Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TRABAJO
Profesor: Bachiller:
Neptali Flores Yonathan Rodríguez
Cuáles son los objetivos de la seguridad en el área de informática
El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas
del servicio de procesamiento de datos, información debido a contingencias como incendio,
inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea
restaurado el servicio completo.
La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:
Entrada de virus. La seguridad lógica puede evitar una afectación de perdida de riesgos, y ayuda a
conocer el momento en que se produce un cambio o fraude en los sistemas.
Podríamos definir a un plan de contingencias como una estrategia planificada con una serie de
procedimientos que nos faciliten o nos orienten a tener una solución alternativa que nos permita
restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda
paralizar, ya sea de forma parcial o total. El plan de contingencia es una herramienta que le ayudará a
que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible
falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir
operando aunque sea al mínimo. Consideramos que no sólo es responsabilidad del Área de Informática
sino de todas las Unidades Orgánicas proteger la información y los equipos que la contienen.
Destrucción o mal funcionamiento de los equipos auxiliares del centro de computo (electricidad, aire
acondicionado, etc).
Destrucción parcial o total de los equipos descentralizados.
Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas
• Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los
Sistemas de Información
• Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un
Sistema de Información. Son puntos imprescindibles del plan de contingencia:
• Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes de
sufrir pérdidas significativas o irrecuperables.
• Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso.
• Determinar las prioridades del proceso, por días del año, que indiquen cuáles son las aplicaciones y
sistemas críticos en el momento de ocurrir el desastre y elorden de proceso correcto
• Establecer objetivos de recuperación que determinen el período de tiempo (horas, días, semanas)
entre la declaración de desastre y el momento en el que el centro alternativo puede procesar las
aplicaciones críticas.
• Designar entre los distintos tipos existentes, un Centro Alternativo de Proceso de Datos.
Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos o
responsabilidades que se pueden derivar para el centro de Procesamiento de Información una vez
detectado y corregido el fallo. Entre algunos tipos de seguros están:
Clasificar los datos, la información y los programas que contenga información confidencial de alto valor
dentro del mercado de competenciade una organización, así como la información que sea de difícil
recuperación.
Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien que pueda
provocar un gran impacto en la toma de decisiones.
Que métodos existen para evaluar los procesos críticos en una organización
Todos los procesos críticos. Con este método, la decisión es tomada por todos los departamentos y se
parte de que todas las funciones de cada departamento son críticas. Por lo general, se eliminan uno o
dos departamentos, pero casi todo es calificado como crítico.
Si se elige este método, se debe enlistar todas las funciones de cada departamento. Este método no es
recomendable porque elaborar el plan de contingencia requerirá de mucho tiempo. Seria costoso y
llevaría tiempo respaldar todas las funciones en todos los departamentos.
Mandatos de los gerentes. Este método asume que los gerentes conoce los elementos críticos para
mantener un aceptable nivel en la organización. La identificación de funciones críticas es hecha en base
a la intuición de los gerentes. El beneficio de este método es el tiempo que se ahorra durante la fase
inicial. Lo peligroso es que está basado en una intuición y este no esun análisis riguroso.
Objetivos de la seguridad
Generalmente, los sistemas de información incluyen todos los datos de una compañía y también el
material y los recursos de software que permiten a una compañía almacenar y hacer circular estos
datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.
Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software
de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del
marco previsto.
Integridad: garantizar que los datos sean los que se supone que son.
Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que
se intercambian.
Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.
Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.
Controles operativos
Aplicar controles operativos en un ambiente de Procesamiento de Datos, la máxima autoridad del Área
de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan
de la siguiente forma:
Controles de Preinstalación
- Diseñar un sistema
- Operar el sistema
- Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operación.
Acciones a seguir
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan
acceso a la operación del computador y los operadores a su vez no conozcan la documentación de
programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del
procesamiento.
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-
beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo
un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y
experiencia de su área y esta actividad facilita el proceso de cambio
El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la
implantación de rutinas de control
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros
mecanismos a fin de evitar reclamos posteriores.
Controles de Procesamiento
Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores
condiciones.
Acciones a seguir:
Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.
Controles de Operación
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un
proceso
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD
Acciones a seguir:
Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en
caso de destrucción de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y
adecuados, preferentemente en bóvedas de bancos.
Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas,
reglamentos, etc.
Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los
controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.
Acciones a seguir:
Resultado de imagen para seguridad informatica gif
Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible
UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no
relacionadas a la gestión de la empresa.