CAPITULO_1

Vista previa del material en texto

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL TUCUMAN 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Unidad 1 
PROTECCIÓN DE LA INFORMACIÓN 
 
Propiedades caracteristicas de la Informacion. 
 
La información es hoy en día considerada como un bien activo en la organización; de 
un importante valor económico no tangible, por lo que se hace necesaria la instalación de 
controles destinados a su protección. 
 
La información está sujeta a determinadas contingencias que pueden afectar las 
propiedades que la CARACTERIZAN. Estas propiedades se refieren a su INTEGRIDAD, 
OPERATIVIDAD, CONFIDENCIALIDAD , Y AUTENTICIDAD. 
 
Por INTEGRIDAD entendemos la característica que asegura que su contenido 
permanezca invariable a menos que sea modificado por personas y/o procesos 
debidamente autorizados. En general, el término 'integridad' hace referencia a 
una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes. En 
términos de seguridad de la información, la integridad hace referencia a la la 
fidelidad de la información o recursos, y normalmente se expresa en lo referente 
a prevenir el cambio impropio o desautorizado.Podríamos decir que la integridad 
existe cuando la información no difiere de la contenida en sus documentos 
originales y no ha sido accidentalmente o maliciosamente alterada o destruida. 
 
Por OPERATIVIDAD O DISPONIBILIDAD entenderemos la capacidad de tenerla 
accesible para ser procesada y/o consultada. Y un sistema 'no disponible' es tan 
malo como no tener sistema, no sirve. Para ser efectiva requiere que esté 
correctamente almacenada en los formatos preestablecidos y que el hardware 
que lo contiene funcione adecuadamente. 
 
Por CONFIDENCIALIDAD O PRIVACIDAD entendemos la necesidad de que la 
información sea sólo conocida por personas y/o procesos debidamente 
autorizados. En términos de seguridad de la información, la confidencialidad 
hace referencia a la necesidad de ocultar o mantener secreto sobre determinada 
información o recursos. El objetivo de la confidencialidad es, entonces, prevenir 
la divulgación no autorizada de la información. En general, cualquier empresa 
pública o privada y de cualquier ámbito de actuación requiere que cierta 
información no sea accedida por diferentes motivos. 
 
Y Por AUTENTICIDAD debemos entender la propiedad de poder reconocer y certificar el 
origen y/o destino de la información, como así la documentación que la sustenta. 
Podemos corroborar que una entidad, ya sea de origen o destino de la 
información, es la deseada. Es tambien conocida como la integridad del origen, 
ya que puede afectar a su exactitud, credibilidad y “confianza” que las personas 
y/o procesos ponen en la información. 
 
Debemos hacer hincapie en el concepto de “personas y/o procesos” ya que en el 
interior de un sistema informatico es habitual que ambos sean asimilados como 
“usuarios” de dicho sistema, es decir que pueden o no tener determinados 
privilegios. - 
 
 
 
 
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL TUCUMAN 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Contingencias 
 
Las contingencias pueden ser de carácter intencional o accidental y pueden ser 
categorizadas en actos de naturaleza, errores u omisiones, actos fraudulentos y daño 
intencional ocasionado por los individuos. En base a ello podemos ensayar una clasificación 
por el origen de la contingencia en: 
 
Contingencias de Origen Natural (CONTINGENCIAS NATURALES) producidas por 
fenómenos naturales, climatológicos o tectónicos. Incendios forestales, inundaciones, 
tormentas eléctricas, terremotos, maremotos, etc. 
 
Contingencias de Origen Técnico (CONTINGENCIAS TECNICAS) las que podremos 
subdividir en Contingencias de Origen Técnico vinculadas directamente con el sistema 
informático (Fallas de Hardware -disco rígido, fuente de alimentación, fallas en las 
impresoras, en los modems, en el monitor; Fallas de Software - incompatibilidades de 
librerías, conflictos en el uso de recursos, errores de programación); y Contingencias de 
Origen Técnico no vinculadas directamente con el sistema informático (Fallas en la red 
de Energía Eléctrica, fallas en los sistemas de climatización, proximidad a sistemas 
generadores de campos electromagnéticos - motores, ascensores-, fallas en sistemas de 
distribución de fluidos -gases o líquidos - por explosiones, humedad) 
 
Contingencias de Origen Humano (CONTINGENCIAS HUMANAS) ocasionadas por 
la interacción entre el hombre y el sistema informático, puede tratarse de hechos 
fortuitos o no; que actúan contra el recurso físico o lógico (datos erróneos, alteración de 
programas, destrucción de periféricos, virus informáticos, negación de servicios). 
 
Ejemplo de factores de riesgo 
Se debe analizar en forma concienzuda todos y cada uno de los Factores de riesgo 
que puedan afectar un sistema informático. Estos factores pueden ser de distintos tipos. 
A continuación se da una descripción de estos factores clasificados en tres categorías: 
 INTEGRIDAD 
 Sabotaje 
 Virus Informáticos 
 OPERATIVIDAD 
 Catástrofe climática 
 Incendio 
 Hurto 
 Sabotaje 
 Intrusión 
 Virus Informáticos 
 CONFIDENCIALIDAD 
 Hurto 
 Intrusión 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
3 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
La Protección de la Información versus la Operatividad de un sistema 
 Existe una frase que se ha hecho famosa dentro del mundo de la 
seguridad. Eugene Spafford, profesor de ciencias informáticas en la Universidad Purdue 
(Indiana, EEUU) y experto en seguridad de datos, dijo que “el único sistema seguro es aquel 
que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas 
venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo 
no apostaría mi vida por él”. 
 Hablar de seguridad informática en términos absolutos es imposible y por ese motivo se 
habla más bien de fiabilidad del sistema, que, en realidad es una relajación del primer término, 
entendiendo a dicho concepto como la probabilidad de que un sistema se comporte tal y como 
se espera de él, lo que en general se puede alcanzar al garantizar las cuatro propiedad 
características de la información ya definidos. 
“La protección de un sistema informático nunca podrá alcanzar una cobertura del 100 x 
100” 
 
 Por otro lado es cierto que la seguridad informática es siempre, en alguna medida, 
restrictiva de la Operatividad. 
 
 Ejm Si se requiere que determinada información de una empresa sea sólo conocida por 
los gerentes, es lógico generar un mecanismo que impida el acceso del resto de los empleados 
y que los gerentes deban hacer algún tipo de operación adicional para acceder a ella (como por 
ejemplo identificarse). 
 
 Ejm Cuando se instala un programa antivirus, éste ocupa lugar en el disco rígido, en la 
INTEGRIDAD OPERATIVIDAD CONFIDENCIALIDAD 
      
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
4 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
memoria y consume tiempo de procesamiento, inclusive su operación periódica y su 
mantenimiento llevará tiempo. 
 
 Los anteriores son sólo dos ejemplos que aclaran la idea de que cualquier tipo de 
elemento de protección que se utilice restringirá la Operatividad de alguna manera. 
 Por lo tanto, es una ley fundamental de la seguridad informática que “si se aumenta la 
seguridad de un sistema informático, forzosamente se disminuye la operatividad”. 
 
Seguridad informática y OperatividadOperatividad Seguridad 
 
 
 
 
 
FIGURA A medida que se aumenta la seguridad de un sistema 
informático se disminuye su Operatividad, por lo que son 
inversamente proporcionales. Esta es una de las leyes fundamentales 
de la seguridad informática. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
5 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
¿Por qué invertir en protección de la Información? 
Repercusión de las infracciones de seguridad 
 
 
 Las infracciones de seguridad afectan a las organizaciones de diversas formas. Con 
frecuencia, tienen los resultados siguientes: 
 
 Pérdida de beneficios 
 Perjuicio de la reputación de la organización 
 Pérdida o compromiso de la seguridad de los datos 
 Interrupción de los procesos empresariales 
 Deterioro de la confianza del cliente 
 Deterioro de la confianza del inversor 
 Consecuencias legales: en muchos estados o países, la incapacidad de proteger un 
sistema tiene consecuencias legales; 
 Las infracciones de seguridad tienen efectos de gran repercusión. Cuando existe una 
debilidad en la seguridad, ya sea real o sólo una percepción, la organización debe 
emprender acciones inmediatas para garantizar su eliminación y que los daños queden 
restringidos. 
- Muchas organizaciones tienen ahora servicios expuestos a los clientes, como los sitios 
Web. Los clientes pueden ser los primeros en observar el resultado de un ataque. Por lo 
tanto, es esencial que la parte de una compañía que se expone al cliente sea lo más 
segura posible. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
6 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Encuesta de CSI/FBI desde 2003 
 Anualmente, el Instituto de seguridad informática y el FBI liberan sus conclusiones sobre 
la encuesta CSI/FBI. El Computer Security Institute (CSI) hace diez años, en conjunto con de la 
Oficina Federal de investigaciones (FBI escuadrón de intrusión informática en San Francisco), 
realiza y publica los resultados de la encuesta de seguridad, cuyo objetivo es elevar el nivel de 
conciencia de seguridad entre empresas, instituciones educativas y las agencias 
gubernamentales. El enfoque del estudio es determinar el tipo y la gama de delitos informáticos 
en los Estados Unidos y comparar tendencias anuales ciberdelito con los de años anteriores. 
 
 
 El costo de la implementación de medidas de seguridad no es trivial; sin embargo, sólo 
es una fracción del costo que supone mitigar un incidente de seguridad. 
 La encuesta más reciente sobre seguridad y delitos informáticos del Instituto de 
seguridad de equipos y de la Oficina Federal de Investigación (CSI/FBI, Computer 
Security Institute/Federal Bureau of Investigation) de Estados Unidos, incluye cifras 
interesantes relativas a las pérdidas financieras que suponen los ataques a equipos para 
las organizaciones que los sufren. 
 La encuesta demuestra que los ataques de denegación de servicio (DoS, Denial Of 
Service) y de robo de información son los responsables de las mayores pérdidas. 
 En consecuencia, es importante saber que aunque el costo de la implementación de 
sistemas de protección de la seguridad no es trivial, supone una fracción del costo que 
conlleva mitigar los compromisos de la seguridad. 
 La solución de seguridad más efectiva es la creación de un entorno en niveles de modo 
que se pueda aislar un posible ataque llevado a cabo en uno de ellos. Un ataque tendría 
que poner en peligro varios niveles para lograr su propósito. Esto se conoce como 
defensa en profundidad. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
7 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Vulnerabilidades de un sistema informático 
 
 Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad 
del sistema informático. 
Las vulnerabilidades de los sistemas informáticos las podemos agrupar en función de: 
Diseño 
 Debilidad en el diseño de protocolos utilizados en las redes. 
 Políticas de seguridad deficientes e inexistentes. 
Implementación 
 Errores de programación. 
 Existencia de “puertas traseras” en los sistemas informáticos. 
 Descuido de los fabricantes. 
Uso 
 Mala configuración de los sistemas informáticos. 
 Desconocimiento y falta de sensibilización de los usuarios y de los responsables de 
informática. 
 Disponibilidad de herramientas que facilitan los ataques. 
 Limitación gubernamental de tecnologías de seguridad. 
 
Vulnerabilidad del día cero 
 Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una 
solución “conocida”, pero se sabe como explotarla. 
Vulnerabilidades conocidas 
 Vulnerabilidad de desbordamiento de buffer. 
Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un 
momento en que se sobrepase la capacidad del buffer y los bytes que sobran se 
almacenan en zonas de memoria adyacentes. 
En esta situación se puede aprovechar para ejecutar código que nos de privilegios de 
administrador. 
 Vulnerabilidad de condición de carrera (race condition). 
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse 
este tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y 
puede obtener de esta forma un valor no esperado. 
 Vulnerabilidad de Cross Site Scripting (XSS). 
Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
8 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta 
vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la 
barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el 
usuario introduce sus credenciales en este sitio se las está enviando al atacante. 
 Vulnerabilidad de denegación del servicio. 
La denegación de servicio hace que un servicio o recurso no esté disponible para los 
usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del 
ancho de banda de la red de la víctima o sobrecarga de los recursos informáticos del 
sistema de la víctima. 
 Vulnerabilidad de ventanas engañosas (Window Spoofing). 
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo 
cual es mentira y lo único que quieren es que el usuario de información. Hay otro tipo de 
ventanas que si las sigues obtienen datos del ordenador para luego realizar un ataque. 
 En http://www.cert.org/ hay disponibles unas tablas que indican el nº de vulnerabilidades 
detectadas por año. Es interesante visitar la web de vez en cuando y comprobar el elevado 
número de vulnerabilidades que se van detectando. Habría que ver cuántas no se detectan. 
¿De qué queremos proteger el sistema informático? 
 Entendemos la amenaza como el escenario en el que una acción o suceso, ya sea o no 
deliberado, compromete la seguridad de un elemento del sistema informático. 
 Cuando a un sistema informático se le detecta una vulnerabilidad y existe una amenaza 
asociada a dicha vulnerabilidad, puede ocurrir que el suceso o evento se produzca y nuestro 
sistema estará en riesgo. 
 Si el evento se produce y el riesgo que era probable ahora es real, el sistema informático 
sufrirá daños que habrá que valorar cualitativa y cuantitativamente, y esto sellama 'impacto'. 
 Integrando estos conceptos podemos decir que “un evento producido en el sistema 
informático que constituye una amenaza, asociada a una vulnerabilidad del sistema, 
produce un impacto sobre él”. 
 Si queremos eliminar las vulnerabilidades del sistema informático o queremos disminuir 
el impacto que puedan producir sobre él, hemos de proteger el sistema mediante una serie de 
medidas que podemos llamar defensas o salvaguardas, y que se integran en lo que 
denominaremos PLAN INTEGRAL DE PROTECCIÓN INFORMATICA. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
9 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
PLAN INTEGRAL DE PROTECCION INFORMATICA 
 
ANALISIS DE RIESGO 
 
En un Sistema informático los riesgos son muchos y, además, de variada naturaleza. 
Para la toma de decisiones basadas en elementos de juicio que posibiliten, hasta donde resulte 
factible, la eliminación de la incertidumbre, resultará necesario un análisis de los riesgos que 
permita su conocimiento, probabilidad de ocurrencia y cuantificación. Es necesario determinar: 
 
A) )Qué se necesita proteger? 
B) )De qué debo protegerlo? 
C) )En qué grado se necesita proteger? 
 
En respuesta a la primera interrogante, o sea determinar cuáles son los elementos 
componentes del sistema a proteger, se debe realizar una lista minuciosa del sistema 
informático y sus interrelaciones, haciendo incapie en el conjunto de datos críticos 1) para el 
desembolvimiento de la organización y 2) para el funcionamiento del sistema en sí. 
 
El objetivo esencial del control y de la seguridad de los sistemas informáticos es 
mantener la autenticidad, integridad, operatividad y confidencialidad de la información 
manejada o almacenada en computadoras, frente a contingencias que pueden generar la 
pérdida de archivos, o de registros o bien la alteración de uno o más registros, o que alteren la 
prestación de un servicio o la rentabilidad de la organización. 
 
Para la seguridad informática, un sistema informático está formado por las personas, 
computadoras, papeles, medios de almacenamiento digital, el entorno donde actúan y sus 
interacciones. 
 
Para eliminar o disminuir el riesgo de ocurrencia o bien para limitar las consecuencias de 
una contingencia, existen distintos tipos de actividades o funciones de control o seguridad. 
 
Es conveniente recordar que el nivel de seguridad de un sistema informático nunca 
puede llegar al 100 % y lo que se trata de alcanzar es el menor grado de inseguridad, aunque 
este es variable y depende del tipo de sistema de que se trate. 
 
Hay tres maneras principales de atacar la seguridad del ordenador: 
 
Obtención no autorizada de información. 
Modificación no autorizada de la información. 
Denegación no autorizada de servicio normal a los usuarios. 
 
La obtención no autorizada de información se denomina ataque pasivo y la modificación 
no autorizada de la información o la denegación de servicios se denomina ataque activo. 
 
Ambas formas de ataque pueden tener lugar en cualquier punto del enlace de 
comunicaciones o de red, que puedan transportar información relevante. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
10 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Los objetivos principales de las contramedidas contra los ataques a la seguridad son: 
 
_ Minimizar la probabilidad de una intrusión proporcionando dispositivos y 
procedimientos de protección. 
_ Detectar cualquier intrusión tan pronto como sea posible. 
_ Identificar la información objeto del ataque e identificar la información de control y 
estado necesaria para recuperarse del ataque. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
11 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
ATAQUES PASIVOS 
 
Los ataques pasivos pueden resultar en la obtención del contenido de determinados 
mensajes, pero si los datos están cifrados todavía pueden ser de valor para el intruso para 
obtener la localización e identidades de los interlocutores; esta información esta generalmente 
disponibles en los encabezamientos de lo mensaje o de bloque. La longitud de los mensajes y 
su frecuencia de transmisión pueden revelar la naturaleza de los mensajes que pueden estar 
siendo transmitidos. Estas formas de ataque pasivo ( que no causan la obtención del contenido 
del mensaje ), conocidas como violaciones de la seguridad de la transmisión, se pueden utilizar 
como parte de una intrusión más sofisticada. 
 
ATAQUES ACTIVOS 
 
 Un ataque activo en un enlace de comunicaciones puede tomar muchas formas, como 
por ejemplo: 
 
_ Modificación selectiva de los encabezamientos o de los datos. 
_ Borrado de mensajes o de los datos. 
_ Retraso de mensajes. 
_ Reordenamiento de mensajes. 
_ Duplicación de mensajes. 
_ Insertación de mensajes adicionales. 
 
Los ataques activos se pueden subdividir en tres categorías: 
 
Modificación de mensajes. 
Negación de servicio de mensajes. 
Iniciación de asociación espuria. 
 
La modificación de mensajes incluye ataques sobre: 
 
_ La autenticidad (modificando la información de control de protocolos y haciendo que el 
mensaje sea enviado hacia un destino equivocado, o mediante la inserción de 
mensajes ficticios. 
_ La integridad (mediante la modificación de los datos). 
_ La ordenación (mediante el borrado de mensajes o la modificación de la información 
de secuenciamiento en el protocolo). 
 
La denegación del servicio de mensajes incluye los ataques en los cuales el intruso 
descarta o retrasa mensajes. La iniciación de asociación espuria incluye los ataques en los 
cuales se emiten secuencias de mensajes previamente grabados o se hacen intentos de 
establecer un acceso bajo una identidad falsa. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
12 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
 
CONTRAMEDIDAS 
 
Se pueden tomar muchas precauciones para reducir la probabilidad de fallos en la 
seguridad de las comunicaciones. Estas contramedidas pueden, en algunos casos, ser caras e 
incómodas, y es necesario seleccionar aquellas que sean adecuadas al nivel de riesgo y al tipo 
de amenaza que se prevé. 
La gestión de riesgo es un método para la identificación, medida y control de sucesos 
inciertos, y se puede aplicar a la seguridad de las comunicaciones. Los elementos de gestión 
de riesgo son: 
 
_ Análisis de riesgo, que es una investigación sistemática de las amenazas potenciales 
y una cuantificación del impacto producido por acciones potenciales. 
_ Diseño alternativo de contramedidas que consiste en el diseño de varias 
contramedidas para cada amenaza, de modo que se satisfagan los requerimientos de 
seguridad especificados. 
_ Implementación y monitorización, que implementa un sistema de seguridad efectiva y 
monitoriza el sistema para garantizar una efectividad continua. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
13 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
INSTANCIAS DE UN PLAN INTEGRAL DE PROTECCION INFORMATICA 
 
 
 
Análisis de riesgo Vs. Valoración de Riesgo 
 
Los objetivos de la valoración de riesgo se enfocan en los siguientes aspectos: 
1. Ayudar en la identificación de exposiciones 
2. Ayudar en la cuantificación de los valores de las exposiciones. 
Mientras que un análisis de riesgo es más amplioy su finalidad además de la valoración 
de riesgos incluye 
3. Permitir un ranking de exposiciones por prioridad 
4. Servir como base para el análisis del coste eficaz. 
 
Las exposiciones implican puntos de riesgo para los datos y en general 
determinan puntos de control para los mismos. 
 
Todo proceso de Análisis de riesgo debe basarse en los siguientes factores: 
 
* Factor Crítico de Éxito 
 
Si un estudio es suficientemente importante para hacerlo, es suficientemente 
importante hacerlo correctamente - y eso empieza con un apoyo total y compromiso de 
la Cabeza estratégica de una organización. 
 
* Elementos de riesgo 
 
Básicamente hay dos elementos principales de riesgo: P, la probabilidad de 
números de veces por año que ocurra una exposición, y C, el costo o pérdida atribuido a tal 
exposición. Los que se relacionan mediante la expresión 
R = P x C donde el riesgo R esta expresado en términos de pérdidas por año. 
 
* Valor de la probabilidad (P) 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 
14 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
La mejor forma de expresar este factor de clasificadores de tiempo es como 
Tasas de ocurrencia esperadas. 
 
 
Tiempo de frecuencia 
subjetiva 
 
Valor (P) 
 
Multiplicador de 
Pérdidas (Pl) 
 
Anualizado por año 
 
Una vez en 300 años 
 
1 
 
1/300 
 
0,00333 
 
Una vez en 30 años 
 
2 
 
1/30 
 
0,03333 
 
Una vez en 3 años 
 
3 
 
1/3 
 
0,33333 
 
Una vez en 100 días 
 
4 
 
365/100 
 
3,65000 
 
Una vez en 10 días 
 
5 
 
365/10 
 
36,50000 
 
Una vez al día 
 
6 
 
365/1 
 
365,00000 
 
10 veces al día 
 
7 
 
365/0.1 
 
3650,00000 
 
100 veces al día 
 
8 
 
365/0.01 
 
36500,00000 
 
Asignar valores de costo 
 
Se debe elegir entre los siguientes tipos de coste (pérdidas) más conveniente para una 
determina exposición 
 
1) El costo del material activo 
2) El costo para reparar el activo (daños, menos el seguro) 
3) El costo para reinstalar el activo (Incluye pedido, fletes e instalación) 
4) El costo para operar sin el activo (incluye pérdida general, pérdida aplazada, pérdida 
confidencial del negocio y oportunidad de pérdida) 
5) El costo de la capacidad de retroceso/recuperación 
6) El costo del seguro. 
 
Pérdida Potencial por Incidente (P.P.P.I) 
Representa un índice que intenta acercar un valor que relaciona una estimación de la 
pérdida económica en que se incurriría por la ocurrencia de una contingencia y la probabilidad 
de ocurrencia de la misma (figurativamente es igual a R), pero está orientado a comparar los 
efectos de dos contingencias 
P.P.P.I= C x P 
Por ejemplo si queremos estimar las pérdidas por la ocurrencia de una contingencia de 
origen natural, un terremoto, los costos asociados a la pérdida serán totales (el peor de los 
casos) y equivaldrían al valor de los todos los bienes; si el Sistema informático tiene un valor 
para la organización de u$s 47.000 este será la perdida prevista; ahora si consideramos una 
contingencia menos dramática, una infección por código malicioso que afecte la disponibilidad 
de un servicio por determinadas horas, las pérdidas estimadas, en el supuesto, serian de u$s 
500. Al poner a consideración de los responsables de la organización, parece obvio que 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 15 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
deberían inclinarse por protegerse del terremoto (acondicionando un área antisísmica, 
pagando una prima de seguro); pero si calculamos ahora la P.P.P.I., 
Suponiendo que las estadísticas estiman que un terremoto se da 1 vez cada 30 años; 
P.P.P.I.(terremoto)= 47.000 x 0,03333 =1566,51 
Y suponiendo entonces que un código malicioso puede afectar el sistema una vez cada 
diez días, 
P.P.P.I.(cod.malicioso)=500 x 36,5 = 18250 
Entendemos que ahora el cotejo se inclina hacia el riesgo con mayor P. P. P. I., dado que el 
mismo balancea la consideración de los daños eventuales. 
 Conviene a veces utilizar un enfoque holístico al valorar las posibles contingencias, ya que 
pueden existir costos ocultos o no inmediatamente obvios que no hayamos considerado. 
 
 Evaluación de riesgos 
 Evaluación de Costos 
 Estrategia de Protección 
Evaluación de riesgos 
El primer paso a dar es establecer qué es lo que se desea proteger, por qué y cuál es su 
valor, así como de quién se desea proteger. El objetivo que perseguimos no es otro que lograr que 
un ataque a nuestros bienes sea más costoso que su valor, invirtiendo menos de lo que vale. 
El motivo es muy sencillo: si proteger nuestros bienes es más caro de lo que valen, entonces 
nos resulta más conveniente obtenerlos de nuevo que protegerlos, e igualmente, si atacarlos es más 
caro de lo que valen, a los atacantes les merecerá más la pena obtenerlos por sí mismos que 
atacarnos. 
De esta simple ecuación se pueden derivar fácilmente las normas básicas en la evaluación de 
los riesgos, que podemos desglosar en dos partes: 
 Valor Intrínseco del producto a proteger 
 Costo derivados de su pérdida 
Ambos conceptos son fundamentales, y ambos deben extenderse por toda la gama de 
posibilidades. Para ello lo mejor es observar el objeto de protección fría y metódicamente: 
Valor intrínseco 
Es probablemente el elemento más fácil de valorar: nadie mejor que Ud. para saber cuánto 
vale. Sólo necesita asegurarse de que valora todos los costos afectados, examinando 
minuciosamente todos los componentes a proteger. 
Por ejemplo: un servidor de un departamento donde trabajan varios grupos de investigación 
podría valorarse -muy simplemente - de esta forma: 
 valor del ordenador 
 valor del software 
 valor de los resultados de investigación, patentes, etc., almacenados 
 costo del esfuerzo y materiales invertidos en obtener esos datos 
 valor de la información personal que contiene 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 16 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
Costos derivados 
Una vez más, hay que intentar abarcar todas las posibilidades. Aquí es bueno a menudo 
contar con un experto en temas de seguridad, pues pueden existir costos derivados que Ud. no 
conozca o imagine. Podemos seguir el ejemplo anterior: 
 
 valor de sustituir el hardware 
 valor de sustituir el software 
 valor de los resultados 
 costo de reproducir los experimentos significativos 
 costo de regenerar la información personal 
 
Estos parecen los costos más obvios. Pero puede haber mucho más. Por ejemplo, los 
resultados pueden ser públicos y tener un valor aparente nulo, pero en un entorno bajo las últimas 
propuestas de leyes internacionales de derechos de copia, su pérdida a manos de una compañía 
comercial podría suponer su desaparición del dominio público y el que esa información deje de ser 
gratuita y pase a ser comercial con un costo -incluso para quien originalmente la desarrolló- 
notoriamente elevado. 
Más aún, información aparentemente inocua puede resultar tremendamente sensible: unos 
datos personales en apariencia inocentes podrían permitir a alguien suplantar a otra persona, 
otorgándole impunidad para cometer crímenes que al final serán imputados a la persona cuyos 
inocentes datos fueron comprometidos. 
Un análisis detallado del sistema podría revelar que además existen datos confidenciales, o 
acuerdos con empresas, o información privilegiada que un agresor avezado podría usar en su 
beneficio y -probablemente- en nuestro detrimento. Es decir, no sólo se trata del valor del elemento 
perdido -si es que algo se pierde- si no también del valor añadido quegana el atacante y la 
repercusión de esa ganancia sobre nosotros. 
Esta evaluación debe afectar todos los aspectos: además de los bienes, está en nuestro 
ejemplo el tiempo que fue necesario para obtenerlos. Un atacante podría intentar acceder a ellos 
sólo por ahorrarse el costo de realizar un desarrollo propio o el tiempo que éste supuso, o para 
obtener la experiencia y conocimientos que se ganó en su obtención. 
En resumen, aunque en principio pueda parecer fácil la valoración de los bienes protegidos, 
pueden existir numerosos costos ocultos inherentes a su pérdida o compromiso que sólo un análisis 
detallado puede revelar y que a menudo requieren una valoración por alguien con experiencia en 
seguridad en conjunción con expertos especializados en el tratamiento de los bienes protegidos. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 17 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Evaluación de costos 
La evaluación de los costos debe seguir las normas del sentido común Esto supone una 
serie de normas o reglas derivadas: 
 La seguridad debe cubrir todos los posibles métodos de ataque 
 La máxima seguridad obtenible es la del elemento más débil del sistema 
 La solución de seguridad constituye un sistema complejo 
 Deben evaluarse tanto las medidas individuales como las interacciones entre todos 
los componentes del sistema 
Recordemos que nuestro objetivo es minimizar el costo de la protección manteniéndolo 
por debajo del de los bienes protegidos maximizando el costo de los ataques manteniéndolo 
por encima del de los bienes protegidos, lo que nos lleva a esta otra regla: 
 Toda medida de seguridad debe contrastarse con el costo asociado a intentar 
romperla. 
Conviene en general ser metódicos al evaluar las medidas de seguridad, y buscar un 
compromiso que asegure la protección sin dañar excesivamente la funcionalidad del sistema. 
Y siempre recordar la norma principal: la evaluación debe ajustarse al sentido común. Si 
bien los comerciales, ejecutivos y demás integrantes de la organización ajena a la materia es muy 
propensa a engrosar los costos para aparentar una mayor importancia y enriquecer su autoestima 
promocionando su imagen personal, el profesional de la seguridad debe ser capaz de ver más allá 
de estas mezquindades y saber mantener un punto de referencia sensato en su evaluación. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 18 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Herramientas de Análisis de Riesgo 
 
Es conveniente en este punto mencionar que podemos encontrar diversas 
herramientas que ayudan y facilitan encarar la gestión de riesgos; las aquí sugeridas, se 
basan en la Metodología MAGERIT (http://administracionelectronica.gob.es) 
 
“…MAGERIT es un método formal para investigar los riesgos que soportan los 
Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse 
para controlar estos riesgos. 
MAGERIT persigue los siguientes objetivos: 
1. Concienciar a los responsables de los sistemas de información de la existencia de 
riesgos y de la necesidad de atajarlos a tiempo. 
2. Ofrecer un método sistemático para analizar tales riesgos. 
3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos 
bajo control. 
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o 
acreditación, según corresponda en cada caso…” 
Se expresa también 
“…Descripción: 
 
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo 
Superior de Administración Electrónica. 
 
MAGERIT permite: 
•Estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. 
MAGERIT propone la realización de un análisis de los riesgos que implica la evaluación del 
impacto que una violación de la seguridad tiene en la organización; señala los riesgos 
existentes, identificando las amenazas que acechan al sistema de información, y determina la 
vulnerabilidad del sistema de prevención de dichas amenazas, obteniendo unos resultados. 
•Los resultados del análisis de riesgos permiten a la gestión de riesgos recomendar las 
medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o 
controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles 
perjuicios…” 
 
Nota del autor: tomando de la página web previamente aludida.- 
Varias de estas herramientas las encontramos en http://www.ar-
tools.com/es/index.html, donde nos proponen EAR Entorno de Análisis de Riesgo 
Las herramientas de personalización están previstas para consultores y grandes 
organizaciones, y presentan una pantalla como la siguiente. Estas herramientas permiten 
preparar y mantener personalizaciones, que se incorporan dinámicamente a la biblioteca, 
extendiéndola para adaptarse a un determinado contexto…” 
Nota del autor: tomando de la página web antes aludida.- 
 
El Modelo MAGERIT utiliza cuestionamientos de la forma: 
 
Pregunta Clave para identificar Amenazas 
 
Cómo podría el Agente Causal "k" (ACk, donde K= 1, 2 …), de manera accidental o 
intencional generar la Categoría de Riesgo "j" (CRj, j = 1, 2, …, 9) en el Escenario de Riesgo 
"n" (ERn) de Ui ?. 
 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 19 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Donde, 
ACk puede ser: 
• Las personas (staff permanente, staff temporal, contratistas o terceros). 
• Los actos de la naturaleza (Actos de Dios). 
• La Escasez o insuficiencia de servicios esenciales. 
• El malfuncionamiento de equipos. 
CRj puede ser una cualquiera de las categorías de riesgos (J= 1, 2 …, 9). 
 
Los 9 escenarios de riesgo o áreas de exposición que componen la infraestructura 
Informática de las organizaciones (Controles Generales de Sistemas de Información). 
 
Planeación Estratégica de Sistemas. 
Organización del Departamento de Sistemas. 
Seguridad Física y Respaldo de Recursos Informáticos. 
Adquisición, Desarrollo y Mantenimiento de Sistemas. 
Operaciones en los Centros de Procesamiento de Datos (CPD). 
Seguridad de los datos y del software (integridad, confidencialidad y disponibilidad) . 
Seguridad en Redes y Comunicación de Datos. 
Calidad y Eficiencia de los Servicios de Informáticos. 
Uso de Estándares de Control y de Seguridad Informática. 
 
ERn puede ser uno cualquiera de los componentes del proceso o sistema sujeto de 
estudio. Por ejemplo, uno cualquiera de los 34 procesos de tecnología de información del 
estándar COBIT o del ciclo de vida del control de los datos o los subprocesos de la empresa 
en los que se divida el proceso o sistema sujeto a estudio. 
Ui puede ser: 
• La empresa. 
• Un proceso o macroproceso. 
• Un sistema de información. 
• Un componente de un proceso. 
• Un componente de un sistema. 
• Un Departamento o Dependencia. 
 
Las respuestas a esta pregunta clave conforman la lista de amenazas (accidentales e 
intencionales) para cada categoría de riesgo (CRj) en el Escenario de Riesgo "n" (ERn) del 
Universo "i" sujeto a estudio. 
“…Las herramientas se pueden personalizar en varios aspectos: 
EVL - Perfiles de protección 
 
Criterios de evaluación/acreditación específicos de ciertos sectores o de puntos de 
vista específicos. 
Por ejemplo: leyes nacionales de protección de datos personales. 
TSV - Perfiles de amenazas 
Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes 
entornos de operación. 
KB - Protecciones adicionales 
Detallando protecciones adicionales sobre ciertos tipos deactivos. Se puede llegar a 
dar instrucciones al administrador del activo. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 20 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
Software de Análisis de Riesgos 
 
 
 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 21 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
IIa INSTANCIA 
 
Hemos concluido la I instancia con la determinación de un conjunto de sistemas críticos para 
la organización (sino todos) (que se necesita proteger?); una variedad de riesgos que pueden afectar 
las propiedades características de la información contenida en ellos (de que debo protegerlos?); e 
incluso hemos procurado valuar las eventuales pérdidas por la ocurrencia de contingencias (En qué 
grado necesito protegerlo?), lo que deberíamos hacer ahora corresponde a la 
 
IIa INSTANCIA 
 
La pregunta a responder ahora es COMO ME PROTEGO DE LOS RIESGOS, CON QUE 
HERRAMIENTAS (DE HARDWARE Y/O SOFTWARE, CON ENTRENAMIENTO Y CAPACITACION 
DE LOS OPERADORES Y USUARIOS DEL SISTEMA) obviamente tomando MEDIDAS DE 
PROTECCIÓN. 
 
En principio consideraremos las Medidas de protección como un conjunto que incluye 
Medidas de Control y Medidas de Seguridad 
 
La distinción entre ambas tiene que ver con su alcance; así hablaremos de medidas de 
control, cuando hagamos referencia a medidas de protección que son aplicables a cualquier sistema 
informático (independiente de su envergadura y que fundamentalmente apuntan a garantizar las 
propiedades de integridad y operatividad de la información o datos contenidos en el mismo); por otra 
parte la alusión a medidas de seguridad hará referencia a aquellas aplicables a sistemas de 
múltiples usuarios (también independiente de su envergadura y fundamentalmente apuntando a 
garantizar las propiedades de confidencialidad y autenticidad de la información o datos contenidos 
en el sistema). El lector posiblemente encontrara una cantidad de Medidas de Protección cuyo 
alcance no esta tan bien delimitado; es así, los conceptos vertidos en este párrafo definen un criterio 
del autor que permite subdividir y facilitar la planificación sobre la implantación o instalación de las 
medidas de protección más adecuadas. 
 
La tarea del encargado del grupo responsable de definir el Plan de Protección Informática, 
esta facilitada con la importante bibliografía existente (Ver Anexo II) 
 
Las funciones esenciales del control o seguridad son, en situación de su momento de 
activación 
1) DISUADIR: para impedir los errores, omisiones, abusos, siniestros y violaciones de 
secreto, previo a las operaciones de entrada de datos o podríamos decir antes de ingresar al 
sistema informático. En este caso se trata de contar con medidas de protección que inspiren respeto 
(temor) como para mover a alguien a desistir de sus propósitos. El fin de EVITAR; parte incluso de 
analizar si alguna actividad del sistema informático debería interrumpirse por cuanto se corren 
importantes riesgos 
 
 
2) PREVENIR mediante la adopción de medidas que actúan conjuntamente con el 
ingreso de datos, rechazando los inválidos y obligando a su corrección o activando medidas de 
advertencia para un administrador del sistema. Esta es una función clásica de la seguridad y la más 
conocida. 
 
3) DETECTAR para que, mediante diversos procedimientos, se advierta sobre errores 
ocurridos. Detectado un evento no deseado, es necesario que se informe de la falla. Por otra parte, 
la sola ubicación es de por sí insuficiente. Debe tenderse a una adecuada combinación de 
prevención y detección. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 22 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
4) RECUPERAR Y CORREGIR; comprende aquellas acciones que permiten a un 
sistema recuperar en el menor tiempo posible su capacidad de procesamiento y brindar la 
información necesaria. Deberá estudiarse la necesidad de hacer frente a una emergencia máxima. 
 
 
En resumen el responsable de seguridad puede proponer un conjunto de medidas de 
protección, de control o de seguridad, que actuaran en forma disuasiva, preventiva, o de detección. 
En cuanto a las medidas de corrección debemos aclarar que salvo excepciones la aplicación de las 
mismas requiere de la intervención del recurso humano. 
 
IIIa INSTANCIA 
 
En esta instancia la gran interrogante es ¿Son realmente eficaces las medidas de protección 
tomadas? Y parece lógico suponer que solo la ocurrencia de una contingencia nos dará la 
respuesta esperada; justo en el peor momento para detectar errores, omisiones o imprevisiones. 
 
Que podemos hacer entonces? Bueno esta IIIa Instancia nos habla de simulacros, pruebas de 
penetración, de análisis sobre el impacto de nuevas vulnerabilidades, es decir preparar una acción 
de simulación de la ocurrencia de una contingencia, tomando los recaudos necesarios, en un marco 
controlado y ver como es la respuesta a la misma, tanto desde el punto de vista del hardware, del 
software, del personal técnico y los usuarios, involucrados; apreciando a partir de las respuestas la 
calidad de la medida de protección bajo prueba y las consecuencias de la potencial ocurrencia. 
 
Otra herramienta útil consiste en la contratación de personal externo, para que partiendo de 
datos de conocimiento público o general, intente penetrar las reglas de control de acceso del sistema 
informático, poniendo en evidencia potenciales fallas, y ver el funcionamiento de las medidas de 
detección impuestas y la reacción propia del sistema.- 
 
 Plan de Recuperación de Contingencias 
 
 Ahora bien por una lado la Auditoria Informática, de la IIa Instancia, como las medidas 
de simulación y pruebas de vulnerabilidad, de la IIIa Instancia, no dan garantías de no ocurrirán 
contingencias en algún momento. Surge entonces en esta instancia fomentar la definición de una 
PLAN DE RECUPERACION DE CONTINGENCIAS, que marque pautas de acción en tal 
circunstancias; desde 
 
I) Que alertas debemos activar; 
 
II) Quienes son los agentes que deben afectarse, tanto técnicos, como administrativos, 
jerárquicos; 
 
III) Qué grado de gravedad representa (por ej.: MUY GRAVE, GRAVE, LEVE, MUY LEVE) 
; 
 
IV) ACTIVACION DE SISTEMAS (INFORMATICOS O NO) PROVISORIOS 
ALTERNATIVOS. Fase de Transición; 
 
V) Cuál es el orden adecuado de Restauración de: Sistema(s) Operativo(s); Archivos de 
Configuración de hardware; Archivos de Configuración de Seguridad; Sistemas de Aplicaciones; 
Archivos de Bases de Datos; Datos de Personalización de usuarios individuales y de grupos de 
usuarios; 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 23 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
VI) Cuando debería comenzar la fase de puesta en marcha y de verificación de 
Operatividad e de Integridad. Definición de métodos. 
 
 
 
 Este esquema representa los pasos que se detallaron en el texto principal, cada fase debe 
estar especificada en un Manual de Procedimientos para casos de contingencias, al alcance del 
operador responsable de turno. 
 
 
 
En el diagrama del Plan de Protección Integral, incluimos dos ciclos de 
 
a) Revisión por Fallas o Debilidades encontradas, durante los simulacros o, luego de 
enfrentar una contingencia, si aquellas ocurrieron. debemos establecer cuál fue la causa o la 
impericia que impidió la acción adecuada prevista al implementar lamedida de protección. Este 
bucle implica una revisión permanente del Plan en sí mismo y es parte fundamental del 
mantenimiento. 
 
Las acciones pueden comprender la rectificación de métodos o procedimientos e incluso la 
sustitución de la medida de protección involucrada, aplicación de medidas correctoras a las 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 24 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
personas involucradas, si les cabe responsabilidad (adecuadamente formuladas y difundidas en las 
Políticas de Protección de la Organización). 
 
En estos casos en muchas organizaciones se resuelve realizar una Auditoria Informática con 
el propósito de determinar y deslindar responsabilidades, una actividad que, insistimos, debe de 
practicarse en la segunda instancia como una rutina de prevención y no solo para descubrir 
“responsabilidades”. 
 
b) Nuevos Riesgos, sabemos que la subsistencia de una red informática involucra una 
constante actualización, (de hardware, software, cableado, electrónica de comunicaciones, servicios, 
diferentes usuarios) lo que implica una revisión del posible surgimiento de nuevos riesgos, que 
desde el punto de vista del Plan de Protección informática, reiniciaría el mismo evaluando todas las 
instancias descriptas e incluso definiendo si es menester una actualización de las Políticas de 
Seguridad de la Organización. Todo nuevo proyecto debe incluir el Análisis de Riesgos respectivo.