TECNICATURA SUPERIOR EN SOPORTE DE INFRAESTRUCTURA DE TECNOLOGA DE LA

INFORMACIN.
SEGURIDAD INFORMATICA.
2015

SEGURIDAD INFORMATICA
ACTIVIDAD N 3

1. Lee el siguiente texto y luego realiza las consignas que figuran al final de
mismo.
Esquemas de Seguridad Informtica
Polticas de Seguridad Modelos de Seguridad
Un modelo de seguridad es la presentacin formal de una poltica de seguridad. El modelo
debe identificar el conjunto de reglas y prcticas que regulan cmo un sistema maneja,
protege y distribuye informacin delicada (Lpez Barrientos & Quezada Reyes, 2006).
De acuerdo a (Lpez Barrientos & Quezada Reyes, 2006), los modelos se clasifican en:

1. Modelo abstracto: se ocupa de las entidades abstractas como sujetos y objetos. El

modelo Bell LaPadula es un ejemplo de este tipo.

2. Modelo concreto: traduce las entidades abstractas en entidades de un sistema real

como procesos y archivos.
Adems, los modelos sirven a tres propsitos en la seguridad informtica:
1. Proveer un sistema que ayude a comprender los diferentes conceptos. Los modelos
diseados para este propsito usan diagramas, analogas, cartas. Un ejemplo es la
matriz de acceso.

2. Proveer una representacin de una poltica general de seguridad formal clara. Un

ejemplo es el modelo Bell-LaPadula.

3. Expresar la poltica exigida por un sistema de cmputo especfico.

TECNICATURA SUPERIOR EN SOPORTE DE INFRAESTRUCTURA DE TECNOLOGA DE LA

INFORMACIN.
SEGURIDAD INFORMATICA.
2015

Polticas de Seguridad Problemas al implantar las polticas de seguridad

Muchas veces las organizaciones realizan grandes esfuerzos para definir sus directrices de
seguridad y concretarlas en documentos que orienten las acciones de las mismas, con
relativo xito. Pero resulta una labor ardua el convencer a los altos ejecutivos de la
necesidad de buenas polticas y prcticas de seguridad informtica.

Muchos de los inconvenientes se inician por los tecnicismos informticos y la falta de una
estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos directivos a
pensamientos como: ms dinero para los juguetes de los ingenieros. Esta situacin ha
llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a
graves problemas de seguridad, que en muchos de los casos lleva a comprometer su
informacin sensitiva y por ende su imagen corporativa.

Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas
relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn
de acuerdo con las decisiones tomadas en relacin con esos asuntos.

En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo mejor
y lo peor que podra ocurrir.

Procedimientos y Planes de Contingencia

En el mundo de hoy, las organizaciones dependen del procesamiento de datos para el flujo
de informacin esencial, ya que si se quedara sin procesamiento de datos durante dos das,
o durante una o dos semanas, las operaciones comerciales podran limitarse de tal manera
que afectaran los activos corporativos, los movimientos comerciales, el servicio a clientes,
el flujo de dinero, las oportunidades de inversin y el margen de competencia, toda la
organizacin sera vulnerable en caso de que las operaciones de cmputo no funcionen.
Las amenazas son reales y un desastre puede resultar de diferentes fuentes. Pueden ocurrir
desastres naturales, fallas prolongadas de energa elctrica, incendios, sabotaje y hasta
explosin de bombas. Asimismo, es importante comprender que un desastre puede ocurrir
de la misma manera que producirse, por ello se debe estar preparado.
Por lo que en esta seccin se revisarn los siguientes puntos:
1. Definicin
2. Utilidad del Plan de contingencia
3. Elementos

TECNICATURA SUPERIOR EN SOPORTE DE INFRAESTRUCTURA DE TECNOLOGA DE LA

INFORMACIN.
SEGURIDAD INFORMATICA.
2015

4. Quin debe escribir el Plan de Contingencia?

5. Metodologas de desarrollo de Planes de Contingencia

Procedimientos y Planes de Contingencia Definicin

Un plan de contingencia o plan de recuperacin en caso de desastre es una gua para la
restauracin rpida y organizada de las operaciones de cmputo despus de una
suspensin. Especfica quin hace qu y cmo. Los objetivos de dicho plan son los de
restablecer, lo ms pronto posible, el procesamiento de aplicaciones crticas (aquellas
necesarias para la recuperacin) para posteriormente restaurar totalmente el
procesamiento normal. Un plan de contingencias no duplica un entorno comercial
normal (en forma inmediata), pero s minimiza la prdida potencial de activos y
mantiene a la empresa operando, al tomar acciones decisivas basadas en la planeacin
anticipada.
Dicho de otra manera, un plan de contingencias es un programa de recuperacin de la
organizacin, cabe aclarar que el plan de contingencias no slo es un problema del rea
de sistemas, sino de toda la organizacin.
Un plan de contingencia es un plan escrito en el que se detallan acciones,
procedimientos y recursos que deben usarse durante un desastre que cause destruccin
parcial o total de los servicios de computacin. En este plan se define qu tareas son
crticas, quin es el responsable de todos los aspectos del proceso de recuperacin, y
cmo va a funcionar la organizacin mientras los sistemas estn siendo reparados o
transportados a un nuevo local.

Procedimientos y Planes de Contingencia Utilidad del Plan de contingencia

Un plan de contingencia o tambin llamado plan de recuperacin de desastres, permite
controlar la situacin y realizar las actividades necesarias sin afectar a la informacin y
para ello se debe de tomar en cuenta lo siguiente:

Disminuir los efectos de esos desafortunados desastres y permitir una respuesta

rpida, una transferencia del procesamiento crtico a otras instalaciones, y una
eventual recuperacin.

Proporcionar a los directivos de una empresa una excelente oportunidad para

aliviar o minimizar problemas potenciales que, en un momento dado, podran
interrumpir el procesamiento de datos.

TECNICATURA SUPERIOR EN SOPORTE DE INFRAESTRUCTURA DE TECNOLOGA DE LA

INFORMACIN.
SEGURIDAD INFORMATICA.
2015

Debern tener sentido, ser legibles e indicar todos los aspectos de la funcin de la
cuestin.

El nivel de detalle para el plan de contingencia, para respaldar la informacin y

para los procedimientos de recuperacin, depender de la importancia de la
aplicacin y del tipo de informacin.

Se desarrollar un plan de contingencia propio para cada empresa y as cubrir sus

necesidades especficas.

Procedimientos y Planes de Contingencia Elementos

El plan de contingencia, es un plan de emergencia y recuperacin porque incorpora
seguridad fsica al centro de cmputo, es decir, es un plan formal que describe los pasos a
seguir en el caso de presentarse alguna situacin de emergencia, con la finalidad de reducir
el impacto que pueda provocar el desastre, y posteriormente restablecer las operaciones del
procesamiento electrnico de datos en forma tan inmediata como sea posible.
Por lo tanto, el diseo e implementacin de un plan de esta naturaleza debe contemplar:

Los riesgos y los porcentajes de factibilidad de stos, a los que est expuesta la
organizacin.

La asignacin de responsabilidades al personal, tanto en las actividades que se

realizarn durante la emergencia como en las de preparacin y las de recuperacin.

La identificacin de aplicaciones (sistemas automatizados) de mayor importancia

dentro de la produccin de datos, para darles la seguridad necesaria.

La especificacin de alternativas de respaldo.

La definicin de procedimientos y polticas a seguir durante el momento de la

crisis.

La definicin de medidas y el tiempo previsto para la recuperacin.

TECNICATURA SUPERIOR EN SOPORTE DE INFRAESTRUCTURA DE TECNOLOGA DE LA

INFORMACIN.
SEGURIDAD INFORMATICA.
2015

La integracin de prcticas de mantenimiento, entrenamiento en el plan y pruebas

del mismo.

Procedimientos y Planes de Contingencia Quin debe escribir el Plan de Contingencia?

Una vez que se ha tomado la decisin de hacer un plan de contingencia, el Director de
Sistemas junto con el cuerpo directivo de la empresa determinarn que es lo que ms le
interesa a la organizacin y as tomar la decisin si se contrata a un consultor externo para
hacerlo o desarrollarlo en casa. Ambas opciones tienen pros y contras.
De acuerdo a (Rodrguez, 1995), a primera vista, contratar a un consultor externo con
muchos aos de experiencia en el desarrollo de este tipo de proyectos puede parecer la
mejor opcin. Algunas de las ventajas son:

El desarrollo de un plan de contingencia estn complicado como cualquier sistema

importante, debido a que en ambos se debe de seguir una serie de pasos
ordenadamente para obtener un buen resultado. Por esto requiere de una persona (o
un equipo) dedicado exclusivamente al desarrollo de este proyecto.

Los consultores poseen conocimientos especializados que pueden facilitar el

desarrollo ms rpido de un buen plan. Un consultor con experiencia sabe cmo se
hace un plan de contingencias, adems sabe quin es quin dentro de la industria de
la seguridad de la informacin.

Consignas:
a) Realiza un glosario de palabras tcnicas que figuran en el texto.
b) Averigua en qu consiste el modelo de seguridad de Bell LaPadula
c) Realizar una propuesta de un plan de contingencia en forma escrita y
esquemtica.
d) Clase del lunes 01 de Junio de 2015 se proceder a comentar y debatir sobre

los Modelos de Seguridad.