[Bitácora de Clases] Fecha 02-06-2026

By /

Nota consolidada de clase

Seguridad de la información en los sistemas de información

1. Presentación general del tema

La clase abordó la seguridad de la información dentro de los sistemas de información organizacionales. El eje central fue comprender que toda organización necesita proteger sus activos informacionales, especialmente aquellos datos que no pueden ser reconstruidos fácilmente ni adquiridos en el mercado.

Dentro de un sistema de información existen distintos componentes: hardware, software, redes, procedimientos, personas y datos. Sin embargo, no todos tienen el mismo grado de criticidad. El equipamiento puede reemplazarse, el software puede reinstalarse, las comunicaciones pueden restablecerse y los procesos pueden rediseñarse. En cambio, los datos propios de la organización poseen un valor particular, porque reflejan operaciones, decisiones, clientes, proveedores, transacciones, antecedentes y conocimiento acumulado.

Por ese motivo, la seguridad de la información no debe entenderse únicamente como un problema técnico. También constituye un problema administrativo, organizacional, ético y operativo. La tecnología puede aportar controles, restricciones y mecanismos de protección, pero la seguridad efectiva depende de cómo las personas usan esos sistemas, cómo se definen los procesos, cómo se asignan los accesos y cómo se responde ante incidentes.

2. La base de datos como activo crítico

Uno de los conceptos principales desarrollados fue que la base de datos constituye uno de los elementos más valiosos del sistema de información. La razón es simple: contiene información propia de la organización. Esa información no siempre puede reconstruirse si se pierde, se altera o se filtra.

Una organización podría recuperar computadoras, servidores, licencias o aplicaciones. Sin embargo, si pierde sus registros históricos, sus operaciones internas, sus datos de gestión, sus relaciones comerciales o sus evidencias documentales, la pérdida puede ser mucho más grave. Incluso cuando existan registros externos, como facturas o comprobantes fiscales, esa documentación no necesariamente permite reconstruir la información de gestión que la organización necesita para operar, decidir y controlar.

Por ello, la protección de la base de datos debe ocupar un lugar central en cualquier política de seguridad. Esto incluye mecanismos de respaldo, recuperación, trazabilidad, control de accesos, auditoría, cifrado, segregación de funciones y validación de operaciones.

3. La persona como eslabón débil del sistema de seguridad

Otro eje central fue el papel de la persona en la seguridad de la información. La persona aparece como el eslabón más débil de cualquier cadena de seguridad porque puede equivocarse, distraerse, cansarse, incumplir procedimientos, compartir credenciales, desconocer el funcionamiento de un sistema o ser inducida a tomar decisiones indebidas.

La debilidad humana no debe interpretarse solamente como una cuestión de mala fe. Muchas fallas se producen por desconocimiento, falta de capacitación, errores involuntarios, exceso de confianza o baja conciencia de seguridad. Un usuario puede responder incorrectamente a una advertencia del sistema, omitir un procedimiento, usar una contraseña débil, dejar una sesión abierta, copiar información en un lugar inseguro o utilizar herramientas sin comprender sus riesgos.

También se destacó que las personas pueden ser presionadas o seducidas para alterar decisiones. En contextos organizacionales, quienes manejan pagos, cobranzas, proveedores, clientes, bases de datos o información confidencial pueden ser objeto de intentos de influencia. Por ello, la seguridad no depende solo de herramientas técnicas, sino también de controles administrativos, códigos de conducta, supervisión, separación de funciones y cultura organizacional.

4. Amenazas y vulnerabilidades

Para analizar la seguridad de la información es necesario distinguir entre amenazas y vulnerabilidades.

Las amenazas son hechos, personas, eventos o condiciones que pueden afectar un sistema de información. Pueden provenir del interior o del exterior de la organización. Las vulnerabilidades, en cambio, son debilidades del sistema, del proceso, de la configuración, de la infraestructura o del comportamiento humano que permiten que una amenaza produzca daño.

Una amenaza no siempre genera un incidente. Para que el daño ocurra, suele ser necesario que exista una vulnerabilidad explotable. Por ejemplo, un atacante externo representa una amenaza, pero el daño puede producirse porque existe una contraseña débil, un software sin actualizar, una mala configuración, ausencia de respaldo o falta de control de accesos.

5. Amenazas internas

Las amenazas internas son aquellas que provienen de la propia organización o de personas que tienen algún nivel de acceso legítimo. Pueden ser voluntarias o involuntarias.

Entre las amenazas internas involuntarias se encuentran:

  • errores de usuarios;
  • falta de capacitación;
  • falta de atención;
  • desconocimiento del sistema;
  • incumplimiento de procedimientos;
  • uso incorrecto de herramientas;
  • carga errónea de datos;
  • mala interpretación de mensajes del sistema;
  • descuido en la protección de credenciales.

Entre las amenazas internas voluntarias pueden aparecer:

  • fraude;
  • sabotaje;
  • robo de información;
  • abuso de privilegios;
  • venta de datos;
  • manipulación de registros;
  • eliminación deliberada de información;
  • uso indebido de accesos autorizados.

El concepto de “empleado infiel” resulta relevante para comprender que no todo incidente proviene de un atacante externo. En ocasiones, la fuga de información o la alteración de datos puede producirse desde adentro, por alguien que ya tenía acceso al sistema o conocía sus debilidades.

6. Amenazas externas

Las amenazas externas provienen de actores o eventos ajenos a la organización. Entre ellas pueden mencionarse:

  • atacantes informáticos;
  • malware;
  • ransomware;
  • virus;
  • troyanos;
  • gusanos;
  • ataques de denegación de servicio;
  • robo de credenciales;
  • explotación de software sin actualizar;
  • accesos remotos inseguros;
  • proveedores o clientes que intentan manipular información;
  • eventos físicos o ambientales.

Se distinguió también entre el concepto de hacker y cracker. El término hacker puede asociarse con quien conoce profundamente una tecnología o sistema. En cambio, el cracker es quien utiliza ese conocimiento para romper barreras de seguridad, vulnerar sistemas o cometer acciones ilícitas. La diferencia no está solamente en el conocimiento técnico, sino en el uso que se hace de ese conocimiento.

7. Malware, ransomware y ciberataques

El malware es software malicioso diseñado para afectar sistemas, alterar información, espiar, bloquear operaciones o permitir accesos no autorizados. Dentro del malware pueden incluirse virus, troyanos, gusanos, spyware y ransomware.

El ransomware constituye una amenaza especialmente grave porque bloquea, cifra o inutiliza información y exige un rescate para liberarla. El impacto no se limita al área técnica: puede detener operaciones comerciales, afectar la atención a clientes, impedir la emisión de documentación, generar pérdidas económicas y dañar la reputación institucional.

Los ciberataques deben entenderse como incidentes que pueden comprometer la continuidad operativa. Una organización que no posee respaldos adecuados, planes de recuperación, controles de acceso, actualizaciones de seguridad y procedimientos de contingencia puede quedar paralizada ante un ataque.

8. Riesgo y ausencia de riesgo cero

Un principio fundamental de la clase fue que no existe el riesgo cero. Ningún sistema de información puede considerarse absolutamente seguro. Aun cuando se implementen múltiples controles, siempre existe la posibilidad de error, falla, ataque, descuido, sabotaje o evento imprevisto.

El riesgo debe analizarse en función del contexto. Un sistema no opera aislado, sino dentro de una organización, con personas, procesos, tecnología, instalaciones físicas, proveedores, clientes, regulaciones y restricciones económicas. La seguridad debe diseñarse considerando ese entorno.

El objetivo de la seguridad no es eliminar por completo el riesgo, porque eso resulta imposible, sino reducirlo a niveles aceptables, detectarlo cuando se materializa, corregir sus consecuencias y recuperar la operación afectada.

9. Ambiente de control

El ambiente de control es el conjunto de condiciones organizacionales, técnicas, administrativas y físicas que permiten proteger la información y reducir los riesgos. Proviene del campo de la auditoría, pero resulta aplicable a la gestión de sistemas de información.

Un buen ambiente de control requiere orden, procedimientos claros, responsabilidades definidas, controles activos, capacitación, monitoreo, documentación, segregación de funciones y mecanismos de respuesta ante incidentes.

El ambiente de control no se limita a la tecnología. También incluye:

  • control de acceso físico;
  • identificación de personas;
  • restricciones de ingreso;
  • protección de archivos;
  • planes de evacuación;
  • disponibilidad de matafuegos;
  • sitios alternativos de recuperación;
  • continuidad operativa;
  • resguardo de documentación;
  • políticas de trabajo remoto;
  • uso de redes privadas virtuales;
  • protección de dispositivos;
  • administración de credenciales.

La seguridad digital y la seguridad física se encuentran relacionadas. Una organización puede tener buenos controles informáticos, pero si cualquier persona puede ingresar a áreas sensibles, acceder a documentación, manipular tableros eléctricos o utilizar equipos sin autorización, el ambiente de control resulta débil.

10. Tipos de controles

Los controles se clasifican según el momento en que actúan y la finalidad que cumplen. Se desarrollaron cuatro tipos principales:

10.1. Controles preventivos

Son aquellos que buscan evitar que ocurra un problema. Su finalidad es impedir errores, accesos indebidos, operaciones inválidas o situaciones de riesgo antes de que se materialicen.

Ejemplos de controles preventivos son:

  • contraseñas;
  • autenticación multifactor;
  • validaciones de datos;
  • límites de acceso;
  • permisos por perfil;
  • capacitación;
  • bloqueo de pantallas;
  • políticas de actualización;
  • restricciones para instalar software;
  • controles de ingreso físico.

Sin embargo, los controles preventivos no eliminan todos los errores. Un sistema puede impedir cargar una nota fuera del rango válido, pero no necesariamente puede impedir que se cargue una nota válida pero incorrecta. Por eso, los controles preventivos deben complementarse con otros controles.

10.2. Controles detectivos

Son aquellos que permiten identificar errores, irregularidades o desvíos una vez que se produjeron. No evitan el problema, pero permiten advertirlo.

Ejemplos de controles detectivos son:

  • auditorías;
  • revisión de logs;
  • conciliaciones;
  • reportes de excepción;
  • alertas de actividad inusual;
  • comparación de registros;
  • monitoreo de accesos;
  • revisión de operaciones críticas.

Las auditorías de sistemas cumplen un papel importante como controles detectivos, porque permiten revisar si los procesos se ejecutan conforme a lo previsto y si existen fallas que deben corregirse.

10.3. Controles correctivos

Son los controles orientados a corregir errores, inconsistencias o fallas detectadas. Actúan después de que el problema fue identificado.

Ejemplos de controles correctivos son:

  • ajuste de registros;
  • corrección de parametrizaciones;
  • modificación de permisos;
  • actualización de procedimientos;
  • reparación de configuraciones;
  • cierre de accesos indebidos;
  • cambios en el diseño del sistema.

El control correctivo busca restablecer la situación adecuada y evitar que el mismo problema se repita.

10.4. Controles recuperatorios

Son aquellos que permiten recuperar información, sistemas u operaciones luego de una falla, ataque, pérdida o desastre.

Ejemplos de controles recuperatorios son:

  • backups;
  • restauración de bases de datos;
  • sitios alternativos de operación;
  • planes de contingencia;
  • recuperación ante desastres;
  • redundancia de servidores;
  • copias fuera de línea;
  • esquemas de respaldo 3-2-1.

Estos controles resultan fundamentales porque ningún sistema está exento de fallas. Si la organización no puede recuperar sus datos, el impacto del incidente puede ser irreversible.

11. Backup y recuperación

El backup no debe verse como una tarea meramente técnica. Aunque normalmente sea ejecutado por áreas de tecnología, su finalidad es administrativa y organizacional: asegurar que la información necesaria para operar y decidir pueda ser recuperada.

Un respaldo mal diseñado, desactualizado o no probado puede generar una falsa sensación de seguridad. No alcanza con hacer copias: es necesario saber qué se copia, con qué frecuencia, dónde se guarda, quién puede acceder, cómo se restaura y cuánto tiempo llevaría volver a operar.

También debe considerarse que el backup refleja un momento determinado. Si se restaura una copia antigua, puede perderse toda la información generada entre el momento del respaldo y el incidente. Por eso, las políticas de respaldo deben definirse de acuerdo con la criticidad del proceso y la tolerancia de la organización a la pérdida de datos.

12. Mínima exposición y mínimos privilegios

Dos principios esenciales de seguridad son la mínima exposición y los mínimos privilegios.

La mínima exposición implica que las personas, sistemas o procesos solo deben quedar expuestos a aquello que sea estrictamente necesario. Cuanto mayor sea la exposición, mayor será la superficie de ataque.

El principio de mínimos privilegios establece que cada usuario debe tener únicamente los permisos necesarios para cumplir su tarea. No corresponde otorgar accesos amplios “por comodidad” o “por si acaso”. Cada privilegio adicional aumenta el riesgo.

Estos principios se aplican tanto al mundo físico como al digital. En una organización, no todas las personas deberían ingresar a todas las oficinas, acceder a todos los sistemas, ver todos los datos o modificar todos los registros. La asignación de permisos debe responder a funciones, responsabilidades y necesidad real de uso.

13. Políticas, normas, procedimientos y capacitación

La seguridad requiere políticas, normas y procedimientos claros. Las políticas indican criterios generales; las normas establecen reglas obligatorias; los procedimientos explican cómo deben ejecutarse las tareas.

Sin embargo, la existencia de documentación no garantiza su cumplimiento. Para que las políticas sean efectivas deben ser conocidas, comprendidas, aplicables y controladas. La capacitación cumple un papel central porque permite que las personas entiendan qué deben hacer, por qué deben hacerlo y qué consecuencias puede tener el incumplimiento.

La capacitación debe incluir tanto aspectos técnicos como administrativos: uso de contraseñas, confidencialidad, manejo de datos, trabajo remoto, backups, identificación de correos sospechosos, uso de sistemas, gestión de accesos, protección de dispositivos y respuesta ante incidentes.

14. Confidencialidad y acuerdos de no divulgación

La información organizacional puede ser confidencial, sensible o estratégica. Por ello, debe evitarse su divulgación no autorizada. En este punto resultan relevantes los acuerdos de no divulgación, conocidos en inglés como NDA, Non-Disclosure Agreement.

Un NDA es un acuerdo mediante el cual una persona se compromete a no revelar información a la que accede por razón de su trabajo o vínculo con la organización. Sin embargo, la protección de la confidencialidad no depende solo de firmar un documento. También requiere cultura, supervisión, sanciones, capacitación y controles efectivos.

15. Conclusión

La seguridad de la información debe entenderse como una responsabilidad integral de la organización. No alcanza con instalar herramientas técnicas ni con delegar el tema en especialistas informáticos. La protección de la información exige comprender el valor de los datos, reconocer la fragilidad del factor humano, identificar amenazas y vulnerabilidades, aceptar que no existe riesgo cero y diseñar controles adecuados.

El ambiente de control constituye la base sobre la cual se organiza la seguridad. Dicho ambiente debe integrar controles físicos, técnicos y administrativos. Los controles preventivos, detectivos, correctivos y recuperatorios permiten reducir riesgos, identificar fallas, corregir desvíos y recuperar la operación cuando ocurre un incidente.

En definitiva, la seguridad de la información es una cuestión de gestión. Requiere decisiones organizacionales, compromiso de las personas, procesos bien definidos, tecnologías adecuadas y una cultura orientada a proteger el activo más crítico: la información.

Conceptos Clave

  • La base de datos es uno de los activos más críticos de una organización.
  • La información propia no siempre puede reconstruirse ni comprarse en el mercado.
  • La persona es el eslabón más débil del sistema de seguridad.
  • Las amenazas pueden ser internas o externas.
  • Las vulnerabilidades pueden ser involuntarias o provocadas.
  • No existe el riesgo cero en sistemas de información.
  • El ambiente de control integra aspectos físicos, técnicos y administrativos.
  • Los controles pueden ser preventivos, detectivos, correctivos y recuperatorios.
  • El backup es un control recuperatorio esencial.
  • La mínima exposición y los mínimos privilegios reducen la superficie de riesgo.
  • La capacitación es un componente central de la seguridad.
  • Las políticas, normas y procedimientos deben ser conocidos, aplicados y controlados.
  • La confidencialidad requiere acuerdos, cultura organizacional y controles efectivos.
  • La seguridad de la información es una cuestión de gestión, no solo de tecnología.

Preguntas de repaso

  1. ¿Por qué la base de datos puede considerarse uno de los activos más valiosos de un sistema de información?
  2. ¿Por qué se afirma que la persona es el eslabón más débil de la seguridad de la información?
  3. ¿Cuál es la diferencia entre una amenaza y una vulnerabilidad?
  4. ¿Qué ejemplos pueden mencionarse de amenazas internas dentro de una organización?
  5. ¿Qué ejemplos pueden mencionarse de amenazas externas vinculadas con la tecnología?
  6. ¿Por qué no existe el riesgo cero en los sistemas de información?
  7. ¿Qué se entiende por ambiente de control y por qué no debe limitarse a la tecnología?
  8. ¿Cuál es la diferencia entre controles preventivos, detectivos, correctivos y recuperatorios?
  9. ¿Por qué el backup debe considerarse una responsabilidad organizacional y no solo técnica?
  10. ¿Cómo se relacionan los principios de mínima exposición y mínimos privilegios con la protección de la información?
Scroll to Top