Resumen detallado del Tema 1: Organización de la Seguridad de la Información

1.1 Conceptos básicos de seguridad La seguridad de la información se refiere a la protección de

la información y los recursos que la soportan (sistemas, redes, personas, etc.) para evitar accesos
no autorizados, robos, ataques y otros riesgos. Esta seguridad abarca tres objetivos
fundamentales:

● Confidencialidad: Proteger la información para que solo personas autorizadas puedan

acceder a ella.
● Integridad: Asegurar que la información no se altere o modifique sin autorización.
● Disponibilidad: Garantizar que la información esté accesible cuando se necesite.
Un principio clave es que "la seguridad es un proceso, no un producto". Esto significa que no
basta con implementar medidas técnicas (como antivirus o cortafuegos), sino que también se
deben seguir políticas, procedimientos y auditorías continuas para gestionar todos los incidentes
y riesgos relacionados con la seguridad.
1.2 Sistemas de Gestión de la Seguridad de la Información (SGSI) El SGSI es un conjunto de
procesos, políticas y herramientas que una organización implementa para proteger la
información. Se basa en un enfoque de mejora continua y en la gestión de riesgos, es decir, en
identificar los riesgos que amenazan la seguridad de la información, evaluarlos y decidir qué
medidas tomar para mitigarlos.

El Círculo de Deming es una metodología que describe cómo gestionar un SGSI:

1. Planificar: Identificar los riesgos y definir políticas de seguridad.

2. Hacer: Implementar las políticas y controles de seguridad.
3. Comprobar: Monitorizar y auditar el sistema para asegurarse de que funciona
correctamente.
4. Actuar: Tomar acciones correctivas o preventivas para mejorar la seguridad.
1.3 Normas de seguridad y el estándar ISO 27001 El estándar ISO 27001 es una norma
internacional que proporciona un marco para establecer, implementar y mejorar un SGSI. Este
estándar es ampliamente utilizado porque:

● Permite a las organizaciones seguir mejores prácticas en la protección de la

información.
● Ayuda a identificar, gestionar y reducir riesgos relacionados con la seguridad de la
información.
Además de la ISO 27001, existen otros marcos y normativas relacionados con la seguridad de la
información, como el Esquema Nacional de Seguridad (ENS), que establece requisitos
mínimos para proteger la información en el ámbito de la administración pública.

1.4 Controles de seguridad Los controles de seguridad son medidas que las organizaciones
implementan para proteger la información. Estos controles pueden ser de distintos tipos:

● Políticas y procedimientos: Normas que definen cómo deben gestionarse la seguridad y

los incidentes.
● Medidas técnicas: Herramientas como cortafuegos, cifrado de datos, antivirus, etc.
● Medidas organizativas: Roles y responsabilidades dentro de la organización para
gestionar la seguridad de manera adecuada.
1.5 Clasificación de la información No toda la información tiene el mismo nivel de importancia
o sensibilidad. Por lo tanto, las organizaciones deben clasificarla y asignarle diferentes niveles de
protección. Las clasificaciones comunes incluyen:

● Pública: Información que puede ser accesible por cualquier persona.

● Interna: Información que debe mantenerse dentro de la organización.
● Confidencial: Información sensible que debe ser protegida de accesos no autorizados.
● Secreta: Información crítica que debe estar altamente protegida debido a su impacto
potencial si es comprometida.
1.6 Gobierno de la seguridad El gobierno de la seguridad de la información se refiere a las
responsabilidades y prácticas que la dirección de una organización debe seguir para asegurar que
la seguridad está alineada con los objetivos del negocio. Esto incluye:

● Asignar responsabilidades claras sobre la gestión de la seguridad.

● Cumplir con las leyes y regulaciones aplicables.
● Gestionar riesgos de manera efectiva, protegiendo los activos más valiosos.
En resumen, la seguridad de la información no solo trata de proteger datos mediante
herramientas tecnológicas, sino que implica un enfoque integral que abarca políticas,
procedimientos, gestión de riesgos y la responsabilidad de toda la organización. Es un proceso
continuo que debe adaptarse a nuevas amenazas y a los cambios en la organización (Inteligencia
de Negocio…).
Para el examen sobre el Tema 1: Organización de la Seguridad de la Información, algunas
preguntas comunes podrían centrarse en los conceptos básicos, normas de seguridad y la
implementación de sistemas de gestión de la seguridad. Aquí te dejo algunas posibles preguntas
que podrían hacerte, así como imágenes importantes que debes tener en cuenta.

Posibles Preguntas del Examen

 1. Conceptos básicos de la seguridad de la información:
○ Pregunta: ¿Cuáles son los tres pilares fundamentales de la seguridad de la
información?
○ Respuesta esperada: Confidencialidad, Integridad y Disponibilidad.
2. Ciclo de Deming (Planificar, Hacer, Comprobar, Actuar):
○ Pregunta: Describe el Ciclo de Deming y su importancia en la implementación
de un Sistema de Gestión de la Seguridad de la Información (SGSI).
○ Respuesta esperada: El Ciclo de Deming es un proceso de mejora continua que
asegura que las políticas de seguridad sean planificadas, implementadas,
verificadas y mejoradas de forma constante.
3. ISO 27001:
○ Pregunta: ¿Qué es la norma ISO 27001 y por qué es importante en la gestión de
la seguridad de la información?
○ Respuesta esperada: ISO 27001 es una norma internacional que proporciona un
marco para establecer y mantener un SGSI, lo que garantiza la protección de los
activos de información.
4. Clasificación de la información:
○ Pregunta: ¿Cómo se clasifica la información en una organización y por qué es
importante esta clasificación?
○ Respuesta esperada: La información se clasifica en pública, interna, confidencial
y sensible, para asegurar que cada tipo de información reciba el nivel adecuado de
protección en función de su criticidad.
5. Controles de seguridad:
○ Pregunta: Menciona y explica dos tipos de controles de seguridad que una
organización puede implementar.
○ Respuesta esperada: Controles técnicos (como firewalls o cifrado de datos) y
controles organizativos (como políticas y procedimientos).
6. Gobierno de la seguridad:
○ Pregunta: ¿Qué es el gobierno de la seguridad de la información y qué rol juega
en una organización?
○ Respuesta esperada: Es el conjunto de prácticas que asegura que la gestión de la
seguridad esté alineada con los objetivos de negocio, asignando responsabilidades
claras y asegurando el cumplimiento de las normativas.
Imágenes Importantes

Una imagen clave para este tema es el Círculo de Deming, ya que describe el proceso cíclico de
mejora continua que es esencial en la implementación de un SGSI. Este ciclo consta de cuatro
fases:

1. Planificar: Definir políticas, identificar riesgos y seleccionar controles.

 2. Hacer: Implementar los controles y las políticas planificadas.
3. Comprobar: Auditar y revisar la efectividad de las medidas implementadas.
4. Actuar: Mejorar las políticas basándose en los resultados de las auditorías.
Otra imagen importante podría ser un diagrama que ilustre los tres pilares de la seguridad de la
información: Confidencialidad, Integridad y Disponibilidad. Este tipo de representación
visual puede ayudarte a comprender y explicar de manera más clara los conceptos clave.

Resumen Detallado del Tema 2: Gestión de Riesgos

La gestión de riesgos es un proceso clave en cualquier organización que quiere proteger uno de
sus activos más importantes: la información. El objetivo principal es identificar los riesgos a los
que está expuesta la organización, evaluarlos, y decidir cómo tratarlos para minimizar su
impacto.

2.1 Introducción a la Gestión de Riesgos

El riesgo se refiere a la probabilidad de que ocurra un incidente que pueda afectar negativamente
a la organización. La gestión de riesgos permite tomar decisiones informadas sobre cómo tratar
estos riesgos y es un proceso continuo que debe integrarse en todas las actividades de la
organización.
La ISO 31000 es la norma que establece las directrices para la gestión de riesgos, y destaca la
importancia de que este proceso sea transparente, sistemático, y adaptado a la cultura y
necesidades de la organización.

2.2 Fases de la Gestión de Riesgos

1. Identificación de riesgos: Se deben identificar todos los riesgos potenciales que podrían
afectar a la organización, como ataques cibernéticos, desastres naturales, errores
humanos, entre otros.
2. Análisis de riesgos: Este análisis puede ser cualitativo o cuantitativo. Se evalúa la
probabilidad de que ocurra el riesgo y el impacto que tendría en la organización si se
materializa.
○ Cualitativo: Clasifica los riesgos en categorías como alto, medio o bajo.
○ Cuantitativo: Asigna valores numéricos específicos a la probabilidad y el
impacto para calcular un nivel de riesgo total.
3. Evaluación de riesgos: Compara los riesgos analizados con los criterios establecidos
para determinar cuáles son aceptables y cuáles requieren medidas de mitigación.
4. Tratamiento de riesgos: Una vez evaluados los riesgos, se decide qué hacer con ellos.
Las opciones incluyen:
 ○ Evitar el riesgo: Cambiar los procesos o actividades para evitar la posibilidad del
riesgo.
○ Reducir el riesgo: Implementar controles para disminuir su probabilidad o
impacto.
○ Transferir el riesgo: Utilizar seguros o contratos para transferir el riesgo a
terceros.
○ Aceptar el riesgo: Si el riesgo es bajo o el costo de mitigarlo es muy alto, se
puede optar por aceptarlo.
2.3 ISO 31000

Esta norma proporciona un marco para la gestión de riesgos basado en principios como:

● Centrado en la creación de valor: La gestión de riesgos debe añadir valor a la

organización.
● Enfoque sistemático y estructurado: El proceso debe ser metódico y seguir un plan
claro.
● Mejora continua: La gestión de riesgos debe adaptarse a cambios en la organización y
en el entorno.
2.4 Metodologías de Análisis de Riesgos

Existen diversas metodologías para realizar el análisis de riesgos, algunas de las más comunes
incluyen:

● Análisis cualitativo: Utiliza escalas como semáforos (rojo, amarillo, verde) para
visualizar el nivel de riesgo.
● Análisis cuantitativo: Se basa en datos numéricos y utiliza fórmulas para calcular el
riesgo total.
● Enfoque semi-cuantitativo: Combina ambos, permitiendo asignar valores numéricos y
colores para facilitar la interpretación.
Posibles Preguntas del Examen

1. Identificación de riesgos:
○ Pregunta: ¿Qué significa identificar un riesgo en la gestión de riesgos y por qué
es importante?
○ Respuesta esperada: Identificar un riesgo es detectar posibles eventos que
podrían afectar negativamente a la organización. Es importante porque permite
evaluar y mitigar esos riesgos antes de que se materialicen.
2. Análisis cualitativo vs cuantitativo:
○ Pregunta: Diferencia entre el análisis de riesgos cualitativo y cuantitativo.
 ○ Respuesta esperada: El análisis cualitativo clasifica los riesgos en categorías sin
asignar números específicos, mientras que el análisis cuantitativo utiliza valores
numéricos para calcular la probabilidad e impacto de los riesgos.
3. Tratamiento de riesgos:
○ Pregunta: Menciona y explica dos formas de tratar los riesgos identificados.
○ Respuesta esperada: Reducir el riesgo implementando controles para disminuir
la probabilidad o el impacto; Transferir el riesgo a un tercero mediante seguros o
contratos.
4. ISO 31000:
○ Pregunta: ¿Cuáles son algunos de los principios clave de la gestión de riesgos
según la ISO 31000?
○ Respuesta esperada: La gestión de riesgos debe crear valor, ser sistemática y
estructurada, y buscar la mejora continua.
5. Apetito de riesgo:
○ Pregunta: ¿Qué es el apetito de riesgo de una organización y cómo influye en la
gestión de riesgos?
○ Respuesta esperada: El apetito de riesgo es el nivel de riesgo que una
organización está dispuesta a aceptar. Influye en la gestión de riesgos porque
define qué riesgos se consideran aceptables y cuáles necesitan medidas
adicionales de mitigación.
Imágenes Importantes

1. Mapa de calor de riesgos: Una imagen importante para el tema de gestión de riesgos es
un mapa de calor que muestre los niveles de riesgo en función de la probabilidad y el
impacto. Los riesgos se representan en una matriz donde los colores (rojo, amarillo,
verde) indican el nivel de severidad. Esto ayuda a visualizar rápidamente los riesgos más
críticos y los menos preocupantes.
2. Diagrama del proceso de gestión de riesgos: Un diagrama que represente las fases de la
gestión de riesgos, desde la identificación hasta el tratamiento, pasando por el análisis y
evaluación. Las fases pueden estar conectadas en un ciclo para enfatizar que es un
proceso continuo.
Resumen Detallado del Tema 3.1: Ciberdelitos

El ciberdelito es cualquier actividad ilegal que se lleva a cabo utilizando sistemas informáticos o
redes. Debido a la globalización y el uso masivo de la tecnología, los ciberdelitos se han vuelto
más frecuentes y complejos. Algunos de los ciberdelitos más comunes incluyen phishing,
fraudes en la red y fraudes en medios de pago.

3.1.1 Introducción a los Ciberdelitos

El cibercrimen puede llevarse a cabo de manera individual o por organizaciones criminales.
Debido a que la tecnología permite cometer delitos sin necesidad de estar en el mismo lugar que
la víctima, los ciberdelitos a menudo tienen carácter internacional. Además, las pruebas de estos
delitos son difíciles de rastrear y preservar, lo que complica las investigaciones.

Algunos de los ciberdelitos más comunes son:

● Phishing: Técnica mediante la cual un atacante intenta obtener información confidencial

como contraseñas o datos bancarios haciéndose pasar por una entidad legítima.
● Robo de identidad: Obtener ilegalmente información personal de una víctima para
cometer fraude.
● Ciberacoso: Uso de medios electrónicos para acosar o intimidar a una persona.
● Propagación de malware: Distribución de software malicioso que puede dañar o robar
información.
3.1.2 Phishing

El phishing es un tipo de ataque de ingeniería social que busca engañar a la víctima para que
revele información personal o confidencial. El ciclo del phishing incluye tres fases:

1. Captura de datos: Los atacantes envían correos electrónicos o crean sitios web falsos
que parecen legítimos. Las variantes incluyen smishing (por SMS) y vishing (por
llamadas de voz).
2. Captación de mulas: Se busca a personas que, conscientemente o no, ayudan a
blanquear el dinero obtenido.
3. Transferencia y monetización: Los datos robados se utilizan para transferir fondos o
realizar compras fraudulentas.
Algunas variantes del phishing incluyen:

● Whaling: Ataques dirigidos a altos ejecutivos de empresas.

● Smishing y Vishing: Uso de mensajes SMS o llamadas telefónicas para engañar a las
víctimas.
3.1.3 Fraudes en la Red

Los fraudes en la red son otra forma común de ciberdelito. Algunos ejemplos incluyen:

● Fraude del CEO: Un estafador se hace pasar por un alto ejecutivo de la empresa para
convencer a un empleado de realizar transferencias bancarias.
● Cartas nigerianas: Un correo en el que se promete una gran suma de dinero a cambio de
ayuda financiera.