Universidad De Panamá

Centro Regional Universitario De Panamá Oeste

Facultad De Administración De Empresas Y Contabilidad

Lic. En Administración De Recursos Humanos

Tema o título:

Controles de seguridad en los sistemas de información

Asignatura: Informática para administración de empresas II

Profesor:

Adriano Morán

Grupo: A-1

Integrantes:

Noelys meneses

Candy Abrego

Angelyn Bradshaw

Victoria Gómez

Fecha de entrega:

21-09-2022
 Índice

Introducción

¿Qué es un control en seguridad de la información?..............................................................4

Tipos de controles en la seguridad de información.................................................................4

Componentes de controles en la seguridad de información....................................................5

Importancia de los controles para la seguridad en los sistemas de información.....................7

La seguridad de la información...............................................................................................8

Factores internos...................................................................................................................11

Factores externos...................................................................................................................12

Seguridad física.....................................................................................................................12

Seguridad lógica....................................................................................................................13

Conclusión............................................................................................................................14

Referencias bibliográficas.....................................................................................................15
 Introducción

En este trabajo hablaremos de los controles para la seguridad en los sistemas de

información. La seguridad de la información, sus factores externos e internos, seguridad
física y lógica.

La seguridad de la información conforme ha avanzado los años se ha convertido en una

agenda prioritaria, todos sabemos que la seguridad en las calles es importante, pero la
seguridad de lo que no ves y que puede ponerte en una situación vulnerable es hoy también
una prioridad.

La globalización en la que vivimos hoy, la apertura empresarial a los negocios y mercados

en línea; e incluso la competencia empresarial nos han mostrado que la seguridad de la
información para una empresa es como la seguridad pública para las personas.

La seguridad de la información parte de la premisa de que los datos son el nuevo gran valor
y tesoro de la nueva realidad, ya que los malos manejos que se puedan hacer con ella
pueden ser catastróficos, para gobiernos, empresas e incluso para las personas que manejan
datos delicados en línea.

Es importante destacar que hoy en día la seguridad en todos los aspectos es una prioridad y
debemos saber todo lo que conlleva y saber cómo manejarla.
 ¿Qué es un control en seguridad de la información?

Un control tiene como objetivo ayudar a gestionar la seguridad de la información en una

empresa, así como asegurar la confidencialidad y la integridad de sus datos. Es un conjunto
de políticas, aprobada por la dirección, publicada y comunicada a los empleados y partes
externas pertinentes. Son mecanismos que permiten salvaguardar los activos de
información de una empresa y minimizar riesgos.

Tipos de controles en la seguridad de información

Controles físicos: El control físico es la implementación de medidas de seguridad en una

estructura definida usada para prevenir o detener el acceso no autorizado a material
confidencial. Ejemplos de los controles físicos son:

 Cámaras de circuito cerrado

 Sistemas de alarmas térmicos o de movimiento
 Identificación con fotos
 Biométrica (incluye huellas digitales, voz, rostro, iris, escritura a mano y otros
métodos automatizados utilizados para reconocer individuos)

Controles tecnológicos: Los controles técnicos utilizan la tecnología como una base para
controlar el acceso y uso de datos confidenciales a través de una estructura física y sobre la
red. Los controles técnicos son mucho más extensos en su ámbito e incluyen tecnologías
tales como:

 Encriptación
 Tarjetas inteligentes
 Autenticación a nivel de la red
 Listas de control de acceso
  Software de auditoría de integridad de archivos

Controles administrativos: Los controles administrativos definen los factores humanos de

la seguridad. Incluye todos los niveles del personal dentro de la organización y determina
cuáles usuarios tienen acceso a qué recursos e información usando medios tales como:

 Entrenamiento y conocimiento
 Planes de recuperación y preparación para desastres
 Estrategias de selección de personal y separación
 Registro y contabilidad de personal

Componentes de controles en la seguridad de información

DE SERVICIOS:

1. Confidencialidad: No desvelar datos a usuario no autorizados. Esto comprende

también la privacidad (protección de datos personales).

2. Disponibilidad: Que la información se encuentre accesible en todo momento a los

usuarios autorizados.

3. Integridad: Que permite asegurar que los datos no se han falseado.

4. No Repudio: Permite probar la participación de las partes en una comunicación

mediante un tercero.

5. Trazabilidad: Registro de las personas o vehículos presentes en un espacio.

Permite estar en control del flujo de las personas, de sus hábitos o de la duración de
su estadía en los espacios en los que es permitido su acceso.
 6. Control de acceso: Forma de seguridad física que administra quién tiene acceso a
un área en un momento dado.

7. Legalidad: Se refiera al cumplimiento de las leyes, normas, reglamentaciones o

disposiciones a las que está sujeta la UNC.

DE FUNCIONALIDAD:

1. Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las
causas del riesgo, permitiendo cierto margen de violaciones.

2. Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo,
sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En
cierta forma sirven para evaluar la eficiencia de los controles preventivos.

3. Controles Correctivos: Ayudan a la investigación y corrección de las causas del

riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria
la implantación de controles detectivos sobre los controles correctivos, debido a que
la corrección de errores es en sí una actividad altamente propensa a errores.

4. Controles Disuasivos: Este tipo de controles reducen la probabilidad de un ataque

deliberado.

5. Controles para recuperación: Restablecen recursos y capacidades de activos de

información.

6. Controles compensatorios: Proveen alternativas a otros controles.

 Importancia de los controles para la seguridad en los sistemas de
información

Los controles para la seguridad tienen como finalidad garantizar que todos los activos,
sistemas, instalaciones, datos y archivos relacionados se encuentran protegidos contra
accesos no autorizados, daños eventuales y uso indebido o ilegal que se encentran
operables, seguros y protegidos en todo momento.

Los controles para la seguridad en los sistemas de información son importantes porque:

1. Reducen riesgos: Se identificarán los riesgos y amenazas gracias a controles,

protocolos, políticas y monitorización de procesos logrando reducir el número de
amenazas de forma notable.

2. Reducen costes: Se optimizará todo el proceso para evaluar y detectar amenazas

descartando aquellos poco eficaces.

3. Integran la seguridad en el negocio: Este sistema requiere de la implicación de

todos los miembros de la empresa y del cambio de mentalidad, pasando a ser la
seguridad uno de los componentes más importantes en cualquier proceso o actividad
del negocio.

4. Cumplen con las normativas de seguridad: Las leyes nacionales e internacionales

para el tratamiento y protección de datos estarán cubiertas garantizando que se
cumplen en todos los niveles o áreas de la empresa.

5. Incrementan la competitividad: Brinda a los usuarios mayor seguridad y

confianza de compartir sus datos personales, bancarios, gustos, y similares al saber
que la empresa utiliza las mejores prácticas para garantizar que estén seguros.
 La seguridad de la información

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las

organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

Para el ser humano como individuo, la seguridad de la información tiene un efecto

significativo respecto a su privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura e idiosincrasia de la sociedad donde se desenvuelve.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a

partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel
mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de
sistemas de información, planificación de la continuidad del negocio, ciencia forense digital
y administración de sistemas de gestión de seguridad, entre otros.

En la seguridad de la información es importante señalar que su manejo está basado en la

tecnología y debemos de saber que puede ser confidencial: la información está centralizada
y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o
saboteada. Esto afecta su disponibilidad y la pone en riesgo.

La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a
cierta información, ésta se clasifica como:

 Crítica: Es indispensable para la operación de la empresa.

 Valiosa: Es un activo de la empresa y muy valioso.
 Sensible: Debe de ser conocida por las personas autorizadas.
Existen dos palabras muy importantes que son riesgo y seguridad:

 Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su

probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que
ocasione a las operaciones de negocio.
 Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad,

comunicación, identificación de problemas, análisis de riesgos, la integridad,
confidencialidad, recuperación de los riesgos.

La correcta Gestión de la Seguridad de la Información busca establecer y mantener

programas, controles y políticas, que tengan como finalidad conservar la confidencialidad,
integridad y disponibilidad de la información, si alguna de estas características falla no
estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es
más bien un proceso continuo que hay que gestionar conociendo siempre las
vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo
siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el
impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán
tomarse las medidas de seguridad oportunas.

Por más de veinte años la Seguridad de la Información ha declarado que la

confidencialidad, integridad y disponibilidad son los principios básicos de la seguridad de
la información.

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de información a individuos,

entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de
tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a
una red de procesamiento de transacciones. El sistema intenta hacer valer la
confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la
banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene
el número de la tarjeta en modo alguno, se ha producido una violación de la
confidencialidad.

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No
es igual a integridad referencial en bases de datos.) A grandes rasgos, la integridad es
mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada
por personas o procesos no autorizados.

La integridad también es la propiedad que busca proteger que se modifiquen los datos libres
de forma no autorizada, para salvaguardar la precisión y completitud de los recursos.

La violación de integridad se presenta cuando un empleado, programa o proceso (por

accidente o con mala intención) modifica o borra datos importantes que son parte de la
información.

La integridad garantiza que los datos permanezcan inalterados excepto cuando sean
modificados por personal autorizado, y esta modificación sea registrada, asegurando su
precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro
conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares
fundamentales de la seguridad de la información.

Disponibilidad

La disponibilidad es la característica, cualidad o condición de la información de encontrarse

a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A
grandes rasgos, la disponibilidad es el acceso a la información y a los sistemas por personas
autorizadas en el momento que así lo requieran.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de

servicio. Para poder manejar con mayor facilidad la seguridad de la información, las
empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer,
administrar y minimizar los posibles riesgos que atenten contra la seguridad de la
información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información,

es además variada en el sentido de que existen varios mecanismos para cumplir con los
niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura
tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el
uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La
gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se
quiera proporcionar.

Factores internos

 Trabajadores desinformados: Que cometan errores o descuidos.

 Empleados descontentos: Que tengan fallas mal intencionadas.
 Indiferencia de las políticas de seguridad.
 Uso no autorizado de Sistemas Informáticos
 Alteración de la Información
 Negligencia
 Sabotaje, vandalismo
 Espionaje
 Factores externos

 Desastres naturales: Que causan interrupción en los servicios.

 Hackers: Que acceden a los servidores y roban información.
 Crackers: Se encargan de destruir los sistemas.
 Lammers, Script-Kiddies
 Motivaciones: Ranking, reto personal, pruebas (pen test), etc.

Seguridad física

La seguridad física de un sistema informático consiste en la aplicación de barreras físicas y

procedimientos de control frente a amenazas físicas al hardware.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre
como por la naturaleza del medio físico en que se encuentra ubicado el sistema. Las
principales amenazas que se prevén son:

 Desastres naturales, incendios accidentales y cualquier variación producida por las

condiciones ambientales.
 Amenazas ocasionadas por el hombre como robos o sabotajes.
 Disturbios internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad física del sistema es la base para

comenzar a integrar la seguridad como función primordial del mismo. Tener controlado el
ambiente y acceso físico permite disminuir siniestros y tener los medios para luchar contra
accidentes.
 Seguridad lógica

La seguridad lógica de un sistema informático consiste en la aplicación de barreras y

procedimientos que protejan el acceso a los datos y a la información contenida en él.

El activo más importante de un sistema informático es la información y, por tanto, la

seguridad lógica se plantea como uno de los objetivos más importantes.

La seguridad lógica trata de conseguir los siguientes objetivos:

 Restringir el acceso a los programas y archivos.

 Asegurar que los usuarios puedan trabajar sin supervisión y no puedan modificar los
programas ni los archivos que no correspondan.
 Asegurar que se estén utilizados los datos, archivos y programas correctos en y por
el procedimiento correcto.
 Verificar que la información transmitida sea recibida sólo por el destinatario al cual
ha sido enviada y que la información recibida sea la misma que la transmitida.
 Disponer de pasos alternativos de emergencia para la transmisión de información.
 Conclusión

A través de nuestro trabajo llegamos a entender que la seguridad informática su principal

objetivo es la protección de los reactivos informáticos del usuario, que hoy en día es
importante tener una seguridad en nuestros dispositivos ya que en nuestro día a día
debemos tener acceso un 80% a los diferentes tipos de dispositivos informáticos. También,
muchas de las actividades que solían hacerse manualmente, ahora pueden hacerse a través
de medios informáticos, lo cual es una gran ventaja, pues se ahorra tiempo, y dinero la
mayoría de las veces. Pero, así como se puede aprovechar la tecnología para cosas buenas,
también se pueden aprovechar para cometer delitos. Por lo tanto, en la actualidad es común
ver que se cometen una gran cantidad de delitos en los que se ve involucrado algún sistema
de cómputo ya sea como medio, o fin.

La seguridad en el área informática es sumamente trascendente en virtud de que cada vez

más los sistemas de información son vitales para las organizaciones. El campo de la
seguridad de la información ha crecido y evolucionado considerablemente a partir de la
Segunda Guerra Mundial.

Lo diferente de los mecanismos de la seguridad informática, así como su clasificación entre

otras cosas, así como los tipos de vulnerabilidad, de riesgo, seguridad física y lógica.
 Referencias bibliográficas

http://cienciasfera.com/materiales/informatica/tecnologiainformacion/
tema12/11_seguridad_fsica_y_seguridad_lgica.html

https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n#Confidencialidad

https://slideplayer.es/slide/3881802/

https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-sgs-ov-controls.html

https://ctmaconsultores.com/controles-de-la-norma-iso-27001/

https://core.ac.uk/download/pdf/230095193.pdf

https://es.slideshare.net/Tensor/seguridad-de-la-informacin-62502236

https://www.auditool.org/blog/auditoria-de-ti/8317-que-son-los-controles-de-seguridad-de-
ti

https://sites.google.com/site/seguridadinformaticaisidro/1-conceptos-basicos-de-seguridad-
infomatica/1-1-cidan

https://slideplayer.es/slide/6394397/

https://www.unc.edu.ar/sites/default/files/PoliticadeSeguridad08.pdf

https://ciberseguridad.com/normativa/espana/medidas/control-acceso/

https://www.ambit-bst.com/blog/para-qu%C3%A9-sirve-un-sgsi-controles-y-fases