Seguridad de a Informatica

Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Universidad Abierta y a Distancia de

México

Facilitador
VICTOR HUGO RAMIREZ SALAZAR.
Grupo: DS-DSEI-1801-B2-001

Asignatura
Seguridad de la informática 
Periodo semestral 2017 bloque 2

Estudiante
Julio Cesar García Hernández.

Matrícula
ES1410902943
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

El propósito de la actividad es identificar una metodología de seguridad informática mediante la cual

planificar y gestionar la seguridad de un sistema de información. Para ello, tu Docente en línea te hará
llegar las instrucciones necesarias; una vez que cuentes con ella, realiza los siguientes pasos:

1. Identifica el objetivo de seguridad del caso correspondiente y una justificación de

implementación de un DRP o BCP.

2. Identifica los recursos humanos, de hardware y software, que requieres para implementar una
metodología de seguridad.

3. Realiza una lista de actividades que se desarrollarán, indicando el perfil de las personas que las
realizarán.

4. Integra los elementos del BCP con base en el caso de análisis.

5. Lee detenidamente los criterios de evaluación para ser considerados en tu actividad.

6. Al finalizar tu actividad, guárdala con la nomenclatura DSEI_U3_A3_XXYZ. Sustituye las XX por

las dos primeras letras de tu primer nombre, la Y por tu primer apellido y la Z por tu segundo
apellido y envíala a tu Docente en línea mediante la herramienta Tarea. Espera y atiende la
retroalimentación correspondiente.

Caso de estudio

La biblioteca de la Universidad Regional, que es una de las instituciones más grandes de la universidad
ha detectado diferentes fallas y vulnerabilidades que desean controlar y corregir lo antes posible. Si
bien, se cuenta con cierta infraestructura tiene en general los siguientes problemas:
1) No se llevan a cabo respaldos de información
2) No se trabaja en un esquema de carpetas compartidas ni un servidor en el que se puedan
compartir archivos.
3) No cuenta con sistemas de respaldo de energía. No tiene nobreaks, UPS o planta de energía.
4) No se cuenta con un plan de contingencia en caso de desastres naturales sobre todo para la
protección de la información.
5) Parte de los fondos de la biblioteca es gracias a que en sus instalaciones se pueden consultar
acervos federales. El gobierno federal da un apoyo económico siempre y cuando siempre esté
disponible la consulta de dichos acervos.
6) Hay personas que solo ellas saben cómo realizar los procedimientos por lo que nadie más tiene
conocimiento de cómo hacerlo.
7) ¿Qué planes y acciones se tienen que tomar para solucionar y prever las vulnerabilidades?
8) ¿Qué pasaría si no se tuviera una protección de los sistemas de información?
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Importancia y objetivo de realizar un (BCP)

Su objetivo principal es proteger los procesos críticos y operativos de la biblioteca contra desastres
naturales o fallas mayores por la interrupción de las operaciones de la misma.

 Otros objetivos importantes:

 Prevenir: Limitar al máximo la probabilidad de que tenga lugar cualquier interrupción.
 Contener: Reducir el impacto de cualquier interrupción.
 Recuperar: Asegurar una pronta recuperación.
 Transferir el riesgo actual.

Por lo que la importancia de tener un Plan de Continuidad de un negocio busca amortiguar en lo posible
este riesgo mediante un plan global que permita la pronta recuperación de la operación y de la
información, en caso de presentase algún evento que afecte el flujo normal de las actividades.

Lista del personal a contactar en caso de emergencia

Este equipo de personas tiene la responsabilidad de analizar la situación para decidir o no la activación
del BCP, iniciar la cadena de llamadas en caso de activación del plan, tomar decisiones para la
continuidad y recuperación de los servicios críticos, realizar seguimiento de las actividades de respuesta
y recuperación implementadas.

No. Titular EGC Teléfono

1 Ing. Julio Cesar Garcia Hernández 55 39966004
Representante
2 Jose Apolo Victores Susano 55 58626158
Administrador
3 Alma Delia Arellano Martinez 55 11140525

Política de protección de la información

Las políticas que se pueden implementar para la protección de la información pueden ser:

 El personal responsable deberá asegurar el manejo y la integridad de la información que reside

en medios electrónicos y/o documentos.
 El uso de documentos oficiales será únicamente y exclusivamente para fines de información.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
 Definir, implementar y mejorar de forma continua un Sistema de Gestión de Seguridad de la
Información, soportado por lineamientos claros alineados con la misión, visión y funciones de la
Institución.
 Proteger las instalaciones de información y la infraestructura tecnológica que soporta sus
procesos críticos.
 Controlar la operación de sus procesos de operación garantizando la seguridad de los recursos
tecnológicos, redes y bases de datos.
 Garantizar a través de una adecuada gestión de los eventos de seguridad y las debilidades
asociadas con los sistemas de información una mejora efectiva de su modelo de seguridad.

Descripción del negocio

La biblioteca de la Universidad Regional del Norte Campus Chihuahua es un recinto donde se

encuentran colecciones de libros para la lectura y la consulta del público especialmente estudiantes,
investigadores y amantes de la lectura. Su objetivo es proporcionar a sus usuarios tanto el acceso al
documento como el acceso y localización de la información. Así como documentos del acervo federal.

Ubicación de las instalaciones

Allende 2628 Col. Zarco C.P. 31020 Chihuahua, Chih.

Tels.: (614) 411 14 51 ext. 114
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Ubicación alternativa para los empleados

En caso de algún siniestro el personal de la biblioteca afectada se trasladará a la oficina más cercana que
no se encuentre afectada, de lo contrario se reunirán en las instalaciones de la Universidad Regional de
Chihuahua.

Respaldo y recuperación de datos (impresos y electrónicos)

Los respaldos de la información se realizarían de la siguiente forma:

 Primero se realizaría un respaldo global (Full back-up), respaldo total de la información, la

totalidad de las bases de datos y de las operaciones en línea.
 Cada determinado tiempo se realizaría un respaldo incremental, se respaldaría solamente las
modificaciones que ocurran desde el ultimo respaldo global y después se adicionan al último
respaldo global todos los respaldos incrementales.

La forma de guardar los respaldos podría hacerse por medio de un servidor remoto de resguardo en
línea y yo adicionaría un respaldo en la nube cifrando los respaldos, los servidores también corren
riesgos.

En el caso de los medios impresos, es difícil poder tener un respaldo, a menos que se encuentre una
copia electrónica de cada uno de ellos, así se puede respaldar la información.

En el caso de la recuperación, al tener los respaldos en servidor o en la nube, es fácil realizar el proceso
de recuperación.

Sistemas de información a proteger

 Seguridad de usuarios y personal, creando puntos de encuentro en caso de cualquier

contingencia, información sobre simulacros, disposición de planos de emergencia visibles,
señalizaciones, protocolos de equipos de evacuación de ciudadanos y documentos, etc.
 Seguridad de equipos electrónicos y de informática, combatir la desaparición y robo de material
bibliográfico, tener firewalls, antivirus, creando barreras para la intrusión dentro de los sistemas
informáticos, etc.
 Seguridad de edificios e instalaciones, instalar alarmas, extintores, cámaras de vigilancia,
alarmas, vigilancia física mediante presencia y rondas, etc.
 Seguridad del acervo bibliográfico.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Mecanismos de seguridad

Ante la cantidad de información que se maneja dentro de una biblioteca podemos hacer:
Previsión.

Control de acceso a discreción, garantizar privilegios a usuarios, incluyendo la capacidad para acceder a
archivos específicos.

Clasificar usuarios y datos en múltiples niveles de seguridad.

Encriptado de datos, seguimiento del rastro, a que datos se accedió y que se hizo con ellos.

En sistemas multiusuarios, donde varios usuarios tengan acceso a la misma información, tener un
mecanismo para controlar la concurrencia.

Detección

Se realizan auditorías internas, para controlar el estado del sistema, y así poder llevar un control,
detectar intrusiones, fallas, falta de protocolos o implementar nuevos, en caso necesarios cambiar
estrategias y reforzar los puntos débiles.

Respuesta

Determinar el estado del sistema, como se había mencionado anteriormente, mediante el análisis
forense de software.

Evaluación y control del riesgo

La identificación de los posibles riesgos que pueden suceder dentro de la biblioteca, tanto físicos como
de la información, permite tomar medidas preventivas y de protección ante siniestros.
Los riesgos que se pueden identificar en la biblioteca son:
 Riesgo de incendio.
 Riesgo de falta de energía eléctrica.
 Riesgos de inundaciones.
 Riesgos de intrusión en los sistemas de información.
 Riesgos de malware, virus, gusanos, etc.
 Riesgos de carácter físico o mecánico.
 Riesgos por negligencia o sabotaje.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática

Análisis de impacto al negocio (BIA)

El impacto que tendría la interrupción sería grande pues, en el caso de pérdida de información, tanto
impresa como electrónica, causaría perdidas irrecuperables.

Estrategias de continuidad del negocio

Las estrategias serían realizar una recuperación de los sistemas de información tomando el tiempo
necesario para que termine el proceso.

Respuesta a la emergencia y estabilización

Conocer los posibles siniestros, montar una cadena de comunicación, capacitar a los implicados, realizar
simulacros de emergencia y aprender a manipular el fondo y preparar los locales.

Desarrollo e implementación de planes de continuidad del negocio

Administración de la Continuidad de las Actividades:

Están orientadas a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de
los efectos de fallas significativas o desastres.

Los objetivos son:

 Disminuir al máximo los efectos de las posibles interrupciones de las actividades normales de la
Biblioteca (ya sea por desastres naturales, accidentes, fallas en el equipo, acciones liberadas,
etc.) y proteger los procesos críticos combinando controles preventivos y acciones de
recuperación.
 Analizar las consecuencias de la interrupción del servicio y tomar medidas adecuadas para la
prevención de hechos similares en el futuro.
 Maximizar la efectividad de las operaciones de contingencia de la Biblioteca estableciendo
planes que contengan al menos las siguientes etapas:
 Notificación/Activación: Consistente en la detección y determinación del daño y la
activación del plan.
 Reanudación: Consistente en la restauración temporal de las operaciones y recuperación
del daño producido al sistema original.
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática
 Recuperación: Consistente en la restauración de las capacidades de proceso del sistema a
las condiciones de operación normales.
 Asegurar la coordinación con el personal de la Biblioteca y los contactos externos que
participaran en las estrategias de planificación de contingencias.

Relaciones públicas y coordinación con las autoridades públicas

Se desarrollarían planes para informar a los medios de comunicación la situación durante la crisis y se
crearía un plan para dar apoyo y asesoramiento durante la crisis a empleados, familiares, etc.

Asegurar que los responsables del plan se mantengan informados de la situación para que actúen en
conveniencia.

Políticas y procedimientos aplicables para coordinar las actividades de respuesta, continuidad y

restauración, con las autoridades adecuadas, de forma que se cumplan con los estatutos y reglamentos
aplicables.

Fuentes de consulta

Excélsior. (2013). La importancia de implementar un Plan de Continuidad de Negocios. 01 de junio del

2017, de Excélsior Dinero en Imagen Sitio web: http://www.dineroenimagen.com/2013-07-01/22403

Mario Rodríguez. (2012). La importancia de los planes de contingencia, DRP y BCP. 2017, de INBest Sitio
web: https://www.inbest.me/comunidad/la-importancia-de-los-planes-de-contingencia-drp-y-
continuidad-de-negocio

DellEMC. (2016). Respaldo y Recuperación. 2017, de Dell Sitio web:

https://mexico.emc.com/corporate/glossary/backup-and-recovery.htm

Ana Cabeza Llorca. (2007). Emergencias y desastres en bibliotecas universitarias: prevención y

planificación de la respuesta. 2017, de Biblioteca F.CC Matemáticas Sitio web:
http://eprints.rclis.org/10426/1/Emergencias_y_desastres.pdf

Comité de Seguridad de la Información. (2010). Plan de desarrollo e implementación. 2017, de

Universidad Tecnológica Nacional Rectorado Sitio web: file:///C:/Users/Rebeca/Desktop/Ciclo%202017-
1/Bloque%202/DSEI-Seguridad%20Informatica/Unidad%203/Material%20de%20apoyo/PLAN%20DE
%20DESARROLLO%20E%20IMPLEMENTACION.pdf
 Seguridad de a Informatica
Unidad 1. Actividad 1. Importancia de la criptografía en la informática