9-4-2016

Seguridad de la Informática
Unidad 1
Actividad 1: Importancia de la
protección de los sistemas

Reynaldo Esparza García (AL10506795) Gabriela

Frías Vázquez (AL10506129), Gerardo Francisco
Galicia Martínez (AL12521553)
UNIVERSIDAD ABIERTA Y A DISTANCIA DE MEXICO
INGENIERIA EN DESARROLLO DE SOFTWARE
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Contenido
Introducción ...................................................................................................................................................................... 1
Instrucciones...................................................................................................................................................................... 2
Desarrollo .......................................................................................................................................................................... 4
Identificación de los recursos del sistema ..................................................................................................................... 4
Análisis de riesgos.......................................................................................................................................................... 5
Ejemplo de la tríada de la seguridad informática .......................................................................................................... 7
Conclusiones ...................................................................................................................................................................... 8
Fuente de consulta ............................................................................................................................................................ 9

Introducción
Muchas de las actividades que se realizan de forma cotidiana en los países desarrollados dependen en mayor o
menor medida de sistemas y de redes informáticas. El espectacular crecimiento de Internet y de los servicios
telemáticos ha contribuido a popularizar aún más el uso de la informática y de las redes de ordenadores.

Por otra parte, servicios críticos para una sociedad moderna, como podrían ser los servicios financieros, el control de
la producción y suministro eléctrico, los medios de transporte, la sanidad, las redes de abastecimiento o la propia
administración pública están soportados en su práctica totalidad por sistemas y redes informáticas.

Por todo ello, en la actualidad las actividades cotidianas de las empresas y de las distintas Administraciones Públicas,
así como de los propios ciudadanos, requieren de correcto funcionamiento de los sistemas y redes informáticas que
las soportan y, en especial de su seguridad.

De ahí la gran importancia que se debería conceder a todos los aspectos relacionados con la seguridad informática
en una organización.
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Instrucciones
En esta actividad identificarás los recursos o activos involucrados en un caso de sistema informático que deba
protegerse, para evaluar los riesgos asociados a éste e identificar las medidas de seguridad pertinentes. Tu Docente
en línea te hará llegar las instrucciones necesarias. Una vez que cuentes con ellas, sigue estos pasos:

1. Identifica los activos con los que cuenta el sistema informático que se protegerá.
2. Analiza los riesgos asociados a cada situación presentada.
3. Ejemplifica con base en un caso la tríada de la seguridad informática.
4. Menciona el tipo de medida de seguridad para la protección de los activos, exponiendo:
a. Nivel de seguridad que se requiere
b. Beneficios al aplicar las medidas de seguridad
5. Ejemplifica, con base en un caso, las actividades del área informática en relación con la seguridad de un
sistema informático:
a. Análisis y diseño de sistemas
b. Programación
c. Funcionamiento de sistemas
d. Codificación de datos
e. Captura de datos
f. Operación de sistemas
g. Control de documentos fuente
h. Control de documentación de sistemas
i. Control de inventarios y suministros informáticos
j. Control de resultados
k. Mantenimiento de equipos

Ejemplo de planteamiento de caso.

El propósito básico del análisis de riesgo es identificar los activos involucrados en una organización, así como las
metodologías y procesos para evaluar el riesgo asociado.

De acuerdo a esto, analiza un sencillo ejemplo del Sistema de Información siguiente:

La biblioteca de la UnADM cuenta con mobiliario, libros, revistas, videos y varios equipos de cómputo para consultas
en internet, además de una computadora extra para consultar códigos, títulos, referencias y ubicación del material
bibliográfico.

Entonces, ¿qué riesgos existen y qué medidas de seguridad pueden aplicarse a cada situación?

 Derivado de una falla eléctrica,

 La persona encargada de actualizar el sistema bibliográfico de la biblioteca borra accidentalmente parte de
la información existente.
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

 La computadora asignada para consultar el material bibliográfico tiene un virus.

 Por olvido, se quedan abiertas algunas ventanas de la biblioteca durante el periodo de lluvias, por lo que se
inunda el área de cómputo.

¿Qué medidas generales se pueden tomar para garantizar la integridad de la información?

SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Desarrollo

Identificación de los recursos del sistema

Los recursos son los activos a proteger del sistema informático de la organización, básicamente, los recursos son los
siguientes:

• Recursos de hardware: Se conforman de servidores, estaciones de trabajo, computadoras personales y

portátiles, impresoras, escáneres y otros periféricos.
• Recursos de software: Se conforman de sistemas operativos, herramientas ofimáticas, software de gestión,
herramientas de programación, aplicaciones desarrolladas a medida, entre otros.
• Elementos de comunicaciones: Dispositivos de conectividad (hubs, switches, routers), armarios con
paneles de conexión, cableado, puntos de acceso a la red, líneas de comunicación con el exterior, etcétera.
• Información: La información que se almacena, procesa y distribuye a través del sistema (activo de
naturaleza intangible).
• Espacios físicos: Locales y oficinas donde se ubican los recursos físicos y desde los que acceden al sistema
los usuarios finales.
• Usuarios: Personas que utilizan y se benefician directa o indirectamente del funcionamiento del sistema de
información.
• Imagen y prestigio de la organización: La manera en la que los clientes perciben la organización, derivada
del resultado de los objetivos establecidos.

En esta actividad podemos identificar los siguientes recursos:

Tipo de Recurso

Hardware Varios equipos de cómputo, computadora extra para para consulta

de códigos.

Software No se especifica, pero cada computadora debe contar con su

sistema operativo, paquete de ofimática, navegador web,
antivirus.

Comunicaciones No se especifica, pero la biblioteca para poderse conectar a

internet debe contar con un modem para el acceso a internet,
cableado para conectar los diferentes equipos de cómputo, routers
y/o switches para distribuir la señal de internet.

Información Base de datos de empleados, base de datos de usuarios y base de

datos del acervo cultural (libros, revistas, etc.).

Espacios físicos Las instalaciones que ocupa la biblioteca.

Usuarios Alumnos, facilitadores y comunidad de la UnADM en general.

SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Análisis de riesgos
El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático,
causando un determinado impacto en la organización.

Se considera una amenaza a cualquier evento accidental o intencionado que pueda ocasionar algún daño en el
sistema informático, provocando pérdidas materiales, financieras o de otro tipo a la organización. Las amenazas
pueden tener la siguiente clasificación:

• Amenazas naturales (inundación, incendio, tormenta, fallo eléctrico, explosión, etc.)

• Amenazas de agentes externos (virus, ataques criminales, sabotajes, robos, estafas, etc.)
• Amenazas de agentes internos (empleados descuidado, errores en la utilización de los recursos)

Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarle
daños y producir pérdidas en la organización.

Un análisis de riesgo de seguridad es un procedimiento para estimar el riesgo de los activos de cómputo
relacionados y la pérdida debido a la manifestación de las amenazas. El procedimiento primer determina el nivel de
vulnerabilidad del activo tras identificar y evaluar el efecto de los controles colocados en el lugar. Un nivel de
vulnerabilidad de activo para cierta amenaza se determina con controles que se encuentran en el lugar en el
momento en el que se realiza el análisis del riesgo.

Un análisis de riesgos de seguridad define el ambiente actual y realiza acciones correctivas recomendadas si el riesgo
residual no es aceptable; es un parte virtual de cualquier programa de manejo de riesgo de seguridad. El proceso de
análisis de riesgo debe ser realizado con suficiente regularidad para asegurar que cada aproximación del manejo del
riesgo de la organización sea respuesta real a los riesgos actuales asociados con la información de sus activos. El
manejo de riesgos debe decir si acepta el riesgo residual o implementa las actividades recomendadas.

Para poder clasificar los acontecimientos de la actividad actual, correspondiente a la biblioteca de la UnADM,
podemos utilizar la siguiente tabla:

Daño del
Grado del daño Calcificación
acontecimiento

Insignificante Sin impacto 0

Menor No se requiere un esfuerzo extra para reparar 1
Daño tangible, esfuerzo extra requerido para
Significante 2
reparar
Gasto significante requerido de recursos. Daño
Dañino 3
a la reputación y la confianza
Pérdida de la conexión. Compromiso de grandes
Serio 4
cantidades de datos o servicios
Grave Apagado permanente. Compromiso total 5
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Incidentes Grado del daño Medidas de seguridad.

Se debe contar con No brakes y UPS’s, que puedan

Derivado de una falla eléctrica
La persona encargada de actualizar el
sistema bibliográfico de la biblioteca
borra accidentalmente parte de la
información existente
La computadora asignada para
consultar el material bibliográfico tiene
un virus
Por olvido, se quedan abiertas algunas
ventanas de la biblioteca durante el
periodo de lluvias, por lo que se inunda
el área de cómputo
Menor (1) alimentar de corriente eléctrica en caso de
presentarse una falla
Elaboración de planes de respaldo e identificación
Serio (4) del ciclo de vida de la información que determiné la
necesidad periodica de los respaldos en los planes
Instalar antivirus como medida preventiva, y
además poder aislar ésta computadora, con la
Significante (2)
finalidad de que no contamine a otras y poder
limpiarla
Planes de revisión de instalaciones, apoyadas por el
área de seguridad del edificio, así como un seguro
Serio (4) para los equipos, para que en caso de daño físico
sean reemplazados sin desembolsar el costo total
del mismo

¿Qué medidas generales se pueden tomar para garantizar la integridad de la información?

<<

Que es integridad de la información:

Es la exactitud y coherencia de los datos almacenados, evidenciada por la ausencia de datos alterados entre dos
actualizaciones de un mismo registro de datos. La integridad de los datos se establece en la etapa de diseño de una
base de datos mediante la aplicación de reglas y procedimientos estándar, y se mantiene a través del uso de rutinas
de validación y verificación de errores.

Las posibles causas de la falta de integridad de la información son:

1. Introducción, creación y/o adquisición de datos.

2. Procesamiento y/o derivación de datos.
3. Almacenamiento, replicación y distribución de datos.
4. Archivado y recuperación de datos.
5. Realización de copias de respaldo y restablecimiento de datos.
6. Borrado, eliminación y destrucción de datos.

Las medidas que se deben tomar para garantizar que lo anterior no ocurra:

1. Contar con niveles de seguridad, definiendo los perfiles de usuarios que tendrán acceso a la información
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

2. El administrador de la base de datos será el responsable de realizar las copias de respaldo y a su vez el posible
reestablecimiento de datos, en caso de que se requiera por una falla o pérdida de información, así como de
adicionar nuevas colecciones a la biblioteca y las modificaciones necesarias.
3. Los estudiantes solo tendrán un perfil de consulta
4. El borrado y eliminación de información quedará registrado en una tabla de auditoria, con la que pueda
rescatar la historia de quién, cuándo y qué fue lo que se eliminó

Ejemplo de la tríada de la seguridad informática

Confidencialidad

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

En este caso de la biblioteca de la UNAD, los títulos disponibles son protegidos por derechos de autor, por lo que
deberá contarse con un mecanismo para que no pueda obtenerse el material sin automáticamente colocar un
comentario de que el material fue copiado de la fuente original, con lo que se garantiza se den los créditos al autor
que se está consultando.

La pérdida de la confidencialidad de la información puede ser practicada varias formas. Cuando alguien mira por
encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información
privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información
confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

Integridad

Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de
modificaciones no autorizadas.

Los perfiles de acceso para cada usuario, ayudarán a que la integridad de la biblioteca de la UNAD se mantenga
intacta, debido a que solo la persona autorizada realizará las modificaciones requeridas y los demás usuarios solo
podrán realizar la consulta de la misma.

La violación de integridad se presenta cuando un usuario, programa o proceso (por accidente o con mala intención)
modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos
de comprobación de la integridad: la huella digital Es uno de los pilares fundamentales de la seguridad de la
informacion

Disponibilidad

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes

deben acceder a ella, ya sean personas, procesos o aplicaciones.

El mantener disponible en todo momento la Biblioteca UNAD, dependerá de los planes bien establecidos y las
medidas que se tomen de presentarse los riesgos que se definieron, ya sea por un daño físico de los equipos, de un
daño a la información ya sea intencional o no, siempre deberá contarse con medidas que garanticen se pueda
reestablecer la información lo más pronto posible.

Conclusiones

En esta actividad, podemos apreciar que la mayoría de los sistemas de información, pueden sufrir diferentes
situaciones de riesgo, es bien complicado que nos detengamos a pensar, en que podemos tener un siniestro de
cualquier tipo en cualquier momento, incluso de forma local a nosotros nos ha pasado que dejamos nuestro equipo
funcionando en la mañana y por la tarde, ya no logra encender, quizá por alguna falla eléctrica, o porque algún virus
hizo su trabajo, etc. es precisamente en este momento que nos ponemos a sufrir, por nuestras canciones, nuestras
tareas, y peor aún, nuestras fotos familiares, y a pesar de toda la tristeza, no afecta, nos resignamos y seguimos, sin
embargo en la mayoría de empresas, es completamente diferente, pues muchas de estas confían ciegamente en el
funcionamiento y actividades que realizan nuestros ordenadores, es por ello que debemos te tomar las medidas
pertinentes para proteger al máximo la información que está produciendo, es verdad que no hay ningún sistema
SEGURIDAD DE LA INFORMÁTICA
Unidad 1: Principios básicos de la seguridad informática
Actividad 1: Importancia de la protección de los sistemas

invulnerable, pero podemos minimizar los riesgos que puedan presentarse, al grado de garantizaren mayor medida
la confidencialidad, la calidad y la eficiencia de la información.

Fuente de consulta

• Gómez, V. A. (2011). Enciclopedia de la seguridad informática. 2ª Edición. México: Alfaomega-Ra-Ma.

• Capacítate para el empleo - Técnico en seguridad informática (análisis de riesgos)
https://capacitateparaelempleo.org/pages.php?r=.tema&tagID=2841
https://cdn1.capacitateparaelempleo.org/assets/ugdeb6m.pdf
• UNAM, Facultad de Ingeniería, Laboratorio de Redes y Seguridad
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/AnalisisRiesgos.php