Está en la página 1de 21

UNIVERSIDAD PRIVADA TELESUP

ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA Y ARQUITECTURA

CURSO: METODOLOGÍA DEL TRABAJO UNIVERSITARIO

TEMA: SEGURIDAD INFORMÁTICA EN LAS EMPRESAS

ALUMNOS:

CANO OLARTE, JENNIFER CATALINA

CERCADO TORRES, EVELYN LETICIA

JARAMILLO VEGA, JACK MAYER

LIMA CAPCHA, ANTONY JESÚS

RAMIREZ CURO, CELESTINA ISABEL

ROJAS HERRERA, MARTÍN JEAN PIERE

DOCENTE: SÁNCHEZ ANASTACIO, KATHERINE ROSEMARY

2017
DEDICATORIA

Este trabajo monográfico está dedicado a nuestros padres que día a día se

esfuerzan para brindarnos una educación superior, asimismo un reconocimiento

oficial a nuestra compañera Evelyn por su autodepencia en su vida personal y

académica.
AGRADECIMIENTO

Agradecemos a todas las personas partícipes en la realización de este trabajo, en

especial a la señora Capcha que nos brindó un ambiente para nuestro estudio.
ÍNDICE

CARÁTULA

DEDICATORIA

AGRADECIMIENTO

I. INTRODUCCIÓN

1.1 Resumen

1.2 Objetivos

II. MARCO TEÓRICO

2.1 Definición………………………………………………………………..………8-9

2.2 Bases de la seguridad informática

2.2.1 Fiabilidad………………………………………………………….….……9

2.2.2 Confidencialidad……………………………………………………..……9

2.2.3 Integridad…………………………………………………..……….……..9

2.2.4 Disponibilidad……………………………………………..…….….……10

2.3 Elementos de la información………………………………………..……….…10

2.4 Niveles de seguridad

2.4.1 Nivel D………………………………………………….…………...……10

2.4.2 Nivel C1……………………………………………………………..……11

2.4.3 Nivel C2……………………………………………………………..……11

2.4.4 Nivel B1…………………………………………………………..………11

2.4.5 Nivel B2……………………………………………………………..……11

2.4.6 Nivel B3………………………………………………………………..…12

2.4.7 Nivel A…………………………………………………………………….12


2.5 Mecanismos de seguridad

2.5.1 Autenticación……………………………………………….…………..12

2.5.2 Autorización……………………………………………………..………13

2.5.3 Administración…………………………………………………….…….13

2.5.4 Auditoría y registro………………………………………..…………….13

2.5.5 Mantenimiento de la integridad……………………………..…………14

2.6 Tipos de Amenazas

2.6.1 Amenazas internas…………………………………………….....…….14

2.6.2 Amenazas externas………………………………………………...…..14

2.7 Organismos oficiales de seguridad informática

2.7.1 CERT/CC………………………………………………….….……..……15

2.7.2 SANS INSTITUTE……………………………………………………….15

2.8 Políticas de seguridad de la información………………….………………….16

III.CONCLUSIONES….…………………………………………………………….…..17

IV.REFERENCIAS DE INFORMACIÓN……….…………………………….……….18

4.1 Bibliográficas…………………………………………………………….……….18

4.2 Hemerográficas………………………………………………………………….18

4.3 Electrónicas………………………………………………………………………19

V. ANEXOS………………………………………………………………..…………20-21
I. INTRODUCCIÓN

1.1 Resumen

La presente investigación monográfica tiene por tema la seguridad informática,

esta variable ha surgido por la necesidad de proteger la información propia de

cada empresa, pues ha crecido considerablemente los riesgos del robo de

información y esto ha obligado a la constante evolución de programas o software

para combatir a los famosos hackers.

Para ello se ha dado a conocer las definiciones necesarias para su estudio

y se ha desarrollado temas relacionados a su descripción como por ejemplo; su

importancia, avances y amenazas.

El sistema informático puede ser protegido desde un sistema tanto lógico

como físico, en ello abarca el desarrollo de un software que está vinculado al

mantenimiento. Asimismo se puede presentar programas que afectan la

información que contiene la computadora del usuario.

En este trabajo se han planteado tres objetivos que responden a nuestra

intención en conocer a fondo el tema, así mismo, las conclusiones están

planteadas de acuerdo a los resultados obtenidos de la investigación.


1.2 Objetivos

Conocer conceptos básicos sobre seguridad informática.

Conocer normas relacionadas con las políticas de seguridad informática.

Conocer organismos encargados de la seguridad informática.


II. MARCO TEÓRICO

2. Seguridad informática en las empresas

2.1 Definición

“Se entiende por seguridad informática al conjunto de reglas y normas diseñadas

para garantizar la confidencialidad, integridad y disponibilidad de la infraestructura

tecnológica abarcando hardware y software.” (Rafael B. y Kelly Bermúdez, 2015,

11)1.

“La seguridad informática son técnicas desarrolladas para proteger los

equipos informáticos y la información de daños accidentales o intencionados.”.

(Hernández María, 2006, 40)2.

“Seguridad Informática, es la disciplina que se encarga de las

implementaciones técnicas de la protección de la información, el despliegue

de las tecnologías antivirus, firewalls, detección de intrusos, detección de

anomalías, correlación de eventos, atención de incidentes, entre otros

elementos, que articulados con prácticas de gobierno de tecnología de

información establecen la forma de actuar y asegurar las situaciones de

fallas parciales o totales, cuando la información es el activo que se

encuentra en riesgo.”( Imbaquingo Daisy et al., 2017, 8)3.

“La información es un recurso que tiene valor para una organización

y por consiguiente debe ser debidamente protegida. La seguridad de la

información protege ésta de una amplia gama de amenazas, a fin de

garantizar la continuidad institucional, minimizar el daño y maximizar el

retorno sobre las inversiones y las oportunidades”. (OPTIC, 2017, 3) 4.

1 RafaelB. y Kelly Bermúdez, Análisis en seguridad informática y


seguridad de la información, 2015.
2 Hernández María, Diseño de un Plan Estratégico de Seguridad de Información en una empresa

del sector comercial, 2006.


3 Imbaquingo Daisy et al., Fundamentos de Auditoria Informática basada en riesgos,

2017.
4 OPTIC, Normas y Estándares para la Administración Pública y

Seguridad, 2017. 8
“La seguridad de los sistemas de información es una disciplina en

continua evolución. La meta final de la seguridad es permitir que una

organización cumpla con todos sus objetivos de negocio o misión,

implementando sistemas que tengan un especial cuidado y consideración

hacia los riesgos relativos a las TIC de la organización, a sus socios

comerciales, clientes, administración pública, suministradores, etc”. 5(Areitio

Javier, 2008, 2).

2.2 Bases de la seguridad informática (Ver anexo 1)

2.2.1 Fiabilidad

“Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y

como se espera de él”. 6(Mifsud Elvira, 2012).

2.2.2 Confidencialidad

“En términos de seguridad de la información, la confidencialidad hace referencia a

la necesidad de ocultar o mantener secreto sobre determinada información o

recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación

no autorizada de la información.” 7(Mifsud Elvira, 2012).

2.2.3 Integridad

“La integridad hace referencia a la fidelidad de la información o recursos, y

normalmente se expresa en lo referente a prevenir el cambio impropio o

desautorizado.” 8(Mifsud Elvira, 2012).

“Salvaguardando la exactitud de la información en su procesamiento, así como su

modificación autorizada.” 9(Villena Moises, 2006, 10).

5 Areitito Javier, Seguridad de la información, 2008. 9


6, 7, 8, 9 Mifsud Elvira, Introducción a la Seguridad Informática, 2012.
2.2.4 Disponibilidad

“La disponibilidad hace referencia a que la información del sistema debe

permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es,

entonces, prevenir interrupciones no autorizadas/controladas de los recursos

informáticos.” 10(Mifsud Elvira, 2012).

2.3 Elementos de la información

Para la autora Elvira Misfud, los elementos de la información son los siguientes:

Datos e Información: Son los datos e informaciones en sí mismo.

Sistemas e Infraestructura: Son los componentes donde se mantienen o guardan

los datos e informaciones

Personal: Son todos los individuos que manejan o tienen acceso a los datos e

informaciones y son los activos más difíciles de proteger, porque son móviles,

pueden cambiar su afiliación y son impredecibles.11

2.4 Niveles de seguridad

2.4.1 Nivel D1

Es la forma más baja de seguridad, esta norma establece que el sistema

entero no es confiable. No dispone de protección para el hardware; el

sistema operativo se compromete fácilmente y no existe autentificación

respecto de los usuarios y sus derechos a tener acceso a la información

almacenada en la computadora. 12(René B. y Patricia M., 2013, 43).

10, 11 Mifsud Elvira, Introducción a la Seguridad Informática, 2012.

12 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software,

2013. 10
2.4.2 Nivel C1

“Los usuarios deben identificarse ante el sistema mediante su login y contraseña,

se emplea esta combinación para determinar los derechos de acceso a

programas e información que tiene cada usuario”. 13(René B. y Patricia M., 2013,

43-44).

2.4.3 Nivel C2

“Este ambiente tiene la capacidad de restringir aún más el que los usuarios

ejecuten ciertos comandos o tengan acceso a ciertos archivos, con base no

sólo en los permisos, sino también en los niveles de autorización. Además,

este nivel de seguridad requiere que se audite al sistema, lo cual implica

registrar una auditoria por cada acción que ocurra en el sistema”. 14(René B.

y Patricia M., 2013, 44).

2.4.4 Nivel B1

“Es también llamado Protección de Seguridad Etiquetada, es el primer nivel

con soporte para seguridad multinivel, como el secreto y el ultra secreto. En

este nivel se establece que el dueño del archivo no puede modificar los

permisos de un objeto que este bajo control de acceso obligatorio”. 15(René

B. y Patricia M., 2013, 45).

2.4.5 Nivel B2

“(…) requiere que todos los objetos estén etiquetados, los dispositivos como

discos, cintas y terminales, pueden tener asignado uno o varios niveles de

seguridad. Este es el primer nivel en que aborda el problema de la

comunicación de un objeto con otro que se encuentra en un nivel de

seguridad inferior”. 16(René B. y Patricia M., 2013, 45).

13, 14, 15, 16 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 11
2.4.6 Nivel B3

“Llamado de Dominios de Seguridad, refuerza los dominios con la

instalación de hardware. Por ejemplo, se utiliza hardware de manejo de

memoria para proteger el dominio de seguridad contra accesos no

autorizados y modificaciones de objetos en diferentes dominios de

seguridad. Este nivel requiere también que la terminal del usuario esté

conectada al sistema a través de una ruta de acceso confiable. 17(René B. y

Patricia M., 2013, 46).

2.4.7 Nivel A

“Para alcanzar este nivel de seguridad, deben incluirse todos los

componentes de los niveles inferiores; el diseño debe verificarse

matemáticamente y debe realizarse un análisis de los canales cubiertos y

de distribución confiable. La distribución confiable significa que el hardware

y el software hayan estado protegidos durante su traslado para evitar

violaciones de los sistemas de seguridad”. 18(René B. y Patricia M., 2013,

46).

2.5 Mecanismos de seguridad

2.5.1 Autenticación

“Definimos la Autenticación como la verificación de la identidad del usuario,

generalmente cuando entra en el sistema o la red, o accede a una base de datos”.


19(Elvira Mifsud, 2012, 2).

“Normalmente para entrar en el sistema informático se utiliza un nombre de

usuario y una contraseña. Pero, cada vez más se están utilizando otras técnicas

más seguras”. 20(Elvira Mifsud, 2012, 2).

17, 18 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013.

19, 20 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 12


2.5.2 Autorización

“Definimos la Autorización como el proceso por el cual se determina qué, cómo y

cuándo, un usuario autenticado puede utilizar los recursos de la organización”.


21(Elvira Mifsud, 2012, 2).

“(…) solo se debe dar autorización a acceder a un recurso a

aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le

negará. Aunque también es posible dar autorizaciones transitorias o

modificarlas a medida que las necesidades del usuario varíen”. 22(Elvira

Mifsud, 2012, 2).

2.5.3 Administración

“La administración de la seguridad informática dentro de la organización es una

tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian

muy rápidamente y con ellas los riesgos”. 23(Elvira Mifsud, 2012, 2).

“Normalmente todos los sistemas operativos que se precian disponen de

módulos específicos de administración de seguridad”. 24(Elvira Mifsud, 2012, 2).

2.5.4 Auditoría y registro

“Monitorear la información registrada o auditar se puede realizar mediante medios

manuales o automáticos, y con una periodicidad que dependerá de lo crítica que

sea la información protegida y del nivel de riesgo”. 25(Elvira Mifsud, 2012, 2).

21, 22, 23, 24, 25 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 13
2.5.5 Mantenimiento de la integridad

“Definimos el Mantenimiento de la integridad de la información como el conjunto

de procedimientos establecidos para evitar o controlar que los archivos sufran

cambios no autorizados y que la información enviada desde un punto llegue al

destino inalterada”. 26(Elvira Mifsud, 2012, 2).

2.6 Tipos de Amenazas (Ver anexo 2)

2.6.1 Amenazas internas

“Los usuarios conocen la red y saben cómo es su funcionamiento.

Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.

Los IPS y Firewalls son mecanismos no efectivos en amenazas internas”. 27(Elvira

Mifsud, 2012, 2).

2.6.2 Amenazas externas

“Son aquellas amenazas que se originan de afuera de la red. Al no tener

información certera de la red, un atacante tiene que realizar ciertos pasos

para poder conocer qué es lo que hay en ella y buscar la manera de

atacarla. La ventaja que se tiene en este caso es que el administrador de la

red puede prevenir una buena parte de los ataques externos”. 28(BlogSpot,

2010).

26, 27 Mifsud Elvira, Introducción a la Seguridad Informática, 2012.

28 BlogSpot, Seguridad Informática, 2010. 14


2.7 Organismos oficiales de seguridad informática

2.7.1 CERT/CC

“(Computer Emergency Response Team Coordination Center) del SEI

(Software Engineering Institute) el cual es un centro de alerta y reacción

frente a los ataques informáticos, destinados a las empresas o

administradores, pero generalmente estas informaciones son accesibles a

todo el mundo”. 29(BlogSpot, 2015).

“Este organismo de seguridad tiene 25 años de haber sido fundada para

proteger los sistemas, a lo largo de los años ha ampliado su experiencia de

respuesta a incidentes de un enfoque integral y proactivo para asegurar los

sistemas en red”. 30(BlogSpot, 2015).

“Es la principal autoridad de confianza en el mundo dedicada a la mejora de

la seguridad y la resistencia de los sistemas y redes informáticas y son un bien

nacional en el campo de la ciber-seguridad”. 31(BlogSpot, 2015)

2.7.2 SANS INSTITUTE

“(SysAdmin Audit, Networking and Security Institute) es una institución con ánimo

de lucro fundada en 1989, con sede en Bethesda (Maryland, Estados Unidos) que

agrupa a 165,000 profesionales de la seguridad informática (consultores,

administradores de sistemas, universitarios, agencias gubernamentales, etc.)”.


32(BlogSpot, 2015).

29, 30, 31, 32 BlogSpot, Organismos Oficiales de Seguridad Informática, 2015. 15


2.8 Políticas de seguridad de la información

La normativa relacionada con las políticas de seguridad, que en este documento

se definen, se relata a continuación:

 ISO/IEC 27001

“Proporciona un modelo para establecer, implementar, operar, monitorear,

revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la

Información (SGSI)”. 33(SIUN, (s/f), 5).

 ISO/IEC 27002

“Proporciona recomendaciones de las mejores prácticas en la gestión de la

seguridad de la información a todos los interesados y responsables en iniciar,

implantar o mantener un Sistema de Gestión de la Seguridad de la Información

(SGSI)”. 34(SIUN, (s/f), 5).

 ISO/IEC 27005

“Proporciona directrices para la gestión del riesgo de seguridad de la

información en una organización”. 35(SIUN, (s/f), 5).

 Directrices de la OCDE

“(Organization for Economic Co-operation and Development) para la seguridad

de sistemas y redes de información: Hacia una cultura de seguridad”. 36(SIUN,

(s/f), 5).

33, 34, 35, 36 SIUN,


Definición de políticas de Seguridad Informática de los servidores y sitios
web del SIUN, (s/f). 16
III. CONCLUSIONES

Se conoció que la seguridad informática es la disciplina encargada de proteger la

integridad y la privacidad de la información de un sistema informático.

Se conocieron normas relacionadas con la política de seguridad informática como

la ISO/IEC 27001 que dispone un modelo para establecer, implementar, operar,

monitorear y mejorar un sistema de gestión de seguridad informática.

Se conoció que existen organismos como CERT/CC y SANS INSTITUTE

dedicadas a perfeccionar la seguridad y la resistencia de los sistemas y redes

informáticas.

17
IV. REFERENCIAS DE INFORMACIÓN

4.1 Bibliográficas

Areitito Javier. Seguridad de la información. (España: Parainfo, 2008).

Imbaquingo Daisy et al. Fundamentos de Auditoria Informática basada en riesgos.

(Ecuador: Ibarra-Ecuador, 2017).

OPTIC. Normas y Estándares para la Administración Pública y Seguridad.

(República Dominicana: Gobierno Electrónico, 2017).

4.2 Hemerográficas

Hernandez Maria. “Diseño de un Plan Estratégico de Seguridad de Información en

una empresa del sector comercial”. Tesis de Licenciamiento, Escuela

Superior Politécnica del Litoral, 2006.

Rafael B. y Kelly Bermúdez. “Análisis en seguridad informática y seguridad de la

información”. Tesis de Bachillerato. Universidad Politécnica Salesiana.

2015.

Villena Moises. “Sistema de gestión de seguridad de información para una

institución financiera”. Tesis de Bachillerato, Pontífice Universidad Católica

del Perú, 2006.

17
4.3 Electrónicas

BlogSpot. Organismos Oficiales de Seguridad Informática. 2015. Recuperado de:

http://organismosdeseguridad.blogspot.pe/ (Consultado el 4-7-2017).

BlogSpot. Seguridad Informática. 2010. Recuperado de:

http://seguridadinformaica.blogspot.pe/p/tipos-de-amenazas_21.html

(Consultado el 3-7-2017).

Mifsud Elvira. Introducción a la Seguridad Informática. 2012. Recuperado de:

http://recursostic.educacion.es/observatorio/web/gl/software/software-

general/1040-introduccion-a-la-seguridad-informatica (Consultado el 4-7-

2017).

Rene B. y Patricia M. Metodología para el desarrollo de firewalls de software.

2013. Recuperado de: http://repositorio.utn.edu.ec/handle/123456789/1106

(Consultado el 3-7-2017).

SIUN. Definición de políticas de Seguridad Informática de los servidores y sitios

web del Sistema de Investigación de la Universidad Nacional. Recuperado

de:

http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/

siun_web_politicas_seguridad.pdf (Consultado el 4-7-2017).

17
V. ANEXOS

21
Anexo Nº1: Bases de la seguridad informática

Fiabilidad Confidencialidad

BASES DE LA
SEGURIDAD
INFORMÁTICA

Integridad Disponibilidad

Fuente propia.

Anexo Nº2: Tipos de amenazas informáticas

Fuente: https://es.slideshare.net/ayd94/seguridad-informtica-7586500
Adaptado.

21