search?q=analisis+y+gestion+de+riesgos+en+una+organizacion&espv=2&biw=1
366&bih=667&source=lnms&tbm=isch&sa=X&ved=0ahUKEwirsPy15vfNAhUFwiYKHd3SAFwQ_AUIBigB#tbm
=isch&q=escalas+de+medicion+de+impacto+en+seguridad&imgrc=C1sFDOrgCf7sSM%3A

6. Riesgos
El riesgo es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informtico, causando un determinado impacto
en la organizacin.
El nivel de riesgo depende -por lo tanto- de un anlisis previo de
vulnerabilidades del sistema, de las amenazas y del posible impacto que
estas puedan tener en el funcionamiento de la organizacin.
Se han propuesto distintas metodologas como CRAMM CCTA Risk
Analysis and Management Method para la evaluacin de riesgos en
sistemas informticos.
Si se quiere consultar un poco ms sobre la misma pueden acceder a los
siguientes links:
https://www.sans.org/reading-room/whitepapers/auditing/qualitative-riskanalysis-management-tool-cramm-83
http://riesgosunad.blogspot.com.co/
http://www.cramm.com
En Espaa se puede destacar la Metodologa MAGERIT, que fue publicada
en el ao de 1996 por el Ministerio de Administraciones Pblicas y que ha
sido sometida a revisiones posteriores.
Si se quiere profundizar en la misma pueden consultarse los siguientes
links:
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/docume
ntos/Documentacion/Metodologias-yguias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-1718/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf

Otros pas de Europa donde se han elaborado metodologas propias -es

Francia, en donde existe el esquema MARION que fue propuesto en 1985
por la Asociacin de Empresas Aseguradoras Francesas y MELISA definida
por el entorno militar Francs en el ao 1984.
7. Defensas, salvaguardas o medidas de seguridad
Una defensa, salvaguarda o medida de seguridad es cualquier medio que se
emplee para eliminar o para reducir un riesgo. Su objetivo es reducir las
vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o
nivel de impacto en la organizacin.
Una medida de seguridad activa es cualquier medida utilizada para anular o
reducir el riesgo de una amenaza.
Las medidas activas podran, a su vez, clasificarse en medidas de prevencin (de
aplicacin antes del incidente. Por ejemplo-: autenticacin de usuarios, el control
de accesos a los recursos, el cifrado de datos sensibles y la formacin de los
usuarios ) y medidas de deteccin (de aplicacin durante el incidente. Por ejemplo:
sistemas de deteccin de intrusiones(IDS), herramientas y procedimientos para el
anlisis de logs (registros de actividades en los equipos)).
Por su parte, una medida de seguridad pasiva es cualquier determinacin que se
emplee para reducir el impacto cuando se produzca un incidente de seguridad.
Por ello, a las medidas pasivas se les llama medidas de correccin (se aplican
despus del incidente). Ejemplo de estas medidas son: copias de seguridad, plan
de respuesta a incidentes y el plan de continuidad del negocio.
Por otra parte, tambin podemos distinguir entre defensas fsicas y defensas
lgicas. Las primeras se refieren a medidas que implican el control de acceso
fsico a los recursos y de las condiciones ambientales en que tienen que ser
utilizados (temperatura, humedad, suministro elctrico, interferencias), mientras
que las segundas se relacionan con la proteccin conseguida mediante distintas
herramientas y tcnicas informticas: autenticacin de usuarios y control de
accesos a los ficheros cifrados de los datos sensibles, etc.
La organizacin debe llevar a cabo una adecuada y cuidadosa seleccin,
implantacin y verificacin de las medidas de seguridad. En la etapa de seleccin

puede resultar de ayuda estndares aprobados a nivel internacional,como el

ISO17799 que incluye una relacin de controles y buenas prcticas de seguridad.
Adems, ser necesario tener en cuenta una serie de parmetros que permitan
analizar la aplicabilidad de cada medida propuesta o planteada: costo econmico
de la medida, dificultad para su implantacin -tanto a nivel tcnico, como en el
plano humano y organizativo-y disminucin del riesgo que se prev conseguir tras
la implantacin de la medida; etc.
Por ltimo, tras la correcta implantacin de las medidas seleccionadas, la
organizacin deber determinar el nivel de riesgo residual2 , obtenido tras un
nuevo proceso de evaluacin de riesgos teniendo en cuenta que los recursos ya
se encuentran protegidos por las medidas de seguridad seleccionadas.
Si el nivel de riesgo resultante para un determinado activo todava continuase
siendo demasiado alto para los objetivos fijados por la organizacin, se tendran
que seleccionar medidas de seguridad adicionales y repetir nuevamente el
proceso.
No obstante, es necesario asumir que siempre existir un cierto riesgo residual en
el sistema informtico. Este Nivel de riesgo residual representa el grado de
amenaza que la organizacin estara dispuesta a aceptar, teniendo en cuenta que
no resultara beneficioso reducirlo an ms debido al esfuerzo tcnico y
econmico que ello conllevara. Se trata, por lo tanto, de mantener un equilibrio
entre el esfuerzo tcnico y econmico y el nivel de riesgo aceptable por la
organizacin, tal y como se representa en el siguiente grfico:

http://www.academia.edu/5971566/Anexo_III_An%C3%A1lisis_y_Gesti%C3%B3n_de_Riesgos_en_un_Siste
ma_Inform%C3%A1tico

Figura Nro.3. Nivel de Riesgo residual3.

Conviene llevar a cabo una reevaluacin del nivel de riesgo tras la implantacin de
las medidas de seguridad. Adems, tambin sera recomendable realizar nuevas
evaluaciones del nivel de riesgo de forma peridica en la organizacin, ya que
ser necesario contemplar los cambios experimentados por el sistema de
informacin de la organizacin: adquisicin y puesta en marcha de nuevos
recursos, nuevas aplicaciones y servicios, incorporacin de personal y puesta en
marcha de nuevas instalaciones, etc.
Asimismo, esta reevaluacin peridica del nivel de riesgo tambin estara
justificada por el descubrimiento de nuevas vulnerabilidades, como podran ser el
caso de nuevos fallos detectados en las aplicaciones informticas o por la
aparicin de nuevas amenazas en el entorno o el cambio en la probabilidad de
ocurrencia de alguna de las amenazas previamente detectadas.

Esta grfica se modific de la mostrada en el libro Seguridad Informtica del autor Alvaro Gomz.

Por supuesto, en todo este proceso de evaluacin y gestin de riesgos ser

necesario prestar una especial atencin a la situacin de los recursos o activos
crticos, es decir, de aquellos que resulten esenciales para el normal
funcionamiento de la organizacin. La priorizacin de las actuaciones y de la
implantacin de medidas de seguridad vendr determinada por estos recursos
crticos.
Todo el proceso descrito en los prrafos anteriores se muestra en el siguiente
esquema:

Figura Nro.4 .
En todo proceso tambin se podra considerar la contratacin de una empresa
especializada en ofrecer determinados servicios de seguridad informtica,
alternativa tambin conocida como Servicios de Seguridad Gestionados (Managed
Security Services - MSS), con un planteamiento similar al de la propia seguridad
fsica de las instalaciones de la organizacin, que hoy en da suele estar

subcontratada a una empresa especializada que se encarga del mantenimiento de

las alarmas, el control del acceso del personal a las instalaciones o la vigilancia
nocturna y durante los fines de semana.
Se trata, por lo tanto, de otra modalidad de transferencia del riesgo a un tercero,
mediante un contrato con determinadas exigencias del nivel de servicio (Service
Level Agreement, SLA) y clausulas de responsabilidad. La empresa contratada
debe ofrecer un servicio permanente (24 horas al da durante los 7 das de la
semana) por parte de profesionales cualificados, monitorizacin de los registros de
actividad en los equipos informticos y del trfico en la red de la organizacin,
deteccin y contencin de ataques, actualizacin permanente de aplicaciones y de
servidores, filtrado de contenidos y mensajes dainos y eliminacin de virus, etc.
Teniendo en cuenta que hoy en da es imprescindible dominar mltiples
tecnologas, en un entorno complejo y cambiante, caracterizado por un mercado
en el que se ofrecen gran cantidad de productos y servicios de seguridad, la
alternativa de la subcontratacin de determinados servicios de seguridad podra
mejorar, en general, la Gestin de la Seguridad de la Informacin, contribuyendo a
reducir y controlar los costos para la organizacin.

2. Polticas, Planes y Procedimientos de Seguridad

Las redes de ordenadores presentan, de entrada, dos aspectos contradictorios:
por un lado, su principal razn de ser es facilitar la comunicacin y el acceso a la
informacin y por otro, asegurar que slo acceden a la misma los usuarios
debidamente autorizados. Esta contradiccin est presente continuamente, ya que
las medidas adoptadas para mejorar la seguridad dificultan el uso de la redes y
sus recursos informticos, al ralentizar los accesos e imponer ciertas restricciones,
por lo que es necesario mantener un compromiso entre ambos aspectos.
Por otra parte, la informacin constituye un recurso que en muchos casos no se
valora adecuadamente por su intangibilidad (cosa que no ocurre con los equipos
informticos, la documentacin o las aplicaciones) y adems las medidas de
seguridad no influyen en la productividad del sistema sino ms bien por el
contrario, por lo que las organizaciones son reticentes a dedicar recursos a esta
tarea.
Con la proliferacin de las redes de ordenadores, la informacin de las empresas
ha pasado de concentrarse en los grandes sistemas (sistemas centralizados), para

distribuirse por los ordenadores y servidores ubicados en los distintos

departamentos y grupos de trabajo. Por este motivo, en la actualidad muchas
organizaciones no conocen la informacin que hay en los puestos de trabajo
(generalmente ordenadores personales de la propia organizacin), ni los riesgos
que tienen de ataques y desastres, ni cmo la propia organizacin utiliza esa
informacin.
Otro aspecto importante, que muchas veces se olvida, es que ms del 75% de los
problemas inherentes a la seguridad se producen por fallos de los equipos o por
un mal uso por parte del personal de la propia organizacin. Esto quiere decir que
un plan de seguridad debe contemplar no slo los ataques provenientes del
mundo exterior ajeno a la empresa, sino tambin los procedimientos de uso
interno.
En un estudio reciente elaborado por Datapro Research Corp. se presentaba la
distribucin de los principales problemas de seguridad en sistemas basados en
redes de ordenadores:

Errores de los empleados:50%

Empleados deshonestos: 15%
Empleados Descuidados:15%
Intrusos ajenos a la empresa:10%
Integridad fsica de las instalaciones:10%

En el siguiente link puede encontrarse un cuadro sinptico que resume el marco

de las polticas , planes y procedimientos de seguridad . Les recomendamos
leerlo: http://www.xmind.net/m/ZX4s.
Por lo tanto, un Plan de Seguridad debe contemplar no slo que no accedan
intrusos, sino que los sistemas y las aplicaciones sean utilizados correctamente.

2.1 Conceptos bsicos

Poltica de Seguridad
Podemos definir una Poltica de Seguridad como una declaracin de intenciones
de alto nivel que cubre la seguridad de los sistemas informticos y que
proporciona las bases para definir y delimitar responsabilidades para las diversas
actuaciones tcnicas organizativas que se requieran(RFCs 1244 y 2196).
Plan de Seguridad
Un Plan de Seguridad es un conjunto de decisiones que definen cursos de accin
futuros, as como los medios que se van a utilizar para conseguirlos.
Procedimiento de Seguridad
Por ltimo, un Procedimiento de Seguridad es la definicin detallada de los pasos
a ejecutar para llevar a cabo unas tareas determinadas. Los procedimientos de
Seguridad permiten aplicar e implantar las Polticas de Seguridad que han sido
aprobadas por la organizacin.
En la siguiente figura se representa la jerarqua de conceptos manejados al hablar
de las Polticas, Planes y Procedimientos de Seguridad:

Figura Nro.5 Polticas, Planes y Procedimientos.

As, en la cspide de la pirmide se sitan los objetivos fundamentales de la
Gestin de la Seguridad de la informacin, resumidos mediante el acrnimo CIA
(Confidencialidad, Integridad y Disponibilidad de la informacin). Una vez fijados
los objetivos fundamentales, es necesario definir polticas de Seguridad, as como
los Planes y Procedimientos de actuacin para conseguir su implantacin en la
organizacin.
Los Procedimientos de Seguridad se descomponen en tareas y operaciones
concretas, las cuales -a su vez- pueden generar una serie de registros y
evidencias que facilitan el seguimiento, control y supervisin del funcionamiento
Sistema de Gestin de la Seguridad de la Informacin.
Los Procedimientos de Seguridad permiten implementar las Polticas de Seguridad
definidas , describiendo cules son las actividades que se tienen que realizar en el
sistema, en qu momento o lugar, quienes sern los responsables de su ejecucin
y cules sern los controles aplicables para supervisar su correcta ejecucin.
En este sentido, las polticas definen qu se debe proteger en el sistema, mientras
que los procedimientos de seguridad describen el cmo se debe conseguir dicha
proteccin. En definitiva, si comparamos las Polticas de Seguridad con las leyes

en un Estado de derecho, los procedimientos seran el equivalente a los

reglamentos aprobados para desarrollar y poder aplicar las leyes.
As, a modo de ejemplo, podramos citar como procedimiento la planificacin de
las tareas administrativas y de sus responsables: administracin de las cuentas de
usuario y de los controles de acceso a los recursos lgicos, realizacin y
supervisin de las copias de seguridad y seguimiento de los eventos de seguridad,
etc.
Otro grupo de procedimientos de seguridad estara relacionado con la instalacin,
configuracin y mantenimiento de distintos elementos de seguridad: cortafuegos,
servidores proxy, antivirus y sistemas de deteccin de Intrusiones(IDS)
2.2 Elementos de un plan de seguridad
La puesta en marcha de un Plan de Seguridad exige un inventario de todos los
recursos y sistemas informticos que integran la red de la organizacin y que
pueden estar repartidos en sus diversas delegaciones o sedes; tambin es
necesario identificar los puntos de acceso a la red informtica y los tipos de
conexiones que se permitirn realizar desde el exterior; definir los distintos niveles
de acceso a los recursos, que vendrn determinados por atribuciones de los
usuarios; planificar las tareas administrativas a realizar (copias de seguridad,
auditorias de las conexiones, etc.) y los responsables de las mismas; especificar
donde se activan medidas especificas(cortafuegos, filtros de conexiones,etc) e
identificar cules pueden ser los objetivos de un ataque exterior, etc..
El modelo de Seguridad AAA (Autenticacin, Autorizacin y Contabilidad
(registro)), se utiliza para poder identificar a los usuarios y controlar su acceso a
los distintos recursos de un sistema informtico, registrando adems cmo se
utilizan dichos recursos.
Este modelo se basa en tres elementos esenciales:
Identificacin y autenticacin de los usuarios.
Control de acceso a los recursos del sistema informtico (esto es: a los
equipos, aplicaciones, servicios y datos acorde con las polticas
organizacionales).
Registro del uso de recursos del sistema por parte de los usuarios y de las
aplicaciones, utilizando para ello logs de auditora en el sistema.

Figura Nro. 6. Modelo AAA

En los siguientes apartados se detallan los principales elementos de un Plan de
Seguridad:
1. Seguridad fsica de las instalaciones:
La Seguridad Fsica se refiere a la identificacin y anlisis de las amenazas y
riesgos que enfrentan o pueden llegar a enfrentar instalaciones, bienes y procesos
a fin de implementar planes y sistemas tendientes a prevenir, dificultar o limitar los
resultados de las posibles acciones dainas contra la seguridad de ellas y ellos.
Dentro de estas amenazas se pueden encontrar -entre otras-: la temperatura
ambiente, el nivel de humedad, cortes elctricos y tormentas, entre otras.
Las salas donde se encuentran ubicados recursos informticos valiosos deben
estar cuidadosamente protegidas y vigiladas mediante los correspondientes
sistemas de seguridad (guardia de seguridad, circuito cerrado con cmaras y
alarmas de proteccin de presencia, etc).
Asimismo, se debe prestar especial atencin al cuidado de las condiciones fsicas
en las que se encuentran equipos delicados y costosos, controlando la
temperatura ambiente y el nivel de humedad al que se encuentran expuestos.

Por otra parte, para evitar problemas ocasionados por tormentas o cortes
elctricos conviene disponer de Sistemas de alimentacin initerrumpida (SAI) para
proteger a los equipos ms importantes dentro de la red informtica de la
empresa.
3. Copias de seguridad
Una copia de seguridad4 o Back up es una copia de los datos originales que se
realiza con el fin de disponer de un medio para recuperarlos en caso de su
prdida. Las copias de seguridad son tiles ante distintos eventos y usos:
recuperar los sistemas informticos y los datos de una catstrofe informtica,
natural o ataque, restaurar una pequea cantidad de archivos que pueden
haberse eliminado accidentalmente corrompido o infectado por un virus
informtico u otras causas, guardar informacin histrica de forma ms econmica
que los discos duros y permitir el traslado a ubicaciones distintas de la de los
datos originales, etc.
El proceso de copia de seguridad se complementa con otro conocido
como restauracin de los datos (restore), que es la accin de leer y grabar en la
ubicacin original u otra alternativa los datos requeridos.
Los procedimientos para la realizacin peridica de copias de seguridad de los
datos almacenados en los servidores tienen una especial importancia en el Plan
de Seguridad, ya que una correcta poltica de copias de seguridad permite
recuperar los datos vitales ante una situacin catastrfica. Por este motivo,
dependiendo de la criticidad de los datos para el funcionamiento de la
organizacin, as como de su frecuencia de actualizacin, ser necesario realizar
copias con una periodicidad horaria, diaria o semanal.
Normalmente se emplean dispositivos de cinta DAT para realizar estas copias,por
tratarse de un soporte que permite realizar un nmero elevado de grabacin de
datos, con una alta capacidad de almacenamiento y un reducido tamao. Dichas
cintas deben estar protegidas a buen recaudo, siendo recomendable guardarlas
en una caja de seguridad ignifuga.
Se deben trabajar con un nmero suficiente de cintas u otros soportes de
grabacin como para poder definir un ciclo de copias que abarque un perodo de
4

Fuente: https://es.wikipedia.org/wiki/Copia_de_seguridad

tiempo que se considere adecuado para los datos de la organizacin, por ejemplo
mantener una copia diaria de la ltima semana, de todos los das o del ltimo mes,
etc.
Por otro lado, se recomienda tambin disponer de un sistema de replicacin de
datos en servidores de las distintas sedes de la organizacin, para que de este
modo sea posible recuperar la actividad si alguna de las instalaciones sufre un
cataclismo que provoque su destruccin (terremoto, incendio, ataque terrorista,).
4. Identificacin de los usuarios del sistema
Los sistemas tradicionales de identificacin de los usuarios se basan en la
introduccin de un nombre de usuario (login) y un password o clave de acceso. En
este tipo de sistemas conviene tener en cuenta medidas de seguridad
relacionadas con las claves de acceso.
Las claves de acceso deben estar almacenadas en ficheros protegidos y cifrados y
se debe imponer un mnimo tamao a la clave de acceso (se recomienda que al
menos tenga 6 caracteres), siendo muy recomendable proceder al cambio de
contraseas de manera peridica y establecer caducidad de las claves de acceso.
La composicin de las claves de acceso es un aspecto que debe considerar que
no sea fcil de adivinar: palabras que no estn en un diccionario de contraseas
(de los que usan los intrusos), siendo aconsejable el uso de caracteres
alfanumricos y signos de puntuacin mezclados.
Un determinado servicio tendra que ser bloqueado automticamente por el
sistema ante fallos de acceso repetidos, para impedir ataques de fuerza bruta,
consistentes en probar miles de posibles claves para acceder al sistema.
Por otro lado, sensores biomtricos podran en un momento dado sustituir a los
sistemas de identificacin tradicionales para una identificacin del usuario basada
en caractersticas fsicas nicas como son el iris del ojo o la retina, la huella
dactilar o su voz, entre otras. De forma que cada usuario podr acceder al sistema
de forma cmoda y segura.
5. Control de los accesos de los recursos informticos
En un sistema informtico resulta de especial importancia restringir las
operaciones y la utilizacin de los distintos recursos informticos, dependiendo de
la identidad del usuario. Para ello se crean listas de control de acceso para cada

uno de los recursos informticos (ficheros, programas, servidores e impresoras,

etc), especificando que usuarios y roles pueden acceder y los tipos de
operaciones permitidas para los mismos.
6. Auditoria de la Seguridad
A fin de garantizar el correcto funcionamiento de la poltica de contraseas y de
control de accesos, conviene registrar y monitorizar distintos eventos relacionados
con el acceso y utilizacin de los recursos protegidos. De esta manera se puede
facilitar la deteccin de intrusiones y la identificacin de los responsables de las
mismas. El sistema informtico debe facilitar una serie de alarmas para detectar
comportamientos anmalos o intentos de violacin a las medidas de seguridad.
Es aconsejable efectuar auditorias peridicas de la poltica de copias de seguridad
y de la seguridad fsica de las instalaciones.
7. Actualizacin de las aplicaciones informticas
Los administradores del sistema deben estar al tanto de todas las noticias
publicadas sobre agujeros de seguridad detectados tanto en el sistema operativo
como en las aplicaciones instaladas para reaccionar con rapidez en actualizacin
de versiones nuevas del software y la instalacin de parches en el sistema
operativo.
Bajo este orden de ideas es recomendable la inscripcin a pginas como las
siguientes:
Bugtraq
Securitylist
Hispasec, etc.

8. Proteccin frente a virus informticos

Hoy en da, con la proliferacin de virus informticos existentes, las
organizaciones deben crear acciones para contrarrestarlos y evitar de esta
manera prdidas econmicas, ya que estos destruyen informacin y programas
instalados . El medio para ello son los antivirus que son programas que de forma
permanente deben ser ejecutados y de ser posible con actualizaciones diarias.

9. Cifrado de los datos

Los datos ms sensibles dentro del sistema informtico deben estar guardados en
ficheros cifrados . De manera similar, la organizacin debe emplear conexiones
seguras para el envo de dichos datos a travs de una red pblica como Internet,
empleando tcnicas criptogrficas robustas.
10. Planes de Contingencia
Dado que ninguna empresa est exenta de un desastre o situacin catastrfica como un incendio, inundacin, terremoto, etc.- o de un sabotaje, robo , fraude o
incluso un atentado terrorista. Aparece como parte del juego la definicin de un
Plan de Continuidad del Negocio o un Plan de Contingencias. Este es un
elemento fundamental para poder garantizar una respuesta adecuada frente a los
desastres y situaciones de crisis.
11. Formacin de los usuarios sobre seguridad
Con frecuencia, las medidas de seguridad descritas en los apartados anteriores
pierden buena parte de su eficacia debido a los errores humanos. Por este motivo,
resulta de vital importancia llevar a cabo acciones de sensibilizacin y de
formacin sobre aspectos bsicos de seguridad, que permitan identificar
conductas inapropiadas y malos usos de los recursos del sistema informtico.
Bibliografa y Cibergrafa
http://ceur-ws.org/Vol-488/paper13.pdf
Burgos, Jorge. Modelo para la Seguridad de la Informacin en TIC.
http://auditool.org/blog/auditoria-interna/1789-medicion-de-controles-para-mitigarriesgos
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/D
ocumentacion/Metodologias-yguias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-1718/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
https://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+
Riesgo-CRAMM

http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003enlinea/32_leccin_12_metodologa_magerit.html
https://www.sans.org/reading-room/whitepapers/auditing/qualitative-risk-analysismanagement-tool-cramm-83
http://riesgosunad.blogspot.com.co/
http://www.cramm.com
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/D
ocumentacion/Metodologias-yguias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-1718/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
http://repository.unad.edu.co/bitstream/10596/3814/3/75084251.pdf
http://dgtic.tabasco.gob.mx/sites/all/files/vol/dgtic.tabasco.gob.mx/fi/Manual%20de
%20Seguridad%20Informatica%20Basica.pdf

http://www.ilustrados.com/tema/4924/Politicas-procedimientos-seguridadinformacion.html
http://daniellaheracapuchino.blogspot.com.co/2015/11/tema-2-politicas-planesy_13.html
https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n