Unidad 1.

Introducción a la seguridad de la información

Introducción

Muchas empresas son amenazadas constantemente en sus activos, lo que pudiera

representar miles o millones de dólares en pérdidas. Las vulnerabilidades en nuestros
sistemas de información pueden representar problemas graves, por ello es muy
importante comprender los conceptos necesarios para combatirlos y defendernos de
posibles ataques a nuestra información.

Por ejemplo, recientemente se publicó una noticia* sobre un virus diseñado para lanzar
ataques masivos y cómo prevenirlo para evitar consecuencias no deseadas. Se trata de un
virus de tipo gusano que se propaga con los nombres de LoveSan, Blaster o MSBlaster el
cual aprovecha un agujero en la seguridad de Windows® 2000 y Windows® XP,
concretamente en el software que permite compartir archivos con otras máquinas. La
finalidad de la plaga es recolectar equipos para realizar un ataque de Negación de
Servicio (DoS por sus siglas en inglés) contra un sitio de Microsoft.

El virus Blaster tiene poco que ver con las plagas informáticas tradicionales: no se
propaga por los medios habituales, sino que circula por Internet en busca de máquinas
sobre las que puede realizar su ataque.

Este es un claro ejemplo de cómo una vulnerabilidad de Windows es aprovechada por

Blaster. La mencionada vulnerabilidad de Windows, denominada RPC DCOM, consiste
en un desbordamiento de buffer en la interfaz RPC, y ha sido calificada como "crítica"
por la propia compañía Microsoft. Afecta a las versiones NT 4.0, 2000, XP y Windows
Server 2003.

En líneas generales, se trata de un problema de seguridad que permitiría hacerse del

control de los equipos en forma remota. Por ello, y con el fin de evitar posibles ataques,
se aconseja tanto a los administradores y responsables de informática como a los usuarios
particulares, la instalación inmediata de los parches proporcionados por Microsoft para
corregir dicha vulnerabilidad. Los mismos pueden ser descargados desde
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp
donde, además, puede encontrarse información detallada sobre este problema.

*Fuente: http://www.terra.es/tecnologia/articulo/html/tec9481.htm
Podemos representar la implantación de un sistema de seguridad de información en la
empresa como la escalada de una gran montaña, en la que poco a poco iremos subiendo
de nivel en términos de conceptos, herramientas y conocimiento del entorno
tecnológico de la empresa.

Contenido de la unidad:

Conceptos básicos
Activos
Amenazas y puntos débiles
Riesgos, medidas y ciclo de seguridad

Objetivos
Con la finalidad de proteger todos los activos vitales para la empresa :

Conocer las diferentes categorías existentes de los activos de una

empresa.
Comprender el concepto de puntos débiles para identificar las
posibles vulnerabilidades y amenazas existentes en los activos.
Interpretar la clasificación propuesta de las posibles amenazas
encontradas en los diferentes procesos de la empresa.
Revisar los conceptos de integridad, confidencialidad y
disponibilidad de la información.
Conocer el concepto de riesgo y su implicación en el ciclo de
Objetivos seguridad de la información de la empresa.
Distinguir la diferencia entre aplicar o no medidas de
seguridad en los diferentes aspectos de nuestra empresa.
Comprender los conceptos básicos de análisis de riesgo y
política de seguridad, dos puntos muy importantes para definir
las acciones en materia de seguridad que se aplican en las
empresas.
Capítulo 1. Conceptos básicos

1.1 Introducción

En esta primera etapa de la escalada, conocerá los conceptos básicos de la seguridad de

la información.

Con cada concepto comprendido, usted

recibirá una nueva herramienta para ayudarle
en el montaje de su tienda de campaña y así
poder continuar la escalada de la montaña,
avanzando hacia los capítulos siguientes y
comprendiendo la forma como se implementa
la seguridad de la información.

En esta etapa aún no posee estas herramientas,

por ello, va a empezar a escalar con un campamento básico. Este campamento ilustra la
situación en que se encuentran las empresas en la etapa inicial de la implementación de
seguridad: bajo control sobre el ambiente, alto índice de riesgos, proceso de seguridad
personal e intuitiva, entre otros.

Entonces vamos a conocer los principales conceptos de la seguridad de la información y

por qué ella es necesaria para el éxito de los negocios de una empresa.
1.2 Objetivos

Comprender los conceptos básicos de la seguridad de la

información para obtener una mejor idea de sus
implicaciones.
Entender la importancia de la información en los
negocios de hoy en día para actuar con mayor prontitud en
su protección.
Identificar las diferencias entre los conceptos de seguridad
de la información en las empresas actuales y de
Objetivos seguridad de los objetos tangibles para posteriormente
definir posibles alternativas de protección.
1.3 Conceptos básicos de la seguridad de la información

Desde el surgimiento de la raza humana en

el planeta, la información estuvo presente
bajo diversas formas y técnicas. El hombre
buscaba representar sus hábitos, costumbres
e intenciones en diversos medios que
pudiesen ser utilizados por él y por otras
personas, además de la posibilidad de ser
llevados de un lugar a otro. La información
valiosa era registrada en objetos preciosos y
sofisticados, pinturas magníficas, entre
otros, que se almacenaban con mucho
cuidado en locales de difícil acceso, a cuya
forma y contenido sólo tenían acceso
quienes estuviesen autorizados o listos para
interpretarla.
En la actualidad la información es el objeto
de mayor valor para las empresas. El
progreso de la informática y de las redes de
comunicación nos presenta un nuevo
escenario, donde los objetos del mundo
real están representados por bits y bytes,
que ocupan lugar en otra dimensión y
poseen formas diferentes de las originales,
no dejando de tener el mismo valor que sus
objetos reales, y, en muchos casos, llegando
a tener un valor superior.

Por esto y otros motivos, la seguridad de la información es un asunto tan importante

para todos, pues afecta directamente a los negocios de una empresa o de un
individuo.

La seguridad de la información tiene como propósito proteger la

información registrada, independientemente del lugar en que se localice:
impresos en papel, en los discos duros de las computadoras o incluso en la
memoria de las personas que la conocen.
Ideas clave

Los objetos reales o tangibles (entendiendo por éstos aquellas cosas de valor
físico como joyas, pinturas, dinero, etc.) están protegidos por técnicas que
los encierran detrás de rejas o dentro de cajas fuertes, bajo la mira de
cámaras o guardias de seguridad. Pero,
Preguntas ¿Y la información que se encuentra dentro de servidores de archivos, qué
de reflexión transita por las redes de comunicación o que es leída en una pantalla de
 computadora? ¿Cómo hacer para protegerla, ya que no es posible usar las
mismas técnicas de protección de objetos reales?

Para dar respuesta a estas preguntas le invitamos a que continúe revisando el contenido
temático de esta unidad donde conoceremos con detalles los principios que nos
permitirán proteger la información. Por ahora en este capítulo cerraremos diciendo
que….

… una de las preocupaciones de

la seguridad de la información
es proteger los elementos que
forman parte de la
comunicación.
Así, para empezar, es necesario
identificar los elementos que la
seguridad de la información
busca proteger:
La información
Los equipos que la
soportan
Las personas que la
utilizan

Es importante, además, que todos los empleados de la compañía tomen conciencia sobre
el manejo de la información de forma segura, ya que de nada sirve cualquier sistema de
seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan
su usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta a
posibles ataques o filtraciones de información crítica al exterior de la compañía.
1.4 Lecciones aprendidas

Aprendimos a lo largo de este capítulo los conceptos

generales que conforman la seguridad de la información.
Comprendimos la importancia hoy en día para la empresa, de
proteger la información que maneja y que le permite
realizar su negocio.
Conocimos aquello que se requiere proteger en un sistema de
seguridad de información: la información, los equipos que
Lecciones la manejan o soportan y las personas que la utilizan.
aprendidas
Unidad 2. Activos.

2.1 Introducción

¿Sabía usted que el 94% de las empresas que pierden sus datos
desaparece? *

Según un estudio de la Universidad de Texas, sólo el 6% de las empresas

que sufren un desastre informático sobreviven. El 94% restante tarde o
Noticias del temprano desaparece. Investigaciones de Gartner Group, aunque más
mundo moderadas, respaldan esta tendencia al indicar que dos de cada cinco
empresas que enfrentan ataques o daños en sus sistemas dejan de existir.

Es por esto que Hitachi Data Systems asegura que el mercado de almacenamiento de
datos crecerá alrededor de un 12% anual en Chile hasta 2008.

Enrique Mosiejko, director regional Latinoamérica Sur de Hitachi Data Systems (HDS),
explica que "los datos de una empresa pueden desaparecer o dañarse de muchas formas.
Por una mala administración de la información, errores humanos, virus, hackers, ataques
terroristas o, incluso, desastres naturales. En Chile, por ejemplo, los terremotos y las
inundaciones son una seria amenaza para los equipos que almacenan la información
crítica de las compañías".

Como se puede observar en la noticia, es importante conocer los activos de la empresa y

detectar sus vulnerabilidades para asegurar la confidencialidad, disponibilidad e
integridad de la información. Es por ello, que en este capítulo abordaremos dichos temas.
*Fuente: http://www.mundoenlinea.cl/noticia.php?noticia_id=638&categoria_id=35
2.2 Objetivos

Conocer los diferentes tipos de activos en la empresa para

identificar todo aquello que la seguridad de la información
debe proteger.
Detectar posibles vulnerabilidades relacionadas con
dichos activos para prepararnos para su protección.
Conocer los principios básicos de la seguridad de la
información: confidencialidad, disponibilidad e
Objetivos integridad esto con la finalidad de valorar la importancia de
dichos conceptos en el manejo de la información.
2.3 Tipos de activos

Un activo es todo aquel elemento que compone el proceso de la

comunicación, partiendo desde la información, su emisor, el medio por el
cual se transmite, hasta su receptor.
Concepto
clave

Los activos son elementos que la seguridad de la información busca proteger. Los
activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una
protección adecuada para que sus negocios no sean perjudicados.

Son tres elementos que conforman lo que denominamos activos:

la información,
los Equipos que la soportan y,
las personas que los utilizan.

Revisaremos con un poco más de detalle los diferentes tipos de activos, para ello
consideramos esta clasificación:

A. Información

b. Equipos que la soportan: b.1 Software

b.2 Hardware
b.3 Organización
c. Personas que los utilizan o usuarios:
A.Información:

En este grupo están los elementos que contienen información registrada, en medio
electrónico o físico, dentro de los más importantes tenemos:

documentos
informes
libros
Ejemplos de este manuales
tipo de activos correspondencias
patentes
información de mercado
código de programación
líneas de comando
reportes financieros
archivos de configuración
planillas de sueldos de empleados
plan de negocios de una empresa, etc.

Robo de documentos, pérdida de archivos de configuración, entre otros.

Posibles
vulnerabilidades

B.1 Software:

Este grupo de activos contiene todos los programas de computadora que se utilizan
para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento
de la información. Entre ellos citamos:
 las aplicaciones comerciales
programas institucionales
sistemas operativos
otros

La seguridad de la información busca evaluar la forma en que se crean las aplicaciones,

cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por
otros sistemas, para detectar y corregir problemas existentes en la comunicación entre
ellos.

Las aplicaciones deberán estar protegidas para que la comunicación entre las bases de
datos, otras aplicaciones y los usuarios se realice de forma segura, atendiendo a los
principios básicos de la seguridad de la información.

Sistemas operativos (Unix, Windows, Linux, etc.), programas de

correo electrónico, bases de datos, aplicaciones específicas,
sistemas de respaldo entre otros.
Ejemplos de este
tipo de activos

Fallas publicadas de los sistemas operativos y las aplicaciones no reparadas

pueden representar accesos indebidos a los equipos. Son entradas usadas
Posibles
por hackers y virus.
vulnerabilidades

B. 2 Hardware:

Estos activos representan toda la infraestructura tecnológica que brinda soporte a la

información durante su uso, tránsito y almacenamiento.
Los activos que pertenecen a este grupo son:

Cualquier equipo en el cual se

almacene, procese o transmita la
información de la empresa.

las computadoras
los servidores
los equipos portátiles
Ejemplos de este los mainframes
tipo de activos los medios de almacenamiento
los equipos de conectividad, enrutadores, switchs y
cualquier otro elemento de una red de computadoras por
donde transita la información.

Fallas eléctricas que dañen los equipos, inundaciones en centros de

cómputo, robo de equipos portátiles.
Posibles
vulnerabilidades

B.3 Organización:

En este grupo se incluyen los aspectos que componen la estructura física y

organizativa de las empresas

.
Se refiere a la organización lógica y
física que tiene el personal dentro de
la empresa en cuestión.
 Como ejemplos de estructura organizativa , tenemos entre otros:
la estructura departamental y funcional
el cuadro de asignación de funcionarios
Ejemplos de este la distribución de funciones y los flujos de información de
tipo de activos la empresa
En lo que se refiere al ambiente físico , se consideran entre otros:
salas y armarios donde están localizados los documentos,
fototeca, sala de servidores de archivos.

Ubicación insegura de documentos, equipos o personas.

Estructura organizacional que no permita los cambios en materia
Posibles
de seguridad.
vulnerabilidades

C. Usuarios:

E l grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y

de comunicación de la empresa y que manejan la información

.
El enfoque de la seguridad en los usuarios, está
orientado hacia la toma de conciencia de
formación del hábito de la seguridad para la
toma de decisiones y acción por parte de todos
los empleados de una empresa, desde su alta
dirección hasta los usuarios finales de la
información, incluyendo los grupos que
mantienen en funcionamiento la estructura
tecnológica, como los técnicos, operadores y
administradores de ambientes tecnológicos.

Empleados del área de contabilidad.

Directivos de la empresa.

Ejemplos de este
tipo de activos
No usar contraseñas complejas.
No bloquear la computadora.
Falta de cooperación por parte de los usuarios en materia de
seguridad.
Posibles Descuido de parte de los usuarios en el manejo de la información.
Robo de información.
vulnerabilidades
2.4 Protección de los activos

Una vez que conocemos los diferentes tipos de activos que podemos encontrar en las
empresas, ahora profundizaremos en los principios básicos que nos ayudarán a proteger
el activo de más valor en los negocios modernos: la información

a) Principios básicos de la seguridad de la información

Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su
funcionalidad :
Corrompiéndola,
accediéndola indebidamente, o incluso
Eliminándola o hurtándola.

Por lo tanto, entendemos que la seguridad de la

información tiene en vista proteger a estos activos
de una empresa o individuo, con base en la
preservación de tres principios básicos:
integridad
confidencialidad y,
disponibilidad de la información.

Enseguida encontrará información más detallada de cada unos de estos principios:

a.1) Principio de la integridad de la información

El primero de los tres principios de la seguridad de la información que aplicamos es la

integridad, la cual nos permite garantizar que la información no ha sido alterada en su
contenido, por tanto, es íntegra.

Una información íntegra es una información que

no ha sido alterada de forma indebida o no
autorizada.
Para que la información se pueda utilizar, deberá
estar íntegra. Cuando ocurre una alteración no
autorizada de la información en un documento,
quiere decir que el documento ha perdido su
integridad.

La integridad de la información es fundamental para el éxito de la comunicación.

 El receptor deberá tener la seguridad de que la información obtenida, leída u oída es
exactamente la misma que fue colocada a su disposición para una debida finalidad. Estar
íntegra quiere decir estar en su estado original, sin haber sido alterada por quien no tenga
autorización para ello. Si una información sufre alteraciones en su versión original,
entonces la misma pierde su integridad, ocasionando errores y fraudes y perjudicando la
comunicación y la toma de decisiones.
La quiebra de integridad ocurre cuando la información se corrompe, falsifica o burla.

Una información se podrá alterar de varias formas, tanto su contenido como el ambiente
que la soporta. Por lo tanto, la quiebra de la integridad de una información se podrá
considerar bajo dos aspectos:

1. Alteraciones del contenido de los documentos – donde se realizan inserciones,

sustituciones o remociones de partes de su contenido;

2. Alteraciones en los elementos que soportan la información – donde se realizan

alteraciones en la estructura física y lógica donde una información está almacenada.
Citemos unos ejemplos:

Cuando se alteran las configuraciones de un sistema para tener acceso

a informaciones restrictas, cuando se superan las barreras de seguridad
de una red de computadoras. Todos son ejemplos de quiebra de la
integridad que afectan a la seguridad. Por lo tanto, la práctica de la
Ejemplo seguridad de la información tiene como objeto impedir que ocurran
eventos de quiebra de integridad, causando daños a las personas y
empresas.
¿Qué tan importante es para usted que la información de sueldos en
su empresa no se vea alterada por accidente o delito?
¿Sabe usted si la información sobre proyectos de negocio
Preguntas de confidenciales está segura y libre de poder ser alterada por terceros?
reflexión

Veamos unas notas finales del propósito que queremos lograr al asegurar la integridad de
la información el cual va muy ligado al principio que veremos enseguida; la
confidencialidad de la información.

Garantía de la integridad de la información

 Buscar la integridad es asegurarnos que sólo las personas
autorizadas puedan hacer alteraciones en la forma y contenido
de una información, así como en el ambiente en el cual la misma es
almacenada y por el cual transita, es decir, en todos los activos.
Por lo tanto, para garantizar la integridad, es necesario que todos
los elementos que componen la base de gestión de la información se
mantengan en sus condiciones originales definidas por sus
responsables y propietarios.
En resumen: garantizar la integridad es uno de los principales
objetivos para la seguridad de las informaciones de un individuo o
empresa.

a. 2) Principio de la confidencialidad de la información

El principio de la confidencialidad de la información tiene como propósito el asegurar

que sólo la persona correcta acceda a la información que queremos distribuir.

La información que se intercambian entre

individuos y empresas no siempre deberá ser
conocida por todo el mundo. Mucha de la
información generada por las personas se
destina a un grupo específico de individuos, y
muchas veces a una única persona. Eso
significa que estos datos deberán ser
conocidos sólo por un grupo controlado de
personas, definido por el responsable de la
información.

Por ese motivo, se dice que la información posee un grado de confidencialidad que se deberá
preservar para que personas sin autorización no la conozcan.
Tener confidencialidad en la comunicación, es la seguridad de que lo que se dijo a alguien o
escribió en algún lugar será escuchado o leído sólo por quien tenga ese derecho.
Pérdida de confidencialidad significa pérdida de secreto. Si una información es
confidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas no
autorizadas.
 ¿Sabe usted quién pueda acceder a su información?
¿Está guardada de forma suficientemente segura para que personas no
autorizadas no la accedan?
¿El envío y la guardia de la información confidencial se realiza de forma
segura y también los medios por los cuáles transita son controlados,
Preguntas de conocidos y seguros?
reflexión Si la respuesta para alguna de estas preguntas es negativa, entonces ha llegado el
momento de pensar en la seguridad de la información para garantizar la
confidencialidad de la información de su empresa.
Pensemos en el caso de una tarjeta de crédito, el número de la tarjeta sólo
podrá ser conocido por su dueño y por el vendedor de la tienda donde lo usa.
Si este número es descubierto por alguien malintencionado, como en los casos
denunciados en los diarios de delitos en Internet, el daño de esa pérdida de
confidencialidad podrá ser muy elevado, pues este número podrá ser usado por
alguien para hacer compras vía Internet, trayendo pérdidas financieras y un gran
dolor de cabeza para el propietario de la tarjeta.
Ejemplo Lo mismo sucede en el caso de uso indebido de contraseñas de acceso a
sistemas de bancos, por ejemplo. Miles de dólares se roban diariamente por la
acción de criminales virtuales que se dedican a invadir sistemas para quebrar la
confidencialidad de las personas y empresas.
Garantía de la confidencialidad de la información
Garantizar la confidencialidad es uno de los factores determinantes
para la seguridad y una de las tareas más difíciles de implementar,
pues involucra a todos los elementos que forman parte de la
comunicación de la información, desde su emisor, el camino que ella
recorre, hasta su receptor. Y también, cuanto más valiosa es una
información, mayor debe ser su grado de confidencialidad. Y cuanto
mayor sea el grado de confidencialidad, mayor será el nivel de
seguridad necesario de la estructura tecnológica y humana que
participa de este proceso: del uso, acceso, tránsito y almacenamiento
de las informaciones.
Se deberá considerar a la confidencialidad con base en el valor que la
información tiene para la empresa o la persona y los impactos que
podría causar su divulgación indebida. Siendo así, debe ser accedida,
leída y alterada sólo por aquellos individuos que poseen permisos para
tal. El acceso debe ser considerado con base en el grado de sigilo de
las informaciones, pues no todas las informaciones sensibles de la
empresa son confidenciales
Pero para garantizar lo anterior, sólo la confidencialidad de las
informaciones no es suficiente, es importante que además de ser
confidenciales, las informaciones también deben estar íntegras. Por lo
tanto, se debe mantener la integridad de una información, según el
principio básico de la seguridad de la información.
Como se acaba de mencionar, la forma de instrumentar la confidencialidad de la
información es a través del establecimiento del grado de sigilo, veamos enseguida este
concepto fundamental:

Grado de sigilo: L a información generada por las personas tiene un fin

específico y se destina a un individuo o grupo. Por lo tanto, la información
necesita una clasificación en lo que se refiere a su confidencialidad. Es lo que
denominamos grado de sigilo, que es una graduación atribuida a cada tipo de
información, con base en el grupo de usuarios que poseen permisos de acceso.
Concepto clave

Dependiendo del tipo de información y del público para el cual se desea colocar a
disposición los grados de sigilo podrán ser:

Confidencial
Restricto
Sigiloso
Público

a. 3 Principio de disponibilidad de la información:

Una vez que nos aseguramos que la información correcta llegue a los destinatarios o
usuarios correctos, ahora lo que debemos garantizar es que llegue en el momento
oportuno, y precisamente de esto trata el tercer principio de la seguridad de la
información: la disponibilidad.

Para que una información se pueda utilizar, deberá

estar disponible. La disponibilidad es el tercer
principio básico de la seguridad de la información.
Se refiera a la disponibilidad de la información y de
toda la estructura física y tecnológica que permite
el acceso, tránsito y almacenamiento.
La disponibilidad de la información permite que:
Se utilice cuando sea necesario
Que esté al alcance de sus usuarios y
destinatarios
Se pueda accederla en el momento en que
necesitan utilizarla.

Este principio está asociado a la adecuada estructuración de un ambiente tecnológico y

humano que permita la continuidad de los negocios de la empresa o de las personas, sin
impactos negativos para la utilización de las informaciones. No basta estar disponible: la
información deberá estar accesible en forma segura para que se pueda usar en el
momento en que se solicita y que se garantice su integridad y confidencialidad

.
Así, el ambiente tecnológico y los soportes de la información deberán estar funcionando
correctamente y en forma segura para que la información almacenada en los mismos y
que transita por ellos pueda ser utilizada por sus usuarios.

¿La información necesaria para la toma de decisiones críticas para su

negocio, se encuentra siempre disponible?
¿Sabe si existen vulnerabilidades que lo impidan?
Preguntas de ¿Cuenta con sistemas de respaldo de información?
reflexión

Durante una reunión de altos ejecutivos de su empresa, los

servicios de base de datos de la compañía fallan y esto impide que
se pueda tomar una decisión clave en materia de negocios.
Tras un incendio en una de sus oficinas, se destruye la información
Ejemplos de ventas de la compañía y no se contaba con un respaldo de la
misma.

Enseguida citamos requerimientos que nos posibilitan que cerremos el círculo de la

seguridad y que hagamos llegar la información correcta a la persona autorizada en el
momento oportuno:

Garantía de la disponibilidad de la información

Para que se pueda garantizar la disponibilidad de la información, es
necesario conocer cuáles son sus usuarios, con base en el principio de
la confidencialidad, para que se puedan organizar y definir las
formas de colocación en disponibilidad, garantizando, conforme el
caso, su acceso y uso cuando sea necesario.
La disponibilidad de la información se deberá considerar con base en el
valor que tiene la información y en el impacto resultante de su falta de
disponibilidad.
Para garantizar la disponibilidad, se toman en cuenta muchas medidas.
Entre ellas destacamos:
La configuración segura de un ambiente, donde todos los
elementos que forman parte de la cadena de la comunicación
están dispuestos en forma adecuada para asegurar el éxito de la
lectura, tránsito y almacenamiento de la información.
También se realizan las copias de respaldo – backup . Hacer el
respaldo de información permite que las mismas estén duplicadas
 en otro local para ser utilizadas en caso de no ser posible
recuperarlas de su base original.
Para aumentar aún más la disponibilidad de la información deberán:
Definirse estrategias para situaciones de contingencia.
Establecerse rutas alternativas para el tránsito de la
información, para garantizar su acceso y la continuidad de los
negocios incluso cuando algunos de los recursos tecnológicos, o
humanos, no estén en perfectas condiciones de operación.
2.5 Lecciones aprendidas
Este capitulo nos permitió conocer varios conceptos nuevos
de seguridad de información, lo que permitirá acelerar
nuestro proceso rumbo a la creación de una política de
seguridad.
Aprendimos que la información debe contar con: Integridad,
confidencialidad y disponibilidad para que sea útil a la
organización.
Lecciones Categorizamos los diferentes tipos de activos en la empresa ,
aprendidas e identificamos posibles vulnerabilidades en los mismos.
Esto ayudará para saber en cuáles de ellos se tiene que poner
más atención en materia de seguridad.
Unidad 3. Amenazas y puntos débiles

3.1 Introducción

Atos Origin, socio tecnológico mundial del Comité Olímpico

Internacional (COI), anunció en Londres, 17 de septiembre del 2004, que
la solución de seguridad implantada en la infraestructura tecnológica de
los Juegos Olímpicos de Atenas 2004 consiguió solventar sin problemas
los ataques de virus y hackers que se produjeron durante el evento,
garantizando así la ausencia de interrupciones y una retransmisión de los
resultados precisa y en tiempo real tanto a los medios de comunicación
como al resto del mundo.
Durante los 16 días que duró la competición se registraron más de cinco
millones de alertas de seguridad en los sistemas informáticos de los
Juegos, de las cuales 425 fueron graves y 20 críticas. Entre los intrusos se
encontraban personas autorizadas que pretendían desconectar el sistema
INFO 2004 -la Intranet de los Juegos Olímpicos que ofrecía los
resultados y el calendario e información de los deportistas- con el fin de
Noticias del conectar ordenadores portátiles para obtener acceso a Internet. El equipo
mundo responsable fue capaz de ofrecer una rápida respuesta a todas estas
alertas y de evitar accesos no autorizados.
“En vista del enorme aumento de ataques y virus informáticos de los
últimos años, Atos Origin convirtió la seguridad tecnológica en su
máxima prioridad, mejorándola de forma significativa con respecto a la
de Salt Lake City”, declara el Director de Tecnología del COI, Philippe
Verveer. “Atos Origin ha gestionado de forma efectiva y eficaz el gran
número de alertas de seguridad registradas durante los Juegos,
garantizando que su infraestructura tecnológica no se viera afectada”.
Fuente: http://www.sema.es/noticia_extendida_home.asp?id=64

La noticia presentada, nos lleva a confirmar que el conocer perfectamente las posibles
amenazas y riesgos a los que se encuentran expuestos nuestros activos, permite que
nuestro trabajo pueda convertirse en un caso de éxito. Veamos entonces, en este capítulo,
lo concerniente a las amenazas y puntos débiles.
3.2 Objetivos
Conocer los diferentes tipos de amenazas que puedan
presentarse en todos los activos de la empresa, para reconocer
su importancia y permitirnos minimizar el impacto que
provocan.
Identificar los diferentes tipos de puntos débiles de los
activos y conocer cómo éstos pueden permitir que las
Objetivo amenazas alteren la disponibilidad, confidencialidad o
integridad de la información.
3.3 Amenazas

Las amenazas son agentes capaces de explotar los fallos de seguridad que
denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a
los activos de una empresa, afectando sus negocios.
Concepto
clave

Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la
integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre
existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser:

causas naturales o no naturales

causas internas o externas

Por lo tanto, entendemos que uno de los objetivos de la seguridad de la información es

impedir que las amenazas exploten puntos débiles y afecten alguno de los principios
básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad),
causando daños al negocio de las empresas.
Dada la importancia de las amenazas y el impacto que puede tener para la información de
las organizaciones, revisemos ahora su clasificación.
Tipos de amenazas
Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-
tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se
concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres
grandes grupos:

1. Amenazas naturales – condiciones de la naturaleza y la intemperie que podrán causar daños a los
activos, tales como fuego, inundación, terremotos,

2. Intencionales – son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y

ataques, robos y hurtos de información, entre otras.

3. Involuntarias - son amenazas resultantes de acciones inconscientes de usuarios, por virus

electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales
como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la divulgación de contraseñas y

la acción de hackers están entre las más frecuentes.
A continuación se presentan algunos datos de manera resumida de los resultados de la encuesta y
las principales amenazas identificadas en las empresas investigadas.
 En la 6ª Encuesta Nacional sobre Seguridad de la Información realizada por Modulo Security
Solutions S.A. en Brasil en el año 2000, se revelan los elementos que representan las principales
amenazas a la información de las empresas brasileñas.

Estadística

Con la importancia estratégica que vienen conquistando las tecnologías de la

información, los perjuicios de invasiones e incidentes en la red, provocan cada año
mayor impacto en los negocios de las empresas brasileñas.
El mercado está más atento a los nuevos peligros que resultan de la presencia y uso del
Internet. Siete de cada diez ejecutivos entrevistados creen que habrá un crecimiento de
los problemas de seguridad en 2000; el 93% reconoce la gran importancia de la
protección de los datos para el éxito del negocio, siendo que, el 39% la considera vital
para el ambiente corporativo.
El control de lo que ocurre en las redes corporativas ha sido uno de los puntos más
débiles en las empresas brasileñas. Destacamos los siguientes factores críticos
detectados por la encuesta:

Solamente el 27% afirma nunca haber sufrido algún tipo de ataque.

Cerca del 41% no sabe ni siquiera que fueron invadidos, revelando el gran
riesgo que las organizaciones corren por no conocer los puntos débiles de la red
interna
Para el 85% de las empresas, no fue posible cuantificar las pérdidas causadas
por invasiones o contingencias ocurridas.
El acceso a Internet vía módem se permite en el 38% de las empresas. Éste
es un gran peligro indicado por la encuesta, ya que las empresas no
destacaron la utilización de medidas de seguridad para este uso.
El 75% de las empresas menciona que los virus son la mayor amenaza a la
seguridad de la información en las empresas. Aunque el 93% de las
corporaciones afirme haber adoptado sistemas de prevención contra virus, el
48% sufrió contaminación en los últimos seis meses y sólo el 11% de las
empresas entrevistadas declaró nunca haber sido infectada.
La divulgación de contraseñas fue indicada como la segunda mayor amenaza a
la seguridad, con el 57% de menciones. Los hackers, tradicionalmente los
mayores villanos de Internet, aparecen en tercer lugar (44%) y empleados
insatisfechos (42%) en cuarto lugar.
3.4 Puntos débiles

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología
también surgirán nuevas formas en las que la información puede llegar a estar expuesta,
por tanto es importante conocer el marco general de cómo se clasifican las
vulnerabilidades o puntos débiles que pueden hacer que esas amenazas impacten nuestro
sistemas, comprometiendo los principios de la seguridad de nuestra información.
Puntos débiles
Los puntos débiles son los elementos que, al
ser explotados por amenazas, afectan la
confidencialidad, disponibilidad e
integridad de la información de un
individuo o empresa. Uno de los primeros
pasos para la implementación de la
seguridad es rastrear y eliminar los puntos
débiles de un ambiente de tecnología de la
información.
Al ser identificados los puntos débiles, será
posible dimensionar los riesgos a los cuales
el ambiente está expuesto y definir las
medidas de seguridad apropiadas para su
corrección.

Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la
información . La existencia de puntos débiles está relacionada con la presencia de elementos
que perjudican el uso adecuado de la información y del medio en que la misma se está
utilizando.

Podemos comprender ahora otro objetivo de la seguridad de la información: la corrección de

puntos débiles existentes en el ambiente en que se usa la información, con el objeto de
reducir los riesgos a que está sometida, evitando así la concretización de una amenaza.

Ahora profundizaremos un poco más en la descripción de cada uno de estos tipos de

vulnerabilidades:

a) Vulnerabilidades físicas

Los puntos débiles de orden físico son aquellos presentes en los

ambientes en los cuales la información se está almacenando
 Físicas o manejando.
Como ejemplos de este tipo de vulnerabilidad se distinguen: i
instalaciones inadecuadas del espacio de trabajo, ausencia de recursos
Ejemplo para el combate a incendios, disposición desorganizada de cables de
energía y de red, ausencia de identificación de personas y de locales,
entre otros.

Estos puntos débiles, al ser explotados por amenazas, afectan directamente los principios
básicos de la seguridad de la información, principalmente la disponibilidad.

b) Vulnerabilidades naturales

Los puntos débiles naturales son aquellos relacionados con las

condiciones de la naturaleza que puedan colocar en riesgo la
información.

Naturales
Muchas veces, la humedad, el polvo y la contaminación podrán causar daños a los
activos. Por ello, los mismos deberán estar protegidos para poder garantizar sus
funciones.

La probabilidad de estar expuestos a las amenazas naturales es determinante en la

elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local,
de acuerdo con el tipo de amenaza natural que pueda ocurrir en una determinada región
geográfica.

Entre las amenazas naturales más comunes podemos citar:

ambientes sin protección contra incendios,
Ejemplo locales próximos a ríos propensos a inundaciones,
infraestructura incapaz de resistir a las manifestaciones de la
naturaleza como terremotos, maremotos, huracanes etc.

c) Vulnerabilidades de hardware

Los posibles defectos en la fabricación o configuración de los equipos

de la empresa que pudieran permitir el ataque o alteración de los
mismos.
 De hardware

Existen muchos elementos que representan puntos débiles de hardware. Entre ellos
podemos mencionar:

la ausencia de actualizaciones conforme con las orientaciones de los fabricantes

de los programas que se utilizan, y
conservación inadecuada de los equipos.

Por ello, la seguridad de la información busca evaluar:

si el hardware utilizado está dimensionado correctamente para sus funciones .

si posee área de almacenamiento suficiente, procesamiento y velocidad
adecuados.

o La falta de configuración de respaldos o equipos de

contingencia pudiera representar una vulnerabilidad para los
Ejemplo
sistemas de la empresa.

d) Vulnerabilidades de software

Los puntos débiles de aplicaciones permiten que ocurran accesos

indebidos a sistemas informáticos incluso sin el conocimiento de un
De software usuario o administrador de red.

Los puntos débiles relacionados con el software podrán ser explotados por diversas
amenazas ya conocidas.

Entre éstos destacamos:

La configuración e instalación indebidas de los programas de computadora, que

podrán llevar al uso abusivo de los recursos por parte de usuarios mal
intencionados. A veces la libertad de uso implica el aumento del riesgo.

Lectores de e-mail que permiten la ejecución de códigos maliciosos,

editores de texto que permiten la ejecución de virus de macro etc.
Ejemplo Estos puntos débiles colocan en riesgo la seguridad de los ambientes
tecnológicos.

Las aplicaciones son los elementos que realizan la lectura de la información y

que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por
 esta razón, se convierten en el objetivo predilecto de agentes causantes de
amenazas.

También podrán tener puntos débiles de aplicaciones los

programas utilizados para la edición de texto e imagen, para la
Ejemplo automatización de procesos y los que permiten la lectura de la
información de una persona o empresa, como los navegadores de
páginas del Internet.
Los sistemas operativos como Microsoft ® Windows ® y Unix ®, que ofrecen
la interfaz para configuración y organización de un ambiente tecnológico. Estos
son el blanco de ataques, pues a través de los mismos se podrán realizar cualquier
alteración de la estructura de una computadora o red.

Estas aplicaciones son vulnerables a varias acciones que afectan

su seguridad, como por ejemplo la configuración e instalación
Ejemplo inadecuada, ausencia de actualización, programación insegura etc.

e) Vulnerabilidades de medios de almacenaje

Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan
para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están
expuestos podemos citar:

disquetes
cd-roms
cintas magnéticas
discos duros de los servidores y de las bases de datos, así como lo que está
registrado en papel.

Por lo tanto….
Si los soportes que almacenan información, no se utilizan de
forma adecuada , el contenido en los mismos podrá estar
vulnerable a una serie de factores que podrán afectar la
integridad, disponibilidad y confidencialidad de la
información

De medios de
almacenaje.
.
Los medios de almacenamiento podrán ser afectados por puntos débiles
que podrán dañarlos e incluso dejarlos indispuestos. Entre estos puntos
Ejemplo débiles, destacamos los siguientes:
plazo de validez y caducidad
 defecto de fabricación
uso incorrecto
lugar de almacenamiento en locales insalubres o con alto nivel de
humedad, magnetismo o estática, moho, etc..

f) Vulnerabilidades de comunicación

Este tipo de punto débil abarca todo el tránsito de la

información .
Donde sea que la información transite, ya sea vía cable,
satélite, fibra óptica u ondas de radio, debe existir seguridad. El
éxito en el tránsito de los datos es un aspecto crucial en la
implementación de la seguridad de la información.

De comunicación
Hay un gran intercambio de datos a través de medios de comunicación que rompen
barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.

Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el
propósito de evitar que:

Cualquier falla en la comunicación haga que una información quede no

disponible para sus usuarios, o por el contrario, estar disponible para quien no
posee derechos de acceso.
La información sea alterada en su estado original, afectando su integridad .
 La información sea capturada por usuarios no autorizada, afectando su
confidencialidad.

Por lo tanto, la seguridad de la información también está asociada con el desempeño de

los equipos involucrados en la comunicación, pues se preocupa por: la calidad del
ambiente que fue preparado para el tránsito, tratamiento, almacenamiento y lectura
de la información.

o La ausencia de sistemas de encriptación en las

comunicaciones que pudieran permitir que personas ajenas a la
organización obtengan información privilegiada.
Ejemplo
o La mala elección de sistemas de comunicación para envío de
mensajes de alta prioridad de la empresa pudiera provocar que
no alcanzaran el destino esperado o bien se interceptara el
mensaje en su tránsito.
g) Vulnerabilidades humanas

Esta categoría de vulnerabilidad está relacionada con los daños

que las personas pueden causar a la información y al
ambiente tecnológico que la soporta.

Humanas
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los
errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes
institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de
seguridad adecuadas para ser adoptadas por cada elemento constituyente,
principalmente los miembros internos de la empresa.

.
Destacamos dos puntos débiles humanos por su grado de frecuencia:

la falta de capacitación específica para la ejecución de las actividades inherentes

a las funciones de cada uno,
la falta de conciencia de seguridad para las actividades de rutina, los errores,
omisiones, insatisfacciones etc.

En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos

considerar todas aquéllas que puedan ser exploradas por amenazas como:

vandalismo,
estafas,
invasiones, etc.

Contraseñas débiles, falta de uso de criptografía en la comunicación,

compartimiento de identificadores tales como nombre de usuario o
Ejemplo credencial de acceso, entre otros.
3.5 Lecciones aprendidas
Este capítulo nos dio la oportunidad de conocer que las
amenazas se pueden dividir en tres grandes grupos:
naturales, involuntarias e intencionales.
Además, aprendimos que las amenazas no son
únicamente provenientes de personas ajenas a la
empresa, si no que también pueden provenir de eventos
naturales o incluso errores humanos. Esto incrementa
nuestro panorama en torno a la seguridad.
Identificamos algunas categorías de los diferentes puntos
débiles o vulnerabilidades que pueden encontrarse en los
activos de la empresa.
Lecciones aprendidas
Reconocimos algunos ejemplos de puntos débiles
existentes en elementos físicos, humanos, de
comunicación, entre otros, permitiéndonos tener una
idea mucho más clara de los riesgos a los que se enfrenta
nuestro negocio.
Unidad 4. Riesgos, medidas y ciclo de seguridad

Introducción

Expertos en seguridad informática reunidos en Kuala Lumpur , Malasia

explicaron que problemas en cierto software podrían permitir tomar el
control del teléfono en forma remota, leer la agenda de direcciones o
escuchar secretamente una conversación. Advirtieron que la última
generación de teléfonos móviles es vulnerable a los hackers, según
informó el sitio de noticias de la BBC.
Los asistentes a la conferencia "Hack in the Box", realizada en la capital
de Malasia, fueron testigos de una demostración sobre los defectos de
seguridad encontrados en Java 2 Micro Edition o J2ME, software
desarrollado conjuntamente por Sun Microsystems, Nokia, Sony
Ericsson y Motorola.
La vulnerabilidad del software, que viene incluido en teléfonos
"inteligentes" fabricados por estas compañías, está relacionada con la
manera en que Java trata de evitar que el sistema operativo acepte
Noticias del órdenes desde el exterior, señaló un portavoz.
mundo "La nueva generación de teléfonos en realidad viene con un software
mucho más poderoso dentro del sistema operativo", manifestó Dylan
Andrew, el organizador del encuentro. "Hemos encontrado nuevos
ataques que afectan a éstas nuevas plataformas y que permiten al
atacante, por ejemplo, tomar el control del teléfono celular en forma
remota, quizás leer la agenda de direcciones o escuchar secretamente un
conversación", agregó.
Sin embargo, el director de seguridad inalámbrica de la compañía
McAfee, aclaró que el riesgo, si bien existe, aún es mínimo.
Fuente: http://www.laflecha.net/canales/seguridad/200410061/

Noticias como está son comunes en el mundo de hoy. Todos los días nos enteramos de
posibles riesgos en diferentes dispositivos o sistemas de manejo de información. Para
poder prevenir dichos riesgos es necesario conocerlos a fondo, así como conocer las
medidas de seguridad necesarias para minimizarlos.
4.2 Objetivos

Conocer el concepto de riesgo y su implicación en la

seguridad de la información de la empresa.
Distinguir la diferencia entre aplicar o no medidas de
seguridad en los diferentes aspectos de nuestra empresa.
Comprender lo que se conoce como ciclo de seguridad, que
nos permitirá mantener vigente nuestras acciones en esta
Objetivo materia.
4.3 Riesgos

El riesgo es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas
o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la
integridad y la disponibilidad de la información.
Concepto
clave
Riesgos

C oncluimos que la seguridad es una práctica orientada

hacia la eliminación de las vulnerabilidades para
evitar o reducir la posibilidad que las potenciales
amenazas se concreten en el ambiente que se quiere
proteger. El principal objetivo es garantizar el éxito de
la comunicación segura, con información disponible,
íntegra y confidencial, a través de medidas de
seguridad que puedan tornar factible el negocio de un
individuo o empresa con el menor riesgo posible.
4.4 Medidas de seguridad

Las medidas de seguridad son acciones orientadas hacia la eliminación de

vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas
medidas son el paso inicial para el aumento de la seguridad de la información en un
ambiente de tecnología de la información y deberán considerar el todo.
Concepto clave
Medidas de seguridad
Ya que existe una variedad de clases de puntos
débiles que afectan la disponibilidad,
confidencialidad e integridad de la información,
deberán existir medidas de seguridad específicas
para el tratamiento de cada caso.

Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el

ambiente en sus mínimos detalles, buscando los puntos débiles existentes.

A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden
ser de índole:

Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y

amenazas;
Perceptivo: orientado hacia la revelación de actos que pongan en riesgo la
información o
Correctivo: orientado hacia la corrección de los problemas de seguridad
conforme su ocurrencia.

Medidas globales de seguridad

Las medidas de seguridad son un
conjunto de prácticas que, al ser
integradas, constituyen una
solución global y eficaz de la
seguridad de la información. Entre
las principales medidas se destacan:
Análisis de riesgos
Política de seguridad
Especificación de
seguridad
Administración de
seguridad

La seguridad de la información debe ser garantizada en una forma integral y completa de

ahí que resulte de mucha utilidad conocer con un poco más de detalle estas cuatro
medidas de seguridad que permiten movernos desde el análisis de riesgos hasta la
administración de la seguridad:
a)Análisis de Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser
riesgos explotados por amenazas . El análisis de riesgos tiene como resultado un grupo de
recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

b) Política de Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos
seguridad los involucrados con el uso y mantenimiento de los activos . Es una forma de suministrar un
conjunto de normas para guiar a las personas en la realización de sus trabajos. Es el primer paso
para aumentar la conciencia de la seguridad de las personas , pues está orientada hacia la
formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.

c) Especificación Son medidas que tienen en mira instruir la correcta implementación de un nuevo ambiente
de seguridad tecnológico , por medio del detalle de sus elementos constituyentes y la forma con que los
mismos deben estar dispuestos para atender a los principios de la seguridad de la información.
d) Administración Son medidas integradas para producir la gestión de los riesgos de un ambiente. La
de la seguridad administración de la seguridad involucra a todas las medidas mencionadas anteriormente,
en forma preventiva, perceptiva y correctiva , con base en el ciclo de la seguridad que
presentamos a continuación
4.5 Ciclo de seguridad
Ahora que usted ya conoce todos los conceptos necesarios para comprender lo que es la
seguridad, presentamos a continuación el ciclo de la seguridad de la información, con
todos sus conceptos básicos.
Ciclo de seguridad de la información
El ciclo de seguridad se inicia con la
identificación de las amenazas a las cuales están
sometidas las empresas. La identificación de
las amenazas permitirá la visualización de los
puntos débiles que se podrán explotar,
exponiendo los activos a riesgos de seguridad.
Esta exposición lleva a la pérdida de uno o más
principios básicos de la seguridad de la
información, causando impactos en el negocio
de la empresa, aumentando aún más los riesgos
a que están expuestas las informaciones.
Para que el impacto de estas amenazas al
negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos
débiles.
Así, concluimos la definición de seguridad de la información desde la ilustración del ciclo:

Como podemos ver en el diagrama anterior. Los riesgos en la seguridad de la empresa

aumentan en la medida que las amenazas pueden explotar las vulnerabilidades, y por
tanto causar daño en los activos. Estos daños pueden causar que la confidencialidad,
integridad o disponibilidad de la información se pierda, causando impactos en el negocio
de la empresa.

Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo
sea de mucho menor impacto para los activos, y por tanto, para la empresa.

Por lo tanto, la seguridad es … … una actividad cuyo propósito es:

proteger a los activos contra
accesos no autorizados ,
evitar alteraciones indebidas que
pongan en peligro su integridad
garantizar la disponibilidad de la
información

Y es instrumentada por medio de políticas y procedimientos de seguridad que

permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la
preservación de la confidencialidad, integridad y disponibilidad de la información.
4.6 Lecciones aprendidas

Identificamos la manera en que debemos visualizar los

diferentes riesgos a los que está expuesta nuestra
empresa, lo que nos permitirá reducirlos y aumentar la
seguridad de los activos.
Comprendimos los diferentes tipos de medidas de
seguridad que podemos tomar en la empresa, ya sean
preventivas, perceptivas o correctivas para aplicarlas
y de esta forma disminuir los posibles impactos o
daños resultados de los ataques.
Lecciones aprendidas
Conocimos el ciclo de seguridad, en el que se recurre
a las diferentes medidas para evitar la ocurrencia de
vulnerabilidades.