Universidad Dominicana OyM –recinto La Romana

Asignatura: Fundamentos Seguridad De La Información, Sesión 911, Periodo 2020/2

Profesor: Harom Ramos, Nombre: Miguel Erasmo, Apellido: Laureano, Matricula: 17-SISN-2-
008

Práctica de Seguridad
1) ¿Qué se entiende por Datos e información?
Datos es un término que se refiere a hechos, eventos, transacciones, etc., que han sido registrados.
Es la entrada sin procesar de la cual se produce la información.
Información se refiere a los datos que han sido procesados y comunicados de tal manera que
pueden ser entendidos e interpretados por el receptor.
2) ¿Cuáles son las principales características de la información?
Datos. - La información es un conjunto de datos, estos son recopilados y codificados para poder
archivarlos y guardarlos.

Orden. - La información sin orden pierde totalmente el sentido, lo que nos obliga a saber qué
datos utilizamos y a decodificarlos de forma adecuada.

Veracidad. - Para poder tener un servicio óptimo la información deberá ser ordenada, veraz y
útil, aunque el sentido puede cambiar, sobre todo en los nuevos sistemas de difusión en donde
la veracidad se encuentra en

Dirección. - La información se debe dirigir a un punto o sentido en específico, por lo cual la

información como los datos médicos, jurídicos o técnicos, siempre se direccionan en un sentido
especifico.

Clasificación. - Los datos son clasificados para que se puedan acceder a los mismos, la
clasificación de los datos pertenece al control de una ciencia- técnica denominada archivología,
o archivista, quien guarda los datos en forma óptima.

Usos. - Los usos de la información son muy variados, y en un momento dado la información se
consideró como un tesoro, en tanto que en otros lugares pertenecía a una elite que controlaba
la misma. Era utilizada en sentido práctico por los obreros, campesinos, artesanos etc.,
mediante la transmisión de persona a persona y para ello utilizaron la técnica del aprendiz,
quien pasaba a ser al final maestro.
3) ¿A que nos referimos con los términos datos almacenados, en tránsito y en procesos?

Los datos en tránsito se definen en dos categorías, información que fluye a través de la red
pública o no de confianza, tales como Internet y datos que fluyen en los confines de una red
privada, como una red corporativa o de empresa de área local (LAN).

Los datos en tránsito se utilizan como complemento de los términos datos en uso, y los datos
en reposo que definen conjuntamente los tres estados de datos digitales.
 El procesamiento de datos es, en general, "la acumulación y manipulación de elementos de
datos para producir información significativa."

El procesamiento de datos trata de un subconjunto del 'procesamiento de la información', el

cambio (procesamiento) de la información de cualquier manera detectable por un observador.
El procesamiento de datos es distinto del procesamiento de textos, pues este último manipula
textos nada más en lugar de los datos.
4) ¿Cómo se clasifica la información empresarial?
La primera clasificación se basa en la jerarquía de una organización y se llamó el modelo de la
pirámide. Según la función a la que vayan destinados o el tipo de usuario final del mismo, los SI
pueden clasificarse en:

Sistema de procesamiento de transacciones (TPS). - Gestiona la información referente a las

transacciones producidas en una empresa u organización, también se le conoce como Sistema
de Información operativa.

Sistemas de información gerencial (MIS). - Orientados a solucionar problemas empresariales en

general.

Sistemas de soporte a decisiones (DSS). - Herramienta para realizar el análisis de las diferentes
variables de negocio con la finalidad de apoyar el proceso de toma de decisiones.

Sistemas de información ejecutiva (EIS). - Herramienta orientada a usuarios de nivel gerencial,

que permite monitorizar el estado de las variables de un área o unidad de la empresa a partir de
información interna y externa a la misma. Es en este nivel cuando los sistemas de información
manejan información estratégica para las empresas.
5) ¿Por qué es importante clasificar la información en las empresas?
Desde el punto de vista contable es importante conocer los manejos y operaciones realizadas
por una empresa, para lograr tener un control sobre toda su actividad, es por ello que se deben
clasificar según sus características y establecer sus diferencias y similitudes, teniendo en cuenta
que, los procesos contables son de mayor o menor complejidad de acuerdo a la clase de
empresa a la que se esté enfrentando en la actualidad.
6) ¿Qué se entiende por análisis de riesgo informático?
El análisis de riesgos informáticos es un proceso que comprende la identificación de activos
informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como su
probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
7) ¿Se puede implementar seguridad de la información sin analizar los riesgos?
Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y
las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo,
producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser
identificados para lograr una imagen global y completa de estos riesgos.

Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas
tecnológicos para automatizar sus procesos o información deben de ser conscientes de que la
administración del riesgo informático juega un rol crítico.

La meta principal de la administración del riesgo informático debería ser “proteger a la

organización y su habilidad de manejar su misión” no solamente la protección de los elementos
informáticos. Además, el proceso no solo debe de ser tratado como una función técnica
generada por los expertos en tecnología que operan y administran los sistemas, sino como una
función esencial de administración por parte de toda la organización.
8) ¿Cómo son tratados los riesgos?
La evaluación de riesgo es probablemente el paso más importante en un proceso de gestión de
riesgos, y también el paso más difícil y con mayor posibilidad de cometer errores. Una vez que
los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos
ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho más programáticos.

Parte de la dificultad en la gestión de riesgos es que la medición de los dos parámetros que
determinan el riesgo es muy difícil, por lo cual se dice que es un proceso subjetivo. La
incertidumbre asociada a la medición de cada uno de los dos parámetros (L y p) es por lo
general grande. La gestión de riesgo también sería más simple si fuera posible contar con una
única métrica que refleje en la medición toda la información disponible. Sin embargo, esto no es
posible, ya que se trata de medir dos cantidades. Un riesgo con gran magnitud de pérdida o
daño y una baja probabilidad de ocurrencia debe ser tratado en forma distinta que un riesgo
con una reducida magnitud de pérdida o daño y una alta probabilidad de ocurrencia.
9) ¿Qué es un activo de la información?
Es una tarea de las gerencias de seguridad o de gestión de la información que involucra el
diseño, establecimiento e implementación de un proceso que permita la identificación,
valoración, clasificación y tratamiento de los activos de información más importantes del
negocio.
10) ¿Qué se entiende por seguridad de la información?
Es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos
que permiten resguardar y proteger la información buscando mantener la confidencialidad, la
disponibilidad e integridad de datos.
11) ¿Cuál es la diferencia entra ciberseguridad y seguridad de la información?
Ciberseguridad: Es el área relacionada con la informática y la telemática que se enfoca en la
protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente,
la información contenida en una computadora o circulante a través de las redes de
computadoras.
 Seguridad de la información: El concepto de seguridad de la información no debe ser
confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad
en el medio informático, pero la información puede encontrarse en diferentes medios o formas,
y no solo en medios informáticos.
12) ¿Qué importancia tiene para la empresa, la implementación de un sistema de gestión de la
seguridad -SGS?
Es de gran utilidad para las organizaciones la implementación de un SGSI (Sistema de Gestión de
Seguridad de la Información) el cual está fundamentado sobre la norma ISO27001 y establece
un proceso sistemático para la protección ante cualquier amenaza que podría llegar afectar la
confidencialidad, integridad o disponibilidad de la información. Este sistema ofrece las mejores
prácticas y procedimientos que siendo aplicados correctamente en el ámbito empresarial,
proporcionan una mejora continua y apropiada para evaluar los riegos a los que nos
enfrentarnos diariamente, establecer controles para una mejor protección y defender así
nuestro activo más valioso dentro de la organización, la información.
13) Explique la triada de la seguridad de la información –CDI (Confidencialidad, Integridad y
Disponibilidad)
La confidencialidad: Se entiende en el ámbito de la seguridad informática, como la protección
de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a
terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicación
utilizado: de hecho, un asunto de gran interés es el problema de garantizar la confidencialidad
de la comunicación utilizado cuando el sistema es inherentemente inseguro (como Internet).

Integridad: Diremos que es la capacidad de garantizar que los datos no han sido modificados
desde su creación sin autorización. La información que disponemos es válida y consistente. Este
objetivo es muy importante cuando estamos realizando trámites bancarios por Internet. Se
deberá garantizar que ningún intruso pueda capturar y modificar los datos en tránsito.

Disponibilidad: La definiremos como la capacidad de garantizar que tanto el sistema como los
datos van a estar disponibles al usuario en todo momento. Pensemos, por ejemplo, en la
importancia que tiene este objetivo para una empresa encargada de impartir ciclos formativos a
distancia.
14) Explique los conceptos de seguridad de la información: Identificación, autenticación,
autorización, rendición de cuenta y contabilidad.
La identificación: es la capacidad de identificar de forma exclusiva a un usuario de un sistema o
una aplicación que se está ejecutando en el sistema. La autenticación es la capacidad de
demostrar que un usuario o una aplicación es realmente quién dicha persona o aplicación
asegura ser.

Autenticación: es el proceso que debe seguir un usuario para tener acceso a los recursos de un
sistema o de una red de computadores. Este proceso implica identificación (decirle al sistema
quién es) y autenticación (demostrar que el usuario es quien dice ser). La autenticación por sí
sola no verifica derechos de acceso del usuario; estos se confirman en el proceso de
autorización.
 La autorización: es una parte del sistema operativo que protege los recursos del sistema
permitiendo que sólo sean usados por aquellos consumidores a los que se les ha concedido
autorización para ello.
Rendición de cuenta: consiste en la autenticación, autorización de acceso y auditoría. Una
definición más estrecha de control de acceso abarcaría únicamente la aprobación de acceso, por
lo que el sistema adopta la decisión de conceder o rechazar una solicitud de acceso de un sujeto
ya autenticado, sobre la base a lo que el sujeto está autorizado a acceder.

Contabilidad: la administración hace uso de los datos presentados por la contabilidad para la
toma de decisiones, sobre el rumbo adecuado de la inversión y la implementación de medidas
para maximizar las utilidades de una empresa. Es decir, la informática ayuda a procesar los
datos contables, y la administración analiza los resultados presentados por la contabilidad para
poder hacer un diagnóstico de si se están utilizando bien los recursos de la empresa y se están
obteniendo utilidades o ganancias y si se pueden mejorar.
15) ¿Cuál es la utilidad de una política de la seguridad de la información en una empresa?
La política de seguridad consiste en desarrollar el marco de actuación apropiado para
salvaguardar la información de la organización. El principal objetivo es indicar el propósito que
persigue el sistema de Gestión de Seguridad de la Información y el documento en sí.

Además, es necesario que se indique la finalidad que persigue la política de seguridad, se deberá
señalar cómo se prevé conseguirlo, como se ha aprobado y cómo se llevará a cabo su
seguimiento, ya que tiene que revisarse de manera continua. Es muy importante destacar que la
política tiene que estar adaptada a las características de la empresa, comunicarse a todos los
interesados y contar con el compromiso de la alta dirección.
16) ¿Cuáles son los aspectos de que se deben establecer una política de seguridad?
Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.

Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.

Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para
ello puedan disponer de ella cuando la necesiten y garantizar su protección.
17) ¿Qué es un vector de ataque?
Es un método que utiliza una amenaza para atacar un sistema. Una vez determinado el objetivo
a atacar son necesarias una serie de indagaciones previas para determinar cuál es el vector de
ataque adecuado. Podemos considerar el hallazgo de un vector de ataque como la consecuencia
de finalizar con éxito las fases de “reconocimiento” y “escaneo y análisis de vulnerabilidades”
18) ¿Cuáles son los vectores de ataques que reciben mayor atención de los gestores de seguridad
de la información?
Análisis e inspección del objetivo potencial
Para ello, emplea para ello diversos métodos como sniffing, correo electrónico, malware o
ingeniería social.

Codificación
Paso seguido, se codifican y alinean las herramientas para efectuar el ataque.
 Instalación
Se infiltra la seguridad y se instalan los softwares maliciosos que abrirán las puertas de ataque.

Explotación
Una vez vulnerados los sistemas; se explota la información (data sensible) para obtener los
beneficios pretendidos; y comprometer las defensas del atacado.
19) ¿Qué se conoce como La Norma ISO/IEC 27001 y Cómo está estructurada?
ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e
integridad de los datos y de la información, así como de los sistemas que la procesan.

Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre

el uso, finalidad y modo de aplicación de este estándar.

2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables

para la aplicación de ISO27001.

3. Términos y Definiciones: Describe la terminología aplicable a este estándar.

4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge

indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de
las necesidades y expectativas de las partes interesadas y la determinación del alcance
del SGSI.

5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la

organización han de contribuir al establecimiento de la norma. Para ello la alta dirección
ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad
que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades
dentro de la misma.

6. Planificación: Esta es una sección que pone de manifiesto la importancia de la

determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión
de Seguridad de la Información, así como de establecer objetivos de Seguridad de la
Información y el modo de lograrlos.

7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la
organización debe contar con los recursos, competencias, conciencia, comunicación e
información documentada pertinente en cada caso.
 8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de
la norma indica que se debe planificar, implementar y controlar los procesos de
organización, hacer una valoración de los riesgos de la Seguridad de la Información y un
tratamiento de ellos.

9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a

cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la
revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para
asegurar que funciona según lo planificado.

10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá
una organización cuando encuentre una no conformidad y la importancia de mejorar
continuamente la conveniencia, adecuación y eficacia del SGSI.
20) Mencione al menos una página Web que trate con:
O Base de datos de vulnerabilidades de SI
O Sistema de advertencia temprana de SI
O Se comparte inteligencia cibernética y SI
O Estándares Seguridad de la información
O Leyes, regulaciones -sobre ciberseguridad y SI
21) ¿Cuál es la función del DICAT, como institución del estado dominicano?
El Departamento de Investigación de Crímenes y Delitos de Alta Tecnología se crea en
noviembre del 2005 motivado por el incremento de los delitos electrónicos en nuestro país, así
como las nuevas formas y métodos de los delitos tradicionales utilizando medios informáticos y
de igual manera integrar la Policía Nacional Dominicana en esquemas internacionales en el
combate de la cibercriminalidad.
22) ¿Cuál es la función como órgano del estado del DNI?
Como Agencia de Inteligencia, recolecta, procesa y disemina información referente a la
seguridad del Estado y sus instituciones, cuyo producto está destinado a servir de base, a la
toma de decisiones de los más altos niveles de mando de la nación.

También tiene como misión la colecta, procesamiento y diseminación relativas al crimen

organizado, nacional o extranjero, a fin de poder detectar los indicadores que revelen el
desarrollo de las actividades delictivas que atentan contra la seguridad del Estado, el orden
público, la Constitución y las leyes.
23) ¿Cuál es el papel de la INTERPOL en persecución del crimen internacional?
Ofrecen su apoyo a la investigación en materia forense, analítica o de ayuda para localizar a
fugitivos en todo el mundo. La formación es fundamental para nuestro trabajo en diversas
áreas. Así, los funcionarios pueden utilizar nuestros servicios eficazmente.

Estos conocimientos especializados sirven de apoyo a las iniciativas nacionales de lucha contra
la delincuencia en tres áreas globales que consideramos las más acuciantes actualmente:
terrorismo, ciberdelincuencia y delincuencia organizada.
 Los funcionarios que trabajan en cada categoría especializada de delito realizan una serie de
actividades junto a países miembros. Puede tratarse de apoyo a la investigación, operaciones
sobre el terreno, formación o creación de redes.

24) ¿Se considera a la ciberseguridad un crimen internacional -explíquelo?

Estos crímenes se realizan en el espacio cibernético, un espacio sin límites y difícil de proteger,
para ello nació la Ciberseguridad, un departamento encargado de la Seguridad Cibernética y que
todas las organizaciones, tanto grandes o pequeñas, deberían implementar. Pero aún no se
toma conciencia del real peligro que significa un ataque o crimen cibernético para una
organización.

El constante desarrollo tecnológico, el potencial de las TICs y en general, la nueva era digital ha
potenciado los ciberataques a escala mundial.

Los nuevos delitos informáticos ya hacen frente a barreras territoriales y en ocasiones exceden
la normativa legal. Por ello, detener el cibercrimen se ha convertido en una inquietud por parte
de organismos nacionales e internacionales para garantizar la seguridad del Estado.
25) Explique brevemente la ley 53 - 07 y el decreto 230-18
El 23 de abril de 2007 se promulgó en República Dominicana la ley 53-07 sobre crímenes y
delitos de alta tecnología.

El objetivo de dicha ley es la protección integral de los sistemas que utilicen tecnologías de
información y comunicación y su contenido, así como la prevención y sanción de los delitos
cometidos contra estos o cualquiera de sus componentes o los cometidos mediante el uso de
dichas tecnologías en perjuicio de personas física o morales, en los términos previstos en dicha
ley.

La integridad de los sistemas de información y sus componentes, la información o los datos, que
se almacenan o transmiten a través de estos, las transacciones y acuerdos comerciales o de
cualquiera otra índole que se llevan a cabo por su medio y la confidencialidad de estos, son
todos bienes jurídicos protegidos.

El decreto 230-18
Que el derecho a la intimidad está consagrado como un derecho fundamental en nuestra
Constitución, garantizándose el respeto y la no injerencia en la vida privada, familiar, el
domicilio y la correspondencia del individuo, sus documentos o mensajes privados en formatos
físico, digital, electrónico o de todo otro tipo, así como la inviolabilidad del secreto de la
comunicación telegráfica, telefónica, cablegráfica, electrónica, telemática o la establecida en
otro medio, salvo cuando sea mediante autorizaciones otorgadas por un juez o autoridad
competente, de conformidad con la ley.

Que los derechos fundamentales vinculan a todos los poderes públicos, los cuales deben
garantizar su efectividad, de conformidad con la Constitución y las leyes.
 Que la integración de las telecomunicaciones y las tecnologías de la información y la
comunicación (TIC) en nuestras actividades económicas y sociales ha creado una creciente
dependencia de estas en el ámbito mundial, pues se han convertido en esenciales para el
desarrollo económico, cohesión social y seguridad nacional.
26) De qué trata el acuerdo de la Haya y en que los profesionales lo pueden utilizar