[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...

)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

1.Modelo de seguridad orientada a la gestión del riesgo

relacionado con el uso de los sistemas de información

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para

posteriormente implementar mecanismos que permitan controlarlo.

EM
ES
IN

En su forma general contiene cuatro fases

Análisis: Determina los componentes de un sistema que requiere protección, sus

vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de

revelar su grado de riesgo.

Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.

Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los

usuarios conforme a las medidas.

Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para

determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales,

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

que forman el marco operativo del proceso, con el propósito de

Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las

amenazas con el resultado de reducir el riesgo.

Orientar el funcionamiento organizativo y funcional.

Garantizar comportamiento homogéneo.

Garantizar corrección de conductas o prácticas que nos hacen vulnerables.

Conducir a la coherencia entre lo que pensamos, decimos y hacemos.

EM
ES
IN

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

2. Relación de las amenazas más frecuentes, los riesgos que

implican y las salvaguardas más frecuentes

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante

pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la

red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la

seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco

aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la

misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

EM
Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por

varias razones como son:

Los usuarios conocen la red y saben cómo es su funcionamiento.

Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.
ES
Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la

mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la

planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las
IN

actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos

sensibles de la organización, lo que puede representar un daño con valor de miles o millones de

dólares.

Amenazas externas: son aquellas amenazas que se originan fuera de la red. Al no tener

información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer

qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso

es que el administrador de la red puede prevenir una buena parte de los ataques externos.

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

3.Salvaguardas y tecnologías de seguridad más habituales

Las principales tecnologías referentes a la seguridad de la información en informática son:

Cortafuegos

Administración de cuentas de usuarios

Detección y prevención de intrusos

Antivirus

Infraestructura de llave publica

EM
Capas de Socket Segura (SSL)

Conexión única "Single Sign on- SSO"

Biometría

Cifrado

Cumplimiento de privacidad

Acceso remoto
ES
Firma digital

Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"

Redes Virtuales Privadas "VPNs"

Transferencia Electrónica Segura "SET"

Informática Forense
IN

Recuperación de datos

Tecnologías de monitoreo

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

4. La gestión de la seguridad informática como complemento a

salvaguardas y medidas tecnológicas

Hay que tener en cuenta que una buena gestión de seguridad informática propicia importantes

beneficios. Además de ser un importante complemento a otras medidas tecnológicas.

En ese sentido, estas son las razones por las que consideramos indispensable cuidar de la seguridad

de nuestros equipos:

EM
Proteger de los peligros de Internet y evitar que un hacker o un virus se meta en la red y

borre o robe nuestros datos.

Cuidar los recursos de las empresas de esos empleados que pasan gran parte del tiempo

conectados a Facebook, escuchando la radio online, leyendo periódicos deportivos, etc. Le

avisa cuando uno de ellos visite páginas de búsqueda de empleo, controla que solo tiene acceso

a lo que le corresponde y también le va a proteger de que la contraseña de su banco llegue a

ES
manos de ladrones.

Ayudar a que la empresa nunca pierda su conexión a Internet, a que sus vecinos no se

conecten a su wi-fi ilegalmente, a que sus trabajadores puedan trabajar desde cualquier parte

del mundo como si estuvieran físicamente conectados a la oficina, incluso aunque solo tengan

un iPhone o un iPad en ese momento.

IN

Evitar que perdamos el tiempo borrando correo basura o esperando un correo que ha sido

descartado por sistema antispam y nunca nos llegará, o rehaciendo un documento porque no

había copia de seguridad.

En cualquier caso, las claves entre tener o no tener una buena seguridad informática pasan por dos

hechos diferenciales: por un lado, que la empresa que lo ofrezca esté especializada en seguridad

informática y sea experta en la solución; y por otro, contratar productos conocidos en el mercado y

adaptados a cada necesidad.

Una de las principales situaciones que nos encontramos en los contactos que abrimos en Secura y

que ya tienen alguna solución de seguridad es que están sin la configuración apropiada, y que ni

siquiera la empresa que se lo ha montado sabe muy bien cómo funciona el producto. En estos casos

desplegamos inmediatamente a nuestros ingenieros y consultores para analizar el problema y dar

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

una solución rápida para que la empresa vuelva lo antes posible a su estado de normalidad. Siempre

se consigue volver a la normalidad, pero las pérdidas ocasionadas por el incidente revelan

continuamente algo muy importante en lo relativo a cualquier tipo de seguridad: la prevención es

básica.

EM
ES
IN

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

Recuerda

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo,

para posteriormente implementar mecanismos que permitan controlarlo.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante

pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento

de la red.

Hay que tener en cuenta que una buena gestión de seguridad informática propicia importantes

beneficios. Además de ser un importante complemento a otras medidas tecnológicas.

EM
Las principales tecnologías referentes a la seguridad de la información en informática son:

Cortafuegos

Administración de cuentas de usuarios

Detección y prevención de intrusos

ES
Antivirus

Infraestructura de llave publica

Capas de Socket Segura (SSL)

Conexión única "Single Sign on- SSO"

Biometría
IN

Cifrado

Cumplimiento de privacidad

Acceso remoto

Firma digital

Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"

Redes Virtuales Privadas "VPNs"

Transferencia Electrónica Segura "SET"

Informática Forense

Recuperación de datos

Tecnologías de monitoreo

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

Autoevaluación

La Gestión de Riesgo es un método para:

Distinguir los riesgos.

Hacer frente al riesgo.

Determinar, analizar, valorar y clasificar el riesgo.

EM
El Análisis:

Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y

ajustar las medidas deficientes y sanciona el incumplimiento.

Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios
ES
conforme a las medidas.

Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que
lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de
riesgo.
IN

El Control:

Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y

ajustar las medidas deficientes y sanciona el incumplimiento.

Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios
conforme a las medidas.

Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que
lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de
riesgo.

Indica si la siguiente afirmación es verdadera o falsa :

“De acuerdo con el Computer Security Institute (CSI) de San Francisco
aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados

INESEM
[AFO005658] Curso Superior Universitario en Auditoría y Seguridad Informática (Curso Baremable en Oposicion(...)
[MOD001527] Seguridad Informática
[UDI006722] Criterios generales comúnmente aceptados sobre seguridad de los equipos informáticos

desde adentro de la misma”.

Verdadero.

Falso.

Indica si la siguiente afirmación es verdadera o falsa :

“No hay que tener en cuenta que una buena gestión de seguridad informática
propicia importantes beneficios. Además de ser un importante complemento a
otras medidas tecnológicas”.

EM
Verdadero.

Falso.
ES
IN

INESEM