ANALISIS DE REQUISITOS MÍNIMOS DE SEGURIDAD

INFORMÁTICA
Responsable de la Seguridad Informática: El Directorio u
Órgano Equivalente aprobara para uso obligatorio de la
entidad, la estrategia, Políticas y Normas de Seguridad
informática, es responsabilidad del directorio u Órgano
Equivalente responsable de tener formalizados por escrito
actualizados e implementados las políticas, normas y
procedimientos ser aplicados en la administración y control
de los sistemas de información y su tecnología que la
soporta la estrategia, las políticas, normas y
procedimientos podrán ser solicitadas para su revisión,
cuando la entidad así lo quiera.

Características y criterios de la Información: los datos

que administren las entidades, deben contener un alto grado
de seguridad para cumplir con los objetivos de control y
criterios básicos de información los criterios básicos se
describen a continuación.

 Confiabilidad: Proveer información apropiada y

confiable para el uso de las entidades.

la información debe ser confiable para los usuarios de

manera que puedan tomar decisiones basados en ella.

Y que el sistema funcione tan como debe ser, el sistema

debe brindarnos una información apropiada, segura y
confiable.

 Confidencialidad: Protección de información sensible

para que no se divulgue sin autorización.

La confidencialidad consiste en asegurar que sólo el personal autorizado accede a la

información que le corresponde, de este modo cada sistema automático solo podrá usar los
recursos que necesita para ejercer sus tareas, para garantizar la confidencialidad se recurre
principalmente a tres recursos:

1. Autenticación de usuarios: Sirve para identificar qué quién accede a la información es

quien dice ser.
2. Gestión de privilegios: Para los usuarios que acceden a un sistema puedan operar sólo
con la información para la que se les ha autorizada y sólo en la forma que se les
autorice, por ejemplo, gestionando permisos de lectura o escritura en función del
usuario.
3. Cifrado de información: Según Costas Santos (2011), el cifrado también denominado
encriptación, evita que ésta sea accesible a quién no está autorizado, para ello se
 transforma la información de forma inteligible a una no legible y es aplicable tanto a la
información que esté autorizado para ello como para la que no lo está, sólo mediante
un sistema de contraseñas puede extraerse la información de forma inteligible y es
aplicable tanto a la información que está siendo transmitida como a la almacenada.
Los principios de confidencialidad no solo deben aplicarse para proteger la
información sino todos aquellos datos e información de los que sea responsables. La
información puede tener carácter confidencial no solo por ser de alto valor para la
organización, sino por ejemplo porque puede estar amparada por legislación de
protección de datos de carácter personal, un ejemplo de violación de la
confidencialidad son las filtraciones sufridas por entidades bancarias, grandes
empresas y gobiernos para exponer públicamente algunas de sus actividades.
 Integridad: Se refiere la exactitud y suficiencia de
la información, así como su validez de acuerdo con los
valores y expectativas de la actividad de la entidad.

Es el segundo pilar de la seguridad, consiste en asegurarse de que la información no se pierde

ni se ve comprometida voluntaria e involuntariamente, el hecho de trabajar con información
errónea puede ser tan nocivo para las actividades como perder la información, de hecho, si la
manipulación de la información es lo suficientemente sutil puede causar que se arrastre una
cadena de errores acumulativos y que sucesivamente se tome decisiones equivocadas. Para
garantizar la integridad de la información se debe considerar lo siguiente:

1. Monitorear el tráfico de red para descubrir posibles intrusiones.

2. Auditar los sistemas para implementar políticas de auditorías que registre quien hace que,
cuando y con qué información.

3. Implementar sistemas de control de cambios, algo tan sencillo como por ejemplo
comprobar los resúmenes de los archivos de información almacenados en sistema para
comprobar si cambian o no.

4. Como otro recurso se tiene las copias de seguridad, que en caso de no conseguir impedir
que se manipule o pierda la información permitan recuperarla en su estado anterior.

 Disponibilidad: Oportunidad de la información, cuando

sea requerida. Eñ sistema que se maneja no son
totalmente automatizadas..

Para poder considerar que se dispone de una seguridad mínima en lo que a la información
respecta, se tiene a la disponibilidad, de nada sirve que solo el usuario acceda a la información
y que sea incorruptible, si el acceso a la misma es tedioso o imposible, la información para
resultar útil y valiosa debe estar disponible para quien la necesita, se debe implementar las
medidas necesarias para que tanto la información como los servicios estén disponibles, por
ejemplo un ataque distribuido de denegación de servicio o DDoS puede dejar inutilizada una
tienda online impidiendo que los clientes accedan a la misma y puedan comprar.
Ogro ejemplo de perdida de disponibilidad sería que la dirección de correo electrónico sea
utilizada para lanzar campañas de spam y en consecuencia añadida a listas negras, impidiendo
que ninguno de los destinarios de los emails legítimos los reciba. Para este propósito se
implementan políticas de control como:

• El acuerdo de nivel de servicio o (SLA).

• Balanceadores de carga de tráfico para minimizar el impacto de DDoS.

• Copias de seguridad para restauración de información perdida.

• Disponer de recursos alternativos a los primarios.

La información y sistemas son seguros si sólo accede a la información y recursos quién debe, sí
se puede detectar y recuperar de manipulaciones voluntarias o accidentales de la información
y si se puede garantizar un nivel de servicio y acceso a la información aceptable según las
necesidades. Carpentier (2016), indica que el uso de sistemas de información implica
establecer normas y procedimientos aplicados al uso y sistemas de información ante posibles
amenazas como:

• Elaborar varias normas y procedimientos.

• Definición de acciones que deben emprender las personas.

• Definición del perímetro que se va a afectar

 Efectividad: Adecuada información para desarrollar las

actividades de las entidades.

 Eficiencia: Proveer información suficiente a través

del uso de los recursos de la mejor manera posible.

Facilitar toda la información necesaria a través del uso de

los recursos de la entidad. Por ej la información
financiera.

Tiempo y calidad..

 Cumplimiento: Debida atención a las leyes,

regulaciones y acuerdos contractuales que la entidad
deben realizar.
Hacer cumplir las leyes, las reglas o normas emitidas y los
contratos que la entidad realiza.

Hay que cumplir todas las disposiciones.. son

caracteristicas que para q funsiones un buen sistema..

So evidentement esa unidad cumple con los requisitos..

Políticas, Normas y Procedimientos. - El área de

Tecnologías de la Información de las entidades, para
asegurar la continuidad operativa de esta, deberá tener
formalizado por escrito, implementadas y actualizadas, las
Políticas, normas y procedimientos de seguridad informática
para las áreas fundamentales de la función informática a
saber:

a) Gestión: Dirección, Planificación, control y

supervisión.
b) Operación: Procesos y tareas propias del área
informática.
c) Administración de Usuarios.
a) GESTION: la gestión o administración directiva,
deberá contener a lo menos, las políticas, normas y
procedimientos respecto a:
i. Plan Informático.
ii. Comité de informática.
iii. Comité Operativo del Área.
iv. Desarrollo y mantenimiento de sistemas.
v. Administración de contratos externos.

Un plan informático es una estrategia que articula todos los recursos en el área de

las Tecnologías de Información esto nos permiten a cualquier organización cumplir con
su Misión y Visión en el presente y en el futuro.

El comité de informática es el lugar en que se debaten los grandes asuntos de

la informática que afectan a toda la empresa y permiten a los usuarios conocer las
necesidades del conjunto de la organización

Desarrollo y mantenimiento del sistema, es aquel conjunto de tareas que tratan de

intentar garantizar el buen funcionamiento de los componentes físicos del sistema
La Administración de Contratos son las tareas que desempeñamos a diario para
mantener nuestros contratos en curso y asegurar que se cumplan de forma eficiente
y efectiva.

b) OPERACIONES: El área de operaciones deberá contener

a lo menos las políticas, normas y procedimientos.
i. Seguridad física de sala de servidores y el
entorno que lo rodea.
ii. Respaldos y recuperación de información.
iii. Registro de caídas de los sistemas o no
disponibilidad de servicios que afecten la
atención normal al público.
iv. Administración de cintoteca interna y externa.
v. Control y políticas de administración de
antivirus.
vi. Administración de licencias de software y
programas.
vii. Traspaso de aplicaciones al ambiente de
explotación.
viii. Inventario de Hardware y software.
ix. Seguridad de redes.
- Características, topológicas y diagrama de la
red.
- Seguridad física de sites de comunicaciones.
- Seguridad y respaldo de enlaces.
- Equipos de seguridad y telecomunicaciones
- Seguridad de acceso a internet
c) ADMINISTRACIÓN DE USUARIOS: El área de
administración deberá contener a lo menos, las
Políticas, normas y procedimientos para:
i. Administración y privilegios de acceso a
sistemas.
ii. Administración y rotación de password.
iii. Asignación y responsabilidad de hardware y
software.
iv. Administración de estación de trabajo.
v. Uso de comunicaciones electrónicas.
vi. Administración y control de usuarios
Internet
Plan de Contingencias tecnológicas
Las entidades deberán tener formalizados por escrito
actualizado implementado y aprobado por Directorio u
Órgano Equivalente, un plan de contingencias
tecnológicas, el plan debe incluir al menos:
- Objetivo del plan de contingencias tecnológicas.
 - Metodología del plan de contingencias.
- Procedimientos de recuperación de operaciones
criticas
- Descripción de responsabilidades e
identificación de personal clave.
- Medidas de prevención.
- Recursos mínimos necesarios para la
recuperación.
- Convenios realizados para la recuperación.

Pruebas del Plan de Contingencias Tecnológicas.

Las entidades al menos 1 prueba al año del plan de

contingencias debiendo ser el resultado de esta exitosa en
toda su dimensión caso contrario la entidad deberá realizar
las pruebas que sean necesarias hasta cumplir con los
objetivos del plan de contingencias esta prueba se
realizara de acuerdo al cronograma que la entidad establece
y/o es autorizado una vez que el plan este implementado
formalmente, en esta prueba debe participar el Auditor
Interno

conclusión

La información es un recurso de suma importancia para la Empresa y se la debe

proteger a través de la implementación de las medidas de seguridad basadas en
hardware, software y recursos humanos, pero también complementadas con
adecuadas políticas de seguridad que sean conocidas por el personal de la
organización en todos sus niveles. El personal de la organización debe identificarse
plenamente con los objetivos de seguridad y protección que busca la Empresa.

La seguridad de la información es tarea de todos: del personal de la Empresa, de

los Socios, de los accionistas, de los clientes.