MetodologAa-de-seguridad-para-dispositivos-mAviles-y-la-vinculaciAn-con-los-usuarios--1-

•

IPN

Todos los Materiales

25/10/2022

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Introducción al Derecho I

135.856 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA
DE INGENIERÍA Y CIENCIAS SOCIALES
Y ADMINISTRATIVAS
METODOLOGÍA DE SEGURIDAD PARA EL
MANEJO DE DISPOSITIVOS MÓVILES Y LA
VINCULACIÓN CON LOS USUARIOS
CIUDAD DE MÉXICO 2016
T E S I N A
QUE PARA OBTENER EL TÍTULO DE
LICENCIADO EN CIENCIAS DE LA INFORMÁTICA
P R E S E N T A N
ARGELIA IVONNE DE ANDA ORDOÑEZ
JAVIER OROPEZA CABRERA
JIMENA ILIANA PÁEZ VALERA
JULIO ADRIÁN REYES CELAYA
QUE PARA OBTENER EL TÍTULO DE
I N G E N I E R O E N I N F O R M Á T I C A
P R E S E N T A
YUCELI MEJÍA PACHECO

ÍNDICE
Resumen ........................................................................................................................................... i
Introducción ...................................................................................................................................... ii
Capítulo I Marco metodológico ..................................................................................................... 1
1.1. Planteamiento del problema ..................................................................................................... 1
1.2. Objetivo ..................................................................................................................................... 3
1.3. Objetivos específicos ................................................................................................................ 4
1.4. Técnicas e instrumentos de medición ...................................................................................... 4
1.4.1. Método mixto ............................................................................................................... 4
1.4.2. Cuestionario ................................................................................................................. 4
1.5. Universo y muestra .................................................................................................................. 5
1.5.1. Universo para la medición ........................................................................................... 5
1.5.2. Muestra probabilística .................................................................................................. 5
1.6. Justificación .............................................................................................................................. 5
1.6.1. Perfiles de Riesgo ........................................................................................................ 6
1.6.2. Concientización de los usuarios .................................................................................. 7
1.6.3. Plataformas móviles..................................................................................................... 7
1.7. Hipótesis ................................................................................................................................... 8
Capítulo II Marco teórico: generalidades de la metodología de seguridad para el manejo
de dispositivos móviles ................................................................................................................. 9
2.1. Marco conceptual ....................................................................................................................... 9
2.1.1. Metodología ............................................................................................................... 16
2.1.2. Metodología de seguridad ......................................................................................... 17
2.1.3. Vinculación ................................................................................................................. 17
2.1.4. Dispositivos de almacenamiento ............................................................................... 18
2.1.4.1. Memoria Universal Serial Bus (USB) ............................................................ 18
2.1.4.2. Disco duro externo ........................................................................................ 19
2.1.4.3. Nube .............................................................................................................. 20
2.1.4.4. Centro de cómputo ....................................................................................... 22
2.1.4.5. Dispositivo móvil ........................................................................................... 24
2.2. Acceso a la red empresarial .................................................................................................... 25
2.2.1. Wi-Fi ........................................................................................................................... 25
2.2.2. Red Cableada ............................................................................................................ 26
2.3. Manejo de la información corporativa ...................................................................................... 28
2.4. Estadísticas .............................................................................................................................. 29
2.5. Medidas que los usuarios adoptan para proteger un equipo móvil ......................................... 33
2.5.1. Contraseña de bloqueo ............................................................................................. 34

2.5.2. Bloqueo de tarjeta SIM .............................................................................................. 36
2.5.3. Biométrico .................................................................................................................. 38
2.5.4. Cifrado ....................................................................................................................... 41
Capítulo III Problemática ............................................................................................................. 43
3.1. Problemática existente ........................................................................................................... 43
3.2. Riesgos que conlleva .............................................................................................................. 45
3.3. Riesgos de los Dispositivos Móviles en la Organización ....................................................... 46
Capitulo IV Legislación y mejores prácticas ............................................................................. 48
4.1. Legislación ............................................................................................................................... 48
4.1.1. Código Penal Federal ................................................................................................ 48
4.2. Mejores Prácticas .................................................................................................................... 51
4.2.1. ISO 31000 .................................................................................................................. 52
4.2.2. ISO 27001:2013 ......................................................................................................... 55
4.2.3. NIST 800-124 ............................................................................................................. 57
4.2.4. NIST 800-50 ............................................................................................................... 67
4.3. Recomendaciones ................................................................................................................... 72
4.4. Servicios de terceros ...............................................................................................................73
4.5. Publicaciones ........................................................................................................................... 73
Capítulo V Procesamiento y análisis de la información de campo ......................................... 75
5.1. Tipo de investigación ............................................................................................................... 75
5.2. Recolección de información ..................................................................................................... 75
5.2.1. Tipos de reactivos ...................................................................................................... 75
5.3. Plan muestral ........................................................................................................................... 76
5.4. Resultados ............................................................................................................................... 76
5.5. Resultados estadísticos ........................................................................................................... 81
Capítulo VI Propuesta .................................................................................................................. 82
6.1. Objetivo .................................................................................................................................... 82
6.2. Alcance .................................................................................................................................... 82
6.3. Ventajas y desventajas ............................................................................................................ 83
6.4. Metodología ............................................................................................................................. 83
Conclusiones .................................................................................................................................. 98
Bibliografía ...................................................................................................................................... 99
Anexos .......................................................................................................................................... 102

Resumen

En el presente trabajo se desarrolla una metodología que ayude a pequeñas y medianas empresas
a generar buenas prácticas en el uso y manejo de dispositivos móviles vinculados con el área de
trabajo.

En la actualidad el uso de dispositivos móviles, más que un lujo, se ha vuelto una necesidad en el
ámbito empresarial; tomando en cuenta que gracias a las herramientas que éstos manejan y a su
portabilidad, se puede tener acceso a todos los sistemas de información basados en cómputo móvil
desde cualquier lugar en que se encuentre el empleado, ganando con esto agilizar el trabajo.

Esta tesina fue realizada con el fin de implementar una metodología confiable para proteger los
dispositivos móviles, dentro y fuera de la organización. Cabe destacar que si ésta cuenta con un plan
de seguridad para este tipo de dispositivos, podría complementarse mediante esta metodología;
asimismo, si no contase con algún plan de seguridad, a través de esta metodología se tendría la
facilidad de implementarla desde ceros con un costo mínimo.

Es preciso señalar que por muy buena que sea la seguridad que se tenga en los dispositivos móviles,
es fundamental concientizar a los empleados en cuanto a los riesgos y amenazas en las que se
puedan ver involucrados sus dispositivos, poniendo en peligro la confidencialidad de la información
que maneja la empresa.

Esta metodología es flexible para trabajar de la mano con la empresa conforme a las políticas de
seguridad que ésta maneja.

La elaboración de esta metodología fue llevada a cabo mediante la legislación en materia penal
referente al robo y mal uso de la información del Código Penal Federal; asimismo, se basó en los
estándares ISO 31000 que se refiere a los riesgos, al ISO 27001:2013 y al NIST 800-124 que se
refieren a la seguridad de la información y el NIST 800-50 para la concientización del usuario en
cuanto al manejo de los dispositivos móviles.

Introducción

En los últimos años el uso de dispositivos móviles influye decisivamente sobre la manera en la que
se maneja la información; el impacto de ésta revolución en las principales formas que tenemos como:
la comunicación, el compartir información y cómo se resuelven las diversas problemáticas, hace más
contundente el uso de éstos, por que el usuario está conectado con servicios digitales y esta
tendencia va en aumento, ya que se han tomado como herramientas de trabajo, lo que genera un
cambio radical en el trabajo diario dentro de una empresa. Estos dispositivos tienen acceso a la
información de una forma más rápida y eficiente, además de tener la disponibilidad de llevarlos a
donde sea y conectarlos en cualquier red fuera del área de trabajo; esto a su vez obliga a generar
procesos que mejoren el uso de dichos dispositivos móviles.

En la actualidad el aumento en el uso de dispositivos móviles ha generado que el acceso a la
información sea más fácil, por lo que presenta nuevos retos en el tema de seguridad, ya que hay
diversos riesgos como el robo de información tanto personal como de la empresa y que en la mayoría
de las ocasiones el usuario no tiene la capacitación necesaria para prevenir en lo posible el robo de
la información.

Derivado de lo anterior, el objetivo del presente trabajo es ser una guía de buenas prácticas donde
apoye a las pequeñas y medianas empresas que estén interesadas en la seguridad de dispositivos
móviles y por ende en su información; este material provee la concientización y la prevención para
el uso adecuado de los dispositivos móviles y diversos procesos que por medio de la planeación
oportuna puede minimizar el riesgo en la seguridad y los costos económicos que conllevan.

Para lograr lo anterior se crea una metodología que ayuda a detectar los riesgos y reducirlos, así
mismo un control de seguridad en los dispositivos móviles y cómo se debe manejar la información
sensible para la empresa y para los usuarios.

El capítulo uno considera la problemática, el objetivo general y los específicos que es a donde se
quiere llegar, y lleva a cabo una serie de pasos para nutrir la investigación, con esto se pretende
entender el contexto que vive la empresa, primero la falta de concientización hacia los usuarios sobre
los diversos riesgos que existen al tener tan expuesta su información en un dispositivo que puede
sufrir diversos contingencias como el robo o el extravío por descuido y que con el crecimiento del
uso de estos, hay diversos métodos para robar la información desde una conexión a internet insegura
o por medio de ingeniería social.

iii

El capítulo dos se genera una conceptualización de términos técnicos usados en el área de las
tecnologías de la información, en legislación y en las mejores prácticas, por lo que nos permite
obtener una visión completa sobre el tema que trata esta tesina.

El capítulo tres plantea la problemática sobre la seguridad de los dispositivos móviles y cómo han
evolucionado a través del tiempo, los riesgos que conlleva el uso de éstos con los adelantos
tecnológicos y que a toda costa se intentan disminuir contra una industria creciente de delincuencia,
que busca hacerse de la información para obtener diversos beneficios económicos.

El capítulo cuatro toma como base las mejores prácticas, como el ISO 31000 para gestión de riesgos,
ya que es el primer factor que se debe considerar para tomar decisiones integrales dentro de la
seguridad; para la gestión de la seguridad se toma el ISO 27001:2013 y NIST 500-124. Por último
se toma NIST 500-80 como un complemento para la concientización del usuario. En el apartadode
legislación se cuenta con el Código Penal Federal que apoya a que los procesos generados estén
soportados por la ley Mexicana vigente, por último se indican recomendaciones y los servicios de
terceros, así como, las publicaciones de diversos expertos en la industria de la seguridad a nivel
mundial.

En el capítulo cinco se encuentra el trabajo de campo efectuado mediante un cuestionario, este se
efectúo a toda la empresa, e indica el tipo de investigación realizada, la recolección de la información;
además de generar el plan muestral y presentar de manera analítica los resultados correspondientes
de dicha investigación.

En el capítulo seis se describe la propuesta de la metodología mediante un ciclo de vida en el que
se incluye las mejores prácticas; este propone medidas preventivas que se alinean con los objetivos
de la empresa en materia de seguridad de los dispositivos móviles, la creación de políticas de
seguridad que se pueden implementar en estos, la concientización de los usuarios en el uso de los
mismos y el proceso de mejora continua.

En la conclusión se redacta el avance efectuado y las observaciones que se hacen a la empresa en
referencia a la seguridad de los dispositivos móviles y que tan bien están preparados están los
usuarios en materia de la seguridad de la información, por otro lado se indica que es importante el
trabajo continuo y en equipo para lograr que los objetivos planteado en esta metodología se cumplan
y se vean reflejados los cambios propuestos.

Capítulo I Marco Metodológico

En el presente capítulo se muestra la descripción puntual del planteamiento del problema, dando
lugar al objetivo general y los objetivos específicos; se dan a conocer las técnicas y los métodos de
medición que permiten elaborar la metodología, por otra parte, se muestra la justificación evaluando
los perfiles de riesgo, la concientización de los usuarios y las plataformas móviles que existen
actualmente en el mercado, definiendo de esta forma la hipótesis de este trabajo.

1.1 Planteamiento del problema

Hoy en día a pesar de las diversas tecnologías en muchas empresas no existen normas sobre la
seguridad de los dispositivos con los que se trabaja, sean celulares, laptops, tabletas, etcétera. Y a
pesar de existir políticas en algunas de ellas, no son bien implementadas y la documentación en la
mayoría de los casos no existe o es muy escueta, el siguiente problema a plantear son los mismos
usuarios de dichas tecnologías, ya que debido al desconocimiento suelen ser la primer vulnerabilidad
de los sistemas pero también la parte más difícil de controlar. Es por eso que se buscará crear una
metodología de seguridad enfocada en la prevención y el diagnóstico de las vulnerabilidades, tanto
en los dispositivos móviles como en la concientización de los usuarios sobre su correcto uso.

Es importante que antes de implementar y proporcionar una mayor movilidad a través de dichos
dispositivos, se diseñen e instrumenten políticas y estrategias de uso que salvaguarden la integridad
de la información de la compañía, así como, la seguridad de todos los recursos tecnológicos con los
que cuenta.

Los dispositivos móviles tienen un perfil de riesgo, algo distinto que el de otros activos tecnológicos.
Este perfil depende en gran medida de las características de los mismos:

 Son dispositivos que por su pequeño tamaño pueden perderse o sustraerse con facilidad.
 Tienen acceso inalámbrico a Internet y acceso a la red de telefonía móvil.
 Capacidad de establecer comunicaciones por Bluetooth o NFC con otros dispositivos
próximos.
 Sistema de posicionamiento global GPS.
 Cámaras de fotos, video y micrófono incorporadas.
 Alta capacidad de almacenamiento.
 Un sistema operativo casi al mismo nivel que el de un ordenador doméstico.

 Extensiva disponibilidad de aplicaciones de terceros que pueden ser instaladas por parte del
usuario.
 Capacidad de usar el dispositivo como almacenamiento removible, para almacenar datos de
otros dispositivos y de volcar los datos a otros dispositivos.

La estrategia y las políticas de seguridad para el uso de dispositivos móviles deben ser definidas por
una comisión integrada por el personal de las áreas de TIC, recursos humanos, jurídicos y directivos,
con el objetivo de planear, diseñar, implementar y dar a conocer las mismas al personal de cualquier
compañía. Se deben tomar en cuenta todos los aspectos que puedan representar un riesgo de
seguridad para la información corporativa y por otra parte, deben estar dentro del marco del Sistema
de Gestión de la Seguridad de la Información, concepto central sobre el que se construye ISO 27001.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad,
integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de la
organización.

Al definir una estrategia y políticas de seguridad para los equipos móviles alineados al sistema de
gestión de la seguridad de la información, la empresa contará con procedimientos acordes a los
objetivos institucionales, además definirá e implementará controles de seguridad basados en un
análisis de riesgos.

Establecer políticas y estrategias de seguridad adecuadas no es una tarea fácil, pero si necesaria e
indispensable para las compañías que adoptan el uso de estas tecnologías pues se debe considerar
que cada dispositivo móvil es un activo más que representa un riesgo de seguridad en las redes
corporativas.

La concientización del personal es un aspecto importante de seguridad para que la red corporativa
no sea vulnerable por el uso de dispositivos móviles, personales o corporativos, contribuye a la
adopción de las políticas y estrategias de seguridad establecidas para el acceso a los datos y
recursos de la compañía.
En el caso de que el personal vaya a utilizar sus dispositivos propios, se le debe concientizar en
aspectos tales como el uso de contraseñas complejas de bloqueo/desbloqueo de sus equipos, utilizar
firewalls, realizar respaldos, uso de antivirus para el análisis de datos y aplicaciones, configurar
opciones de bloqueo y/o borrado de datos del dispositivo en caso de pérdida o robo, entre muchas
otras buenas prácticas que en la actualidad existen para un uso seguro de los dispositivos en las
redes empresariales.

La generalización y expansión del uso de las tecnologías, telecomunicaciones e informática en los
diferentes contextos empresariales, académicos, personales y públicos, hacen de las TICs una base
común para todas nuestras actividades.

La plataforma inalámbrica y móvil, es muy vulnerable debido a su posición física y su débil
conocimiento de estructura segura por lo que debe ser protegida con el fin de controlar que sean
presa de ataques, fraudes o mal uso por los delincuentes informáticos, empleados desleales o
terceros mal intencionados.

Basándonos en la cantidad infinita de dispositivos inalámbricos que podemos encontrar, éstos ya
son parte de la estructura de la red, por lo que habrá que tomar las medidas necesarias, cumpliendo
las metodologías de la seguridad.

El fenómeno de que los empleados de una empresa utilicen sus propios dispositivos para cumplir
con las tareas diarias del trabajo se ha consolidado en los últimos años y hoy se conoce como la
tendencia BYOD (Bring Your Own Device). La gran dependencia que se ha desarrollado por la
conectividad y el acceso a la información en cualquier lugar y momento, combinado con los cada vez
más livianos y portables dispositivos personales, ha dado un gran impulso a este fenómeno.

Pero estas nuevas tendencias traen asociados riesgos para la seguridad de la información
corporativa; lo cual lleva a que las áreas encargadas de estos temas planteen soluciones de acuerdo
a la realidad de la empresa y procurandoevitar conflictos con el desarrollo tecnológico.

1.2 Objetivo

Generar una metodologia para determinar las acciones a realizar que permitan efectuar una conexión
segura entre los diversos dispositivos móviles, como son: laptops, equipos celulares, tabletas, entre
otros, para el correcto manejo de los datos que almacenan; considerando la mejores prácticas en la
seguridad de los dispositivos móviles que se usan en la empresas; y con ello lograr que la
interconectividad sea eficiente y se minimicen los riesgos que el usuario pueda llegar a generar al
ser la parte más vulnerable de la operación de estos dispositivos.

1.3 Objetivos Específicos

Identificar, recopilar y seleccionar las mejores prácticas de seguridad, tomando como base ISO
31000, ISO 27001-2013, NIST 800-124 Y NIST 800-50 que ayude a la implementacion de
mecanismos de seguridad en los diferentes dispositivos móviles.

Crear o mejorar las políticas de la empresa que ayuden a las áreas de las Tecnologias de la
Información a tener un mejor resguardo de la seguridad de los datos, así como controles de
seguridad en los diferentes dispositivos móviles, sean estos personales o corporativos.

Crear conciencia en los usuarios a través de manuales informativos y de cursos de concientización
para el cumplimiento de las politicas de seguridad en el campo laboral y así disminuir los riesgos.

1.4 Técnicas e instrumentos de medición

Para el desarrollo de esta tesina se eligieron las siguientes técnicas e instrumentos de medición:

1.4.1 Método mixto

Según Chen, en el libro Metodología de la investigación los define como la integración sistemática
de los métodos cuantitativos y cualitativos en un solo estudio con el fin de obtener una “fotografía”
más completa del fenómeno, y señala que éstos pueden ser conjuntados de tal manera que las
aproximaciones cuantitativa y cualitativa conserven sus estructuras y procedimientos originales; o
bien, que dichos métodos pueden ser adaptados, alterados o sintetizados para efectuar la
investigación y lidiar con los costos del estudio.

1.4.2 Cuestionario

En el libro La aventura del pensamiento crítico, herramientas para elaborar tesis e investigaciones
socioeducativas indica que son instrumentos de observación que destacan por su alto grado de
estructuración, aunque existe una amplia gama de posibilidades. En general se elaboran como un
formulario de preguntas y, por lo común, con instrucciones para su contestación.

Por tal motivo se elabora un cuestionario que mida el nivel de seguridad aplicado en una empresa
en particular y que tan consientes están los usuarios de lo que se debe hacer en caso de robo o
extravío de los dispositivos móviles con los que trabajan y si tienen políticas de seguridad
implementadas para dichos casos.

1.5 Universo y muestra

El universo y muestra nos permite realizar una medición real sobre la problemática de seguridad que
existe actualmente con los dispositivos móviles tomando como muestra una empresa pequeña en la
que se puede detectar si las medidas de seguridad en estos dispositivos son adecuadas o no.

1.5.1 Universo para la medición

Según la Dra. Cristina Ludewing, el universo es cualquier colección finita o infinita de elementos o
sujetos, es por tanto el conjunto de individuos que poseen la característica o características sujetas
a estudio.

Por lo tanto la muestra de esta tesina se compone de un universo de 35 a 50 personas, que laboran
en una empresa de denominación pequeñas o medianas o PyMES.

1.5.2 Muestra probabilística

En el libro Metodología de la investigación, las muestras probabilísticas son esenciales en los
diseños de investigación transaccionales, tanto descriptivos como correccionales-causales, donde
se pretende hacer estimaciones de variables en la población. Estas variables se miden y se analizan
con pruebas estadísticas en una muestra, de la que se presupone que ésta es probabilística y que
todos los elementos de la población tienen una misma probabilidad de ser elegidos. Las unidades o
eventos muestrales tendrán valores muy parecidos a los de la población, de manera que las
mediciones en el subconjunto nos darán estimados precisos del conjunto mayor. La precisión de
dichos estimados depende del error en el muestreo, que es posible calcular.

La muestra toma como base una formula conocida como plan muestral para determinar el tamaño
de la muestra que se tomará de nuestro universo mencionado con anterioridad, que consta de 50
personas, para la elaboración de los cuestionarios o encuestas a aplicar, para obtener los resultados
de la misma.

1.6 Justificación

Gracias a los grandes avances tecnológicos en general y de la democratización del uso del Internet
entre otros, es posible que hoy día se incursione en el desarrollo de servicios que antes no existían.
Bajo el cómputo ubicuo, los usuarios podrán acceder a servicios de información adecuados a la
situación en la que se encuentran, donde sea y cuando sea (at anywhere and anytime). Manejando
éste término como la integración de la informática en el entorno de la persona; de forma que las
computadoras no se perciban como objetos diferenciados.

El uso de teléfonos inteligentes y tabletas tanto a nivel personal como empresarial se ha convertido
en una práctica creciente, por las múltiples funcionalidades que proporcionan, así como, las
aplicaciones que pueden ser instaladas en éstos. Su utilización en el entorno de las compañías, las

cuales han adoptado como una práctica laboral su incorporación a fin de que se pueda acceder a
los sistemas de información, bases de datos, correo electrónico, telefonía y otros recursos
corporativos tanto desde el interior como desde el exterior de la empresa, buscando obtener una
mayor productividad.

Las carreras de Ciencias de la Informática e Ingeniería en Informática de la UPIICSA participaran
con una empresa privada, desarrollando un modelo informático que sirva de apoyo para la
implementación y el uso de las nuevas tecnologías, generando estrategias y políticas de seguridad
para el uso de dispositivos móviles en las áreas de TIC, con el objetivo de planear, diseñar,
implementar y dar a conocer un Modelo de Seguridad para el manejo de dispositivos móviles y la
vinculación con los usuarios.

1.6.1 Perfiles de Riesgo

Los riesgos son las posibilidades de que ocurran eventos negativos; se pueden disminuir los riesgos
pero no se pueden eliminar del todo, lo que constituye una amenaza latente en la seguridad de
cualquier tipo.

En el caso de las tecnologías de la información, el riesgo tiene su origen en un incremento continuo
de las herramientas y aplicaciones tecnológicas que no cuentan con una gestión correcta de
seguridad. Su irrupción en las organizaciones se debe a que la tecnología está siendo fin y medio
de ataques debido a vulnerabilidades existentes por medidas de protección inadecuadas y el cambio
constante que estas sufren, factores que hacen difícil mantener actualizadas las medidas de
seguridad.

Aunado a lo antes mencionado, se encuentra el uso incorrecto de la tecnología, que en muchas
ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las
organizaciones.

El riesgo en las tecnologías de información puede verse desde tres aspectos diferentes, primero a
nivel de la infraestructura tecnológica o hardware, en segundo lugar a nivel lógico (riesgos asociados
a software, sistemas de información e información) y en tercero a los riesgos que derivan del mal
uso de los elementos antes mencionados que es el factor humano.

1.6.2 Concientización de los usuarios

Hoy en día la capacitación de los usuarios en el correcto uso de los dispositivos móviles así como
de la información de la empresa y propia es muy importante para disminuirlos riesgos; por lo que no
solo se deben de proporcionar herramientas sino también el conocimiento sobre su correcto uso.

A continuación se presenta una relación de temas que se desarrollarán para la capacitación de los
usuarios en tema de seguridad de los dispositivos móviles:

 Uso seguro de las aplicaciones de la empresa.
 Uso seguro de los servicios que hayan sido utilizados de Internet: navegación de páginas
web evitando engaños y posibles contenidos dañinos; la criptografía en el correo electrónico
para garantizar la autenticidad, integridad y confidencialidad de los mensajes sensibles;
cómo llevar a cabo transacciones en servidores seguros.
 Cómo evitar el ataque de virus y otros códigos dañinos: reconocimiento de mensajes falsos
o con ficheros adjuntos sospechosos; protección a la hora de instalar herramientas o acceder
a determinados servicios de Internet, entre otras cosas.
 Reconocimiento de técnicas más frecuentes de Ingeniería Social, para evitar ser víctimas de
este tipo de engaños.
 Conocimiento de obligaciones y responsabilidades derivadas del actual marco normativo
como: el Código Penal Federal y la Ley Federal de Telecomunicaciones.
 Cómo gestionar el soporte informáticos, así como, los dispositivos móviles.
 Cómo reaccionar ante los diversos incidentes que puedan comprometer la seguridad de la
información o el acceso a los recursos del sistema.

Con estas acciones podemos realizar un manual básico para los usuarios, donde se incluyan las
principales recomendaciones de la empresa donde se establezcan las obligaciones, las
responsabilidades y los límites que se establecen para el uso correcto de las redes en los dispositivos
móviles.

1.6.3 Plataformas móviles

La empresa trabaja con dispositivos móviles, y éstos en su mayoría cuentan con Android, por lo
tanto, nos enfocaremos en trabajar con dicho sistema operativo, ya que es el más usado
actualmente; además se hace mención de los otros dos dispositivos más importantes en el mercado,
ya que podemos encontrar algunos usuarios que usen estos sistemas operativos.

Android
El sistema operativo número uno en cuanto a popularidad. Con una cuota de mercado cercana al
85% el sistema operativo de Google, se caracteriza por ser abierto y disponible para cualquier
fabricante interesando en utilizarlo para sus dispositivos móviles.

Esta disponibilidad ha creado sin embargo una gran fragmentación, pudiéndose encontrar
innumerables dispositivos de miles de formas y funcionalidades con todas las versiones de Android
existentes. Además la posibilidad de que cada fabricante incluya su propia capa sobre el original,
propicia que la experiencia de usuario no sea siempre la deseada por Google y las actualizaciones
tarden en llegar.

Windows Mobile
Microsoft que está realizando un gran esfuerzo financiero para posicionar Windows Phone como una
tercera opción interesante para los usuarios. Su alianza con Nokia y su posterior compra le ha
ayudado a darse a conocer mejor e ir ascendiendo en el mercado a los dos líderes. Los últimos datos
hablan de un 2,5% a nivel mundial.

IOS
Lo que caracteriza a iOS frente a otros sistemas operativos es que es un sistema operativo cerrado.
Apple no permite que se modifiquen características internas del sistema más allá de las limitadas
opciones que da en los ajustes. Un sistema cerrado permite, siempre una experiencia más estable
y segura tal y como lo diseñó el fabricante en un principio. Sin embargo a muchos usuarios, que
buscan una mayor personalización, se les pueden quedar cortas las opciones que da Apple.

Por otro lado, como también suele ser habitual en los productos de la empresa, no se licencia a
terceros por lo que tan solo los iPhone disponen de este sistema operativo.

1.7 Hipótesis

Las empresas que proporcionan dispositivos móviles a sus empleados o los empleados que trabajan
con sus propios dispositivos móviles, como herramienta de trabajo, pueden disminuir la
vulnerabilidad de la información y reducir el riesgo de pérdida o robo de información sensible que
sea de su propiedad, al implementar la capacitación del usuario y la creación de una metodología de
seguridad en dichos dispositivos.

Capítulo II Marco teórico: Generalidades de la metodología de
seguridad para el manejo de dispositivos móviles

En este capítulo se presentan los conceptos técnicos que se emplean en el ámbito laboral;
específicamente en las pequeñas y medianas empresas PYMES, con lo cual se puede obtener un
panorama más amplio sobre la importancia en el uso de dispositivos que faciliten el trabajo cotidiano
sin dejar a un lado la importancia de conocer los riesgos que conlleva y la aplicación de una
metodología para la seguridad de uso de dichos dispositivos por parte de los usuarios.

2.1 Marco conceptual

Big Data: Según Luis Joyanes Aguilar en su libro Big Data Análisis de grandes volúmenes de datos
en organizaciones, en la parte I. La era del Big Data, dice que los grandes conjuntos de datos cuyo
tamaño está más allá de las capacidades de las herramientas típicas de software de base de datos
para capturar, almacenar, gestionar y analizar. Cuentan con tres características principales: volumen
(cantidad), velocidad (velocidad de creación y utilización) y variedad (tipos de fuentes de datos no
estructurados y estructurados, cualquier cosa que se pueda clasificar en una base de datos).

Computadora Portátil: Según Ángel Luis Sánchez Iglesias en su artículo “¿Qué es una laptop o
portátil?”, es una PC pensado para usarlo en más de un lugar, es decir de forma móvil. Esto lo
consigue gracias a una batería que se recarga usando la corriente eléctrica.

El consumo de cada uno de sus componentes es muy importante ya que esto determina la
autonomía, que no es más que el tiempo que funciona sin necesidad de conectarse a la corriente
eléctrica.

Buena Práctica: Según el sitio olea.org, en su artículo “Mejores prácticas de la Auditoría
Informática” son directrices que permiten a las empresas modelar sus procesos para que se
ajusten a sus propias necesidades, proporcionan a las empresas y/o organizaciones métodos
utilizados para estandarizar procesos y administrar de una mejor manera los entornos de TI.

Las empresas que deseen utilizar un enfoque basado en mejores prácticas para la estandarización
de estas directrices, tienen como opción varias metodologías.

Computación en la Nube: Según el sitio debitor.es, en su artículo “Definición de Cloud Computing”,
consiste en la posibilidad de ofrecer servicios a través de Internet.

La computación en la nube es una tecnología nueva que busca tener todos los archivos e información
en Internet y sin depender de poseer la capacidad suficiente para almacenar información.

El cloud computing explica las nuevas posibilidades de forma de negocio actual, ofreciendo servicios
a través de Internet, conocidos como e-business (negocios por Internet).

Dispositivos Móviles: Según Anaid Guevara Soriano, en su artículo “¿Qué es un dispositivo
móvil?”, son aparatos de tamaño pequeño que cuentan con las siguientes características:

 Capacidades especiales de procesamiento.
 Conexión permanente o intermitente a una red.
 Memoria limitada.
 Diseños específicos para una función principal y versatilidad para el desarrollo de otras
funciones.
 Tanto su posesión como su operación se asocian al uso individual de una persona, la cual
puede configurarlos a su gusto.

Una característica importante es el concepto de movilidad, los dispositivos móviles tienen la ventaja
de la portabilidad y facilidad para ser transportados. En muchas ocasiones pueden ser sincronizados
con algún sistema de la computadora o en un servidor en la nube para actualizar aplicaciones y
datos.

Tableta: Haciendo referencia al estudio realizado por RosarioOrtega Pérez, es conveniente que
establezcamos una primera diferencia entre lo que se conoce como tableta y las nuevas tabletas
táctiles. La tableta se podría definir como periférico o dispositivo digital portátil con las prestaciones
propias de un PC y que en los últimos años se han usado y se usan en algunos centros educativos
con conexión inalámbrica a una pizarra digital. En estos dispositivos el usuario realiza anotaciones
y opera con el ordenador a través de la superficie de la pantalla usando un dispositivo de escritura o
puntero y un software específico.

Las tabletas están más enfocados al acceso de aplicaciones (apps) que a la creación de contenidos.
Otra característica destacable de estos dispositivos es su naturaleza táctil lo que permite prescindir
de teclado físico o ratón. Esto los convierte en herramientas intuitivas, rápidas y que no precisan de
aprendizaje instrumental por parte del usuario. Por primera vez es la tecnología la que se adapta al
usuario y no al revés.

BYOD: Según el sitio inacátalog en su artículo “El fenómeno tecnológico BYOD”, responde a la
expresión en inglés “Bring your own device” cuya traducción es “traiga su dispositivo personal”. Y en
la práctica significa que los empleados de la empresa pueden aprovechar sus dispositivos móviles
para llevar consigo la información y herramientas que necesitan para trabajar.

Gracias a las funcionalidades que presentan los teléfonos inteligentes, así como la irrupción de las
tabletas que con su gran capacidad almacenamiento de datos, la conectividad y la estructura y
diseño práctico para el trabajo con programas profesionales, ha posibilitado el surgimiento de una
nueva cultura empresarial que los expertos vaticinan redefinirá la forma de trabajar en las
corporaciones.

Adaptar los dispositivos de los trabajadores para su uso profesional aporta grandes oportunidades:
aumento del rendimiento, flexibilización de la jornada laboral, movilidad total para trabajar desde
cualquier parte del mundo. Además, el ahorro en costos, es muy significativo.

Concientización: Según definición ABC, es todo aquello acto que signifique hacer que una persona
tome conciencia sobre determinas circunstancias, fenómenos, elementos de su personalidad o
actitud, para mejorar su calidad de vida y sus vínculos no sólo con el resto de los individuos si no
también con el medio ambiente que lo rodea. La idea de concientizar a alguien siempre tiene un
sentido positivo ya que se supone que al llevar a cabo tal acción, uno está haciendo que la otra
persona, aquella a la que se concientiza, deje de lado actitudes o fórmulas impulsivas, inconscientes,
que comience a utilizar su nivel de madurez e inteligencia para su propio bien y el de otros.

Conectividad: Según el sitio Comunikt en su artículo “¿Qué es la Conectividad?”, es la capacidad
de un dispositivo de poder ser conectado sin la necesidad de un ordenador, es decir en forma
autónoma.

Esto se refiere a que los dispositivos no necesariamente deben de estar conectados entre sí para
lograr un intercambio de información. En la actualidad la tendencia es eliminar los cables, esto se
logra mediante las tecnologías inalámbricas, que funcionan por diferentes tipos de ondas y
radiofrecuencias.

El aporte de Internet hoy por hoy ha sido enorme, esta red permite la conexión con casi cualquier
persona que también cuente con un dispositivo de conexión a la red, y esto es a nivel mundial.

Conexión: Según el sitio ALEGSA en su definición de Conexión, es un punto donde se realiza un
enlace entre dispositivos o sistemas. También conexión hace referencia al enlace completo. Una

conexión puede ser alambrada o inalámbrica, digital o analógica, virtual o real, etcétera; por ejemplo,
el acceso a internet es un tipo de conexión, el objetivo de una conexión es transferir datos.

Correlacional: Según The Free Dictionary es la relación recíproca entre dos o más cosas, ideas,
personas.

Estandarización: Según el sitio Univalle.edu, en su presentación “Calidad”, es garantizar que los
procesos que se desarrollan en una organización, sean organización, sean ejecutados de una
manera uniforme por todos los todos los involucrados en él, para asegurar la calidad de los
productos/servicios.

Para ello se requiere definir unos estándares y su sistema de administración.

Firewall: Según UNAM-CERT en su artículo “Firewalls Personales”, es una herramienta
indispensable para proteger nuestra conexión a Internet. El hecho de hacer uso de una conexión a
Internet puede ser causa de múltiples ataques a nuestro equipo de cómputo desde el exterior, cuanto
más tiempo estemos en línea, mayor es la probabilidad de que la seguridad de nuestro sistema se
vea comprometida por un intruso desconocido. Por lo tanto, ya no solamente es necesario tener
instalado y actualizado un software antivirus y un software antispyware sino también es totalmente
recomendable mantener instalado y actualizado un software de firewall.

Un firewall es un sistema diseñado para impedir el acceso no autorizado o el acceso desde una red
privada. Pueden implementarse firewalls en hardware, software o en ambos. Los firewalls se utilizan
con frecuencia para impedir que los usuarios de Internet no autorizados tengan acceso a redes
privadas conectadas a Internet.

Sistema de Posicionamiento Global (GPS): Según el sitio GPS.gov, en su artículo “El Sistema de
Posicionamiento Global” es un servicio propiedad de los EE.UU. que proporciona a los usuarios
información sobre posicionamiento, navegación y cronometría. Este sistema está constituido por tres
segmentos: el segmento espacial, el segmento de control y el segmento del usuario. La Fuerza Aérea
de los Estados Unidos desarrolla, mantiene y opera los segmentos espacial y de control.

Hackeo: Según Eric S. Raymond en su “Glosario del Argot”, es alguien que descubre las debilidades
de un computador o de una red informática, aunque el término puede aplicarse también a alguien
con un conocimiento avanzado de computadoras y de redes informáticas. Los hackers pueden estar
motivados por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío.

International Organization for Standardization (ISO): Según el sitio de internet Gestiopolis en su
artículo “¿Qué es ISO?”, la Organización Internacional para la Estandarización (ISO) es una
federación de alcance mundial integrada por cuerpos de estandarización nacionales de 130 países,
uno por cada país.

La ISO es una organización no gubernamental establecida en 1947. La misión de la ISO es promover
el desarrollo de la estandarización y las actividades con ella relacionada en el mundo con la mira en
facilitar el intercambio de servicios y bienes, y para promover la cooperación en la esfera de lo
intelectual, científico, tecnológico y económico.

Todos los trabajos realizados por la ISO resultan en acuerdos internacionales los cuales son
publicados como Estándares Internacionales.

ISO-27000: En el sitio de ISO 2700 en español en el origen, es un conjunto de estándares
desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad
de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está
compuesta a grandes rasgos por:

 ISMS (Information Security Management System).
 Valoración de Riesgo.
 Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

ISO 31000: Según el sitio bsi en su artículo “Gestión de riesgo ISO 31000”, es la norma internacional
para la gestión del riesgo. Al proporcionar principios integralesy directivas, esta norma ayuda a las
organizaciones con su análisis y evaluación de riesgos. Sea que trabaje en una empresa pública,
privada o comunitaria, se puede beneficiar de ISO 31000, porque se aplica a la mayoría de las
actividades comerciales, incluyendo la planeación, operaciones de gestión y procesos de
comunicación. Mientras que todas las organizaciones manejan el riesgo en cierta medida, las
recomendaciones de mejores prácticas de esta norma internacional se desarrollaron para mejorar
las técnicas de gestión y garantizar la seguridad y protección en todo momento en el lugar de trabajo.

Al implementar los principios y directivas de ISO 31000 en su organización, será capaz de mejorar
la eficiencia operativa, gobernanza y confianza de las partes interesadas, a la vez que minimiza las
pérdidas. Esta norma internacional también le ayuda a impulsar el desempeño de salud y seguridad,
establecer un fuerte fundamento para la toma de decisiones y alentar la gestión proactiva en todas
las áreas.

NFC: Según Javier Penalva en el artículo “NFC: qué es y para qué es”, Near Field Communication,
se trata de una tecnología inalámbrica que funciona en la banda de los 13.56 MHz (en esa banda no
hace falta licencia para usarla) y que deriva de las etiquetas RFID de las que seguro que has oído
hablar, pues están presentes en abonos de transporte o incluso sistemas de seguridad de tiendas
físicas.

NFC es una plataforma abierta pensada desde el inicio para teléfonos y dispositivos móviles. Su tasa
de transferencia puede alcanzar los 424 kbit/s por lo que su enfoque más que para la transmisión de
grandes cantidades de datos es para comunicación instantánea, es decir, identificación y validación
de equipos/personas.

NIST 800-50: Según Emanuel Aroms, del libro “NIST Special Publication 800-50 Contingency
Planning Guide for Federal Information Systems Revision 1”, construye un programa de
entrenamiento y concientización de la Tecnología de la Información en Seguridad es un conjunto de
recomendaciones del Instituto Nacional de Estándares y Tecnología sobre cómo configurar la
Concientización de la seguridad y los programas de entrenamiento. Este documento proporciona las
directrices para la construcción y el mantenimiento de un programa integral de sensibilización y
formación, como parte del programa de seguridad de TI de una organización.

La guía se presenta en un enfoque de ciclo de vida, que van desde el diseño (Sección 3), el desarrollo
(Sección 4), y la implementación de un programa de sensibilización y formación (Sección 5), a través
de la evaluación posterior a la ejecución del programa (Sección 6). El documento incluye una guía
sobre cómo los profesionales de seguridad de TI pueden identificar las necesidades de
sensibilización y capacitación, el desarrollo de un plan de formación, y obtener la organización de
buy-in para la financiación de las actividades del programa de formación y sensibilización. Este
documento también describe cómo: Seleccionar temas de sensibilización y formación; Encontrar
fuentes de sensibilización y material de formación; Implementar la sensibilización y material de
formación, utilizando una variedad de métodos; Evaluar la eficacia del programa; y actualizar y
mejorar el enfoque como la tecnología y prioridades de la organización el cambio. El documento es
una publicación que acompaña a NIST Special Publication 800-16, Tecnología de la Información de
Seguridad Requisitos de formación: Una de roles y basado en los resultados del modelo. Las dos
publicaciones son complementarias - SP 800-50 funciona a un nivel estratégico superior, discutiendo

cómo construir una conciencia de seguridad de TI y programa de entrenamiento, mientras que SP
800-16 está en un nivel táctico inferior, que describe un enfoque de la seguridad de TI basado en
roles la formación de exención de responsabilidad Esta copia impresa no es publicado por el Instituto
Nacional de Estándares y Tecnología (NIST), el Gobierno de Estados Unidos o el Departamento de
Comercio de Estados Unidos. La publicación de este documento no debe de ninguna manera implica
ninguna relación o afiliación a las organizaciones anteriormente nombradas y Gobierno.

Seguridad: Según educación.es en su artículo “Introducción a la seguridad informática – seguridad
de la información”, indica que al minimizar los riesgos a los que están sometidos los bienes
informáticos hasta llevarlos a niveles adecuados.

Sincronizar: En el sitio ALEGSA en su artículo “Definición de Sincronizar”, en informática,
sincronizar hace referencia a la coordinación de procesos que se ejecutan simultáneamente para
completar una tarea, con el fin de obtener un orden de ejecución correcto y evitar así estados
inesperados. La sincronización de archivos es utilizada para mantener la misma versión de archivos
en múltiples dispositivos. Por ejemplo, sincronizar la libreta de dirección de un teléfono con la libreta
de direcciones de una computadora. Para más información ver: Sincronizar archivos y Sincronizar
datos.

Tecnologías de la Información y la Comunicación (TIC): Según el sitio web Servicios TIC, en su
definición de TIC indica que son el conjunto de tecnologías desarrolladas para gestionar información
y enviarla de un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologías
para almacenar información y recuperarla después, enviar y recibir información de un sitio a otro, o
procesar información para poder calcular resultados y elaborar informes.

Tecnología Móvil: Según el sitio TICSMIELCA, en su artículo “Tecnologías Móviles”, son un medio
de comunicación que ha superado a la telefonía fija, esto se debe a que las redes de telefonía móvil
son más fáciles y baratas de desplegar.

El uso de las tecnologías móviles entre los habitantes de una población, ayuda a disminuir la brecha
digital existente entre cada lugar, ya que muchos usuarios utilizan este medio tecnológico para el
desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan.

Ubicuo: Según el sitio Definición en su artículo “Definición de ubicuo”, significa “en todas partes”.
Que está presente en muchos lugares y situaciones y da la impresión de que está en todas partes.

Vulnerabilidad: Según el sitio CodeJobs en su artículo “Seguridad Informática ¿Qué es una
vulnerabilidad, una amenaza y un riesgo?”, es una debilidad del sistema informático que puede ser

utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de
una computadora, tanto en el hardware, el sistema operativo, cómo en el software.

At anywhere and anytime: Según el Dr. Saúl Eduardo Pomares Hernández, en su trabajo
“Computación ubicua; un gran desafío” Manejo con usuarios al accesar a servicios de información
adecuados a la situación en la que se encuentran, donde sea y cuando sea.

2.1.1 Metodología

Según el sitio web Definición en su artículo “Definición de Metodología”, se denomina metodología
al estudio de los métodos de investigación que luego se aplican en el ámbito científico.

La metodología de la investigación supone la sistematización, es decir, la organización de los pasos
a través de los cuales se ejecutará una investigación científica. No es posible concebir la idea de
“investigación” sin pensar de manera casi automática en la serie de pasos que debemos cumplir para
otorgar seriedad, veracidad y cientificidad a dicha investigación.

Cuando abordamos una investigación científica, hay una serie de pasos ordenados, organizados y
sistémicos, que pueden en algún momento sobreponerse entre uno y el anterior, o el que le sigue,
pero que responde al siguiente proceso:

 Elección de un área temática
 Definición del tema general
 Identificación del problema
 Estado del arte o antecedentesacerca de dicho problema (en investigaciones o trabajos
académicos anteriores)
 Definición de la pregunta-problema (que será el eje de toda la investigación, responde al
“qué investigamos”
 Justificación (¿por qué ese tema y problema es pertinente de ser abordado científicamente?)
 Esquematización del proceso de investigación >> definición de objetivos (generales y
específicos)
 Formulación de hipótesis (supuestos que se formulan de manera previa a su constatación)
 Elaboración de un marco teórico o marco de referencia teórica (donde se toman teorías,
autores y se define así el marco desde donde vamos a abordar el tema)
 Trabajo de campo o experimentación
 Recolección de datos
 Tabulación de datos

 Interpretación de datos
 Formulación de conclusiones.

2.1.2 Metodología de seguridad

Según la facultad de Ingeniería de la UNAM en su artículo “Seguridad Informática”, está
específicamente diseñada para apoyar a quienes trabajan con el desarrollo de la seguridad, las
estrategias y planes para la protección de la disponibilidad, integridad y confidencialidad de los datos
de los sistemas informáticos.

Existen cuatro pasos a seguir dentro de esta metodología:

1. Identificar los métodos, las herramientas y técnicas de ataques probables: Puede abarcar
desde los diversos virus hasta las nuevas metodologías de implantación codificada de
sistemas que alteran e infringen contra la integridad y estabilidad de los datos.
2. Establecer las estrategias proactivas y reactivas; Cuando se habla de estrategias proactivas
hace referencia a identificar aquella metodología que nos encamina a reducir al mínimo las
directivas de seguridad, así como, de desarrollar planes de contingencia. Cuando se habla
de las estrategias reactivas se hace referencia a la implementación del plan de contingencia,
y a evaluar el daño que ha causado el ataque junto con su posterior reparación.
3. Pruebas: Se debe de llevar a cabo en los equipos de prueba con su respectiva
documentación con el fin de mejorar las directivas y controles de seguridad a implementar
posteriormente.
4. Formar equipos de respuestas a incidentes: Se identifica las herramientas de software para
responder a incidentes, realizar actividades formativas y de investigación, a la par de la
ejecución de estudios a los ataques que tenga el sistema.

2.1.3 Vinculación

Según el sitio Definición, en su artículo “Definición de vinculación”, se define como el conjunto
comprensivo de procesos y prácticas planeadas, sistemáticamente y continuamente evaluadas,
donde los elementos académicos y administrativos de una IES se relacionan internamente entre
unos y otros, y externamente con otras personas y organizaciones, con el propósito de desarrollar y
realizar acciones y proyectos de beneficio mutuo que:

1) Provean de servicios profesionales a colaboradores, especialmente a empresas;

2) conecten la educación superior con el mundo del trabajo, para poder así aprovechar al
máximo la vinculación como herramienta educativa, de formación de recursos humanos y de
actualización curricular;
3) fomenten la investigación y desarrollo de la base científica y tecnológica de las IES y;
4) aumenten la competitividad de las empresas colaboradoras.

2.1.4 Dispositivos de Almacenamiento

Según la revista digital Seguridad Cultura de Prevención de TI, en su artículo “Dispositivos móviles”,
los dispositivos para almacenar información son capaces de guardar datos en la memoria, lo que
facilita la distribución de datos a varios equipos; así mismo, se utilizan como herramientas de
almacenamiento de datos.

Éstos realizan operaciones de lectura y/o escritura de los medios o soportes donde se almacenan
lógica y físicamente los archivos de un sistema informático; estos dispositivos son:

 Memoria Universal Serial Bus (USB)
 Discos Duros Externos
 Nube
 Centro de Cómputo
 Dispositivos móviles

2.1.4.1 Memoria Universal Serial Bus (USB)

Una memoria Universal Serial Bus (USB), es un dispositivo de almacenamiento que utiliza una
memoria flash para guardar información. Los primeros modelos requerían de una batería, pero los
actuales usan la energía eléctrica procedente del puerto USB. Estas memorias son resistentes a
golpes, a caídas, al polvo, y algunos hasta al agua, factores que afectaban a las formas previas de
almacenamiento portátil, como los disquetes, discos compactos y los DVD.

Estas memorias se han convertido en el sistema de almacenamiento y transporte personal de datos
más utilizado, desplazando en este uso a los tradicionales disquetes y a los CD. Se pueden encontrar
en el mercado fácilmente memorias de 2, 8, 16, 32, 64, 128, 256, 512 GB hasta 1 TB.

Los riesgos en el uso de esta herramienta es positivo al hacer portable la información y varios
usuarios pueden tener acceso a ella, se puede modificar y se puede almacenar de nueva cuenta; de

lado opuesto encontramos que también la información puede ser extraviada o robada por medio de
este dispositivo.

También como lo indica ESET cada organización debe de disponer de una política de uso de
dispositivos de almacenamiento externo, conocida por todos los empleados, que indique cuestiones
sobre si su uso está o no permitido, y en caso de que sí esté permitido, qué tipo de información
puede y no almacenarse en ellos.

Además de tener una política propia de uso de dispositivos externos, existen algunas buenas
prácticas que nos van a ayudar a minimizar el riesgo de infección. Las más interesantes son las
siguientes.

1. Utilizar, en la medida de lo posible, discos duros y USBs corporativos debidamente
protegidos y con las medidas de seguridad adecuadas, almacenándolos en lugares
seguros e informando al departamento de informática de cualquier incidente.
2. Evitar el uso de dispositivos personales para almacenar información corporativa en la
medida de lo posible. Y en caso de tener que utilizarlos, hacerlo cumpliendo con las
políticas de uso de estos medios (formateo previo, cifrado, borrado seguro).
3. No utilizar dispositivos extraíbles de tipo promocional o sobre los cuales tengamos
desconocimiento. Este tipo de dispositivos debemos prepararlos convenientemente,
examinando que no tengan ningún tipo de malware e incluso formateando el dispositivo
previamente para evitar infecciones.
4. Utilizar el cifrado total de los discos duros y el cifrado de dispositivos extraíbles.
5. Utilizar el borrado seguro de la información confidencial, con la certeza de que nadie podrá
acceder a los datos una vez eliminados.

2.1.4.2 Disco Duro Externo

Según el sitio CCM en su artículo “¿Cómo proteger la información de su empresa?”; la protección de
la información es un tema importante hoy en día para cualquier empresa ya que en ésta se concentra
todo el valor de la misma, es decir, contiene información de clientes, proveedores, empleados,
investigaciones, productos, servicios, etcétera, y al no tener segura toda esta información puede
traer consecuencias tanto en pérdida de clientes como en consecuencias legales por el mal uso de
los datos que se roben.

Los discos duros externos ayudan a proveer de seguridad al momento de poder tener la información
en otro lugar que no sea la empresa, al generarse respaldos en dichos dispositivos ayuda a que se

pueda recuperar información que ha sido eliminada o que el dispositivo que la contenía deje de
funcionar.

Es importante seleccionar las soluciones o herramientas de protección de información que se
adapten más a las necesidades de la empresa. Por lo general, la elección de la herramienta de
protección está ligada al volumen de la información que se desea proteger y al tamaño de la red de
la empresa. A continuación se muestran algunos criterios para elegir una herramienta de protección:

 Velocidadde almacenamiento: mientras mayor sea el volumen de información y el número
de usuarios, mayor deberá ser la velocidad (frecuencia) de almacenamiento. Contar con una
velocidad adecuada permite evitar la pérdida de datos.
Para un número de usuarios superior a 10 es preferible utilizar un sistema de protección
automática, por ejemplo: los servidores.
 Fiabilidad del soporte (copia de seguridad) y facilidad de uso:
o La vida útil del soporte (copia de seguridad) debe compensar o justificar su precio.
o Es importante conocer cómo está organizada la información en la copia de seguridad
para poder restaurarla rápidamente.
o La copia de seguridad de su empresa debe ser fácil de manejar o administrar.
 Seguridad: los datos almacenados en la copia de seguridad deben estar encriptados, sobre
todo si se trata de una copia de seguridad on-line.
 Compatibilidad: compruebe que su copia de seguridad sea compatible con Windows, Apple
y Linux.
 Sensibilidad al ambiente: algunos sistemas de seguridad físicos (disco duro externo, lector
de banda) pueden ser afectados por el calor, por el polvo, por un golpe, etcétera.
 Tipos de copia de seguridad:
o Copia de seguridad completa: protege toda la información de un disco duro.
o Copia de seguridad incremental: protege todos los elementos que han sido modificados
desde la copia de seguridad anterior.
o Copia de seguridad diferencial: protege los archivos que han sido modificados desde la
última copia de seguridad completa.
 Sistemas de protección de información para las PYME: Optan por sistemas más
sofisticados que cuentan con una capacidad de almacenamiento mucho mayor.

2.1.4.3 Nube

En el sitio Universia en su artículo “¿Cómo almacenar información empresarial en la nube?”, el
almacenamiento en la nube o cloud storage, es un modelo de servicio en el cual los datos de un

sistema de cómputo se almacenan, se administran, y se respaldan de forma remota, típicamente en
servidores que están en la nube y que son administrados por un proveedor del servicio. Estos datos
se ponen a disposición de los usuarios a través de una red, como lo es Internet.

Al hablar de almacenamiento en la nube, se busca mantener las ventajas principales de un sistema
en la nube, como son: elasticidad en el espacio que puedes usar, y que sea un servicio por demanda,
que en este caso se maneja por bloques de información, por ejemplo puedes contratar 5GB, 10GB,
30GB o 100GB, pero no intermedios.

Típicamente se relaciona al almacenamiento en la nube como una práctica de empresas, con
grandes necesidades de espacio, sin embargo existen servicios que puedes usar como un usuario
privado, algunos de ellos gratuitos (hasta cierta cantidad de datos), y que te pueden servir para
respaldar tu información, tenerla accesible desde cualquier computadora o, simplemente, para
compartir archivos, como fotografías por ejemplo.

Existen básicamente tres tipos de servicios de almacenamiento en la nube:

Público.- Se trata de un servicio en la nube que requiere poco control administrativo y que se puede
acceder en línea por cualquier persona que esté autorizada. El almacenamiento en la nube pública
utiliza un mismo conjunto de hardware para hacer el almacenamiento de la información de varias
personas, con medidas de seguridad y espacios virtuales para que cada usuario puede ver
únicamente la información que le corresponde. Este servicio es alojado externamente, y se puede
acceder mediante Internet, y es el que usualmente una persona individual puede acceder, por su
bajo costo y el bajo requerimiento de mantenimiento. Entre los servicios que se encuentran de
almacenamiento en la nube pública están:

 Google Drive, ofrece los mismos servicios que el resto en cuanto al control y almacenamiento
aunque tiene limitaciones en lo que respecta a las políticas de seguridad.
 Box, se trata de un servicio útil para particulares y corporaciones que permite llevar el control
de los archivos que se transfieren, añadir o eliminar usuarios, fijar fechas de vencimiento y
hasta dar derechos sobre determinadas carpetas que sean creadas.
 Sugar Sync, lo que caracteriza al servicio es la flexibilidad y el control que posibilita. Permite
acceder a copias de seguridad automáticas y está disponible para PC, Mac, web y
plataformas móviles, iOS, Android, Symbian y hasta Kindle Fire de Amazon.

Privado.- Almacenamiento en la nube privada funciona exactamente como el nombre sugiere. Un
sistema de este tipo está diseñado específicamente para cubrir las necesidades de una persona o

empresa. Este tipo de almacenamiento en la nube puede ser presentado en dos formatos: on-
premise (en la misma oficina o casa) y alojado externamente. Este modelo es más usado por
empresas, no tanto así las personas individuales. En este modelo la empresa tiene el control
administrativo, y por lo tanto le es posible diseñar y operar el sistema de acuerdo a sus necesidades
específicas. Entre los servicios que se encuentran de almacenamiento de este tipo están:

 Dropbox Empresarial, fue clave en el proceso de popularización de los servicios en la nube
y hace poco surgió esta nueva versión que posibilita administrar de mejor manera la actividad
de los usuarios y gestionar el flujo de trabajo.
 Citrix ShareFile, las empresas que disponen de Citrix ShareFile, pueden controlar desde un
punto central, los archivos que se almacenan. Además, llevar el registro de los usuarios que
acceden a partir de directorios como Microsoft Active Directory.
 Egnyte, además de permitirle a los empleados acceder y compartir por ese medio archivos
desde sus smartphones, tabletas o desde cualquier otro equipo, permite llevar un control
estricto de los movimientos y dispone de opciones avanzadas de seguridad.

Híbrido.- Los sistemas de almacenamiento en nubes híbridas ofrecen, como su nombre sugiere, una
combinación de almacenamiento en nubes públicas y privadas, de tal forma que le es posible a los
usuarios el personalizar las funciones y las aplicaciones que se adaptan mejor a sus necesidades,
así como los recursos que se utilizan. Un ejemplo típico de este tipo de servicio es que se configure
de tal forma que los datos más importantes se almacenen en un sistema de almacenamiento en la
nube privada, mientras que los datos menos importantes se pueden almacenar en una nube pública
con acceso disponible por una gran cantidad de personas a distancia.

2.1.4.4 Centro de Cómputo

Es una sala dedicada al equipo destinado al procesamiento de datos. La misma suele estar
acondicionada para este tipo de circunstancias, debiendo a que cuenta con características como una
determinada temperatura, medidas de seguridad y por supuesto, el hardware para su función
principal. En esta dependencia los datos de una organización son ingresados, procesados y
devueltos a los usuarios, circunstancia que da cuenta de su importancia: todo el sistema informático
de dicha organización recae en el buen funcionamiento de esta unidad. Es por ello que el personal
dedicado a esta área debe estar ampliamente cualificado, dado que debe resolver problemas que
pueden afectar toda la producción de una empresa.

En la actualidad, las empresas manejan mucha información a la hora de llevar a cabo sus
actividades. Esto hace necesario la existencia de un área específicamente diseñada para llevar a

cabo esta actividad. En el caso de un centro de cómputo, todo el hardware relevante para la
administración de los sistemas tiene allí su presencia. Estas son computadoras especiales que alojan
las máquinas virtuales que conformarán la constelación de servidores de la organización. Así mismo,
un número importantísimo de actividades relevantes se concentran en un lugar geográficamente
determinado.

Dada la importancia de éste área dentro de la estructura de la empresa, se deben tomar encuenta
varios aspectos a la hora de diseñar la sala donde serán alojados estos equipos. Se debe de
considerar lo siguiente:

 Sitio.- Donde se analizará el espacio disponible, el acceso de equipos y personal,
instalaciones de suministro eléctrico, acondicionamiento térmico y elementos de seguridad
disponibles.
 Espacio y movilidad.- Características de las salas como: la altura y la anchura, la posición
de las columnas, la posibilidad de movilidad de los equipos, el tipo de suelo sea móvil o falso,
etcétera.
 Iluminación.- El sistema de iluminación debe ser apropiado para evitar reflejos en las
pantallas, falta de luz en determinados puntos, y debe evitarse la incidencia directa del sol
sobre los equipos.
 Tratamiento acústico.- Los equipos ruidosos como las impresoras con impacto, equipos de
aire acondicionado o equipos sujetos a una gran vibración, deben estar en zonas donde
tanto el ruido como la vibración se encuentren amortiguados.
 Seguridad física del sitio.- Se estudia el sistema contra incendios, teniendo en cuenta que
los materiales sean incombustibles como: la pintura de las paredes, del suelo, del techo, de
las mesas, de los racks, etcétera. También se estudia la protección contra inundaciones,
temblores, incendios y otros riesgos físicos que puedan afectar la instalación.
 Suministro eléctrico.- El suministro eléctrico a un Centro de Cómputo, y en particular la
alimentación de los equipos, debe hacerse con unas condiciones especiales, como la
utilización de una línea independiente del resto de la instalación para evitar interferencias,
con elementos de protección y seguridad específicos y en muchos casos con sistemas de
alimentación ininterrumpida como: los equipos electrógenos, la instalación de baterías,
etcétera.

Como se ha sugerido, es importante garantizar que la temperatura se mantenga relativamente baja,
para evitar situaciones de sobrecalentamiento, haciéndose necesario un sistema de refrigeración
constante. También se presupone una alimentación constante de energía a efectos de evitar el corte
del servicio como consecuencia de un eventual apagón de luz. Asimismo, es de esperar que la

estructura de la sala presuponga falsos pisos para canalizar por allí todos los cables y conexiones
establecidas, que dada la magnitud de los equipos suele ser abundante.

A lo largo del tiempo el hardware utilizado en este tipo de lugares ha mejorado sustancialmente,
logrando un potencial que décadas atrás parecía imposible. Este tipo de circunstancia se explica
como un efecto del avance de la tecnología en general. Para dar cuenta de este tipo de circunstancia
basta señalar que en el pasado un centro de cómputo albergaba menos capacidad que lo que un
ordenador promedio actual. El futuro sin lugar a dudas seguirá dando sorpresas y un centro de
cómputo evolucionará acorde a las nuevas posibilidades tecnológicas.

2.1.4.5 Dispositivo móvil

Dado que los usuarios utilizan cada vez más los dispositivos móviles para la productividad
empresarial y usan las aplicaciones para acceder a los datos corporativos, almacenarlos y enviarlos,
las empresas deben tomar conciencia de que ahora el desafío es mayor y de que un Gestor de
Dispositivos Móviles (Mobile Device Management) solo resulta suficiente para los casos de uso más
simples. El desafío actual es habilitar, proteger y administrar los dispositivos, las aplicaciones y los
datos fuera del firewall y en la nube, lo cual requiere un enfoque más integral para la movilidad
empresarial. Ante estos desafíos, se presentan cinco áreas clave:

1. Acceso de usuarios y aplicaciones: Las personas, las aplicaciones y los dispositivos que
se conectan y acceden a los activos de la empresa deben identificarse y validarse como
participantes autorizados de la misma. La identidad es el primer componente de cualquier
estrategia de Tecnologías de la Información y el más importante, especialmente si hay
movilidad involucrada, ya que el acceso de los dispositivos y la nube no es suficientemente
estricto de manera inherente. Estas funciones deben ser lo más transparentes posibles para
los usuarios finales.
2. Protección de aplicaciones y datos: Los datos de la empresa deben estar protegidos en
todo momento. Este es el objetivo principal de cualquier departamento de TI y el motivo por
el cual la mayoría de las tecnologías de TI fueron creadas. Las aplicaciones móviles son el
método principal para acceder a esos datos, visualizarlos, almacenarlos y enviarlos, y,
cuantas más aplicaciones se utilizan, más datos confidenciales existen dentro de los
dispositivos móviles. Tanto las aplicaciones como los datos deben contar con controles y
métodos de protección adecuados en función de la empresa y del sector.
3. Administración de dispositivos: Los dispositivos que acceden a los activos de la empresa
y se conectan a las redes deben administrarse y protegerse según las políticas
empresariales. Cada empresa debe establecer políticas adecuadas para los dispositivos

móviles, y estas se deben aplicar a todos los dispositivos administrados, de la misma manera
que las políticas y configuraciones se aplican a los equipos portátiles y de escritorio de la
empresa.
4. Protección contra amenazas: Dado el increíble crecimiento de los dispositivos móviles en
todo el mundo, estos se están convirtiendo rápidamente en el blanco preferido de la
delincuencia. Cada plataforma tiene diferentes perfiles de riesgo, y es importante saber
dónde existen vulnerabilidades y tomar las medidas adecuadas para proteger los recursos
de la empresa. Una buena protección contra las amenazas debe defender contra los ataques
externos, las aplicaciones fraudulentas, la navegación no segura, el robo e, incluso, el uso
deficiente de la batería.
5. Uso compartido seguro de archivos: Aunque el acceso, almacenamiento y uso
compartido de archivos no es un desafío exclusivo de los dispositivos móviles, dado que
cada dispositivo móvil es uno de los muchos dispositivos con los que cuenta el usuario, la
nube es la solución más evidente y sencilla para la distribución y sincronización de
información entre dispositivos. Las empresas deben contar con un control administrativo
completo de la distribución de los documentos empresariales y el acceso a ellos por medio
de cualquier red, en particular, la nube.

2.2 Acceso a la Red Empresarial

Según el sitio Tech Target, en su artículo “Redes Empresariales: Todo lo que necesita saber”; las
redes empresariales están sufriendo una serie de transformaciones, esto se debe principalmente a
los avances tecnológicos, pero también al cambio en el enfoque de las Tecnologías de la
Información, las cuales se están convirtiendo en las impulsoras de los objetivos del negocio.

Más allá de la flexibilidad y el dinamismo que hoy requieren las redes en su implementación y
administración, la proliferación del uso de dispositivos personales en las empresas ha exigido una
apertura de las redes hacia éstos, así como un crecimiento en el alcance de las redes inalámbricas,
y la reestructuración de las políticas de acceso y seguridad.

Igualmente, los tiempos de entrega son cada vez menores, lo que lleva a buscar una mayor
automatización de funciones y la simplificación de la administración de la red.

2.2.1 Wifi

En el sitio Pymes y autónomos, en su artículo “Cuatro consejos si piensas implementar Wi-Fi para
los clientes de tu empresa”, la conexión Wifi se ha convertido en algo básico para la mayoría de las

empresas. Muchas pequeñas oficinas y despachos utilizan esta conexión como una manera fácil
para acceder a la red corporativa desde smartphones, pero también para la conexión de los distintos
equipos, a veces sin preocuparse mucho de la seguridad de la misma.

Si la empresa usa un router que facilite el personal correspondiente, como se hace en oficinas

MetodologAa-de-seguridad-para-dispositivos-mAviles-y-la-vinculaciAn-con-los-usuarios--1-

IPN

Introducción al Derecho I

Continuar navegando

Otros materiales