UNIVERSIDAD ABIERTA Y A DISTANCIA DE MÉXICO

INGENIERÍA EN DESARROLLO DE SOFTWARE

ASIGNATURA: SEGURIDAD DE LA INFORMÁTICA

UNIDAD I: PRINCIPIOS DE LA SEGURIDAD

INFORMÁTICA

ACTIVIDAD 1: PRINCIPIOS DE LA PROTECCIÓN DE

LOS SISTEMAS DE INFORMACIÓN FASE 1

ALUMNO: SERGIO VARGAS OLIVARES

DOCENTE:

División de Ciencias Exactas, Ingeniería y Tecnología

Propósito:

En esta actividad identificarás los recursos o activos involucrados en un caso de sistema

informático que deba protegerse, para evaluar los riesgos asociados a éste e identificar las
medidas de seguridad pertinentes. Selecciona un caso de seguridad informática a tu alcance,
puede ser del lugar donde laboras u otro que investigues en fuentes a tu alcance.

Instrucciones:

1.- Identifica los activos con los que cuenta el sistema informático que se protegerá.

2.- Analiza los riesgos asociados a cada situación presentada.

3.- Ejemplifica la tríada de la seguridad informática.

4.- Menciona el tipo de medida de seguridad para la protección de los activos, exponiendo:

a) Nivel de seguridad que se requiere

b) Beneficios al aplicar las medidas de seguridad

5.- Ejemplifica, las actividades del área informática en relación con la seguridad de un sistema
informático y explica en qué consisten:

• Análisis y diseño de sistemas

• Programación
• Funcionamiento de sistemas
• Codificación de datos
• Captura de datos
• Operación de sistemas
• Control de documentos fuente
• Control de documentación de sistemas
• Control de inventarios y suministros informáticos
• Control de resultados
• Mantenimiento de equipos
Introducción:

Se puede interpretar como seguridad de la informática al proceso de prevenir y detectar el uso

incorrecto o no autorizado de un sistema informático o de los datos que este mantiene. La
seguridad informática abarca una serie de medidas de seguridad, tales como programas de
software de antivirus, firewalls, y otras medidas que dependen del usuario y de sus privilegios,
tales como la activación de la desactivación de ciertas funciones de software, como scripts de
Java, ActiveX, cuidar del uso adecuado de la computadora, los recursos de red o de Internet.

Desarrollo:

Para esta actividad he decidido analizar Microsoft Dynamics 365, el cual es un CRM que el
gobierno del Estado de México utiliza en muchos de sus procesos de recaudación y servicios
por Internet.

Los activos con los que cuenta este sistema son los siguientes:

Hardware Software
• Servidores HP ProLian DL360 • Windows Server 2016
Gen-9 para almacenar la apli- • SQL Server 2016
cación. • Dynamics 365
• Servidores HP ProLian DL380
Gen-9 para la administración
de las bases de datos.
• Equipos de escritorio (PC) que
los usuarios utilizan como
clientes.
• Impresoras Laser Jet M606

Además, existen otros recursos para general la comunicación entre los diferentes dispositivos,
como son:

• Router’s
• Switche’s
• Cuarto de comunicaciones (SITE)
• Etc.

En el caso de los usuarios, estos están divididos en tres grandes grupos, los cuales son:

Administrador
Este tipo de usuario puede:
• Iniciar tareas.
• Cancelar tareas.
• Finalizar tareas.
• Generar informes
• Re asignar tareas.
Usuarios
Gerente Usuario
Este tipo de usuario solo Este usuario solo puede:
puede:
• Iniciar tareas
• Iniciar tareas
• Finalizar tareas
• Generar informes
Riesgos asociados a cada situación presentada:

Los ataques más utilizados en contra de un sistema informático son los troyanos, los gusa-
nos y la suplantación, pero en mi experiencia la mayoría de los riesgos son propiciados por el
mal uso que los usuarios dan a la información o a los sistemas que la recolectan.

Para minimizar los riesgos se han considerado tareas o procesos como los que se describen
a continuación:

• Software legal: en el caso de utilizar software comercial se busca la manera de garanti-

zar que este tipo de software sea instalado de manera completamente legas, es decir
sin cracks, keygens, parches, etc.
• Programas de seguridad: programas que son capaces de detectar vulnerabilidades que
puedan afectar el uso de los sistemas.
• Firewall’s: los firewalls ayudan con el bloqueo de usuarios no autorizados que intentan
acceder a tu computadora o tu red, así como a evitar el uso de programas o paginas
que puedan robar información.
• Contraseñas: las contraseñas deben constar de varios caracteres especiales, números
y letras, esto con la finalidad de hacer mas complejo o imposible su vulnerabilidad.
• Firmas digitales: juega un papel importante en mantener nuestra información sensible,
segura ya que si se llegara a alterar el documento la firma no coincide por lo que clara-
mente se podría indicar que el documento en cuestión ha sido alterado.

Triada de la seguridad informática:

El principal objetivo de la seguridad informática es asegurar que todos los agentes de un sis-
tema de información de la organización sean usados únicamente para el fin con el que fueron
creados.

Lo que hace la seguridad informática es buscar los riesgos que tienen que ver con la informá-
tica, como amenazas y vulnerabilidades del sistema de información que se quiere proteger, en
lo que recaen los tres principios de la seguridad que son: la confidencialidad, la integridad y la
disponibilidad. Existen cinco elementos básicos de la seguridad en materia informática, sólo
con los tres antes mencionados se arma el triángulo de la seguridad.
Confidencialidad: el acceso al sistema está limitado a usuarios autorizados, es decir, evita que
la información clasificada pueda ser revelada intencionalmente o no a alguien que no tiene
acceso a ello. La pérdida de información se puede dar por un mal uso del control acceso a
usuarios.

Integridad: La información sólo puede ser borrada o modificada por usuarios autorizados. La
integridad asegura que no se realizan modificaciones no autorizadas de datos por personal o
procesos no autorizados.

Disponibilidad: El acceso a la información se da en un tiempo razonable a los usuarios autori-

zados, es decir la información está disponible cuando se le necesita.

Tipo de medida de seguridad para la protección de los activos:

Nivel de seguridad que se requiere

• Nivel 2.- Administración de la seguridad en las organizaciones: políticas de operación.

• Nivel 3.- Seguridad física: controles de acceso y seguridad de equipos.
• Nivel 4.- Seguridad en hardware: Controles de identificación o autentificación.
• Nivel 5.- Seguridad en software: controles lógicos.

Beneficios al aplicar las medidas de seguridad

El buen uso de los procedimientos de seguridad que se garantiza la integridad de la informa-

ción y el correcto funcionamiento de los sistemas en conjunto con un buen programa de man-
tenimiento de estos ofrece un ambiente informático que prácticamente está cubierto para cual-
quier eventualidad que se pueda presentar.

Ejemplifica, con base en un caso, las actividades del área informática en relación con la
seguridad de un sistema informático:

• Análisis y diseño de sistemas: un buen levantamiento de requerimientos y un diseño

robusto no garantizan la seguridad, pero facilitan el trabajo de aplicar las normas y pro-
cedimientos de seguridad que se requieren, así como crear un plan de contingencia
• Programación: la aplicación de estándares a la hora de generar código, además de apli-
car los procesos de PSP y TSP permitirán un código limpio de fácil mantenimiento, esto
promueve que sea más seguro el sistema.
• Funcionamiento del sistema: se debe de garantizar que el sistema tenga un funciona-
miento óptimo en base a diversas pruebas de funcionamiento y de “estrés”.
• Codificación de datos: emplear técnicas de encriptación para garantizar la confidencia-
lidad de los datos.
• Captura de datos: la validación de los datos a ingresar al sistema debe de pasar por una
serie de validaciones para evitar que este reciba información o datos incongruentes que
puedan generar alguna problemática.
• Operación de sistemas: se debe de integrar una correcta capacitación del personal que
usara el sistema.
• Control de documentos fuente: no aplica
• Control de documentación de sistemas: creación de un archivo documental en el cual
se ingresan todos los cambios o adiciones que se hacen al sistema, esto para una fácil
consulta y comprensión por parte de futuros administradores del sistema.
• Control de inventarios y suministros informáticos: se lleva un control minucioso de los
equipos y consumibles para evitar fuga de información o el mal uso de los suministros.
• Control de resultados: se garantiza que el sistema entrega los resultados solicitados en
las diversas operaciones de facturación y cálculo de tarifas.
• Mantenimiento de equipos: establecer un plan de mantenimientos periódicos a los equi-
pos teniendo como mínimo un lapso de 6 meses entre cada mantenimiento.
Bibliografía:

UnADM. (2018). Unidad 1: Principios de la seguridad informática. 30 de septiembre de 2019,

de UnADM Sitio web:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/Bloque2/DS/08/DSEI/recur
sos/recursos-
contenido/U1/U1_CONTENIDOS/Unidad_1_Principios_de_la_seguridad_informatica_2018.p
df

Raul Mejia. (2018). ¿QUÉ ES LA TRIADA DE SEGURIDAD O CIA TRIAD? Y POR QUÉ
DEBERÍA INTERESARTE. 30 de septiembre de 2019, de Smartekh Sitio web:
https://blog.smartekh.com/que-es-la-triada-de-seguridad-o-cia-triad-y-por-que-deberia-
interesarte