You are on page 1of 11

UNIVERSIDAD NACIONAL SAN CRISTÓBAL DE HUAMANGA

FACULTAD DE INGENIERÍA DE MINAS GEOLOGÍA Y CIVIL


ESCUELA DE FORMACIÓN PROFESIONAL DE INGENIERÍA DE
SISTEMAS

“RESOLUCION DE CUESTIONARIO”

INTEGRANTES :
 ANCHAYHUA QUIQUI, Nicanor 27105644
 BALDEÓN BALDEÓN, Mónica 27100476
 CHUQUITAYPE LOPEZ, Wilmer Orlando 27100503
 MENDOZA PRADO, Jhon Charles 27090511

CURSO : SEGURIDAD INFORMÁTICA.

SIGLA : IS-444

DOCENTE : Ing. LAGOS BARZOLA, Manuel Avelino.

FECHA DE ENTREGA : 31/03/2014

AYACUCHO – PERÚ
2014
CUESTIONARIO

1. ¿QUÉ CONSECUENCIAS CREE USTED QUE TRAJO CONSIGO LA PROGRESIVA


INFORMATIZACIÓN DE LOS PROCESOS ADMINISTRATIVOS Y DEL NEGOCIO, EL DESPLIEGUE
DE REDES PRIVADAS DE DATOS Y EL DESARROLLO DE NUEVOS SERVICIOS ON-LINE A TRAVÉS
DE INTERNET?

CONSECUENCIAS POSITIVAS CONSECUENCIAS NEGATIVAS

Velocidad:
Permite a las empresas procesar los datos de
manera más rápida. Muchos procesos que
antes requerían libros de contabilidad,
talonarios de cheques y anotaciones de
diario, ahora han migrado a sistemas
informáticos. Los registros de entrada y
Delincuencia:
salida, la actualización de la información de
Generan la posibilidad de aumento de la
inventario y la comunicación suceden ahora
delincuencia. Un empleado con
mucho más rápidamente. Esto permite a las
conocimientos técnicos puede malversar
empresas reaccionar inmediatamente ante
fondos y hacer que sea difícil de rastrear para
cualquier cambio.
la compañía. Los piratas informáticos pueden
acceder a los datos personales y financieros
de clientes que confían en la empresa para
Precisión:
mantener su información segura. Las
Proporcionan datos e información sin errores
empresas deben invertir tiempo y dinero en
y sus cálculos (no sus entradas) están libres
desarrollar protección contra estos eventos.
de errores humanos. Esto significa que un
cálculo y/o procesamiento de datos será
preciso y confiable. A menos de que la
codificación (código escrito por el
programador) estén equivocados, no hay
posibilidad de un programa puede producir
Confusión:
datos inexactos.
Si bien la tecnología es útil, su ritmo rápido y
los sistemas complejos pueden ser confusos
para el usuario. Si las empresas quieren
Competencia:
actualizar sus sistemas o cambiar el tipo de
La obtención de datos e información de
tecnología que utilizan, tienen que capacitar
manera más rápida y confiable permite a los
no sólo a los empleados, sino también a
negocios realizar la toma de decisiones frente
menudo a los clientes. Los nuevos empleados
a un entorno no tan incierto y crear las
deben ser entrenados en el uso de sistemas
estrategias adecuadas, es decir, proporciona
de negocio, lo que puede crear confusión.
una ventaja competitiva en cierta forma a los
negocios frente a otros.

Disponibilidad:
Los sistemas informáticos están disponibles a
ser utilizados en todo momento en todo
momento o según las políticas establecidas
por sus creadores.
Referencia:

- http://www.ehowenespanol.com/efectos-positivos-negativos-tecnologia-negocios-
lista_143070/

2. ¿EXISTE DIFERENCIAS ENTRE LA SEGURIDAD DE LA INFORMACIÓN Y LA SEGURIDAD


INFORMÁTICA?

Según la norma ISO/IEC 17799:2005 (ISO/IEC 27002:2005) la Información es un activo que


tiene valor para la organización por lo tanto requiere ser protegida adecuadamente. Como
sabemos la información tiene un valor estratégico, económico y legal para la organización.

Por lo cual debemos conocer las características de cada una de ellas:

SEGURIDAD INFORMÁTICA SEGURIDAD DE LA INFORMACIÓN

 La seguridad informática protege el


sistema informático, tratando de  La seguridad de la información tiene
asegurar la integridad y privacidad de como objetivo resguardar la
la información que contiene. Trata de información de una organización,
implantar medidas técnicas que independientemente del lugar en que
preservan las infraestructuras se localice: impresiones, medios de
tecnológicas y de comunicación que almacenamiento.
soportan la operación de una
organización, es decir, los hardware y  El ámbito de acción cubre Análisis de
software empleados por la Riesgos, Seguridad del Personal,
organización Seguridad física y del entorno,
Gestión de comunicaciones,
 Se centra en proteger las Desarrollo y Mantenimiento de
infraestructuras tecnológicas y de Sistemas, Control de Accesos,
comunicaciones que soportan la Gestión de Incidentes, y Continuidad
operación de una organización (se de Negocio entre otros (de acuerdo a
centra básicamente en hardware y la ISO 27000).
software).
 También, busca mitigar o mantener
 El análisis de riesgos se centra en los riesgos en la gestión de la
vulnerabilidades del hardware o seguridad de la información a un
software, y llevar el nivel de riesgo a nivel aceptable
nivel aceptable por la organización.

A partir del cual podemos concluir que la “Seguridad Informática” se encuentra inmersa dentro
de la “Seguridad de la Información”, ya que de desarrolla en una ámbito más amplio, ya que no
es simplemente una cuestión técnica (hardware y ciertos tipos de amenazas), sino
responsabilidad de la alta gerencia y cuadros directivos de una organización, es decir, la
seguridad se extiende a toda la empresa en aspectos organizacionales, operacionales y físicos.
La primera, la seguridad informática, se refiere a la protección de las infraestructuras de las
tecnologías de la información y comunicación que soportan nuestro negocio.

Mientras que la seguridad de la información, se refiere a la protección de los activos de


información fundamentales para el éxito de cualquier organización.

Referencia:

- http://www.inseguridadinformatica.com/2012/03/introduccion-la-seguridad-de-
la.html
- http://www.audea.com/seguridad-de-la-informacion-vs-seguridad-informatica/

3. A QUÉ NORMAS INTERNACIONALES DEBE CEÑIRSE LA EMPRESA “TENEMOS-MIEDO”,


PARA IMPLEMENTAR ALGUNAS POLÍTICAS DE SEGURIDAD.

Estándar RFC2196

El Estándar RFC2196 es un estándar usado en la práctica de la seguridad de la información. El


RFC 2196, llamado “Site Security Handbook” es un manual de seguridad que puede ser
utilizado como estándar para establecer Políticas de Seguridad. Este manual fue escrito por
varios autores y fue publicado en Septiembre de 1997, y a pesar de tener varios años, por sus
contenidos y la temática que trata es un documento vigente y valido en el área de la Seguridad
Informática.

Estándar IT Baseline Protection Manual

El IT Baseline Protection Manual presenta un conjunto de recomendaciones de seguridad,


establecidas por la Agencia Federal Alemana para la Seguridad en Tecnología de la
Información. Este estándar plantea en forma detallada aspectos de seguridad en ámbitos
relacionados con aspectos generales (organizacionales, gestión humana, criptografía, manejo
de virus, entre otros); infraestructura, (edificaciones, redes wifi); sistemas (Windows, novell,
unix); redes (cortafuegos, módems), y aplicaciones (correo electrónico, manejo de la web,
bases de datos, aplicativos)

Estándar ISO/IEC 17799 (denominado también como ISO 27002)

Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la


información a todos los interesados y responsables en iniciar, implantar o mantener sistemas
de gestión de la seguridad de la información. La seguridad de la información se define en el
estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén
autorizados pueden acceder a la información), integridad (asegurando que la información y sus
métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios
autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)".

Referencia:

- http://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+Info
rm%C3%A1tica

4. LA EMPRESA “CONSTRUCTOR’S BOB” TIENEN LA LÍNEA DE FABRICACIÓN DE DISPOSITIVOS


DE INTERCONEXIÓN DE REDES. ¿DEBE CEÑIRSE A ALGUNOS ESTÁNDARES INTERNACIONALES
PARA LA CONSTRUCCIÓN DE ESTOS DISPOSITIVOS?

Está claro que la empresa debe ceñirse a estándares internacionales para la construcción de
dispositivos de interconexión de redes, debido a que al cumplir con ciertos estándares,
aseguran ciertas características definidas en el producto, haciendo más confiable su producto
respecto a ciertas características.

El “IEEE” corresponde a las siglas de (Institute of Electrical and Electronics Engineers) en


español Instituto de Ingenieros Eléctricos y Electrónicos, una asociación técnico-profesional
mundial dedicada a la estandarización, entre otras cosas. Con cerca de 400,000 miembros y
voluntarios en 160 países, es la mayor asociación internacional sin ánimo de lucro formada por
profesionales de las nuevas tecnologías, como ingenieros eléctricos, ingenieros en electrónica,
científicos de la computación, ingenieros en informática, ingenieros en biomédica, ingenieros
en telecomunicación ingenieros en Mecatrónica.

5. ALGUNAS SECCIONES PRINCIPALES DE LAS NORMAS INTERNACIONALES DE SEGURIDAD.

Estándar RFC2196

Políticas de Seguridad

- Que es una Política de Seguridad y porque es necesaria.


- Que es lo que hace que una Política de Seguridad sea buena.
- Manteniendo la Política Flexible.
Arquitectura de Red y de Servicios

- Configuración de Red y de Servicios.


- Firewalls.

• Servicios y Procedimientos de Seguridad

- Autentificación
- Confidencialidad.
- Integridad.
- Autorización.
- Acceso
- Auditoria

• Gestión de Incidentes de Seguridad

- Notificación y puntos de contacto


- Identificando un Incidente
- Gestión de un Incidente
- Consecuencias de un Incidente
- Responsabilidades.

Estándar ISO 27001

El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener
en cuenta son:

- ISO/IEC 27000 Fundamentals and vocabulary.ISO_27001


- ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005). Publicado el 15 de
octubre del 2005.
- ISO/IEC 27002 Code of practice for information security management. Actualmente
ISO/IEC 17799:2005, publicado el 15 de junio del 2005.
- ISO/IEC 27003 ISMS implementation guidance.
- ISO/IEC 27004 Information security management measurement.
- ISO/IEC 27005 Information security risk management (basado en ISO/IEC 13335
- MICTS Part 2 e incorporado a éste).

Estándar ISO/IEC 17799

La versión de 2005 del estándar incluye las siguientes once secciones principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Cumplimiento
11. Gestión de Continuidad del Negocio.

Estándar ISO/IEC 21827:2008:

. El modelo es una métrica estándar para las prácticas de la ingeniería de seguridad, que cubre
lo siguiente:
- Ciclos de vida del proyecto, incluyendo actividades de desarrollo, niveles CMM,
operación, mantenimiento y desmantelamiento.
- Cubre todos los ámbitos de la organización, incluyendo actividades de gestión,
organizacionales y de ingeniería.
- Interacciones concurrentes con otras disciplinas, como software y hardware de
sistemas, recurso humano, pruebas de ingeniería, gestión de sistemas, operación y
mantenimiento

IEEE

Algunos de los estándares para la seguridad definidos por la IEEE son:

- VHDL
- POSIX
- IEEE 1394
- IEEE 488
- IEEE 802
- IEEE 802.11
- IEEE 754

Referencia:

- http://seguridadinformaticaufps.wikispaces.com/Normatividad+en+la+Seguridad+
Inform%C3%A1tica

6. ¿LA UNSCH, UTILIZA UN CORTAFUEGO FÍSICO Y LÓGICO COMO MECANISMO DE


PROTECCIÓN DE LA SEGURIDAD DE SUS SISTEMAS INFORMÁTICOS?, ¿LE PARECE
CONVENIENTE EL NIVEL DE SEGURIDAD QUE SE MANEJA?, ¿TIENE OTRAS OPCIONES?

Un firewall (o cortafuegos) es un dispositivo que se utiliza para proteger una computadora o


una red interna, de intentos de acceso no autorizados desde Internet, denegando las
transmisiones y vigilando todos los puertos de red. Su uso más común es situarlo entre una red
local y la red de Internet, evitando que los intrusos puedan atacar o acceder la red de
computadoras local.

Damos mención de los tres tipos de firewall y su disponibilidad en la UNSCH:

1. Firewalls de software: Tienen un costo pequeño y son una buena elección cuando sólo se
utiliza una PC. Presentes en nuestra casa mayor de estudios ya que estos vienen integrados en
el sistema operativo usado (Windows).

2. Enrutadores de hardware: Su principal función es la de disfrazar la dirección y puertos de la


PC a los intrusos. No presentes en la UNSCH.

3. Firewalls de hardware: Suelen utilizarse en aquellas empresas que prestan servicios de


hosting y necesitan seguridad en los servidores. . No presentes en la UNSCH, debido a los
recursos económicos escasos que presenta frente a esa área.

Haciendo énfasis en la preocupante situación de la UNSCH en cuanto a seguridad informática


damos a conocer la vulnerabilidad de los mismos frente a ataques informáticos; debido a esto
hacemos un requerimiento de mecanismos de protección a nuestros sistemas informáticos
con los tres tipos de firewalls antes mencionados.

Referencia:

- http://www.alegsa.com.ar/Notas/261.php

7. ¿CUÁLES CREE UD. QUE SON LOS OBJETIVOS DE LA SEGURIDAD INFORMÁTICA?

La seguridad informática tiene como objetivo principal proteger los activos que están
asociados directamente con los elementos que integran un sistema informático. Para lograr un
ambiente informático más seguro se puede decir que los elementos que integran un sistema
informático son: Información, Tecnologías de información, Personas o Usuarios e Inmuebles.

Información

La información podríamos considerarla como el reflejo de la realidad capaz de proporcionar


directa e indirectamente datos o conocimientos independientemente de si se trata de una
entidad física o intangible.

La información tiene tres características que deben ser preservadas en un sistema informático:

Su confidencialidad o acción de mantener su privacidad a partir de las reglas que se


establezcan para el acceso a la misma. La información no debe ser revelada ni descubierta más
que a las personas autorizadas y en el tiempo y forma que se haya convenido.

Su integridad o nivel de actualización, autenticidad y completamiento. Es la propiedad de que


la información sea exacta y completa, que no sea alterada más que por las personas
autorizadas.
Su disponibilidad que garantiza el acceso a la misma en cualquier momento, para usuarios
autorizados.

Tecnologías de información

Las tecnologías informáticas y de comunicaciones se han convertido en medios indispensables


para el procesamiento, conservación, reproducción y transmisión de información.

Entre estas tecnologías podemos mencionar los medios técnicos de computación, soportes
magnéticos, ópticos, software y aplicaciones modernas, protocolos de transmisión de datos,
utilización de cable coaxial, enlaces por fibra óptica y transmisiones por satélites y otras.

Las tecnologías de comunicaciones son el soporte imprescindible para lograr enlace entre
computadoras, que incluye modems, protocolos de comunicación, utilización de cables
coaxiales, enlaces a través de fibra óptica y transmisiones por satélites.

Estas tecnologías debemos analizarlas desde dos puntos de vista en el momento de proyectar
un sistema de seguridad:

 Como medio paciente de riesgo ya que pueden ser robadas y dañadas de forma
intencional o no.

 Como medios para concretar un riesgo ya que pueden ser utilizadas para, cometer un
robo, sabotear una actividad productiva, difundir información contra los principios
éticos de nuestra sociedad socialista, desplegar campañas de desinformación y otros.

Este doble carácter implica la adopción de medidas de Seguridad Informática que permitan
garantizar la integridad física de los medios y no sean usados en actividades no deseadas.

Personas

El hombre es el factor principal en un sistema informático, él lo diseña, lo pone en práctica, lo


explota y lo mantiene, tanto desde el punto de vista tecnológico como informativo.

Participa activamente en el ciclo de vida de la información, ya que la genera y destruye,


pasando por su actualización, almacenamiento, transmisión y reproducción, según los distintos
procesos por los cuales puede transitar. Es un elemento susceptible a las influencias, tanto
positivas como negativas del mundo circundante, que puede provocar reacciones muy
disímiles ante situaciones dadas; de ahí que constituya un objetivo de trabajo de todos
aquellos que pretendan desestabilizar el buen funcionamiento del sistema informático en
sentido general.

Por eso debemos estar conscientes que inducido o fortuitamente el hombre ante causas y
condiciones que lo propicien se convierte en la principal amenaza de un sistema informático, al
estar en capacidad de desencadenar acciones riesgosas contra el mismo.

De la misma forma si es capaz de concientizar su responsabilidad dentro del sistema de


medidas de Seguridad Informática, hará de este una coraza infranqueable en la defensa de la
confidencialidad, integridad y disponibilidad de la información y la adecuada utilización de las
tecnologías informáticas y de comunicaciones.

Inmuebles

El inmueble como estructura arquitectónica constituye la primera barrera de contención


contra intrusos, y el control de la circulación interna del personal contra la captación de
emisiones electromagnéticas, los posibles desastres naturales, incendios fortuitos u otros
accidentes intencionales o no y forma parte del sistema de protección a profundidad dentro de
un sistema informático.

Evaluar sus condiciones constructivas, estado de la red eléctrica, ubicación y vías de acceso,
entre otros aspectos, puede ayudar a minimizar las amenazas y riesgos a los que se expone el
sistema informático.

Referencia:

- http://www.ecured.cu/index.php/Seguridad_Inform%C3%A1tica

8. ¿LA SEGURIDAD INFORMÁTICA ES UN PRODUCTO QUE SE PUEDE COMPRAR?

La Seguridad Informática es un conjunto de métodos y herramientas destinados a proteger la


información y por ende los sistemas informáticos ante cualquier amenaza. Es decir que la
seguridad informática no es un producto, es un proceso.

Referencia:

- http://www.ecured.cu/index.php/Seguridad_Inform%C3%A1tica

9. ¿PODEMOS PENSAR EN QUE EXISTEN SISTEMAS INFORMÁTICOS SEGUROS?

Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque


no existe un sistema 100% seguro. El estudio en el área de seguridad informática busca reducir
las amenazas de seguridad hacia los sistemas informáticos, por lo cual solo podemos reducir
las probabilidades de amenazas de las mismas mas no eliminarlas.

Referencia:

- Libro Electrónico de Seguridad Informática y Criptografía v4.1


SEGURIDAD

ISO 7799

ISO 21001

ISO 17799

ISO 17491

UNE 71502 ¿Qué empresas certifican en el Perú ?

You might also like