SISTEMAS DE INFORMACION

TALLER No. 4

WILMER LOPEZ BOLIVAR

HENRY ALEXANDER MEZA VELANDIA

JONATHAN STEVEN NIÑO FONSECA

LICED LILIANA ROMERO MICAN

LUZ DARY VILLARREAL CARDONA

SERVICIO NACIONAL DE APRENDIZAJE

SENA

CENTRO DE GESTION ADMINISTRATIVA

TECNOLOGO EN GESTION DEL TALENTO HUMANO

BOGOTA

2009
 TALLER No. 4

WILMER LOPEZ BOLIVAR

HENRY ALEXANDER MEZA VELANDIA

JONATHAN STEVEN NIÑO FONSECA

LICED LILIANA ROMERO MICAN

LUZ DARY VILLARREAL CARDONA

Informe explicativo de la aplicación del Instrumento de Evaluacion Del Desempeño

(Escalas Graficas)

INTRUCTORA

LUIS FERNANDO ZAMUDIO

SERVICIO NACIONAL DE APRENDIZAJE

SENA

CENTRO DE GESTION ADMINISTRATIVA

TECNOLOGO EN GESTION DEL TALENTO HUMANO

BOGOTA

2009
 CONTENIDO

Pág.

Introducción

Objetivos

Justificación.

Contenido

Glosario

Conclusiones

Bibliografía.
 INTRODUCCION

En este trabajo se abordara la importancia y las consecuencias del manejo

adecuado de la seguridad y control de los sistemas de información. Debido a que
el uso de Internet se encuentra en aumento, cada vez más compañías permiten a
sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es
fundamental saber qué recursos de la compañía necesitan protección para así
controlar el acceso al sistema y los derechos de los usuarios del sistema de
información. Los mismos procedimientos se aplican cuando se permite el acceso a
la compañía a través de Internet.
Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en
día, el cual permite a los empleados conectarse a los sistemas de información casi
desde cualquier lugar, se pide a los empleados que lleven consigo parte del
sistema de información fuera de la infraestructura segura de la compañía.
 OBJETIVOS

1. Integridad: garantizar que los datos sean los que se supone que son
2. Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian
3. Disponibilidad: garantizar el correcto funcionamiento de los sistemas de
información
4. Evitar el rechazo: garantizar de que no pueda negar una operación
realizada.
5. Autenticación: asegurar que sólo los individuos autorizados tengan acceso
a los recursos

JUSTIFICACION
Este taller se desarrolla con el propósito de conocer he investigar mas de cerca los
sistemas de información en una organización y fuera de ellas, mas exactamente
en nuestra vida diaria, con el fin de plantear nuevos procesos y corregir o mejorar
los ya sabidos.

Este taller servirá para controlar la información manejada por nosotros en las
diferentes intervenciones que tengamos con los sistemas de información ya sean
sistemas de datos enlazados o sistemas personales como los computadores que
usamos a diario.
 TALLER No 4

Pág.

Definiciones

HACKER

es el neologismo utilizado para referirse a un experto en varias o alguna rama

técnica relacionada con la informática: programación, redes de computadoras,
sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a
las obras propias de un hacker.

El término "hackers" trasciende a los expertos relacionados con la informática,

para también referirse a cualquier profesional que está en la cúspide de la
excelencia en su profesión, ya que en la descripción más pura, un hacker es
aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas
cosas y entender el funcionamiento de éstas.

Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar
la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente.
Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es
posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu
del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.

Hacker es el neologismo utilizado para referirse a un experto en varias o alguna

rama técnica relacionada con la informática: programación, redes de
computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar
hackeo y hackear a las obras propias de un hacker.

El término "hackers" trasciende a los expertos relacionados con la informática,

para también referirse a cualquier profesional que está en la cúspide de la
excelencia en su profesión, ya que en la descripción más pura, un hacker es
aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas
cosas y entender el funcionamiento de éstas.

Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar
la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente.
Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es
posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu
del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.

VIRUS DE COMPUTADORA

es un malware que tiene por objeto alterar el normal funcionamiento de la

computadora, sin el permiso o el conocimiento del usuario. Los virus,
habitualmente, reemplazan archivos ejecutables por otros infectados con el código
de este. Los virus pueden destruir, de manera intencionada, los datos
almacenados en un ordenador, aunque también existen otros más "benignos", que
solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse, no se

replican a sí mismos por que no tienen esa facultad como el gusano informático,
depende de un software para propagarse, son muy dañinos y algunos contienen
además una carga dañina (payload) con distintos objetivos, desde una simple
broma hasta realizar daños importantes en los sistemas, o bloquear las redes
informáticas generando tráfico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta

un programa que está infectado, en la mayoría de las ocasiones, por
desconocimiento del usuario. El código del virus queda residente (alojado) en la
memoria RAM de la computadora, aun cuando el programa que lo contenía haya
terminado de ejecutarse. El virus toma entonces el control de los servicios básicos
del sistema operativo, infectando, de manera posterior, archivos ejecutables que
sean llamados para su ejecución. Finalmente se añade el código del virus al del
programa infectado y se graba en disco, con lo cual el proceso de replicado se
completa.

TIPOS DE VIRUS.

Los virus se clasifican por el modo en que actúan infectando la computadora:

• Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin
• Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición.
• Múltiples: Infectan programas y sectores de "booteo".
• Bios: Atacan al Bios para desde allí reescribir los discos duros.
• Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido
común.

Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los
novatos especialmente en la Internet a pesar que los rumores lo muestran como
algo muy serio y a veces la información es tomada por la prensa especializada.
Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con
terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A
continuación se dan una serie de supuestos "virus", por lo que es aconsejable
ignorar los mensajes que aparecen y no ayudar a replicarlos continuando con la
cadena:
• 3b Trojan (alias PKZIP Virus).
• AOL4Free Virus Hoax.
• Baby New Year Virus Hoax.
• BUDDYLST.ZIP
• BUDSAVER.EXE
• Budweiser Hoax
• Death69
• Deeyenda
• E-Flu
• FatCat Virus Hoax
• Free Money
• Get More Money Hoax
• Ghost
• Good Times
• Hacky Birthday Virus Hoax
• Hairy Palms Virus Hoax
• Irina
• Join the Crew
• Londhouse Virus Hoax
• Microsoft Virus Hoax
• Millenium Time Bomb
• Penpal Greetings
• Red Alert
• Returned or Unable to Deliver
• Teletubbies
• Time Bomb
• Very Cool
• Win a Holiday
• World Domination Hoax
• Yellow Teletubbies
• A.I.D.S. hoax email virus
• AltaVista virus scare
• AOL riot hoax email
• ASP virus hoax
• Back Orifice Trojan horse
• Bill Gates hoax
• Bloat, see MPEG virus hoax
• Budweiser frogs screen-saver scare
• Good Times hoax email virus
• Irina hoax virus
• Java virus scare
• Join the Crew hoax email virus
• 'Millennium' virus misunderstanding
• MPEG virus hoax
• 'My clock says 2097/2098' virus misunderstanding
• New virus debug device hoax email virus with attached Trojan horse
• Open: Very Cool, see A.I.D.S. hoax email virus
• Penpal Greetings, see Good Times hoax email virus
• PKZ300 Trojan virus scare
• Returned or Unable to Deliver hoax email virus
• Walt Disney greeting, see Bill Gates hoax
• Win a Holiday hoax email virus
• Windows ’98 MS Warning.

Por último, cabe destacar que los HOAX están diseñados únicamente para asustar
a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma
cerebral de Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajes
imaginarios tampoco son reales como tampoco lo es la dirección
ACS[arroba]aol.com, ya que fueron creados para producir congestionamiento en
la Internet.

MANTENIMIENTO DE SOFTWARE
Cualquier esfuerzo de Ingeniería del Software – si termina con éxito – acaba por
producir un determinado producto software, orientado a satisfacer ciertos
requisitos previamente establecidos. El mantenimiento en este contexto se
entiende de manera general como las actividades de cambio de ese producto.
Ahora bien, el cambio se puede entender de diferentes maneras. Comenzando por
lo básico, la definición de Mantenimiento del Software “El mantenimiento del
software es la modificación de un producto software después de la entrega para
corregir fallos, para mejorar el rendimiento u otros atributos, o para adaptar el
producto a un entorno modificado”.

Esta definición implica que las actividades de mantenimiento de un producto

comienzan en el tiempo sólo después de que el producto se ha entregado, es
decir, después de que el producto está en operación. No obstante, en ocasiones
se considera que algunas actividades de mantenimiento puede comenzar antes de
la entrega del producto.

Se puede considerar que ciertas actividades de mantenimiento comienzan antes

de la entrega. Algunas de estas actividades son la planificación de las actividades
posteriores a la entrega, así como toda actividad orientada a facilitar el
mantenimiento, como la revisión de la documentación. No obstante, estas pueden
considerarse actividades de preparación para el mantenimiento, más que de
mantenimiento en sí.

Una visión más amplia del mantenimiento del software

El mantenimiento del software es la totalidad de las actividades necesarias para
proporcionar soporte económico (cost-effective) al sistema software. Estas
actividades se desarrollan tanto antes como después de la entrega. Las
actividades previas a la entrega incluyen la planificación de las operaciones
posteriores a la entrega, planificación del soporte y determinación de la logística.
Las actividades posteriores a la entrega incluyen la modificación del software, la
formación de usuarios, y la operación de un help desk.

Como se ve, hay una diferenciación en las diferentes definiciones entre

actividades pre- y post- entrega del software. Para clarificar los conceptos, en esta
obra diferenciaremos entre:

1. actividades de mantenimiento propiamente dichas (posteriores a la entrega) y

2. actividades de preparación para el mantenimiento.

El criterio para diferenciarlo de otras actividades es el hecho de la entrega del

producto software. Se debe tener en cuenta que en ocasiones esa entrega es un
acto formal dentro de un contrato, pero en muchas otras es una simple decisión de
disponibilidad pública de un grupo de desarrollo. Por ejemplo, en los proyectos de
fuente abierto, desarrollados de manera voluntaria, el qué es una entrega lo
determinan los propios desarrolladores cuando piensan que la funcionalidad
implementada ha llegado a un determinado nivel.
Es importante resaltar que el concepto de mantenimiento del software difiere de la
concepción de mantenimiento en otras disciplinas de ingeniería. Esto es debido a
que el software no se “deteriora” con el uso. En la ingeniería mecánica, el
mantenimiento consiste en las acciones de reparación necesarias para que la
máquina o sistema mecánico siga funcionando. En la Ingeniería del Software, el
mantenimiento tiene un significado más amplio, cubriendo su adaptación a
necesidades

ENCRIPTACION

Cifrado, codificación). La encriptación es el proceso para volver ilegible información considera importante. La
información una vez encriptada sólo puede leerse aplicándole una clave.

Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no
debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones
privadas, etc.

Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una
clave como parámetro para esas fórmulas.
El texto plano que está encriptado o cifrado se llama criptograma.

Aclaración: encriptación vs. cifrado

Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala
traducción del inglés encrypt.

SOFTWARE ANTIVIRUS

Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo

también su propagación.
Tiene capacidad para detectar y eliminar los virus y restaurar los archivos afectados por
su infección (en principio).
Podemos generalizar diciendo que los antivirus tienen tres componentes principales:
VACUNA o MONITOR ANTIVIRUS:
Programa que actúa en tiempo real, analizando los archivos que son abiertos o los
programas que ejecutamos.
Es una función muy importante, puesto que si un archivo infectado ha conseguido alojarse
en nuestro sistema y por cualquier motivo no se ha procedido a chequearlo, el antivirus
nos avisará del peligro cuando intentemos ejecutarlo o abrirlo.
De ahí la importancia de tener activado siempre el antivirus. También se conoce a
la vacuna como Monitor del antivirus, antivirus residente en memoria etc..
Estos monitores tienen hoy en día unas funciones muy avanzadas en la detección de
virus, siendo capaces de monitorizar operaciones que realicemos con archivos de muchos
tipos, incluyendo comprimidos, archivos de correo, empaquetados etc...
MOTOR DE DETECCIÓN:
Programa cuya función es realizar el escaneo de los archivos, directorios o unidades que
seleccionemos. Trabaja analizando los archivos, en los que busca la existencia de
códigos virales, que son cadenas de códigos ejecutables particulares de cada virus y que
el programa reconoce por comparación, si están registrados en su lista de definiciones.
De esto se desprende la importancia de actualizar dicha lista de definiciones, diariamente
incluso.
Aunque no es el único método de detección empleado, siendo generalizado el empleo
por los antivirus de otros tipos de análisis en su búsqueda, como el análisis heurístico, la
emulación, los algoritmos etc.

DESINFECTADOR:
Programa que una vez localizado el virus y desactivada su estructura procede a
eliminarlo, procediendo a reparar sus efectos en el sistema. Hay que reseñar que esto
último no siempre es posible, dependiendo del tipo de virus y los efectos producidos.
Esto como características principales, pero por lo normal tienen muchas más, como .la
posibilidad de actualizarse vía Internet (muy importante), confección de informes y
estadísticas, cuarentena de infectados, creación de disquetes de arranque, programación
de tareas, etc...
Parece ser, entonces, que la amplitud de la base de datos del antivirus y la frecuencia y
rapidez con que se añaden las definiciones de los virus a la misma es el mejor indicativo
de la calidad del programa. Sí, pero no del todo. Hay otras funciones a valorar en un
antivirus:
Su protección frente a los medios externos (Internet, Correo) es de vital importancia,
análisis heurístico, o la capacidad de reconocimiento (parcial en muchos casos, ya que los
códigos de estos nunca coincidirán completamente con los de la base de datos del
programa) ante nuevos tipos de virus o mutaciones de los existentes, se trata de un
análisis adicional que solamente algunos programas antivirus pueden realizar, para
detectar virus que en ese momento son desconocidos, velocidad de escaneo, integración
con el sistema operativo, consumo de recursos...
Habremos de ponderar todo esto a la hora de elegir nuestro antivirus, pero como norma
de oro tendremos en cuenta que es necesario tener siempre instalado un antivirus en
nuestro sistema.
Recordemos que el concepto de antivirus es el de un programa que nos brinda protección
íntegramente, es decir, desde que arrancamos el ordenador y mientras efectuamos con él
cualquier actividad. Por ello es importante mantener siempre su actividad desde el inicio
del sistema.
Secuwared Applications
Otro concepto de antivirus
La proliferación de virus en Internet, más de 57.000, a razón de 800 nuevos virus cada
mes, es el terrible panorama al que se enfrentan las empresas españolas.
Ante está situación, Secuware presenta una solución destinada a fortalecer los sistemas
de seguridad informática.
Secuwared Applications es un software antivirus genérico que no necesita actualización y
que permite la ejecución de programas o macros autorizados por la empresa mediante
una huella digital.
De esta forma, evita que cualquier software, código o macro descargado de Internet se
pueda ejecutar porque no está autorizado por el administrador.
Por supuesto, esto incluye programas infectados o troyanos.
En la actualidad, las organizaciones necesitan que sus empleados utilicen el software
corporativo y no programas o aplicaciones que cada usuario considere importante y
decida instalarlas en su equipo sin ningún tipo de supervisión.
En el lado opuesto, los empleados defienden el derecho a la intimidad en sus puestos de
trabajo, con reiteradas quejas cobre los sistemas de filtrado de los contenidos de Internet
o de monitorización del correo electrónico.
Este hecho conlleva importantes consecuencias ya que todo software no corporativo
puede ser "pirata", producir pérdidas de datos o de productividad y pueden ser la puerta
de entrada de virus y troyanos, facilitando ataques por parte de los hackers.
Por ello, la solución Secuwared Applications controla las aplicaciones instaladas en los PC
corporativos según la política de seguridad de cada compañía.
El funcionamiento de Secuwared Applications es sencillo e intuitivo, al crear una huella
digital de todas las aplicaciones instaladas en un PC, el administrador del sistema puede
establecer cuáles de estas aplicaciones podrán ejecutarse y a cuáles debe estar
restringido el acceso.
De este modo, impide que un virus contamine la plataforma al impedir que se ejecute en
el sistema al no estar autorizado.
Tras la pantalla de bienvenida y una vez instalado el programa, el proceso de
configuración se relativamente sencillo para las posibilidades que ofrece.
Todas las opciones de configuración se llevan a cabo desde una consola desde la que se
pueden establecer las directivas de seguridad, tanto para el equipo y los usuarios locales,
como para los equipos y los usuarios remotos.
En la configuración de la directiva de seguridad de equipos, disponemos de tres opciones
diferentes. La primera opción es "Aplicaciones iniciadas cada vez que se inicia Windows",
y permite administrar qué aplicaciones se iniciarán automáticamente en cada arranque.
A cada aplicación se le debe asignar un nombre y se debe especificar la ruta y los
parámetros del archivo ejecutable. La segunda opción a configurar es "aplicaciones
iniciadas en el próximo inicio de Windows" y se diferencia de la anterior en que
únicamente afectará al próximo inicio del PC.
La tercera y última opción hace referencia a los servicios iniciados al arrancar Windows y
se configura de la misma manera que las dos anteriores.
Una vez que las directivas de seguridad relativas al equipo se hayan configurado
satisfactoriamente, el siguiente paso es configurar las opciones de usuario local, en la que
las tres primeras opciones se corresponden con las ya configuradas en el equipo.
La cuarta opción "Ejecutar sólo aplicaciones Windows permitidas" permite especificar las
únicas aplicaciones que podrán ser ejecutadas por el usuario.
La quinta opción, "Impedir herramientas de edición del registro", evita el uso de
herramientas que puedan modificar el registro de Windows y la sexta y última opción
"Restricciones para MS-DOS" está dividida en dos apartados; "Desactivar el símbolo de
MS-DOS" para evitar el uso de comandos bajo MS-DOS en una sesión paralela a la del
propio Windows y "Desactivar apicaciones en moodo único MS-DOS" que impide la
ejecución de antiguos programas basados en DOS Secuwared Applications monitoriza la
apertura de documentos de World y hojas de excel, bloqueando el acceso a estos
archivos en caso de que el administrador no los haya validado.
Todas estas características hacen de Secuwared Applications una herramienta
recomendada para su uso en cibercafés o aulas de informática en centros de enseñanza
donde sea preciso restringir el acceso a las funciones del sistema, limitando el uso de
aplicaciones ajenas a los intereses de las empresas.
Su facilidad de implantación en cualquier entorno corporativo convierten a Secuwared
Applications en una herramienta versátil, que requiere poco mantenimiento y permite
gestionar invididualmente cada puesto desde un sólo punto, ya sea mediante la red local
o mediante Internet.
Entre las ventajas de Secuwared Applications frente a un producto antivirus cabe destacar
que no precisa actualización, únicamente requiere la supervisión por parte de un
administrador que regule las directivas de seguridad.
Los requerimientos mínimos del sistema para ejecutar Secuwared Applications son PC
con procesador Intel o similar, sistema operativo Windows 95, Windows 98, Windows NT
4.0 y Windows 2000, 16 MB de RAM, el espacio que ocupa en dispo no supera 1 MB y
admite la administración remota mediante Secuwared Console, herramienta que es capaz
de administrar prácticamente la totalidad de soluciones que ofrede Secuware, como
Secuwared Internet y Secuwared Files.
Con respecto al precio de Secuwared Applications, al ser una solución escalable, su
precio va igualmente en escala, dependiendo del número de puestos de trabajo en los
que se vaya a instalar el producto.

MEDIDAS DE SEGURIDAD
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede ser
susceptible a:
• tiempo de máquina para uso ajeno
• copia de programas de la organización para fines de comercialización (copia pirata)
• acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a
las computadoras de acuerdo a:
• nivel de seguridad de acceso
• empleo de las claves de acceso
• evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de
acceso mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe
considerarse como un factor de alto riesgo ya que podrían producir que:
• la información este en manos de algunas personas
• la alta dependencia en caso de perdida de datos

Control de Programación
Se debe tener conocer que el delito más común está presente en el momento de la
programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe
controlar que:
• los programas no contengan bombas lógicas
• los programas deben contar con fuentes y sus ultimas actualizaciones
• los programas deben contar con documentación técnica, operativa y de emergencia

Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que
están ligadas al sistema de información de forma directa y se deberá contemplar
principalmente:
• la dependencia del sistema a nivel operativo y técnico
• evaluación del grado de capacitación operativa y técnica
• contemplar la cantidad de personas con acceso operativo y administrativo
• conocer la capacitación del personal en situaciones de emergencia

Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se produce
un cambio o un fraude en el sistema.
También se debe observar con detalle el sistema ya que podría generar indicadores que
pueden actuar como elementos de auditoría inmediata, aunque esta no sea una
especificación del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya
que pueden surgir:
• malos manejos de administración
• malos manejos por negligencia
• malos manejos por ataques deliberados

Instalaciones
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto
grado de riesgo. Para lo cual se debe verificar:
• la continuidad del flujo eléctrico
• efectos del flujo eléctrico sobre el software y hardware
• evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
• verificar si existen un diseño, especificación técnica, manual o algún tipo de
documentación sobre las instalaciones

Control de Residuos
Observar como se maneja la basura de los departamentos de mayor importancia, donde
se almacena y quien la maneja.
Establecer las Areas y Grados de Riesgo
Es muy importante el crear una conciencia en los usuarios de la organización
sobre el riesgo que corre la información y hacerles comprender que la seguridad
es parte de su trabajo. Para esto se deben conocer los principales riesgos que
acechan a la función informática y los medios de prevención que se deben tener,
para lo cual se debe:
Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)
Este estudio se realiza considerando el costo que se presenta cuando se pierde la
información vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:
• clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
• identificar las aplicaciones que tengan alto riesgo
• cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con
un alto riesgo
• formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que
se requiera
• la justificación del costo de implantar las medidas de seguridad

Costo x perdida Costo del

de información sistema de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere
clasificar estos elementos en áreas de riesgo que pueden ser:
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
información, para lo cual es importante considerar responder las siguientes
cuatro preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema
depende de la aplicación por completo se debe definir el nivel de riesgo.
Por ejemplo citemos:
o Un sistema de reservación de boletos que dependa por completo de un sistema
computarizado, es un sistema de alto riesgo.
o Una lista de clientes será de menor riesgo.
o Un sistema de contabilidad fuera del tiempo de balance será de mucho menor
riesgo.

2. ¿Qué consecuencias traería si es que no se pudiera acceder al

sistema? Al considerar esta pregunta se debe cuidar la presencia de
manuales de respaldo para emergencias o algún modo de cómo se
soluciono este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría?
Se debe verificar si el sistema es único o es que existe otro sistema
también computarizado de apoyo menor. Ejemplo: Sí el sistema principal
esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de
apoyo menor como una red LAN o monousuario. En el caso de un sistema
de facturación en red, si esta cae, quizá pudiese trabajar en forma
distribuida con un módulo menor monousuario y que tenga la capacidad de
 que al levantarse la red existan métodos de actualización y verificación
automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para
responder esta pregunta se debe considerar al menos las siguientes
situaciones, donde se debe rescatar los acontecimientos, las
consecuencias y las soluciones tomadas, considerando:
o Que exista un sistema paralelo al menos manual
o Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados,
monitores, servidores, unidades de disco, aire acondicionado).
o Si hay sistemas de energía ininterrumpida UPS.
o Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar
con el criterio de un experto).
o Si se cuenta con un método de respaldo y su manual administrativo.

Conclusión
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar y las correctivas
en casi de desastre, señalando la prioridad de cada uno. Con el objetivo
que en caso de desastres se trabajen los sistemas de acuerdo a sus
prioridades.
Consideración y Cuantificación del Riesgo a Nivel Institucional
(importante)
Ahora que se han establecido los riesgos dentro la organización, se debe
evaluar su impacto a nivel institucional, para lo cual se debe:
• Clasificar la información y los programas de soporte en cuanto a su disponibilidad y
recuperación.
• Identificar la información que tenga un alto costo financiero en caso de perdida o pueda
tener impacto a nivel ejecutivo o gerencial.
• Determinar la información que tenga un papel de prioridad en la organización a tal
punto que no pueda sobrevivir sin ella.

Una vez determinada esta información se la debe CUANTIFICAR, para lo

cual se debe efectuar entrevistas con los altos niveles administrativos que
sean afectados por la suspensión en el procesamiento y que cuantifiquen
el impacto que podrían causar estas situaciones.
Disposiciones que Acompañan la Seguridad
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización,
desde el punto de vista de seguridad, contar con un conjunto de disposiciones o
cursos de acción para llevarse a cabo en caso de presentarse situaciones de
riesgo. Para lo cual se debe considerar:
• Obtener una especificación de las aplicaciones, los programas y archivos de datos.
• Medidas en caso de desastre como perdida total de datos, abuso y los planes
necesarios para cada caso.
• Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
• Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar
que los programadores no cuenten con acceso a la sección de operación ni viceversa.
• Que los operadores no sean los únicos en resolver los problemas que se presentan.

Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene, que debe
observarse con mucho cuidado en las áreas involucradas de la organización
(centro de computo y demás dependencias), pues esto ayudará a detectar
problemas de disciplina y posibles fallas en la seguridad.
También podemos ver que la higiene y el orden son factores que elevan la moral
del recurso humano, evita la acumulación de desperdicios y limita las posibilidades
de accidentes. (ejm del rastrillo)
Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel
formal como informal.
Cultura Personal
Cuando hablamos de información, su riesgo y su seguridad, siempre se debe
considerar al elemento humano, ya que podría definir la existencia o no de los más
altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia
del personal, al menos de los cargos de mayor dependencia o riesgo.

Conclusión
1. Falta capacitación para Controlar posibles fallas tanto humanos como
sistemáticos para, así dar el rendimiento requerido por la implementación y
manejo de dicho control y seguridad de los sistemas de información.
2. Las perdidas de información es debido al desconocimiento en el manejo y
manipulación de los sistemas de información.
3. Encontrar y evitar posibles situaciones de roce entre el recurso humano y
la organización y lograr una mejor comunicación entre ambos.
4. Implementar las medidas necesarias y requeridas de seguridad y control
frente a los sistemas de información.
5. Familiarizarnos con los conceptos de sistemas de información.
 GLOSARIO

Acceso a Internet: A lo largo de los años, la tecnología para acceder a internet ha cambiado
adaptándose a las necesidades de las personas y de los recursos. El principal motivo de cambio
de los distintos tipos de accesos a internet ha sido la velocidad de conexión. Actualmente se
necesita una muy buena velocidad si se quieren aprovechar todos los recursos de internet al
máximo: animaciones, televisión online, realidad virtual, 3D, videoconferencia, etc.

Activación del producto: (software activation, product activation, activación del producto).
Procedimiento y acción de validar una aplicación de software para poder utilizarla plenamente.

Administrador: Un administrador suele tener privilegios que ningún otro usuario tiene. Incluso
es el encargado de otorgar los permisos para el resto de los usuarios.

Backup: (Copia de seguridad) Es la copia total o parcial de información importante del disco
duro, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser
guardada en algún otro sistema de almacenamiento masivo, como ser discos duros, CDs, DVDs
o cintas magnéticas (DDS, Travan, AIT, SLR,DLT y VXA).

Bandeja de entrada:Los backups se utilizan para tener una o más copias de información
considerada importante y así poder recuperarla en el caso de pérdida de la copia original.

La bandeja de entrada, es el lugar o carpeta donde se almacenan los e-mails que se han recibido
de una o más cuentas de correo electrónico.

En general, la bandeja de entrada es la carpeta o ubicación por defecto donde se reciben los e-
mails, excepto que se aplique algún filtro que redireccione los e-mails a otra cuenta, a otra
carpeta/ubicación, a los elementos eliminados o al correo basura.

La bandeja de entrada muchas veces también recibe el nombre de "Mensajes recibidos",

"Elementos de entrada", "Buzón de entrada", "Inbox", etc. Depende del servicio o el programa
de e-mail que se esté utilizando.

Por defecto los e-mails se ordenan por orden de llegada, aunque el usuario generalmente puede
cambiar estas preferencias a su gusto y ordenar por asunto, por remitente, por prioridad del e-
mail, etc.

Bandeja de salida: En informática e internet, la bandeja de salida es carpeta o ubicación en

donde se almacenan por defecto los e-mails que esperan para ser enviados.
En general, una vez enviados, los e-mails pasan a la carpeta Elementos Enviados.

La Bandeja de entrada, dependiendo del servicio o el programa de e-mail que se utilice, también
puede llamarse "Elementos de salida", "Mensajes sin enviar", "Unsent Messages", etc.

Binario: Sistema de numeración discreta en el que todas las cantidades se representan

utilizando como base el número dos, o sea, que sólo hay dos dígitos posibles. Estos dos dígitos
suelen representarse con ceros y unos. El funcionamiento del sistema digital se basa en el
sistema binario. Es el principio fundamental sobre el que se basan las computadoras digitales,
pues para procesar y almacenar los datos sólo manejan unos y ceros.

Forma ejecutable de un fichero/programa que sólo puede ser interpretado por una computadora,
lo contrario de código fuente.

Caballo de troya: (troyano). Programa tipo virus que queda activo en el sistema y abre un
puerto de entrada a esa computadora. De esta manera la PC queda expuesta y puede ser
accedida remotamente.

Cibernauta: (internauta). Aquella persona que navega por internet.

En principio es un término aplicable a cualquier persona que utiliza un navegador web y visita
sitios web; pero suele utilizarse especialmente para aquellas personas que son expertos
navegantes de la WWW, incluso sin saber demasiado sobre computación.

Database: base de datos.

Depurador: (debugger). Herramienta, aplicación o persona encargados de hacer la depuración

de errores en programas y piezas de hardware. Ver debugger.

Dispositivo de salida: periférico de salida.

Dispositivo de entrada: perifericos de entrada

E-mail: (Electronic mail) Correo electrónico. Servicio muy utilizado en internet que permite el
intercambio gratis de mensajes entre usuarios. Junto con el mensaje se pueden adjuntar
archivos. Para enviar un mensaje de e-mail es necesario tener la dirección de nuestro
destinatario. Una dirección de e-mail tiene la forma: nombredecliente@nombredeproveedor.com.

Flujo de control: Canal que transfiere controles. Desde un flujo de control sólo pueden
esperarse señales tipo instrucciones para controlar u operar algo. Desde un flujo de control
nunca pueden llegar datos.

Flujo de datos: Canal de transferencia de datos. Desde un flujo de datos sólo pueden
esperarse datos y no señales de control (flujo de control).

Google: Empresa especializada en búsquedas por internet y publicidad online. Posee 12.238
empleados (31 de marzo de 2007) y está radicada en Mountain View, California (EE.UU.).
Gusano: Existen distintos tipos de gusanos:
Gusanos de emails, gusanos de IRC, gusanos de mensajeros instantáneos, gusanos de redes de
intercambio de archivos, gusanos de internet en general.
El objetivo de los gusanos puede ser desde la simple replicación, o hacer propagandas, colapsar
una red, etc.

BIBLIOGRAFIA

http://www.alegsa.com.ar/Dic/s.htm

http://es.kioskea.net/contents/secu/secuintro.php3

http://www.scribd.com/doc/7596190/Sistemas-de-InformaciOn