UNIDAD 4 POLITICAS DE SEGURIDAD

Yecenia Torres POLÍTICA DE SEGURIDAD INFORMÁTICA

DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD

ACADEMIA LUGONES, es una empresa que desarrolla entre otras actividades la

impartición de formación en distintos soportes y a través de distintos medios.

La dirección ha implantado un Sistema de Seguridad de la Información para

mejorar el sistema de gestión de la información. Este sistema se basa en las
siguientes cláusulas:

o Cumplir con los requisitos legales en materia de Gestión Datos de Carácter

Personal

o Garantizar la CID de la información gestionada de todos los agentes

participantes en los proyectos de formación.

o Cumplimentar todo el desarrollo de nuestra empresa, bajo los requisitos

legales o reglamentarios y de obligaciones de seguridad contractuales.

o Garantizar que los servicios de formación prestados por terceros garantizan el

CID con los mismos criterios que la organización

o Garantizar que la continuidad de negocio en caso de situaciones no

contraladas

o La organización se compromete a proporcionar recursos suficientes para

crear, implementar, gestionar y mejorar el SGSI, tanto a nivel técnico como
humano. Así mismo, se compromete a revisar el sistema y reaccionar en base a
los resultados de la revisión.

o Formar un equipo humano en el que cada persona sea responsable de los

activos que maneja, y esté plenamente concienciada de la importancia de la
correcta aplicación de las pautas que se desprende del SGSI. En caso de no
cumplimiento de las obligaciones asociadas al puesto de trabajo en materia de
seguridad de la información, la empresa se reserva el derecho de emprender
medidas disciplinarias con soporte legal sobre los infractores.

Se definirán planes de formación continua en materia de concienciación y

capacitación, para garantizar el correcto funcionamiento del sistema y por tanto de
la empresa.

 Cumplir con los requisitos de la Norma ISO 27001:2013

 Yaenny Ortega ¿COMO ABORDAR LA IMPLEMENTACION DE
POLITICAS DE SEGURIDAD?

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un
sistema es necesario conocer los recursos disponibles para protegerlo. Mientras
algunas técnicas son evidentes (como la seguridad física) otras pautas no lo son
tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.
Todas y cada una de las políticas de seguridad de una empresa u organización
deben cumplir con los siguientes aspectos:
 Objetivos de la política y descripción clara de los elementos involucrados en
su definición
 Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización
 Requerimientos mínimos para configuración de la seguridad de los
sistemas que abarca el alcance de la política
 Definición de violaciones y sanciones por no cumplir con las políticas
 Responsabilidades de los usuarios con respecto a la información a la que
tiene acceso

Entre las estrategias de seguridad:

 Disponer de un plan de contingencia que contemple:

1. Confidencialidad de la información almacenada
2. Autenticación de usuarios,
3. Integridad de los datos
4. Control de acceso
5. Copias de seguridad

Implementación

La implementación de medidas de seguridad, es un proceso Técnico-

Administrativo. Como este proceso debe abarcar toda la organización, sin
exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae

aparejados varios tipos de problemas que afectan el funcionamiento de la
organización. La implementación de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organización, tanto técnica como
administrativamente.
Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad
respecto de los costos administrativos y técnicos que se generen.

Es fundamental no dejar de lado la notificación a todos los involucrados en las

nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de
otorgar visibilidad a los actos de la administración.

Una PSI informática deberá abarcar:

 Alcance de la política, incluyendo sistemas y personal sobre el cual se

aplica.
 Objetivos de la política y descripción clara de los elementos involucrados en
su definición.
 Responsabilidad de cada uno de los servicios, recurso y responsables en
todos los niveles de la organización.
 Responsabilidades de los usuarios con respecto a la información que
generan y a la que tienen acceso.
 Requerimientos mínimos para la configuración de la seguridad de los
sistemas al alcance de la política.
 Definición de violaciones y las consecuencias del no cumplimiento de la
política.

Por otra parte, la política debe especificar la autoridad que debe hacer que las
cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar
indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe
especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una
sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin

sacrificar su precisión) sobre el porqué de las decisiones tomadas.

Finalmente, como documento dinámico de la organización, deben seguir un

proceso de actualización periódica sujeto a los cambios organizacionales
relevantes: crecimiento de la planta de personal, cambio en la infraestructura
computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio
o diversificación de negocios, etc.
Se comienza realizando una evaluación del factor humano, el medio en donde se
desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea
encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del análisis, se originan

un programa de seguridad, el plan de acción y las normas y procedimientos a
llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de
estas políticas, que asegure el fiel cumplimiento de todos los procedimientos
enumerados. Para asegurar un marco efectivo se realiza una auditoria a los
archivos Logs de estos controles.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se

realiza una simulación de eventos y acontecimientos que atenten contra la
seguridad del sistema. Esta simulación y los casos reales registrados generan una
realimentación y revisión que permiten adecuar las políticas generadas en primera
instancia.

Por último el Plan de Contingencia es el encargado de suministrar el respaldo

necesario en caso en que la política falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de

diseño de un sistema. Si la seguridad es contemplada luego de la implementación
del mismo, el personal se enfrentará con problemas técnicos, humanos y
administrativos muchos mayores que implicaran mayores costos para lograr, en la
mayoría de los casos, un menor grado de seguridad.

Daynibel Ferrebus LEGISLACION NACIONAL E

INTERNACIONAL Y LOS DELITOS INFORMATICOS

Andres Mendoza EVALUACIÓN DE RIESGOS

INFORMÁTICOS

El análisis y evaluación de riesgos en informática supone bastante más que el

hecho de calcular la posibilidad de que ocurran cosas negativas.

 Se debe poder obtener una evaluación económica del impacto de estos

sucesos. Este valor se podrá utilizar para contrastar el costo de la
 protección de la información en análisis, versus el costo de volverla a
producir (reproducir).
 Se debe tener en cuenta la probabilidad que sucedan cada uno de los
problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de acción adecuado.
 Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que
con los costos en los que se incurren se obtengan beneficios efectivos.
Para esto se deberá identificar los recursos (hardware, software,
información, personal, accesorios, etc.) con que se cuenta y las amenazas
a las que se está expuesto.

Amenaza informática.

Actualmente los sistemas de información, los datos contenidos en ellas y la

información son los activos más valiosos para las organizaciones empresariales y
se hace necesario brindarles una protección adecuada frente a las posibles
intrusiones derivadas de las vulnerabilidades existentes en sus sistemas de
seguridad.

Descubrir vulnerabilidades

Una manera efectiva de descubrir estas vulnerabilidades y amenazas existentes

es iniciando los procesos diagnósticos que permitan establecer el estado actual de
la seguridad dentro de la organización, teniendo en cuenta la normativa vigente y
los procesos de análisis y evaluación de riesgos.

El análisis y evaluación de riesgos

En este sentido, la verificación de la existencia de controles de seguridad

existentes, las pruebas con software y el monitorización de los sistemas de
información permiten establecer el estado actual de la organización, identificar las
causas de vulnerabilidades y proponer soluciones de control que permitan su
mitigación.

Amenazas informáticas

Las amenazas informáticas están relacionadas con la posibilidad de que algún tipo
de evento se pueda presentar en cualquier instante de tiempo, en el cual existe un
daño material o inmaterial sobre los activos informáticos y los sistemas de
información.
Las amenazas son consideradas como los ataques cometidos por personas
internas o externas, que pueden ocasionar daños a la infraestructura tecnológica,
a los sistemas de información o a la misma información que circula en la
organización.

Las amenazas pueden presentarse por acciones criminales en las que intervienen
seres humanos violando las normas y las leyes, o sucesos de orden físico por
eventos naturales que se puede presentar, o aquellos eventos en los que el ser
humano propicia las condiciones para determinar un hecho físico, o por
negligencia que son las omisiones, decisiones o acciones que pueden presentar
algunas personas por desconocimiento, falta de capacitación y/o abuso de
autoridad.

Análisis y valoración de riesgos informáticos.

Riesgos informáticos

Los riesgos informáticos son problemas potenciales, que pueden afectar a los
sistemas de información o a los equipos de cómputo.

Si no se tienen las medidas adecuadas para salvaguardar los datos y la

información, dichos riesgos se pueden presentar por las vulnerabilidades y
amenazas en cualquier momento, por lo tanto los riesgos se pueden clasificar en:
Riesgos de integridad, Riesgos de relación, Riesgos de acceso, Riesgos de
utilidad, Riesgo de infraestructura.

Seguridad informática y de la información

La seguridad informática: La seguridad informática está relacionada con las

metodologías, procesos y procedimientos para mantener salvaguardada la
información y los datos confidenciales de una organización, al interior de los
sistemas informáticos.

Las amenazas informáticas

Una amenaza se puede definir entonces como un evento que puede afectar los
activos de información y están relacionadas con el recurso humano, eventos
naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informáticos
externos, errores u omisiones del personal de la empresa, infecciones con
malware, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico.
Por otra parte, una vulnerabilidad es una característica de un activo de información
y que representa un riesgo para la seguridad de la información. Cuando se
materializa una amenaza y hay una vulnerabilidad que pueda ser aprovechada
hay una exposición a que se presente algún tipo de pérdida para la empresa.

Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que lared de
datos no esté correctamente protegida puede ser aprovechado para los ataques
informáticos externos.

Los procesos se estructuran con el uso de estándares, normas, protocolos y

metodologías para mitigar y minimizar los riesgos asociados a la infraestructura
tecnológica.

Seguridad de la información

La seguridad de la información está relacionada con las medidas preventivas

aplicadas con el fin de salvaguardar y proteger la información bajo la
confidencialidad, disponibilidad e integridad. La información puede presentarse en
diversos formatos y medios tanto físicos, como electrónicos.

Por lo tanto, las organizaciones deben adoptar y adaptar metodologías para

proteger los archivos y registros, mantener en funcionamiento una infraestructura
tecnológica adecuada que sirva para la custodia y salvaguarda de la información.

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo,

transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la
empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que
el riesgo existe y hacer un monitorización sobre él.

Si el riesgo representa una amenaza importante para la seguridad de la

información se puede tomar la decisión de Transferir o Mitigar el riesgo.

Brian Berrio ESTRATEGIAS DE SEGURIDAD INFORMATICA

La seguridad informática en las organizaciones actualmente es un factor
sumamente importante, que no debe descuidarse. Las estrategias que se sigan
deben estar alineadas a los procesos de negocio para asegurar la continuidad del
negocio. La seguridad informática debe verse más como un proceso que como
una alternativa tecnológica dentro de las organizaciones.
¿Tiene su organización un proceso de seguridad informática? ¿Cuenta con
políticas y procedimientos definidos expresamente para la salvaguarda de los
sistemas de información? ¿Cómo calificaría el estado actual de la seguridad
informática en su organización? Contar con un proceso de seguridad informática
permitirá trabajar de forma ordenada y consistente en la protección de los activos
informáticos de la organización, identificar con oportunidad los riesgos o errores, y
actuar oportunamente para mitigarlos o tenerlos bajo control.

Por lo general, se traslada al usuario la responsabilidad de la seguridad de los

sistemas que utiliza, llámense la computadora asignada, las aplicaciones e
información que contiene ésta, el gafete de identificación, las aplicaciones e
información centrales a las que accesa, entre otros. Pero ¿qué tanto sabe el
usuario acerca de cuestiones de seguridad informática? ¿qué tanto puede operar
las tecnologías de seguridad en uso? Si el usuario desconoce cómo opera un
antivirus, ¿podrá ejecutar otros mecanismos de seguridad?

Actualmente se dice que mínimo hay que mantener actualizados el sistema

operativo y el antivirus, y usar un firewall personal para proteger a la PC. ¿Conoce
el usuario esto? ¿Sabe cómo hacerlo? ¿Sabe cómo actuar en caso de emergencia
informática?

Si bien no suficientes dichas recomendaciones, creemos que lo más importante es

mantener un proceso de seguridad informática basado en la concientización y
educación informática del usuario, y en el uso de las técnicas y tecnologías
disponibles para la protección de los activos informáticos. No hay que descuidar
que aunque se están protegiendo de forma directa los sistemas de información,
indirectamente se protege a la gente que trabaja en las organizaciones y a la
productividad de éstas.

Para definir el proceso de seguridad debe considerarse:

1. Definir objetivos. Qué se quiere proteger. Con base en el objetivo, misión y

visión empresarial de la organización pueden identificarse sistemas de aplicación
crítica
2. Administrar riesgos. Identificar riesgos, evaluarlos y administrarlos. Qué puede
pasar si ... el riesgo identificado se materializa.
3. Definir la política de seguridad. Establecer las reglas de actuación ante los
riesgos de seguridad y deben incluir los controles preventivos, detectivos y
correctivos necesarios para el control de los riesgos informáticos.
4. Monitorear el proceso. Evaluar la efectividad del proceso, haciendo auditorías
internas y externas que permitan identificar con oportunidad posibles problemas o
riesgos, y corregir lo que sea necesario.

Maricarmen Becerra TENDENCIAS DE LA SEGURIDAD

MICROELECTRONICA

La microelectrónica es la aplicación de la ingeniería electrónica a componentes y

circuitos de dimensiones muy pequeñas, microscópicas y hasta de nivel molecular
para producir dispositivos y equipos electrónicos de dimensiones reducidas pero
altamente funcionales.

El teléfono celular, el microprocesador de la CPU y la computadora tipo Palm son

claros ejemplos de los alcances actuales de la Tecnología Microelectrónica.

Existen múltiples factores de índole tecnológicos que explican la convergencia de

la Microelectrónica, la Informática y las Telecomunicaciones en las TIC. Pero
todos se derivan de tres hechos fundamentales:

 Los tres campos de actividad se caracterizan por utilizar un soporte físico

común, como es la microelectrónica.
 Por la gran componente de software incorporado a sus productos.
 Por el uso intensivo de infraestructuras de comunicaciones que permiten la
distribución (deslocalización) de los distintos elementos de proceso de la
información en ámbitos geográficos distintos.

La microelectrónica, frecuentemente denominada hardware, está residente en

todas las funcionalidades del proceso de información. Resuelve los problemas
relacionados con la interacción con el entorno como la adquisición y la
presentación dela información, mediante dispositivos como transductores, tarjetas
de sonido, tarjetas gráficas, etc.
No obstante, su mayor potencialidad está en la función de tratamiento de la
información.

La microelectrónica abarca como campo de aplicación la domótica que se

entiende por aquel conjunto de sistemas capaces de automatizar una vivienda,
aportando servicios de gestión energética, seguridad, bienestar y comunicación, y
que pueden estar integrados por medio de redes interiores y exteriores de
comunicación, cableadas o inalámbricas, y cuyo control goza de cierta ubicuidad,
desde dentro y fuera del hogar.
Entre las tareas realizadas por la demótica se usan distintos tipos de componentes
microelectrónicos que hacen que dichas tareas se lleven a cabo con gran
precisión por medio de microcontroladores.Editar texto.

La Seguridad consiste en una red de encargada de proteger los Bienes

Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se
encuentran:

 Simulación de presencia.
 Alarmas de Detección de incendio, fugas de gas, escapes de agua,
concentración de monóxido en garajes.
 Alerta médica.
 Tele asistencia
 Cerramiento de persianas puntual y seguro.
 Acceso a Cámaras IP

YAENNY ORTEGA
YECENIA TORRES
DAYNIBEL FERREBUS 26.258.664
ANDRES MENDOZA 26.258.519
BRIAN BERRIOS 25.817.546
MARYCARMEN BECERRA 20.529.119

SALE 1 PUNTO PARA CADA UNO