Actividad Desescolarizada Viernes 18 de Octubre

A. Defina los siguientes términos; vulnerabilidad, ataque, amenaza, riesgo, impacto y

desastre. para cada termino genere un mapa mental. 60 min I

B. En el equipo definido por su instructor comparta y explique su mapa mental, después

escuche las creaciones de sus compañeros. Ahora genere en equipos el mapa mental de
los seis términos (utilizando la cartulina que facilitara el 60 min E

C. Como equipo consulten en internet una noticia actual donde se evidencie cada uno de los
términos y generen un documento Word con el resume y un posterior análisis de impacto
económico de cada afectación (recuerde citar referenciando con normas APA). 120 min E

D. Defina: seguridad de la información y seguridad informática, genere una representación

grafica de cada termino y compárelos. Apóyese en ejemplos encontrados en noticias (por
lo menos dos) 90 min I

E. Apoyado en las noticias generadas en el inciso c, realice por cada noticia un análisis si lo
presentado es seguridad de la información o seguridad informática. 60 min E

F. Realice una presentación sobre los referentes internacionales (normas, frameworks, entre
otros de seguridad de la información), Tenga en cuenta el alcance, la entidad que lo aval,
su porción de mercado, entre otros. 90 min E

G. Consulte y apoyado en una cartelera explique los tres principios de la seguridad de la

información (utilice ejemplos cotidianos 90 min I

H. Para cada uno de los principios de la triada de la seguridad de información consulte una
noticia actual, genere un análisis de los impactos causados (de diversos tipos). El instructor
orientara la dinámica "el periodista soy yo " 120 min E

Desarrollo

D. Seguridad de la información: I

En la Sección de seguridad de la información debemos aclarar una serie de conceptos par

un mayor aprovechamiento de la gran información de la que consta. Aquí encontramos las
más importantes:

 Acceso a datos por cuenta de terceros: Persona física o jurídica, autoridad pública,
servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate
datos personales por cuenta del responsable del tratamiento. Este tratamiento
por terceros sólo puede realizarse conforme a las instrucciones recibidas por el
responsable de tratamiento. Esta puesta en conocimiento de los datos personales
para la prestación de un servicio no se considera comunicación o cesión de datos.

 Accesos autorizados: Autorizaciones concedidas a un usuario para la utilización de

los diversos recursos, sin que pueda utilizarlos para fines propios.

 Activos: Cualquier cosa que necesite protección por lo que representa para una
empresa, frente a una situación de pérdida de la confidencialidad, integridad o
disponibilidad.

 Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de

ocurrencia.

 Análisis de los Riesgos: proceso sistemático para identificar y estimar la magnitud

del riesgo sobre un sistema de información.

 Autenticación: Procedimiento de comprobación de la identidad de un usuario

(contraseña de cada usuario).

 Afectado o interesado: Persona física titular de los datos personales que se

incluyan en ficheros automatizados o manuales.
  Bloqueo de datos: La identificación y reserva de los datos (un registro o varios
registros) con el fin de impedir su tratamiento. El bloqueo puede producirse por
nuestra propia iniciativa o a instancia del afectado.

 Código de usuario: Información no confidencial, frecuentemente constituida por

una cadena de caracteres previamente establecida, que se usa para identificar al
usuario.

 Comunicación o cesión de datos: Toda revelación de datos realizada por el

responsable del Fichero (cedente) a una persona física o jurídica (cesionario)
distinta del afectado con el previo consentimiento del interesado dentro del
territorio nacional pudiendo hacer uso de los mismos para fines propios.

 Confidencialidad: Propiedad que la información no esté disponible o pueda ser

descubierta por usuarios no autorizados, entidades o procesos.

 Consentimiento del interesado: Es el fundamento básico de toda la protección de

datos personales, ya que con ello se garantiza la intimidad y la privacidad de las
personas físicas, entendiéndose como tal consentimiento toda manifestación de
voluntad, libre, inequívoca, específica e informada, mediante la que el afectado o
interesado consiente el tratamiento de datos personales que le conciernen.

Se considera consentimiento tácito aquel derivado de una comunicación informativa al

afectado indicando en la misma el tratamiento e inclusión de sus datos personales en un
fichero y dicho afectado no ha expresado su negativa.

Se considera consentimiento expreso el otorgado en cualquiera de las formas admisibles

en Derecho siempre y cuando pueda ser demostrada su concesión, siendo requisito
imprescindible para su validez que no se recabe por medios fraudulentos, desleales o
ilícitos.

Se considera consentimiento expreso y por escrito aquel cuya firmeza debe de constatarse
bajo criterios inequívocos y formales, dejando fuera de toda duda su otorgamiento.
Contraseña: Información confidencial, frecuentemente constituida por una cadena de
caracteres, que es usada para la autenticación de un usuario.

 Control de acceso: Mecanismo que en función de la identificación y la

autenticación permite conocer los accesos a datos o recursos.

 Copia de respaldo o de seguridad: Copia de los datos de un fichero automatizado

en un soporte que posibilite su recuperación.

 Datos de carácter personal: Cualquier información concerniente a personas físicas

identificadas e identificables.

En principio, cualquier agrupamiento de datos personales partiendo de un solo identificador (Ej.:

nombre, DNI, NIF, número de pasaporte o Seguridad Social, número de matrícula dentro de la
empresa, número de proveedor, número de cliente, etc.) junto con otro u otros identificadores de
carácter personal, incluidos los referidos, está sujeto a la aplicación de la legislación de protección
de datos de carácter personal y consecuentemente a las instrucciones técnicas que componen el
Documento de Seguridad de la empresa, y en cualquier otra normativa interna.

 Disponibilidad: Propiedad de ser accesible y usable bajo demanda por una entidad
autorizada.

 Encargado de Tratamiento: La persona física o jurídica, autoridad pública, servicio o

cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento.

 Fichero: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la
forma o modalidad de su creación, almacenamiento, organización y acceso.

 Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por
cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su
caso, el abono de una contraprestación.
Exclusivamente tienen la consideración de fuentes de acceso público el censo, los repertorios
telefónicos en los términos previstos por su normativa específica y las listas de personas
pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título,
profesión actividad, grado académico, dirección e indicación de su pertenencia al grupo. Así
mismo tienen el carácter de fuentes de acceso público, los Diarios y Boletines oficiales y los
medios de comunicación.

 Gestión de los Riesgos: selección e implantación de salvaguardas para conocer, prevenir,

impedir, reducir, controlar o transferir los riesgos identificados.

 Identificación del afectado: Cualquier elemento que permita determinar directa o

indirectamente la identidad física o antropométrica, fisiológica, psíquica, económica,
cultural o social de la persona afectada.

 Identificación del usuario: Procedimiento de reconocimiento de la identidad de un usuario

(código de usuario).

 Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

 Integridad: Propiedad de salvaguardar la precisión y completitud de los recursos.

 Procedimiento de disociación: Todo tratamiento de datos personales de modo que la

información que se obtenga no pueda asociarse a persona identificada o identificable.

 Método PDCA: (Plan, Do, Check; Act) Esta metodología consta de cuatro fases, cuya
finalidad es conseguir que una organización aplique la mejora de forma continua,
incrementado la calidad y la productividad. Las cuatro fases son: (Plan, Do, Check, Act)
(planificar, hacer, verificar y actuar).

 Recurso: Cualquier parte componente de un sistema de información (hardware y

software).

 Responsable del fichero (RF): El responsable del fichero es la persona física o jurídica, de
naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad,
contenido y usos del tratamiento.

 Responsable de Seguridad (RS): Es la persona o personas nombradas por la Gerencia, que

dentro de la estructura de la organización, actúa como responsable de implantar,
coordinar y controlar las medidas técnicas necesarias, de seguridad informática y de
comunicaciones, para el cumplimiento de la LOPD, del RMS, decretos sobre protección de
datos, instrucciones o resoluciones de la AEPD y de cualquier otra normativa externa o
interna sobre este tema.

 Riesgo: Es la posibilidad que una amenaza pueda causar cierto impacto negativo en un
activo determinado que presenta una vulnerabilidad a dicha amenaza.

 Riesgo residual: El riesgo remanente luego de una amenaza a la seguridad.

 Sistema de comunicaciones: Procedimientos electrónicos de redes de comunicaciones que

realizan el envío/recepción de datos, tanto local como externamente.

 Sistema de Información: Conjunto de ficheros automatizados, programas, soportes y

equipos empleados en el almacenamiento y tratamiento de datos de carácter personal.

 Soporte: Objeto físico susceptible de ser tratado en un sistema informático y sobre el cual
se pueden grabar o recuperar datos (cintas, discos, CD, diskettes, pen-drive, etc.).

 Transporte de datos: El trasiego de datos entre sistemas informáticos por cualquier medio
de transmisión, así como el envío físico de datos por correo o por cualquier otro medio
convencional.

 Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o

no, que permitan la recogida, grabación, impresión, conservación, elaboración,
evaluación, modificación, bloqueo y cancelación, así como las cesiones de datos que
resulten de comunicaciones, consultas, interconexiones y transferencias.
  Usuario: Cualquier persona interna o externa que acceda a datos personales.

 Vulnerabilidades: puntos débiles del equipamiento, aplicaciones, personal y mecanismos

de control que facilitan la concreción de una amenaza.

Seguridad de la informática:
La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad
de la información almacenada en un sistema informático. De todas formas, no existe ninguna
técnica que permita asegurar la inviolabilidad de un sistema.

Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de
software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las
amenazas pueden proceder desde programas dañinos que se instalan en la computadora del
usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e
ingresan a distintos sistemas).

En el caso de los virus hay que subrayar que en la actualidad es amplísima la lista de ellos que
existen y que pueden vulnerar de manera palpable cualquier equipo o sistema informático. Así,
por ejemplo, nos encontramos con los llamados virus residentes que son aquellos que se
caracterizan por el hecho de que se hallan ocultos en lo que es la memoria RAM y eso les da la
oportunidad de interceptar y de controlar las distintas operaciones que se realizan en el
ordenador en cuestión llevando a cabo la infección de programas o carpetas que formen parte
fundamental de aquellas.

De la misma forma también están los conocidos virus de acción directa que son aquellos que lo
que hacen es ejecutarse rápidamente y extenderse por todo el equipo trayendo consigo el
contagio de todo lo que encuentren a su paso.

Los virus cifrados, los de arranque, los del fichero o los sobreescritura son igualmente otros de los
peligros contagiosos más importantes que pueden afectar a nuestro ordenador.

Entre las herramientas más usuales de la seguridad informática, se encuentran los programas
antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas
(passwords).

Herramientas todas ellas de gran utilidad como también lo son los conocidos sistemas de
detección de intrusos, también conocidos como anti-spyware. Se trata de programas o
aplicaciones gracias a los cuales se puede detectar de manera inmediata lo que son esos
programas espías que se encuentran en nuestro sistema informático y que lo que realizan es una
recopilación de información del mismo para luego ofrecérsela a un dispositivo externo sin contar
con nuestra autorización en ningún momento. Entre este tipo de espías destaca, por ejemplo,
Gator.
Un sistema seguro debe ser íntegro (con información modificable sólo por las personas
autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios
autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y tener buena
disponibilidad (debe ser estable).

De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue siendo la
capacitación de los usuarios. Una persona que conoce cómo protegerse de las amenazas sabrá
utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes.

En otras palabras, puede decirse que la seguridad informática busca garantizar que los recursos de
un sistema de información sean utilizados tal como una organización o un usuario lo ha decidido,
sin intromisiones.

E. NOTICIA analisis E

Filtración de datos en Ecuador: la "grave falla informática" que

expuso la información personal de casi toda la población del país
sudamericano
https://www.bbc.com/mundo/noticias-america-latina-49721456
16 septiembre 2019
No contaba con los protocolos de protección necesarios
sería la mayor filtración en línea de información personal en la historia del país
sudamericano
vpnMentor
Se trata de 18 GB de datos distribuidos en una variedad de archivos y que incluía
nombres, información financiera y datos civiles de hasta 20 millones de persona
Además de los datos de identidad básicos, los archivos expuestos incluían:
números oficiales de identificación del gobierno
números de teléfono
registros familiares
fechas de matrimonio
historias educativas
registros de trabajo
El caché de información también incluía algunos registros financieros que contaban los
saldos de las cuentas de los clientes de un gran banco ecuatoriano, según la firma de
seguridad informática.
Mientras, los registros de impuestos, incluidos los números de identificación de ingresos
oficiales de las empresas, se encontraron en otro archivo
Pone en riesgo a las personas de robos de identidad y fraudes financieros las compañías
podrían estar en en riesgo de espionaje comercial y fraude un servidor en Miami
administrado por Novaestrat fue atacado, a través de un escaneo ip de puertos para
buscar vulnerabilidades en el sistema y se encontró una base de datos abierta, dando
como resultado la extracción o filtración de información de más de 17 millones de
personas

ANALISIS PRACTICO
seguridad de la información

Esta noticia tiene los principios fundamentales de la seguridad de la información CIA,

tiene perdida de la confidencialidad (mala práctica de protocolos de protección) ,ausencia
de la integridad puesto que afecta el sistema monetario teniendo acceso a estos; y la
accesibilidad son la gran variedad de archivos en los cuales puedes afectar y eliminar mis
activos.
F. NORMAS, FRAMEWORKS DIAPOSITIVA E

G. los tres principios de la seguridad de la información I

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y
procesados en un sistema informático, basándose en este principio, las herramientas de seguridad
informática deben proteger el sistema de invasiones y accesos por parte de personas o programas
no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir,
aquellos en los que los usuarios, computadores y datos residen en localidades diferentes, pero
están física y lógicamente interconectados.

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y

procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad
informática deben asegurar que los procesos de actualización estén bien sincronizados y no se
dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos
datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que
diferentes usuarios, computadores y procesos comparten la misma información.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados

y procesados en un sistema informático. Basándose en este principio, las herramientas de
seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de
actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que
requieran, este principio es importante en sistemas informáticos cuyos compromiso con el
usuario, es prestar servicio permanente

Cotidianos: los riesgos en una empresa se deben atender lo mas rapido posible para evitar
situaciones de robo de informacion, los ataques hackers como otros son muy peligrosos para una
organizacio.
existen algunas riesgos como;
-La ausencia de un colaborador del equipo de TI: son funcionarios claves.
-Tener respaldo en cinta de forma inadecuada: es una forma de guardar la informacion para
cuando se requiera.

H. E
INTEGRIDAD DE LOS DATOS

Miles de equipos fueron infectados y sus archivos fueron encriptados en muchas

empresas por un ransomware

 Fallas por sistema operativos desactualizados y/o obsoletos

 Abrir correos de dudosa procedencia
 Ejecutar archivos desconocidos o instalaciones de programas

https://computerhoy.com/noticias/software/rapid-ransomware-nueva-amenaza-que-encripta-
archivos-tu-pc-74859

DISPONIBILIDAD DEL SISTEMA

Facebook ha sido víctima de un coordinado ataque de hackers, a pesar de la interrupción más

grave en la historia de la empresa que mantuvo a los usuarios bloqueados por más de 14 horas
  Este probablemente fue por un ataque DDoS, denegación de servicios.

La inactividad del servicio por 14 horas genera un caos frente a los usuarios, especulaciones.

https://codigooculto.com/2019/03/que-causo-la-caida-de-facebook-red-social-niega-que-se-trate-
de-un-ataque-de-hackers/

CONFIDENCIALIDAD

El sistema informático de la Policía federal Argentina fue hackeado y se hicieron públicos datos
sobre investigaciones criminales e información clasificada.

 Es preocupante para los ciudadanos que son afectados indirectamente al hacer públicos
información clasificada, donde pueden ser expuestos familiares, vecinos y amigos por este
incidente.

https://www.eldia.com/nota/2019-8-13-2-32-12-investigaciones-criminales-e-informacion-
confidencial-a-la-vista-por-un-hackeo-a-la-federal-informacion-general