FUNDAMENTOS DE

SEGURIDAD INFORMÁTICA

Ricardo López

EJE 1
Conceptualicemos

Fuente: Shutterstock/258980774
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Introducción a los fundamentos de seguridad informática . . . . . . . . . . . . . . 4

Hablemos ahora de la seguridad informática . . . . . . . . . . . . . . . . . . . . . . 8

Analicemos ahora el riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Amenaza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Ataque informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Protección de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Política de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Estándares, normas y leyes que existen a nivel de seguridad informática . . . . 16

ISO 27001 SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Tríada de Componentes de la Seguridad Informática CID . . . . . . . . . . . 19

Buenas prácticas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
ÍNDICE
 Introducción

¿De qué y qué se debe proteger en los sistemas informáticos y la información?

La asignatura fundamentos de seguridad informática, ofrece una visión inicial

de la seguridad de la información y los sistemas informáticos, con el objetivo de
acercar a los estudiantes a este maravilloso mundo, y ofrecer una alternativa
más, a profesionales de la ingeniería.

El marco metodológico que ofrece esta asignatura es teórico – práctico, el estu-

diante aprenderá conceptos, definiciones y temas, para posteriormente ponerlos
INTRODUCCIÓN

en práctica.

En este primer eje del conocimiento, se abarcarán los conceptos básicos de

la seguridad informática y se inducirá al estudiante a tomar una postura crítica
reflexiva, frente a los problemas de seguridad a los que está expuesta la informa-
ción y los dispositivos que la contienen.

Para un mejor entendimiento de los temas, nos apoyaremos de video cáp-

sulas, video relatos, lecturas complementarias, casos prácticos, talleres, entre
otros recursos.
 Introducción
a los fundamentos
de seguridad
informática
 Como elemento introductorio los invito a ver el video “Especial Ciberseguridad C24 –
2017- Min TIC” el cual nos dará una visión general sobre la ciberseguridad y ciberdefensa
en Colombia.

Video
Información
Especial Ciberseguridad C24 – 2017- Min TIC Se entiende como el conjunto de
datos que forman el mensaje.
https://www.youtube.com/watch?v=t-DuCpJ0sHQ

En la actualidad vivimos en el mundo de la información, de ahí la famosa frase “Quien

tiene la información tiene el poder” pero en realidad no es suficiente tener la información,
se le debe dar un correcto tratamiento a esta, para que se convierta en el poder.

El desarrollo de las Tic ha generado un estrecho lazo entre la información y la tecno-

logía y cada día se vuelve más dependiente de la misma.

Por otra parte, la tecnología ha masificado la información y la ha llevado a todos los

rincones del mundo lo cual es un excelente valor agregado pero esta misma expo-
sición de la información la hace vulnerable a robo, daño, modificación, alteración,
denegación, entre otros muchos elementos que la pueden afectar.

Es importante entender que cualquier información

subida a internet estará expuesta al riesgo indiferente del Personal de TI
lugar donde la guarde. Se entiende como las personas que
trabajan en el departamento de
Tecnologías de la Información y la
Parte de nuestra labor como personal de TI es desarrollar comunicación, comúnmente conoci-
procesos y políticas de seguridad tendientes a minimizar el do como departamento de sistemas.

riesgo y el impacto de algún evento fortuito.

Lectura recomendada

Para comenzar esta sección de conceptos los invito a realizar la lectura del Título
dos de la norma ISO 17799, en la cual se definen términos y conceptos utilizados en
la seguridad informática

Título dos de la norma ISO 17799

Norma Técnica Colombiana

Fundamentos de seguridad informática - eje 1 conceptualicemos 5

 La información es el conjunto de datos ordenados que sirven para construir
un mensaje, esta información, es empleada por el ser humano para construir
el conocimiento y desarrollar actividades, permite tomar decisiones y gene-
rar nuevas ideas, emplea el uso de códigos, símbolos o señales para dar un
Información mensaje y poder usar un lenguaje en común, también permite enriquecerla
constantemente y puede ser transmitida, modificada y adaptada de acuerdo
a la necesidad de las personas.

La informática se entiende como el procesamiento automático de la infor-

mación por medio de dispositivos electrónicos y/o equipos de cómputo, esta
permite a la rama de la computación y/o Tecnologías de la Información y
Comunicación (TIC), estudiar y emplear diferentes procesos (métodos o téc-
Informática nicas), para su sistematización, almacenamiento, procesamiento, transmisión
de la información en formatos o medios digitales. Informática
Elemento que emplea el ser hu-
mano para adquirir o transformar
los conocimientos para su optimi-
zación y mejoramiento continuo.

En computación los datos se definen como el conjunto de valores y operaciones Datos

Representa la simbología que de-
los cuales son interpretados por el lenguaje de programación que representa, fine un lenguaje (natural, cultural,
interpreta y estructura los objetos o valores que se almacenan en la memoria del científico, financiero, estadístico,
geográfico, etc.).
ordenador. Encontramos diferentes tipos de datos como numéricos, alfabéticos,
algorítmicos, al agrupar estos nos da como resultado información útil para su Empírica
Datos Hace referencia al desarrollo de
posterior tratamiento, ya sea de forma empírica, cualitativa o cuantitativa. actividades basadas en la expe-
riencia, la práctica y en la obser-
vación.
Cualitativa
Hace referencia a las cualidades
y/o comportamientos.
La seguridad expresa la condición de estar libre o tener la libertad física de
Cuantitativa
cualquier peligro o daño ante cualquier circunstancia. Es decir, es la garantía Se refiere a cantidades, valores
que tienen las personas, animales, elementos o cosas de estar exento de todo numéricos o elementos contables.
perjuicio, amenaza, peligro o riesgo, la seguridad está asociada con el término Seguridad
Seguridad de protección, contra todo aquello que pueda alterar o infringir contra su Se puede ver como un estado o
una sensación de tranquilidad,
integridad ya sea en forma física, social, moral, económica. que me trasmite algo o alguien.

Fundamentos de seguridad informática - eje 1 conceptualicemos 6

Ejemplo

Veamos un ejemplo sobre el concepto de seguridad, para ello suponga la siguiente

situación:

Usted se encuentra en el lugar más inseguro de la ciudad, en horas de la noche y usted

lleva consigo un smartphone, un computador portátil, un reloj, una tablet, documentos
y dinero.

¿Qué siente? Probablemente angustia, miedo, inseguridad, entre otros muchos

sentimientos.

¿Por qué se dan esos sentimientos? Los sentimientos se generan porque tiene referentes
como saber lo inseguro que es el sector, y se han creado una serie de imaginarios previos.

Si ve un policía ¿Que le genera ese policía? probablemente una sensación de tranqui-

lidad, pero esto no garantiza que no le vaya a pasar nada.

De igual forma el departamento de TI debe generar una sensación de tranquilidad a los

usuarios finales, aunque en ningún momento puede garantizar que nada les va a pasar.

Figura 1. Inseguridad
Fuente:Shutterstock/220804708

Fundamentos de seguridad informática - eje 1 conceptualicemos 7

 Video

Para reafirmar los conceptos vistos hasta el momento los

invito a ver la video cápsula “conceptos básicos de seguridad”.

Seguridad informática - conceptos básicos

https://youtu.be/zV2sfyvfqik

Hablemos ahora de la seguridad informática

La seguridad informática, es la disciplina que se encarga de proteger la integridad,

disponibilidad y confidencialidad de la información y los sistemas informáticos que la
contienen, expresa la condición de aplicar la protección hacia la rama computacional y
la teleinformática, la cual busca ante todo, prevalecer el cuidado y la prevención de la
información que se maneja y circula en estos medios informáticos.

De igual forma emplea diferentes pro-

cesos (métodos o técnicas), políticas, nor- Seguridad informática
mas, procedimientos y estrategias para Los pilares de la seguridad informática son la integridad, disponibi-
lidad y confidencialidad.
salvaguardar, mitigar y minimizar poten-
ciales riesgos, amenazas o vulnerabilidades
en que la información está expuesta (físico
y lógico) y pueda así asegurar sus principios
básicos asociados como confidencialidad,
integridad y disponibilidad, lo que contri-
buye a mantener un sistema de informa-
ción (SI) de forma segura y confiable.

Un elemento importante en la seguri-

dad informática es la criptografía y esta se
define como la rama de la criptología que
se encarga de ocultar la información, aplica
diferentes técnicas que permiten proteger
archivos y/o datos. Para esto se emplean
mecanismos de cifrados o códigos para
escribir algo de manera secreta u oculta en Figura 2. Seguridad informática
la información que se considerada altamente Fuente: www.shutterstock.com/147258695
confidencial y que es enviada o transmitida
por medios informáticos en redes, datos o el
uso de internet. Su procedencia viene desde Criptografía
tiempos antiguos, ya que, a lo largo de nues- Es el arte o técnica de ocultar la información y protegerla de per-
sonal no autorizado.
tra historia, antiguas civilizaciones utilizaban

Fundamentos de seguridad informática - eje 1 conceptualicemos 8

símbolos como lenguajes en común y sólo
ellos, que conocían este dialecto o simbolo-
gía, podían conocer su significado.

En la actualidad, los sistemas computa-

cionales permiten aplicar diversos procesos
de operaciones matemáticas para poder
ocultar la información que se desee enviar,
y así, sólo el receptor del mensaje podrá
interpretarlo. Esto se conoce como cifrar y
descifrar información.

Otro elemento fundamental en la segu-

ridad informática es el criptoanálisis, el cual
viene asociado a la criptografía, consiste
en el estudio o análisis de los sistemas crip-
tográficos, con el fin de encontrar debili-
dades en el mensaje cifrado, de tal forma
que permitan descubrir la información (sin
tener la llave o clave).

Se llama criptoanalista a la persona que

evalúa y trata de vulnerar la seguridad, es
decir, descifrar el mensaje.

Otra técnica importante en la seguridad

informática es la llamada esteganografía la
cual consiste en ocultar mensajes u obje-
tos dentro de otro mensaje ya sea imagen,
video, audio, texto, etc.

Figura 3 Criptografía
Fuente: Shutterstock/512410459

Instrucción

Para reafirmar los conceptos los

invito a desarrollar la actividad de
Criptoanálisis
repaso “Técnicas criptográficas”
Técnicas de descifrar el mensaje sin tener la clave o llave.

Fundamentos de seguridad informática - eje 1 conceptualicemos 9

 Analicemos ahora el riesgo

El riesgo informático se entiende como el impacto ocasionado por un evento particular,

así mismo, define la probabilidad latente en que ocurra un hecho y se produzcan ciertos
efectos que son derivados en función de la amenaza y la vulnerabilidad. Para determinar
un riesgo, intervienen los factores de la probabilidad de ocurrencia de un evento, por la
magnitud del impacto.

¡Impor tante! Riesgo

Es la probabilidad que una vulnera-
bilidad sea aprovechada por la ame-
RT (Riesgo Total) = Probabilidad x Impacto promedio naza, para afectar el sistema y el im-
pacto que esto genere a la compañía.

Probabilidad

Vulnerabilidades Amenazas

Riesgo

Impacto Activos

Figura 4 Riesgo
Fuente: propia

Fundamentos de seguridad informática - eje 1 conceptualicemos 10

 Definimos vulnerabilidad como la debilidad o grado de
exposición de cualquier tipo, que puede comprometer par- Vulnerabilidad
cial o totalmente la seguridad del sistema informático. Está Exposición de debilidad de un sistema
o activo informático que tiene un ries-
directamente relacionado con el riesgo y la amenaza.
go o amenaza latente.

Podemos agrupar las vulnerabilidades en función de:

Grupo Definición

Mal diseño de protocolos en redes de datos y deficiente políti-

Diseño
cas de seguridad establecidas.

Existencias de backdoors “Puertas-traseras” en dispositivos y

sistemas informáticos.
Implementación Buffers u overflows en las aplicaciones desarrolladas.
No implementación de parches y no contar con el soporte de
los fabricantes.

Malas configuraciones de los sistemas.

La no concientización o capacitación a los usuarios y responsa-
Uso
bles de TI sobre manejo o fallas de los sistemas informáticos.
Carencia de recursos de seguridad en TI.

Se considera aquellos ataques contra las aplicaciones que eje-

Vulnerabilidad día cero cutan código malicioso en las vulnerabilidades detectadas en
los sistemas y son desconocidas por los usuarios y fabricantes.

Tabla 1. Vulnerabilidades según su función

Fuente: propia

Amenaza

Una amenaza informática es toda ocurrencia, evento o

persona, que tiene el potencial para causar daño a un sistema
informático, algunas de las tipificaciones más relevantes que Amenaza Informática
Evento que tiene el potencial de
encontramos son: destrucción, divulgación, robo, modificación causar daño.
de datos e indisponibilidad del servicio. La amenaza se mani-
fiesta en un lugar específico, tiene una duración e intensidad
determinadas, lo que conlleva a la materialización del riesgo en que se encuentra, es decir,
sólo puede existir si una vulnerabilidad existe y de la cual pueda ser aprovechada inde-
pendientemente de que se comprometa o no la seguridad de un sistema de información.

Fundamentos de seguridad informática - eje 1 conceptualicemos 11

Tipos de amenazas

Las amenazas se pueden clasificar en dos tipos generales:

Intencionales No intencionales

Como su nombre lo indica es con Cuando se producen acciones u

un fin o propósito específico (inten- omisiones de acciones que, si bien no
cionalidad), y pretende obtener un buscan explotar una vulnerabilidad,
beneficio personal, produce o intenta ponen en riesgo los activos de infor-
producir un daño hacia algún sis- mación y pueden producir un daño
tema informático, por ejemplo: el (por ejemplo, las amenazas relaciona-
hurto o la falsificación de la informa- das con fenómenos naturales, errores
ción mediante el uso de técnicas de de usuarios por falta de conocimiento,
trashing (obtención de información capacitación o descuido, entre otras).
sin autorización), la transmisión de
código malicioso (malware, troya-
nos, virus) y la aplicación de técnicas
de la ingeniería social.

Tabla 2. Clasificación de amenazas

Fuente: propia

Ataque informático

Se entiende como ataque informá-

tico aquellas acciones deliberadas rea-
lizadas por actores internos /externos
que afectan un sistema informático,
redes de datos alámbricas o inalám-
bricas, estos ataques pueden ser pro-
piciados por una o más personas para
causar un perjuicio o inconvenientes
hacia las infraestructuras tecnológicas.
El tipo de persona o atacante que rea-
liza este tipo de acción es denominado
pirata informático, existen diferentes
clasificaciones de acuerdo al propósito
de su objetivo.
Figura 5. Ataque informático
Fuente: Shutterstock/680078920

Fundamentos de seguridad informática - eje 1 conceptualicemos 12

Protección de datos

La protección de datos es una disciplina a nivel jurídico que se

encarga de proteger la intimidad y demás derechos fundamen- Ley 1581 del 2012
tales de las personas frente al riesgo que supone la exposición de “Por la cual se dictan disposicio-
nes generales para la protección
su datos o información en el uso de medios tecnológicos, inclusive de datos personales”.
si estos están reposados de forma física.

La protección de datos ampara la información, la recopilación,

divulgación y el uso indiscriminado de los datos personales, ya que
forma parte de su contexto privado y que puede ser utilizada para Habeas data
evaluar determinados aspectos de su personalidad como historial Es el derecho que tienen todas las
personas a conocer, actualizar y
de salud, antecedentes judiciales, hábitos de compra, relaciones rectificar las informaciones que
personales, creencias, entre otros. En Colombia el artículo 15 de la se hayan recogido sobre ellas en
bancos de datos y en archivos de
Constitución Política, y la Ley 1581 del 2012 y/o Habeas data, velan entidades públicas y privadas.
por la protección de la información y el buen nombre.

Lectura recomendada

Para profundizar en el tema lo invito a leer la Ley 1581 del 2012:

Ley 1581 de 2012 - “Por la cual se dictan disposiciones generales

para la protección de datos personales”

Congreso Nacional de la República de Colombia

El papel de la informática es recoger, ordenar, utilizar y transmitir información, por

ello, se ha generado la necesidad de desarrollar normas destinadas a limitar el uso de los
datos personales para garantizar el respeto, el honor, la intimidad personal y familiar de
los ciudadanos.

Es de tener en cuenta que la Ley de protección de datos personales, reconoce y protege

el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar
las informaciones que se hayan recogido sobre ellas como medios en bases de datos o
archivos, demás derechos, libertades y garantías constitucionales, a que se refiere el Art.
No. 15 de la constitución política y el derecho de la información consagrado en el Art.
No. 20 de la misma, que sean susceptibles de tratamiento por entidades de cualquier
naturaleza (pública o privada).

Fundamentos de seguridad informática - eje 1 conceptualicemos 13

¡Datos!
Existen dispositivos dedicados a la protección en un entorno de
seguridad informática:

Firewalls o cortafuegos
IPS – Sistema de Prevención de Intrusos
IDS – Sistema de Detección de Intrusos
UTM – Gestión Unificada de Amenazas

Figura 6. Sistemas de seguridad

Fuente: http://hebeglobal.blogspot.com.co/2015/02/que-es-un-analisis-foren-
se-de-sistemas.html

Fundamentos de seguridad informática - eje 1 conceptualicemos 14

Política de seguridad

Una política de seguridad permite definir los diferentes pro-

cedimientos, métodos o técnicas y herramientas necesarias
Política de seguridad
para cumplir con normas y controles que expresan los directi-
Reglas, normas, procedimientos
vos de la organización y que establecen el conjunto de reglas, o métodos para dirigir, proteger y
leyes, y buenas prácticas que estandarizan la manera de dirigir, distribuir los recursos informáticos.

proteger y distribuir recursos en una organización, alineados a

los objetivos de seguridad informática dentro de la empresa.

Las políticas de seguridad están ligadas a la norma ISO 27001 SGSI (Sistema de Gestión
de Seguridad de la Información).

Lectura recomendada

Los invito a leer la norma ISO 27001 SGSI numeral de intro-

ducción y subtítulos derivados de la misma, el cual define
la política de seguridad y el proceso para desarrollarla.

Norma ISO 27001 SGSI - Tecnología de la información -

Técnicas de seguridad - Sistemas de gestión de la seguri-
dad de la información (SGSI) – Requisitos.

Norma Técnica Colombiana

Fundamentos de seguridad informática - eje 1 conceptualicemos 15

Estándares, normas
y leyes que existen
a nivel de seguridad
informática
 Figura 7 Estándares, normas y leyes
Fuente: propia

• Trusted Computer Security Evaluation • ISO 20000. Gestión de servicio TI.

Criteria. TCSEC.
• ISO 22301. Gestión de la continuidad
• Information Technology Security Eva- de negocio, su procesadora la norma
luation Criteria. ITSEC. BS 25999.

• COBIT. Marco aceptado internacional- • ISO 31000. Gestión de riesgos, reco-

mente de buenas prácticas de control mendado por la ISO 22301.
de la información, TI y control de ries-
gos. • La información contenida en las cen-
trales de riesgo está protegida por la
• BS 7799 (Reino Unido). Ley 1266 de 2008 de Habeas Data.

• ISO 15408 Criterios Comunes (CC). • Decreto 1377 de 2013 “Por el cual se
reglamenta parcialmente la Ley 1581
• ISO 17799. Código de Buenas prácticas de 2012”. Sobre el régimen general de
para la seguridad de la información. protección de datos personales en Co-
lombia.
• ISO 27000. Gestión de la seguridad in-
formática.

Fundamentos de seguridad informática - eje 1 conceptualicemos 17

ISO 27001 SGSI

La ISO/IEC 27001 Sistema de gestión de la

seguridad de la información.

ISO 27001 es una norma internacional

emitida por la Organización Internacional de
Normalización (ISO) y la Comisión Electrónica
Internacional (IEC), describe los procesos y
procedimientos adecuados para gestionar la
seguridad de la información en una empresa.
La revisión más reciente de esta norma fue
publicada en 2013 y ahora su nombre com-
pleto es ISO/IEC 27001:2013. La primera revi- Figura 8 Certificado ISO 27001
sión se publicó en 2005 y fue desarrollada en Fuente: http://www.kolibers.com/consulto-
base a la norma británica BS 7799-2. res-en-ISO-27001.htm

ISO 27001 puede implementarse en cualquier tipo de empresa, privada o pública,

pequeña o grande, proporciona una metodología para implementar la gestión de la
seguridad de la información en una organización. Además, también permite que una
empresa sea certificada, esto significa que una entidad de certificación independiente
confirma que la seguridad de la información ha sido implementada en esa organización
en cumplimiento con la norma ISO 27001.

ISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de

la información.

Lectura recomendada

Los invito a leer el capítulo 3 y 4 de la Norma ISO 27001, como requisito

indispensable para el entendimiento de la seguridad informática ya que
describe los conceptos básicos de la seguridad.

Norma ISO 27001 SGSI - Tecnología de la información - Técnicas de segu-

ridad - Sistemas de gestión de la seguridad de la información (SGSI)
– Requisitos.

Norma Técnica Colombiana

Fundamentos de seguridad informática - eje 1 conceptualicemos 18

Tríada de Componentes de la Seguridad Informática CID

Los pilares que conforman la seguridad informática son:

Confidencialidad Integridad
La confidencialidad es la cualidad o ca- La integridad es la cualidad o caracte-

d
racterística para impedir la divulgación

id a
rística para mantener los datos libres de
de la información a individuos, entida- modificaciones por parte de individuos,

ial
des o procesos. Permite asegurar el

Int
entidades o procesos no autorizados,
acceso a la información únicamente

nc
esto con el fin de mantener con exacti-

eg
para aquellas personas que cuenten con tud la información tal y como fue gene-

de
la debida autorización para su manipu-

rid
rada para salvaguardar la precisión y

nfi
lación o tratamiento. completitud de los recursos, aseguran-

ad
do su precisión y confiabilidad.

Co
En el procesamiento de transacciones
de información y accesos, se debe Información Para asegurar la integridad se emplea la
contar con sistemas que brinden la con- firma digital que es fundamental para
fidencialidad mediante el uso de cifrado este pilar de la seguridad informática.
del número de la tarjeta y los datos que
contiene la banda magnética durante
la transmisión de los mismos.
Disponibilidad

Disponibilidad
La disponibilidad es la cualidad o característica que permite
la accesibilidad a la información, esta debe encontrarse a
disposición a quienes deben accederla, ya sean personas,
procesos o aplicaciones autorizados en el momento que así
lo requieran (7x24x365). Los canales de intercomunicación y
dispositivos tecnológicos deben estar protegidos y funcio-
nando correctamente para acceder a la información, evi-
tando interrupciones del servicio debido a cortes de energía,
fallos de hardware, y actualizaciones del sistema.

Figura 9 Pilares de la seguridad informática

Fuente: propia

Fundamentos de seguridad informática - eje 1 conceptualicemos 19

 Es importante tener en cuenta que los Buenas prácticas de seguridad
valores de la información que sustentan los
componentes descritos son: A continuación, se ofrece una lista con
algunas de las buenas prácticas de segu-
• Autenticidad ridad, publicadas por profesionales y dife-
rentes organizaciones a nivel global, se
La autenticidad es la cualidad que per- encuentran reguladas por el Instituto nacio-
mite identificar el emisor del mensaje o la nal de estándares y tecnologías (NIST):
persona que ha generado la información,
evitando así la suplantación de identidad. • Realizar una evaluación de riesgos: es
Para lograr esto, en el sistema informático fundamental conocer el valor de lo
es indispensable el uso de cuentas de usua- que se protege, ayuda a justificar los
rio y contraseñas de acceso, se puede con- gastos de seguridad.
siderar como un aspecto de la integridad,
ya que, si el mensaje transmitido o enviado • Crear una política de seguridad: la
está firmado por alguien, realmente se creación de una política que delinee
verifica que sea el autor quien ha enviado claramente la0 restringen el acceso a
por el mismo el mensaje. los armarios o cuartos técnicos de red,
la identificación y las ubicaciones de
• No repudio servidores y la extinción de incendios.

El no repudio o también conocido como • Medidas de seguridad de recursos hu-

irrenunciabilidad, tiene la cualidad de com- manos: antes de realizar la contrata-
probar que el mensaje fue enviado por la ción de los empleados, deben ser co-
parte específica y prueba que el mensaje rrectamente investigados y hacer un
fue recibido por la parte específica. Se basa estudio de seguridad para comproba-
en el hecho de que un emisor realizó una ción de antecedentes.
acción, por ejemplo, el envío de un men-
saje o información hacia un tercero o des- • Efectuar y probar las copias de respal-
tinatario, este último refuta la acción de do: es necesario que se realice copias
recibido o transmisión de la información (o de respaldo periódicas y pruebe los
mensaje), debido a que el emisor cuenta datos recuperados de las copias de
con pruebas de la recepción del mismo y respaldo.
es legítimo el destinatario. Remítase a la
norma ISO-7498-2. • Mantener parches y actualizaciones de
seguridad: es importante que se efec-
tué la actualización periódicamente
de los servidores, el cliente, los progra-
Instrucción mas y sistemas operativos o firmware
de los dispositivos de red.
Para afianzar los aprendizajes obteni-
dos hasta el momento le invitamos a
• Implementar controles de acceso: de-
realizar el crucigrama que encuentra en
finir los roles de usuario y los niveles de
las actividades del eje.

Fundamentos de seguridad informática - eje 1 conceptualicemos 20

 privilegio, así como la implementación neración, firewalls y otros dispositivos
de credenciales de autenticación de de seguridad.
usuario sólida.
• Implementar una solución de seguridad
• Revisar periódicamente la respuesta integral para terminales: utilice y admi-
ante incidentes: disponer respaldos para nistre software antivirus y antimalware
que utilice el equipo de respuesta ante o antispyware de nivel empresarial.
incidentes y pruebe los posibles escena-
rios de respuesta ante emergencias. • Informar a los usuarios: capacitar a los
usuarios y a los empleados sobre los pro-
• Implementar una herramienta de admi- cedimientos seguros, esto para concien-
nistración, análisis y supervisión de red: tizar y tener una cultura corporativa.
seleccione e implemente una solución
de monitoreo de seguridad (herramien- • Cifrar los datos: todos los canales de
tas de correlación de eventos SIEMS) comunicación deberían contar con ca-
que se integre con otras tecnologías. nales seguros para la transmisión, de
igual forma, cifrar todos los datos e in-
• Implementar dispositivos de seguridad formación confidenciales para la em-
de la red: actualice los routers que lle- presa, incluido el correo electrónico y
van más de 5 años implementados en navegación segura.
la empresa, por routers de nueva ge-

Video

Antes de finalizar el eje 1 y como resumen del mismo los invito a ver
la video cápsula “Introducción a la seguridad en redes telemáticas”,
el cual nos define los principales conceptos de seguridad informática.

Introducción a la seguridad en redes telemáticas

https://youtu.be/74DlEMJsXBw

Fundamentos de seguridad informática - eje 1 conceptualicemos 21

 Como conclusión de este primer eje, tenemos que la seguridad de la información se
basa en la norma internacional ISO/IEC 27001 SGSI, la cual nos da los lineamientos para
generar procesos y políticas de seguridad tendientes a minimizar y/o mitigar los riesgos
de seguridad a los que se ve expuesta la información y los sistemas que la contienen.

Instrucción

Para finalizar este eje, los invito a desarrollar la activi-

dad evaluativa, pero no sin antes observar la nube de
palabras, la cual le permitirá repasar algunos conceptos
relevantes

Fundamentos de seguridad informática - eje 1 conceptualicemos 22

 Bibliografía

Álvarez, M. y Pérez, G. (2004). Seguridad informática para empresas y particulares.

Madrid: McGraw-Hill

Austin, R. y Darby, C. (2004). El mito de la seguridad informática. Madrid:

Ediciones Deusto - Planeta de Agostini Profesional y Formación S.L.

Baca, U. G. (2016). Introducción a la seguridad informática. México: Grupo

Editorial Patria.

Chicano, T. (2014). Gestión de incidentes de seguridad informática (MF0488_3).

Madrid: IC Editorial.
BIBLIOGRAFÍA

Chicano, T. (2014). Auditoría de seguridad informática (MF0487_3). Madrid: IC

Editorial.

Costas, S. J. (2014). Seguridad informática. Madrid: RA-MA Editorial.

Costas, S. (2014). Mantenimiento de la seguridad en sistemas informáticos.

Madrid: RA-MA Editorial.

Escrivá, G., Romero, S. y Ramada, D. (2013). Seguridad informática. Madrid:

Macmillan Iberia, S.A.

Ficarra, F. (2006). Antivirus y seguridad informática: el nuevo. Revista

Latinoamericana de Comunicación CHASQUI.

Giménez, A. J. F. (2014). Seguridad en equipos informáticos (MF0486_3). Madrid:

IC Editorial.

Gómez, F. y Fernández, R. (2015). Cómo implantar un SGSI según UNE-ISO/IEC

27001:2014 y su aplicación en el Esquema Nacional de Seguridad. Madrid:
AENOR - Asociación Española de Normalización y Certificación.

Gómez, V. (2014). Auditoría de seguridad informática. Madrid: RA-MA Editorial.

Gómez, V. (2014). Gestión de incidentes de seguridad informática. Madrid: RA-

MA Editorial.

Hernández, E. (2016). La criptografía. Madrid: Editorial CSIC Consejo Superior de

Investigaciones Científicas.

Lamadrid, V., Méndez, G. y Díaz, H. (2009). CERT-MES: sitio Web de seguridad

informática para REDUNIV. La Habana: Editorial Universitaria.
 McClure, S., Scambray, J. y Kurtz, G. (2010). Hackers 6: secretos y soluciones de
seguridad en redes. México: McGraw-Hill Interamericana.

Molina, M. (2000). Seguridad de la información. Criptología. Córdoba: El Cid

Editor.

Paredes, F. (2009). Hacking. Córdoba: El Cid Editor | apuntes.

UNED. (2014). Procesos y herramientas para la seguridad de redes. Madrid:

Universidad Nacional de Educación a Distancia.

Roa, B. (2013). Seguridad informática. Madrid: McGraw-Hill

Sanz, M. (2008). Seguridad en linux: guía práctica. Madrid: Editorial Universidad

Autónoma de Madrid.
BIBLIOGRAFÍA

Zayas, D. y Sánchez, R. (2010). Sistema de apoyo al entrenamiento en seguridad

informática: SEGURIN. La Habana: Editorial Universitaria.