Criterios de

autorización

Roles
Se basan en las asignaciones
laborales o funciones del empleado.

Por ejemplo: Si hay una persona que

audita transacciones y registros de
auditoría, solamente requiere
permisos de lectura para dichos
archivos. Esta función no necesita
tener los permisos de escritura.

Grupos
Se utilizan cuando se tienen
varias cuentas con los mismos
permisos. Además, se le
asignan derechos y permisos a
los grupos para
posteriormente agregar a
usuarios que los comparten.

Por ejemplo: Si hay una

impresora disponible para el
grupo de contabilidad, cuando
un usuario intente imprimir, se
verificará la pertenencia del
usuario al grupo de
contabilidad.

Hora del día

Existen algunas restricciones sobre
en qué momentos del día se puede
acceder al recurso.

Por ejemplo: Si usted quiere

asegurarse de que los usuarios
bancarios no ejecuten transacciones
durante los días en que el banco no
está abierto, es recomendable
indicar en el mecanismo de control
de acceso lógico, que este tipo de
acción está prohibida (por ejemplo,
los domingos).
 Tipo de
transacción
Se utiliza para controlar qué
datos se acceden durante
ciertos procesos y qué
comandos se pueden llevar a
cabo en los datos.

Por ejemplo: Un programa de

banca en línea puede permitir
que un cliente vea el saldo de
su cuenta, pero no puede
permitir que el cliente
transfiera dinero hasta que
tenga cierto nivel de seguridad
o derecho de acceso.

Ubicación
lógica o física
Se establecen mediante restricciones
de direcciones de red, restringe al
usuario para que no pueda trabajar
de manera remota.

Por ejemplo: Algunos archivos

pueden estar disponibles sólo para
los usuarios que pueden iniciar
sesión de forma local. Esto significa
que el usuario debe estar físicamente
en el equipo e ingresar las
credenciales localmente y no
remotamente desde otro equipo.

Nivel por
defecto de
acceso
Uno de los principios de la
Seguridad de la Información
consiste en otorgar el mínimo
privilegio de acceso a un
usuario para realizar sus
labores. Por defecto, se asigna
el nivel de acceso, es decir un
acceso predeterminado como
"Ninguno" o "No Acceso".

Si el acceso al recurso no está

permitido de manera explícita,
debe ser negado de manera
implícita.

Por ejemplo: Al crear un nuevo

usuario en algún sistema, éste
no le asigna permiso alguno, de
forma que no utilice o acceda a
recursos que no está
autorizado.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Gestión de riesgos,

amenazas y accesos
Control de

vulnerabilidades

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 El control de acceso consiste en los mecanismos, y su gestión

asociada, que permiten limitar el acceso hacia los recursos sólo

a aquellos usuarios que estén autorizados para tal efecto. El

acceso se compone de 3 etapas:

Control de acceso

Identificación Autenticación Autorización

Usuarios vigentes Lo que se sabe Privilegios

Lo que se tiene Derechos

Lo que se es

Identificación

Es la proclamación de identidad que hace un sujeto (usuario,

programa o proceso), es decir, el usuario “dice ser alguien”.

La identidad se puede proporcionar de varias formas:

Tecleando un username/nombre de usuario.

Usando una tarjeta inteligente (smart card).

Mostrando un token o pase de acceso.

Mencionando una frase de identificación.

Posicionando una parte del cuerpo ante un biométrico.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Autenticación
Es la actividad o el método en el que se verifica o prueba la
validez de la identidad que el sujeto presenta (es decir, se
verifica que el sujeto en verdad es quien dice ser). El sujeto
puede presentar información adicional, que debe de
corresponder exactamente a la identidad antes presentada.

Tipos de autenticación
Por algo que se sabe. Contraseña, PIN, combinación
de un candado, respuesta a pregunta secreta.

Por algo que se tiene. Llave física, tarjeta de acceso,

llave criptográfica, token, sello de lacre.

Por algo que se es. Huellas digitales, patrón de voz,

patrón de iris, geometría de la mano, ritmo de
escritura en teclado, patrón de firma manual.

Por el lugar donde se esté. Dirección IP, código

postal, MAC Address.

La autenticación puede ser:

Autenticación Simple: Solamente se hace uso de uno

de los 4 tipos de autenticación.

Autenticación Multi factor: Contiene por lo menos

dos de los 4 tipos de autenticación.
Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Autorización
Es el proceso mediante el cual se determinan los privilegios que
tiene un sujeto sobre un sistema u objeto. Dentro del proceso,
posteriormente a que el usuario introduce sus credenciales y se
logra una autenticación exitosa, el sistema debe establecer si el
usuario está autorizado a acceder al recurso en particular y qué
acciones se le permite realizar con ese recurso, para lo cual
utiliza Criterios de Acceso.

Un usuario puede estar autenticado, pero sin privilegios

autorizados no logra nada (y aun así el proceso de acceso está
completo). La autorización depende del dueño del dato. Es uno
de los pasos más importantes y más difíciles.

Concluyendo el tema de Control de

Acceso, puedes reflexionar sobre los
siguientes puntos:

¿Utilizas algún factor adicional a “algo que

sabes” para ingresar a algún aplicativo?

¿Consideras que en algún sistema de

tu institución tienes permisos que no
van acorde con tu función dentro de
la misma?

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Control de accesos:
objetos y sujetos
El control de acceso es uno de los pilares
fundamentales de la Seguridad de la Información.

En esta sección estaremos revisando los conceptos del control

de acceso y su aplicación en Seguridad de la Información.

Conocer cómo funciona el control de acceso te ayudará a

identificar controles de Seguridad de la Información con
mayor facilidad.

El Sujeto son entidades activas

que requieren acceso a los
objetos, puede ser un usuario o
programa. Cuando un programa
accede a un archivo, el sujeto es el
programa y el archivo el objeto.

El Objeto son entidades pasivas

que contienen información,
puede ser una computadora,
bases de datos, un archivo o un
campo contenido en una base
de datos.

El Acceso se define como el

flujo de información entre un
sujeto y un objeto.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Estrategias para cambiar riesgos
Una organización puede adoptar cualquiera de las
siguientes estrategias para tratar los riesgos:

Mitigar:
La organización puede establecer controles
para eliminar la vulnerabilidad o reducir la
probabilidad de que materialice el riesgo.
Por ejemplo: el enviarle a un usuario un
código a su teléfono para validar su ingreso
al sistema, reduce el riesgo de que un
atacante ingrese con una contraseña débil.

Trasladar:
La organización puede trasladar a
un tercero el impacto de la
materialización del riesgo. 

Por ejemplo: el contratar un seguro
contra robo, traslada el impacto
financiero a la aseguradora.

Eliminar:
La organización puede decidir eliminar el
objeto del riesgo, y por lo tanto eliminar el
riesgo también. 

Por ejemplo: Una compañía puede decidir que
las operaciones con Criptomonedas tienen un
riesgo muy alto, por lo que, no las aceptan
como medio de pago.

Aceptar:
Una organización puede tomar la decisión
de vivir con el riesgo tal cual como está,
ya sea por que el costo de implantar el
control o de perder la oportunidad es
muy alto con respecto al impacto. 

Por ejemplo: una compañía decide no
implantar un sistema de control de
acceso y cámaras de vigilancia para un
almacén, dado que el costo de los
controles es mayor al de los productos
que se encuentran allí almacenados.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Gestión de riesgos,

Gestión
amenazasdeyriesgos,
amenazas y vulnerabilidades
vulnerabilidades

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Gestión de riesgos,

amenazas y

vulnerabilidades

Como hemos revisado en el Triángulo CIA, la

confidencialidad, integridad y disponibilidad son

elementos que deben ser tomados en cuenta

cuando se habla de la Seguridad de la Información

en una organización.

A fin de comprender mejor, a continuación, revisaremos diferentes palabras,

conceptos o situaciones que se encuentran ligados a la ejecución de la

Seguridad de la Información.

Muchas veces las palabras, “amenaza”, "vulnerabilidad", “control” y “riesgo”

son usadas para representar una misma situación, aunque estas tengan

significados diferentes y relaciones recíprocas. Es importante entender la

definición de cada una, y entender su relación con los otros conceptos.

Revisemos a continuación el significado de cada una de ellas.

Aprovechan

Amenazas Vulnerabilidades

Aumentan Exponen

Protegen de
Disminuyen

Controles R i e s g o s Activos

Marcan
Aumentan Tienen
Imponen Impactan si se

materializan

Requerimientos Valor de los

de seguridad activos

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Vulnerabilidad
Una vulnerabilidad es la debilidad
en un software, hardware, o proceso
que pueden darle a un atacante la
puerta abierta para entrar en una
computadora, una red, o un sistema y
tener acceso no autorizado a los
activos dentro de una organización. La
vulnerabilidad se caracteriza por la
ausencia o debilidad de un control que
podría ser explotado.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Amenaza
Una amenaza es cualquier peligro potencial para la información
o los sistemas. La amenaza es alguien o algo, que identificará una
vulnerabilidad específica y lo usará contra la organización o los
usuarios.

Una amenaza podría ser:

Un intruso que accede a la red a través de un
puerto en el firewall
Un proceso que acceda a los datos en una forma
que viola la política de seguridad.
Un tornado que destruye una instalación
Un empleado que comete un error que pudiese
exponer a la información confidencial o destruir la
integridad de un archivo.

Riesgo
Un riesgo es la probabilidad de que una
amenaza se aproveche de una vulnerabilidad
y afecte la confidencialidad, integridad y/o
disponibilidad de la información.

Control
Un control, es la acción o “cosa” que mitiga el riesgo. Es
una configuración del software, hardware, o un
procedimiento que elimina una vulnerabilidad o reduce
el riesgo de que una amenaza pueda aprovecharse de
una vulnerabilidad.

Aplicando los controles correctos se puede eliminar la

vulnerabilidad y reducir el riesgo. La organización no
puede eliminar las amenazas, pero puede protegerse, y
de esta manera, impedir que se aprovechen de las
vulnerabilidades dentro de la organización.
Estos conceptos los podemos

entrelazar con el siguiente ejemplo:

Una compañía no actualiza de manera periódica el

directorio de firmas o huellas de virus en su Software

Antivirus. Esto es una vulnerabilidad.

Los atacantes constantemente están desarrollando nuevos

virus para vulnerar a los sistemas. Esta es una amenaza.

Existe la probabilidad de que un virus infecte los equipos y

cause daño. Esto es el riesgo.

Cuando un virus se infiltra en los sistemas, interrumpe las

operaciones y causa pérdida de información. Este es

el impacto.

Para mitigar este escenario, se realiza la actualización

periódica del Software Antivirus y la instalación en todos los

equipos de cómputo. Este es el control.

Reflexiona

¿Qué vulnerabilidades consideras

tiene tu organización

actualmente?

¿Qué impacto pueden tener las

vulnerabilidades en caso de ser

explotadas por una amenaza?

 8 elementos para comprender

la Seguridad de la Información

A continuación, te presentamos ocho elementos que ayudan a

entender de mejor forma la importancia de la Seguridad de la
Información en una organización:

Apoya la misión de la organización.

1
2 Es un elemento integral de la

buena gestión.

3
Las protecciones de Seguridad de la
Información se implementan de manera
que sean proporcionales al riesgo.

4
Las responsabilidades de Seguridad de
la Información y la rendición de cuentas
son explícitas.

5
Los propietarios del sistema tienen
responsabilidades de la Seguridad de

la Información fuera de sus propias

organizaciones.

6 Requiere un enfoque integral

e integrado.

Se evalúa regularmente.

7
8 Está limitada por factores sociales.

La Seguridad de la Información tiene por objetivo

proteger la confidencialidad, integridad y
disponibilidad de los dispositivos informáticos, como
computadoras, teléfonos inteligentes y tabletas.

Esto incluye ruteadores, servidor de información,

bases de datos, y toda la infraestructura tecnológica.

Te invito a revisar el video sobre el Triángulo CIA que

comprende los tres principios de Seguridad de la
Información y Ciberseguridad.
Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Gestión de riesgos,

amenazas
Seguridady de la

vulnerabilidades
Información y

Ciberseguridad

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Seguridad de la
Información y
Ciberseguridad
Es importante comprender las diferencias entre la
Seguridad de la Información y la Ciberseguridad,
así como sus principales características.

La Seguridad de la Información es la
protección de la información contra el
acceso, uso, revelación, interrupción,
modificación o destrucción no autorizados
a fin de proteger la confidencialidad,
integridad y disponibilidad ya sea que esta
se encuentre de forma física o electrónica.

La aplicación cuidadosa de los controles de Seguridad de la

Información es vital para proteger los activos de información de
una organización, así como su reputación, posición legal, personal
y otros activos tangibles o intangibles.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Desafortunadamente, existe la percepción La Seguridad de la Información
de que la Seguridad de la Información
entorpece la operación del negocio y
puede ayudar a habilitar
actividades diarias con la imposición de oportunidades e iniciativas de
controles. negocio, a través de la reducción
de riesgos y establecimiento de
mecanismos seguros.

Los beneficios de seguridad tienen costos directos e indirectos. Los costos

directos incluyen comprar, instalar y administrar medidas de seguridad

(por ejemplo: software de control de acceso y sistemas de supresión de

incendios).

Algunos ejemplos de costos indirectos son: espacio adicional de

almacenamiento, horas adicionales por controles de seguridad y segregación de
funciones y complejidad adicional a procesos, entre otros.

Cada Institución a través de su

administración organizacional es
responsable de diseñar y
establecer medidas y controles de
seguridad que consideren el costo
versus beneficio de su
implementación, tomando en
cuenta las decisiones basadas en
el riesgo.

Los líderes necesitan entender su misión dentro de la organización y cómo la

Seguridad de la Información apoya a esa misión. Una vez entendido lo anterior se
pueden definir alcances y requisitos de seguridad adecuados para ella.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 A continuación, te presentamos ocho elementos que
ayudan a entender de mejor forma la importancia de la
Seguridad de la Información en una organización:

1 Apoya la misión de la organización.

2 Es un elemento integral de la buena gestión.

3 Las protecciones de Seguridad de la Información se

implementan de manera que sean proporcionales al riesgo.

4 Las responsabilidades de Seguridad de la Información y la

rendición de cuentas son explícitas.

5 Los propietarios del sistema tienen responsabilidades de

Seguridad de la Información fuera de sus propias organizaciones.

6 Requiere un enfoque integral e integrado.

7 Se evalúa regularmente.

8 Está limitada por factores sociales.

La seguridad informática tiene por objetivo

proteger la confidencialidad, integridad y
disponibilidad de los dispositivos
informáticos, como computadoras,
teléfonos inteligentes y tabletas. Esto
incluye ruteadores, servidores de
información, bases de datos, y toda la
infraestructura tecnológica.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 La buena seguridad en el sistema de la
organización beneficia obviamente al
usuario de la banca electrónica.

Los roles y funciones de un sistema no

pueden estar restringidos a una sola
organización. En un sistema
interorganizacional, cada organización
se beneficia de asegurar el sistema. Por
ejemplo, para que la banca electrónica
tenga éxito, cada uno de los
participantes requiere controles de
seguridad para proteger sus recursos.
Sin embargo, la buena seguridad en el
sistema de la organización beneficia
obviamente al usuario de la banca
electrónica.

En el entorno actual existen diversas

amenazas internas y externas, que
mediante actividades fraudulentas,
programas malignos, brechas de
seguridad, publicidad engañosa, entre
otras formas, pudieran provocar graves
consecuencias, especialmente en lo
que respecta a la operación y a la
reputación de la organización.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Los riesgos en materia de Seguridad de la Información
nunca pueden ser eliminados completamente. Por lo
tanto, es crucial manejar el riesgo estableciendo un
equilibrio entre la usabilidad y la implementación de los
controles de seguridad. El principal objetivo de la
gestión de riesgos es implementar protecciones de
seguridad que sean proporcionales al riesgo.
Para cada riesgo o para un conjunto de ellos es
necesario aplicar los controles adecuados para
proteger la confidencialidad, integridad y
disponibilidad de la información. Por el
contrario, el no hacerlo deja a la información
vulnerable a violaciones que podrían impedir o
incluso detener la misión de la Institución.

El ciberespacio es también conocido como Internet, cuando

hablamos de ello debemos pensar que es más allá que navegar
en la red de redes. Incluye los sistemas de hardware, software y
la información, así como a las personas y la interacción social
que sucede dentro. Entonces podemos definir como
Ciberseguridad a la preservación de la confidencialidad,
integridad y disponibilidad de la información en el ciberespacio.

Diversas publicaciones que se ocupan de la Ciberseguridad usan

el término de manera indistinta e intercambiable con el término
de Seguridad de la Información, sin embargo, este último
término tiene un mayor alcance, recordemos que abarca a la
información en su estado físico o electrónico.
Te invito a revisar el Video sobre el Triángulo CIA que comprende
los tres principios de Seguridad de la Información y
Ciberseguridad.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.