MECANISMOS DE CONTROL Y SEGURIDAD EN LA

26 DE MAYO DEL 2018

INFORMACION

De acuerdo con el contexto de su proyecto de formación y tomando como

referencia el material suministrado y las plantillas de especificación de
requerimientos y análisis del sistema, elabore junto con su equipo de trabajo un
informe escrito en un archivo donde se describan los siguientes elementos:
- Segmentación de procesos, perfiles y roles.
- Mecanismo de autenticación a implementar en el sistema.
- Cifrado de datos: tipo de algoritmos a implementar.

1
MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

ANALISIS DE SISTEMAS DE INFORMACION

MECANISMOS DE CONTRO DE SEFURIDAD

AP4-AA4-Ev1-Mecanismos de control y seguridad

PRESENTADO POR:
YEISON ANDRES CAICEDO

PRESNTADO A:
INSTRUCTOR

SENA - VIRTUAL
PASTO
2018

2
MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

TABLA DE CONTENIDO

INTRODUCCION
1. MECANISMOS DE CONTROL DE SEGURIDAD
1.1 Segmentación de procesos, perfiles y roles.
1.2 Definición Permisos: Roles y Perfiles
1.3 Administrador de grupos
2. Mecanismo de autenticación a implementar en el sistema.
3. Cifrado de datos: tipo de algoritmos a implementar
3.1 Cifrado asimétrico
3.2 Cifrado Asimétrico
4. Procedimientos adicionales de seguridad posibles a implementar.
5. MECANISMOS DE CONTROL Y SEGURIDAD DE ACUERSO A LOS
REQUERIIENTOS DEL SOFTWARE
6. CONCLUSIONES
7. BIBLIOGRAFIA

3
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

INTRODUCCION
Los mecanismos de seguridad son también llamadas herramientas de seguridad y son
todos aquellos que permiten la protección de los bienes y servicios informáticos. Estos
mecanismos pueden ser algún dispositivo o herramienta física que permita resguardar
un bien, un software o sistema que de igual manera ayude de algún modo a proteger un
activo y que no precisamente es algo tangible, o una medida de seguridad que se
implemente, por ejemplo las políticas de seguridad.
La falta de políticas y procedimientos en seguridad es uno de los problemas más graves
que confrontan las entidades hoy día en lo que se refiere a la protección de sus activos
de información frente a peligros externos e internos.
Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican
cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la
implantación efectiva de medidas de protección tales como: identificación y control de
acceso, respaldo de datos, planes de contingencia y detección de intrusos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la
cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado considerablemente
a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel
mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de
sistemas de información, planificación de la continuidad del negocio, ciencia forense
digital y administración de sistemas de gestión de seguridad, entre otros.

4
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

OBJETIVOS
- Protegerse de actuaciones de usuarios malintencionados
- Permitir el acceso y uso del sistema a usuarios conocidos o de confianza
- Dotar de privacidad Definir las políticas o reglas de uso
- Anticipar cualquier posible fallo en el sistema
- Garantizar que los servicios no se interrumpen

5
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

1. MECANISMOS DE CONTROL Y SEGURIDAD

Los sistemas de información concentran los datos en archivos de computadoras, por ello,
los daros automatizados son más susceptibles a destrucción, fraude, error y abuso
Cuando los sistemas de computación fallan o no funcionan como es debido, las
compañías que dependen mucho de ellos experimentan la perdida grave de su capacidad
para operar.

La utilización de más de un método a la vez aumenta las probabilidades de que la

autenticación sea correcta. Pero la decisión de adoptar más de un modo de autenticación
por parte de las empresas debe estar en relación el valor de la información a proteger.
Un mecanismo de seguridad (también llamado herramienta de seguridad o control) es
una técnica que se utiliza para implementar un servicio, es decir, es aquel mecanismo
que está diseñado para detectar, prevenir o recobrarse de un ataque de seguridad. Los
mecanismos de seguridad implementan varios servicios básicos de seguridad o
combinaciones de estos servicios básicos – los servicios de seguridad especifican "qué"
controles son requeridos y los mecanismos de seguridad especifican "cómo" deben ser
ejecutados los controles. No existe un único mecanismo capaz de proveer todos los
servicios, sin embargo, la mayoría de ellos hace uso de técnicas criptográficas basadas
en el cifrado de la información. Los mecanismos pueden ser clasificados como
preventivos, detectives, y recuperables.
En cualquier sistema informático, especialmente si es multiusuario, el control de acceso
sobre usuarios y recursos del mismo es un pilar fundamental para su seguridad. Por ello,
es de gran importancia contar con mecanismos que proporcionen una apropiada
segregación de privilegios y permisos de usuario, así como de la administración de los
mismos y de los elementos relacionados.
Elementos bajo control. Sujetos y Objetos del sistema
Cuando hablemos de un sistema informático y particularmente hablando de control de
acceso, mencionaremos frecuentemente los términos sujeto y objeto, elementos sobre
los que se aplicará dicho control
Sujetos: Los sujetos del sistema son los usuarios, procesos, programas o hilos que
operan sobre los recursos del dispositivo.

6
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

Objetos: referiremos como objetos los recursos del sistema como ficheros, directorios,
servicios, dispositivos de entrada/salida, puertos TCP/UDP, etc.

1.1 Segmentación de procesos, perfiles y roles.

Precisamente para mantener un orden detrás de ese cable existe algo que
permite la comunicación entre redes, que permite una mejor distribución de
todos los datos que por allí viajan, permite un mejor manejo del ancho de
banda utilizado por cada
Usuario en la red, a esa distribución la llamamos Segmentación de Redes.”
Hay dos motivos fundamentales para dividir una red en segmentos. La
primera es aislar el tráfico entre segmentos. La segunda razón es lograr más
ancho de banda por usuario mediante la creación de dominios de colisión más
pequeños. Sin la segmentación, las redes más grandes que un pequeño grupo
de trabajo podría atascarse rápidamente con el tráfico y las colisiones

1.2 Definición Permisos: Roles y Perfiles

Los perfiles definidos en el menú Permisos regirán el comportamiento de los
usuarios en la VISTA DE USUARIO.
Los Roles determinarán qué usuarios tendrán acceso a la Administración de la
plataforma, independientemente de su Perfil.

Roles:
- Webmaster
El webmaster es una persona que tiene como tarea principal administrar un sitio,
¿pero qué es lo que hace con exactitud?
Hoy en día un webmaster debe manejar conceptos como los 7 siguientes:
1. Conocer a la perfección el sitio web que administra. Solo de este modo
el WebMaster sabrá qué es lo que necesita el mismo para expandirse y
mantenerse.

7
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

2. Debe ser capaz de mover cualquier sitio web a distintos servidores, realizar
Backus, mantenimiento de la página, etc.
3. Debe tener conocimientos de diseño web y programación. Todos los sitios
necesitan ir mejorando su diseño y para ello es necesario el conocer los principales
lenguajes de programación como HTML y PHP.
4. Un Webmasater debe mantenerse actualizado. Muchas veces los sitios web
necesitan mejorar su rendimiento y para ello es necesario poder aplicar las nuevas
tecnologías y saber utilizar todo tipo de recursos multimedia.
5. Mantener la seguridad del sitio. Esto significa que el webmaster debe saber a
la perfección como evitar los spams, controlar los datos que se ingresan en cada
sitio web que gestione, fundamentalmente los formularios de contacto, los
comentarios, upadas, etc.
6. Optimización SEO. El Webmaster también debe saber cómo optimizar las
páginas para los motores de búsqueda, pues si el sitio no cuenta con tráfico, no
es más que una pérdida de tiempo y dinero. La optimización SEO juega un papel
primordial para que un sitio aparezca en las búsquedas de los principales motores
y esta es una de las principales tareas del webmaster.
7. Conocer al detalle las estadísticas del sitio web, mediante el uso de Google
Analytics u otro programa.
.
1.3 Administrador de Grupos
Accede a la administración solamente desde su grupo o grupos. Administra
solamente su grupo o grupos. Puede habilitar y deshabilitar secciones y cargar
contenidos, así como gestionar los usuarios dentro de su grupo.
Es necesario que cada grupo tenga al menos un administrador de grupo, siendo
lo recomendado no más tres personas.

- Responsable
Accede a la administración únicamente desde los grupos en los cuales es
responsable de algún contenido y además está permitido, en la configuración del
grupo, que los Responsables accedan a la administración. Puede subir, modificar

8
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

y eliminar contenidos en el grupo que es responsable y consultar los Reportes de

los alumnos, si está permitido en la configuración del grupo.

- Perfiles
Los perfiles de un grupo se definen desde el Comando Categorías, a la izquierda.
Las categorías de USUARIOS según el tipo de grupo creado son las siguientes:

Usuario ANÓNIMO
Un usuario anónimo es aquel que no se ha autentificado en el sistema, por lo tanto
no tendrá permisos suficientes para la administración de contenidos y únicamente
tendrá permisos para visualizar la información relacionada con la Producción
Científica, las páginas de presentación, noticias y eventos publicados; y aquellos
contenidos que han sido explícitamente introducidos por el grupo para que puedan
ser vistos por este tipo de usuarios.
Puede habilitar usuarios anónimos (en ocasiones también se denominan usuarios
sin autenticar) para realizar búsquedas en las páginas públicas del portal utilizando
el portlet Centro de búsqueda del portal. La búsqueda por usuarios anónimos sólo
funciona en las páginas públicas del portal, porque los usuarios no han iniciado
sesión en el portal.
Para permitir que los usuarios anónimos realicen búsquedas en páginas públicas
del portal, tiene que completar las tareas siguientes:
 Haga que el portlet Centro de búsqueda esté disponible en una página pública del
portal, de manera que los usuarios puedan acceder a ella sin tener que iniciar
sesión en el portal.

9
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

 Habilite sesiones públicas para el portal. El motivo es que el portlet Centro de

búsqueda necesita una sesión válida para el tiempo de ejecución y, de manera
predeterminada, no están habilitadas las sesiones en páginas anónimas del portal.
De manera predeterminada, las sesiones sólo se crean cuando un usuario se
autentica e inicia la sesión en el portal.
 Tenga o cree su propio ámbito de búsqueda personalizado. Puede editar sus
propios ámbitos personalizados, pero no puede modificar los ámbitos de búsqueda
predeterminados para dar acceso a los usuarios anónimos

- Usuario con perfil Invitado

Es un perfil de usuario para aquellos integrantes que sus datos no deben ser
visualizados en la sección CONTACTOS. Puede ser utilizado para los
participantes invitados que solo observen la plataforma.
Al agregar o modificar un usuario, si se activa la casilla de verificación "Este
usuario es Webmaster", se le asignará automáticamente el perfil "Invitado" en cada
grupo al cual no pertenezca previamente.
En el caso de que no exista el perfil invitado en algún grupo o el mismo se
encuentre desactivado, se le asignará el perfil por default que habitualmente es el
de la primera columna, o sea, el de "Alumno".

10
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

2. Mecanismo de autenticación a implementar en el sistema.

- Autorización: El proceso de autorización se usa para decidir si la persona, programa

o dispositivo "X" tiene permiso para acceder al dato, funcionalidad o servicio Y.
La mayoría de los sistemas operativos multiusuarios modernos incluyen un proceso
de autorización. Éste hace uso del proceso de autenticación para identificar a los
consumidores. Cuando un consumidor intenta usar un recurso, el proceso de
autorización comprueba que al consumidor le ha sido concedido permiso para usar
ese recurso. Los permisos son generalmente definidos por el administrador de
sistemas en algún tipo de «aplicación de políticas de seguridad», tales como
una ACL o una capacidad, sobre la base del «principio de privilegio mínimo»: a los
consumidores sólo se les deben conceder los permisos que necesitan para realizar
su trabajo. Los sistemas operativos monousuarios más antiguos solían tener sistemas
de autenticación y autorización débiles o carecían por completo de ellos.
Se llama «consumidores anónimos» o «invitados» a aquellos consumidores a los que
no se les ha exigido que se autentiquen. A menudo tienen muy pocos permisos. En
un sistema distribuido, suele ser deseable conceder acceso sin exigir una identidad
única. Ejemplos familiares de tokens de autorización incluyen llaves y tiques, que
permiten conceder acceso sin que se provea una identidad.
Existe también el concepto de consumidores «confiables» (trusted). Los
consumidores que se han autenticado y a los que se señalan como confiables se les
permite acceso ilimitado a los recursos. Los consumidores «parcialmente confiables»
e invitados están sujetos a autorización para usar los recursos protegidos. Las
aplicaciones de políticas de seguridad de algunos sistemas operativos, conceden por
defecto a todos los consumidores acceso completo a todos los recursos. Otros hacen
lo opuesto, insistiendo en que el administrador lleve a cabo acciones deliberadas para
permitir a cada consumidor el uso de cada recurso.
Incluso cuando la autorización se realiza usando una combinación de autenticación y
ACLs, los problemas de mantener los datos de las políticas de seguridad no es trivial,
representando a menudo tanta sobrecarga administrativa como la prueba de las
necesarias identidades de usuario. A menudo es deseable eliminar la autorización de
un usuario: para ello, con la aplicación de políticas de seguridad, es necesario que los
datos sean actualizables

11
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

- Administración: Define, mantiene y elimina las autorizaciones de los usuarios del

sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema.
La administración de la seguridad informática dentro de la organización es una
tarea en continuo cambio y evolución ya que las tecnologías utilizadas cambian
muy rápidamente y con ellas los riesgos.
Normalmente todos los sistemas operativos que se precian disponen de módulos
específicos de administración de seguridad. Y también existe software externo y
específico que se puede utilizar en cada situación.

- Auditoría y Registro:
La auditoría de los sistemas de información se define como cualquier auditoría que
abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de
ellos) de los sistemas automáticos de procesamiento de la información, incluidos los
procedimientos no automáticos relacionados con ellos y las interfaces
correspondientes.
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
de área dentro del organismo a auditar, sus sistemas, organización y equipo.
A continuación, la descripción de los dos principales objetivos de una auditoría de
sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de
cómputo, con controles, tipos y seguridad.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá
que hacerla desde el punto de vista de los dos objetivos: Evaluación de los sistemas
y procedimientos.

- Registro: Mecanismo por el cual cualquier intento de violar las reglas de seguridad
establecidas queda almacenado en una base de eventos para luego analizarlo.
Pero auditar y registrar no tiene sentido si no van acompañados de un estudio
posterior.

12
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

Monitorear la información registrada o auditar se puede realizar mediante medios

manuales o automáticos, y con una periodicidad que dependerá de lo crítica que
sea la información protegida y del nivel de riesgo.

- Mantenimiento de la integridad de la información:

El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos:
en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata,
principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por
ejemplo, la denegación del servicio) y a introducir software malintencionado
(malware) que permita a un tercero manipular datos e información sin autorización
(por ejemplo, para robar, divulgar, modificar o destruir datos).
La importancia de la integridad de los datos se puede ilustrar con un sencillo ejemplo:
Una persona necesita un tratamiento hospitalario que incluye la administración diaria
de un medicamento en dosis de 10 miligramos (mg). Accidental o intencionalmente,
se produce una modificación en el registro electrónico del tratamiento y las dosis
quedan establecidas en 100 mg, con consecuencias mortales. Para tomar otro
ejemplo, podríamos imaginar una situación propia de una obra de ficción que
antecediera al ataque del virus Stuxnet en 2010 y preguntarnos qué ocurriría si
alguien interfiriera los sistemas de control de una central nuclear para que simularan
condiciones de funcionamiento normal cuando, en realidad, se ha provocado una
reacción en cadena.

3. Cifrado de datos: tipo de algoritmos a implementar

.
¿Qué significa cifrar? Aplicar un algoritmo de cifrado determinado junto con una
clave, a una determinada información que se quiere transmitir confidencialmente.
Dentro del cifrado digital encontramos dos tipos de criptografía: simétrica y
asimétrica. En este artículo hablaremos sobre la Criptografía de clave simétrica
El cifrado mediante clave simétrica significa que dos o más usuarios, tienen una única
clave secreta, esta clave será la que cifrará y descifrará la información transmitida a
través del canal inseguro. Es decir, la clave secreta la deben tener los dos usuarios,
y con dicha clave, el usuario A cifrará la información, la mandará a través del canal

13
MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

inseguro, y a continuación el usuario B descifrará esa información con la MISMA clave

que ha usado el usuario A.
Para que un algoritmo de clave simétrica sea fiable debe cumplir:
 Una vez que el mensaje es cifrado, no se puede obtener la clave de
cifrado/descifrado ni tampoco el texto en claro.
 Si conocemos el texto en claro y el cifrado, se debe tardar más y gastar más dinero
en obtener la clave, que el posible valor derivado de la información sustraída (texto
en claro).
Debemos tener en cuenta que los algoritmos criptográficos son públicos, por lo que
su fortaleza debe depender de su complejidad interna, y de la longitud de la clave
empleada para evitar los ataques de fuerza bruta.
Se pueden realizar por lo menos 3 tipos de cifrados

3-1 Cifrado Simétrico

El emisor cifra el mensaje con una clave, y esa misma clave deberá ser la
utilizada para descifrarlo. Estos algoritmos son rápidos y permiten cifrar y
descifrar eficientemente con claves relativamente grandes. El problema que
tienen es la seguridad de la clave: El emisor cifra el mensaje con la clave.
Manda el mensaje cifrado, de forma que nadie puede descifrarlo sin esa
clave. Ahora bien, el receptor ha de conocer la clave, ¿cómo se transmite
sin comprometer su seguridad? Algunos algoritmos de este tipo son:
 Blowfish

14
MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

 IDEA

 DES

15
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

3.2 Cifrado Asimétrico

Existen dos claves, una pública y una privada, y se puede usar en dos
direcciones.
a) El emisor cifra el mensaje con la clave pública A, que es la que puede
conocer cualquiera. Sin embargo para descifrarlo hace falta la clave B, que
sólo tiene el receptor, ya que es privada. Con esto se garantiza
confidencialidad, cualquiera podría cifrar, pero sólo quien tenga la clave
privada podrá descifrar.
b) El emisor cifra el mensaje con la clave privada B, que sólo él conoce.
Ahora cualquiera puede descifrarlo con la clave privada A, pero una vez
descifrado con esa clave A, la naturaleza del algoritmo estará garantizando
que se ha cifrado con la clave B, por lo que la utilización del algoritmo en
este sentido se usa para asegurar la autenticidad, y no para ocultar
información. Cualquiera tendrá acceso a la información, pero podrá saber a
ciencia cierta de dónde procede. El cifrado asimétrico en esta dirección se
usa para certificar la autenticidad de las firmas digitales.
El funcionamiento de estos algoritmos, basados en factorización de
números primos, permite que el cifrado se calcule con relativa sencillez,
pero haga falta más procesamiento para descifrarlo. No obstante, aunque
este algoritmo garantiza la seguridad de la clave privada, ya que sólo la
tiene el receptor, es más lento y hace que los mensajes cifrados tengan un
volumen mayor. Ejemplos de este cifrado son:
 http://www.ekontsulta.net/ekontsulta/wiki/index.php/Cifrado_de_datos

 DSA

16
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

 RSA

 Diffie-Hellman

4. Procedimientos adicionales de seguridad posibles a implementar.

- PROCEDIMIENTO DE GESTIÓN DE USUARIOS Y CONTRASEÑAS: En este
procedimiento, la entidad deberá indicar como realiza la creación de usuarios y la
asignación de contraseñas (las cuales deberán tener un nivel de seguridad aceptable,
con base a una política de contraseñas seguras definida previamente), prohibiendo
su reutilización posterior, permitiendo a los usuarios cambiarla regularmente, llevando
un registro de las mismas. Este procedimiento debe aplicar a todos los sistemas de
información, también se debe tener en cuenta el rol que cada usuario requiera en los
determinados sistemas, para brindar el acceso necesario.

17
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

- PROCEDIMIENTO DE PROTECCIÓN CONTRA CÓDIGOS MALICIOSOS: La

entidad debe indicar por medio de este procedimiento como realiza la protección
contra códigos maliciosos teniendo en cuenta, que controles utiliza (hardware o
software), como se instalan y se actualizan las plataformas de detección, definición
de procedimientos o instructivos específicos sobre el modo de operación de la
plataforma, reporte y recuperación de ataques contra software malicioso,
implementación de procedimientos para recolectar información de manera regular
como suscripción a listas de correo
- PROCEDIMIENTO DE ASEGURAMIENTO DE SERVICIOS EN LA RED: Este
procedimiento explica la manera en que la entidad protege la información en las redes,
indicando los controles de seguridad (como se cifran los datos a través de la red por
ejemplo) que se aplican para acceder a la red cableada e inalámbrica, satelital etc…
con miras a proteger la privacidad de la información que circula a través de estos
medios, también se debe incluir el uso de registros (logs) que permitan realizar
seguimiento a acciones sospechosas.
- PROCEDIMIENTO ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE
SOFTWARE: Este procedimiento deberá describir como se realiza la gestión de la
seguridad de la información en los sistemas desarrollados internamente (inhouse) o
adquiridos a un tercero, verificando que cada uno de ellos preserve la
confidencialidad, integridad y disponibilidad de la información de la entidad. Dicha
gestión y control también debe ser especificada para los sistemas ya existentes que
son actualizados o modificados en la entidad
- PROCEDIMIENTO DE CONTROL SOFTWARE: En este procedimiento la entidad
deberá indicar como realiza el control de software, es decir, como limita el uso o
instalación de software no autorizado dentro de la entidad, quienes están autorizados
para realizar la instalación de software, como se realizaría la gestión de las solicitudes
de instalación de software para los usuarios, cómo se realiza el inventario de software
dentro de la entidad entre otros aspectos

5. MECANISMOS DE CONTROL Y SEGURIDAD DE ACUERSO A LOS

REQUERIIENTOS DEL SOFTWARE

El sistema debe proporcionar seguridad y control de acceso para las

funciones basadas en permisos.

18
MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

Los datos de usuario pueden residir en un entorno dentro de las

instalaciones de la empresa.
El sistema debe proporcionar mecanismos para autenticar a los usuarios
con datos de usuarios que residen en el entorno dentro de las instalaciones,
y autorizar con control de acceso los datos que residan en un entorno on-
demanda
El sistema debe proporcionar un mecanismo para autenticar y autorizar a
los usuarios contra un dominio de base de datos separado, configurado para
el suscriptor al que pertenece el usuario.

http://javeriana.edu.co/biblos/tesis/ingenieria/Tesis189.pdf

19
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

6. CONCLUSIONES
- Los controles entre sí tienen una dependencia para poder existir. Aunque su
existencia no es mutuamente exclusiva si su respaldo. Un control físico o técnico no
puede tener el respaldo legal de existir sin su respectivo control administrativo (nos
referimos a la política de seguridad). Si la política en cuestión no existiera la existencia
del control está comprometida y sólo es cuestión de tiempo para que algún usuario
con jerarquía la califique de ilegal para que sea removido.
- Los controles son mecanismos que se utilizan para poder controlar los accesos y
privilegios a los recursos indicados. Es responsabilidad del dueño del activo sobre el
que se le aplican los controles establecer los parámetros requeridos para
disponibilidad, confidencialidad e integridad; el experto en seguridad informática será
el responsable de diseñar, configurar y hacer cumplir los parámetros dictados.
- Los aspectos de seguridad y control de la información deben ser una prioridad para
las compañías, debido a que las amenazas pueden surgir tanto desde el exterior como
desde el interior de la organización (virus, hackers, empleados, etc.). El plan de
seguridad de la información de una organización debe tratar todas estas amenazas
que con el uso de internet se ven amplificadas, debido a que los principales ataques
a los sistemas y a la información provienen de la red. La alta gerencia debe decidir el
tiempo, dinero y esfuerzo, que hay que invertir para desarrollar las políticas y controles
de seguridad apropiados puesto que cada organización debe analizar sus
necesidades específicas y determinar sus requisitos y limitaciones en cuanto a
recursos y programación. Cada sistema informático, entorno y directiva organizativa
es distinta, lo 20 que hace que cada estrategia de seguridad sea única, sin embargo
los fundamentos de una buena seguridad siguen siendo los mismos

20
 MECANISMOS DE CONTROL Y SEGURIDAD EN LA
26 DE MAYO DEL 2018
INFORMACION

5. BIBLIOGRAFIA
https://www.redeszone.net/2010/11/04/criptografia-algoritmos-de-cifrado-de-clave-
simetrica/
https://www.ibm.com/support/knowledgecenter/es/SSYJ99_8.5.0/admin-
system/srtusgsrchbrwanonpgs.html
https://www.unex.es/ayuda/portal_uex/manuales/miembro-de-grupo-de-
investigacion/usuario-anonimo
https://www.isaca.org/Journal/archives/2011/Volume-6/Pages/Data-Integrity-Information-
Securitys-Poor-Relation-spanish.aspx
https://www.certsi.es/blog/control-acceso
http://profesores.fi-b.unam.mx/cintia/Mecanismos.pdf
https://www.gerencie.com/auditoria-de-sistemas.html

21