Esta guía tiene como objetivo mejorar la seguridad de la información en pequeñas y medianas empresas que utilizan sistemas de información. Explica los riesgos que conlleva no aplicar medidas de seguridad y presenta una serie de controles estratégicos como políticas de seguridad, formación de personal, protección física y lógica de sistemas e información, y auditorías. La guía está basada en normativas legales y fue desarrollada para servir como manual que ayude a empresas a proteger sus sistemas e información conf
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
Actividad da la guia de seguridad
1. Republica Bolivariana de Venezuela.
Ministerio del Poder Popular para la Educación Universitaria.
Instituto Universitario de Tecnología de Maracaibo. Ext. Machiques.
PNF en Informática
Ingeniería del Software III
Sección: 3301-3
GUIA DE SEGURIDAD
DE LA
INFORMACIÓN PARA
PYMES
Profesora: Alumna:
Elba Reyes. María Verónica Urdaneta.
C.I. V-20.816.430
Machiques, 26 de Enero de 2013.
2. ACTIVIDAD
1. PRESENTACIÓN RESUMIDA DEL TEXTO:
Esta guía ha sido diseñada para mejorar la seguridad en pequeñas, medianas y
grandes empresas, que utilizan sistemas de información para sus procesos
internos, como manejar información confidencial, cuentas bancarias, documentos,
información de alta importancia para las empresas, que no puede ser publica y que
tendría consecuencias muy graves si llegara a estar en manos de hackers.Así
mismo, esta guía contiene una breve introducción y una serie de casos que se
evitaron gracias a que estas empresas comenzaron a aplicar la seguridad pymes y
se ahorraron mucha cantidad de dinero. Esta compuesta por ciertos apartados
estratégicos como lo son: el apartado de introducción que incluye: el marco
normativo que destaca las principales normas, estándares y leyes aplicables en
materia de la seguridad de la información.
De igual forma se da una breve explicación sobre la gestión de la seguridad de
la información, se explica que es una gestión como estrategia para abordar las
actuaciones que toda organización debe realizar en materia de seguridad de la
información. También los apartados que agrupan las medidas de seguridad: los
controles relacionados con el negocio, tales como políticas de seguridad
corporativas, acuerdos de confidencialidad; controles relacionados con el personal
que incluye la formación y la concienciación, funciones… controles relacionados
con el sistema de información, que informa sobre la seguridad física en el entorno
y soportes y la seguridad lógica en las comunicaciones. Por ultimo los controles
relacionados con la revisión del sistema que analiza la posible auditoria del
mismo.Además culmina con un apartado final, que muestra exclusivamente el
resumen de la guía, donde se da una breve descripción sobre las ideas mas
resaltantes para facilitar la lectura; y para finalizar un glosario de los términos
claves que se mostraron en el transcurso de dicha guía.
Es importante destacar que, esta guía ha sido presentada por la Consejería de
industria y Medio ambiente y la dirección general de Innovación tecnológica y
sociedad de la información, con la colaboración de la asociación Murciana de
Empresas de Tecnologías de la información y las comunicaciones (TIMUR). Esta
guía además permite, tener conocimientos sobre los riesgos que se tienen sino se
aplica la seguridad correspondiente a estos sistemas, basándose en un marco legal
que la hace convertirse en un manual de seguridad para empresas de toda
envergadura.
3. 2. RESUMEN ANALITICO:
“Los sistemas de información se han constituido como una base
imprescindible para el desarrollo de cualquier actividad empresarial; estos
sistemas han evolucionado de forma extraordinariamente veloz, aumentando
la capacidad de gestión y almacenamiento. El crecimiento ha sido constante a
lo largo de las ultimas décadas, sin embargo, esta evolución tecnológica,
también ha generado nuevas amenazas y vulnerabilidades a las
organizaciones. ”
Eustacio Viviente (2006)
Guía de Seguridad de la Información para Pymes
Para iniciar he considerado importante, esta pequeña extracción de la guía de
Seguridad de la Información para Pymes, ya que a pesar de que los sistemas de
información han venido a resolver y facilitar nuestro trabajo, también han traído
muchas consecuencias a la larga, ya que muchos son vulnerables a violaciones.
Los hackers han venido haciendo estragos con nuestros correos electrónicos,
nuestras cuentas bancarias, nuestros documentos personales, que muchas veces
están almacenados en nuestras computadoras y que sin saber están siendo
expuestos a muchas amenazas que día a día se presentan por medio de las redes.
De acuerdo a lo expuesto, esta guía ha sido creada para concientizar a todas las
personas dentro de organizaciones empresariales, ha tomar las medidas de
seguridad correspondientes, para evitar problemas posteriores que quizás les
ahorren una gran suma de dinero. De igual forma esta guía esta basada en normas,
extraídas de la legislación vigente, dentro de ella la ley orgánica de protección de
datos de carácter personal, el real decreto sobre medidas de seguridad de los
ficheros automatizados que contengan datos de carácter personal, la directiva de la
unión europea sobre la protección de las personas físicas en lo que respecta al
tratamiento de los datos personales y a la libre circulación de estos y por ultimo la
ley de servicios de la sociedad de la información y de comercio electrónico.
Por otro lado, gravedad del problema es grande, ya que mientras mas va
avanzando la tecnología, mas se va empeorando debido a la sociedad de la
información y la transferencia tecnológica, haciendo el trabajo de seguridad más
difícil. Como bien dice esta guía, “la seguridad no es un producto, es un proceso,
un proceso continuo que debe ser controlado, gestionado y monitorizado”. Pero
4. como se puede controlar, por medio de personas que estudien las medidas de
como darles la seguridad necesaria a nuestros sistemas.
Así mismo, también se habla de las características que tiene la seguridad, que
es necesario conocer para una mejor gestión de la misma:
- Disponibilidad: que todos los usuarios que están registrados y autorizados
tengan acceso al sistema cuando lo pidan.
- Integridad: que la información brindada por el sistema no este alterada y
sea la correcta.
- Confidencialidad: que la información solo pueda ser vista por los usuarios
con permisos para ello.
- Autenticidad de los usuarios del servicio: que la información que brindan
los usuarios al momento de entrar al sistema sea segura, confiable y
verificable.
- Autenticidad y origen de los datos: que los datos almacenados se
mantengan auténticos.
- Trazabilidad del servicio: que el sistema pueda determinar cuando se hizo
un dato por ejemplo, quien lo hizo y que dato hizo.
- Trazabilidad de los datos: que el sistema diga quienes y cuantas veces se
ha accedido a esos datos.
Por medio de todas estas características, se puede brindar seguridad en un
sistema de información a una empresa, así se podrá saber en un registro, por
ejemplo: María Verónica Urdaneta a las 12:00pm accedió 3 veces al archivo del
perfil de personal específicamente el de Simón Rodríguez, y altero la información,
extrajo una cantidad de información sobre las cuentas bancarias e hizo depósitos a
otras cuentas. En este momento el encargado en el área tomara medidas al
respecto, ya que sin autorización pudo haber hecho operaciones no permitidas.
Por otro lado, esta guía identifica como seis elementos importantes, para llevar
a cabo un proceso en una empresa utilizando un sistema de información, por
ejemplo: en un concesionario de automóviles llega el cliente a comprar un
automóvil, lo atiende el vendedor quien accede al equipo y abre el sistema de
información que contiene cada uno de los modelos, existencia, precios,
características de cada uno de esos automóviles, a través de la red de todo el
concesionario, hace la consulta del modelo de vehículo pedido, esa consulta llega
al servidor principal, donde están todos la información almacenada, y luego se
la brinda a su cliente. Allí se pudieron notar los seis elementos principales que
son: el vendedor, el equipo, el sistema de información, la red, el servidor y la
información, sin olvidar que cada uno de estos elementos dependen uno de otro.
5. De igual forma, los factores externos también brindan inseguridad como lo son
las amenazas del entorno, que pueden ser catástrofes como tornados,
deslizamientos de tierra, inundaciones terremotos, incendios, fallas eléctricas,
entre otros, que podrían acabar hasta con la existencia de los equipos
informáticos.
También las amenazas del sistema que podría ser que algún hardware falle, se
dañe, se queme e igual alguna falla del software. Así mismo, como están
conectados a una red se da pie a que se propaguen cantidades de virus
informáticos, que por medio de la red pueden distorsionar informaciones
confidenciales, y puertas traseras que permitan la extracción de información
privada de la empresa.
De acuerdo a esto, para reducir el riesgo en la organización, se debe tomar en
cuenta cuales son las amenazas que se vienen presentando día a día, para tener una
base e irlas atacando una a una. De lo contrario si se llegarían a hacer realidad
cada una de estas amenazas la empresa podría pagar un alto costo, por esas
debilidades.
A continuación se presentan cada uno de los controles de seguridad,
establecidos por la norma UNE ISO/IEC 17799“código de buenas practicas en
materia de la seguridad de la información”. Como primer control esta, los
controles relacionados con el negocio, y su objetivo principal es definir la política
de seguridad de la empresa, clasificar toda la información de acuerdo a la
importancia que tenga, contratos de terceros, cuando se contrata mas personal ahí
que darle a conocer las políticas de seguridad para que no se cometan actos
inseguros, y si se deben hacer cambios en estos contratos. Crear un comité de
seguridad que tomen decisiones sobre como mejorar la seguridad de la empresa, y
por ultimo que todas las acciones que se hagan dentro de la empresa sean validas.
De igual forma, como segundo punto los controles relacionados con el personal
y su objetivo es definir las funciones y las responsabilidades del personal, las
clausulas de confidencialidad, concientizar y educar al personal sobre la seguridad
de la empresa, así mismo, sus responsabilidades con el equipo, las normas de uso
de los servicios públicos, con el fin de evitar accidentes y las normas de seguridad
del correo electrónico. Como tercero los controles relacionados con los sistemas
de información, su objetivo principal es establecer los mecanismos de protección
y de acceso al sistema, el control de acceso público a las áreas de carga y
descarga, la protección contra amenazas externas y ambientales; a su vez dentro
de estos controles se encuentra la seguridad física relacionada con los soportes, se
refiere a cuando se hacen copias de seguridad, entre otras cosas, establecer las
reglas de seguridad con las salidas de las instalaciones con soportes de sistema.
Son tantas normas de seguridad que se deben tomar en cuenta, que seria
imprescindible leerse esta guía de pies a cabeza, por lo tanto yo sugiero, que se
apliquen en todas las empresas, con el fin de evitar molestias y grandes sanciones.
6. 3- ANÁLISIS CRÍTICO:
Para comenzar es necesario dar a conocer nuestro proyecto socio tecnológico
como tal, el cual está basado en un Software Educativo de mantenimiento de
computadoras en el Centro Marista de Capacitación Laboral (CEMACAL).
Según Sánchez (1995), dice que el software educativo puede ser: “Cualquier
programa computacional que cuyas características estructurales y funcionales le
permiten servir de apoyo a la enseñanza, el aprendizaje y la administración
educacional”.
De igual forma, Márquez (1995), dice: “las expresiones de software educativo,
programas educacionales, y programas didácticos como sinónimos para designar
genéricamente todo tipo de programas para computador creados con la finalidad
específica de ser utilizado como medio didáctico”.
Por otro lado Galvis (1994), especifica: “Software educativo por su rol que
cumple en el proceso de aprendizaje, es considerado como parte del material
educativo, enmarcándose como Material Educativo Computarizado”.
De acuerdo a lo expuesto, todos estos autores, coinciden en que un software
educativo colabora en el proceso de enseñanza- aprendizaje de los estudiantes, y
que de una u otra forma es un programa computarizado con material didáctico y
educativo. Ahora bien, estos programas no tienen una seguridad tan estricta como
los sistemas de información, porque un software educativo no necesita de
restricciones para ver alguna información.
Una de las bondades de nuestro software educativo es que permite hacer una
evaluación al discente luego de haber culminado la lectura del contenido, la nota
de esta evaluación al igual que el nombre y cedula del discente, serán
almacenados en una base de datos, lo cual permitirá al docente posteriormente
consultar las notas obtenidas por cada uno de sus estudiantes.
Para este proceso de consulta, obviamente se deben tener medidas de
seguridad, como el acceso a la base de datos por medio de un usuario y contraseña
única que le permita acceder a la misma, esto permite que los alumnos y otras
7. personas no puedan tener acceso a ellas y por lo tanto no pueden modificarlas, ni
borrarlas.
Así mismo, por la seguridad del conocimiento de los estudiantes, las preguntas
de dicha evaluación varían, es decir que si un estudiante desea repetir la
evaluación no aparecerán en pantalla las mismas preguntas, estas son dinámicas y
varían para cada vez que ingresen a ella.
De igual forma, la información de dicho software educativo, no podrá ser
borrada, ni modificada, ni alterada. Esas son las medidas de seguridad, que yo
pienso que se deberían tomar en cuenta en la elaboración de nuestro proyecto
como software educativo.