Competencia: 220501033

Diseñar el Sistema de
Acuerdo con los
Requisitos del Cliente
Auditoria de Seguridad
Informática
Vulnerabilidades de los Sistemas Informáticos

• Debilidad en el diseño de los protocolos utilizados en las redes.

• Errores de Programación.
• Configuración inadecuada de los sistemas informáticos.
• Políticas de Seguridad deficientes o inexistentes: Política de contraseñas poco robusta,
Deficiencia en el control al acceso al sistema, Escaso control de las copias generadas en papel
con información sensible, Entre otras.
• Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
• Disponibilidad de herramientas que facilitan los ataques (En internet se encuentran programas
gratuitos).
• Limitación gubernamental al tamaño de las claves criptográficas ya la utilización de este tipo de
tecnologías: EEUU impide exportar productos que empleen algoritmos criptográficos superiores
a 128 bits.
• Existencia de «puertas traseras» en los sistemas informáticos (Acceso no autorizado a un
sistema informático, saltándose las medidas de protección previstas e implantadas por sus
administradores).
• Descuido de los fabricantes (Propagación de virus y programas dañinos en los CD-ROM o Discos
Duros).
Tipos de Vulnerabilidades
• Vulnerabilidades que afectan a equipos: Routers, Servidores, Impresoras, entre otras.

• Vulnerabilidades que afectan a programas y aplicaciones informáticas: Sistemas operativos,

Bases de datos, Navegadores, Aplicaciones ofimáticas, entre otras.
Test de Penetración en el Sistema de Etapas

• Reconocimiento del sistema para averiguar qué tipo de información podría obtener un
atacante o usuario malicioso.

• Escaneo consistente en la detección y verificación de vulnerabilidades en servidores

estándar y en aplicaciones desarrolladas por la propia organización.

• Penetración: Intento de explotación de las vulnerabilidades detectadas.

• Generación de informes, con el análisis de los resultados y la presentación de las

conclusiones sobre la seguridad del sistema informático.

• Limpieza del sistema, para restaurar la situación inicial (si la seguridad ha sido comprometida
por la explotación de alguna de las vulnerabilidades detectadas).
Test de Penetración en el Sistema Test Externo

Se realizan desde el exterior de la red de la organización, para tratar de forzar la entrada en

algunos de sus servidores o comprometer su seguridad, mediante pruebas como el escaneo
de puertos y la detección de los protocolos utilizados; el análisis del trafico cursado, del rango
de direcciones utilizado y de los servicios ofrecidos a través de la red; pruebas de usuarios y
de la política de contraseñas; entre otras.
Test de Penetración en el Sistema Test Interno

Se llevan a cabo desde el interior de la red de la organización, mediante pruebas como el

análisis de los protocolos utilizados y de los servicios ofrecidos; la autenticación de usuarios y
la revisión de la política de contraseñas; el análisis de la seguridad en las estaciones de
trabajo; la evaluación del comportamientos de los antivirus y otras herramientas de
seguridad; entre otras.
Delitos Informáticos

Un Delito Informático es «cualquier comportamiento antijurídico, no ético o no autorizado

relacionado con el procesado automático de datos y/o transmisiones de datos» (Definición
propuesta por un Grupo de Expertos de la OCDE en 1993).
Convenio sobre Ciberdelincuencia de la Unión
Europea
• El convenio sobre Ciberdelincuencia fue aprobado por el Consejo de Europa en junio de 2001, el cual
define cuatro tipos:

o Delitos relacionados con el contenido: Pornografía infantil, amenazas, calumnias o difusión de

contenidos racistas y xenófonos.
o Delitos relacionados con las infracciones a los derechos de autor: Propiedad intelectual e industrial,
reproducción de programas informáticos protegidos, distribución de copias ilegales de canciones y
vídeos.
o Delitos relacionados con la informática: Falsificación informática que produzca la alteración,
borrado o supresión de datos informáticos que ocasionen datos no auténticos; fraudes y estafas
informáticas; tráfico de claves informáticas obtenidas por medio ilícito, etc.
o Delitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos:
Acceso ilícito a sistemas informáticos (delitos contra la intimidad, revelación de secretos de
empresa, uso no autorizado de equipos informáticos); interceptación ilícita de datos informáticos
(espionaje informático); interferencia en los datos que provoquen daños, como podría ser su
alteración o eliminación (sabotajes informáticos); abuso de dispositivos que faciliten la comisión de
delitos; distribución de virus u otros programas dañinos, etc.
 Ley 1273

• La Ley 1273 del 5 de enero de 2009 creó nuevos tipos penales relacionados con delitos informáticos y
protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta
1500 salarios mínimos legales mensuales vigentes.

o Capítulo Primero: De los atentados contra la confidencialidad, la integridad y la disponibilidad de

los datos y de los sistemas informáticos.

o Capítulo Segundo: De los atentados informáticos y otras infracciones.

 Articulo 195 Código Penal

• Acceso abusivo a un sistema informático:

o El que abusivamente se introduzca en un sistema informático protegido con medida de seguridad o

se mantenga contra la voluntad de que tiene derecho a excluirlo, incurrirá en multa
.
Derecho a la Intimidad y la Privacidad

• Es el derecho que poseen las personas de poder excluir a terceros del conocimiento de su vida
personal, es decir, de sus sentimientos, sus emociones, sus datos biográficos y personales y su
propia imagen.
• Establece el derecho a un individuo al control sobre quién, cuándo y dónde se podrían
percibir diferentes aspectos de su vida personal (a través de sus datos personales).
• La Declaración Universal de Derechos Humanos del año 1948, en su artículo 12, establece que
«nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la
protección de la ley contra tales injerencias o ataques».
Ley 1266 de 2008

También conocida como la Ley de Habeas Data, se aplica a todos los datos personales
financieros, crediticios, comerciales y de servicios registrados en un banco de datos. Está
encaminada a regular el uso de la información y por tanto otro tipo de datos(por ejemplo
aquellos mantenidos en un ámbito exclusivamente personal o doméstico o los que se incluyen
en una historia clínica) se encuentran excluidos de la aplicación de esta norma.
Ley 1581 de 2012

• Se dictan disposiciones generales para la protección de datos personales.

• Tiene como objeto desarrollar el derecho constitucional que tienen todas las personas a
conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases
de datos o archivos, y los demás derechos, libertades y garantías constitucionales.
ISO 27000

• Es una familia de estándares internacionales para Sistemas de Gestión de la Seguridad de la

Información (SGSI).

o Requisitos para la especificación de sistemas de gestión de la seguridad de la información

o Proceso del análisis y gestión del riesgo
o Métricas y medidas de protección
o Guías de implantación
o Vocabulario claramente definido para evitar distintas interpretaciones de conceptos
técnicos y de gestión y mejora continua.
ISO 27000 Alcance

• General: Cubre todos los tipos de organizaciones. También especifica los requerimientos a
establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y
mejorando la documentación del Sistema de Administración en la Seguridad de la Información
(ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
• Aplicación: El conjunto de requerimientos precisados en este estándar internacional son
genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño
y naturaleza.
ISO
• ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de
seguridad de la información.
• ISO/IEC 27002: Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información.
• ISO/IEC 27003: Es una guía que se centra en los aspectos críticos necesarios para el diseño e
implementación con éxito de un SGSI (Gestión de la Seguridad de la Información).
• ISO/IEC 27004: Es una guía para el desarrollo y utilización de métricas y técnicas de medida
aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles
implementados.
• ISO/IEC 27005: Proporciona directrices para la gestión del riesgo en la seguridad de la
información.
• ISO/IEC 27006: Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
• ISO/IEC 27007: Es una guía de auditoría de un SGSI.
• ISO/IEC TR 27008: Es una guía de auditoría de los controles seleccionados en el marco de
implantación de un SGSI.
ISO
• ISO/IEC 27009: Es una guía sobre el uso y aplicación de los principios de ISO/IEC 27001 para el
sector servicios.
• ISO/IEC 27010: Consiste en una guía para la gestión de la seguridad de la información cuando
se comparte entre organizaciones o sectores.
• ISO/IEC 27011: Es una guía de interpretación de la implementación y gestión de la seguridad
de la información en organizaciones del sector de telecomunicaciones.
• ISO/IEC 27013: Es una guía de implementación integrada de gestión de seguridad de la
información y de gestión de servicios TI.
• ISO/IEC 27014: Consistirá en una guía de gobierno corporativo de la seguridad de la
información.
• ISO/IEC TR 27015: Es una guía de SGSI orientada a organizaciones del sector financiero y de
seguros.
• ISO/IEC TR 27016: Es una guía de valoración de los aspectos financieros de la seguridad de la
información.
• ISO/IEC 27017: Es una guía de seguridad para Cloud Computing.
• ISO/IEC 27018: Es un código de buenas prácticas en controles de protección de datos para
servicios de computación en cloud computing.
ISO
• ISO/IEC TR 27019: Guía con referencia a ISO/IEC 27002:2005 para el proceso de sistemas de
control específicos relacionados con el sector de la industria de la energía.
• ISO/IEC TR 27023: Es una guía de correspondencias entre las versiones del 2013 de las normas
ISO/IEC 27001 y ISO/IEC 27002.
• ISO/IEC 27031: Es una guía de apoyo para la adecuación de las tecnologías de información y
comunicación (TIC) de una organización para la continuidad del negocio.
• ISO/IEC 27032: Proporciona orientación para la mejora del estado de seguridad cibernética.
• ISO/IEC 27033: Norma dedicada a la seguridad en redes.
• ISO/IEC 27034: Norma dedicada la seguridad en aplicaciones informáticas.
• ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la
información.
• ISO/IEC 27036: Guía de las relaciones con proveedores.
• ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con
la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales
localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales,
sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros
dispositivos.
ISO

• ISO/IEC 27038: Es una guía de especificación para seguridad en la redacción digital.

• ISO/IEC 27039: Es una guía para la selección, despliegue y operativa de sistemas de detección
y prevención de intrusión.
• ISO/IEC 27040: Es una guía para la seguridad en medios de almacenamiento.
• ISO/IEC 27041: Es una guía para la garantizar la idoneidad y adecuación de los métodos de
investigación.
• ISO/IEC 27042: Es una guía con directrices para el análisis e interpretación de las evidencias
digitales.
• ISO/IEC 27043: Desarrolla principios y procesos de investigación para la recopilación de
evidencias digitales.
• ISO/IEC 27044: En fase de desarrollo. Gestión de eventos y de la seguridad de la información.
• ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y
aplicación en el sector sanitario en cuanto a la seguridad de la información sobre los datos de
salud de los pacientes.
BS 799

Es una norma que presenta los requisitos para un Sistema Administrativo de Seguridad de la
Información (SASI). Ayudará a identificar, administrar y minimizar la gama de amenazas a las
cuales está expuesta regularmente la información.