Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESPONSABLES:
PROFESOR GUÍA:
Ing. Pablo Flores
NIVEL:
Decimo Semestre Paralelo “A”
PERÍODO ACADÉMICO:
Mayo-Octubre 2020
Introducción
Para lograr una adecuada protección de los activos informáticos, los sistemas de
información, los datos y la información, es necesaria la intervención de todo el personal
de la empresa, incluyendo a los directivos que deben avalar el proyecto y brindar el apoyo
a todo el personal que esté involucrado en el manejo de los activos y sistemas
informáticos.
Las amenazas pueden presentarse por acciones criminales en las que intervienen seres
humanos violando las normas y las leyes, o sucesos de orden físico por eventos naturales
que se puede presentar, o aquellos eventos en los que el ser humano propicia las
condiciones para determinar un hecho físico, o por negligencia que son las omisiones,
decisiones o acciones que pueden presentar algunas personas por desconocimiento, falta
de capacitación y/o abuso de autoridad.
Las amenazas a los sistemas de información están latentes cada que se interactúa con los
ellos, al utilizar dispositivos de almacenamiento externos, al ingresar a sitios web, por la
inconformidad de empleados insatisfechos dentro de la misma organización. De acuerdo
a lo anterior las amenazas pueden ser de varios tipos, entre ellas tenemos las amenazas
por intercepción, modificación, interrupción o generación.
Riesgos informáticos: Los riesgos informáticos son problemas potenciales, que pueden
afectar a los sistemas de información o a los equipos de cómputo. Si no se tienen las
medidas adecuadas para salvaguardar los datos y la información, dichos riesgos se pueden
presentar por las vulnerabilidades y amenazas en cualquier momento, por lo tanto, los
riesgos se pueden clasificar en: Riesgos de integridad, Riesgos de relación, Riesgos de
acceso, Riesgos de utilidad, Riesgo de infraestructura.
Dentro de los activos informáticos se han establecido dos categorías que permiten
diferenciarlos de acuerdo con su naturaleza y existencia física, la primera categoría agrupa
los activos intangibles y la segunda los activos tangibles. Dentro de los activos intangibles
están los bienes inmateriales tales como: relaciones inter institucionales, capacitaciones
del personal, las habilidades y motivación de los empleados, las bases de datos, las
herramientas tecnológicas, el conocimiento y la experiencia, y los procesos operativos.
Los bienes tangibles son los de naturaleza material como: mobiliario, infraestructura
tecnológica, espacios físicos, materiales y elementos de trabajo, equipos informáticos,
hardware de redes, equipos de protección eléctrica, cableado estructurado, teléfonos y
plantas telefónicas, entre otros.
Integridad: El diccionario define el término como “estado de lo que está completo o tiene
todas sus partes”. La integridad hace referencia a la cualidad de la información para ser
correcta y no haber sido modificada, manteniendo sus datos exactamente tal cual fueron
generados, sin manipulaciones ni alteraciones por parte de terceros. Esta integridad se
pierde cuando la información se modifica o cuando parte de ella se elimina, y una gran
garantía para mantenerla intacta es, como hemos mencionado en anteriores ocasiones, la
firma digital.
Entre los puntos más importantes a tomar en cuenta para la seguridad lógica tenemos
(algunos aplican principalmente a servidores, otros a cualquier ordenador):
CRIPTOGRAFIA
Con más precisión, cuando se habla de esta área de conocimiento como ciencia se debería
hablar de criptología, que engloba tanto las técnicas de cifrado, la criptografía
propiamente dicha, como sus técnicas complementarias: el criptoanálisis, que estudia los
métodos que se utilizan para romper textos cifrados con objeto de recuperar la
información original en ausencia de la clave.
Finalidad
Criptoanálisis
El algoritmo de cifrado, para ser considerado seguro, ha de soportar todos estos ataques
y otros no citados; sin embargo, en la criptografía, como en cualquier aspecto de la
seguridad, informática o no, no debemos olvidar un factor muy importante: las personas.
El sistema más robusto caerá fácilmente si se tortura al emisor o al receptor hasta que
desvelen el contenido del mensaje, o si se le ofrece a uno de ellos una gran cantidad de
dinero; este tipo de ataques (sobornos, amenazas, extorsión, tortura...) se consideran
siempre los más efectivos
Una firma digital es un conjunto de datos asociados a un mensaje digital que permite
garantizar la identidad del firmante y la integridad del mensaje.
Tiene la misma validez y eficacia jurídica que el uso de una firma manuscrita, siempre y
cuando haya sido generada por un Prestador de Servicios de Certificación Digital
debidamente acreditado que se encuentre dentro de la Infraestructura Oficial de Firma
Electrónica.
El Certificado Digital
Seguridad en la red
La seguridad en la red rige las políticas y prácticas que adopta una organización para
supervisar y evitar el uso indebido, la modificación, el acceso no autorizado o la
denegación de servicio a una red informática y a los dispositivos y datos de la red.
Su objetivo es proteger no solo las capacidades virtuales de una red, sino también el
equipo, los datos vitales y la información patentada.
La ciberseguridad
La ciberseguridad incluye procesos y tecnologías que tienen como objetivo proteger los
datos, el software y el hardware de los ataques que podrían provocar daños o acceso no
autorizado.
Conclusión
Se puede concluir que no existe una cultura de seguridad de la información dentro de las
organizaciones, tampoco existe sistemas de control de seguridad informática y de
información, y mucho menos, procesos y procedimientos documentados para protección
de la información.
Se puede concluir que no existe un compromiso real de las directivas, que los empleados
no son conscientes de los objetivos que se pretende con el sistema de control de seguridad
de la información y que el personal del área informática no está capacitado para asumir
esta responsabilidad. Por tanto, es fundamental que las organizaciones cuenten con un
marco normativo de seguridad, que permita aplicar la auditoría basada en la norma. Del
proceso de auditoría a la seguridad de la información se concluye que este proceso debe
ser continuo y que debe ser realizado por los entes de control interno de cada
organización, y periódico por empresas auditoras externas que permitan hacer la
evaluación y seguimiento del sistema de control de seguridad informático para el diseño,
implementación e implantación de un SGSI adecuado a sus necesidades.
UNIVERSIDAD TÉCNICA DE MANABÍ
FACULTAD DE CIENCIAS INFORMATICAS
ENSAYO – APLICACIÓN
INTEGRANTES:
AVILA NAVARRETE BRYAN MANUEL
CEDEÑO MACIAS DUVER JAIR
CEDEÑO MERO KEVIN ROBERTO
CHAVEZ CALDERON JHONNY XAVIER
CHILAN GARCIA JESUS ALEXANDER
Carrera:
Ingeniería en Sistemas Informáticos
Asignatura:
SIG - Paralelo “A”
Docente:
Mg. Pablo Flores Cedeño
Periodo:
Junio 2020 – Octubre 2020
1. Liste y describa las debilidades de seguridad y control en Target que se analizan en este
caso.
Una vez estudiado este caso de estudio se pude evidenciar las siguientes debilidades de
seguridad y control en Target, en las cuales mencionamos:
Equipo de seguridad de target conocía sobre la actividad hackers, pero no era suficiente
para conseguir un seguimiento inmediato
Una limitada capacidad de reacción por parte del equipo de control y seguridad de
Target
Equipo de seguridad de target podían observar muchas amenazas cada semana pero
solo podían enfocarse en su número limitado de ellas
Los sistemas de target no estuvieron segmentados y aislados de otras partes de la red o
internet abierto, presentaban paredes aislantes con algunos orificios.
Los sistemas de target no estaban diseñados en su totalidad para proteger la privacidad
y vulnerabilidad de sus clientes al contrario promovían con facilidad el robo.
Son muchos los problemas que contribuyen a la mala administración pero sobre todo podemos
deducir que recaen mucho en la mala actuación de la gerencia. Pues según target, estaba
preparado para un ataque de este tipo, pues adicional equipo de seguridad instaló una
plataforma de detección “Malware” llamada software “FiveEye” de más de 1.6 millones, el
cual tenía una opción de eliminar el malware automáticamente al detectarlo, pero el equipo de
seguridad de target detecto dicha función para poder tener la decisión final, encanto a lo que se
debía hacer, es decir el equipo de target sabía sobre la actividad de los hackers, pero no era
suficiente para haber podido garantizado seguimiento inmediato.
Para ser más específico otros factores que contribuyeron a este gran problema fueron:
3. ¿Cuál fue el impacto de las pérdidas de datos de Target sobre esta empresa y sus
clientes?
Es usual que las organizaciones a lo largo del tiempo se presentaran con contratiempos y
problemas, puedo sugerir que debe de contar con un equipo capacitado y certificado en la toma
de decisiones, contar con un plan B siempre que haya un problema que requiera de otras
medidas. La naturaleza y funcionalidad de toda debe diseñarse e implementarse un SI que
brinde y salvaguarde la seguridad de sus clientes, situación que siempre debe ser vista como
una inversión compacta mas no como un gasto, pues en este caso Target siendo una de las
empresas más grande de los EEUU, tuvo que perder a sus clientes para que su
gerencia empezara actuar ante la mala administración y uso de sus sistemas de seguridad.
CASO 2
Si bien tenemos dispositivos muy capaces de llevar a cabo casi cualquier tarea, todavía no es
cómodo. Hay limitaciones como la baja completitud del sistema operativo que conllevan
grandes deficiencias si buscamos aquello de la productividad. A pesar de ello se observa con
optimismo el futuro porque las compañías han comenzado a ser conscientes de los riesgos de
la movilidad, y por ello “están incorporando los terminales móviles a sus políticas de
seguridad”.
Por lo tanto al usar dispositivos móviles se está tomando riesgos perjudícales hacia la empresa,
por ello se debe establecer una estrategia de seguridad adecuada y eficaz para nuestros datos
ahora que también están accesibles desde el entorno móvil. Los dispositivos móviles no se
usaron para la seguridad empresarial, sino para llevar a cabo actividades de una forma más
confortable, una PC siempre será superior a un teléfono inteligente.
Los dispositivos móviles se están convirtiendo en un instrumento primordial para las empresas
ya que, de manera similar al cambio que supuso la adopción de Internet, potencian la eficiencia
y la agilidad de los negocios. Los dispositivos móviles de todo aquel miembro de una compañía
deben contar con algo más aparte de todas esas utilidades. No solo necesitan protegerlos, sino
que esa protección ha de establecerse de una manera centralizada y automática, “evitando
trasladar la responsabilidad de la seguridad de estos terminales a sus empleados”, ya que
forman parte de su infraestructura de tecnología de la información. Otras medidas que se
pueden tomar es:
Aunque en la actualidad los dispositivos móviles cada vez son más potentes y seguros. Los
datos valiosos que los cibercriminales buscaban y robaban antes de los ordenadores personales
a día de hoy los pueden encontrar en los smartphones, los cuales, por otro lado, les sirven muy
bien para acceder sin ser detectados en las redes empresariales cuando estos dispositivos son
los de sus empleados. Estos dispositivos no fueron diseñados para la seguridad y privacidad
del usuario, y si lo hacen es de forma pobre e insuficiente, nos exponen a varios factores
como:
4. ¿Qué pasos pueden tomar los individuos y empresas para que sus teléfonos inteligentes
sean más seguros?
Las empresas de todos los tamaños pueden beneficiarse con los consejos sobre cómo mejorar
la seguridad de sus datos. Las empresas y personal pueden tomar para mantener los datos
seguros y protegidos para evitar problemas legales y reglamentarios. Tales como: