Cuatro claves que presenta la seguridad de la información:

1.- Confidencialidad :La información solo llega a las manos y conocimiento de quien está
destinado o autorizado a conocerla.

2.- Integridad: la información debe mantenerse fiel a como fue concebida en su momento
salvo autorización expresa para su modificación.

3.- Disponibilidad: Se refiere a la necesidad de que la información, los archivos o programas se

mantengan disponibles en todo momento pase lo que pase.

4.- Autenticación: Asegurar que las partes implicadas en el proceso de intercambio de datos y
de otros elementos son las correctas. Identificar a los usuarios tanto de un lado del envío
como del otro.

Diagrama de Contexto
Los elementos de la infraestructura IT

Son cuatro los elementos que forman la infraestructura tecnológica IT:

• Servidores: existen distintos tipos de servidores en función de las necesidades de las

empresas y el tamaño de estas.

• Almacenamiento: son diferentes soluciones de almacenamiento las que pueden

aplicarse, entre otras, las hiperconvergentes, cabinas de almacenaje y los dispositivos
NAS como posibles copias de seguridad.

• Networking: esto permite distintas funcionalidades al sistema sin correr riesgos de

seguridad. La agilidad y la flexibilidad hacen aumentar la visibilidad en las redes.

• Seguridad: este elemento proporciona seguridad informática a la empresa y facilita el

acceso a los datos en caso de pérdida o un ataque al sistema.

ESTRATEGIAS a UTILIZAR

Alineación:
Inversiones en tecnología de información alineadas con la estrategia general de la
organización. Este es un punto importantísimo a la hora de controlar el cumplimiento de las
políticas de la organización.

Administración:

Control a través de políticas y procedimientos formalmente definidos para el buen uso de

tecnologías de información. En este aspecto se debe ser estricto por cuanto hay usuarios que
tratan de evadir esta norma con perjuicios para la organización.

Competitividad:

Utilización de la Tecnología de Información como ventaja competitiva. Hoy en dia el mercado

del rubro que sea demanda cada de mas y mejores servicios.

Costo Total de la Tecnología de Información :

Reducción del costo total de la tecnología de información utilizada mediante iniciativas que
promuevan el uso de estándares . Tiene que ver con los puntos 1 y 2, y la relación
costo/beneficio.

Personal:

Poner énfasis en la retención de su personal. Las condiciones laborales que afectará más al
área de TI que a otras áreas de la organización, aumentando la presión sobre la gente.

Otras áreas:

Obtener el apoyo de los responsables de otras áreas de la organización para los proyectos de
TI. Este punto es clave sin el cual se llega a una desorden total.

Importancia:

Lograr que el área de TI sea considerada estratégica y no solamente operativa. Este un punto
en el cual los responsables de las áreas de sistema deben centrar la atención.

Alcances:

Es vital para la Administración de Tecnologías de Información, definir los alcances de la

capacitación con el fin de establecer claramente que tecnologías se deberán desarrollar y
administrar.

TIEMPO DE VIDA ÚTIL

El tiempo transcurrido desde el momento de la adquisición de un activo hasta el momento de

su cambio, venta o desecho se le conoce como tiempo de vida útil o simplemente vida útil.

Momento de Cambio
Depreciación

Depreciación es la pérdida del valor de un activo tangible a consecuencia de su uso, el tiempo,

la tecnología y algunos otros factores.

Importancia de la TI en las Organizaciones

1. La primera razón es que el volumen de datos de las empresas es cada vez mayor, por
lo tanto, se han incrementado los costos de la seguridad de los mismos.

2. Como segunda razón tenemos que las empresas consideran que cada vez se hace más
necesaria la automatización de procesos y plataformas de información que ayuden a la
toma de decisiones, así como también ahorrar recursos económicos y horas de
trabajo.

3. La tercera razón es que las organizaciones desean acelerar sus procesos, debido a las
altas exigencias y competencias que existen en el mercado.

Operaciones de TI

Comunicación

La IT permite una comunicación eficiente y de alta velocidad. El correo electrónico, las

teleconferencias y las llamadas por Internet permiten a los empleados a permanecer en
contacto con sus colegas de todo el mundo. La IT también permite la colaboración virtual. Por
ejemplo, los empleados de los Estados Unidos pueden llevar a cabo reuniones de diseño de
productos con sus colegas chinos o indios utilizando la videoconferencia. Los empleados
pueden acceder a sus servidores de la empresa desde su casa y los gerentes que viajan pueden
responder a los correos electrónicos o descargar documentos que utilizan tecnologías móviles.
Las empresas también pueden crear redes sociales internas que permitan a los empleados
intercambiar información y colaborar en proyectos.

Gestión de datos

Es una colección completa de prácticas, conceptos, procedimientos, procesos y una amplia

gama de sistemas complementarios que permiten a una organización obtener el control de sus
recursos de datos.

La gestión de datos es la función clave de la IT. Los avances tecnológicos y las empresas cada
vez más complejas han aumentado el tráfico de datos de texto, voz y video dentro de las
organizaciones. Las empresas utilizan bases de datos para almacenar, administrar y acceder a
grandes cantidades de datos, incluyendo la información de clientes, registros de inventario, los
archivos de los empleados y los documentos financieros. Sin embargo, las pequeñas y las
grandes empresas deben protegerse contra accesos no autorizados, lo cual puede
comprometer la integridad de los datos y aumentar la protección de la intimidad.

Marketing

La IT es cada vez más importante para las operaciones de marketing de una empresa. Estos
pueden incluir la creación de textos publicitarios en los equipos gráficos poderosos, la
colocación de anuncios en los sitios de medios sociales y el procesamiento de los pedidos en
línea en un sitio de comercio electrónico. Investigar las tendencias de compra del consumidor
e identificar las oportunidades rentables de marketing. Los sistemas de software también
permiten a las empresas controlar las visitas en los sitios web, los clics en los anuncios de
Internet y la cantidad de tiempo dedicada a cada sección de un sitio de comercio electrónico.

Mejora de procesos

Las empresas pueden aprovechar la IT para mejorar los procesos y lograr ahorros de costos.
Por ejemplo, una empresa podría insistir en la comunicación sin papel dentro de la empresa
para ahorrar en costos de impresión y duplicación, mientras logra la transferencia fiable de
datos. La colaboración virtual ahorra en gastos de viaje caros y mejora la productividad porque
los empleados no tienen que pasar horas o días en los aviones y en las terminales
aeroportuarias. La IT puede hacer que los procesos de recursos humanos sean más eficaces.
Por ejemplo, una empresa puede organizar las sesiones de entrenamiento basadas en Internet
para sus clientes y empleados con el consiguiente ahorro de costos y tiempo.

Planificación de recursos empresariales

La planificación de recursos empresariales es el uso de sistemas de software para unir las

funciones de negocio, incluyendo ventas, manufactura, recursos humanos y contabilidad. La
gestión tiene acceso a información agregada en tiempo real que ayuda en la operación y en la
toma de decisiones estratégicas. Para las grandes empresas, estos sistemas pueden ser caros y
la instalación puede perturbar las operaciones por meses. Sin embargo, las pequeñas
empresas pueden instalar los módulos de software para una función a la vez, lo cual reduce los
costos y las interrupciones.

PROCESAMIENTO DE DATOS

El concepto de procesamiento de datos incluye una extensa lista de temas asociados y

relacionados que abarcan todo el proceso de gestión y aprovechamiento de datos en todos los
niveles.
En esa lista podemos encontrar términos como: arquitectura de datos, modelado de datos,
gestión de datos, base de datos, Big Data, gestión de contenido, seguridad de datos y otros
más. Se trata de una revolución comercial que está sucediendo en este momento dentro de
enormes bancos de datos e información.

Es una colección completa de prácticas, conceptos, procedimientos, procesos y una amplia

gama de sistemas complementarios que permiten a una organización obtener el control de sus
recursos de datos.

Conceptos

El acceso a los datos: se refiere a la capacidad de acceder y recuperar información donde sea
que esté almacenada. Ciertas tecnologías pueden hacer que este paso sea lo más fácil y
eficiente posible para que puedas pasar más tiempo usando los datos y no solo tratando de
encontrarlos.

La calidad de los datos: esta no es más que la práctica para asegurarse de que los datos sean
precisos y utilizables para los fines previstos. Esto comienza desde el momento en que se
accede a los datos y continúa a través de varios puntos de integración con otros datos, e
incluso incluye el punto antes de que se publique o informe.

La integración de datos: este término define los pasos para combinar diferentes tipos de
datos. Las herramientas de integración de datos te ayudan a diseñar y automatizar los pasos
que hacen este trabajo.

La federación de datos: se trata de un tipo especial de integración de datos virtuales que te

permiten ver datos combinados de múltiples fuentes sin la necesidad de mover y almacenar
todo esto en una nueva ubicación.

El control de datos: es un conjunto continuo de reglas y decisiones para administrar los datos
de tu organización para garantizar que tu estrategia de datos esté alineada con tu estrategia
comercial.

La gestión de datos maestros (MDM): define, unifica y gestiona todos los datos que son
comunes y esenciales para todas las áreas de una organización. Estos datos maestros se
administran normalmente desde una única ubicación o hub.

La transmisión de datos: implica analizar los datos a medida que se mueven aplicando la lógica
a los datos, reconociendo los patrones en los datos y filtrando para múltiples usos a medida
que fluyen en tu organización.
Objetivos de la Administración de Redes

• Mejorar la continuidad en la operación de la red con mecanismos

adecuados de control y monitoreo, de resolución de problemas y
de suministro de recursos.

• Hacer uso eficiente de la red y utilizar mejor los recursos, como

por ejemplo, el ancho de banda.

• Reducir costos por medio del control de gastos y de mejores mecanismos

de cobro.
 • Hacer la red mas segura, protegiéndola contra el acceso no autorizado,
haciendo imposible que personas ajenas puedan entender la información
que circula en ella.

• Controlar cambios y actualizaciones en la red de modo que ocasionen

las menos interrupciones posibles, en el servicio a los usuarios.

1. El submodelo Organizacional

El submodelo Organizacional para la administración de redes

incluye cuatro elementos:

Estación de administración (NMS)

Agente de administración

Datos de información de administración

Protocolo de administración de red

El submodelo Informativo

Trata de la estructura y almacenamiento de la información relativa a la

administración de la red. Esta información se guarda en una base de datos

la cual recibe el nombre de Base de datos de información sobre

administración (MIB). La ISO definió la estructura de la información de

administración (SMI) para especificar la sintaxis y la semántica de la

información sobre administración que se guarda en la MIB.

3. El submodelo Comunicacional
Trata de la forma como se comunican los datos de administración

en el proceso agente-administrador. Atiende lo relacionado con el

protocolo de transporte, el protocolo de aplicaciones y los comandos

y respuestas entre pares.

4. El submodelo Funcional

Atiende las aplicaciones de administración de redes que residen en la estación de

administración de la red (NMS). El modelo de administración de redes OSI distingue cinco
áreas funcionales y a veces recibe el nombre de modelo FCAPS:

• Falla (Fail)

• Configuración (Configuration)

• Contabilidad (Account)

• Rendimiento (Performance)

• Seguridad (Security)

Tipos de soporte técnico:

• Soporte Técnico Presencial: tal como su nombre lo indica, este tipo de soporte técnico
se ejecuta en el lugar donde se encuentra el equipo de cómputo y puede ser realizado
al hardware y/o software.

• Soporte Técnico a Distancia: gracias al avance de la tecnología digital no es necesario

contar con la presencia de un técnico en el lugar donde se encuentre el dispositivo
electrónico o mecánico para dar solución a un problema.

• Soporte Técnico Remoto: en el campo de las TIC, este tipo de soporte técnico es el
más empleado por expertos del área, gracias a la posibilidad de poder observar, desde
el lugar en que se encuentre el equipo de cómputo, el problema exacto que esté
presente.

Que debe Garantizar

La seguridad de la información se caracteriza aquí como la preservación de:
 su confidencialidad, asegurando que sólo quienes estén autorizados
pueden acceder a la información.
 su integridad, asegurando que la información y sus métodos de proceso
son exactos y completos.
 su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran.
Vulnerabilidades Comunes
 Inadecuado compromiso de la dirección.
 Personal inadecuadamente capacitado y concientizado.
  Inadecuada asignación de responsabilidades.
 Ausencia de políticas/ procedimientos.
 Ausencia de controles
• (físicos/lógicos)
• (disuasivos/preventivos/detectivos/correctivos)
 Ausencia de reportes de incidentes y vulnerabilidades.
 Inadecuado seguimiento y monitoreo de los controles.
Normativa ISO 27001
 La norma ISO 27001 define cómo organizar la seguridad de la información en
cualquier tipo de organización.
 Permite la implementación y mantenimiento del Sistema de Gestión para la
Seguridad de la Información(SGSI) Responsabilidad de un área especializada o
áreas ya existentes en la empresa.
 La Norma ISO 27001 abarca:
 Funciones asignadas:
 Asegurar el cumplimiento de políticas.
 Coordina y monitorea la implementación de
 controles.
 Procesos de inducción y concientización para
 personal.
 Evaluación de incidentes de seguridad
 Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un SGSI según el conocido “Ciclo de Demming”: PDCA acrónimo de :
 Plan - Planificar
 Do - Hacer
 Check - Verificar
 Act - Actuar
Tratamiento de Riesgo
 El objetivo principal del proceso de tratamiento de riesgos es reducir
los riesgos no aceptables.
  En este paso, se debe redactar un Informe sobre la evaluación de
riesgos que documente todos los pasos tomados durante el proceso de
evaluación y tratamiento de riesgos.
Seguridad Ligada al Recurso Humano
 Los Usuarios se acostumbran a usar la tecnología sin saber como funciona o de
los riesgos que pueden correr.
 Son las principales víctimas.
 También son el punto de entrada de muchos de los problemas crónicos.
 “El eslabón más débil” en la cadena de seguridad.
Dos enfoques para controlarlo:
 Principio del MENOR PRIVILEGIO POSIBLE:
 Reducir la capacidad de acción del usuario sobre los sistemas.
 Objetivo: Lograr el menor daño posible en caso de incidentes.
 EDUCAR AL USUARIO:
 Generar una cultura de seguridad. El usuario ayuda a reforzar y aplicar
los mecanismos de seguridad.
 Objetivo: Reducir el número de incidentes
 El software moderno es muy complejo y tiene una alta probabilidad de
contener vulnerabilidades de seguridad.
 Un mal proceso de desarrollo genera software de mala calidad. “Prefieren que
salga mal a que salga tarde”.
 Usualmente no se enseña a incorporar requisitos ni protocolos de seguridad en
los productos de SW.
Propiedades de la Información en un “Trusted System”
 Confidencialidad: Asegurarse que la información en un sistema de cómputo y
la transmitida por un medio de comunicación, pueda ser leída SOLO por las
personas autorizadas.
 Autenticación: Asegurarse que el origen de un mensaje o documento
electrónico esta correctamente identificado, con la seguridad que la entidad
emisora o receptora no esta suplantada.

 Integridad: Asegurarse que solo el personal autorizado sea capaz de modificar la

información o recursos de cómputo.
 No repudiación: Asegurarse que ni el emisor o receptor de un mensaje o acción sea
capaz de negar lo hecho.

 Disponibilidad: Requiere que los recursos de un sistema de cómputo estén disponibles

en el momento que se necesiten.