Professional Documents
Culture Documents
MANUAL AUTOFORMATIVO
ASIGNATURA
SEGURIDAD INFORMÁTICA
Autor:
Ing. Paúl Juan Gómez Herrera
ÍNDICE
INTRODUCCION
DIAGRAMA DE PRESENTACION DE LA ASIGNATURA
UNIDAD I: “Introducción a la Seguridad de la información”
Diagrama de Presentación de la Unidad I
Organización de los aprendizajes
Tema N° 1: Conceptos básicos de seguridad de la información.
1. Introducción a la seguridad de la información.
2. Auditoria versus seguridad informática.
Lectura seleccionada 1: Los retos de la seguridad informática para 2015.
Los retos de la seguridad informática para 2015. Bitendian Enginyers Informátics.
(2015). Recuperado de: http://www.bitendian.com/es/pagos-online-y-ataques-a-
grandes-corporaciones-los-retos-de-la-seguridad-informatica-para-2015/. Acceso:
9 Feb. 2016”
Actividad formativa N°1
Tema N° 2: Análisis de riesgos
1. Metodología de análisis de riesgos.
2. Planeamiento y ejecución de los planes de mitigación de riesgos.
Lectura seleccionada 2: Importancia de un Mapa de Riesgo.
Importancia de un Mapa de Riesgo. Wally, O. (2013). Recuperado de:
http://masterenexcel.com/importancia-de-un-mapa-de-riesgo/. Acceso: 9 Feb.
2016
Glosario de la unidad
Bibliografía de la Unidad I
Autoevaluación No. 01
Es deseo del autor que el presente manual autoformativo sea de mucha ayuda en el
camino de aprendizaje en el campo de la seguridad informática y sea una puerta
de entrada a una de las ramas de la ingeniería de sistemas e informática.
PRESENTACIÓN
DE LA ASIGNATURA
COMPETENCIA DE LA ASIGNATURA:
UNIDADES DIDACTICAS:
INTRODUCCIÓN
En el tema siguiente desarrollaremos las definiciones básicas sobre la seguridad de
la información, como son la integridad, disponibilidad y confidencialidad. Abordare-
mos el modelo de negocios de seguridad de información mediante la pirámide de
seguridad, comprendiendo cada uno de sus elementos como son las personas, la
tecnología, la organización y los procesos con el objetivo de relacionar los concep-
tos de seguridad, con el trabajo realizado dentro de una organización en un am-
biente real. Finalmente realizaremos una comparación de las labores de auditoría
informática frente a la seguridad informática, resaltando las diferencias y el trabajo
realizado por cada una de ellas.
1.1.Conceptos de seguridad
Mifsud E. (2012) nos menciona que dependiendo del entorno de trabajo y sus
necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. En
ambientes militares suele ser siempre prioritaria la confidencialidad de la infor-
mación frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso
pueda eliminarla no podrá conocer su contenido y reponer dicha información se-
rá tan sencillo como recuperar una copia de seguridad (si las cosas se están ha-
ciendo bien).
2.1 La integridad
Mifsud E. (2012). Detalla que el término “integridad” hace referencia a una
cualidad de “íntegro” e indica "Que no carece de ninguna de sus partes." y
relativo a personas “Recta, proba, intachable.”.
2.2 La disponibilidad
En general, el término “disponibilidad” hace referencia a una cualidad de
“disponible” y dicho de una cosa "Que se puede disponer libremente de ella
o que está lista para usarse o utilizarse." Mifsud E. (2012).
2.3 La confidencialidad
En general el término “confidencial” hace referencia a "Que se hace o se dice
en confianza o con seguridad recíproca entre dos o más perso-
nas." (http://buscon.rae.es).
Un ejemplo típico de mecanismo que nos menciona Mifsud E., que garantice
la confidencialidad es la criptografía, cuyo objetivo es cifrar o encriptar los
datos para que resulten incomprensibles a aquellos usuarios que no dispo-
nen de los permisos suficientes.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que pro-
teger y es la clave de encriptación. Esta clave es necesaria para que el usua-
rio adecuado pueda descifrar la información recibida y en función del tipo de
mecanismo de encriptación utilizado, la clave puede/debe viajar por la red,
pudiendo ser capturada mediante herramientas diseñadas para ello. Si se
produce esta situación, la confidencialidad de la operación realizada (sea
bancaria, administrativa o de cualquier tipo) queda comprometida. Mifsud E.
(2012).
1. Personas
Según Roessing, R. (2010, p.25), las personas representan los recur-
sos humanos en una organización, los empleados, contratistas, ven-
dedores y proveedores de servicio. La base de personas dentro del
modelo de negocios de seguridad de información, son los que están
empleados o asociados de otro modo con la organización.
Las personas dentro de una organización tienen sus propias creen-
cias, valores y comportamientos que surgen de sus personalidades y
experiencias. El marco corporativo afecta y es afectado por, estos
atributos, ya que define sus propias creencias, valores y comporta-
mientos y el grado esperado de cumplimiento. Esto se refleja en la
cultura organizacional. Por ejemplo, la forma en que las personas ac-
túan dentro de una organización, y en relación con la seguridad de la
información, depende de la estrategia corporativa de recursos huma-
nos (HR) como es definido en la organización y es aplicado dentro de
los procesos como parte de la administración de la organización.
Roessing, R. (2010).
2. Tecnología
Roessing, R. (2010, p.20). Nos menciona que la tecnología puede ser
definida como “la aplicación práctica de los conocimientos, especial-
mente en un área en particular" y "una capacidad dada por la aplica-
ción práctica del conocimiento”. La Enciclopedia Británica define la
tecnología como "la aplicación del conocimiento científico a los objeti-
vos prácticos de la vida humana o, como a veces se denomina, al
cambio y la manipulación del medio ambiente humano”. Estas defini-
ciones sólidas ilustran el significado fundamental de la palabra dentro
de BMIS (Business Model for Information Security, Modelo de Negocio
para la Seguridad de Información): tecnología incluye todas las apli-
caciones de los conocimientos técnicos utilizados en la organización.
En la práctica, es probable que la definición de tecnología sea muy
corta, ya que sirve para el propósito de apoyar y lograr las metas or-
ganizacionales. Por el contrario, la idea de que la tecnología es solo
tecnología de la información, es demasiado corta. En el contexto de
BMIS dentro de una organización, la tecnología cubre más que la
Tecnología de la Información tradicional.
3. Organización
Según Roessing, R. (2010 p.14), la organización es una red de per-
sonas que interactúan, utilizando procesos para canalizar esta inter-
acción. Dentro del círculo principal del modelo de organización, exis-
ten empleados y otros socios permanentes. También enlaza a socios
externos, proveedores, consultores, clientes y otras partes interesa-
das. Todas estas relaciones internas y externas establecen el escena-
rio para la eficacia operativa y, en última instancia, el éxito y la sos-
tenibilidad de la empresa.
4. Procesos
En el documento Modelo de Negocios para la seguridad de informa-
ción, Roessing, R. (2010, p.17) nos plantea una definición de proce-
so: El marco RiskIT de ISACA ofrece una descripción clara y detallada
de un proceso eficaz:
... Es un conjunto fiable y repetitivo de actividades y controles para
realizar una determinada tarea. Los procesos adquieren la entrada de
una o más fuentes (incluyendo otros procesos), manipulan la entra-
da, utilizan los recursos de acuerdo con las políticas, y producen una
salida (incluida la salida a otros procesos). Los procesos deben tener
razones claras en el negocio para existir, propietarios responsables,
roles y responsabilidades claras alrededor de la ejecución de cada ac-
tividad clave, y los medios para llevar a cabo y cómo medir el rendi-
miento.
Aguilera López, P. (2010) nos indica también que existen labores luego del
proceso de auditoria, que son las emisiones de informes que deben
comtemplar como mínimo:
ACTIVIDAD FORMATIVA No 1
Instrucciones
Elige un determinado organizador de conocimiento, puedes utilizar el dia-
grama conceptual, mapa mental, infografías, o el tipo de diagrama de su
preferencia.
Visualiza el siguiente video sobre Tendencias en seguridad informática para
2016 ingresando a : https://www.youtube.com/watch?v=ZPY2p4hIG30.
El tema a desarrollar es las tendencias de la seguridad informática en la ac-
tualidad.
El organizador debe hacer mención a los conceptos de seguridad de informa-
ción como la integridad, confidencialidad, disponibilidad como también per-
sonas, procesos, organización, tecnología, análisis de riesgos, controles de
seguridad y políticas de seguridad.
El organizador puede realizarse a mano o con software aplicativo de su pre-
ferencia.
Presentar el organizador en un archivo de texto WORD.
TEMA N° 2: ANÁLISIS DE RIESGOS
Figura N°4 Se debe entender el servicio como una red compleja de relaciones entre actores
humanos, artefactos tangibles, procesos y tecnología. Fuente: Urquilla A. (2016).
Muchas veces al hablar de seguridad informática, surgen las preguntas en toda or-
ganización, ¿Qué es lo que vamos a proteger?, ¿Qué elemento dentro de nuestra
organización es necesario brindar un nivel de seguridad?, es aquí donde los “acti-
vos” hacen su aparición. Veamos a continuación como podemos considerar a los
activos de una organización desde el campo de la seguridad informática.
1.2 Activos
Según Aguilera López, P. (2010 p.9). Los activos son los recursos que per-
tenecen al propio sistema de información o que están relacionados con este.
La presencia de los activos facilita el funcionamiento de la empresa u organi-
zación y la consecución de sus objetivos. Al hacer un estudio de los activos
existentes hay que tener en cuenta la relación que guardan entre ellos y la
influencia que se ejercen: cómo afectaría en uno de ellos un daño ocurrido a
otro. Aguilera López, P. (2010)
Datos
Constituyen el núcleo de toda organización, hasta tal punto que se
tiende a considerar que el resto de los activos están al servicio de la
protección de los datos. Normalmente están organizados en bases de
datos y almacenados en soportes de diferente tipo. El funcionamiento
de una empresa u organización depende de sus datos, que pueden
ser de todo tipo: económicos, fiscales, de recursos humanos, clientes
o proveedores…
Cada tipo de dato merece un estudio independiente de riesgo por la
repercusión que su deterioro o pérdida pueda causar, como por
ejemplo los relativos a la intimidad y honor de las personas u otros
de índole confidencial.
Software
Constituido por los sistemas operativos y el conjunto de aplicaciones
instaladas en los equipos de un sistema de información que reciben y
gestionan o transforman los datos para darles el fin que se tenga
establecido.
Hardware
Se trata de los equipos (servidores y terminales) que contienen las
aplicaciones y permiten su funcionamiento, a la vez que almacenan
los datos del sistema de información. Incluimos en este grupo los
periféricos y elementos accesorios que sirven para asegurar el correc-
to funcionamiento de los equipos o servir de vía de transmisión de los
datos (Módem, Router, instalación eléctrica o sistemas de alimenta-
ción ininterrumpida, destructores de soportes informáticos…).
Redes
Desde las redes locales de la propia organización hasta las metropoli-
tanas o internet. Representan la vía de comunicación y transmisión
de datos a distancia.
Soportes
Los lugares en donde la información queda registrada y almacenada
durante largos períodos o de forma permanente (DVD, CD, tarjetas
de memoria, discos duros externos dedicados al almacenamiento,
microfilms e incluso papel).
Instalaciones
Son los lugares que albergan los sistemas de información y de comu-
nicaciones. Normalmente se trata de oficinas, despachos, locales o
edificios, pero también pueden ser vehículos y otros medios de des-
plazamiento.
Personal
El conjunto de personas que interactúan con el sistema de informa-
ción: administradores, programadores, usuarios internos y externos y
resto de personal de la empresa. Los estudios calculan que se produ-
cen más fallos de seguridad por intervención del factor humano que
por fallos en la tecnología.
1.3 Amenazas
Cualquier situación que ponga en peligro el normal desarrollo o ejecución de
un servicio, es denominado como amenaza. Según Ballesteros (2014) en
Seguridad de Instalaciones, la definición de amenaza es el potencial ocu-
rrencia de un hecho que pueda manifestarse en un lugar específico, con una
duración e intensidad determinadas.
1.4 Vulnerabilidad
Ballesteros (2014) nos brinda la siguiente definición de la vulnerabilidad: Se
puede definir como la debilidad o grado de exposición de un sujeto, objeto o
sistema.
1.5 Riesgo
Es la probabilidad latente de que ocurra un hecho que produzca ciertos efec-
tos, la combinación de la probabilidad de la ocurrencia de un evento y la
magnitud del impacto que puede causar, así mismo es la incertidumbre fren-
te a la ocurrencia de eventos y situaciones que afecten los beneficios de una
actividad. Ballesteros (2014)
Para realizar la gestión del riesgo, es necesario realizar varias etapas, una
primera etapa es de observación e identificación de los activos a evaluar.
Luego es necesario identificar todas las amenazas latentes que puedan afec-
tar a los activos de la organización. Una vez determinada la amenaza se
identifican los riesgos brindando una valoración de probabilidad de ocurren-
cia, y un impacto que generaría si el riesgo sucediera.
Activos
La base de datos en SQL Server, el servidor físico un IBM XSeries 300,
L el servidor administrador de base de datos, un SQL Server 2015. La red
o de la organización en donde funciona la base de datos, la instalación en
s el data center del servidor IBM, el personal de TI que le brinda el man-
tenimiento y el servicio de registro de clientes de la organización.
Amenazas
La programación automática de la copia de seguridad no se realice.
El disco duro en donde se almacena todos los archivos de copia de
seguridad se llene.
Fallo en el momento de ejecución del procedimiento almacenado en
el servidor para ejecutar la copia de seguridad.
Se ha programado una copia de seguridad de la base de datos por
día.
Aparece una pregunta crítica, ¿Cómo puedo brindar los valores más reales
objetivos de probabilidad e impacto a los riesgos identificados? Pues, se
puede utilizar tres aspectos para brindar una escala de valor real:
Riesgo
“El disco duro en donde se almacena todos los archivos de copia de se-
guridad de la base de datos alcance la máxima capacidad de almace-
namiento”.
Valor de la probabilidad: 3
El nivel de probabilidad es alto debido a que eventualmente el disco
duro que almacena los archivos de copias de seguridad se llenará, y a
tratarse de una tarea automática, muchas veces este incidente pasa
desapercibido.
Valor de impacto: 4
El impacto generado es muy alto, puesto que si la copia de seguridad se
necesita para restablecer la base de datos de un fallo grande y esta co-
pia no está presente, se perderían muchos registros y sería una situa-
ción muy caótica.
S
Una vez brindadas las dos escalas, se puede realizar un mapeo en un mapa
de calor, para que ayude de una manera gráfica a identificar los riesgos que
se ubiquen en zonas peligrosas y que se deben aplicar acciones de una ma-
nera inmediata, para esta acción utilizaremos un mapa de calor adaptado a
las dos escalas elegidas, situaremos el riesgo en la posición.
Control
Implementar una inspección diaria del espacio libre de almacenamiento
del disco duro utilizado para guardar las copias de seguridad de la base
de datos.
Segundo Control
Tener disponible un mínimo de 04 discos duros SCSI, vacíos, formatea-
dos y configurados adecuadamente para ser conectados de manera in-
mediata cuando el disco duro principal de las copias de seguridad alcan-
ce su máximo almacenamiento.
Enlace COBIT:
http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx
Enlace RiskIT:
http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx
LECTURA SELECCIONADA No 2:
1. Ataque informático
Un ataque informático es un método por el cual un individuo, mediante un sis-
tema informático, intenta tomar el control, desestabilizar o dañar otro sistema
informático.
2. BMIS
(Business Model for Information Security, Modelo de Negocio para la Seguridad
de Información) guía completa que aborda los aspectos de personas, el proceso,
la organización y la tecnología de la seguridad de información.
3. DBMS
Son programas de software denominados sistemas gestores de bases de datos,
abreviado SGBD (del inglés Database Management System o DBMS), que permi-
ten almacenar y posteriormente acceder a los datos de forma rápida y estructu-
rada.
4. Disco SCSI
Small Computer System Interface, más conocida por el acrónimo inglés SCSI
(interfaz de sistema para pequeñas computadoras), es un disco duro que tiene
una interfaz estándar para la transferencia de datos entre distintos dispositivos
del bus de la computadora.
5. Distribución Linux
Software basada en el núcleo Linux que incluye determinados paquetes de soft-
ware para satisfacer las necesidades de un grupo específico de usuarios.
6. Hacker
Pirata informático, es alguien que descubre las debilidades de un computador o
de una red informática, aunque el término puede aplicarse también a alguien con
un conocimiento avanzado de computadoras y de redes informáticas.
7. ISACA
Information Systems Audit and Control Association (Asociación de Auditoría y
Control de Sistemas de Información) Es una asociación dedicada a la compilación
de buenas prácticas y metodologías para la autoria de sistemas de información y
gobierno electrónico.
8. No repudio
En seguridad infomrática, es cuando el receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción.
9. Plan de contingencias
Conjunto de medidas encaminadas a restaurar el funcionamiento normal de una
actividad tras la alteración producida por un accidente.
BIBLIOGRAFÍA DE LA UNIDAD I
Urquilla A. (2016). Diseño de Servicios: una tendencia que viene con fuerzas.
Revista Estrategia & Negocios. Recuperado de:
http://www.estrategiaynegocios.net/lasclavesdeldia/922494-
330/dise%C3%B1o-de-servicios-una-tendencia-que-viene-con-fuerzas
AUTOEVALUACIÓN Nº1
1. ¿Qué es la Seguridad informática?
A. Área de la informática que se enfoca en la protección de la infraestructura
computacional de sistemas informáticos y todo lo relacionado a ellos.
B. Es equivalente que la seguridad ocupacional en los trabajos.
C. Área de estudio para la elaboración de proyectos de informática.
D. Área de la informática que permite documentar las actividades del día a día
de una empresa.
E. Implementa fases de mantenimiento para los sistemas informáticos.
3. Elija la opción que describa un control que puede mitigar de una manera efectiva
el siguiente riesgo:
Riesgo: El trabajador descarga un archivo adjunto de un remitente des-
conocido.
A. Se notifica al jefe superior sobre la acción del trabajador.
B. Contar con un antivirus actualizado que analiza los archivos adjuntos.
C. Se brinda privilegios de súper usuario a la cuenta del trabajador.
D. Se brinda privilegios de invitado a la cuenta del trabajador
E. Se permite el uso del correo personal del trabajador.
6. _______________ Es una propiedad que indica que la información debe ser real
y que el resultado de las operaciones sobre ella debe ser correcta.
A. La confidencialidad.
B. La integridad.
C. La criptografía.
D. La disponibilidad.
E. La descodificación.
8. Es una propiedad de la información que define que puede ser utilizada única-
mente por la persona que ha sido autorizada para su uso.
A. Mantenibilidad.
B. Disponibilidad
C. Confidencialidad
D. Escalabilidad.
E. Portabilidad.
A. El riesgo se ubica en una zona segura del mapa de calor, se puede aplicar un
control como también se puede convivir con el riesgo.
B. La ubicación del riesgo es en una zona insegura, se deben aplicar controles
de manera inmediata.
C. Es un riesgo que tiene que ser controlado a la brevedad, pues es crítico para
el servicio brindado.
D. Es un riesgo muy peligroso para las actividades de la oficina de TI.
E. El impacto es muy alto, lo cual afectará el servicio brindado con pérdidas
exorbitantes.
Respuestas Autoevaluación Unidad I
Pregunta Respuesta
1 A
2 A
3 B
4 E
5 B
6 B
7 A
8 C
9 C
10 A
UNIDAD II: “ADMINISTRACIÓN DE CONTROL DE ACCESO”
1.1.Control de acceso
Para definir correctamente el control de acceso, debemos mencionar que
debe surgir la necesidad de tener algún elemento que desee proteger. Este
elemento puede ser un lugar o área de trabajo dentro de una organización,
puede ser también un determinado conjunto de documentos, un sistema
informático, bases de datos, documentos digitales, o cualquier activo de in-
formación dentro de una empresa.
Cuando se cuenta con una determinada área a proteger, es cuando pode-
mos hablar de control de acceso. El control de acceso es un mecanismo
que valida que se logre el acceso a un elemento únicamente para quien es-
té autorizado a él. En la figura N° 11 vemos un ejemplo de control de acce-
so. El área a proteger es un centro de trabajo, se desea que solo los traba-
jadores autorizados puedan realizar el ingreso para desempeñar sus labo-
res. El control de acceso lo forman dos dispositivos, un panel biométrico
que cuenta con un lector de huellas digitales. Un segundo dispositivo, una
puerta de tipo barrera. Este control de acceso funciona de la siguiente ma-
nera: Cuando una persona desea realizar el ingreso al local, pone su dedo
en el panel lector de huellas digitales, se realiza la lectura de la huella digi-
tal, se valida con la base de datos y se comprueba que la huella leída co-
rresponde a un trabajador de la empresa, como también que este trabaja-
dor tenga acceso al local. Una vez que se ha validado que el trabajador tie-
ne acceso, este panel manda una señal de activación a la puerta de barre-
ra, posibilitando que esta gire y permita que la persona ingrese caminando
al local mediante la puerta. En caso la persona no tenga el permitido el in-
greso, el panel enviará un mensaje de error “usuario no identificado” o “ac-
ceso no permitido” y procederá a bloquear el giro de la puerta, imposibili-
tando que la persona ingrese. Debemos considerar también que la puerta
permitirá el ingreso de solo una persona, de modo que el panel solo habili-
tará el giro de un determinado número de movimientos para que pueda
impedir que dos o más personas ingresen al local.
Figura N° 11. Una puerta mecánica como control de acceso. Fuente: Pixabay
(2013).
Consideremos que el área a proteger no solo es un lugar geográfico
dentro de la empresa, sino que también podemos proteger un acceso
a un sitio “digital”, como puede ser un ejemplo, un sistema de soft-
ware de registros de clientes. Hablando de comunicación de compu-
tadoras vía una red, puedes situar un control de acceso a carpetas
compartidas, que mediante un usuario y contraseña, se permita el in-
greso únicamente a las personas autorizadas.
3. Autenticación y autorización
En los sistemas de información y medios digitales, al hacer uso de un usuario y
contraseña para lograr acceder a un recurso, utilizamos un mecanismo conocido
con el nombre autenticación, conozcamos a continuación de qué trata este me-
canismo, sus clasificaciones y dónde podemos aplicarlo para brindar un buen ni-
vel de seguridad.
3.1 Autenticación
Aguilera López, P. (2010) nos brinda la siguiente definición sobre
autenticación: El sistema debe ser capaz de verificar que un usuario identifi-
cado que accede a un sistema o que genera una determinada información es
quien dice ser. Solo cuando un usuario o entidad ha sido autenticado, podrá
tener autorización de acceso. Se puede exigir autenticación en la entidad de
origen de la información, en la de destino o en ambas.
Como ejemplos de este tipo de autenticación podemos citar los carnés con
códigos de barras, tarjetas con códigos QR, fotochecks institucionales, tarje-
tas con bandas magnéticas, tarjetas con chips, etc. En la figura N° 13 vemos
un ejemplo de un fotocheck institucional que muestra el nombre de la traba-
jadora, el puesto que desempeña, su DNI, su fotografía y finalmente un có-
digo de barras en la parte derecha. Este código de barras se utiliza para la
identificación rápida mediante un lector al momento de realizar el ingreso al
local de la organización.
LECTURA SELECCIONADA No 1
Restrepo A., y Acosta, S. (2015). Latinoamérica al nivel de las tendencias interna-
cionales de control de acceso y tecnología de la seguridad. Recuperado de:
http://www.tecnoseguro.com/analisis/control-de-acceso/latinoamerica-nivel-
internacional-acceso.html. Acceso: 9 Feb. 2016.
ACTIVIDAD FORMATIVA No 2
Instrucciones
Lee y analiza los contenidos sobre los tipos de control de acceso, los
ejemplos y el uso en una organización.
Visualiza los videos sobre control de acceso, tipos de control de acceso y
como decidir qué control de acceso utilizar:
https://www.youtube.com/watch?v=-cykuWrvgJg
https://www.youtube.com/watch?v=Iukt5JdVLnU
Selecciona el organizador del conocimiento que considere más adecuado
para interrelacionar los aspectos estudiados y analizados. Puede realizar
un diagrama conceptual, un mapa mental, una infografía, etc. Aplica tus ca-
pacidades de creatividad e imaginación.
Para este trabajo puedes utilizar la herramientas Cmap Tools, SmartArt
que lo encontrarás en Microsoft Word o Microsoft Visio o la herramienta
que considere adecuada.
TEMA N° 2: TECNOLOGÍA PARA CONTROL DE ACCESO Y LA
INGENIERÍA SOCIAL
En el represente tema conoceremos el control de acceso, los principales dispositivo
tecnológicos utilizados en la actualidad para llevar a cabo una identificación de per-
sonas, clasificaremos estos dispositivos por su tipo y brindaremos ejemplo de su
uso y aplicación en una organización. Abordaremos también la ingeniería social,
principal herramienta de los atacantes hacia las personas de una organización, co-
mo también las principales técnicas que estos atacante utilizan, como el phishing y
ataques SMS, con el propósito de estar prevenidos y evitar a futuro este tipo de
ataques.
1. Tecnologías de control de accesos.
En la actualidad, la tecnología de control de acceso ha avanzado a pasos muy
grandes, proporcionando dispositivos muy precisos para la identificación de
personas, este tipo de dispositivos se llaman biométricos, pues su función es
medir con algún método, algoritmo o patrón una característica inherente a una
persona con el propósito de poder comprobar que esta persona sea ser quien
dice ser. La Revista Gerencia (2006), nos indica que los sistemas de identifica-
ción y control de acceso están viviendo un franco fenómeno de transformación.
De soluciones analógicas o mixtas, las empresas han saltado a sistemas total-
mente digitales, donde aplicaciones como la detección del iris del ojo humano y
de las huellas dactilares son algunas de las más innovadoras.
Este nuevo campo de tecnología dedicada a la creación, mejora e implementa-
ción de estos dispositivos se denomina Biometría. La Biometría es el estudio
para el reconocimiento único e inequívoco de humanos basados en uno o más
rasgos conductuales, como también se basa en rasgos físicos intrínsecos y ca-
racterísticas inherentes a la persona utilizando para este proceso medios digita-
les.
Este tipo de dispositivos biométricos pueden ser clasificados según el elemento
que use para identificar a las personas en dos tipos, el primer tipo son los sis-
temas biométricos físicos y un segundo tipo sistemas biométricos de compor-
tamiento, describamos a continuación cada uno de estos tipos de biométricos.
2. Ingeniería social
En temas anteriores abordamos la pirámide de seguridad de información, trae-
remos al desarrollo del tema de ingeniería social uno de sus elementos: las
personas. Se definió a las personas como los entes ejecutores de las políticas
de seguridad mediante buenas prácticas para llevar a cabo los procesos de una
organización.
El rol de estas personas es vital, pues depende mucho de sus acciones para
que el nivel de seguridad se mantenga en un buen estado. Según Molist M.
(2002), la ingeniería social se sustenta en un sencillo principio: “el usuario es el
eslabón más débil”. Dado que no hay un solo sistema en el mundo que no de-
penda de un ser humano, la Ingeniería Social es una vulnerabilidad universal e
independiente de la plataforma tecnológica.
Tomando en cuenta la afirmación que las personas son el eslabón más débil en
la seguridad de información, nace la ingeniería social, que utiliza mecanismos,
procedimientos o cualquier tipo de técnica con el fin de vulnerar la seguridad de
información utilizando a las personas en una organización. Sandoval E. (2011)
nos menciona que la ingeniería social es el acto de manipular a una persona a
través de técnicas psicológicas y habilidades sociales para cumplir metas espe-
cíficas.
En la ingeniería social debemos reconocer tres agentes, un primer agente de-
nominado el atacante, que tiene como objetivo principal la obtención, hurto o
manipulación de la información, también puede requerir el acceso a un sistema
o la ejecución de una actividad más elaborada (como el robo de un activo). Un
segundo agente es la persona “victima” que es manipulada, engañada, embau-
cada, coaccionada por medio de una técnica aplicada por el atacante. Un tercer
agente es el activo que el atacante desea poseer, por lo general es información
de la organización, también puede considerarse cualquier activo de información
dentro de la organización, como son bases de datos, documentos o cualquier
medio que contenga datos de interés para el atacante.
Un atacante evaluará y escogerá a la persona más vulnerable dentro de una
oficina, luego procederá a elegir la técnica más adecuada para que pueda robar
la información deseada, y dependiendo que desee obtener, manipulará, enga-
ñará, brindará información falsa a la persona elegida, hasta obtener lo que
desea. En caso de fracaso con la primera persona elegida, tiene la opción abier-
ta de escoger una nueva persona objetivo para el ataque, y repetir las acciones
las veces necesarias hasta lograrlo. En la figura N°18, vemos una ilustración
que representa la analogía de dos elementos de la ingeniería social, en la parte
de arriba el atacante es representado por el titiritero, y en la parte inferior se
encuentra la persona víctima, la misma que se encuentra controlada por “hilos”
que son la comparación de las técnicas de manipulación y engaño que son utili-
zadas para que el atacante cumpla su cometido.
3.2.Vishing
Esta es otra técnica de ingeniería social, utiliza la comunicación telefónica
para realizar el fraude, extorsión o robo de información. Briceño E. (2012).
Detalla que en el vishing, los métodos son similares a los descritos en el
phishing, de hecho su finalidad es exactamente la misma. La diferencia es
que este utiliza una llamada telefónica en lugar de un correo electrónico o
un sitio web falso.
LECTURA SELECCIONADA No 2:
Samani R., McFarland, Ch. (2015). Ataques al sistema operativo humano. Recupe-
rado de: http://www.mcafee.com/es/resources/reports/rp-hacking-human-
os-summary.pdf. Acceso: 9 Feb. 2016
GLOSARIO DE LA UNIDAD II
1. Banda magnética
Una banda magnética es toda aquella banda oscura presente en tarjetas de
crédito, abonos de transporte público o carnets personales que está compuesta
por partículas ferromagnéticas incrustadas en una matriz de resina.
2. Celular smart
Teléfono celular con pantalla táctil, que permite al usuario conectarse a
internet, gestionar cuentas de correo electrónico e instalar otras aplicaciones y
recursos a modo de pequeño computador.
3. Huella dactilar
Es la impresión visible o moldeada que produce el contacto de las crestas
papilares de un dedo de la mano sobre una superficie.
4. Lapicero stylus
Vara alargada y estrecha o punzón estilizado, similar a un bolígrafo moderno,
que permite, por ejemplo, ayudar a navegar o alcanzar una mayor precisión al
señalar en pantallas táctiles.
5. Pantalla display
Pantalla de cristal líquido o LCD (sigla del inglés Liquid Crystal Display) es una
pantalla delgada y plana formada por un número de píxeles en color o
monocromos colocados delante de una fuente de luz o reflectora.
6. Perfil de usuario
Es el conjunto de permisos, reglas y accesos que tiene un grupo determinado
de ususario.
7. SMS
Mensaje corto de texto que se puede enviar entre teléfonos celulares o móviles.
8. URL
Es una sigla del idioma inglés correspondiente a Uniform Resource Locator
(Localizador Uniforme de Recursos). Se trata de la secuencia de caracteres que
sigue un estándar y que permite denominar recursos dentro del entorno de
Internet para que puedan ser localizados
9. Usuario
Es una persona, sistema o entidad que hace uso de un servicio disponible.
BIBLIOGRAFÍA BÁSICA DE LA UNIDAD II
Golub, A. (2013). The biometrics boom: New technology can identify you by unique
traits in your eyes, your voice, and your gait. Recuperado de:
http://lab.sowre.com/2013/06/the-biometrics-boom-new-technology-can-
identify-you-by-unique-traits-in-your-eyes-your-voice-and-your-gait/
2. Es un método que todo usuario debe realizar para tener acceso a los recursos de
un sistema informático:
A. Continuidad de servicio.
B. Integridad de la información.
C. La portabilidad.
D. Confidencialidad de la información.
E. La autenticación.
3. Es una característica del control de acceso basado en roles (Role Base Access
Control)
A. Al usuario se le otorga un rol, un perfil y permisos para el uso de un recurso.
B. El dueño del recurso no otorga los permisos y accesos.
C. Se basa en una etiqueta a todo elemento detallando que acciones se puede
realizar sobre él.
D. Se comprueban las acciones de los sujetos aplicando políticas de acceso obli-
gatorio.
E. El acceso se basa en la pertenencia de un objeto del sujeto que acceden al re-
curso.
7. La identificación de un usuario por medio de patrones del iris del ojo, es del tipo.
A. Autenticación por conocimiento.
B. Autenticación por pertenencia.
C. Autenticación por características.
D. Autenticación mixta.
E. Autenticación doble.
8. La identificación de un usuario por medio de patrones del rostro, es del tipo.
A. Autenticación por conocimiento.
B. Autenticación por características.
C. Autenticación por pertenencia.
D. Autenticación doble.
E. Autenticación mixta.
Pregunta Respuesta
1 B
2 E
3 A
4 B
5 E
6 A
7 C
8 B
9 E
10 A
UNIDAD III: “SEGURIDAD PERIMETRAL, EN REDES Y SOFT-
WARE MALICIOSO”
Entre muchos de los incidentes de seguridad que puede tener una red de
computadoras, podemos listar un conjunto muy común que casi siempre se en-
cuentra presente en toda organización y que deben ser tratados adecuadamen-
te:
Podemos clasificar los ataques según su origen, un primer grupo de ataques in-
ternos y un segundo grupo de ataques externos a la red de computadoras,
veamos una descripción breve de este tipo de ataques.
LECTURA SELECCIONADA No 1:
ACTIVIDAD FORMATIVA No 3
Analiza un caso propuesto de una red de una empresa y plantea una solución de
cómo realizar la prevención de ataques en una red de computadores. Desarrolle los
puntos pedidos a continuación.
Instrucciones
Analiza una arquitectura de red LAN para la identificación de los controles
de seguridad presentes y propuesta de nuevos controles para la me-
jora de los niveles de seguridad.
Utilizar las lecturas y recursos disponibles de la unidad. Para el desarrollo
puedes incluir gráficos, imágenes y todo recurso que consideres conveniente
Realiza el desarrollo de la actividad en un archivo de texto Word.
Dado el siguiente diagrama de una red LAN:
Liste al menos 5 controles de seguridad presentes en la red.
Liste al menos 5 nuevos controles que implementaría en la red para me-
jorar la seguridad.
Describa cómo estos nuevos controles mejorarían la seguridad de la red.
Sustente la instalación de un firewall en la red.
Indique 5 reglas que establecería en el firewall para los protocolos de
red.
En este tema conoceremos el software malicioso, los diferentes tipos que podemos
encontrar en el mundo de la informática, sus características y cómo identificarlos.
Es importante conocer todos los tipos de software que pueden afectar a un usuario
dentro de sus oficinas, casas y organización, con el fin de prevenir posibles infec-
ciones, pérdidas de información, robo de información o cualquier actividad que per-
judique al usuario o la información que este genera. También conoceremos el soft-
ware crimeware para aprender los puntos a considerar para poder afirmar que un
software es crimeware. Relacionaremos e l software crimeware con los delitos in-
formáticos y como el software de propósito general puede ser usado para este fin
oscuro.
1. Software malware
1.2 Adware
Deriva de la palabra en inglés “ad” que significa publicidad. Es un software
que muestra publicidad de algún producto o servicio muchas veces no
deseadas por el usuario. Por lo general muestran esta publicidad por medio
de ventanas emergentes o por una barra que aparece en la pantalla brin-
dando información engañosa, como por ejemplo un mensaje: “Se han en-
contrado 23 virus en el análisis rápido, pulse el botón para una solución in-
mediata” cuando el usuario pulse el botón, este será direccionado a una pá-
gina web de publicidad.
Algunos autores e incluso antivirus, denominan este software como nag (que
significa molestoso en inglés) pues generan molestia al usuario al mostrar
publicidad no deseada, y al abrir ventanas emergentes no deseadas. Al no
contener código malicioso para perjudicar al usuario, no es un software que
ponga en peligro una estación de trabajo, por ello le brindan la denomina-
ción de software molestoso.
1.5 Hijacker
Afectan principalmente a los navegadores web, insertando funciones no
deseadas por el usuario, por ejemplo modificando la página de inicio, alteran
el listado de los motores de búsqueda haciendo que el navegador abra las
páginas de la red de este malware. Por lo general impiden que la configura-
ción del navegador sea restaurada al estado anterior, solo cuando son elimi-
nados es que el navegador afectado puede volver a su estado normal de
funcionamiento.
1.6 Keylogger
Es un virus informático que registra las pulsaciones del teclado almacenando
todos los caracteres que el usuario haya ingresado mediante el periférico.
Este malware se utiliza con el objetivo de robar contraseñas de acceso de
todo tipo, desde claves de tarjetas de crédito, hasta usuarios y contraseñas
de redes sociales.
En la figura N° 31 vemos un ejemplo de un keylogger que podemos encon-
trar fácilmente en Internet, descargarlo y usarlo para grabar las pulsaciones
del teclado de una PC.
Figura N° 31. Invisible Keylogger. Abalmasov, A. (2016).
1.7 Rootkit
Es un software malicioso que se ejecuta a un nivel muy bajo del sistema
operativo, por ejemplo en un nivel donde el sistema operativo ejecuta ruti-
nas importantes para el funcionamiento de los drivers de los dispositivos.
Debido a esto son muy difíciles para ser eliminados, pues los antivirus deben
cuidar que al realizar el proceso de eliminación, no dañen una parte impor-
tante de otro archivo del sistema. Adicionalmente este software implementa
rutinas para impedir se eliminado, pues pueden activar funciones para dañar
el sistema operativo, es aquí que el antivirus debe actuar bloqueando la eje-
cución de estas rutinas y proceder a su eliminación.
Figura N° 32. Detección de un Rootkit que afecta un driver del kernel del sis-
tema operativo. Fuente: Kaspersky Lab (2013).
1.8 PUP (Potentially Unwanted Programs)
Su traducción es programa potencialmente no deseado, este tipo de softwa-
re se instala en una estación de trabajo sin el consentimiento del usuario,
además de realizar acciones que pueden afectar la privacidad, confidenciali-
dad y uso de los recursos de la computadora.
1.9 Rogue
Es un software falso que dice realizar algo pero no implementa dentro de él
las funciones para hacerlo. Un ejemplo de este virus son los populares “fal-
sos antispyware” que al ejecutarse no eliminan spyware. Otro ejemplo son
los “falsos optimizadores” de sistemas operativos Windows, supuestamente
son instalados para acelerar la ejecución y mejorar el rendimiento, pero no
lo realizan.
1.10 Troyano
Utiliza las mismas técnicas de propagación que un virus informático, este es
un software malicioso por lo general almacenado dentro de otra aplicación o
archivo con el objetivo de pasar de incógnito al instalarse y ejecutarse. Rea-
lizan diversas tareas, como la ejecución de un keylogger, abrir una puerta
trasera para que el atacante penetre en el sistema, ejecutan rutinas espías
para robar datos privados de los usuarios. A veces vienen incluidos en soft-
ware con funciones útiles, sin embargo también ejecutan el código malicioso
de manera oculta.
La botnet puede utilizarse para muchos fines, por ejemplo para enviar gran
cantidad de spam, utilizar a los zombis como almacén de datos, sembrar pá-
ginas falsas para el phishing, o el que se utiliza con mayor fuerza, realizar
un ataque de denegación de servicio DoS (Deny of service). En la figura N°
34 vemos el funcionamiento general de una Botnet, en la parte inferior te-
nemos a servidor bot que transmite las órdenes, las máquinas zombis pro-
ceden a realizar las acciones y almacenan los resultado en un servidor crea-
do para ese propósito.
Figura N° 35. Ilustración del robo de datos de una tarjeta de crédito usando crime-
ware. Fuente: Greene, T. (2014).
LECTURA SELECCIONADA No 2:
1. Appliance
Es una herramientas especializada, que tiene implmentado hardware diseñado
para cumplir una sola función e incluye también el software para hacerlo
funcionar de manera embedido. Ejemplo: un servidor de firewall.
2. Dirección IP
Es un número que identifica, de manera lógica y jerárquica, a una Interfaz en
red (elemento de comunicación/conexión) de un dispositivo (computadora,
tableta, portátil, smartphone) que utilice el protocolo IP (Internet Protocol),
que corresponde al nivel de red del modelo TCP/IP.
3. DoS
Ataque de Negenación de Servicio. Es un ataque a un sistema de computadoras
o red que causa que un servicio o recurso sea inaccesible a los usuarios
legítimos.
4. Driver
Controlador, rutina o programa que enlaza un dispositivo periférico al sistema
operativo.
5. Extensión de un archivo
La extensión de archivo es un grupo de letras o caracteres que acompañan al
nombre del archivo y en el caso de windows, podrá servir para indicar su
formato o qué tipo de archivo es.
6. HandShaking
Es un proceso automatizado de negociación que establece de forma dinámica
los parámetros de un canal de comunicaciones establecido entre dos entidades
antes de que comience la comunicación normal por el canal.
7. Puerto
En informática, un puerto es una interface a través de la cual se pueden enviar
y recibir los diferentes tipos de datos. Se identifican por un número único y
canalizan un solo tipo de comunicación a través de ellos.
8. Red P2P
Una red p2p (peer to peer o redes entre pares o iguales) es una red que
conecta un gran número de ordenadores (nodos) para compartir cualquier cosa
que este en formato digital.
9. Router
Enrutador o encaminador de paquetes, es un dispositivo que proporciona
conectividad a nivel de red o nivel tres en el modelo OSI.
10. Switch
Un conmutador o switch es un dispositivo digital lógico de interconexión de
redes de computadoras que opera en la capa de enlace de datos del modelo
OSI. Por lo general unen dos arquitecturas de red diferentes.
11. WiFi
Es la abreviatura en inglés del Wireless Fidelity, que significa fidelidad
inalámbrica. WiFi es un mecanismo de conexión de dispositivos electrónicos de
forma inalámbrica.
BIBLIOGRAFÍA BÁSICA DE LA UNIDAD III
Abalmasov, A. (2016). Eliminacion de Invisible Keylogger: Eliminar Invisible
Keylogger para siempre. Security Stronghold. Recuperado de:
https://www.securitystronghold.com/es/gates/invisible-keylogger.html
Greene, T. (2014). Hack the halls: Watch out for Cyber Monday scamathon.
Network World. Recuperado de:
http://www.networkworld.com/article/2851471/security0/hack-the-halls-
watch-out-for-cyber-monday-scamathon.html#tk.drr_mlt
Kaspersky Lab (2013). Safety 101: Viruses and solutions: How to detect and
remove unknown rootkits. Recuperado de:
http://support.kaspersky.com/viruses/solutions/5353
Kaspersky Lab (2016). ¿Qué es el malware y cómo puede protegerse contra él?.
Recuperado de: http://latam.kaspersky.com/mx/internet-security-
center/internet-safety/que-es-el-malware
Rivero, M. (2013). ¿Qué son los malwares?. Info Spyware .com. Recuperado de:
https://www.infospyware.com/articulos/que-son-los-malwares/ [Acceso 18
Sep. 2016].
Trend Micro (2016). Comprender un ataque. Recuperado de:
http://www.trendmicro.es/grandes-empresas/ataques-dirigidos-
avanzados/#comprender-un-ataque
Pregunta Respuesta
1 C
2 C
3 A
4 B
5 E
6 B
7 D
8 A
9 B
10 C
UNIDAD IV: “ADMINISTRACIÓN DE SEGURIDAD DE APLICA-
CIONES Y NORMATIVIDAD”
Autoevaluación No. 04
UNIDAD IV: “ADMINISTRACIÓN DE LA SEGURIDAD
DE APLICACIONES Y NORMATIVIDAD”
Figura N° 36. Modelo OSI de 7 capas. Fuente: Facultad de Ciencias Exactas (2016)
1.1 Seguridad en la Capa de Aplicación del modelo OSI
En el caso de la seguridad de aplicaciones, debemos considerar los concep-
tos, elementos y descripción de la capa de Aplicación del modelo OSI. Esta
capa es la más cercana al usuario final. Debemos detallar que el usuario no
interactúa directamente con el nivel de aplicación, sino que interactúa con
programas de software (aplicaciones) que son las encargadas de realizar la
interacción con la capa de aplicación, utilizando los protocolos y las comu-
nicaciones con las capas inferiores. Esta capa también define los protocolos
que pueden utilizar las aplicaciones para la comunicación de los datos, por
ejemplo para las páginas web utilizan el protocolo HTTP, para los correos
electrónicos los protocolos POP y SMTP, para la transferencia de archivos,
el protocolo FTP.
Esta capa posibilita tener acceso a los servicios de las capas anteriores,
proporcionando la comunicación de los servicios de red a las aplicaciones
que utiliza el usuario, por ejemplo aplicaciones de hojas de cálculo, proce-
sadores de texto, editores de presentaciones. La Facultad de Ciencias Exac-
tas (2016) menciona que la capa de aplicación establece la disponibilidad
de los potenciales socios de comunicación, sincroniza y establece acuerdos
sobre los procedimientos de recuperación de errores y control de la integri-
dad de los datos.
Consideremos la seguridad informática en la capa de aplicación del modelo
OSI como todas las acciones, controles y buenas prácticas que debemos
aplicar para que las aplicaciones puedan canalizar correctamente los proto-
colos y funciones para la comunicación con las capas anteriores del mode-
lo, de modo que podemos definir algunos puntos para que este proceso se
lleve a cabo correctamente:
Seguridad en aplicaciones
Ejecutar aplicaciones con privilegios mínimos.
Conocer a los usuarios que utilizaran las aplicaciones.
Protegerse contra entradas malintencionadas.
Tener acceso seguro a bases de datos.
Crear mensajes de error seguros.
Mantener segura la información confidencial.
Usar cookies de forma segura.
Protegerse contra amenazas de denegación de servicio.
Figura N° 38. Sello de certificación de la norma ISO 27001. Fuente: Centro de inves-
tigación, desarrollo e innovación SmartCIDI (2015).
Según BSI (2016) los beneficios de implementar la norma 27001 en una orga-
nización son los siguientes:
Sección 1 – Alcance
Detalla el objeto y campo de aplicación, orientando sobre su uso, finalidad y modo
de aplicación, también detalla que esta norma es aplicable a cualquier tipo de orga-
nización.
Sección 5 – Liderazgo
Describe la necesidad de todos los empleados de la organización en su contribución al es-
tablecimiento de la norma, para lograrlo, la alta dirección debe demostrar su liderazgo y
compromiso en la elaboración de una política de seguridad que conozca toda la organiza-
ción. Esta sección define las responsabilidades de la dirección, el establecimiento de roles y
responsabilidades y el contenido de la política de alto nivel sobre seguridad de la informa-
ción.
Sección 6 – Planificación
Resalta la importancia de la determinación de riesgos, establecer objetivos de seguridad de
información y cómo lograr cumplir estos objetivos. Esta sección define los requerimientos
para la evaluación de riesgos, el tratamiento de riesgos, la declaración de aplicabilidad, el
plan de tratamiento de riesgos y la determinación de los objetivos de seguridad de la in-
formación.
Sección 7 – Soporte
Establece que la organización debe contar con los recursos necesarios para el buen funcio-
namiento del SGSI. Esta sección define los requerimientos sobre disponibilidad de recursos,
competencias, concienciación, comunicación y control de documentos y registros.
Sección 8 – Operación
Detalla que se debe planificar, implementar y controlar los procesos de la organización.
Esta sección define la implementación de la evaluación y el tratamiento de riesgos, como
también los controles y demás procesos necesarios para cumplir los objetivos de seguridad
de la información.
Sección 10 – Mejora
Define las obligaciones que una organización tendrá cuando encuentre una no conformidad.
Esta sección define los requerimientos para el tratamiento de no conformidades, correccio-
nes, medidas correctivas y mejora continua.
Anexo A
Este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos
en 14 secciones (secciones A.5 a A.18).
LECTURA SELECCIONADA No 1:
Fundamentos de ISO 27001 y su aplicación en las empresas. Villa P., Ladino M. y
López A. (2011). Universidad Tecnológica de Pereira, Scientia Et Technica,
XVII Abril, Pág. 334 - 339. Recuperado de:
http://www.redalyc.org/articulo.oa?id=84921327061. Pp 334-339
ACTIVIDAD FORMATIVA No 4
Instrucciones
Elige un determinado organizador de conocimiento, puedes utilizar el dia-
grama conceptual, mapa mental, infografías, o el tipo de diagrama de su
preferencia.
Ingresa al siguiente enlace para obtener la Norma Técnica Peruana ISO/IEC
27001:2008 – ONGEI: http://www.ongei.gob.pe/docs/isoiec27001.pdf
Visualiza el siguiente video sobre los conceptos básicos sobre la Seguridad
de la Información: https://www.youtube.com/watch?v=zV2sfyvfqik
Visualiza el siguiente video sobre los aspectos importantes sobre la implan-
tación del ISO 27001: https://www.youtube.com/watch?v=ZPY2p4hIG30.
El tema a desarrollar es la aplicación de la NTP ISO/IEC 27001:2008 – ON-
GEI en una oficina de Tecnologías de la información de una empresa u orga-
nización.
El organizador debe hacer mención a los conceptos de seguridad de informa-
ción, su planteamiento y aplicación en un sistema de gestión de seguridad
de la información, incluyendo los temas:
o Entendimiento de los requisitos de seguridad de la información.
o Implementar y operar controles de seguridad para administrar el
riesgo.
o Monitorear y revisar el desempeño de la seguridad de la información.
o Mejoramiento continuo con medición delos objetivos.
El organizador puede realizarse a mano o con software aplicativo de su pre-
ferencia. Presentar el organizador en un archivo de texto WORD.
Tema N° 2: NORMATIVIDAD DE LA SEGURIDAD DE LA
INFORMACIÓN Y COBIT
En el presente tema conoceremos las normas, estándares y guías utilizadas para la
seguridad de la información. Describiremos la norma NTP ISO/IEC 27001:2008
utilizada en Perú para la seguridad de información en las instituciones publicas y
privadas. Abordaremos también la privacidad de información desde el punto de
vista de los derechos humanos y la necesidad de adaptar las tecnologías actuales
para su cumplimiento. Finalmente conoceremos la guía COBIT para su aplicación en
una organización para el mejoramiento de la seguridad de información.
http://www.ongei.gob.pe/entidad/ongei_tematicos.asp?cod_tema=4552
http://www.ongei.gob.pe/docs/isoiec27001.pdf
Figura N° 43 Norma Técnica Peruana NTP ISO IEC 27001:2008. Fuente: ONGEI.
(2016)
Esta norma ha sido propuesta para ofrecer un modelo estándar para esta-
blecer, implementar, operar, monitorear, mantener y mejorar un efectivo
SGSI Sistema de Gestión de Seguridad de Información. Toma como base el
estándar internacional ISO/IEC 27001:2008 y adapta su estructura a la
realidad de gobierno electrónico y tecnologías de información del estado pe-
ruano, brindando las pautas necesarias para seguridad de información en
instituciones de gobierno como también en instituciones privadas. De modo
que si necesitamos implementar un sistema completo de seguridad de in-
formación en una organización y adoptar un estándar adecuado con el fin de
saber qué pasos seguir, podemos tomar como guía esta norma ISO/IEC
27007:2008 y tener la certeza que las actividades que estamos realizando
se encuentran alineadas a los estándares internacionales y la normatividad
peruana.
1.1 Privacidad de Información.
En la actualidad, la privacidad de información se ha vuelto un aspecto im-
portante, ya que con la masificación de las tecnologías de información y
comunicaciones (TIC) ha vuelto a ser considerada crítica para toda persona
y de vital importancia para los encargados del procesamiento de la infor-
mación. Pues al ser un derecho que toda persona goza, es deber de los go-
biernos y organizaciones salvaguardar la privacidad de información de to-
dos los usuarios que consumen los servicios ofrecidos.
2. Introducción a COBIT.
COBIT Objetivos de Control para Información y Tecnologías Relacionadas (Por
sus siglas en inglés: Control Objectives for Information and Related Techno-
logy). Es una guía propuesta en formato de framework que ha juntado la mejor
selección de información de buenas prácticas, experiencias de éxito y procesos
estándares para administración y gobierno de tecnologías de información en
una organización, también incluye actividades de autoría, control de sistemas
de información y una guía técnica de la gestión.
COBIT ha sido elaborada por ISACA Asociación de Auditoría y Control de Siste-
mas de Información (por sus siglas en inglés Information Systems Audit and
Control Association). Es una asociación internacional de expertos que tiene co-
mo objetivo el apoyo y patrocinio para el desarrollo de metodologías y certifica-
ciones para la realización de actividades auditoría y control en sistemas de in-
formación.
En la figura N° 44 vemos la presentación de la página oficial de la Asociación de
Auditoría y Control de Sistemas de Información ISACA, que pone a disposición
la información general de la asociación en los países de habla hispana a través
del siguiente enlace:
http://www.isaca.org/spanish/Pages/default.aspx
COBIT tiene una serie de recursos que pueden ser usados como modelo de
referencia para la gestión de tecnologías de información, cuenta con un
resumen ejecutivo, un framework, un listado de objetivos de control, mapas
para labores de auditoría, herramientas para la implementación de auditoría y
principalmente, una guía de técnicas de gestión. En la figura N° 45 vemos el
logo oficial de la guía COBIT como también el nombre oficial brindado por
ISACA.
Figura N° 45 Título y logo de COBIT 5. Fuente: ISACA Asociación de Auditoría y Con-
trol de Sistemas de Información (2016).
Pregunta Respuesta
1 E
2 D
3 A
4 A
5 C
6 D
7 C
8 E
9 A
10 C