SlideShare una empresa de Scribd logo

Fasciculo 3

1 de 25
Descargar para leer sin conexión
1
Semestre 6
Fascículo
3
Arquitecturas de TI
Arquitecturas de TI Semestre 6
Arquitecturas de TI
Arquitecturas de TI
Semestre 6 Arquitecturas de TI
Tabla de contenido Página
Introducción 1
Conceptos previos 2
Mapa conceptual Fascículo 3 3
Logros 4
Accesos y seguridad en tecnología de la información 4
Requerimientos de acceso y seguridad 5
Evaluación de riesgos 7
Control de acceso 8
Tipos de controles de acceso 9
Control de acceso a los usuarios 10
Control de acceso a la red 13
Control de acceso al sistema operativo 15
Control de acceso a las aplicaciones 18
Actividad de trabajo colaborativo 19
Resumen 19
Bibliografía recomendada 20
Nexo 20
Seguimiento al autoaprendizaje 21
Créditos: 2
Tipo de asignatura: Teórico – Práctica
Arquitecturas de TI Semestre 6
Arquitecturas de TI
Copyright©2008 FUNDICIÓN UNIVERSITARIA SAN MARTÍN
Facultad de Universidad Abierta y a Distancia,
“Educación a Través de Escenarios Múltiples”
Bogotá, D.C.
Prohibida la reproducción total o parcial sin autorización
por escrito del Presidente de la Fundación.
La actualización de este fascículo estuvo a cargo de
JOSHEFF DAVID CÉSPEDES
Docente tutor – Programa de Ingeniería de Sistemas a Distancia.
Sede Bogotá, D.C.
Coautor
MACK UESSELER
Corrección de estilo
MARLON CARRERO R.
Diseño gráfico y diagramación a cargo de
SANTIAGO BECERRA SÁENZ
ORLANDO DÍAZ CÁRDENAS
Impreso en: GRÁFICAS SAN MARTÍN
Calle 61A No. 14-18 - Tels.: 2350298 - 2359825
Bogotá, D.C., Febrero de 2012
1
Fascículo No. 3
Semestre 6
Arquitecturas de TI
Arquitecturas de TI
Introducción
Luego de haber visto la capa de comunidades del modelo de Arquitectura
de Tecnología de la Información en la cual se analizaron las relaciones que
son creadas por los individuos y las organizaciones con el fin de dinamizar
los procesos tecnológicos, se continuará con el análisis de la capa de
accesos y seguridad.
Esta segunda capa del modelo, es considerada como el primer frente con
que el usuario relacionado (comunidades) interactúa; además se
establecen los controles de seguridad que buscan minimizar los riesgos en
el negocio.
Esta capa contempla los esquemas de seguridad, los cuales deben ser
estructurados hacia toda la infraestructura física como lógica de la
organización. La importancia de esta capa radica en que, el entorno
informático de una organización se ve afectado por la evolución de las
tecnologías de información, lo cual crea oportunidades y amenazas y
riesgos que afectan directamente los procesos de negocio de la
organización.
En consecuencia, los conceptos de confiabilidad, integridad y disponibili-
dad de la información, son pilares de los accesos y seguridad que se im-
plementa en una organización.
Para concluir, los accesos y seguridad dentro del Modelo de Arquitectura
de Tecnologías de la Información deben tener como objetivo minimizar el
riesgo y amenazas de los procesos organizacionales pero a un costo
aceptable.
2
Arquitecturas de TI
Arquitecturas de TI
Fascículo No. 3
Semestre 6
Conceptos previos
Administración de riesgos: La cultura, procesos y estructuras que están
dirigidas hacia la administración efectiva de oportunidades potenciales y
efectos adversos.
Análisis de riesgo: Un uso sistemático de la información disponible para
determinar cuán frecuentemente puede ocurrir eventos especificados y la
magnitud de sus consecuencias.
Confidencialidad: La información no se pone a disposición ni se revela a
individuos, entidades o procesos no autorizados.
Integridad: Mantenimiento de la exactitud y completitud de la información
y sus métodos de proceso.
Disponibilidad: Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o procesos
autorizados cuando lo requieran.
Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre
los objetivos. Se mide en términos de consecuencias y probabilidades
Riesgo Residual: El nivel restante de riesgo luego de tomar medidas de
tratamiento del riesgo.

Recomendados

“Seguridad efectiva” Mikel Uriarte de Nextel S.A.
“Seguridad efectiva” Mikel Uriarte de Nextel S.A.“Seguridad efectiva” Mikel Uriarte de Nextel S.A.
“Seguridad efectiva” Mikel Uriarte de Nextel S.A.Nextel S.A.
 
RIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealRIESGOS ASOCIADOS A INTERNET. Torres & Villareal
RIESGOS ASOCIADOS A INTERNET. Torres & VillarealJUAN MANUEL TORRES
 
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesCurso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionalesJack Daniel Cáceres Meza
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 

Más contenido relacionado

La actualidad más candente

Metodologia psi-nueva proyecto
Metodologia psi-nueva proyectoMetodologia psi-nueva proyecto
Metodologia psi-nueva proyectoTensor
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12):  Defensa ante ciberataques masivos  La mejor defensa: El...Ciberseguridad (12):  Defensa ante ciberataques masivos  La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...Miguel A. Amutio
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAvirgo13
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoJmishell Gomez Yepez
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticanorislay
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticasEnrique Martin
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 

La actualidad más candente (16)

Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Metodologia psi-nueva proyecto
Metodologia psi-nueva proyectoMetodologia psi-nueva proyecto
Metodologia psi-nueva proyecto
 
Cicyt
CicytCicyt
Cicyt
 
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
Ciberseguridad (12):  Defensa ante ciberataques masivos  La mejor defensa: El...Ciberseguridad (12):  Defensa ante ciberataques masivos  La mejor defensa: El...
Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El...
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocio
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practico
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Cripto
CriptoCripto
Cripto
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticas
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 

Destacado

Fasciculo iii gerencia de mercadeo
Fasciculo iii gerencia de mercadeoFasciculo iii gerencia de mercadeo
Fasciculo iii gerencia de mercadeoHector Pumarejo
 
Gerencia de sistemas de mantenimiento
Gerencia de sistemas de mantenimientoGerencia de sistemas de mantenimiento
Gerencia de sistemas de mantenimientonoeguerra
 
Toma de decisiones ejercicio no. 1 (complemento)
Toma de decisiones ejercicio no. 1 (complemento)Toma de decisiones ejercicio no. 1 (complemento)
Toma de decisiones ejercicio no. 1 (complemento)willahg
 
Caso de estudio práctico para aplicar el proceso de toma de decisiones
Caso de estudio práctico para aplicar el proceso de toma de decisionesCaso de estudio práctico para aplicar el proceso de toma de decisiones
Caso de estudio práctico para aplicar el proceso de toma de decisionesYilson Jimenez Rodriguez
 
Las tics carlos (2) movimientos1
Las tics carlos (2) movimientos1Las tics carlos (2) movimientos1
Las tics carlos (2) movimientos1cpecho
 
Stump-Xavier
Stump-XavierStump-Xavier
Stump-Xaviermryoe
 
Ferias y fiestas siachoque 2014
Ferias y fiestas siachoque 2014Ferias y fiestas siachoque 2014
Ferias y fiestas siachoque 2014nelsonboli
 
Presentación1 intensivo opinion publica unidad ii
Presentación1 intensivo opinion publica unidad iiPresentación1 intensivo opinion publica unidad ii
Presentación1 intensivo opinion publica unidad iiluisa0688
 
Análisis de estrategias de crecimiento para las pymes
Análisis de estrategias de crecimiento para las pymesAnálisis de estrategias de crecimiento para las pymes
Análisis de estrategias de crecimiento para las pymesJose Toriz
 
Trabajo1 las tics
Trabajo1 las ticsTrabajo1 las tics
Trabajo1 las ticssofis300687
 
Examen 1
Examen 1Examen 1
Examen 1mada50
 
La familia graciela
La familia gracielaLa familia graciela
La familia gracielagrasiguenza
 
Santidade nos Relacionamentos
Santidade nos RelacionamentosSantidade nos Relacionamentos
Santidade nos RelacionamentosDaniel Faria Jr.
 
主日投影片
主日投影片主日投影片
主日投影片gaanchurch
 

Destacado (20)

Fasciculo iii gerencia de mercadeo
Fasciculo iii gerencia de mercadeoFasciculo iii gerencia de mercadeo
Fasciculo iii gerencia de mercadeo
 
Fasciculo 3
Fasciculo 3Fasciculo 3
Fasciculo 3
 
Gerencia de sistemas de mantenimiento
Gerencia de sistemas de mantenimientoGerencia de sistemas de mantenimiento
Gerencia de sistemas de mantenimiento
 
Presentación gerencia de la producción
Presentación gerencia de la producciónPresentación gerencia de la producción
Presentación gerencia de la producción
 
Toma de decisiones ejercicio no. 1 (complemento)
Toma de decisiones ejercicio no. 1 (complemento)Toma de decisiones ejercicio no. 1 (complemento)
Toma de decisiones ejercicio no. 1 (complemento)
 
Caso de estudio práctico para aplicar el proceso de toma de decisiones
Caso de estudio práctico para aplicar el proceso de toma de decisionesCaso de estudio práctico para aplicar el proceso de toma de decisiones
Caso de estudio práctico para aplicar el proceso de toma de decisiones
 
Las tics carlos (2) movimientos1
Las tics carlos (2) movimientos1Las tics carlos (2) movimientos1
Las tics carlos (2) movimientos1
 
Stump-Xavier
Stump-XavierStump-Xavier
Stump-Xavier
 
Caperusita roja
Caperusita rojaCaperusita roja
Caperusita roja
 
Ferias y fiestas siachoque 2014
Ferias y fiestas siachoque 2014Ferias y fiestas siachoque 2014
Ferias y fiestas siachoque 2014
 
Presentación1 intensivo opinion publica unidad ii
Presentación1 intensivo opinion publica unidad iiPresentación1 intensivo opinion publica unidad ii
Presentación1 intensivo opinion publica unidad ii
 
Abrigos
AbrigosAbrigos
Abrigos
 
Análisis de estrategias de crecimiento para las pymes
Análisis de estrategias de crecimiento para las pymesAnálisis de estrategias de crecimiento para las pymes
Análisis de estrategias de crecimiento para las pymes
 
Practica
PracticaPractica
Practica
 
Trabajo1 las tics
Trabajo1 las ticsTrabajo1 las tics
Trabajo1 las tics
 
Examen 1
Examen 1Examen 1
Examen 1
 
La familia graciela
La familia gracielaLa familia graciela
La familia graciela
 
Santidade nos Relacionamentos
Santidade nos RelacionamentosSantidade nos Relacionamentos
Santidade nos Relacionamentos
 
Prueba
PruebaPrueba
Prueba
 
主日投影片
主日投影片主日投影片
主日投影片
 

Similar a Fasciculo 3

Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria  ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria  ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...xavazquez
 
Soluciones tecnológicas de seguridad
Soluciones tecnológicas de seguridadSoluciones tecnológicas de seguridad
Soluciones tecnológicas de seguridadIkusi Velatia
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustadoModulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustadoJavier Cárdenas
 
Metodologia-PSI-NUEVAProyecto.pdf
Metodologia-PSI-NUEVAProyecto.pdfMetodologia-PSI-NUEVAProyecto.pdf
Metodologia-PSI-NUEVAProyecto.pdfyormis3
 
Curso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 RiesgosCurso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 RiesgosJack Daniel Cáceres Meza
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informáticaivargasem119
 
Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en  seguridad informática y audit...Opción de grado seminario de profundización en  seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...Tabodiaz
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 

Similar a Fasciculo 3 (20)

Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria  ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria  ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
 
Soluciones tecnológicas de seguridad
Soluciones tecnológicas de seguridadSoluciones tecnológicas de seguridad
Soluciones tecnológicas de seguridad
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Modulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustadoModulo sgsi 233003 ajustado
Modulo sgsi 233003 ajustado
 
Metodologia-PSI-NUEVAProyecto.pdf
Metodologia-PSI-NUEVAProyecto.pdfMetodologia-PSI-NUEVAProyecto.pdf
Metodologia-PSI-NUEVAProyecto.pdf
 
Curso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 RiesgosCurso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 Riesgos
 
Metodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad InformáticaMetodología para Elaboración de un Plan de Seguridad Informática
Metodología para Elaboración de un Plan de Seguridad Informática
 
Opción de grado seminario de profundización en seguridad informática y audit...
Opción de grado seminario de profundización en  seguridad informática y audit...Opción de grado seminario de profundización en  seguridad informática y audit...
Opción de grado seminario de profundización en seguridad informática y audit...
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Seguridad
SeguridadSeguridad
Seguridad
 
Proyecto tecnopedagógico
Proyecto tecnopedagógicoProyecto tecnopedagógico
Proyecto tecnopedagógico
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 

Fasciculo 3

  • 2. Arquitecturas de TI Semestre 6 Arquitecturas de TI
  • 3. Arquitecturas de TI Semestre 6 Arquitecturas de TI Tabla de contenido Página Introducción 1 Conceptos previos 2 Mapa conceptual Fascículo 3 3 Logros 4 Accesos y seguridad en tecnología de la información 4 Requerimientos de acceso y seguridad 5 Evaluación de riesgos 7 Control de acceso 8 Tipos de controles de acceso 9 Control de acceso a los usuarios 10 Control de acceso a la red 13 Control de acceso al sistema operativo 15 Control de acceso a las aplicaciones 18 Actividad de trabajo colaborativo 19 Resumen 19 Bibliografía recomendada 20 Nexo 20 Seguimiento al autoaprendizaje 21 Créditos: 2 Tipo de asignatura: Teórico – Práctica
  • 4. Arquitecturas de TI Semestre 6 Arquitecturas de TI Copyright©2008 FUNDICIÓN UNIVERSITARIA SAN MARTÍN Facultad de Universidad Abierta y a Distancia, “Educación a Través de Escenarios Múltiples” Bogotá, D.C. Prohibida la reproducción total o parcial sin autorización por escrito del Presidente de la Fundación. La actualización de este fascículo estuvo a cargo de JOSHEFF DAVID CÉSPEDES Docente tutor – Programa de Ingeniería de Sistemas a Distancia. Sede Bogotá, D.C. Coautor MACK UESSELER Corrección de estilo MARLON CARRERO R. Diseño gráfico y diagramación a cargo de SANTIAGO BECERRA SÁENZ ORLANDO DÍAZ CÁRDENAS Impreso en: GRÁFICAS SAN MARTÍN Calle 61A No. 14-18 - Tels.: 2350298 - 2359825 Bogotá, D.C., Febrero de 2012
  • 5. 1 Fascículo No. 3 Semestre 6 Arquitecturas de TI Arquitecturas de TI Introducción Luego de haber visto la capa de comunidades del modelo de Arquitectura de Tecnología de la Información en la cual se analizaron las relaciones que son creadas por los individuos y las organizaciones con el fin de dinamizar los procesos tecnológicos, se continuará con el análisis de la capa de accesos y seguridad. Esta segunda capa del modelo, es considerada como el primer frente con que el usuario relacionado (comunidades) interactúa; además se establecen los controles de seguridad que buscan minimizar los riesgos en el negocio. Esta capa contempla los esquemas de seguridad, los cuales deben ser estructurados hacia toda la infraestructura física como lógica de la organización. La importancia de esta capa radica en que, el entorno informático de una organización se ve afectado por la evolución de las tecnologías de información, lo cual crea oportunidades y amenazas y riesgos que afectan directamente los procesos de negocio de la organización. En consecuencia, los conceptos de confiabilidad, integridad y disponibili- dad de la información, son pilares de los accesos y seguridad que se im- plementa en una organización. Para concluir, los accesos y seguridad dentro del Modelo de Arquitectura de Tecnologías de la Información deben tener como objetivo minimizar el riesgo y amenazas de los procesos organizacionales pero a un costo aceptable.
  • 6. 2 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Conceptos previos Administración de riesgos: La cultura, procesos y estructuras que están dirigidas hacia la administración efectiva de oportunidades potenciales y efectos adversos. Análisis de riesgo: Un uso sistemático de la información disponible para determinar cuán frecuentemente puede ocurrir eventos especificados y la magnitud de sus consecuencias. Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. Disponibilidad: Acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Riesgo: La posibilidad de que suceda algo que tendrá un impacto sobre los objetivos. Se mide en términos de consecuencias y probabilidades Riesgo Residual: El nivel restante de riesgo luego de tomar medidas de tratamiento del riesgo.
  • 7. 3 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Mapa conceptual Fascículo 3
  • 8. 4 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Al finalizar el estudio de este fascículo el estudiante:  Comprende el concepto de seguridad, llevándolo al contexto de seguri- dad de la información.  Identifica los conceptos de confiabilidad, integridad y disponibilidad de la información como pilar de la seguridad Informática.  Reconoce alguno de los controles de seguridad que se deben implantar con el fin de proveer integridad, confiabilidad y disponibilidad de la in- formación. Accesos y seguridad en tecnología de la información Figura 3.1. Seguridad de la Información. Tomado de http://www.izaro.com/contenidos/ver.php?id=es&se=3&su=30&co=1294246491 La información, los procesos, sistemas y redes que brindan apoyo se constituyen como importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial. En las organizaciones, la infraestructura de tecnología de la información que se encuentra constituida por las redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. LogrosLogrosLogros
  • 9. 5 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Las comunidades, que son la primera capa de la Arquitectura de Tecnología de la Información, interactúan directamente con los accesos a los sistemas, y las implementaciones en cuanto a políticas de seguridad se refieren. Por lo tanto, en un esquema de acceso y seguridad, se debe proveer de controles que permitan minimizar los riesgos derivados del accionar de las comunidades, ya sea de manera voluntaria o involuntaria. Por lo tanto, proveer controles físicos, y de seguridad se debe realizar por frentes. La gestión debe estar respaldada y formalizada dentro de los procesos de la organización. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige como mínimo, la participación de todas las comunidades que intervienen en la organización. (ISO/IEC, 2007) Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño. Requerimientos de Acceso y Seguridad Figura 3.2. Tríada de Seguridad Informática. Tomado de: http://www.mattica.com/wp-content/uploads/2004/06/TriadaSeguridadInformatica-300x260.jpg
  • 10. 6 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Para establecer las necesidades de los accesos y seguridad que le permitirán a la organización minimizar los riesgos asociados a las amenazas, existen tres recursos con los se pueden identificar los requisitos en cuanto a seguridad (Administración del Riesgo, 1999), éstos se mencionan a continuación: 1. Las evaluaciones de riesgos que enfrenta la organización. Con esta evaluación se logra identificar las amenazas que enfrenta la Arquitectura de la Tecnología de la información, además de las vulnerabilidades y probabilidades de ocurrencia, estimando el impacto potencial. 2. Los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios. 3. Los procesos, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones. En Colombia la legislación en materia de seguridad Informática es la Ley 1273 de 2009, con la cual se adiciona al Código Penal el Título VII denominad “De la Protección de la información y de los datos”. 3.1. Determine cómo se relacionan los conceptos de confidencialidad, dis- ponibilidad e integridad de la información.
  • 11. 7 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Para la evaluación de riesgos se puede consultar en (Administración del Riesgo, 1999), las metodologías y pautas que permiten desde su identificación, evaluación, y si es el caso aceptación. Los controles permiten minimizar el riesgo, es decir, un riesgo residual que por razones ya sea de costos u ocurrencia, se convierte en un riesgo aceptado. Evaluación de riesgos Figura 3.3. Tríada de Seguridad Informática. Tomado de: http://www.lomasnuevo.net/wp-contentupl/2008/12/ciberterrorismo.png La evaluación de riesgos es un proceso metódico que permite la identificación de las amenazas a los procesos que afronta toda la estructura de tecnología de la información de la organización. Para poder realizar una correcta evaluación de riesgos, se hace necesario tener en cuenta aspectos como el impacto y la probabilidad de ocurrencia. (ISO and Comisión International Electrotechnical Commission., 2009). El Impacto permite cuantificar las consecuencias por pérdida de la confi- dencialidad, integridad y disponibilidad de la información. Además, este tipo de consecuencias pueden repercutir en la información. Por otro lado, la probabilidad de ocurrencia, se debe definir según las vulnerabilidades y amenazas que pueden ser predominantes en la Arquitectura. Luego de haber realizado la evaluación de riesgos, se procede a determinar los controles que permitirán seleccionar los controles que mitigaran su impacto. Los procesos de evaluación deben ser periódicos, con el fin de tenerlos actualizarlos a fin de reflejar los cambios de requerimientos y prioridades de la organización. Además, se deben considerar, las nuevas vulnerabilidades y amenazas que afronta la organización, y realizar la revisión periódica de los controles con el fin de tenerlos actualizados y eficientes. (iso27000.es, 2005)
  • 12. 8 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 3.2. Desarrolle un análisis de riesgos de (mínimo 10 páginas) sobre el pro- ceso de creación de usuarios que tiene la Universidad San Martin o cualquier otra universidad. Control de Acceso Figura 3.4. Control de acceso físico. Tomado de http://t0.gstatic.com/images?q=tbn:ANd9GcTEAuDAk0tv0Sx5TYz6zPeSqrPOA5P7n2zsHJf_-mSvn0Z9_tDcCNO90EaMnA Luego de haber identificado y evaluado los riesgos de seguridad, se deben seleccionar e implementar controles que garanticen la mitigación de los riesgos. De ahí, toma gran importancia una política de administración de riesgos (Administración del Riesgo, 1999), que debe tener en cuenta el costo de implementar los controles que logren minimizar su impacto y la pérdida de la información. Por lo tanto, parte del estudio de este fascículo va enfocado en desarro- llar los tipos de controles que permitan limitar los accesos y proveer se- guridad basada siempre en los principios de confiabilidad, integridad y disponibilidad de la información. Otras características adicionales a la confiabilidad, integridad y disponibilidad de la información, son la autenticación, no repudio, y auditoria. De igual forma, una de las principales finalidades de la implementar los sistemas de controles de acceso es limitar el ingreso a la información y a
  • 13. 9 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 La premisa que rige la segu- ridad de la información se fundamenta en que en los dispositivos se debe realizar la negación de todas peticio- nes –inicialmente– y luego habilitar los permisos. los procesos de organizaciones, que deben ser diseñados con base a re- querimientos establecidos previamente. 3.3. Investigue sobre los métodos de control de accesos más seguros que existen en el mundo. Tipos de controles de acceso Al momento de implementar los controles de acceso como medida de se- guridad, éstos se deben fijar con base en un conjunto de reglas y requeri- mientos que depende del esquema de la organización, como una caracte- rización de los usuarios definiéndolos en grupos y clases, restricción de privilegios, entre otras. (ISO and Comisión International Electrotechnical Commission., 2009) Dicho conjunto de reglas y requerimientos deben ser constituidos como una política dentro de la organización y, contemplar algunos aspectos como los que se mencionan a continuación: a) Requerimiento de seguridad en las aplicaciones y comunidades. b) Divulgación de los procesos de seguridad de la organización. Este aspecto va de la mano de una concienciación de la importancia de blindar la información organizacional. c) Las políticas de seguridad no puede ir contra de las legislación. d) Se deben crear perfiles de usuarios que tengan en cuenta la categoría, el nivel dentro de la organización, salario, el tipo de información que se maneja. De lo anterior, se concluye que la implementación de los controles consi- dera aspectos como el tipo de reglas que los usuarios deben cumplir de forma estricta y las que son opcionales. Además, la seguridad de la infor- mación aplica la premisa que “Todo está prohibido a menos que sea
  • 14. 10 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 permitido expresamente” (ISO/IEC, 2007). Al implementar la premisa an- terior, se da por sentado que en materia de seguridad todo se encuentra restringido, y que la organización debe trabajar sobre lo que se debe habi- litar y/o permitir a las comunidades. Control de acceso a los usuarios Este tipo de control de acceso tiene como finalidad impedir el ingreso no autorizado a los sistemas de información. Para lograrlo, se deben aplicar procedimientos que establezcan cómo es la asignación de los permisos y privilegios de los usuarios a los sistemas de información. (ISO/IEC, 2007) Estos controles deben abarcar desde que el usuario ingresa hasta que fi- naliza la sesión en los sistemas de información. Por lo tanto, las restriccio- nes a los usuarios inician con el proceso de registro del usuario, continúan con la asignación de privilegios, luego con unas reglas de contraseña se- gura e incluyen además, la auditoría y finalizan con la terminación de la sesión. Cuando un usuario se registra o termina la sesión en algún sistema de in- formación de la organización, debe existir un conjunto de garantías que permitan hacer seguimiento e identificarlos, como la utilización de identifi- cadores (ID's). Estos deben ser verificados y actualizados periódicamente. (iso27000.es, 2005). Además, las acciones de ingreso y salida de los sis- temas de información deben quedar reportadas en el LOG de los equipos, con el fin de poder hacer auditoría que permite revisar periódicamente si estos accesos son realizados según el perfil de cada usuario o grupo. Un ejemplo de administración de privilegios es el Active Directory de los sistemas Microsoft.
  • 15. 11 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 El rol de un usuario se puede definir desde dos perspecti- vas. La primera, en cuanto a su función dentro de la orga- nización (Técnico, profesio- nal, directivo, gerente, presi- dente) y la segunda, según la dependencia en que labora (Recursos Humanos, Admi- nistrativa, Financiera, Conta- bilidad, Tesorería, Tecnolog- ía) y que va ligada a los sistemas de información con los que trabaja. Por otra parte, la administración de privilegios debe limitar y controlar la asignación del rol de cada usuario, es decir, esta característica tiene como principal función establecer los parámetros y reglas necesarias que restrin- jan el acceso a los sistemas de información, basada en un perfil. De una buena construcción de los perfiles se puede garantizar parte del éxito de que los controles de acceso a los usuario, dado que estas restricciones son aplicables a todos los sistemas de información en conjunto. La forma de asignar los perfiles a los usuarios debe cumplir buenas prácti- cas como: identificar el tipo de permiso por sistemas de información, es decir, asignar restricciones a los sistemas operativos, bases de datos, apli- caciones de forma distinta dad la diversidad de formas para su operación. Aunado a esto, los privilegios se deben asignar según el grado de utiliza- ción del Sistema de Información por parte del usuario, es decir, que si so- lamente un usuario necesita hacer consultas en la base de datos con el fin de buscar información, se deben aplicar los permisos de lectura única- mente. Ahora, la forma de asignar los privilegios debe partir de una autori- zación por parte de un directivo de la organización que tenga la compe- tencia administrativa y técnica para tales efectos. Siguiendo con las características que se deben tener en cuenta al momen- to de la construcción de roles y perfiles que permitan la implementación de controles a los usuarios, la administración de las contraseñas se convierten en el medio validador de la identidad de un usuario. Por consiguiente, dentro de la organización debe existir una política de administración de contraseñas, que tenga en cuenta la confidencialidad al momento de utilizarla y que sea “segura”.
  • 16. 12 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Cabe anotar que una buena administración de contraseñas va de la mano de concientizar y responsabilizar al usuario sobre el im- pacto que tendría su uso indebido. La confidencialidad de las contraseñas de usuarios se da cuando se man- tienen en secreto y son almacenadas en sistemas de información con algún tipo de cifrado. Cuando una contraseña es asignada a un usuario por primer vez, ésta debe ser de carácter temporal a fin de proteger la confidencialidad de la información. Se definen tres parámetros para determinar que una contraseña es segura: 1. Que tenga caracteres alfabéticos. 2. Que tenga caracteres especiales. 3. Que tenga caracteres numéricos. Se dice que una contraseña es segura si cumple dos de los tres paráme- tros anteriores. (ISO/IEC, 2007). Otros aspectos que logran blindar de ma- yor seguridad a las contraseñas es que su longitud sea mayor de 7 carac- teres y que no se encuentre en un diccionario. El ciclo de vida de las con- traseñas también se debe definir como política organizacional, por lo gene- ral es de 30 días. Por último, se tiene que dentro de los controles a los usuarios se deben contemplar los procesos de revisión y auditoría a los perfiles que han sido creados. Esto, con el fin de encontrar fallas y anomalías en la asignación de estos roles. Una práctica común en las organizaciones es que algunos permisos solicitados temporalmente, como accesos especiales a las bases de datos, o sistemas operativos, se vuelven permanentes, en consecuen- cia resulta pertinente su revisión periódica.
  • 17. 13 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 El camino forzado hace referencia a que la conexión que se realiza entre al termi- nal y el servidor donde se encuentran los sistemas de información, se debe realizar con el dispositivo de seguri- dad ya sea proxy, firewall, detector de intrusos, entre otros. Control de acceso a la red Figura 3.5. Estructura de una Zona Desmilitarizada. Tomado de http://1.bp.blogspot.com/-LF4FXjqtq2k/TjI-290Xe2I/AAAAAAAAAAg/hg1UzNXu0og/s1600/DMZ_jpg.png Estos controles tiene como finalidad la protección de los servicios de la red. Para lograrlo se deben asegurar todos los accesos a la red, ya sean internos o externos. Con la implementación de estos controles se garanti- za una autenticación apropiada para las comunidades y equipos, y el con- trol de acceso a los sistemas de información en general. Igual que en los controles a los sistemas de información, los controles a la red deben partir de una política de utilización del servicio, es decir, esta- blecer las reglas que logren proporcionar una conexión segura. (ISO/IEC, 2007) Un claro ejemplo de esto, es utilizar métodos de cifrados en el acce- so a la red por medio inalámbrico como el cifrado de contraseñas. Estos controles encierran la red y servicios que las comunidades acceden para procesar información, además, contemplan procedimientos de autori- zación para los usuarios que tienen acceso, junto con la gestión que per- mite proteger los servicios. Una buena práctica en los controles de acceso a la red es implementar un camino forzado, que se refiere en tener el completo dominio de la trayecto-
  • 18. 14 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Una VPN se define como una red segura dentro de una red pública (Insegura). Es así como se logra acceder a la red de la organización por medio de Internet que es una red netamente pública. ria que hay desde el equipo del usuario hasta el servicio. (ISO/IEC, 2007). Con esta técnica se evita que los usuarios utilicen otro tipo de rutas para acceder a la red, y que solamente acceda el usuario con privilegios. Algu- nos equipos permiten establecer este tipo de controles, como son los fi- rewall por medio de las VPN, los proxys, ya que se limita la navegación en la red aplicando un conjunto de reglas y restricciones. Dentro de las tareas descritas anteriormente, el control de acceso a la red debe permitir el control de las conexiones a la red, haciendo mayor énfasis en aquellas que se encuentran por fuera de la organización. Una forma de realizarlos es por medio de la implementación de gateway, las cuales sir- ven como puente entre el equipo del usuario y la salida a la red pública (Internet), y en las que se filtra el tráfico de la red. Cabe resaltar, que estos controles al igual que las configuraciones de los dispositivos, deben man- tenerse actualizados a fin de evitar problemas de seguridad. Dentro de las aplicaciones que hay en la organización se tienen: el correo electrónico, los servidores de archivos (FTP), el acceso remoto y demás servicios que demanden un intercambio de información sensible.
  • 19. 15 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Control de acceso al sistema operativo Figura 3.6. Estructura de Active Directory. Tomado de: http://pcexpertos.com/wp-content/uploads/2009/10/active-directory-manageability-security-interoperability.gif El Active Directory de las redes Microsoft es considerado un de control de acceso al sistema operativo. Los controles de acceso al sistema operativo se implementan con el fin de impedir el acceso sin autorización a la terminal de usuario (computador, dispositivo portátil, entre otros). En este tipo de controles se deben des- arrollar todos los mecanismos que logren proveer de seguridad y restringir el acceso a las terminales de usuario. Para hacerlo, es necesario imple- mentar un conjunto de acciones, que van desde la identificación de la identidad del usuario, la toma de acciones en caso de presentarse un alto número de intentos fallidos de acceder al sistema operativo, tener medios de autenticación que permitan una confiabilidad en las contraseñas (iso27000.es, 2005), entre otros.
  • 20. 16 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Los ID’s son utilizados y únicos por usuario. Es una buena práctica que un usua- rio se pueda autenticar con el mismo ID y contraseña desde cualquier terminal. Un primer paso, que permite llegar a la implementación de los controles de acceso a los sistemas operativos, es tener mecanismos que logren identifi- car las terminales de donde se conectan los usuarios, ya sea por medio de un nombre o dirección, además esta identificación debe tener la capacidad de ser auditada. Por consiguiente, esta identificación debe ser física y lógi- ca. La identificación física de las terminales por medio de controles de ac- ceso a los sistemas operativos se hace básicamente con el etiquetado de la terminal, es decir, una secuencia de números que permitan determinar su procedencia. La identificación lógica va encaminada hacia los protoco- los que se deben utilizar para especificar la procedencia de la petición. Al- gunos ejemplos, son los protocolos de nombre como es el caso del proto- colo IP, o NETBIOS de Windows, donde la terminal se le asigna un nombre y puede ser ubicada en la red. El proceso de identificar las terminales de usuario se debe aplicar a todos los equipos que permitan acceder a la red, ya sean equipos portátiles, es- critorios, PDA, celulares entre otros. Para lograrlo se utilizan técnicas de identificación del usuario, como la utilización de ID's que autentiquen el proceso de ingreso a la red. De ahí que para la identificación de los usuarios que se realiza por medio de procesos de autenticación, es necesario implementar a todos sin ex- cepción, sin importar perfil o cargo, una cuenta única o identificador como ID's. Esto, con el fin de poder realizar un proceso de auditoría y tener un control sobre los accesos al sistema operativo. Un factor importante, que se ciñe a tener una buena política de identificación de usuarios, es que en caso de que un usuario haya realizado algún tratamiento indebido a la in- formación de la organización, se pueda rastrear por medio del ID que in- gresó en el momento de la falta; es por eso que la confidencialidad de los ID's y las contraseñas de cada usuario son factores de gran importancia en el control de acceso a los sistemas operativos.
  • 21. 17 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Lo anterior si bien expone la importancia de que los usuarios y comunida- des de la organización tengan un identificador único (ID's), con contrase- ñas seguras, el proceso de gestionar las contraseñas como validador de la identidad del usuario, debe tener un sistema que permita ejercer un con- trol sobre la seguridad de las contraseñas de los usuarios. Los sistemas de gestión de contraseñas deben primero validar que la con- traseña que el usuario está ingresando corresponda con los parámetros de seguridad que se describieron con anterioridad, además debe establecer tiempos máximos de caducidad de las contraseñas, pero dejando como opción que el usuario la pueda cambiar en cualquier momento. (ISO/IEC, 2007). Otro parámetro importante en la gestión de contraseñas es el histo- rial de un número determinado de contraseñas anteriores del usuario, esto con el fin de que no se puedan reutilizar. La implementación de estos controles tiene características como: la im- plementación de alarmas silenciosas, limitar los tiempos de conexión – incluye por tiempo de no utilización y por hora–, que complementa un buen esquema de control de acceso al sistema operativo. La utilización de alarmas silenciosas permite no alertar al usuario en caso de que esté infringiendo alguna política de seguridad de la organización, e iniciar procesos de seguimiento y disciplinarios hacia este tipo de conduc- tas sospechosas. (ISO and Comisión International Electrotechnical Commission., 2009) Limitar los tiempos de conexión también es una buena práctica dentro de un esquema de control de acceso al sistema operativo (cuando un usuario no cierra la sesión o no se encuentre presente en el equipo, éste se debe cerrar y de esta forma se evitan accesos no autoriza- dos y robo de información. Además, esta buena práctica incluye que se limite el acceso a los equipos en días u horas no hábiles.
  • 22. 18 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Cada una de las buenas prácticas enunciadas contribuye a tener un siste- ma de control de acceso a los sistemas operativos, con mínimos riesgos de ingresos no autorizados a la red y, evita la pérdida y/o robo de infor- mación sensible para la organización. Control de acceso a las aplicaciones Con la implementación de estos controles se impide el acceso no autori- zado a la información de la organización y se restringen los accesos lógi- cos al software y a la información por medio de controles definidos dentro de una política organizacional. (iso27000.es, 2005) Estos controles se basan en restricciones que se deben imponer a los Sis- temas de Información, como ERP, bases de datos, documentación sensi- ble, entre otros. Para hacerlo se implementan políticas que abarcan la im- plementación de controles lógicos y la confidencialidad de la información. Los controles lógicos conllevan la aplicación de restricciones de archivos sensibles, como la limitación al acceso o los derechos de autor como lec- tura, escritura, modificación y ejecución. Por otro lado, la confidencialidad de la información juega un papel importante en este tipo de controles, de- bido a que la información sobre la ubicaciones de los archivos sensibles a la organización solamente debe conocerla un grupo privilegiado de usua- rios que por motivos de su rol dentro del a organización deba conocerla. 3.4. Defina al menos tres ejemplos de controles de acceso a los sistemas operativos, aplicaciones a la red, luego determine cómo estos controles pueden proveer confiabilidad, integridad y disponibilidad en la informa- ción.
  • 23. 19 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 1. Realice un cuadro comparativo entre los diferentes productos/software que permiten limitar el acceso a la red, teniendo en cuenta aspectos como seguridad, escalabilidad, costos, calidad de servicio, administración, y concluya extrayendo las ventajas y desventajas de los productos investigados. 2. Establezca una estrategia para definir cuándo un control se encuentra dentro del rango de costo aceptable en una organización. 3. Investigue sobre las técnicas que permiten la identificación de riesgos y administración de controles. Desarrolle la identificación de riesgos al proceso de compras de una compañía. 4. Diseñe un esquema de perfiles que contenga al menos cinco niveles. Luego establezca las políticas de controles de acceso y de administración de perfiles de usuario. Los accesos y seguridad dentro de la Arquitectura de Tecnología de la In- formación constituyen la primera capa con que los usuarios y comunida- des interactúan, es decir, lo más próximo hacia el usuario final. Un esquema de seguridad debe estar fundamentado en la mitigación de los riesgos que podrían impactar en el negocio de la organización. Éstos se deben implementar para minimizar los riesgos y aplicarse en los acce- sos, ya sea a la Red, a los Sistemas Operativos, Aplicaciones, entre otros. Por lo tanto, de la implementación de unos controles eficaces, actualiza- bles, evaluados, y consecuentes con las buenas prácticas depende la seguridad del esquema. El objetivo primordial de la Seguridad es proveer Confiabilidad, Integridad y Disponibilidad de la Información, por medio de la minimización de los riesgos y a través de la aplicación de controles.
  • 24. 20 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 Administración del Riesgo. (1999). AS/NZS. ISO and Comisión International Electrotechnical Commission. (2009). ISO/IEC 27001. ISO/IEC. ISO/IEC. (2007). Guía de buenas prácticas que describe los objetivos de control y controles recomendables. ISO/IEC. iso27000.es. (2005). ISO 27001: Sistemas de Gestión de la Seguridad de la Información. Recuperado el 1 de Octubre de 2011, de: http://www.iso27000.es/ Hasta aquí, la Arquitectura de Tecnología de la Información, ha estudiado las comunidades, la relación que hay entre un conjunto de roles, y los ac- cesos y seguridad como primer frente hacia el usuario final, con la necesa- ria provisión de confiabilidad, integridad y disponibilidad de la informa- ción; ahora se avanzará en el modelo de servicios que se implementan dentro de una estructura de Tecnología de la Información. Los servicios y aplicaciones son en cierta medida las herramientas que permiten a los usuarios automatizar sus procesos y aumentar la producti- vidad dentro de la organización. En consecuencia, en el siguiente fascículo se abordaran los modelos que permiten prestar un diseño de servicios óptimo encaminado hacia el negocio de la organización.
  • 25. 21 Arquitecturas de TI Arquitecturas de TI Fascículo No. 3 Semestre 6 SeguimientoalautoaprendizajeSeguimientoalautoaprendizajeSeguimientoalautoaprendizaje Arquitecturas de TI - Fascículo No. 3 Nombre_______________________________________________________ Apellidos ________________________________ Fecha: _________________ Ciudad___________________________________Semestre: _______________ Preguntas de opción múltiple con única respuesta. 1. Los controles permiten: a) Limitar la utilización de los recursos de la organización. b) Minimizar el riesgo en los procesos de la organización. c) Identificar las amenazas de los procesos organizaciones. 2. Una características de los controles es: a) Facilidad en su configuración. b) Que estén de acuerdo con el negocio de la organización. c) Tengan un costo aceptable. 3. Los controles a los sistemas operativos permiten: a) Limitar el acceso a los usuarios a las terminales. b) Limitar el acceso de las terminales a las aplicaciones. c) Definir las políticas y roles de la organización. 4. Los controles a las aplicaciones permiten: a) Impedir el acceso no autorizado a la información de la organización. b) Limitar el acceso de las terminales a las aplicaciones. c) Definir las políticas y roles de la organización.