Mdulo:

Aplicacin de la
Seguridad
Informtica

Unidad 1
Aplicacin de estndares de
proteccin de la informacin.

Mara Isabel Diosdado

Mrquez

Propsito de la unidad
d
a
d
i
r
u
g
e
s
e
d
s
n
e
o
r
c
a
a
r
o
d
a
d
n
p
r

e
t
n
s
u
e
e
c
u
a

q
r
e
f
a
i
a
d
t
c
o
i
n
l
a
g
e
c
p
i
e
d
t
A
i
a
p
l

a
e
e
s
m
n
r
d
e
e
o
f
o
u
s
s
q
in
o
u
t
s
i
l
c
o
e

l
g
d
s
p
.
s
o
m
a
i
d
rie
c
a
r
i
t
c
a
r
c
d
e

e
r
m
u
p
l
q
s
e
e
r
n
o
e
j
e
a

m
g
o
l
o
n
tec

Resultado de aprendizaje
d
a
d
i
r
u
g
e
s
e
d
s
o
g
s
s
a
l
e
i
r
n
s
e
a
a
l
n
e
i
s
y
a
m
o
r
b
p
e
i
n
u
et
o
q
c
D
e
a
1
l
.
c
e
i
.
1
t
d
o
i

r
s
m
a
a
r
c
u
i
o
s
t
f
s
u

in
l
r
e
e
t
d
c
s
a
r
e
d
ca
a
d
i
s
e
c
ne

A Anlisis de elementos de la
seguridad informtica.
Concepto de Seguridad.
Concepto de informacin.
Concepto de informtica.
Concepto de seguridad informtica
Principios de la seguridad informtica.
- Confidencialidad.
- Integridad.
- Disponibilidad.

Seguridad
Este concepto que
proviene del
latnsecuritashace foco
en lacaracterstica de
seguro, es decir, realza la
propiedad de algo
dondeno se registran
peligros, daos ni
riesgos.

Informacin
Est constituida por
ungrupo de datos ya
supervisados y
ordenados, que sirven
para construir
unmensajebasado en
un cierto fenmeno o
ente. La informacin
permite resolver
problemas y tomar
decisiones, ya que su
aprovechamiento

informtica
Conjunto de conocimientos tcnicos
que se ocupan del tratamiento
automtico de la informacin por
medio de computadoras.

Seguridad informtica
Es el rea de lainformticaque se enfoca en la
proteccin de la infraestructura computacional y todo
lo relacionado con esta y, especialmente, la
informacin contenida o circulante. Para ello existen
una serie de estndares, protocolos, mtodos, reglas,
herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la informacin.
La seguridad informtica comprendesoftware(bases
de datos,metadatos, archivos),hardwarey todo lo
que la organizacin valore y signifque un riesgo si esta
informacin confdencial llega a manos de otras
personas, convirtindose, por ejemplo, en informacin
privilegiada.

Principios de la seguridad
informtica

Confdenciali
dad

Integridad

Disponibilida
d

Confdencialidad
Se refere a la privacidad de
los elementos de
informacin almacenados y
procesados en un sistema
informtico, Basndose en
este principio, las
herramientas de seguridad
informtica deben proteger
el sistema de invasiones y
accesos por parte de
personas o programas no
autorizados.

Integridad
Se refere a la validez y
consistencia de los elementos
de informacin almacenados
yprocesadoren un sistema
informtico. Basndose en este
principio, las herramientas de
seguridad informtica deben
asegurar que losprocesosde
actualizacin
estn
bien
sincronizados
y
no
se
dupliquen, de forma que todos
los elementos del sistema
manipulen adecuadamente los
mismos datos.

Disponibilidad
Se refere a la continuidad de
acceso a los elementos de
informacin almacenados y
procesados en un sistema
informtico. Basndose en
este
principio,
las
herramientas de seguridad
informtica deber reforzar la
permanencia del sistema
informtico, en condiciones
de actividad adecuadas para
que los usuarios accedan a
los datos con la frecuencia y
dedicacin que requieran.

B Clasificacin de los
principales riesgos de
la seguridad informtica.

Concepto de riesgo.

de
o
tip
e
u
o
q
d
s
to
a
z
a
s
o
n
E
s
i
e
v
m
a
a
o
,
i
s
v
s
e
e
a
d
r
d
a
p
i
d
rd
li
n
i
i

s
b
p
a
s
r
r
i
o
s
r
e
g
r
a
n
s
s
u
e
o
i
r
r
v ul e n o c
e
s
m
o
as
u
l
L
d
n
e
.
s
a
ir
a
pu
c
s
u
n
e
y
r
o
od
p
s
r
n
m
p
i
e
s
c
y
e
l
s
a
r
a
a
i
l
m
o
c
r
i
p
o
a
d
f
u
n
j
i
r
par
o
e
s
e
p
m
o
d
o
t
c
s
a
d
as

m
,
g
e
,
s
o
d
s
l
e
o
o
n
c
n
o
a
is
d
ci
i
d
a
tec
d
r
c
i
s
e
n
o
.
p
l
u
s
o
m
r
a
n
l
t
o
e
c
o
o
e
o
l
r

p
t
a
n
m
d
e
e
j
,
s
e
a
co
o
i
t
d
i

deb inform
s
viru

Tipos de riesgo.

Alto.Se considera un riesgo alto cuando la amenaza

representa gran impacto dentro de la institucin u
organizacin

Medio.Se establece cuando la amenaza impacta de

forma parcial a las actividades de la organizacin o
institucin

Bajo.Cuando una amenaza no representa un ataque

importante en los procesos de una organizacin o
institucin.

Matriz de riesgo.
Constituye una herramienta de control y de
gestin normalmente utilizada para
identifcar las actividades (procesos y
productos) ms importantes de una
empresa, as como el tipo y nivel de riesgos
inherentes a estas, permite evaluar la
efectividad de una adecuada gestin y
administracin de los riesgos fnancieros que
pudieran impactar los resultados y por ende
al logro de los objetivos de una organizacin.

Concepto de
vulnerabilidad.
s
o
l
l
e

aqu
a
s
n
o
e
c
a
to d
h
s
e

u
n
m
q
s
So
o
t
n
e
a
e
d
m
m
ele
siste ataque las
l
l
e
a
u
un
q
o
a
s
s
n
o
e
e
a
p
e
z
u
a
q
pro
n
e
s
a
l
m
n
a
u
n
e
a
e
s
un
u
e
q
n
o
i
o
t
c
e
i
l
a
x
b

a
b
o
situ
t
o
r
r
p
ie
s
c
o
s
s
a
e
g
c
n
o
m
r
e
t
p
e
a
s
l
u
o
l
q
n
e
ata
e
d
o
ct
a
o
i
p
c
o
m
i
neg
.

Riesgos lgicos

Cdigos
malicioso
s:
Fuga de
informaci
n

Spam

Piratera

Ingenier
a social

Los
intrusos
informtic
os

Cdigos maliciosos:
Hace referencia a cualquier
conjunto de cdigos,
especialmente sentencias de
programacin, que tiene un fn
malicioso. Esta defnicin
incluye tanto programas
malignos compilados, como
macros y cdigos que se
ejecutan directamente, como los
que suelen emplearse en las
pginas web (scripts).

Spam:

o
e
r
r
o
c
l
e
e
u
u
q
q
a
o
d
o
d
t
a
o
d
s
i
c
E
i
c
i
l
n
b

r
u
t
o
p
c
d
i
e
s
l
e
e
n
a
e
l
i
h
t
e
n
co
no
or
p
a
l
e
u
a
q
e
d
d
a
t
i
c
i
l
o
o
i
.
r
s
l
i
a
t
a
e
i
m
p
e
o
e
pr
d
a
t
n
e
cu

Piratera:
a
r
a
p
o
l
d
a
a
g
z
e
l
ili
i
t
u
a
i
o
p
n
o
i
c
Trm rse a la rias,
s
i
e
a
r
l
r
e
a
u
te
i
s
l
ref
i
v
s
o
i
ra
d
b
u
o
a
,
de
s
le
s
a
c
o
,
i
h
e
s
r
c
a
e
r
mu
w
e
ft
d
o
s
s
o
l
o de iendo
g
n
i
r
f
in
.
r
o
t
u
a
e
d

Fuga de informacin:
Se denomina fuga de
informacin al incidente
que pone en poder de una
persona ajena a la
organizacin, informacin
confdencial y que slo
debera estar disponible
para integrantes de la
misma (tanto todos como
un grupo reducido).

Ingeniera social:
Es
la
prctica
de
obtenerinformacinconfdencial a travs de la
manipulacin deusuarioslegtimos. Es una
tcnica que pueden usar ciertas personas, tales
como investigadores privados,criminales, o
delincuentes
informticos,
para
obtener
informacin, acceso oprivilegiosensistemas de
informacinque les permitan realizar algn
acto
que
perjudique
o
exponga
lapersonauorganismocomprometido
ariesgoo abusos.

Los intrusos informticos

Son archivos cuyo propsito es invadir
la privacidad de tu computadora,
posiblemente dejando daos y
alterando el software del equipo. Entre
ellos estn: losspyware

Riesgos fsicos.
Son todos aquellos factores ambintales, de naturaleza
fsica que al ser percibidopor laspersonas, pueden
llegar a tener efectos nocivos, segn la intensidad,
concentracin y exposicin estos son:
Ruido
Vibraciones
Presiones normales
Iluminacin
Humedad
Temperaturas extremas(calor, fro)
Radiaciones ionizantes, y no ionizantes

C Recopilacin de informacin
de la
organizacin.

Organigramas
Un organigrama es la representacin grfca de la estructura de una
empresa o cualquier otra organizacin. Representan las estructuras
departamentales y, en algunos casos, las personas que las dirigen, hacen
un esquema sobre las relacionesjerrquicasy competencialesde vigor
en la organizacin.
El organigrama es un modelo abstracto y sistemtico que permite
obtener una idea uniforme y sinttica de la estructura formal de una
organizacin:
Desempea un papel informativo.
Presenta todos los elementos de autoridad, los niveles de jerarqua y la
relacin entre ellos.

Manuales de proceso:
Un manual de procedimientos es el documento que
contiene la descripcin de actividades que deben
seguirse en la realizacin de las funciones de una unidad
administrativa, o de dos mas de ellas.
El manual incluye adems los puestos o unidades
administrativas que intervienen precisando su
responsabilidad y participacin. Suelen contener
informacin y ejemplos de formularios, autorizaciones o
documentos necesarios, mquinas o equipo de ofcina a
utilizar y cualquier otro dato que pueda auxiliar al
correcto desarrollo de las actividades dentro de la
empresa.