FACULTAD:

“Facultad De Ciencias Económicas, Administrativas Y Contables”

ESCUELA:

Administración

CURSO:

Sistemas de Información Gerencial

TEMA:

Tema 8: Seguridad en los sistemas de información

DOCENTE:

RONCAL DÍAZ, César Wilbert

INTEGRANTES:

CHAVEZ CABREJOS, Jhonatan Paolo

LOZADA MONTOYA, Josué Miguel

MACASSI SUAREZ, Giancarlo Marino

SANTISTEBAN MINO, Jonathan Luis

CICLO DE ESTUDIOS:

Cuarto ciclo

FECHA:

Lambayeque, 13 de setiembre del 2021

 SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

CUESTIONARIO

1. ¿Por qué son vulnerables los sistemas de información a la destrucción, el

error y el abuso?

Los sistemas de información concentran los datos en archivos de

computadoras, por ello, los datos automatizados son más susceptibles a

destrucción, fraude, error y abuso. Cuando se almacenan grandes cantidades

de datos en forma electrónica, estos son vulnerables a muchos tipos de

amenazas. Su origen puede estar en factores técnicos, de organización y del

entorno, combinados con las malas decisiones gerenciales.

2. Liste y describa las amenazas más comunes contra los sistemas de

información contemporáneos.

• Fallos de hardware

• Incendio-Fallos de software

• Problemas eléctricos

• Acciones del personal-Errores de usuario

• Penetración por terminales

• Cambios de programas

• Robo de datos, servicios, equipo

• Problemas de telecomunicaciones

Los adelantos en telecomunicaciones y software de computadora han intensificado

esta vulnerabilidad. Se requieren disposiciones más complejas y diversas de

 hardware, software, organización y personal, para las redes de telecomunicaciones,

lo que crea nuevas áreas y oportunidades de penetración y manipulación.

3. Defina el malware e indique la diferencia entre un virus, un gusano

y un caballo de Troya.

Malware: Malware es la abreviatura de “Malicious software”, término que engloba

a todo tipo de programa o código informático malicioso cuya función es dañar un

sistema o causar un mal funcionamiento. Dentro de este grupo podemos encontrar

términos como: Virus, Troyanos (Trojans), Gusanos (Worm), keyloggers, Botnets,

Ransomwares, Spyware, Adware, Hijackers, Keyloggers, FakeAVs, Rootkits,

Bootkits, Rogues, etc.

Virus: Los Virus Informáticos son sencillamente programas maliciosos (malwares)

que “infectan” a otros archivos del sistema con la intención de modificarlo o

dañarlo. Dicha infección consiste en incrustar su código malicioso en el interior del

archivo “víctima” (normalmente un ejecutable) de forma que a partir de ese

momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva

fuente de infección. Su nombre lo adoptan de la similitud que tienen con los virus

biológicos que afectan a los humanos, donde los antibióticos en caso serían los

programas antivirus.

Gusano: Los gusanos son en realidad un subconjunto de malware. Su principal

diferencia con los virus radica en que no necesitan de un archivo anfitrión para

seguir vivos. Los gusanos pueden reproducirse utilizando diferentes medios de

comunicación como las redes locales, el correo electrónico, los programas de

mensajería instantánea, redes P2P, dispositivos USB y las redes sociales.

 Caballo de Troya: Disfrazados de algo inocuo o benéfico, estos programas invitan

al usuario a ejecutarlos, y luego le abren la puerta a otros cientos de programas

maliciosos.

4. Defina a un hacker y explique cómo crean los hackers problemas de

seguridad y dañan sistemas.

Un hacker o pirata informático es una persona que intenta obtener acceso no

autorizado a un sistema de cómputo y viola seguridades. Para poder ingresar a este

sistema con fines de perjudicar a alguna empresa, robar información o simplemente

verificar que tan vulnerable es la empresa. Los hackers ingresan a través de los

puertos que se encuentran abiertos y son vulnerables en un sistema de cómputo,

también utilizan herramientas que permiten denegar los servicios de los servidores

q requieren acceder.

En la actualidad se usa de forma corriente para referirse mayormente a los

criminales informáticos, debido a su utilización masiva por parte de los medios de

comunicación además pueden ingresar en programas creados por otros hackers y

así poder dañar los sistemas.

5. Defina crimen por computadora. Mencione dos ejemplos de delitos

en los que las computadoras sean el objetivo y dos ejemplos en los

que se utilicen como instrumentos de delito.

El delito u informático es toda aquella acción, típica, antijurídica y culpable que se

da por vías informáticas y que tiene como objetivo destruir y dañar ordenadores,

medios electrónicos y redes de internet.

• Ej1: los hackers ingresan atreves de las redes wi-fi y los virus y gusanos se pueden
 esparcir desenfrenadamente a través de todo el sistema dañando el ordenador.

• Ej2: el hacker ingresa el virus q perjudica a los sistemas de cómputo a través de los

correos electrónicos y dañan completamente el ordenador

• Ej3: cuando se usa las computadoras para lo que es la clonación de tarjetas la cual es

un delito informático.

• Ej4: cuando se usa para lo que es el phishing y atentan con el robo a las diferentes

empresas.

6. Defina robo de identidad y phishing; explique además por qué el

robo de identidad es un problema tan grande en la actualidad.

El robo de identidad es un crimen en el que un impostor obtiene piezas clave de

información personal, como números de identificación del seguro social, números

de licencia de conducir o números de tarjetas de crédito, para hacerse pasar por

alguien más. La información se puede utilizar para obtener crédito, mercancía o

servicios a nombre de la víctima, o para proveer credenciales falsas al ladrón. El

robo de identidad ha prosperado en Internet, donde los archivos de tarjetas de

crédito son uno de los principales objetivos de los hackers de sitios Web.

El phishing, es aquel que implica el proceso de establecer sitios Web falsos o

enviar mensajes de correo electrónico que se parezcan a los de las empresas

legítimas, para pedir datos personales a los usuarios. El mensaje instruye a quienes

lo reciben para que actualicen o confirmen los registros, para lo cual deben proveer

números de seguro social, información bancaria y de tarjetas de crédito, además de

otros datos confidenciales, ya sea respondiendo al mensaje de correo electrónico,

introduciendo la información en un sitio Web falso o llamando a un número

 telefónico.

7. Describa los problemas de seguridad y confiabilidad de sistemas

generados por los empleados.

Por lo general pensamos que las amenazas de seguridad para una empresa se

originan fuera de la organización. De hecho, los trabajadores internos de la

compañía representan graves problemas de seguridad. Los empleados tienen acceso

a información privilegiada, y al haber procedimientos de seguridad interna

descuidados, son capaces de vagar por los sistemas de una organización sin dejar

rastro. Estudios han encontrado que la falta de conocimiento de los usuarios es la

principal causa de fugas de seguridad en las redes. Muchos empleados olvidan sus

contraseñas para acceder a los sistemas computacionales o permiten que sus

compañeros de trabajo las utilicen, lo cual compromete al sistema. Algunas veces

los intrusos maliciosos que buscan acceder al sistema engañan a los empleados para

que revelen sus contraseñas al pretender ser miembros legítimos de la compañía

que necesitan información. A esta práctica se le denomina ingeniería social. Tanto

los usuarios finales como los especialistas en sistemas de información son también

una principal fuente de los errores que se introducen en los sistemas de

información. Los usuarios finales introducen errores al escribir datos incorrectos o

al no seguir las instrucciones propias para procesar los datos y utilizar el equipo de

cómputo. Los especialistas de sistemas de información pueden crear errores de

software mientras diseñan y desarrollan nuevo software o dan mantenimiento a los

programas existentes.

8. Explique cómo afectan los defectos del software a la confiabilidad y

 seguridad de los sistemas ¿Cuál es el valor de negocios de la

seguridad y el control?

Proteger los sistemas de información es algo tan imprescindible para la operación

de la empresa que merece reconsiderarse. Las compañías tienen activos de

información muy valiosos por proteger. A menudo los sistemas alojan información

confidencial sobre los impuestos de las personas, los activos financieros, los

registros médicos y las revisiones del desempeño en el trabajo. También pueden

contener información sobre operaciones corporativas, secretos de estado, planes de

desarrollo de nuevos productos y estrategias de marketing. Los sistemas

gubernamentales pueden almacenar información sobre sistemas de armamento,

operaciones de inteligencia y objetivos militares. Estos activos de información

tienen un tremendo valor, y las repercusiones pueden ser devastadoras si se pierden,

destruyen o ponen en las manos equivocadas. Los sistemas que no pueden

funcionar debido a fugas de seguridad, desastres o tecnología defectuosa, pueden

generar un impacto permanente en la salud financiera de una empresa. Un control y

seguridad inadecuados pueden provocar una responsabilidad legal grave.

9. Explique cómo la seguridad y el control proporcionan valor a los

negocios.

Los negocios deben proteger no sólo sus propios activos de información, sino

también los de sus clientes, empleados y socios de negocios. Si no hicieran esto, las

empresas podrían involucrarse en litigios costosos por exposición o robo de datos.

Una organización puede ser considerada responsable de crear riesgos y daños

innecesarios si no toma la acción protectora apropiada para evitar la pérdida de

 información confidencial, la corrupción de datos o la fuga de privacidad. Un marco

de trabajo sólido de seguridad y control que proteja los activos de información de

negocios puede producir un alto rendimiento sobre la inversión. Una seguridad y un

control sólidos también incrementan la productividad de los empleados y reducen

los costos de operación.

10. Describa la relación entre seguridad y control, los recientes

requerimientos regulatorios del gobierno de Estados Unidos y el

análisis forense de sistemas.

Las recientes regulaciones gubernamentales de Estados Unidos están obligando a

las compañías a considerar la seguridad y el control con más seriedad, al exigir que

se protejan los datos contra el abuso, la exposición y el acceso sin autorización. Las

empresas se enfrentan a nuevas obligaciones legales en cuanto a la retención, el

almacenaje de registros electrónicos, y la protección de la privacidad.

En una empresa que proporciona servicios financieros, su empresa tendrá que

cumplir con la Ley de modernización de servicios financieros de 1999, mejor

conocida como Ley Gramm-Leach-Bliley. Esta ley requiere que las instituciones

financieras garanticen la seguridad y confidencialidad de los datos de los clientes,

los cuales se deben almacenar en un medio seguro y se deben implementar medidas

de seguridad especiales para proteger dichos datos en los medios de

almacenamiento y durante la transmisión.

En cambio, en una compañía que cotiza en la bolsa, su compañía tendrá que

cumplir con la Ley de reforma de contabilidad pública de compañías y protección

al inversionista de 2002, mejor conocida como Ley Sarbanes-Oxley. Básicamente,

 se refiere a asegurar que se implementen controles internos para gobernar la

creación y documentación de la información en los estados financieros. Como se

utilizan sistemas de información para generar, almacenar y transportar dichos datos,

la legislación requiere que las empresas consideren la seguridad de los sistemas de

información y otros controles requeridos para asegurar la integridad,

confidencialidad y precisión de sus datos. Cada aplicación de sistemas que trata con

los datos críticos de los informes financieros requiere controles para asegurar que

estos datos sean precisos. También son esenciales los controles para asegurar la red

corporativa, para evitar el acceso sin autorización a los sistemas y datos, y para

asegurar tanto la integridad como la disponibilidad de los datos en caso de desastre

u otro tipo de interrupción del servicio.

El análisis forense de sistemas, que es el proceso de recolectar, examinar,

autenticar, preservar y analizar científicamente los datos retenidos o recuperados de

medios de almacenamiento de computadora, de tal forma que la información se

pueda utilizar como evidencia en un juzgado.

Se encarga de los siguientes problemas:

• Recuperar datos de las computadoras y preservar al mismo tiempo la

integridad evidencial.

• Almacenar y manejar con seguridad los datos electrónicos recuperados.

• Encontrar información importante en un gran volumen de datos electrónicos.

• Presentar la información a un juzgado.

11. ¿Cuáles son los componentes de un marco de trabajo organizacional

para la seguridad y el control?

 Aun con las mejores herramientas de seguridad, sus sistemas de información no

serán confiables y seguros a menos que sepa cómo y dónde implementarlos.

Necesitará saber dónde está su compañía en riesgo y qué controles debe establecer

para proteger sus sistemas de información. También tendrá que desarrollar una

política de seguridad y planes para mantener su empresa en operación, en caso de

que sus sistemas de información no estén funcionando. Por ellos son necesarios los

siguientes componentes:

• Controles de los sistemas de información

• Evaluación de riesgo

• Política de seguridad

• Planificación de recuperación de desastres y de la continuidad de negocios

• La función de auditoría

12. Defina los controles generales y describa cada tipo de control

general.

Estos controles gobiernan el diseño, la seguridad y el uso de los programas de

computadora, además de la seguridad de los archivos de datos en general, a lo largo

de toda la infraestructura de tecnología de la información de la organización. En

conjunto, los controles generales se asignan a todas las aplicaciones

computarizadas y consisten en una combinación de hardware, software y

procedimientos manuales que crean un entorno de control en general. Los controles

generales cuentan con controles de software, controles de hardware físicos,

controles de operaciones de computadora, controles de seguridad de datos,

controles sobre la implementación de procesos de sistemas y controles

administrativos.

o Controles de software: Monitorean el uso del software de sistemas y evitan el

acceso no autorizado de los programas de software, el software de sistemas y los

programas de computadora.

o Controles de hardware: Aseguran que el hardware de computadora sea

físicamente seguro y verifican las fallas del equipo. Las organizaciones que

dependen mucho de sus computadoras también deben hacer provisiones para

respaldos o una operación continua, de modo que puedan mantener un servicio

constante.

o Controles de operaciones de computadora: Supervisan el trabajo del departamento

de computadoras para asegurar que los procedimientos programados se apliquen

de manera consistente y correcta al almacenamiento y procesamiento de los datos.

Implican controles sobre el establecimiento de trabajos de procesamiento de

computadora y procedimientos de respaldo y recuperación para el procesamiento

que termina en forma anormal.

o Controles de seguridad de datos: Aseguran que los archivos de datos de negocios

valiosos que se encuentren en disco o cinta no estén sujetos a un acceso sin

autorización, no se modifiquen ni se destruyan mientras se encuentran en uso o

almacenados.
 o Controles de implementación: Auditan el proceso de desarrollo de sistemas en

varios puntos para asegurar que el proceso se controle y administre de manera

apropiada.

o Controles administrativos: Formalizan estándares, reglas, procedimientos y

disciplinas de control para asegurar que los controles generales y de aplicación de

la organización se ejecuten e implementen apropiadamente.

13. Defina los controles de aplicación y describa cada tipo de control de

aplicación.

Son controles específicos únicos para cada aplicación computarizada, como nómina

o procesamiento de pedidos. Implican procedimientos tanto automatizados como

manuales, los cuales aseguran que la aplicación procese de una forma completa y

precisa únicamente los datos autorizados. Los controles de aplicación se pueden

clasificar como controles de entrada, controles de procesamiento y controles de

salida.

 Los controles de entrada verifican la precisión e integridad de los datos

cuando éstos entran al sistema. Hay controles de entrada específicos para

autorización de la entrada, conversión de datos, edición de datos y manejo

de errores.

 Los controles de procesamiento establecen que los datos sean completos y

precisos durante la actualización.

  Los controles de salida aseguran que los resultados del procesamiento de

computadora sean precisos, completos y se distribuyan de manera

apropiada. En nuestras Trayectorias de aprendizaje aprenderá más sobre los

controles de aplicación y generales.

14. Describa la función de la evaluación del riesgo y explique cómo se

lleva a cabo para los sistemas de información.

Antes de que su compañía consigne recursos a los controles de seguridad y

sistemas de información, debe saber qué activos requieren protección y el grado de

vulnerabilidad de éstos. Una evaluación del riesgo ayuda a responder estas

preguntas y a determinar el conjunto más eficiente de controles para proteger

activos. Una evaluación del riesgo determina el nivel de riesgo para la empresa si

no se controla adecuadamente una actividad o proceso específico. No todos los

riesgos se pueden anticipar o medir, pero la mayoría de las empresas podrán

adquirir cierta comprensión de los riesgos a los que se enfrentan. Los gerentes de

negocios que trabajan con especialistas en sistemas de información deberían tratar

de determinar el valor de los activos de información, los puntos de vulnerabilidad,

la probable frecuencia de un problema y el potencial de daño.

15. Defina y describa lo siguiente: política de seguridad, política de uso

aceptable y administración de identidad Explique cómo es que la

auditoría de sistemas de información promueve la seguridad y el

control.

Una política de seguridad consta de enunciados que clasifican los riesgos de

información, identifican los objetivos de seguridad aceptables e incluso los

mecanismos para lograr estos objetivos. La política de seguridad controla las

políticas que determinan el uso aceptable de los recursos de información de la

empresa y qué miembros de la compañía tienen acceso a sus activos de

información. Una política de uso aceptable (AUP) define los usos admisibles de los

recursos de información y el equipo de cómputo de la empresa, que incluye las

computadoras laptop y de escritorio, dispositivos inalámbricos, teléfonos e Internet.

La política debe clarificar la política de la compañía con respecto a la privacidad, la

responsabilidad de los usuarios y el uso personal tanto del equipo como de las redes

de la compañía. Una buena AUP define las acciones inaceptables y aceptables para

cada usuario, además de especificar las consecuencias si no se llevan a cabo. La

política de seguridad también comprende provisiones para administrar la identidad.

La administración de identidad consiste en los procesos de negocios y las

herramientas de software para identificar a los usuarios válidos de un sistema, y

para controlar su acceso a los recursos del mismo. Involucra las políticas para

identificar y autorizar a distintas categorías de usuarios del sistema, especificar los

sistemas o partes de los mismos a los que cada usuario puede acceder, además de

los procesos y las tecnologías para autenticar usuarios y proteger sus identidades.

Una auditoría de sistemas de información examina el entorno de seguridad general

de la firma, además de controlar el gobierno de los sistemas de información

individuales. El auditor debe rastrear el flujo de transacciones de ejemplo a través

del sistema y realizar pruebas, utilizando (si es apropiado) software de auditoría

automatizado. La auditoría de sistemas de información también puede examinar la

calidad de los datos. Las auditorías de seguridad revisan las tecnologías, los
 procedimientos, la documentación, la capacitación y el personal. Una auditoría

detallada puede incluso simular un ataque o desastre para evaluar la respuesta de la

tecnología, el personal de sistemas de información y los empleados de la empresa.

La auditoría lista y clasifica todas las debilidades de control; además, estima la

probabilidad de su ocurrencia. Se espera que la gerencia idee un plan para

contrarrestar las debilidades considerables en los controles.

16. ¿Cuáles son las herramientas y tecnologías más importantes para

salvaguardar los recursos de información?

Las empresas cuentan con un cúmulo de tecnologías para proteger sus recursos de

información, como herramientas para administrar las identidades de los usuarios,

evitar el acceso no autorizado a los sistemas y datos, asegurar la disponibilidad del

sistema y asegurar la calidad del software.

Estas herramientas y tecnologías son:

o Administración de la identidad y la autenticación

o Firewalls, sistemas de detección de intrusos y software antivirus

o Seguridad en las redes inalámbricas

o Seguridad en las redes inalámbricas

o Aseguramiento de la disponibilidad del sistema

o Aspectos de seguridad para la computación en la nube y la plataforma digital

móvil

o Aseguramiento de la calidad del software

17. Nombre y describa tres métodos de autenticación.

Verificación de voz:
En los sistemas de reconocimiento de voz no se intenta, como mucha gente piensa,

reconocer lo que el usuario dice, sino identificar una serie de sonidos y sus

características para decidir si el usuario es quien dice ser. Para autenticar a un

usuario utilizando un reconocedor de voz se debe disponer de ciertas condiciones

para el correcto registro de los datos, como ausencia de ruidos, reverberaciones o

ecos; idealmente, estas condiciones han de ser las mismas siempre que se necesite

la autenticación. Cuando un usuario desea acceder al sistema pronunciará unas

frases en las cuales reside gran parte de la seguridad del protocolo; en algunos

modelos, los denominados de texto dependiente, el sistema tiene almacenadas un

conjunto muy limitado de frases que es capaz de reconocer: por ejemplo,

imaginemos que el usuario se limita a pronunciar su nombre, de forma que el

reconocedor lo entienda y lo autentique. Como veremos a continuación, estos

modelos proporcionan poca seguridad en comparación con los de texto

independiente, donde el sistema va `proponiendo' a la persona la pronunciación de

ciertas palabras extraídas de un conjunto bastante grande. De cualquier forma, sea

cual sea el modelo, lo habitual es que las frases o palabras sean características para

maximizar la cantidad de datos que se pueden analizar (por ejemplo, frases con una

cierta entonación, pronunciación de los diptongos, palabras con muchas vocales...).

Conforme va hablando el usuario, el sistema registra toda la información que le es

útil; cuando termina la frase, ya ha de estar en disposición de facilitar o denegar el

acceso, en función de la información analizada y contrastada con la de la base de

datos. El principal problema del reconocimiento de voz es la inmunidad frente a

replay attacks, un modelo de ataques de simulación en los que un atacante

reproduce (por ejemplo, por medio de un magnetófono) las frases o palabras que el
usuario legítimo pronuncia para acceder al sistema. Este problema es especialmente

grave en los sistemas que se basan en textos preestablecidos: volviendo al ejemplo

anterior, el del nombre de cada usuario, un atacante no tendría más que grabar a

una persona que pronuncia su nombre ante el autenticador y luego reproducir ese

sonido para conseguir el acceso; casi la única solución consiste en utilizar otro

sistema de autenticación junto al reconocimiento de voz. Por contra, en modelos de

texto independiente, más interactivos, este ataque no es tan sencillo porque la

autenticación se produce realmente por una especie de desafío respuesta entre el

usuario y la máquina, de forma que la cantidad de texto grabado habría de ser

mucho mayor y la velocidad para localizar la parte del texto que el sistema propone

habría de ser elevada. Otro grave problema de los sistemas basados en

reconocimiento de voz es el tiempo que el usuario emplea Sistemas de

autenticación hablando delante del analizador, al que se añade el que éste necesita

para extraer la información y contrastarla con la de su base de datos; aunque

actualmente en la mayoría de sistemas basta con una sola frase, es habitual que el

usuario se vea obligado a repetirla porque el sistema le deniega el acceso (una

simple congestión hace variar el tono de voz, aunque sea levemente, y el sistema no

es capaz de decidir si el acceso ha de ser autorizado o no; incluso el estado anímico

de una persona varía su timbre...). A su favor, el reconocimiento de voz posee la

cualidad de una excelente acogida entre los usuarios, siempre y cuando su

funcionamiento sea correcto y éstos no se vean obligados a repetir lo mismo varias

veces, o se les niegue un acceso porque no se les reconoce correctamente.

Verificación de escritura:
Aunque la escritura (generalmente la firma) no es una característica estrictamente

biométrica, como hemos comentado en la introducción se suele agrupar dentro de

esta categoría; de la misma forma que sucedía en la verificación de la voz, el

objetivo aquí no es interpretar o entender lo que el usuario escribe en el lector, sino

autenticarlo basándose en ciertos rasgos tanto de la firma como de su rúbrica. La

verificación en base a firmas es algo que todos utilizamos y aceptamos día a día en

documentos o cheques; no obstante, existe una diferencia fundamental entre el uso

de las firmas que hacemos en nuestra vida cotidiana y los sistemas biométricos;

mientras que habitualmente la verificación de la firma consiste en un simple

análisis visual sobre una impresión en papel, estática, en los sistemas automáticos

no es posible autenticar usuarios en base a la representación de los trazos de su

firma. En los modelos biométricos se utiliza además la forma de firmar, las

características dinámicas (por eso se les suele denominar Dynamic Signature

Verification, DSV): el tiempo utilizado para rubricar, las veces que se separa el

bolígrafo del papel, el ángulo con que se realiza cada trazo. Para utilizar un sistema

de autenticación basado en firmas se solicita en primer lugar a los futuros usuarios

un número determinado de firmas ejemplo, de las cuales el sistema extrae y

almacena ciertas características; esta etapa se denomina de aprendizaje, y el

principal obstáculo a su correcta ejecución son los usuarios que no suelen firmar

uniformemente. Contra este problema la única solución (aparte de una

concienciación de tales usuarios) es relajar las restricciones del sistema a la hora de

aprender firmas, con lo que se decrementa su seguridad. Una vez que el sistema

conoce las firmas de sus usuarios, cuando estos desean acceder a él se les solicita

tal firma, con un número limitado de intentos (generalmente más que los sistemas
 que autentican mediante contraseñas, ya que la firma puede variar en un individuo

por múltiples factores). La firma introducida es capturada por un lápiz óptico o por

una lectora sensible (o por ambos), y el acceso al sistema se produce una vez que el

usuario ha introducido una firma que el verificador es capaz de distinguir como

auténtica.

Retina:

La vasculatura retinal (forma de los vasos sanguíneos de la retina humana) es un

elemento característico de cada individuo, por lo que numerosos estudios en el

campo de la autenticación de usuarios se basan en el reconocimiento de esta

vasculatura. En los sistemas de autenticación basados en patrones retinales el

usuario a identificar ha de mirar a través de unos binoculares, ajustar la distancia

interocular y el movimiento de la cabeza, mirar a un punto determinado y por

último pulsar un botón para indicar al dispositivo que se encuentra listo para el

análisis. En ese momento se escanea la retina con una radiación infrarroja de baja

intensidad en forma de espiral, detectando los nodos y ramas del área retinal para

compararlos con los almacenados en una base de datos; si la muestra coincide con

la almacenada para el usuario que el individuo dice ser, se permite el acceso.

18. Describa los roles de los firewalls, los sistemas de detección de

intrusos y el software antivirus para promover la seguridad.

Roles de los firewalls:

Básicamente la función de un firewall es proteger los equipos individuales,

servidores o equipos conectados en red contra accesos no deseados de intrusos que

nos pueden robar datos confidenciales, hacer perder información valiosa o incluso
denegar servicios en nuestra red. Así por lo tanto queda claro que es altamente

recomendable que todo el mundo utilice un firewall por los siguientes motivos:

o Preservar nuestra seguridad y privacidad.

o Para proteger nuestra red doméstica o empresarial.

o Para tener a salvo la información almacenada en nuestra red, servidores u

ordenadores.

o Para evitar intrusiones de usuarios usuarios no deseados en nuestra red y

ordenador. Los usuarios no deseados tanto pueden ser hackers como usuarios

pertenecientes a nuestra misma red.

o Para evitar posibles ataques de denegación de servicio.

o Así por lo tanto un firewall debidamente configurado nos podrá proteger por

ejemplo contra ataques IP address Spoofing, Ataques Source Routing, etc.

Un sistema de detección de intrusos:

Mantener tu red a salvo de intrusiones es una de las partes más vitales de la

administración y seguridad de sistemas y redes.

Si un atacante malintencionado penetra en tu red, puede provocar pérdidas masivas para

tu empresa, incluidos posibles tiempos de inactividad, violaciones de datos y pérdida de

la confianza del cliente.

(IDS) es una herramienta o software que funciona con tu red para mantenerla segura y

marcar cuando alguien está intentando ingresar a tu sistema. Hay varios tipos diferentes

de IDS y numerosas herramientas en el mercado y descubrir cuál usar puede ser

desalentador. En esta guía definitiva, analizaré todo lo que necesitas saber (y me refiero a

TODO) sobre IDS: qué es un sistema de detección de intrusos, cómo funciona la

 intrusión en la red, cómo detectar la intrusión en la red y qué herramientas debes

considerar con el último software IDS.

Software antivirus:

Un antivirus es un programa que analiza las distintas unidades y dispositivos, así como el

flujo de datos entrantes y salientes, revisando el código de los archivos y buscando

fragmentos de caracteres. Utiliza una base de datos con cadenas de caracteres

características de distintos virus. EL antivirus es rápido y siempre va a ir por delante de la

protección de los fabricantes de antivirus, podemos estar tranquilos si tenemos uno

instalado y actualizado. En realidad, los antivirus protegen contra virus, troyanos y

gusanos, y la mayor parte contienen también antispyware e incluso filtros antispam.

19. Explique cómo protege el cifrado a la información.

En el mundo de la informática, el cifrado es la conversión de datos de un formato

legible a un formato codificado, que solo se pueden leer o procesar después de

haberlos descifrado.

El cifrado es el elemento fundamental de la seguridad de datos y es la forma más

simple e importante de impedir que alguien robe o lea la información de un sistema

informático con fines malintencionados.

Utilizado tanto por usuarios individuales como por grandes corporaciones, el

cifrado se usa ampliamente en Internet para garantizar la inviolabilidad de la

información personal enviada entre navegadores y servidores.

Esa información podría incluir todo, desde datos de pagos hasta información

personal. Las empresas de todos los tamaños suelen utilizar el cifrado para proteger

los datos confidenciales en sus servidores y bases de datos.

20. Describa el rol del cifrado y los certificados digitales en una

infraestructura de clave pública.

El rol del cifrado:

Más allá de la ventaja obvia de proteger la información privada contra robos o

amenazas, el cifrado también ofrece un medio para demostrar tanto la autenticidad

como el origen de la información. Se puede utilizar para verificar el origen de un

mensaje y confirmar que no ha sufrido modificaciones durante la transmisión.

Los certificados digitales:

El Certificado Digital es el único medio que permite garantizar técnica y

legalmente la identidad de una persona en Internet. Se trata de un requisito

indispensable para que las instituciones puedan ofrecer servicios seguros a través

de Internet. Además:

El certificado digital permite la firma electrónica de documentos El receptor de un

documento firmado puede tener la seguridad de que éste es el original y no ha sido

manipulado y el autor de la firma electrónica no podrá negar la autoría de esta

firma.

El certificado digital permite cifrar las comunicaciones. Solamente el destinatario

de la información podrá acceder al contenido de esta. En definitiva, la principal

ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar

trámites administrativos en Internet, a cualquier hora y desde cualquier lugar. Un

Certificado Digital consta de una pareja de claves criptográficas, una pública y una

privada, creadas con un algoritmo matemático, de forma que aquello que se cifra

con una de las claves sólo se puede descifrar con su clave pareja.
 El titular del certificado debe mantener bajo su poder la clave privada, ya que si

ésta es sustraída, el sustractor podría suplantar la identidad del titular en la red. En

este caso el titular debe revocar el certificado lo antes posible, igual que se anula

una tarjeta de crédito sustraída.

La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es

un documento digital que contiene la clave pública junto con los datos del titular,

todo ello firmado electrónicamente por una Autoridad de Certificación, que es una

tercera entidad de confianza que asegura que la clave pública se corresponde con

los datos del título.

21. Indique la diferencia entre planificación de recuperación de

desastres y planificación de continuidad de negocios.

Diferencias entre el DRP y BCP:

Ambos son componentes utilizados para contribuir a que los sistemas esenciales

para el funcionamiento de la organización, estén disponibles cuando sean

necesarios, con la característica de que el DRP se limita a los procesos e

infraestructura de TI de la organización y está considerado dentro del BCP.

Por su parte, la continuidad del negocio está encaminada a describir los pasos a

seguir por una organización cuando no puede funcionar de manera normal debido a

un desastre natural o uno causado por el hombre. El BCP puede ser escrito para un

proceso de negocio específico o para todos aquellos de misión crítica, y se

compone de un conjunto de planes, incluido el DRP.

Otros que lo conforman, como el de reanudación del negocio (BRP), emergencia de

ocupantes (OEP) y continuidad de operaciones (COP) no están relacionados con la

 infraestructura y procesos de TI.

El Plan de Gestión de Incidentes (IMP) que también está incluido en el BCP, está

relacionado con TI y establece la estructura y los procedimientos para hacer frente

a algún incidente de seguridad de la información, aunque generalmente no

involucra la activación del DRP. La siguiente imagen muestra los planes

considerados en el BCP.

Entonces, la recuperación ante desastres se enfoca en el restablecimiento de los

sistemas e infraestructura de TI que soportan los procesos de negocio críticos

después de eventos de interrupción, mientras que la continuidad del negocio está

orientada a la recuperación de los procesos de negocio críticos que son necesarios

para la operación, por lo que no solo incluye lo anterior, sino también todos los

demás aspectos operativos necesarios dentro de la organización.

22. Identifique y describa los problemas de seguridad impuestos por la

computación en la nube.

Problemas de sistemas en la nube relacionados con la seguridad:

La seguridad es uno de los principales problemas de sistemas que hacen uso de la

computación en la nube. Basarse totalmente en Internet incrementa la

vulnerabilidad a ataques de hackers. Pero la evidencia habla por sí sola, todos los

sistemas de TI modernos de hoy en día están conectados a Internet. Por lo tanto, el

nivel de vulnerabilidad es muy similar al de cualquier otro lugar. No obstante, el

hecho de que la computación en la nube sea una red distribuida también facilita que

las empresas se recuperen rápidamente de dichos ataques.

Lo que se debe hacer para minimizar este problema es estudiar y examinar las
políticas de seguridad del proveedor antes de firmar un contrato con ellos.

Posible tiempo de inactividad:

La computación en nube hace que la organización dependa de la confiabilidad de

su conexión a Internet. Si el servicio de Internet sufre de interrupciones frecuentes

o velocidades bajas, la computación en nube puede no ser adecuada para ese

negocio.

Otro aspecto que hay que tener en cuenta es el nivel de dependencia que se tiene de

la confiabilidad en la nube. Incluso los proveedores de servicios de computación en

la nube más confiables sufren problemas de sistemas que les causan interrupciones

en el servidor de vez en cuando. Por ejemplo, una empresa tan confiable como

Apple tuvo el 20 de mayo de 2015 una interrupción de siete horas en Apple iCloud

que afectó al correo electrónico y a otros servicios en la nube, como iCloud Drive,

Documents, etc.

Para saber si hay que optar por la nube como solución, es necesario hacerse esta

pregunta: “¿mi negocio puede funcionar en caso de que se produzca una

interrupción prolongada de los servicios en la nube?”

Problemas de compatibilidad de la nube:

Otro problema de sistemas basados en la nube es la compatibilidad con todos los

sistemas de TI de una empresa. Hoy en día se reconoce universalmente que la

computación en la nube funciona como la opción más rentable para las empresas.

Sin embargo, el problema surge del hecho de que la compañía tendría que

reemplazar muchas de sus infraestructuras de TI existentes para hacer que el

sistema sea cien por cien compatible en la nube.

 Una solución simple para este problema es utilizar la nube híbrida, que es capaz de

abordar la mayoría de estos problemas de compatibilidad.

Problemas de atención al cliente:

En los primeros días de la computación en la nube, el mal servicio al cliente era una

constante queja de los usuarios. Afortunadamente, la mayoría de los proveedores

han hecho grandes avances en la mejora de la asistencia técnica. Sin embargo, un

mejor servicio tiene un precio.

Si las necesidades de la empresa requieren de una respuesta rápida, hay que

asegurarse de que el proveedor de servicios en la nube tenga muchas opciones

disponibles para dar soporte técnico: correo electrónico, teléfono, chat en tiempo

real, centro de conocimiento y foros de usuarios. También habrá que revisar si el

proveedor puede ofrecer soporte en horario nocturno, fines de semana y festivos.

En conclusión, si bien la computación en la nube no está exenta de riesgos, la

verdad es que los problemas de sistemas en la nube son manejables y predecibles,

aunque en algunos casos se necesite cierto esfuerzo por parte de la compañía que

decide implantar esta solución. Una vez aclarados los problemas, el resto del

proceso proporcionará grandes beneficios para la organización.

23. Describa las medidas para mejorar la calidad y confiabilidad del

software.

Las organizaciones pueden mejorar la calidad y confiabilidad del sistema al

emplear métrica de software y un proceso riguroso de prueba de software. La

métrica de software consiste en las evaluaciones de los objetivos del sistema en

forma de medidas cuantificadas. El uso continuo de la métrica permite al

departamento de sistemas de información y a los usuarios finales medir en conjunto

el desempeño del sistema e identificar los problemas a medida que ocurren.

Algunos ejemplos de métrica de software son: la cantidad de transacciones que se

pueden procesar en una unidad de tiempo específica, el tiempo de respuesta en

línea, la cantidad de cheques de nómina impresos en una hora, y el número de

errores conocidos por cada cien líneas de código de programa. Para que la métrica

tenga éxito, debe diseñarse con cuidado, ser formal y objetiva; además, hay que

utilizarla de manera consistente.