1.

Conceptos de Seguridad en Computación

1.1. ¿Qué es la información y por qué es importante?

La información es un conjunto de datos o conocimientos procesados, representado en diferentes

formas y estados, ya sea formato digital (archivos electrónicos), formato físico (escritos o impresos),
así como la información que no puede ser representada, como ideas o conocimientos. La
información para una organización puede estar almacenada, procesada o transmitida de diferentes
maneras, ya sea de manera electrónica, escrita, impresa o de manera verbal.

La información es importante porque contiene los datos importantes de una empresa u

organización, con esta su pueden tomar decisiones importantes, definir problemas y realizar
actividades.

1.2. ¿Qué es un activo y qué es un activo de información?

Un activo se puede definir a cualquier cosa que aporte valor para una organización, ya sea
información, software o hardware, infraestructura, servicios, personal, etc.

Un activo de información se refiere a todo el conjunto de información y conocimientos que

representa valor a una organización.

1.3. Describe los 5 conceptos a continuación: Amenaza, Vulnerabilidad, Ataque, Riesgo e

Impacto.

a) Amenaza es una causa potencial de algún incidente, que puede generar en riesgo o dañar a
un sistema u organización.

b) Vulnerabilidad es la debilidad en los activos, lo que permite el ataque de amenazas no

deseadas, sobre los activos de una organización.

c) Ataque se define como el intento destruir, exponer, alterar, inutilizar, robar o la obtención
de acceso no autorizado del uso de activos dentro de la organización.

d) Riesgo sucede cuando existe una posibilidad de ocurrencia de un evento no deseado, lo que
podría generar la vulnerabilidad en los activos de una organización.

e) Impacto se refiere a las consecuencias, que surgen por ataques de amenazas a los activos,
por ejemplo, el cambio en los niveles de los objetivos organizacionales alcanzados en una empresa.

1.4. ¿Qué es la Seguridad de la Información y cuál es su objetivo?

Seguridad de la información se compone de metodologías, normas, técnicas y herramientas

diseñadas para la protección de la información en sus diferentes formas y estados. Tiene como
objetivo la preservación de la confidencialidad, integridad y disponibilidad de la información,
reduciendo los riesgos hasta que la organización este en un nivel estable.
 1.5. Describe las 3 principales propiedades de la Seguridad de la Información.

Propiedades de la seguridad de la información:

-Integridad: la información se mantiene con exactitud y completitud.

-Disponibilidad: hace accesible y utilizable la información cuando una entidad lo requiera.

-Confidencialidad: permite el acceso únicamente a las entidades que tengan los permisos o
privilegios y la autorización para acceder a la información.

1.6. ¿Cuál es la visión más común de la Seguridad de la Información? Menciona y describe

cuáles son los mecanismos de los que se vale la Seguridad de la Información para mitigar
riesgos.

La visión más común de seguridad de la información es la de afirmar que no existe la seguridad al

cien por ciento.

Para mitigar los riesgos, se requiere objetivos de control y controles de seguridad.

Control de seguridad, medio para la gestión de riesgos, incluyendo las políticas, procedimientos,
guías, procedimientos y estructuras organizacionales.

Objetivos de control, describe las metas que se desean alcanzar como resultado de la utilización e
implementación de los controles de seguridad.

1.7. ¿Qué es un Sistema de Gestión? ¿Qué es un SGSI y cuál es su objetivo? Menciona cuál es
la referencia más utilizada en Seguridad de la Información y los Sistemas de Gestión de la
Seguridad de la Información (SGSI).

Un sistema de gestión se define como un conjunto de actividades aplicadas de manera ordenada

para logar un fin específico. Un SGSI es un ciclo enfocado a la mejora continua para el proceso de
gestión de la seguridad de la información, tiene como objetivo mantener un sistema actualizado y
valido para enfrentar los riesgos que surjan en la organización.

La referencia más utilizada en la seguridad de la información y SGSI, es el estándar ISO/IEC

27001:2013.

1.8. ¿Qué es una Mejor Práctica y un Estándar? ¿Son lo mismo? ¿Sí/No? ¿Por qué?

Un estándar es un documento con un contenido de tipo técnico-legal que establece un modelo o

norma que define lineamientos a seguir para cumplir una actividad o procedimiento.

Una mejor practica es un conjunto de acciones, metodologías, herramienta y técnicas que se guían
por principios, objetivos y procedimientos apropiados aconsejables, adecuándose a una
determinada perspectiva normativa para la obtención de resultados positivos.
No son lo mismo ya que un estándar es aplicado como un guía para realizar actividades específicas
siguiendo un orden, en cambio una buena práctica se puede aplicar de maneras diferentes para la
obtención de buenos resultados.

1.9. Menciona y clasifica los beneficios de la implementación de un SGSI.

Los beneficios de la implementación de un SGSI se clasifican en:

-Operativos:

-Identificar brechas de control y áreas de mejora, definir acciones de remediación oportunas

y efectivas.

-Definición de metas y lapsos de cumplimiento para las mismas.

-Generación de indicadores precisos para la determinación de incidentes más comunes.

-Consideración de criterios, niveles y medidas de seguridad para facilitar la toma de

decisiones.

-Cumplimiento

-establece la base para cumplimiento y mejora de procesos basados en ITIL, COBIT, BS2599,
etc.

-garantiza el cumplimiento de las normas y regulaciones aplicables.

-Considera controles tecnológicos, normativos y culturales

-Combina revisiones por alta dirección con auditorías de organismos acreditados

internacionalmente.

-Financieros:

-Soluciones más rentables en términos de riesgos.

-Cuantificación del costo de la falta de seguridad de la información.

-Disminución de costos de cumplimientos contra otros estándares.

-Prevención de pérdidas de información con costos financieros directos

-planeación de iniciativas y acciones de mejora priorizadas a fin de maximizar los

rendimientos.

1.10. ¿A qué se refiere el término “Partes Interesadas” respecto a un SGSI? Menciona

algunos ejemplos.

Partes interesadas, son todos aquellos individuos, grupos u organizaciones que tengan algún
beneficio o perjuicio relacionado con los intereses y actividades de la organización. Pueden ser
internas o externas y deben ser considerados como elementos importantes dentro de la planeación
del SGSI.
En las partes interesadas dentro de la organización se encuentran los Directores, Empleados,
Dueños de procesos y Jefes de área, y de manera externa pueden ser Proveedores, Clientes,
Usuarios, Acreedores, Gobiernos y Sociedad.

1.11. ¿Qué es una política y cuál es su objetivo? Menciona cuál es su ciclo de vida.

Una política es un documento que describe los requisitos o reglas específicas que deben cumplirse.
Tiene como objetivo establecer los criterios con los cuales se evalúan los riesgos.

Ciclo de vida de las políticas de seguridad:

Redacción->Revisión-> Aprobación->Publicación->Actualización->

2. Control de Acceso
2.1. ¿Qué es la Protección Perimetral y cuál es su objetivo?

La protección perimetral se refiere a la protección de la información en un área determinada,

dependiendo la ubicación de este, tiene como objetivo el aseguramiento y protección de la
información, así como la autorización y acceso sobre quienes tiene permitido el uso de la
información.

2.2. ¿Qué es el Control de Acceso y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Control de
Acceso.

El control de acceso son las formas de hacer cumplir las políticas de acceso. Consiste en la
Autentificación, Autorización de Acceso y Auditoria. Su objetivo es hacer cumplir los pasos para
proteger a quienes les dan el derecho de acceso a la información.

Entre los elementos requeridos para el cumplimiento del estándar, para el control de acceso están:

-A.9.1 Requerimientos de negocio para control de acceso: que se encarga de limitar el acceso a la
información.

-A.9.2. Gestión de acceso de usuarios: garantiza el acceso autorizado de usuarios y previene accesos
no autorizados a sistemas y servicios.

-A.9.3. Responsabilidades del usuario: hace que los usuarios sean responsables de salvaguardar su
información de autenticación.

-A.9.4. Control de acceso a sistemas y aplicaciones: previene el acceso no autorizado a sistemas y

aplicaciones.

2.3. Menciona y describe brevemente los 4 pasos necesarios para llevar a cabo el Control de
Acceso.

Autentificación: verificar si el usuario que quiera acceder a la información es quien dice ser.
Autorización: permite a los usuarios acceder a la información que tiene permisos de visualizar,
copiar o modificar, dependiendo de los privilegios que tenga el usuario.

Acceso: controla el acceso y las exclusiones, niega el acceso a la información confidencial o

restringida a los usuarios.

Auditoria: lleva un registró de que acciones realizan cada de uno de los usuarios, junto el tiempo en
que se realizan o donde se realizan.

2.4. Describe el Principio de Menor Privilegio y su aplicabilidad.

El principio de menor privilegio establece que al usuario se le asigne solo los permisos o privilegios
de información y recursos que necesite o utilice para poder realizar sus actividades. Entre sus
aplicaciones esta para ahorrar megas en el servidor, solo asignándole a las páginas que tiene acceso,
así priorizar a los otros usuarios con mayores permisos.

2.5. ¿Qué es el Control de Acceso por Mandato? Describe brevemente al menos 1 ejemplo.

El control de acceso por mandato es el que se realiza de manera explícita y el usuario no tiene
control de las políticas, ya viene establecida por el sistema. Ejemplos: un sistema operativo ya tiene
definido los permisos de los usuarios.

2.6. ¿Qué es el Control Criptográfico y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Control
Criptográfico.

El control criptográfico es un mecanismo para el cifrado de la información confidencial, para la

protección y el aseguramiento de su integridad. Asegurar el uso apropiado y efectivo de la
criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.

A.10.1. Controles criptográficos.

A.10.1.1. Política de controles criptográficos.

A.10.1.2. Gestión de claves.

2.7. Describe brevemente qué es Kerberos.

Kerberos es un servidor de autentificación que ocupa el cifrado de datos simétrico, para que se
puedan comunicar a través de la autentificación de los usuarios, utiliza el algoritmo DES, para la
criptografía simétrica funciona de manera correcta, pero no es muy seguro.

3. Seguridad Física
3.1. ¿Qué es la Seguridad Física y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Seguridad
Física.

La seguridad física es el conjunto de mecanismos y acciones que buscan la detección y prevención

de riesgos, con el fin de proteger los recursos y la información de una organización.

Los requerimientos para el cumplimiento del estándar:

-A.11.1. Áreas seguras: prevenir los accesos físicos no autorizados, daño e interferencia a la
información de la organización y procesos.

-A.11.2. Equipamiento: prevenir perdida, daños, robo o compromiso de los activos y la interrupción
de las operaciones de la organización.

3.2. Describe al menos 2 factores que intervienen en la Seguridad Física y menciona qué
acciones tomaría para proteger un Centro de Cómputo.

-Normas de acceso, se establecen políticas sobre sobre el acceso, y a quien se les da los privilegios
de autorización, con la utilización de sistemas biométricos, guardias de seguridad para negar el
acceso a usuarios no autorizados, y protección a animales que llegue a afectar la información o los
recursos.

-Ataques o amenazas de desastres naturales (incendios, inundaciones, terremotos, etc.), se deben

tomar medidas contra esos ataques, planes de contingencia como la realización de simulacros, la
compra de extinguidores de fuego, y respaldos de la información en todas formas posibles, así como
la protección y respaldo de los equipos dañados (cableado, servidores).