Material Formato Guion OVI Seleccionado

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI
Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

Curso: Diseños de Sitios Web Código: 301122
ACTIVIDAD FASE DE PLANEACION Y ANALISIS
CURSO DISEÑOS DE SITIOS WEB - COD. 301122
FORMATO GUION SITIO WEB DEL OVI
Diseñado Por: Director Curso
Estudiante: Luis Angel Gallego – 71.191.514
A continuación se presenta el formato de Guion para el desarrollo de la actividad de la

Fase de Planeación y Análisis, revise muy bien las instrucciones para que realice un
correcto diligenciamiento del mismo.
Éxitos!!!
1. Objetivos del OVI (describa mediante el registro de 1 objetivo general y tres

específicos para que se construye este OVI)
Objetivo general: Comprender los conceptos básicos relacionados a la seguridad

informática, los estándares y normas de seguridad en las redes.
Objetivo específico 1: Determinar qué es seguridad informática, amenaza, vulnerabilidad,

riesgo y control informático.
Objetivo específico 2: Determinar qué es un estándar de seguridad informática y cuáles

son los principales modelos qué existen.
Objetivo específico 3: Explicar cómo realizar un formato de análisis de evaluación de

riesgos según la norma Cobit.
Objetivo específico 4: Determinar los diferentes controles informáticos que se pueden

establecer en la empresa para mejorar la estrategia de seguridad informática.
2. Contenido informativo del OVI por secciones (Replique el siguiente cuadro

de acuerdo al número de secciones que vaya a crear en el OVI)
Nombre de la sección que se creara en el OVI: Inicio
2.1 Objetivo de la sección: (Registre a continuación el objetivo que tiene

esta sección)
Exponer en forma general el contenido del sitio web y sus diferentes secciones.
2.2 Recursos de consulta que usara en la sección: (coloque el nombre

del material que usara para crear los contenidos de la sección y el enlace de
descarga de los mismos sean estos Texto, Imágenes, Audios o Vídeos)
http://www.viu.es/la-seguridad-informatica-puede-ayudarme/
https://protejete.wordpress.com/gdr_principal/definicion_si/
https://edukavital.blogspot.com.co/2013/01/conceptos-y-definicion-de-estandar.html
http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html
http://aabbccddee.galeon.com/winpy.htm
2.3 Redacte un borrador del contenido de lectura en formato de

texto que tendrá la sección: (Sea este la presentación de la sección, el
contenido o ambos; redacte un borrador del texto que publicara como
contenido en la sección coloque un subtítulo para identificar si corresponde
a la presentación de la sección o el contenido de lectura de la sección)
Presentación de la sección:
Bienvenidos a nuestro curso de seguridad informática. A continuación, les presentamos una

introducción a los contenidos y temáticas que se van a tratar durante cada sesión.
Contenido:
Vídeo de motivación: https://www.youtube.com/watch?v=KiuTyXehW-8
Seguridad informática
La podemos definir como el proceso de prevenir y

detectar el uso no autorizado de un sistema
informático. Implica el proceso de proteger contra
intrusos el uso de nuestros recursos informáticos
con intenciones maliciosas o con intención de
obtener ganancias, o incluso la posibilidad de
acceder a ellos por accidente.
En este sentido, la Seguridad Informática sirve

para la protección de la información, en contra de
amenazas o peligros, para evitar daños y para
Imagen de libre uso minimizar riesgos, relacionados con ella.
Estándares De Seguridad Informática
Se puede definir como un patrón, modelo o conjunto

de normas a seguir. En ese sentido, Los estándares de
seguridad son una herramienta que apoya la gestión
de la seguridad informática. Existen diferentes tipos
estándares, entre ellos tenemos: ISO 17799, TCSEC,
ISO 15408, ISO 27000 y BS7799
Imagen de libre uso
La Norma Cobit Para Evaluar Riesgos
Las mejores prácticas en auditoria recomiendan Cobit

como la herramienta estándar para tecnologías de
información más utilizada en la ejecución de auditorías.
Niveles de Cobit: La estructura del estándar Cobit se

divide en dominios que son agrupaciones de procesos
que corresponden a una responsabilidad personal,
procesos que son una serie de actividades unidas con
delimitación o cortes de control y objetivos de control o
actividades requeridas para lograr un resultado medible.
Imagen de libre uso
Control Informático
Se puede definir el control informático como "cualquier

actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o
irregularidades que puedan afectar al funcionamiento de
un sistema para lograr o conseguir sus objetivos.
Los controles se clasifican en los siguientes: Preventivos,

detectivos, correctivos.
Imagen de libre uso
Nombre de la sección que se creara en el OVI: Conceptos

esta sección)
Determinar qué es seguridad informática, control informático, riesgo, amenaza y

vulnerabilidad.

https://protejete.wordpress.com/gdr_principal/definicion_si/
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap2.html
https://www.codejobs.biz/es/blog/2012/09/07/seguridad-informatica-que-es-
una-vulnerabilidad-una-amenaza-y-un-riesgo
http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-
su-impacto-para-las-organizaciones-parte-i
http://es.slideshare.net/carolcols/amenazas-y-vulnerabilidades-en-la-
informtica

Cordial saludo, en la presente sección vamos a hablar sobre seguridad informática y algunos
conceptos relacionados con el tema (Amenazas, vulnerabilidades, riesgos, controles
informáticos)
Contenido:
Seguridad informática
La podemos definir como el proceso de prevenir y detectar el uso no autorizado de un sistema

informático. Implica el proceso de proteger contra intrusos el uso de nuestros recursos
informáticos con intenciones maliciosas o con intención de obtener ganancias, o incluso la
posibilidad de acceder a ellos por accidente.
En este sentido, la Seguridad Informática sirve para la protección de la información, en contra

de amenazas o peligros, para evitar daños y para minimizar riesgos, relacionados con ella.
Imagen de libre uso
La seguridad informática cubre cuatro importantes áreas como son:
1. Confidencialidad: Sólo los usuarios autorizados pueden acceder a nuestros recursos,

datos e información.
2. Integridad: Sólo los usuarios autorizados deben ser capaces de modificar los datos
cuando sea necesario.
3. Disponibilidad: Los datos deben estar disponibles para los usuarios cuando sea
necesario.
4. Autenticación: Es la situación en la cual se puede verificar que un documento ha sido
elaborado o pertenece a quien el documento dice. La autenticación de los sistemas
informático se realizan habitualmente mediante nombre y contraseña.
Imagen de libre uso
Considerar aspectos de seguridad significa conocer el peligro, clasificarlo y protegerse de los

impactos o daños de la mejor manera posible. Esto significa que solamente cuando estamos
consientes de las potenciales amenazas podemos tomar medidas de protección.
Dependiendo del enfoque que se le de a la seguridad informática, un sistema informático está

expuesto al peligro por medio de dos factores: Las amenazas y las vulnerabilidades.
Amenazas:
Las amenazas son eventos que pueden causar alteraciones a la información de la organización
ocasionándole pérdidas materiales, económicas, de información, y de prestigio.
Las amenazas pueden ser:
• Humanas: Personas curiosas, hackers, ladrones, estafadores, fraudes, otros.

• Físicas: Daños en los equipos por fluído eléctrico, mal uso, falta de cuidado, falta de
protección (equipo vulnerable), desgaste o errores de fabricación.
• Lógicas: Sistemas operativos y/o aplicaciones vulnerables, virus, errores de diseño en los
aplicativos o programas.
• Naturales: Incendios, terremotos, inundaciones y otros tipos de desastres naturales.
Imagen de libre uso
Vulnerabilidades:
Una vulnerabilidad informática es un elemento de un sistema informático que puede ser

aprovechado por un atacante para violar la seguridad, así mismo pueden causar daños por sí
mismos sin tratarse de un ataque intencionado.
A las vulnerabilidades se les consideran un elemento interno del sistema, por lo que es tarea
de los administradores y usuarios el detectarlos, valorarlos y reducirlos.
Imagen de libre uso
Las vulnerabilidades en seis tipos: Físicas, naturales, de hardware, de software, de red y de

factor humano.
• Físicas: Es todo lo referente al acceso de las instalaciones, equipos y medios físicos

permitiendo la extración de información.

• Naturales: Daños ocasiones en los equpos por tormentas eléctricas, inundaciones y otro
tipo de amenazas naturales.
• Hardware: Representa la probabilidad de que las piezas físicas del sistema fallen (ya sea
por mal uso, descuido, mal diseño, sabotate, otros) dejando al sistema desprotegido o
inoperable.
• Software: Se presenta cuando un programa o aplicación es susceptible de ser usado como
medio para violar la seguridad de la empresa.
• Red: Se refiere a la penetración de uno de los equipos para luego expandirse en la red,
interceptar información o afectar la disponibilidad de la misma.
• Humanos: Se evidencian en falta de conciencia, responsabilidad, ética que puede facilitar
el robo de información, sabotaje o violación a la seguridad digital de la empresa.
Riesgo:
Es la posibilidad de que una amenaza se materialice, dando lugar al ataque a un equipo o a la

información.
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo,

para posteriormente implementar mecanismos que permitan controlarlo.
Imagen de uso libre
En su forma general contiene cuatro fases:
• Análisis: Determina los componentes de un sistema que requiere protección, sus

vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado
de revelar su grado de riesgo.
• Clasificación: Determina si los riesgos encontrados y los riesgos restantes son bajos,
aceptables o altos. Lo anterior según el impacto, daño que producirían en la empresa y su
información.
• Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita

los usuarios conforme a las medidas.
• Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para

determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas
institucionales, que forman el marco operativo del proceso, con el propósito de:
• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las

amenazas con el resultado de reducir el riesgo.
• Orientar el funcionamiento organizativo y funcional.
• Garantizar comportamiento homogéneo.
• Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
• Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
Control Informático:
Cualquier acción realizada para prevenir, corregir, evitar irregularidades con equipos y
sistemas de información.
Imagen de libre uso
Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de
riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación. El
aseguramiento puede realizarse desde tres niveles:
Nivel Físico: En este nivel, las medidas a tomar son referidas a la aplicación de procedimientos
de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a
recursos e información confidencial que sea guardada en la infraestructura física. Dentro de
éstas se encuentran:
• Controles de acceso físico, que pueden incluir el uso de sistemas biométricos y vigilantes.
• Manejo de tokens o tarjetas de identificación.
• Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o
mantenimiento periódico de equipos.
• Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
• Gestión de medios de almacenamiento removible.
• Controles de vulnerabilidades técnicas, entre otros.
Nivel Lógico: Las medidas a tomar se dan con respecto al uso de software y sistemas,
enfocadas a proteger los datos y garantizar el acceso autorizado a la información. Como parte
de estas medidas se pueden tomar:
• Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a
aplicaciones y gestión de contraseñas.
• Controles de acceso a la red interna y externa, segregación en redes y controles para
asegurar servicios de la red.
• Controles a nivel de teletrabajo y equipos móviles.
• Soluciones de protección contra malware.
• Respaldos de bases de datos e información crítica.
• Protocolos para intercambio de información y cifrado de información.
• Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
• Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
• Gestión de control de cambios, entre otros.
Nivel Personal: Es el nivel más crítico dentro de las organizaciones, dada la naturaleza
impredecible del personal o recurso humano. Las medidas a este nivel deberían ser más
procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:
• Definición de políticas de seguridad que presenten las correspondientes violaciones con el

fin de dar cumplimiento.
• Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar
con éstos y segregación de funciones.
• Controles a nivel contratación de personal.
• Gestión antes, durante y después de la terminación de los contratos.
• Educación y capacitación continua en aspectos de seguridad.
• Procedimientos e instructivos para manejo de información.
• Políticas de escritorio y pantalla limpia.
• Cumplimiento de legislación aplicable, entre otros.
Con estos conceptos, damos por finalizada la primera parte del presente curso de seguridad
informática. En la siguiente sección, estaremos tratando qué es un estándar de seguridad
informática y cuáles son los principales modelos que existen.
Nombre de la sección que se creara en el OVI: Estándares

esta sección)
Determinar qué es un estándar de seguridad informática y cuáles son los principales modelos
qué existen.

https://mmujica.wordpress.com/2007/01/12/estandares-de-
seguridad/
http://www.monografias.com/trabajos106/estandares-seguridad-
informatica/estandares-seguridad-informatica2.shtml
https://prezi.com/-cfblbpiz6u1/estandares-para-seguridad-de-redes/
https://edukavital.blogspot.com.co/2013/01/conceptos-y-definicion-
de-estandar.html
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/BS.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/ISO17.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/CC.php
http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/TCSEC.php

Cordial saludo, en la presente sección vamos a hablar sobre los diferentes estándares y
modelos internacionales de seguridad informática (ISO 17799, TCSEC, ISO 15408, ISO 27000,
BS7799 )
¿Qué es un estándar?
Se puede definir como un patrón, modelo o conjunto de normas a seguir. En ese sentido, Los
estándares de seguridad son una herramienta que apoya la gestión de la seguridad
informática.
Existen distintos modelos aplicables como:
Estándar de seguridad ISO 17799:
El estándar de seguridad de la información ISO 17799, es descendiente del BS 7799 –

Information Security Management Standard – de la BSI (British Standard Institute) que
publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y
1999, consiste de dos partes:
• Parte 1. Código de prácticas.

• Parte 2. Especificaciones del sistema de administración de seguridad de la información.
Por la necesidad generalizada de contar con un estándar de carácter internacional que

permitiera reconocer o validar el marco de referencia de seguridad aplicado por las
organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera
parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice).
El ISO 17799, al definirse como una guía en la implementación del sistema de administración
de la seguridad de la información, se orienta a preservar los siguientes principios de la
seguridad informática:
• Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la

información.
• Integridad. Garantizar que la información no será alterada, eliminada o destruida por

entidades no autorizadas.
• Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información

cuando la requieran.
Estos principios en la protección de los activos de información constituyen las normas básicas
deseables en cualquier organización, sean instituciones de gobierno, educativas e
investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas
mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
Los controles del ISO 17799:
El éxito de la implementación del estándar de seguridad ISO 17799 requiere de una serie de
procedimientos donde, inicialmente, el análisis de riesgos identificará los activos de la
información y las amenazas a las cuales se encuentra expuesta.
El análisis de riesgos guiará en la correcta selección de los controles que apliquen a la

organización; este proceso se conoce en la jerga del estándar como Statement of Applicability,
que es la definición de los controles que aplican a la organización con objeto de proporcionar
niveles prácticos de seguridad de la información y medir el cumplimiento de los mismos.
A continuación, se describirán cada una de las diez áreas de seguridad con el objeto de
esclarecer los objetivos de estos controles.
1. Políticas de seguridad: El estándar define como obligatorias las políticas de seguridad

documentadas y procedimientos internos de la organización que permitan su
actualización y revisión por parte de un Comité de Seguridad.
2. Seguridad organizacional: Establece el marco formal de seguridad que debe integrar una
organización, tales como un foro de administración de la seguridad de la información, un
contacto oficial de seguridad (Information System Security Officer – ISSO), revisiones
externas a la infraestructura de seguridad y controles a los servicios de outsourcing, entre
otros aspectos.
3. Clasificación y control de activos. El análisis de riesgos generará el inventario de activos

que deberá ser administrado y controlado con base en ciertos criterios de clasificación y
etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel
de confidencialidad.
4. Seguridad del personal. Proporcionar controles a las acciones del personal que opera con
los activos de información.
El objetivo de esta área del estándar es contar con los elementos necesarios para mitigar el
riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por
parte del personal en materia de seguridad de la información.
5. Seguridad física y de entorno. Identificar los perímetros de seguridad, de forma que se

puedan establecer controles en el manejo de equipos, transferencia de información y
control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
6. Comunicaciones y administración de operaciones. Integrar los procedimientos de

operación de la infraestructura tecnológica y de controles de seguridad documentados,
que van desde el control de cambios en la configuración de los equipos, manejo de
incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
7. Control de acceso. Habilitar los mecanismos que permitan monitorear el acceso a los
activos de información, que incluyen los procedimientos de administración de usuarios,
definición de responsabilidades o perfiles de seguridad y el control de acceso a las
aplicaciones.
8. Desarrollo de sistemas y mantenimiento. La organización debe disponer de

procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para
tareas específicas de la organización.
9. Continuidad de las operaciones de la organización. El sistema de administración de la

seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los
cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de
determinar las limitaciones de los mismos.
10. Requerimientos legales. La organización establecerá los requerimientos de seguridad que

deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán
formalizados en los contratos o convenios.
Cada una de las áreas establece una serie de controles que serán seleccionados dependiendo
de los resultados obtenidos en el análisis de riesgos, además, existen controles obligatorios
para toda organización, como es el de las políticas de seguridad cuyo número dependerá más
de la organización que del estándar, el cual no establece este nivel de detalle.
Estándar Trusted Computer Security Evaluation Criteria (TCSEC)
El Departamento de Defensa de los Estados Unidos por los años 80’s (1983-1985) publica una
serie de documentos denominados Serie Arco iris (Rainbow Series). Dentro de esta serie se
encuentra el Libro Naranja (Orange Book) el cual suministra especificaciones de seguridad. Se
definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y
A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad,
imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro
áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el
nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de
funcionalidad como de confianza.
Nivel Descripción
D Protección mínima
C1 Protección discrecional
C2 Protección de acceso controlado
B1 Seguridad etiquetada
B2 Protección estruturada
B3 Dominios de seguridad
A1 Protección verificada
• Nivel D (Protección mínima): Sin seguridad, está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
• Nivel C1 (Protección Discrecional): Se requiere identificación de usuarios que permite el

acceso a distinta información. Cada usuario puede manejar su información privada y se
hace la distinción entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por
este "súper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la
actual descentralización de los sistemas de cómputos, no es raro que en una organización
encontremos dos o tres personas cumpliendo este rol. Esto es un problema, debido a que no
hay forma de distinguir entre los cambios que hizo cada usuario.
• Nivel C2 (Protección de Acceso Controlado): Este nivel fue diseñado para solucionar las
debilidades del C1. Cuenta con características adicionales que crean un ambiente de
acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a
objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en
concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoria es utilizada para llevar registros de todas las
acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador
del sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que
ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales
requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de

administración del sistema sin necesidad de ser administradores.
• Nivel B1 (Seguridad Etiquetada): Soporta seguridad multinivel, como la secreta y ultra

secreta. Se establece que el dueño del archivo no puede modificar los permisos de un
objeto que está bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, nóminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados.
También se establecen controles para limitar la propagación de derecho de accesos a los

distintos objetos.
• Nivel B2 (Protección Estructurada): La Protección Estructurada es la primera que empieza

a referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación
con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar
archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad

son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y
ancho de banda a utilizar por los demás usuarios.
• Nivel B3 (Dominios de seguridad): Este nivel requiere que la Terminal del usuario se
conecte al sistema por medio de una conexión segura. Además, cada usuario tiene
asignado los lugares y objetos a los que puede acceder.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las
permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para
permitir análisis y pruebas ante posibles violaciones.
• Nivel A1 (Protección verificada): Es el nivel más elevado, incluye un proceso de diseño,

control y verificación, mediante métodos formales (matemáticos) para asegurar todos los
procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben
incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar
análisis de canales encubiertos y de distribución confiable. El software y el hardware son
protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
Estándar ISO 15408 Criterios Comunes (CC)
Los CC (Criterios Comunes) su primer versión surgió en el 96, pero Europa paralelamente
trabajó en un estándar ISO, esto nos regresaba al problema original, tener criterios diferentes
de seguridad dependiendo del continente en el que se encontrará; para el año 2000 se
unificaron criterios nuevamente dando lugar a un estándar internacional que puede ser
conocido con el nombre de Common Criteria o ISO-15408.
En el año del 2005 se actualizaron los CC dando origen a CC versión 2.2 también conocido
como ISO-15408:2005
Imagen tomada de: http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/CC.php
Pero, ¿porque son tan importantes los CC en la Seguridad de la Información (SI)?. En principio
es un estándar internacional aceptado por una gran cantidad de países como son: Canadá,
Francia, Alemania, Reino Unido, Estados Unidos, Australia, Nueva Zelanda, Finlandia, Grecia
Italia, Holanda, Noruega, España.
Los CC nos ofrecen una norma internacional para evaluar la seguridad de los productos de
tecnología de la información. Se puede pensar en tres diferentes perspectivas desde las cuales
los podemos abordar: Como consumidores proveen criterios que determinan las necesidades
de seguridad que deben cumplir los productos que se deseen adquirir.
Como desarrolladores proveen criterios que permite cubrir requerimientos de seguridad en

diferentes niveles.
Como evaluadores proporcionan los productos de seguridad que deben ser cubiertos por los
desarrolladores.
Los CC están divididos en 3 partes: Introducción y Modelo General, Requerimientos

Funcionales, Requerimientos de Garantía.
A veces se tiene la idea de que no es bueno utilizar CC para implementar un esquema de

seguridad, porque se piensa que no son certificables debido a que son muy generales. Por esta
razón se usan estándares como pueden ser el ISO-17799 o el ISO-27000.
Estándar ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO

(International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está
compuesta a grandes rasgos por:
ISMS(Information Security Management System).

Valoración de Riesgo.
Controles.
ISO
27000
ISO ISO
27006 27001
ISO ISO
27005 27002
ISO ISO
27004 27003
A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
• ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en

toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario
claramente definido, que evite distintas interpretaciones de conceptos técnicos y de
gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un
coste.
• ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la

información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se
certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de
Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de
transición para aquellas empresas certificadas en esta última.
• En su Anexo A, enumera en forma de resumen los objetivos de control y controles que

desarrolla la ISO 27002:2005 (nueva numeración de ISO 17799:2005 desde el 1 de Julio
de 2007), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI;
a pesar de no ser obligatoria la implementación de todos los controles enumerados en
dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los
controles no implementados.
• ISO 27002: Cambio de nomenclatura de ISO 17799:2005 realizada el 1 de Julio de 2007. Es

una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39
objetivos de control y 133 controles, agrupados en 11 dominios.
• ISO 27003: En fase de desarrollo; probable publicación a finales de 2008. Contendrá una
guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-
2 y en la serie de documentos publicados por BSI a lo largo de los años con
recomendaciones y guías de implantación.
• ISO 27004: En fase de desarrollo; probable publicación a lo largo de 2008. Especificará las
métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los
controles relacionados. Estas métricas se usan fundamentalmente para la medición de los
componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
• ISO 27005: En fase de desarrollo; probable publicación a finales de 2007 ó principios de

2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y
servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la
BS7799-3 (publicada en Marzo de 2006) e ISO 13335-3.
• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de
entidades de auditoría y certificación de sistemas de gestión de seguridad de la
información.
Estándar BS 7799 (Reino Unido)
Imagen tomada de: http://www.qminds.co.in/images/
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards
Institution, la organización inglesa equivalente a AENOR en España) es responsable de la
publicación de importantes normas como:
1979 Publicación BS 5750 - ahora ISO 9001

1992 Publicación BS 7750 - ahora ISO 14001
1996 Publicación BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a
cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión de la
seguridad de su información.
El estándar británico BS 7799 es un estándar aceptado ampliamente que ha sido utilizado

como base para elaborar otros estándares de seguridad de la información incluyendo el ISO
17799.
La versión actual de estándar tiene dos partes:
BS7799-1:1999 Information Security Management. Code of Practice for Information Security

Management. Es la guía de buenas prácticas, para la que no se establece un modelo de
certificación.
BS7799-2:1999 Information Security Management. Specification for Information Security

Management Systems. Establece los requisitos de un sistema de seguridad de la información
(SGSI) para ser certificable por una entidad independiente.
Nombre de la sección que se creara en el OVI: Cobit

esta sección)
Explicar cómo realizar un formato de análisis de evaluación de riesgos según la norma Cobit.

http://auditordesistemas.blogspot.com.co/2011/11/cobit-objetivos-de-control-para-la.html

Cordial saludo, en la presente sección vamos a explicar qué es la norma COBIT y cómo
podemos utilizar algunos de sus dominios, procesos y objetivos para realizar un formato de
evaluación de riesgos.
¿Qué es el COBIT?
Las mejores prácticas en auditoria recomiendan Cobit como la herramienta estándar para
tecnologías de información más utilizada en la ejecución de auditorías.
Niveles de Cobit: La estructura del estándar Cobit se divide en dominios que son
agrupaciones de procesos que corresponden a una responsabilidad personal, procesos que
son una serie de actividades unidas con delimitación o cortes de control y objetivos de control
o actividades requeridas para lograr un resultado medible.
Análisis De Riesgos Utilizando Cobit:
Para la realización del análisis de riesgos con el Marco Internacional CobIT, se ha seleccionado
trabajar el análisis de riesgos sobre el proceso: “Definir la arquitectura de la información”,
perteneciente al dominio “Planificar y Organizar”
Es importante resaltar que debe existir una tabla de tabla de consolidación de

vulnerabilidades, amenazas y riesgos.
Para nuestro ejemplo, exponemos algunos riesgos basados en un centro educativo:
1. Robo de información o credenciales de usuario, daño del sistema operativo, perdida de

acceso a los archivos.
2. Intersección de la información a través de la red o los puertos de los equipos.
3. Destrucción de la información a través de ataques de denegación de servicios.
4. Falta de políticas de seguridad, posibilidades de sabotaje, fuga o alteración de la
información.
5. Pérdida, alteración de la información o daño en el sistema de calificaciones.
6. Pérdida de información, alteración del acceso a la misma, no se hacen respaldos digitales
de la información.
7. Datos no homogéneos en la base de datos de la aplicación.
8. Pérdida de información o alteración del acceso a la misma por daños en la infraestructura
(equipos y dispositivos).
9. No se tienen procedimiento que establezcan las reglas claras para el copiado y manejo de
la información de la compañía.
10. No se tienen establecidos programas de capacitación para el manejo de la información por
parte de los funcionarios de la compañía.
11. Perdida de conectividad a la red
12. Fácil acceso a información confidencial.
13. Los sistemas de información disponibles no cifran los datos cuando se están
almacenando o transmitiendo.
N° Descripción Probabilidad Impacto

Baja Media Alta Leve Moderado Catastrófico
R1 Robo de información o X X
credenciales de usuario,
daño del sistema operativo,
perdida de acceso a los
archivos.
R2 Intersección de la X X
información a través de la
red o los puertos de los
equipos.
R3 Destrucción de la X X
información a través de
ataques de denegación de
servicios.
R4 Falta de políticas de X X
seguridad, posibilidades de
sabotaje, fuga o alteración
de la información.
R5 Pérdida, alteración de la X X
información o daño en el
sistema de calificaciones.
R6 Pérdida de información, X X
alteración del acceso a la
misma, no se hacen
respaldos digitales de la
información.
R7 Datos no homogéneos en la X X
base de datos de la
aplicación.
R8 Pérdida de información o X X
alteración del acceso a la
misma por daños en la
infraestructura (equipos y
dispositivos).
R9 No se tienen procedimiento X X
que establezcan las reglas
claras para el copiado y
manejo de la información
del colegio.
R10 No se tienen establecidos X X
programas de capacitación
para el manejo de la
información por parte de los
funcionarios del colegio.
R11 Perdida de conectividad a la X X
red.
R12 Fácil acceso a información X X
confidencial.
R13 Los sistemas de X X
información disponibles no
cifran los datos cuando se
están almacenando o
transmitiendo.
Resultado Matriz de riesgos para hardware
R9
Alto
61-100%
PROBABILIDAD
Medio R10, R13 R5 a R6

31-60%
Bajo R7, R11 R1 a R4, R8, R12

0-30%
Leve Moderado Catastrófico
IMPACTO
Menor impacto o probabilidad de ocurrencia

Probabilidad y ocurrencia media
Alta probabilidad de ocurrencia
Nota: La probabilidad se establece analizando qué tan posible es que se materialice el riesgo,
situación en la que es necesario conocer la organización y el contexto que la rodea. El impacto
se evalúa según la gravedad de los daños (información, dispositivos, funcionamiento) que
puedan ocurrir en la empresa al materializarse un riesgo.
A continuación se explica detalladamente algunos conceptos manejados por ésta y los

dominios, procesos y actividades que lo conforman:
Efectividad. Se refiere a que la información relevante sea pertinente para el proceso del
negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable.
Eficiencia. Se refiere a la provisión de información a través de la utilización óptima (más

productiva y económica) de recursos.
Confidencialidad. Se refiere a la protección de información sensible contra divulgación no

autorizada.
Integridad. Se refiere a la precisión y suficiencia de la información, así como a su validez de

acuerdo con los valores y expectativas del negocio.
Disponibilidad. Se refiere a la disponibilidad de la información cuando ésta es requerida por

el proceso de negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos
necesarios y capacidades asociadas.
Cumplimiento. Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos

contractuales a los que el proceso de negocios está sujeto, por ejemplo, criterios de negocio
impuestos externamente.
Confiabilidad de la información. Se refiere a la provisión de información apropiada para la

administración con el fin de operar la entidad y para ejercer sus responsabilidades de
reportes financieros y de cumplimiento.
Datos. Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos),
estructurados y no estructurados, gráficos, sonido, etc.
Aplicaciones. Se entiende como sistemas de aplicación la suma de procedimientos manuales

y programados.
Tecnología. La tecnología cubre hardware, software, sistemas operativos, sistemas de

administración de bases de datos, redes, multimedia, etc.
Instalaciones. Recursos para alojar y dar soporte a los sistemas de información.
Personal. Habilidades del personal, conocimiento, conciencia y productividad para planear,

organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
información.
Nombre de la sección que se creara en el OVI: Control

esta sección)
Determinar los diferentes controles informáticos que se pueden establecer en la empresa

para mejorar la estrategia de seguridad informática.

http://aabbccddee.galeon.com/winpy.htm

Cordial saludo, en la presente sección vamos a hablar sobre el control informático y sus
diferentes formas en la empresa con el fin de mejorar la estrategia de seguridad informática.
¿Qué Es El Control Informático?
Se puede definir el control informático como "cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles se clasifican en los siguientes:
• Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
• Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones, entre otros.
• Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de
seguridad.
Prevenir el robo de datos tales como números de cuentas bancarias, información de tarjetas
de crédito, contraseñas, documentos relacionados con el trabajo, hojas de cálculo, etc. es algo
esencial durante las comunicaciones de hoy en día. Muchas de las acciones de nuestro día a
día dependen de la seguridad informática a lo largo de toda la ruta que siguen nuestros datos.
Los ataques más utilizados en contra de un sistema informático son los troyanos, los gusanos
y la suplantación y espionaje a través de redes sociales. También son populares los ataques
DoS/DDoS, que pueden ser usados para interrumpir los servicios. A menudo algunos usuarios
autorizados pueden también estar directamente involucrados en el robo de datos o en su mal
uso.
Hay también ciberdelincuentes que intentarán acceder a los ordenadores con intenciones
maliciosas como pueden ser atacar a otros equipos o sitios web o redes simplemente para
crear el caos. Los hackers pueden bloquear un sistema informático para propiciar la pérdida
de datos. También son capaces de lanzar ataques DDoS para conseguir que no se pueda
acceder a sitios web mediante consiguiendo que el servidor falle.
Imagen de libre uso
Ahora, sí se toman las medidas adecuadas, la gran mayoría de este tipo de ataques pueden
prevenirse, por ejemplo a través de la creación de diferentes niveles de acceso, o incluso
limitando el acceso físico.
Las medidas de seguridad informática que puedes tomar incluyen:
• Asegurar la instalación de software legalmente adquirido: por lo general el software legal

está libre de troyanos o virus.
• Suites antivirus: con las reglas de configuración y del sistema adecuadamente definidos.
• Hardware y software cortafuegos: los firewalls ayudan con el bloqueo de usuarios no

autorizados que intentan acceder a tu computadora o tu red.
• Uso de contraseñas complejas y grandes: las contraseñas deben constar de varios

caracteres especiales, números y letras. Esto ayuda en gran medida a que un hacker pueda
romperla fácilmente.
• Cuidado con la ingeniería social: a través de las redes sociales los ciberdelincuentes
pueden intentar obtener datos e información que pueden utilizar para realizar ataques.
• Criptografía, especialmente la encriptación: juega un papel importante en mantener

nuestra información sensible, segura y secreta.
Diseño del OVI

Material Formato Guion OVI Seleccionado

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Material Formato Guion OVI Seleccionado

Uploaded by

Copyright:

Available Formats

Universidad Nacional Abierta y a Distancia – UNAD - Vicerrectoría Académica y de Investigación - VIACI

Escuela: Ciencias Básicas Tecnología e Ingeniería Programa: Ingeniería de Sistemas

ACTIVIDAD FASE DE PLANEACION Y ANALISIS

CURSO DISEÑOS DE SITIOS WEB - COD. 301122

FORMATO GUION SITIO WEB DEL OVI

Diseñado Por: Director Curso

Estudiante: Luis Angel Gallego – 71.191.514

A continuación se presenta el formato de Guion para el desarrollo de la actividad de la

1. Objetivos del OVI (describa mediante el registro de 1 objetivo general y tres

Objetivo general: Comprender los conceptos básicos relacionados a la seguridad

Objetivo específico 1: Determinar qué es seguridad informática, amenaza, vulnerabilidad,

Objetivo específico 2: Determinar qué es un estándar de seguridad informática y cuáles

Objetivo específico 3: Explicar cómo realizar un formato de análisis de evaluación de

Objetivo específico 4: Determinar los diferentes controles informáticos que se pueden

2. Contenido informativo del OVI por secciones (Replique el siguiente cuadro

Nombre de la sección que se creara en el OVI: Inicio

2.1 Objetivo de la sección: (Registre a continuación el objetivo que tiene

2.2 Recursos de consulta que usara en la sección: (coloque el nombre

2.3 Redacte un borrador del contenido de lectura en formato de

Bienvenidos a nuestro curso de seguridad informática. A continuación, les presentamos una

Vídeo de motivación: https://www.youtube.com/watch?v=KiuTyXehW-8

La podemos definir como el proceso de prevenir y

En este sentido, la Seguridad Informática sirve

Estándares De Seguridad Informática

Se puede definir como un patrón, modelo o conjunto

La Norma Cobit Para Evaluar Riesgos

Las mejores prácticas en auditoria recomiendan Cobit

Niveles de Cobit: La estructura del estándar Cobit se

Se puede definir el control informático como "cualquier

Los controles se clasifican en los siguientes: Preventivos,

Nombre de la sección que se creara en el OVI: Conceptos

2.1 Objetivo de la sección: (Registre a continuación el objetivo que tiene

Determinar qué es seguridad informática, control informático, riesgo, amenaza y

2.2 Recursos de consulta que usara en la sección: (coloque el nombre

2.3 Redacte un borrador del contenido de lectura en formato de

La podemos definir como el proceso de prevenir y detectar el uso no autorizado de un sistema

En este sentido, la Seguridad Informática sirve para la protección de la información, en contra

Imagen de libre uso

La seguridad informática cubre cuatro importantes áreas como son:

1. Confidencialidad: Sólo los usuarios autorizados pueden acceder a nuestros recursos,

Imagen de libre uso

Considerar aspectos de seguridad significa conocer el peligro, clasificarlo y protegerse de los

Dependiendo del enfoque que se le de a la seguridad informática, un sistema informático está

Las amenazas pueden ser:

• Humanas: Personas curiosas, hackers, ladrones, estafadores, fraudes, otros.

Imagen de libre uso

Una vulnerabilidad informática es un elemento de un sistema informático que puede ser

Imagen de libre uso

Las vulnerabilidades en seis tipos: Físicas, naturales, de hardware, de software, de red y de

• Físicas: Es todo lo referente al acceso de las instalaciones, equipos y medios físicos

permitiendo la extración de información.

Es la posibilidad de que una amenaza se materialice, dando lugar al ataque a un equipo o a la

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo,

Imagen de uso libre

En su forma general contiene cuatro fases:

• Análisis: Determina los componentes de un sistema que requiere protección, sus

• Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita

• Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para

• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las

Imagen de libre uso

• Definición de políticas de seguridad que presenten las correspondientes violaciones con el

Nombre de la sección que se creara en el OVI: Estándares

2.1 Objetivo de la sección: (Registre a continuación el objetivo que tiene

2.2 Recursos de consulta que usara en la sección: (coloque el nombre