FASE 1: REVISION DE CONTENIDOS DEL CURSO

PRESENTADO POR

NASSER SEGUNDO CHALABE JIMENEZ

JUAN MIGUEL RUBIO
DAYRO LUIS GUTIERREZ TORO
YESNIR ANTONIO RENDONDO

233004_2

RIESGOS Y CONTROL INFORMATICO

TUTOR

FERNANDO HERNANDEZ ZAMBRNAO

UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD

ESPECIALIDAD EN SEGURIDAD INFORMATICA
2018
 DESARROLLO

1. Mapa mentales Unidades 1 y 2

Se desarrollarán varios mapas mentales para ver los diferentes puntos

de vista de cada autor y su conocimientos respecto al tema.

Web mapa mental:

https://www.goconqr.com/es/p/12200401?utm_campaign=Auto+Gen+email
s&utm_medium=Email&utm_source=SendGrid

Mapa1
Mapa2

Mapa3

Mapa3
 Mapa4

2. Resumen referente a lo de riesgos informáticos y los mapas que se

diseñaron frente al tema.

En el mundo de la informática existen circunstancia donde predominan el riesgo

a los que están expuesto los activos de información frente amenazas que causan
daños a los procesos cotidianos de la organización y su productividad. Estas
circunstancias son presentadas debido al numero de fallos encontrados en los
sistemas de información, siendo la Vulnerabilidad dominante sobre ellos. Para el
control y manejo de estos riesgos existen metodologías que ayudan a mitigarlos
y minimizar en lo posible, un ejemplo de esto sería Margerit u Octave. La
importancia es identificar no solo la ocurrencia de la falla si no la identificación
que lo origina, además de establecer una valoración cualitativa o cuantitativa
para medir el nivel de probabilidad y de impacto que este causaría.
En efecto en la seguridad de los sistemas está presente lo que son el riesgo,
amenazas y vulnerabilidades. En general la amenaza es un posible peligro del
sistema. Puede ser un programa malicioso o una persona como lo es el hacker
o más conocido para este tipo Cracker, representando los atacantes como
principal actor que se aprovechan de las debilidades de los sistemas. las
amenazas pueden ser de varios tipos dependiendo desde la perspectiva en que
se analicen como son: intercepción, modificación, interrupción, generación e
intencionadas. La Vulnerabilidad es un fallo presente como factor de riesgo
interno en cualquier dispositivo presente, se pueden clasificar dependiendo de la
naturaleza en que se presenten, tanto física, natural, software, hardware o
emanación. El riesgo se puede enlazar a la relación entre amenaza y
vulnerabilidad del evento o posibilidad de que ocurra a un sistema expuesto, es
decir, que pueden identificarse en relación de integridad, acceso, utilidad o
infraestructura.

Para la protección de los activos de una organización se requiere el análisis de

riesgos presente en el entorno informático para eso, se establecen
contramedidas y un adecuado diseño e implementación de mecanismo de
control con el objetivo de minimizar los efectos de eventos no deseados durante
el análisis. Estos controles de seguridad informática se clasifican en tres
categorías: físicos, lógicos y controles Interno (administrativos). La efectividad
de estos controles depende de la arquitectura y los objetivos de la organización
como prioridad de las posibles amenazas ante el impacto que tengan.

A medida que trascurre el tiempo, observamos como la sociedad pasa por

procesos complejo que van condicionando en diario vivir en la comunidad, con
la aparición de internet aparecen las herramientas de comunicación las tic y
programas que obligan al individuo de la sociedad a estar en la vanguardia para
poder manejar las nuevas tecnologías y adaptase al nuevo mundo informático.

No solo las personas de la sociedad se relacionan con los teman que conlleva
implantar estas nuevas metodologías, las organizaciones también implantan
modelos organizaciones donde se aplican herramientas de comunicación y
programas informáticos para poder alcanzar los objetivos que pretender alcanzar
a largo plazo.

Por eso es importante que tanto los individuos y las organizaciones que
diariamente utilizan las nuevas herramientas de información y las tecnologías
implanten el concepto de seguridad informática para que estos puedan
proteger los sistemas de datos que utilizan para manejar información y así estos
no queden expuestos a terceras personas las cuales no tienen reparo a utilizarla
para su beneficio particular.

La seguridad informática, es una parte de la informática que se encarga de

implementar estrategias para salvaguardar la confiabilidad, integridad y
disponibilidad de datos a la hora de utilizar sistemas de datos en una
organización o utilización de hermanitas tic.

De igual manera cuando se habla de gestión de riesgo informático nos referimos

a un mapa donde se identifica todos los posibles riesgos en los cuales esta
expuestos los datos si no se hace una buena planificación.

Entre las cuales tenemos amenazas y vulnerabilidades, cuando hablamos del

primer término nos referimos ala a posibilidad de ocurrencia de cualquier tipo de
evento o acción que puede producir un daño (material o inmaterial) sobre los
elementos de un sistema, en el caso de la Seguridad Informática, los Elementos
de Información.

Entre las cuales destacamos:

 Criminalidad
 Suceso de origen físico
 Negligencia y decisiones institucionales

Como vulnerabilidad se entiende como capacidad, las condiciones y

características del sistema mismo (incluyendo la entidad que lo maneja), que lo
hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras
palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar
a una amenaza o de recuperarse de un daño.
Las cuales la podemos definir como

 Ambientales- físicas
 Económicas
 Socio educativo
 Institucional – política

En resumen, como punto de vista se debe tener claro los conceptos de: Riesgos,
Amenazas y vulnerabilidades de los sistemas Informáticos, definiéndolo a
continuación.

1). Riesgo: de forma general es “algo” que puede suceder a un bien o un activo.
En el tema de seguridad de IT un bien puede ser un computador, una base de
datos o una pieza o parte de información.

Ejemplos posibles de riesgos que pueden ocurrir son los siguientes:

 Pérdida de datos (pérdida de información)

 Pérdida de todos los bienes y negocios de una empresa esto debido a un

desastre ecológico que ha destruido todo el local completo de la empresa
o negocio.

2). Amenaza: una amenaza es cualquier acción que puede causar daños a un
activo o bien.

Los sistemas de información actuales encaran 2 tipos de amenazas:

 Amenazas naturales

 Amenazas inducidas por las personas.

Entre las amenazas naturales más comunes que pueden ocurrir son:

 Inundaciones

 Terremotos

 Tormentas

 Huracanes
Con estas amenazas se requiere que las organizaciones tengan planes para
asegurar la continuidad de las operaciones del negocio, y que la organización
pueda recuperarse del estado en que quedó después del desastre natural.

Entre las amenazas causadas por humanos a un sistema computacional se

incluyen:

 Virus

 Código malicioso

 Acceso no- autorizado

Virus:

Es un programa computacional diseñado para causar daño a un sistema

informático, aplicación, o datos.

Código malicioso:

También conocido como malware, es un programa de computador escrito para

causar una acción específica, como, por ejemplo: borrar el disco duro de un pc
víctima.

Acceso no autorizado:

El acceso no autorizado se refiere al acceso que tienen algunos empleados de

una organización como también personal fuera de la empresa.

En el caso de los empleados de la empresa que están internamente en la

empresa, muchas veces abusan de sus “privilegios de acceso” que se le han
sido otorgados, como por ejemplo el poder acceder a una base de datos de la
empresa y poder sustraer información sensible de la empresa sin alguna
autorización, y el poder cambiarla, borrarla, o suministrarla a terceros.

3). Vulnerabilidades: son las debilidades que presenta un bien o activo, y en los
cuales un atacante puede atacar en base de estas vulnerabilidades encontradas
en este bien. Usando diferentes tipos de herramientas o armas
 BIBLIOGRAFÍA

1. Kim, D. & Solomon, M. (2012). Fundamentals Of Information Systems

Security. (2nd Edition). Sudbury: Jones & Bartlett Learning, LLC.

2. Portal de Administración Electrónica. (2012). MAGERIT V.3:

Metodología de Análisis y gestión de riesgos de los sistemas de
información. España. Recuperado
de http://administracionelectronica.gob.es/pae_Home/pae_Documen
tacion/pae_Metodolo

3. Duque Ochoa Blanca R. (2012). Metodologías de gestión de Riesgos

(OCTAVE, MAGERIT, DAFP). Recuperado
de http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%
C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf