Los pilares fundamentales de la seguridad de la información y la gestión de riesgos

Name: M1 1.2 Pilares de la Seguridad
Uploaded: 2026-01-21T18:34:05.262692+00:00
Channel: CYMETRIA - El Futuro es Digital
Description: Summary and key takeaways on Los pilares fundamentales de la seguridad de la información y la gestión de riesgos, covering Introducción El curso de

CYMETRIA - El Futuro es Digital

Jan 21, 2026

•

2 min read

YouTube video ID: APqDcT6KjTk

Source: YouTube video by CYMETRIA - El Futuro es Digital — Watch original video

PDF

Introducción

El curso de ciberseguridad comienza con la explicación de los pilares básicos que sustentan cualquier estrategia de protección de datos: confidencialidad, integridad y disponibilidad, conocidos como la triada CIA.

La triada CIA

Confidencialidad (C): Mantener la información secreta y accesible solo para usuarios autorizados. Ejemplos de controles: cifrado, políticas de contraseñas fuertes, clasificación y etiquetado de datos.
Integridad (I): Garantizar que los datos no sean alterados sin autorización. Herramientas típicas: hashing, firmas digitales, certificados y control de versiones.
Disponibilidad (A): Asegurar que los sistemas y servicios estén operativos cuando los usuarios legítimos los necesiten. Un ataque de denegación de servicio (DoS) es un ejemplo que afecta este pilar.

Pilares complementarios

Autenticidad: Verificar la legitimidad de usuarios y datos mediante credenciales únicas, MFA y biometría.
No repudio: Impedir que el autor de una acción niegue haberla realizado, usando firmas electrónicas y registros de auditoría.
Legalidad: Cumplir con normativas como GDPR para evitar sanciones y proteger la reputación.

Amenazas, vulnerabilidades y activos

Activos: Información, servidores, redes, dispositivos y servicios que deben ser identificados y catalogados (públicos, confidenciales, privados, etc.).
Vulnerabilidades: Debilidades inherentes al sistema, como errores de diseño, bugs de código, configuraciones incorrectas y falta de parches. Son más fáciles de mitigar una vez detectadas.
Amenazas: Orígenes del peligro que pueden ser externos (ciberdelincuentes), internos (insiders) o físicas (desastres naturales, robo de equipos).

Gestión del riesgo

La gestión del riesgo combina los tres elementos anteriores mediante la ecuación:

Riesgo = Probabilidad × Impacto

En algunos modelos también se incluye la vulnerabilidad y el valor del activo:

Riesgo = Amenaza × Vulnerabilidad × Valor del activo

Evaluar la probabilidad de que una amenaza explote una vulnerabilidad y el impacto resultante permite priorizar medidas de mitigación.

Medidas de protección recomendadas

Cifrado de datos en reposo y en tránsito.
Políticas de control de acceso robustas y gestión de contraseñas.
Actualizaciones y parches regulares.
Configuración segura de puertos y servicios.
Implementación de MFA y autenticación biométrica.
Monitoreo continuo y auditorías para detectar incidentes.

Conclusión del módulo

Comprender la triada CIA y los pilares complementarios, junto con la identificación de activos, vulnerabilidades y amenazas, es esencial para diseñar una estrategia de ciberseguridad eficaz y basada en la gestión de riesgos.

Dominar la triada CIA y los conceptos de autenticidad, no repudio y legalidad, junto con una evaluación clara de activos, vulnerabilidades y amenazas, permite construir una defensa integral que protege la información y mantiene la continuidad del negocio.

Frequently Asked Questions

Who is CYMETRIA - El Futuro es Digital on YouTube?

CYMETRIA - El Futuro es Digital is a YouTube channel that publishes videos on a range of topics. Browse more summaries from this channel below.

Does this page include the full transcript of the video?

Yes, the full transcript for this video is available on this page. Click 'Show transcript' in the sidebar to read it.

Helpful resources related to this video

If you want to practice or explore the concepts discussed in the video, these commonly used tools may help.

Hardware Security Module Hsm Recommended

Dispositivo físico que protege claves criptográficas y facilita el cifrado de datos, esencial para garantizar confidencialidad e integridad en entornos empresariales actuales

Amazon →

Encrypted Usb Flash Drive

Unidad USB con cifrado integrado que permite almacenar información sensible de forma segura, ayudando a mantener la confidencialidad y disponibilidad

Amazon →

Links may be affiliate links. We only include resources that are genuinely relevant to the topic.

Summarize another video

Full Transcript YouTube

[Música]
Hola y bienvenidos al curso de
ciberseguridad.
Ahora hablemos sobre los pilares de la
seguridad.
Cuando nosotros hablamos de los pilares
de las de la de la seguridad, que eso
independientemente de qué seguridad se
esté se esté hablando, seguridad
informática, ciberseguridad, seguridad
de la información, existe los tres, ¿ya?
es la confidencialidad, la integridad y
la disponibilidad. ¿Qué se le dice? La
CIA, la triala CIA, no la CIA de la
Agencia de Inteligencia Americana, sino
la CIA de los pilares de la seguridad
que son C la C de confidencialidad, la I
de integridad y la A de disponibilidad.
Pero recuerden que por qué dice A si
habla de disponibilidad porque CIA está
en inglés. confidentiality, integrity
and availability, que habla sobre esos
conceptos en español.
Entonces, ¿a qué se refiere la
confidencialidad? Pues la
confidencialidad habla sobre mantener
los datos en secreto y privados,
asegurando que solo
las personas o los usuarios autorizados
puedan tener acceso a dicha información.
ser confidencial es como un secreto. Si
yo le digo a Juan un secreto y le digo,
"Solo tú y yo vamos a tener ese
secreto."
Hablamos de generar confidencialidad.
Eso es algo entre los dos. El en el
momento en que Juan le cuente eso a
alguien o yo le cuente eso a alguien,
deja de ser confidenciado. Sí, se vuelve
público. La integridad, la integridad lo
que garantiza es que los datos no sean
modificados y lo que genera es confianza
de que la información es precisa, es
concisa, es clara y no ha sido alterada.
Entonces, la integridad es eso, hace
referencia de qué manera yo sé que esa
información que esté ahí no es falsa o
que no ha sido eh modificada. ¿Sí?
Entonces, integridad, algo me hace
constatar que eso no ha sido alterado.
Y lo otro, obviamente alterado, pero por
usuarios que tienen la autorización en
ese punto. Entonces, no cualquiera puede
llegar a modificar, pero si alguien va y
lo modifica, quiere decir que esa
persona sí tenía la autorización para
hacerlo, pero que como tiene la
autorización, hay garantía de que eso
esos valores que están ahí sí son
reales, son absolutos, son valores que
definitivamente eh fueron modificados
por alguien que tenía autorización para
hacerlo y que lo que está ahí es válido.
Y la disponibilidad hace referencia a
que el servicio si pueda estar
disponible en el momento en que el
usuario lo necesite. Si las personas
autorizadas lo necesiten. Por ejemplo,
si yo entro a una página web y la página
web está caída, quiere decir que no hay
disponibilidad. Entonces, en ese caso se
está afectando
eh la
triada de la seguridad. Miren, den
cuenta que esto es sumamente sencillo.
Al final lo que estamos viendo es que
esos pilares, ese triangulito,
usualmente, miren en internet, por
ejemplo, en la pantalla, si yo hablo de
la triada CIA,
entonces aquí hablan, siempre lo dibujan
como un triangulito, confidencialidad,
disponibilidad, integridad. Bien,
entonces aquí hablan sobre eso. Siempre
van a encontrar el triangulito.
¿Por qué? Porque la manera en que se
identifican y seguridad de la
información. Mira, aquí está en inglés
confidentiality, availability e
integrity. El esto lo pueden ustedes
encontrar. ¿Sí? Entonces, ¿qué es
seguridad de la red? Confidencialidad,
integridad y disponibilidad.
Sí, todo habla sobre eso. Seguridad de
información, etcétera. Bien, a eso hace
referencia. Entonces, cuando hablamos ya
de dentro de los pilares la
confidencialidad que sobre la protección
del acceso, aquí tenemos una descripción
general. El objetivo principal pues es
mantener los datos en secreto y privados
mediante controles estrictos de acceso
que limitan quién puede ver qué
información. Hay unos ejemplos y es
cuáles serían las medidas de protección.
Pues por ejemplo, yo puedo cifrar los
datos, yo puedo generar políticas de
control de acceso, yo puedo clasificar y
etiquetar la información o los datos y
obviamente eso me permite protegerlos
contra espionaje.
Eh, si yo tengo una política fuerte a
nivel de contraseñas, entonces pues ya
no voy a tener contraseñas débiles. Si
pues cifre los datos, pues no voy a
sufrir de tema de cfrado o de ataques de
hombre en el medio. ¿Sí? Entonces, ahora
hablamos sobre la integridad. La
integridad es garantía de precisión. Lo
que yo les decía, garantiza que los
datos se mantengan, que mantengan sus
características originales desde su
creación sin las modificar, sin que sean
modificados por personas no autorizadas.
Tipos de violación pueden ser
intencionales o no intencionales. Un
error humano o un atacante que decide
modificar una base de datos. Por
ejemplo, vamos a suponer que al banco lo
atacan. Entonces, al banco lo atacaron y
todas las personas que estaban
reportadas por no pago les cambiaron el
eh la una deuda que tenían por cero
todas. ¿Qué pasa con eso? que ahí hay un
ataque por un tercero y lo que está
haciendo es afectando primero aunque
esté disponible la información, pero la
información no es precisa, lo que hizo
fue modificarla y al modificarla pues
violó la integridad dentro del marco de
la CIA.
Y esto que me permite a nivel de
protección, pues el hashing, por lo
menos utilizar esas técnicas o las
firmas digitales, utilizar certificados
y control de versiones para validar qué
es lo que se está diciendo, si es
cierto.
La disponibilidad, acceso garantizado.
Bueno, tal vez acceso garantizado no
tanto, pero lo que asegura es que tanto
los sistemas, las redes, las
aplicaciones estén operativos y que sean
accesibles para usuarios autorizados
cuando se requiera, que es lo que yo les
decía. Entonces, ¿esto qué hace? Por
ejemplo, si hay un ataque de negación de
servicio, puede que la página esté caída
por un ataque, porque puede ser por 1000
cosas también, pero si está caída por un
ataque, pues posiblemente se está
afectando dentro de la CIA la
disponibilidad. ¿Cuáles son esos otros
pilares complementarios que tiene la
seguridad de la información o la
ciberseguridad? Pues tenemos tres más,
que sería la autenticidad, que es
confirmar
la legitimidad de los datos y la
identidad de los usuarios mediante
credenciales únicas, utilizando el
múltiple factor de autenticación y un
escaneo biométrico, por ejemplo.
Entonces el cuando yo voy a acceder, yo
necesito una aparte de mi password, yo
voy a utilizar un, por ejemplo, el otro
software que me permita ingresar un
código o que llegue el código a mi
celular y que yo luego ingrese eso.
Entonces, va a validar que haya
autenticidad de que sea yo quien que
vaya a acceder y no sea un tercero
haciéndose pasar por mí. El no repudio
asegura que el autor no pueda negar su
identidad. Esto, ¿qué pasa? Por ejemplo,
cuando tenemos un contrato y estamos
generando un contrato con un tercero,
usualmente lo que hacemos es entrar a,
te envían el contrato al correo
electrónico, tú lo revisas y aparece
algo con una flechita y tú dices
siguiente, siguiente, siguiente. Y
firmar. Cuando tú le das firmar, lo que
hace el contrato es generar una firma,
un hash. Sí, de que efectivamente, ¿de
qué toma datos, por ejemplo, de la hora,
toma del del tiempo, el momento, toma
datos de la dirección IP, de la
ubicación, eh etcétera. información que
puede ser utilizada para decir, "Mire,
usted ingresó al correo electrónico,
tuvo acceso, eh usted oprimió el botón y
usted desde esta dirección, en este
moment en tal momento eh desde esta
posición usted dijo que sí, que aceptaba
y que firmaba.
Entonces, ese es el repudio de que la
persona no va a poder luego decir que no
era ella, sino efectivamente hay
elementos suficientes para decir, "Fue
usted y únicamente usted el que tuvo
acceso y desarrolló esa actividad." El
no repudio es eso, garantizar que la
persona que dice que hace algo eh que
alguien se pueda garantizar que alguien
que dice que lo hizo es cierto.
Y la legalidad que es un enfoque a nivel
de GDPR, por ejemplo, el cumplimiento a
nivel de regulaciones, protección de
datos, evitar para evitar que multas, e
daños reputacionales,
etcétera. Sí. Entonces ahí tiene que ver
también ámbitos legales, jurídicos, a
nivel primero de la organización, a
nivel de estado, nación, dependiendo.
Sí. Ahora hablemos sobre las amenazas,
vulnerabilidades y activos.
Entonces, cuando nosotros hablamos de
las amenazas, vulnerabilidades y
activos, el a ver, la ciberseguridad se
fundamenta en algo que es la gestión de
riesgos. Sí. el y como ya sabemos cuál
es el riesgo, pues vamos a necesitar
contrarrestar, ¿sí? Vamos a salir de ese
peligro que existe posiblemente.
Bien, entonces hay unos activos de
información
que están en la organización. Entonces,
¿cuál es el objetivo de la protección?
Eso es una muy buena pregunta. ¿A qué
voy a defender? ¿Cómo lo voy a defender?
¿Y por qué lo voy a defender? Esos son
preguntas que tenemos que hacernos
nosotros cuando estamos desarrollando
estas actividades de eh amenazas,
vulnerabilidades y activos. Entonces,
primero tengo que conocer qué voy a
defender. Y para conocer qué voy a
defender, entonces tengo que catalogar
qué tipo de información yo tengo, si
tengo información sensible, si tengo
información pública, si gestiono
información eh privada, si es
confidencial, etcétera. Entonces, tengo
que catalogar primero la información y
luego de que catalogo yo la información
tengo que eh
conocer cuáles son los activos que
cuento. ¿Por qué? Porque yo ya sé qué
información tengo, pero en dónde la
tengo. Entonces, tengo que saber qué
servidores existen, qué redes existen,
eh qué dispositivos de seguridad
existen, dónde se está almacenando esa
información, qué equipo de información,
el qué servicios yo tengo, en esos
servicios, yo qué información tengo, si
es información pública, donde se
consulta los usuarios, si es información
confidencial de la organización,
etcétera.
Yo lo tengo en On Premis, yo lo tengo en
cloud, dónde está esa información con la
que cuenta la empresa si cuál es ese
tipo de información, porque de ahí va a
depender muchas cosas. Ahí va a
depender,
por ejemplo, el cuál es el riesgo hacia
tal elemento de seguridad, cuál es el
riesgo a la nube, cuál es el riesgo a
que yo tenga un premis, cuál es el
riesgo que yo tenga esta aplicación,
qué elementos de control tengo,
etcétera. Entonces, tengo que clasificar
cuál es mi objetivo de de proteger, por
qué, cómo, dónde.
Sí, hablemos sobre las vulnerabilidades.
Las vulnerabilidades son esos,
digamos, falencias
del sistema. Aquí hablamos sobre los
puntos débiles del sistema. Yo hablo
falencia. Entonces, una vez el concepto
tiene que ser así. Una vulnerabilidad
es una debilidad o punto de fragilidad
en un activo que puede ser explotado. Se
describe como grietas digitales o
agujeros de seguridad. que dejan los
sistemas expuestos a peligros. Entonces,
¿cuáles son las principales causas? Un
mal diseño. Se a nivel de arquitectura
se diseñó mal, tiene un fallo. Sí,
errores de código, los famosos bugs. Sí.
El una configuración incorrecta. Llegó
alguien, dijo, "Ah, esto se configura de
esta manera, así sersencillo." Y no se
dio cuenta que le hacían falta
configurar algunos parámetros o
características y dejó la configuración
así. Y eso, ¿qué implicó? Que tuviera
una configuración incorrecta, que
estuviera el dispositivo mal configurado
y que un atacante lograra entrar a la
organización. Puede ser. Ah, también la
falta de actualizaciones o de parches,
la gestión de gestión gestión de
parcheo, gestión de actualizaciones.
Entonces, a esto se dedica la seguridad
informática, pero esos son puntos
débiles. Imagínese que usted tiene un un
servidor montado en la nube, usted no lo
configuró los elementos de seguridad
correspondientes para protegerlo, por
ejemplo, no le configuró los puertos
adecuados de entradas de salida. Eh,
dejó todos los puestos los puertos
expuestos. Entonces, ah, y por lo otro
es que se le olvidó actualizarlo hace 6
meses. Imagínense eso. Dejó los puertos
abiertos, mala configuración y no lo
actualizabon hace 6 meses y en esos 6
meses pues hace falta actualizaciones.
Esos son qué esos son brechas de
seguridad. Entonces ahí hablamos de
vulnerabilidad. Yo de manera
inconsciente, tal vez por
desconocimiento, estoy generando una
vulnerabilidad en todos los elementos eh
tecnológicos con los que yo cuento.
Entonces, miren acá algo importante. A
diferencia de las amenazas, las
vulnerabilidades son inherentes a los
sistemas y una vez detectada y
localizada son relativamente sencillas
de mitigar y neutralizar. Claro, porque
es que una amenaza puede ser muchas
cosas. un apt, un grupo, un hacker, un
ciberdelincuente,
un
un Skype, eh puede una un usuario, sí,
pueden ser un terremoto, un una zonada,
no sé, depende dónde estén ubicados los
elementos de ti, la infraestructura,
etcétera. Son muchísimas cosas.
¿Qué es una amenaza? El origen del
peligro. ¡Uf! Entonces, mire que acá hay
tres y eso lo mencionaba yo ahorita
cuando hablaba de las zonadas, un
terremoto, un malware, un aptes hablamos
de amenazas externas, internas y
físicas. Si clasificamos, por ejemplo,
una amenaza externa puede ser un
ciberdelincuente,
eso es externo. Una amenaza interna
puede ser un un usuario descontento que
no le gusta el salario o que lo acaban
de despedir y insertó un malware o se
llevó información. Esa es una amenaza
interna y eso usualmente se le conoce
como insiders. Sí.
El o puede ser un usuario que por
desconocimiento genera una acción, baja
el sistema, lo tumba, borra una base de
datos. Entonces ahí hay una amenaza
interna. Igual sigue siendo un insider.
Y la amenaza física habla sobre los
eventos físicos. Se pueden robar un
laptop, un portátil, un dispositivo
móvil. Eh, puede haber un terremoto, un
incendio, eh desastres naturales.
Entonces, mire todo lo que yo venía
nombrando. Y acá, ¿cómo lo
identificamos? Como las amenazas.
Entonces, yo, ¿qué tengo que hacer?
Usualmente cuando se genera un sistema
de gestión de seguridad, yo lo que hago
es
primero identifico mis activos, luego el
riesgo, entonces tengo que saber sobre
las amenazas,
cada cuánto puede la probabilidad, el
impacto que generaría, etcétera.
Entonces, vamos allá.
la ecuación del riesgo. Entonces, vamos
aquí a la página
ecuación de riesgo
ciberseguridad.
Entonces, usualmente
la ecuación del riesgo, riesgo versus
amenaza. Los riesgos y las amenazas,
miren, son conceptos relacionados pero
diferentes. Eso lo dice acá en internet.
Los riesgos son directamente
proporcional a las amenazas, a las
vulnerabilidades y a los impactos.
Entonces, evaluación del riesgo es
riesgo es igual a una vulnerabilidad por
una amenaza
por el impacto.
Sí, acá lo hace de una manera diferente.
El miren que en la presentación que se
tiene el riesgo es decir a la amenaza
por la vulnerabilidad por el valor de
activo del activo.
Entonces, hay otras que son amenaza por
vulnerabilidad.
Mir, riesgo es amenaza por
vulnerabilidad.
Probabilidad magnitud.
Probabilidad por impacto. Riesgo es la
probabilidad por el impacto. Esa es la
básica probabilidad por impacto.
Aquí, por ejemplo, en la página de
Incibe hablan sobre una la amenaza por
la vulnerabilidad por el impacto es
igual al riesgo,
pero la básica es
probabilidad por impacto. Es la básica.