SISTEMAS OPERATIVOS

UNIDAD 9: SEGURIDAD INFORMÁTICA

Licenciatura en Ciencias de la Computación

Licenciatura en Sistemas de Información
Tecnicatura Universitaria en Programación Web

Departamento de Informática

Facultad de Ciencias Exactas, Físicas y Naturales

Universidad Nacional de San Juan

Esquema de contenidos

1. INTRODUCCIÓN NORMA IRAM-ISO 27001 2

2. ALGUNAS DEFINICIONES 2
3. IMPLANTACIÓN DE LA NORMA ISO 27001 10
3.1. Gestión del Riesgo en Seguridad Informática 10
3.2. Evaluación del riesgo 11
3.2.1. Análisis de impacto 12
3.2.2. Matriz de riesgo 14
3.3. Selección e Implementación de controles en un SGSI 14
3.4. Control del riesgo 17
4. BIBLIOGRAFÍA 19

1. INTRODUCCIÓN NORMA IRAM-ISO 27001

La norma ISO 27001 es el estándar internacional para los Sistemas de Gestión de la
Seguridad de la Información (SGSI). Proporciona un marco robusto para proteger la
información de las organizaciones adaptándose a todo tipo y tamaño.
La norma nace en el Reino Unido en 1995 con el código BS 7799 y es revisada y
actualizada cada 5 años. La última versión es la ISO 27001:2022.
La familia 27000 está formada por varias normas, algunas de ellas:
● ISO 27000: Norma que contiene el resumen y vocabulario.
● ISO 27001: Norma principal para establecer los requisitos para la
implementación, mantenimiento y mejora continua de un SGSI.
● ISO 27002: Norma que se enfoca en las medidas de seguridad necesarias para
proteger la información. Es el código para prácticas en materia de controles de
seguridad de la información. Contiene el diseño e implantación de 114
controles.
● ISO 27005: Norma que contiene diferentes recomendaciones y directrices
generales para la gestión de riesgo de los SGSI.

2. ALGUNAS DEFINICIONES

Seguridad
El término seguridad proviene del latín securitas y de acuerdo a la RAE significa
seguro, libre de riesgo, tranquilo, que transmite confianza. De acuerdo al New Oxford
American Dictionary define seguridad como “is the state of being free from danger or
threat”, es decir, es un estado libre de peligro o amenaza.

Activos informáticos o activos de TI

Los activos informáticos son los recursos tecnológicos de la información y la
comunicación (TIC) que pertenecen a una organización o a un individuo.
En el caso de las empresas son una parte fundamental de los negocios y garantizan su
continuidad o competitividad.
Los activos TI se pueden agrupar en tres grandes categorías:
1. Hardware: es la infraestructura computacional: servidores, computadoras,
discos, memorias, impresoras, componentes de red, teléfonos celulares,
dispositivos de almacenamiento extraíbles, etc. En esta categoría también se
incluye (aunque no es hardware específicamente) salas de servidores, cableados
e infraestructuras donde se instalan los equipos o los conectan.
2. Software: son los sistemas informáticos sistemas operativos y aplicaciones
tanto desarrolladas por la organización o adquiridas.
3. Datos: bases de datos, correo electrónico, archivos de datos, fotos, videos,
archivos de papel, etc.

Información
La información hace referencia a datos de una organización, como por ejemplo:
cantidad en stock de un producto, precio unitario, cantidad de empleados, ventas del
último mes, costos, información de proveedores, etc. Es decir, es información muy
valiosa para la empresa y, en algunos casos, puede determinar la supervivencia de la
organización, pero son datos impersonales.

Datos personales
En cuanto a los datos personales (como su nombre lo indica) es información de las
personas y, por lo tanto, hay información confidencial e información no confidencial.
Un ejemplo de información confidencial son los datos relativos a la salud de la
persona. Además, un punto de partida obligatorio en este tema es que los datos
personales están protegidos y constituyen un derecho amparado en la Ley Nro. 25326
de la República Argentina. En la misma ley están las sanciones administrativas y
penales que se pueden aplicar por su inobservancia.

SGSI
Se entiende por SGSI a un Sistema de Gestión de Seguridad de la Información
(Information Security Management System) y tiene como objetivo evaluar todos los
riesgos asociados con los datos e información que se manejan en una empresa. El
SGSI es un elemento fundamental de la norma internacional ISO 27001, que persigue
asegurar la integridad y confidencialidad de los datos y los sistemas encargados de
procesarlos.

Pilares de la seguridad de la información

Para considerar un sistema seguro debe cumplir con las siguientes propiedades que
son los pilares de la seguridad:
1. Confidencialidad: es la condición que garantiza que los usuarios autorizados
son los que pueden acceder a la información de un sistema. Hace referencia a la
privacidad de la información.
2. Integridad: es la condición que garantiza que la información está completa y
sólo puede ser modificada por quien esté autorizado. Es decir, solo los usuarios
autorizados pueden ser capaces de modificar los datos.
3. Disponibilidad: es la condición que garantiza que la información debe estar
accesible o utilizable para los usuarios cuando lo requieran.

Amenaza (threat) o riesgo

Una amenaza (threat) es un elemento o acción que tiene la capacidad de afectar o
dañar la seguridad de un sistema informático. Algunos ejemplos de riesgos o
amenazas informáticas son:
● Desastres naturales
● Fallas de hardware
● Errores de programación
● Faltas cometidas por los usuarios del sistema
● Hackers o delincuentes informáticos
● Malware: virus, gusanos, caballos de Troya
● Software espía (spyware)
● Robos de datos personales e identidad
● Interceptación de comunicaciones
● Ataques de denegación del servicio

Vulnerabilidad
Una vulnerabilidad es una debilidad, falla o error de hardware y/o software que
compromete la seguridad del sistema informático. Esta fragilidad podría ser utilizada
por, por ejemplo, alguna persona malintencionada y causar daño al sistema o a la
organización.

Ataque informático (ciberataque)

Se entiende por ataque informático o ciberataque como un intento organizado e
intencionado que busca explotar alguna vulnerabilidad o debilidad en las redes o
sistemas informáticos con el objetivo de obtener algún beneficio económico, búsqueda
de reconocimiento en el mundo de la ciber-delincuencia o simplemente por anarquía.
Los ataques pueden clasificarse en:
a) Ataque de Intercepción: se produce cuando un atacante consigue acceso a un
recurso y puede leer el tráfico de información que fluye por una línea de
comunicación. Este tipo de ataque recibe distintos nombres: rastreo, espionaje,
sniffing, hombre en el medio (man in the middle). Es un ataque a la
confidencialidad y es uno de los incidentes más difíciles de detectar ya que no
hay una alteración del sistema.

b) Ataque de Interrupción: se produce cuando el ataque destruye un recurso o lo

deja no disponible. Es un ataque a la disponibilidad. Un ejemplo de este tipo de
ataque es la denegación de servicio (Denial of Service, DoS) que consiste en
hacer que un sitio web o recurso de red no esté disponible haciendo que colapse
con tráfico malintencionado para que no pueda funcionar correctamente.

c) Ataque de Modificación: este es un ataque contra la integridad de un sistema en

el que se accede a un recurso y se manipula. Este ataque es uno de los más
 dañinos puesto que, como su propio nombre indica, produce la modificación de
la información o los programas.

d) Ataque de Fabricación: es un ataque contra la autenticidad (el usuario es quien

dice ser) en la que el atacante añade información falsificada. Algunos ejemplos
de este ataque es la inserción de mensajes falsos en una red, añadir datos a un
archivo, o inyectar código a un sitio web.

Riesgo y gestión de riesgos

El riesgo en ciberseguridad es la probabilidad de que una amenaza explote o
aproveche alguna vulnerabilidad de algún activo de la organización y afecte al
sistema.
La gestión de riesgos se define como el proceso que permite identificar, analizar y
cuantificar las probabilidades de pérdidas y efectos secundarios que podría suceder
ante algún evento desastroso, así como las acciones preventivas, correctivas y
reductivas que debe emprender la organización para reponerse.

Malware
Malware (malicious software) es un término general para referirse a un programa
diseñado para infiltrarse en un sistema sin el conocimiento del usuario y causar daños
e interrupciones en el sistema o robar datos. La siguiente imagen (extraída del sitio del
antivirus Avast) muestra algunos tipos de malware y su accionar:
Virus
Como ya se dijo el malware es cualquier tipo de software dañino dirigido contra un
sistema informático. En cambio, un virus es un tipo de malware que puede
reproducirse y propagarse por sí mismo. Por lo tanto, todos los virus son malware,
pero no todos los malware son virus. Esta imagen (extraída del sitio del antivirus
AVG) aclara lo expresado:

Ingeniería social
La ingeniería social es un conjunto de técnicas de manipulación que usan los
cibercriminales para engañar a los usuarios y, de esta manera, conseguir sus datos
confidenciales, infectar sus computadoras con malware o abrir enlaces a sitios
infectados.
Los canales habituales en los que los ciberdelincuentes manipulan y engañan a las
personas son: llamadas telefónicas (vishing), visitas personales al domicilio de las
personas, aplicaciones de mensajería instantánea, correos electrónicos falsos
(phishing), redes sociales, dejar dispositivos (típicamente pendrive) con contenido
malicioso, etc.
Los métodos más usados para realizar el ataque son: hacerse pasar por un familiar, un
conocido o un compañero de trabajo, ofrecer a la víctima premios o promociones
únicas y limitadas a cambio de sus datos, hacerse pasar por el técnico de la empresa o
por la persona responsable de sistemas, invitar a completar formularios para ganar un
premio o un producto, ofrecer actualizaciones de navegadores o aplicaciones a través
de páginas falsas, etc.
En la siguiente imagen se visualiza el ciclo de vida de un ciberataque basado en la
ingeniería social:

En la primera etapa (recolección de la información o footprinting) el ciberdelincuente

acumula toda la información posible sobre la persona o personas a engañar: trabajo,
ambiente familiar, entorno social, etc. con el objeto de descubrir con quiénes
interactúa o se relaciona. Algunos ejemplos: listas de empleados, números de teléfono,
emails, organigrama de la organización, nombres de departamentos, gabinetes o
equipos de trabajo, proveedores, bancos, direcciones físicas, etc.
La segunda fase (establecimiento de una relación de confianza) consiste en conseguir
tener una relación más cercana a la víctima (usualmente un empleado de la
organización). Por ejemplo, hacer un llamado telefónico, haciéndose pasar por
personal de mantenimiento TI, para realizar un servicio de rutina en su computadora.
En la etapa de manipulación, el delincuente ejerce una manipulación psicológica
aprovechando la confianza ganada en la etapa anterior. El objetivo (a través de
distintas técnicas) es obtener todo tipo de información confidencial que le permitirá al
ciberdelincuente ingresar al sistema, principalmente contraseñas.
Finalmente, una vez obtenida la información deseada, el ciberdelincuente impedirá
por todos los medios eliminar toda sospecha sobre él. Así, puede realizar ataques en el
futuro, y también, continuar con la explotación consiguiendo información a través de
su relación “amistosa” entablada con la persona.
Los ataques realizados a través de la ingeniería social son muy difíciles de detectar.
Además, como los ciberdelincuentes usan diferentes técnicas psicológicas y sociales,
distintos tipos de dispositivos y plataformas para engañar a las personas sin despertar
sospechas, es muy complicado descubrirlos.

Control de acceso
El control de acceso es el proceso de autorización de usuarios, grupos y dispositivos
para que puedan acceder a los recursos de un sistema computacional.
El control de acceso es un elemento clave de la seguridad que formaliza quién tiene
permiso para tener acceso a ciertos datos, aplicaciones y recursos y en qué
condiciones.

Tipos de Hackers
No todos los hackers son iguales. De acuerdo a sus motiovaciones y la legalidad de
sus actos, se los suele clasificar en hackers de sombrero negro, de sombrero blanco y
de sombrero gris (esta terminología hace referencia a las antiguas películas de
vaqueros del Lejano Oeste).
Los hackers de sombrero negro son delicuentes que se
introducen en redes informáticas para llevar a cabo algún acto
maligno. Los motiva el dinero, venganza, hacer daño,
ideología, etc.
Los hackers de sombrero blanco (también llamados hackers
éticos o hackers buenos) son la antítesis de los de sombrero
negro. Cuando se introducen en un sistema el objetivo es identificar sus puntos
vulnerables y poder recomendar modos para solucionar tales debilidades o falencias.
Los hackers de sombrero gris existen en la intersección entre los hackers de sombrero
blanco y los hackers de sombrero negro. Combinan, en cierto modo, las características
de ambos bandos. Normalmente, buscan vulnerabilidades sin que el propietario del
sistema bajo análisis lo haya permitido. Cuando encuentran un problema, se lo hacen
saber al responsable del sistema; a veces también se ofrecen a corregir el
inconveniente por un pequeño pago.
A menudo, lo que un hacker de sombrero gris más desea es hacer alarde de sus
conocimientos y obtener reconocimiento (o agradecimiento) por lo que ven como una
contribución a la ciberseguridad.
Cuando un hacker de sombrero blanco descubre una vulnerabilidad, la aprovecha
únicamente si tiene permiso para hacerlo y se compromete a no revelar sus hallazgos
hasta que el problema haya sido resuelto. Un hacker de sombrero negro buscaría
aprovecharse ilegalmente de la vulnerabilidad o les explicaría a otros cómo explotarla.
Un hacker de sombrero gris no se aprovecharía de la vulnerabilidad y tampoco les
diría a otros cómo explotarla.

3. IMPLANTACIÓN DE LA NORMA ISO 27001

3.1. Gestión del Riesgo en Seguridad Informática

La seguridad informática, seguridad de la información o ciberseguridad es el
conjunto de tecnologías, procesos y prácticas diseñadas para proteger los activos de
una organización: hardware, software y datos.
Esta disciplina requiere de una serie de etapas que permiten proteger este sistema
frente a posibles intrusos que se meten en los recursos informáticos con malas
intenciones que van desde robar datos y obtener ganancias, hasta accesos por
accidentes que revelan información sensible de la organización, no olvidando la
posibilidad de desastres naturales (terremotos, inundaciones, incendios).
La gestión del riesgo en seguridad informática contiene 3 etapas:
1. Evaluación del riesgo
2. Selección e implementación de controles
3. Control del riesgo
3.2. Evaluación del riesgo
La evaluación del riesgo es un proceso de identificación, análisis y valoración.
Se deben identificar, por ejemplo, los activos informáticos, con sus vulnerabilidades y
amenazas potenciales a las que está expuesta la organización.
Además, no alcanza con determinar las vulnerabilidades y amenazas sino que debe
determinarse la magnitud del impacto si llegase a ocurrir el evento estimando daños
y/o pérdidas financieras o administrativas para la organización.

La etapa de Evaluación de riesgo involucra las siguientes actividades:

A. Delimitación del marco de evaluación de riesgos: consiste en determinar
claramente qué parte de la empresa será evaluada. Esto es, definir qué porción
de la infraestructura, hardware, software, procesos y recursos humanos serán
incluidos en el proceso a fin de que, como marca la cláusula 6.1.2 de ISO
27001, las evaluaciones de riesgos sean coherentes, válidas y comparables.

B. Identificación de los activos: esto incluye los componentes del sistema

(hardware, software y datos), criticidad de los sistemas, sensibilidad de los
datos, etc.

C. Identificación de las amenazas: consiste en hacer un listado con los eventos o

acciones que pueden producir algún daño sobre los elementos del sistema. Se
recomienda estudiar la historia de esa organización, la historia de
organizaciones similares y el estado de situación de amenazas para ese
momento de tiempo.

D. Identificación de las vulnerabilidades: consiste en hacer un listado con las

debilidades o defectos (diseño, implementación, controles aplicados, etc.) de
los componentes del sistema. Esta identificación se
realiza por medio de pruebas de seguridad (pen test o
penetration test) y listas de verificación de acuerdo al
componente evaluado. El encuentro de estas
vulnerabilidades también es llamado ethical hacking y
es llevado a cabo por un experto en seguridad o hacker
ético.

E. Requisitos legales: debe establecerse si la organización está alcanzada por

leyes que deba cumplir con sus clientes, socios o proveedores.

F. Análisis de controles: el objetivo es verificar el funcionamiento de los

controles actuales.
 G. Determinación del riesgo: consiste en determinar la probabilidad de que una
vulnerabilidad del sistema sea explotada y afecte alguno de los pilares de la
seguridad: integridad, disponibilidad o confidencialidad. El riesgo se clasifica
en tres niveles:
a. Alto: para que una observación sea clasificada con riesgo alto, significa
que hay una fuerte necesidad de medidas correctivas
b. Medio: para que una observación sea clasificada con riesgo medio,
significa que son necesarias medidas correctivas
c. Bajo: para que una observación sea clasificada con riesgo bajo, significa
que la organización debe evaluar si aplica medidas correctivas o acepta
el riesgo

H. Análisis de impacto: se trata de establecer cuánto daño (económico, de

funcionamiento, prestigio) le produce a la organización que una amenaza se
concrete evaluando la criticidad de un activo o de los datos. Es recomendable
que la evaluación sea cuantitativa (que se pueda medir económicamente) ya
que ayuda a la gerencia en la toma de decisiones.

I. Matriz de riesgo: se genera un documento con la matriz de riesgo para cada

uno de los activos. Es importante organizar este conjunto de matrices de
acuerdo a la probabilidad de que se materialice el riesgo y el impacto que
puede tener sobre la organización. Como en el caso anterior, se recomienda un
orden cuantitativo a los efectos de colaborar en la toma de decisiones,
cuantificando aquellos casos más difíciles de medir como por ejemplo: la
imagen de la empresa o pérdida de prestigio ante sus clientes.

3.2.1. Análisis de impacto

Como se dijo, se trata de establecer cuánto daño le produce a la organización que una
amenaza se concrete. Entonces, determinar el posible daño es el primer paso. Para ello
se puede definir una escala a aplicar para cada activo en relación a las tres
dimensiones de cada información, es decir cómo afecta su pérdida de
confidencialidad, integridad o disponibilidad.
Se presenta (a modo de ejemplo) una escala de 5 valores:

5 puntos: impacto Extremo

Cuando existe la posibilidad de que el impacto tenga como consecuencia cualquiera
de las siguientes eventos:
➢ Pérdida financiera insoportable para el negocio
 ➢ Cobertura de medios negativa internacional a largo plazo; pérdida total de la
cuota de mercado
➢ Enfrentar juicios con posibilidad de encarcelamiento de
directivos
➢ Multas importantes
➢ Litigios que incluyen acciones colectivas,
➢ Lesiones o muertes a empleados o terceros, como
clientes o vendedores
➢ Fuga de talentos con consecuencias lesivas para el
negocio

4 puntos: impacto Importante

Si concurren alguna de las siguientes consecuencias:
➢ Pérdida financiera entre un valor A y un valor B
➢ Impacto nacional negativo a nivel de medios de comunicación a largo plazo
➢ Pérdida significativa de cuota de mercado
➢ Requisito de comunicación a las entidades reguladoras por incidentes con un
proyecto importante como acción correctiva
➢ Se requiere atención hospitalaria limitada para empleados o terceros, como
clientes o vendedores
➢ Alta rotación de personal experimentado

3 puntos: impacto Moderado

➢ Pérdida financiera entre un valor A y un valor B
➢ Impacto en medios de comunicación negativo a nivel nacional a corto plazo
➢ Requisito de comunicación a las entidades reguladoras por incidentes con una
acción correctiva inmediata
➢ Tratamiento médico ambulatorio requerido para empleados o terceros, clientes
o proveedores
➢ Problemas generales en el ánimo o moral del personal y alta rotación

2 puntos: impacto Menor

➢ Pérdida financiera entre un valor A y un valor B
➢ Daño en la reputación en el ámbito local
➢ Incidente denunciable al regulador, sin seguimiento
➢ Sin lesiones menores a empleados o terceros, como
clientes o proveedores
➢ Problemas generales en el ánimo o moral del
personal y aumento en la rotación
1 punto: impacto Incidental
➢ Pérdida financiera insignificante
➢ La atención de los medios locales se remedia rápidamente
➢ Incidente no reportable a las entidades reguladoras
➢ No hay lesiones para los empleados o terceros, como clientes o proveedores
➢ Insatisfacción del personal

0 punto: impacto No aplicable

3.2.2. Matriz de riesgo

Junto con el impacto se debe precisar con la mayor exactitud posible la probabilidad
de que ocurra dicho evento ya que no basta con el impacto posible ya que el número
de ocurrencias esperado es lo que junto al impacto determina finalmente el perfil del
riesgo de cada activo: Riesgo = impacto x probabilidad de la amenaza

Activo X Confidencialidad Integridad Disponibilidad Nivel impacto

TOTAL

Impacto 0 No aplica 3 Moderado 4 Importante 7

3.3. Selección e Implementación de controles en un SGSI

La etapa de Selección e Implementación de controles involucra las siguientes
actividades:
A. Confección de un Plan de Gestión de Riesgos: Este es el punto central de la
gestión de riesgos. Es el momento de decidir, con base en el trabajo que se ha
realizado, qué hacer con cada amenaza. Las opciones para implementar los
controles adecuados para cada riesgo son:
1. Evitar el riesgo, cuando es posible y financieramente viable eliminar la
causa raíz del problema. No se trata de gestionar el riesgo, sino de la
eliminación completa de la probabilidad que ocurran estos eventos.
2. Mitigar el riesgo, se trata de disminuir los riesgos hasta un nivel
aceptable mediante la aplicación de controles de seguridad reduciendo la
probabilidad de ocurrencia, el daño potencial o ambos. Para mitigar las
amenazas la norma ISO 27001 ofrece una muy eficaz lista de controles
contenidas en el Anexo A.
 3. Transferir el riesgo, subcontratando un proceso o tomando una póliza
de seguros. Esta estrategia de gestión y control de riesgos implica el
cambio contractual de un riesgo de una parte a otra.
4. Aceptar el riesgo, significa que, aunque el riesgo está identificado y
registrado en el proceso de gestión de riesgos, no se realizará ninguna
acción. Simplemente se acepta que pueda suceder y se aplicará un
tratamiento específico si así ocurre. Esta es una buena estrategia para
usar con riesgos muy pequeños, riesgos que no tendrán un gran impacto
en la actividad de la organización si llega a ocurrir y existe una solución
fácil en caso de que surja.
Para la selección de controles conviene confeccionar un cuadro sobre las
características y clasificación de la información de cada activo para poder
seleccionar los controles adecuados.
Con la información obtenida en la etapa anterior (Evaluación del riesgo) se
pueden establecer una serie de controles técnicos y organizativos para proteger
el activo de las amenazas.
Dentro del Plan de Gestión de Riesgos se debe realizar un Análisis de
aplicabilidad o Declaración de aplicabilidad tomando en cuenta todos los
controles del Anexo A de manera de verificar que no se ha dejado fuera ningún
control que se pueda aplicar a la protección de este activo.
A continuación se presenta el modelo de declaración de aplicabilidad de la
norma ISO 27001:

Activo: Sala de servidores

Control de Implementado Aplica a los Costo de Costo de Justificación
acceso riesgos del implementació mantenimiento
activo n aceptable aceptable

Política de
control de SI/NO SI/NO SI/NO SI/NO
acceso

Accesos a las
redes y a los SI/NO SI/NO SI/NO SI/NO
servicios de red

Registro y baja
SI/NO SI/NO SI/NO SI/NO
de usuarios

Gestión de
privilegios de SI/NO SI/NO SI/NO SI/NO
acceso

Gestión de la
información
SI/NO SI/NO SI/NO SI/NO
secreta de
autenticación
de los usuarios

Revisión de los
derechos de SI/NO SI/NO SI/NO SI/NO
acceso

Retirada o
ajuste de los
SI/NO SI/NO SI/NO SI/NO
derechos de
acceso

En esta etapa se busca mitigar, eliminar, aceptar o transferir los riesgos

identificados ofreciendo recomendaciones, a fin, de llevarlos a un nivel
aceptable. La implementación de algunos controles quedará supeditada a una
evaluación costo-beneficio.
Entonces, todo este trabajo (Plan de Gestión de Riesgos) debe ser documentado
con el objeto de ofrecerlo a la gerencia para la toma de decisiones.
El fin de que todo quede documentado es necesario por dos motivos
fundamentales:
● Garantizar la repetición en el tiempo de un proceso. La base para
garantizar la aplicación sistemática de un proceso es su documentación
● Establecer un proceso de mejora. La documentación de un proceso
permite el acceso a información valiosa cuando se decide evaluar la
eficacia del sistema de gestión y permite tomar decisiones para
modificar por ejemplo el proceso de toma de decisiones para mejorar el
sistema. Este es uno de los principales motivos de un sistema de gestión:
la mejora contínua de los procesos.

B. Medición de la eficacia de los controles: Crear objetivos mensurables es un

requisito del Estándar 27001 que conduce a establecer dentro de cada proceso
de seguridad los parámetros dentro de los cuales se evalúan tanto su nivel de
implantación como finalmente los resultados de cada control.
El establecimiento de criterios de evaluación y medición claros y concisos
permiten:
● Comunicar los objetivos al personal
● Planificar su implementación
● Medir la eficacia de los controles adoptados
● Implementar cambios a medida que surgen problemas
● Proponer mejoras y cambios en la gestión de riesgos para mejorar el sistema
SGSI
Para cada uno de los objetivos, se necesita indicar cómo va a lograrlos, esto
incluye determinar:
● Qué recursos se asignan
 ● Quién tiene la responsabilidad sobre el objetivo
● Si hay una fecha objetivo para completar el objetivo o es continuo

C. Implementación de los controles: es el período de tiempo que lleva la

ejecución del Plan de Gestión de Riesgos integrando o reemplazando los
nuevos procesos con los procesos ya existentes en la empresa.

D. Formación y concientización:
Para que el Plan de Gestión de Riesgos, de acuerdo a la norma ISO 27001,
pueda cumplir sus objetivos se necesita la formación de los RRHH y un plan de
concientización para garantizar que se integren los cambios en los
comportamientos y las formas de trabajo.
Como mínimo la formación debe
incluir:
● La creación y difusión de contenidos
de capacitación
● Trabajar con RRHH para garantizar
la formación en el Plan de Gestión
de Riesgos con encuentros
periódicos de actualización
● Definir las expectativas de los
empleados en cuanto al
comportamiento esperado
● Capacitar al personal sobre las amenazas comunes a las que se enfrenta la
organización y cómo responder a ellas

3.4. Control del riesgo

Esta etapa involucra dos etapas cuyo objetivo final es obtener mejoramientos en los
controles implementados en el Plan de Gestión de Riesgos.

A. Evaluación del desempeño: Una organización necesita decidir qué debe

controlar para asegurar que el proceso del SGSI y los controles de seguridad de
la información estén funcionando según lo previsto. No es práctico controlar a
cada momento, si se intenta hacerlo, es probable que el volumen de datos sea
tan grande que sea prácticamente imposible usarlo de manera efectiva. Por lo
tanto, en la práctica, se debe tomar una decisión informada sobre qué
monitorear. Las siguientes consideraciones son importantes:
● ¿Qué procesos y actividades están sujetos a las amenazas más frecuentes y
significativas?
 ● ¿Qué procesos y actividades tienen las vulnerabilidades más significativas?
● ¿Qué es práctico para controlar y generar información significativa y
oportuna?
● Cada proceso de control que se implemente, para que sea efectivo, debe
definir claramente:
○ Cómo se lleva a cabo el control (por ejemplo, esto se define en un
procedimiento);
○ Cuándo se lleva a cabo;
○ Quién es responsable de llevarlo a cabo;
○ Cómo se informan los resultados, cuándo, a quién y qué hacen con ellos;
○ Si los resultados del control identifican un desempeño inaceptable, ¿cuál
es el proceso o procedimiento para afrontar esta situación?
En caso de que se realice una auditoría
interna, para demostrarle a un auditor
que tiene implementado el
procesamiento de monitoreo adecuado,
se deben conservar registros de los
resultados de monitoreo, análisis,
revisiones de evaluación y cualquier
actividad relacionada.
El propósito de las auditorías internas es
evaluar sus deficiencias en los procesos del SGSI e identificar oportunidades de
mejora. También proporcionan una verificación de la realidad para la gerencia
sobre el desempeño del SGSI. Las auditorías internas deben comprobar:
● La consistencia del seguimiento de los procesos, procedimientos y
controles;
● El éxito de los procesos, procedimientos y controles para conseguir los
resultados esperados;
● Si su SGSI cumple con la norma ISO 27001 y los requisitos de las partes
interesadas

B. Mejora contínua: Como ningún SGSI es

perfecto, a partir de realizar controles
eficientes, entonces, dichos sistemas de
gestión deberían mejorar con el tiempo y
aumentar la resistencia frente a los ataques
de seguridad de la información. La
premisa básica es No conformidad y
acción correctiva permanente.
 La mejora se consigue aprendiendo de los incidentes de seguridad, los
problemas identificados en las auditorías, los problemas de rendimiento, las
quejas de las partes interesadas y las ideas generadas durante las revisiones por
la dirección.
Para cada oportunidad identificada, deberá mantener registros de:
● Lo que ocurrió
● Si el evento tuvo consecuencias indeseables, qué acciones se tomaron para
controlarlo y mitigarlo
● La causa raíz del evento (si se determina)
● La acción tomada para eliminar la causa raíz (si es necesario)
● La evaluación de la efectividad de cualquier acción tomada

4. BIBLIOGRAFÍA
[Link]
[Link]
Infoleg,[Link]
[Link]
[Link]
[Link]
[Link]
Ciber incidentes relevantes en Argentina, [Link]
Gobierno de la República Argentina, [Link]
Security Trybe. [@SecurityTrybe]. X (Tweeter)