FACULTAD DE INGENIERÍAS Y ARQUITECTURA

ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE

SISTEMAS E INFORMÁTICA

TEMA:
POLÍTICA DE SEGURIDAD INFORMÁTICA
CURSO

CONTROL DE CENTROS DE TECNOLOGÍA DE INFORMACIÓN

DOCENTE : ING. JOEL MAYORCA OLIVERA

ALUMNO

CICLO :X

AYACUCHO-PERÚ
2015

POLÍTICA DE SEGURIDAD INFORMÁTICA

La seguridad informática generalmente consiste en asegurar que los recursos del
sistema de información (material informático o programas) de una organización sean
utilizados de la manera que se decidió y que la información que se considera
importante no sea fácil de acceder por cualquier persona que no se encuentre
acreditada
Podemos entender como seguridad un estado de cualquier sistema (informático o no)
que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como
peligro o daño todo aquello que pueda afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de
seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para
que un sistema se pueda definir como seguro debemos de dotar de cuatro
características al mismo: 
 

Integridad: La información no puede ser modificada por quien no está autorizado

Confidencialidad: La información solo debe ser legible para los autorizados
Disponibilidad: Debe estar disponible cuando se necesita
Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría
 
Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad
lógica y seguridad física. En estos momentos la seguridad informática es un tema de
dominio obligado por cualquier usuario de la Internet, para no permitir que su
información sea robada. 
 
TÉRMINOS RELACIONADOS CON LA SEGURIDAD INFORMÁTICA 
Activo: recurso del sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: consecuencia de la materialización de una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un
Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre
un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación
normal de un negocio.
 
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían
englobar un mismo concepto, una definición más informal denota la diferencia entre
riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una
Amenaza y el Riesgo a un Impacto. 
 

OBJETIVOS 
Los activos son los elementos que la seguridad informática tiene como objetivo
proteger. Son tres elementos que conforman los activos:
 Información. Es el objeto de mayor valor para una organización, el objetivo es el
resguardo de la información, independientemente del lugar en donde se encuentre
registrada, en algún medio electrónico o físico.
Equipos que la soportan. Software, hardware y organización.
Usuarios. Individuos que utilizan la estructura tecnológica y de comunicaciones que
manejan la información.
Análisis de riesgos 
 El activo más importante que se posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los
equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que
consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los
datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. 
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido
debe estar prohibido" y esto es lo que debe hacer ésta seguridad lógica. Los objetivos
para conseguirlo son: 
Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual
se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y
permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones
empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.

LAS AMENAZAS 
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o
transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las
circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo
imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el
caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el
caso de las comunicaciones). Estos fenómenos pueden ser causados por: 

Un operador: causa del mayor problema ligado a la seguridad de un sistema informático (por
qué no le importa, no se da cuenta o a propósito).

Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los

recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una
puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus
informático, un gusano informático, un troyano, una bomba lógica o un programa espía o
Spyware.

Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene
acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).

Un siniestro (robo, incendio, por agua) : una mala manipulación o una mal intención derivan a
la pérdida del material o de los archivos.

El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los
sectores y soluciones incompatibles para la seguridad informática.

TÉCNICAS DE ASEGURAMIENTO DEL SISTEMA 

Codificar la información: Criptografía y Criptociencia, contraseñas difíciles de averiguar
a partir de datos personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras: Cortafuegos, Sistema de Detección de intrusos -
anti-spyware, Antivirus, Llaves para la protección del software, etc. Mantener los
sistemas de información con las actualizaciones que más impacten en la seguridad

CONSIDERACIONES DE SOFTWARE 
 
Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así
mismo tener controlado el software asegura la calidad de la procedencia del mismo (el
software pirata o sin garantías aumenta los riesgos). En todo caso un inventario de
software proporciona un método correcto de asegurar la reinstalación en caso de
desastre. El software con métodos de instalación rápidos facilita también la
reinstalación en caso de contingencia.
Existe software que es famoso por la cantidad de agujeros de seguridad que introduce.
Se pueden buscar alternativas que proporcionen iguales funcionalidades pero
permitiendo una seguridad extra.

CONSIDERACIONES DE UNA RED 

 

Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recurso
SOS de red en sólo en modo lectura impide que ordenadores infectados propaguen
virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch
puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación,
cómo se ha introducido el virus
 MOF Y ROF DE LA UNIDAD DE SISTEMAS LA
EMPRESA EPSASA
MOF:
JEFE DE LA UNIDAD DE INFORMÁTICA
  FUNCIONES:
 A) Asesorar y apoyar a las dependencias orgánicas de la entidad que así lo requieran en
aspectos de informática tomando en cuenta los sistemas actuales.
B) Investigar, desarrollar e implementar sistemas de información conducentes a facilitar
la gestión y toma de decisiones de la Alta Dirección y su sistema de enlace con los
órganos intermedios.
C) Fomentar y apoyar en la capacitación del personal de los diferentes niveles en
materia de informática.
D) Normalizar las aplicaciones y programas informáticos que deben instalarse en los
procesadores de la Entidad.
E) Organizar y mantener actualizado el inventario de equipos, aplicaciones y programas
computarizados.
F) Proporcionar apoyo técnico básico a los equipos de cómputo instalados en las
diferentes dependencias de la Entidad.
G) Administrar el uso eficiente de la red.
H) Efectuar estudios y proyectos que permitan la implantación de nuevas tecnologías en
el campo de la informática.
I) Formular, proponer coordinar y ejecutar normas y procedimientos de informática en
la empresa.
J) Realizar el backup del sistema, aplicativos y otros de la empresa en forma diaria.
k) Otras funciones inherentes al cargo.
 REQUISITOS MÍNIMOS:
 A) Título Profesional Universitario de Ingeniería de Sistemas o Ingeniería Informática
colegiado y habilitado.
B) Postgrado y/o capacitación especializada en Sistemas de Información y
administración de la Base de Datos.  C) Experiencia no menor de 02 años en labores
relacionadas al cargo.
ANALISTA PROGRAMADOR
FUNCIONES:
 
a) Desarrollar análisis y diseño integral del software aplicativo inherente a las
actividades de la entidad, propiciando la optimización y agilización de los procesos y
procedimientos.
B) Capacitar y brindar el soporte técnico informático a las diferentes unidades
orgánicas cuando estas así lo requieran.
c) Implantar, instalar y administrar los sistemas de transmisión de datos y seguridad de
redes.
d) Custodiar las copias de respaldo, los antivirus y software de la entidad.
e) Efectuar periódicamente el mantenimiento preventivo, correctivo y técnico
especializado de los sistemas de información, hardware y software base, cumpliendo
con las normas y estándares establecidos.
f) Diagnosticar causas de interrupción en el procesamiento informático, corrigiendo las
imperfecciones de los datos a procesar.
g) Desarrollar y actualizar la página Web de la entidad.
h) Incorporar los trabajos de investigación informática de la unidad, a los sistemas de
información, sistemas de redes y servicios básicos de Internet.
i) Elaborar y mantener actualizada la documentación de la gestión informática, así
como de los aplicativos informáticos.
j) Otras funciones inherentes al cargo.
REQUISITOS MÍNIMOS:
Bachiller en Ing. Sistemas y/o Informática.
Capacitación especializada en sistemas de Información y Base de Datos.
Experiencia no menor de 01 año en labores técnicas relacionadas al cargo.
 ROF DE LA UNIDAD DE INFORMATICA DE LA
EMPRESA EPSASA
ARTÍCULO 39.-
La UNIDAD DE INFORMÁTICA es un órgano de apoyo dependiente de la Gerencia
General, cuyo objetivo es administrar el Sistema de Información Gerencial,
proporcionando oportunamente a las áreas usuarias, los servicios de informática e
instrumento de gestión de acuerdo a las exigencias y metas del plan estratégico
empresarial. Está a cargo de un Jefe de Unidad que depende jerárquica y
funcionalmente de la Gerencia General.

ARTICULO 39°.- Son funciones de la Unidad de Informática:

1 Apoyar y asesorar en aspectos informáticos a las dependencias orgánicas de la
entidad, tomando como base los sistemas actuales.
2 Formular y proponer políticas y estrategias del sistema de información gerencial
(SIG).
3 Administrar el uso eficiente de la red y en general de los recursos del Hardware y
Software.
4 Normalizar las aplicaciones y programas informáticos que deben instalarse en los
procesadores de la entidad. 
5 Actualizar el Plan de Contingencias de informática. 
6 Propiciar, organizar y dirigir el desarrollo y utilización de los sistemas de informática. 
7 Asesorar en los servicios de automatización de datos y procesos instruyendo al
personal para el uso correcto de los programas y equipos. 
8 Coordinar o ejecutar el mantenimiento de equipos y programas. 
9 Promover y ejecutar los sistemas de seguridad, realizando al día el Backup del
sistema, de los aplicativos y otros. 
10 Elaborar y actualizar permanentemente los planes de desarrollo informático y de
comunicaciones, que permitan su procesamiento automático con el nivel de integración
necesario para el buen funcionamiento de la Entidad.
11 Proporcionar a los usuarios el apoyo constante, y soporte técnico a través de
programas y equipos.
NORMAS DE ISACA
 ISACA, Information Systems Audit and Control Association
 Fundado en 1969.
 Reconocido como líder mundial en governance, control y seguridad en
Sistemas de Información
 La misión de ISACA es soportar los objetivos de la empresa a través de
investigación, desarrollo, estándares, competencias y prácticas para un
efectivo governance, control, aseguramiento de la información, sistemas
y tecnología en la empresa.
 Sus normas de auditoría y control de SI son seguidas por profesionales de todo
el mundo
 ISACA además ofrece cuatro certificaciones :
 Certified Information Systems Auditor (CISA)
 Certified Information Security Manager, (CISM)
 Certified in the Governance of Enterprise IT (CGEIT)
 Certified in Risk and Information Systems Control (CRISC)
PROCESOS DE AUDITORÍA EN SISTEMAS DE INFORMACIÓN
Estándar de Auditoría en SI.
Los estándares, guías, y códigos de ética, son la base de la actividad de auditoría de
sistemas.
Los estándares son bastante claros, y describen los requerimientos básicos de la
auditoría de sistemas:
La responsabilidad y autoridad de las funciones de auditoría deben ser apropiadamente
documentadas en una carta de auditoría o carta de compromiso.
En todas las materias relacionadas con la auditoría, el auditor debe ser independiente del
auditado, en actitud y apariencia.
La función de auditoría debe ser completamente independiente del área a ser auditada,
con el objeto de efectuar una auditoría en profundidad.
El auditor debe adherir al código profesional de ISACA
ENFOQUE BASADO EN RIESGOS
• El propósito de un auditor es identificar riesgos y asegurar que los riesgos
residuales (que quedan después de aplicar controles) son aceptables de
administrar.
 • Todas las actividades presentan riesgos, en algunas más que en otras. Es el costo
de todo negocio.
• Las consecuencias de un riesgo son evaluadas, los riesgos medidos, y se
seleccionan alternativas.
• Un auditor debe considerar tres tipos de riesgos cuando planifica una auditoría:
• Riesgos Inherentes: La susceptibilidad de un error en un negocio o
proceso, no presente en un control interno: Instalar UNIX sin sus parches
de seguridad y conectar servidor en red.
• Riesgo de Control: Un control puesto en algún lugar no prevendrá,
corregirá o detectará un error en sus fases tempranas. Revisión de Log.
• Riesgo de Detección: El riesgo de que los procedimientos del auditor no
detecten un error. En este caso el auditor podría necesitar información
adicional.

ETICA DEL INGENIERO DE SISTEMAS

Son algunos puntos que un ingeniero en sistemas debe de seguir para poner en práctica
su desarrollo en el ámbito de su profesión ya que tiene que establecer su compromiso
para llevar a cabo una actividad.
 Aceptar la completa responsabilidad de su trabajo.
 Dar el visto bueno al software sólo si se tiene fundada creencia de que es seguro,
de que cumple las especificaciones, de que ha pasado las pruebas pertinentes y
de que no disminuye la calidad de la vida, la confidencialidad ni daña el medio
ambiente.
 Revelar a las personas o autoridades correspondientes cualquier peligro real o
potencial para el usuario, la sociedad o el medio ambiente, peligro que
razonablemente consideren que está asociado con el software o con documentos
relacionados.
 Cooperar en las materias relacionadas con preocupaciones graves causadas por
el software, su instalación, mantenimiento, soporte o documentación.
 Estar dispuestos a utilizar las capacidades profesionales para buenas causas y
contribuir a la educación del público en general con respecto a su disciplina.
 Mantener como privada cualquier información confidencial obtenida mediante
el trabajo profesional, siempre que tal confidencialidad no sea inconsistente con
los aspectos de interés general ni con la ley.
 Identificar, documentar, recoger evidencia e informar con prontitud al cliente o
al empresario si, en su opinión, existe la probabilidad de que un proyecto
 fracase, resulte demasiado caro, viole la legislación sobre propiedad intelectual o
sea problemático.
 Identificar, documentar, recoger evidencia e informar con prontitud al cliente o
al empresario si, en su opinión, existe la probabilidad de que un proyecto
fracase, resulte demasiado caro, viole la legislación sobre propiedad intelectual o
sea problemático.
 Garantizar, mediante una conveniente combinación de educación,
adiestramiento y experiencia, que están cualificados para cualquier proyecto en
el que trabajen o vayan a trabajar.
 Trabajar para seguir los estándares de la industria, si están disponibles, que sean
los más adecuados para las tareas, desviándose de los mismos sólo cuando esté
justificado ética o técnicamente.
 Trabajar para seguir los estándares de la industria, si están disponibles, que sean
los más adecuados para las tareas, desviándose de los mismos sólo cuando esté
justificado ética o técnicamente.
 Garantizar unas pruebas, depuraciones y revisiones adecuadas del software y de
los documentos relacionados en los que trabajen.
 Garantizar una correcta documentación, incluyendo problemas significativos
descubiertos y las soluciones adoptadas, para cualquier proyecto en el que
trabajen.

ADOBE SUFRE UN ATAQUE INFORMÁTICO QUE

COMPROMETE DATOS DE CLIENTES
Anunció que sus servidores sufrieron un ataque informático y que los "crackers"
tuvieron acceso a información personal de 2,9 millones de clientes y al código fuente de
algunos productos.

La compañía tecnológica indicó en su blog oficial que se trata de "ataques sofisticados"

y que los atacantes accedieron a la identificación y contraseñas de los usuarios, así
como a datos como sus nombres, números encriptados de tarjetas de crédito y débito o
fecha de caducidad de las mismas.

"Por el momento, no creemos que los atacantes accedieran en nuestros sistemas a

números desencriptados de las tarjetas de crédito y débito",