Unida Educativa fiscomisional "Don Bosco"
Actividad:Trabajo en Clase
Nombre:David Guanoluisa
Nombre:David Guanoluisa
Curso: 2do Inf
tema: Segurida
¿Qué
es una política de seguridad y cuál es su objetivo?
Las
políticas son una serie de instrucciones documentadas que indican la
forma en que se llevan a cabo determinados procesos dentro de una
organización, también describen cómo se debe tratar un determinado
problema o situación.
El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.
El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.
¿Cómo
se define la visión, misión y objetivo de una organización?
Misión
Una
misma organización puede tener varias misiones, que son las
actividades objetivas y concretas que realiza. Las misiones también
pretenden cubrir las necesidades de la organización.
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
La misión es influenciada en momentos concretos por algunos elementos como: la historia de la organización, las preferencias de la gerencia y/o de los propietarios, los factores externos o del entorno, los recursos disponibles, y sus capacidades distintivas
Visión
Es
la imagen idealizada de lo que se quiere crear. Tal idea debe estar
bien definida, pues todas las actividades de la organización estarán
enfocadas a alcanzar esta visión.
Objetivos
Son
actividades específicas enfocadas a cumplir metas reales,
alcanzables y accesibles. Se puede decir que un objetivo es el
resultado que se espera logrra al final de cada operación.
Así,
se vuelve importante considerar la misión, la visión y el objetivo
de ser de la empresa, a fin de realizar un estudio que con base en
éstas permita identificar el conjunto de políticas de seguridad
informática que garantice la seguridad, confidencialidad y
disponibilidad de la información.
Mencione
los principios fundamentales de una política de seguridad
Son
las ideas principales a partir de las cuales son diseñadas las
políticas de seguridad.
Los
principios fundamentales son: responsabilidad individual,
autorización, mínimo privilegio, separación de obligaciones,
auditoría y redundancia.
¿De
qué se encargan las políticas para la confidencialidad?
Desde
el primer capítulo de esta investigación, se ha mencionado la
necesidad de mantener el control sobre quién puede tener acceso a
la información (ya sea a los documentos escritos o a los
medios electrónicos) pues no siempre queremos que la información
esté disponible para todo aquel que quiera obtenerla.
Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
Por ello existen las políticas de confidencialidad, encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
¿De
qué se encargan las políticas para la integridad?
La
política de integridad está orientada principalmente a preservar la
integridad antes que la confidencialidad, esto se ha dado
principalmente porque en muchas de las aplicaciones comerciales del
mundo real es más importante mantener la integridad de los datos
pues se usan para la aplicación de actividades automatizadas aún
cuando en otros ambientes no es así, como en los ámbitos
gubernamental o militar.
¿Cuáles
son los modelos de seguridad?
Modelo
Abstracto
Se
ocupa de las entidades abstractas como sujetos y objetos.
Modelo
Concreto
Traduce
las entidades abstractas a entidades de un sistema real como procesos
y archivos.
También
pueden clasificarse como modelos de control de acceso y modelos de
flujo de información.
Modelos
de control de acceso
Identifican
las reglas necesarias para que un sistema lleve a cabo el proceso que
asegura que todo acceso a los recursos, sea un acceso autorizado, en
otras palabras, se enfoca a la protección, administración y
monitoreo de los procedimientos de acceso a la información. Estos
modelos refuerzan el principio fundamental de seguridad de
autorización, ya que éste protege tanto a la confidencialidad como
a la integridad.
Modelos
de flujo de información
Una
meta de las políticas de seguridad es proteger la información. Los
modelos de control de acceso se aproximan a dicha meta
indirectamente, sin relacionarse con la información pero sí con
objetos (tales como archivos) que contienen información. Estos
modelos se enfocan a proteger los objetos con los que se trabajan en
el sistema una vez que se han superado los procesos de control de
acceso.
¿Qué
son los procedimientos preventivos?
Contempla
todos los procedimientos antes de que se materialice una amenaza, su
finalidad es evitar dicha materialización.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
Las
actividades que se realizan en este punto son las siguientes:
-Copias
de seguridad de las bases de datos y otros tipos de documentos con
información indispensable para la organización
-Instalación
de dispositivos de seguridad tales como cerraduras, alarmas, puertas
electrónicas, cámaras de seguridad, software de protección para
los equipos de cómputo, entre otros.
-Inspeccionar
y llevar un registro constante del funcionamiento y estado de los
recursos informáticos, la infraestructura y las condiciones del
edificio.
-Instauración
de servicios de seguridad, como líneas telefónicas de emergencia,
extintores, construcción de rutas de emergencia (Entrada y salida),
plantas eléctricas de emergencia, etc.
-Establecer
un centro de servicio alternativo que cuente con los recursos
necesarios para continuar las operaciones de la organización hasta
el momento en que el centro de trabajo normal pueda ser usado en
condiciones normales.
-Capacitación
del personal en el uso adecuado de las tecnologías informáticas, en
le ejecución correcta de sus labores y en la ejecución de los
procedimientos de emergencia.
¿Qué
son los procedimientos correctivos?
Los
procedimientos correctivos son acciones enfocadas a contrarrestar en
lo posible los daños producidos por un desastre, ataque u otra
situación desfavorable y restaurar el funcionamiento normal
del centro de operación afectado.
Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.
Al igual que los procedimientos preventivos, pueden variar según los recursos disponibles, pero también varía dependiendo el daño que se quiere contrarrestar pues no todas las emergencias requieren el uso de todos los procedimientos correctivos definidos por la organización.
¿Qué
es un plan de contingencia?
El
Plan de Contingencias es el instrumento de gestión para el manejo de
las Tecnologías de la Información y las Comunicaciones.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
El plan de contingencia es un requisito indispensable para que una respuesta de emergencia sea rápida y efectiva. Sin una previa planificación de contingencia se perderá mucho tiempo en los primeros días de una emergencia.
¿Cuáles
son las fases del plan de contingencia?
¿Qué
actividades se realizan en cada fase del plan de contingencia?
En
esta fase se identifican las funciones de la organización que pueden
considerarse como críticas y se les da un orden jerárquico de
prioridad.
Se define y se documentan las amenazas a las que están expuestas las funciones críticas y se analiza el impacto que tendrá un desastre en las funciones en caso de materializarse.
También se definen los niveles mínimos de servicio aceptable para cada problema planteado.
Se identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta
Se define y se documentan las amenazas a las que están expuestas las funciones críticas y se analiza el impacto que tendrá un desastre en las funciones en caso de materializarse.
También se definen los niveles mínimos de servicio aceptable para cada problema planteado.
Se identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta
Desarrollo
de un plan de contingencias
En esta fase se creará la documentación del plan, cuyo contenido mínimo será:
Objetivo del plan.
Modo de ejecución.
Tiempo de duración.
Costes estimados.
Recursos necesarios.
Evento a partir del cual se pondrá en marcha el plan.
Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él.
En esta fase se creará la documentación del plan, cuyo contenido mínimo será:
Objetivo del plan.
Modo de ejecución.
Tiempo de duración.
Costes estimados.
Recursos necesarios.
Evento a partir del cual se pondrá en marcha el plan.
Personas encargadas de llevar a cabo el plan y sus respectivas responsabilidades.
Es necesario que el plan sea validado por los responsables de las áreas involucradas. De igual manera hay que tener en cuenta las posibles consecuencias jurídicas que pudiesen derivarse de las actuaciones contempladas en él.
Consiste
en realizar las pruebas pertinentes para intentar valorar el impacto
real de un posible problema dentro de los escenarios establecidos en
la etapa de diseño. Las pruebas no deben buscar comprobar si un plan
funciona, mas bien debe enfocarse a buscar problemas y fallos en el
plan para así poder corregirlos. Es necesario documentar las pruebas
para su aprobación por parte de las áreas implicadas
En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero también se revisa que los elementos preparados para poner en acción el plan de contingencia estén en condiciones óptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir.
Algunas de las actividades realizadas en esta fase son:
- Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia.
- Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup).
- Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.
- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medición de su efectividad.
En la fase de mantenimiento se corrigen los errores encontrados durante las pruebas, pero también se revisa que los elementos preparados para poner en acción el plan de contingencia estén en condiciones óptimas para ser usados de un momento a otro para contrarrestar un desastre. En caso contrario, se les debe reparar o sustituir.
Algunas de las actividades realizadas en esta fase son:
- Verificar la disponibilidad de los colaboradores incluidos en la lista del plan de contingencia.
- Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup).
- Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.
- Realizar simulacros, capacitando al personal en el uso de los procedimientos indicados en el plan de contingencia para la medición de su efectividad.
Cuestionario
¿Qué es el análisis de riesgo?
Conocer las vulnerabilidades e implementar procedimientos para combatirlos es importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantize completamente la protección contra las vulnerabilidades.
Incluso cuando se desea evitar la materialización de un desastre, también es necesario conocer los efectos que provocan en los activos de una organización a corto y largo plazo.
El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.
Incluso cuando se desea evitar la materialización de un desastre, también es necesario conocer los efectos que provocan en los activos de una organización a corto y largo plazo.
El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.
¿Qué es la aceptación del riesgo?
Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta decisión se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra.
¿Qué es el riesgo residual?
Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.
¿Qué son los controles?Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización
¿Qué es el análisis cuantitativo?
El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
¿Qué es el análisis cualitativo?
Las métricas asociadas con el impacto causado por la materialización de las
amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo)
¿Cuáles son los pasos del análisis de riesgo?
1-Identificación y evaluación de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del análisis de riesgo
Explique brevemente que actividades se desarrollan en cada paso del análisis de riesgo
Identificación y evaluación de los activos
El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección.
Identificación de amenazas
Después de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan
Identificación de vulnerabilidades
El nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades.
Impacto de la ocurrencia de una amenaza
Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto. Las pérdidas son catalogadas en áreas de impacto llamadas
Controles en el lugar
La identificación de los controles es parte de la recolección de datos en cualquier proceso de análisis de riesgo
Riesgos residuales
Siempre existirá un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es aceptable o no
Identificación de los controles adicionales
Una vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma más efectiva y menos costosa para reducir el riesgo a un nivel aceptable
Preparación de un informe del análisis del riesgo.
El proceso de análisis de riesgo ayuda a identificar los activos de información en riesgo y añade un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos del riesgo y asigna un costo a cada control.
¿En que consiste el análisis costo beneficio?
Análisis costo-beneficio
Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
Primero debe entenderse que los costos son tangibles, es decir, se pueden medir en alguna unidad económica, mientras que los beneficios pueden ser intangibles, es decir, pueden darse en forma objetiva o subjetiva.
Dependiendo del enfoque que use una organización, el análisis costo beneficio puede ser un proceso independiente del análisis de riesgo, pero es necesario que todos los controles instaurados sean evaluados en términos de funcionalidad y viabilidad.
¿Qué es ética informática?
La ética es la teoría o ciencia del comportamiento moral de los hombres en sociedad, es decir, es la ciencia de una forma específica de conducta humana que permite calificar los actos humanos como buenos o malos
¿Cuáles son los objetivos de la ética informática?
- Descubrir y articular dilemas éticos claves en informática.
- Determinar en qué medida son agravados, transformados o creados por la tecnología informática.
- Analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación.
- Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.
- Proponer un marco conceptual adecuado para entender los dilemas éticos que origina la informática y además establecer una guía cuando no existe reglamentación de dar uso a Internet.
¿Qué es un código deontológico?
El código deontológico es un documento que recoge un conjunto de criterios, normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional.
Mencione cuales temas son tratados frecuentemente en la ética informática
- Ética profesional general
-La utilización de la información
- Lo informático como nueva forma de bien o propiedad
- Miedos y amenazas de la informática
- Dimensiones sociales de la informática
-Actualidad de la Ética Informática
Describa brevemente en qué consiste cada tema mencionado en la pregunta anterior
- Ética profesional general
Un primer capítulo de problemas de EI (Ética Informática) lo podemos englobar en el epígrafe "ética profesional general" porque hace referencia a problemas que son comunes a otras actividades ocupacionales. Por un lado están los criterios de moralidad personal
-La utilización de la información
Un capítulo de problemas que aparece en esta área es el relativo al uso no autorizado de los servicios informáticos o de la información contenida en ellos
- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas
- Lo informático como instrumento de actos potencialmente dañinos
Uno de los temas con los que más se relaciona a las tecnologías informáticas con la Ética, y es referente a la idea de que las tecnologías informáticas pueden ser usadas como medio para causar daño a terceras personas.
- Miedos y amenazas de la informática
En algunos casos se incluyen en la Ética Informática unas consideraciones sobre las visiones antropomórficas de las computadoras como máquinas pensantes o como productores de verdades absolutas e infalibles
- Dimensiones sociales de la informática
La informática ha contribuido en el desarrollo positivo de los medios de comunicación social. Las tecnologías de la información han hecho posible las comunicaciones instantáneas, el acumular y diseminar información y hechos como el turismo de masas.
Mencione qué problemas se enfrenta actualmente la ética informática
- La bibliografía relacionada con Ética Informática no esta suficientemente acentuada en las teorías éticas, ya sea clásicas o contemporáneas. Esto da como resultado afirmaciones vagas y conceptos que no muestran su totalidad la importante relación entre la Informática y la Ética .
- Mucha literatura existente tiene una orientación individualista. Se centra más en lo que tienen que hacer los empleados, directivos o diseñadores como personas individuales implicadas en las tecnologías de la información. Se habla menos de que es bueno o ético en cuanto a organizaciones, instituciones o corporaciones. Se dedica más tiempo a tratar sobre la elección moral del trabajador que a las elecciones de las organizaciones y sus gestores.
- La literatura existente es más sociológica que ética; es menos normativa que descriptiva. En general no se ofrecen principios de actuación o respuestas a las preguntas "debe" (qué debería hacer yo como persona, que debería hacer yo y los míos como organización, qué normas sociales deberíamos promover, que leyes debemos tener...). El objetivo de la Ética Informática no es solamente proponer análisis sobre "sociología de la informática" o sobre la evaluación social de las tecnologías, sino ir algo más allá en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juego valores humanos y dilemas éticos.
Bibliografia
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap4.html
No hay comentarios:
Publicar un comentario