tesis de fuga de informacion

8/15/2019 Tesis de Fuga de Informacion

1/141

INSTITUTO POLITÉCNICO NACIONAL

UNIDAD PROFESIONAL INTERDISCIPLINARIA DE

INGENIERÍA Y CIENCIAS SOCIALES YADMINISTRATIVAS

“MODELO DE CONCIENTIZACIÓN EN LA PREVENCIÓNDE LA FUGA DE INFORMACIÓN”

T E S I N A

Q U E P A R A O B T E N E R E L T Í T U L O D E :

I N G E N I E R O E N I N F O R M Á T I C A

P R E S E N T A N :

B E A T R I Z A D R I A N A D O R O T E O V A L D E Z

D A N I E L M E D I N A R A M I R E Z

J O R G E A L B E R T O H E R N A N D E Z Q U I R I N O

S A N D R A S A R A I G U Z M A N G U T I E R R E Z

MÉXICO. D.F. 2010


2/141

ÍNDICE

Resumen .............................................................................................. I

Introducción ......................................................................................... II

Capítulo I: Marco Metodológico ........................................................... 1

1.1 Planteamiento del problema ................................................................................................ 1

1.2

Objetivos .............................................................................................................................. 3

1.3 Justificación ......................................................................................................................... 4

1.4

Marco teórico ....................................................................................................................... 8

1.5

Diseño de la investigación ................................................................................................. 11

1.6

Tipo y técnicas de investigación ........................................................................................ 11

Capítulo II: Conceptos Generales ...................................................... 13

2.1

Información ........................................................................................................................ 13

2.1.1 Definición ................................................................................................................... 13

2.1.2

Función de la información .......................................................................................... 14

2.1.3

Características ........................................................................................................... 14

2.1.4

Clasificación ............................................................................................................... 16

2.2

Seguridad de la información .............................................................................................. 18

2.2.1 Definición ................................................................................................................... 18

2.2.2

Objetivos y propósitos de seguridad de la información ............................................. 19

2.2.3 Funciones de la seguridad de la información ............................................................ 20

2.2.3.1 Qué debemos proteger .................................................................................. 22

2.2.3.2

De quién debemos protegernos .................................................................... 23

2.2.3.3 Cómo podemos protegernos ......................................................................... 23

2.2.4 Importancia de la seguridad de la información .......................................................... 24

2.3

Vulnerabilidades, Amenazas y Riesgos de la Información ............................................... 26

2.3.1 Definición de vulnerabilidad ....................................................................................... 26

2.3.2

Definición de amenaza .............................................................................................. 26

2.3.3 Definición de riesgo ................................................................................................... 27

2.3.4

Clasificación de riesgos, amenazas y vulnerabilidades ............................................ 28


3/141

2.4

Fuga de información .......................................................................................................... 32

2.4.1 Definición ................................................................................................................... 33

2.4.2

Tipos .......................................................................................................................... 33

2.4.3 Obstáculos en la prevención de fuga de información ................................................ 34

2.5

Concientización.................................................................................................................. 35

2.5.1 Definición ................................................................................................................... 36

2.5.2 Objetivos .................................................................................................................... 36

2.5.3

Importancia ................................................................................................................ 37

2.5.4 Tipos .......................................................................................................................... 38

2.5.5

Beneficios y obstáculos ............................................................................................. 39

Capítulo III: Problemática actual de la concientización en la fuga deinformación ........................................................................................ 42

3.1

Comportamiento humano: un problema de seguridad de la información ......................... 42

3.2 Problemática actual por falta de concientización, educación y capacitación .................... 48

3.3

Fuga de información .......................................................................................................... 54

Capítulo IV: Normatividad, mejores prácticas y tecnología aplicada a laconcientización y fuga de información ............................................... 62

4.1

Legislación Internacional ................................................................................................... 62

4.1.1 Del acceso ilícito a los sistemas de información ....................................................... 62

4.1.2

Protección de los datos ............................................................................................. 63

4.2 Legislación Nacional .......................................................................................................... 65

4.2.1

Ley de la Propiedad Industrial ................................................................................... 66

4.2.2 Código Penal federal ................................................................................................. 66

4.2.3 Reforma al código penal federal para castigar a los crackers .................................. 68

4.2.4

Protección de datos personales ................................................................................ 69

4.3 Legislación Sectorial .......................................................................................................... 72

4.4

Mejores prácticas ............................................................................................................... 81

4.4.1

Series ISO 27000....................................................................................................... 82

4.4.2 CObIT ........................................................................................................................ 85

4.4.3 Awareness ................................................................................................................. 86

4.4.4 Assessment ............................................................................................................... 88


4/141

4.5

Tecnología existente .......................................................................................................... 88

4.5.1 Data Leakage Prevention (DPL) ................................................................................ 88

4.5.2

Sistema de detección de intrusos (IDS) .................................................................... 89

4.5.3 Sistema de Prevención de Intrusos ........................................................................... 90

4.5.4

Assessment Center (AC) ........................................................................................... 91

Capítulo V: Modelo ............................................................................ 96

5.1

Objetivos del Modelo ......................................................................................................... 96

5.2 Descripción del Modelo ..................................................................................................... 97

5.2.1 Conoce al enemigo y conócete a ti mismo ................................................................ 98

5.2.1.1

Conocer el estado actual de la organización en fuga de información .......... 99

5.2.1.2 Conocer el nivel de conocimientos del personal en temas de fuga de

información ..................................................................................................................... 100

5.2.2

Comerse el pastel por rebanadas / divide y vencerás ............................................. 101

5.2.2.1 Visualizando el camino ................................................................................ 101

5.2.2.2

Definición de grupos de audiencias ............................................................ 102

5.2.3 De la vista nace el amor / manos a la obra ............................................................. 103

5.2.3.1

Elaboración de materiales de apoyo ........................................................... 103

5.2.3.2

Impartición de concientización en fuga de información .............................. 104

5.2.4 Encontrando el eslabón más débil........................................................................... 107

5.2.4.1

Evaluación de resultados de concientización en fuga de información ........ 108

5.2.4.2

Autoevaluación de resultados de concientización en fuga de información . 108

5.2.5 Redefiniendo el curso .............................................................................................. 109

5.2.5.1

Análisis de resultados de evaluación .......................................................... 109

5.2.5.2 Reestructuración / mejora continua ............................................................. 110

5.3

Conclusiones del modelo ................................................................................................. 111

Capítulo VI: Caso Práctico ............................................................... 112

6.1

Conocimiento de la Empresa ........................................................................................... 112

6.1.1 Misión ....................................................................................................................... 112

6.1.2 Visión ....................................................................................................................... 112

6.1.3

Organigrama ............................................................................................................ 113

6.2 Aplicación del Modelo ...................................................................................................... 113

6.2.1 Análisis- Conoce al enemigo y conócete a ti mismo………………………………….114

6.2.2 Diseño- Comerse el pastel por rebanadas/ divide y vencerás………………………117

6.2.3 Desarrollo/ Implementación- De la vista nace el amor……………………………….117


5/141

6.3

Resultados del Modelo .................................................................................................... 125

6.3.1 Evaluación- Encontrando el eslabón más débil………………………………………125

6.3.2 Mantenimiento- Redefiniendo el curso………………………………….…………….125

Conclusiones ................................................................................... 126

Bibliografía ....................................................................................... 127

Glosario ........................................................................................... 129


6/141


7/141


8/141

I

Resumen

“Fuga de Información” se ha convertido en la frase de moda para describir los incidentes de

seguridad de información ocurridos durante los últimos años. Aunque el término puede ser

interpretado de diversas formas y usado en variedad de contextos, estamos de acuerdo que causauna reacción universal: miedo. Aun cuando es difícil dimensionar el daño de las fugas de

información, no hay duda que la exposición de las bases de datos, o robos de información en

sistemas de información, entre otros, afectan y/o disminuyen la confianza de los clientes, con las

respectivas consecuencias negativas para la organización. El aumento de la recolección y

almacenamiento de datos por organizaciones de todas las industrias y sectores, acompañado del

incremento de sofisticadas tácticas de hackeo informático para robar información sensitiva, y de la

poca, y a veces nula, conciencia dentro de la propia organización, las ha forzado a reconocer y

enfrentar directamente esta amenaza que dejó de ser fantasma.

El panorama es claro, la fuga de información es un problema latente y creciente, y el mecanismo

para contrarrestarlo no está dentro de los límites de la tecnología, puesto que esta puede

protegernos en el perímetro de la organización, sin embargo, los problemas de fuga de

información surgen desde dentro de la misma: el factor humano. Ya sea de forma o no intencional,

las personas están contribuyendo a que este problema crezca descontroladamente, y al ser un

problema de personas no se debe, ni se puede, atacar con tecnología, el mejor acercamiento a

una solución que nos ayude a mitigar está problemática, es haciéndolos consientes, cambiando

sus formas de pensar y actuar en asuntos de seguridad de la información, es decir, cambiando la

cultura de seguridad.

Tomando en cuenta lo anterior, el objetivo del presente trabajo es la elaboración de un “Modelo de

concientización en la prevención de la fuga de información”, en el cual se proponen las pautas

necesarias para llevar a cabo un programa que se acople a cualquier organización y con el

objetivo de minimizar la creciente fuga de información en las organizaciones. Para alcanzar esto,

es necesario conocer las bases de la seguridad de la información, fuga de información y

concientización, así mismo se requirió un estudio y análisis de las problemática existente en estos

temas, y basándonos en herramientas existentes: mejores prácticas, estándares, legislación y

tecnología, se elaboró la propuesta del modelo.

El modelo propuesto consta de 5 etapas, las cuales se basan en un proceso cíclico e iterativo de

análisis, diseño, desarrollo, implementación, evaluación y mantenimiento. Un resumen de las

particularidades de esta propuesta se describe a continuación:


9/141

I

• El análisis: Es uno de los pilares del modelo debido a que en esta etapa se reconocen las

necesidades, debilidades y estatus de la organización. Los resultados de esta etapa nos

servirán de guía para definir la línea de acción a seguir.

• El diseño: Una vez obtenidos los datos de la etapa anterior, es necesario plantear las

posibles acciones a seguir, y así definir una estrategia mediante la cual se resuelvan las

áreas de oportunidad encontradas.

• El desarrollo: En esta etapa se plasma la estrategia y objetivos que deben alcanzarse. Se

definen los recursos que utilizarán para llevar a cabo el plan de acción.

• La implementación: Después de definir el plan de acción, es en esta etapa se pone en

marcha, y se consumen los recursos definidos, enfocándose siempre en alcanzar los

objetivos establecidos.

• La evaluación y mantenimiento: En esta etapa se hace una valoración de los resultados

obtenidos de la implementación, para así poder mejorar y encontrar nuevas áreas de

oportunidad. Esta etapa también es crucial ya que es el punto de retroalimentación para

que el modelo pueda iniciar un nuevo ciclo, llegando a una cultura de mejora continua.

En conclusión, se considera relevante el uso de la concientización para minimizar la fuga de

información, y cada organización debería contemplar en su estrategia de negocios, la integración

de un modelo de concientización en temas de seguridad de la información, para la protección delactivo más importante: la información. Llegando más lejos aún, este esquema debería escalarse, y

ser legislado y exigido al margen de la legalidad para el establecimiento y operación de cualquier

organización, ya sea pública o privada. Debido a que la era de la información en la que vivimos,

cualquier violación al derecho primordial de la privacidad, debería ser penado.


10/141

II

Introducción

La información y el conocimiento han sido los elementos centrales de todas las sociedades

históricamente conocidas. Lo que caracteriza esta nueva era es que disponemos de herramientas

tecnológicas que revolucionan las formas de procesamiento de información y comunicación,transformando la forma en que las personas viven y se comunican entre sí. Hoy por hoy el manejo

de la información puede contribuir de manera decisiva en cualquier ámbito de la actividad humana,

por esta razón, es importante definir lineamientos generales que ayuden a resguardarla sin que

esta pierda su integridad, confidencialidad y disponibilidad.

La seguridad de la información es una de las tareas más cruciales que debemos afrontar en la

actualidad ya que nos encontramos en un medio donde la información se ve amenazada por

diferentes fuentes que simplemente no existían o no conocíamos hace algunos años, y aún

tomando todas las precauciones técnicas para evitar estas amenazas, y confiando con la

protección que le damos, no es suficiente, ya que la práctica nos ha demostrado que la fuga de

información sigue creciendo día a día por diversos factores, uno de ellos y que será el pilar de esta

investigación: la falta o deficiente concientización.

El presente trabajo se enfoca en plantear un “Modelo de concientización en la prevención de la

fuga de información”, el cual propondrá las pautas necesarias para llevar a cabo un programa que

se acople a cualquier organización y con el objetivo de minimizar la creciente fuga de información

en las organizaciones.

Para alcanzar este objetivo hemos estructurado nuestra tesis en 5 capítulos que se distribuyen de

la siguiente forma.

En el primer capítulo, se aborda la problemática objeto de análisis y estudio de esta tesina, los

objetivos de dicha tesina, la justificación de porqué es factible llevar a cabo la investigación y de

cómo se llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la

concientización en la prevención de la fuga de información.

A lo largo del segundo capítulo se trata uno de los temas principales de esta tesina: la Información.

Se hace un estudio de ¿qué es la información?, su importancia, su función y sus características.

Así mismo, se hace énfasis en la concientización, fuga de información, seguridad de la

información, sus definiciones, objetivos, funciones, importancia, así como los riesgos de la

información.


11/141

II

Debido a que el usuario final es quien hace uso de los sistemas de información, el tercer capítulo

está dedicado al estudio del comportamiento humano y seguridad de la información.

Se enfatiza la influencia que tiene el factor humano en la fuga de información y la importancia de

una capacitación y educación de los usuarios para minimizar la fuga de la información.

El cuarto capítulo, está dedicado al estudio y análisis de la normatividad existente referente a la

seguridad de la información, localizando sus cualidades y deficiencias. Así mismo se estudian las

mejores prácticas y la tecnología aplicada a la concientización para prevención de fuga de

información.

A lo largo del quinto capítulo se realiza el desarrollo del modelo de concientización en la

prevención de la fuga de información, explicando los objetivos que busca, una descripción

detallada, así como sus alcances y limitaciones del mismo.

Y es indispensable hacer conciencia de que cada uno de nosotros desempeñamos un papel

fundamental en la protección de la información que se nos confía, y por consiguiente, en la

reputación de la organización en la que trabajamos. Lograríamos esto con una correcta

administración de contraseñas, manteniendo los documentos en lugares seguros, sabiendo

perfectamente quiénes son los que nos están solicitando información, siguiendo un programa de

concientización, etc., con esto nos aseguramos que somos la clave para mantener protegida la

información.


12/141

1

Capítulo I: Marco Metodológico

Hoy en día, se habla mucho de conceptos como seguridad, sin embargo, la practica nos

demuestra que muchas veces no se pasa de eso: “un concepto”, diversos artículos y noticias

resaltan la deficiencia existente en conseguir la anhelada: “seguridad”. Muchas empresas hanvisto reducida su reputación, y todo lo que de esto se deriva, debido a incidentes de seguridad,

entre los más destacados se encuentra: la fuga de información.

En este primer capítulo se abordará la problemática objeto de análisis y estudio del presente

trabajo, así como los objetivos y la justificación para llevar a cabo la investigación y de cómo se

llevará a cabo ésta, así como el marco teórico relacionado al tema de estudio: la concientización

en la prevención de la fuga de información.

1.1 Planteamiento del problema

En el mundo actual, donde las tecnologías de información son cada vez más un medio común

para almacenar y procesar la información, las brechas de seguridad en lo que respecta a pérdidas

o fuga de información nunca han sido tan altas. No sólo se ha multiplicado el volumen de

información en circulación, sino también las formas en que puede ser almacenada y transferida sin

consentimiento del propietario de la misma, aumentando y amenazando seriamente la solidez de

los negocios y la privacidad de sus clientes.

Otro punto importante a considerar, es que hoy en día las empresas están cada vez más

globalizadas y esto las hace vulnerables; de acuerdo a estadísticas obtenidas por InsightExpress*,

se descubrió que a pesar de las políticas, procedimientos y herramientas de seguridad

actualmente en uso, los empleados de todo el mundo exhiben conductas arriesgadas que ponen

en peligro los datos personales y empresariales. Tales conductas incluyeron:

• Uso de aplicaciones no autorizadas: el 70% de los profesionales de Tecnología de

Información (TI) cree que el uso de programas no autorizados fue responsable de

hasta la mitad de los incidentes de pérdida de información en sus empresas.

• Uso indebido de computadoras de la empresa: el 44% de los empleados comparte

dispositivos de trabajo con otras personas sin supervisión.

* En el año 2008, Cisco encargó a InsightExpress, una compañía independiente de investigación de mercado, querealizara un estudio que abarcara a empleados y profesionales de TI en diversos países, con el objeto decomprender la fuga de datos a nivel mundial.


13/141

2

• Acceso no autorizado tanto físico como a través de la red: el 39% de los

profesionales de TI afirmó que ha debido abordar el acceso no autorizado por parte

de un empleado a zonas de la red o de las instalaciones de la empresa.

• Seguridad de trabajadores remotos: el 46% de los empleados admitió haber

transferido archivos entre computadoras del trabajo y personales al trabajar desde

el hogar.

• Uso indebido de contraseñas: el 18% de los empleados comparte contraseñas con

sus colegas. El porcentaje aumenta al 25% en China, India e Italia.

De acuerdo con las estadísticas elaboradas en Estados Unidos y parte de Europa sobre delitos

informáticos, han revelado que el 76% de estos son de origen interno, es decir, por empleados de

las mismas empresas víctimas. Mientras que el otro 24% son de origen externo. Y de acuerdo alas estadísticas nacionales realizadas por el INEGI1, arrojan que un 67% de los ataques

informáticos provienen del interior de la organización.

Las empresas de cada sector (tanto privado, como público) continúan informando de

vulnerabilidades de seguridad y aun así, todavía permiten la exposición de su información más

sensible y confidencial.

Los usuarios informáticos pueden considerarse como la menos predecible y controlada

vulnerabilidad de seguridad. En la mayoría de casos, una falta de información y undesconocimiento de los principios y procedimientos básicos de seguridad son las principales

causas de las deficiencias de seguridad en lugar de la actividad maliciosa (aunque esto último no

se puede ignorar). Sin embargo, el resultado final es habitualmente el mismo: se pierde

información inestimable, la empresa pierde credibilidad, etc.

Por tal motivo, se considera que debe plantearse un modelo de concientización enfocado al factor

humano, para mitigar uno de los riesgos más importantes en el uso, manejo, acceso, control y

resguardo de la información: la fuga de información. Visto desde este enfoque, debemos entender

que ni la más alta tecnología en cuestiones de seguridad de la información podrán detener losataques hacia la misma, si no se cuenta con un programa o modelo de seguridad dirigidos al factor

humano, dentro de las organizaciones públicas.

1 INEGI, http://www.inegi.gob.mx/inegi/contenidos/espanol/ciberhabitat/museo/cerquita/redes/seguridad/intro.htm


14/141

3

1.2 Objetivos

OBJETIVO GENERAL.

• Definir un modelo de concientización para minimizar la creciente fuga de

información en las organizaciones.

OBJETIVOS ESPECÍFICOS.

• Identificar las principales vías de fuga de información y lo que motiva al factor

humano a explotarlas.

• Identificar las acciones tomadas actualmente: tecnología, normatividad, estándares

y mejores prácticas; que apoyan en la prevención de fuga de información.

• Identificar las consecuencias de la fuga de información a causa del factor humano.

• Definir un modelo de concientización enfocado a la minimización de fuga de

información, basado en:

o El planteamiento de un programa general de comunicación entre los

miembros de la organización, para que los usuarios comprendan que la

seguridad de la información es responsabilidad de todos, no sólo deldepartamento de TI.

o Proponer mecanismos permanentes de difusión, concientización y

educación que fortalezcan la prevención de fuga de información y evitar el

uso de acciones correctivas en la organización ante la fuga de información.

o Proponer mecanismos de medición de la efectividad de los programas y

llevar a cabo seguimiento y monitoreo de los resultados obtenidos.


15/141

4

1.3 Justificación

Hoy por hoy el manejo de la información puede contribuir de manera decisiva en cualquier ámbito

de la actividad humana, por tal motivo, es importante tener un amplio conocimiento de los riesgos

que puede correr dicha información y así poder definir lineamientos generales que ayuden aresguardarla sin que esta pierda su integridad, confidencialidad y disponibilidad.

Existe una latente inquietud y preocupación sobre el tema de la seguridad de la información, ya

que de acuerdo con la American Internacional Group, la criminalidad informática ha aumentado a

un ritmo de 500% a nivel mundial.

De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente

archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se

debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, odispositivos como discos compactos y memorias USB.

Un error común en el que suelen caer las empresas es pensar que ya se encuentran protegidas de

cualquier riesgo informático por tener instalados diferentes mecanismos de seguridad entre

algunos de ellos: antivirus y detectores de intrusos en su sistema. Las tendencias demuestran que

el paradigma ha cambiado, y que ese tipo de soluciones quedaron obsoletas o han sido rebasadas

frente a los nuevos problemas que emergen cotidianamente. Los ataques más comunes de

seguridad de la información se enlistan a continuación2:

• Ataques deliberados de software

o Virus (creados por humanos)

o Sistemas operativos (provocados por humanos)

• Fallas/Errores técnicos de software (provocados por humanos)

• Fallas/Errores humanos (provocados por humanos)

• Actos deliberados de espionaje e invasión (cometidos por humanos)

• Actos deliberados de sabotaje y vandalismo (cometidos por humanos)

2 Michael E. Whitman, Ph.D., CISSP. Director, KSU Center for Information Security Education and Awareness. Associate Professorof Information Systems. Member – Human Firewall Council.


16/141

5

De los puntos anteriores se puede deducir que la información es producida y consumida por las

personas, paradójicamente, es el mismo factor humano el principal elemento que la pone en

riesgo.

Las personas en general manejan la información, a través de cualquier medio físico o lógico en

lugares públicos sin considerar que las actividades que realizan en ellas pueden estar siendo

observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos

de destrucción controlada de información una vez que los dispositivos van a reasignarse, también

es un elemento de protección.

El típico acercamiento que se ha visto en el pasado fue a través de la implementación de

tecnología estándar enfocada en servidores, servicios y redes: antivirus, antivirus de red, firewall,

endpoints, IDS’s que monitorean el tráfico, etc. Estas soluciones son efectivas y muy necesarias

para proteger ambiente de red, pero no sirven frente a la fuga de información.

Generalmente hablamos que los problemas que se generan en la seguridad de la información

pasan por el concepto de cultura de seguridad, no obstante, se hace muy poco para lograr una

autentica cultura de seguridad de la información, y en muchas ocasiones se ha dicho que la

creación de un programa de concientización sobre la importancia de la información y su protección

en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que

es el usuario final.

Sin embargo, las estadísticas develadas en el 2008 por CSI Survey, como se muestran en laFigura 1 “Porcentaje de presupuesto para seguridad en TI”, denotan que las empresas invierten

muy poco en cuestiones de seguridad de la información. Como se muestra en la siguiente gráfica:


17/141

6

Figura 1. Porcentaje de presupuesto para seguridad en TI. Fuente: CSI Survey 2008.

Del mismo modo se resalta en la Figura 2 “Programas de concientización como porcentaje del

presupuesto de seguridad”, que la inversión en programas de concientización, educación y

capacitación, es muy baja. Como se ilustra a continuación:

Figura 2. Programas de concientización como porcentaje del presupuesto de seguridad. Fuente CSI Survey 2008.

Y aún así, los resultados de la efectividad mostrados en la Figura 3 “Métricas de los programas de

concientización”, de estos programas de concientización, educación y capacitación no son

satisfactorios, como se ilustra a continuación:


18/141

7

Figura 3. Métricas de los programas de concientización. Fuente: CSI Survey 2008.

La práctica nos ha demostrado que el uso de tecnologías como apoyo en la seguridad de la

información, es un factor dominante en las soluciones actuales, sin embargo, aún existendebilidades que son explotadas por los atacantes, y van más allá de la infraestructura tecnológica,

estos mecanismos siguen siendo deficientes debido a que no se ataca al eslabón más débil: el

factor humano, y este lo seguirá siendo mientras no se le dote de las herramientas necesarias

para formar parte activa en la preservación de la seguridad de la información. Un factor

determinante en conseguir este objetivo, inicia en la alta dirección de las organizaciones, ya que

esta debería responsabilizarse de las acciones de sus colaboradores.

Las estadísticas mostradas con anterioridad nos demuestran que existe una deficiente inversión

económica en seguridad de la información, y que dentro de esta inversión, los programas de

formación y concientización en la materia, ocupan un muy bajo porcentaje, teniendo como

resultado que los mismos, sean insuficientes o nulos, y en consecuencia, un grave detonante en la

fuga de información.

Por lo anterior se hace necesario el desarrollo de un programa adecuado de concientización en el

tema de seguridad de la información, enfocado a todos los niveles de la organización,

debidamente apoyado en las políticas de cada una sobre el tema y con un adecuado proceso de

monitoreo y actualización.


19/141

8

1.4 Marco teórico

Seguridad de la información

Tiene como fin la protección de la información y de los sistemas de información del acceso, uso,

divulgación, interrupción o destrucción no autorizada, la cual se sustenta en los principios de

confidencialidad, integridad y disponibilidad (conocidos comúnmente como CIA-triad:

confidenciality, integrity, availability, por sus siglas en inglés)3:

• Confidencialidad. La confidencialidad, o privacidad, es el proceso de asegurar que

los datos se mantienen confidenciales y no pueden ser consultados por entes no

autorizados.

•

Integridad. La integridad es la garantía de que los datos están protegidos de sermodificados de manera accidental o deliberada (maliciosa).

• Disponibilidad. Desde la perspectiva de seguridad, la disponibilidad significa que

un sistema esté disponible para sus usuarios autorizados.

Estos principios pueden ser violados, tanto de manera intencional como accidental, por miembros

internos o externos a la organización. Uno de los objetivos primordiales de la seguridad de la

información es la prevención de la pérdida de información o fuga de información. De este modo se

deben tomar en cuenta los siguientes conceptos, definidos en por el SANS Institute en su “Glosaryof Information Security Terms”4:

• Activo: Recurso del sistema de información o relacionado con éste, necesario para

que la organización funcione correctamente y alcance los objetivos propuestos.

• Amenaza: es un evento que puede desencadenar un incidente en la organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

• Impacto: medir la consecuencia al materializarse una amenaza.

• Riesgo: posibilidad de que se produzca un impacto determinado en un activo, en un

dominio o en toda la organización.

3 TechRepublic. Chad Perrin: “The CIA Triad”, 30 de Junio de 20084 Sans Institute, “Glossary of Information Security Terms”


20/141

9

• Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza

sobre un activo.

• Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema

de seguridad.

• Desastre o Contingencia: interrupción de la capacidad de acceso a información y

procesamiento de la misma a través de computadoras necesarias para la operación

normal de la organización.

Muchas organizaciones enfocan su atención en la amenaza del robo de información ó en la

vulnerabilidad de accesos inseguros. Sin embargo, el robo de información y el acceso no

autorizado son dos ejemplos de las subcategorías de fuga de información. Para evaluar

apropiadamente y reducir el riesgo de la fuga de información, de acuerdo a Sophos Plc, en suwhitepaper “Stopping data leakage”, deben considerarse las siguientes cuatro categorías5:

• Acciones y autorizaciones a los usuarios: Eliminación accidental o deliberada de

archivos o programas, pérdida de dispositivos de almacenamiento, y otros eventos

originados por falta de conocimiento o experiencia. Modificación de información, mal

uso de programas o de dispositivos de almacenamiento, compartir contraseñas o

alguna otra forma de debilitar la seguridad.

• Fallas: Colapso de software, fallas de corriente eléctrica, perdida de conexiones abases de datos, corrupción de datos o algún otro error que afecte a los dispositivos

de almacenamiento.

• Crímenes/Pérdida de confidencialidad: Compartir información no autorizada, robo

de información, sabotaje, virus, troyanos, etc.

• Desastres: Fuego, inundaciones, terremotos, o algún evento físico que propicie la

destrucción o deterioro de los dispositivos de almacenamiento.

El tema de la seguridad informática ha sido de gran importancia en los últimos años. Como

usuarios, estamos muy conscientes de amenazas como virus, adware, spyware, phishing, etc. Sin

embargo, como administradores de la información, es posible que no estemos haciendo suficiente

énfasis en la seguridad enfocada al factor humano.

5 Sophos Plc, “Stopping data leakage: Exploiting your existing security investment” whitepaper


21/141

10

Por lo anterior se hace necesaria la aplicación de programas adecuados de concientización,

capacitación y educación en el tema de seguridad. De acuerdo al Lic. Cristian F. Borghello en el

sitio SeguInfo, define los términos de la siguiente manera6:

• Concientización: Se entiende por concientización a la sensibilización del personal de la

organización, para que se den cuenta de su responsabilidad en la protección de la

confidencialidad, integridad y disponibilidad de los activos de información de la

organización, y que comprendan que esto no es solo competencia de los especialistas en

seguridad. No solo debe perseguir la protección de los activos, sino también el porqué es

importante su protección y como pueden contribuir a esta tarea.

• Capacitación: Se encarga de proveer a las personas las habilidades que le permitan

efectuar sus tareas de forma más segura. Esto incluye el enseñarles “qué” y “cómo” lo

deben hacer. También puede enfocarse desde las prácticas de seguridad máselementales, hasta las habilidades más avanzadas o especializadas.

• Educación: La educación en seguridad se adentra más que la capacitación, debido a que

está más enfocada a los especialistas en seguridad y a aquellos puestos que requieren

cierta experiencia en tópicos de seguridad.

Modelo

Para lograr una cultura consciente de la importancia de la seguridad de la información esnecesaria una educación en seguridad. Es preciso aplicar un conjunto de métodos y técnicas

(Modelo de enseñanza) para comunicar estos conocimientos de seguridad. De acuerdo a Joyce y

Weil en su libro “Models Of Teaching”, existen varios modelos de enseñanza pero todos tienen las

siguientes características7:

• ¿Qué enseñar?

• ¿Cómo enseñar?

• ¿Qué y cómo evaluar?

Las preguntas anteriores las podemos resumir en:

• Enfoque

• Metodología

• Evaluación

6 Lic. Cristian F. Borghello, http://www.segu-info.com.ar7 Joyce y Weil. “Models Of Teaching”, 2004, Pearson / Alyn and Bacon.


22/141

11

Conociendo cada uno de estos elementos, se facilitará identificar el modelo de enseñanza que se

está empleando, aunque hay casos en los que se mezclan ciertos elementos de cada modelo

dando uno aparentemente diferente.

1.5 Diseño de la investigación

• Recopilación teórica de conceptos de seguridad de información, riesgos, fuga de

información, concientización, educación, capacitación y modelos.

• Determinar las fuentes de información para recabar las bases de la investigación.

• Recopilación de estadísticas respecto a ataques a la seguridad informática.

• Investigación e identificación de las mejores prácticas y lineamientos referentes altema de seguridad de la información (COBIT, ISO 27002:2005, etc.) que

contribuyan a la elaboración del modelo.

• Identificación y evaluación de las TI que apoyan la educación, capacitación y

concientización.

• Análisis de información recopilada para elaboración de conclusiones propias.

• Elaboración de conclusiones y propuestas del modelo.

1.6 Tipo y técnicas de investigación

TIPO DE INVESTIGACIÓN: Descriptiva

Parten de la descripción de datos y características de la población o fenómeno de estudio, que

resulta insuficientemente conocida y, al mismo tiempo, relevante e interesante para ciertos

desarrollos. El objetivo central de estas investigaciones está en proveer un buen registro de los

tipos de hechos que tienen lugar dentro de esa realidad y que la definen o caracterizan

sistemáticamente. Se estructuran sobre la base de preguntas cuya forma lógica se orienta a

describir: ¿Cómo es x? ¿Qué es x? ¿Qué ocurre en calidad de x o bajo la forma x?

Sus forma de trabajo estandarizadas son las observaciones (recolecciones de datos), las

clasificaciones (formulación de sistemas de criterios que permitan agrupar los datos o unificar las


23/141

12

diferencias singulares), las definiciones, las comparaciones (determinación de semejanzas y

diferencias en comparación a estándares).

TÉCNICAS DE INVESTIGACIÓN: Documentales

Permite la recopilación de información para enunciar las teorías que sustentan el estudio de los

fenómenos y procesos.

Su objetivo es elaborar un marco teórico conceptual para formar un cuerpo de ideas sobre el tema

de investigación. Es indispensable ya que integra la estructura de la investigación, permite ordenar

las etapas de la investigación y orientar la obtención de conocimientos.


24/141

13

Capítulo II: Conceptos Generales

Conceptos como seguridad son “borrosos” o su definición se maneja con cierto grado de

incertidumbre teniendo distinto significando para distintas personas. Esto tiene la peligrosa

consecuencia de que la función de seguridad puede ser frecuentemente etiquetada comoinadecuada o negligente, haciendo imposible a los responsables justificar sus técnicas ante

reclamos basados en ambigüedades de conceptos y definiciones. Este problema puede ser

solucionado satisfaciendo las necesidades de comprensión de conceptos como: seguridad,

información, amenaza, riesgo, vulnerabilidad, concientización, fuga de información, entre otros. En

definitiva los expertos en seguridad y los expertos en informática deben interactuar

interdisciplinariamente para que exista seguridad de la información. Por este motivo, el presente

capítulo se enfoca en la definición de los conceptos ya mencionados.

2.1 Información

En la actualidad es un hecho que la información es el activo más valioso e importante de toda

unidad organizacional en las actividades humanas, es por esta razón que debemos tener

conciencia de la importancia de la misma, así como las amenazas a las que la información está

expuesta y el impacto de que dichas amenazas se vuelvan reales.

2.1.1 Definición

Para comenzar el análisis de la seguridad de la información se deberá conocer las características

de lo que se pretende proteger: la información.

Según Rafael Fernández Calvo, en su glosario básico para usuarios de Internet, define dato como:

“La unidad mínima con la que compone cierta información. Datum es una palabra latina, que

significa ‘lo que se da’”.8

Luego, de acuerdo a el Dr. Giovanni Manunta, en su libro “Seguridad: Una Introducción”, la

Información “es una agregación de datos que tiene un significado específico más allá de cada uno

de éstos, y tendrá un sentido particular según cómo y quién la procese”9.

8 CALVO, Rafael Fernández. Glosario Básico Inglés – Español para usuarios de Internet. 1994–2000.http://www.ati.es/novatica/2000/145

9 Presentación del libro “Seguridad: una Introducción”. Dr MANUNTA, Giovanni. Consultor y profesor de Seguridad de CranfieldUniversity. Revista Seguridad Corporativa. http://www.seguridadcorporativa.org


25/141

14

2.1.2 Función de la información

Según encuestas de seguridad informática publicadas en 2008 por Ernst & Young México 10, las

funciones de la información que se acercan más a la realidad y con base en puntos de vista de los

encuestados, son:

• Aumentar el conocimiento del usuario.

• Proporcionar a quien toma decisión probabilidades para la elección, reduciendo la

gama de decisiones.

• Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de

control.

En relación con el primer punto, la información como vía para llegar al conocimiento, debe de ser

elaborada para hacerla utilizable o disponible, también debe conservarse integra y confiable,

puntos que debe encargarse de proteger la seguridad de la información, como se verá en los

tópicos siguientes.

2.1.3 Características

Establecer el valor de la información es algo totalmente relativo, pues constituye un recurso que,

en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre conlos equipos, las aplicaciones y la documentación, y esto depende de las características de cada

organización. De este modo, como se define en el libro “Library & Information Science Research”,

puede existir información que debe o puede ser pública: puede ser visualizada por cualquier

persona; y aquella que debe ser privada: sólo puede ser visualizada por un grupo selecto de

personas que trabaja con ella. En esta última debemos maximizar nuestros esfuerzos para

preservarla de ese modo reconociendo las siguientes características en la Información11:

1. Es crítica: es indispensable para garantizar la continuidad operativa.

2. Es valiosa: es un activo con valor en sí misma.

3. Es sensitiva: debe ser conocida por las personas que la procesan y sólo por ellas.

10 11a. encuesta global de seguridad realizada por Ernst & Young. http://www.ey.com11 AHARONY, Noa; RABAN, Daphne R. Library & Information Science Research, 2008


26/141

15

Adicionalmente el “Information Technology Security Evaluation Criteria” define algunos aspectos

adicionales, relacionados con los anteriores, pero que incorporan algunos aspectos particulares,

dentro de los cuales se encuentran12:

• El control sobre la información permite asegurar que sólo los usuarios autorizados

pueden decidir cuándo y cómo permitir el acceso a la misma.

• La autenticidad permite definir que la información requerida es válida y utilizable en

tiempo, forma y distribución. Esta propiedad también permite asegurar el origen de

la información, validando el emisor de la misma, para evitar suplantación de

identidades.

• Protección a la réplica: mediante la cual se asegura que una transacción sólo puede

realizarse una vez, a menos que se especifique lo contrario. No se deberá podergrabar una transacción para luego reproducirla, con el propósito de copiar la

transacción para que parezca que se recibieron múltiples peticiones del mismo

remitente original.

• No repudio: mediante la cual se evita que cualquier entidad que envió o recibió

información alegue, ante terceros, que no la envió o recibió.

• Consistencia: se debe poder asegurar que el sistema se comporte como se supone

que debe hacerlo ante los usuarios que corresponda.

• Aislamiento: este aspecto, íntimamente relacionado con la confidencialidad, permite

regular el acceso al sistema, impidiendo que personas no autorizadas hagan uso

del mismo.

• Auditoría: es la capacidad de determinar qué acciones o procesos se están llevando

a cabo en el sistema, así como quién y cuándo las realiza.

El valor de la información es una de las ideas más difíciles de conceptualizar. Los investigadores

han analizado este concepto en una gran variedad de formas, cada uno complementando al otro,

así como aumentando la complejidad del concepto. La información puede ser una mercancía, un

producto, un servicio o una experiencia. Además, su valor aumenta a lo largo de este continuo. El

valor a veces es asignado en la forma que la información es empaquetada y distribuida; pero, en

12 Information Technology Security Evaluation Criteria (ITSEC)


27/141

16

ocasiones el valor es inherente a su contenido a pesar de la forma que es transmitida. También el

valor de la información puede estar derivado del intercambio o su uso y pueden ser evaluados de

forma normativa, realista o subjetiva, en consecuencia los esfuerzos por protegerla deben

enfocarse en proteger sus principios fundamentales: confidencialidad, integridad y disponibilidad

(ver: “1.4 Marco teórico”).

2.1.4 Clasificación

Para lograr la confidencialidad, integridad y disponibilidad de la información, es importante que se

maneje el concepto de “clasificación de la información”, el cual, según el “SANS Institute

Information Seccurity Reading Room”, es “el conjunto de actividades que involucran el desarrollo

de políticas y procedimientos en seguridad de activos de información en donde debe establecerse

un esquema acorde con el impacto que representa la alteración, pérdida y divulgación de la

información sensitiva para la organización”. El mismo, propone la siguiente clasificación:restringida, altamente confidencial, confidencial, interna y pública, como lo muestra la Figura 4

“Clasificación de la Información”.

Figura 4. Clasificación de la Información. Fuente: SANS Institute InfoSec Reading Room.

Los niveles mostrados en la figura anterior se pueden definir de la siguiente manera13

:

• Restringida: Esta clasificación aplica para información de uso exclusivo por parte

de un reducido grupo de personas dentro de la organización. La divulgación no

autorizada de esta información conlleva severos impactos a la operación y

reputación de la empresa. Información que, de divulgarse a personas no

13 SANS Institute InfoSec Reading Room


28/141

17

autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la

organización, o bien su estado financiero, sus clientes o franquicias.

• Altamente confidencial: Esta clasificación abarca información menos sensitiva,

pero de uso exclusivo en áreas específicas de la organización. La divulgación de

esta información puede afectar las ventajas competitivas o causar daños

patrimoniales a la organización. Información que, de divulgarse a personas no

autorizadas, puede afectar las obligaciones jurídicas o reguladoras de la

organización, o bien su estado financiero, sus clientes o franquicias.

• Confidencial: Información sobre clientes, empleados y negocios de la organización

que la organización está obligada a proteger. Información que, según la unidad

empresarial, tiene posibilidades de proporcionar una ventaja competitiva, o que

puede afectar considerablemente a la empresa, si se divulga a personas no

autorizadas.

• Interna: Esta clasificación aplica para información únicamente para uso interno de

la organización. Su divulgación pudiese acarrear daños o ser utilizada por persona

ajenas a la organización, para fines particulares. Información que, por lo general, se

divulga dentro de la organización, que no está destinada a distribuirse fuera de la

organización, y que no está clasificada como restringida, altamente confidencial o

confidencial.

• Pública: Esta clasificación incluye cualquier otra información que no se encuentredentro de cualquiera de las tres anteriores, que no requiera protección contra

accesos no autorizados. Sin embargo, su divulgación debe ser regulada por las

áreas competentes. Información que está libremente disponible fuera de la

organización, o que está destinada al uso público por parte del propietario de la

información. La información pública no tiene restricciones en cuanto a seguridad.

Cada negocio debe designar a los propietarios de la información correspondientes a cada uno de

los dueños de esta. Es responsabilidad del propietario de la información determinar el nivel de la

clasificación así como definir y aprobar a quien más se puede divulgar la información de la que es

propietario.


29/141

18

2.2 Seguridad de la información

“Ser lo que soy, no es nada sin la seguridad”14. Sin duda William Shakespeare tenía un concepto

más evolucionado de la seguridad que sus contemporáneos del siglo XV y quizás también que

algunos de los nuestros.

La meta es ambiciosa. La seguridad como materia académica no existe, y es considerada por los

“estudiosos” como una herramienta dentro del ámbito en que se la estudia: relaciones

internacionales – nacionales, estudios de riesgo, prevención de crímenes y pérdidas, etc.

El amplio desarrollo de las nuevas tecnologías informáticas está ofreciendo un nuevo campo de

acción a conductas antisociales y delictivas manifestadas en formas antes imposibles de imaginar,

ofreciendo la posibilidad de cometer delitos tradicionales en formas no tradicionales.

2.2.1 Definición

En las organizaciones, la Seguridad de la Información (SI) ha comenzado a tomar un lugar

determinante, y se ha convertido en un elemento fundamental a ser considerado en toda

estrategia de negocio con miras a lograr metas importantes a corto, mediano y largo plazo.

En consecuencia, las organizaciones experimentan la necesidad de definir estrategias efectivas

que garanticen una gestión segura de los procesos del negocio a fin de darle mayor resguardo a la

información, y al mismo tiempo no obstáculos para adaptarse a los continuos cambios de la

organización como consecuencia de las exigencias del mercado, sin embargo, para lograr esteobjetivo es necesario conocer la definición de seguridad de la información, según Timothy P.

Layton en su libro “Information Security: Design, Implementation, Measurement, and Compliance”,

define la seguridad de la información como: “la protección de la información y los sistemas de

información del acceso, uso, divulgación, alteración, modificación o destrucción no autorizados.”15

Los términos de “seguridad de la información”, “seguridad informática” y “aseguramiento de la

información” son frecuentemente e indistintamente usados de forma incorrecta. Estos términos

están relacionados entre sí a menudo y comparten los objetivos comunes de protección de la

confidencialidad, integridad y disponibilidad de la información, sin embargo, hay algunas

diferencias sutiles entre ellos. Estas diferencias radican fundamentalmente en el enfoque del tema,las metodologías utilizadas, y las zonas de concentración.

“La ‘seguridad de la información’ se refiere a la confidencialidad, integridad y disponibilidad de los

datos independientemente de la forma de los datos: electrónicos, impresos, o de otras formas. Sin

14 William Shakespeare, 1564–1616.15 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:

Auerbach publications. ISBN 978-0-8493-7087-8.


30/141

19

embargo, la ‘seguridad informática’ puede centrarse en garantizar la disponibilidad y el correcto

funcionamiento de un sistema informático sin preocuparse por la información almacenada o

procesada por el mismo. Así mismo, el ‘aseguramiento de la información” se refiere a la gestión

de los riegos asociados a la información.”16

A medida que el rol de seguridad de la información evoluciona, los directivos y ejecutivos de

negocio reconocen que éste es sin duda el primer paso en la relación entre la organización, sus

clientes, socios de negocio, proveedores y empleados. En este sentido, la seguridad de la

Información acarrea grandes implicaciones para las organizaciones debido a que la confianza es

la base para el intercambio, y su ausencia es una buena razón para hacer negocios con la

competencia.

2.2.2 Objetivos y propósitos de seguridad de la información

Chritian Byrnes y Paul E. Proctor en su libro “The Secured Enterprise: Protecting Your Information

Assets“ definen que “el objetivo de la seguridad de la información es el proteger el patrimonio

informático de la organización, entendiendo por tal, instalaciones, equipo e información.”17

Los principales objetivos, propuestos por Julio César Ardita (fundador y director de investigación y

desarrollo de CYBSEC Security Systems), que persigue la seguridad de la información son los

siguientes: 18

• Asegurar la integridad y exactitud de la información.

• Proteger la confidencialidad de la información.

• Proteger y conservar los activos de la información fuera del alcance de riesgos, de

desastres naturales o de actos mal intencionados.

• Asegurar la capacidad de supervivencia de la organización ante eventos que

pongan en peligro su existencia.

• Proveer el ambiente que asegure el manejo adecuado de la información sustantiva.

• Proteger los sistemas informáticos de la empresa ante posibles amenazas.

16 Idem17 F. Christian Byrnes & Paul E. Proctor, “The Secured Enterprise: Protecting Your Information Assets”, 2005, Prentice Hall

Professional.18 ARDITA, Julio César. http://www.cybsec.com


31/141

20

• Desarrollar, promocionar y actualizar las políticas y estándares de seguridad de la

información.

• Dar mantenimiento los usuarios, passwords y accesos a los sistemas por parte de

los usuarios de la empresa.

• Desarrollar e implementar el plan de seguridad.

• Asegurarse de que los aspectos relacionados con la seguridad sean considerados

cuando se seleccionen los contratistas.

• Monitorear día a día la implementación y el uso de los mecanismos de seguridad de

la información.

• Coordinar investigaciones de incidentes de seguridad informática.

• Revisar los logs de auditoría y sistemas de detección de intrusiones.

• Participar en los proyectos informáticos de la organización agregando todas las

consideraciones de seguridad.

En resumen, el propósito de seguridad de la información es el reducir el impacto de un fenómeno

que pueda causar pérdidas y que deberá encontrarse en posibilidades de recuperación a un

mínimo nivel aceptable, a un costo razonable y asegurando la adecuado re estabilización de la

operatividad.

2.2.3 Funciones de la seguridad de la información

Mucho se habla de seguridad de la información en estos tiempos, sin embargo, cabe destacar que

las funciones de la misma no han sido definidas claramente, lo cual recae en mal interpretaciones

de las mismas. Además es una realidad que las funciones de la seguridad de la información están

delimitadas en un ámbito tecnológico, sin embargo, se le debe dar un enfoque estratégico

optimizando así las funciones de la misma para lograr un amplio aprovechamiento de las mejores

prácticas, políticas y estrategias vinculadas a los objetivos y propósitos de la organización.

Omar Alejandro Herrera Reyna, en su el sitio SeguInfo enlista las principales funciones a realizar

por la seguridad de la información19:

19 Herrera Reyna, Omar Alejandro.http://www.segu-info.com.ar


32/141

21

• Minimizar los riegos de quebrantos y fraudes, a través del establecimiento de

normas, medidas y procedimientos preventivos y de seguridad en los productos,

servicios y procesos que los soportan.

• Proteger la información de acuerdo a su importancia y valor, así como resguardar

los demás activos de información en donde se procesan.

• Asegurar que desde su inicio incorporen en cada uno de sus proyectos y

procedimientos las normas, medidas y procedimientos de prevención y de

seguridad.

• Investigar administrativamente hechos dolosos que por su trascendencia o impacto

afecten los intereses de la empresa.

• Dar seguimiento conforme a la normatividad interna y al marco jurídico, las acciones

dolosas y negligentes de su personal, que afecten el patrimonio organizacional.

• Realizar diagnóstico de riesgos en las diferentes áreas de la empresa y proponer

acciones de solución.

• Identificar necesidades y problemática con base en el análisis de riesgos

previamente realizado e identificar problemas que afecten de manera general la

seguridad de la información.

• Definir políticas y procedimientos generales de seguridad de la información, para

todo el ámbito informático.

• Definir, orientar y dar seguimiento a estrategias y planes organizacionales de

seguridad dentro de la empresa.

• Dar seguimiento al cumplimiento de estrategias, normas, requerimientos y

liberaciones.

• Concienciar y difundir los conceptos de seguridad en toda la empresa.


33/141

22

• Participar en la creación de los planes organizacionales mediante la revisión,

adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada

área.

Es de suma importancia tener firmemente cimentadas las funciones de seguridad de la

información con el fin de que el área responsable delimite, implante y efectúe las medidas

necesarias para el cumplimiento de los objetivos y propósitos de la seguridad de la información y

por tanto de la organización en general.

2.2.3.1 Qué debemos proteger

De acuerdo al libro “Information Security: Design, Implementation, Measurement, and

Compliance”, en cualquier sistema de información existen los siguientes elementos básicos a

proteger: el hardware, el software, las comunicaciones y la información (ver Figura 5“Componentes de seguridad de la información). De estos, la información que maneja el sistema

debe ser lo más importante, ya que es el resultado del trabajo realizado. Si existiera daño del

hardware, software o comunicaciones estos pueden adquirirse nuevamente desde su medio

original; pero la información obtenida en el transcurso del tiempo es imposible de recuperar: tal vez

se pueda recurrir a un sistema de copias de seguridad (si es que se tiene), y aún así es difícil de

devolver la información a su forma anterior al daño.20

Figura 5. Componentes de seguridad de la información. Fuente: http://wikipedia.org, John M. Kennedy T.

20 Layton, Timothy P. (2007). Information Security: Design, Implementation, Measurement, and Compliance. Boca Raton, FL:Auerbach publications. ISBN 978-0-8493-7087-8


34/141

23

2.2.3.2 De quién debemos protegernos

Gustavo Aldegani en su libro “Seguridad Informática” define que “un intruso o atacante a la

persona que accede (o intenta acceder) sin autorización a un sistema ajeno, ya sea en forma

intencional o no”21. La Figura 6 “Amenazas para la seguridad”, es una clara clasificación de quien

debemos protegernos.

Figura 6. Amenazas para la seguridad. Fuente: Lic. Cristian Fabian Borghello, Tesis: “Seguridad Informática: Sus

implicancias e implementación”.

2.2.3.3 Cómo podemos protegernos

Julio C. Ardita indica que debemos protegernos en tres momentos22:

• La prevención (antes): mecanismos que aumentan la seguridad (o fiabilidad) de un

sistema durante su funcionamiento normal.

• La detección (durante): mecanismos orientados a revelar violaciones a la seguridad.

• La recuperación (después): mecanismos que se aplican, cuando la violación del

sistema ya se ha detectado, para retornar éste a su funcionamiento normal.

Estos mecanismos conformarán políticas que garantizarán la seguridad de nuestro sistema de

información. Ya se trate de actos naturales, errores u omisiones humanas y actos intencionales,

cada riesgo debería ser atacado de las siguientes maneras:

21 ALDEGANI, Gustavo. Miguel. Seguridad Informática, MP Ediciones Argentina.22 ARDITA, Julio César. http://www.cybsec.com


35/141

24

1. Minimizando la posibilidad de su ocurrencia.

2. Reduciendo al mínimo el perjuicio producido, si no ha podido evitarse que ocurriera.

3. Diseño de métodos para la más rápida recuperación de los daños experimentados.

4. Corrección de las medidas de seguridad en función de la experiencia recogida.

Para garantizar que un sistema sea fiable se deberá garantizar las características ya mencionadas

de integridad, confidencialidad, operatividad, control y autenticidad. Se deberá conocer “qué es lo

que queremos proteger”, “de quién lo queremos proteger”, “cómo se puede lograr esto legislativa y

técnicamente”; para luego concluir con la formulación de estrategias adecuadas de seguridad

tendientes a la disminución (¿anulación?) de los riesgos.

Comprender y conocer de seguridad ayudará a llevar a cabo análisis sobre los riesgos, lasvulnerabilidades, amenazas y contramedidas; evaluar las ventajas o desventajas en base de las

necesidades de seguridad.

2.2.4 Importancia de la seguridad de la información

La era digital permitió una apertura de fronteras, una eliminación de las barreras comerciales y un

gran intercambio de información. Así las economías han venido creciendo, y también lo han hecho

las organizaciones delictivas.

No es un secreto que cuando se habla de seguridad de la información, lo que preocupa a las

organizaciones es el nivel de inseguridad. La inseguridad es la relación entre la seguridad real y la

seguridad total, utopía inexistente. Las áreas encargadas de la seguridad de la información, en

realidad, deben lograr que el nivel de inseguridad esté dentro de los parámetros

organizacionalmente aceptados como válidos y de acuerdo a las necesidades y recursos a los que

la organización esté limitada. Paradójicamente la seguridad entonces, se mide por el nivel de

inseguridad existente en un sistema de seguridad de la información.

Gracias a relevantes encuestas elaboradas por Cybsec, argumentamos que la inseguridad de lainformación debe ser combatida a partir de un sistema de seguridad integral en donde se cumplan

las siguientes premisas23:

• Factor humano y factor tecnológico deben estar involucrados.

23 "Tendencias en Seguridad Informática 2006”. Cybsec S.A. http://www.cybsec.com


36/141

25

• Los sistemas de seguridad de la información deben funcionar eficientemente y

generar confianza.

• Cada una de las áreas de la organización debe concientizarse sobre la

responsabilidad que tienen sobre el manejo, uso y resguardo de la información que

cada ente dentro de la misma maneja.

La importancia de seguridad de la información reside en el hecho de lograr disminuir el índice de

inseguridad vigente en cualquier sistema de información, tomando en cuenta las premisas

anteriores y poniendo en marcha medidas, técnicas y controles, así como políticas y

procedimientos que sirvan de base para un correcto, creciente y permanente manejo y resguardo

de la información.

Procedimientos y tecnologías han avanzado para que la seguridad de la información sea cada vez

más eficiente.

¿Cómo darle una solución al tema? Por un lado deben revisarse los procesos del factor humano,

consultorías, capacitación, educación y concientización al personal, etc., por el otro debe darse un

permanente seguimiento al modelo de seguridad implantado. Actualmente las empresas manejan

un modelo vertical de seguridad: seguridad de almacén, seguridad de transporte, seguridad

periférica, seguridad personal, seguridad para la tecnología de información, seguridad de la carga,

seguridad ambiental, etc.; de esta forma existen un promedio de 20 proveedores de seguridadpara una sola organización. Este modelo de seguridad, utilizado mayoritariamente, es muy

vulnerable y facilita la inseguridad pues:

1. Existen zonas grises entre las distintas áreas,

2. Tiene gran dificultad de coordinar los distintos recursos,

3. Existe un riesgo elevado de fuga de información por parte de personal común y

4. No está basado en la inteligencia como “modus operandi”.

La gestión eficiente de la seguridad de la información en las organizaciones, es un claro ejemplo

de cómo la seguridad debe ser planteada en forma estratégica. Fallas de seguridad impactan

negativamente en el cuadro de resultado de las mismas.


37/141

26

La seguridad como factor estratégico permitirá coordinar, interactuar y lograr la interoperabilidad

necesaria entre los distintos proveedores verticales, actuando como punto de origen y control

desde el cual se imparten las directrices y el control de la seguridad total de la organización.

2.3 Vulnerabilidades, Amenazas y Riesgos de la Información

Muchos de los términos de seguridad son frecuentemente confundidos en publicaciones

populares. Diferentes términos de seguridad tienen distintos significados para ser usados en

formas específicas por una razón. Por ejemplo, “evaluación de riesgos” y “evaluación de

amenazas” son dos términos completamente diferentes, y cada uno es valioso por sus propias

razones y aplicables para resolver diferentes problemas.

Los tres términos de seguridad: vulnerabilidad, amenaza y riesgo, serán definidos a

continuación

24

:

2.3.1 Definición de vulnerabilidad

El término vulnerabilidad se refiere a los defectos de seguridad en un sistema que permite que un

ataque sea exitoso. La evaluación de vulnerabilidades debe ejecutarse por las partes

responsables para resolver dichas vulnerabilidades, y ayuda a proveer datos usados para

identificas daños inesperados a la seguridad que necesitan ser resueltos. Dichas vulnerabilidades

no son particularmente en tecnología, estas puede aplicarse en factores sociales, tal como

autenticaciones personales y políticas de autorización.

Analizar las vulnerabilidades es útil para mantener la seguridad continua, permitiendo a las

personas responsabilizarse por la seguridad de los recursos, y responder efectivamente a los

nuevos daños cuando sucedan. También es valiosa para el desarrollo de políticas y tecnología, y

como parte de del proceso de selección de tecnología, ya que elegir la tecnología correcta a

tiempo puede asegurar ahorros significativos en tiempo, dinero y otros costos al negocio.

2.3.2 Definición de amenaza

El término amenaza se refiere al origen de un ataque en particular. El análisis de amenazas puede

ser ejecutado para determinar el mejor acercamiento al aseguramiento de un sistema contra una

amenaza en particular o una clase de amenaza mientras le análisis de riesgos se enfoca en

analizar el potencial y la tendencia de un recurso a fallar, debido a los ataques, el análisis de

amenazas se enfoca más en analizar los recursos del atacante.

24 TechRepublic. Chad Perrin: “Understanding risk, threat, and vulnerability”, 07 de Julio de 2009


38/141

27

Analizar amenazas ayuda a desarrollar políticas de seguridad específicas en alineación con las

prioridades y el entendimiento de las necesidades de los recursos a asegurar.

2.3.3 Definición de riesgo

El término de riesgo se refiere, a la probabilidad de ser alcanzado por un ataque, ya sea exitoso o

no, así como la exposición a una amenaza. Un análisis de riesgo se ejecuta para determinar las

más potenciales brechas de seguridad y cómo prevenirlas ahora, en vez de corregirlas después.

Enumerando las más críticas y peligrosas, y evalúa los niveles de riesgos relativos a otros

mediante una función de interacción entre el costo y la probabilidad de ocurrencia de dicha brecha.

Analizar riesgos puede ayudar a determinar una apropiada inversión a la seguridad (tanto en

tiempo como en dinero), y priorizar la implementación de políticas de seguridad como un reto para

resolverlos lo más pronto posible.

Entender el uso apropiado de estos términos es importante, no únicamente para sonar que

conocemos de lo que estamos hablando, ni para facilitar la comunicación. También ayuda para

desarrollar y aplicar buenas políticas. La especificidad de los términos técnicos se ve reflejada en

la forma en que los expertos han identificado claras distinciones entre prácticas reales y sus

campos de experiencia, y puede ayudar a clarificar como se deben enfrentar los retos para

alcanzar los objetivos.

Es necesario conocer los riesgos, los recursos que se deben proteger y como su daño o faltapueden influir en la organización, así mismo, es necesario identificar cada una de las amenazas y

vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó existe una

relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe la otra tampoco

(ver Figura 11 “Elementos e Interrelaciones Amenaza – Vulnerabilidad – Riesgo”).


39/141

28

Figura 7. Elementos e Interrelaciones Vulnerabilidad – Amenaza –Riesgo. Fuente: Revista de Ingeniería Informática del

CIIRM.

2.3.4 Clasificación de riesgos, amenazas y vulnerabilidades

Retomando los términos anteriores, las organizaciones deben evaluar los posibles riesgos,

amenazas y vulnerabilidades a los que está expuesta su información. En general, esta evaluación

es determinar qué amenazas y vulnerabilidades merecen una atención prioritaria en relación con

el valor de la información o sistemas de información protegida. A pesar de que las amenazas y

vulnerabilidades deben ser consideradas al mismo tiempo, es importante distinguir entre las

amenazas de las vulnerabilidades.

De este modo, las vulnerabilidades en la seguridad de la información pueden clasificarse de la

siguiente forma:

• Vulnerabilidades en Sistemas: Surgen desde las distintas fases del desarrollo de

estos sistemas, mismas que a continuación tratamos de definir: vulnerabilidades de


40/141

29

diseño, vulnerabilidades de implementación y vulnerabilidades de implantación y

configuración.

• Vulnerabilidades en Infraestructura Tecnológica: Son el resultado de

implementación incorrecta de tecnologías, otras son consecuencias de la falta de

planeación de las mismas pero, como ya se ha mencionado, la mayoría de las

deficiencias de la seguridad son ocasionadas por los usuarios de dichos sistemas y

es responsabilidad del administrador detectarlos y encontrar la mejor manera de

corregirlas.

• Vulnerabilidades de acuerdo al factor humano. Involucra debilidades por parte de

personas involucradas con los sistemas de la organización, ya que desconocen las

mínimas medidas de seguridad y/o políticas de la organización. Dichas carencia o

deficiencia de conocimiento y/o conciencia de la seguridad de la información puedellevar a la manipulación de las personas para convencerlas de que ejecuten

acciones o actos que normalmente no realizan para que revele todo lo necesario

para superar las barreras de seguridad (conocido como “Ingeniería Social”). Un

atacante pude utilizar medios no electrónicos (llamadas telefónicas, anuncios,

suplantación de personal técnico, etc.), para conseguir acceso o atacar la

infraestructura de soporte a sistemas de información de la organización. Se deben

evaluar los procedimientos y organización de la organización relacionados con

seguridad de la información a fin de detectar debilidades frente a técnicas de ataque

no electrónicas, mejor conocidas como Ingeniería Social.

A pesar de que las amenazas pueden surgir de una amplia variedad de fuentes, se pueden

clasificar en tres grandes grupos:

• Amenazas Humanas: Esta clasificación trata sobre cada uno de los personajes que

pueden ser potenciales atacantes de nuestro sistema: el personal externo y el

personal perteneciente a la organización. Podemos clasificar las amenazas

humanas en:

o Personal Interno

o Ex–Empleado

o Curiosos

o Terroristas

o Intrusos remunerados


41/141

30

o Hackers, crackers, phreakers, gurús, lamers ó script–kidders, copyhackers,

bucaneros, newbies, wannaber, samurái, piratas informáticos, creadores de

virus, etc.

A diferencia del atacante externo, los empleados de una empresa poseen

conocimiento y disponen de mayores oportunidades para explotar vulnerabilidades

existentes. Por esta razón, el fraude interno sigue siendo altamente costoso y difícil

de identificar, el ambiente de control interno, la cultura organizacional de prevención

y la ejecución rápida de acciones asertivas al presentarse situaciones de este tipo,

son fundamentales para su minimización.

Algunas causas por las que un sistema de seguridad de la información puede ser

más vulnerable desde el factor humano, son:

o Personal Interno.

• Baja moral, motivación y sentido de pertenencia entre los

empleados.

• Alta rotación de empleados.

• Baja disponibilidad de personal en los departamentos de

contabilidad y auditoría interna.

• Empleados con estilo de vida inconsistente con sus ingresos y

patrimonio.• Presión interna (ejemplo, presión sobre la Gerencia para alcanzar

las metas de presupuesto).

• Forcejeos y luchas internas en la alta gerencia.

• Empleados con motivos de queja reales o imaginarios contra la

Compañía o la Gerencia.

o Nivel institucional

• Ambiente de Control Interno débil, en especial en el área decontroles informáticos.

• La ausencia de un programa de cumplimiento de políticas internas y

regulaciones.

• Gran número de quejas de clientes, proveedores o entes

reguladores.


42/141

31

• Falta ó deficiencia de conocimiento, debido a nulos o escasos

programas de difusión, educación, capacitación y concientización

en materia de seguridad de la información.

• Amenazas Tecnológicas: El crecimiento de las necesidades en tecnología de la

información (TI) es directamente proporcional al crecimiento de los riesgos,

amenazas y vulnerabilidades que nos rodean. Dentro de las amenazas tecnológicas

a la seguridad de la información podemos considerar las siguientes: trojan horses,

data diddling, spoofing, scanning, eavesdropping ó packet sniffers, denial-of-service,

virus, worms, session hijacking, logic bombs & time bombs, etc.

• Amenazas Naturales: Este tipo de amenazas se refiere a condiciones de la

naturaleza y la intemperie que podrán causar daños a los activos. Las principales

amenazas que se prevén en las amenazas naturales son: incendios, inundaciones,condiciones climatológicas, terremotos, etc.

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del

medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información

brindada por los medios de control adecuados. Estas decisiones pueden variar desde el

conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en

caso de accidentes.

La ejecución adecuada y oportuna de pruebas es esencial para identificar muchas de estasamenazas y vulnerabilidades. Un punto importante para determinar los riesgos, amenazas y

vulnerabilidades consiste en la elaboración inventario de la información y sistemas relacionados a

la misma (ver tema “2.1.4 Clasificación de la información”), de este modo mediante la apreciación

del riesgo y la exposición a las amenazas y vulnerabilidades observadas, se podrá asignar

clasificaciones de riesgo a la información y sistemas de información.

La clave para la clasificación de riesgos es organizar la información y los sistemas de información

dentro de un marco lógico. Dicho marco debe reconocer que no todas las amenazas y los riesgos

son iguales, así mismo se debe reconocer que la organización dispone de recursos finitos para laatención de dichos riesgos. Los riesgos razonablemente previsibles, deben ser priorizados y

clasificados de acuerdo a la sensibilidad y la importancia de la información.

La probabilidad o posibilidad de que se produzca un hecho, y el impacto que tendría, debe

considerarse en la determinación de la clasificación del riesgo, además de la clasificación de la

información. Del mismo modo la clasificación asignada al riesgo debe estar directamente influido


43/141

32

por perfil de la organización y la eficacia de sus controles. Normalmente, el resultado se expresa

en diferentes “niveles de riesgo”, por ejemplo, "Alto", "Medio" o "Bajo". La clasificación de riesgo es

específicamente juzgado, determinado y asignado en relación con el nivel de exposición y la

probabilidad de la amenaza, teniendo en cuenta la adecuación de los controles internos. Cuando

los controles son insuficientes o no que se haya concluido la evaluación de riesgos se debería

incluir un plan de acción para mejorar los controles.

Una vez que los ri

tesis de fuga de informacion

Documents