Resumen- En este artículo se tendrá en cuenta el resumen

de los trabajos colaborativos donde se han desarrollado

temas relacionado con las vulnerabilidades, las amenazas,

los riesgos informáticos, las probabilidades de ocurrencia

de estos, el impacto generado y la matriz de riesgo de

seguridad, problemas detectados y resultados obtenidos a la

hora de utilizar software especializado y sembrar

conciencia humana a quienes intervienen en los sistemas.

Palabras clave- vulnerabilidades, riesgos, seguridad,

software.

Abstract- This article summarizes the collaborative work

where they have developed themes related to

vulnerabilities, threats, computer risks, the probability of

occurrence of these, the impact generated and the risk

matrix security issues identified will be considered and

results obtained when using specialized software and

human consciousness sow those involved in the systems.

INTRODUCCION

Contextualizando temas vistos en el módulo como fue el

detectar vulnerabilidades, amenazas y riesgos en las

empresas pudimos darnos cuenta a través de una matriz de

riesgo el grado y la probabilidad de impacto que estos

riesgos marcan la pauta en las empresas y se reflejan en la

productividad y el rendimiento, unos son de tipo correctivo,

otros de tipo preventivo y otros de tipo detectivo. Estos

riesgo afectan directamente los activo informáticos que

tienen las empresas y se urge tomar medidas como

controles internos para mitigarlos, también es importante

gestionar todo el temas de la certificación como las normas

ISO 270001 que ayudan constantemente en la protección de

los datos y da un aspecto de ser empresa sólida y

fortalecida en el tema de la seguridad informática.

Es importante tener en las organizaciones a hoy un grupo

de atención y respuesta organizado para que actué cuando

algo en la empresa falle llámese ingreso de un intruso en la

red, un virus, y no se vean afectadas las actividades de la

continuidad del negocio, para llegar a conformar esto se

debe contar con la necesidad de cooperación y

coordinación entre administradores de sistemas y gestores

de TI para enfrentarse a este tipo de casos.

PROBLEMA

A diario, las organizaciones deben estar preparadas y saber

reaccionar rápidamente ante un accidente informático

generado, que puede parar las actividades o la producción

de una empresa provocando un impacto negativo tanto

financiero como de imagen donde está comprobando que

muchas empresas que experimentan interrupciones sin

pronta alternativa o solución pueden no sobrevivir y

desaparecen del todo.

El problema de muchas empresas, también radica en la falta

de implantación de políticas de seguridad sobre la

administración de la seguridad de la información, por

desconocimiento o por falta de compromiso por parte de los

administrativos en hacer inversiones para proteger el activo

más importante de la empresa.

Otras empresas hacen altas inversiones en seguridad de la

información pero el personal que administra la información

desconoce las normas y dejan los equipos expuestos a

personas externas que ponen en riesgo la información.

Es preciso indicar que no tampoco se acatan las normas

ISO relacionadas con la forma en que se establecen

criterios que permiten incorporar la seguridad informática a

una organización.

OBJETIVOS

Elaborar un manual, documento válido para cualquier

tipo de organización con instrucciones precisas de lo

que debe tener y hacer una organización ante una

eventualidad de accidente informático.

Preparar al personal de las organizaciones con

capacitaciones e inducciones sobre cómo reaccionar de

una forma idónea ante un impacto como este.

Realizar en el entorno organizacional simulacros de

hackeos, ataques de virus, etc para analizar y evaluar

RIESGOS Y CONTROL INFORMATICO EN LAS ORGANIZACIONES (Mayo 2015)

Tutor: Manuel Antonio Sierra Rodríguez

Escuela de Ciencias Básicas, Tecnología e Ingeniería, Universidad Nacional Abierta y a Distancia. – UNAD -

Pedro Julio Beltrán, Carlos Alberto Bravo, Pablo Alexis Pineda

los comportamientos e impactos generados en el

personal y de esta forma saber controlar y neutralizar el

caos traumático que se crea.

Proteger los recursos de los sistemas informáticos,

siendo prioritario la protección a la información, pero

abarcando también los equipos, la infraestructura, el

uso de las aplicaciones, entre otros, a través de

evaluaciones periódicas de los sistemas.

FUNDAMENTOS TEORICOS

Uno de los pioneros en el tema fue James P. Anderson,

quien allá por 1980 y a pedido de un ente gubernamental

produjo uno de los primeros escritos relacionados con el

tema, y es allí donde se sientan también las bases de

palabras que hoy suenan como naturales, pero que por

aquella época parecían ciencia ficción.

El documento se llamó: Computer Security Threat

Monitoring and Surveillance, describe ahí la importancia

del comportamiento enfocado hacia la seguridad en materia

de informática.

En este documento se definen por primera vez en el

contexto de seguridad informática, lo que es una amenaza,

vulnerabilidad, riesgo, ataque, penetración (ataque exitoso),

sentando así bases importantes que siguen siendo

importantes hoy en día.

El 10 de marzo de 2004 se creó una Agencia Europea de

Seguridad de las Redes y dela Información (ENISA) Su

objetivo era garantizar un nivel elevado y efectivo de

seguridad de las redes y de la información en la Comunidad

Europea y desarrollar una cultura de la seguridad de las

redes y la información en beneficio de los ciudadanos, los

consumidores, las empresas y las organizaciones del sector

público de la Unión Europea, contribuyendo así al

funcionamiento armonioso del mercado interior.

CSIRT significa Computer Security Incident Response

Team (equipo de respuesta a incidentes de seguridad

informática). El término CSIRT es el que se suele usar en

Europa en lugar del término protegido CERT, registrado en

EE.UU. por el CERTCoordination Center (CERT/CC).

Un CSIRT es un equipo de expertos en seguridad de las TI

cuya principal tarea es responder a los incidentes de

seguridad informática. El CSIRT presta los servicios

necesarios para ocuparse de estos incidentes y ayuda a los

clientes del grupo al que atienden a recuperarse después de

sufrir uno de ellos.

METODOLOGIA

Tener a disposición un grupo conformado de expertos con

funciones precisas para que actúen sobre cada área de

trabajo dentro de la organización en caso de una

eventualidad mayor para así mitigar y evitar incidentes

graves y a proteger el patrimonio. Notamos los siguientes

cuatro procesos:

Proceso de Planificación

Tiene que ver con la realización del análisis y

evaluación de los riesgos de seguridad y la selección

de controles adecuados.

En esta Etapa se crean las condiciones para la

realización del diseño, implementación y gestión del

Sistema de Seguridad Informático, para lo cual se

realiza un estudio de la situación del sistema

informático desde el punto de vista de la seguridad,

con el fin de determinar las acciones que se ejecutaran

en función de las necesidades detectadas y con ello

establecer las políticas, los objetivos, procesos y

procedimientos de seguridad apropiados para gestionar

el riesgo.

Proceso de Implantación

Garantizar una adecuada implementación de los

controles seleccionados y la correcta aplicación de los

mismos.

En este proceso se comienza a gestionar los riesgos

identificados mediante la aplicación de los controles

seleccionados y las acciones apropiadas por parte del

personal definido y los recursos técnicos disponibles

en función de la seguridad y las medidas

administrativas.

Proceso de Verificación

Revisar y Evaluar el desempeño (eficiencia y eficacia)

del Sistema de Gestión de seguridad de la información.

En este proceso es importante los indicadores y

métricas de la gestión.

Proceso de Actualización

Mantenimiento, mejora y corrección del sistema de

Gestión de Seguridad de la Información.

Comprende la aplicación de acciones correctivas y

preventivas, basadas en los resultados del proceso

anteriores.

RESULTADOS

Uno de los resultados inmediatos es la caracterización del

sistema informático mediante la conformación de un listado

que contenga la relación de los bienes informáticos

identificados y clasificados según su importancia.

Además, se pretende que todos los actores de la empresa,

sean conscientes que al realizar su labor, puedan detener los

peligros de exponer sus datos y hacer que la empresa este

en eminente peligro a través de un software de seguridad y

otro elemento de protección.

Si los empresarios son cada vez más conscientes de que

invertir en seguridad es rentable, se evitarían muchos

problemas por dejar sus activos expuestos, haciendo que su

empresa sea menos vulnerable y adquiera más

competitividad en el mercado laboral.

Hacer de esto una empresa más sólida, segura, fortalecida

con una muy buena imagen ante sus clientes y obtener un

mejor posicionamiento en el mercado competitivo. Capaz

de reaccionar a los incidentes relacionados con las TI y

tratarlos de un modo centralizado y especializado.

CONCLUSIONES

La importancia que representa para nosotros como

ingenieros detectar fallas a tiempo en las empresas y

controlarlas.

El nuevo enfoque de control interno puede verse un

poco riguroso, pero por su actualidad, puede ser

asimilado, de forma provechosa por La economía de las

empresas.

El nuevo enfoque de control interno puede verse un

poco riguroso, pero por su actualidad, puede ser

asimilado, de forma provechosa por La economía de las

empresas.

Debido a como se torna en la actualidad el incremento

en los ataques informáticos a las empresas hace los

preveedores y clientes, supervisen y dictaminen cual es

el grado de seguridad informática que manejan las

empresas con las que ellos trabajan ya que se manejan

muchas operaciones y transacciones en líneas y para

ellos es importantes que estén certificadas en normas

que gestionan protección de datos como la ISO 27001.

Por otro lado el estar certificadas y tener estos controles

o mecanismos las hace seguras, recomendadas y con

muy buen posicionamiento en el mercado competitivo.

REFERENCIAS

Métrica de la red; 1.2 Mejor Ruta. 2 Encaminamiento en

redes de circuitos virtuales y de datagramas; 3 Clasificación

de los métodos de encaminamiento. Disponible en:

http://es.wikipedia.org/wiki/Encaminamiento

Las nueve peores violaciones de seguridad digital del siglo

21 Escrito por PC World el 17 • Febrero • 2012

Disponible en:

http://www.pcworld.com.mx/Articulos/21454.htm

Bustamante, K. Glosario según panda, recuperado el

05/08/2010 del sitio web

http://www.pandasecurity.com/colombia/homeusers/securit

y-info/glossary/

Robledo, F. Glosario Symantec, recuperado el 24/05/2012

del sitio web

http://www.symantec.com/es/mx/theme.jsp?themeid=glosar

io-de-seguridad

Rios, G. Delitos informáticos y seguridad en la red,

recuperado el 16/04/2011 del sitio web

http://www.delitosinformaticos.info/delitos_informaticos/gl

osario.html

Bustamante, K. Glosario según panda, recuperado el

05/08/2010 del sitio web

http://www.pandasecurity.com/colombia/homeusers/securit

y-info/glossary/

Hernández, M. Términos sobre seguridad informática,

recuperado el 15/03/2011 del sitio web

http://www.upv.es/entidades/ASIC/seguridad/353808norma

lc.html

Robledo, F. Glosario Symantec, recuperado el 24/05/2012

del sitio web

http://www.symantec.com/es/mx/theme.jsp?themeid=glosar

io-de-seguridad

Rios, G. Delitos informáticos y seguridad en la red,

recuperado el 16/04/2011 del sitio web

http://www.delitosinformaticos.info/delitos_informaticos/gl

osario.html

BIOGRAFIA

Pedro Julio Beltrán Saavedra.

(1970) nació en Pitalito Huila, el 13

de Febrero, Se graduó del Colegio

Departamental Mixto de Pitalito , Es

Tecnólogo en Sistemas e Ingeniero

de Sistemas de la Universidad

Nacional Abierta y a Distancia.

Su experiencia profesional empezó en el año de 2000 en

Instituto de educación no formal Electrocomputo (Pitalito),

actualmente Instructor en el área de las TIC del Centro de

Gestión y Desarrollo Sostenible Surcolombiano SENA

Pitalito. Entre las áreas de interés están la Redes de datos y

la seguridad informática.

Carlos Alberto Bravo Zúñiga. Nació

en Pitalito Huila, el 29 de Septiembre de

1974, se graduó en la Universidad

Nacional Abierta y a Distancia UNAD,

como Ingeniero de Sistemas en el año

2005, Especialista en Informática

Educativa en la Universidad UDES en el

año 2010 y aspirante a Magíster

Administración de la informática con la

Universidad Norbert Wiener.

Su experiencia profesional inició en el año 2006 como

docente y desde el año 2013 se desempeña como Instructor

en el área de las TIC del Centro de Gestión y Desarrollo

Sostenible Surcolombiano SENA de Pitalito.

Pablo Pineda. Nació en Colombia – San

Gil, el 6 de Agosto de 1978. Se graduó de

la Fundación Universitaria de San Gil

Unisangil – Unab en Ingeniería de

Sistemas, y en la actualidad adelanta

estudios de Especialización en Seguridad

Informática. Su experiencia profesional

está enfocada al soporte técnico en el área

de sistemas. Actualmente laboro en una empresa de la

región llamada COOHILADOS DEL FONCE en el área de

sistemas administrando la red. Tengo una empresa de

servicios enfocados al mantenimiento, soporte, cableado y

asesoría informática. Laboro como docente ocasional en las

diferentes entidades estudiantiles de la región.