10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural-3.1 Libertad de información y sus aplicaciones

1. Unidad 3: Tecnologías y sistemas de
información y su impacto sociocultural
3.1 Libertad de información y sus implicaciones
socio-tecnológicas
Introducción a los Sistemas de Información
Modalidad de estudios: Presencial
Mg. Luis Fernando Aguas Bucheli
+593 984015184
@Aguaszoft
Laguas@uisrael.edu.ec
Lfabsoft2019@gmail.com

2. Objetivos del encuentro:
1. Adquirir los conceptos básicos relacionados con la
tendencia de la libertad de información
2. Reconocer las características de la tendencia de la
libertad de información
Semana Nro. 10

3. Frase Motivacional
“Si no sueltas el pasado, ¿con qué
mano agarras el futuro?.”

4. Porqué hablar de la Seguridad
de la Información?
 Porque el negocio se sustenta a partir de la
información que maneja.....

5. Entorno
Sistemas de
Información
Estrategia de
negocio
Funciones y procesos de
negocio
Planificación de
Objetivos
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Control (de resultados de
acciones contra objetivos)
Registro de
transacciones
Transacciones
ORGANIZACION

6.  Porque no sólo es un tema Tecnológico.
 Porque la institución no cuenta con
Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.

7. CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente

8.  Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........

9. Reconocer los activos de
información importantes para la
institución..
 Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
 Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
 Software: aplicaciones, sistemas operativos,
utilitarios.
 Físicos: equipos, edificios, redes
 Recursos humanos: empleados internos y externos
 Servicios: electricidad, soporte, mantención.

10. Reconocer las Amenazas a que
están expuestos...
 Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
 Ejemplos:
– Desastres naturales (terremotos, inundaciones)
– Errores humanos
– Fallas de Hardware y/o Software
– Fallas de servicios (electricidad)
– Robo

11. Reconocer las Vulnerabilidades
 Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
 Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola persona
– Infraestructura insuficiente

12. Identificación de Riesgos
 Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
 Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)

13. Contexto general de
seguridad
Propietarios
valoran
Quieren minimizar
Salvaguardas
definen
Pueden tener
conciencia de
Amenaz
a s explotan
Vulnerabili
dades
Permiten o
facilitan
Daño
RECURSOSQue pueden
tener
Reducen
RIESGO

14. Principales problemas:
 No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
 No se puede medir la severidad y la probabilidad
de los riesgos.
 Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
 Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.

15. ¿Qué es una Política?
 Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .

16. ¿Cómo debe ser la política de
seguridad?
 Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
 Rayar la cancha con respecto al uso de los
recursos de información.
 Definir la base para la estructura de seguridad de
la organización.
 Ser un documento de apoyo a la gestión de
seguridad informática.
 Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.

17.  Ser general , sin comprometerse con tecnologías
específicas.
 Debe abarcar toda la organización
 Debe ser clara y evitar confuciones
 No debe generar nuevos problemas
 Debe permitir clasificar la información en
confidencial, uso interno o pública.
 Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.

18. Qué debe contener una
política
de seguridad de la información?
 Políticas específicas
 Procedimientos
 Estándares o prácticas
 Estructura organizacional

19. Políticas Específicas
 Definen en detalle aspectos específicos que
regulan el uso de los recursos de información y
están más afectas a cambios en el tiempo que la
política general.
 Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa
podrá monitorear el uso de los correos en caso que se sospeche
del mal uso”

20. Procedimiento
 Define los pasos para realizar una actividad
 Evita que se aplique criterio personal.
 Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creación de cuenta, identificando claramente los
sistemas a los cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario
a través del Sistema de Administración de privilegios y
asignará una clave inicial para que el usuario acceda
inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de
la cuenta al usuario e instruirá sobre su uso.

21. Estándar
 En muchos casos depende de la tecnología
 Se debe actualizar periódicamente
 Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro
computacional identificando los números de serie de
componente y llenar formulario de traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC

22. Que se debe tener en cuenta
 Objetivo: qué se desea lograr
 Alcance: qué es lo que protegerá y qué áreas serán
afectadas
 Definiciones: aclarar terminos utilizados
 Responsabilidades: Qué debe y no debe hacer
cada persona
 Revisión: cómo será monitoreado el cumplimiento
 Aplicabilidad: En qué casos será aplicable
 Referencias: documentos complementarios
 Sanciones e incentivos

23. Ciclo de vida del Proyecto
 Creación
 Colaboración
 Publicación
 Educación
 Cumplimiento
Enfoque
Metodológico

24. Políticas de seguridad y
Controles
 Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
 Si no se tienen políticas claras , no se sabrá qué
controlar.
 Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de funcionamiento una
vez que se ha producido un evento indeseado.

25. Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
 Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
 Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.

26. Gestión IT
 Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeación y desarrollo
del plan informático.
 Contiene:
– Objetivo y estrategia institucional
– Plan Informático y comité informática
– Metodología de Desarrollo y Mantención

27. Operaciones IT
 Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
 Contiene:
– Seguridad Física sala servidores
• Control de acceso a la sala
• Alarmas y extinción de incendios
• Aire acondicionado y control de temperaturas
• UPS
• Piso y red electrica
• Contratos de mantención
• Contratos proveedores de servicios

28. – Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
históricos
– Bases de datos, correo electrónico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
• Administración Cintoteca:
– Rotulación
– Custodia
– Requerimientos, rotación y caduciddad de cintas.
– Administración de licencias de software y
programas

29. – Seguridad de Networking:
• Características y topología de la Red
• Estandarización de componentes de red
• Seguridad física de sites de comunicaciones
• Seguridad y respaldo de enlaces
• Seguridad y control de accesos de equipos de comunicaciones
• Plan de direcciones IP
• Control de seguridad WEB
– Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes

30. – Traspaso de aplicaciones al ambiente de explotación
• Definición de ambientes
• Definición de datos de prueba
• Adminsitración de versiones de sistema de aplicaciones
• Programas fuentes
• Programas ejecutables
• Compilación de programas
• Testing:
– Responsables y encargados de pruebas
– Pruebas de funcionalidad
– Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para usuarios

31. • Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
– Caducidad de password
– Definición de tipo y largo de password
– Password de red , sistemas
– Password protectores de pantalla, arranque PC
– Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
– Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento

32. Conclusiones
 La Información es uno de los activos mas valiosos
de la organización
 Las Políticas de seguridad permiten disminuir los
riesgos
 Las políticas de seguridad no abordan sólo aspectos
tecnológicos
 El compromiso e involucramiento de todos es la
premisa básica para que sea real.
 La seguridad es una inversión y no un gasto.
 No existe nada 100% seguro
 Exige evaluación permanente.

33.  La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.

34. Direccionamiento actividades de aprendizaje
Actividades:
• Revisar el aula virtual
• Realizar las actividades y tareas planteadas.
Se recomienda describir por ejemplo:
• Tomar apuntes esenciales, revisar el material de clases

35. GRACIAS