Universidad Dominicana OyM – recinto La Romana

Asignatura: Fundamentos Seguridad De La Información, Sesión 911, Periodo 2021/2

Profesor: Harom Francisco Ramos

Edtudiante: Edgar Yoel Gomez Guichardo (17-SIST-2-003)

Práctica de Seguridad

1) ¿Qué se entiende por Datos e información?

A pesar que generalmente, los términos de datos e información se usan para describir lo mismo,
para el profesional en tecnologías de información éstos términos significan diferentes cosas.
Datos es un término que se refiere a hechos, eventos, transacciones, etc., que han sido
registrados. Es la entrada sin procesar de la cual se produce la información. Información se
refiere a los datos que han sido procesados y comunicados de tal manera que pueden ser
entendidos e interpretados por el receptor.

2) ¿Cuáles son las principales característica de la información?

Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas

autorizadas a tener acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los
recursos relacionados con la misma toda vez que se requiera.

3) ¿A que nos referimos con los términos datos almacenados, en tránsito y en procesos?

4) ¿Cómo se clasifica la información empresarial?

Estas se pueden clasificar dependiendo del lugar o región pero las mismas estas bajos las normas
ISO las cuales son la que regulas la forma en que se pueden clasificar las mismas.

5) ¿Por qué es importante clasificar la información en las empresas?

Debido a que con estas se pueden dar diferentes niveles de clasificación dependiendo de qué
tan importante sea dicha información y en cuestión que tipo de empresa sea, esto no quiere
decir que la información no se importante sino que hay una que otra información de mayor
criterio e importancia.

6) ¿Qué se entiende por análisis de riesgo informático?

La evaluación de los distintos peligros que afectan a nivel informático y que pueden producir
situaciones de amenaza al negocio, como robos o intrusiones que comprometan los datos o
ataques externos que impidan el funcionamiento de los sistemas propiciando periodos de
inactividad empresarial. Con la finalidad de prevenir a las empresas de este tipo de situaciones
negativas para su actividad y recoge una serie de factores fundamentales para su consecución. 
7) ¿Se puede implementar seguridad de la información sin analizar los riesgos?

No debido a que no se llevarían a cabo de forma correcta los procesos de la misma y esto
causaría perdida de información sensible y no se podría afrontar las amenazas a futuro.

8) ¿Cómo son tratados los riesgos?

Son tratados dependiendo de la gravedad y que nivel de gravedad del mismo para ser tratado y
poder llegar a una solución del mismo para dar las pautas de cómo se deben de manejar los
mismo, con el objetivo principal de ofrecer a las entidades los más altos entandares de
seguridad.

9) ¿Qué es un activo de la información?

Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A, es la

correcta gestión de los Activos de Información que dan soporte a los diferentes procesos de la
organización. Esta gestión comprende desde su identificación por medio de un inventario, fijar
un responsable o Propietario de cada activo, determinar los usos correctos y adecuados de cada
uno de ellos, y su recuperación cuando sea necesario para evitar su pérdida o difusión no
controlada.
Un activo de información en el contexto de la norma ISO/IEC 27001 es:  “algo que una
organización valora y por lo tanto debe proteger”.

Se puede considerar como un activo de información a:

 Los datos creados o utilizados por un proceso de la organización en medio digital, en

papel o en otros medios.
 El hardware y el software utilizado para el procesamiento, transporte o almacenamiento
de información.
 Los servicios utilizados para la transmisión, recepción y control de la información.
 Las herramientas o utilidades para el desarrollo y soporte de los sistemas de
información.
 Personas que manejen datos, o un conocimiento específico muy importante para la
organización (Por ejemplo: secretos industriales, manejo de información crítica, know
how).

10) ¿Qué se entiende por seguridad de la información?

Es la protección de la información y de los sistemas de información del acceso, uso, divulgación y

destrucción no autorizada a través de estándares, procesos, procedimientos, estrategias,
recursos informáticos, recursos educativos y recursos humanos.
11) ¿Cuál es la diferencia entra ciberseguridad y seguridad de la información?

En primer lugar, debemos destacar que la Seguridad de la Información tiene un alcance mayor
que la Ciberseguridad y la Seguridad Informática, puesto que el objetivo de la primera es
proteger la información de riesgos que puedan afectarla, en sus diferentes formas y estados. Por
el contrario, la Ciberseguridad se enfoca principalmente en la información en formato digital y
los sistemas interconectados que la procesan, almacenan o transmiten, por lo que tiene
un mayor acercamiento con la Seguridad Informática.

12) ¿Qué importancia tiene para la empresa, la implementación de un sistema de gestión de

la seguridad -SGS?

El objetivo de SGSI es para proteger la información y hacer lo primero que debe hacer es
identificar a cada uno de los ‘activos de información’ para ser protegido y en qué grado.
Teniendo en cuenta las normas ISO 27001 e ISO/IEC 27005, que brindan parámetros para
gestionar los riesgos y lograr un nivel de seguridad óptimo, es decir que se minimicen los
riesgos de tener una pérdida o daño en la información del proceso de exportación.

13) Explique la triada de la seguridad de la información –CDI (Confidencialidad, Integridad y

Disponibilidad)

Es un modelo diseñado para guiar las políticas de seguridad de la información dentro de

una organización.
En este contexto, la confidencialidad es un conjunto de reglas que limita el acceso a la
información, la integridad es la garantía de que la información es confiable y precisa, y la
disponibilidad es una garantía de acceso confiable a la información por parte de personas
autorizadas.

14) Explique los conceptos de seguridad de la información:

Identificación: es el proceso de distinguir una persona de otra con la finalidad

de que no haya más de un sujeto y evitar la suplantación de identidad
Autenticación: Los usuarios deberán de proveer información para validar la
información y hacer dar a entender al sistema que son ellos

Autorización: es una parte del sistema operativo que protege los recursos del

sistema permitiendo que sólo sean usados por aquellos consumidores a los que se
les ha concedido autorización para ello. Los recursos incluyen archivos y otros
objetos de dato, programas, dispositivos y funcionalidades provistas
por aplicaciones.

Rendición de cuenta: La rendición de cuentas ayuda a garantizar que se mantenga

una adecuada protección. Se deben identificar a los propietarios para todos los
activos importantes y se debe asignarse la responsabilidad por el mantenimiento de
los controles apropiados. La responsabilidad por la implementación de los controles
 puede ser delegada. En último término, el propietario designado del activo debe
rendir cuentas por el mismo.

Contabilidad: Este registra lo que hace el usuario, incluyendo los elementos a los
que accede, la cantidad de tiempo que accede al recurso y todos los cambios
hechos en el mismo.

15) ¿Cuál es la utilidad de una política de la seguridad de la información en una empresa?

Las políticas de seguridad informática son reglas que tenemos que cumplir todo el personal
relacionado con una empresa. Así se asegura la integridad, disponibilidad y privacidad de las
infraestructuras informáticas y de la información que contienen. En este artículo se explica qué
son las políticas de seguridad informática y sus aplicaciones prácticas  en la empresa en distintos
ámbitos.

16) ¿Cuáles son los aspectos de que se deben establecer una política de seguridad?

La política debe adaptarse a los requerimientos de la organización. Por ello, se descarta la  opción
de copiar el documento de otra organización, más aún, si tenemos en cuenta que son diferentes
los requerimientos de un fabricante industrial que los de una gran tienda virtual.

 Definición de los objetivos: El documento precisa definir los objetivos de seguridad de la

información, su forma de aprobación y la manera en que han de ser revisados, sin entrar en
detalles acerca de estos procesos.
 Compromiso: Es tal vez la parte introductoria del documento. La Alta Dirección de la organización
debe expresar sin lugar a dudas, su compromiso total con el sistema y con su propósito final, que
no debe ser otro que cumplir con los requerimientos en materia de seguridad de la información
de las partes interesadas en el sistema.
 Comunicación: El documento debe establecer quién o quiénes son los encargados de comunicar a
las partes interesadas los alcances y la evolución del sistema, no solo durante la implementación
del mismo, sino en adelante, en la medida en que se presenten revisiones, actualizaciones o
mejoras.
 Revisiones: La política de Seguridad de la Información según ISO 27001, debe ser revisada en
forma periódica, y estas revisiones, así como los responsables de las mismas, y los periodos de
tiempo en los que se efectuarán, son temas que se deben incluir en el documento.

17) ¿Qué es un vector de ataque?

Los vectores de ataque en ciberseguridad  son las formas o medios que permiten a
ciberdelincuentes transmitir códigos maliciosos, con el propósito de obtener beneficios
económicos. 

Los vectores de ataque son elementos clave para la prevención y defensa de una red
empresarial actualmente, conocerlos y contratar una solución adecuada para su protección
puede hacer la diferencia entre la continuidad de negocio y enormes pérdidas monetarias. 
18) ¿Cuáles son los vectores de ataques que reciben mayor atención de los gestores de seguridad
de la información?

 Navegación: Se realiza por medio de realizar búsquedas en Internet y descargar

accidentalmente, o por medio de engaños, códigos maliciosos como Malware,
Ransomware, Spyware y cualquier otro tipo de virus con la capacidad de dañar la
integridad y acceso de la información. 
 Endpoint: Nos referimos a estaciones de trabajo que pueden ser empleados para
infectar los sistemas de la organización mediante una memoria USB o un disco duro
extraíble, mediante este medio un atacante puede dañar con código malicioso un
computador de trabajo o infectar una red LAN.
 Aplicación web: Por aplicaciones web nos referimos a todo portal mostrado en Internet
y que tiene utilidades corporativas, de esta forma están contempladas como
aplicaciones web los portales de registro, Intranets, banca por Internet y páginas web
empleadas por miembros de una organización. 
 La Red: Las grandes organizaciones como entidades de gobierno, sector educativo y el
rubro de banca y seguros poseen grandes conexiones entre sus sedes y data center. 

19) ¿Qué se conoce como La Norma ISO/IEC 27001 y Cómo está estructurada?

Es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan.

20) Mencione al menos una página Web que trate con:

o Base de datos de vulnerabilidades de SI: https://www.rapid7.com/db/?type=nexpose

o Sistema de advertencia temprana de SI:
o Se comparte inteligencia cibernética y SI
o Estándares Seguridad de la información
o Leyes, regulaciones -sobre ciberseguiridad y SI

21) ¿Cuál es la función del DICAT, como institución del estado Dominicano?

El Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (Dicat) de la

Dirección de Investigaciones Criminales de la Policía Nacional es el departamento encargado de
encarar los crimenes cibernéticos en la República Dominicana.
Sus funciones son:

 Investigar todas las denuncias de crímenes o delitos considerados de alta tecnología.

 Responder con capacidad investigativa a todas las amenazas y ataques a la
infraestructura de tecnología critica nacional.
 Desarrollar inteligencia en Internet.

22) ¿Cuál es la función como órgano del estado del DNI?

Este Departamento tendrá facultad para investigar cualquier acto cometido por
personas, grupos o asociaciones, que atenten contra la Constitución y las leyes de la
República, las instituciones del Estado o que traten de establecer una forma de gobierno
 totalitario.
23) ¿Cuál es el papel de la INTERPOL en persecución del crimen internacional?

La misión de Interpol es facilitar y fomentar la comunicación policial para conseguir un mundo

más seguro. Por esta razón, Interpol apoya y colabora con todas las organizaciones, autoridades
y servicios para prevenir y combatir la delincuencia internacional. Una de las funciones
principales de INTERPOL desde el momento de su creación ha sido promover el intercambio de
información sobre fugitivos y llevarlos ante la justicia en el país en el que cometieron un delito.

24) ¿Se considera la ciberseguridad un crimen internacional -explíquelo?

Si debido a que en cada país organismos encargados de investigar estos tipos de casos y si esta la
necesidad de iniciar una investigación en otro país se inician las investigaciones pertinentes para
dar finalidad a dicho crimen.

25) Explique brevemente la ley 53 - 07 y el decreto 230-18

Se entiende por delito de alta tecnología a las conductas que atenten a los bienes jurídicos
protegidos por la Constitución, las leyes, los decretos, reglamentos y resoluciones que estén
relacionadas con los sistemas de información. Dentro de esta definición entran los delitos
electrónicos, informáticos, cibernéticos y de telecomunicaciones.

Esta Ley protege integralmente los sistemas que utilizan tecnología de información y
comunicación y su contenido y también la prevención y sanción de los delitos cometidos contra
estos, en perjuicio de las personas físicas o morales, asimismo se aplicará a todas las personas
físicas o morales, públicas o privadas

El Decreto 230-18 consciente de que resulta de alto interés el establecimiento de un Equipo de

Respuestas a Incidentes Cibernéticos para prevenir, mitigar y responder a los incidentes
cibernéticos, creó el Centro Nacional de Ciberseguridad como dependencia del Ministerio de la
Presidencia de la República Dominicana.

26) De qué trata el acuerdo de la Haya y en que los profesionales lo pueden utilizar