Anda di halaman 1dari 6

Propósito de la actividad

Al realizar la actividad, podrás:

• Identificar la triada de la seguridad informática: disponibilidad, integridad y


confidencialidad.
• Identificar los activos involucrados en una organización para estimar el riesgo
asociado.
• Contribuir con ideas sobre la importancia de la protección de los sistemas de
información.
• Enriquecer las participaciones y aportar al conocimiento grupal en forma
respetuosa, crítica y constructiva con comentarios, análisis y reflexión sobre las
características, ventajas, desventajas e ideas sobre la metodología PDCA.
Introducción
Cuando escuchamos el concepto de la seguridad informática normalmente asociamos los
candados que ponemos en los sistemas para resguardar la seguridad de las bases de
datos, los equipos de cómputo y las redes con las que contamos. La información es algo
que tiene un valor intrínseco de altas magnitudes, puede ser el balance de una empresa, la
cartera de clientes del banco, el ahorro de los inversionistas de un banco o en sí la misma
cuenta de cheques de cualquier persona, es por ello que con la creciente actividad de
cambios en la informática, cada día es más importante proteger la información. ¿Pero de
quién debemos proteger la información o por qué debemos proteger la información? Bueno,
principalmente de usuarios mal intencionados que pretenden beneficiarse de esta
información sin pertenecerles y también de los elementos comunes como es un temblor, un
huracán o una inundación; esto tiene como finalidad conservar la información y sus
históricos para siempre tenerla disponible.
Mi caso de ejemplo:
En la empresa para la que trabajo nos dedicamos a proveer a los laboratorios de soluciones
de software, una parte de esto es proveerlos de una cartera de médicos confiable para que
sus fuerzas de ventas puedan visitar a los doctores con certeza. Para este caso tenemos
una base de datos médica que se actualiza a través de un formulario diseñado en PHP.
Esta base de datos está resguardada en un servidor Debian Linux modo de texto, cuenta
con los servicios MySql-Server, MySql-Client, PHPmyadmin, PHP7.
Identifica los activos con los que cuenta el sistema informático que se protegerá.
 Servidor HP
 Access Point
 Router
 9 PC’s de usuario
En las terminales de los operadores, cuentan con un software dedicado y diseñado para la
validación de los ficheros médicos, es un sistema diseñado en PHP, pero la conexión a la
base de datos es a MySql con el PHPMyadmin.
Analiza los riesgos asociados a cada situación presentada.
La principal amenaza es que no tenemos respaldo de otro servidor, esto es un verdadero
problema porque si se cae este servidor podemos tener muchos problemas para recuperar
la información. Aunque contamos con una pila de respaldo para 24 horas, siempre es
importante estar prevenidos para toda eventualidad.
La segunda amenaza es siempre la terminal del usuario, ya que si en algún momento fallara
con las medidas precautorias para la seguridad de su equipo, podría filtrar sin querer un
malware, spyware, troyano o cualquier tipo de virus que un usuario malicioso le enviara a
nuestro operador. También podemos considerar una intrusión por parte de algún usuario
externo que pretenda vulnerar el sistema para extraer a información para beneficiarse.
Ejemplifica con base en un caso la tríada de la seguridad informática.
La triada de seguridad: Confidencialidad, Disponibilidad e Integridad.
Para el caso del ejemplo:
Confidencialidad: Solamente el administrador del sistema tiene acceso a la base de datos,
esto se definió de esta forma al ver que los operadores del Call Center no respetaban ciertas
normativas de seguridad. De esta forma se evita el filtrado de información hacia la
competencia y se limita al operador a solamente lo que ve en su formulario de validación
PHP.
Integridad: La base de datos solamente puede ser modificada por el DBM (Data Base
Manager), los operadores guardan los cambios en una tabla de la base de datos llamada
“cambio” en la que se muestran los cambios realizados a la información pero sin modificar
o alterar la tabla que ven en pantalla en su formulario. Esto se decidió de forma que se
pueda conservar el histórico más los cambios, ambos en dos tablas diferentes.
Disponibilidad: Es un hecho que la información siempre está disponible de forma segura
cuando se muestra al operador, pero conserva la esencia principal que es no modificar la
base de datos original; esto garantiza que incluso los históricos siempre estarán
disponibles.
Menciona el tipo de medida de seguridad para la protección de los activos,
exponiendo:
Los niveles de seguridad que se requieren son los siguientes.
Infraestructura: Contamos con un servidor protegido en un sitio (site), no se puede tener
acceso si no se es de sistemas. El servidor es respaldado cada 24 hrs.
En nivel lógico: Se utiliza antivirus que protege los equipos contra virus e intrusiones.
Factor Humano: Así mismo, se limitaron las páginas autorizadas en internet para evitar que
el usuario entre en cualquier sitio web y finalmente los equipo se bloquean por tiempo. No
se les proporciona correo electrónico ya que por aparte de no requerirlo se evita que reciban
correos con malware.
Ejemplifica, con base en un caso, las actividades del área informática en relación con la seguridad
de un sistema informático:

Análisis y diseño de sistemas


 Documentar el sistema
 Establecer los candados de seguridad
 Implementar las pruebas del sistema

Programación
 Codificar los métodos de seguridad dentro del código
 Verificar la información de datos de entrada y salida.
 Codificar los accesos al sistema por usuario.

Funcionamiento de sistemas
 Se verifica que el sistema funcione como debe funcionar.
 Verificar que no existan errores.
 Verificar que las pruebas sean satisfactorias.

Codificación de datos
 El formulario contiene las medidas de seguridad para que el operador no pueda tener acceso
a la base de datos.

Captura de datos
 El sistema cuenta con validación de caracteres de entrada que controlan el teclado para que
no pueda el operador ingresar información no correspondiente a la base de datos.

Operación de sistemas
 El formulario es sometido a pruebas para garantizar que los requerimientos funcionales son
los correctos, en otras palabras que cada componente de la interfaz funciona correctamente.
 Los códigos validadores de campos deben funcionar a la perfección, es decir; que el
operador no pueda ingresar un correo electrónico en donde se supone que va un teléfono.

Control de documentos fuente


 Se implementan acciones para garantizar la integridad de la documentación fuente, Control
de información para captura en el sistema.

Control de documentación de sistemas


 Debe garantizar que siempre estará disponible para consultarse, organización del archivo
documental del sistema.

Control de inventarios y suministros informáticos


 Se cuenta con un control de inventario muy práctico al ser una empresa con poco equipo de
cómputo y con pocos suministros informáticos por lo que puede ser consultado con facilidad.

Control e resultados
 Deberán validarse las salidas del sistema, toda información deberá ser evaluada por el
encargado del sistema y los usuarios en cuestión, afín de garantizar los resultados correctos,
(integridad de resultados)

Mantenimiento de equipos
 Se cuenta con un calendario de mantenimiento para los equipos.
 Se cuenta con revisiones periódicas del software.
 Se realizan monitoreos constantes a las páginas web visitadas.

Conclusiones
En la actualidad el mundo informático cambia a velocidades vertiginosas, es por ello que
como desarrolladores de software debemos cuidar los conceptos de seguridad informática.
De ello depende que la información que pretendemos resguardar, quede realmente bien
protegida. El concepto de intrusión, normalmente alarma a cualquier organización ya que
en términos prácticos; la información que pretenden resguardar significa dinero para cada
organización y esto evidentemente deriva en el sueldo de sus empleados y la estabilidad
de sus familias. Si no significara una fuente de ingresos para ninguna organización, pues la
verdad perderíamos el tiempo en proteger algo que no tiene valor, pero; la información que
resguardamos es de valor muy alto y puede significar incluso la quiebra de una organización
si cae en las manos equivocadas.
Fuentes
Blackboard. (2018). Unidad 1. Principios de la seguridad informática. [online] Available at:
https://unadmexico.blackboard.com/bbcswebdav/institution/DCEIT/2016_S1B2/DS/08/DSEI/recu
rsos/recursos-contenido/U1/U1_CONTENIDOS/Unidad_1_Principios_de_la_seguridad_infor
matica_2018.pdf [Accessed 23 Sep. 2018].

Anda mungkin juga menyukai