Seguridad-Informatica

Vista previa del material en texto

UNIVERSIDAD PRIVADA TELESUP 
ESCUELA ACADÉMICA PROFESIONAL DE INGENIERÍA Y ARQUITECTURA 
 
CURSO: METODOLOGÍA DEL TRABAJO UNIVERSITARIO 
 
TEMA: SEGURIDAD INFORMÁTICA EN LAS EMPRESAS 
 
ALUMNOS: 
CANO OLARTE, JENNIFER CATALINA 
 CERCADO TORRES, EVELYN LETICIA 
 JARAMILLO VEGA, JACK MAYER 
 LIMA CAPCHA, ANTONY JESÚS 
 RAMIREZ CURO, CELESTINA ISABEL 
 ROJAS HERRERA, MARTÍN JEAN PIERE 
 
DOCENTE: SÁNCHEZ ANASTACIO, KATHERINE ROSEMARY 
 
2017 
 
 
 
 
 
 
 
 
DEDICATORIA 
Este trabajo monográfico está dedicado a nuestros padres que día a día se 
esfuerzan para brindarnos una educación superior, asimismo un reconocimiento 
oficial a nuestra compañera Evelyn por su autodepencia en su vida personal y 
académica. 
 
 
 
 
 
 
 
 
 
AGRADECIMIENTO 
Agradecemos a todas las personas partícipes en la realización de este trabajo, en 
especial a la señora Capcha que nos brindó un ambiente para nuestro estudio. 
 
 
 
 
 
 
 
 
 
 
 
ÍNDICE 
CARÁTULA 
DEDICATORIA 
AGRADECIMIENTO 
I. INTRODUCCIÓN 
1.1 Resumen 
1.2 Objetivos 
II. MARCO TEÓRICO 
2.1 Definición………………………………………………………………..………8-9 
2.2 Bases de la seguridad informática 
2.2.1 Fiabilidad………………………………………………………….….……9 
2.2.2 Confidencialidad……………………………………………………..……9 
2.2.3 Integridad…………………………………………………..……….……..9 
2.2.4 Disponibilidad……………………………………………..…….….……10 
2.3 Elementos de la información………………………………………..……….…10 
2.4 Niveles de seguridad 
2.4.1 Nivel D………………………………………………….…………...……10 
2.4.2 Nivel C1……………………………………………………………..……11 
2.4.3 Nivel C2……………………………………………………………..……11 
2.4.4 Nivel B1…………………………………………………………..………11 
2.4.5 Nivel B2……………………………………………………………..……11 
2.4.6 Nivel B3………………………………………………………………..…12 
2.4.7 Nivel A…………………………………………………………………….12 
 
 
2.5 Mecanismos de seguridad 
2.5.1 Autenticación……………………………………………….…………..12 
2.5.2 Autorización……………………………………………………..………13 
2.5.3 Administración…………………………………………………….…….13 
2.5.4 Auditoría y registro………………………………………..…………….13 
2.5.5 Mantenimiento de la integridad……………………………..…………14 
2.6 Tipos de Amenazas 
2.6.1 Amenazas internas…………………………………………….....…….14 
2.6.2 Amenazas externas………………………………………………...…..14 
2.7 Organismos oficiales de seguridad informática 
2.7.1 CERT/CC………………………………………………….….……..……15 
2.7.2 SANS INSTITUTE……………………………………………………….15 
2.8 Políticas de seguridad de la información………………….………………….16 
III.CONCLUSIONES….…………………………………………………………….…..17 
IV.REFERENCIAS DE INFORMACIÓN……….…………………………….……….18 
4.1 Bibliográficas…………………………………………………………….……….18 
4.2 Hemerográficas………………………………………………………………….18 
4.3 Electrónicas………………………………………………………………………19 
V. ANEXOS………………………………………………………………..…………20-21
 
I. INTRODUCCIÓN 
1.1 Resumen 
La presente investigación monográfica tiene por tema la seguridad informática, 
esta variable ha surgido por la necesidad de proteger la información propia de 
cada empresa, pues ha crecido considerablemente los riesgos del robo de 
información y esto ha obligado a la constante evolución de programas o software 
para combatir a los famosos hackers. 
Para ello se ha dado a conocer las definiciones necesarias para su estudio 
y se ha desarrollado temas relacionados a su descripción como por ejemplo; su 
importancia, avances y amenazas. 
El sistema informático puede ser protegido desde un sistema tanto lógico 
como físico, en ello abarca el desarrollo de un software que está vinculado al 
mantenimiento. Asimismo se puede presentar programas que afectan la 
información que contiene la computadora del usuario. 
En este trabajo se han planteado tres objetivos que responden a nuestra 
intención en conocer a fondo el tema, así mismo, las conclusiones están 
planteadas de acuerdo a los resultados obtenidos de la investigación. 
 
 
1.2 Objetivos 
Conocer conceptos básicos sobre seguridad informática. 
Conocer normas relacionadas con las políticas de seguridad informática. 
Conocer organismos encargados de la seguridad informática. 
1 Rafael B. y Kelly Bermúdez, Análisis en seguridad informática y 
seguridad de la información, 2015. 
2 Hernández María, Diseño de un Plan Estratégico de Seguridad de Información en una empresa 
del sector comercial, 2006. 
3 Imbaquingo Daisy et al., Fundamentos de Auditoria Informática basada en riesgos, 
2017. 
4 OPTIC, Normas y Estándares para la Administración Pública y 
Seguridad, 2017. 8 
II. MARCO TEÓRICO 
2. Seguridad informática en las empresas 
2.1 Definición 
“Se entiende por seguridad informática al conjunto de reglas y normas diseñadas 
para garantizar la confidencialidad, integridad y disponibilidad de la infraestructura 
tecnológica abarcando hardware y software.” (Rafael B. y Kelly Bermúdez, 2015, 
11)1. 
“La seguridad informática son técnicas desarrolladas para proteger los 
equipos informáticos y la información de daños accidentales o intencionados.”. 
(Hernández María, 2006, 40)2. 
“Seguridad Informática, es la disciplina que se encarga de las 
implementaciones técnicas de la protección de la información, el despliegue 
de las tecnologías antivirus, firewalls, detección de intrusos, detección de 
anomalías, correlación de eventos, atención de incidentes, entre otros 
elementos, que articulados con prácticas de gobierno de tecnología de 
información establecen la forma de actuar y asegurar las situaciones de 
fallas parciales o totales, cuando la información es el activo que se 
encuentra en riesgo.”( Imbaquingo Daisy et al., 2017, 8)3. 
“La información es un recurso que tiene valor para una organización 
y por consiguiente debe ser debidamente protegida. La seguridad de la 
información protege ésta de una amplia gama de amenazas, a fin de 
garantizar la continuidad institucional, minimizar el daño y maximizar el 
retorno sobre las inversiones y las oportunidades”. (OPTIC, 2017, 3)4.
http://repositorio.utn.edu.ec/browse?type=author&value=Imbaquingo+Esparza%2C+Daisy+Elizabeth
5 Areitito Javier, Seguridad de la información, 2008. 9 
6, 7, 8, 9 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 
“La seguridad de los sistemas de información es una disciplina en 
continua evolución. La meta final de la seguridad es permitir que una 
organización cumpla con todos sus objetivos de negocio o misión, 
implementando sistemas que tengan un especial cuidado y consideración 
hacia los riesgos relativos a las TIC de la organización, a sus socios 
comerciales, clientes, administración pública, suministradores, etc”. 5(Areitio 
Javier, 2008, 2). 
2.2 Bases de la seguridad informática (Ver anexo 1) 
2.2.1 Fiabilidad 
 “Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y 
como se espera de él”. 6(Mifsud Elvira, 2012). 
2.2.2 Confidencialidad 
“En términos de seguridad de la información, la confidencialidad hace referencia a 
la necesidad de ocultar o mantener secreto sobre determinada información o 
recursos. El objetivo de la confidencialidad es, entonces, prevenir la divulgación 
no autorizada de la información.” 7(Mifsud Elvira, 2012). 
2.2.3 Integridad 
“La integridad hace referencia a la fidelidad de la información o recursos, y 
normalmente se expresa en lo referente a prevenir el cambio impropio o 
desautorizado.” 8(Mifsud Elvira, 2012). 
“Salvaguardando la exactitud de la información en su procesamiento, así como su 
modificación autorizada.” 9(Villena Moises, 2006, 10).
10, 11 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 
12 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 
2013. 10 
2.2.4 Disponibilidad 
“La disponibilidad hace referencia a que la información del sistema debe 
permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, 
entonces, prevenir interrupciones no autorizadas/controladas de los recursos 
informáticos.” 10(Mifsud Elvira, 2012). 
2.3 Elementos de la información 
Para la autoraElvira Misfud, los elementos de la información son los siguientes: 
Datos e Información: Son los datos e informaciones en sí mismo. 
Sistemas e Infraestructura: Son los componentes donde se mantienen o guardan 
los datos e informaciones 
Personal: Son todos los individuos que manejan o tienen acceso a los datos e 
informaciones y son los activos más difíciles de proteger, porque son móviles, 
pueden cambiar su afiliación y son impredecibles.11 
2.4 Niveles de seguridad 
2.4.1 Nivel D1 
Es la forma más baja de seguridad, esta norma establece que el sistema 
entero no es confiable. No dispone de protección para el hardware; el 
sistema operativo se compromete fácilmente y no existe autentificación 
respecto de los usuarios y sus derechos a tener acceso a la información 
almacenada en la computadora. 12(René B. y Patricia M., 2013, 43). 
13, 14, 15, 16 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 11 
2.4.2 Nivel C1 
“Los usuarios deben identificarse ante el sistema mediante su login y contraseña, 
se emplea esta combinación para determinar los derechos de acceso a 
programas e información que tiene cada usuario”. 13(René B. y Patricia M., 2013, 
43-44). 
2.4.3 Nivel C2 
“Este ambiente tiene la capacidad de restringir aún más el que los usuarios 
ejecuten ciertos comandos o tengan acceso a ciertos archivos, con base no 
sólo en los permisos, sino también en los niveles de autorización. Además, 
este nivel de seguridad requiere que se audite al sistema, lo cual implica 
registrar una auditoria por cada acción que ocurra en el sistema”. 14(René B. 
y Patricia M., 2013, 44). 
2.4.4 Nivel B1 
“Es también llamado Protección de Seguridad Etiquetada, es el primer nivel 
con soporte para seguridad multinivel, como el secreto y el ultra secreto. En 
este nivel se establece que el dueño del archivo no puede modificar los 
permisos de un objeto que este bajo control de acceso obligatorio”. 15(René 
B. y Patricia M., 2013, 45). 
2.4.5 Nivel B2 
“(…) requiere que todos los objetos estén etiquetados, los dispositivos como 
discos, cintas y terminales, pueden tener asignado uno o varios niveles de 
seguridad. Este es el primer nivel en que aborda el problema de la 
comunicación de un objeto con otro que se encuentra en un nivel de 
seguridad inferior”. 16(René B. y Patricia M., 2013, 45).
17, 18 Rene B. y Patricia M., Metodología para el desarrollo de firewalls de software, 2013. 
19, 20 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 12 
2.4.6 Nivel B3 
“Llamado de Dominios de Seguridad, refuerza los dominios con la 
instalación de hardware. Por ejemplo, se utiliza hardware de manejo de 
memoria para proteger el dominio de seguridad contra accesos no 
autorizados y modificaciones de objetos en diferentes dominios de 
seguridad. Este nivel requiere también que la terminal del usuario esté 
conectada al sistema a través de una ruta de acceso confiable. 17(René B. y 
Patricia M., 2013, 46). 
2.4.7 Nivel A 
“Para alcanzar este nivel de seguridad, deben incluirse todos los 
componentes de los niveles inferiores; el diseño debe verificarse 
matemáticamente y debe realizarse un análisis de los canales cubiertos y 
de distribución confiable. La distribución confiable significa que el hardware 
y el software hayan estado protegidos durante su traslado para evitar 
violaciones de los sistemas de seguridad”. 18(René B. y Patricia M., 2013, 
46). 
2.5 Mecanismos de seguridad 
2.5.1 Autenticación 
“Definimos la Autenticación como la verificación de la identidad del usuario, 
generalmente cuando entra en el sistema o la red, o accede a una base de datos”. 
19(Elvira Mifsud, 2012, 2). 
“Normalmente para entrar en el sistema informático se utiliza un nombre de 
usuario y una contraseña. Pero, cada vez más se están utilizando otras técnicas 
más seguras”. 20(Elvira Mifsud, 2012, 2).
21, 22, 23, 24, 25 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 13 
2.5.2 Autorización 
“Definimos la Autorización como el proceso por el cual se determina qué, cómo y 
cuándo, un usuario autenticado puede utilizar los recursos de la organización”. 
21(Elvira Mifsud, 2012, 2). 
“(…) solo se debe dar autorización a acceder a un recurso a 
aquellos usuarios que lo necesiten para hacer su trabajo, y si no se le 
negará. Aunque también es posible dar autorizaciones transitorias o 
modificarlas a medida que las necesidades del usuario varíen”. 22(Elvira 
Mifsud, 2012, 2). 
2.5.3 Administración 
“La administración de la seguridad informática dentro de la organización es una 
tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian 
muy rápidamente y con ellas los riesgos”. 23(Elvira Mifsud, 2012, 2). 
“Normalmente todos los sistemas operativos que se precian disponen de 
módulos específicos de administración de seguridad”. 24(Elvira Mifsud, 2012, 2). 
2.5.4 Auditoría y registro 
“Monitorear la información registrada o auditar se puede realizar mediante medios 
manuales o automáticos, y con una periodicidad que dependerá de lo crítica que 
sea la información protegida y del nivel de riesgo”. 25(Elvira Mifsud, 2012, 2).
26, 27 Mifsud Elvira, Introducción a la Seguridad Informática, 2012. 
 
28 BlogSpot, Seguridad Informática, 2010. 14 
2.5.5 Mantenimiento de la integridad 
“Definimos el Mantenimiento de la integridad de la información como el conjunto 
de procedimientos establecidos para evitar o controlar que los archivos sufran 
cambios no autorizados y que la información enviada desde un punto llegue al 
destino inalterada”. 26(Elvira Mifsud, 2012, 2). 
2.6 Tipos de Amenazas (Ver anexo 2) 
2.6.1 Amenazas internas 
 “Los usuarios conocen la red y saben cómo es su funcionamiento. 
Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo. 
Los IPS y Firewalls son mecanismos no efectivos en amenazas internas”. 27(Elvira 
Mifsud, 2012, 2). 
2.6.2 Amenazas externas 
“Son aquellas amenazas que se originan de afuera de la red. Al no tener 
información certera de la red, un atacante tiene que realizar ciertos pasos 
para poder conocer qué es lo que hay en ella y buscar la manera de 
atacarla. La ventaja que se tiene en este caso es que el administrador de la 
red puede prevenir una buena parte de los ataques externos”. 28(BlogSpot, 
2010).
29, 30, 31, 32 BlogSpot, Organismos Oficiales de Seguridad Informática, 2015. 15 
2.7 Organismos oficiales de seguridad informática 
2.7.1 CERT/CC 
“(Computer Emergency Response Team Coordination Center) del SEI 
(Software Engineering Institute) el cual es un centro de alerta y reacción 
frente a los ataques informáticos, destinados a las empresas o 
administradores, pero generalmente estas informaciones son accesibles a 
todo el mundo”. 29(BlogSpot, 2015). 
“Este organismo de seguridad tiene 25 años de haber sido fundada para 
proteger los sistemas, a lo largo de los años ha ampliado su experiencia de 
respuesta a incidentes de un enfoque integral y proactivo para asegurar los 
sistemas en red”. 30(BlogSpot, 2015). 
“Es la principal autoridad de confianza en el mundo dedicada a la mejora de 
la seguridad y la resistencia de los sistemas y redes informáticas y son un bien 
nacional en el campo de la ciber-seguridad”. 31(BlogSpot, 2015) 
2.7.2 SANS INSTITUTE 
“(SysAdmin Audit, Networking and Security Institute) es una institución con ánimo 
de lucro fundada en 1989, con sede en Bethesda (Maryland, Estados Unidos) que 
agrupa a 165,000 profesionales de la seguridad informática (consultores, 
administradores de sistemas, universitarios, agencias gubernamentales, etc.)”. 
32(BlogSpot, 2015).
33, 34, 35, 36 SIUN, Definición de políticas de Seguridad Informática de los servidores y sitios 
web del SIUN, (s/f). 16 
2.8 Políticas de seguridad de la información 
La normativa relacionada con las políticas de seguridad, que en este documento 
se definen, se relata a continuación: ISO/IEC 27001 
“Proporciona un modelo para establecer, implementar, operar, monitorear, 
revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la 
Información (SGSI)”. 33(SIUN, (s/f), 5). 
 ISO/IEC 27002 
“Proporciona recomendaciones de las mejores prácticas en la gestión de la 
seguridad de la información a todos los interesados y responsables en iniciar, 
implantar o mantener un Sistema de Gestión de la Seguridad de la Información 
(SGSI)”. 34(SIUN, (s/f), 5). 
 ISO/IEC 27005 
“Proporciona directrices para la gestión del riesgo de seguridad de la 
información en una organización”. 35(SIUN, (s/f), 5). 
 Directrices de la OCDE 
“(Organization for Economic Co-operation and Development) para la seguridad 
de sistemas y redes de información: Hacia una cultura de seguridad”. 36(SIUN, 
(s/f), 5). 
 
 
 
 17 
III. CONCLUSIONES 
 
Se conoció que la seguridad informática es la disciplina encargada de proteger la 
integridad y la privacidad de la información de un sistema informático. 
Se conocieron normas relacionadas con la política de seguridad informática como 
la ISO/IEC 27001 que dispone un modelo para establecer, implementar, operar, 
monitorear y mejorar un sistema de gestión de seguridad informática. 
Se conoció que existen organismos como CERT/CC y SANS INSTITUTE 
dedicadas a perfeccionar la seguridad y la resistencia de los sistemas y redes 
informáticas. 
 
 
 
 
 
 
 
 
 17 
IV. REFERENCIAS DE INFORMACIÓN 
4.1 Bibliográficas 
Areitito Javier. Seguridad de la información. (España: Parainfo, 2008). 
Imbaquingo Daisy et al. Fundamentos de Auditoria Informática basada en riesgos. 
(Ecuador: Ibarra-Ecuador, 2017). 
OPTIC. Normas y Estándares para la Administración Pública y Seguridad. 
(República Dominicana: Gobierno Electrónico, 2017). 
 
4.2 Hemerográficas 
Hernandez Maria. “Diseño de un Plan Estratégico de Seguridad de Información en 
una empresa del sector comercial”. Tesis de Licenciamiento, Escuela 
Superior Politécnica del Litoral, 2006. 
Rafael B. y Kelly Bermúdez. “Análisis en seguridad informática y seguridad de la 
información”. Tesis de Bachillerato. Universidad Politécnica Salesiana. 
2015. 
Villena Moises. “Sistema de gestión de seguridad de información para una 
institución financiera”. Tesis de Bachillerato, Pontífice Universidad Católica 
del Perú, 2006.
 
 17 
4.3 Electrónicas 
BlogSpot. Organismos Oficiales de Seguridad Informática. 2015. Recuperado de: 
http://organismosdeseguridad.blogspot.pe/ (Consultado el 4-7-2017). 
BlogSpot. Seguridad Informática. 2010. Recuperado de: 
http://seguridadinformaica.blogspot.pe/p/tipos-de-amenazas_21.html 
(Consultado el 3-7-2017). 
Mifsud Elvira. Introducción a la Seguridad Informática. 2012. Recuperado de: 
http://recursostic.educacion.es/observatorio/web/gl/software/software-
general/1040-introduccion-a-la-seguridad-informatica (Consultado el 4-7-
2017). 
Rene B. y Patricia M. Metodología para el desarrollo de firewalls de software. 
2013. Recuperado de: http://repositorio.utn.edu.ec/handle/123456789/1106 
(Consultado el 3-7-2017). 
SIUN. Definición de políticas de Seguridad Informática de los servidores y sitios 
web del Sistema de Investigación de la Universidad Nacional. Recuperado 
de: 
http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/
siun_web_politicas_seguridad.pdf (Consultado el 4-7-2017).
http://organismosdeseguridad.blogspot.pe/
http://seguridadinformaica.blogspot.pe/p/tipos-de-amenazas_21.html
http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica
http://recursostic.educacion.es/observatorio/web/gl/software/software-general/1040-introduccion-a-la-seguridad-informatica
http://repositorio.utn.edu.ec/handle/123456789/1106
http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/siun_web_politicas_seguridad.pdf
http://investigacion.unal.edu.co/fileadmin/recursos/docs/politicas/seguridad/siun_web_politicas_seguridad.pdf
 
 21 
 
 
 
 
 
 
 
 
 
 
V. ANEXOS
 
 21 
Anexo Nº1: Bases de la seguridad informática 
 
Fuente propia. 
Anexo Nº2: Tipos de amenazas informáticas 
 
 
 
 
 
 
 
 
 
 
 
 
Fuente: https://es.slideshare.net/ayd94/seguridad-informtica-7586500 
Adaptado. 
Fiabilidad Confidencialidad
Integridad Disponibilidad
BASES DE LA 
SEGURIDAD 
INFORMÁTICA
https://es.slideshare.net/ayd94/seguridad-informtica-7586500