SEGURIDAD COMPUTACIONAL

SEMANA 1

ESTE DOCUMENTO CONTIENE LA SEMANA 1 1

ÍNDICE
SEGURIDAD DE LA INFORMACIÓN ................................................................................................ 3
INTRODUCCIÓN ............................................................................................................................. 3
APRENDIZAJES ESPERADOS ........................................................................................................... 3
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN? ........................................................................... 4
CONCEPTOS PRINCIPALES DE LA SEGURIDAD ............................................................................... 6
LA SEGURIDAD INFORMÁTICA .................................................................................................. 6
LA SEGURIDAD TIC..................................................................................................................... 7
LA SEGURIDAD DE LA INFORMACIÓN ....................................................................................... 8
LA TELEMÁTICA ......................................................................................................................... 8
OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN ................................................................... 9
SEGURIDAD EN INTERNET ........................................................................................................... 10
EL DELITO INFORMÁTICO ............................................................................................................ 13
ELEMENTOS CLAVES DE LA SEGURIDAD COMPUTACIONAL ....................................................... 15
ACTIVOS................................................................................................................................... 15
VULNERABILIDADES ................................................................................................................ 16
AMENAZAS .............................................................................................................................. 17
RIESGO Y CONTROL ................................................................................................................. 18
CONCLUSIÓN ............................................................................................................................... 20
REFERENCIAS BIBLIOGRÁFICAS ................................................................................................... 20

ESTE DOCUMENTO CONTIENE LA SEMANA 1 2

SEGURIDAD DE LA INFORMACIÓN

INTRODUCCIÓN
En este capítulo se aborda como tema principal la Seguridad Computacional o
Informática. Se inicia con la pregunta quizás más importante que se debe responder a este
respecto: ¿qué es la seguridad de la información? Para responderla, se procede a definir y
profundizar en conceptos tales como: seguridad informática, seguridad de las TIC, seguridad
de la información y qué es y para qué sirve la telemática.

La segunda pregunta fundamental en el desarrollo de este tema se enuncia a

continuación: ¿cuáles son los objetivos de la seguridad de la información? Conceptos tales
como integridad, disponibilidad, confidencialidad, control y autenticidad constituyen la
respuesta a esta importante interrogante, temas que se desarrollan en detalle para
contextualizar adecuadamente su respuesta.

Posteriormente se abordan temas relacionados tales como la seguridad en Internet y

lo que es y cómo se caracteriza el delito informático.

Finalmente, se analizan elementos claves de la seguridad computacional al interior de

las organizaciones, tales como sus activos, sus vulnerabilidades, las amenazas que se pueden
identificar, los riesgos inherentes al manejo de información y sus pautas básicas de control.

APRENDIZAJES ESPERADOS
Se espera que al final de este capítulo, el alumno sea capaz de describir en forma
precisa cuáles son los conceptos fundamentales a los que se refiere la Seguridad
Computacional.

Asimismo, deberá ser capaz de señalar en forma clara los objetivos que persigue la
Seguridad Computacional al interior de una organización, así como cuáles son sus
componentes fundamentales.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 3

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
Los términos Seguridad de la Información, Garantía de la Información y Seguridad
Computacional o Informática frecuentemente son empleados como sinónimos, aunque en
rigor su significado no es el mismo. En general, todos ellos se refieren a aspectos sutilmente
diferentes en cuanto al manejo y protección de la información. Se diferencian principalmente
en su enfoque metodológico y en los aspectos de seguridad en los cuales se centran. En el
futuro se identificarán a través de las siglas SI (Seguridad Informática) o SC (Seguridad
Computacional).

Su finalidad sin embargo es la misma y esta es apuntar a la denominada triada CIA, por
sus siglas en Inglés: Confidentiality, Integrity, Availability, que son hoy en día los principios
básicos que guían la Seguridad Computacional.

Algunas definiciones preliminares al respecto, que serán ampliadas en la medida que

avance este curso, son:

Confidencialidad: Es aquella propiedad que pretende prevenir que la información sea

divulgada o fluya hacia personas o sistemas de información no
autorizados.

Integridad: Es aquella propiedad que pretende evitar las modificaciones no

autorizadas de la información o la pérdida de la misma.

Disponibilidad: Es aquella característica, condición o cualidad de la información, que

permite que ella está disponible para quienes deben accederla. Lo
anterior incluye aplicaciones, procesos y/o personas.

Fuente: http://spanishpmo.com/index.php/que-es-seguridad-de-la-informacion

ESTE DOCUMENTO CONTIENE LA SEMANA 1 4

 La informática, como se sabe, se refiere a todos aquellos recursos que se relacionan
con el manejo de la información, la que en esta era digital representa el motor de la sociedad y
permite el avance de sus organizaciones.

Adicionalmente entonces a las definiciones anteriores, se debe puntualizar los

siguientes conceptos, que enlazan con los anteriores, en tanto involucran la información como
recurso valioso al interior de las organizaciones y cuya seguridad alcanza día a día mayor
importancia.

Material elaborado para este curso: Silva, A., 2012.

Por lo mismo, se debe concebir la SI/SC como un proceso continuo de mejoramiento

de las condiciones bajo las cuales los datos son almacenados, manipulados y protegidos. Lo
anterior implica una mirada sistémica ante los riesgos que afectan la seguridad de los datos y
de las instalaciones computacionales de una organización. Esta mirada facilita, como primer
paso, el establecimiento de un sistema que permita gestionar en forma eficiente dichos
riesgos, el cual contemple planificar políticas, implementar su operación, revisar en forma
continua la gestión y mejorar periódicamente dicho sistema.

Todo ello facilita los controles a los que están sujetos los datos y el acceso a ellos, la
identificación de los procesos que deben adecuarse continuamente ante nuevos tipos de
riesgos, la identificación de las formas de intrusiones y de ataques de todo tipo a los que pueda
verse expuesta la información, para reducirlos y en lo posible eliminarlos.

Además de lo anterior, la SC se extiende hacia la implementación de estrategias de

acción para cubrir aquellos procesos en los cuales la información es un activo primordial para
la organización. Estas estrategias tienen como punto de partida las políticas, los controles, la
tecnología y los procedimientos adecuados que permitan detectar en forma anticipada las
amenazas existentes, que posibiliten explotar las vulnerabilidades detectadas y que signifiquen
en la práctica arriesgar este valioso activo. Es decir, se debe proveer los medios para ayudar a
proteger la información como dato en sí, tanto como aquellos sistemas de información que la
administran y los medios físicos que la almacenan. Esto es conocido en forma genérica como
un Sistema de Gestión de la Seguridad de la Información.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 5

 Gráficamente, se puede concebir de la siguiente manera:

Fuente: http://www.seguridadinformacion.cl/seguridad-de-la-informacion.php

CONCEPTOS PRINCIPALES DE LA SEGURIDAD

Los siguientes conceptos en general están involucrados en el ámbito de la SC.

LA SEGURIDAD INFORMÁTICA
Es sin duda la forma más habitual de referirse a todo aquello que involucra la
seguridad de computadores y de sus sistemas. Este concepto está claramente obsoleto, dado
que fija su atención en dichos componentes considerando las amenazas de tipo tecnológico,
obviando a su vez elementos tan importantes en la actualidad como servidores, redes, Wifi,
Internet, redes sociales, telefonía móvil, etcétera.

Dado que es un concepto nacido en épocas en que no existían las redes sociales, el
almacenamiento en la nube, los antivirus on-line y otras formas modernas de actuar sobre la
información, es sólo un referente a la vez que un primer intento de establecer parámetros de
seguridad computacional. Por lo tanto, así concebido, este es un concepto que se aleja más y
más de la realidad de la informática de hoy en día.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 6

 Fuente: http://sacomp.tech.officelive.com/ComputadorasAllinone.aspx

LA SEGURIDAD TIC
Este es sin dudas un enfoque bastante más moderno. Incorpora elementos del tipo
redes e infraestructura, lo que lo acerca mucho más a la realidad actual. Esto, dado que hoy se
conciben los componentes de un sistema computacional como partes no aisladas, sino más
bien integradas de un sistema de información, en su definición más general. Un computador ya
no es un ente aislado; muy por el contrario, está conectado a otros dispositivos que también es
necesario proteger, tales como la infraestructura computacional y de comunicaciones a la que
pertenece, lo mismo que se debe proteger una PDA conectada a él, un celular conectado a un
computador vía Bluetooth o la red misma a la que se encuentra conectado un ordenador. Así y
todo, según muchos autores, este concepto no logra despegarse completamente de un
ambiente fundamentalmente tecnológico.

Fuente: http://www.mailxmail.com/curso-informatica-ordenador-cientifico-desarrollo/computador-personal-
servidores

ESTE DOCUMENTO CONTIENE LA SEMANA 1 7

LA SEGURIDAD DE LA INFORMACIÓN
Este es, a todas luces, el concepto más amplio revisado hasta el momento. Involucra
fundamentalmente la protección de la información, pero a partir de esta premisa se
desarrollan todas las demás actividades tendientes a garantizar la seguridad de la información,
así como las medidas necesarias para ello y los ámbitos físicos y lógicos donde deben ser
aplicadas.

Fuente: http://shadowjah.com/algo_b%C3%A1sico_sobre_seguridad_de_la_informaci%C3%B3n

Este concepto abarca la seguridad tanto desde el punto de vista tecnológico, como
desde aspectos organizacionales.

LA TELEMÁTICA
La telemática se define como una mezcla homogénea de técnicas pertenecientes tanto a
las Telecomunicaciones como a la Informática. Esta permite realizar el intercambio a distancia de la
información y el tratamiento automatizado de la misma posibilitando el acceso a muchos sistemas
de comunicación a quienes no se especializan en esta área.

Persigue la unión de diversas funcionalidades: por una parte, de capacidad de

procesamiento y de almacenamiento de datos y, por otra parte, del intercambio de dicha
información a través de las telecomunicaciones, desde y hacia sistemas remotos.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 8

 Fuente: http://lisstelematica.blogspot.com/

OBJETIVOS DE LA SEGURIDAD DE LA INFORMACIÓN

Se dijo anteriormente que el objetivo de la seguridad de la información es,
precisamente, proteger los datos de una organización. Lo anterior se logra protegiendo su
confidencialidad, integridad y disponibilidad. Estos se podrían sindicar como objetivos
primarios. Los objetivos secundarios serían por tanto mantener el control y garantizar la
autenticidad de los datos. Se describen y amplían a continuación estos conceptos, algunos de
los cuales ya habían sido tratados en páginas anteriores.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 9

Material elaborado para este curso: Silva, A., 2012.

SEGURIDAD EN INTERNET
Ciertamente pretender que la información que circula en un entorno con millones de
computadores “escuchando”, tal como Internet, sea totalmente segura es casi una utopía.
Adicionalmente, mientras más distancia deba recorrer un mensaje, es más probable que este
sea interceptado. En estas condiciones, ningún mensaje debería circular por la red sin
herramientas criptográficas que permitan ocultar su contenido.

Por lo mismo, a nivel micro en una LAN y a nivel macro en Internet, la seguridad de la
información cobra una importancia superlativa a la hora de interconectar diversos sistemas o
cuando se necesita que dicha información se mantenga privada y confidencial en su trayecto
entre emisor y receptor. Implementar seguridad en redes tiene ciertamente sus beneficios y
sus desventajas, pero estos conceptos son siempre menores a la hora de hacerse consciente
de que al transitar la información por alguna de estas estructuras, existen múltiples tipos de
amenazas a la confidencialidad e integridad de ella.

Algunas de las amenazas más comunes que pueden impactar a la información en el

ámbito de las redes y las comunicaciones se observan en la siguiente tabla.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 10

Material elaborado para este curso: Silva, A., 2012.

Al igual que las amenazas a la información, las formas que toman los ataques a ella son
variadas. Los más comunes son de estos dos tipos:

Ataques Pasivos: Son aquellos del tipo “escucha” o “monitoreo” no autorizado de la

transmisión de información. Su objetivo es obtener acceso a los datos
que están siendo transmitidos. Un resultado no deseado de este tipo
de ataques es, por ejemplo, la divulgación del mensaje o información
transmitida con el consecuente daño a la confidencialidad de la misma.
Este tipo de ataque es muy sutil y, por lo tanto, difícil de detectar. En
general no conllevan alteración alguna de los datos. Dado que no es
perceptible por parte del atacado, la mejor política en este caso es la
prevención.

Ataques Activos: Este tipo de ataques o agresiones se basa en la modificación de los

datos o de su flujo. Incluye la creación de falsos flujos de información,
como en el caso del Phishing, a fin de apropiarse indebidamente de
información confidencial, muy usualmente con la finalidad de utilizarla
en beneficio del agresor. Generalmente se categoriza de la siguiente
forma:

ESTE DOCUMENTO CONTIENE LA SEMANA 1 11

  Enmascaramiento
 Repetición
 Modificación de Mensajes
 Denegación de Servicio (DoS)

Un enmascaramiento sucede cuando una entidad determinada se enmascara

pretendiendo ser una diferente para tener acceso a sus datos. Mirado desde el punto de vista
del usuario, a esto suele llamársele también Suplantación de Identidad, con lo que un agresor
podría acceder a la secuencia de autenticación a una cuenta bancaria por parte de un
cuentacorrentista. Generalmente este tipo de agresión se combina con otras técnicas y formas
de agresión activa. También incluye la obtención de privilegios adicionales al suplantar a las
entidades que realmente los tienen.

Por su parte, la repetición apunta a la captura de datos por entidades no autorizadas y

su respectiva retransmisión, con el consiguiente efecto no deseado.

La modificación de mensajes supone la captura del mismo, su modificación total o

parcial, el retraso en su envío o el reordenamiento del mismo para producir un efecto no
deseado.

Finalmente, la denegación de servicio (DoS, Denial of Service) es una forma común de

ataques en Internet, que persigue inhibir o impedir el normal desempeño de las unidades de
comunicación. Generalmente están enfocados en un objetivo específico, como por ejemplo un
servidor web. Por ejemplo, a través de robots distribuidos a través de todo el mundo, se puede
generar una interminable serie de mensajes o accesos a dicho servidor. De tal manera, llega un
momento en que este no es capaz de atender a la gran cantidad de requerimientos producidos
durante al ataque descrito, cesando en sus funciones por efectos de la gran demanda. Este es
el típico ataque de DoS.

Como conclusión, se puede decir que ambos tipos de agresiones, pasivas y activas,
tienen características diametralmente opuestas. Una agresión pasiva es muy difícil de detectar
mientras que una activa se caracteriza porque sus efectos son claramente visibles. Una
agresión pasiva se debe prevenir mientras que una activa se debe detectar y combatir. Algo en
que ambos tipos de agresión convergen es en la necesidad de protección lógica y física de las
comunicaciones, de la forma en que la información es manejada y transmitida, de las unidades
de hardware que la contienen y de los privilegios de acceso a ella que se otorgan a diferentes
entes, ya sean personas u otros organizaciones.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 12

EL DELITO INFORMÁTICO
Se habla de delito informático para referirse a toda actividad delictual que involucre las
tecnologías computacionales, incluyendo equipos y redes, cuyos elementos sirvan o sean
utilizados como una herramienta para cometerlos o como el objetivo del propio delito.

En general y de acuerdo a sus características, los delitos informáticos pueden

clasificarse de la siguiente manera:

Material elaborado para este curso: Silva, A., 2012.

Es cierto que muchos de los crímenes computacionales de hoy en día son una
evolución de delitos ya existentes, aunque en este ámbito la creatividad delictual está siempre
en una sorprendente evolución, incorporando nuevas técnicas tales como la Ingeniería Social.
También es cierto que existe una gran cantidad de delitos específicos y novedosos, pero el
denominador común entre ellos es la gran potencialidad que agrega a su cometido la
incorporación de la computación y las redes de datos, donde el eslabón más débil es
finalmente el usuario.

El porqué del aumento de los crímenes de este tipo está dado por el gran valor que
posee la información. De hecho, ella es considerada por las organizaciones como uno de los
activos más valiosos que poseen y es generada, almacenada y manipulada por medio de
ordenadores. Por lo mismo, las organizaciones se vuelven cada día más dependientes de la
tecnología computacional, de sus sistemas, de los medios de almacenamiento, de los servicios
de información, etcétera. El resultado: crímenes virtuales, ya que la información se encuentra
en formato y en contenedores digitales.

De lo anterior se desprende que con la incorporación y utilización de las tecnologías

computacionales y del manejo de la información por parte de las empresas y de los individuos,
se han abierto las puertas a tipos de delincuencia hasta hace poco impensadas. Los delitos de
este tipo pueden causar perjuicios de una cuantía considerable a las organizaciones y toman
diversas formas. Incluyen además, una gran variedad de crímenes tales como: robo, chantaje,

ESTE DOCUMENTO CONTIENE LA SEMANA 1 13

fraude electrónico, falsificación de información y otros. Pueden ser divididos en dos grandes
grupos en los que se distinguen claramente un medio y un fin:

 Crímenes realizados utilizando computadoras e Internet, implementando operaciones de

espionaje, robos y fraudes, pornografía infantil y pedofilia, etcétera.
 Crímenes cuyo objetivo es el ataque malicioso y destructivo a redes de computadores o
individuos, a través de la instalación de gusanos, códigos y archivos maliciosos, generación
e instalación de virus informáticos y ataques ya sea masivos o de otra naturaleza a
servidores (locales o web) de cualquier tipo.

En cuanto a la propagación del crimen a través de Internet, y dado lo ilimitado que

resulta ser este medio, se puede decir que los crímenes que más frecuentemente se cometen
son:

Material elaborado para este curso: Silva, A., 2012.

El último elemento que se revisará respecto de este tema es quienes cometen este
tipo de delitos informáticos. El perfil de un ciber-delincuente es variado, no correspondiendo
en general al de un delincuente común. Son personas con un alto grado de destreza en la
operación de ordenadores, laboralmente ubicados a menudo en posiciones estratégicas
respecto de información confidencial y sensible para las organizaciones, con gran habilidad en
la explotación de sistemas computacionales. A pesar de estas similitudes, se diferencian en la
naturaleza de los delitos que son capaces de cometer. Un estudiante que puede modificar sus
calificaciones en el sistema de notas de una universidad, un terrorista implementando un
ataque de denegación de servicio hacia servidores específicos o un empleado de un banco

ESTE DOCUMENTO CONTIENE LA SEMANA 1 14

desviando fondos hacia sus propias arcas. Los crímenes informáticos tienen tantos tipos de
ciber-delincuentes como objetivos tienen sus ataques.

En lo que todos los delitos informáticos concuerdan es en el daño que pueden infligir a
las organizaciones y a las personas, tales como: perjuicios en la reputación, pérdida de clientes
y beneficios, interrupción de negocios, pérdida de la confianza de inversores y clientes, pérdida
de datos y de la seguridad de los mismos y hasta consecuencias legales por no disponer de la
seguridad adecuada de los datos de sus clientes, como sucedió a una gran empresa
multinacional hace unos pocos años, que ante un ataque no pudo mantener oculta la
información de claves y números de tarjetas de crédito de sus clientes.

ELEMENTOS CLAVES DE LA SEGURIDAD COMPUTACIONAL

Ante un escenario de inseguridad informática, el examen que una organización debe
realizar a sus sistemas y procedimientos de aseguramiento de la información, incluyen a lo
menos estas cuatro tareas:

 Identificación de los activos en riesgo.

 Evaluación de las vulnerabilidades que los afectan.
 Identificación de las potenciales amenazas.
 Estimación de los riesgos y control de los mismos.

ACTIVOS
La evaluación e identificación de los activos es el proceso a través del cual una
organización identifica y valoriza sus sistemas y su información. Puede ir desde tener claro con
cuántas licencias de software se cuenta hasta saber claramente cuántos computadores se
tiene y dónde se encuentran. Lo más importante, en todo caso, es valorizar la información con
la que se trabaja, su disponibilidad y su confidencialidad.

Un criterio común de evaluación en este sentido lo constituye establecer qué pasaría

con el funcionamiento de la organización en caso que la información se pierda, quede
inutilizable o no esté disponible. También es muy importante identificar e individualizar
aquellos elementos de la red que se verán afectados en caso de un ataque o de un problema
de seguridad no cubierto.

Algunos de los activos de una organización que pueden verse afectados por deficientes
políticas de seguridad son:

ESTE DOCUMENTO CONTIENE LA SEMANA 1 15

Material elaborado para este curso: Silva, A., 2012.
VULNERABILIDADES
Las vulnerabilidades están íntimamente relacionadas y deben ser definidas en cada
caso, en función de los sistemas y capacidades de aseguramiento de la información de una
organización. Estudiando dichas capacidades y sistemas, será relativamente sencillo detectar
sus vulnerabilidades con el fin de fortalecer sus sistemas de seguridad antes de que se
produzcan ataques. Existe una verdad en cuanto a la seguridad informática que hasta hoy es
ineludible para la mayoría de las organizaciones. Hay dos tipos de ellas: las que fueron
atacadas y las que van a serlo.

Las vulnerabilidades a la seguridad computacional abarcan ámbitos en diferentes

niveles, tales como: los sistemas operativos a nivel local y la intromisión a nivel de redes o los
ataques a la organización y sus datos a través de Internet. También es posible comprobar la
existencia de vulnerabilidades hasta en el protocolo de redes utilizado, siendo clásico el
ejemplo de TCP/IP, el que fue diseñado para establecer formas de comunicación confiables, a
través de un robusto sistema de manejo de errores, pero que sin embargo, por naturaleza es
inseguro, lo que será tratado en capítulos posteriores.

A nivel de software, tanto los sistemas operativos como las aplicaciones y los utilitarios
han sido por mucho tiempo inseguros y vulnerables a ataques tanto externos como internos.
Por esto, constantemente se actualizan y perfeccionan. La facilidad de uso que los fabricantes
han querido imprimir a este tipo de software muy usualmente trae aparejada la existencia de
“hoyos” en su seguridad que son subsanados con permanentes updates o upgrades y cambios
en cada versión que de ellos es lanzada al mercado.

Tal ha sido el nivel de estas vulnerabilidades, que empresas tan importantes como
Microsoft han diseñado e implementado ciclos de vida de su software de hasta 10 años, como

ESTE DOCUMENTO CONTIENE LA SEMANA 1 16

en el caso de su sistema operativo Windows XP, disponiéndose de actualización on-line con
una cantidad de actualizaciones impresionante.

Inicialmente se trataba de ocultar lo más posible estas vulnerabilidades, pensando

equivocadamente que esto favorecía la seguridad de las aplicaciones. Hoy la filosofía al
respecto ha cambiado radicalmente, haciéndolas públicas en cuanto son descubiertas y
proveyendo las soluciones adecuadas a la brevedad.

AMENAZAS
Una vez que han sido identificados los activos así como las vulnerabilidades de una
organización, se debe identificar cuáles son las amenazas a las que se ven expuestos estos
recursos, tratando de determinar el daño potencial que existe sobre ellos.

Importante es también tratar de determinar la probabilidad de que una amenaza se

concrete y la forma en que se deberá proteger los activos en función de cada amenaza a la que
estos estén expuestos.

La implementación de un adecuado plan o política de seguridad impone que se evalúe,

además de la amenaza en sí, su procedencia, permitiendo clasificarlas en internas y externas.
Un virus leído desde un archivo proveniente de un pendrive puede infectar todos los
computadores de una oficina y en este caso todas las medidas para proteger la red de un
ataque externo, tales como routers, firewalls, VPN y otras, serán totalmente estériles. De ahí la
importancia de que se identifique claramente el origen de una amenaza, pues permite
planificar las medidas que permiten controlar o mitigar cada una de ellas.

El modelo STRIDE, entregado por Microsoft, es una excelente herramienta en este

sentido ya que proporciona una forma estructurada de identificación de amenazas y de puntos
débiles posibles.

Material elaborado para este curso: Silva, A., 2012.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 17

 A continuación, su gráfica con ejemplos:

Fuente: http://cups.cs.cmu.edu/soups/2006/posters/thompson-poster_abstract.pdf

RIESGO Y CONTROL
Los riesgos a cubrir en una organización se identifican fácilmente a través de una
metódica evaluación de la seguridad computacional. Los costos de que los requerimientos en
cuanto a seguridad no estén cubiertos pueden ser muchos y pueden obligar a una organización
a dejar de funcionar, o sea, a morir como tal.

Por supuesto que el costo del riesgo y su control deben ser equilibrados. Esto
simplemente significa que muchas veces no es funcional implementar un control que sea más
caro que el costo de la amenaza que se sufre. Esto se debe evaluar también cuidadosamente,
en función de lo crítico que sea el recurso o activo que se desee proteger. No se deberá llegar
nunca a la paradoja de que se gaste más en la protección de aquello de menor valor o donde el
costo de recuperar información sea superior al valor de lo perdido.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 18

 Por lo tanto, se puede afirmar que una buena evaluación de riesgos considera un
sistemático trabajo sobre los siguientes conceptos:

 El impacto potencial que puede significar una falla en la seguridad, en términos de las
consecuencias que pueda tener sobre la confidencialidad, integridad y disponibilidad de la
información de la organización.
 La real probabilidad de que una falla en la seguridad ocurra o se materialice,
considerando vulnerabilidades y amenazas detectadas, así como los controles o planes de
acción implementados para su mitigación o eliminación.

Se debe ser cauto al hablar de eliminación de riesgos, ya que son tantas las aristas que
este concepto involucra, que no es correcto afirmar que se puedan eliminar todos los riesgos a
la seguridad de la información. Habitualmente las medidas que se busca establecer en un plan
de seguridad informática, significan la mitigación de ellos, pero su control total es casi
imposible.

Habitualmente el resultado de una evaluación de riesgos es una guía que permite

orientar y establecer las acciones y su prioridad en la gestión de dichos riesgos; es también una
ayuda en la implementación de controles adecuados, que permiten brindar la máxima
protección posible ante ellos, reduciéndolos a un nivel aceptable.

Revisiones periódicas a los riesgos de seguridad computacional y de sus formas de

control permiten detectar cambios producidos en el tiempo en los requerimientos de
seguridad y facilitan reordenar sus prioridades. También permiten considerar la aparición de
nuevos tipos de amenazas ante las actualizaciones tecnológicas producidas en la organización
y comprobar que los controles ya implementados siguen siendo eficaces y de lo contrario,
rehacer el plan de gestión de riesgos para adecuarlo a nuevas situaciones o riesgos
emergentes. El análisis de riesgos se facilita con la respuesta a tres preguntas básicas:

1) ¿Qué se necesita proteger? Requiere evaluar los activos de la organización y su

importancia relativa, así como el impacto por su eventual pérdida.
2) ¿De quién debe ser protegido? Requiere evaluar las amenazas y vulnerabilidades de la
organización, tanto internas como externas.
3) ¿Cómo debe ser protegido? Requiere la evaluación de contramedidas y la formulación
de una política de protección y un plan y gestión de riesgos.

Se debe tener siempre en mente que el valor de un activo para una organización debe
ser medido desde el punto de vista de cuán importante es para esta la disponibilidad, la
integridad y la confidencialidad de ese recurso de información.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 19

CONCLUSIÓN
En este apunte se ha buscado dar una visión general acerca de la seguridad
computacional como concepto, así como de sus elementos básicos. Dichos elementos se
pueden identificar principalmente con la información y la manera en que esta es almacenada y
transmitida, además del tipo de ambiente en el que está inserta dicha información.

Se ha tratado también de dar respuestas, aunque puedan parecer básicas pero no por
ello menos importantes, a dos interrogantes fundamentales en este ámbito y que son: ¿qué es
la seguridad informática o computacional? y ¿cuáles son sus objetivos?

A partir de allí, se han identificado y definido una serie de conceptos relacionados con
este tema, tales como activos, vulnerabilidades, amenazas, riesgos y control de ellos. Todos
estos conceptos se refieren a la existencia de la información como principal activo de una
organización, la cual, dada su constante evolución, presenta vulnerabilidades y se ve
amenazada por variados tipos de riesgos, los cuales deben ser controlados y minimizados en lo
posible.

También se han abarcado algunos temas relacionados, que permiten describir y

puntualizar el significado de la seguridad en Internet así como de los delitos informáticos, su
ámbito de acción y sus componentes principales, por ser estos objetivos primordiales en la
protección de la información y de la Seguridad Computacional, al estar cualquier organización
inmersa en un mundo globalizado de comunicaciones y por lo tanto, también de amenazas de
este tipo.

REFERENCIAS BIBLIOGRÁFICAS

 Fisch, E. y White, G. (2000). Secure computers and networks. CRC Press.

 Huerta, A. (2000). Seguridad en Unix y Redes. Versión 1.2 Digital. Open Publication
License.
 Mell, P., Kent, K. y Nusbaum, J. (2005). Guide to Malware Incident Prevention and
Handling. NIST Special Publication.
 Morant, J., Ribagorda, A. y Sancho, J. (1997). Seguridad y protección de la Información.
Centro de Estudios Ramón Areces.
 Stallings, W. (2007) Comunicaciones y Redes de Computadores. Prentice Hall.
 Stallings, W. (1995) Network and Internetwork Security: Principles and Practice.
Prentice Hall.
 Tanenbaum, A. (2003) Computer Networks. Prentice Hall.

ESTE DOCUMENTO CONTIENE LA SEMANA 1 20