1)Generalidades de la seguridad del área física.
2)Seguridad lógica y confidencial.
3)Seguridad personal.
4)Clasificación de los controles de seguridad.
5)Seguridad en los datos y software de aplicación.
6)Controles para evaluar software de aplicación.
7)Controles para prevenir crímenes y fraudes informáticos.
8)Plan de contingencia, seguros, procedimientos de recuperación de desastres.
9)Técnicas y herramientas relacionadas con la seguridad física y del personal.
10)Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación.
1. REPÚBLICA BOLIVARIANA DE VENEZUELA
INSTITUTO UNIVERSITARIO POLITÉCNICO
“SANTIAGO MARIÑO”
SEDE BARCELONA
Evaluación de la seguridad
Bachilleres:
Br. Georgy Sánchez C.I
26.256.610
Septiembre, 2018
2. Toda organización debe prever una catástrofe natural como humana,
por tal motivo debe estar al tanto de cada uno de los aspectos o
situaciones en las que dicha organización puede ponerse en peligro o
corren un riego, comenzando por el activo más preciado y por mucho el
costoso el activo humano como es posible proveerlos de la seguridad que
necesitan poniendo en prácticas diversas Técnicas para la seguridad
física y del personal con el fin de minimizar todos las situaciones de
riesgo como por ejemplo quemaduras, ahogamientos y otras quizás
fatales para el personal, que es lo principal charlas referentes al uso
adecuado de los instrumentos que en su momento deben usar ¿para
qué? Para lograr así evitar los inconvenientes antes mencionados.
Para seguir con los activos los cuales serían los computacionales o el
cerebro de la organización se denomina de esta forma porque con el toda
organización por muy pequeña que sea actualmente funciona o se
comunica vía red y es necesario el uso de ciertos aparatos
computacionales ¿pero es necesario resguardarlo? Claro que si como
breve ejemplo si una persona que no conoces consigue la manera de
entrar a tu casa sin tu autorización, tu ¿estarías de acuerdo? NO. Es por
esa razón que la organización debe tener igualmente ciertas Técnicas
para la seguridad de los datos y software Para evitar la piratería o
personas maliciosas destruyan o usurpen tu información, es así que en el
presente ensayo se aclaran todas las formas y herramientas para que tu
información y personal se mantenga en completa seguridad.
Generalidades de la seguridad del área física
Según Rosario Ruiz (2011) menciona las generalidades como:
“La seguridad física es uno de los aspectos más olvidados a la hora
del diseño de un sistema informático. Así, la Seguridad Física
consiste en la “aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante
amenazas a los recursos e información confidencial. Se refiere a los
controles y mecanismos de seguridad dentro y alrededor del Centro
de Cómputo así como los medios de acceso remoto al y desde el
mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.”
Para profundizar la cita antes mencionada la seguridad física es una
de las funciones o acciones que debe tomar en consideración la
empresa siendo la parte estructural e importante de la empresa ya que
posee información de vital interés dentro de la empresa, pero al ser el
más importante también es quizás el más frágil y fácil de corromper es
o perpetrar es por esa misma razón que toda organización debe
3. generar una contramedida ante actos de malversación del centro de
cómputo.
Seguridad lógica y confidencial
Según Moreno (2003) Redacta la seguridad lógica como:
“Las computadoras son un instrumento que estructura gran cantidad
de información, la cual puede ser confidencial para individuos,
empresas o instituciones, y puede ser mal utilizado o divulgada a
personas que hagan mal uso de esta. También pueden ocurrir robos,
fraudes o sabotajes que provoquen la destrucción total o parcial de
la actividad computacional.”
Para seguir con la anterior cita la seguridad lógica es una de las
actividades o factores dentro de toda organización y en nivel personal
igualmente. Dado que actualmente siendo un mundo más virtual la
información es trasmitida y distribuida por correos electrónicos, mensajes
de texto, Imágenes digitales entre otros, provocando el hurto de
informaciones importantes, tal es el caso o ejemplos de este tipo de
actividades ilícitas registradas en la historia fue es la destrucción de la
información de la compañía USPA & IRA de Forth Worth; cuando
despidieron a un programador en 1985, éste dejó una subrutina que
destruía mensualmente la información de las ventas. Este incidente
provocó el primer juicio en Estados Unidos contra una persona por
sabotaje a la computadora. No existe mejor ejemplo que este del peligro
que puede tener una empresa si sus actividades o información de
carácter informático sean alcanzadas por personas con intenciones de
destrucción y malversación
Seguridad personal
Según Moreno (2003) Toma como objetivo la seguridad personal como:
“El objetivo es establecer políticas, procedimientos y prácticas para
evitar las interrupciones prolongadas del servicio de procesamiento
de datos, información debido a contingencias como incendio,
inundación, huelgas, disturbios, sabotaje, 138 etc. y continuar en un
medio de emergencia hasta que sea restaurado el servicio
completo.”
4. Para complementar la cita anterior la seguridad personal de la
empresa esta desde aquellos objetos in Otras de las precauciones
referentes al material y construcción del edificio ya que
específicamente en el centro de cómputo ya que de esta se trata la
investigación o el tema principal de la misma, es común que existen
materiales altamente inflamables o paredes que no se encuentren
perfectamente selladas que despiden polvos, o también la adecuada
climatización del centro de computo, debido a que al poseer áreas
altamente calurosas esta dañan las tarjetas lógicas de los equipos o
crear cortos por exceso de la temperatura.
Clasificación de los controles de seguridad
Para casos de este punto citare textualmente el punto presentado en la
pagina (https://auditoriainformaticaunivia.wordpress.com/2014/06/16/
clasificacion-de-los-controles-de-seguridad/) (2014) donde propone la
clasificación de los controles de seguridad de la siguiente manera
“Se dice que los controles son los mecanismos que se utilizan para
poder controlar los accesos y privilegios a los recursos indicados. El
profesional de la seguridad es quién realiza las sugerencias y decide
qué tipo de controles se usaran. La facultad de decidir cómo será el
rol de la seguridad en la organización pertenece a la administración.
Los controles se dividen en tres tipos: administrativos, técnicos y
físicos. Los controles administrativos son aquellos que están
involucrados directamente con procedimientos, políticas, estándares,
entrenamiento, procedimientos de monitoreo y control de cambios.
Los controles técnicos están relacionados con el acceso lógico,
accesos de control, contraseñas, administración de recursos,
métodos de identificación o autorización, seguridad de dispositivos y
configuraciones de red. Los controles físicos, como su nombre lo
dicen, se encargan de controlar el acceso físico a los activos.
El gran crecimiento de las redes, interconexiones y
telecomunicaciones en general, incluido el uso de Internet de forma
casi corriente, ha demostrado que la seguridad física no lo es todo.
Es un punto que debe complementarse necesariamente con la
implementación de controles para la seguridad lógica delos sistemas
y computadoras.
5. Es así como los controles de acceso pueden implementarse en el
Sistema Operativo, sobre los sistemas de aplicación, en bases de
datos, en un paquete específico de seguridad o en cualquier otro
utilitario.
Constituyen una importante ayuda para proteger al sistema
operativo de la red, al sistema de aplicación y demás software de la
utilización o modificaciones no autorizadas; para mantener la
integridad de la información y para resguardar la información
confidencial de accesos no autorizados.
El estándar de niveles de seguridad más utilizado
internacionalmente es el TCSEC Orange Book, desarrollado en 1983
de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.”
Seguridad en los datos y software de aplicación
Es sencillo entender este punto luego de desarrollarse los anteriores
comencemos a desglosar los puntos principales como que se entiende
por seguridad la cual es la búsqueda de resguardo protección de actos
que causen perjurio contra su bienestar por otro lado los datos en
informática es la unidad mínima de información pero en conjunto logra
generar una información siguiendo por el software donde son un conjunto
de acciones e instrucciones informáticas para ejecutar ciertas
aplicaciones en un conjunto se entiende como la protección de
información e instrucciones de una actividad.
Lo que se pretende con este punto es el de mantener toda aquella
información resguardada e invisible para huéspedes que quieran usarla
para actividades ilícitas. Y para finalizar con el punto tomo como cita el
concepto sacado de la siguiente página (https://auditoriainformaticaunivia.
wordpress.com/2014/06/16/Seguridad-de-los-datos-y-software-de-
aplicación/) (2014)
La seguridad de la información es el conjunto de medidas
preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permitan resguardar y proteger la información
6. buscando mantener la confidencialidad, la disponibilidad e integridad
de la misma.
En la seguridad de la información es importante señalar que su
manejo está basado en la tecnología y debemos de saber que puede
ser confidencial: la información está centralizada y puede tener un
alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o
saboteada. Esto afecta su disponibilidad y la pone en riesgo. La
información es poder, y según las posibilidades estratégicas que
ofrece tener acceso a cierta información.
El objetivo de un servicio de seguridad es mejorar la seguridad de
los sistemas de procesamiento de datos y la transferencia de
información en las organizaciones. Los servicios de seguridad están
diseñados para contrarrestar los ataques a la seguridad y hacen uso
de uno o más mecanismos de seguridad para proporcionar el
servicio.
El software de seguridad protege los recursos mediante la
identificación de los usuarios autorizados con llaves de acceso, que
son archivadas y guardadas por este software. Algunos paquetes de
seguridad pueden ser usados para restringir el acceso a programas,
librerías y archivo de datos; otros pueden limitar el uso de terminales
o restringir el acceso a base de datos. La mayor ventaja del software
de seguridad es la capacidad de proteger los recursos de acceso no
autorizados.
Controles para evaluar software de aplicación
Para casos de este punto citare textualmente el punto presentado en la
página (https://auditoriainformaticaunivia.wordpress.com/2014/06/16/que-
conoces-sobre-controles-para-evaluar-software-de-aplicacion//) (2014)
donde propone menciona los controles para evaluar software de
aplicación y los el conjunto de elementos para que sea funcional de la
siguiente manera:
“En la actualidad la calidad es un tema que va evolucionando
constantemente en el área del software, a medida que los clientes se
vuelven más selectivos y comienzan a rechazar los productos poco
fiables o que realmente no dan respuesta a sus necesidades. Los
principales problemas a los que se enfrenta el desarrollo de software
a la hora de tratar la calidad de un producto software son la
7. definición de calidad y su comprobación. La calidad es un concepto
que se deriva de un conjunto de sub-conceptos:
Funcionalidad – Habilidad del software para realizar el trabajo
deseado.
Fiabilidad – Habilidad del software para mantenerse operativo
(funcionando).
Eficiencia – Habilidad del software para responder a una petición
de usuario con la velocidad apropiada.
Usabilidad – Habilidad del software para satisfacer al usuario.
Mantenibilidad – Habilidad del software para poder realizar
cambios en él fácilmente y con una adecuada proporción
cambio/costo.
Portabilidad – Habilidad del software para operar en diferentes
entornos informáticos.”
Como menciona el autor anterior los controles para evaluar un
software debe ser claros ya que las empresas actualmente necesitan de
una aplicación o software robusto en el sentido de la encriptación, pero
siempre tomando en consideración las necesidades de cada uno de sus
clientes para lograr entender los puntos que necesita proteger y mantener
resguardados.
Controles para prevenir crímenes y fraudes informáticos
Los controles son herramientas esenciales para evitar cualquier tipo de
fraude informático es por tal motivo que los centros de computos dejaron
de mostrarse al público como se realizaba en la época de los 80 y hasta
los 90 por tal razón es importante tener o crear un plan de resguardo,
como lo expresa Rita. G(2015) donde desarrolla un estudio general de lo
que debe llevar o comprender todo un control para prevenir un crimen
informático.
8. Sistema Integral de Seguridad
1. Definir elementos administrativos
2. Definir políticas de seguridad A nivel departamental; institucional
3. Organizar y dividir las responsabilidades
4. •Contemplar la seguridad física contra catástrofes
5. Definir prácticas de seguridad para el personal:
6. •Plan de emergencia (plan de evacuación, uso de recursos de
emergencia como extinguidores.
7. •Números telefónicos de emergencia
8. •Definir el tipo de pólizas de seguros
Definir elementos técnicos de procedimientos
1. •Definir las necesidades de sistemas de seguridad para:
2. •Hardware y software
3. •Flujo de energía
4. •Cableados locales y externos
5. •Aplicación de los sistemas de seguridad incluyendo datos y
archivos
6. Planificación de los papeles de los auditores internos y
externos
7. •Planificación de programas de desastre y sus
pruebas(simulación)
8. •Planificación de equipos de contingencia con carácter
periódico
9. •Control de desechos de los nodos importantes del sistema:
10.•Política de destrucción de basura copias, fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de
seguridad se debe considerar los siguientes puntos:
A. •Sensibilizar a los ejecutivos de la organización en torno al
tema de seguridad.
B. Se debe realizar un diagnóstico de la situación de riesgo y
seguridad de la información en la organización a nivel
software, hardware, recursos humanos, y ambientales.
C. •Elaborar un plan para un programa de seguridad.
D. El plan debe elaborarse contemplando:
E. Plan de Seguridad Ideal (o Normativo)
F. Un plan de seguridad para un sistema de seguridad integral
debe contemplar:
G. •El plan de seguridad debe asegurar la integridad y exactitud
de los datos
H. •Debe permitir identificar la información que es confidencial
I. •Debe contemplar áreas de uso exclusivo
9. J. Debe proteger y conservar los activos de desastres
provocados por la mano del hombre y los actos abiertamente
hostiles
K. •Debe asegurar la capacidad de la organización para
sobrevivir accidentes
L. •Debe proteger a los empleados contra tentaciones o
sospechas innecesarias
M. •Debe contemplar la administración contra acusaciones por
imprudencia
Plan de contingencia, seguros, procedimientos de recuperación de
desastres.
Se tomara igualmente este tópico de la fuente anteriormente tomada
siguiendo por la siguiente página (https://auditoriainformaticaunivia.
wordpress.com/2014/06/16/procedimiento-de-respaldo-en-caso-de-un-
desastre/) (2014)
“Se debe establecer en cada dirección de informática un plan de
emergencia, el cual ha de ser aprobado por la dirección de
informática y contener tanto procedimiento como información para
ayudar a la recuperación de interrupciones en la operación del
sistema de cómputo.
El plan de emergencia, una vez aprobado, se distribuye entre
personal responsable de su operación, por precaución es
conveniente tener una copia fuera de la dirección de informática.
En virtud de la información que contiene el plan de emergencia, se
considerará como confidencial o de acceso restringido.
Para la preparación del plan se seleccionará el personal que
realice las actividades claves del plan. El grupo de recuperación en
caso de emergencia debe estar integrado por personal de
administración de la dirección de informática (por ejemplo, el jefe de
operación, el jefe de análisis y programación y de auditoría interna).
Cada uno de ellos debe tener tareas específicas como la operación
del equipo de respaldo, la interfaz administrativa, de logística; por
ejemplo, el proporcionar los archivos necesarios para el
funcionamiento adecuado. Cada miembro del grupo debe tener
asignada su tarea con una persona de respaldo para cada uno de
ellos. Se deberá elaborar un directorio que contenga los nombres,
direcciones y números telefónicos.”
El plan de contingencia nunca de estar ignorado ya que por mucha
seguridad o preparación de la zona de computo hay situaciones que se
escapan de las manos hasta del pentágono como por ejemplo
10. terremotos de gran magnitud, fallas de sistemas de corrientes
centrales, inundaciones, incendios que ocurran fuera del área de
computo que afectan de alguna manera el mismo, es por este caso que
la empresa debe contar en su defecto de un plan o estrategia de
contingencia para suplantar lo más vertiginoso posible para no atrasar
las actividades del momento
Técnicas y herramientas relacionadas con la seguridad física y del
personal.
Siguiendo la cita de Rita G(2015) que técnicas son necesarias para
generar la seguridad física y en conjunto con el personal.
Protección a los procedimientos de procesamiento y los equipos
contra las intervenciones exteriores:
A. •Sólo se debe permitir al personal autorizado que maneje los
equipos de procesamiento.
B. •Sólo se permitirá la entrada al personal autorizado y
competente
C. •Seleccionar al personal mediante la aplicación de exámenes
integrales: médico, psicológico, aptitudes, etc.
D. •Contratar personal que viva en zonas cercanas a la empresa.
E. •Acondicionar los locales, de acuerdo con las normas de
seguridad.
F. •Capacitar y adiestrar al personal respecto a los riesgos a los
que se exponen y la manera de evitarlos.
G. •Practicar con periodicidad exámenes médicos al personal
H. •Sostener pláticas informales, directas e individuales con el
personal.
A. •Instalar carteles y propaganda mural referentes a la
seguridad.
B. •Elaborar estadísticas sobre riesgos ocurridos y derivar de
ellas las medidas concretas adoptables para evitar su
repetición.
C. •Enterar al personal sobre dichas estadísticas y las medidas
adoptadas.
Para culminar las técnicas se dan a entender como un conjunto de
normas o leyes que deben llevar a cabo al pie de la letra para mantener
un nivel de seguridad acto dentro de la empresa, como ejemplo de
algunas técnicas es el adiestramiento del personal con el fin de que no
cometan errores por omisión o por ignorancia, la convocatoria de
11. personal cercana a la empresa, con el fin de conocer el 100 por ciento
de su paradero o una gran parte de él y así muchas otras técnicas
Técnicas y herramientas relacionadas con la seguridad de los datos
y software de aplicación.
Protección de los registros y de los archivos.
I. Formas en que se puede perder los archivos:
II. Su presencia en ambiente distribuido.
III. Manejo indebido por parte del operador.
IV. Mal funcionamiento por parte de la máquina.
Plan de preservación:
a. documentos fuente: los documentos fuentes en los que se
basa un archivo de entrada deben ser retenidos intactos
hasta el momento de que el archivo sea comprobado.
b. Archivos de disco: una característica sea del archivo de
disco es que el registro anterior es destruido, no produce
una copia automáticamente una copia en duplicado.
c. Verificar la presencia de procedimientos y controles Para
satisfacer :
d. La instalación del software.
e. La operación y seguridad del software.
f. La administración del software.
g. Detectar el grado de confiabilidad:
h. Investigar si existen políticas con relación al software.
i. Detectar si existen controles de seguridad.
Para entendimiento más práctico las técnicas son utilizadas más como
un tipo de curso o instrucciones que cada persona o individuo que tenga
una función importante dentro de la organización con el fin de mantener
en resguardo la información dentro de la misma.
Para concluir el presente ensayo y luego de desarrollarse el mismo se
da por entendido que cada uno de los puntos cooperan en simbiosis con
la finalidad de mantener la empresa a flote y protegida, cabe destacar que
toda organización pequeña o trasnacional debe mantener un estatus de
protección elevado para conservar en privacidad toda aquella información
de vital importancia, ya sea datos de vendedores como compradores,
movimientos bancarios, o datos personales de los empleados ya que
puede poner en peligro su seguridad. Pero no solo este tipo de
12. actividades se deben tomar a nivel empresarial aunque de ese sea el
tópico de este ensayo ya que toda información es sagrada y debe
mantenerse a puerta cerrada y con la autorización solo de aquellas
personas que estén acreditadas a ellas.
13. Bibliografía
Auditoría Informática. (2014). CLASIFICACIÓN DE LOS CONTROLES DE
SEGURIDAD. [En línea] Disponible en:
Shttps://auditoriainformaticaunivia.wordpress.com/2014/06/16/clasificac
ion-de-los-controles-de-seguridad/.
Moreno L (2003) La auditoría informática Coqulimatan colina Facultad
de ingeniería y mecánica https://drive.google.com/file/d/
0B6ASbNXyY9cGeG0xZmpOREdDWVk/view
Ruiz, R. (2011). GENERALIDADES DE LA SEGURIDAD AREA FISICA.
[En línea] Rosario-ruiz.blogspot.com. Disponible en: http://rosario-
ruiz.blogspot.com/2011/06/generalidades-de-la-seguridad-area.html.
Rita, G.(2015) auditoria informática equipo [En línea]
http://auditoriainformaticaritaneoletyivan.blogspot.com/2015/05/unidad-
4-punto-45-operacion-y-seguridad.html