¿Qué es una política de seguridad y cuál es su objetivo?
Las
políticas son una serie de instrucciones documentadas que indican la
forma en que se llevan a cabo determinados procesos dentro de una
organización, también describen cómo se debe tratar un determinado
problema o situación.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
Este documento está dirigido principalmente al personal interno de la organización, aunque hay casos en que también personas externas quedan sujetas al alcance de las políticas.
¿Cómo se define la visión, misión y objetivo de una organización?
Vision: La
misión, visión y objetivos varían mucho de una organización a otra,
esto es normal si se considera que una organización es diferente de otra
en sus actividades y en el conjunto de elementos que la conforman
(Elementos humanos, recursos materiales, infraestructura).
Mision: Una
misma organización puede tener varias misiones, que son las actividades
objetivas y concretas que realiza. Las misiones también pretenden
cubrir las necesidades de la organización.
Objetivo:Son
actividades específicas enfocadas a cumplir metas reales, alcanzables y
accesibles. Se puede decir que un objetivo es el resultado que se
espera logrra al final de cada operación.
Mencione los principios fundamentales de una política de seguridad
Este
principio dice que cada elemento humano dentro de la organización es
responsable de cada uno de sus actos, aun si tiene o no conciencia de
las consecuencias.
Son las reglas explícitas acerca de quién y de qué manera puede utilizar los recursos.
Este
principio indica que cada miembro debe estar autorizado a utilizar
únicamente los recursos necesarios para llevar a cabo su trabajo. Además
de ser una medida de seguridad, también facilita el soporte y
mantenimiento de los sistemas.
Las
funciones deben estar divididas entre las diferentes personas
relacionadas a la misma actividad o función, con el fin de que ninguna
persona cometa un fraude o ataque sin ser detectado. Este principio
junto con el de mínimo privilegio reducen la posibilidad de ataques a la
seguridad, pues los usuarios sólo pueden hacer uso de los recursos
relacionados con sus actividades, además de que facilita el monitoreo y
vigilancia de usuarios, permitiendo registrar y examinar sus acciones.
Todas
las actividades, sus resultados, gente involucrada en ellos y los
recursos requeridos, deben ser monitoreados desde el inicio y hasta
después de ser terminado el proceso.
Además
es importante considerar que una auditoría informática busca verificar
que las actividades que se realizan así como las herramientas instaladas
y su configuración son acordes al esquema de seguridad informática
realizado y si éste es conveniente a la seguridad requerida por la
empresa.
Trata
entre otos aspectos sobre las copias de seguridad de la información,
las cuales deben ser creadas múltiples veces en lapsos de tiempos
frecuentes y almacenados en lugares distintos.
¿De qué se encargan las políticas para la confidencialidad?
Encargadas
de establecer la relación entre la clasificación del documento y el
cargo (nivel jerárquico dentro de la organización) que una persona
requiere para poder acceder a tal información.
¿De qué se encargan las políticas para la integridad?
Está
orientada principalmente a preservar la integridad antes que la
confidencialidad, esto se ha dado principalmente porque en muchas de las
aplicaciones comerciales del mundo real es más importante mantener la
integridad de los datos pues se usan para la aplicación de actividades
automatizadas aún cuando en otros ambientes no es así, como en los
ámbitos gubernamental o militar.
¿Cuáles son los modelos de seguridad?
Abstracto
Concreto
De control de acceso
De flujo de información
¿Qué son los procedimientos preventivos?
Los
procedimientos preventivos pueden variar dependiendo del tipo de
actividades que realiza la organización, los recursos que tiene
disponibles, que es lo que quiere proteger, las instalaciones en que
labore y la tecnología que use.
¿Qué son los procedimientos correctivos?
Son
acciones enfocadas a contrarrestar en lo posible los daños producidos
por un desastre, ataque u otra situación desfavorable y restaurar el
funcionamiento normal del centro de operación afectado.
¿Qué es un plan de contingencia?
Es el instrumento de gestión para el manejo de las Tecnologías de la Información y las Comunicaciones.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad de las operaciones de una institución en caso de desastres y situaciones catastróficas como incendios, terremotos, inundaciones, etc. pero también contiene las medidas para enfrentar los daños producidos por robo, sabotaje e incluso ataques terroristas.
¿Cuáles son las fases del plan de contingencia?
Las fases se pueden dividir en análisis y diseño, desarrollo, pruebas y mantenimiento.
Capitulo 5
¿Qué es el análisis de riesgo?
Conocer
las vulnerabilidades e implementar procedimientos para combatirlos es
importante, sin embargo hasta ahora no existe ninguna medida de
seguridad que garantize completamente la protección contra las
vulnerabilidades.
¿Qué es la aceptación del riesgo?
Es
la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta
decisión se toma una vez que se han estudiado los diferentes escenarios
posibles para una misma amenaza y se han aplicado todos los
procedimientos posibles para contrarrestar sus efectos y probabilidad de
que ocurra.
¿Qué es el riesgo residual?
Es
el nivel de riesgo que queda después de la consideración de todas las
medidas necesarias, los niveles de vulnerabilidad y las amenazas
relacionadas. Éste debe ser aceptado como es o reducirse a un punto
donde pueda ser aceptado.
¿Qué son los controles?
Controles
requeridos: Todos los controles de esta categoría pueden ser definidos
con base en una o mas reglas escritas. La clasificación de los datos
almacenados y procesados en un sistema o red y su modo de operación
determinan las reglas a aplicar, y éstas indican cuáles son los
controles requeridos.
¿Qué es el análisis cuantitativo?
Es
una técnica de análisis que busca entender el comportamiento de las
cosas por medio de modelos estadísticos y técnicas matemáticas para ello
se encarga de asignar un valor numérico a las variables, e intenta
replicar la realidad matemáticamente.
¿Qué es el análisis cualitativo?
Las métricas asociadas con el impacto causado por la materialización de las
amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo).
¿Cuáles son los pasos del análisis de riesgo?
1-Identificación y evaluación de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del análisis de riesgo
Explique brevemente que actividades se desarrollan en cada paso del análisis de riesgo
El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección.
Después
de identificar los activos que requieren protección, las amenazas a
éstos deben identificarse y examinarse para determinar cuál sería la
pérdida si dichas amenazas se presentan.
El
nivel de riesgo se determina analizando la relación entre las amenazas y
las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una
vulnerabilidad correspondiente, aunque hay áreas de alta vulnerabilidad
que no tienen consecuencias si no presentan amenazas.
Cuando
la explotación de una amenaza ocurre, los activos sufren cierto
impacto. Las pérdidas son catalogadas en áreas de impacto llamadas
La
identificación de los controles es parte de la recolección de datos en
cualquier proceso de análisis de riesgo. Existen dos tipos principales
de controles
Siempre
existirá un riesgo residual por lo tanto, debe determinarse cuando el
riesgo residual, es aceptable o no. El riesgo residual toma la forma de
las conclusiones alcanzadas en el proceso de evaluación.
Una
vez que el riesgo residual haya sido determinado, el siguiente paso es
identificar la forma mas efectiva y menos costosa para reducir el riesgo
a un nivel aceptable. Un intercambio operacional –el cual puede tomar
la forma de costo, conveniencia, tiempo, o una mezcla de los anteriores-
debe realizarse al mismo tiempo que los controles adicionales son
implementados.
El
proceso de análisis de riesgo ayuda a identificar los activos de
información en riesgo y añade un valor a los riesgos, adicionalmente
identifica las medidas protectoras y minimiza los efectos del riesgo y
asigna un costo a cada control.
5.5 Análisis costo-beneficio
Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
¿En que consiste el análisis costo beneficio?
Es
una importante técnica que nos ayuda en la toma de decisiones, pues
brinda información necesaria para determinar si una actividad es
rentable, o por el contrario representa un impractico desperdicio de
recursos.
Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
Este tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.
Capitulo 6:
¿Qué es ética informática?
La
ética es la teoría o ciencia del comportamiento moral de los hombres en
sociedad, es decir, es la ciencia de una forma específica de conducta
humana que permite calificar los actos humanos como buenos o malos
¿Cuáles son los objetivos de la ética informática?
- Descubrir y articular dilemas éticos claves en informática.
- Determinar en qué medida son agravados, transformados o creados por la tecnología informática.
-
Analizar y proponer un marco conceptual adecuado y formular principios
de actuación para determinar qué hacer en las nuevas actividades
ocasionadas por la informática en las que no se perciben con claridad
líneas de actuación.
- Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.
-
Proponer un marco conceptual adecuado para entender los dilemas éticos
que origina la informática y además establecer una guía cuando no existe
reglamentación de dar uso a Internet.
¿Qué es un código deontológico?
Es
un documento que recoge un conjunto de criterios, normas y valores que
formulan y asumen quienes llevan a cabo una actividad profesional. Los
códigos deontológicos se ocupan de los aspectos más sustanciales y
fundamentales del ejercicio de la profesión que regulan.
Mencione cuales temas son tratados frecuentemente en la ética informática
- Ética profesional general
-La utilización de la información
- Lo informático como nueva forma de bien o propiedad
- Lo informático como instrumento de actos potencialmente dañinos
- Miedos y amenazas de la informática
- Dimensiones sociales de la informática
Describa brevemente en qué consiste cada tema mencionado en la pregunta anterior
- Ética profesional general
Un primer capítulo de problemas de EI (Ética Informática) lo podemos englobar en el epígrafe "ética profesional general" porque hace referencia a problemas que son comunes a otras actividades ocupacionales.
Un primer capítulo de problemas de EI (Ética Informática) lo podemos englobar en el epígrafe "ética profesional general" porque hace referencia a problemas que son comunes a otras actividades ocupacionales.
-La utilización de la información
Se
plantean problemas de invasión de la privacidad, de falta de
confidencialidad en la información, sobre todo de datos sensibles. Los
esfuerzos por proteger la integridad y confidencialidad de la
información chocan con la necesidad de información de las entidades
públicas y privadas y los entornos académicos o de investigación, es
decir, con su derecho a la libertad de información.
- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas. Los programas de computadora suponen un tipo de propiedad de bien que no encaja fácilmente en los conceptos de propiedad de otros tipos de bienes.
- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas. Los programas de computadora suponen un tipo de propiedad de bien que no encaja fácilmente en los conceptos de propiedad de otros tipos de bienes.
- Lo informático como instrumento de actos potencialmente dañinos
Uno
de los temas con los que más se relaciona a las tecnologías
informáticas con la Ética, y es referente a la idea de que las
tecnologías informáticas pueden ser usadas como medio para causar daño a
terceras personas.
- Miedos y amenazas de la informática
En
algunos casos se incluyen en la Ética Informática unas consideraciones
sobre las visiones antropomórficas de las computadoras como máquinas
pensantes o como productores de verdades absolutas e infalibles.
- Dimensiones sociales de la informática
- Dimensiones sociales de la informática
La
informática ha contribuido en el desarrollo positivo de los medios de
comunicación social. Las tecnologías de la información han hecho posible
las comunicaciones instantáneas, el acumular y diseminar información y
hechos como el turismo de masas.
Mencione qué problemas se enfrenta actualmente la ética informática
En
el caso de Instituciones de habla hispana, ya se empieza a impartir de
manera formal y seria, aun cuando muchos de los cursos de ética
informática todavía no son adecuados a los objetivos reales que se
planean alcanzar.
No hay comentarios:
Publicar un comentario