¿Qué es una política de seguridad y cuál es su objetivo?
Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organizaciónEl objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.
¿Cómo se define la visión, misión y objetivo de una organización?-MisiónUna misma organización puede tener varias misiones, que son las actividades objetivas y concretas que realiza.-Visión Es la imagen idealizada de lo que se quiere crear.-ObjetivosSon actividades específicas enfocadas a cumplir metas reales, alcanzables y accesiblesMencione los principios fundamentales de una política de seguridad-Responsabilidad individualEste principio dice que cada elemento humano dentro de la organización es responsable de cada uno de sus actos-AutorizaciónSon las reglas explícitas acerca de quién y de qué manera puede utilizar los recursos-Mínimo privilegioEste principio indica que cada miembro debe estar autorizado a utilizar únicamente los recursos necesarios para llevar a cabo su trabajo-Separación de obligacionesLas funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado-Auditoría Todas las actividades, sus resultados, gente involucrada en ellos y los recursos requeridos-RedundanciaTrata entre otos aspectos sobre las copias de seguridad de la información, las cuales deben ser creadas múltiples veces en lapsos de tiempos frecuentes y almacenados en lugares distintos
¿De qué se encargan las políticas para la confidencialidad?Encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información
¿De qué se encargan las políticas para la integridad?Está orientada principalmente a preservar la integridad antes que la confidencialidad, esto se ha dado principalmente porque en muchas de las aplicaciones comerciales del mundo real es más importante mantener la integridad de los datos
¿Cuáles son los modelos de seguridad?-Modelo AbstractoSe ocupa de las entidades abstractas como sujetos y objetos.-Modelo ConcretoTraduce las entidades abstractas a entidades de un sistema real como procesos y archivos.-Modelos de control de accesoIdentifican las reglas necesarias para que un sistema lleve a cabo el proceso que asegura que todo acceso a los recursos-Modelos de flujo de informaciónUna meta de las políticas de seguridad es proteger la información. Los modelos de control de acceso se aproximan a dicha meta indirectamente
¿Qué son los procedimientos preventivos?Contempla todos los procedimientos antes de que se materialice una amenaza, su finalidad es evitar dicha materialización
¿Qué son los procedimientos correctivos?Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los daños producidos por un desastre, ataque u otra situación desfavorable y restaurar el funcionamiento normal del centro de operación afectado.
¿Qué es un plan de contingencia?El Plan de Contingencias es el instrumento de gestión para el manejo de las Tecnologías de la Información y las Comunicaciones
¿Cuáles son las fases del plan de contingencia?-Análisis y DiseñoEn esta fase se identifican las funciones de la organización que pueden considerarse como críticas y se les da un orden jerárquico de prioridad.-Desarrollo de un plan de contingenciasEn esta fase se creará la documentación del plan-Pruebas y MantenimientoConsiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseño
¿Qué actividades se realizan en cada fase del plan de contingencia?-Análisis y DiseñoSe identifican las posibles alternativas de solución así como evaluar una relación de costo/beneficio para cada alternativa propuesta-Desarrollo de un plan de contingencias
En esta fase se creará la documentación del plan-Pruebas y MantenimientoRealizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseño
En esta fase se creará la documentación del plan-Pruebas y MantenimientoRealizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseño
¿Qué es el análisis de riesgo?
Conocer las vulnerabilidades e implementar procedimientos para combatirlos es importante, sin embargo hasta ahora no existe ninguna medida de seguridad que garantize completamente la protección contra las vulnerabilidades.
¿Qué es la aceptación del riesgo?Es la decisión de recibir, reconocer, tolerar o admitir un riesgo
¿Qué es el riesgo residual?Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas relacionadas. Éste debe ser aceptado como es o reducirse a un punto donde pueda ser aceptado.
¿Qué son los controles?Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización
¿Qué es el análisis cuantitativo?El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
¿Qué es el análisis cualitativo?Las métricas asociadas con el impacto causado por la materialización de lasamenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,Bajo o Muy Bajo)
¿Cuáles son los pasos del análisis de riesgo?1-Identificación y evaluación de activo2-Identificar las amenazas correspondientes3-Identificar las vulnerabilidades4-Determinar el impacto de la ocurrencia de una amenaza5-Determinar los controles en el lugar6-Determinar los riesgos residuales (Conclusiones)7-Identificar los controles adicionales (Recomendaciones)8-Preparar el informe del análisis de riesgo
Explique brevemente que actividades se desarrollan en cada paso del análisis de riesgoIdentificación y evaluación de los activosEl primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección.
Identificación de amenazasDespués de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan
Identificación de vulnerabilidadesEl nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades.
Impacto de la ocurrencia de una amenazaCuando la explotación de una amenaza ocurre, los activos sufren cierto impacto. Las pérdidas son catalogadas en áreas de impacto llamadas
Controles en el lugarLa identificación de los controles es parte de la recolección de datos en cualquier proceso de análisis de riesgo
Riesgos residualesSiempre existirá un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es aceptable o no
Identificación de los controles adicionalesUna vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma más efectiva y menos costosa para reducir el riesgo a un nivel aceptable
Preparación de un informe del análisis del riesgo.El proceso de análisis de riesgo ayuda a identificar los activos de información en riesgo y añade un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos del riesgo y asigna un costo a cada control.
¿En que consiste el análisis costo beneficio?Análisis costo-beneficioEste tipo de análisis consiste básicamente en la comparación de los costos invertidos en un proyecto con los beneficios que se planean obtener de su realización.Primero debe entenderse que los costos son tangibles, es decir, se pueden medir en alguna unidad económica, mientras que los beneficios pueden ser intangibles, es decir, pueden darse en forma objetiva o subjetiva.Dependiendo del enfoque que use una organización, el análisis costo beneficio puede ser un proceso independiente del análisis de riesgo, pero es necesario que todos los controles instaurados sean evaluados en términos de funcionalidad y viabilidad.
¿Qué es ética informática?La ética es la teoría o ciencia del comportamiento moral de los hombres en sociedad, es decir, es la ciencia de una forma específica de conducta humana que permite calificar los actos humanos como buenos o malos
¿Cuáles son los objetivos de la ética informática?- Descubrir y articular dilemas éticos claves en informática.- Determinar en qué medida son agravados, transformados o creados por la tecnología informática.- Analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación.- Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.- Proponer un marco conceptual adecuado para entender los dilemas éticos que origina la informática y además establecer una guía cuando no existe reglamentación de dar uso a Internet.
¿Qué es un código deontológico?El código deontológico es un documento que recoge un conjunto de criterios, normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional.
Mencione cuales temas son tratados frecuentemente en la ética informática- Ética profesional general-La utilización de la información- Lo informático como nueva forma de bien o propiedad- Miedos y amenazas de la informática- Dimensiones sociales de la informática-Actualidad de la Ética Informática
Describa brevemente en qué consiste cada tema mencionado en la pregunta anterior- Ética profesional general
Un primer capítulo de problemas de EI (Ética Informática) lo podemos englobar en el epígrafe "ética profesional general" porque hace referencia a problemas que son comunes a otras actividades ocupacionales. Por un lado están los criterios de moralidad personal-La utilización de la información
Un capítulo de problemas que aparece en esta área es el relativo al uso no autorizado de los servicios informáticos o de la información contenida en ellos- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas- Lo informático como instrumento de actos potencialmente dañinosUno de los temas con los que más se relaciona a las tecnologías informáticas con la Ética, y es referente a la idea de que las tecnologías informáticas pueden ser usadas como medio para causar daño a terceras personas. - Miedos y amenazas de la informáticaEn algunos casos se incluyen en la Ética Informática unas consideraciones sobre las visiones antropomórficas de las computadoras como máquinas pensantes o como productores de verdades absolutas e infalibles- Dimensiones sociales de la informáticaLa informática ha contribuido en el desarrollo positivo de los medios de comunicación social. Las tecnologías de la información han hecho posible las comunicaciones instantáneas, el acumular y diseminar información y hechos como el turismo de masas.
Un primer capítulo de problemas de EI (Ética Informática) lo podemos englobar en el epígrafe "ética profesional general" porque hace referencia a problemas que son comunes a otras actividades ocupacionales. Por un lado están los criterios de moralidad personal-La utilización de la información
Un capítulo de problemas que aparece en esta área es el relativo al uso no autorizado de los servicios informáticos o de la información contenida en ellos- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas- Lo informático como instrumento de actos potencialmente dañinosUno de los temas con los que más se relaciona a las tecnologías informáticas con la Ética, y es referente a la idea de que las tecnologías informáticas pueden ser usadas como medio para causar daño a terceras personas. - Miedos y amenazas de la informáticaEn algunos casos se incluyen en la Ética Informática unas consideraciones sobre las visiones antropomórficas de las computadoras como máquinas pensantes o como productores de verdades absolutas e infalibles- Dimensiones sociales de la informáticaLa informática ha contribuido en el desarrollo positivo de los medios de comunicación social. Las tecnologías de la información han hecho posible las comunicaciones instantáneas, el acumular y diseminar información y hechos como el turismo de masas.
Mencione qué problemas se enfrenta actualmente la ética informática- La bibliografía relacionada con Ética Informática no esta suficientemente acentuada en las teorías éticas, ya sea clásicas o contemporáneas. Esto da como resultado afirmaciones vagas y conceptos que no muestran su totalidad la importante relación entre la Informática y la Ética .
- Mucha literatura existente tiene una orientación individualista. Se centra más en lo que tienen que hacer los empleados, directivos o diseñadores como personas individuales implicadas en las tecnologías de la información. Se habla menos de que es bueno o ético en cuanto a organizaciones, instituciones o corporaciones. Se dedica más tiempo a tratar sobre la elección moral del trabajador que a las elecciones de las organizaciones y sus gestores.
- La literatura existente es más sociológica que ética; es menos normativa que descriptiva. En general no se ofrecen principios de actuación o respuestas a las preguntas "debe" (qué debería hacer yo como persona, que debería hacer yo y los míos como organización, qué normas sociales deberíamos promover, que leyes debemos tener...). El objetivo de la Ética Informática no es solamente proponer análisis sobre "sociología de la informática" o sobre la evaluación social de las tecnologías, sino ir algo más allá en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juego valores humanos y dilemas éticos.
- Mucha literatura existente tiene una orientación individualista. Se centra más en lo que tienen que hacer los empleados, directivos o diseñadores como personas individuales implicadas en las tecnologías de la información. Se habla menos de que es bueno o ético en cuanto a organizaciones, instituciones o corporaciones. Se dedica más tiempo a tratar sobre la elección moral del trabajador que a las elecciones de las organizaciones y sus gestores.
- La literatura existente es más sociológica que ética; es menos normativa que descriptiva. En general no se ofrecen principios de actuación o respuestas a las preguntas "debe" (qué debería hacer yo como persona, que debería hacer yo y los míos como organización, qué normas sociales deberíamos promover, que leyes debemos tener...). El objetivo de la Ética Informática no es solamente proponer análisis sobre "sociología de la informática" o sobre la evaluación social de las tecnologías, sino ir algo más allá en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juego valores humanos y dilemas éticos.
