1. SEGURIDAD DE LA
INFORMACIÓN
DR. MATÍAS JACKSON

2. Prof. Jorge FERNANDEZ RUIZ
CERTIDUMBRE DEL INDIVIDUO DE QUE SU PERSONA, BIENES
Y DERECHOS ESTÁN A SALVO DE ATAQUES VIOLENTOS E
INDEBIDOS Y, EN EL PEOR DE LOS CASOS, DE EFECTUARSE,
SE HARÁN CESAR CON PREMURA Y LOS DAÑOS LE SERÁN
RESARCIDOS; LA SEGURIDAD ES, POR TANTO, PUNTO DE
PARTIDA DEL ESTADO Y PUERTO DE ARRIBO DEL DERECHO
”
“

3. TIPOS DE SEGURIDAD
• Seguridad pública o
ciudadana
• Seguridad individual
• Seguridad social
• Seguridad nacional
• Seguridad jurídica

4. • Certeza, orden, firmeza y confianza en el ordenamiento, no sólo
en las relaciones jurídicas entre particulares sino también en las
relaciones entre el ciudadano y las autoridades
• Componentes:
• Objetivo: la certeza de la positividad del Derecho y su
observancia
• Subjetivo: la confianza puesta por la persona en el
comportamiento correcto de quienes deben aplicarlo
• Derecho telemático tiene un componente tecnológico

6. INFORMACIÓN
• Es uno de los activos más importantes para una organización.
• Necesidad de pensar en su seguridad.
• TI: Permiten que se almacene, consulte y transmita más
fácilmente.
• Activo empresarial
• Puede adoptar diferentes formas

7. ETAPAS DEL ATAQUE INFORMÁTICO

8. RIESGOS EN LA TRANSMISIÓN DE LA INFORMACIÓN
• Vulneración de los mensajes
• Interceptación de datos de
carácter reservado
• Apoderamiento de los mismos
• Cambios en el contenido de
los mensajes
• Repudio de la autoría de
mensajes realmente enviados
• Desconocimiento de su
efectiva recepción

9. • Autenticación: verificación de la identidad del remitente del
mensaje de datos;
• Integridad: asegura que los mensajes sean recibidos sin
alteraciones no autorizadas, sin modificaciones o manipulaciones
durante la transmisión;
• Confidencialidad: el secreto de la comunicación que garantiza que
sólo tengan acceso a ella quienes hayan sido autorizados;
• No repudio: el emisor, una vez enviado el mensaje, no puede
negarlo y que el destinatario, una vez recibido, no puede
rechazarlo.

10. ÁMBITO
PÚBLICO

11. LEGISLACIÓN
• Ley N° 18.172 de 7 de septiembre de 2007:
• Creó el Consejo Asesor Honorario de Seguridad de
Informática del Estado
• Faculta a AGESIC en materia de seguridad de la información
• Ley 18.719 de 27 de diciembre de 2010:
• Creó la Dirección de Seguridad de la Información.

12. DECRETOS
• Decreto Nº 450/009 de 28 de septiembre de 2009. Principios y
líneas estratégicas para el Gobierno en Red.
• Decreto Nº 451/009 de 28 de septiembre de 2009. Reglamenta el
CERTuy.
• Decreto Nº 452/2009 de 28 de septiembre de 2009. Políticas en la
Seguridad en la Información para los Organismos del Estado
• Decreto Nº 36/2015 de 27 de enero de 2015. Creación del Centro
de Respuesta a Incidentes de Seguridad Informática en el
Ministerio de Defensa Nacional (D-CSIRT)

14. CIBERSEGURIDAD
DECRETO 92/2014
• Objetivos
• Estandarizar los nombres
de dominio
• Correos institucionales
seguros
• Centros de Datos Seguros
• Alcance
• Administración Central
http://segured.com/ciberseguridad-y-status-quo/

15. NOMBRES DE DOMINIO
• Objetivo: Uso adecuado de los nombres de dominio en la
Administración Central. Facilitar el acceso de la información a los
usuarios a través de la racionalización de los dominios.
• Alcance: Todos los dominios de Internet utilizados por los
organismos de la Administración Central y sus dependencias.

16. GUB.UY MIL.UY
ADMINISTRACIÓN CENTRAL MINISTERIO DE DEFENSA
Uso obligatorio
PARA TODOS LOS SERVICIOS DE INTERNET

17. FORMATO
• Iniciales: www.msp.gub.uy
• Su acrónimo: www.mides.gub.uy
• Nombre con el cual se conoce públicamente:
www.presidencia.gub.uy
• Las mismas recomendaciones se aplican para el caso de
subdominios: www.cgn.mef.gub.uy
• La información de contacto de responsables de dominios y
subdominios deben estar actualizada cada seis meses.

18. CORREOS ELECTRÓNICOS
• Objetivo: Mejorar los niveles
de seguridad de envío,
recepción y almacenamiento
de los servicios de correo
electrónico y garantizar un
nivel adecuado de
confidencialidad.
• Alcance: totalidad de
servidores de correo
electrónico implementados
en dominios .gub.uy o .mil.uy.

19. PROTECCIÓN EN:
GENERACIÓN, ALMACENAMIENTO, TRANSMISIÓN Y RECEPCIÓN
GARANTIZAR CONFIDENCIALIDAD
CIFRADO NIVEL MENSAJE CIFRADO NIVEL CANAL

20. DATACENTERS SEGUROS
• Objetivo: Mejorar los niveles de
disponibilidad, confiabilidad e
integridad de los centros de
datos utilizados por el Estado.
• Alcance:
• Arquitectura y estructura
• Seguridad física
• Control de acceso
• Electricidad
• Mecánica
• Disponibilidad y niveles
de servicio

21. ÁMBITO
PRIVADO

22. • ISO 27.000
• Ley Nº 18.331 de 11 de agosto de 2008, de Protección de Datos
Personales y Acción de Habeas Data.
• Artículo 10: “El responsable o usuario de la base de datos
debe adoptar las medidas que resultaren necesarias para
garantizar la seguridad y confidencialidad de los datos
personales. Dichas medidas tendrán por objeto evitar su
adulteración, pérdida, consulta o tratamiento no autorizado,
así como detectar desviaciones de información, intencionales
o no, ya sea que los riesgos provengan de la acción humana o
del medio técnico utilizado.”

23. • Decreto N° 414/009, artículo 7º dispone: “Tanto el responsable
como el encargado de la base de datos o del tratamiento deberán
proteger los datos personales que sometan a tratamiento,
mediante aquellas medidas técnicas y organizativas que resulten
idóneas para garantizar, su integridad, confidencialidad y
disponibilidad”.

24. NORMAS ISO 27.000
• ISO/IEC 27000 Sistemas de Gestión de Seguridad de la Información. Visión General y Vocabulario.
• ISO/IEC 27001 Sistemas de Gestión de Seguridad de la Información. Requisitos.
• ISO/IEC 27002 Código de Buenas Prácticas para la Gestión de Seguridad de la Información.
• ISO/IEC 27003 Directrices para la Implementación de un Sistema de Gestión de Seguridad de la Información.
• ISO/IEC 27004 Gestión de la Seguridad de la Información. Medición.
• ISO/IEC 27005 Gestión del Riesgo de Seguridad de la Información.
• ISO/IEC 27006 Requisitos para los Organismos que Realizan Auditorías y Certificación de Sistemas de Gestión.
• ISO/IEC 27007 Directrices para la Auditoría de los Sistemas de Gestión de Seguridad de la Información.
• ISO/IEC 27008 Directrices para los Auditores sobre los Controles sobre Seguridad de la Información.
• ISO/IEC 27009 Aplicación de ISO/IEC 27001 a Sectores Específicos. Requisitos.
• ISO/IEC 27010 Directrices para la Gestión de la Seguridad de la Información en las comunicaciones intersectoriales e inter-organizacionales.
• ISO/IEC 27011 Directrices para la Gestión de la Seguridad de la Información en organizaciones de telecomunicaciones basadas en ISO/IEC 27002.
• ISO/IEC 27013 Directrices para la Implementación Integrada de ISO/IEC 27001 e ISO/IEC 20000-1.
• ISO/IEC 27014 Gobernanza de la Seguridad de la Información.
• ISO/IEC TR 27015 Directrices para la Gestión de la Seguridad de la Información en Servicios Financieros.
• ISO/IEC TR 27016 Gestión de Seguridad de la Información. Aspectos Económicos de la Organización.
• ISO/IEC 27017 Código de Prácticas para los Controles de Seguridad de la Información para Servicios en la Nube Basados en ISO/IEC 27002.
• ISO/IEC 27018 Código de Prácticas para la Protección de Información para Identificación Personal (IIP) en Nubes Públicas Actuando como Procesadores de
IIP.
• ISO/IEC 27019 Directrices para la Gestión de la Seguridad de la Información para Sistemas de Control de Procesos Específicos para la Industria de Energía
Basadas en ISO/IEC 27002.
• ISO 27779:2008, Informática en Salud. Gestión de la Seguridad de la Información en la Salud Utilizando ISO/IEC 27002.

25. DOMINIOS DE LA ISO 27.000
1. Política de seguridad
2. Organización interna
3. Recursos humanos
4. Identificación de activos
5. Accesos
6. Cifrado
7. Seguridad física y ambiental
8. Telecomunicaciones
9. Adquisición, desarrollo
y mantenimiento
10.Suministradores
11.Incidentes
12.Continuidad del negocio
13.Cumplimiento

26. MATIAS@MJACKSON.UY
@MJACKSONUY