PROGRAMA DE PROFESIONALIZACIN 2011

ASIGNATURA: DOCENTE:

GESTIN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIN MG. HEIDY VELSY RIVERA VIDAL

CAPTULO N I
SEMANA N 01
INTRODUCCIN A LOS SISTEMAS DE GESTIN DE LA SEGURIDAD DE INFORMACIN PLAN DE SESIN DE APRENDIZAJE N 01 TEMA EJE: AULA: LOGRO DEL APRENDIZAJE CONCEPTOS BSICOS: ACTIVOS, AGENTES, AMENAZAS, IMPACTO, RIESGOS, VULNERABILIDAD, SEGURIDAD, CONTROL Y AUDITORA. 403 FECHA: 12/06/2011 Comprende y analiza cada una de las definiciones bsicas relacionadas a la Seguridad de la Informacin.

DESARROLLO DEL TEMA EJE: DEFINICIONES BSICAS I. SEGURIDAD DE LA INFORMACIN Seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas de la informacin respecto al acceso, uso, divulgacin, interrupcin o destruccin no autorizada de la informacin. Las organizaciones estn sujetas a constantes violaciones a la Seguridad de su Informacin producidos por diversos ataques cuyos autores son denominados Agentes, por lo que podemos determinar su clasificacin en: I.A) ATAQUES PASIVOS En los ataques pasivos el agente no altera el flujo de transmisin de la informacin, sino que nicamente lee o monitoriza, para obtener informacin que est siendo transmitida. I.B) ATAQUES ACTIVOS Estos ataques implican algn tipo de modificacin del flujo de datos transmitido o la creacin de un falso flujo de datos. II. CONSIDERACIONES DELIBERADAS A LA SEGURIDAD DE LA INFORMACIN 2.1. ACTIVO Es el recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos. Los activos se agrupan en las siguientes categoras:

SEMANA 01 Mg. Heidy Velsy Rivera Vidal

a) b) c) d) e)

Activos de Informacin. Activos de Software. Activos Fsicos. Servicios. Otros.

2.2. AMENAZAS Es la condicin del entorno del sistema de informacin (persona, mquina, suceso o idea) que, dada una oportunidad, podra dar lugar a que se produjese una violacin de la seguridad. Existen diversas modalidades en las que las amenazas pueden presentarse, tales como: a) Interrupcin: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son la destruccin de un elemento hardware, como un disco duro, cortar una lnea de comunicacin o deshabilitar el sistema de gestin de ficheros. b) Intercepcin: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podra ser una persona, un programa o un ordenador. Ejemplos de este ataque son pinchar una lnea para hacerse con datos que circulen por la red y la copia ilcita de ficheros o programas (intercepcin de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o ms de los usuarios implicados en la comunicacin observada ilegalmente (intercepcin de identidad). c) Modificacin.: una entidad no autorizada no slo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad. Ejemplos de este ataque son el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que estn siendo transferidos por la red. d) Fabricacin: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. Ejemplos de este ataque son la insercin de mensajes espurios en una red o aadir registros a un archivo. 2.3. AUDITORA La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. 2.4. CONTROL Es un proceso establecido por el Directorio, la Gerencia, y todos los niveles organizacionales, para brindar una seguridad razonable de que se lograrn los objetivos del negocio. El control puede clasificarse en: a) Controles Preventivos. Permite evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. b) Controles Detectivos. Trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. c) Controles Correctivos. Tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

SEMANA 01 Mg. Heidy Velsy Rivera Vidal

2.5. IMPACTO Materializacin de una amenaza que conlleva a resultados desfavorables sobre un activo de la organizacin. 2.6. RIESGO Evento o condicin incierta que, en caso de incurrir, tiene un efecto positivo o negativo sobre los objetivos de un proyecto. 2.7. MECANISMOS DE SALVAGUARDA Procedimiento, dispositivo, fsico o lgico, que reduce el riesgo. 2.8. VULNERABILIDAD Es la potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre un activo. Existen tres tipos de vulnerabilidades: a) Vulnerabilidad Intrnseca: si slo depende del activo y de la amenaza. b) Vulnerabilidad Efectiva: resultante de la aplicacin de las salvaguardas existentes. c) Vulnerabilidad Residual: resultante de aplicar las salvaguardas complementarias, aconsejadas como resultado del anlisis y gestin de riesgos. EVALUACIN DEL APRENDIZAJE CRITERIOS INDICADORES - Deduce las posibles amenazas Capacidad de anlisis. en una organizacin. Grado de satisfaccin de - Actitudes ante el tema. los alumnos en la - Razonamiento y demostracin. enseanza. - Comunicacin. Discriminacin de conjeturas e interrogantes. INSTRUMENTOS - Material de lectura. - Equipo multimedia. - Aula virtual.

SEMANA 01 Mg. Heidy Velsy Rivera Vidal