Informe de optativa

UNIVERSIDAD LAICA ELOY ALFARO DE MANABÍ EXTENSIÓN EL CARMEN

Creada Ley Nº. 10-Registro Oficial 313 de Noviembre 13 de 1983Dirección Av. 3 de Julio y Carlos A. Aray Teléfono: 2660-202 Fax: 2660-695

EL CARMEN – MANABÍ – ECUADOR

Portada

Informe de Optativa II

Nombre:Milton Leonel

Apellido:Ibarra Barreto

Carrera:Ingeniería en Sistema

Tutor:Ing. Soraida Zambrano

Fecha:24/11/2015




ÍNDICEPortada.....................................................................................................................1

Introducción..............................................................................................................3

Objetivo General......................................................................................................4

Objetivo Específicos.................................................................................................4

Desarrollo.................................................................................................................5

Curso Gestión a la seguridad informática...............................................................5

Unidad 1:Reconocer los conceptos básicos sobre seguridad informática y delitos informáticos..........................................................................................................5

Unidad 2: Identificar los elementos vulnerables en el sistema de información teniendo en cuenta las amenazas internas y externas en la organización...........5

Unidad 3: Establecer los riesgos, amenazas, vulnerabilidades a que están sujetos los activos de información del negocio de acuerdo con la normatividad vigente..................................................................................................................5

Unidad 4: Identificar los riesgos de los activos, determinar la probabilidad de ocurrencia, los controles del riesgo y el impacto que las amenazas pueden causar al negocio..................................................................................................5

Curso Controles y seguridad informática.................................................................5

Unidad 1 auditoria a la administración de sistemas de información.....................5

Unidad 2: Controles Administrativos.....................................................................5

Unidad 3: Controles de Aplicación........................................................................5

Unidad 4: Seguridad Informática..........................................................................5

Conclusión................................................................................................................6

Recomendaciones....................................................................................................7

Anexos.....................................................................................................................7




Introducción En el presente informe se detallaran todas las actividades realizadas en los cursos virtuales de controles y seguridad informática y gestión de la seguridad informática realizados durante cuatro semanas en el sitio web senasofiaplus.edu.co/Sofía-oferta/.Donde pudimos obtener conocimientos sobre un conjuntos de estándares, protocolos, métodos, reglas, herramientas leyes que están enfocadas en la protección de la infraestructura computacional y todo lo relacionado ella, incluyendo la información, lo que comprende software, base de datos, metadatos, archivos y todo lo que las empresas valoren y signifiquen un riesgo si estas llegan a manos de otras personas. En la seguridad informática podemos encontrar dos tipos de seguridad informática como son: La seguridad lógica que se enfoca en la protección de los contenidos y su información y la seguridad física aplicada a los equipos informáticos, ya que los ataques no son estrictamente al software sino también al hardware y a la infraestructura informática que es una parte fundamental para la preservación del activo más valioso que es la información, así mismo se busca mantener la confidencialidad, integridad, autenticidad, y disponibilidad que son los datos recordando símbolos que representan hechos, situaciones, condiciones o información es el resultado de procesar o transformar los datos la información es significativa para el usuario.

En lo que es la gestión a la seguridad informática obtuvimos conocimientos de los métodos utilizados para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Dentro de los métodos estudiados para la gestión de la seguridad informática esta la norma ISO 27001 se aplica a la arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que pueden afectar un negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua. Ayudando a una empresa a gestionar, de manera eficaz, la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar en los riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, y entre conceptos que describiremos a continuación.




Objetivo General

Conocer los principales conceptos y metodologías asociadas a la gestión y Control de la seguridad Informática.

Objetivo Específicos

Desarrollar las actividades de los cursos gestión y Control a la seguridad Informática.

Aprender a identificar los controles administrativo y aplicación. Desarrollar los informe de valoración de riesgo de los sistemas de

información. Participar adecuadamente en cada uno de los foros y actividades de

desarrollo de los cursos.




Desarrollo

Curso Controles y seguridad informáticaAsimismo el curso virtual de controles y seguridad informática consto de cuatro semanas en las que se trataron diversos temas como:

Auditoria a la administración de sistemas de información Controles administrativos Controles de aplicación Seguridad informática

Unidad 1 auditoria a la administración de sistemas de información

En esta unidad desarrollaron temas como los controles administrativos y los controles de aplicación los cuales son necesarios para un adecuado funcionamiento de la organización a nivel de empleados, procesos, normas, reglas, responsables y actividades. Donde el auditor deberá conocer cuáles son los controles necesarios y si son suficientes para asegurar el cumplimiento de los objetivos organizacionales.

Donde se establecieron los diferentes mecanismos de control y estandarización en las funciones administrativas acorde a políticas de una organización, evaluando las diferentes funciones administrativas relacionadas con el área de sistemas de información e identificar los conceptos básicos sobre seguridad informática y delitos informáticos.

En esta unidad se desarrollaron las siguientes actividades

Se desarrolló un ensayo sobre funciones de un CEO, CIO y responsable de seguridad informática. Donde se desarrolló la investigación de las principales funciones de un CEO, CIO y el encargado de seguridad en informática, identificación su ubicación en la estructura organizacional.




También se la participo en el foro de discusión sobre el tema de Controles las cuales constaban de las preguntas sobre controles administrativos y aplicación.

Unidad 2: Controles Administrativos

En esta unidad se dio a conocer las principales funciones administrativas y los responsables de las tareas que se deben realizar para cumplir con los objetivos organizacionales de una manera eficiente. El entendimiento de las funciones administrativas es necesario para poder realizar una evaluación de los controles administrativos que deben estar siendo utilizados para lograr los objetivos organizacionales con eficiencia. De esta manera se pudo conocer las principales funciones administrativas y los responsables en los controles administrativos, así como el plan maestro y plan estratégico, también los términos de organización y staf

En esta unidad se desarrollaron las siguientes actividades

Se desarrolló el en ensayo sobre Organización y Staff donde se realizó las investigación sobres las principales características que debe tener un líder en la organización y los puntos más importantes a considerar cuando se hace la contratación de personal en el área de informática.




Se la participo en el foro de discusión sobre el tema caso planeación donde cedió definición de plan maestro y plan estratégico así mismo se realizó el examen de la semana uno y dos.




Unidad 3: Controles de AplicaciónEn esta unidad se dio a conocer los principales controles administrativos y sus componentes, definiendo cuales son las acciones que se realizan utilizando controles de Limites, Entrada, Proceso, Salida, Base de Datos y Comunicaciones verificando las vulnerabilidades de la red contra ataques de acuerdo con las políticas de seguridad de la empresa.

Los controles de aplicación deben ser cuidadosamente evaluados para analizar si realmente son suficientes y efectivos en la salvaguarda de activos y en ayudar a mantener la integridad de los datos. Por ello se deben evaluar las diferentes funciones administrativas relacionadas con el área de los sistemas de información.

Se desarrolló la actividad utilizando la llave Murciélagos para realiza la encriptación del nombre y apellidos de uno.

Se la participo en el foro de discusión sobre el tema caso Salida de datos, así mismo se realizó el examen de la unidad 3.




Unidad 4: Seguridad Informática

En esta unidad se dieron a conocer los conceptos sobre seguridad informática fisica y lógica así como las diferentes formas en que se pueden proteger la información y todos los recursos computacionales de los diferentes delitos informáticos y el terrorismo computacional. Debido a que la seguridad fisica y lógica de la información cada vez más están siendo amenazadas por el incremento de los delitos informáticos y el terrorismo computacional, es por eso que las organizaciones se deben encontrar preparadas para no dejar ninguna vulnerabilidad en su sistemas y recursos informáticos estratégicos para el negocio.

Se desarrolló la actividad de delitos informáticos realizando búsqueda en Internet sobre empresas que hayan sufrido uno o más delitos informáticos o casos de terrorismo computacional. A demás de realizar el examen de la unidad. Con lo cual se concluyó exitosamente con el curso de controles y seguridad informática




Curso Gestión a la seguridad informáticaEl curso virtual de gestión a la seguridad informática consto de cuatro semanas en las que se trataron diversos temas como:

Fundamentos de las TIC Modelo de negocios y seguridad Informe valoración de riesgo del sistema de información

Unidad 1:Reconocer los conceptos básicos sobre seguridad informática y delitos informáticos.En esta unidad se dieron a conocer los conceptos de los Fundamentos de Tic, Modelos de negocio y seguridad informática. Para conocer sobre la Gestión de la Seguridad de la Información, es necesario reconocer los conceptos fundamentales de las TIC (Tecnologías de la Información y las Comunicaciones), conceptos generales de las redes de computación, la definición de información y los modelos de negocio o de empresas.

Las Tecnologías de la Información y las Comunicaciones identificadas por sus siglas “TIC”, son equipos, programas y comunicaciones que permiten procesar, almacenar y transmitir información, brindando a sus usuarios grandes beneficios. Las TIC han incursionado en todos los campos, dichas herramientas, han permitido innovar facilitando las tareas que el ser humano desempeña. Entre otros se encuentran los siguientes: educación, laboral, personal, familiar, ciencia, medicina, comunicación.

Se desarrolló la actividad del caso simón que trataba de 3 amigos que montaron un negocio de consultoría para llevar la contabilidad de microempresas, en la cual deberíamos ayudar a Simón a organizar su tecnología, asumiendo los riesgos reales en la instalación de la red de acuerdo al modelo de negocio identificando mediante un documento en Word donde se describió cómo se le dio solución a la organización tecnológica en la empresa de Simón.

Se desarrolló el foro contesta las preguntas de dicho foro además de realizar el examen de la unidad.

https://sena.blackboard.com/webapps/blackboard/content/listContent.jsp?course_id=_234457_1&content_id=_6109496_1





Unidad 2: Identificar los elementos vulnerables en el sistema de información teniendo en cuenta las amenazas internas y externas en la organización

En esta unidad se dieron a conocer los conceptos sobre los Activos de información y normatividad de la seguridad informática. Los cuales son considerados un factor esencial para el logro y mantenimiento de las actividades competitivas de una organización, se hace de vital importancia establecer un nivel de seguridad para proteger la información y evitar consecuencias producidas por daños o pérdidas.

Los activos de información, son datos o información propiedad de una organización. Esta se almacena en cualquier tipo de medio físico o lógico y es considerada por la misma como indispensable para el cumplimiento de los objetivos de la organización. Un activo de información en el contexto de un SGSI y con base en la norma ISO/IEC 27001:2005 es: “algo a lo que una organización directamente le asigna un valor y por lo tanto la organización debe proteger” (Cárdenas, F. s.f.).

Se desarrolló la actividad sobre las amenaza de base donde se dieron a conocer las principales amenazas que pueden tener una base de datos con sus posibles controles o la disminución de estos riesgos.

Además se desarrolló el foro sobre seguridad en redes contestando las preguntas, asimismo se realizó el examen de la unidad




Unidad 3: Establecer los riesgos, amenazas, vulnerabilidades a que están sujetos los activos de información del negocio de acuerdo con la normatividad vigente.

En esta unidad se dieron a conocer concepto sobre seguridad informática. La seguridad informática es uno de los aspectos más importantes que debemos tener en cuenta cuando se trabajamos con un ordenador conectado a la red, tanto interna como externa. Debido a esto, los usuarios particulares y trabajadores de las empresas, son conscientes que el correcto funcionamiento del sistema y la información contenida en el equipo de computación, depende en gran medida de la protección de los datos. Por esto, se hace importante identificar diversos los componentes para prevenir los ataques y vulnerabilidades que se puedan presentar en el sistema. La seguridad informática es la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de negocio”. La norma ISO 7498 define la Seguridad Informática como “Una serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización” (Villarrubia, C)

Se desarrolló la actividad del caso simón parte 2 en la cual mediante los resultados obtenidos en la organización tecnológica de la empresa desarrollada en la primera unidad, se debe asesorar simón para ayudar a identificar los activos de información presentes y que normas de seguridad se están utilizando en su organización.

Además se desarrolló el foro contestando las preguntas, asimismo se realizó el examen de la unidad.







Unidad 4: Identificar los riesgos de los activos, determinar la probabilidad de ocurrencia, los controles del riesgo y el impacto que las amenazas pueden causar al negocio

En esta unidad se dieron a conocer concepto sobre la valoración de riesgos, donde se establecieron las diferentes fases para la valoración del riesgo, clasificación del riesgo, identificación de riesgo y todos sus controles.

Un riesgo en seguridad de la información, es un evento incierto el cual, puede producir efectos positivos o negativos sobre los activos de la organización.

“El riesgo es cualquier variable importante de incertidumbre que interfiera con el logro de los objetivos y estrategias del negocio. Es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la no ocurrencia de uno deseado” (Vilches, M.).

Dentro de las características de un riesgo se pueden mencionar:

Situacionales: Varían de una situación a otra.

Interdependiente: Al tratar un riesgo puede provocar otro riesgo o aumentar su impacto.

Magnitud: Pérdida o daño posible.

Tiempo: Ocurre en un cierto periodo

Se desarrolló la actividad del caso simón parte 3 una vez identificado los activos de información, debemos ayudar a Simón identificar cuál es la valoración del riesgo presente en cada uno de los activos de la empresa y de qué manera aplica las normas y metodologías de seguridad informática. Además de desarrollar el foro contestando las preguntas, asimismo se realizó el examen de la unidad.




ConclusiónMediante el curso de control a la seguridad informática se pudo conocer las funciones que realiza un CIO y un CEO los cuales tienen relación entre ellos, los cuales son claves para el existo de la organización. Se requiere de un líder CIO polifacético que permita además de garantizar la continuidad de los planes de aseguramiento de la información una completa gerencia del área de las TIC.

Un factor importante para evaluar los riesgos y determinar los requerimientos de seguridad en el caso de simón parte 3 fue la definición de los criterios de seguridad aplicables a la empresa, dado que con ellos se pudo tener un contexto de las necesidades de seguridad de la empresa.

Recomendaciones




BibliografíaPlus, S. (2015). Sofia Plus . Obtenido de http://oferta.senasofiaplus.edu.co/sofia-

oferta/




Anexos

ANEXOS

Education

Informe de optativa