Articulo Riesgos y Control_Final
-
Upload
carlos-alberto-bravo-zuniga -
Category
Documents
-
view
224 -
download
4
description
Transcript of Articulo Riesgos y Control_Final
Resumen- En este artículo se tendrá en cuenta el resumen
de los trabajos colaborativos donde se han desarrollado
temas relacionado con las vulnerabilidades, las amenazas,
los riesgos informáticos, las probabilidades de ocurrencia
de estos, el impacto generado y la matriz de riesgo de
seguridad, problemas detectados y resultados obtenidos a la
hora de utilizar software especializado y sembrar
conciencia humana a quienes intervienen en los sistemas.
Palabras clave- vulnerabilidades, riesgos, seguridad,
software.
Abstract- This article summarizes the collaborative work
where they have developed themes related to
vulnerabilities, threats, computer risks, the probability of
occurrence of these, the impact generated and the risk
matrix security issues identified will be considered and
results obtained when using specialized software and
human consciousness sow those involved in the systems.
INTRODUCCION
Contextualizando temas vistos en el módulo como fue el
detectar vulnerabilidades, amenazas y riesgos en las
empresas pudimos darnos cuenta a través de una matriz de
riesgo el grado y la probabilidad de impacto que estos
riesgos marcan la pauta en las empresas y se reflejan en la
productividad y el rendimiento, unos son de tipo correctivo,
otros de tipo preventivo y otros de tipo detectivo. Estos
riesgo afectan directamente los activo informáticos que
tienen las empresas y se urge tomar medidas como
controles internos para mitigarlos, también es importante
gestionar todo el temas de la certificación como las normas
ISO 270001 que ayudan constantemente en la protección de
los datos y da un aspecto de ser empresa sólida y
fortalecida en el tema de la seguridad informática.
Es importante tener en las organizaciones a hoy un grupo
de atención y respuesta organizado para que actué cuando
algo en la empresa falle llámese ingreso de un intruso en la
red, un virus, y no se vean afectadas las actividades de la
continuidad del negocio, para llegar a conformar esto se
debe contar con la necesidad de cooperación y
coordinación entre administradores de sistemas y gestores
de TI para enfrentarse a este tipo de casos.
PROBLEMA
A diario, las organizaciones deben estar preparadas y saber
reaccionar rápidamente ante un accidente informático
generado, que puede parar las actividades o la producción
de una empresa provocando un impacto negativo tanto
financiero como de imagen donde está comprobando que
muchas empresas que experimentan interrupciones sin
pronta alternativa o solución pueden no sobrevivir y
desaparecen del todo.
El problema de muchas empresas, también radica en la falta
de implantación de políticas de seguridad sobre la
administración de la seguridad de la información, por
desconocimiento o por falta de compromiso por parte de los
administrativos en hacer inversiones para proteger el activo
más importante de la empresa.
Otras empresas hacen altas inversiones en seguridad de la
información pero el personal que administra la información
desconoce las normas y dejan los equipos expuestos a
personas externas que ponen en riesgo la información.
Es preciso indicar que no tampoco se acatan las normas
ISO relacionadas con la forma en que se establecen
criterios que permiten incorporar la seguridad informática a
una organización.
OBJETIVOS
Elaborar un manual, documento válido para cualquier
tipo de organización con instrucciones precisas de lo
que debe tener y hacer una organización ante una
eventualidad de accidente informático.
Preparar al personal de las organizaciones con
capacitaciones e inducciones sobre cómo reaccionar de
una forma idónea ante un impacto como este.
Realizar en el entorno organizacional simulacros de
hackeos, ataques de virus, etc para analizar y evaluar
RIESGOS Y CONTROL INFORMATICO EN LAS ORGANIZACIONES (Mayo 2015)
Tutor: Manuel Antonio Sierra Rodríguez
Escuela de Ciencias Básicas, Tecnología e Ingeniería, Universidad Nacional Abierta y a Distancia. – UNAD -
Pedro Julio Beltrán, Carlos Alberto Bravo, Pablo Alexis Pineda
los comportamientos e impactos generados en el
personal y de esta forma saber controlar y neutralizar el
caos traumático que se crea.
Proteger los recursos de los sistemas informáticos,
siendo prioritario la protección a la información, pero
abarcando también los equipos, la infraestructura, el
uso de las aplicaciones, entre otros, a través de
evaluaciones periódicas de los sistemas.
FUNDAMENTOS TEORICOS
Uno de los pioneros en el tema fue James P. Anderson,
quien allá por 1980 y a pedido de un ente gubernamental
produjo uno de los primeros escritos relacionados con el
tema, y es allí donde se sientan también las bases de
palabras que hoy suenan como naturales, pero que por
aquella época parecían ciencia ficción.
El documento se llamó: Computer Security Threat
Monitoring and Surveillance, describe ahí la importancia
del comportamiento enfocado hacia la seguridad en materia
de informática.
En este documento se definen por primera vez en el
contexto de seguridad informática, lo que es una amenaza,
vulnerabilidad, riesgo, ataque, penetración (ataque exitoso),
sentando así bases importantes que siguen siendo
importantes hoy en día.
El 10 de marzo de 2004 se creó una Agencia Europea de
Seguridad de las Redes y dela Información (ENISA) Su
objetivo era garantizar un nivel elevado y efectivo de
seguridad de las redes y de la información en la Comunidad
Europea y desarrollar una cultura de la seguridad de las
redes y la información en beneficio de los ciudadanos, los
consumidores, las empresas y las organizaciones del sector
público de la Unión Europea, contribuyendo así al
funcionamiento armonioso del mercado interior.
CSIRT significa Computer Security Incident Response
Team (equipo de respuesta a incidentes de seguridad
informática). El término CSIRT es el que se suele usar en
Europa en lugar del término protegido CERT, registrado en
EE.UU. por el CERTCoordination Center (CERT/CC).
Un CSIRT es un equipo de expertos en seguridad de las TI
cuya principal tarea es responder a los incidentes de
seguridad informática. El CSIRT presta los servicios
necesarios para ocuparse de estos incidentes y ayuda a los
clientes del grupo al que atienden a recuperarse después de
sufrir uno de ellos.
METODOLOGIA
Tener a disposición un grupo conformado de expertos con
funciones precisas para que actúen sobre cada área de
trabajo dentro de la organización en caso de una
eventualidad mayor para así mitigar y evitar incidentes
graves y a proteger el patrimonio. Notamos los siguientes
cuatro procesos:
Proceso de Planificación
Tiene que ver con la realización del análisis y
evaluación de los riesgos de seguridad y la selección
de controles adecuados.
En esta Etapa se crean las condiciones para la
realización del diseño, implementación y gestión del
Sistema de Seguridad Informático, para lo cual se
realiza un estudio de la situación del sistema
informático desde el punto de vista de la seguridad,
con el fin de determinar las acciones que se ejecutaran
en función de las necesidades detectadas y con ello
establecer las políticas, los objetivos, procesos y
procedimientos de seguridad apropiados para gestionar
el riesgo.
Proceso de Implantación
Garantizar una adecuada implementación de los
controles seleccionados y la correcta aplicación de los
mismos.
En este proceso se comienza a gestionar los riesgos
identificados mediante la aplicación de los controles
seleccionados y las acciones apropiadas por parte del
personal definido y los recursos técnicos disponibles
en función de la seguridad y las medidas
administrativas.
Proceso de Verificación
Revisar y Evaluar el desempeño (eficiencia y eficacia)
del Sistema de Gestión de seguridad de la información.
En este proceso es importante los indicadores y
métricas de la gestión.
Proceso de Actualización
Mantenimiento, mejora y corrección del sistema de
Gestión de Seguridad de la Información.
Comprende la aplicación de acciones correctivas y
preventivas, basadas en los resultados del proceso
anteriores.
RESULTADOS
Uno de los resultados inmediatos es la caracterización del
sistema informático mediante la conformación de un listado
que contenga la relación de los bienes informáticos
identificados y clasificados según su importancia.
Además, se pretende que todos los actores de la empresa,
sean conscientes que al realizar su labor, puedan detener los
peligros de exponer sus datos y hacer que la empresa este
en eminente peligro a través de un software de seguridad y
otro elemento de protección.
Si los empresarios son cada vez más conscientes de que
invertir en seguridad es rentable, se evitarían muchos
problemas por dejar sus activos expuestos, haciendo que su
empresa sea menos vulnerable y adquiera más
competitividad en el mercado laboral.
Hacer de esto una empresa más sólida, segura, fortalecida
con una muy buena imagen ante sus clientes y obtener un
mejor posicionamiento en el mercado competitivo. Capaz
de reaccionar a los incidentes relacionados con las TI y
tratarlos de un modo centralizado y especializado.
CONCLUSIONES
La importancia que representa para nosotros como
ingenieros detectar fallas a tiempo en las empresas y
controlarlas.
El nuevo enfoque de control interno puede verse un
poco riguroso, pero por su actualidad, puede ser
asimilado, de forma provechosa por La economía de las
empresas.
El nuevo enfoque de control interno puede verse un
poco riguroso, pero por su actualidad, puede ser
asimilado, de forma provechosa por La economía de las
empresas.
Debido a como se torna en la actualidad el incremento
en los ataques informáticos a las empresas hace los
preveedores y clientes, supervisen y dictaminen cual es
el grado de seguridad informática que manejan las
empresas con las que ellos trabajan ya que se manejan
muchas operaciones y transacciones en líneas y para
ellos es importantes que estén certificadas en normas
que gestionan protección de datos como la ISO 27001.
Por otro lado el estar certificadas y tener estos controles
o mecanismos las hace seguras, recomendadas y con
muy buen posicionamiento en el mercado competitivo.
REFERENCIAS
Métrica de la red; 1.2 Mejor Ruta. 2 Encaminamiento en
redes de circuitos virtuales y de datagramas; 3 Clasificación
de los métodos de encaminamiento. Disponible en:
http://es.wikipedia.org/wiki/Encaminamiento
Las nueve peores violaciones de seguridad digital del siglo
21 Escrito por PC World el 17 • Febrero • 2012
Disponible en:
http://www.pcworld.com.mx/Articulos/21454.htm
Bustamante, K. Glosario según panda, recuperado el
05/08/2010 del sitio web
http://www.pandasecurity.com/colombia/homeusers/securit
y-info/glossary/
Robledo, F. Glosario Symantec, recuperado el 24/05/2012
del sitio web
http://www.symantec.com/es/mx/theme.jsp?themeid=glosar
io-de-seguridad
Rios, G. Delitos informáticos y seguridad en la red,
recuperado el 16/04/2011 del sitio web
http://www.delitosinformaticos.info/delitos_informaticos/gl
osario.html
Bustamante, K. Glosario según panda, recuperado el
05/08/2010 del sitio web
http://www.pandasecurity.com/colombia/homeusers/securit
y-info/glossary/
Hernández, M. Términos sobre seguridad informática,
recuperado el 15/03/2011 del sitio web
http://www.upv.es/entidades/ASIC/seguridad/353808norma
lc.html
Robledo, F. Glosario Symantec, recuperado el 24/05/2012
del sitio web
http://www.symantec.com/es/mx/theme.jsp?themeid=glosar
io-de-seguridad
Rios, G. Delitos informáticos y seguridad en la red,
recuperado el 16/04/2011 del sitio web
http://www.delitosinformaticos.info/delitos_informaticos/gl
osario.html
BIOGRAFIA
Pedro Julio Beltrán Saavedra.
(1970) nació en Pitalito Huila, el 13
de Febrero, Se graduó del Colegio
Departamental Mixto de Pitalito , Es
Tecnólogo en Sistemas e Ingeniero
de Sistemas de la Universidad
Nacional Abierta y a Distancia.
Su experiencia profesional empezó en el año de 2000 en
Instituto de educación no formal Electrocomputo (Pitalito),
actualmente Instructor en el área de las TIC del Centro de
Gestión y Desarrollo Sostenible Surcolombiano SENA
Pitalito. Entre las áreas de interés están la Redes de datos y
la seguridad informática.
Carlos Alberto Bravo Zúñiga. Nació
en Pitalito Huila, el 29 de Septiembre de
1974, se graduó en la Universidad
Nacional Abierta y a Distancia UNAD,
como Ingeniero de Sistemas en el año
2005, Especialista en Informática
Educativa en la Universidad UDES en el
año 2010 y aspirante a Magíster
Administración de la informática con la
Universidad Norbert Wiener.
Su experiencia profesional inició en el año 2006 como
docente y desde el año 2013 se desempeña como Instructor
en el área de las TIC del Centro de Gestión y Desarrollo
Sostenible Surcolombiano SENA de Pitalito.
Pablo Pineda. Nació en Colombia – San
Gil, el 6 de Agosto de 1978. Se graduó de
la Fundación Universitaria de San Gil
Unisangil – Unab en Ingeniería de
Sistemas, y en la actualidad adelanta
estudios de Especialización en Seguridad
Informática. Su experiencia profesional
está enfocada al soporte técnico en el área
de sistemas. Actualmente laboro en una empresa de la
región llamada COOHILADOS DEL FONCE en el área de
sistemas administrando la red. Tengo una empresa de
servicios enfocados al mantenimiento, soporte, cableado y
asesoría informática. Laboro como docente ocasional en las
diferentes entidades estudiantiles de la región.