TITULO DEL TRABJO

AP4-AA4-Ev1
MECANISMOS DE CONTROL Y SEGURIDAD

INTEGRANTES
DRAOMAR CHAVEZ PALMERA

ASESOR PEDAGÓGICO
RAFAEL NEFTALÍ LIZCANO REYES

ANALISIS Y DESRROLLO DE SISTEMAS DE INFORMACION

FICHA (1565056) FASE III- DISEÑO
AÑO 2018
 Contenido
1. INTRODUCCIÓN ............................................................................................................ 3

2. Segmentación de procesos, perfiles y roles ..................................................................... 4

3. Mecanismo de autenticación a implementar en el sistema ........................................... 5

4. Cifrado de datos: tipo de algoritmos a implementar..................................................... 6

4.1 Tipos de cifrado según sus claves ............................................................................... 6

4.1.1 Simétrico ................................................................................................................ 6

4.1.2 Asimétrico .............................................................................................................. 8

4.2 Tipos de cifrado según sus algoritmos ....................................................................... 9

4.2.1 Cifrado en flujo ..................................................................................................... 9

4.2.2 Cifrado por bloques .............................................................................................. 9

5. Procedimientos adicionales de Seguridad a implementar .......................................... 10

5.1 Seguridad del recurso humano ................................................................................ 10

5.2 Gestión de Activos ..................................................................................................... 11

5.3 Seguridad física y del Entorno ................................................................................. 13

5.4 Adquisición, desarrollo y mantenimiento de sistemas de información ................ 14

6. Bibliografía ...................................................................................................................... 16
1. INTRODUCCIÓN

Existen muchas definiciones del término seguridad. Simplificando, se puede definir la

seguridad como la "Característica que indica que un sistema está libre de todo peligro, daño
o riesgo." Villalón (2007).

En toda actividad se hace necesario, no solo planear y ejecutar las actividades, sino efectuar

procedimientos de control que vayan encaminados a asegurar que dichas actividades han sido

ejecutadas de acuerdo a los parámetros que se habían establecido con anterioridad.

Es por ello, que para Evaluar la seguridad de los sistemas de información se requiere que, en

las diferentes fases del ciclo de vida de los sistemas de información, se planteen protocolos

claros que permitan lograr un buen nivel de calidad en el software.

Para el diseño de estos mecanismos de seguridad y control, se debe ir de la mano de la

seguridad informática, es por ello por lo que en este tema tocaremos varios conceptos claves

de este tema tan de moda actualmente, para evitar caer en la “inseguridad informática”.

Saram Artesanías tendrá en cuenta los siguientes aspectos que se desarrollan a

continuación con el fin de tener un software que presente mecanismos de control y

seguridad para los usuarios y seguridad de la información.

2. Segmentación de procesos, perfiles y roles

La microempresa Saram Artesanías es una empresa pequeña dedicada a la comercialización

de artículos artesanales y cuenta con 3 empleados, de los cuales solo a dos (2) empleados se

les generará un usuario, cada uno de estos usuarios tendrá ciertas características de acceso, y

manipulación de la información como crear, consulta, modificación, generación de informes,

borrar, visualización de la información e impresión de copia dura etc.…

De acuerdo con el perfil, obligaciones y actividades de cada uno de los empleados se le asigna

el rol o roles que este usuario va a tener en el sistema de información. Entre los empleados

de la empresa tenemos; Gerente General (Propietaria), Asesor de Ventas y Auxiliar Contable.

Gerente General: Sus funciones son planificar, organizar, dirigir, controlar, coordinar,

analizar, calcular y deducir el trabajo de la empresa, además de contratar al personal

adecuado, efectuando esto durante la jornada de trabajo etc.…

Asesor de Ventas: El asesor comercial sirve de enlace entre el cliente y la empresa. En sus

negociaciones con el cliente, un buen asesor comercial debe informar veraz y oportunamente

de lo siguiente: Las características del producto y/o servicio.

Auxiliar Contable: Es aquel empleado que ejecuta los asientos contables de la empresa y

efectúa los análisis y conciliaciones de las cuentas modificadas o no, tales como los de gastos

generales, gastos de ventas, costos de fabricación, etc.

3. Mecanismo de autenticación a implementar en el sistema

El software que se desarrollará para la empresa SARAM ARTESANIAS contará con un

mecanismo de seguridad y control basado en dos puntos, el primero el diseño de

autenticación que estará contemplado por autenticación por contraseña, es decir el usuario

debe estar registrado en el sistema, además de tener la autorización para poder ingresar. En

este punto se tendrá en cuenta recomendaciones como, características de la contraseña,

confidencialidad, control de acceso etc.

El segundo punto se relaciona con el diseño de autorización, en donde se contempla los roles,

permisos y privilegios de la aplicación. La empresa SARAM ARTESANIAS cuenta con los

siguientes cargos gerente general, asesor de ventas y auxiliar contable, a cada uno de estos

cargos le corresponden responsabilidades, como por ejemplo el gerente general es el

encargado de coordinar, planificar, verificar, asesorar y controlar todos los procesos que se

realizan en la empresa y puede entre los requerimientos funcionales generar informes,

consultas, registros para una buena toma de decisiones, teniendo en cuenta el cargo y los

proceso que debe realizar le serán asignados los permisos para el manejo de la información,

es decir modificar, consultar, registrar etc.

De esta forma se le asignaran los roles a cada empleado teniendo en cuenta sus cargos y

procesos a realizar en el aplicativo.

4. Cifrado de datos: tipo de algoritmos a implementar

El cifrado de datos es un procedimiento que utiliza un algoritmo de cifrado con una clave

(clave cifrada) para transformar un mensaje, sin atender a su estructura lingüística o

significado, de tal forma que sea incomprensible o al menos difícil de comprender para toda

persona que no tenga la clave secreta (clave de descifrado) del algoritmo.

Entre los datos que podemos cifrar tenemos los emails, toda la información digital de un PC,

como documentos, fotos, vídeos, particiones individuales e, incluso, el disco duro completo

(por ejemplo, con TrueCrypt) es susceptible de ser cifrado, además de las claves o

contraseñas.

4.1 Tipos de cifrado según sus claves

Los métodos de cifrado actuales se basan en fórmulas matemáticas complejas, se utilizan los

siguientes tipos de sistemas:

4.1.1 Simétrico: en caso de los sistemas simétricos se utiliza la misma clave para el cifrado

y el descifrado. Por lo tanto, debe ser conocida por todos los que deseen acceder a los datos

cifrados. En consecuencia, es importante mantenerlo en secreto. Este método es

particularmente adecuado para grandes conjuntos de datos. Entre los tipos de cifrados

simétricos tenemos:

 DES: Estándar de cifrado de flujo de 52 bits usado en 1976. La cadena de 56 bits es

muy corta, por lo que es capaz de comprometerse en menos de 24 horas.

Longitud de clave: 52 bits.

Tamaño de bloque: No
 GOST: Es un algoritmo de cifrado de origen ruso que podría ser considerado el

análogo ruso al AES. Emplea bloques de 64 bits y claves de 256 bits y no ha podido

ser vulnerado a pesar de haber sido uno de los más estudiados. El mensaje de entrada

se divide en trozos de bloques de 256 bits (ocho de 32 bits enteros endian) y el

mensaje se rellena añadiendo tantos ceros como se requiere para llevar la longitud del

mensaje hasta 256 bits. También se utiliza como función hash.

Longitud de clave: 256 bits.

Tamaño de bloque: 64 bits.

 AES: Este funciona básicamente dividiendo los datos en muchos bloques pequeños

y los mezcla. Con la longitud de clave más grande (256 bits) este método es

considerado como inviolable, ya que, incluso los superordenadores más potentes

necesitarían de un tiempo infinito para dar con el cifrado.

Aquí puedes ver el tiempo que necesitarían los superordenadores (de alrededor de 10

PFLOPS) para descifrar las diferentes variantes del cifrado AES:

Ilustración 1 Cifrado AES: computerhoy.com

4.1.2 Asimétrico: este método es especialmente popular para cifrar mensajes de correo

electrónico. El principio: el remitente utiliza la “clave pública” del destinatario para cifrar el

mensaje. Para que sea otra vez legible, el receptor utiliza su llave “privada” que únicamente

él conoce. Entre los tipos de cifrados Asimétricos tenemos:

 El Gamal: Sistema de cifrado asimétrico libre de patentes y utilizado tanto para

generar firmas digitales como para cifrar/descifrar. Su funcionamiento se basa en

cálculos sobre “logaritmos discretos”, factorizando números muy grandes, de 150

dígitos o más. Usa para ello un número primo y dos enteros. La velocidad de cifrado

y autenticación es inferior a la obtenida con RSA, las firmas producidas son más

largas y los mensajes cifrados ocupan el doble que el mensaje plano.

Longitud de clave: Sin límite. El límite lo marca el protocolo usado.

 RSA: Sistema de cifrado asimétrico, que, a diferencia de los anteriores sistemas,

trabaja con dos claves diferentes: una clave “pública”, y otra “privada”. Ambas son

complementarias entre sí, así que un mensaje cifrado con una de ellas sólo puede ser

descifrado por su contraparte. La longitud de clave va desde los 128 bits a los 4096.

Longitud de clave: Variable: 128, 256, 1024, 2048 y 4096 bits.

La criptografía híbrida es un método criptográfico que usa tanto un cifrado simétrico como

un asimétrico. Emplea el cifrado de clave pública para compartir una clave para el cifrado

simétrico. El mensaje que se esté enviando en el momento, se cifra usando su propia clave

privada, luego el mensaje cifrado se envía al destinatario. Ya que compartir una clave

simétrica no es seguro, ésta es diferente para cada sesión.

4.2 Tipos de cifrado según sus algoritmos

Según la forma en la que operan los algoritmos de cifrado o descifrado, es posible distinguir

varios tipos:

4.2.1 Cifrado en flujo: En estos algoritmos el cifrado se realiza bit a bit. Están basados en la

utilización de claves muy largas que son utilizadas tanto para cifrar como para descifrar.

Estas claves pueden estar predeterminadas (libreta de un solo uso) o generarse usando un

generador de claves pseudoaleatorias o RKG(acrónimo del inglés random key generator),

que genera una secuencia binaria pseudoaleatoria a partir de una clave de inicialización K. A

veces, en el cálculo de la clave pseudoaleatoria también interviene el mensaje cifrado hasta

ese momento. Por otra parte, el cifrador propiamente dicho: habitualmente en este tipo de

algoritmos hay que mantener en secreto tanto la clave como el cifrador.

4.2.2 Cifrado por bloques: En este tipo de algoritmos, el cifrado se realiza bloque a bloque.

En primera instancia, se descompone el mensaje en bloques de la misma longitud. A

continuación, cada bloque se va convirtiendo en un bloque del mensaje cifrado mediante una

secuencia de operaciones.

Ejemplos típicos de operaciones realizadas para conseguir cada mensaje cifrado son la

sustitución y la permutación (cifrado por transposición) de elementos.

Este tipo de algoritmos pueden ser tanto de clave simétrica como de clave asimétrica. Sin

embargo, en la bibliografía suele haber confusión y es frecuente ver casos en que se refieren

sólo a algoritmos de clave simétrica.

Teniendo en cuenta toda la información anterior al cifrado de datos estaremos

implementando un tipo de cifrado que presente la mayor seguridad posible para nuestro

sistema de información, pero para escoger que tipo de algoritmo implementar también
dependemos de nuestra capacidad para programar o desarrollar este tipo de algoritmo, y

teniendo en cuenta que estamos en una etapa de inicio a la programación, conocimiento y

orientación tomo la decisión de llegar a esa etapa de programar y de esta forma ir aplicando

las características que harían del sistema lo más seguro e infalible posible, contando

lógicamente con la orientación de los tutores del programa análisis y desarrollo de sistemas

de información.

5. Procedimientos adicionales de Seguridad a implementar

5.1 Seguridad del recurso humano:

Este dominio está relacionado con el personal que labora dentro de la entidad, se pueden

definir los siguientes procedimientos:

 Procedimiento De Capacitación Y Sensibilización Del Personal: Indica la

metodología empleada por la entidad para realizar la capacitación y sensibilización

del personal en temas de seguridad de la información teniendo en cuenta los diferentes

roles y responsabilidades, la periodicidad de dichas capacitaciones y sensibilizaciones

etc…

 Procedimiento De Ingreso Y Desvinculación Del Personal: Este procedimiento

indica la manera como la entidad gestiona de manera segura del ingreso y
desvinculación, incluyendo temas como verificación de antecedentes, firma de
acuerdos de confidencialidad, recepción de entregables requeridos para generar paz
y salvos entre otras características.
Este procedimiento va de la mano con el área de gestión de recursos humanos o
contratación puede generarse con su colaboración.
5.2 Gestión de Activos:
En este dominio relacionado con la identificación y clasificación de activos de acuerdo con

su criticidad y nivel de confidencialidad se pueden definir los siguientes procedimientos:

 Procedimiento De Identificación Y Clasificación De Activos: En este

procedimiento se debe indicar la manera en que los activos de información son

identificados e inventariados por la entidad, así como también se debe especificar

como son clasificados de acuerdo con su nivel de confidencialidad o criticidad, como

se asignan y se devuelven los activos una vez se termina la relación laboral con la

entidad.

Adicionalmente se debe explicar cómo se hace una correcta disposición de los activos

cuando ya no se requieran y su transferencia hacia otros lugares de manera segura.

 Seguridad física y del entorno: Este dominio está relacionado con la prevención del

acceso a áreas no autorizadas, el daño a la infraestructura, las instalaciones o de la

información. Se pueden generar los siguientes procedimientos (estos procedimientos

pueden tener la participación del área de seguridad y vigilancia de la entidad):

 Procedimiento De Control De Acceso Físico: En este procedimiento se debe

describir cómo se ejecutan los diferentes pasos para garantizar el control de acceso

seguro a las instalaciones al personal autorizado. Este procedimiento puede incluir

registros de fecha y hora de ingreso, seguimiento de los libros o plataforma de

registro. Se debe contemplar la solicitud de permiso a áreas restringidas, quien los

otorga y que debe hacerse para poder tener acceso a las áreas etc…
 Procedimiento De Protección De Activos: Este procedimiento debe contener los

pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que

este procedimiento indique como se determina la ubicación de los equipos que

procesan información confidencial, como se aseguran dichas las instalaciones, los

controles que se aplican para minimizar riesgos de desastres naturales, amenazas

físicas, daños, por polvo, agua, interferencias, descargas eléctricas etc…

 Procedimiento De Retiro De Activos: En este procedimiento debe especificarse

como los activos son retirados de la entidad con previa autorización. Se debe indicar

el flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la

entidad, así como también los controles de seguridad que deberá incluir el equipo

cuando esté por fuera (controles criptográficos, cifrado de discos etc…)

 Procedimiento De Mantenimiento De Equipos: Este procedimiento debe

especificar como se ejecutan mantenimientos preventivos o correctivos dentro de la

entidad, indicando los intervalos en que estos deberán realizarse, con base a las

sugerencias de los proveedores o si existen seguros atados a los equipos y los

mantenimientos sean requisitos. Se debe especificar el modo en que los

mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo, llevando el

registro apropiado.
5.3 Seguridad física y del Entorno:

Este dominio está relacionado con la prevención del acceso a áreas no autorizadas, el daño a

la infraestructura, las instalaciones o de la información. Se pueden generar los siguientes

procedimientos (estos procedimientos pueden tener la participación del área de seguridad y

vigilancia de la entidad):

 Procedimiento De Control De Acceso Físico: En este procedimiento se debe

describir cómo se ejecutan los diferentes pasos para garantizar el control de acceso

seguro a las instalaciones al personal autorizado. Este procedimiento puede incluir

registros de fecha y hora de ingreso, seguimiento de los libros o plataforma de

registro. Se debe contemplar la solicitud de permiso a áreas restringidas, quien los

otorga y que debe hacerse para poder tener acceso a las áreas etc…

 Procedimiento De Protección De Activos: Este procedimiento debe contener los

pasos con los cuales los equipos son protegidos por la entidad. Se recomienda que

este procedimiento indique como se determina la ubicación de los equipos que

procesan información confidencial, como se aseguran dichas las instalaciones, los

controles que se aplican para minimizar riesgos de desastres naturales, amenazas

físicas, daños, por polvo, agua, interferencias, descargas eléctricas etc…

  Procedimiento De Retiro De Activos: En este procedimiento debe especificarse

como los activos son retirados de la entidad con previa autorización. Se debe indicar

el flujo de las solicitudes, autorizaciones y el control que tendrá el activo fuera de la

entidad, así como también los controles de seguridad que deberá incluir el equipo

cuando esté por fuera

(controles criptográficos, cifrado de discos etc…)

 Procedimiento De Mantenimiento De Equipos: Este procedimiento debe

especificar como se ejecutan mantenimientos preventivos o correctivos dentro de la

entidad, indicando los intervalos en que estos deberán realizarse, con base a las

sugerencias de los proveedores o si existen seguros atados a los equipos y los

mantenimientos sean requisitos. Se debe especificar el modo en que los

mantenimientos se llevarán a cabo y el personal que deberá ejecutarlo, llevando el

registro apropiado.

5.4 Adquisición, desarrollo y mantenimiento de sistemas de información:


 Procedimiento De Control Software: En este procedimiento la entidad deberá

indicar como realiza el control de software, es decir, como limita el uso o instalación

de software no autorizado dentro de la entidad, quienes están autorizados para realizar

la instalación de software, como se realizaría la gestión de las solicitudes de

instalación de software para los usuarios, cómo se realiza el inventario de software

dentro de la entidad entre otros aspectos.

Gestión de incidentes de seguridad de la información:

 procedimiento de gestión de incidentes de seguridad de la información: Este

procedimiento debe indicar como responde la entidad en caso de presentarse algún

incidente que afecte alguno de los 3 servicios fundamentales de la información:

Disponibilidad, Integridad o confidencialidad. Deben especificarse los roles, las

responsabilidades y acciones requeridas para identificar, contener, documentar,

recolectar evidencias y mejorar la respuesta ante un incidente de seguridad de la

información, así mismo, deberá indicar en qué casos sería necesario pasar a la

activación de los planes de BCP (Planes De Continuidad) dependiendo de la criticidad

de la información.

Aspectos de seguridad de la información de la gestión de continuidad de negocio:

 Procedimiento De Gestión De La Continuidad De Negocio: En este procedimiento

la entidad debe indicar la manera en que la entidad garantizará la continuidad para

todos sus procesos (de ser posible o por lo menos los misionales), identificando los

procesos críticos que tendrán mayor prioridad en las fases de recuperación ante algún

desastre o incidente crítico. El procedimiento debe indicar los pasos a seguir cuando

existan estas situaciones adversas, quienes deberán actuar (incluyendo las terceras

partes o proveedores), los tiempos a cumplir, los procesos alternos o que permitan

continuar con el proceso de manera temporal.

6. Bibliografía
Gamboa, Desarrollador de contenido: Magda Milena García Asesor Pedagógico: Rafael
Neftalí Lizcano Reyes Productor Multimedia: José Jaime Luis Tang Pinzón
Programadores: Daniel Eduardo Martínez Díaz Líder expertos temáticos: Ana
Yaqueline Chavar. (s.f.). https://senaintro.blackboard.com/bbcswebdav/pid-
98513529-dt-content-rid-107469297_4/institution/semillas/228106_2_VIRTUAL-
2015/contenido/oaaps/oaap4/aa4/oa1_aa4_ap4_seguridadycontrol/index.html.
Obtenido de https://senaintro.blackboard.com:
https://senaintro.blackboard.com/bbcswebdav/pid-98513529-dt-content-rid-
107469297_4/institution/semillas/228106_2_VIRTUAL-
2015/contenido/oaaps/oaap4/aa4/oa1_aa4_ap4_seguridadycontrol/index.html