República Bolivariana de Venezuela

Ministerio del Poder Popular para la Defensa

Universidad Nacional Experimental Politécnica de la Fuerza Armada Bolivariana (UNEFA)
Núcleo Aragua Extensión Colonia Tovar

TRABAJO

Profesor: Bachiller:
Neptali Flores Yonathan Rodríguez
Cuáles son los objetivos de la seguridad en el área de informática

El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas
del servicio de procesamiento de datos, información debido a contingencias como incendio,
inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea
restaurado el servicio completo.

Qué consecuencias tiene la falta de seguridad lógica o su violacióndentro de la organización

La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:

Cambio de los datos antes o cuando se le da entrada a la computadora.

Copias de programas y/o información.

Código oculto de un programa.

Entrada de virus. La seguridad lógica puede evitar una afectación de perdida de riesgos, y ayuda a
conocer el momento en que se produce un cambio o fraude en los sistemas.

Describa el plan de contingencia y procedimientos en caso dedesastres en el área de informática

Podríamos definir a un plan de contingencias como una estrategia planificada con una serie de
procedimientos que nos faciliten o nos orienten a tener una solución alternativa que nos permita
restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda
paralizar, ya sea de forma parcial o total. El plan de contingencia es una herramienta que le ayudará a
que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible
falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir
operando aunque sea al mínimo. Consideramos que no sólo es responsabilidad del Área de Informática
sino de todas las Unidades Orgánicas proteger la información y los equipos que la contienen.

Dentro de las contingencias, como se clasifican los desastres

El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organización de

requerimientos para su recuperación ante desastres. Los desastres pueden clasificarse de la siguiente
forma:

Destrucción completa del centro de cómputo.

Destrucción parcial del centro de cómputo.

Destrucción o mal funcionamiento de los equipos auxiliares del centro de computo (electricidad, aire
acondicionado, etc).
Destrucción parcial o total de los equipos descentralizados.

Pérdida total o parcial de información, manuales o documentación.

Perdida de personal clave.

Huelga o problemas laborales.

Cuáles son los objetivo de un plan de contingencia

Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas

• Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los
Sistemas de Información

• Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un
Sistema de Información. Son puntos imprescindibles del plan de contingencia:

• Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes de
sufrir pérdidas significativas o irrecuperables.

• Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso.

• Determinar las prioridades del proceso, por días del año, que indiquen cuáles son las aplicaciones y
sistemas críticos en el momento de ocurrir el desastre y elorden de proceso correcto

• Establecer objetivos de recuperación que determinen el período de tiempo (horas, días, semanas)
entre la declaración de desastre y el momento en el que el centro alternativo puede procesar las
aplicaciones críticas.

• Designar entre los distintos tipos existentes, un Centro Alternativo de Proceso de Datos.

• Asegurar la capacidad de las comunicaciones.

• Asegurar la capacidad de los servidores back-up.

Que debe contemplar un plan de contingencia

Los Contratos de Seguros vienen a compensar, en mayor o menor medida, las pérdidas, gastos o
responsabilidades que se pueden derivar para el centro de Procesamiento de Información una vez
detectado y corregido el fallo. Entre algunos tipos de seguros están:

 Centro de proceso y equipamiento.

  Reconstrucción de medios de software
 Gastos Extra
 Interrupción del negocio
 Documentos y registros valiosos
 Errores y omisiones
 Cobertura de fidelidad
 Transporte de medios
 Contratos con proveedores y de mantenimiento

Que se debe hacer para evaluar una instalación en términos de riesgo

Para evaluar una instalación en términos de riesgo se debe:

Clasificar los datos, la información y los programas que contenga información confidencial de alto valor
dentro del mercado de competenciade una organización, así como la información que sea de difícil
recuperación.

Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien que pueda
provocar un gran impacto en la toma de decisiones.

Determinar la información que pueda representar una gran pérdida en la organización y,

consecuentemente, provocar incluso la posibilidad de que no se pueda sobrevivir sin esa información.

Que métodos existen para evaluar los procesos críticos en una organización

Existen diferentes métodos para determinar los procesos críticos de unaorganización:

Todos los procesos críticos. Con este método, la decisión es tomada por todos los departamentos y se
parte de que todas las funciones de cada departamento son críticas. Por lo general, se eliminan uno o
dos departamentos, pero casi todo es calificado como crítico.

Si se elige este método, se debe enlistar todas las funciones de cada departamento. Este método no es
recomendable porque elaborar el plan de contingencia requerirá de mucho tiempo. Seria costoso y
llevaría tiempo respaldar todas las funciones en todos los departamentos.

Mandatos de los gerentes. Este método asume que los gerentes conoce los elementos críticos para
mantener un aceptable nivel en la organización. La identificación de funciones críticas es hecha en base
a la intuición de los gerentes. El beneficio de este método es el tiempo que se ahorra durante la fase
inicial. Lo peligroso es que está basado en una intuición y este no esun análisis riguroso.

SEGURIDAD OPERACIONAL EN EL ÁREA DE INFORMÁTICA

Objetivos de la seguridad

Dicha seguridad tiene como objetivo principal minimizar los riesgos en

los recursos informáticos y así consolidar las diferentes operaciones de la
organización, al tiempo que se disminuyen los costos. Así mismo preservar la
confiabilidad de los documentos, registros y archivos. De manera que sean
permanentes, que estén disponibles y para que solo las personas
autorizadas puedan acceder a ellos en cualquier momento. Es necesario
destacar que también garantiza la originalidad de los documentos, todas
estas características brindan al usuario confianza para aceptar el documento
requerido.

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también el
material y los recursos de software que permiten a una compañía almacenar y hacer circular estos
datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software
de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del
marco previsto.

La seguridad tiene cinco objetivos:

 Integridad: garantizar que los datos sean los que se supone que son.
 Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que
se intercambian.
 Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.
 Evitar el rechazo: garantizar de que no pueda negar una operación realizada.
 Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.

Controles operativos
Aplicar controles operativos en un ambiente de Procesamiento de Datos, la máxima autoridad del Área
de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan
de la siguiente forma:

1.- Controles de Preinstalación

2.- Controles de Organización y Planificación

3.- Controles de Sistemas en Desarrollo y Producción

4.- Controles de Procesamiento

5.- Controles de Operación

6.- Controles de uso de Microcomputadores

Controles de Preinstalación

Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de

computación y obviamente a la automatización de los sistemas existentes

Controles de organización y Planificación

Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad de las diferentes

unidades del área PAD, en labores tales como:

- Diseñar un sistema

- Elaborar los programas

- Operar el sistema

- Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operación.

Acciones a seguir

Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no tengan
acceso a la operación del computador y los operadores a su vez no conozcan la documentación de
programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los resultados del
procesamiento.

Controles de Sistema en Desarrollo y Producción

Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo una relación costo-
beneficio que proporcionen oportuna y efectiva información, que los sistemas se han desarrollado bajo
un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:

Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y
experiencia de su área y esta actividad facilita el proceso de cambio

El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la
implantación de rutinas de control

El desarrollo, diseño y mantenimiento de sistemas obedece a planes específicos, metodologías

estándares, procedimientos y en general a normatividad escrita y aprobada.

Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros
mecanismos a fin de evitar reclamos posteriores.

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la
salida de la información, lo que conlleva al establecimiento de una serie de seguridades para:

Asegurar que todos los datos sean procesados.

Garantizar la exactitud de los datos procesados.

Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores
condiciones.

Acciones a seguir:

Recepción de datos de entrada y distribución de información de salida debe obedecer a un horario

elaborado en coordinación con el usuario, realizando un debido control de calidad.

Adoptar acciones necesaria para correcciones de errores.

Analizar conveniencia costo-beneficio de estandarización de formularios, fuente para agilitar la captura

de datos y minimizar errores.

Los procesos interactivos deben garantizar una adecuada interrelación entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para garantizar la
integridad de la información y el buen servicio a usuarios.

Controles de Operación

Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de

almacenamiento, la administración de la cintoteca y la operación de terminales y equipos de
comunicación por parte de los usuarios de sistemas on line.Los controles tienen como fin:

Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un
proceso

Resultado de imagen para seguridad informatica gif

Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD

Garantizar la integridad de los recursos informáticos.

Asegurar la utilización adecuada de equipos acorde a planes y objetivos.

Acciones a seguir:

Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en
caso de destrucción de archivos.

Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares seguros y
adecuados, preferentemente en bóvedas de bancos.

Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.

Todas las actividades del Centro de Computo deben normarse mediante manuales, instructivos, normas,
reglamentos, etc.

El proveedor de hardware y software deberá proporcionar lo siguiente:

- Manual de operación de equipos

- Manual de lenguaje de programación

- Manual de utilitarios disponibles

- Manual de Sistemas operativos

Controles en el uso del Microcomputador

Es la tarea más difícil pues son equipos más vulnerables, de fácil acceso, de fácil explotación pero los
controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información.

Acciones a seguir:
Resultado de imagen para seguridad informatica gif

Adquisición de equipos de protección como supresores de pico, reguladores de voltaje y de ser posible
UPS previo a la adquisición del equipo. Vencida la garantía de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.

Establecer procedimientos para obtención de backups de paquetes y de archivos de datos.

Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no
relacionadas a la gestión de la empresa.

Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o

datos procesados en otros equipos.

Propender a la estandarización del Sistema Operativo, software utilizado como procesadores de

palabras, hojas electrónicas, manejadores de base de datos y mantener actualizadas las versiones y la
capacitación sobre modificaciones incluidas