ÍNDICE

UNIDAD I: Seguridad de las comunicaciones ...................................................................................... 5

1.1.- Gestión de la Seguridad de Redes .................................................................................................. 5
1.2.- Transformación de Información........................................................................................................ 9

UNIDAD II: Seguridad de las operaciones.......................................................................................... 18

2.1.- Procedimientos y responsabilidades operacionales ....................................................................... 19
2.2.- Protección contra el software malicioso (malware)......................................................................... 24
2.3.- Copias de seguridad ...................................................................................................................... 25
2.4.- Registros y supervisión .................................................................................................................. 26
2.5.- Control del software en explotación o en producción ..................................................................... 27
2.6.- Gestión de la vulnerabilidad técnica ............................................................................................... 29
2.7.- Consideraciones sobre la auditoria de sistemas de información .................................................... 30

UNIDAD III: Fuga de Datos - Data Leakage Prevention ........................................................................ 34

3.1.- Fuente de la Fuga de Datos........................................................................................................... 34
3.2.- Incidentes de Ejemplos .................................................................................................................. 37
3.3.- Prevención de fuga de datos ......................................................................................................... 38
3.4.- Gestión de la Fuga de Información ................................................................................................ 39

Gestión de Comunicación y Operaciones | 2

REFERENCIAS DE ÍCONOS

Gestión de Comunicación y Operaciones | 3

Mensaje de bienvenida

¡Bienvenidos a la asignatura de Gestión de las Comunicaciones y Operaciones!

En este espacio aprenderán sobre los procedimientos y responsabilidades operati-

vas, la separación entre instalaciones de desarrollo e instalaciones operativas, la pro-
tección contra software malicioso, el resguardo de la información, el registro de fallas,
la administración y seguridad de los medios de almacenamiento, la seguridad de la
documentación del sistema, la administración y registro de las operaciones y la me-
dición y planeamiento de la capacidad.

¡Espero que disfruten la clase y aprendan mucho!

Gestión de Comunicación y Operaciones | 4

UNIDAD I: Seguridad de las comunicaciones
Mapa Conceptual

1.1.- Gestión de la Seguridad de Redes

Gestión de la seguridad de redes es que la red de la organización esté protegida de

amenazas externas e internas, utilizando controles de seguridad adecuados. Estos
controles incluyen la implementación de una arquitectura segura, la utilización de dis-
positivos de seguridad, el establecimiento de controles de acceso a la red y a los
recursos, y la implementación de una política de seguridad de la red.

1.1.1.- Gestión de la Seguridad en la Nube

El objetivo de Cloud Security Management es: “Garantizar la protección de la infor-

mación almacenada en las aplicaciones basadas en la nube”.

Gestión de Comunicación y Operaciones | 5

La nube se ha convertido en la plataforma principal para muchas empresas y, como
tal, se debe implementar la seguridad adecuada. La gestión de la seguridad en la
nube es la práctica de garantizar la seguridad de las aplicaciones, los datos y los
servicios basados en la nube. Esto incluye la protección de los datos almacenados
en la nube, así como la seguridad de la propia infraestructura de la nube.

Para proteger los sistemas y datos basados en la nube, las organizaciones deben
contar con los controles de seguridad adecuados. Estos controles incluyen:

- Cifrado de datos en tránsito y en reposo;

- Autenticación y autorización seguras;
- Control de acceso seguro;
- Detección y prevención de intrusiones;
- Prevención de pérdida de datos;
- Seguimiento y registro de actividades;
- Auditoría y cumplimiento;
- Gestión de vulnerabilidades.

1.1.2.- Controles de Red

Los controles deberían ser implementados para garantizar la seguridad de la infor-

mación en las redes y la protección de servicios conectados frente a accesos no
autorizados. En particular, se consideran los siguientes aspectos:

a) Deberían establecerse las responsabilidades y los procedimientos para la gestión

de los equipos de red 1;

Para garantizar la seguridad de los equipos de red, deberían establecerse responsa-

bilidades y procedimientos claros para la gestión de estos. Estos procedimientos de-
ben incluir mecanismos para identificar y autenticar a los usuarios, así como para
controlar y restringir el acceso a los recursos de la red. Estos mecanismos pueden
incluir el uso de contraseñas, certificados digitales, tokens de seguridad, autentica-
ción de dos factores, entre otros.

b) La responsabilidad operacional de las redes debería estar separada de las opera-

ciones de los sistemas informáticos donde sea apropiado;

Esto significa que los equipos y personal responsable de las redes no deben tener
acceso a los sistemas informáticos, y viceversa. Esto reduce el riesgo de que una
vulnerabilidad en un sistema de red se propague a los sistemas informáticos, y tam-
bién reduce el riesgo de que una vulnerabilidad en un sistema informático se propa-
gue a la red.

c) Deberían establecerse controles especiales para salvaguardar la confidencialidad

e integridad de los datos que pasan a través de redes públicas o de redes inalámbri-
cas y proteger los sistemas conectados y sus aplicaciones;

Para salvaguardar la confidencialidad e integridad de los datos que pasan a través

de redes públicas o de redes inalámbricas, se deberían implementar técnicas de se-
guridad como el cifrado de datos, la autenticación de usuarios y la autorización de
acceso. Además, se deberían utilizar dispositivos de seguridad como firewalls,
IDS/IPS, filtros de contenido y proxies para proteger los sistemas conectados y sus
aplicaciones.

1.- UNE-ISO/IEC 27002 - AENOR 2015.

Gestión de Comunicación y Operaciones | 6

d) Debería realizarse un adecuado registro de eventos y monitorización para permitir
el registro y detección de acciones que podrían afectar, o ser relevantes, para la se-
guridad de la información;

Esto incluye el registro de accesos no autorizados, intentos de acceso no autoriza-

dos, uso no autorizado de dispositivos, intentos de modificación de datos, entre otros.
Esto permitirá a la organización detectar amenazas o incidentes de seguridad de
forma temprana, y tomar las medidas adecuadas para mitigar el riesgo.

e) Las actividades de gestión deberían estar estrechamente coordinadas, tanto para

optimizar el servicio a la organización, como para asegurar que los controles sean
aplicados consistentemente en toda la infraestructura de tratamiento de la informa-
ción;

Esto significa que todos los equipos involucrados en el tratamiento de la información

deben estar alineados con los objetivos de seguridad de la organización y trabajar de
forma coordinada para alcanzar esos objetivos. Esto incluye la realización de una
evaluación de riesgos para identificar los riesgos existentes, el diseño e implementa-
ción de controles de seguridad adecuados para mitigar esos riesgos, y la realización
de auditorías periódicas para verificar el cumplimiento de los controles de seguridad.

f) los sistemas de la red deberían ser autenticados;

Los sistemas de la red deben ser autenticados para garantizar que solo los usuarios
autorizados tengan acceso a los recursos de la red. Esto se logra mediante la imple-
mentación de mecanismos de autenticación, como el uso de contraseñas, certifica-
dos digitales, tokens de seguridad, autenticación de dos factores, entre otros.

Información adicional:

Se puede encontrar información adicional sobre seguridad de la red en la

Norma ISO/IEC 27033

Gestión de Comunicación y Operaciones | 7

1.1.3.- Seguridad de los servicios de red

Las características para implementar la seguridad de los servicios de red podrían ser:

a) Tecnología aplicada para la seguridad de los servicios de red, tales como autenti-
cación, cifrado y controles de conexión de red 2;

La autenticación es un proceso que se utiliza para verificar la identidad de un usuario

o dispositivo antes de permitir el acceso a los recursos de red. El cifrado se usa para
proteger los datos que viajan a través de la red, para que los usuarios no autorizados
no puedan leerlos.

b) Parámetros técnicos requeridos para conexiones seguras con los servicios de red
de acuerdo a las reglas de seguridad y conexión a las redes;

Los parámetros técnicos requeridos para conexiones seguras con los servicios de
red incluyen la configuración de la red, la selección de los protocolos de seguridad
apropiados, la definición de las políticas de seguridad, la creación de grupos de se-
guridad, la configuración de los firewalls y la creación de reglas de seguridad. La
selección de los protocolos de seguridad apropiados implica el uso de protocolos
seguros como IPSec, SSL/TLS y SSH.

1.1.4.- Segregación en redes

Los grupos de servicios de información, los usuarios y los sistemas de información

deben estar segregados en redes distintas.

Un método para gestionar la seguridad de grandes redes es dividirlas en dominios

de red separados. Estos dominios pueden elegirse basándose en niveles de con-
fianza, unidades organizativas o una combinación de ambos. La segregación se
puede llevar a cabo mediante diferentes redes físicas o lógicas (por ejemplo, interco-
nexión con redes privadas virtuales).

El perímetro de cada dominio debería estar bien definido. El acceso entre dominios
de red está permitido, pero debería ser controlado en el perímetro usando una pasa-
rela (por ejemplo, cortafuegos, router de filtrado). El criterio para la segregación de
redes en dominios permitidos a través de pasarelas, debería estar basado en la eva-
luación de los requisitos de seguridad de cada dominio. La evaluación debería estar
de acuerdo con la política de control de acceso, los requisitos de acceso, el valor y
clasificación de la información procesada, además de tener en cuenta el coste rela-
tivo y el impacto en el rendimiento al incorporar una pasarela con la tecnología ade-
cuada.

Las redes inalámbricas requieren un tratamiento especial debido a la deficiente defi-

nición de su perímetro de red. Para entornos sensibles, se deberían hacer las opor-
tunas consideraciones para tratar todos los accesos inalámbricos como conexiones
externas y segregar este acceso de las redes internas hasta que el acceso haya
pasado a través de la pasarela, en conformidad con la política de controles de red
antes de conceder acceso a los sistemas internos.

De forma habitual, las redes se extienden más allá de los límites de la organización
debido a la creación de negocios en colaboración con otras empresas que requieren
la interconexión de los recursos de red para el tratamiento de información. Estas ex-
tensiones pueden aumentar el riesgo de acceso no autorizado de los sistemas de

2.- UNE-ISO/IEC 27002 - AENOR 2015.

Gestión de Comunicación y Operaciones | 8

información de las organizaciones que usan la red, alguno de los cuales requerirá
protección de otros usuarios de la red debido a su sensibilidad o criticidad.

1.2.- Transformación de Información

El objetivo es garantizar que todas las comunicaciones sean seguras, autorizadas y

controladas a través de mecanismos adecuados para evitar los riesgos relacionados
con el uso inapropiado, el fraude, la pérdida de confidencialidad o integridad de la
información. Se recomienda asegurar la comunicación mediante el uso de protocolos
de seguridad, cifrado de la información y autenticación fuerte de ambos lados. Ade-
más, la política de intercambio de información debe ser revisada periódicamente para
asegurar el cumplimiento de sus requisitos.

1.2.1.- Políticas de intercambio de información

Políticas y procedimientos para el intercambio de información con otros sistemas,

incluyendo la identificación de los terceros con los que se comparte información, los
acuerdos de confidencialidad requeridos, la autenticación del usuario en ambos lados
del intercambio y el cifrado de la información durante su transmisión. Estos procesos
deben cumplir con todas las leyes aplicables y la política de seguridad de la organi-
zación.

Los procedimientos y controles que deberían seguirse cuando se usan recursos de

comunicación para la transferencia de información deberían considerar los siguientes
aspectos:

a) El diseño de procedimientos para proteger la información transferida, copiada, mo-

dificada, errores de enrutamiento y destrucción 3;

El diseño de procedimientos para proteger la información transferida se centra en

garantizar que la información sea segura durante el enrutamiento. Esto incluye pro-
tegerla contra interceptación, copia, modificación, errores de enrutamiento y destruc-
ción no autorizada. Los procedimientos de seguridad pueden incluir el uso de encrip-
tación para asegurar que la información solo esté accesible para las personas auto-
rizadas, la verificación de los usuarios antes de permitirles el acceso a la información,
y el uso de algoritmos de verificación para detectar errores de enrutamiento o modi-
ficaciones no autorizadas. El diseño de estos procedimientos también debe abordar
la forma en que el flujo de información entre puntos de transferencia es controlado y

3.- UNE-ISO/IEC 27002 - AENOR 2015.

Gestión de Comunicación y Operaciones | 9

auditado. Esto ayudará a garantizar que la información se mantiene segura durante
todo el proceso de transferencia.

b) Procedimientos para la detección y la protección contra el malware que podría ser

transmitido a través del uso de comunicaciones electrónicas;

Incluyen la implementación de software antivirus y antimalware, la configuración de

alertas de seguridad para detectar actividades sospechosas, el monitoreo de los re-
gistros de acceso a la red, el control de contenido en el correo electrónico para blo-
quear archivos con extensiones maliciosas, y la creación de políticas de seguridad
para educar a los usuarios sobre los riesgos asociados con el uso de Internet. Tam-
bién es importante realizar pruebas de penetración periódicamente para garantizar
que los sistemas estén protegidos contra el malware. Estos procedimientos ayudarán
a reducir al mínimo la posibilidad de que el malware ingrese a la red o se transmita
por medio de correos electrónicos.

c) Procedimientos para proteger información electrónica sensible que tiene la forma

de adjuntos;

Incluyen la identificación y evaluación de los riesgos asociados con la transmisión de

esa información, el uso de métodos de cifrado apropiados para el nivel de seguridad
deseado, la verificación de la integridad de los datos antes y después del envío y la
implementación de controles para garantizar que solo las personas autorizadas ten-
gan acceso a la información.

d) Políticas o directrices describiendo el uso aceptable de los recursos de comunica-

ción;

Describen la forma en que los empleados, proveedores y terceros deben utilizar los
sistemas de comunicación de la organización. Estas políticas o directrices pueden
incluir cosas como el uso apropiado del correo electrónico, el uso apropiado de Inter-
net, el uso apropiado de los mensajes instantáneos, la seguridad de la información,
el uso apropiado del teléfono y la privacidad de la información. El objetivo de estas
políticas es asegurar que la información de la organización sea protegida de manera
adecuada y que los recursos de comunicación sean usados de manera responsable.

e) Las responsabilidades del personal, partes externas y de cualquier otro usuario

para no comprometer a la organización, por ejemplo, mediante la difamación, el
acoso, la suplantación, el reenvío de mensajes en cadena, las compras no autoriza-
das, etc.;

También es importante que todos los usuarios respeten las leyes y reglamentos re-
lacionados con la privacidad y la seguridad de la información, así como las políticas
internas de la organización. Esto incluye respetar los derechos de propiedad intelec-
tual, cumplir con los requisitos legales y regulatorios y actuar de forma ética y profe-
sional cuando se trabaja con información confidencial.

f) El uso de técnicas criptográficas, por ejemplo, para proteger la confidencialidad,

integridad y autenticidad de la información;

El uso de técnicas criptográficas es una forma eficaz de proteger la información con-

tra el acceso no autorizado y la manipulación. Estas técnicas, como el cifrado de
datos, el hash, la firma digital y la autenticación, proporcionan mecanismos para ga-
rantizar que la información se mantenga confidencial, se conserve sin alteraciones y
sea verificable.

Gestión de Comunicación y Operaciones | 10

g) Los controles y las restricciones asociadas con el uso de los recursos de comuni-
cación, por ejemplo, reenvío automático del correo electrónico a las direcciones de
correo externas;

Esto incluye la creación de protocolos para el reenvío automático de correos electró-

nicos a direcciones externas, lo que le permite a la organización controlar qué infor-
mación se transmite y a quién se envía. Además, estos controles y restricciones ayu-
dan a evitar situaciones en las que los sistemas se puedan sobrecargar o se produz-
can interrupciones en el servicio debido al uso inadecuado de los recursos de comu-
nicación.

h) Asesorar al personal para que tome las precauciones necesarias de no revelar

información confidencial;

Esto involucra asegurarse de que los empleados comprendan y cumplan con la polí-
tica de seguridad de la organización, así como identificar aquellos riesgos en los que
la información confidencial podría estar expuesta. Esto incluye educar al personal
sobre el uso adecuado de dispositivos móviles, la transmisión segura de datos, la
protección de contraseñas y la prevención del malware. Por último, el personal debe
ser consciente de los documentos que contienen información confidencial y asegu-
rarse de que se destruyan adecuadamente cuando ya no sean necesarios.

j) No dejar mensajes que contengan información confidencial en los contestadores

automáticos, dado que estos podrían ser reproducidos por personas no autorizadas,
almacenados en sistemas públicos o almacenados incorrectamente como conse-
cuencia de un error en la marcación de un teléfono;

Es importante que toda información confidencial no se deje en mensajes de contes-

tadores automáticos, ya que estos pueden ser reproducidos por personas no autori-
zadas u oídos por personas incluso no relacionadas con la organización.

1.2.2.- Acuerdos de intercambio de información

Las organizaciones deben establecer acuerdos de intercambio de información con

terceros para garantizar el cumplimiento de los requisitos de seguridad de la informa-
ción. Estos acuerdos deben identificar de forma explícita los terceros con los que se
comparte la información, los requisitos de confidencialidad aplicables, los métodos
de autenticación empleados para el intercambio de información, la forma en que se
cifrará la información durante su transmisión y los métodos para garantizar el cumpli-
miento de la política de seguridad de la organización.

Los acuerdos de transferencia de información deberían incorporar lo siguiente:

a) Las responsabilidades de la Dirección sobre el control y la notificación de la trans-

misión, el envío y la recepción 4;

La Dirección es responsable de establecer una política de control y notificación sobre

la transmisión, el envío y la recepción de información. Esto garantizará que toda la
información que se traslade entre la organización y los terceros cumpla con los es-
tándares de seguridad de la información aplicables.

4.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 11

b) los procedimientos para garantizar la trazabilidad y el no repudio;

Los procedimientos para garantizar la trazabilidad y el no repudio son un conjunto de

prácticas destinadas a permitir que se rastree el uso y la autoría de cualquier infor-
mación, datos o transacciones. Estos procedimientos ayudan a prevenir el rechazo
de la responsabilidad por parte de los usuarios y a garantizar el control y seguimiento
de toda actividad realizada. Estos procedimientos incluyen medidas como el registro
de actividades, la autenticación de usuarios, el cifrado de datos, la verificación de
integridad de los datos, la firma digital y el registro de auditoría.

c) Las normas técnicas mínimas para la compresión y el transporte;

Estas normas deben cumplir con los protocolos de seguridad necesarios para prote-
ger la información durante su transmisión. Esto incluye algoritmos de compresión
fiables, cifrado robusto, autenticación de usuario y control de acceso.

d) Las responsabilidades y obligaciones en caso de incidentes de seguridad de la

información, como la pérdida de datos;

Estas responsabilidades y obligaciones se aplican a todas las partes involucradas,

incluyendo a los proveedores, los usuarios finales, los administradores y los respon-
sables de la seguridad. Estas responsabilidades y obligaciones incluyen el segui-
miento de los incidentes de seguridad de la información, la notificación de los inci-
dentes a las partes afectadas, la realización de una investigación completa de cada
incidente ocurrido, el análisis de los riesgos asociados con la pérdida de datos, la
implementación de medidas para mitigar los riesgos identificados, la realización de
pruebas de seguridad periódicas y la auditoría de la seguridad de la información.

e) El uso de un sistema de etiquetado acordado para la información sensible o crítica,

asegurando que el significado de las etiquetas se entiende de inmediato y que la
información está protegida adecuadamente;

Esto implica el uso de etiquetas con un significado claro para los usuarios y el esta-
blecimiento de un protocolo de etiquetado para la clasificación de la información. Esto
ayuda a asegurar que la información sensible se identifica correctamente, se com-
prende el nivel de seguridad necesario para protegerla, y que se aplican los controles
adecuados para garantizar su protección.

g) El mantenimiento de una cadena de custodia de la información mientras está en

tránsito;

Esto incluye el uso de técnicas de cifrado para proteger la información cuando se

traslada de un lugar a otro, la verificación de la identidad de los remitentes y recep-
tores, y la aplicación de mecanismos de autenticación para asegurar que la informa-
ción se encuentra en las manos correctas. Además, la cadena de custodia implica el
uso de registros para documentar la transmisión de la información, así como la im-
plementación de una política de transmisión segura.

Gestión de Comunicación y Operaciones | 12

1.2.3.- Mensajería electrónica

Las consideraciones relativas a la seguridad de la información para mensajería elec-

trónica deberían incluir lo siguiente:

a) La protección de mensajes frente a accesos no autorizados, modificación o dene-

gación de servicio acorde con el esquema de clasificación adoptado por la organiza-
ción 5;

Los mensajes se clasifican según los niveles de seguridad establecidos por la orga-
nización para proteger adecuadamente la información según su nivel de sensibilidad.
Estas medidas de seguridad ayudan a prevenir el acceso no autorizado, la modifica-
ción o la denegación de servicio a los mensajes.

b) La fiabilidad y disponibilidad del servicio;

Para asegurar la fiabilidad y disponibilidad del servicio, se deben implementar medi-

das de seguridad adecuadas, como el mantenimiento de sistemas de respaldo, mo-
nitoreo del desempeño, y pruebas de recuperación de desastres. Estas medidas ayu-
dan a asegurar que los sistemas estén disponibles y funcionen correctamente en
caso de una interrupción inesperada.

c) La obtención de aprobación antes de usar servicios públicos externos, tales como,

mensajería instantánea, redes sociales o sistemas de compartición de ficheros;

Esta práctica implica obtener la aprobación de la organización antes de utilizar servi-

cios externos como mensajería instantánea, redes sociales o sistemas de comparti-
ción de ficheros. Esto ayuda a garantizar que los servicios externos se utilizan de
manera segura y que se cumplen los requisitos de seguridad de la información.

5.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 13

1.2.4.- Acuerdos de confidencialidad o no revelación

Estos acuerdos deben tener términos legalmente exigibles para proteger la informa-
ción confidencial. Estos acuerdos pueden aplicarse tanto a entidades externas como
a empleados de la organización y deben ser personalizados según el tipo de parte y
el acceso o manejo permitidos a la información confidencial. Los elementos básicos
de los acuerdos de confidencialidad o de no revelación incluyen los fines de la infor-
mación, la duración del acuerdo, la limitación de uso, el derecho de auditar, la res-
ponsabilidad de la parte de la organización, los requisitos de seguridad, la devolución
o destrucción de la información y las sanciones por incumplimiento.

Se debe considerar los siguientes elementos:

a) una definición de la información a proteger 6;

Una definición de la información a proteger es una declaración específica y detallada

sobre qué tipo de información debería estar sujeta a una medida de seguridad. Esta
definición debe especificar el tipo de información que se considera confidencial, así
como los límites de su alcance.

b) La duración prevista del acuerdo, incluyendo los casos en los que la confidencia-
lidad necesitase mantenerse indefinidamente;

La duración prevista del acuerdo es una componente importante de los acuerdos de

confidencialidad o de no revelación. Esta componente describe el tiempo durante el
cual una parte espera que la otra cumpla con sus compromisos de seguridad de la
información. El acuerdo puede tener una duración limitada, como un año, o puede
especificar un plazo indefinido. En los casos en los que la confidencialidad necesite
mantenerse indefinidamente, el acuerdo debe especificar los criterios para determi-
nar cuándo la información confidencial ya no se considera confidencial o cuando se
puede dejar de aplicar el acuerdo. Esta componente también puede incluir provisio-
nes para la extensión o renovación del acuerdo

c) las acciones necesarias cuando se termine un acuerdo;

Cuando se termine un acuerdo de confidencialidad o de no revelación, hay varias

acciones que deben realizarse para garantizar que la información confidencial se
mantenga segura. Estas acciones incluyen la devolución o destrucción de la informa-
ción, una auditoría para comprobar que la información no ha sido divulgada o usada
indebidamente y el cese de todos los permisos de acceso otorgados a la otra parte.

d) La propiedad de la información, los secretos comerciales y propiedad intelectual,

y cómo esto se relaciona con la protección de la información confidencial;

La propiedad de la información se refiere a la información que una organización po-

see y que es necesaria para el desempeño de sus actividades. Los secretos comer-
ciales se refieren a la información no divulgada de una organización, como los pro-
cesos de fabricación, los métodos de ventas, los planes de desarrollo y los precios
de productos, entre otros. La propiedad intelectual incluye patentes, marcas comer-
ciales, derechos de autor y secretos comerciales, y se relaciona con la protección de
la información confidencial, asegurando que una organización posea los derechos
exclusivos sobre su información.

6.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 14

e) El derecho a auditar y supervisar las actividades que involucren información con-
fidencial;

Esto implica el derecho de las organizaciones a realizar auditorías y supervisar las

actividades relacionadas con la información confidencial. Esto ayuda a asegurar que
los proveedores externos cumplen los estándares de seguridad de la información y
que los datos sean tratados de manera segura.

f) Los procesos para la notificación y aviso de la revelación no autorizada o fugas de

información confidencial;

Estos procesos incluyen la identificación de los contactos clave dentro de la organi-

zación que deben notificarse una vez se detecta la revelación no autorizada o la fuga
de información confidencial; así como los procedimientos para investigar y responder
a la situación. Estos procesos también establecen los requisitos para proporcionar al
personal de seguridad información actualizada sobre la fuga de información, para
hacer un seguimiento de los incidentes de seguridad, para notificar a los clientes o
consumidores, y para tomar medidas para evitar fugas en el futuro.

Bibliografía de la Unidad

- Seguridad en las Comunicaciones y en la Información - Autor Díaz Gabiel - Editorial

UNED - Link: [Link]
- Procesos y herramientas para la seguridad de redes - Autor Díaz Orueta, Gabriel -
Editorial UNED - Link: [Link]

Gestión de Comunicación y Operaciones | 15

TRABAJO PRÁCTICO ACTIVIDAD OBLIGATORIA: UNIDAD I

Desarrollar las siguientes consignas

1.- Gestión de la seguridad de redes

1.1.- Configurar un firewall de Windows para proteger una red de ataques exter-
nos.

2.- Gestión de la seguridad en la nube

2.1.- Realizar una evaluación de 3 proveedores de servicios en la nube para
determinar si cumplen con los estándares de seguridad.
2.2.- Investigar y documentar los protocolos de seguridad utilizados por los pro-
veedores de servicios en la nube.
2.3.- Investigar políticas de seguridad para la nube.

3.- Transformación de información

3.1.- Establecer una política de intercambio de información para garantizar la
seguridad de los datos.

4.- Mensajería electrónica

4.1.- Establecer una política de seguridad para la mensajería electrónica y ase-
gurar su cumplimiento.
4.2.- Investigar una solución de seguridad para la mensajería electrónica para
proteger los datos.
4.3.- Realizar una evaluación de riesgos para identificar amenazas potenciales.

ACTIVIDAD EN EL FORO: UNIDAD I

Responder y debatir sobre las siguientes preguntas:

1.- ¿Cómo se puede mejorar la gestión de la seguridad de redes?

2.- ¿Cómo se puede asegurar la segregación en redes?
3.- ¿Qué políticas de intercambio de información son las más eficaces?
4.- ¿Qué acuerdos de intercambio de información deben establecerse para garanti-
zar la seguridad de la información?
5.- ¿Cómo se puede mejorar la seguridad de la mensajería electrónica?

Gestión de Comunicación y Operaciones | 16

AUTOEVALUACIÓN

1.- ¿Cuál es el objetivo de la Gestión de la Seguridad en la Nube?

2.- ¿Cuáles son los controles de seguridad para proteger los sistemas y datos ba-
sados en la nube?
3.- ¿Qué características se deben implementar para asegurar la seguridad de los
servicios de red?
4.- ¿Por qué las redes inalámbricas requieren un tratamiento especial?
5.- ¿Cómo se puede gestionar la seguridad de grandes redes?
6.- ¿Cuáles son los objetivos principales de la transformación de información?
7.- ¿Qué se debe considerar al establecer acuerdos de intercambio de información
con terceros?
8.- ¿Qué elementos deben incluir los acuerdos de confidencialidad o no revelación?
9.- ¿Qué se debe considerar para la seguridad de la información para mensajería
electrónica?
10.- ¿Qué se entiende por propiedad de la información, secretos comerciales y pro-
piedad intelectual?
11.- ¿Qué procesos se deben seguir para la notificación y aviso de la revelación no
autorizada o fugas de información confidencial?

Gestión de Comunicación y Operaciones | 17

UNIDAD II: Seguridad de las operaciones
Mapa Conceptual

La seguridad de las operaciones implica establecer políticas y procedimientos para

el uso de los medios electrónicos, el almacenamiento de datos, el manejo de infor-
mación confidencial, el cumplimiento de leyes y regulaciones, el manejo de inciden-
tes, el aseguramiento de la continuidad de los servicios y la recuperación de desas-
tres. Estos procedimientos deben estar documentados y mantenerse actualizados
para garantizar que sigan siendo eficaces.

Gestión de Comunicación y Operaciones | 18

 2.1.- Procedimientos y responsabilidades operacionales

Los procedimientos deben estar documentados y actualizados para garantizar que

sigan siendo eficaces. Además, deben establecerse responsabilidades específicas
para los usuarios, el personal de soporte técnico, los administradores de sistemas y
otros roles relacionados con la seguridad de la red.

2.1.1.- Documentación de procedimientos de la operación

Se deben preparar procedimientos documentados para las actividades del sistema

asociadas a los recursos de tratamiento y comunicación de la información, tales como
procedimientos de encendido y apagado de ordenadores, copias de respaldo, man-
tenimiento de los equipos, gestión de soportes, gestión de salas de computadoras,
gestión del correo y seguridad.

Los procedimientos operativos deberían especificar las instrucciones para la ejecu-

ción detallada de cada tarea, incluyendo:

a) la instalación y configuración de sistemas 7;

Para la instalación y configuración de sistemas, se deben seguir una serie de pasos

para garantizar la seguridad de la red. Estos pasos incluyen:

- Seleccionar los sistemas y componentes de seguridad adecuados para las necesi-

dades de la red.
- Instalar los sistemas y componentes de seguridad de acuerdo a los procedimientos
establecidos.
- Configurar los sistemas y componentes de seguridad de acuerdo a los procedimien-
tos establecidos.
- Verificar la configuración de los sistemas y componentes de seguridad para asegu-
rarse de que estén correctamente configurados.
- Probar los sistemas y componentes de seguridad para asegurarse de que estén
funcionando correctamente.
- Documentar los procedimientos de instalación y configuración de los sistemas y
componentes de seguridad.

b) el tratamiento y manipulación de la información tanto automatizada como manual;

El tratamiento y manipulación de la información tanto automatizada como manual

implica establecer y mantener políticas y procedimientos para el almacenamiento, el
procesamiento y la transmisión de los datos. Esto incluye definir los roles y respon-
sabilidades de los usuarios, establecer un sistema de control de acceso, establecer
controles de seguridad para los datos almacenados y transmitidos, y establecer un
sistema de supervisión y registro de actividades.

c) las copias de respaldo;

Las copias de respaldo son una forma de preservar la información almacenada en un

dispositivo, como un servidor, una computadora o un dispositivo móvil. Esto general-
mente se hace mediante el uso de software especializado que permite crear copias
de seguridad de los archivos, bases de datos y otros elementos almacenados en el
dispositivo. Estas copias de seguridad pueden ser almacenadas en dispositivos ex-
ternos, como discos duros o discos de red, o en la nube para garantizar la disponibi-
lidad en caso de una emergencia.

7.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 19

d) Las instrucciones para manejar errores u otras condiciones excepcionales que
puedan ocurrir durante la ejecución del trabajo, incluyendo restricciones en el uso de
las utilidades del sistema;

Las instrucciones para manejar errores u otras condiciones excepcionales que pue-
dan ocurrir durante la ejecución del trabajo son esenciales para la seguridad de la
red. Estas instrucciones deben incluir la identificación y clasificación de los errores,
el análisis de los errores, la notificación de los errores a los usuarios, el registro de
los errores, la recuperación de los errores.

e) El reinicio del sistema y los procedimientos de recuperación a utilizar en caso de

fallo del sistema;

El reinicio del sistema y los procedimientos de recuperación son esenciales para ga-
rantizar la disponibilidad de los servicios. Estos procedimientos deben incluir el reini-
cio del sistema, el análisis de los errores y la recuperación de los datos, así como la
identificación y clasificación de los fallos del sistema.

f) la gestión de pistas de auditoría y de la información del registro de sistemas;

Esto implica establecer y mantener un proceso para recopilar, almacenar y analizar

los datos de pistas de auditoría y los registros del sistema. Esto ayuda a identificar
los intentos de acceso no autorizado, detectar actividades anómalas, identificar vul-
nerabilidades y amenazas, así como ayudar a determinar el Impacto de un incidente
de seguridad.

Los procedimientos operacionales, y los procedimientos documentados para las ac-

tividades del sistema deberían tratarse como documentos formales, y los cambios
deberían ser autorizados por la Dirección. Dónde sea técnicamente posible, los sis-
temas de información deberían gestionarse de una manera sistemática, utilizando los
mismos procedimientos, herramientas y recursos.

2.1.2.- Gestión de cambios

Los cambios en la organización, los procesos de negocio, los sistemas que afectan
a la seguridad de la información deberían ser controlados. Esto incluye establecer y
mantener procedimientos para revisar y aprobar los cambios, establecer y mantener
procedimientos para garantizar la integridad de los datos almacenados y transmiti-
dos.

Para implementar la gestión de cambio se debe considerar lo siguiente:

a) la identificación y registro de los cambios significativos 8;

Esto implica establecer y mantener procedimientos para identificar los cambios sig-
nificativos que afectan a la seguridad de la información, como cambios en la organi-
zación, los procesos de negocio, las instalaciones de tratamiento de la información,
los sistemas, etc.

b) la planificación y pruebas de los cambios;

Esto incluye la evaluación de los riesgos asociados con los cambios, la planificación
de los cambios, el diseño de pruebas para asegurar que los cambios se implementen
de manera segura, la realización de pruebas de seguridad para verificar que los

8.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 20

cambios se han implementado de manera eficaz, la documentación de los resultados
de las pruebas y la aprobación de los cambios por la Dirección.

c) el procedimiento de aprobación formal de los cambios propuestos;

Esto incluye la identificación y clasificación de los cambios, la identificación de los

afectados, el análisis de riesgo y la planificación de los cambios. El proceso también
debe incluir la aprobación formal de los cambios por parte de los responsables de la
seguridad de la red para garantizar que los cambios sean seguros y eficaces.

d) la verificación de que los requisitos de seguridad de la información se cumplen;

Esto incluye comprobar que los sistemas cumplen con los estándares de seguridad
establecidos, que los procedimientos de seguridad se apliquen de manera adecuada,
y que los controles de seguridad estén implementados y funcionando correctamente.
Estas pruebas y auditorías deben realizarse periódicamente para asegurar que los
sistemas de seguridad sean eficaces.

e) La comunicación de los detalles de los cambios a todas las personas correspon-

dientes;

La comunicación de los detalles de los cambios se refiere al proceso de notificar a

todas las personas correspondientes sobre cualquier cambio que se realice en un
sistema o entorno. Esto incluye notificar a los usuarios, miembros del personal, pro-
veedores, etc. sobre cualquier cambio en los procedimientos, requisitos, software,
hardware, infraestructura, etc. Esta comunicación ayudará a reducir el riesgo de erro-
res y asegurar que todas las personas relacionadas estén al tanto de los cambios.

f) los procedimientos de vuelta atrás, incluyendo los procedimientos y responsabili-

dades para abortar y recuperar los cambios infructuosos y los eventos imprevistos;

Estos procedimientos se implementan para garantizar la integridad de los datos y la

disponibilidad de los servicios. Esto implica establecer y mantener políticas y proce-
dimientos para controlar cambios no deseados, identificar y corregir errores, restaurar
los sistemas a estados anteriores, realizar pruebas de recuperación de desastres,
restaurar los datos perdidos o dañados, entre otros.

El control inadecuado de los cambios en los recursos y en los sistemas de tratamiento

de la información puede ser una causa común de fallos de seguridad. Por lo tanto,
se deben llevar a cabo adecuados controles de los cambios en el entorno operativo,
especialmente al pasar un sistema de la fase de desarrollo a la de operación. Esto
ayudará a garantizar la fiabilidad y seguridad de las aplicaciones.

2.1.3.- Gestión de capacidades

Se debería supervisar y ajustar la utilización de los recursos, así como realizar pro-
yecciones de los requisitos futuros de capacidad, para garantizar el rendimiento re-
querido del sistema.

Se deben identificar los requisitos de capacidad teniendo en cuenta el carácter crítico

para el negocio del sistema en cuestión. Las proyecciones de requisitos futuros de
capacidad deben tener en cuenta nuevas líneas de negocio y nuevos sistemas, así
como las tendencias actuales y las previstas para las capacidades de tratamiento de
la información de la organización.

Gestión de Comunicación y Operaciones | 21

Es necesario poner una atención especial en aquellos recursos que tengan un pe-
ríodo de adquisición o plazos de entrega largos o sean de coste elevado; por consi-
guiente, los gerentes o responsables deben supervisar la utilización de los recursos
clave del sistema. Deben identificar las tendencias de uso, particularmente en lo que
respecta a las aplicaciones de negocio o a las herramientas del sistema de gestión
de la información.

Los directivos o responsables deben utilizar esta información para identificar y evitar
posibles cuellos de botella o dependencias de personal clave que puedan representar
una amenaza para el sistema de seguridad o para los servicios y planificar las accio-
nes adecuadas.

Se puede proporcionar suficiente capacidad mediante el incremento de esta o redu-

ciendo la demanda. La gestión de la demanda de capacidad incluyen:

a) borrado de datos obsoletos (espacio de disco);

El borrado de datos obsoletos se refiere al proceso de eliminar los datos antiguos y

no utilizados del espacio de disco. Estos datos deben eliminarse para prevenir que
sean recuperados por personas no autorizadas. Esto implica establecer y mantener
políticas y procedimientos para controlar el ciclo de vida de los datos, incluyendo el
borrado de los datos obsoletos.

b) desmantelamiento de aplicaciones, sistemas, bases de datos o entornos;

Esto incluye la documentación y aprobación de los procesos de desmantelamiento,

la eliminación o deshabilitación de los activos, el borrado de los datos almacenados,
la eliminación de los usuarios, el cierre de los permisos, la documentación y registro
de los procesos de desmantelamiento, entre otros.

c) optimizando la lógica de la aplicación o las consultas de base de datos;

Esto incluye establecer y mantener una lógica interna de la aplicación para mejorar
el rendimiento, y mantener reglas para optimizar las consultas a la base de datos.

2.1.4.- Separación de los recursos de desarrollo, prueba y ope-

ración

Para reducir el riesgo de acceso no autorizado o de cambios del sistema en produc-

ción, se deben separar los recursos de desarrollo, pruebas y operación. Esto incluye
establecer y mantener controles de acceso, establecer y mantener restricciones de
cambio, establecer y mantener una separación de privilegios, entre otros.

Se deberían considerar los siguientes puntos:

a) definir y documentar las reglas para la transferencia de software desde el estado

de desarrollo hasta el estado de operación 9;

Esto incluye establecer y mantener reglas para validar el software antes de su trans-
ferencia, establecer y mantener reglas para realizar pruebas de integridad y seguri-
dad, establecer y mantener reglas para realizar pruebas de estabilidad, entre otros.
Estos elementos deben estar documentados y mantenerse actualizados para garan-
tizar que sigan siendo eficaces.

9.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 22

b) El software de desarrollo y explotación debería ejecutarse en diferentes sistemas
o procesadores de ordenador y en diferentes dominios o directorios;

Esto implica establecer y mantener procesos para asegurar que el software de desa-
rrollo y explotación se ejecute en entornos separados. Esto ayudará a aislar el soft-
ware de desarrollo y producción para evitar que se afecten entre sí y para garantizar
la seguridad de los datos.

c) Salvo en circunstancias excepcionales, las pruebas no se deberían hacer en los

sistemas en operación;

Esto se debe a que los cambios en un sistema en producción pueden provocar fallos
no deseados, lo que puede tener un impacto en la seguridad de los datos y los ser-
vicios. Por lo tanto, se recomienda realizar pruebas en entornos de prueba separados
para garantizar el correcto funcionamiento de los cambios antes de su implementa-
ción en producción.

d) los compiladores, editores y otras herramientas de desarrollo o utilidades del sis-

tema no deberían ser accesibles desde los sistemas de operación cuando no sea
necesario;

Esto se debe a que estas herramientas pueden ser utilizadas para realizar cambios
no autorizados y para realizar accesos no autorizados a los datos y los servicios. Por
lo tanto, se recomienda proteger estas herramientas con medidas de seguridad para
garantizar que solo los usuarios autorizados puedan acceder a ellas.

e) Los usuarios deberían utilizar diferentes perfiles para los sistemas de operación y
de prueba, y los menús deberían mostrar mensajes de identificación adecuados para
reducir el riesgo de error;

Esto implica establecer y mantener un sistema de autenticación de usuario que per-

mita acceder solo a los sistemas que tengan permisos para acceder. Además, los
menús deberían mostrar mensajes de identificación adecuados para indicar a los
usuarios en qué sistema están trabajando.

f) Los datos sensibles no deberían ser copiados en el entorno del sistema de prueba,
a menos que se proporcionen controles equivalentes en dicho entorno;

Esto se debe a que los datos sensibles pueden estar expuestos a mayores riesgos
en un entorno de prueba que en un entorno de producción. Por lo tanto, se reco-
mienda establecer controles de seguridad adecuados en el entorno de prueba para
garantizar la seguridad de los datos sensibles.

La seguridad de las actividades de desarrollo y de prueba, implica mantener un en-

torno conocido y estable para prevenir el acceso inapropiado de los desarrolladores
al entorno de producción. Se deben tomar medidas para evitar que el personal de
desarrollo y prueba pueda acceder al sistema de producción y a su información, así
como para evitar que puedan introducir código no autorizado o datos modificados.

Gestión de Comunicación y Operaciones | 23

 2.2.- Protección contra el software malicioso (malware)

2.2.1.- Controles contra el código malicioso

Se deben implementar los controles de detección, prevención y recuperación que

sirvan como protección contra el código malicioso, así como procedimientos adecua-
dos de concienciación para los usuarios.

Se deberían considerar las siguientes directrices:

a) el establecimiento de una política formal prohibiendo el uso de software no autori-

zado;

Esta política debe incluir los requisitos para identificar y autorizar los programas que
se pueden utilizar en la red, así como los procedimientos para informar y bloquear el
uso de software no autorizado.

b) la implantación de controles que prevengan o detecten el uso de software no au-

torizado (por ejemplo, una lista de aplicaciones autorizadas;

Esta lista debe incluir todas las aplicaciones que se permiten instalar y ejecutar en la
red. También debe incluir procedimientos para revisar y actualizar la lista de aplica-
ciones autorizadas.

c) La implantación de controles para prevenir o detectar el uso de sitios web de los

que se conoce o sospecha su carácter malicioso (por ejemplo, listas negras);

Estas listas deben estar actualizadas regularmente para mantenerse al día con las
últimas amenazas de Internet. Además, se deben configurar los dispositivos de la red
para que sean informados cuando un usuario intenta acceder a un sitio web dañino
para no permitir el acceso.

d) La reducción de vulnerabilidades que podrían ser explotadas por el código mali-

cioso, por ejemplo, a través de una gestión de vulnerabilidades técnicas;

Esto implica identificar y evaluar las vulnerabilidades existentes en la red, y desarro-

llar un plan para corregirlas. Esta solución puede incluir la instalación o actualización
de parches de seguridad, la actualización de los programas de seguridad, la configu-
ración de la seguridad de los dispositivos, etc.

e) Llevar a cabo revisiones regulares del software y datos contenidos en los sistemas
que soportan los procesos críticos del negocio; la presencia de cualquier fichero no
aprobado o modificación no autorizada debería ser formalmente investigada;

Estas revisiones ayudan a identificar cualquier fichero no aprobado o modificación no

autorizada presente en el sistema. Si alguno de estos elementos se detecta, se de-
bería llevar a cabo una investigación formal para determinar la naturaleza y el origen
de tal amenaza.

f) Preparar planes adecuados de continuidad de negocio para la recuperación de los

ataques de código malicioso, incluyendo todos los datos y software de respaldo y
disposiciones de recuperación necesarios;

Esto incluye el respaldo y almacenamiento de todos los datos y software necesarios,

así como el establecimiento de procedimientos de recuperación. Estos planes deben

Gestión de Comunicación y Operaciones | 24

ser revisados y actualizados periódicamente para garantizar que sigan siendo efica-
ces en caso de un ataque de código malicioso.

La ISO 27002 recomienda el uso de dos o más productos de software de protección

contra código malicioso de diferentes suministradores para mejorar la eficacia de la
protección. Se deben tomar precauciones para protegerse contra el código malicioso
durante los procedimientos de mantenimiento y de emergencia, ya que pueden evi-
tarse los controles de protección normales. Se debe tener en cuenta que la protección
contra código malicioso puede ocasionar perturbaciones en el funcionamiento de los
sistemas.

2.3.- Copias de seguridad

Se recomienda establecer y mantener una política de respaldo para garantizar que

toda la información y software esencial sea protegida. Esta política debería definir los
requisitos para las copias de seguridad, incluyendo la frecuencia de copias, los mé-
todos de almacenamiento, los requisitos de conservación y protección, y los recursos
necesarios para asegurar que toda la información y software esencial pueda ser re-
cuperado después de un desastre o fallo de los soportes. Estos procedimientos de-
ben ser documentados y actualizados periódicamente.

Cuando se diseña un plan de respaldo, deberían considerarse los siguientes aspectos:

a) se deberían producir registros precisos y completos de las copias de respaldo, así

como de los procedimientos de recuperación documentados 10;

Esto ayudará a garantizar que los datos se recuperan o restauran correctamente en

caso de fallos o errores.

b) La extensión (por ejemplo, copias totales o diferenciales) y frecuencia de las copias

de respaldo deberían reflejar los requisitos del negocio de la organización, los requi-
sitos de seguridad de la información implicada y la criticidad de la información para
el funcionamiento continuo de la organización;

Las copias de respaldo pueden ser totales (que incluyen todos los archivos y ficheros)
o diferenciales (que solo incluyen aquellos archivos y ficheros que se han modificado
desde la última copia de respaldo). Además, la frecuencia con la que se realizan
estas copias de respaldo debería reflejar los requisitos del negocio de la organiza-
ción, los requisitos de seguridad de la información implicada y la criticidad de la infor-
mación para el funcionamiento continuo de la organización.

c) Las copias de respaldo deberían ser almacenadas en un emplazamiento alejado,

a una distancia suficiente para salvarse de cualquier daño proveniente de un desastre
en el emplazamiento principal;

Esto es para garantizar que los datos de respaldo no se expongan al mismo tipo de
daño que la ubicación principal, como incendios, inundaciones o desastres naturales.
El emplazamiento de respaldo debe estar a una distancia adecuada para que pueda
ser salvada por cualquier daño en el emplazamiento principal.

10.- UNE-ISO/IEC 27002 - AENOR 2015

Gestión de Comunicación y Operaciones | 25

d) La información de las copias de respaldo debería tener un nivel adecuado de pro-
tección tanto física como ambiental, consistente con las normas aplicadas en el em-
plazamiento principal;

La protección física se refiere a medidas como la seguridad física del edificio, el con-
trol de acceso y la seguridad perimetral. La protección ambiental puede incluir el con-
trol de la temperatura y la humedad, el control del ruido, el control de la luz, así como
la protección contra la polución eléctrica. Estas medidas de protección deben esta-
blecerse en el emplazamiento principal y replicarse en los emplazamientos de copia
de seguridad.

e) los soportes de las copias de respaldo deberían ser comprobados periódicamente

para asegurarse de que pueden responder en caso de uso de emergencia cuando
sea necesario; esto debería combinarse, periódicamente, con una comprobación del
funcionamiento de los procedimientos de recuperación y una prueba para asegurar
que son efectivos y que pueden ser cumplidos dentro del tiempo asignado en los
procedimientos operacionales para recuperación. Poner a prueba la capacidad para
restaurar la copia de respaldo debería realizarse sobre los medios de prueba dedica-
dos, y no sobrescribiendo los soportes originales, por si fallase el proceso de copiado
o restauración y causara un daño o pérdida irreparable de datos;

f) en las situaciones donde es importante la confidencialidad, las copias de respaldo

deberían ser protegidas mediante cifrado;

En las situaciones donde es esencial mantener la confidencialidad, las copias de res-

paldo deben ser cifradas para evitar el acceso no autorizado. Las claves de cifrado
deben ser almacenadas cuidadosamente y deben tener una complejidad adecuada.
Además, las copias de respaldo cifradas deben ser almacenadas en una ubicación
segura para evitar el acceso no autorizado. Si los respaldos son transmitidos, también
deben estar cifrados para evitar su acceso por parte de terceros no autorizados.

En resumen: La gestión de respaldos requiere la supervisión de la ejecución de co-

pias de respaldo programadas para asegurar la integridad de las mismas, así como
la realización de pruebas regulares para garantizar que se cumplen los requisitos de
los planes de continuidad de negocio. Esto asegura que los sistemas críticos estén
cubiertos para la recuperación del sistema completo en caso de desastre. El periodo
de conservación debe determinarse para la información esencial del negocio, inclu-
yendo cualquier requisito para las copias de archivo que deban ser conservadas de
manera permanente.

2.4.- Registros y supervisión

2.4.1.- Registro de eventos

Los registros, las actividades de los usuarios, las excepciones, los fallos y los eventos
de seguridad de la información deben ser monitoreados para detectar cualquier acti-
vidad anómala o intento de acceso no autorizado. Estos registros y actividades deben
ser protegidos y revisados periódicamente para garantizar la seguridad de la infor-
mación. Esto incluye no solo el registro de los intentos de acceso no autorizados,
sino también el registro de las actividades normales de los usuarios, las excepciones,
los fallos y los eventos de seguridad.

Los registros de eventos deberían incluir:

a.- identificadores (ID) de usuario;

Gestión de Comunicación y Operaciones | 26

b.- actividades del sistema;
c.- fechas, tiempos y detalles de eventos clave, por ejemplo, conexión (log-on) y
desconexión (log-off);
d.- identidad o localización del dispositivo, si es posible e identidad del sistema;
e.- registro de intentos de acceso a los sistemas exitosos y fallidos;
f.- registro de intentos de acceso a los recursos y a los datos exitosos y fallidos;
g.- cambios en la configuración del sistema;
h.- uso de privilegios;
i.- uso de utilidades y aplicaciones del sistema;
j.- ficheros a los que se ha accedido y el tipo de acceso;
k.- direcciones y protocolos de red;
l.- alarmas generadas por el sistema de control de acceso;
m.- activación y desactivación de los sistemas de protección, tales como sistemas
de antivirus y de detección de intrusión;
n.- registro de transacciones ejecutadas por usuarios en las aplicaciones.

En resumen: Los registros de eventos son una herramienta importante para la su-
pervisión de la seguridad de los sistemas. Estos registros proporcionan una docu-
mentación detallada de las actividades del sistema, los intentos de acceso, y otros
sucesos relacionados con la seguridad.

2.4.2.- Protección de la información de registro

Los dispositivos de registro y la información de los registros deberían estar protegidos

contra manipulaciones indebidas y accesos no autorizados. Esto incluye impedir al-
teraciones en los tipos de mensajes que se registran, edición o borrado de los fiche-
ros de registro, y superación de la capacidad de almacenamiento de los soportes de
ficheros de registro, que puede provocar un fallo del registro de eventos o sobrescribir
los registros de eventos pasados. Algunos registros de auditoría pueden requerir ser
archivados como parte de la política de conservación de registros o debido a requisi-
tos para recopilar y conservar evidencias.

2.4.3.- Sincronización del reloj

Los relojes de todos los sistemas de tratamiento de información dentro de una orga-
nización o de un dominio de seguridad deben estar sincronizados con una única y
acordada fuente de tiempo precisa. Los requisitos externos e internos para la repre-
sentación, sincronización y precisión del tiempo deben documentarse. La configura-
ción correcta de los relojes de los equipos es esencial para garantizar la precisión de
los registros de auditoría, los cuales pueden ser necesarios para investigaciones o
como evidencia en casos legales o disciplinarios.

2.5.- Control del software en explotación o en producción

2.5.1.- Instalación del software en explotación

Se deberían implementar procedimientos para controlar la instalación del software en

explotación.

Deberían tenerse en cuenta las siguientes directrices con el fin de controlar los cam-
bios de software en los sistemas en explotación:

a) la actualización del software operacional, de las aplicaciones y de las bibliotecas

de programas solo debería ser llevada a cabo por administradores formados con la
adecuada autorización de la Dirección;

Gestión de Comunicación y Operaciones | 27

La actualización del software operacional, de las aplicaciones y de las bibliotecas de
programas es una parte importante de la seguridad de un sistema informático, ya que
ayuda a asegurar que los sistemas se mantengan al día con los últimos parches y
versiones de software. Por tanto, solo los administradores con la adecuada autoriza-
ción de la Dirección deben llevar a cabo estas actualizaciones. Esto ayudará a ase-
gurar que los cambios se realizan de manera segura y según los procedimientos es-
tablecidos por la organización.

b) Los sistemas operativos solo deberían manejar códigos ejecutables aprobados, y

no códigos de desarrollo o compiladores;

Los sistemas operativos deberían limitarse a ejecutar códigos aprobados, confiables

y seguros. Estos códigos deberían ser auditados y validados de forma exhaustiva
antes de permitir su ejecución y para asegurar que no contengan ningún malware,
rootkits o cualquier otro tipo de amenaza.

c) El software de las aplicaciones y del sistema operativo solo debería implantarse

tras haber superado exhaustivas pruebas, que deberían incluir pruebas de usabili-
dad, seguridad, efectos en otros sistemas y facilidad de uso, y deberían llevarse a
cabo en sistemas independientes; debería asegurarse que todas las bibliotecas
fuente del programa correspondiente han sido actualizadas;

d) debería existir una estrategia de vuelta atrás antes de implantar los cambios;

Una estrategia de vuelta atrás es una forma de preparación para eventualidades.

Esta estrategia consiste en tener un plan de contingencia o un plan de respaldo para
revertir los cambios en caso de una situación inesperada. Esto significa que, antes
de implementar los cambios en un entorno de producción, se deben implementar los
cambios en un entorno de pruebas para asegurarse de que no hay errores.

e) Debería mantenerse un registro de auditoría de todas las actualizaciones de las

bibliotecas de los programas en explotación;

Mantener un registro de auditoría de todas las actualizaciones de las bibliotecas de

los programas en explotación es una práctica recomendada para garantizar la segu-
ridad. Esto ayudará a prevenir posibles vulnerabilidades debidas a versiones obsole-
tas de software. El registro de auditoría debe documentar el momento en que se
realizaron las actualizaciones, el usuario que las realizó, los cambios realizados y
cualquier otra información relevante para garantizar que los programas en explota-
ción estén siempre actualizados.

f) Deberían conservarse versiones anteriores del software de las aplicaciones como

medida de contingencia;

Las versiones anteriores del software de las aplicaciones deben conservarse como
medida de contingencia para permitir la restauración rápida de los sistemas de apli-
caciones en caso de un fallo importante. Esto reduce el tiempo de inactividad y evita
que se produzcan retrasos en los procesos críticos. Esto incluye la copia de seguri-
dad de los datos y la documentación relacionada con la configuración y el rendimiento
de la aplicación.

En resumen: La organización debe considerar los riesgos de utilizar software sin con-
tar con asistencia técnica y considerar los requisitos de negocio y la seguridad para
pasar a una nueva versión. El acceso físico y lógico a los proveedores para prestar
servicios de asistencia técnica debe ser autorizado por la Dirección. El software

Gestión de Comunicación y Operaciones | 28

adquirido a proveedores debe ser supervisado y controlado para prevenir cambios
no autorizados, ya que estos podrían generar un punto débil de seguridad.

2.6.- Gestión de la vulnerabilidad técnica

2.6.1.- Gestión de las vulnerabilidades técnicas

La gestión efectiva de las vulnerabilidades técnicas requiere la realización de un in-

ventario detallado y actualizado de los activos, incluyendo información como el pro-
veedor de software, los números de versión, el estado de implantación y la persona
o personas responsables. Las medidas adecuadas para afrontar el riesgo asociado
deberían adoptarse de manera oportuna una vez identificadas las vulnerabilidades.

Deberían seguirse las siguientes directrices con el fin de establecer un proceso efec-
tivo de gestión de las vulnerabilidades técnicas:

a) La organización debe definir y establecer responsabilidades y controles para la

supervisión, evaluación de riesgos y parcheo de vulnerabilidades técnicas, así como
para las actividades de seguimiento de activos y cualquier coordinación necesaria;

b) se recomienda que se identifiquen y mantengan actualizados los recursos de in-

formación para detectar vulnerabilidades técnicas en el software y en otras tecnolo-
gías en función del inventario de activos. Esto garantizará que se mantenga un con-
trol adecuado de la seguridad de la red;

c) debería definirse una escala temporal para reaccionar a las notificaciones de vul-
nerabilidades técnicas que puedan resultar relevantes;

Esta escala temporal, que debe ser establecida y documentada, debería incluir un
plan de acción para abordar y solucionar cualquier vulnerabilidad o amenaza detec-
tada.

d) Una vez identificada la vulnerabilidad técnica, la organización debería identificar

los riesgos asociados y las medidas que deberían adoptarse, las cuales podrían in-
cluir el parcheo de sistemas vulnerables o la aplicación de otros controles;

Una vez identificada una vulnerabilidad técnica, la organización debe tomar medidas
para mitigar los riesgos asociados. Estas medidas pueden incluir parches de siste-
mas vulnerables, aplicación de políticas de seguridad, implementación de medidas
de cifrado, aplicación de firewalls, aplicación de controles de acceso, aplicación de
soluciones anti-malware, implementación de soluciones de monitoreo, etc.

e) si existe un parche disponible de una fuente legítima, deberían evaluarse los ries-
gos asociados con la instalación del mismo (deberían compararse los riesgos plan-
teados por la vulnerabilidad con los riesgos de instalar el parche);

Antes de instalar cualquier parche, deberían evaluarse los riesgos asociados para
determinar si los beneficios de la instalación superan los riesgos. Esto implica com-
parar los riesgos potenciales que está expuesto el sistema al mantener la vulnerabi-
lidad sin parchearla con los riesgos asociados a la instalación de un parche de una
fuente legítima.

f) El proceso de gestión de las vulnerabilidades técnicas debería supervisarse y eva-

luarse periódicamente para garantizar su efectividad y su eficacia;

Gestión de Comunicación y Operaciones | 29

Esto incluye la identificación de vulnerabilidades existentes o potenciales, la evalua-
ción de su impacto y la adopción de medidas para mitigar el riesgo. Estas actividades
deben supervisarse y evaluarse periódicamente para garantizar su efectividad y efi-
cacia.

g) los sistemas con elevado riesgo deberían ser los primeros en tratarse;

En resumen: el proceso de gestión de vulnerabilidades técnicas es un proceso que

debe ser supervisado y evaluado periódicamente para garantizar su efectividad y efi-
cacia. Esto significa que los parches deben ser evaluados antes de su implementa-
ción para verificar que cubren el problema correctamente. Si no es posible probar los
parches, se debe considerar la opción de retrasar el parcheo para evaluar los riesgos
asociados. La Norma ISO/IEC 27031 puede ser de gran ayuda para la evaluación de
vulnerabilidades técnicas.

2.6.2.- Restricción en la instalación de software

Se debe establecer y hacer cumplir reglas que rijan la instalación de software por
parte de los usuarios, definir y hacer cumplir una estricta política sobre qué tipos de
software pueden instalar los usuarios, y aplicar el principio de menor privilegio. Si se
conceden ciertos privilegios, los usuarios pueden tener la capacidad para instalar
software. La instalación incontrolada de software en equipos informáticos puede lle-
var a introducir vulnerabilidades y, como consecuencia, a fugas de información, pér-
didas de integridad y otros incidentes de seguridad de la información, o a la violación
de derechos de propiedad intelectual.

2.7.- Consideraciones sobre

la auditoria de sistemas de información

2.7.1.- Controles de auditoría de sistemas de información

Estas actividades de auditoría necesitan ser planificadas y acordadas con cuidado

para minimizar el riesgo de interrupciones en los procesos de negocio. Esto implica
asegurarse de que las auditorías se realicen en momentos en los que no afecten al
rendimiento de los procesos de negocio, proporcionar advertencias a los usuarios
sobre los cambios que se aplicarán, y realizar un seguimiento de los cambios reali-
zados para asegurarse de que no se producen interrupciones.

Deberían cumplirse las siguientes directrices:

a) los requisitos de acceso de auditoría a sistemas y datos deberían acordarse con

la Dirección adecuada;

Estos requisitos varían en función del tipo de actividades a realizar y también pueden
depender de la información a la que los auditores necesitan acceder. Estos requisitos
deben acordarse con la dirección adecuada para garantizar que los auditores obten-
gan el acceso necesario para realizar sus actividades de auditoría de manera eficaz
y segura.

b) Debería acordarse y controlarse el alcance de las comprobaciones técnicas de

auditoría;

El alcance de estas comprobaciones técnicas de auditoría debe acordarse previa-

mente con los auditores, para garantizar que se realicen todas las pruebas necesa-
rias para determinar si los controles de seguridad establecidos son adecuados. Esto

Gestión de Comunicación y Operaciones | 30

garantiza que los auditores puedan evaluar la eficacia de los controles de seguridad
de forma adecuada.

c) Las comprobaciones deberían limitarse a accesos de solo lectura, al software y a

los datos.

Esto significa que los usuarios solo pueden ver los datos y el software, pero no pue-
den modificarlos. Esto es útil para proteger los datos y el software de los usuarios no
autorizados, ya que no pueden alterar los datos ni el software sin el consentimiento
del propietario.

d) Un acceso diferente al de solo lectura debería permitirse únicamente en copias

aisladas de los archivos del sistema, que deberían borrarse cuando finalice la audi-
toría, o a las que debería protegerse adecuadamente si es obligatorio mantener di-
chos archivos de acuerdo con los requisitos de documentación de la auditoría.

Un acceso diferente al de solo lectura significa que los usuarios pueden, además de
leer los archivos, también escribir, modificar y/o eliminarlos. Esto debería permitirse
únicamente en copias aisladas de los archivos del sistema, ya que los usuarios no
deben tener acceso a los archivos originales del sistema, porque esto podría causar
un daño irreparable al sistema. Estas copias aisladas de los archivos del sistema
deberían borrarse cuando finalice la auditoría, o deberían protegerse adecuadamente
si es obligatorio mantener dichos archivos de acuerdo con los requisitos de documen-
tación de la auditoría. Esto garantiza que los archivos originales del sistema no sean
modificados accidental o intencionalmente.

e) Las pruebas de auditoría que puedan afectar a la disponibilidad del sistema debe-
rían ejecutarse fuera del horario laboral.

Debido a que estas pruebas pueden afectar el funcionamiento normal del sistema,
se recomienda que se ejecuten fuera del horario laboral, para evitar interrumpir el uso
del sistema por parte de los usuarios.

Bibliografía por Unidad

- Gestión de incidentes de seguridad informática - Autor: Chicano Tejada, Ester - Edi-

torial: IC Editorial - Link: [Link]

Gestión de Comunicación y Operaciones | 31

TRABAJO PRÁCTICO ACTIVIDAD OBLIGATORIA: UNIDAD II

La siguiente actividad se debe realizar en una empresa real o ficticia:

1.- Establecer una política de gestión de cambios para garantizar la seguridad de

los recursos de desarrollo, prueba y operación.
2.- Implementar controles contra el código malicioso para proteger la información y
los sistemas.
3.- Establecer una política de copias de seguridad para garantizar la recuperación
de la información en caso de una falla.
4.- Establecer una política de instalación del software en explotación para garantizar
la seguridad de los sistemas.
5.- Establecer una política de restricción en la instalación de software para garanti-
zar la seguridad de los sistemas.

ACTIVIDAD EN EL FORO: UNIDAD II

Responder y debatir sobre las siguientes preguntas:

1.- ¿Cómo se puede gestionar eficazmente los cambios en el entorno operacional?

2.- ¿Qué medidas se pueden tomar para proteger el entorno operacional contra el
software malicioso?
3.- ¿Qué tipos de copias de seguridad se deben realizar para garantizar la seguridad
de los datos?
4.- ¿Qué controles se deben implementar para garantizar que el software en explo-
tación sea seguro?

Gestión de Comunicación y Operaciones | 32

AUTOEVALUACIÓN

1.- ¿Qué implica establecer políticas y procedimientos para la seguridad de las ope-
raciones?
2.- ¿Qué pasos se deben seguir para garantizar la seguridad de la red al instalar y
configurar sistemas y componentes de seguridad?
3.- ¿Qué implica el tratamiento y manipulación de la información tanto automatizada
como manual?
4.- ¿Qué se debe considerar al implementar la gestión de cambios?
5.- ¿Qué se debe considerar para separar los recursos de desarrollo, prueba y ope-
ración?
6.- ¿Qué medidas se deben tomar para evitar el acceso inapropiado de los desarro-
lladores al entorno de producción?
7.- ¿Qué se debe considerar para protegerse contra el código malicioso?
8.- ¿Qué debe incluir una política formal para prohibir el uso de software no autori-
zado?
9.- ¿Qué se debe incluir en una lista de aplicaciones autorizadas?
10.- ¿Qué implica la gestión de vulnerabilidades?
11.- ¿Cuáles son los requisitos para las copias de seguridad?
12.- ¿Qué tipo de copias de respaldo se deben realizar?
13.- ¿Qué se debe considerar cuando se diseña un plan de respaldo?
14.- ¿Por qué es importante proteger las copias de respaldo?
15.- ¿Qué se debe considerar al implementar procedimientos para controlar la insta-
lación del software en explotación?
16.- ¿Qué se debe evaluar antes de instalar un parche?
17.- ¿Qué se debe acordar y controlar para minimizar el riesgo de interrupciones en
los procesos de negocio?
18.- ¿Cuándo se deberían ejecutar las pruebas de auditoría que puedan afectar a la
disponibilidad del sistema?

Gestión de Comunicación y Operaciones | 33

UNIDAD III: Fuga de Datos - Data Leakage Prevention
Mapa Conceptual

La fuga de datos o Data Leakage se refiere al proceso en el que información confi-

dencial es obtenida o conocida por individuos que no tienen autorización para ha-
cerlo. Esto aumenta el riesgo de que la información acabe en manos equivocadas sin
aplicar los controles adecuados, a pesar de buscar implementarlos, el riesgo de una
fuga de información no puede ser completamente eliminado.

Las fugas de datos pueden ser provocadas tanto por factores internos como externos
a las organizaciones. Internamente, pueden deberse a la mala intención u omisión
de parte de miembros de la organización, como personal interno. Externamente,
pueden ser el resultado de un incidente de seguridad de un proveedor, como la filtra-
ción de los datos personales de los empleados.

Las filtraciones o revelaciones de datos confidenciales pueden ser tanto deliberadas

como involuntarias. Las primeras se hacen con el propósito de obtener una ventaja
económica o causar un daño a las organizaciones, como sanciones económicas, pér-
dida de una ventaja competitiva, deterioro de la imagen o reputación. Las segundas,
en cambio, suceden accidentalmente, por no seguir las buenas prácticas de seguri-
dad de la información.

3.1.- Fuente de la Fuga de Datos

Las fugas de datos se refieren a incidentes donde una cantidad importante de infor-
mación, a nivel personal o profesional, se expone fuera del control de la organización
a la que pertenece. Estos datos pueden ser accesibles a través de Internet, bien de
manera directa o bien de modo indirecto, a través de subastas o sitios de acceso
restringido. El impacto de estas fugas puede ser multidimensional. Para evitar estas
situaciones, se recomienda implementar mejores prácticas de seguridad.

Examinemos las tres principales categorías de situaciones en las que se presentan

fugas de datos, y luego analicemos las consecuencias que estas implican.

El primer escenario: Negligencia 11

Desde hace años, el uso generalizado de servicios de almacenamiento de datos en

la nube para organizaciones ha producido una inmensa concentración de información
a través de millones de ficheros clasificados en miles de carpetas en proveedores
internacionales de estos servicios (como los famosos “OneDrive”, carpetas en “Sha-
repoint” o “Teams”).

11.- Web: [Link]

Gestión de Comunicación y Operaciones | 34

Este tipo de servicios, combinado con aplicaciones ofimáticas que optimizan de forma
clara y sencilla el tratamiento y compartir dentro de los grupos de trabajo, pero a la
vez generan (involuntariamente) una falsa sensación de seguridad global.

No siendo esta la única forma, pero sí es la más representativa, y ocurre cuando por
error compartimos una carpeta con un cliente, un auditor o un proveedor, utilizando
servicios de almacenamiento en línea, pero sin poseer medidas de control adecuadas
ni contener la información correctamente clasificada. En ese caso, los ficheros (qui-
zás decenas, quizás cientos, quizás miles) quedan expuestos en Internet, y la proba-
bilidad de que terminen a la venta en la Dark web o compartidos en bloque en cual-
quier lugar, es alta.

En estos casos, la organización suele convertirse en consciente del problema, y no

es extraño que tome medidas disciplinarias contra personas en concreto. La mayoría
de las acciones van orientadas a desplegar o reforzar el uso de plataformas especí-
ficas, como las denominadas DLP (Data Loss Prevention) o, de forma más amplia,
SASE (Secure Access Service Edge).

En resumen: Organizaciones han adoptado el uso de servicios de almacenamiento

de datos en la nube para organizar y compartir información, lo que ha resultado en
una gran concentración de millones de ficheros en miles de carpetas en proveedores
internacionales. Estos servicios se combinan con aplicaciones modernas para opti-
mizar el tratamiento y compartición de datos, pero no brindan la seguridad adecuada
para la clasificación de la información. Esto puede resultar en el acceso a datos sen-
sibles por parte de personas ajenas o en la venta de datos en internet. Para prevenir
esto, se recomienda la implementación de plataformas como DLP o SASE.

El segundo escenario: Actor interno (insider)

Otro caso menos probable estadísticamente, pero más letal en términos de impacto
es el relacionado con empleados (o cualquier otro personal interno) que deliberada-
mente actúan en contra de los intereses de la empresa.

Empleados desleales, extorsionados por terceros o personas con conflictos laborales

pueden adoptar este patrón de comportamiento y provocar daños muy importantes a
las organizaciones, al hacer públicos o robar (y luego compartir/vender) datos con el
propósito de maximizar el daño reputacional o a la propiedad intelectual, entre otros,
ocasionando una nueva fuga de datos.

Cuando la acción puede atribuirse a personas concretas, las consecuencias suelen

ser de tipo penal, pues se pueden aplicar determinadas normas. Si no se trata de
empleados directos de la organización, pueden aplicarse penalizaciones, la cancela-
ción de contratos de servicio, etc.

Estas fugas a menudo no son conocidas por el público e, incluso, por la propia orga-
nización. Aunque, en ocasiones, se han dado casos de extorsión a cambio de no
publicar o vender los datos (por ejemplo, información financiera sensible de recursos
humanos o propiedad intelectual).

En resumen: empleados desleales pueden causar daños significativos a las organi-

zaciones al robar y compartir/vender datos al exterior, aumentando el riesgo de fuga
de información. Esto puede resultar en consecuencias penales, cancelación de con-
tratos y en algunos casos, extorsión.

Gestión de Comunicación y Operaciones | 35

El tercer escenario: Incidentes de seguridad

Es el escenario más conocido y el más habitual, sobre todo en los casos de incidentes
apoyados en el uso de ransomware (donde se cifran datos del cliente y se exige un
rescate a cambio de un mecanismo de cifrado), el actor compromete la infraestructura
de la organización, accede a ciertos volúmenes de datos (no siempre sensibles, la
mayoría de las veces busca volumen en ataques que duran pocos días) y antes de
cifrarlos, los extrae fuera del perímetro de la organización. No siendo esta práctica
común a todos los actores, sí es habitual en muchos de ellos, ofreciendo un segundo
factor de presión para el pago del rescate.

Una vez, el actor malicioso ha extraído un cierto volumen de datos, normalmente

pasarán unos días (quizás semanas) antes de que vuelvan a tener noticias de ellos.
Las formas de hacer estos datos públicos obedecen casi siempre a alguno de estos
casos:

Publicación previa en algún tipo de “blog” (hay varios “Happy blog” famosos por parte
de estos actores) de la fuga. Busca elevar la presión a la víctima, buscando de nuevo
el pago del rescate.

En otros casos, con o sin preaviso, los datos filtrados aparecen en alguna página de
TOR bien en modo “subasta” (acceso restringido pero la víctima puede ver el objeto
subastado como tercera medida de presión), bien en modo acceso público.

En todos estos casos, datos de nuestra organización (de cualquier tipo) pueden ter-
minar fuera de control en Internet.

En resumen: Los actores maliciosos normalmente filtran datos de las organizaciones

antes de cifrarlos y exigir un rescate. Estas filtraciones suelen hacerse a través de
algún “blog” para presionar al pago del rescate, y una vez filtrados los datos, se pue-
den publicar en páginas web de la Internet superficial, en páginas de TOR o incluso
subastarlos. Esto llevaría a que los datos de la organización estén fuera de control
en Internet.

Las principales formas en que puede producirse una fuga son:

- Credenciales perdidas o robadas: La forma más sencilla de ver datos privados

en Internet es utilizar las credenciales de acceso de otra persona para iniciar sesión
en un servicio. Para ello, los atacantes emplean una serie de estrategias para ha-
cerse con los inicios de sesión y las contraseñas de las personas. Entre estas se
incluyen los ataques de fuerza bruta y los ataques en ruta.
- Equipo perdido o robado: Una computadora o un teléfono inteligente perdido que
contenga información confidencial puede ser muy peligroso si cae en las manos
equivocadas.
- Ataques de ingeniería social: la ingeniería social implica el uso de manipulación
psicológica para engañar a las personas para que entreguen información confiden-
cial.
- Amenazas internas: Se trata de personas que tienen acceso a información prote-
gida y que publican esos datos deliberadamente, normalmente para obtener un be-
neficio personal.
- Aprovechar las vulnerabilidades: Casi todas las empresas del mundo utilizan di-
ferentes productos de software. Como el software es tan complejo, suele contener
fallos conocidos como “vulnerabilidades.” Un atacante puede aprovechar estas vul-
nerabilidades para obtener un acceso no autorizado, y ver o copiar datos confiden-
ciales.

Gestión de Comunicación y Operaciones | 36

- Infecciones de Malware: Muchos programas de software malicioso están diseña-
dos para robar datos o rastrear las actividades del usuario, enviando la información
que recopilan a un servidor que controla el atacante.
- Ataques físicos a los puntos de venta: Estos ataques tienen como objetivo la
información de las tarjetas de crédito y débito, y suelen afectar a los dispositivos
que escanean y leen estas tarjetas. Por ejemplo, alguien podría montar un cajero
automático falso o incluso instalar un escáner en un cajero automático legítimo para
recopilar los números de las tarjetas y los números PIN.
- Relleno de credenciales: Después de que las credenciales de inicio de sesión de
alguien queden expuestas en una fuga de datos, un atacante puede intentar reutili-
zar esas mismas credenciales en muchas otras plataformas. Si ese usuario se co-
necta con el mismo nombre de usuario y contraseña en varios servicios, el atacante
puede obtener acceso al correo electrónico, a las redes sociales y/o a las cuentas
bancarias en línea de la víctima.
- Falta de encriptación: Si un sitio web que recopila datos personales o financieros
no utiliza la encriptación SSL/TLS, cualquiera puede controlar las transmisiones en-
tre el usuario y el sitio web, y ver esos datos en texto plano.
- Aplicación o servidor web que estén mal configurados: Si un sitio web, una
aplicación o un servidor web no están configurados correctamente, los datos pue-
den quedar expuestos y cualquiera con una conexión a Internet puede acceder a
los mismos. Los datos confidenciales los puede ver cualquiera que se los encuentre
por accidente, o un atacante que los esté buscando a propósito.

3.2.- Incidentes de Ejemplos

- La fuga de datos de Equifax 12 en 2017 es un ejemplo importante de fuga de datos

a gran escala. Equifax es una agencia de crédito estadounidense. Entre mayo y
junio de 2017, agentes maliciosos accedieron a los registros privados de los servi-
dores de Equifax que contenían datos de casi 150 millones de estadounidenses, 15
millones de ciudadanos británicos y unos 19 000 ciudadanos canadienses. El ata-
que fue posible porque Equifax no había aplicado un parche a una vulnerabilidad
de software en su sistema.
- Las fugas de datos a menor escala también pueden tener un efecto importante. En
2020, los atacantes secuestraron las cuentas de Twitter de numerosas personas
famosas e influyentes. El ataque fue posible gracias a un ataque inicial de ingeniería
social que permitió que los atacantes pudieran acceder a las herramientas adminis-
trativas internas de Twitter. A partir de esta brecha inicial, los atacantes pudieron
hacerse con las cuentas de varias personas y promover una estafa que recaudó
aproximadamente 117 000 $ en Bitcoin.

Una de las fugas de datos más famosas de las últimas décadas fue el ciberataque
que se produjo contra el gran comercio minorista Target en 2013. La combinación de
estrategias que se usó para este ataque fue bastante sofisticada. El ataque incluyó
un ataque de ingeniería social, el secuestro de un proveedor externo y un ataque a
gran escala a los dispositivos físicos de los puntos de venta.

El ataque se inició con una estafa de phishing que tuvo como objetivo a los emplea-
dos de una empresa de aire acondicionado que suministraba aparatos de aire acon-
dicionado a las tiendas Target. Estos aparatos de aire acondicionado estaban conec-
tados a ordenadores de la red de Target para controlar el uso de la energía, y los
atacantes pusieron en riesgo el software de la empresa de aire acondicionado para
acceder al sistema de Target. Finalmente, los atacantes pudieron reprogramar los
escáneres de las tarjetas de crédito de las tiendas Target para conseguir los datos
de las tarjetas de crédito de los clientes. Estos escáneres no estaban conectados a

12.- Web: [Link]

Gestión de Comunicación y Operaciones | 37

Internet, pero estaban programados para volcar de forma periódica los datos de las
tarjetas de crédito en un punto de acceso supervisado por los atacantes. El ataque
tuvo éxito y se calcula que 110 millones de clientes de Target vieron comprometidos
sus datos.

3.3.- Prevención de fuga de datos

Porque las fugas de datos se presentan de muchas formas, no hay una solución única
para detenerlas y es necesario un enfoque holístico. Entre las principales medidas
que pueden tomar las empresas se incluyen:

- Control de acceso: El control de acceso es una práctica de seguridad diseñada

para limitar el acceso a los recursos informáticos a usuarios autorizados. Esto se
logra mediante la implementación de controles de acceso, como autenticación, au-
torización y auditoría. Los empleadores pueden usar estas medidas para asegu-
rarse de que solo los usuarios autorizados tengan acceso a los datos y los recursos,
y que los empleados solo tengan los permisos necesarios para realizar su trabajo.
- Enciptación: las empresas deben adoptar medidas de encriptación para proteger
sus sitios web y los datos que reciben mediante la implementación de la encripta-
ción SSL/TLS. Además, los datos en reposo también deben estar protegidos me-
diante la encriptación cuando se almacenan en los servidores de la empresa o en
los dispositivos de los empleados.
- Soluciones de seguridad web: incluyen el uso de autenticación de dos factores,
el cifrado de datos y la realización de evaluaciones de vulnerabilidades regulares.
Estas medidas pueden ayudar a prevenir ataques de phishing, infecciones de
malware y otros ataques que podrían comprometer la seguridad de los datos.
- Seguridad de la red: las empresas deben incorporar herramientas como firewalls,
protección contra ataques de denegación de servicio (DDoS), puertas de enlace
web seguras y prevención de pérdida de datos (DLP). Estas herramientas ayudarán
a mantener las redes internas seguras frente a cualquier amenaza.
- Mantener software y hardware actualizados: es clave para evitar que los atacan-
tes accedan a datos confidenciales. Los proveedores publican parches de seguri-
dad y nuevas versiones para corregir vulnerabilidades. Si no se instalan, los siste-
mas quedan expuestos. Además, los proveedores dejan de dar soporte a productos
antiguos, por lo que estos quedan completamente desprotegidos.
- Preparación: las empresas deben preparar un plan de respuesta para la minimiza-
ción o contención de una fuga de datos. Esto incluye hacer copias de seguridad de
las bases de datos importantes.
- Formación: es recomendable formar a los empleados para que sepan reconocer y
responder a los ataques de ingeniería social, ya que esta es una de las principales
causas de fuga de datos.

La organización debe restringir la capacidad de los usuarios para copiar y pegar datos
fuera de su control, implementando tecnologías de prevención de fuga de datos. Si
se requiere exportar, se debe permitir y responsabilizar a los usuarios. La captura de
pantalla debe abordarse mediante los términos y condiciones de uso, capacitación y
auditoría.

La prevención de la fuga de datos implica el control de las comunicaciones y las

actividades en línea del personal, así como el uso de herramientas como la ingeniería
social inversa, honeypots y herramientas de prevención de fuga de datos para iden-
tificar y monitorear el uso y movimiento de datos. Esto debe hacerse teniendo en
cuenta la legislación relacionada con la privacidad, la protección de datos, el empleo,
la interceptación de datos y las telecomunicaciones.

Gestión de Comunicación y Operaciones | 38

 3.4.- Gestión de la Fuga de Información

El plan propuesto para la gestión de este tipo de incidentes recoge los principales
aspectos y situaciones a considerar para evitar que esto suceda.

Resúmenes de acciones

Fase Inicial 13

La fase inicial de una fuga de información es significativamente crítica. Una buena

gestión en esta etapa puede reducir el impacto. La detección temprana del incidente
es uno de los mayores desafíos para las organizaciones, ya sea a través de medios
internos o monitorizando cualquier publicación sobre la empresa. La notificación de
la situación debe hacerse internamente de manera inmediata, junto con el lanza-
miento del protocolo de actuación. Es importante recordar a los empleados y terceros
la necesidad de prudencia y dirigir todas las preguntas a un interlocutor previamente
designado. Por último, se debe notificar la puesta en marcha del proceso de gestión
de la incidencia.

Fase de lanzamiento

La fase de lanzamiento consiste en iniciar el protocolo interno de gestión de inciden-

tes y convocar a los responsables que forman parte del equipo de gestión, formado
por un gabinete de crisis. Es importante mantener la calma y actuar con organización
para evitar decisiones incorrectas que puedan causar efectos negativos, ya sea a
nivel interno como externo. Aunque no todas las organizaciones cuenten con un

13.- [Link]
tion_fuga_informacion_0.pdf

Gestión de Comunicación y Operaciones | 39

gabinete de crisis o tengan los recursos necesarios, deberán contar como mínimo
con un responsable con capacidad de decisión que se encargue de la gestión y coor-
dinación de la situación. Además, todas las decisiones y actuaciones relativas al in-
cidente deben ser tomadas y coordinadas por el gabinete de crisis, evitando actua-
ciones por libre no definidas y acordadas por el gabinete.

Fase de Auditoria

Esta fase implica realizar una auditoría interna con el objetivo de determinar la can-
tidad de información que ha podido ser sustraída, el tipo de datos que contiene la
información y si la información pertenece a la organización o es externa. Además, se
debe establecer y acotar la causa principal de la filtración, ya sea de origen técnico o
humano, para identificar los sistemas afectados o los responsables de la fuga de
información.

La auditoría externa es un proceso de investigación que se lleva a cabo para evaluar

la seguridad de la información de una organización. Esta auditoría se centra en la
información que se ha filtrado al exterior de la organización. El objetivo de la auditoría
externa es determinar el alcance de la publicación de la información sustraída, esta-
blecer qué información se ha hecho pública, recoger las noticias y otros contenidos
que hayan aparecido en los medios de comunicación y conocer las reacciones que

Gestión de Comunicación y Operaciones | 40

se están produciendo en relación con el incidente. Esta información ayudará a la or-
ganización a comprender el tamaño, la gravedad y el nivel de difusión de la filtración.

Esta frase se refiere a la fase de respuesta de un incidente de seguridad. Esta fase

implica la recopilación de información sobre el incidente para determinar su alcance
y la mejor manera de abordarlo. El tiempo de reacción es crítico, ya que el incidente
puede tener un impacto significativo si no se aborda de manera oportuna. Por lo tanto,
es recomendable conocer la mayor parte de los detalles del incidente en un plazo de
12 horas desde el momento en que se ha conocido. Sin embargo, es importante tener
en cuenta que la rapidez no debe ser una prioridad por encima de la obtención de
información fiable.

Fase de Evaluación

Una vez recopilada la información, se debe establecer un plan de emergencia para

el incidente. Esto implica establecer una serie de tareas a emprender para mitigar los
efectos del incidente. Estas tareas deben ser ejecutadas de forma simultánea o se-
cuencial, según el escenario y los recursos de la organización. La prioridad de las
tareas será responsabilidad del gabinete de crisis.

Fase de Mitigación

Esta fase se centra en reducir la brecha de seguridad y prevenir futuras fugas de

información. Para ello, se puede llegar a la desconexión de un terminal, servicio o
sistema de Internet. Además, se tratará de minimizar la difusión de la información
filtrada, contactando con los sitios que la hayan publicado, solicitando su retirada,
sobre todo si se trata de información sensible o protegida por el secreto profesional
o la LOPD. Por último, se puede contactar con los medios de comunicación para
transmitir tranquilidad a los afectados.

Fase de Seguimiento

Esta fase se refiere al proceso de evaluación y estabilización de un incidente. Una

vez completadas las principales acciones del plan, se procederá a evaluar el resul-
tado y la efectividad de las acciones realizadas, para determinar si se han logrado los
objetivos establecidos. Esta evaluación también debe tener en cuenta el impacto del
incidente en términos de consecuencias legales, económicas y reputacionales. Ade-
más, se debe iniciar un proceso de estabilización de la situación generada por el
incidente, que incluya una auditoría completa para diseñar e implantar medidas

Gestión de Comunicación y Operaciones | 41

definitivas para evitar nuevas fugas y restablecer el normal funcionamiento de los
servicios e infraestructuras afectadas.

Bibliografía por Unidad

- UNE-ISO/IEC 27002 - AENOR 2015 - MADRID-España.

- -Gestión de incidentes de seguridad informática - Autor: Chicano Tejada, Ester -
Editorial: IC Editorial - Link: [Link]

TRABAJO PRÁCTICO ACTIVIDAD OBLIGATORIA: UNIDAD III

Desarrollar los siguientes puntos

1.- Investigar ejemplos de incidentes relacionados con la fuga de datos. Deberá do-
cumentar los incidentes y sacar sus conclusiones.
2.- Investigar las mejores prácticas para prevenir la fuga de datos. Deberá docu-
mentar sus hallazgos y presentar sus conclusiones.
3.- Realizar una investigación para identificar los mejores métodos para gestionar la
fuga de información. Deberá documentar sus hallazgos y presentar sus conclu-
siones.

ACTIVIDAD EN EL FORO: UNIDAD III

Responder y debatir sobre las siguientes preguntas:

1.- ¿Qué son las fugas de datos y cómo pueden afectar a una empresa?
2.- ¿Qué son las mejores prácticas para prevenir la fuga de datos?
3.- ¿Qué acciones se deben tomar para gestionar un incidente de fuga de datos?
4.- ¿Qué herramientas se pueden utilizar para prevenir la fuga de datos?
5.- ¿Cuáles son los pasos para recuperarse de una fuga de datos?

Gestión de Comunicación y Operaciones | 42

AUTOEVALUACIÓN

1.- ¿Qué es la fuga de datos?

2.- ¿Cuáles son las principales formas en que puede producirse una fuga de datos?
3.- ¿Qué son las amenazas internas?
4.- ¿Qué se recomienda para prevenir una fuga de datos?
5.- ¿Qué son los ataques de ingeniería social?
6.- ¿Qué consecuencias pueden surgir de una fuga de datos provocada por un actor
interno?
7.- ¿Qué son los ataques físicos a los puntos de venta?
8.- ¿Cuál es el objetivo de la fase inicial de una fuga de información?
9.- ¿Qué es un gabinete de crisis?
10.- ¿Qué debe hacerse en la fase de lanzamiento de un incidente de seguridad?
11.- ¿Qué es una auditoría externa?
12.- ¿Qué se debe hacer en la fase de mitigación de un incidente de seguridad?
13.- ¿Qué se debe hacer en la fase de seguimiento de un incidente de seguridad?

Gestión de Comunicación y Operaciones | 43

 Vicerrectorado de Tecnología y Educación Digital

Dirección de Diseño y Desarrollo Instruccional

Edición © UCASAL

Este material fue elaborado por el Prof. Ernesto Sánchez y Prof. Leopoldo Lugones en conjunto a la Dirección de Diseño y Desarrollo Instruccional
del Sistema de Educación a Distancia con exclusivos fines didácticos. Todos los derechos de uso y distribución son reservados. Cualquier copia,
edición o reducción, corrección, alquiles, intercambio o contrato, préstamo, difusión y/o emisión de exhibiciones públicas de este material o de
alguna parte del mismo sin autorización expresa, están terminantemente prohibidos y la realización de cualquiera de estas actividades haría incurrir
en responsabilidades legales y podrá dar lugar a actuaciones penales. Ley 11.723 - Régimen Legal de la Propiedad Intelectual; Art. 172 C.P.