17-06-2016
PARA LA NOTA DE LA EVALUACIÓN FINAL TRABAJAR EN SIGUIENTE ENLACE Y CONTESTAR EL CUESTIONARIO DEL MISMO.
CUESTIONARIO Nº1
¿Qué es una política de seguridad y cuál es su objetivo?
Las políticas son una serie de instrucciones documentadas que indican la forma en que se llevan a cabo determinados procesos dentro de una organización, también describen cómo se debe tratar un determinado problema o situación.
El objetivo de una política de seguridad informática es la de implantar una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información, y a su vez puedan ser entendidas y ejecutadas por todos aquellos miembros de la organización a las que van dirigidos.
¿Cómo se define la visión, misión y objetivo de una organización?
Misión
Una misma organización puede tener varias misiones, que son las actividades objetivas y concretas que realiza. Las misiones también pretenden cubrir las necesidades de la organización.
Visión
Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida, pues todas las actividades de la organización estarán enfocadas a alcanzar esta visión
Objetivos
Son actividades específicas enfocadas a cumplir metas reales, alcanzables y accesibles. Se puede decir que un objetivo es el resultado que se espera logrra al final de cada operación.
Mencione los principios fundamentales de una política de seguridad
Responsabilidad individual
Autorización
Mínimo privilegio
Separación de obligaciones
Auditoria
Redundancia
¿De qué se encargan las políticas para la confidencialidad?
Encargadas de establecer la relación entre la clasificación del documento y el cargo (nivel jerárquico dentro de la organización) que una persona requiere para poder acceder a tal información.
¿De qué se encargan las políticas para la integridad?
es más importante mantener la integridad de los datos pues se usan para la aplicación de actividades automatizadas aún cuando en otros ambientes no es así, como en los ámbitos gubernamental o militar.
¿Cuáles son los modelos de seguridad?
Modelo Abstracto
Modelo Concreto
Modelos de control de acceso
Modelos de flujo de información
¿Qué son los procedimientos preventivos?
Los procedimientos preventivos pueden variar dependiendo del tipo de actividades que realiza la organización, los recursos que tiene disponibles, que es lo que quiere proteger, las instalaciones en que labore y la tecnología que use.
¿Qué son los procedimientos correctivos?
Los procedimientos correctivos son acciones enfocadas a contrarrestar en lo posible los daños producidos por un desastre, ataque u otra situación desfavorable y restaurar el funcionamiento normal del centro de operación afectado.
¿Qué es un plan de contingencia?
El Plan de Contingencias es el instrumento de gestión para el manejo de las Tecnologías de la Información y las Comunicaciones.
¿Cuáles son las fases del plan de contingencia?
Las fases se pueden dividir en análisis y diseño, desarrollo, pruebas y mantenimiento.
¿Qué actividades se realizan en cada fase del plan de contingencia?
En esta fase se identifican las funciones de la organización que pueden considerarse como críticas y se les da un orden jerárquico de prioridad.
En esta fase se creará la documentación del plan, cuyo contenido mínimo será:
Objetivo del plan.
Modo de ejecución.
Tiempo de duración.
Costes estimados.
Recursos necesarios.
Consiste en realizar las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos en la etapa de diseño. Las pruebas no deben buscar comprobar si un plan funciona, mas bien debe enfocarse a buscar problemas y fallos en el plan para así poder corregirlos.
CUESTIONARIO Nº2
Análisis de riesgo
¿Qué es el análisis de riesgo?
El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
¿Qué es la aceptación del riesgo?
Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. Esta decisión se toma una vez que se han estudiado los diferentes escenarios posibles para una misma amenaza y se han aplicado todos los procedimientos posibles para contrarrestar sus efectos y probabilidad de que ocurra.
¿Qué es el riesgo residual?
Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias.
¿Qué son los controles?
Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización. Un mismo control puede ser implementado para una o varias políticas de seguridad, lo que indica que la relación no es forzosamente de uno a uno.
¿Qué es el análisis cuantitativo?
El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
¿Qué es el análisis cualitativo?
Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo).
¿Cuáles son los pasos del análisis de riesgo?
1-Identificación y evaluación de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del análisis de riesgo
Explique brevemente que actividades se desarrollan en cada paso del análisis de riesgo
El primer paso en la evaluación de riesgo es identificar y asignar un valor a los activos que necesitan protección.
Después de identificar los activos que requieren protección, las amenazas a éstos deben identificarse y examinarse para determinar cuál sería la pérdida si dichas amenazas se presentan.
El nivel de riesgo se determina analizando la relación entre las amenazas y las vulnerabilidades.
Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto.
La identificación de los controles es parte de la recolección de datos en cualquier proceso de análisis de riesgo.
Siempre existirá un riesgo residual por lo tanto, debe determinarse cuando el riesgo residual, es aceptable o no.
Una vez que el riesgo residual haya sido determinado, el siguiente paso es identificar la forma mas efectiva y menos costosa para reducir el riesgo a un nivel aceptable.
El proceso de análisis de riesgo ayuda a identificar los activos de información en riesgo y añade un valor a los riesgos, adicionalmente identifica las medidas protectoras y minimiza los efectos del riesgo y asigna un costo a cada control.
¿En que consiste el análisis costo beneficio?
El análisis costo/beneficio es una importante técnica que nos ayuda en la toma de decisiones, pues brinda información necesaria para determinar si una actividad es rentable, o por el contrario representa un impractico desperdicio de recursos.
CUESTIONARIO Nº3
Ética Informática
¿Qué es ética informática?
La ética informática puede perseguir varios objetivos:
- Descubrir y articular dilemas éticos claves en informática.
- Determinar en qué medida son agravados, transformados o creados por la tecnología informática.
- Analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación.
- Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.
- Proponer un marco conceptual adecuado para entender los dilemas éticos que origina la informática y además establecer una guía cuando no existe reglamentación de dar uso a Internet.
¿Cuáles son los objetivos de la ética informática?
La ética informática puede perseguir varios objetivos:
- Descubrir y articular dilemas éticos claves en informática.
- Determinar en qué medida son agravados, transformados o creados por la tecnología informática.
- Analizar y proponer un marco conceptual adecuado y formular principios de actuación para determinar qué hacer en las nuevas actividades ocasionadas por la informática en las que no se perciben con claridad líneas de actuación.
- Utilizar la teoría ética para clarificar los dilemas éticos y detectar errores en el razonamiento ético.
- Proponer un marco conceptual adecuado para entender los dilemas éticos que origina la informática y además establecer una guía cuando no existe reglamentación de dar uso a Internet.
¿Qué es un código deontológico?
El código deontológico es un documento que recoge un conjunto de criterios, normas y valores que formulan y asumen quienes llevan a cabo una actividad profesional. Los códigos deontológicos se ocupan de los aspectos más sustanciales y fundamentales del ejercicio de la profesión que regulan.
Mencione cuales temas son tratados frecuentemente en la ética informática
- Ética profesional general
-La utilización de la información
- Lo informático como nueva forma de bien o propiedad
- Lo informático como instrumento de actos potencialmente dañinos
- Miedos y amenazas de la informática
- Dimensiones sociales de la informática
Describa brevemente en qué consiste cada tema mencionado en la pregunta anterior
- Ética profesional general
Por un lado están los criterios de moralidad personal, entendiendo como tales los criterios, obligaciones y responsabilidades personales de los profesionales. Por otro lado están los problemas interiores a la empresa: relaciones empleador-empleado, lealtad organizacional, interés público, el comercializar productos similares a los de tu empleador, etc.
En este bloque existen nuevos problemas que han sido creados o acentuados por las nuevas tecnologías: aumento de vigilancia en las oficinas automatizadas por medio del control del correo electrónico dentro de la empresa o de la información sobre el uso de los equipos computacionales que hace cada empleado, investigar en registros personales para detectar uso de drogas en los empleados, etc. Por último, hay también problemas de ética que hacen referencia a prácticas comerciales incluyendo contratos, acuerdos y conflictos de interés, como, por ejemplo, proponer programas informáticos inferiores, comercializar software sabiendo que tiene fallos (bugs), etc..
En este bloque existen nuevos problemas que han sido creados o acentuados por las nuevas tecnologías: aumento de vigilancia en las oficinas automatizadas por medio del control del correo electrónico dentro de la empresa o de la información sobre el uso de los equipos computacionales que hace cada empleado, investigar en registros personales para detectar uso de drogas en los empleados, etc. Por último, hay también problemas de ética que hacen referencia a prácticas comerciales incluyendo contratos, acuerdos y conflictos de interés, como, por ejemplo, proponer programas informáticos inferiores, comercializar software sabiendo que tiene fallos (bugs), etc..
-La utilización de la información
Un capítulo de problemas que aparece en esta área es el relativo al uso no autorizado de los servicios informáticos o de la información contenida en ellos. Se plantean problemas de invasión de la privacidad, de falta de confidencialidad en la información, sobre todo de datos sensibles. Los esfuerzos por proteger la integridad y confidencialidad de la información chocan con la necesidad de información de las entidades públicas y privadas y los entornos académicos o de investigación, es decir, con su derecho a la libertad de información.
- Lo informático como nueva forma de bien o propiedad
Otro capítulo de problemas a los que la Ética informática quiere atender hace referencia al software como un bien que tiene características específicas. Los programas de computadora suponen un tipo de propiedad de bien que no encaja fácilmente en los conceptos de propiedad de otros tipos de bienes.
- Lo informático como instrumento de actos potencialmente dañinos
Uno de los temas con los que más se relaciona a las tecnologías informáticas con la Ética, y es referente a la idea de que las tecnologías informáticas pueden ser usadas como medio para causar daño a terceras personas.
- Miedos y amenazas de la informática
En algunos casos se incluyen en la Ética Informática unas consideraciones sobre las visiones antropomórficas de las computadoras como máquinas pensantes o como productores de verdades absolutas e infalibles.
- Dimensiones sociales de la informática
- Dimensiones sociales de la informática
La informática ha contribuido en el desarrollo positivo de los medios de comunicación social. Las tecnologías de la información han hecho posible las comunicaciones instantáneas, el acumular y diseminar información y hechos como el turismo de masas. Sin embargo, al plantear cuestiones éticas, los autores se fijan más en aspectos problemáticos de la implantación de las tecnologías de la información que en sus logros positivos.
Mencione qué problemas se enfrenta actualmente la ética informática
- La bibliografía relacionada con Ética Informática no esta suficientemente acentuada en las teorías éticas, ya sea clásicas o contemporáneas. Esto da como resultado afirmaciones vagas y conceptos que no muestran su totalidad la importante relación entre la Informática y la Ética .
- Mucha literatura existente tiene una orientación individualista. Se centra más en lo que tienen que hacer los empleados, directivos o diseñadores como personas individuales implicadas en las tecnologías de la información. Se habla menos de que es bueno o ético en cuanto a organizaciones, instituciones o corporaciones. Se dedica más tiempo a tratar sobre la elección moral del trabajador que a las elecciones de las organizaciones y sus gestores.
- La literatura existente es más sociológica que ética; es menos normativa que descriptiva. En general no se ofrecen principios de actuación o respuestas a las preguntas "debe" (qué debería hacer yo como persona, que debería hacer yo y los míos como organización, qué normas sociales deberíamos promover, que leyes debemos tener...). El objetivo de la Ética Informática no es solamente proponer análisis sobre "sociología de la informática" o sobre la evaluación social de las tecnologías, sino ir algo más allá en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juego valores humanos y dilemas éticos.
- Mucha literatura existente tiene una orientación individualista. Se centra más en lo que tienen que hacer los empleados, directivos o diseñadores como personas individuales implicadas en las tecnologías de la información. Se habla menos de que es bueno o ético en cuanto a organizaciones, instituciones o corporaciones. Se dedica más tiempo a tratar sobre la elección moral del trabajador que a las elecciones de las organizaciones y sus gestores.
- La literatura existente es más sociológica que ética; es menos normativa que descriptiva. En general no se ofrecen principios de actuación o respuestas a las preguntas "debe" (qué debería hacer yo como persona, que debería hacer yo y los míos como organización, qué normas sociales deberíamos promover, que leyes debemos tener...). El objetivo de la Ética Informática no es solamente proponer análisis sobre "sociología de la informática" o sobre la evaluación social de las tecnologías, sino ir algo más allá en el sentido de proporcionar medios racionales para tomar decisiones en temas en los que hay en juego valores humanos y dilemas éticos.
BIBLIOGRAFIA:
