Página 0 de 1
Unidad 1
Introducción a la
Seguridad de la
Información
Seguridad de la Información
Página 1 de 35
Introducción ........................................................................................................................................ 2
1. Conceptos básicos de seguridad de la información ........................................................................ 3
2. Confidencialidad, integridad y disponibilidad en la seguridad de la información .......................... 6
2.1 Confidencialidad ........................................................................................................................ 7
2.2 Integridad .................................................................................................................................. 8
2.3 Disponibilidad.......................................................................................................................... 10
2.3.1 Ejemplos de afectaciones a la disponibilidad................................................................... 12
3. Amenazas y vulnerabilidades en la seguridad de la información ................................................. 14
3.1 Amenazas ................................................................................................................................ 14
3.2 Vulnerabilidad ......................................................................................................................... 17
3.2.1 Clasificación de vulnerabilidades ..................................................................................... 17
3.2.2 CVE y CWE ........................................................................................................................ 20
3.2.3 Gestión de vulnerabilidades ............................................................................................. 21
4. Protección de la información y clasificación de activos ................................................................ 22
4.1 Protección de la información .................................................................................................. 22
4.1.1 Protección física de los activos ......................................................................................... 23
4.1.2 Protección lógica de los activos ....................................................................................... 25
4.2 La clasificación de la información............................................................................................ 27
4.2.1 Roles y procedimientos en la clasificación ....................................................................... 31
Conclusión ......................................................................................................................................... 33
Referencias bibliográficas ................................................................................................................. 34
Página 2 de 35
Introducción
La información es un activo que tiene un valor fundamental para la organización y debe
ser protegida de un modo adecuado. Así, la seguridad de la información -y no la seguridad
informática-, globaliza el concepto de información representada de diversas formas:
impresa o escrita, almacenada en forma electrónica o magnéticamente. Sin importar la
forma que posea, esta debe ser protegida de un amplio rango de amenazas para asegurar
la continuidad del negocio, minimizar los daños a la organización y maximizar sus
oportunidades.
La seguridad de la información implica la implementación de una serie de medidas
técnicas, organizativas y administrativas para proteger los datos y los sistemas contra
amenazas y ataques. Esto puede incluir el uso de firewalls, sistemas de detección de
intrusos, cifrado de datos, autenticación de usuarios, políticas de seguridad, capacitación y
concientización del personal, y la adopción de prácticas de gestión de riesgos.
Entonces, se podría definir la seguridad de la información como un conjunto de sistemas y
procedimientos que se caracteriza, tal como indica Ramírez (2023) como la preservación
de:
•
•
•
Confidencialidad: asegurando que solo quienes estén autorizados pueden acceder
a la información.
Integridad: asegurando que la información y sus métodos de proceso son exactos
y completos.
Disponibilidad: asegurando que los usuarios autorizados tengan acceso a la
información y a sus activos asociados cuando lo requieran.
La disponibilidad, integridad y confidencialidad (triada de las seguridad) de la información
pueden resultar de vital importancia para asegurar la competitividad, el cumplimiento
normativo y la percepción pública de una empresa. En el contexto actual, las entidades y
sus sistemas de datos se encuentran en una exposición creciente a riesgos y
vulnerabilidades provenientes de diversas fuentes, tales como actos fraudulentos en línea,
espionaje cibernético, sabotaje, actos de vandalismo, eventos catastróficos como
incendios e inundaciones, entre otros. Particularmente, ciertas amenazas, como el
malware y los ataques de intrusión o denegación de servicio, han venido ganando
notoriedad debido a su aumento en frecuencia y sofisticación.
Un número significativo de sistemas de información ha sido diseñado sin un enfoque
integral en la seguridad. Es importante destacar que la seguridad derivada exclusivamente
Página 3 de 35
de aspectos técnicos tiene límites inherentes y debe complementarse con una gestión
proactiva y protocolos adecuados. La determinación de los controles adecuados para
instalar un entorno seguro demanda una planificación minuciosa y una atención
meticulosa a los detalles. En este sentido, la gestión de la seguridad de la información
requiere, como mínimo indispensable, la colaboración y el compromiso de todos los
miembros que conforman la estructura organizativa.
Triada de la seguridad
Fuente: elaboración propia
1. Conceptos básicos de seguridad de la información
Abordar el tema de seguridad de la información
implica mucho más que simplemente enfocarse en la
configuración de firewalls, la implementación de
parches para abordar vulnerabilidades recientes en
el sistema operativo o la correcta gestión de copias
de respaldo.
Con frecuencia, los conceptos de seguridad de la
información, seguridad informática y ciberseguridad son empleados como sinónimos, a
pesar de que no representan exactamente lo mismo. En líneas generales, la seguridad de
la seguridad engloba la confidencialidad, integridad y disponibilidad de los datos, sin
importar el medio en el cual estos están almacenados. (Wikipedia, s. f.).
IMPORTANTE
Página 4 de 35
En un entorno digital cada vez más interconectado, la
confidencialidad juega un papel crucial para proteger la
información sensible de individuos, organizaciones e
instituciones. Esto incluye datos personales, secretos
comerciales, información financiera, estrategias
empresariales y cualquier otra forma de datos que puedan ser
de interés o valor.
La información se almacena en diferentes soportes, que pueden ser electrónicos,
impresos o de otro tipo. Por otro lado, la seguridad de la información implica la
implementación de estrategias que cubran los procesos de la organización en los cuales la
información es el activo primordial. En contraposición, la seguridad informática es un
concepto más restrictivo, que caracteriza la seguridad técnica de los sistemas
informáticos.
La seguridad de la información implica determinar qué hay que proteger y por qué, de qué
se debe proteger y cómo protegerla.
Determinantes en la seguridad de la información
Fuente: Elaboración propia
La seguridad de la información en una organización implica esencialmente resguardar los
activos cruciales para la consecución de su misión, evitando su deterioro o pérdida. Dada
esta naturaleza, se convierte en una actividad de suma relevancia dentro de la empresa,
ya que alcanzar un nivel de seguridad absoluto es prácticamente inalcanzable. En este
sentido, determinar el nivel de seguridad deseado (y el costo asociado para lograrlo) se
convierte en una decisión fundamental de gestión.
Página 5 de 35
En este contexto, es evidente que la existencia de un sistema de información
completamente infalible es una meta inalcanzable, en virtud de la evolución constante de
las amenazas y la propia dinámica de la organización junto con sus recursos de
información. Sin embargo, la vulnerabilidad a una violación o exposición de seguridad, así
como la magnitud y el costo asociados a su mitigación, dependen en gran medida de la
naturaleza de los procesos vinculados con la seguridad.
PREGUNTA
La seguridad de la información se suele conceptualizar en torno a tres principios ya
mencionados: confidencialidad, integridad y disponibilidad. A continuación, se describe
cada uno de ellos.
¿Cuáles son los tres pilares fundamentales de la seguridad
de la información?
Los tres pilares fundamentales de la seguridad de la información son la confidencialidad,
la integridad y la disponibilidad. Estos conceptos representan los principios clave que
garantizan la protección adecuada de la información en cualquier entorno.
•
•
•
La confidencialidad se refiere a asegurar que la información solo esté disponible
para aquellos autorizados a acceder a ella.
La integridad se centra en la protección contra modificaciones no autorizadas o
no deseadas de la información, garantizando su exactitud y confiabilidad.
Por último, la disponibilidad se trata de asegurar que la información esté
siempre accesible y utilizable por aquellos que la necesitan, evitando
interrupciones o indisponibilidad prolongada.
Estos tres pilares trabajan en conjunto para establecer una base sólida en la protección
de la información y son fundamentales para una robusta postura de seguridad de la
información.
Página 6 de 35
2. Confidencialidad, integridad y disponibilidad en la
seguridad de la información
La seguridad de la información se basa en tres pilares
fundamentales: confidencialidad, integridad y
disponibilidad. Estos conceptos son esenciales para
garantizar la protección de los datos y la continuidad
de los sistemas en un entorno cada vez más
digitalizado y amenazante.
La confidencialidad se refiere a la propiedad de
mantener la información accesible solo para las
personas autorizadas. Implica la protección de la privacidad y la prevención de la
divulgación no autorizada de datos sensibles. La confidencialidad se logra a través de
medidas como el cifrado de datos, el control de acceso basado en roles y políticas de
seguridad adecuadas.
La integridad se refiere a la propiedad de mantener la exactitud, consistencia y
confiabilidad de la información. Se asegura de que los datos no sean alterados o
modificados de manera no autorizada, tanto durante el almacenamiento como durante la
transmisión. La integridad se logra mediante técnicas de cifrado, firmas digitales y
controles de integridad de datos.
La disponibilidad se refiere a la propiedad de que los sistemas y la información estén
disponibles y accesibles cuando se necesiten. Implica garantizar que los recursos de
tecnología de la información estén disponibles de manera continua y confiable, evitando
interrupciones no planificadas. La disponibilidad se logra mediante la implementación de
redundancias, copias de seguridad, sistemas de recuperación ante desastres y medidas de
prevención de interrupciones.
Estos tres conceptos están estrechamente interrelacionados y se complementan entre sí.
La confidencialidad, la integridad y la disponibilidad son fundamentales para mantener la
seguridad de la información en cualquier organización. El equilibrio adecuado entre estos
pilares es esencial para garantizar la protección de los datos, la continuidad operativa y la
confianza de los usuarios.
Página 7 de 35
2.1 Confidencialidad
La privacidad es quizás el aspecto que se menciona con
más frecuencia en cuanto a la confidencialidad. La
privacidad de la información personal es un derecho
protegido por regulaciones internacionales y nacionales,
pero no es más que una de las caras de la
confidencialidad.
IMPORTANTE
La confidencialidad se logra a través de diversas medidas de seguridad, como el cifrado de
datos, el control de acceso basado en roles, la implementación de políticas de privacidad y
el uso de tecnologías de autenticación robustas. Estas medidas ayudan a garantizar que
solo las personas autorizadas puedan acceder a la información confidencial, mientras que
los demás se mantienen excluidos.
La importancia de la confidencialidad radica en la privacidad
de los datos. La pérdida o exposición de información
confidencial puede tener consecuencias graves, como el robo
de identidad, la pérdida financiera, el daño a la reputación y
la violación de la normativa de protección de datos.
En un mundo en constante evolución tecnológica, la confidencialidad se vuelve aún más
crucial. Las organizaciones y las personas deben implementar medidas sólidas de
seguridad y concientizar sobre la importancia de mantener la confidencialidad de la
información en todos los niveles.
PREGUNTA
En resumen, la confidencialidad es un principio fundamental en la ciberseguridad, que
garantiza la protección de la información sensible y evita su divulgación no autorizada. Es
esencial para salvaguardar en un entorno digital cada vez más complejo y amenazante.
¿Por qué es importante asegurar la confidencialidad de la
información en el ámbito de la seguridad de la información?
Página 8 de 35
La confidencialidad es un aspecto fundamental en la seguridad de la información debido
a varias razones. En primer lugar, proteger la confidencialidad asegura que la
información sensible y privada esté protegida de accesos no autorizados. Esto evita que
personas malintencionadas puedan obtener información confidencial, como datos
personales, secretos comerciales o información estratégica, y utilizarla de manera
perjudicial.
Asimismo, la confidencialidad cumple un papel importante en el cumplimiento de
regulaciones y leyes relacionadas con la privacidad de datos, como el Reglamento
General de Protección de Datos (GDPR) en la Unión Europea. Garantizar la
confidencialidad de la información permite cumplir con los requisitos legales y evitar
sanciones y pérdidas financieras asociadas a incumplimientos.
2.2 Integridad
La integridad es un principio fundamental que
garantiza que la información se mantenga precisa,
completa y no sea alterada de manera no
autorizada durante su almacenamiento,
transmisión o procesamiento. Se refiere a la
confianza en la exactitud y la fiabilidad de los datos
y la capacidad de asegurar su integridad frente a
amenazas y ataques.
En un entorno digital donde los datos se comparten y manipulan constantemente, la
integridad juega un papel crítico en la protección de la información sensible y la toma de
decisiones basadas en datos confiables. La falta de integridad puede resultar en la pérdida
de la confianza de los usuarios, daños a la reputación de una organización y consecuencias
negativas tanto a nivel financiero como legal.
Para garantizar la integridad de la información, se implementan una serie de medidas y
controles de seguridad. Estos pueden incluir:
•
•
•
El uso de técnicas de cifrado para proteger los datos en tránsito y en reposo.
La implementación de firmas digitales para verificar la autenticidad y la integridad
de los mensajes.
La implementación de controles de acceso y políticas de seguridad adecuadas para
prevenir modificaciones no autorizadas.
IMPORTANTE
La integridad se logra mediante la combinación de tecnología,
procesos y conciencia de seguridad. Las organizaciones deben
implementar mecanismos para detectar y prevenir la
corrupción o modificación no autorizada de los datos, así
como para detectar y responder rápidamente a cualquier
intento de violación de la integridad.
EJEMPLO
Página 9 de 35
Imaginemos una empresa financiera que almacena datos
confidenciales de sus clientes, como información bancaria y
números de identidad personal, etc. La integridad de la
información en este entorno se refiere a garantizar que los
datos no sean alterados de manera no autorizada.
EJEMPLO
Para garantizar la integridad de los datos, la empresa debe implementar medidas de
seguridad, como el uso de firmas digitales y técnicas de hash ( técnicas criptográficas de
uso común en los sistemas informáticos para verificar la integridad de los mensajes y
autenticar la información), que permiten verificar la autenticidad de los datos. Además, se
establecen controles de acceso estrictos para limitar quién puede modificar o acceder a
los datos sensibles.
“Un atacante intenta comprometer la integridad de los datos
de la empresa manipulando los registros financieros de los
clientes. Sin embargo, gracias a las medidas de seguridad
implementadas, el sistema detecta la alteración no
autorizada.”
Este ejemplo ilustra cómo la integridad juega un papel crucial
en la seguridad de la información. Al garantizar que los datos
no sean modificados o corrompidos de manera no autorizada,
se establece la confianza en la exactitud y la fiabilidad de la
información.
Página 10 de 35
PREGUNTA
Como resumen, la integridad es un principio que garantiza la exactitud, la consistencia y la
confiabilidad de la información. Es esencial para proteger los datos de modificaciones no
autorizadas y asegurar la toma de decisiones basada en datos confiables. La
implementación de medidas adecuadas de seguridad y el mantenimiento de una postura
de vigilancia constante son fundamentales para salvaguardar la integridad de la
información en un entorno digital cada vez más complejo y amenazante.
¿Por qué es importante garantizar la integridad de la
información en el ámbito de la seguridad de la información?
La integridad de la información es esencial en la seguridad de la información debido a su
impacto en la exactitud, consistencia y fiabilidad de los datos. Asegurar la integridad
implica proteger la información contra modificaciones no autorizadas o no deseadas,
asegurando que los datos se mantengan completos y sin alteraciones indebidas.
La integridad de la información es crucial en numerosos aspectos. Por ejemplo,
garantiza la precisión y confiabilidad de los datos, asegurando que la información sea
coherente y esté libre de errores o manipulaciones maliciosas. Esto es especialmente
importante en entornos donde la información es utilizada para tomar decisiones
críticas, como en sistemas financieros, registros médicos o procesos de control
industrial.
2.3 Disponibilidad
En el ámbito de la seguridad de la información, la
disponibilidad es un concepto relevante que se refiere a la
capacidad de acceder y utilizar los recursos de información
cuando sea necesario y de manera oportuna. Se trata de
asegurar que los sistemas, las redes y los datos estén
disponibles y sean accesibles para los usuarios autorizados
en todo momento.
La disponibilidad implica garantizar que los sistemas, servicios, recursos, las redes, etc.
estén operativos y funcionando correctamente, sin interrupciones o tiempos de
inactividad no planificados cuando se les requiere. Esto implica la implementación de
Página 11 de 35
medidas técnicas y organizativas para prevenir y mitigar eventos que puedan afectar la
disponibilidad, como fallas de hardware, ataques cibernéticos o desastres naturales.
¿SABÍAS QUÉ?
Disponibilidad también se refiere a la capacidad de acceder y utilizar la información de
manera oportuna y sin obstáculos. Esto implica que los datos estén disponibles para los
usuarios autorizados cuando los necesiten, sin retrasos indebidos o restricciones
innecesarias.
Para garantizar la disponibilidad de la información se pueden
implementar medidas como:
•
•
•
La redundancia de datos.
La implementación de sistemas de respaldo.
La adopción de prácticas de gestión de capacidad.
IMPORTANTE
La disponibilidad es un aspecto muy importante en la seguridad de la información, ya que
los sistemas y los datos son fundamentales para las operaciones de una organización. La
falta de disponibilidad puede tener consecuencias significativas, como interrupciones en
los servicios, pérdida de productividad, pérdida de ingresos y daño a la reputación. Por lo
tanto, es necesario implementar estrategias de protección y mitigación de riesgos para
garantizar la disponibilidad de los recursos de información.
Es relevante resaltar que la disponibilidad no debe
comprometer otros aspectos de la seguridad de la
información, como la confidencialidad e integridad. Es decir,
aunque es necesario garantizar la disponibilidad, esto no debe
ser a expensas de la protección de los datos o la exposición a
amenazas de seguridad. La disponibilidad debe considerarse,
en conjunto con otros principios de seguridad, como el
equilibrio entre la accesibilidad y la protección.
Página 12 de 35
2.3.1 Ejemplos de afectaciones a la disponibilidad
Existen múltiples situaciones intencionales o no que pueden generar una afectación a la
disponibilidad.
Afectaciones a la disponibilidad
Fuente: Elaboración propia
● Ataques de denegación de servicio (Denial of Service, DoS).
● Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes
naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas,
sabotajes, etc.).
a) Un ataque DoS sobre un sistema es una acción maliciosa diseñada para inundar un
sistema, red o recurso de cómputo con una cantidad abrumadora de tráfico o
solicitudes legítimas, con el objetivo de sobrecargarlo y provocar una interrupción
en su funcionamiento normal. Durante un ataque DoS, se agotan los recursos
disponibles, como ancho de banda, memoria o capacidad de procesamiento, lo
que resulta en la imposibilidad de brindar servicios a usuarios legítimos. El impacto
puede variar desde una degradación del rendimiento hasta una interrupción total
de los servicios en la organización o plataforma afectada. Estos ataques suelen ser
realizados mediante la utilización de múltiples sistemas comprometidos o recursos
distribuidos, formando así una botnet que ejecuta el ataque coordinadamente.
Página 13 de 35
b) Las pérdidas de datos por catástrofes naturales pueden parecer a muchas
empresas posibilidades difíciles de materializarse, por lo que, en ocasiones,
tienden desestimarse. Este tipo de catástrofes o eventos sobrevenidos son el
objeto de los planes de contingencia.
PREGUNTA
A manera de conclusión, la disponibilidad se refiere a que se debe garantizar que los
sistemas, las redes y los datos estén disponibles y sean accesibles cuando se necesiten. Es
un componente esencial para el funcionamiento continuo de una organización y requiere
la implementación de medidas de protección y mitigación de riesgos. Al asegurar la
disponibilidad, se promueve la eficiencia operativa, se minimizan las interrupciones y se
garantiza la satisfacción de los usuarios.
¿Por qué es crucial garantizar la disponibilidad de la
información en el ámbito de la seguridad de la información?
La disponibilidad de la información es un aspecto fundamental en la seguridad de la
información, ya que se refiere a la capacidad de acceder y utilizar los datos de manera
oportuna y sin interrupciones no deseadas.
La disponibilidad es esencial para que los usuarios autorizados puedan acceder y utilizar
la información cuando la necesiten, lo que contribuye a la eficiencia de las operaciones
y a la continuidad del negocio. Si la información no está disponible cuando se requiere,
pueden surgir problemas como retrasos en la toma de decisiones, pérdida de
productividad y posibles impactos financieros.
Página 14 de 35
3. Amenazas y vulnerabilidades en la seguridad de la
información
En el ámbito de la seguridad de la información, dos
conceptos clave que están relacionados son las
amenazas y las vulnerabilidades. Estos conceptos
desempeñan un papel fundamental en la evaluación de
riesgos y en el diseño de estrategias de seguridad
efectivas.
Comprender la naturaleza de las amenazas y las vulnerabilidades es esencial para proteger
los activos de información y salvaguardar la integridad, confidencialidad y disponibilidad
de los sistemas y datos.
Existe una estrecha asociación entre las amenazas y las vulnerabilidades en el contexto de
la seguridad de la información. Las amenazas aprovechan las vulnerabilidades existentes
para llevar a cabo ataques y comprometer la seguridad de los activos de información. Por
ejemplo, un atacante puede aprovechar una vulnerabilidad en un sistema no actualizado
para introducir malware y acceder a datos confidenciales. Por lo tanto, identificar y
remediar las vulnerabilidades es esencial para reducir la superficie de ataque y disminuir
el riesgo de ser afectado por las amenazas.
3.1 Amenazas
En el contexto de la seguridad de la información, el concepto de amenaza se refiere a
cualquier circunstancia o evento potencial que podría causar daño, comprometer la
confidencialidad, la integridad o la disponibilidad de los activos de información. Una
amenaza puede ser representada por una entidad malintencionada, como un hacker o un
atacante, o puede ser el resultado de factores no intencionales, como desastres naturales,
errores humanos o fallas de hardware o software.
Las amenazas en el ámbito de la seguridad de la información pueden manifestarse de
diversas formas. Entre las más comunes se incluyen:
Página 15 de 35
Amenazas más comunes
Malware
• Se refiere a programas maliciosos diseñados para infiltrarse en sistemas
informáticos y causar daño. Esto puede incluir virus, troyanos, ransomware y
spyware.
Ataques de phishing
• Los ataques de phishing implican el uso de técnicas engañosas, como correos
electrónicos falsos o sitios web fraudulentos, para obtener información
confidencial, como contraseñas o detalles de tarjetas de crédito, de los usuarios
desprevenidos.
Ataques de fuerza bruta
• Consisten en intentos repetidos y automatizados de adivinar contraseñas o claves
de cifrado mediante la prueba de múltiples combinaciones. El objetivo es obtener
acceso no autorizado a sistemas o cuentas.
Ataques de denegación de servicio (DoS)
• Estos ataques buscan abrumar un sistema o red con una gran cantidad de
solicitudes o tráfico falso, lo que resulta en una interrupción o denegación del
servicio legítimo para los usuarios legítimos.
Ataques de ingeniería social
• Implican la manipulación psicológica de las personas para obtener información
confidencial o acceder a sistemas. Esto puede incluir el engaño a los empleados
para que revelen contraseñas o información sensible.
Riesgos internos
• Las amenazas también pueden surgir desde dentro de una organización, como
empleados descontentos o malintencionados que intentan robar información,
sabotear sistemas o comprometer la seguridad.
Ataques de inyección SQL
• Este tipo de ataque aprovecha las vulnerabilidades en las aplicaciones web para
insertar comandos SQL maliciosos en las bases de datos, lo que permite al
atacante acceder, modificar o eliminar datos confidenciales.
Fuente: elaboración propia
Página 16 de 35
IMPORTANTE
Estas amenazas tienen como objetivo principal comprometer los sistemas, las redes y los
datos de una organización, y pueden tener graves repercusiones, como la pérdida de
información confidencial, la interrupción de los servicios, el robo de identidad y el daño a
la reputación.
Es fundamental tener en cuenta que las amenazas están en
constante evolución y se vuelven cada vez más sofisticadas.
Los atacantes utilizan técnicas y herramientas avanzadas para
llevar a cabo sus ataques, lo que requiere que las
organizaciones estén preparadas y sean proactivas en la
protección de sus activos de información. Además, las
amenazas pueden variar según la industria, el tipo de
organización y el entorno en el que se opera, lo que destaca
la importancia de una evaluación de riesgos adecuada y la
implementación de controles de seguridad apropiados.
La gestión de amenazas en la seguridad de la información implica identificar y evaluar las
amenazas potenciales, comprender su impacto y probabilidad, y tomar medidas para
mitigar o minimizar los riesgos asociados. Esto implica la implementación de medidas de
seguridad técnicas y organizativas, como firewalls, sistemas de detección de intrusos,
políticas de seguridad, educación y concienciación de los empleados, entre otros.
Una amenaza se refiere a cualquier evento o circunstancia que pueda poner en peligro la
confidencialidad, integridad o disponibilidad de los activos de información. Las amenazas
pueden ser representadas por entidades malintencionadas o ser el resultado de factores
no intencionales. La gestión efectiva de las amenazas implica la identificación, evaluación
y mitigación de los riesgos asociados, así como la implementación de medidas de
seguridad adecuadas para proteger los activos de información.
PREGUNTA
Página 17 de 35
¿Qué son las amenazas en el ámbito de la seguridad de la
información y cómo pueden afectar a una organización?
Las amenazas se refieren a cualquier evento o situación que pueda comprometer la
confidencialidad, integridad o disponibilidad de los datos y sistemas de una
organización. Estas amenazas pueden surgir tanto desde fuentes internas como
externas y pueden presentarse de diversas formas.
Las amenazas pueden incluir ataques cibernéticos como malware, ransomware, ataques
de phishing, hacking, entre otros. También pueden ser provocadas por factores físicos,
como desastres naturales, incendios, robos o fallos en los sistemas de infraestructura.
3.2 Vulnerabilidad
El concepto de vulnerabilidad se refiere a las debilidades o
fallos en los sistemas, redes o procesos que pueden ser
explotados por amenazas para comprometer la
confidencialidad, integridad o disponibilidad de los activos
de información. Las vulnerabilidades pueden surgir debido
a diversos factores, como errores de diseño,
configuraciones inadecuadas, falta de actualizaciones de
seguridad, software defectuoso o incluso fallos humanos.
La identificación y gestión de las vulnerabilidades es esencial para garantizar la seguridad
de la información y prevenir posibles ataques o incidentes de seguridad. Un enfoque
efectivo implica la realización de evaluaciones de vulnerabilidad periódicas, utilizando
herramientas y técnicas especializadas para identificar posibles debilidades en los
sistemas y redes. Estas evaluaciones pueden incluir análisis de código, escaneo de
puertos, pruebas de penetración y análisis de configuraciones.
3.2.1 Clasificación de vulnerabilidades
Hay diferentes formas de clasificar las vulnerabilidades dependiendo de múltiples
factores. Una forma de lograr esta clasificación es considerando si estas son producidas
por debilidades físicas o lógicas.
Página 18 de 35
Clasificación de vulnerabilidades
Físicas
Lógicas
Se refiere al lugar en donde se encuentra
almacenada la información, como los
centros de cómputo.
Esto incluye algunos programas que
pueden dañar su sistema informático. Y
estos programas se crean con la intención
de causar daño, como malware o, un error
o una vulnerabilidad.
Fuente: elaboración propia
IMPORTANTE
Otra forma de clasificar estas vulnerabilidades es desde el
punto de vista de la gestión de riesgo.
Las vulnerabilidades se pueden dividir en 4 tipos:
•
•
•
•
Vulnerabilidades de gestión.
Vulnerabilidades de operación.
Vulnerabilidades funcionales.
Vulnerabilidades técnicas.
(SistelControl, 2014).
Página 19 de 35
Ejemplos comunes de vulnerabilidades presentes
Falta de parches y actualizaciones
• No aplicar regularmente los parches y actualizaciones de seguridad puede dejar a
los sistemas y aplicaciones expuestos a vulnerabilidades conocidas que los
atacantes pueden aprovechar.
Configuraciones incorrectas
• Configurar incorrectamente los sistemas, redes o aplicaciones puede dejar puertas
abiertas para posibles ataques. Esto puede incluir permisos de acceso
inadecuados, configuraciones predeterminadas débiles o puertos expuestos
innecesariamente.
Contraseñas débiles
• El uso de contraseñas débiles o fáciles de adivinar aumenta el riesgo de que los
atacantes puedan comprometer las cuentas y acceder a los sistemas o datos
sensibles.
Falta de autenticación de dos factores (2FA)
• No implementar la autenticación de dos factores, que proporciona una capa
adicional de seguridad al requerir un segundo método de verificación, como un
código enviado al teléfono móvil del usuario, deja las cuentas más vulnerables a
los ataques de suplantación de identidad.
Software desactualizado
• No mantener el software actualizado con las versiones más recientes puede dejar
sistemas y aplicaciones expuestos a vulnerabilidades conocidas que han sido
corregidas en versiones posteriores.
Falta de cifrado de datos
• No utilizar cifrado adecuado para proteger los datos confidenciales durante su
almacenamiento, transmisión o procesamiento puede permitir a los atacantes
acceder y leer información sensible.
Errores de desarrollo de software
• Errores de programación, como la falta de validación de datos o la falta de control
de límites, pueden abrir la puerta a ataques de inyección de código,
desbordamientos de búfer u otras técnicas utilizadas por los atacantes para
comprometer la seguridad del software.
Fuente: elaboración propia
Página 20 de 35
3.2.2 CVE y CWE
Una forma común de medir, clasificar y representar las vulnerabilidades es a través del
uso del Common Vulnerabilities and Exposures (CVE) y el Common Weakness
Enumeration (CWE), que son dos sistemas fundamentales usados en el campo de la
seguridad de la información para identificar y categorizar las vulnerabilidades y
debilidades comunes en los sistemas y aplicaciones.
El CVE se utiliza para proporcionar una identificación única y estándar a cada
vulnerabilidad conocida. Cada identificador CVE se asigna a una vulnerabilidad específica y
se utiliza para rastrear y compartir información sobre esa vulnerabilidad en distintos
entornos y fuentes. Esta identificación única permite una comunicación más eficiente y
precisa sobre las vulnerabilidades, lo que facilita la colaboración entre la comunidad de
seguridad, los investigadores y los proveedores de software.
Por otro lado, el CWE se enfoca en las debilidades comunes que pueden llevar a
vulnerabilidades en los sistemas. Proporciona una lista y una taxonomía de las debilidades
de software más comunes, como errores de programación, malas prácticas de seguridad o
diseño inseguro. El CWE permite a los profesionales de la seguridad identificar y
comprender las debilidades subyacentes en los sistemas, lo que les ayuda a implementar
medidas preventivas y corregir las vulnerabilidades antes de que sean explotadas por los
atacantes.
En conjunto, el CVE y el CWE desempeñan un papel crucial en la seguridad de la
información al proporcionar un marco estructurado y un lenguaje común para identificar,
clasificar y comunicar las vulnerabilidades y debilidades de los sistemas. Estos sistemas
permiten una mayor colaboración y comprensión en la comunidad de seguridad,
facilitando la toma de decisiones informadas para mitigar los riesgos y fortalecer la
seguridad de los sistemas y aplicaciones.
Una vez que se identifican las vulnerabilidades, es importante tomar medidas para
remediarlas. Esto implica aplicar parches y actualizaciones de seguridad, configurar
correctamente los sistemas y las redes, y seguir prácticas recomendadas de seguridad,
como la aplicación de políticas de contraseñas fuertes y la implementación de cortafuegos
y sistemas de detección de intrusiones. Además, es esencial mantenerse informado sobre
las nuevas vulnerabilidades que surgen y estar al tanto de las mejores prácticas y
soluciones de seguridad para proteger los activos de información de manera efectiva.
Página 21 de 35
3.2.3 Gestión de vulnerabilidades
La gestión de vulnerabilidades también implica una mentalidad proactiva y una cultura de
seguridad en una organización. Esto implica la capacitación y concienciación de los
empleados sobre la importancia de identificar y reportar posibles vulnerabilidades, así
como la promoción de una cultura de seguridad en la que se fomente la colaboración y el
intercambio de conocimientos para mejorar permanentemente las medidas de seguridad.
La identificación y gestión efectiva de las vulnerabilidades son fundamentales para
proteger los activos de información y prevenir posibles ataques o incidentes de seguridad.
Mediante la realización de evaluaciones de vulnerabilidad periódicas, la aplicación de
medidas correctivas y el fomento de una cultura de seguridad, las organizaciones pueden
fortalecer su postura de seguridad y mitigar los riesgos asociados con las vulnerabilidades.
PREGUNTA
En forma de conclusión, las amenazas y las vulnerabilidades son conceptos importantes en
la seguridad de la información. Las amenazas representan eventos, circunstancias o
entidades que pueden causar daño o comprometer la seguridad de los activos de
información. Por otro lado, las vulnerabilidades son debilidades o fallos en los sistemas y
procesos que pueden ser explotados por las amenazas. Comprender la relación entre las
amenazas y las vulnerabilidades es esencial para evaluar y gestionar los riesgos de
seguridad de manera efectiva, implementando controles y medidas adecuadas para
proteger los activos de información y garantizar la integridad, confidencialidad y
disponibilidad de los sistemas y datos.
¿Qué factores pueden contribuir a la aparición de
vulnerabilidades en el ámbito de la seguridad de la
información?
Las vulnerabilidades en el ámbito de la seguridad de la información pueden surgir
debido a diversos factores. Algunos de los principales que pueden contribuir a la
aparición de vulnerabilidades son los siguientes:
•
•
•
•
•
Errores de diseño y programación.
Falta de actualizaciones y parches de seguridad.
Configuraciones incorrectas o inseguras.
Uso de software no confiable.
Falta de conciencia y capacitación en seguridad.
Página 22 de 35
4. Protección de la información y clasificación de activos
La protección de la información y la clasificación de activos son dos temas que están muy
asociados y juegan un papel relevante en la seguridad de la información de una
organización.
4.1 Protección de la información
La protección de la información se puede abordar a través de las medidas y controles
implementados para salvaguardar los datos y garantizar su confidencialidad, integridad y
disponibilidad. Implica la adopción de políticas, procedimientos y tecnologías que protejan
la información de amenazas internas y externas, estos controles pueden variar en su
clasificación, números, etc. Acorde al estándar en uso, por ejemplo en ISO:
Controles de seguridad
Fuente: elaboración propia
La protección de los activos de la información, así como de los servicios que la rodean,
suelen tratarse desde dos verticales: protección física y protección lógica.
Página 23 de 35
Verticales de la protección de servicios
Protección física de los activos
Protección lógica de los activos
Consideraciones para proteger los activos
de información en su forma física, como
controles de acceso físico, sistemas de
vigilancia, protección contra incendios y
control ambiental.
Medidas de seguridad relacionadas con el
acceso, autenticación y autorización de los
activos de información. Se abordan
conceptos como contraseñas seguras,
control de acceso basado en roles, cifrado
y monitorización de actividad.
Fuente: elaboración propia
4.1.1 Protección física de los activos
La protección física de los activos es un
componente esencial de la seguridad de la
información, que busca salvaguardar los
recursos físicos que almacenan, procesan o
transmiten datos sensibles.
Desde la perspectiva de la seguridad de la
información, la protección física se refiere a las
medidas y controles implementados para
prevenir y mitigar los riesgos relacionados con el acceso no autorizado, la pérdida, el daño
o el robo de los activos físicos.
Los activos físicos pueden incluir servidores, equipos de red, dispositivos de
almacenamiento, sistemas de respaldo, documentos impresos y cualquier otro
componente físico que sea crítico para el funcionamiento y la seguridad de la información
de una organización. Estos activos representan una parte fundamental de la
infraestructura tecnológica y deben ser protegidos de manera adecuada para garantizar la
confidencialidad, integridad y disponibilidad de los datos.
Para lograr la protección física de los activos se deben implementar una serie de controles
y medidas de seguridad. Algunos ejemplos comunes incluyen:
Página 24 de 35
Controles y medidas de seguridad
Acceso físico restringido
• Es importante controlar el acceso físico a los activos mediante el uso de
cerraduras, tarjetas de acceso, sistemas de control de acceso y la implementación
de zonas de seguridad. Esto ayuda a prevenir el acceso no autorizado a los activos
y asegurar que solo las personas autorizadas tengan acceso a ellos.
Monitoreo y videovigilancia
• La instalación de sistemas de monitoreo y videovigilancia en las áreas donde se
encuentran los activos físicos permite la detección y el registro de cualquier
actividad sospechosa. Esto ayuda a disuadir a posibles intrusos y proporciona
evidencia en caso de incidentes.
Respaldo y almacenamiento seguro
• Los activos físicos, como los servidores y los dispositivos de almacenamiento,
deben ser respaldados de manera regular y los medios de respaldo deben
almacenarse en un lugar seguro, alejado de cualquier riesgo potencial, como
incendios o inundaciones. Esto garantiza la disponibilidad y protección de la
información en caso de fallos o desastres.
Protección contra incendios y desastres
• La implementación de sistemas de detección de incendios, extinción de incendios
y medidas de protección contra desastres naturales es fundamental para
minimizar los riesgos asociados con pérdidas físicas de los activos. Estas medidas
incluyen la instalación de alarmas de humo, sistemas de rociadores automáticos y
la colocación estratégica de extintores de incendios.
Gestión de residuos
• La protección física de los activos también implica una correcta gestión de los
residuos y la destrucción segura de los dispositivos y documentos que contienen
información sensible. Esto se logra mediante la implementación de políticas y
procedimientos que garanticen la eliminación adecuada de los activos y la
eliminación segura de los datos almacenados en ellos.
Fuente: elaboración propia
Al implementar medidas de protección física adecuadas, las organizaciones pueden
mitigar los riesgos y salvaguardar los activos físicos que son fundamentales para la
seguridad de la información.
PREGUNTA
Página 25 de 35
¿Qué medidas se pueden tomar para proteger físicamente
los activos de información en una organización?
La protección física de los activos de información es esencial para salvaguardar la
confidencialidad, integridad y disponibilidad de la información. Algunas medidas que se
pueden tomar para lograr esta protección son las siguientes:
•
•
•
•
•
Acceso restringido.
Vigilancia y monitoreo.
Protección contra incendios y desastres.
Respaldo y almacenamiento seguro.
Políticas y procedimientos.
4.1.2 Protección lógica de los activos
La protección lógica de los activos es un componente dentro de la seguridad de la
información que se centra en la implementación de medidas y controles para salvaguardar
los recursos digitales y la información almacenada, procesada o transmitida
electrónicamente. Desde la perspectiva de la seguridad de la información, la protección
lógica se refiere a la seguridad de los sistemas informáticos, redes, datos y cualquier otro
elemento digital que forme parte de la infraestructura tecnológica de una organización.
La protección lógica de los activos se puede tratar desde la implementación de controles y
políticas que buscan prevenir, detectar y mitigar los riesgos relacionados con el acceso no
autorizado, la manipulación, el robo, la pérdida o la destrucción de la información digital.
Algunos de los aspectos clave de la protección lógica de los activos incluyen:
Página 26 de 35
Aspectos clave de la protección lógica de los activos
Acceso y autenticación
• La protección lógica se logra mediante la implementación de medidas de control
de acceso y autenticación. Esto implica la utilización de contraseñas robustas,
autenticación multifactor (MFA), certificados digitales y otros mecanismos que
aseguren que solo las personas autorizadas tengan acceso a los activos digitales.
Seguridad de redes y sistemas
• La protección lógica involucra la configuración segura de los sistemas informáticos
y las redes para mitigar los riesgos de vulnerabilidades y ataques cibernéticos. Esto
incluye la actualización y parcheo regular de software, la segmentación de redes,
la implementación de firewalls y sistemas de detección y prevención de
intrusiones (IPS, del inglés Intrusion Prevention System e IDS, del inglés Intrusion
Detection System).
Cifrado de datos
• La protección lógica se fortalece mediante el uso de técnicas de encriptación para
proteger la confidencialidad e integridad de la información sensible. La
encriptación de datos se aplica en el almacenamiento, la transmisión y el
procesamiento de la información para evitar que sea accesible o legible por
personas no autorizadas.
Monitoreo y detección de incidentes
• Es esencial implementar herramientas y sistemas de monitoreo y detección de
incidentes para identificar y responder de manera oportuna a actividades
sospechosas o anómalas. Esto incluye el registro y análisis de registros de eventos
(logs), así como la implementación de sistemas de alerta temprana.
Respaldo y recuperación de datos
• La protección lógica implica la realización de respaldos periódicos de la
información crítica y la implementación de planes de recuperación ante desastres.
Esto asegura que, en caso de fallos técnicos, ataques cibernéticos u otras
situaciones adversas, la información pueda ser recuperada y restaurada de
manera efectiva.
Fuente: elaboración propia
La protección lógica de los activos ayuda a mantener la confidencialidad, integridad y
disponibilidad de la información en el entorno digital. Mediante la implementación de
controles adecuados y la concienciación sobre buenas prácticas de seguridad, las
organizaciones pueden mitigar los riesgos y proteger sus activos digitales de amenazas y
vulnerabilidades en constante evolución.
PREGUNTA
Página 27 de 35
¿Cuáles son las medidas clave para garantizar la protección
lógica de los activos de información en una organización?
La protección lógica de los activos de información se refiere a las medidas y controles
implementados para salvaguardar la información en su forma digital. Aquí se presentan
algunas medidas clave para lograr una protección lógica efectiva:
•
•
•
•
•
•
Autenticación sólida.
Control de acceso.
Encriptación de datos.
Actualizaciones y parches.
Monitoreo y detección de intrusiones.
Respaldo y recuperación de datos.
4.2 La clasificación de la información
La clasificación de activos, por otro lado, implica identificar y categorizar los activos de
información según su valor, importancia y sensibilidad. Esta clasificación permite asignar
niveles adecuados de protección y aplicar controles de seguridad proporcionales a cada
tipo de activo. Al clasificar los activos, las organizaciones pueden enfocar sus esfuerzos de
protección en los activos más críticos, optimizando así los recursos y la efectividad de las
medidas de seguridad.
La clasificación de activos puede basarse en diferentes criterios, como: el valor monetario,
el impacto en el negocio, la confidencialidad de la información o los requisitos legales y
regulatorios. Al establecer una clasificación se puede disponer de políticas y
procedimientos claros para manejar y proteger los activos de acuerdo con su nivel de
importancia.
Página 28 de 35
P
“
”
v
Identificación de activos
• El primer paso es identificar todos los activos de información relevantes en una
organización. Esto puede incluir datos, sistemas, redes, hardware, software y otros
recursos relacionados con la información.
Valoración de activos
• Una vez que los activos han sido identificados, se procede a evaluar su valor y su
importancia para la organización. Esto implica considerar aspectos como el
impacto en el negocio, la confidencialidad de la información, la disponibilidad de
los activos y los requisitos legales y regulatorios.
Categorización de activos
• En esta etapa, los activos se agrupan en categorías o clases basadas en
características comunes. Por ejemplo, se pueden crear categorías como datos
confidenciales, sistemas críticos, infraestructura de red, entre otros. Esta
categorización facilita la gestión y protección de los activos de manera eficiente.
Asignación de niveles de clasificación
• Una vez que los activos han sido categorizados, se les asigna un nivel de
clasificación en función de su importancia y sensibilidad. Esto puede involucrar la
utilización de etiquetas, o etiquetas que indiquen el nivel de clasificación, como
"alto", "medio" y "bajo", o mediante una escala numérica.
Definición de medidas de protección
• Cada nivel de clasificación debe estar asociado con un conjunto correspondiente
de medidas de protección y controles de seguridad. Estas medidas pueden incluir
controles físicos, técnicos y organizativos, como el control de acceso, la
autenticación, el cifrado, las copias de seguridad regulares y la concienciación del
personal.
Fuente: elaboración propia
Es importante destacar que la clasificación de activos puede variar según las necesidades y
los requisitos específicos de cada organización. Algunas pueden tener una clasificación
más detallada y específica, mientras que otras pueden utilizar una clasificación más
general. Lo fundamental es que la clasificación de activos permita a la organización tomar
decisiones informadas sobre la implementación de controles de seguridad adecuados para
proteger sus activos de información más valiosos y sensibles.
EJEMPLO
Página 29 de 35
La confidencialidad de los secretos industriales, como por
ejemplo la fórmula de manufactura de un producto, impacta
directamente en la ventaja competitiva y la esencia misma de
numerosas empresas. La divulgación de esta información a
terceros podría llevar, en última instancia, a la desaparición
de la organización. De manera similar, la información
concerniente a la estrategia de nuevos productos es un bien
sumamente preciado en el contexto del espionaje industrial.
La clasificación es variable, pero, como ejemplo, suele hacerse en función de una serie de
niveles. La siguiente tabla resume una tipología habitual en los documentos en el entorno
del “ b
”:
T
Tipo
í
“
”
Definición
Sin clasificar
Información no clasificada como sensible o
clasificada. Por definición, la difusión de esta
información no afecta a la confidencialidad.
Sensible pero
no clasificada
Información que tiene un impacto menor si se
difunde.
Confidencial
Esta información, de ser difundida, puede causar
daño a la seguridad nacional.
Secreta
Alto secreto
Su difusión causaría un daño importante.
Su difusión causaría un daño extremadamente
grave.
Fuente: elaboración propia
En el entorno de las empresas se utilizan otro tipo de clasificaciones. La siguiente tabla
proporciona un ejemplo:
Página 30 de 35
Tipología de documentos en entorno de “empresa”
Tipo
Definición
Uso público
Puede difundirse públicamente.
Uso interno
Información que se puede difundir internamente,
pero no externamente. Por ejemplo, información
sobre los proveedores y su eficiencia.
Confidencial
Es la información más sensible. Por ejemplo,
información sobre fórmulas de productos,
productos nuevos o fusiones empresariales en
curso.
Fuente: elaboración propia
PREGUNTA
La anterior clasificación tiene que ver con el impacto en la empresa globalmente, pero hay
otra categoría, la de la información personal, cuya difusión est protegida por la ley de
datos personales, dado que afecta a los derechos de los individuos. Por ejemplo, el sueldo
de un empleado o la información médica sobre el mismo.
¿Por qué es importante clasificar la información en una
organización y qué beneficios ofrece la clasificación de la
información desde el punto de vista de la seguridad de la
información?
La clasificación de la información es un proceso elemental dentro de la seguridad de la
información, que permite identificar y categorizar los diferentes tipos de datos y
recursos de una organización según su nivel de sensibilidad y valor. Algunos de los
beneficios clave de la clasificación de la información son:
•
•
•
•
•
Protección adecuada.
Acceso controlado.
Gestión eficiente.
Cumplimiento normativo.
Respuesta a incidentes.
Página 31 de 35
4.2.1 Roles y procedimientos en la clasificación
La clasificación de la información requiere unos roles bien definidos y una serie de pasos o
actividades sistemáticas.
Roles principales en la clasificación
Propietario
(owner) del
activo
El propietario es el encargado de la protección de los recursos de
información. Establece la criticidad de la información de acuerdo con
las políticas de clasificación aprobadas y delega las tareas rutinarias
al responsable.
Responsable
(custodian)
Normalmente, es en personal técnico en quien el propietario delega
la custodia efectiva de la información. Esto incluye la gestión de las
copias de seguridad y cualquier otra tarea técnica necesaria.
Usuario
Son los consumidores de la información para su trabajo diario. Los
principios fundamentales para este rol son los siguientes:
• La información y los recursos deben utilizarse para la
organización, nunca para usos personales.
• Son responsables de la gestión de la información que utilizan
durante su trabajo. Particularmente, tienen que cuidar que
esa información no quede «a la vista». Un ejemplo es cerrar
con password su terminal si abandonan temporalmente su
puesto.
• Deben comprender y aplicar las políticas y procedimientos de
seguridad de la organización
Fuente: (Instituto Nacional de Ciberseguridad de España, s. f.).
Página 32 de 35
Roles principales de clasificación de la información
b
b
Fuente: Elaboración propia
La protección de la información y la clasificación de activos se complementan
mutuamente. Una vez que los activos han sido clasificados, se pueden implementar
controles de seguridad apropiados para mitigar los riesgos identificados. Estos controles
pueden incluir medidas físicas, técnicas y organizativas, como el control de acceso, el
cifrado, la monitorización de actividad y la concienciación del personal.
Para finalizar, la protección de la información y la clasificación de activos son dos
componentes esenciales en la gestión de la seguridad de la información. Al comprender la
importancia de estos conceptos y su relación, las organizaciones pueden tomar decisiones
informadas sobre cómo proteger de manera efectiva sus activos de información y
salvaguardar la confidencialidad, integridad y disponibilidad de los datos.
Página 33 de 35
Conclusión
La seguridad de la información es un campo multidisciplinario y fundamental en la era
digital, que busca proteger los activos de información de una organización, garantizando
su confidencialidad, integridad y disponibilidad. En esta unidad hemos abordado los
conceptos centrales y básicos asociados a este campo.
La confidencialidad se refiere a la protección de la información contra accesos no
autorizados, asegurando que solo las personas autorizadas puedan acceder a ella. La
integridad se centra en garantizar la exactitud y completitud de la información, evitando
modificaciones no autorizadas o no deseadas. Por último, la disponibilidad se relaciona
con asegurar que la información esté disponible y accesible cuando se necesite.
Además de estos conceptos, hemos abordado otros temas clave como las amenazas, que
son eventos o circunstancias que pueden explotar vulnerabilidades y causar daños a los
activos de información. Las vulnerabilidades, por su parte, son debilidades o fallos en los
sistemas, redes o procesos que pueden ser aprovechados por las amenazas. También
hemos explorado la importancia de la protección física y lógica de los activos, así como la
clasificación de la información para una gestión adecuada.
Es importante destacar que la seguridad de la información es un desafío constante, ya que
las amenazas y las tecnologías evolucionan continuamente. Por lo tanto, es esencial
contar con un enfoque proactivo y basado en buenas prácticas, como el uso de marcos de
referencia y metodologías reconocidas, para asegurar la protección de los activos de
información.
La seguridad de la información es un campo en constante crecimiento y evolución, que
busca proteger los activos de información de una organización. Comprender los conceptos
centrales y básicos asociados a la seguridad de la información sienta las bases para una
gestión efectiva y una protección adecuada de la información en un entorno digital cada
vez más complejo y desafiante.
Página 34 de 35
Referencias bibliográficas
Instituto Nacional de Ciberseguridad de España (Incibe). (s. f.). Políticas de seguridad para
la pyme: clasificación de la información.
https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/clasifi
cacion-informacion.pdf
La seguridad de la información - Apuntes - Edy Moyolema . (Dakota del Norte).
https://www.clubensayos.com/Acontecimientos-Sociales/La-seguridad-de-lainformaci%C3%B3n/4678920.html
Mendoza, M. A. (2017). Cómo desarrollar y aplicar un programa de seguridad de la
información. Welivesecurity. https://www.welivesecurity.com/laes/2017/01/11/desarrollo-programa-de-seguridad-informacion/
Moncayo Meneses, P. (2019). Herramientas jurídicas para garantizar la ciberseguridad del
Estado. Análisis comparado de Colombia, Chile y Ecuador. [Trabajo de titulación].
Universidad Central de Ecuador.
http://www.dspace.uce.edu.ec/bitstream/25000/19494/1/T-UCE-0013-JUR216.pdf
Ramírez, H. (2023). ISO 27001 de Protección de datos ¿Qué es, para qué sirve y cómo
implementarla? Grupo Atico34 . https://protecciondatoslopd.com/empresas/norma-iso-27001/
Pol ticas de seguridad para la pyme: clasificaci n de la informaci n. (n.d.). Retrieved
January 18, 2021, from moz-extension://58377d22-3576-47bb-8d26572516d7dcea/enhancedreader.html?openApp&pdf=https%3A%2F%2Fwww.incibe.es%2Fsites%2Fdefault%
2Ffiles%2Fcontenidos%2Fpoliticas%2Fdocumentos%2Fclasificacioninformacion.pdf
Seguridad de la información (s. f.). En Wikipedia. Recuperado en 2023 de
https://es.wikipedia.org/wiki/Seguridad_de_la_informacio%CC%81n
Serrano Ant n, J. C. (s. f.). ISO 27001: “Seguridad de la Información”. Food Defense
Soluciones. https://www.fooddefense-soluciones.com/es/iso-27001-seguridad-dela-informacion
Página 35 de 35
SistelControl (2014). Conocer y categorizar las vulnerabilidades de un entorno industrial.
http://www.sistelcontrol.es/blog/vulnerabilidades-entorno-industrial/
Página 1 de 1
Este material fue desarrollado por el docente Saúl Ortega para la Universidad
Mayor y ha sido diseñado para su lectura en formato digital.
Última actualización agosto, 2023.