You are on page 1of 4

RIESGOS Y CONTROL INFORMATICO EN LAS ORGANIZACIONES

(Mayo 2015)

Tutor: Manuel Antonio Sierra Rodríguez
Escuela de Ciencias Básicas, Tecnología e Ingeniería, Universidad Nacional Abierta y a Distancia.
– UNAD Pedro Julio Beltrán, Carlos Alberto Bravo, Pablo Alexis Pineda

Resumen- En este artículo se tendrá en cuenta el resumen
de los trabajos colaborativos donde se han desarrollado
temas relacionado con las vulnerabilidades, las amenazas,
los riesgos informáticos, las probabilidades de ocurrencia
de estos, el impacto generado y la matriz de riesgo de
seguridad, problemas detectados y resultados obtenidos a la
hora de utilizar software especializado y sembrar
conciencia humana a quienes intervienen en los sistemas.
Palabras clave- vulnerabilidades, riesgos, seguridad,
software.
Abstract- This article summarizes the collaborative work
where they have developed themes related to
vulnerabilities, threats, computer risks, the probability of
occurrence of these, the impact generated and the risk
matrix security issues identified will be considered and
results obtained when using specialized software and
human consciousness sow those involved in the systems.

coordinación entre administradores de sistemas y gestores
de TI para enfrentarse a este tipo de casos.
PROBLEMA

A diario, las organizaciones deben estar preparadas y saber
reaccionar rápidamente ante un accidente informático
generado, que puede parar las actividades o la producción
de una empresa provocando un impacto negativo tanto
financiero como de imagen donde está comprobando que
muchas empresas que experimentan interrupciones sin
pronta alternativa o solución pueden no sobrevivir y
desaparecen del todo.
El problema de muchas empresas, también radica en la falta
de implantación de políticas de seguridad sobre la
administración de la seguridad de la información, por
desconocimiento o por falta de compromiso por parte de los
administrativos en hacer inversiones para proteger el activo
más importante de la empresa.

INTRODUCCION

Contextualizando temas vistos en el módulo como fue el
detectar vulnerabilidades, amenazas y riesgos en las
empresas pudimos darnos cuenta a través de una matriz de
riesgo el grado y la probabilidad de impacto que estos
riesgos marcan la pauta en las empresas y se reflejan en la
productividad y el rendimiento, unos son de tipo correctivo,
otros de tipo preventivo y otros de tipo detectivo. Estos
riesgo afectan directamente los activo informáticos que
tienen las empresas y se urge tomar medidas como
controles internos para mitigarlos, también es importante
gestionar todo el temas de la certificación como las normas
ISO 270001 que ayudan constantemente en la protección de
los datos y da un aspecto de ser empresa sólida y
fortalecida en el tema de la seguridad informática.
Es importante tener en las organizaciones a hoy un grupo
de atención y respuesta organizado para que actué cuando
algo en la empresa falle llámese ingreso de un intruso en la
red, un virus, y no se vean afectadas las actividades de la
continuidad del negocio, para llegar a conformar esto se
debe contar con la necesidad de cooperación y

Otras empresas hacen altas inversiones en seguridad de la
información pero el personal que administra la información
desconoce las normas y dejan los equipos expuestos a
personas externas que ponen en riesgo la información.
Es preciso indicar que no tampoco se acatan las normas
ISO relacionadas con la forma en que se establecen
criterios que permiten incorporar la seguridad informática a
una organización.
OBJETIVOS

Elaborar un manual, documento válido para cualquier
tipo de organización con instrucciones precisas de lo
que debe tener y hacer una organización ante una
eventualidad de accidente informático.

Preparar al personal de las organizaciones con
capacitaciones e inducciones sobre cómo reaccionar de
una forma idónea ante un impacto como este.

Realizar en el entorno organizacional simulacros de
hackeos, ataques de virus, etc para analizar y evaluar

la infraestructura. En este proceso se comienza a gestionar los riesgos identificados mediante la aplicación de los controles seleccionados y las acciones apropiadas por parte del personal definido y los recursos técnicos disponibles en función de la seguridad y las medidas administrativas. procesos y procedimientos de seguridad apropiados para gestionar el riesgo. Notamos los siguientes cuatro procesos:  Proceso de Planificación Tiene que ver con la realización del análisis y evaluación de los riesgos de seguridad y la selección de controles adecuados. registrado en EE. Un CSIRT es un equipo de expertos en seguridad de las TI cuya principal tarea es responder a los incidentes de seguridad informática. CSIRT significa Computer Security Incident Response Team (equipo de respuesta a incidentes de seguridad informática). pero abarcando también los equipos.  Proceso de Verificación Revisar y Evaluar el desempeño (eficiencia y eficacia) del Sistema de Gestión de seguridad de la información. METODOLOGIA RESULTADOS Uno de los resultados inmediatos es la caracterización del sistema informático mediante la conformación de un listado que contenga la relación de los bienes informáticos identificados y clasificados según su importancia. el uso de las aplicaciones.los comportamientos e impactos generados en el personal y de esta forma saber controlar y neutralizar el caos traumático que se crea. El CSIRT presta los servicios necesarios para ocuparse de estos incidentes y ayuda a los clientes del grupo al que atienden a recuperarse después de sufrir uno de ellos. quien allá por 1980 y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema. Tener a disposición un grupo conformado de expertos con funciones precisas para que actúen sobre cada área de trabajo dentro de la organización en caso de una eventualidad mayor para así mitigar y evitar incidentes graves y a proteger el patrimonio. los objetivos. con el fin de determinar las acciones que se ejecutaran en función de las necesidades detectadas y con ello establecer las políticas. El 10 de marzo de 2004 se creó una Agencia Europea de Seguridad de las Redes y dela Información (ENISA) Su objetivo era garantizar un nivel elevado y efectivo de seguridad de las redes y de la información en la Comunidad Europea y desarrollar una cultura de la seguridad de las redes y la información en beneficio de los ciudadanos.UU. . contribuyendo así al funcionamiento armonioso del mercado interior. En este proceso es importante los indicadores y métricas de la gestión. El documento se llamó: Computer Security Threat Monitoring and Surveillance. pero que por aquella época parecían ciencia ficción. En este documento se definen por primera vez en el contexto de seguridad informática. Comprende la aplicación de acciones correctivas y preventivas. Anderson. implementación y gestión del Sistema de Seguridad Informático.  Proteger los recursos de los sistemas informáticos. penetración (ataque exitoso). siendo prioritario la protección a la información. y es allí donde se sientan también las bases de palabras que hoy suenan como naturales. entre otros. basadas en los resultados del proceso anteriores. a través de evaluaciones periódicas de los sistemas. mejora y corrección del sistema de Gestión de Seguridad de la Información. vulnerabilidad.  Proceso de Actualización Mantenimiento. ataque. En esta Etapa se crean las condiciones para la realización del diseño. por el CERTCoordination Center (CERT/CC). sentando así bases importantes que siguen siendo importantes hoy en día.  Proceso de Implantación Garantizar una adecuada implementación de los controles seleccionados y la correcta aplicación de los mismos. los consumidores. lo que es una amenaza. para lo cual se realiza un estudio de la situación del sistema informático desde el punto de vista de la seguridad. El término CSIRT es el que se suele usar en Europa en lugar del término protegido CERT. FUNDAMENTOS TEORICOS Uno de los pioneros en el tema fue James P. riesgo. las empresas y las organizaciones del sector público de la Unión Europea. describe ahí la importancia del comportamiento enfocado hacia la seguridad en materia de informática.

Hernández.com/colombia/homeusers/securit y-info/glossary/ Robledo.pcworld. . recuperado el 05/08/2010 del sitio web http://www.es/entidades/ASIC/seguridad/353808norma lc. 2 Encaminamiento en redes de circuitos virtuales y de datagramas. F. http://www.html CONCLUSIONES Bustamante. pero por su actualidad. el 13 de Febrero.wikipedia. Hacer de esto una empresa más sólida.com/colombia/homeusers/securit y-info/glossary/ La importancia que representa para nosotros como ingenieros detectar fallas a tiempo en las empresas y controlarlas. F. 1. supervisen y dictaminen cual es el grado de seguridad informática que manejan las empresas con las que ellos trabajan ya que se manejan muchas operaciones y transacciones en líneas y para ellos es importantes que estén certificadas en normas que gestionan protección de datos como la ISO 27001.com/es/mx/theme. recuperado el 16/04/2011 del sitio web http://www. Se graduó del Colegio Departamental Mixto de Pitalito . Capaz de reaccionar a los incidentes relacionados con las TI y tratarlos de un modo centralizado y especializado. Glosario según panda.jsp?themeid=glosar io-de-seguridad Rios. recomendadas y con muy buen posicionamiento en el mercado competitivo.com/es/mx/theme. Glosario según panda.upv. recuperado el 15/03/2011 del sitio web http://www. recuperado el 05/08/2010 del sitio web http://www. M. sean conscientes que al realizar su labor. de forma provechosa por La economía de las empresas.htm Bustamante. Glosario Symantec. El nuevo enfoque de control interno puede verse un poco riguroso. recuperado el 24/05/2012 del sitio web http://www. de forma provechosa por La economía de las empresas. puede ser asimilado. K. fortalecida con una muy buena imagen ante sus clientes y obtener un mejor posicionamiento en el mercado competitivo.com. G. actualmente Instructor en el área de las TIC del Centro de Gestión y Desarrollo Sostenible Surcolombiano SENA Pitalito.symantec.delitosinformaticos.org/wiki/Encaminamiento Las nueve peores violaciones de seguridad digital del siglo 21 Escrito por PC World el 17 • Febrero • 2012 Disponible en: Robledo.delitosinformaticos.pandasecurity. 3 Clasificación de los métodos de encaminamiento.jsp?themeid=glosar io-de-seguridad Rios. Disponible en: http://es. Glosario Symantec. puedan detener los peligros de exponer sus datos y hacer que la empresa este en eminente peligro a través de un software de seguridad y otro elemento de protección. haciendo que su empresa sea menos vulnerable y adquiera más competitividad en el mercado laboral.html BIOGRAFIA Pedro Julio Beltrán Saavedra. Su experiencia profesional empezó en el año de 2000 en Instituto de educación no formal Electrocomputo (Pitalito). REFERENCIAS Métrica de la red. Debido a como se torna en la actualidad el incremento en los ataques informáticos a las empresas hace los preveedores y clientes. Es Tecnólogo en Sistemas e Ingeniero de Sistemas de la Universidad Nacional Abierta y a Distancia.info/delitos_informaticos/gl osario. G. se pretende que todos los actores de la empresa. recuperado el 16/04/2011 del sitio web http://www. Por otro lado el estar certificadas y tener estos controles o mecanismos las hace seguras.2 Mejor Ruta. (1970) nació en Pitalito Huila. recuperado el 24/05/2012 del sitio web http://www.html     El nuevo enfoque de control interno puede verse un poco riguroso. puede ser asimilado. Entre las áreas de interés están la Redes de datos y la seguridad informática. segura.Además. Si los empresarios son cada vez más conscientes de que invertir en seguridad es rentable.symantec. Términos sobre seguridad informática.pandasecurity. Delitos informáticos y seguridad en la red. pero por su actualidad.mx/Articulos/21454.info/delitos_informaticos/gl osario. K. se evitarían muchos problemas por dejar sus activos expuestos. Delitos informáticos y seguridad en la red.

cableado y asesoría informática. el 29 de Septiembre de 1974. Su experiencia profesional está enfocada al soporte técnico en el área de sistemas. y en la actualidad adelanta estudios de Especialización en Seguridad Informática. soporte. Se graduó de la Fundación Universitaria de San Gil Unisangil – Unab en Ingeniería de Sistemas. Actualmente laboro en una empresa de la región llamada COOHILADOS DEL FONCE en el área de sistemas administrando la red.Carlos Alberto Bravo Zúñiga. Pablo Pineda. Especialista en Informática Educativa en la Universidad UDES en el año 2010 y aspirante a Magíster Administración de la informática con la Universidad Norbert Wiener. Nació en Colombia – San Gil. se graduó en la Universidad Nacional Abierta y a Distancia UNAD. . como Ingeniero de Sistemas en el año 2005. Laboro como docente ocasional en las diferentes entidades estudiantiles de la región. Tengo una empresa de servicios enfocados al mantenimiento. el 6 de Agosto de 1978. Nació en Pitalito Huila. Su experiencia profesional inició en el año 2006 como docente y desde el año 2013 se desempeña como Instructor en el área de las TIC del Centro de Gestión y Desarrollo Sostenible Surcolombiano SENA de Pitalito.