Definicin del problema esperada:

-Qu aspectos de seguridad fsica vulnerables se identificaron? R- Primer aspecto de vulnerabilidad fsica es con la secretaria Claudia que no tomo las medidas de proteger la informacin que el jefe le dio de suma vitalidad para la empresa. No contar con un sistema de video vigilancia. No contar con un logar o espacio donde guardar documentos o herramientas importantes. No tener a disposicin ni un nivel de seguridad por lo menos el de Nivel D1. -Qu aspectos de seguridad en el sistema vulnerables se identificaron? R- No contar con contraseas del usuario. No aplicar Los diferentes niveles de seguridad como lo son: Nivel D1, Nivel C1, Nivel C2, Nivel B1, Nivel B2, Nivel B3, Nivel A.

Preguntas esperadas en el anlisis del problema:

R- Fsicamente no logro acceder al equipo solo adquirida la informacin que se le fue dada a Claudia.

R- No opera ningn sistema de seguridad

R- No se tiene ninguna poltica de acceso para entrar a la empresa

R- Lograron ingresar al sistema informtico por medio de la red que. Ya que su red no tiene ningn control de seguridad fuerte solo una contrasea de muy baja proteccin que es el nombre del hijo de Claudia que se llama Igor y lo tiene marcado en un dibujo en su oficina. en el lugar para acceder al sistema? R- Solo tienen una que es la clave de usuario de la Red la cual es muy vulnerable

R- Fue Descuido departe de Claudia ya que no supo cmo actuar en esta situacin ya que no pregunto ni el nombre de la persona que estaba buscando a su jefe, dejo documentos importantes en su escritorio, su computador tambin lo dejo a disposicin de la persona ya que a lo que muestra el video no tiene una clave de usuario para acceder al computador sea que si la persona quera sacar ms informacin lo podra hacer sin ningn obstculo.

R- No dejo ningn tipo de rastro ya que al conocer o descifrar la contrasea de red ya tena todo a disposicin para tomar la informacin deseada. A quin ha sido asignada la responsabilidad de cuidar la seguridad? R- A lo que muestra el video la responsabilidad de seguridad se le fue encargada a Claudia pero la empresa debi ser ms serio y buscar la ayuda de profesionales para tener ciertos niveles de seguridad y no le ocurriera esta valiosa perdida de informacin.

8. Metas de aprendizaje:

R- Niveles de seguridad De acuerdo con las norma de seguridad establecidas por el departamento de la defensa de Estados Unidos, basados en el libro naranja1, se usan varios niveles para proteger de ataques el hardware, el software y la informacin almacenada. Estos niveles se refieren a diferentes tipos de seguridad fsica, autentificacin de usuario, confiabilidad del software del sistema operativo y aplicaciones de usuario. Estos estndares tambin imponen lmites a los sistemas que puedan conectarse a su equipo. Nivel D1 El nivel D1 es la forma ms baja de seguridad. Esta norma establece que el sistema entero no es confiable. No se dispone de proteccin para el hardware; el sistema operativo se compromete fcilmente y no existe autentificacin respecto de los usuarios y sus derechos a tener acceso a la informacin almacenada en la

computadora. Los sistemas operativos no distinguen entre los usuarios y no tienen definido ningn mtodo para determinar quin est en el teclado. Asimismo, no tienen ningn control con respecto a la informacin a la que se pueda tener acceso en las unidades de disco duro de la computadora. Nivel C1 El nivel C tiene dos subniveles de seguridad: el C1 y el C2. El nivel C1, Sistema de Proteccin de Seguridad Discrecional, se refiere a la seguridad disponible en un sistema Unix tpico. Existe cierto nivel de proteccin para el hardware, ya que ste no puede comprometerse fcilmente. Los usuarios deben identificarse ante el sistema mediante su login y contrasea. Se emplea esta combinacin para determinar los derechos de acceso a programas e informacin que tiene cada usuario. Estos derechos de acceso son los permisos de archivos y de directorio. Los controles de acceso discrecional permiten al dueo del archivo o directorio, as como al administrador del sistema, evitar que ciertas personas o grupos tengan acceso a dichos programas o informacin. La mayora de las tareas cotidianas de administracin del sistema son realizadas por la cuenta raz (root), y tambin es comn que dicha cuenta la conozca ms de una persona en la organizacin, lo cual resulta difcil identificar a dichas personas que la usan.

Nivel C2 El subnivel C2 esta diseado con las funciones del nivel C1, ms algunas caractersticas adicionales que crean un ambiente de acceso controlado. Este ambiente tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Este nivel de seguridad requiere que se audite el sistema, lo cual implica registrar una auditora por cada accin que ocurra en el sistema. La auditora se utiliza para llevar registros de todas las acciones relacionadas con la seguridad, como pueden ser las actividades efectuadas por el administrador del sistema. La auditoria requiere de autentificacin adicional, lo que implica que la auditoria utilice recursos adicionales del procesador y del subsistema de disco.

Nivel B1 El nivel de seguridad B consta de tres niveles. El nivel B1, llamado Proteccin de Seguridad Etiquetada, es el primer nivel con soporte para seguridad de multinivel, como el secreto y el ultra secreto. En este nivel se establece que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. Nivel B2 El nivel B2, conocido como Proteccin Estructurada, requiere que todos los objetos estn etiquetados, los dispositivos como discos, cintas y terminales, pueden tener asignado uno o varios niveles de seguridad. Este es el primer nivel en el que se aborda el problema de la comunicacin de un objeto con otro que se encuentra en un nivel de seguridad inferior. Nivel B3 El nivel B3, llamado de Dominios de Seguridad, refuerza los dominios con la instalacin de hardware. Por ejemplo, se utiliza hardware de manejo de memoria para proteger el dominio de seguridad contra accesos no autorizados y modificaciones de objetos en diferentes dominios de seguridad. Este nivel requiere tambin que la terminal del usuario est conectada al sistema a travs de una ruta de acceso confiable. Nivel A Este nivel es conocido como Diseo Verificado, constituye actualmente el nivel de seguridad validada ms alto. Cuenta con un proceso estricto de diseo, control y verificacin. Para alcanzar este nivel de seguridad, deben incluirse todos los componentes de los niveles inferiores; el diseo debe verificarse

matemticamente, y debe realizarse un anlisis de los canales abiertos y de distribucin confiable. La distribucin confiable significa que el hardware y el software hayan estado protegidos durante su traslado para evitar violaciones de los sistemas de seguridad.

recursos? R- Se pueden dividir las amenazas que existen sobre los sistemas informticos en tres grandes grupos, en funcin del mbito o la forma en que se pueden producir: Desastres del entorno Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicacin del entorno de trabajo informtico o de la propia organizacin, as como con las personas que de una u otra forma estn relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos,

inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido elctrico, y peligros relacionados con operadores, programadores o usuarios del sistema. Amenazas en el sistema Bajo esta denominacin se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de proteccin que ste ofrece, fallos en los programas, copias de seguridad, etc. Amenazas en la red Cada da es menos comn que una mquina trabaje aislada de todas las dems; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexin acarrea nuevas - y peligrosas amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexin no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en trnsito por la red, a proteger una red local del resto de Internet, o a instalar sistemas de autenticacin de usuarios remotos que necesitan acceder a ciertos recursos internos de la organizacin (como un investigador que conecta desde su casa a travs de un mdem). Algo importante a la hora de analizar las amenazas a las que se enfrentan nuestros siste mas es analizar los potenciales tipos de atacantes que pueden intentar violar nuestra seguridad. Es algo normal que a la hora de hablar de atacantes todo el mundo piense en crackers, en piratas informticos mal llamados hackers. No obstante, esto no es ms que el fruto de la repercusin que en todos los medios tienen estos individuos

y sus acciones; en realidad, la inmensa mayora de problemas de seguridad vienen dados por atacantes internos a la organizacin afectada. En organismos universitarios, estos atacantes suelen ser los propios estudiantes (rara vez el personal), as como piratas externos a la entidad que aprovechan la habitualmente mala proteccin de los sistemas universitarios para acceder a ellos y conseguir as cierto status social dentro de un grupo de piratas. Los conocimientos de estas personas en materias de sistemas operativos, redes o seguridad informtica suelen ser muy limitados, y sus actividades no suelen entraar muchos riesgos a no ser que se utilicen nuestros equipos para atacar a otras organizaciones, en cuyo caso a los posibles problemas legales hay que sumar la mala imagen que nuestras organizaciones adquieren. No siempre hemos de contemplar a las amenazas como actos intencionados contra nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes, desde un operador que derrama una taza de caf sobre una terminal hasta un usuario que tropieza con el cable de alimentacin de un servidor y lo desconecta de la lnea elctrica, pasando por temas como el borrado accidental de datos o los errores de programacin. Por supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema: un usuario de nuestras mquinas puede intentar conseguir privilegios que no le corresponden, una persona externa a la organizacin puede lanzar un ataque de negacin de servicio contra la misma sin necesidad de conocer ni siquiera un login y una contrasea, otros.

ha sido violado? R- La respuesta a esta pregunta depende completamente del tipo de violacin que se haya producido, de su gravedad, de quin la haya provocado, de su intencin. Si se trata de accidentes o de problemas poco importantes suele ser suficiente con una llamada de atencin verbal o una advertencia; si ha sido un hecho provocado, quizs es conveniente emprender acciones algo ms convincentes, como la clausura de las cuentas de forma temporal o pequeas sanciones administrativas. En el caso de problemas graves que hayan sido intencionados interesar emprender acciones ms duras, como cargos legales o sanciones administrativas firmes (por ejemplo, la expulsin de una universidad). Una gran limitacin que nos va a afectar mucho es la situacin de la persona o personas causantes de la violacin con respecto a la organizacin que la ha sufrido. En estos casos se suele diferenciar entre usuarios internos o locales, que son aquellos pertenecientes a la propia organizacin, y externos, los que no estn relacionados directamente con la misma; las diferencias entre ellos son los lmites de red, los administrativos, los legales o los polticos. Evidentemente es mucho ms fcil buscar responsabilidades ante una violacin de la seguridad entre los usuarios internos, ya sea contra la propia organizacin o contra otra, pero utilizando los recursos de la nuestra; cuando estos casos se dan en redes de I+D, generalmente ni siquiera es necesario llevar el caso ante la justicia, basta con la aplicacin de ciertas normas sobre el usuario problemtico (desde una sancin hasta la expulsin o despido de la organizacin). Existen dos estrategias de respuesta ante un incidente de seguridad: Proteger. Proceder.

R- deben ser conocerdores en este tema de delitos informaticos que logren un fuerte mecanismo de seguridad para que no sea vulnerable. Recomiendo un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de informacin en las organizaciones. Los servicios de seguridad estn diseados para contrarrestar los ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad para proporcionar el servicio. No Repudio Proporciona proteccin contra la interrupcin, por parte de alguna de las entidades implicadas en la comunicacin, de haber participado en toda o parte de la comunicacin. El servicio de Seguridad de No repudio o irrenunciabilidad est estandarizado en la ISO-7498-2. No Repudio de origen: El emisor no puede negar que envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario.

Prueba que el mensaje fue enviado por la parte especfica. No Repudio de destino: El receptor no puede negar que recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al emisor la prueba de que el destinatario legtimo de un envo, realmente lo recibi, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Prueba que el mensaje fue recibido por la parte especfica. Si la autenticidad prueba quin es el autor de un documento y cual es su destinatario, el no repudio prueba que el autor envi la comunicacin (no repudio en origen) y que el destinatario la recibi (no repudio en destino).

El no repudio evita que el emisor o el receptor nieguen la transmisin de un mensaje. As, cuando se enva un mensaje, el receptor puede comprobar que, efectivamente, el supuesto emisor envi el mensaje. De forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor recibi el mensaje. Definicin segn la recomendacin X.509 de la UIT-T Servicio que suministra la prueba de la integridad y del origen de los datos- ambos en una relacin infalsificable que pueden ser verificados por un tercero en cualquier momento.

R- Mecanismos de autenticacin e identificacin Estos mecanismos hacen posible identificar entidades del sistema de una forma nica, y posteriormente, una vez identificadas, autenticarlas (comprobar que la entidad es quin dice ser). Mecanismos de control de acceso Estos controlan todos los tipos de acceso sobre el objeto por parte de cualquier entidad del sistema. Dentro de Unix, el control de acceso ms habitual es el discrecional (DAC, Discretionary Access Control), implementado por los bits rwx y las listas de control de acceso para cada archivo (objeto) del sistema. Mecanismos de separacin Se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel, evitando el flujo de informacin entre objetos y entidades de diferentes niveles. Los mecanismos de separacin se dividen en cinco grandes grupos, en funcin de como separan a los objetos: separacin fsica, temporal, lgica, criptogrfica y fragmentacin. Dentro de Unix, el mecanismo de separacin ms habitual es el de separacin lgica o aislamiento. Mecanismos de seguridad en las comunicaciones

Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a travs de la red. Para garantizar esta seguridad en las comunicaciones, hemos de utilizar ciertos mecanismos, la mayora de los cuales se basan en la Criptografa: cifrado de clave pblica, de clave privada, firmas digitales...Aunque cada vez se utilizan ms los protocolos seguros, como SSH o Kerberos, en el caso de sistemas Unix en red.

tan importante es contar con un esquema de auditora de seguridad? R- Es de gran importancia con un esquema de auditoria pero primero se debe conocer sobre que es y que trata para luego implementarlo en su empresa. Una auditora de seguridad informtica o auditora de seguridad de sistemas de informacin (SI) es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Tcnicos en Informtica para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores. Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad. Las auditoras de seguridad de SI permiten conocer en el momento de su realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y medidas de seguridad.

Fases de una auditora Los servicios de auditora constan de las siguientes fases:

Enumeracin de redes, topologas y protocolos Verificacin del Cumplimiento de los estndares internacionales. ISO, COBIT, etc

Identificacin de los sistemas operativos instalados Anlisis de servicios y aplicaciones Deteccin, comprobacin y evaluacin de vulnerabilidades Medidas especficas de correccin Recomendaciones sobre implantacin de medidas preventivas.

Tipos de auditora Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna. En este tipo de auditora se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carcter interno

Auditora de seguridad perimetral. En este tipo de anlisis, el permetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores

Test de intrusin. El test de intrusin es un mtodo de auditora mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es un complemento fundamental para la auditora perimetral.

Anlisis forense. El anlisis forense es una metodologa de estudio ideal para el anlisis posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la inoperabilidad del sistema, el anlisis se denomina anlisis postmortem.

Auditora de pginas web. Entendida como el anlisis externo de la web, comprobando vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de posibilidades de Cross Site Scripting (XSS), etc.

Auditora de cdigo de aplicaciones. Anlisis del cdigo tanto de aplicaciones pginas Web como de cualquier tipo de aplicacin, independientemente del lenguaje empleado

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio en las configuraciones, la instalacin de parches, actualizacin de los softwares y la adquisicin de nuevo hardware hacen necesario que los sistemas estn continuamente verificados mediante auditora. Estndares de Auditora Informtica y de Seguridad Una auditora se realiza con base a un patron o conjunto de directrices o buenas prcticas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001 analizado por maritee.

Parte 2.

1. Utiliza el mismo escenario, para realizar las siguientes tareas:

R- Para tener una visin ms completa til de identificar Los activos de la empresa hay tres principales tipos de recursos: Tangibles: Financieros y fsicos Intangibles: tecnolgicos y reputacin Recursos humanos Dentro de esta empresa expuesta tememos que consta con recurso humanos, herramientas tecnolgicas como un computador completo con todas sus herramientas, un mobiliario de oficina y rea de trabajo o recinto

R- Estas son los tipos de amenazas que podemos observar. El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco

aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como son:

-Los usuarios conocen la red y saben cmo es su funcionamiento. -Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo. -Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.

Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos informticos de las actuales amenazas combinadas. El resultado es la violacin de los sistemas, provocando la prdida o modificacin de los datos sensibles de la organizacin, lo que puede representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

R- A mi concepto este es el riesgo que representa mayo amenaza que es el activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo.

R- La fuente seria La Red que es Vulnerable y la probabilidad de riesgos Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

R- Los puntos ms vulnerables que podemos identificar son el de la Red y el de no constar con una contrasea usuario en el computador.

Proteccin de los activos. R- Los activos de informacin y los equipos informticos son recursos importantes y vitales de nuestra Compaa. Sin ellos nos quedaramos rpidamente fuera del negocio y por tal razn la Presidencia y la Junta Directiva tienen el deber de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la informacin y los sistemas informticos estn apropiadamente protegidos de muchas clases de amenazas y riesgos tales como fraude, sabotaje, espionaje industrial, extorsin, violacin de la privacidad, intrusos, hackers, interrupcin de servicio, accidentes y desastres naturales. - Los computadores de la Compaa slo deben usarse en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos. Esas medidas deben estar acorde a la importancia de los datos y la naturaleza de riesgos previsibles.

-Los equipos de la Compaa slo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos. Debe respetarse y no modificar la configuracin de hardware y software

establecida por el Departamento de Informtica - No se permite fumar, comer o beber mientras se est usando un PC. Deben protegerse los equipos de riesgos del medioambiente (por ejemplo,

polvo, incendio y agua). Deben usarse protectores contra transitorios de energa elctrica y en los

servidores deben usarse fuentes de poder ininterrumpibles (UPS). - Cualquier falla en los computadores o en la red debe reportarse inmediatamente ya que podra causar problemas serios como prdida de la informacin o indisponibilidad de los servicios. - Deben protegerse los equipos para disminuir el riesgo de robo, destruccin, y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y cerradura con llave. - Los equipos deben marcarse para su identificacin y control de inventario. Los registros de inventario deben mantenerse actualizados. - No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la Compaa se requiere una autorizacin escrita. La prdida o robo de cualquier componente de hardware o programa de

software debe ser reportada inmediatamente.

R- Para tomar medidas efectivas frente a la criminalidad, es esencial construir una proteccin integral de seguridad: Esto incluye no solo los dispositivos y medidas fsicas, sino una contnua conciencia sobre la seguridad aplicada al personal y a la informacin. Este es un punto sensible, ya que es muy factible que usted pueda menguar los efectos de intrusos y gente que quiera causar dao infiltrndose en su organizacin, slo es necesario tomar medidas de seguridad que mantengan un amplio espectro de lo que debe ser visible a los ojos de una planeacin completa. 1. identifique sus vulnerabilidades y construya un inventario de riesgos basado en las amenazas ms probables que podran presentrsele y sus caractersticas. 2. Si usted est empezando o incorporando nuevos elementos en su organizacin, trate de considerar la planeacin de seguridad desde un principio. Esto har que el proceso sea ms efectivo y econmico que aadir medidas posteriores.

3. Haga que la conciencia sobre seguridad haga parte de su cultura organizacional y asegrese de que este tema est representado en dentro de los mandos directivos de la empresa.

4. Asegrese de incluir en sus premisas la adecuacin que permita tener las reas pblicas despejadas y libres de mobiliario innecesario y de crear espacios abiertos en las zonas verdes.

5. Mantenga los puntos de acceso con el personal exclusivamente necesario. En lo posible no permita que vehculos no autorizados lleguen cerca a sus instalaciones.

6. Instale las medidas fsicas de control que sean necesarias, tales como cerraduras, candados, alarmas, CCTVs e iluminacin.

7. Examine sus procedimeintos de manejo de correspondencia y considere establecer una sala de correos lejos de los archivos o equipos importantes de su empresa.

8. Cuando reclute personal o incluya contratistas, revise identidades y haga

el

seguimeinto

de

referencias.

9. Contemple la mejor manera de proteger su informacin y tome un plan de precauciones idneo de seguridad de TI (Tecnologas de la Informacin). 10. Planee y evale sus planes de continuidad, asegurndose de que en caso de siniestro usted pueda seguir funcionando en caso de no tener acceso a sus archivos o equipos de TI.

propuestas a la administracin diaria y a las prcticas de soporte. R- Se debe validar y la consistencia de los elementos de la informacin en este

almacenados y procesados en el sistema informtico. Basndonos

principio, las herramientas de seguridad informtica deben asegurar que los procesos de actualizacin estn sincronizados y no se dupliquen de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es particularmente importante en sistemas descentralizados es decir, aquellos en los que comparten la misma informacin diferentes usuarios, computadores y procesos