Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AP4-AA4-Ev1
MECANISMOS DE CONTROL Y SEGURIDAD
INTEGRANTES
DRAOMAR CHAVEZ PALMERA
ASESOR PEDAGÓGICO
RAFAEL NEFTALÍ LIZCANO REYES
6. Bibliografía ...................................................................................................................... 16
1. INTRODUCCIÓN
En toda actividad se hace necesario, no solo planear y ejecutar las actividades, sino efectuar
procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido
Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere que, en
las diferentes fases del ciclo de vida de los sistemas de información, se planteen protocolos
seguridad informática, es por ello por lo que en este tema tocaremos varios conceptos claves
de este tema tan de moda actualmente, para evitar caer en la “inseguridad informática”.
de artículos artesanales y cuenta con 3 empleados, de los cuales solo a dos (2) empleados se
les generará un usuario, cada uno de estos usuarios tendrá ciertas características de acceso, y
De acuerdo con el perfil, obligaciones y actividades de cada uno de los empleados se le asigna
el rol o roles que este usuario va a tener en el sistema de información. Entre los empleados
Gerente General: Sus funciones son planificar, organizar, dirigir, controlar, coordinar,
Asesor de Ventas: El asesor comercial sirve de enlace entre el cliente y la empresa. En sus
negociaciones con el cliente, un buen asesor comercial debe informar veraz y oportunamente
Auxiliar Contable: Es aquel empleado que ejecuta los asientos contables de la empresa y
efectúa los análisis y conciliaciones de las cuentas modificadas o no, tales como los de gastos
autenticación que estará contemplado por autenticación por contraseña, es decir el usuario
debe estar registrado en el sistema, además de tener la autorización para poder ingresar. En
El segundo punto se relaciona con el diseño de autorización, en donde se contempla los roles,
siguientes cargos gerente general, asesor de ventas y auxiliar contable, a cada uno de estos
encargado de coordinar, planificar, verificar, asesorar y controlar todos los procesos que se
consultas, registros para una buena toma de decisiones, teniendo en cuenta el cargo y los
proceso que debe realizar le serán asignados los permisos para el manejo de la información,
De esta forma se le asignaran los roles a cada empleado teniendo en cuenta sus cargos y
El cifrado de datos es un procedimiento que utiliza un algoritmo de cifrado con una clave
significado, de tal forma que sea incomprensible o al menos difícil de comprender para toda
Entre los datos que podemos cifrar tenemos los emails, toda la información digital de un PC,
como documentos, fotos, vídeos, particiones individuales e, incluso, el disco duro completo
(por ejemplo, con TrueCrypt) es susceptible de ser cifrado, además de las claves o
contraseñas.
Los métodos de cifrado actuales se basan en fórmulas matemáticas complejas, se utilizan los
4.1.1 Simétrico: en caso de los sistemas simétricos se utiliza la misma clave para el cifrado
y el descifrado. Por lo tanto, debe ser conocida por todos los que deseen acceder a los datos
particularmente adecuado para grandes conjuntos de datos. Entre los tipos de cifrados
simétricos tenemos:
Tamaño de bloque: No
GOST: Es un algoritmo de cifrado de origen ruso que podría ser considerado el
análogo ruso al AES. Emplea bloques de 64 bits y claves de 256 bits y no ha podido
ser vulnerado a pesar de haber sido uno de los más estudiados. El mensaje de entrada
mensaje se rellena añadiendo tantos ceros como se requiere para llevar la longitud del
AES: Este funciona básicamente dividiendo los datos en muchos bloques pequeños
y los mezcla. Con la longitud de clave más grande (256 bits) este método es
Aquí puedes ver el tiempo que necesitarían los superordenadores (de alrededor de 10
electrónico. El principio: el remitente utiliza la “clave pública” del destinatario para cifrar el
mensaje. Para que sea otra vez legible, el receptor utiliza su llave “privada” que únicamente
dígitos o más. Usa para ello un número primo y dos enteros. La velocidad de cifrado
y autenticación es inferior a la obtenida con RSA, las firmas producidas son más
trabaja con dos claves diferentes: una clave “pública”, y otra “privada”. Ambas son
complementarias entre sí, así que un mensaje cifrado con una de ellas sólo puede ser
descifrado por su contraparte. La longitud de clave va desde los 128 bits a los 4096.
La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como
un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado
simétrico. El mensaje que se esté enviando en el momento, se cifra usando su propia clave
privada, luego el mensaje cifrado se envía al destinatario. Ya que compartir una clave
Según la forma en la que operan los algoritmos de cifrado o descifrado, es posible distinguir
varios tipos:
4.2.1 Cifrado en flujo: En estos algoritmos el cifrado se realiza bit a bit. Están basados en la
utilización de claves muy largas que son utilizadas tanto para cifrar como para descifrar.
Estas claves pueden estar predeterminadas (libreta de un solo uso) o generarse usando un
que genera una secuencia binaria pseudoaleatoria a partir de una clave de inicialización K. A
ese momento. Por otra parte, el cifrador propiamente dicho: habitualmente en este tipo de
4.2.2 Cifrado por bloques: En este tipo de algoritmos, el cifrado se realiza bloque a bloque.
continuación, cada bloque se va convirtiendo en un bloque del mensaje cifrado mediante una
secuencia de operaciones.
Ejemplos típicos de operaciones realizadas para conseguir cada mensaje cifrado son la
Este tipo de algoritmos pueden ser tanto de clave simétrica como de clave asimétrica. Sin
embargo, en la bibliografía suele haber confusión y es frecuente ver casos en que se refieren
implementando un tipo de cifrado que presente la mayor seguridad posible para nuestro
sistema de información, pero para escoger que tipo de algoritmo implementar también
dependemos de nuestra capacidad para programar o desarrollar este tipo de algoritmo, y
orientación tomo la decisión de llegar a esa etapa de programar y de esta forma ir aplicando
las características que harían del sistema lo más seguro e infalible posible, contando
lógicamente con la orientación de los tutores del programa análisis y desarrollo de sistemas
de información.
Este dominio está relacionado con el personal que labora dentro de la entidad, se pueden
etc…
se asignan y se devuelven los activos una vez se termina la relación laboral con la
entidad.
Adicionalmente se debe explicar cómo se hace una correcta disposición de los activos
Seguridad física y del entorno: Este dominio está relacionado con la prevención del
describir cómo se ejecutan los diferentes pasos para garantizar el control de acceso
otorga y que debe hacerse para poder tener acceso a las áreas etc…
Procedimiento De Protección De Activos: Este procedimiento debe contener los
pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que
como los activos son retirados de la entidad con previa autorización. Se debe indicar
entidad, así como también los controles de seguridad que deberá incluir el equipo
entidad, indicando los intervalos en que estos deberán realizarse, con base a las
registro apropiado.
5.3 Seguridad física y del Entorno:
Este dominio está relacionado con la prevención del acceso a áreas no autorizadas, el daño a
vigilancia de la entidad):
describir cómo se ejecutan los diferentes pasos para garantizar el control de acceso
otorga y que debe hacerse para poder tener acceso a las áreas etc…
pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que
como los activos son retirados de la entidad con previa autorización. Se debe indicar
entidad, así como también los controles de seguridad que deberá incluir el equipo
entidad, indicando los intervalos en que estos deberán realizarse, con base a las
registro apropiado.
Procedimiento De Control Software: En este procedimiento la entidad deberá
indicar como realiza el control de software, es decir, como limita el uso o instalación
información, así mismo, deberá indicar en qué casos sería necesario pasar a la
de la información.
todos sus procesos (de ser posible o por lo menos los misionales), identificando los
procesos críticos que tendrán mayor prioridad en las fases de recuperación ante algún
desastre o incidente crítico. El procedimiento debe indicar los pasos a seguir cuando
existan estas situaciones adversas, quienes deberán actuar (incluyendo las terceras
partes o proveedores), los tiempos a cumplir, los procesos alternos o que permitan