ESCUELA POLITECNICA DEL

EJRCITO

DEPARTAMENTO DE CIENCIAS
DE LA COMPUTACION E
INFORMATICA
EVALUACION Y AUDITORIA DE
SISTEMAS

TRABAJO DE INVESTIGACION
SEGURIDADES INFORMATICAS

ANA LUCIA JIMENEZ

10.MO B

Sangolqu, 24 de noviembre de 2011

Seguridades Informticas
La seguridad informtica es el rea de la informtica que se enfoca
en la proteccin de la infraestructura computacional y todo lo
relacionado con esta (incluyendo la informacin contenida). Para ello
existen una serie de estndares, protocolos, mtodos, reglas,
herramientas y leyes concebidas para minimizar los posibles riesgos a
la infraestructura o a la informacin. La seguridad informtica
comprende software, bases de datos, metadatos, archivos y todo lo
que la organizacin valore (activo) y signifique un riesgo si sta llega
a manos de otras personas. Este tipo de informacin se conoce como
informacin privilegiada o confidencial.
Objetivos de la Seguridad Informtica
La seguridad informtica est concebida para proteger los activos
informticos, entre los que se encuentran:

La informacin contenida
Se ha convertido en uno de los elementos ms importantes
dentro de una organizacin. La seguridad informtica debe ser
administrada segn los criterios establecidos por los
administradores y supervisores, evitando que usuarios externos
y no autorizados puedan acceder a ella sin autorizacin. De lo
contrario la organizacin corre el riesgo de que la informacin
sea utilizada maliciosamente para obtener ventajas de ella o
que sea manipulada, ocasionando lecturas erradas o
incompletas de la misma.
La infraestructura computacional
Una parte fundamental para el almacenamiento y gestin de la
informacin, as como para el funcionamiento mismo de la
organizacin. La funcin de la seguridad informtica en esta
rea es velar que los equipos funcionen adecuadamente y
prever en caso de falla planes de robos, incendios, boicot,
desastres naturales, fallas en el suministro elctrico y cualquier
otro factor que atente contra la infraestructura informtica.
Los usuarios

La seguridad informtica debe establecer normas que

minimicen los riesgos a la informacin o infraestructura
informtica. Estas normas incluyen horarios de funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones,
perfiles de usuario, planes de emergencia, protocolos y todo lo
necesario que permita un buen nivel de seguridad informtica
minimizando el impacto en el desempeo de los funcionarios y
de la organizacin en general y como principal contribuyente al
uso de programas realizados por programadores.
Las Amenazas
Una vez que la programacin y el funcionamiento de un dispositivo de
almacenamiento (o transmisin) de la informacin se consideran
seguras, todava deben ser tenidos en cuenta las circunstancias "no
informticas" que pueden afectar a los datos, las cuales son a
menudo imprevisibles o inevitables, de modo que la nica proteccin
posible es la redundancia (en el caso de los datos) y la
descentralizacin -por ejemplo mediante estructura de redes- (en el
caso de las comunicaciones).
Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de

un sistema informtico (porque no le importa, no se da cuenta o
a propsito).

Programas maliciosos: programas destinados a perjudicar o a

hacer un uso ilcito de los recursos del sistema. Es instalado
(por inatencin o maldad) en el ordenador abriendo una puerta
a intrusos o bien modificando los datos. Estos programas
pueden ser un virus informtico, un gusano informtico, un
troyano, una bomba lgica o un programa espa o Spyware.

Un intruso: persona que consigue acceder a los datos o

programas de los cuales no tiene acceso permitido (cracker,
defacer, script kiddie o Script boy, viruxer, etc.).

Un siniestro (robo, incendio, inundacin): una mala

manipulacin o una malintencin derivan a la prdida del
material o de los archivos.

El personal interno de Sistemas. Las pujas de poder que llevan

a disociaciones entre los sectores y soluciones incompatibles
para la seguridad informtica.

Tipos de Amenazas

El hecho de conectar una red a un entorno externo nos da la

posibilidad de que algn atacante pueda entrar en ella, con esto, se
puede hacer robo de informacin o alterar el funcionamiento de la
red. Sin embargo el hecho de que la red no sea conectada a un
entorno externo no nos garantiza la seguridad de la misma. Basado
en esto podemos decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser

ms serias que las externas por varias razones como son:
o Los usuarios conocen la red y saben cmo es su
funcionamiento.
o Tienen algn nivel de acceso a la red por las mismas
necesidades de su trabajo.
o Los IPS y Firewalls son mecanismos no efectivos en
amenazas internas.

Esta situacin se presenta gracias a los esquemas ineficientes de

seguridad con los que cuentan la mayora de las compaas a nivel
mundial, y porque no existe conocimiento relacionado con la
planeacin de un esquema de seguridad eficiente que proteja los
recursos informticos de las actuales amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.

Amenazas externas: Son aquellas amenazas que se originan

de afuera de la red. Al no tener informacin certera de la red,
un atacante tiene que realizar ciertos pasos para poder conocer
qu es lo que hay en ella y buscar la manera de atacarla. La
ventaja que se tiene en este caso es que el administrador de la
red puede prevenir una buena parte de los ataques externos.

La amenaza informtica del Futuro

Si en un momento el objetivo de los ataques fue cambiar las
plataformas tecnolgicas ahora las tendencias cibercriminales indican
que la nueva modalidad es manipular los significados de la
informacin digital. El rea semntica, era reservada para los
humanos, se convirti ahora en el ncleo de los ataques debido a la
evolucin de la Web 2.0 y las redes sociales, factores que llevaron al
nacimiento de la generacin 3.0.

Se puede afirmar que la Web 3.0 otorga contenidos y

significados de manera tal que pueden ser comprendidos por
las computadoras, las cuales -por medio de tcnicas de

inteligencia artificial- son capaces de emular y mejorar la

obtencin de conocimiento, hasta el momento reservada a las
personas.

Es decir, se trata de dotar de significado a las pginas Web, y

de ah el nombre de Web semntica o Sociedad del
Conocimiento, como evolucin de la ya pasada Sociedad de la
Informacin

En este sentido, las amenazas informticas que viene en el futuro ya

no son con la inclusin de troyanos en los sistemas o softwares
espas, sino con el hecho de que los ataques se han profesionalizado
y manipulan el significado del contenido virtual.

La Web 3.0, basada en conceptos como elaborar, compartir y

significar, est representando un desafo para los hackers que
ya no utilizan las plataformas convencionales de ataque, sino
que optan por modificar los significados del contenido digital,
provocando as la confusin lgica del usuario y permitiendo de
este modo la intrusin en los sistemas, La amenaza ya no
solicita la clave de homebanking del desprevenido usuario, sino
que directamente modifica el balance de la cuenta, asustando
al internauta y, a partir de all, s efectuar el robo del capital.

Para no ser presa de esta nueva ola de ataques ms sutiles, Se

recomienda:

Mantener las soluciones activadas y actualizadas.

Evitar realizar operaciones comerciales en computadoras de uso

pblico.

Verificar los archivos adjuntos de mensajes sospechosos y

evitar su descarga en caso de duda.

Tipos de Virus
Los virus se pueden clasificar de la siguiente forma:
Virus residentes
La caracterstica principal de estos virus es que se ocultan en la
memoria RAM de forma permanente o residente. De este modo,
pueden controlar e interceptar todas las operaciones llevadas a cabo
por el sistema operativo, infectando todos aquellos ficheros y/o
programas que sean ejecutados, abiertos, cerrados, renombrados,
copiados, Algunos ejemplos de este tipo de virus son: Randex, CMJ,
Meve, MrKlunky.

Virus de accin directa

Al contrario que los residentes, estos virus no permanecen en
memoria. Por tanto, su objetivo prioritario es reproducirse y actuar en
el mismo momento de ser ejecutados. Al cumplirse una determinada
condicin, se activan y buscan los ficheros ubicados dentro de su
mismo directorio para contagiarlos.
Virus de sobreescritura
Estos virus se caracterizan por destruir la informacin contenida en
los ficheros que infectan. Cuando infectan un fichero, escriben dentro
de su contenido, haciendo que queden total o parcialmente
inservibles.
Virus de boot(bot_kill) o de arranque
Los trminos boot o sector de arranque hacen referencia a una
seccin muy importante de un disco (tanto un disquete como un disco
duro respectivamente). En ella se guarda la informacin esencial
sobre las caractersticas del disco y se encuentra un programa que
permite arrancar el ordenador.Este tipo de virus no infecta ficheros,
sino los discos que los contienen. Actan infectando en primer lugar
el sector de arranque de los disquetes. Cuando un ordenador se pone
en marcha con un disquete infectado, el virus de boot infectar a su
vez el disco duro.
Los virus de boot no pueden afectar al ordenador mientras no se
intente poner en marcha a ste ltimo con un disco infectado. Por
tanto, el mejor modo de defenderse contra ellos es proteger los
disquetes contra escritura y no arrancar nunca el ordenador con un
disquete desconocido en la disquetera.
Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.
Virus de enlace o directorio
Los ficheros se ubican en determinadas direcciones (compuestas
bsicamente por unidad de disco y directorio), que el sistema
operativo conoce para poder localizarlos y trabajar con ellos.
Virus cifrados
Ms que un tipo de virus, se trata de una tcnica utilizada por algunos
de ellos, que a su vez pueden pertenecer a otras clasificaciones. Estos
virus se cifran a s mismos para no ser detectados por los programas
antivirus. Para realizar sus actividades, el virus se descifra a s mismo
y, cuando ha finalizado, se vuelve a cifrar.
Virus polimrficos

Son virus que en cada infeccin que realizan se cifran de una forma
distinta (utilizando diferentes algoritmos y claves de cifrado). De esta
forma, generan una elevada cantidad de copias de s mismos e
impiden que los antivirus los localicen a travs de la bsqueda de
cadenas o firmas, por lo que suelen ser los virus ms costosos de
detectar.
Virus multipartites
Virus muy avanzados, que pueden realizar mltiples infecciones,
combinando diferentes tcnicas para ello. Su objetivo es cualquier
elemento que pueda ser infectado: archivos, programas, macros,
discos, etc.
Virus del Fichero
Infectan programas o ficheros ejecutables (ficheros con extensiones
EXE y COM). Al ejecutarse el programa infectado, el virus se activa,
produciendo diferentes efectos.
Virus de FAT
La Tabla de Asignacin de Ficheros o FAT es la seccin de un disco
utilizada para enlazar la informacin contenida en ste. Se trata de un
elemento fundamental en el sistema. Los virus que atacan a este
elemento son especialmente peligrosos, ya que impedirn el acceso a
ciertas partes del disco, donde se almacenan los ficheros crticos para
el normal funcionamiento del ordenador.
Analisis de Riesgos
El activo ms importante que se posee es la informacin y, por lo
tanto, deben existir tcnicas que la aseguren, ms all de la
seguridad fsica que se establezca sobre los equipos en los cuales se
almacena. Estas tcnicas las brinda la seguridad lgica que consiste
en la aplicacin de barreras y procedimientos que resguardan el
acceso a los datos y slo permiten acceder a ellos a las personas
autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta: "lo que no
est permitido debe estar prohibido" y sta debe ser la meta
perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organizacin y de las
que no lo son) a los programas y archivos.

2. Asegurar que los operadores puedan trabajar pero que no

puedan modificar los programas ni los archivos que no
correspondan (sin una supervisin minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas
correctos en/y/por el procedimiento elegido.
4. Asegurar que la informacin transmitida sea la misma que
reciba el destinatario al cual se ha enviado y que no le llegue a
otro.
5. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisin entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarqua
informtica, con claves distintas y permisos bien establecidos,
en todos y cada uno de los sistemas o aplicaciones empleadas.
7. Actualizar constantemente las contraseas de accesos a los
sistemas de cmputo.
Analisis de Impacto al Negocio
El reto es asignar estratgicamente los recursos para equipo de
seguridad y bienes que intervengan, basndose en el impacto
potencial para el negocio, respecto a los diversos incidentes que se
deben resolver. Para determinar el establecimiento de prioridades, el
sistema de gestin de incidentes necesita saber el valor de los
sistemas de informacin que pueden ser potencialmente afectados
por incidentes de seguridad. Esto puede implicar que alguien dentro
de la organizacin asigne un valor monetario a cada equipo y un
archivo en la red o asignar un valor relativo a cada sistema y la
informacin sobre ella. Dentro de los Valores para el sistema se
pueden distinguir: Confidencialidad de la informacin, la Integridad
(aplicaciones e informacin) y finalmente la Disponibilidad del
sistema. Cada uno de estos valores es un sistema independiente del
negocio, supongamos el siguiente ejemplo, un servidor Web pblico
pueden poseer los requisitos de confidencialidad de baja (ya que toda
la informacin es pblica),pero de alta disponibilidad y los requisitos
de integridad. En contraste, un sistema de planificacin de recursos
empresariales (ERP),sistema puede poseer alta puntaje en los tres
variables. Los incidentes individuales pueden variar ampliamente en
trminos de alcance e importancia.
Puesta en marcha de una Politica de Seguridad
Actualmente las legislaciones nacionales de los Estados, obligan a las
empresas, instituciones pblicas a implantar una poltica de
seguridad.

Generalmente se ocupa exclusivamente a asegurar los derechos de

acceso a los datos y recursos con las herramientas de control y
mecanismos de identificacin. Estos mecanismos permiten saber que
los operadores tienen slo los permisos que se les dio.
La seguridad informtica debe ser estudiada para que no impida el
trabajo de los operadores en lo que les es necesario y que puedan
utilizar el sistema informtico con toda confianza. Por eso en lo
referente a elaborar una poltica de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la

organizacin.

Definir las acciones a emprender y elegir las personas a

contactar en caso de detectar una posible intrusin

Sensibilizar a los operadores con los problemas ligados con la

seguridad de los sistemas informticos.

Los derechos de acceso de los operadores deben ser definidos por los
responsables jerrquicos y no por los administradores informticos,
los cuales tienen que conseguir que los recursos y derechos de
acceso sean coherentes con la poltica de seguridad definida.
Adems, como el administrador suele ser el nico en conocer
perfectamente el sistema, tiene que derivar a la directiva cualquier
problema e informacin relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, as como
ser el punto de entrada de la comunicacin a los trabajadores sobre
problemas y recomendaciones en trmino de seguridad informtica.
Tecnicas para Asegurar el sistema

Codificar
la
informacin:
Criptologa,
Criptografa
y
Criptociencia, contraseas difciles de averiguar a partir de
datos personales del individuo.

Vigilancia de red. Zona desmilitarizada

Tecnologas repelentes o protectoras: cortafuegos, sistema de

deteccin de intrusos - antispyware, antivirus, llaves para
proteccin de software, etc. Mantener los sistemas de
informacin con las actualizaciones que ms impacten en la
seguridad.

Sistema de Respaldo Remoto. Servicio de backup remoto

Respaldo de Informacion

La informacin constituye el activo ms importante de las empresas,

pudiendo verse afectada por muchos factores tales como robos,
incendios, fallas de disco, virus u otros. Desde el punto de vista de la
empresa, uno de los problemas ms importantes que debe resolver es
la proteccin permanente de su informacin crtica.
La medida ms eficiente para la proteccin de los datos es determinar
una buena poltica de copias de seguridad o backups: Este debe
incluir copias de seguridad completa (los datos son almacenados en
su totalidad la primera vez) y copias de seguridad incrementales (slo
se copian los ficheros creados o modificados desde el ltimo backup).
Es vital para las empresas elaborar un plan de backup en funcin del
volumen de informacin generada y la cantidad de equipos crticos.
Un buen sistema de respaldo debe contar con ciertas caractersticas
indispensables:

Continuo
El respaldo de datos debe ser completamente automtico y
continuo. Debe funcionar de forma transparente, sin intervenir
en las tareas que se encuentra realizando el usuario.

Seguro
Muchos softwares de respaldo incluyen cifrado de datos (128448 bits), lo cual debe ser hecho localmente en el equipo antes
del envo de la informacin.

Remoto
Los datos deben quedar alojados en dependencias alejadas de
la empresa.

Mantencin de versiones anteriores de los datos

Se debe contar con un sistema que permita la recuperacin de
versiones diarias, semanales y mensuales de los datos.

Hoy en da los sistemas de respaldo de informacin online (Servicio

de backup remoto) estn ganando terreno en las empresas y
organismos gubernamentales. La mayora de los sistemas modernos
de respaldo de informacin online cuentan con las mximas medidas
de seguridad y disponibilidad de datos. Estos sistemas permiten a las
empresas crecer en volumen de informacin sin tener que estar
preocupados de aumentar su dotacin fsica de servidores y sistemas
de almacenamiento.
Consideraciones de software

Tener instalado en la mquina nicamente el software necesario

reduce riesgos. As mismo tener controlado el software asegura la
calidad de la procedencia del mismo (el software obtenido de forma
ilegal o sin garantas aumenta los riesgos). En todo caso un inventario
de software proporciona un mtodo correcto de asegurar la
reinstalacin en caso de desastre. El software con mtodos de
instalacin rpidos facilita tambin la reinstalacin en caso de
contingencia.
Existe un software que es conocido por la cantidad de agujeros de
seguridad que introduce. Se pueden buscar alternativas que
proporcionen iguales funcionalidades pero permitiendo una seguridad
extra.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las
pginas web y la entrada de ficheros desde discos, o de ordenadores
ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo
lectura, impide que ordenadores infectados propaguen virus. En el
mismo sentido se pueden reducir los permisos de los usuarios al
mnimo.
Se pueden centralizar los datos de forma que detectores de virus en
modo batch puedan trabajar durante el tiempo inactivo de las
mquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases
de recuperacin, cmo se ha introducido el virus.

La auditora de seguridad en las empresas: puntos a tener en

cuenta

La informacin es el activo mas importante para las empresas, lo cual

se puede confirmar si consideramos el hecho de la perdida de
informacin critica, y la post recuperacin con la cual la entidad
podra retomar sus operaciones normales en un menor tiempo, que si
ocurre lo contrario. Por este motivo la informacin adquiere una gran
importancia para la empresa moderna debido a su poder estrattigo y
a que se invierten grandes cantidades de dinero en tiempo de

proporcionar un buen sistema de informacin para tener una mayor

productividad
La importancia en que radica auditoria de sistemas en las
organizaciones son:

- Se puede difundir y utilizar resultados o informacin errnea si los

datos son inexactos o los mismos son manipulados, lo cual abre la
posibilidad de que afecte seriamente las operaciones, tomas de
decisiones o la imagen de la empresa.
- Las computa, servidores y centros de base de datos se han
convertido en blanco para fraudes, espionaje, delincuencia y
terrorismo informtico.
- La continuidad de las operacin, administracin y organizacin de la
empresa no debe permanecer en un sistema mal diseado, ya que
podra convenirse en un serio peligro para la empresa.
- Existen grandes posibilidades de robo de secretos comerciales,
informacin financiera, administrativa, la transferencia ilcita de
tecnologa y dems delitos informticos.
- Mala imagen e insatisfaccin de los usuarios porque no reciben el
soporte tcnico adecuado o no se reparan los daos de hardware ni
se resuelven los problemas en un lapso razonable, es decir, el usuario
percibir que est abandonado y desatendido permanentemente,
esto dar una mala imagen de la organizacin.
- En el Departamento de Sistemas se observa un incremento de
costos, inversiones injustificadas o desviaciones presupuestarias
significativas.
- Evaluacin de nivel de riesgos en lo que respecta a seguridad lgica,
seguridad fsica y confidencialidad.
- Mantener la continuidad del servicio, la elaboracin y la
actualizacin de los planes de contingencia para lograr este objetivo.
- El inadecuado uso de la computadora para usos ajenos a la
organizacin que puede llegar a producir problemas de infiltracin,
borrado de informacin y un mal rendimiento.
- Las comunicaciones es el principal medio de negocio de las
organizaciones, una dbil administracin y seguridad podra lograr
una mala imagen, retraso de negocios, falta de confianza para los
clientes y una mala expectativa para la produccin.

La Auditoria de la Seguridad Informtica en la informtica abarca el

concepto de seguridad fsica y lgica. La seguridad fsica se refiere a
la proteccin de hardware y los soportes de datos, as tambin como
la seguridad del los edificios y las instalaciones que lo albergan. Esto
mismo contempla situaciones de incendios, inundaciones, sabotajes,
robos, catstrofes naturales, etc.
Por su parte la seguridad lgica se refiere a la seguridad del uso de
software, proteccin de la informacin, procesos y programas, as
como el acceso ordenado y autorizado de los usuarios a la
informacin.
El auditar la seguridad de los sistemas, tambin implica que se debe
tener cuidado que no existan copias piratas, o bien que, al
conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin de virus.
En la auditoria para aplicaciones de internet se produce una
verificacin de los siguientes aspectos:

- Evaluacin de los riesgos de Internet (operativos, tecnolgicos y

financieros) y as como su probabilidad de ocurrencia.
- Evaluacin de vulnerabilidades y arquitectura de seguridad
implementada.
- Verificar la confidencialidad e integridad de las aplicaciones y la
publicidad negativa como consecuencia de ataques exitosos por parte
de hackers.
Metodologa de trabajo de Auditoria
El mtodo del auditor pasa por las siguientes etapas:
- Alcances y Objetivos de la Auditoria Informtica.
- Estudio inicial del entorno auditable.
- Determinacin de los recursos necesarios para realizar la auditoria.
- Elaboracin de Plan y de los Programas de trabajo.
- Actividades propiamente dichas de la auditoria.
- Confeccin y elaboracin del informe final.
Como he dicho antes las comunicaciones son la base de los negocios
modernos, pues sin las mismas ninguna empresa podra sobrevivir. Para
esta razn, es necesario que las organizaciones mantengan a sus
servidores, datos e instalaciones lejos de los hackers y piratas informticos.

La privacidad de las redes es un factor muy importante ya que las empresas

se sienten amenazadas por el crimen informtico. El mantener una red
segura fortalece la confianza entre los clientes de la organizacin y mejora
su imagen corporativa, ya que muchos son los criminales informticos que
acechan da a da.
Por lo cual el auditor o consultor informtico ayuda a mantener la privacidad
de las redes, trabajando en los siguientes factores: Disponibilidad Autentificacin - Integridad - Confidencialidad
Es preciso tener en cuenta todos los factores que puedan amenazar la
privacidad y no solamente los intencionados. Desde el punto de vista de los
usuarios, los peligros derivados de los incidentes del entorno o de errores
humanos que alteren la red pueden ser tan costosos como los ataques
intencionados. La seguridad de las redes y la informacin puede entenderse
como la capacidad de las redes o de los sistemas de informacin para
resistir, con un determinado nivel de confianza, todos los accidentes o
acciones malintencionadas, que pongan en peligro la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los correspondientes servicios que dichas redes y sistemas
ofrecen o hacen accesibles.
Las principales amenazas o riesgos que enfrentan las empresas que
utilizan las redes son:
- Interceptacin de las comunicaciones.
- Acceso no autorizado a ordenadores o Redes de ordenadores
- Perturbacin de las redes.
- Ejecucin de programas que modifiquen o daen los datos.
- Declaracin falsa.
- Accidentes no provocados.
- Robo de datos.
- Infiltracin de datos crticos.
Los beneficios de un sistema de seguridad son:
- Aumento de la productividad
- Aumento de la motivacin del personal
- Compromiso con la misin de la compaa

- Mejoras de las relaciones laborales

- Mejoras del rendimiento
- Mayor profesionalismo
- Ayuda a formar equipos competentes
- Mejora los climas laborares de los RR.HH
Desarrollar un sistema de seguridad significa planear, organizar, coordinar
dirigir y controlar las actividades relacionadas a mantener y garantizar la
integridad fsica de los recursos implicados en la funcin informtica, as
como el resguardo de los activos de la empresa.
Etapas para implementar un sistema de seguridad
- Introducir el tema de seguridad en la visin de la empresa.
- Definir los procesos de flujo de la informacin y sus riesgos en cuento a
todos los recursos participantes.
- Capacitar a los gerentes y directivos, contemplando el enfoque global.
- Designar y capacitar supervisores de rea.
- Definir y trabajar sobre todo las reas donde se pueden lograr mejoras en
menor tiempo.
- Mejorar las comunicaciones internas
- Identificar claramente las reas de mayor riesgo corporativo y trabajar con
ellas planteando soluciones de alto nivel
- Capacitar a todos los trabajadores en los elementos de seguridad bsica,
riesgo de manejo de software y seguridad fsica.

Bibliografias
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica