UNIVERSIDAD ABIERTA Y A DISTANCIA DE MÉXICO

INGENIERÍA EN DESARROLLO DE SOFTWARE

ASIGNATURA: SEGURIDAD DE LA INFORMÁTICA

UNIDAD I: PRINCIPIOS DE LA SEGURIDAD

INFORMÁTICA

ACTIVIDAD 2: IMPORTANCIA DE LA PROTECCIÓN

DE LA PROTECCIÓN DE LOS SISTEMAS DE
INFORMACIÓN FASE 2

ALUMNO: SERGIO VARGAS OLIVARES

DOCENTE: RICARDO RODRÍGUEZ NIEVES

División de Ciencias Exactas, Ingeniería y Tecnología

Propósito:

En esta actividad compartirás los resultados de la revisión de la seguridad en un sistema

informático que identificaste en la primera fase de la actividad 1.

Instrucciones:

1.- Explica los principales riesgos identificados en el sistema informático analizado, así como
el recurso o activo más vulnerable en orden de importancia.

2.- Explica la actividad prioritaria relacionada con el riesgo del sistema informático analizado,
numéralos en orden de importancia y justifica tu selección:

• Análisis y diseño de sistemas

• Programación
• Funcionamiento de sistemas
• Codificación de datos
• Captura de datos
• Operación de sistemas
• Control de documentos fuente
• Control de documentación de sistemas
• Control de inventarios y suministros informáticos
• Control de resultados
• Mantenimiento de equipos

3.- Analiza los ejemplos expuestos por tus compañeros en la primera fase de la actividad 1 e
integra tus conclusiones respecto a un comparativo entre los riesgos identificados en tu
sistema informático y en el de uno de tus compañeros. Plantea posibles escenarios para su
atención y en caso de que se omita un plan de riesgos.

4.- Selecciona un caso de seguridad de la informática de tu interés.

Introducción:

Recordemos que la seguridad de la informática se puede definir como un proceso que previene
y detecta el uso incorrecto o no autorizado de un sistema informático o de los datos que este
mantiene. La seguridad informática abarca una serie de medidas de seguridad, tales como
programas de software de antivirus, firewalls, y otras medidas que dependen del usuario y de
sus privilegios, tales como la activación de la desactivación de ciertas funciones, etc.

Desarrollo:

Principales riesgos identificados en el sistema informático

Básicamente existen dos tipos de riesgos a los que esta expuesto un sistema informático, los
cuales son: la seguridad física y la seguridad lógica:

Seguridad física: consiste en los controles y mecanismos de seguridad dentro y alrededor del
espacio físico de los sistemas informáticos, así como los medios de acceso remoto al y desde
el mismo, implementados para proteger el hardware y medios de almacenamiento de da-
tos. Cada sistema es único, por lo tanto, la política de seguridad a implementar no será única
es por ello siempre se recomendará pautas de aplicación general y no procedimientos especí-
ficos.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre
como por la naturaleza del medio físico en que se encuentra ubicado el sistema. Las principa-
les amenazas que se prevén son:

• Desastres naturales, incendios accidentales y cualquier variación producida por las con-
diciones ambientales.
• Amenazas ocasionadas por el hombre como robos o sabotajes.
• Disturbios internos y externos deliberados.

Ante estos eventos se deben implementar planes de contingencia para minimizar o evitar este
tipo de fallo en la seguridad, algunas de estas medidas son:

Riesgo Plan de contingencia

• Contar con detectores de humo, extinguido-
res, etc.
• Evitar construcciones por debajo del nivel del
suelo
Desastres naturales
• Contar con energía regulada y soportada
• Contar con respaldos de energía (UPS)
• Instalación de pararrayos y tierra física
• En otras palabras, cumplir con las normas
• Evitar el uso de dispositivos de almacena-
miento extraíble (USB, HDD externos) en la
Amenazas ocasiona- medida de lo posible.
das por el hombre • Controlar los accesos a sistemas a través de
roles y privilegios
• Evitar compartir claves y contraseñas
 • Acceso controlado a SITE’s, equipo de
Disturbios cómputo, etc.

Seguridad lógica: consiste en la protección por el uso de software en una organización, e

incluye identificación de usuarios y contraseñas de acceso, autenticación, derechos de acceso
y niveles de autoridad. Estas medidas son para asegurar que sólo los usuarios autorizados
son capaces de realizar acciones o acceder a información en una red o un equipo concreto.

Una brecha de seguridad lógica informática afecta a los datos y el software sin afectar física-
mente el hardware. El daño muchas veces es invisible hasta que alguien intenta procesar o
visualizar los datos.

El fraude y los accesos no autorizados son ejemplos de incumplimiento lógico malicioso, y

aunque el problema pudo haber sido introducido accidentalmente en un ordenador, su concep-
ción original es maliciosa. La seguridad lógica incluye entre otros los siguientes aspectos:

• Los virus
• Programas no testeados
• Errores de usuario
• Error del operador
• Mal uso del ordenador
• Fraude informático
• Investigación de accesos no autorizados internos
• Accesos no autorizados externos

Ante estos posibles escenarios también existen medidas que puedan contrarrestar estas bre-
chas, las cuales son:

• Software legal: en el caso de utilizar software comercial se busca la manera de garanti-

zar que este tipo de software sea instalado de manera completamente legas, es decir
sin cracks, keygens, parches, etc.
• Programas de seguridad: programas que son capaces de detectar vulnerabilidades que
puedan afectar el uso de los sistemas.
• Firewall’s: los firewalls ayudan con el bloqueo de usuarios no autorizados que intentan
acceder a tu computadora o tu red, así como a evitar el uso de programas o paginas
que puedan robar información.
• Contraseñas: las contraseñas deben constar de varios caracteres especiales, números
y letras, esto con la finalidad de hacer más complejo o imposible su vulnerabilidad.
• Firmas digitales: juega un papel importante en mantener nuestra información sensible,
segura ya que si se llegara a alterar el documento la firma no coincide por lo que clara-
mente se podría indicar que el documento en cuestión ha sido alterado.
Actividades prioritarias relacionadas con el riesgo del sistema informático

• Análisis y diseño de sistemas: un buen levantamiento de requerimientos y un diseño

robusto no garantizan la seguridad, pero facilitan el trabajo de aplicar las normas y pro-
cedimientos de seguridad que se requieren, así como crear un plan de contingencia
• Programación: la aplicación de estándares a la hora de generar código, además de apli-
car los procesos de PSP y TSP permitirán un código limpio de fácil mantenimiento, esto
promueve que sea más seguro el sistema.
• Funcionamiento del sistema: se debe de garantizar que el sistema tenga un funciona-
miento óptimo en base a diversas pruebas de funcionamiento y de “estrés”.
• Codificación de datos: emplear técnicas de encriptación para garantizar la confidencia-
lidad de los datos.
• Captura de datos: la validación de los datos a ingresar al sistema debe de pasar por una
serie de validaciones para evitar que este reciba información o datos incongruentes que
puedan generar alguna problemática.
• Operación de sistemas: se debe de integrar una correcta capacitación del personal que
usara el sistema.
• Control de documentos fuente: no aplica
• Control de documentación de sistemas: creación de un archivo documental en el cual
se ingresan todos los cambios o adiciones que se hacen al sistema, esto para una fácil
consulta y comprensión por parte de futuros administradores del sistema.
• Control de inventarios y suministros informáticos: se lleva un control minucioso de los
equipos y consumibles para evitar fuga de información o el mal uso de los suministros.
• Control de resultados: se garantiza que el sistema entrega los resultados solicitados en
las diversas operaciones de facturación y cálculo de tarifas.
• Mantenimiento de equipos: establecer planes de mantenimiento periódicos a los equi-
pos de cómputo.

Comparativo entre los riesgos identificados en mi sistema informático y el de uno de

mis compañeros

Para el desarrollo de este punto he decidido analizar la actividad del compañero Marco A.
González Salinas

Sergio Vargas Olivares Marco A. González Salinas

Microsoft Dynamics 365
• Software legal: en el caso de utilizar
software comercial se busca la ma-
nera de garantizar que este tipo de
software sea instalado de manera
completamente legas, es decir sin cra-
cks, keygens, parches, etc.
• Programas de seguridad: programas
que son capaces de detectar vulnera-
bilidades que puedan afectar el uso de
los sistemas.
Sin identificar
• Contratación de seguro.
• Utilización de controles de acceso
como cerraduras y candados.
• Utilización de Sistemas Biométricos
• Verificación Automática de Firmas
• Protección Electrónica
• Utilización de Guardias
• Utilización de Detectores de
Metales
 • Firewall’s: los firewalls ayudan con el
bloqueo de usuarios no autorizados
que intentan acceder a tu compu- • Identificación y autentificación
tadora o tu red, así como a evitar el
uso de programas o páginas que pue- • Creación de Roles de Usuarios
dan robar información.
• Contraseñas: las contraseñas deben • Creación de control de
constar de varios caracteres especia- transacciones
les, números y letras, esto con la fina-
lidad de hacer más complejo o imposi- • Limitaciones a los Servicios
ble su vulnerabilidad.
• Firmas digitales: juega un papel im- • Modalidad de AccesoControl de
portante en mantener nuestra informa- acceso a los recursos por ubicación
ción sensible, segura ya que si se lle- física o lógica y por horarioControl
gara a alterar el documento la firma no de Acceso Interno
coincide por lo que claramente se po-
dría indicar que el documento en
• Control de Acceso Externo
cuestión ha sido alterado.
• Administración del personal y
usuarios.

• Creación y administración de
respaldos de información.

• Establecery difundir políticas de

seguridad.

Conclusiones:

La seguridad de la informática nos ayuda a prevenir y proteger ataques a sistemas (hardware

y software) que son utilizados dentro de las organizaciones, estas reglas básicas pero muy
importantes deben de seguirse si se desea prevenir ataques dentro y/o fuera de la organización.

Es importante mencionar que ante el aumento de las tecnologías es cada vez más difícil
garantizar esa seguridad, pero debemos contar con herramientas que nos permitan minimizar
el robo de información, las intrusiones no autorizadas, etc. Esto con la finalidad de garantizar
la disponibilidad e integridad de la información que desde mi punto de vista es lo más
importante para cualquier organización.
Bibliografía:

UnADM. (2018). Unidad 1: Principios de la seguridad informática. 30 de septiembre de 2019,

de UnADM Sitio web:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/Bloque2/DS/08/DSEI/recur
sos/recursos-
contenido/U1/U1_CONTENIDOS/Unidad_1_Principios_de_la_seguridad_informatica_2018.p
df

Raúl Mejía. (2018). ¿QUÉ ES LA TRIADA DE SEGURIDAD O CIA TRIAD? Y POR QUÉ
DEBERÍA INTERESARTE. 30 de septiembre de 2019, de Smartekh Sitio web:
https://blog.smartekh.com/que-es-la-triada-de-seguridad-o-cia-triad-y-por-que-deberia-
interesarte

CYBSEC. (SF). Los riesgos de los sistemas informáticos. 01 de octubre de 2019, de CYBSEC
Sitio web: http://www.cybsec.com/upload/Julio_Ardita_Introduccion_seguridad_.pdf