Título: SEGURIDAD INFORMATICA

Autor/es: Josue Valdivia Arana.

FICHA DE IDENTIFICACIÓN DE TRABAJO DE INVESTIGACIÓN

Título Empresa Industrial, “granja avícola Rossy”

Nombres y Apellidos Código de

Autor/es estudiantes
BEATRIZ VEIZAGA HUAYTARI 64300
Fecha 05/07/2020

Carrera Auditoria
Asignatura Contabilidad I
Grupo “B”
Docente Ing. Damaris Ramos Katherin
Periodo I/ 2020
Académico
Subsede Cochabamba-Bolivia
Copyright © (2020) por Beatriz Todos los derechos reservados.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

Introducción
La información y los procesos que la apoyan, los sistemas y las redes, son bienes
importantes de las entidades, por lo que requieren ser protegidos convenientemente frente
a amenazas que pongan en peligro la disponibilidad, la integridad, la confidencialidad de
la información, la estabilidad de los procesos, los niveles de competitividad, la imagen
corporativa, la rentabilidad y la legalidad, aspectos necesarios para alcanzar los objetivos
de la organización.

La información generalmente es procesada, intercambiada y conservada en redes de

datos, equipos informáticos y soportes de almacenamiento, que son parte de lo que se
conoce como sistemas informáticos. Los sistemas informáticos están sometidos a
potenciales amenazas de seguridad de diversa índole, originadas tanto desde dentro de la
propia organización, como desde fuera, procedentes de una amplia variedad de fuentes. A
los riesgos físicos, entre ellos, accesos no autorizados a la información, catástrofes
naturales, sabotajes, incendios, y accidentes; hay que sumarle los riesgos lógicos como
contaminación con programas malignos, ataques de denegación de servicio y otros.
Fuentes de daños como códigos maliciosos y ataques de intrusión o de denegación de
servicios se están volviendo cada vez más comunes, ambiciosas y sofisticadas.

Es posible disminuir el nivel de riesgo de forma significativa y con ello la materialización

de las amenazas y la reducción del impacto sin necesidad de realizar elevadas inversiones
ni contar con una gran estructura de personal. Para ello se hace necesario conocer y
gestionar de manera ordenada los riesgos a los que está sometido el sistema
informático, considerar procedimientos adecuados y planificar e implantar los controles
de seguridad que correspondan.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

1. PLANTEAMIENTO DEL PROBLEMA:

Incorporar  la seguridad informática en los negocios de Café Internet de toda la ciudad
Cochabamba y asi este puede brindar seguridad a los datos de los usuarios.
JUSTIFICACIÓN:
Esta investigación tiene el propósito de brindar una mayor seguridad informática a los negocios
comerciales, en este caso los Café Internet, así el propietario(a), usuarios(as) del establecimiento
no tenga inconvenientes con el servidor, ordenadores y perdida de informacion, ya que los usuarios
suelen meterse de forma consiente o inconsciente a información o páginas no autorizadas y obtener
información que no deben. 
Además, se agrega la instalación de dispositivos o programas espías que hacen que los
computadores se llenen de Virus y puedan bloquearlos o hasta dañar los equipos.    

OBJETIVO GENERAL:

Concientizar a el propietario(a) del café Internet a integrar la seguridad informática en su negocio

como protección de malicias en la red.

OBJETIVOS ESPECÍFICOS:

1. Determinar la necesidad de crear una seguridad informática en los locales comerciales Café
Internet.

2. Calcular cuan factible es dicha seguridad informática tanto para el propietario como para los
usuarios.

3. Precisar los programas para que no haya inseguridad  en los ordenadores. 

2. MARCO GEOGRÁFICO:

La investigación se realizara en la cochabamba , principal mente en las partes que mas

personas utilicen los Café Internet en las cuales la economía va a estar en juego.

LINEA DE INVESTIGACIÓN QUE APLICA:

ETIM: ELECTRÓNICA, TELECOMUNICACIONES, INFORMÁTICA Y MECÁNICA.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

Esta es la línea a la cual aplica la investigación ya que va de la mano con la informática, las
telecomunicaciones y también gran parte de la eléctrica y la mecánica. La investigación se hace
con el fin de que la comunidad del sector comercial informático tenga una mejor calidad de
servicio a la hora de     ofrecer lo al público. Por ello es que se implementa la seguridad
informática en los equipos y servidores.
Esto también ayuda a la comunidad ya que estaría en un espacio cibernético completamente sano a
la hora de navegar en Internet, parte importante para los niños y mucha más tranquilidad a los
padres de los mismos.

ENFOQUE DE INVESTIGACIÓN:

El enfoque de la investigación es cualitativo ya que se lleva a cabo por unas ideas o temas
previamente ya aprendidos, con ello se busca darle soluciones a los problemas hallados y estos
pueden llegar a generar dudas antes ,durante o después de el análisis ya que durante la ejecución
pueden ocurrir errores no previstos durante la solución del problema.

TIPO DE INVESTIGACIÓN:
Es una investigación de mercado ya que esta es sistemática y objetiva a la hora de dar solución al
problema, a esta se le aplica modelos de investigación y estrategia metodológica.

POBLACIÓN  (No probabilista):

·  Población: Para la investigación se trabajará con la gente de la Ciudad de Cochabamba, en este

caso la población varia ya que son Café Internet a los cuales entra y sale demasiada gente.

   ·  Caracterización de la población: La edad de las personas oscilan entre los 7 años en adelante.

FINANCIAMIENTO:
se aran convenios con algunas empresas de informáticas las cuales nos ayudaran a con recursos
financieros económicos.

PRODUCTO FINAL DE LA INVESTIGACIÓN:

El análisis o informe final se dará a una fecha específica, en el estará adjunto todo el trabajo
aplicado durante el proceso de incorporación de la seguridad informática y se sabrá el resultado
final, ya sea positivo o negativo para el local. Con ello se busca saber si el sistema de seguridad
informática es de buena calidad o necesita mejoras.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

3. MARCO TEORICO

Establecer las políticas, los objetivos, procesos y

procedimientos de seguridad necesarios para
Planificar gestionar el riesgo y mejorar la seguridad informática,
(Establecer el SGSI) con el fin de entregar resultados acordes
con las políticas y objetivos globales de la
organización.
Tiene como objetivo fundamental garantizar una
Hacer
adecuada implementación de los controles
(Implementar y
seleccionados y la correcta aplicación de los mismos.
operar el SGSI)
Evaluar y, en donde sea aplicable, verificar el
Verificar desempeño de los procesos contra la política y los
(Revisar y dar objetivos de seguridad y la experiencia práctica, y
seguimiento al SGSI) reportar los resultados a la dirección, para su
revisión.
Emprender acciones correctivas y preventivas
Actuar
basadas en los resultados de la verificación y la
(Mantener y mejorar
revisión por la dirección, para lograr la mejora
el SGSI)
continua del SGSI.

La realización del análisis y evaluación de los riesgos de seguridad y la selección de

controles adecuados.

En esta primera etapa se crean las condiciones para la realización del diseño,
implementación y gestión del Sistema de Seguridad Informática, para lo cual se realiza
un estudio de la situación del sistema informático desde el punto de vista de la seguridad,
con el fin de determinar las acciones que se ejecutarán en función de las necesidades
detectadas y con ello establecer las políticas, los objetivos, procesos y procedimientos de
seguridad apropiados para gestionar el riesgo y mejorar la seguridad informática,
posibilitando obtener resultados conformes con las políticas y objetivos globales de la
organización.
Los bienes informáticos de que dispone una entidad no tienen el mismo valor, e
Autor: Josue Valdivia Arana
Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

igualmente, no están sometidos a los mismos riesgos, por lo que es imprescindible la

realización de un Análisis de Riesgos que ofrezca una valoración de los bienes
informáticos y las amenazas a las que están expuestos, así como una definición de la
manera en que se gestionarán dichos riesgos para reducirlos.
Como resultado, se establecerán las prioridades en las tareas a realizar para minimizar los
riesgos. Puesto que los riesgos nunca desaparecen totalmente, la dirección de la entidad
debe asumir el riesgo residual, o sea el nivel restante de riesgo después de su
tratamiento.

1.1 Preparación

Durante la preparación se crean las condiciones para el diseño e implementación del

SGSI, considerando los aspectos siguientes:

1. Asegurar el compromiso de la dirección.

2. Seleccionar y preparar a los miembros del equipo que participará en el diseño e
implementación del SGSI.
3. Recopilar información de seguridad.

1.1.1. Compromiso de la dirección de la entidad con la Seguridad Informática

La dirección apoyará activamente la seguridad dentro de la organización mediante una

orientación clara, compromiso demostrado y la asignación explícita de las
responsabilidades de seguridad informática y su reconocimiento, para lo cual:

a) Asegura que los objetivos de seguridad informática estén identificados, cumplen

los requisitos de la organización y están integrados en los procesos principales.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

b) Formula, revisa y aprueba las políticas de seguridad informática.

c) Revisa la efectividad de la implementación de las políticas de seguridad.
d) Provee una orientación clara y apoyo visible hacia las iniciativas de seguridad.
e) Proporciona los recursos necesarios para la seguridad.
f) Aprueba la asignación de los roles específicos y responsabilidades en seguridad
informática en la organización.
g) Inicia planes y programas para mantener la concienciación en seguridad.
h) Asegura que la implementación de los controles de seguridad informática sea
coordinada en toda la organización.

1.1.2. Seleccionar y preparar a los miembros del equipo que participará en el diseño e
implementación del SGSI

El proceso de diseño e implementación del SGSI no debe ser realizado por una sola
persona o por un grupo de personas de una misma especialidad, sino que debe ser el
resultado de un trabajo multidisciplinario en el que participen todos aquellos que de
manera integral puedan garantizar el cumplimiento de los objetivos planteados.

El equipo de diseño e implementación se conformará con:

1. Dirigentes y funcionarios que a los diferentes niveles responden por la información

que se procesa en las tecnologías y por tanto son los garantes de su protección.
2. personal de informática, que domina los aspectos técnicos necesarios para la
implementación de los controles de seguridad.
3. profesionales de la protección, a partir de su responsabilidad en la custodia de los
bienes informáticos y otros que se consideren de acuerdo a su perfil.
1.1.3. Recopilar información de seguridad
Durante el proceso de preparación se reunirá toda la información que facilite el diseño e
implementación del SGSI, para lo cual se utilizan los documentos normativos y
metodológicos que existan sobre el tema; documentación de aplicaciones y sistemas en
explotación en la organización; documentación de incidentes ocurridos en la entidad o en
otras organizaciones afines; tendencias de seguridad nacionales e internacionales, así
como otros materiales que faciliten su realización.

1.2. Determinación de las necesidades de protección

Las necesidades de protección del sistema informático se establecen mediante la

realización de un análisis de riesgos, que es el proceso dirigido a determinar la
probabilidad de que las amenazas se materialicen sobre los bienes

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

informáticos e implica la identificación de los bienes a proteger, las amenazas que actúan
sobre ellos, su probabilidad de ocurrencia y el impacto que puedan causar.

La realización del análisis de riesgos debe proporcionar:

a) Una detallada caracterización del sistema informático objeto de

protección.
b) La creación de un inventario de bienes informáticos a proteger.
c) La evaluación de los bienes informáticos a proteger en orden de su importancia
para la organización.
d) La identificación y evaluación de amenazas y vulnerabilidades.
e) La estimación de la relación importancia-riesgo asociada a cada bien informático
(peso de riesgo).

En el proceso de análisis de riesgos se pueden diferenciar dos aspectos:

1. La Evaluación de Riesgos orientada a determinar los sistemas que, en su conjunto

o en cualquiera de sus partes, pueden verse afectados directa o indirectamente por
amenazas, valorando los riesgos y estableciendo sus niveles a partir de las posibles
amenazas, las vulnerabilidades existentes y el impacto que puedan causar a la
entidad. Consiste en el proceso de comparación del riesgo estimado con los
criterios de riesgo, para así determinar su importancia.

2. La Gestión de Riesgos que implica la identificación, selección, aprobación y

manejo de los controles a establecer para eliminar o reducir los riesgos evaluados a
niveles aceptables, con acciones destinadas a:

a) Reducir la probabilidad de que una amenaza ocurra.

b) Limitar el impacto de una amenaza, si esta se manifiesta.
c) Reducir o eliminar una vulnerabilidad existente.
d) Permitir la recuperación del impacto o su transferencia a terceros.

La gestión de riesgos implica la clasificación de las alternativas para manejar los riesgos
a que puede estar sometido un bien informático dentro de los procesos en una entidad.
Implica una estructura bien definida, con controles adecuados y su conducción mediante
acciones factibles y efectivas. Para ello se cuenta con las técnicas de manejo del riesgo
siguientes:

1. Evitar: Impedir el riesgo con cambios significativos por mejoramiento, rediseño

o eliminación, en los procesos, siendo el resultado de adecuados controles y
acciones realizadas.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

2. Reducir: Cuando el riesgo no puede evitarse por dificultades de tipo

operacional, la alternativa puede ser su reducción hasta el nivel más bajo
posible. Esta opción es la más económica y sencilla y se consigue optimizando
los procedimientos y con la implementación de controles.

3. Retener: Cuando se reduce el impacto de los riesgos pueden aparecer riesgos

residuales. Dentro de las estrategias de gestión de riesgos de la entidad se debe
plantear como manejarlos para mantenerlos en un nivel mínimo.

4. Transferir: Es buscar un respaldo contractual para compartir el riesgo con otras

entidades, por ejemplo alojamiento, hospedaje, externalización de servicios,
entre otros. Esta técnica se usa ya sea para eliminar un riesgo de un lugar y
transferirlo a otro, o para minimizar el mismo.

La necesidad de la actualización permanente del análisis de riesgos estará determinada

por las circunstancias siguientes:

a) Los elementos que componen un sistema informático en una entidad están

sometidos a constantes variaciones: cambios de personal, nuevos locales, nuevas
tecnologías, nuevas aplicaciones, reestructuración de entidades, nuevos
servicios, etc.
b) La aparición de nuevas amenazas o la variación de la probabilidad de ocurrencia
de alguna de las existentes.
c) Pueden aparecer nuevas vulnerabilidades o variar o incluso desaparecer alguna
de las existentes, originando, modificando o eliminando posibles amenazas.

En resumen, durante la determinación de las necesidades de protección del sistema

informático es necesario:

1. Caracterizar el sistema informático.

2. Identificar las amenazas potenciales y estimar los riesgos sobre los bienes
informáticos.
3. Evaluar el estado actual de la seguridad.

Caracterización del sistema informático

Para el diseño e implementación de cualquier sistema es imprescindible el conocimiento

pleno del objeto sobre el cual se quiere diseñar o implantar el mismo. Para ello lo más
apropiado es precisar los elementos que permitan identificar las especificidades de éste.

La caracterización del sistema informático incluye la determinación de los bienes

informáticos que requieren ser protegidos, su valoración y clasificación según su
importancia.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

Se precisarán los datos que permitan determinar como fluye la información entre los
diferentes elementos de la entidad, así como entre la entidad y otras instituciones
considerando el carácter de la información y su nivel de clasificación de acuerdo con lo
establecido en el país.

Durante la caracterización del sistema informático es necesario establecer además las

características de las edificaciones y locales donde están instalados los equipos, tipo de
construcción y estructura, lugares o puntos de acceso (ventanas y puertas), visibilidad
desde el exterior, la ubicación de las tecnologías de la información, tipos de tecnologías,
software instalado, nivel de clasificación de la información que se procesa,
documentación de software, preparación y conocimiento del personal que opera los
equipos, así como cualquier otro aspecto que haga más precisa su descripción.

Una buena caracterización del sistema informático permite conocerlo a plenitud y evita
pérdida de tiempo e imprecisiones.

Una posible agrupación por categorías que puede ayudar a la identificación de los bienes
informáticos a proteger, podría ser la siguiente:

1. Hardware: redes de diferente tipo, servidores y estaciones de trabajo,

computadoras personales (incluyendo portátiles), soportes magnéticos y ópticos,
medios informáticos removibles, líneas de comunicaciones, módems, ruteadores,
concentradores, entre otros.
2. Software: programas fuentes, programas ejecutables, programas de diagnóstico,
programas utilitarios, sistemas operativos, programas de comunicaciones, entre
otros.
3. Datos: durante la ejecución, almacenados en discos, información de respaldo,
bases de datos, trazas de auditoría, en tránsito por los medios de
comunicaciones, entre otros.
4. Personas: usuarios, operadores, programadores, personal de mantenimiento,
entre otros.
5. Documentación: de programas, de sistemas, de hardware, de procedimientos de
administración, entre otros.

Una vez identificados los bienes informáticos que necesitan ser protegidos se determinará
su importancia dentro del sistema informático y se clasificarán según la misma.

La valoración de los bienes informáticos posibilita mediante su categorización,

determinar en que medida uno es más importante que otro (grado de importancia) y se
realiza teniendo en cuenta aspectos tales como: la función que realizan, su costo, la
repercusión que ocasionaría la pérdida y posibilidad de recuperación de los mismos; así
como la preservación de la confidencialidad, la integridad y la disponibilidad.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

Al estimar la repercusión que ocasionaría la pérdida de un bien informático se debe tener

en cuenta el tiempo que la entidad puede seguir trabajando sin el mismo, lo que puede ser
vital para su funcionamiento. Este tiempo puede oscilar entre escasas horas, hasta días y
semanas. Por ejemplo: una agencia bancaria no puede prescindir de su Plan de Cuentas
por un número considerable de horas, porque sería imposible su funcionamiento.

Se da el caso que un bien informático puede estar hasta tres semanas dañado. Esto
depende del ciclo de utilización del mismo, por ejemplo: si la nómina de una entidad se
daña días antes del pago a los trabajadores pondría a la entidad en un serio aprieto, si se
dañó después del cobro habría más tiempo para su recuperación.

La determinación de la importancia de cada bien informático puede ser realizada de

forma descriptiva (por ejemplo, valor alto, medio, bajo) o de forma numérica asignando
valores entre cero y diez (0 si tiene poca importancia y 10 sí es máxima).

Un resultado inmediato de la caracterización del sistema informático debe ser la

conformación de un listado que contenga la relación de los bienes informáticos
identificados y clasificados según su importancia.

Bienes informáticos críticos

Como resultado de la evaluación anterior se determinarán los bienes informáticos críticos

para la gestión de la entidad en virtud de la función que realizan o los servicios que
proporcionan, su importancia y el riesgo a que están sometidos. Se consideran bienes
informáticos críticos aquellos sin los cuales el trabajo de la entidad no tuviera sentido o
no puede ser ejecutado. Por ejemplo:
a) El servidor principal de una red.
b) Los medios de comunicaciones de un centro de cobros y pagos remoto.
c) El sistema de control de tráfico aéreo de un aeropuerto.
d) El sistema contable de una entidad.

Los bienes informáticos críticos tienen carácter relativo según la entidad de que se trate,
por ejemplo: la destrucción o modificación de una base de datos en una escuela
secundaria probablemente no tenga la misma connotación que si ocurre en un centro de
investigaciones científicas.

Un aspecto de vital importancia es la concatenación, o sea, la dependencia entre un bien

informático y otro. En la práctica se da el caso que un bien informático resulta no ser
importante tratado individualmente, para el correcto funcionamiento de una tarea
cualquiera, pero como elemento de un sistema, es

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

el preámbulo o paso anterior obligado para el funcionamiento de otro bien informático

que ha sido marcado como importante. En este caso todos los activos que cumplen con
esa condición han de ser considerados como importantes.

Por otra parte, puede que un recurso sea muy costoso y por ello considerado de
importancia alta, y sin embargo no es imprescindible para la gestión de la entidad. Estas
circunstancias pueden elevar de forma artificial el nivel de importancia con que ha sido
catalogado.

El equipo de trabajo debe velar porque las distintas estructuras que conforman la entidad
no declaren importantes aquellos bienes informáticos que en realidad no lo son. Esto
evitaría gastos innecesarios. Existe la tendencia de declarar como importantes (críticos) a
bienes informáticos que en realidad no lo son. A la hora de tratar este aspecto el equipo
de trabajo debe ser lo suficientemente paciente y persuasivo para evitar esta perjudicial
práctica.

Lo anterior implica un análisis complementario de los datos obtenidos en el listado de

bienes informáticos, que se realizará de la forma siguiente:

1. Señale adecuadamente aquellos bienes informáticos que fueron valorados de

importancia significativa.
2. Señale aquellos bienes informáticos, que no habiendo sido valorados de
importancia significativa, tienen una incidencia directa con algún otro bien
informático crítico.
3. Señale, después de un estudio riguroso y detallado, aquellos bienes informáticos
que no teniendo una valoración significativa, ni incidencia directa en el trabajo
de bienes informáticos críticos, resulta necesario que sean marcados como tales,
por razones prácticas.
4. Ordene el listado de bienes informáticos a partir de las consideraciones
anteriores.

Identificación de las amenazas sobre el sistema informático

Una vez que los bienes informáticos que requieren protección son identificados y
valorados según su importancia es necesario identificar las amenazas sobre éstos y
estimar el daño (impacto) que puede producir su materialización.

Para cada bien informático a proteger los objetivos fundamentales de seguridad son la
confidencialidad, la integridad y la disponibilidad, por lo que hay que determinar cada
amenaza sobre la base de como pueda afectar a estas características de la información. El
peso que cada una de estas características tiene para los bienes informáticos varía de una
entidad a otra, en dependencia de la naturaleza de los procesos informáticos que se llevan
a cabo en función de su objeto social. Algunas de las amenazas más comunes son las
siguientes:

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

a) Pérdida de información.
b) Corrupción o modificación de información.
c) Sustracción, alteración o pérdida de equipos o componentes.
d) Divulgación de información.
e) Interrupción de servicios.

La realización de un análisis de riesgos implica el examen de cada una de las amenazas

sobre los bienes informáticos y su clasificación por niveles, a partir de la probabilidad de
su ocurrencia y la severidad del impacto que puedan producir.

Estimación del riesgo sobre los bienes informáticos

La estimación del riesgo sobre cada bien informático se determina considerando las
probabilidades de materialización de las amenazas que actúan sobre el mismo. Esto puede
ser realizado de forma descriptiva (por ejemplo: riesgo alto, medio, bajo) o de forma
numérica asignando valores entre cero y uno (0 sí la probabilidad de que se materialice la
amenaza es nula y 1 sí es máxima).

Una amenaza puede incidir sobre varios bienes informáticos con la misma probabilidad y
sin embargo sus consecuencias no necesariamente serán iguales, dependiendo en cada
caso de la importancia del bien en cuestión. La interrelación entre la probabilidad de
materialización de las amenazas que actúan sobre un bien informático y la importancia
estimada para el mismo determinan el peso del riesgo. De esta manera se puede
determinar el peso del riesgo para cada bien informático.

La evaluación de los riesgos posibilita conocer que bienes informáticos, o que áreas en
particular están sometidas a un mayor peso de riesgo y su naturaleza, lo que permite la
selección adecuada de los controles de seguridad que deben ser establecidos en cada uno
de los casos, garantizándose de esta manera una correcta proporcionalidad por medio de
una adecuada relación entre costos y beneficios.

Es necesario precisar de una manera exhaustiva los riesgos a que está sometido el sistema
en cada una de sus partes componentes, a partir de lo cual se pueden determinar con
racionalidad los controles de seguridad que deben ser implementados.

La aplicación de los elementos aquí expuestos puede ser realizada con mayor o menor
rigor, en dependencia de la composición y preparación del equipo de trabajo designado
para acometer esta tarea y de la participación que se dé a otras personas, que sin formar
parte del equipo, puedan brindar los elementos que se requieran.

Por otra parte, desde el momento que los resultados dependen de valores estimados, las
conclusiones a que se arribe deben ser tomadas como una

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

aproximación al problema, que puede ser ajustada en sucesivas versiones, en

correspondencia con la práctica diaria. Los conceptos anteriormente expresados pueden
ser aplicados en diversas variantes, pero de alguna forma es imprescindible utilizarlos.

Evaluación del estado actual de la Seguridad Informática

Generalmente las entidades que emplean las tecnologías de la información en el

desarrollo de su actividad, aunque no hayan diseñado un sistema de seguridad informática
que considere de forma integral todos los factores que deben tenerse en cuenta, tienen
implementadas determinadas normas, medidas y procedimientos de seguridad,
generalmente de forma empírica a partir de incidentes que han ocurrido o de las
experiencias de otras entidades, lo cual por supuesto es insuficiente y da lugar a la
existencia de vulnerabilidades.

Es necesario evaluar de manera crítica la efectividad de los controles existentes, sobre la

base de los resultados del análisis de riesgos realizado, con el objetivo de perfeccionarlos
o sustituirlos por aquellos que brinden la respuesta adecuada. Los resultados de esta
evaluación ayudarán a orientar y a determinar una apropiada acción gerencial y las
prioridades para gestionar los riesgos de seguridad informática, así como la
implementación de los controles seleccionados para protegerse.

La determinación de las necesidades de protección examinada en este apartado debe dar

como resultado la definición de los aspectos principales siguientes:

1. Cuales son los bienes informáticos más importantes a proteger.

2. Que amenazas tienen mayor probabilidad de actuar sobre los bienes informáticos
y su posible impacto sobre la entidad.
3. Que áreas están sometidos a un mayor peso de riesgo y que amenazas los
motivan.
4. Que controles de seguridad deben ser perfeccionados o sustituidos y en que caso
se requiere definir e implementar alguno nuevo.

Llegado a este punto es necesario:

1. Identificar y evaluar alternativas posibles para tratar los riesgos.

2. Seleccionar e implantar los controles que permitan reducir el riesgo a un nivel
aceptable.
3. Identificar los riesgos residuales que han quedado sin cubrir.
4. Preparar un plan para el tratamiento de los riesgos.
5. Preparar procedimientos para implantar los controles.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

Establecimiento de los requisitos de Seguridad Informática

Parte esencial del proceso de planificación consiste en la identificación de los requisitos

de seguridad de la organización. Existen tres fuentes principales:

1. La determinación de las necesidades de protección de la organización, durante la

cual se identifican los bienes informáticos más importantes; las amenazas a que
están sometidos; se evalúa la vulnerabilidad y la probabilidad de ocurrencia de
las amenazas y se estima su posible impacto.
2. El conjunto de requisitos instituidos por obligaciones contractuales, normas
legales y técnicas que debe satisfacer la organización.
3. Los principios, objetivos y requisitos que forman parte del procesamiento de la
información que la organización ha desarrollado para apoyar sus operaciones.

Necesidades de
protección

Requisitos de
Exigencias seguridad
superiores

Necesidades del
procesamiento

Los requisitos de seguridad se identifican mediante la evaluación de los riesgos. El gasto

en controles debe equilibrarse con el perjuicio para la organización resultante de los
fallos de seguridad (costo - beneficio).

Selección de los controles de Seguridad Informática

Antes de considerar el tratamiento de los riesgos, la organización decidirá los criterios

para determinar si pueden ser aceptados o no. Un riesgo puede ser aceptado si, por
ejemplo, se determina que es bajo o que el costo de su tratamiento no es rentable para la
organización.

Para cada uno de los riesgos identificados se tomará una decisión sobre su tratamiento.
Las opciones posibles para el tratamiento del riesgo incluyen:

a) Aplicar controles apropiados para reducir los riesgos.

b) Aceptar riesgos de manera consciente y objetiva, siempre que satisfagan
claramente la política y los criterios de la organización para la aceptación de
riesgos.
c) Evitar riesgos, no permitiendo las acciones que propicien los riesgos.

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

d) Transferir los riesgos a otras partes, por ejemplo, aseguradores o proveedores.

Para aquellos riesgos donde se decida aplicar controles apropiados, estos se seleccionarán
e implantarán para lograr los requisitos identificados mediante la evaluación de riesgos.
Los controles deben asegurar que los mismos son reducidos a un nivel aceptable teniendo
en cuenta:

a) Requisitos y restricciones de la legislación y de las regulaciones nacionales e

internacionales.
b) Objetivos de la organización.
c) Requisitos y restricciones operacionales.
d) Costo de la implementación y de la operación.
e) La necesidad de balancear la inversión en la implementación y la operación de
controles contra el daño probable como resultado de fallas de la seguridad.

Los controles de seguridad que se seleccionen para la reducción de los riesgos a un nivel
aceptable cubrirán adecuadamente las necesidades específicas de la organización. La
selección de los controles de seguridad depende de una decisión organizacional basada en
los criterios para la aceptación del riesgo, las opciones para el tratamiento del mismo, y el
acercamiento a su gestión general aplicada a la organización, y también estará conforme a
toda la legislación y regulaciones nacionales e internacionales vigentes.

Los objetivos de control y los controles se basan en: los resultados y conclusiones de la
evaluación de riesgos y en los procesos de tratamiento del riesgo; en los requisitos
legales, o reglamentarios; en las obligaciones contractuales y en las necesidades
orgánicas de la entidad en materia de seguridad informática.

Los controles de seguridad informática serán considerados en las etapas de especificación

de requisitos y de diseño de sistemas y aplicaciones. El no hacerlo puede dar lugar a
costos adicionales y a soluciones menos eficaces, y en el peor de los casos, imposibilidad
de alcanzar la seguridad adecuada. Estos controles serán establecidos, implementados,
supervisados y mejorados cuando sea necesario para asegurar que se cumplen los
objetivos específicos de seguridad de la organización.

Hay que tener presente que ningún sistema de controles puede alcanzar la seguridad
completa y que acciones adicionales de gestión deben implementarse para supervisar,
evaluar, y mejorar la eficiencia y la eficacia de los controles de seguridad para apoyar las
metas de la organización.

La seguridad informática se logra implantando un conjunto adecuado de controles, que

incluyen políticas, procesos, medidas, procedimientos, estructuras

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

organizativas y funciones de hardware y software. Nos referiremos a continuación

específicamente a las políticas y a las medidas y procedimientos de seguridad
informática.

Políticas de Seguridad Informática

El objetivo fundamental de la definición de las Políticas de Seguridad Informática

consiste en proporcionar orientación y apoyo de la dirección para la seguridad
informática, de acuerdo con los requisitos de la organización y con las regulaciones y
leyes vigentes.

La dirección establecerá políticas de seguridad en correspondencia con los objetivos de la

entidad y demostrará su apoyo y compromiso a la seguridad informática, publicando y
manteniendo esas políticas en toda la organización, las cuales se comunicarán a todos los
usuarios de manera apropiada, accesible y comprensible.

Las políticas de seguridad definen los “QUE”: qué debe ser protegido, qué es más
importante, qué es más prioritario, qué está permitido y qué no lo está y qué tratamiento
se le darán a los problemas de seguridad. Las políticas de seguridad en si mismas no
dicen “COMO” las cosas son protegidas. Esto es función de las medidas y
procedimientos de seguridad.

Las políticas de seguridad conforman la estrategia general. Las medidas y procedimientos

establecen en detalle los pasos requeridos para proteger el sistema informático. No puede
haber medidas y procedimientos que no respondan a una política, al igual que no puede
concebirse una política que no este complementada con las medidas y procedimientos
que le correspondan.

Comenzar con la definición de las políticas de seguridad a partir de los riesgos

estimados debe asegurar que las medidas y procedimientos proporcionen un
adecuado nivel de protección para todos los bienes informáticos.

Desde que las políticas de seguridad pueden afectar a todo el personal en una entidad es
conveniente asegurar tener el nivel de autoridad requerido para su establecimiento. La
creación de las políticas de seguridad será avalada por la máxima dirección de la
organización que tiene el poder de hacerlas cumplir. Una política que no se puede
implementar y hacer cumplir es inútil.

Uno de los objetivos básicos al desarrollar las políticas de seguridad consiste en definir
que se considera uso apropiado de los sistemas informáticos; así como la forma en que
se tratarán los incidentes de seguridad. Para esto serán considerados los criterios
siguientes:

Autor: Josue Valdivia Arana

Carrera: Adm. De Empresas.
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

1. Tener en cuenta el objeto social de la entidad y sus características. Por ejemplo la

seguridad de una entidad comercial es muy diferente a la de un organismo central o a la de
una universidad.
2. Las políticas de seguridad que se desarrollen deben estar en correspondencia con las
políticas, reglas, regulaciones y leyes a la que la entidad está sujeta.
3. A menos que el sistema informático a proteger esté completamente aislado e
independiente, habrá que considerar las implicaciones de seguridad en un contexto más
amplio. Las políticas deben manejar los asuntos derivados de un problema de seguridad
que tiene lugar por causa de un sitio remoto, así como un problema que ocurre en el mismo
como resultado de un usuario o computadora local.

Asignatura: Contabilidad I
Carrera: Ing. comercial
Página 18 de 19
 Título: SEGURIDAD INFORMATICA
Autor/es: Josue Valdivia Arana.

CONCLUSION

En conclusión la seguridad informática se encarga de proteger todo lo relacionado con la infraestructura

computacional y la información que se encuentra en las computadoras.

Exiten varias amenazas por lo que se debe tener cuidado con lo que se abre en internet y en correos que
mandan personas desconocidas, ya que, es posible que la computadora sea infectada con un virus y traiga
problemas a esta, tales como la pérdida total o parcial de la información, falsificación de los datos,
interferencia en el funcionamiento, etc. Pero el número de amenazas se pueden reducir si se coloca un
antivirus y si se evita entrar en paginas o correos electrónicos que aparenten ser extraños.

También existen organismo oficiales de la seguridad informática que luchan por lograr los objetivos de esta.

Asignatura: Contabilidad I
Carrera: Ing. comercial
Página 19 de 19