SEGURIDAD INFORMÁTICA

UNIDAD Nº I
Introducción a la seguridad informática.

www.iplacex.cl
SEMANA 1

Introducción
Para la sociedad actual la información se ha transformado en el activo intangible
con mayor valor y protagonismo. Es el insumo principal para la toma de decisiones en
las empresas, organizaciones y diversas industrias, y es además el insumo para sus
procesos de negocio.
Por lo anterior, el manejo y procesamiento de dicha información por sistemas
informáticos y tecnologías de la información, debe asegurar los principios de
confidencialidad, integridad y disponibilidad.
Para abordar seriamente la seguridad informática es necesario identificar,
clasificar y medir las amenazas posibles y las vulnerabilidades existentes,
comprendiendo la naturaleza y operatoria de los ataques posibles. Sólo de esta manera
será posible contar con un accionar correcto en la mitigación de riesgos y la definición
de planes de contingencia.
En los contenidos de esta semana, serán explicados el valor de la información y
la importancia de la seguridad informática, como es un aspecto que traspasa de
manera horizontal todo los ámbitos de la organización moderna.

2 www.iplacex.cl
 Ideas Fuerza
La información es un activo estratégico: Es un requisito indispensable para
la toma de decisiones y es el insumo principal de los procesos de negocio de una
organización.

Importancia de la seguridad informática: Un mal resguardo de la

información empleada por sistemas informáticos puede transformarse en un desastre.
Recuperarse de una pérdida de credibilidad social o de imagen de mercado puede ser
imposible para una organización.

Riesgos en la seguridad informática: No es posible lograr una certeza

absoluta. El riesgo, como elemento, estará presente siempre en la seguridad
informática; la ausencia total de riesgo es un mito.

Importancia del inventario de activos de información: Es el primer paso

para un adecuado resguardo de la información relevante para una organización. Es
dinámico y debe mantenerse actualizado en el tiempo.

3 www.iplacex.cl
 Desarrollo

1 Valor de la información
En un contexto de globalización, mercados sin fronteras y una Internet
omnipresente, no es posible concebir una organización que carezca de información en
cualquier ámbito en que desee desarrollarse. Actualmente, este hecho es la principal
característica que protagoniza la definición cualquier política estratégica.
La información es el insumo y motor para la toma de decisiones. Su valor en el
proceso decisional es equivalente a la pérdida producida por tomar la decisión
equivocada.
Por otra parte, la información es uno de los insumos gravitantes que reciben los
procesos de negocio en una organización, mismos que se encuentran apoyados por
sistemas informáticos.

1.1 El proceso decisional

Uno de los procesos más complejos que ocurren en una organización es la toma
de decisiones. Es complejo porque en él participan una gran cantidad de variables que
se requiere evaluar, valorar, estimar e inferir. Es un proceso humano, no ajeno a
problemas y obstáculos tales como:
a) Presencia de un escenario de ansiedad que puede gatillar una decisión o
elección de alternativa de manera impulsiva.
b) Una situación de falta de información impide disminuir la incertidumbre
inherente.
c) Poseer información equivocada llevará tomar decisiones erróneas.
d) Contar con demasiada información o de tipo redundante aumenta los tiempos
involucrados y eventualmente incrementa la incertidumbre.
El primero de los obstáculos se refiere a limitaciones propias de nuestra
naturaleza humana, nuestras características cognitivas, las que pueden abordarse con
trabajo en equipo e iniciativas que apunten a la búsqueda de consensos.
Los tres siguientes obstáculos se encuentran vinculados a cómo es abordado el
manejo de datos e información dentro de la organización. Se desprende que la
información es uno de los ingredientes básicos para el proceso de toma de decisiones.

4 www.iplacex.cl
Sin la información correcta, es difícil que las decisiones tomadas se encuentren
alineadas con los objetivos estratégicos de la organización.

1.2 Insumo para procesos de negocio

La información, además de constituirse como un insumo básico para la toma de
decisiones, es insumo primordial para los procesos de negocio de empresas y
organizaciones.

Figura 1: relación de sistemas informáticos, procesos de negocio y

estrategia corporativa. (Reyes, A. 2017)

Los sistemas informáticos se encuentran concebidos para automatizar y apoyar

los procesos de negocio de una organización, toda vez que dichos procesos de
negocio sustenten la estrategia corporativa. En este sentido, y extrapolando dichos
conceptos, no pueden concebirse sistemas informáticos que no apoyen los procesos
de negocio de una organización. De igual manera, no pueden concebirse procesos de
negocio que no apoyen o sigan los lineamientos estratégicos definidos por la
administración.
Por ello, es correcto afirmar que los procesos de negocio son los rieles por
donde se mueve la información en una organización, pues muchas veces la salida de
un proceso (información de salida) constituye una entrada para otro.

SALIDA SALIDA SALIDA

PROCESO PROCESO PROCESO
A B C
ENTRADA ENTRADA ENTRADA

Figura 2: la salida de un proceso constituye una entrada o insumo para otro. (Reyes, A. 2017)

5 www.iplacex.cl
 Desde esta perspectiva, si un proceso posee una salida defectuosa, el proceso
que la emplea como entrada puede tener graves problemas, así sucesivamente con
otros procesos que hagan uso de dichas salidas. Si un proceso entrega un conjunto de
información que es empleada como insumo por otro proceso, el proceso receptor se
verá seriamente afectado si la información entrante tiene problemas de integridad,
inconsistencia, vacíos o no se encuentra disponible en el momento en la necesita para
ejecutar determinadas tareas.

2 Importancia de la seguridad informática

Tal como se desprende de los apartados anteriores, la información es hoy

considerada como uno de los recursos principales de toda organización. Por ello, debe
ser concebida no como un patrimonio de las personas que trabajan en ella o de los
departamentos que integran una empresa. Es un patrimonio de la organización en
conjunto, pues es ésta quien la obtiene, la procesa y la proyecta.
La información que se utiliza en una organización puede existir tanto de manera
formal como informal, pero ello no merma su importancia estratégica, toda vez que
permite disminuir la incertidumbre y tomar decisiones. Por ello las tecnologías de la
información que se emplean en su procesamiento y para automatizar procesos de
negocio, no pueden considerarse como meros instrumentos para la reducción de
costos.
Esta concepción se profundiza aún más al considerar que un mal resguardo de
la información empleada por sistemas informáticos puede transformarse en un desastre
para cualquier organización. La pérdida de información sensible, el robo de datos
confidenciales o la divulgación de los datos de clientes o empleados, pueden causar
graves pérdidas económicas y de credibilidad.
Una pérdida económica puede sortearse si se tienen los recursos suficientes
para impulsar una buena estrategia de recuperación. Sin embargo, superar una pérdida
de credibilidad social o de imagen de mercado es algo muy diferente. Una pérdida de
credibilidad puede literalmente sepultar a una marca o dañar gravemente a toda una
industria. Otro capítulo son las eventuales consecuencias legales que pueden derivar
de un incidente de este tipo, las que desde luego pueden también desencadenar
pérdidas económicas y de credibilidad.

6 www.iplacex.cl
 2.1 Seguridad informática y seguridad de la información

La seguridad informática es el proceso mediante el cual se protegen los recursos

de información y las tecnologías empleadas para su procesamiento, almacenamiento,
distribución y resguardo. Le atañe la protección que es tratada en medio digitales. Su
foco es la seguridad de los medios tecnológicos que manipulan información en la
organización, los sistemas informáticos y sus usuarios.
No obstante, la seguridad de la información posee un horizonte más amplio.
Además de contemplar lo relativo a la seguridad de activos que son tratados mediante
tecnologías de la información, provee medidas y lineamientos para resguardar todos
los activos de información, independientemente del medio en que se encuentren.
Incluso, va más allá, abarcando directrices respecto de las personas que conocen
dicha información.
En este sentido, la seguridad de la información no se encuentra solo orientada a
preservar los activos de información identificados, sino que además busca la mejora de
los procesos de negocio, añadiendo lineamientos técnicos, organizativos y legales, que
permitan a la organización asegurar de manera sólida la disponibilidad, integridad y
confidencialidad de sus activos de información.

Integridad

SEGURIDAD
DE LA Confidencialidad
INFORMACIÓN

Disponibilidad

Figura 3: pilares de la seguridad de la información. (Reyes, A. 2017)

7 www.iplacex.cl
 ¿Por qué se afirma que la seguridad de la
información no se encuentra solo orientada a
preservar los activos de información
identificados?

Por lo tanto, la seguridad informática es un subconjunto de las disciplinas que

abarca la seguridad de la información.

Seguridad de la
información

Seguridad
informática

Figura 4: relación entre seguridad de la información y seguridad informática. (Reyes, A. 2017)

Es importante señalar que la seguridad de la información es un proceso

complejo. Requiere de un Sistema de Gestión de Seguridad de la Información (SGSI).
Este es el principal concepto en que se basa la norma ISO 27001. La gestión que se
lleve a cabo respecto de la seguridad de la información debe efectuarse como un
proceso sistémico, documentado y conocido por la organización.

8 www.iplacex.cl
2.2 La seguridad absoluta

De manera general, el concepto “seguridad” se encuentra asociado a los

principios de certeza y ausencia de riesgo o contingencia.
Considerando dichos principios, tiene cabida la aclaración de que no siendo
posible lograr la certeza absoluta, el riesgo, como elemento, estará presente siempre.
No importa qué medidas que sean tomadas, la certeza absoluta siempre será esquiva
y, por lo tanto, la ausencia total de riesgo será siempre un mito.
Es por ello que el objetivo de la seguridad informática es lograr elevados niveles
de seguridad, con acciones definidas que permitan aumentar la certeza y disminuir
riesgos en sistemas informáticos.

Se dice que el computador totalmente seguro es posible y es aquel

que posee conjuntamente las siguientes características:

 Está dentro de una habitación sin puertas ni ventanas.

 Está apagado.
 No posee cables de ningún tipo.
 Nadie sabe que existe.

¿Este computador resulta útil para apoyar procesos de negocio de

una organización?

Si bien es un hecho que todos los componentes de un sistema informático

poseen vulnerabilidades y se encuentran expuestos a un ataque, son los datos y la
información son los principales objetos de protección. La seguridad informática se
aboca principalmente a proteger la confidencialidad, la integridad y disponibilidad de la
información.

¿En qué contexto un sistema informático no

constituye riesgo para los procesos que apoya
en una organización?

9 www.iplacex.cl
 2.3 Cómo opera la seguridad informática

La seguridad informática se distingue por tener dos propósitos:

 Protección de datos

 Seguridad de activos de información

La principal diferencia entre ambos radica en el elemento objetivo de dichos
propósitos. Los datos son los valores (texto, números) que dan soporte a la
información. Por otra parte, la información es aquello que posee un significado para
quien accede a ella.
No obstante dicha diferenciación, es importante destacar que para ambos
propósitos las medidas de protección aplicadas serán las mismas.
La seguridad informática radica en aquellas prácticas que se realizan respecto
de los sistemas informáticos, a fin de proteger y resguardar su funcionamiento y la
información que poseen. Es una actividad que engloba tanto la investigación como la
ejecución de políticas de protección de datos gestionados por tecnologías de la
información.
En la seguridad informática no participan exclusivamente expertos informáticos.
Sin la participación activa de miembros de la organización, usuarios y equipos
interdisciplinarios es difícil concretar el resguardo de activos de información y la
mitigación de riesgos. Además, cualquier iniciativa de seguridad informática respecto
de sistemas transversales para diversos procesos internos y que no posea el apoyo de
la dirección de la organización, tiene pocas probabilidades de lograr sus objetivos.
En la seguridad informática, entendiéndola como un subconjunto de disciplinas
de la seguridad de la información, tienen lugar actividades como:

 Detectar amenazas y vulnerabilidades

 Elaborar planes de continuidad operativa.

 Definir políticas y procedimientos

 Registrar incidentes.

Estas tareas se realizan de manera iterativa, pues la seguridad de la información

tratada con medios tecnológicos, requiere una constante revisión de las amenazas.
Ahora bien, el primer paso es determinar qué información constituye
efectivamente un activo para la organización, catalogar la información que tiene valor y
que se desea proteger. Para esto, es necesario registrar y catalogar los activos de
información que resultan relevantes para los logros estratégicos de la organización.

10 www.iplacex.cl
 ¿Por qué se afirma que en la seguridad
informática no participan exclusivamente
expertos informáticos?

11 www.iplacex.cl
 3 Activos de información en la organización
3.1 Qué es un activo de información
Se denomina “activo” a aquello que tiene algún valor para la organización y por
lo tanto se desea proteger. Es aquello que tiene importancia para los logros
estratégicos, económicos y sociales de una organización.
La información es un activo muy preciado para la sociedad actual. Se ha
transformado en el bien intangible con mayor valor y protagonismo para nuestra
cultura.
Por lo tanto, tal como de manera tradicional cada organización identifica, conoce
y registra sus activos o bienes tangibles (maquinarias, materias primas, mobiliarios,
etc.), la organización actual debe saber identificar, dentro del universo de información
que posee, cuál constituye un activo para sí. Como regla general, la información que es
identificada como activo para la organización debe al menos ser:

 Actualizada

 Relevante

 Oportuna

 Confiable

 Explicable
Cuando la organización tiene certeza de que determinada información cumple
con dichos requisitos, puede considerarla un activo con valor. Por lo que entonces, será
un activo de información candidato a contar con un sistema informático abocado a
facilitar su obtención, procesamiento, distribución y resguardo.

12 www.iplacex.cl
 3.2 Inventario de activos de información
Tal como antes se expuso, la información es un activo importante para las
organizaciones actuales, tanto en la toma de decisiones, procesos de negocio y en la
planeación estratégica. La base de su adecuado resguardo se encuentra en el
inventario y clasificación de los activos de información. Dicho inventario es la base para
una gestión de riesgos de seguridad de la información y para determinar los niveles de
protección que son requeridos.
Debido a que los activos de información son cambiantes y dinámicos en el
tiempo, es posible que su situación sea distinta en el corto plazo y con certeza habrá
cambios luego de meses o años. Por ello es recomendable y necesario que el
inventario de activos de información sea mantenido y revisado de manera periódica.
En el inventario, los diferentes activos de información son identificados, descritos
y catalogados en base a diferentes criterios. La siguiente tabla contiene un conjunto de
atributos propuestos para que los activos de información de una organización puedan
ser debidamente inventariados.

Atributo Descripción

Número Identificador del activo. Número consecutivo para ordenar los activos.

Activo Es el nombre por el cual se conoce a cada activo presente en la

nómina.

Descripción del Una breve descripción del activo o bien incluirse el nombre con el
activo cual es conocido o referenciado dentro de la organización.

Dependencias de En caso de que un activo dependa de otro, este dato es incorporado

activos para identificar dicho activo, individualizándolo por su identificador.

Entrada/ Indica si el activo es identificado como una entrada o como una salida
Salida/Otro de determinados procesos de negocio. Han de indicarse los procesos
de negocio en donde el activo de información

Por otra parte, es probable que el activo no sea un insumo ni una

salida de algún proceso determinado, sino que intervenga dentro del
flujo del mismo. En ese caso, es identificado como “otro”.

13 www.iplacex.cl
 Atributo Descripción

Tipo Indica si el activo de Información es de tipo tangible (palpable) o

intangible (electrónico).

Tangible: Se trata de todo activo que ocupe se encuentre físicamente

disponible y sea palpable. Ejemplos: informes impresos, expedientes,
notificaciones, contratos, manuales de usuario, servidores, discos
ópticos, etc.

Intangible: Todo aquel activo de información que no sea posible

acceder físicamente; en otras palabras, que no sea palpable.
Ejemplos: bases de datos, software de aplicación, software de
sistema, correo electrónico, etc.

Almacenamiento Para cada uno de los activos de la nómina se requiere especificar el

lugar en donde es resguardado, dependiendo de la naturaleza física
del activo de información (tangible o intangible).

Activo tangible: bodegas especializadas, cajas de seguridad, , etc.

Activos intangibles: servidores de correo, de aplicaciones, de bases de

datos, computadoras personales, discos ópticos, discos magnéticos,
unidades de cinta, etc.

Responsable del Nombre de la persona o grupo que administra el activo de información

activo que figura en la nómina.

Dueño el activo Nombre de la persona que determina las acciones que se realizan con
el activo.

Puesto del Puesto que ocupa en la organización la persona o grupo que

responsable administra el activo de información.

Área del Se debe indicar el nombre del área o departamento de la organización

responsable que hace uso del activo.

Impacto Legal Se especifica el impacto que podrá tener el SLA legal o regulatorio, si
es que el activo de información identificado es comprometido o no se
encuentra disponible. Dicho impacto se especifica en base a una
escala, en donde 1 corresponde a un impacto nulo y 5 corresponde a
un impacto catastrófico.

Impacto Imagen Se especifica el impacto para la imagen de la organización si el activo

de información se ve comprometido o no se encuentra disponible.
Dicho impacto se especifica en base a una escala, en donde 1
corresponde a un impacto nulo y 5 corresponde a un impacto
catastrófico.

Impacto en la Se especifica el impacto en la pérdida de confianza ante clientes,

Pérdida de contribuyentes, entidades sociales u otras empresas o instituciones
Confianza con las cuales se intercambia información, ante la imposibilidad de
cumplir con los objetivos planteados si dicho activo de información se

14 www.iplacex.cl
 Atributo Descripción

encuentra comprometido o no se encuentra disponible. El impacto se

especifica en base a una escala, en donde 1 corresponde a un
impacto nulo y 5 corresponde a un impacto catastrófico.

Impacto en el Se especifica el impacto en el interés público por el activo de

interés por el información y el nivel de exposición que tiene frente a un acceso no
activo autorizado que permita su eliminación. Tal es el caso, a modo de
ejemplo, si el activo se encuentra publicado en Internet y es
información que la mayor parte del público quiere conocer. El impacto
se especifica en base a una escala, en donde 1 corresponde a un
impacto nulo y 5 corresponde a un impacto catastrófico.

Disponibilidad Se representa la importancia que posee la disponibilidad del activo de

información, en relación al rol que juega en la operación diaria, para su
acceso por parte de clientes y usuarios, proveedores, etc. El impacto
de su no disponibilidad del activo se especifica en base a una escala:

Indispensable: Interrupción visible de la operación. Es probable que

haya mala publicidad si el activo de información no está disponible por
más de un cierto tiempo permitido. El activo de información es valioso
y difícilmente reemplazable.

Necesaria: El activo tendría que ser reemplazado a un costo razonable

y en poco tiempo. La organización sería significativamente menos
eficiente o efectiva, si el activo no está disponible por más de un
tiempo establecido previamente.

Normal. El activo de información no es fácil de destruir o dañar. Puede

ser reemplazado fácilmente. Existe poco interés por borrar o destruir el
activo de información ya que su valor es poco comparado con el
esfuerzo para destruirlo. La organización puede continuar sin el activo
o posee otros activos que lo pueden reemplazar. La información está
disponible por otros medios o puede ser recreada con bajo costo.

Integridad Se representa el daño que representa para la organización la pérdida

de integridad del activo de información.

Crítica: Publicación de información falsa, que potencialmente puede

ser usada como referencia por las entidades supervisadas.

Normal: No ocurren muchos cambios para la organización. Si no se

encuentra algún defecto significativo, la información es tratada como
notas o indicaciones.

Confidencialidad El grado de confidencialidad de un activo de información, se especifica

en base a la siguiente escala:

Confidencial: El más alto nivel de clasificación de la información y

debe ser utilizado sobre la premisa de que la divulgación de la misma
está estrictamente limitada y predeterminada a un número restringido

15 www.iplacex.cl
 Atributo Descripción

de personas que asumen la responsabilidad de protegerla.

Reservada: La divulgación del activo debe ser restringida únicamente

al personal que la requiere conocer, previa autorización del
responsable de la misma.

Pública: El activo es de uso general. Por su contenido o contexto no

requiere de protección especial y su distribución pública ha sido
permitida a través de canales autorizados por la organización.

Comentarios Es un espacio destinado a incorporar datos adicionales sobre el activo

sobre la y cualquier otra información que sea considera de importancia y que
información por motivos de seguridad deba ser conocida.

Un error común en la identificación y clasificación de activos de información es

adoptar una perspectiva que considera que “activo de información” es exclusivamente
información administrada o tratada por el área informática de una organización. En este
sentido, el error es considerar como activos de información sólo aquella información
que es obtenida, procesada y almacenada por medios tecnológicos.
Una extensión de esta perspectiva errónea es asumir que el concepto “seguridad
de la información” trata únicamente lo relativo a la seguridad informática,
vulnerabilidades en tecnologías de la información o a la seguridad de la información
tratada por medios tecnológicos.
Como ejemplo, se presenta la siguiente situación:
“En una organización en donde es impreso el borrador final de un contrato para la
ejecución de un nuevo proyecto y que necesita aun ser visado por la dirección, ocurre
el ingreso de una persona externa que recorre las dependencias. Luego de ello,
personal del área se percata de la ausencia del borrador del contrato.”

En este incidente donde se pierde el borrador del contrato, ¿tuvo alguna

injerencia el área informática de la organización o hubo una brecha en la seguridad de
dispositivos computacionales? Ciertamente no. Fue vulnerada la confidencialidad de un
activo de información, pero no fue a raíz de una brecha en la seguridad computacional
o una mala previsión del área informática de la organización.

¿Qué ocurre con los activos de información

ajenos a la estrategia de la organización?

16 www.iplacex.cl
 Conclusión
Todo profesional moderno debe tener plena conciencia de que la información
constituye un capital importante en toda organización actual. Es un activo valioso que
constituye el pilar de muchos de sus procesos internos y que ciertamente ha adquirido
un valor estratégico cada vez mayor.
Con una cantidad creciente de información disponible y siempre actualizada,
resulta gravitante que quienes tienen en sus funciones la seguridad de la organización,
conozcan cómo debe ser abordada la seguridad informática y cómo deben ser
catalogados y registrados los diferentes activos de información.
Cuando quienes integran una organización logran una comprensión del poder y
valor que adquiere la información, la organización como una entidad será apta para
visualizar situaciones futuras, presentes y pasadas desde una perspectiva predilecta.
Esto con seguridad guiará sus acciones hacia óptimos resultados y mejores decisiones.

17 www.iplacex.cl
18 www.iplacex.cl