1

Poner nombres

Mecanismos de seguridad en software

enfocados a la seguridad de la información

servicios se están volviendo cada vez más comunes,

Resumen - A los mecanismos usados para llevar a cabo esta ambiciosas y sofisticadas.
política de estabilidad se les nombra mecanismos de estabilidad; Es posible disminuir el nivel de riesgo de forma significativa y
son la parte más visible de nuestro sistema de estabilidad, que
con ello la materialización de las amenazas y la reducción del
avalan la defensa de los sistemas o de nuestra red.
impacto sin necesidad de realizar elevadas inversiones ni
contar con una gran estructura de personal. Para ello se hace
Los mecanismos de prevención son esos que incrementan la
estabilidad de un sistema a lo largo del desempeño común de éste,
necesario conocer y gestionar de manera ordenada los riesgos
previniendo la ocurrencia de violaciones a la estabilidad; a los que está sometido el sistema informático, considerar
ejemplificando, la utilización de cifrado en la transmisión de procedimientos adecuados y planificar e implantar los
datos se puede tener en cuenta un mecanismo de esta clase, controles de seguridad que correspondan. La elevación de los
debido a que previene que un viable agresor escuche las niveles de seguridad informática se consigue implantando un
conexiones hacia o a partir de un sistema en la red. Por conjunto de controles, que incluyan políticas, procesos,
mecanismos de detección se sabe a esos que se usan para procedimientos, estructuras organizativas y funciones de
identificar violaciones de la estabilidad o intentos de violación;
hardware y software, los que deben ser establecidos,
ejemplos de dichos mecanismos son los programas de auditoría.
implementados, supervisados y mejorados cuando sea
necesario para cumplir los objetivos específicos de seguridad
Hemos de enfatizar en la utilización de mecanismos de
de la organización. Existe la tendencia equívoca de considerar
prevención y de detección, debido a que esto a partir de ya es
muchísimo más benéfico para el sistema, a tener que restablecer los aspectos relativos a la Seguridad Informática como tarea
el sistema tras una penetración. exclusiva de un especialista determinado de las áreas de
informática o de protección cuando es una responsabilidad de
I. INTRODUCCION los principales dirigentes de la organización y en la que debe
La información y los procesos que la apoyan, los sistemas y participar todo el que utiliza las tecnologías de la información.
las redes, son bienes importantes de las entidades, por lo que El establecimiento de controles generales que se aplican por
requieren ser protegidos convenientemente frente a amenazas igual en todas las áreas y sistemas sin considerar su
que pongan en peligro la disponibilidad, la integridad, la importancia y peculiaridades, producto como regla a la
confidencialidad de la información, la estabilidad de los ausencia de un análisis de riesgos, conduce a que algunas
procesos, los niveles de competitividad, la imagen corporativa, áreas tengan un exceso de protección para las amenazas que
la rentabilidad y la legalidad, aspectos necesarios para enfrentan y otras no estén suficientemente protegidas.
alcanzar los objetivos de la organización.
La información generalmente es procesada, intercambiada y
conservada en redes de datos, equipos informáticos y soportes
de almacenamiento, que son parte de lo que se conoce como
sistemas informáticos. Los sistemas informáticos están
sometidos a potenciales amenazas de seguridad de diversa
índole, originadas tanto desde dentro de la propia
organización, como desde fuera, procedentes de una amplia
II. DESARROLLO
variedad de fuentes. A los riesgos físicos, entre ellos, accesos
no autorizados a la información, catástrofes naturales,
sabotajes, incendios, y accidentes; hay que sumarle los riesgos Mecanismos básicos de seguridad
lógicos como contaminación con programas malignos, ataques Autenticación
de denegación de servicio y otros. Fuentes de daños como Definimos la Autenticación como la verificación de la
códigos maliciosos y ataques de intrusión o de denegación de identidad del usuario, generalmente cuando entra en el sistema
 2

o la red, o accede a una base de datos. trabajo, y si no se le negará. Aunque también es posible dar
Normalmente para entrar en el sistema informático se autorizaciones transitorias o modificarlas a medida que las
utiliza un nombre de usuario y una contraseña. Pero, cada vez necesidades del usuario varíen.
más se están utilizando otras técnicas mas seguras. Administración
Es posible autenticarse de tres maneras: Definimos la Administración como la que establece,
1. Por lo que uno sabe (una contraseña) mantiene y elimina las autorizaciones de los usuarios del
2. Por lo que uno tiene (una tarjeta magnética) sistema, los recursos del sistema y las relaciones usuarios-
3. Por lo que uno es (las huellas digitales) recursos del sistema.
La utilización de más de un método a la vez aumenta las Los administradores son responsables de transformar las
probabilidades de que la autenticación sea correcta. Pero la políticas de la organización y las autorizaciones otorgadas a un
decisión de adoptar más de un modo de autenticación por formato que pueda ser usado por el sistema.
parte de las empresas debe estar en relación al valor de la La administración de la seguridad informática dentro de la
información a proteger. organización es una tarea en continuo cambio y evolución ya
La técnica más usual (aunque no siempre bien) es la que las tecnologías utilizadas cambian muy rápidamente y con
autenticación utilizando contraseñas. Este método será mejor o ellas los riesgos.
peor dependiendo de las características de la contraseña. En la Normalmente todos los sistemas operativos que se precian
medida que la contraseña sea más grande y compleja para ser disponen de módulos específicos de administración de
adivinada, más difícil será burlar esta técnica. seguridad. Y también existe software externo y específico que
Además, la contraseña debe ser confidencial. No puede ser se puede utilizar en cada situación.
conocida por nadie más que el usuario. Muchas veces sucede Auditoría y registro
que los usuarios se prestan las contraseñas o las anotan en un Definimos la Auditoría como la continua vigilancia de los
papel pegado en el escritorio y que puede ser leído por servicios en producción y para ello se recaba información y se
cualquier otro usuario, comprometiendo a la empresa y al analiza.
propio dueño, ya que la acción/es que se hagan con esa Este proceso permite a los administradores verificar que las
contraseña es/son responsabilidad del dueño. técnicas de autenticación y autorización utilizadas se realizan
Para que la contraseña sea difícil de adivinar debe tener un según lo establecido y se cumplen los objetivos fijados por la
conjunto de caracteres amplio y variado (con minúsculas, organización.
mayúsculas y números). El problema es que los usuarios Definimos el Registro como el mecanismo por el cual
difícilmente recuerdan contraseñas tan elaboradas y utilizan cualquier intento de violar las reglas de seguridad establecidas
(utilizamos) palabras previsibles (el nombre, el apellido, el queda almacenado en una base de eventos para luego
nombre de usuario, el grupo musical preferido,...), que analizarlo.
facilitan la tarea a quién quiere entrar en el sistema sin Pero auditar y registrar no tiene sentido sino van
autorización. acompañados de un estudio posterior en el que se analice la
Autorización información recabada.
Definimos la Autorización como el proceso por el cual se Monitorear la información registrada o auditar se puede
determina qué, cómo y cuándo, un usuario autenticado puede realizar mediante medios manuales o automáticos, y con una
utilizar los recursos de la organización. periodicidad que dependerá de lo crítica que sea la
El mecanismo o el grado de autorización puede variar información protegida y del nivel de riesgo. (Campos, 2017)
dependiendo de qué sea lo que se está protegiendo. No toda la Mantenimiento de la integridad
información de la organización es igual de crítica. Los Definimos el Mantenimiento de la integridad de la
recursos en general y los datos en particular, se organizan en información como el conjunto de procedimientos establecidos
niveles y cada nivel debe tener una autorización. para evitar o controlar que los archivos sufran cambios no
Dependiendo del recurso la autorización puede hacerse por autorizados y que la información enviada desde un punto
medio de la firma en un formulario o mediante una contraseña, llegue al destino inalterada.
pero siempre es necesario que dicha autorización quede Dentro de las técnicas más utilizadas para mantener (o
registrada para ser controlada posteriormente. controlar) la integridad de los datos está: uso de antivirus,
En el caso de los datos, la autorización debe asegurar la encriptación y funciones 'hash'.
confidencialidad e integridad, ya sea dando o denegando el
acceso en lectura, modificación, creación o borrado de los Los mecanismos de prevención se dividen en 3, los cuales son:
datos.
Por otra parte, solo se debe dar autorización a acceder a un 1.Prevención: Evitan desviaciones respecto a la política de
recurso a aquellos usuarios que lo necesiten para hacer su seguridad.
 3

2.Detención: Detectan intentos de violación de la seguridad ¿De quién protegerse? De cualquier intento de acceso no
del sistema. autorizado desde el exterior y contra ciertos ataques desde el
3.Recuperación: se aplica cuando se detecta una violación interior que puedan preverse y prevenir.
para que regrese a su función normal ¿Cómo protegerse? Esta es la pregunta más difícil y está
a) De identificación: sirve para comprobar que la entidad es orientada a establecer el nivel de monitorización, control y
quien dice ser. respuesta deseado en la organización.
b) De control de acceso: determinar quién puede ingresar o no ¿Cuánto costará? Estimando en función de lo que se desea
al sistema proteger se debe decidir cuanto es conveniente invertir.
c)De separación: mecanismos que permitan separar los objetos
dentro de cada nivel. Se dividen en: separación física,
temporal, lógica, criptográfica y fragmentación. Access Control Lists (ACL)
d)De seguridad de las comunicaciones: La protección de la permiten definir permisos a usuarios y grupos concretos.
información cuando viaja por la red es especialmente También podrán definirse otras características como
importante. Clásicamente se utilizan protocolos seguros limitaciones de anchos de banda y horarios.

Mecanismos de protección que se encuentran dentro de los

Wrappers
tres grupos
Vulnerar Para Proteger Controla el acceso a un segundo programa. El Wrapper
literalmente cubre la identidad de este segundo programa,
Los intrusos utilizan diversas técnicas para quebrar los obteniendo con esto un más alto nivel de seguridad y han
sistemas de seguridad de una red. Básicamente buscan los llegado a formar parte de herramientas de seguridad debido a:
puntos débiles del sistema para poder colarse en ella. El
 La seguridad lógica está concentrada en un solo
trabajo de los Administradores y Testers no difiere mucho de
programa, los Wrappers son fáciles y simples de
esto. En lo que sí se diferencia, y por completo, es en los
validar.
objetivos: mientras que un intruso penetra en las redes para
 El programa protegido se mantiene como una entidad
distintos fines (investigación, daño, robo, etc.) un
separada, éste puede ser actualizado sin necesidad de
administrador lo hace para poder mejorar los sistemas de
cambiar el Wrapper.
seguridad. Al conjunto de técnicas que se utilizan para evaluar
 Los Wrappers llaman al programa protegido
y probar la seguridad de una red se lo conoce como
mediante llamadas estándar al sistema, se puede usar
Penetration Testing, uno de los recursos más poderosos con
un solo Wrapper para controlar el acceso a diversos
los que se cuenta hoy para generar barreras cada vez más
programas que se necesiten proteger.
eficaces.
 Permite un control de accesos exhaustivo de los
servicios de comunicaciones, además de buena
El software y el Hardware utilizados son una parte importante,
capacidad de Logs y auditorias de peticiones a dichos
pero no la única. A ella se agrega lo que se denomina
servicios, ya sean autorizados o no.
"políticas de seguridad internas" que cada organización (y
Permiten también ejecutar comandos en el propio sistema
usuario) debe generar e implementar.
operativo, en función de la resolución de la petición. Con lo
mencionado hasta aquí, puede pensarse que los Wrappers son
FIREWALL
Firewall ya que muchos de los servicios brindados son los
mismos o causan los mismos efectos: usando Wrappers, se
Un Firewall es un sistema (o conjunto de ellos) ubicado entre
puede controlar el acceso a cada máquina y los servicios
dos redes y que ejerce la una política de seguridad establecida.
accedidos.
Es el mecanismo encargado de proteger una red confiable de
una que no lo es (por ejemplo, Internet). solo sirve de defensa
Detección de Intrusos en Tiempo Real
perimetral de las redes y no defiende ataques provenientes del
La integridad de un sistema se puede corromper de varias
interior. Las políticas que debe de considerar firewall son:
formas y la forma de evitar esto es con la instalación de
sistemas de Detección de Intrusos en Tiempo Real, quienes:
¿Qué se debe proteger? Se deberían proteger todos los
 Inspeccionan el tráfico de la red buscando posibles
elementos de la red interna (hardware, software, datos, etc.).
ataques.
 4

 Controlan el registro de los servidores para detectar todos los protocolos tienen su debilidad ya sea en su
acciones sospechosas implementación o en su uso. se ofrecerán las potenciales
 Controlan el ingreso de cada nuevo archivo al puertas de entrada como fuentes de ataques que ni siquiera
sistema tienen por qué proporcionar acceso a la máquina (como las
 Controlan el núcleo del Sistema Operativo para DoS, por ejemplo).
detectar posibles infiltraciones en él
 Avisan al administrador de cualquiera de las acciones
mencionadas. Criptología

Los Mecanismos de Seguridad se apoyan principalmente en

Call Back técnicas criptográficas. La mayoría de ellos son, por tanto,
Mecanismos Criptográficos. La Criptografía es la base de
Este procedimiento es utilizado para verificar la autenticidad apoyo de los servicios de seguridad, pero no más. La palabra
de una llamada vía modem. si un intruso desea hacerse pasar Criptografía proviene etimológicamente del griego Kruiptoz
por el usuario, la llamada se devolverá al usuario legal y no al (Kriptos-Oculto) y Grajein (Grafo-Escritura) y significa "arte
del intruso, siendo este desconectado. de escribir con clave secreta o de un modo enigmático", Es
decir que la Criptografía es la ciencia que consiste en
Sistemas Anti-Sniffers transformar un mensaje inteligible en otro que no lo es
se basan en verificar el estado de la placa de red, para detectar (mediante claves que sólo el emisor y el destinatario conocen),
el modo en el cual está actuando (recordar que un Sniffer la para después devolverlo a su forma original, sin que nadie que
coloca en Modo Promiscuo), y el tráfico de datos en ella. vea el mensaje cifrado sea capaz de entenderlo. El mensaje
cifrado recibe el nombre Criptograma
Gestión de Claves "Seguras"
- Criptoanálisis: Es el arte de estudiar los mensajes ilegibles,
- Normas de Elección de Claves: Se debe tener en cuenta los encriptados, para transformarlos en legibles sin conocer la
siguientes consejos: clave, aunque el método de cifrado empleado siempre es
No utilizar contraseñas que sean palabras, o nombres conocido.
No usar contraseñas completamente numéricas - Criptosistema: “Un Criptosistema se define como la
Elegir una contraseña que mezcle caracteres alfabéticos y quíntupla (m,C,K,E,D) , donde:
numéricos.
Deben ser largas, de 8 caracteres o más.  m representa el conjunto de todos los mensajes sin
Tener contraseñas diferentes en máquinas diferentes. cifrar que pueden ser enviados.
Deben ser fáciles de recordar para no verse obligado a  C Representa el conjunto de todos los posibles
escribirlas. mensajes cifrados
- Normas para Proteger una Clave: La protección de la  K representa el conjunto de claves que se pueden
contraseña recae tanto sobre el administrador del sistema emplear en el Criptosistema.
como sobre el usuario. Al comprometer una cuenta se puede  E es el conjunto de transformaciones de cifrado que
estar comprometiendo todo el sistema. los pasos a seguir para se aplica a cada elemento de m para obtener un
proteger una clave son: elemento de C . Existe una transformación diferente
 No permitir ninguna cuenta sin contraseña. Ek para cada valor posible de la clave K.
 No mantener las contraseñas por defecto del sistema.  D es el conjunto de transformaciones de descifrado,
 Nunca compartir con nadie la contraseña. análogo a E .
 No escribir la contraseña en ningún sitio.
 No teclear la contraseña si hay alguien mirando. - Algoritmos Simétricos Modernos (Llave Privada): consisten
 No enviar la contraseña por correo electrónico ni en ocultar la relación entre el texto plano, el texto cifrado y la
mencionarla en una conversación. clave (Confusión); y repartir la influencia de cada bit del
 No mantener una contraseña indefinidamente. mensaje original lo más posible entre el mensaje cifrado
Cambiarla regularmente. (Difusión). estos son: redes de feistel, DES (Data Encryption
Standard), DES múltiple, IDEA (International Data Encription
Seguridad en Protocolos y Servicios Algorithm), BlowFish, RC5 y CAST (de los autores Carlslile,
Adams y Safoord Taveres).
 5

- Algoritmos Asimétricos (Llave Privada-Pública): no se basa

en una única clave sino en un par de ellas: una conocida - Esteganografía: Consiste en ocultar en el interior de
(Pública) y otra Privada. Actualmente existen muchos información aparentemente inocua, otro tipo de información
algoritmos de este tipo, pero han demostrado ser poco (cifrada o no). El texto se envía como texto plano, pero
utilizables en la práctica ya sea por la longitud de las claves, la entremezclado con mucha cantidad de "basura" que sirve de
longitud del texto encriptado generado o su velocidad de camuflaje al mensaje enviado. pueden ir ocultos en archivos
cifrado extremadamente largos. estos son: RSA y Curvas de sonido o imágenes
elípticas
Inversión
Autentificación
Todos pueden acceder a las herramientas que necesitan y los
Interesa comprobar la autentificación de: costos (la inversión que cada uno debe realizar) va de acuerdo
con el tamaño y potencialidades de la herramienta; debido a
1. Un Mensaje mediante una firma de forma de poder esto, la implementación de mecanismos de seguridad se da
asegurar que no es una falsificación. A este prácticamente en todos los niveles: empresas grandes,
mecanismo se lo conoce como Firma Digital medianas, chicas y usuarios finales. Como los intrusos
2. Un Usuario mediante una contraseña secreta. mejoran sus armas y metodologías de penetración de forma
3. Presencia de un dispositivo válido en el sistema, por incesante, el recambio y la revisión constantes en los
ejemplo, una llave electrónica. mecanismos de seguridad se convierten en imprescindibles. Y
éste es un verdadero punto crítico. "Es prioritario saber los
- PGP (Pretty Good Privacy) riesgos que una nueva tecnología trae aparejados".

"Seguridad Bastante Buena". Es personal. Es privado. Y no es

de interés para nadie más que no sea usted. Actualmente PGP
A. Mecanismo de prevención
es la herramienta más popular y fiable para mantener la
seguridad y privacidad en las comunicaciones tanto para
pequeños usuarios como para grandes empresas. Son aquellos que aumentan la seguridad de un sistema durante
Funcionamiento de PGP: el funcionamiento normal de éste, previniendo la ocurrencia
de violaciones a la seguridad; por ejemplo, el uso de cifrado
 Anillos de Claves: Un anillo es una colección de
claves almacenadas en un archivo. Cada usuario tiene en la transmisión de datos se puede considerar un mecanismo
de este tipo, ya que evita que un posible atacante escuche las
dos anillos, uno para las claves públicas y otro para
las claves privadas. conexiones hacia o desde un sistema en la red.
Por mecanismos de detección se conoce a aquellos que se
 Codificación de Mensajes: PGP cifra primero el
utilizan para detectar violaciones de la seguridad o intentos de
mensaje empleando un algoritmo simétrico con una
violación; ejemplos de estos mecanismos son los programas
clave generada aleatoriamente (clave de sesión) y
de auditoría.
posteriormente codifica la clave haciendo uso de la
Finalmente, los mecanismos de recuperación son aquellos que
llave pública del destinatario.
se aplican cuando una violación del sistema se ha detectado,
 Decodificación de Mensajes: PGP simplemente busca
para retornar a éste a su funcionamiento correcto.
en la cabecera las claves públicas con las que está
Hemos de enfatizar en el uso de mecanismos de prevención y
codificado, pide una contraseña para abrir el anillo de
de detección, ya que esto desde ya es mucho más productivo
claves privadas y comprueba si se tiene una clave que
para el sistema, a tener que restaurar el sistema tras una
permita decodificar el mensaje.
penetración. A continuación, se presentan los mecanismos de
 Compresión de Archivos: PGP generalmente
prevención más habituales en sistemas operativos y redes.
comprime el texto plano antes de encriptar el mensaje
(y lo descomprime después de desencriptarlo) para
Mecanismos de control de acceso
disminuir el tiempo de cifrado, de transmisión y
fortalecer la seguridad del cifrado ante el
El control de acceso es el proceso de autorizar a los usuarios,
criptoanálisis que explotan las redundancias del texto
grupos y equipos a tener acceso a los objetos de la red.
plano.
Cualquier objeto del sistema debe estar protegido mediante
 Algoritmos Utilizados por PGP: pueden ser IDEA,
mecanismos de control de acceso, que controlan todos los
CAST y TDES y los asimétricos RSA y ElGamal.
tipos de acceso sobre el objeto por parte de cualquier entidad
 6

del sistema. efectiva de lograr la seguridad de la información es el proceso

Los administradores de sistemas operativos de red pueden de traducir datos a un código secreto.
restringir el uso y la administración del control de acceso a Claves públicas y privadas
objetos y sujetos para proporcionar la siguiente seguridad:
CERTIFICADOS DIGITALES
 Evitar que se haga un uso incorrecto de una mayor
cantidad y variedad de recursos.
Los certificados digitales son una manera estándar de unir
 Proveer a los usuarios de recursos de acceso de una
una clave pública a un nombre. A fin de poder emitir un
manera coherente con las directivas de la
certificado digital, el emisor de los datos debe solicitar un
organización y los requisitos de sus tareas.
certificado digital de una Entidad emisora de certificados (CA)
 Permitir a los usuarios acceder a los recursos desde
como Verisign. De esta forma, la CA actúa como una tercera
diversos dispositivos en distintas ubicaciones.
parte neutral que verifica que el emisor de los datos es quien
 Mejorar la capacidad de los usuarios para acceder a
dice ser. Una vez verificada esta información, la CA puede
los recursos regularmente a medida que las directivas
emitir un certificado de clave pública que pueda utilizar esa
de la organización o las tareas de los usuarios van
parte. El estándar usado con más frecuencia en certificados
cambiando, así como para dar cabida a una cantidad
digitales es X.509. Un estándar universal de este tipo es
de escenarios de uso 
necesario, dado que para poder enviar datos cifrados usted
debe conocer la clave pública del receptor.
Planificación de la seguridad
MECANISMOS DE SEGURIDAD EN LAS COMUNICACIONES:
Hoy en día la rápida evolución del entorno técnico requiere
Es especialmente importante para la seguridad de nuestro que las organizaciones adopten un conjunto mínimo de
sistema el proteger la integridad y la privacidad de los datos controles de seguridad para proteger su información y
cuando se transmiten a través de la red. Para garantizar esta sistemas de información. El propósito del plan de seguridad
seguridad en las comunicaciones, debemos utilizar ciertos del sistema es proporcionar una visión general de los
mecanismos, la mayoría de los cuales se basan en la requisitos de seguridad del sistema y se describen los controles
Criptografía: cifrado de clave pública en el lugar o los previstos para cumplir esos requisitos. El plan
Par, de clave privada, firmas digitales, etc. Aunque cada vez de seguridad del sistema también delinea las responsabilidades
se utilizan más los protocolos seguros como SSH o Kerberos, y el comportamiento esperado de todos los individuos que
aún es frecuente encontrar conexiones en texto claro ya no acceden al sistema. Debe reflejar las aportaciones de distintos
sólo entre máquinas de una misma subred, sino entre redes gestores con responsabilidades sobre el sistema, incluidos los
diferentes. propietarios de la información, el propietario de la red, y el
alto funcionario de la agencia de información de seguridad
FTPS
FTPS es un protocolo de transferencia de archivos que utiliza
SSL para asegurar los comandos y los datos que se transfieren I. Tipos de protocolos de seguridad de información
entre el cliente y el servidor. Secure Sockets Layer (SSL) y su
sucesor, Transport Layer Security (TLS), son protocolos de Protocolo TCP/IP
cifrado que proveen seguridad para las comunicaciones por El protocolo TCP / IP es el protocolo de comunicación
Internet, cubriendo tareas tales como navegación por la web, fundamental de Internet y consta de dos protocolos, el TCP y
correo electrónico, FTP y otras transferencias de datos. El el IP. El objetivo es que los ordenadores se comuniquen de
protocolo SSL fue desarrollado por Netscape Communications una forma sencilla y transmitan información a través de la red.
Corporation con el objetivo de brindar seguridad y privacidad
por Internet. Protocolo HTTP
Se debería usar FTPS cuando se necesite transferir datos El protocolo HTTP (Protocolo de transferencia de
confidenciales o de carácter crítico entre un cliente y un hipertexto) se basa en www (World Wide Web) que transmite
servidor configurado para usar SSL en transferencias seguras. mensajes por la red. Por ejemplo, cuando un usuario ingresa al
Criptografía de clave pública navegador e ingresa en la URL una búsqueda, la URL
La criptografía de clave pública asegura una transmisión de transmite los mensajes por HTTP al servidor web que el
datos privada y segura mediante dos procesos: autenticación y usuario solicitó. Luego, el servidor web responde y entrega los
cifrado. La autenticación garantiza que los datos son enviados resultados de los criterios de búsqueda que había solicitado.
exactamente por quien dice ser. El cifrado, la forma más
 7

Protocolo SSH y el daño potencial causado por el sistema en peligro.

El protocolo SSH (Secure Socket Shell) proporciona una
forma segura de acceder a internet a través de un ordenador Un plan de respuesta a incidentes tiene un número de
remoto. SSH proporciona autenticación y encriptación entre requerimientos, incluyendo:
dos computadoras que se conectan a Internet. SSH es bien  Un equipo de expertos locales (un Equipo de
utilizado por las administraciones de red para administrar respuesta a emergencias de computación)
sistemas por acceso remoto.  Una estrategia legal revisada y aprobada
 Soporte financiero de la compañía
Protocolo DNS  Soporte ejecutivo de la gerencia superior
El protocolo DNS (Sistema de nombres de dominio)  Un plan de acción factible y probado
mantiene un directorio de nombres de dominio traducidos a  Recursos físicos, tal como almacenamiento
direcciones IP. El DNS rastrea al usuario para ubicar la redundante, sistemas en stand by y servicios de
dirección web en la dirección IP correspondiente. Por ejemplo, respaldo (1)
si un usuario ingresa la URL google.com, el servidor web no
está leyendo el nombre google.com está leyendo la dirección El manejo de riesgos
IP NUMÉRICA que corresponde a google.com Dentro de la seguridad en la información se lleva a cabo la
clasificación de las alternativas para manejar los posibles
Creación de un plan de respuesta a incidentes riegos que un activo o bien puede tener dentro de los procesos
de organización. Esta clasificación lleva el nombre de manejo
Es importante formular un plan de respuestas a incidentes, de riesgos. El manejo de riesgos, conlleva una estructura bien
soportarlo a lo largo de la organización y probarlo definida, con un control adecuado y su manejo, habiéndolos
regularmente. Un buen plan de respuestas a incidentes puede identificado, priorizados y analizados, a través de acciones
no sólo minimizar los efectos de una violación sino también, factibles y efectivas. Para ello se cuenta con las siguientes
reducir la publicidad negativa. técnicas de manejo del riesgo:
Desde la perspectiva del equipo de seguridad, no importa si
ocurre una violación o abertura (pues tales eventos son una
 Evitar. El riesgo es evitado cuando la organización
parte eventual de cuando se hacen negocios usando un método
rechaza aceptarlo, es decir, no se permite ningún tipo
de poca confianza como lo es Internet), sino más bien cuándo
de exposición. Esto se logra simplemente con no
ocurre. El aspecto positivo de entender la inevitabilidad de una
comprometerse a realizar la acción que origine el
violación a los sistemas (cualquier sistema donde se procese
riesgo. Esta técnica tiene más desventajas que
información confidencial, no está limitado a servicios
ventajas, ya que la empresa podría abstenerse de
informáticos) es que permite al equipo de seguridad
aprovechar muchas oportunidades. Ejemplo:
desarrollar un curso de acciones para minimizar los daños
No instalar empresas en zonas sísmicas
potenciales. Combinando un curso de acciones con la
 Reducir. Cuando el riesgo no puede evitarse por tener
experiencia le permite al equipo responder a condiciones
varias dificultades de tipo operacional, la alternativa
adversas de una manera formal y oportuna.
puede ser su reducción hasta el nivel más bajo
El plan de respuesta a incidentes puede ser dividido en
posible. Esta opción es la más económica y sencilla.
cuatro fases:
 Acción inmediata para detener o minimizar el B. Otras formas de proteger la red
incidente
 Investigación del incidente La red es el punto de entrada a una aplicación. Por lo tanto,
 Restauración de los recursos afectados los mecanismos de seguridad de la red son la primera línea de
 Reporte del incidente a los canales apropiados defensa contra las amenazas potenciales del exterior. La
. seguridad de la red implica proteger los protocolos y los
canales de comunicación, así como dispositivos como el
direccionador, el cortafuegos y el conmutador
Una respuesta a incidentes debe ser decisiva y ejecutarse Considere la posibilidad de implementar los siguientes
rápidamente. Debido a que hay muy poco espacio para errores, métodos recomendados para mejorar la seguridad de la red:
es crítico que se efectúen prácticas de emergencias y se midan
los tiempos de respuesta. De esta forma, es posible desarrollar  Utilice un cortafuegos.
una metodología que fomenta la velocidad y la precisión, Esto permitirá acceder a la red sólo de forma legítima.
minimizando el impacto de la indisponibilidad de los recursos
 8

Asegúrese de que el cortafuegos proporcione el reenvío y conocida por nadie más que el usuario. Muchas veces sucede
filtrado de paquetes. que los usuarios se prestan las contraseñas o las anotan en un
Estas características del cortafuegos introducen una capa papel pegado en el escritorio que puede ser leído por cualquier
adicional de protección. El reenvío de paquetes impide que el otro usuario, comprometiendo a la empresa y al propio dueño,
mundo exterior entre en contacto directo con los sistemas de la ya que la acción/es que se hagan con esa contraseña es/son
red protegida. El filtrado puede bloquear algunos tipos de responsabilidad del dueño.
solicitudes o solicitudes que proceden de algunos dominios o
direcciones IP. Estas técnicas ayudan a reducir el número de Para que la contraseña sea difícil de adivinar debe tener un
solicitudes ilegítimas que pueden pasarse a la red interna. conjunto de caracteres amplio y variado con minúsculas,
mayúsculas y números. El problema es que los usuarios
 Limite el número de puertos accesibles. difícilmente recuerdan contraseñas tan elaboradas y utilizan
 Limite la dirección del tráfico en algunos puertos. palabras previsibles el nombre, el apellido, el nombre de
 Limite algunos protocolos de red; por ejemplo, ping usuario, el grupo musical preferido, que facilitan la tarea a
quién quiere entrar en el sistema sin autorización.

Además, se debe obligar al cambio de contraseña de manera

II. SERVIDORES WEB
periódica (30 – 45 días), impidiendo el uso de contraseñas
Considere la posibilidad de implementar los siguientes
utilizadas en el pasado.
métodos recomendados de seguridad para todos los tipos de
Una de las amenazas más visibles para la seguridad en redes
servidores web.
LAN es un ataque de malware que pudiese desencadenar la
pérdida y hurto de datos e información relevante para la
 Elimine los directorios virtuales no utilizados. empresa. Sumado a esto, un virus tiene el potencial para
 Elimine o inhabilite los scripts ASP o cgi-bin ocasionar daños económicos o de reputación a una compañía.
predeterminados de ejemplo proporcionados con la
aplicación del servidor web. Por ejemplo: Apache: Otros riesgos latentes involucran:
cgi-bin/printenv.pl.
 Otorgue explícitamente permisos de lectura, Escuchas.
escritura y ejecución para cada sitio web y Modificación de datos.
directorio virtual. Man-in-the-Middle.
 Cree un directorio raíz para el servidor web. Suplantación de DNS
En Apache, esto se conoce como chrooting.
III. REQUISITOS DE SEGURIDAD
Para Microsoft Internet Information Services (IIS), puede
Hay tres fuentes principales a tener en cuenta al establecer
asignar el sitio web raíz a un directorio específico. Al usuario
los requisitos de seguridad de la información de una
que ejecuta IIS se le pueden otorgar permisos de lectura y
organización:
escritura para este directorio. Los demás permisos de usuario
se pueden eliminar.
 Evaluación/análisis de riesgos: considera los objetivos
y estrategias de negocio de la organización, lo que
resulta en la identificación de las vulnerabilidades y las
La utilización de más de un método a la vez aumenta las
amenazas a los activos. En este contexto, se tiene en
probabilidades de que la autenticación sea correcta. Pero la
cuenta la probabilidad de ocurrencia de las amenazas y
decisión de adoptar más de un modo de autenticación por
el impacto en el negocio.
parte de las empresas debe estar en relación el valor de la
 Legislación vigente: estatutos, reglamentos y las
información a proteger.
cláusulas contractuales que deben cumplirse para la
organización, sus socios, subcontratistas y proveedores.
La técnica más utilizada, aunque no siempre bien es la
 Conjunto de principios: los objetivos y requisitos de
autenticación mediante contraseñas. La fortaleza de este
negocios para el procesamiento de datos que la
método está determinada por las características de la
organización debe definir para dar soporte a sus
contraseña. Cuanto más grande y difícil de adivinar sea, más
operaciones
difícil será burlar el mecanismo.

Además, la contraseña debe ser confidencial. No puede ser
 9

IV. PLAN DE SEGURIDAD La apropiación de estas políticas debe ser hecha por parte de
Un plan de seguridad debe contemplar diferentes aspectos todos los usuarios que acceden a servicios en la red de la
acerca de cómo se mantendrá la seguridad en la red. Este plan organización, pues de su universalización depende la
debe contener: disminución de riesgos y vulnerabilidades a los que la red se
encuentra expuesta. Se contemplan en estas políticas los
Tiempo, Gente y Recursos: Un plan de seguridad debe aspectos básicos de seguridad en cuanto a comunicaciones se
ejecutarse de forma permanente. No existe un tiempo limitado refiere, cuyo objetivo principal es garantizar el
o específico para ejecutar una asignación de esta política, funcionamiento correcto y seguro de las instalaciones de la
puesto que el mejoramiento en la prestación de los servicios y red:
minimización de las amenazas a la seguridad debe realizarse
de forma continua. Se contemplan en este plan los servicios  Procedimientos y responsabilidades.
que presta o deberá prestar la red teniendo en cuenta que estos  Planificación de la capacidad y aprobación de nuevos
pueden cambiar, aumentar o en caso dado disminuir por la accesos o servicios en la red.
entrada de nuevos servicios, lo que implica que las políticas de  Protección contra software malicioso.
seguridad que se desprendan de este plan puedan cambiar a  Mantenimiento de la información y servicios.
medida que los servicios cambien. La puesta en marcha de  Administración de red.
este plan de seguridad dependerá de la apropiación que hagan  Medios de almacenamiento.
de este todos los involucrados en su desarrollo, uso y  Intercambio de información.
beneficiarios de este.  Control de accesos.

Topología de la red y servicios: Un plan de seguridad debe El seguimiento de las políticas y la consecución del plan de
contener de manera detallada la topología de la red, seguridad es responsabilidad no solo de los administradores de
explicación de los servicios que la red presta tanto a usuarios red, sino de todo aquel que tenga acceso a los servicios de red
internos como externos, detalles de dependencias y en mayor o menor medidas sin importar tipo de usuario,
tecnologías de comunicación. servicio o tiempo de uso de este.

Especificación de Funciones: Las funciones de los usuarios VI. LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN
deben estar bien especificadas con el fin de dar
responsabilidad a cada uno en los procesos que le son El control, por definición, es una forma de gestionar el riesgo
pertinentes en cuanto a la seguridad de la red. Estas funciones
y puede incluir políticas, procedimientos, directrices y
deben desprenderse de las políticas generadas a partir de este prácticas que pueden ser de carácter administrativo, técnico,
plan y deben contemplar procesos de actuación concreta de
legal o de gestión. Algunos controles pueden ser considerados
cada uno de actores. Se deben especificar: recursos y procesos como “primeros pasos” para la seguridad de la información en
asignados a cada usuario, definición de niveles de autorización
las organizaciones, con base en requisitos legales y / o mejores
o permisos, responsabilidades específicas y tipos de usuarios. prácticas para la seguridad de la información.

V. POLÍTICAS DE SEGURIDAD.
Desde el punto de vista legal, existen controles considerados
No todas las organizaciones desean llevar a cabo una funda mentales y dependen de la legislación vigente, es decir:
certificación en procesos de seguridad de la información, pero
si todas, desean protegerse y proteger sus activos. » Protección de datos y privacidad de la información personal;
» Protección de los registros de la organización;
La norma ISO 17799 contempla varios parámetros en los » Derechos de propiedad intelectual.
cuales se especifican de manera general un punto de partida
para lograr el objetivo. Basados en la norma se producen las Los controles considerados buenas prácticas para la seguridad
políticas de seguridad para la organización, cuyo fin es de la información son:
generar la base de normas mínimas para el correcto
desempeño en la prestación de servicios a los involucrados en » Documento de la política de seguridad de la información;
el uso de la red con un mínimo de seguridad que otorgue a los » Asignación de responsabilidades para la seguridad de la
usuarios la confidencialidad, integridad y disponibilidad de información;
información que ellos necesitan. » Sensibilización, educación y capacitación en seguridad de la
información;
 10

» Procesamiento correcto en las aplicaciones;

» Gestión de las vulnerabilidades técnicas; » La política de seguridad de la información, los objetivos y
» Gestión de la continuidad del negocio; las prácticas deben reflejar los objetivos de negocio de la
» Gestión de incidentes de seguridad de la información. organización.
» El enfoque y la estructura que han sido adoptados para la
Es importante que la selección o no de un control determinado ejecución, el mantenimiento, el seguimiento y la mejora de la
sea una acción basada en los riesgos específicos de la seguridad de la información deben ser compatibles con la
organización. Por lo tanto, tenga en cuenta los controles cultura de la organización.
designados como punto de partida, dado que no sustituyen a la » Todos los niveles gerenciales de la organización deben estar
selección de los controles basados en el análisis/ evaluación de comprometidos y apoyar la seguridad de la información
riesgos. » Los requisitos de seguridad de la información, el análisis, la
evaluación y la gestión del riesgo deben ser bien entendidos
Es notorio, sin embargo, la concientización de que una política (en detalle).
de seguridad de la información no debe ser definida en » La seguridad de la información debe darse a conocer, de
términos generales. Las organizaciones deben ser analizadas manera eficiente, a todas las entidades de la organización
caso por caso, con el fin de identificar sus necesidades de (presiden tes, directores, gerentes, empleados, contratistas,
seguridad y así desarrollar e implementar una política etc.).
adecuada. Además, la política debe asignar derechos y » Distribución y comunicación de directrices, políticas y
responsabilidades a las entidades que tienen que ver normas para todas las partes involucradas
directamente con la información y recursos informáticos de las » Suministro de recursos financieros para la gestión de
organizaciones. Por lo que cualquier evento que resulte en seguridad de la información.
violación de la política se considera un incidente de seguridad » Suministro de sensibilización, entrenamiento y educación
adecuadas.
Elementos relevantes para la seguridad de la » Establecimiento de un proceso eficiente para la gestión de
información incidentes de seguridad
» Implementación de un sistema de medición de la gestión de
La gestión de seguridad de la información fomenta la seguridad de la información.
adopción de políticas, procedimientos, directrices y otros » Todos los elementos de la política de seguridad deben ser
elementos pertinentes cuyo alcance debe comprender la distribuidos y comunicados a las entidades de la organización.
gestión del riesgo sobre la base de costo / beneficio para la » Los recursos financieros se deben proporcionar para la
organización. gestión de seguridad de la información.
» Medios de sensibilización, formación y educación adecuada
En este contexto, para la gestión de la seguridad de la de ben ser provistos.
información, los elementos siguientes son relevantes: » Se debe establecer un procedimiento eficaz para la gestión
de incidentes de seguridad de la información.
» Política de seguridad de la información. » Se debe implementar un mecanismo para medir y evaluar la
» Seguridad organizacional. eficacia de la gestión de seguridad de la información, con las
» Gestión de activos. sugerencias de mejora posteriores
» Seguridad de recursos humanos.
» La seguridad física y del ambiente. AMENAZAS Y ATAQUES
» Gestión de las operaciones y comunicaciones.
» Control de acceso. Aunque son varios los elementos que conforman un sistema
» Gestión de incidentes de seguridad de la información. informático, es la información el recurso mas preciado sobre
» Gestión de la continuidad del negocio el cual se enfoca todos los esfuerzos para asegurar un nivel
aceptable de seguridad. Por esto, se definen los objetivos
Factores críticos para el éxito de la seguridad de la básicos de la seguridad de la información:
información
1. Confidencialidad: asegurar que la información no
este expuesta o revelada a personas no autorizadas.
Los siguientes son algunos de los factores que son críticos
2. Integridad: asegurar consistencia de los datos, en
para el éxito de la seguridad de la información en las
particular prevenir la creación, alteración o borrado
organizaciones:
de datos de entidades no autorizadas.
 11

3. Disponibilidad: asegurar que los usuarios legítimos seguridad para adquirir acceso no autorizado a
no obtengan acceso denegado a su información y los recursos u obtener privilegios.
recursos. o Violación con autorización: una persona
4. Uso legítimo: asegurar que los recursos no sean autorizada para usar un sistema o recurso, lo
usados por personas no autorizadas o en formas no utiliza para lograr un propósito no autorizado.
autorizadas. Es conocido como amenaza interna.
o Caballo de troya: un software que contiene
Para soportar estos objetivos se definen las políticas de una parte invisible de código, la cual cuando
seguridad que regirán en nuestro dominio de seguridad. Estas es ejecutada compromete la seguridad del
políticas deben ser definidas en varias categorías: acceso sistema.
físico, seguridad en la comunicación, computadoras, sistemas o Puerta trasera: es una característica
operativos, base de datos aplicaciones, personal, ambiente incorporada en un software que ante un evento
natural, respaldos, planes de contingencias, etc. o entrada ejecuta acciones que pueden
comprometer la seguridad del sistema.
Una amenaza es una persona, entidad evento o idea que o Bombas lógicas: son códigos adicionados a los
plantea algún daño a un activo. programas que ante cierta fechas o tiempo de
ejecución ejecutan acciones perjudiciales para
Un ataque es una realización de una amenaza. el sistema.
o Virus: son programas que se autoreplican y
Una protección son los controles físicos, mecanismos, afectan principalmente los archivos
políticas y procedimientos que protegen los activos o recursos ejecutables, a veces llegan a afectar a miles de
de las amenazas. computadoras.
3. Amenazas subyacentes: si analizamos cualquiera
Una vulnerabilidad es el debilitamiento o ausencia de una de las amenazas fundamentales o de habilitación
protección en un recurso o activo. de las primarias en un ambiente dado, podemos
identificar amenazas subyacentes particulares
Un riesgo es una medida del costo de una realización de una cualquiera de las cuales puede habilitar las
vulnerabilidad que incorpora la probabilidad de éxito de un amenazas fundamentales. Por ejemplo, si
ataque. El riesgo es alto si el valor del activo vulnerable es alto consideramos la amenaza fundamental de fugas de
y la probabilidad de éxito de un ataque es alto. información podemos encontrar varias amenazas
subyacentes, tales como:
Las amenazas pueden ser clasificadas en intencionales y  Escuchar sin autorización
accidentales siendo las primeras las más peligrosas. Las
 Análisis de trafico
amenazas intencionales lo cual se convierte en un ataque,
 Indiscreción por personal
puede ser pasivo o activo.
 Reciclaje de medios
CLASIFICACION DE LAS AMENAZAS
Según estadísticas obtenidas, las siguientes amenazas o
tipos de ataque más predominantes son:
1. Amenazas fundamentales: afectan directamente los
cuatro objetivos básicos de la seguridad: fugas de
 Violación con autorización
información, violación a la integridad negación de
servicios y uso legitimo  Suplantación
2. Amenazas habilitadoras de las primarias: son  Sobrepasar los controles
importantes porque la realización de cualquiera de  Caballos de troya y puertas traseras.
estas amenazas puede conducir directamente a la
realización de las amenazas fundamentales. Estas VII. SEGURIDAD EN LOS SISTEMAS OPERATIVOS

son: Una de las principales causas técnicas de violaciones a

o Suplantación: una persona o entidad pretende sistemas informáticos son generados por las fallas
ser otra diferente. Es la forma más común de intencionales o accidentales de los sistemas operacionales. La
penetración al perímetro de seguridad. mayoría de los sistemas operacionales comerciales y de
o Sobrepasar los controles: un atacante explota dominio publico presentan altas deficiencias en su base de
las fallas de un sistema o debilidad de seguridad, ya que no fueron diseñados con este objetivo como
 12

primordial, sino que han sido agregados como módulos Principalmente en el Diseño, ya que éste puede fallar al no
independientes. captar los requerimientos esenciales para los que se crea. La
información puede no ser proporcionada lo suficientemente
Para agravar más la situación uno de los sistemas rápida para ser útil, también puede venir en un formato
operacionales que más prolifera en internet (UNIX) presenta imposible de digerir y usar, o puede representar los elementos
un ambiente muy propicio para ser atacado, debido a que su equivocados de datos. Un sistema puede ser diseñado con una
código ha sido ampliamente difundido y se conocen muchos interface (parte del sistema con la que interactúa el usuario)
detalles de su implementación. deficiente. Un sistema de información será juzgado como un
fracaso si su diseño no es compatible con la estructura, cultura
Lo ideal es desarrollar un sistema operativo “seguro” el cual y metas de la organización
pueda ofrecer entre otros las siguientes características:
identificación y autenticación de todos los usuarios que Realizar un estudio de factibilidad y el análisis de
ingresan al sistema, controle el acceso a todos los recursos e requerimientos de acuerdo al negocio que necesite un sistema
informaciones, contabilice todas las acciones realizadas por de información el cual debe mantener la información
los usuarios, audite los acontecimientos que puedan clasificada ayudará en gran medida a la seguridad de la
representar amenazas a la seguridad, garantice la integridad de información.
los daros, mantenga la disponibilidad de los recursos e
información. Los datos son el activo principal de los negocios, lo que
requiere de mecanismos de seguridad que permitan
Las amenazas que se pueden presentar en un sistema mantenerlos seguros.
operacional son las mas variadas ya que aparte de las propias
del sistema operacional, se le agrega la de todos los protocolos Hacer copias de seguridad (backup), es la primera y más
de comunicaciones. importante de las medidas de seguridad. Lo más recomendable
es no dejar de hacer copias de seguridad todos los días, de este
Dentro de las amenazas que vale la pena resaltar son las modo, si la copia más reciente fallara, puede utilizar otra fecha
ofrecida por los programas hostiles, ocasionados por errores la más cercana a la contingencia (24 horas antes).
no intencionales, desarrollo y mala instalación o por voluntad
de un programador, pueden provocar mal funcionamiento o Es recomendable guardar los respaldos en un lugar distinto a
perdida de información. Entre los programas hostiles mas la sede de la empresa, previniendo un robo o incendio y perder
comunes están: los caballos de troya, programa salami así toda la información.
(redondean cálculos financieros a favor del programador),
canales ocultos, puertas traseras, bombas lógicas o de tiempo, El costo que genera la implementación y operación de las
programas voraces (consumo de recursos como CPU o distintas medidas de seguridad pueden estar muy por encima
memoria), virus, gusanos, etc. del presupuesto. Lo que genera gastos excesivos y la
organización decida no implementar seguridad en los sistemas
de información.
VIII. CALIDAD EN LOS SISTEMAS DE INFORMACIÓN
Si el sistema no opera bien, la información no es
Según la norma ISO 9001 establece los criterios para un proporcionada oportunamente y de manera eficiente ya que las
sistema de gestión de calidad y es el único estándar en la operaciones que manejan el procesamiento de la información
familia que pueden ser certificadas. Puede ser utilizado por se caen, provocando un retraso que origina costos para la
cualquier organización, grande o pequeña, cualquiera que sea organización.
su campo de actividad.
Control de Residuos
Calidad es el conjunto de características de un producto o
servicio que le confiere aptitud para satisfacer las necesidades Clasificar los riesgos de acuerdo al grado de daño o pérdida
explícitas e implícitas del cliente. que ocasiones en los sistemas en alto, mediano, pequeño,
identificando las aplicaciones con alto riesgo y cuantificar el
Áreas en las que se originan problemas de seguridad en los impacto que tendrá en la consistencia de las aplicaciones.
sistemas de información Para un mejor control de recomienda la formulación de
medidas de seguridad necesarias para mantener el nivel de
seguridad que se requiera (preventivas y correctivas), lo que
 13

originará costos en su implantación los cuales tienen que ser permitirá determinar cuánto esfuerzo se debe gastar en
solventados por la organización. proteger el recurso.

No olvidar que para mantener la seguridad de los sistemas de CONCLUSIÓN

información se tiene que tomar en cuenta: la confidencialidad,
integridad, disponibilidad de la información, la autentificación
de los usuarios, el no repudio de información, así como la REFERENCES
calidad en los sistemas de Información considerando para su
diseño las métricas de software, pero sobre todo realizar un [ Campos, J. (2017). Obtenido
análisis de los riesgos que pueden originar la pérdida de 1 de
información. ] http://recursostic.educacion.e
s/observatorio/web/eu/softwa
Haciendo un análisis sobre cada uno de los anteriores temas re/software-general/1040-
introduccion-a-la-seguridad-
que debe abordar el personal encargado en el área de sistemas
informatica?start=2
de información que se basará en la seguridad. Verificará y .
hará un estudio exhaustivo para utilizar los mecanismos de [ Castro, R. (2021). Obtenido
seguridad adecuados, que se acoplen al Sistema de 2 de
Información de dicha organización cumpliendo los ] https://www.captio.net/blog/
requerimientos para mantener la seguridad de su información herramientas-seguridad-
que se vea vulnerable a los distintos tipos de ataques informatica
informáticos.
[ Jorge, P. (2021). Obtenido de
3 Seguridad Informatica:
Cada organización debe tomar en cuenta el estudio preventivo ] https://www.hacknoid.com/h
de las áreas donde puede ser atacada su información, por lo acknoid/importancia-de-la-
que se sugiere la implementación de mecanismos de seguridad seguridad-informatica-de-
que permitan mantener asegurada la información, realizar las-empresas/
monitores constantes sobre el cumplimiento de las medias de
seguridad implementadas. [ Medina, J. (2016). Obtenido
4 de “ESTANDARES PARA
] LA SEGURIDAD DE
La seguridad en sistemas de información requiere del estudio
INFORMACIÓN CON
y conocimiento de los diferentes tipos de mecanismos de TECNOLOGIAS DE
seguridad que permitan el resguardo de los activos de la INFORMACION":
organización. Considerando las relaciones que hay entre los https://repositorio.uchile.cl/bi
aspectos: tecnológicos, humanos, sociales y admirativos. tstream/handle/2250/108414/
medina_j.pdf?sequen
[ Tomala, J. (2020). Obtenido
5 de Metodologia para la
Análisis de riesgos
] gestion de seguridad
informatica:
El análisis de riesgos involucra la determinación de que se https://instituciones.sld.cu/dn
necesita proteger, cintra que lo necesita proteger, que se spminsap/files/2013/08/Meto
necesita para protegerlo y como. Es el proceso de examinar los dologia-PSI-
posibles riesgos y clasificarlos por nivel de severidad, esto NUEVAProyecto.pdf
involucra hacer decisiones costo-beneficio. Algunos riesgos
incluyen:

 Acceso no autorizado
 Servicios no disponibles
 Descubrimiento de información sensitiva

Como resultado de este proceso se obtienen un esquema para

pesar el riesgo contra la importancia del recurso lo cual