República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica de la Fuerza Armada
Bolivariana
Ing. Sistemas
8vo Semestre D01
Asignatura: Auditoria de Sistemas
Trabajo n° 5

SEGURIDAD
DE LA
INFORMACIÓN.

Profesor: Estudiante:
Vladimir Peña Rosdailys Ramirez C.I: 23.642.843

Caracas, mayo de 2020.

 Introducción

Siempre que hablamos de una empresa, institución, organismo o entidad

entre otras organizaciones similares, es importante que la información que se
encuentre integrada en ellas esté resguardada bajo unas buenas medidas de
seguridad. Es ahí donde nace la seguridad de la información para mantener a
salvo todos los datos importantes de la empresa, desde los que pertenecen a la
propia organización, como los vinculados con trabajadores y clientes. A veces
confundimos este tipo de seguridad con la seguridad informática, pero hay que
tener en cuenta que esta última solo se centra en salvaguardar los datos dentro de
un sistema informático, mientras que la información en general puede darse en
otros muchos contextos entre los usuarios. La importancia de la seguridad de la
información es la de prevenir cualquier tipo de amenazas, dando valor a los datos
de acuerdo a las necesidades de la institución. Existen diferentes elementos que
se debe tomar en cuenta para implementar la seguridad de la información las
cuales son: a.- Las personas que usan o tienen un interés en la seguridad de la
información; b.- Los procesos que son el conjunto de actividades mutuamente
relacionadas o que interactúan o transforman elementos de entrada en resultados;
y c.- Tecnologías que permite el manejo adecuado de la información, el desarrollo
de las actividades organizacionales y la resolución de problemas.

En lo que se refiere a las consecuencias de no tener una política de

seguridad en una empresa, puede ocasionar daños graves en la mayoría de los
casos, la pérdida o mal uso de información. Por otro lado, entre los aspectos
organizativos de la seguridad de la información están: Organización interna;
Comité de gestión de seguridad de la información; Coordinación de la seguridad
de la información.

En cuanto al escaneo de vulnerabilidad se dice que ayuda a una empresa

permitiendo remediar las vulnerabilidades dentro del ambiente TI antes de que un
hacker o agresor cibernético logre detectarlas, para ello se recomienda el uso de
herramientas para reforzar la seguridad informática de un negocio.
 Finalmente, se hace referencia a la validación de la seguridad de las redes
wireless mencionando algunas medidas para la encriptación de la conexión,
mediante alguno de los métodos disponibles actualmente: Cifrado WEP, Cifrado
WPA, Cifrado WPA2. Y la validación de la seguridad para VPN client to site es una
tecnología de red que permite conectar una o más computadoras a una red
privada utilizando Internet, usando así protocolos de cifrado de datos para reforzar
la seguridad en la comunicación y reforzar la confidencialidad e integridad de los
datos transmitidos.

Seguridad de la Información
 Es un conjunto de medidas que toman las organizaciones para resguardar y
proteger toda la información, manteniendo la confidencialidad, disponibilidad y la
integridad de la misma. Se puede definir también como la práctica de defender la
información contra cualquier uso, divulgación, alteración, modificación, lectura,
inspección, registro o destrucción independientemente de la forma que se
obtenga.

Por otro lado, engloba un conjunto de técnicas y medidas para controlar

todos los datos que se manejan dentro de una institución y asegurar que no
salgan de ese sistema establecido por la empresa. Principalmente este tipo de
sistemas se basan en las nuevas tecnologías, por lo tanto, la seguridad de la
información resguarda los datos que están disponibles en dicho sistema y a los
que solo tendrán acceso a usuarios autorizados.

Importancia de la Seguridad de la Información

Las organizaciones y sus activos de información, sean físicos o digitales, se

enfrentan de forma creciente a amenazas como, fraude asistido por computadora,
espionaje, sabotaje, vandalismo, fenómenos naturales, descuido, desconocimiento
o mal uso del tratamiento de la información por parte del recurso humano. Muchas
de esas amenazas provienen de ingenieros sociales, hackers, empleados
negligentes, errores, entre otros, buscando dañar la integridad de una
organización.

Existen dos factores importantes de la seguridad de la información que son:

 La importancia o valor de los datos de acuerdo con los intereses y

necesidades de cada persona o institución.

 La difusión o acceso, autorizado o no, de los mismos.

Elementos a tomar en cuenta en la Seguridad de la Información

Disponibilidad:

Es un pilar fundamental de la seguridad de la información, nada se hace

teniendo segura e integra la información, si no va a estar disponible cuando el
usuario o sistema necesite realizar una consulta.

Para cumplir con la última condición se debe tener claro cuál será el flujo de
datos que se necesita manejar, para conocer donde se almacena dicha
información, que tipo de servicio debemos contratar, entre otros.

Confidencialidad:

Se conoce como una forma de prevenir la divulgación de la información a

personas o sistemas que no se encuentran autorizados.

Integridad:

Se refiere a cómo los datos se mantienen intactos libre de modificaciones o

alteraciones por terceros, cuando una violación modifica algo en la base de datos,
sea por accidente o intencionado se pierde la integridad y falla el proceso.

Por este motivo se debe proteger la información para que sólo sea modificada
por una misma persona, evitando así que se pierda la integridad. Una manera de
proteger los datos es cifrando la información mediante un método de autenticidad
como una contraseña o mediante huella digital.
Elementos que se debe tomar en cuenta para implementar la seguridad de la
información
La implementación de la seguridad vincula la participación de tres elementos
generales:

- Personas: Son las personas que usan o tienen un interés en la seguridad

de la información como, autoridades, funcionarios, académicos, alumnos,
personal de base, de confianza y demás empleados; clientes, proveedores,
prestadores de servicios, contratistas y consultores.

- Procesos: Es un conjunto de actividades mutuamente relacionadas o que

interactúan o transforman elementos de entrada en resultados. Es decir, es
toda actividad necesaria para lograr los objetivos de negocio. Los procesos
están descritos en los procedimientos y prácticamente todos implican
información o dependen de ella, por eso resulta ser un activo crítico.

- Tecnología: Permite el manejo adecuado de la información, el desarrollo

de las actividades organizacionales y la resolución de problemas. También
permite elaborar y manipular información, así como su almacenamiento,
procesamiento, mantenimiento, recuperación, presentación y difusión por
medio de señales acústicas, ópticas o electromagnéticas.

Gerencia de Seguridad de la Información.

Proporciona conocimientos formales sobre cómo la seguridad de
información ayuda a preservar el valor del negocio y la ventaja competitiva que
fortalezca la utilización efectiva y segura de las tecnologías de información para
soportar su estrategia organizacional.

Establece políticas de seguridad alineadas con las estrategias

organizacionales, conociendo las vulnerabilidades de la empresa y desarrollando
planes de contingencia, y sensibilización al personal sobre la importancia de velar
por la seguridad informática.
 Consecuencias de no tener una Política de Seguridad en una Empresa o
Institución

No tener una política de seguridad de la información clara y definida, lleva

inevitablemente al acceso no autorizado a una red informática o a los equipos que
en ella se encuentran y puede ocasionar en la gran mayoría de los casos graves
problemas.

 El principal riesgo es el robo de información sensible y confidencial, el cual

puede ocasionar hasta el cierre de una compañía solida financieramente.

 La pérdida o mal uso de información confidencial genera daños y

repercusiones relacionados con la confidencialidad, integridad y
disponibilidad de los archivos para las empresas y a su vez para el titular
del documento.

 No ser capaz de identificar las posibles amenazas, obstáculos y

oportunidades.

 No poder aumentar las posibilidades de alcanzar los objetivos. Los

procesos que tengan más seguimiento y control tienden a ser más exitosos.

 No potenciar la confianza de los grupos de interés.

 Recomendaciones para que las políticas se alineé con las Normas ISO
270002 y la Ley de Infogobierno
La política de alto nivel se encuentra relacionada con un Sistema de
Gestión de Seguridad de la Información que suele estar apoyada por políticas de
bajo nivel, específicas para aspectos concretos en temáticas como el control de
accesos, la clasificación de la información, la seguridad física y ambiental, utilizar
activos, dispositivos móviles y protección contra los malware.

Si se parte del principio típico en seguridad (lo que no está permitido está
prohibido) cada empresa debe detectar las necesidades de los usuarios y valorar
los controles necesarios que fundamentan las políticas aplicables, que se aplican
en una mejor estructura y relaciones entre ellas para su gestión.

Directrices de la dirección en seguridad de la información.

La gerencia debe establecer de forma clara las líneas de las políticas de

actuación manifestando su apoyo y compromiso a la seguridad de la información,
publicando y manteniendo políticas de seguridad en toda la empresa.

Actividades de control del riesgo

Se tiene que definir un conjunto de políticas para la seguridad de la

información, esto se aprobó por la dirección de la organización, se publica y
comunica a todos los empleados, así como a todas las partes externas relevantes.

Revisión de las políticas para la seguridad de la información.

Se debe planificar y revisar con regularidad o si ocurren cambios

significativos para garantizar su idoneidad, adecuación y efectividad.

Métricas asociadas

Cobertura de la política, es decir, el porcentaje de secciones de la norma

ISO 27002 para las cuales se han especificado, escrito, aprobado y publicado
políticas y sus normas, procedimientos y directrices asociadas. El grado de
despliegue y adoptar las políticas en las empresas.
 Según el artículo 18 de la ley, todos los órganos y entes del Poder Público y
el Poder Popular deben contar con un portal de internet bajo su control y
administración, quedando a su cargo la integridad, veracidad y actualización de la
información publicada y los servicios públicos que presten a través de sus
portales.

A razón de ese enunciado, los archivos y documentos electrónicos que

emitan el Poder Público y el Poder Popular, que contengan certificaciones y firmas
electrónicas tienen la misma validez jurídica y eficacia probatoria que los archivos
y documentos que consten en físico.

Para la implementación de las tecnologías de la información la Ley de

Infogobierno en su artículo 34 establece emplear únicamente programas
informáticos en software libre y estándares abiertos para garantizar al Poder
Público el control sobre las tecnologías de información empleadas y el acceso de
las personas a los servicios prestados.

Aspectos organizativos de la Seguridad de la Información

Organización Interna:
A nivel interno, se tiene que posibilitar una estructura que permita iniciar y
controlar la implementación de Seguridad de la Información en el seno de la
organización.

Crear la estructura será posible organizar una adecuada comunicación para

que la gerencia pueda aprobar la política de seguridad de la información,
asignando responsabilidades y coordinando la implementación de la seguridad en
todos los niveles de la organización.

En muchas ocasiones, resulta recomendable contar con el asesoramiento

de consultores externos especializados en Seguridad de la Información que
aporten el conocimiento necesario acerca de las tendencias de la industria en
materia de seguridad, las últimas novedades respecto a las normativas y métodos
de evaluación pueden aportar recomendaciones en caso de incidencias de
seguridad.
Comité de Gestión de Seguridad de la Información:

La labor de la gerencia es apoyar de forma activa la seguridad dentro de la

propia organización mediante órdenes claras que demuestren su compromiso,
asignaciones explícitas que faciliten al equipo comprender lo que se espera de
ellos y llevarlo a cabo y un reconocimiento de las responsabilidades relacionadas
con la Seguridad de la Información.

Algunas de las funciones que ese Comité de Seguridad de la Información

debe llevar a cabo son:

- Formular, revisar y aprobar la política de seguridad de la información.

- Identificar las metas que se persigue con la seguridad de la información y

asegurar que éstas estén relacionadas con las exigencias de la
organización e integradas en los procesos relevantes.

- Proveer al equipo de directrices claras y de un gran apoyo durante la

gestión de iniciativas en materia de seguridad.

- Facilitar todos los recursos que sean necesarios.

- Aprobar la asignación de responsabilidades respecto de la Seguridad de la

Información.

- Llevar a cabo los controles necesarios que verifiquen la idoneidad de la

implementación de la Seguridad de la Información que se está realizando
en la organización.

Coordinación de la Seguridad de la Información:

Coordinar la Seguridad de la Información implica la cooperación y

coordinación entre gerentes, responsables de área, clientes, diseñadores y
personal que realice la auditoría de la norma ISO 27001 y un dominio de distintas
áreas que abarquen desde los seguros, los recursos humanos, los trámites
legales, la tecnología de la información y la gestión del riesgo.
Cuando se habla de coordinación, no debemos olvidarnos de:

- Asegurarnos de cumplir con la política de Seguridad de la Información

establecida en la organización.

- Identificar cómo se deben de manejar los no cumplimientos.

- Aprobar las metodologías y procesos que se van a llevar a cabo para

garantizar la seguridad de la información.

- Adelantar todas las posibles amenazas o exposición de la información.

- Establecer y realizar controles necesarios para verificar que la información

está segura.

- Promover dentro de la organización una cultura de conciencia de Seguridad

de la Información.

Asignación de Responsabilidades sobre Seguridad de la Información:

Se tienen que definir de una forma clara todas las responsabilidades locales
para activos físicos y de información individualizada, así como los procesos de
seguridad y los responsables de cada uno de ellos; además, es necesario
documentar todos los niveles de autorización.

Gestionar a nivel práctico la Seguridad de la Información ISO 27001:

Los Sistemas de Gestión de Seguridad de la Información o SGSI hacen

posible que las organizaciones lleven a cabo una evaluación del riesgo y adopten
los controles imprescindibles para lograr mitigarlos e incluso eliminarlos de una
forma automatizada, con pleno control a lo largo de todo el proceso y que facilitan
la gestión de los aspectos organizativos de la Seguridad para la Información que
se ha revisado.
 Organización Interna

Se debe establecer una estructura de gestión en el cual, se inicia y controla

toda la implementación de Seguridad de la Información dentro de la organización.

Es conveniente organizar diferentes debates sobre la gestión que sean

adecuados para la gerencia, aprobando la política de seguridad de la información,
asignando responsabilidades y coordinando toda la implementación de la
seguridad en todos los niveles de la empresa.

Si fuera necesario se debería facilitar el acceso dentro de la organización a

un equipo experto de consultores que se encuentren especializados en Seguridad
de la Información. Ya que deben llevarse a cabo diferentes contactos con los
especiales externos en seguridad para estar al día de todas las tendencias de la
industria, la evolución de las normas y lo métodos de evaluación, además debe
tener un punto de enlace para tratar las incidencias de seguridad.

Elaborar un organigrama actual de la unidad de seguridad de la información

 Asignación de responsabilidades de seguridad de la información

Se deberían definir y asignar claramente todas las responsabilidades para

la seguridad de la información.

 Seguridad ligada a los recursos humanos: Se deberían definir y

documentar los roles y responsabilidades de la seguridad de los
empleados, contratistas y terceros en concordancia con la política de
seguridad de la información de la organización.

 Antes de la Contratación: Identificadas las necesidades de una empresa o

un proyecto de negocio, el paso siguiente consiste en generar interés en el
mercado laboral. Esto se puede lograr de dos maneras: con una oferta lo
suficientemente original o con la exposición de condiciones que ninguna
otra empresa pueda dar a los candidatos. Se debe saber que la atracción
del talento no empieza dos o tres días antes de la convocatoria; por el
contrario, es un proceso que empieza meses antes.

 Durante la Contratación: Es necesario tener claros los criterios de

selección para hacer una base de datos y elegir los perfiles que más se
acoplen a lo que se busca.
Los candidatos preseleccionados deben pasar por varias pruebas
antes de saber si son seleccionados o no. Una de ellas es la entrevista
personal, que sin duda alguna es un método útil de recolección de
información sobre las habilidades, capacidades y talentos de los
candidatos. Existen distintos tipos de entrevista y la decisión de elegir una u
otra dependerá sobre todo de la información que se haya propuesto
recabar.
 Gestión de Activo: Con toda la información recabada y los perfiles
depurados, toca elegir a uno de los candidatos. La idea es que quien se
quede con la plaza tenga cualidades que le hagan diferente ante el resto de
trabajadores y que, antes que nada, suponga un valor añadido para la
empresa.

 Responsabilidad sobre los Activos: El proceso de contratación no

termina con el alta del trabajador y la firma del contrato. En realidad, se
extiende hasta la fase de integración de la persona que ha sido
seleccionada. En este paso son importantes tanto los directores o jefes de
sección como los altos directivos. Según varios estudios al respecto, más
del 70% del éxito de un nuevo trabajador depende de la integración en las
primeras semanas de desempeño laboral.

 Clasificación de la Información: Se debe clasificar la información para

indicar la necesidad, las prioridades y el nivel de protección previsto para su
tratamiento. Tiene diversos grados de sensibilidad y criticidad. Algunos
ítems podrían requerir niveles de protección adicionales o de un tratamiento
especial. Debe utilizarse un esquema de clasificación de la información
para definir el conjunto adecuado de niveles de protección y comunicar la
necesidad de medidas especiales para el tratamiento.
Es necesario distinguir los requisitos de seguridad, según el acuerdo
alcanzo con el riesgo. Comience quizás con la confidencialidad, pero no
olvide los requisitos de integridad y disponibilidad.
La información puede ser de tipo:
- Crítica: Es indispensable para la operación de la empresa.
- Valiosa: Es un activo de la empresa y muy valioso.
- Sensible: Debe de ser conocida por las personas autorizadas
 Control de Acceso: Se refiere al conjunto de técnicas para buscar,
categorizar, modificar y acceder a la información que se encuentra en un
sistema de; bases de datos, bibliotecas, archivos, Internet.

 Requisitos de negocio para el control de accesos:

- Objetivo: Controlar los accesos a la información.

- Principios: Se deberían controlar los accesos a la información, los

recursos de tratamiento de la información y los procesos de negocio en
base a las necesidades de seguridad y de negocio de la Organización. Las
regulaciones para el control de los accesos deberían considerar las
políticas de distribución de la información y de autorizaciones.

- Consejos de implantación: Los propietarios de activos de información que

son responsables ante la dirección de la protección; sus activos deberían
tener la capacidad de definir y/o aprobar las reglas de control de acceso y
otros controles de seguridad.

- Métrica: Porcentaje de sistemas y aplicaciones corporativas para que los

propietarios adecuados hayan: sido identificados, aceptado formalmente
sus responsabilidades, llevado a cabo revisiones de accesos y seguridad
de aplicaciones, basadas en riesgo y definido las reglas de control de
acceso basadas en roles.

 Gestión de Acceso de Usuario: Se refiere a garantizar el acceso a los

usuarios autorizados e impedir los accesos no autorizados a los sistemas
de información.
 Gestión de Usuarios de Alto Privilegio: Aquí se debería restringir y
controlar la asignación y uso de los privilegios.

 Control de Acceso al Código Fuente de los Programas: Es impedir el

acceso no autorizado a la información mantenida por los sistemas de las
aplicaciones.

 Separación de Entornos de Desarrollo, Calidad y Producción: Es

importante para reducir los riesgos de un acceso no autorizado o de
cambios al sistema operacional.

 Protección Contra Código Malicioso: Se requieren ciertas precauciones

para prevenir y detectar la introducción de código malicioso y códigos
móviles no autorizados.
El software y los recursos de tratamiento de información son
vulnerables a la introducción de software malicioso como virus informáticos,
gusanos de la red, caballos de troya y bombas lógicas.
Los usuarios deberían conocer los peligros que puede ocasionar el
software malicioso o no autor autorizado y los administradores deberían
introducir controles y medidas especiales para detectar o evitar su
introducción.

 Manejo de los Soportes de Almacenamiento: Los medios deberían ser

controlados y físicamente protegidos. Se deberían establecer
procedimientos operativos adecuados para proteger los documentos,
medios informáticos como, discos, cintas, etc., datos de entrada o salida y
documentación del sistema contra la divulgación, modificación, retirada o
destrucción de activos no autorizados.
 Registro de Actividad y Supervisión:

- Gestión de soportes extraíbles: Se deben establecer procedimientos para

la gestión de medios informáticos removibles acordes con el esquema de
clasificación adoptado por la organización.

- Eliminación de soportes: Se deben eliminar los medios de forma segura y

sin riesgo cuando ya no sean requeridos, utilizando procedimientos
formales.

- Soportes físicos en tránsito: Se deben proteger medios que contienen

información contra acceso no autorizado, mal uso o corrupción durante el
transporte fuera de los límites físicos de la organización.

 Gestión de la Vulnerabilidad Técnica: La norma ISO 27001 ayuda a

controlar el acceso a los archivos que contengan información sensible
sobre los Sistemas de Información evitando problemas de confidencialidad
e integración.

Los archivos sensibles pueden ser:

 Ficheros de sistemas.

 Código fuente de cualquier programa.

 Archivos de proyectos de TI
 Escaneo de Vulnerabilidad

Es un análisis, identificación y reporte muy sistemático de las vulnerabilidades

en cuestión de seguridad que se tienen en una infraestructura de cómputo. Lo
primordial es proteger en el mejor porcentaje posible la seguridad de la
información ante algún ataque de un ente externo.

Este escaneo ayuda a una empresa permitiendo remediar las vulnerabilidades

dentro del ambiente TI antes de que un hacker o agresor cibernético logre
detectarlas, ya se sabe que nadie puede proteger una empresa al 100% debido a
que cada segundo nace nuevos virus y es casi imposible seguirles el paso.

El escaneo de puertos, servicios, aplicaciones puede ser:

- Externos: Se realiza remotamente, asumiendo la perspectiva de alguien

ajeno a la organización.

- Internos: Se examina el perfil de seguridad desde la perspectiva de alguien

interno o de alguien que tiene acceso a los sistemas y redes de la
organización.

- Mixtos: Se combinan las perspectivas externas e internas.

Existen herramientas automatizadas que permiten obtener un diagnóstico

primario de la seguridad de una aplicación y la infraestructura sobre la cual corre.

Es ineludible poder contar con analistas que permitan tomar esos insumos y
profundizar en la verificación de esas vulnerabilidades.
 Herramientas Recomendadas

En cuanto a las herramientas que se recomiendan, trabajar en reforzar la

seguridad informática de un negocio se convierte en uno de los procesos
importantes para que las empresas puedan garantizar el buen rendimiento. Para
eso es recomendable conocer las principales herramientas de seguridad
informática y, sobre todo, saber cuáles son aquellas que se encuentran más
accesibles y en forma a lo largo del periodo actual.
Algunas herramientas de seguridad informática que existen actualmente
son:
 Avast: Es un programa de seguridad informática que se adapta a las
necesidades y tamaño del negocio. Además, su precio y versión gratuita
hacen de ella una de las herramientas de seguridad más asequible para las
pequeñas empresas.

 AVG: Este sistema de seguridad, en su versión más business logrará

mantener los datos de los clientes y del negocio a salvo de hackers en
tiempo real. Las herramientas con las que cuenta y que suelen gustar son:

-Cybercapture: Analizará todos los archivos que se descargue en el

ordenador y enviará una copia para su posterior análisis.

-Link scanner Surf-Shine: Revisará las páginas web antes de acceder y

mostrará la calificación de seguridad según Internet.

-Protector de datos: Cifra y almacena los documentos más importantes de

tu negocio a través de contraseñas ubicadas en el equipo.

 Bit Defender: Esta herramienta detecta, anticipa y adopta medidas para

neutralizar todo tipo de peligro en cualquier lugar y en tan solo 3 segundos.
Para ello, cuenta con red mundial de 500 millones de máquinas.

Así, entre sus servicios destacan: detectar amenazas, protección

contra el ransomware y seguridad para el centro de datos. Igualmente,
 ofrece un servicio totalmente personalizado para grandes empresas, pymes
o proveedores de servicios. De esta forma, ya son más de 200 millones de
usuarios domésticos y corporativos los que confían en Bit Defender.

Control de Intrusos

Estos controles pretenden detectar ataques o abusos al sistema, alertando

con los pormenores del ataque.

La Red de Sistemas de Detección de Intrusos (NIDS) son dispositivos o

aplicativos de software que supervisan las actividades que realizan las redes,
buscando comportamientos maliciosos o violaciones de la política de seguridad,
además informan sobre todos los resultados de una estación de administración.

Se diferencia de un servidor de seguridad, ya que el servidor de seguridad

se ve exteriormente y utiliza ciertas reglas que limitan el acceso a las redes
internas, la prevención de intrusiones, el NIDS mira los que pueden significar los
patrones de una intrusión o violación que ha tenido lugar, señala una alarma y
una reducción del tiempo de reacción.

Las funciones generales de un Sistema de Detección de Intrusos son:

 Monitoreo y análisis de la actividad de los usuarios y del sistema.

 Auditoría de configuraciones del sistema y vulnerabilidades (firewalls,
routers, servidores, archivos críticos, etc.)
 Evaluación de integridad de archivos de datos y sistemas críticos.
 Reconocimiento de patrones reflejando ataques conocidos.
 Análisis estadístico para patrones de actividad anormal.
 Validación de la seguridad de las redes Wireless

Se deberá disponer de infraestructuras configuradas de una manera segura

por un equipo de trabajadores con altos conocimientos en la tecnología y la
seguridad de este tipo de mecanismos, implantando infraestructuras con
tecnología WPA y WPA2, claves y certificados que permitan minimizar el riesgo
que suponen estas redes dentro de nuestra organización.
Estas redes pueden causar serios problemas de seguridad si no se toman las
medidas adecuadas. Entre estas medidas está la encriptación de la conexión,
mediante alguno de los métodos disponibles en la actualidad:

- Cifrado WEP (Wired Equivalent Privacy): Este sistema fue el primero que
apareció para solucionar problemas generados por las redes abiertas. Se
trata de un sistema de cifrado que funciona mediante la autenticación del
usuario con contraseña. De esta forma el tráfico viaja cifrado, y aquel
usuario que se encuentre escuchando el tráfico sólo leerá caracteres sin
sentido alguno, a no ser que tenga la clave de cifrado.

- Cifrado WPA (Wi-Fi Protected Access): Este sistema de cifrado surgió

para solucionar los problemas de seguridad que ofrecía el sistema WEP.
Para ello hace uso de TKIP, el cual es un protocolo para gestionar las
claves dinámicas, que resuelve muchos de los problemas que tenía WEP
tales como la longitud de la clave, el cambio de la clave de estática a
dinámica y la multidifusión.

- Cifrado WPA2: Este soluciona problemas de vulnerabilidad detectados en

la primera versión (WPA), e incorpora todas las características del estándar
IEEE 802.11i (WAP no lo hacía).
 Validación de la seguridad para VPN “Client to Site

También llamada Vitual Private Network (VPN), es una tecnología de red

que permite conectar una o más computadoras a una red privada utilizando
Internet, usando así protocolos de cifrado de datos para reforzar la seguridad en la
comunicación y reforzar la confidencialidad e integridad de los datos transmitidos.
Las empresas suelen utilizar estas redes para que sus empleados, desde sus
casas, hoteles, etc., puedan acceder a recursos corporativos que, de otro modo,
no podrían.

Para poder establecer la comunicación se emplea una validación inicial entre

los puntos de conexión, se establece un diálogo para poder implantarse,
comúnmente con tecnología PKI, en caso de que alguno de los dos puntos no
coincida en algún parámetro la comunicación no será establecida, si todo coincide.

Las comunicaciones VPN comúnmente se usa para compartir servicios

desde un punto central hacia sucursales o usuarios remotos, los servicios típicos
compartidos son: Servidores de archivos, Portales de Intranet, ERP, CRM, relojes
de asistencia, cámaras de video vigilancia entre otros. En general la idea es poder
concentrar información de un solo centro de datos a pesar de contar con usuarios
distribuidos geográficamente en sus casas o sucursales.

La configuración de VPN Site to Site es realizada utilizando el protocolo IPSec

(Internet Protocol Security). IPSec es un protocolo de capa 3 del modelo OSI que
permite desarrollar VPNs brindando las siguientes ventajas:

 Confidentiality
 Data integrity
 Authentication
Tipos de conexiones VPN

En un punto de vista de topología, hay dos categorías principales de

conexiones VPN: Client-to-Site (o acceso remoto) y Site-to-Site (o Gateway-to-
Gateway).

- VPN Client-to-Site: Se caracteriza por conexiones puntuales de usuarios

remotos a la red (single user).

- VPNs Site-to-Site: Son conexiones remotas entre redes enteras.

Elabore una escala tipo Likert que le permita realizar la Auditoría relacionada
con la Seguridad de la Información.

1. ¿Cómo califica la integridad de los componentes de la seguridad de la

información?

Buena ___ Regular ____ Mala ____ Pésima ____

2. ¿Cómo cree usted que sería tener un personal encargado en la seguridad

de los archivos de los datos?

Buena ___ Regular ____ Mala ____ Pésima ____

3. ¿Como califica el orden de los datos en la organización?

Buena ___ Regular ____ Mala ____ Pésima ____

4. La importancia de la planificación estratégica de Recursos Humanos en la

organización es:

Buena ___ Regular ____ Mala ____ Pésima ____

5. Cree usted que la seguridad del almacenamiento de los datos es:

Buena ___ Regular ____ Mala ____ Pésima ____

6. ¿Cómo cree usted que es la política de seguridad en la organización?

Buena ___ Regular ____ Mala ____ Pésima ____

7. ¿Qué calificación le da a la existencia de un área enfocada en la gestión de

riesgos?

Buena ___ Regular ____ Mala ____ Pésima ____

8. En caso de pérdida de datos, ¿de qué manera lo califica?

Buena ___ Regular ____ Mala ____ Pésima ____

9. ¿Cómo considera el registro de actividades y supervisión en la

organización?

Buena ___ Regular ____ Mala ____ Pésima ____

10. ¿Qué aspecto le da a la realización de procedimientos en las copias de

seguridad de la información?

Buena ___ Regular ____ Mala ____ Pésima ____

Conclusión
 La seguridad de la información permite asegurar la identificación, valoración
y gestión de los activos de información y sus riesgos, en función del impacto que
representan para una organización. Es un concepto amplio que no se centra en la
protección de las TIC sino de todos los activos de información que son de un alto
valor para la institución.

En este sentido, debemos entender a la seguridad de la información como

un proceso integrado por un conjunto de estrategias, medidas preventivas y
medidas reactivas que se ponen en práctica en las instituciones para proteger la
información y mantener su confidencialidad, disponibilidad e integridad de la
misma. se previene la pérdida de datos en la organización, fraudes, amenazas o
mal uso de la información por parte del usuario; del mismo modo se debe
considerar aquellos elementos que permiten la implementación de la seguridad de
la información como las personas, los procesos y las tecnologías.

En lo que se refiere a la gerencia de la seguridad de la información, se

establecen estrategias organizativas de políticas de seguridad tomando en cuenta
las debilidades de la empresa, desarrollando planes de contingencia para
solucionar algún problema existente, y así prevenir consecuencias que puedan
causar algún daño grave a la empresa ocasionando su cierre o alguna pérdida de
información. Para ello es importante asignar responsabilidades al personal de la
empresa, dando órdenes claras que demuestren su compromiso de las
asignaciones a realizar, facilitando al equipo la comprensión que se debe obtener;
es importante que exista una buena relación para establecer la cooperación y
coordinación entre gerentes, responsables de área, clientes, diseñadores y
personal que realice la auditoría de la norma ISO 27001 y un dominio de distintas
áreas, que abarquen desde los seguros, los recursos humanos, los trámites
legales, la tecnología de la información y la gestión del riesgo.