UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

FACULTAD DE INGENIERÍA DE SISTEMAS

COMPUTACIONALES
DEPARTAMENTO DE ARQUITECTURA Y REDES DE
COMPUTADORAS

Capítulo-8

Asignatura:
Sistemas de Información Gerencial

Facilitador:
Ing. Walter Bonilla

Integrantes:
Everic Martínez
Nileishka Lowe
Edward Domínguez
Danitza Lañón

Grupo:
11R141

Entrega:
12 de junio 2023
I Semestre 2023.
 CAPÍTULO VIII – PREGUNTAS DEL CASO DE ESTUDIO 1

TARGET SE CONVIERTE EN EL OBJETIVO DE UN ROBO DE DATOS MASIVO

Respuesta Pregunta 1:

1. Primero está el uso de formas de pago pocas seguras como las tarjetas con tiras
magnéticas.

2. El sistema FireEye tiene una opción para eliminar el malware automáticamente al

detectarlo. Al haber desactivado esa función eliminaron la capacidad rápida de
respuesta ante un ataque inminente lo cual asume un mayor riesgo.

3. El equipo de seguridad de puede enfocarse sólo en un número limitado de amenazas

lo cual limita la seguridad de la empresa al no disponer de un sistema de respuesta
automático ante estas amenazas.

4. los sistemas de Target no estaban correctamente segmentados de modo que los más
sensibles, incluyendo los de pagos de clientes y datos personales, estuvieran aislados
totalmente de otras partes de la red y, en especial, de Internet abierta.

Respuesta Pregunta 2:

La gerencia en si era la mayor responsable de este incidente pues pese a estar conscientes de la
amenaza decidieron ignorarla y dejarla hay para centrarse en otras que ellos creían eran más
preocupantes.

• la administración no presto la suficiente atención a las amenazas de seguridad pues eran

conscientes del problema y aun así no tomaron medidas al respecto pues según ellos eso era algo
muy recurrente.

• En tanto la organización no desarrollo formas de detección de intrusos más eficientes mediante

el monitoreo constante de las entradas y salidas de la red.

• En parte de la tecnología sus sistemas presentaban graves vulnerabilidades de seguridad pues

los intrusos lograron acceder a una parte tan crítica del sistema desde las credenciales de un
tercero encargado en distribución y refrigeración por lo que sus sistemas no contaban con una
estructura segura y más segmentada para disminuir el riesgo.
A nivel de administración y tecnología, el hecho de no tener activado la eliminación automática,
alegando que era para tomar decisiones finales, sabiendo que no tenían control de todas las
amenazas fue muy irresponsable de su parte; otra razón fue el hecho de no definir el alcance de
alianza con la compañía recién atacada, estos deben tener control de cada trama o dato saliente y
entrante de la compañía.

Respuesta Pregunta 3:

Clientes:

 Robo de datos confidenciales de las tarjetas de los clientes (números de las tarjetas, sus
fechas de vencimiento, nombres y NIP

 Robo de Información personal (número telefónico, dirección y dirección de correo

electrónico)

 Gasto innecesariamente obligado para cambiar de tarjeta de crédito

Empresa:

 La rentabilidad de la empresa cayó en 46%

 Se presentaron 70 demandas contra Target

Respuesta Pregunta 4:

Como solución propondríamos cambios en la en los sistemas de IDS e IPS, o en su defecto

aplicarlos, automatizaría ese tipo de respuestas; propondría la utilización de algunos marcos de
seguridad implementado a procesos, manejo de información, servicios y dispositivos de red,
aplicaría in antimalware, anti-ransomware y establecería un equipo de respuestas dedicado a IPS
avanzado para este tipo de ataques, ya que se maneja información sensible.
 CAPÍTULO VIII – PREGUNTAS DEL CASO DE ESTUDIO 2

BYOD: NO ES TAN SEGURO

Respuesta Pregunta 1:

Se cree que los smartphones y otros dispositivos móviles son una de las más grandes amenazas de
seguridad para las organizaciones. Uno de los problemas más grandes con estos dispositivos es
que podrían llegar a perderse junto a la información de la organización. Lo que pone en riesgo
todos los datos personales y corporativo que estaban almacenados en el dispositivo, así como
direcciones de servidores y datos. Estos dispositivos no fueron diseñados para la seguridad y
privacidad del usuario, y si lo hacen es de forma pobre e insuficiente, nos exponen a varios
factores como el rastreo de localización. La mayoría de los teléfonos móviles le dan al usuario
mucho menos control de lo que podría una computadora de escritorio personal o una laptop; es
más difícil reinstalar el sistema operativo, más difícil de investigar los ataques maliciosos del
malware, difícil de remover o reemplazar paquetes indeseables de software, y difícil de prevenir
que personas, como el operador del servicio móvil, vigilen tu uso del dispositivo.

Respuesta Pregunta 2:

Algunos de los proveedores de la nube no cumplen con los requerimientos actuales de

conformidad en relación con la seguridad y alguno de estos proveedores como AMAZON, han
asegurado que no tienen la intención de cumplir con esas reglas y no permitirán en su sitio de
trabajo el acceso a los auditores encargados de verificar la conformidad.

El corte de suministro de energía, ya que en ese momento no hay acceso a datos cruciales lo cual
pone en riesgo la operatividad de los negocios.

Respuesta Pregunta 3:

El crecimiento exponencial de los dispositivos Android, y a la vez que escasamente regulado,

mercado de aplicaciones para Android, han provocado un aumento acusado de programas
maliciosos dirigidos a esta plataforma.

Cuando pensamos en las tendencias de seguridad en el campo de las tecnologías de la

información, suelen venirnos al pensamiento los firewalls, los dispositivos de seguridad, políticas y
amenazas como malware, ransomware y troyanos. Pero eso era seguridad antes de la invasión
móvil.
Respuesta Pregunta 4:

Es necesario aclarar el control sobre los datos, la privacidad, la disponibilidad de la información, la

capacidad de resistir incidentes y el acceso general a la red.

Por tal razón las empresas deben saber el grado de confidencialidad de la información que
manejan, conocer al proveedor y las condiciones de servicio, además de considerar las
implicaciones y riesgos al migrar a la nube.

Se debe regular el uso de los dispositivos móviles, capacitar a los usuarios que hacen uso de estos
para que sean más seguros.

CAPÍTULO VIII – PREGUNTAS DE REPASO

8-1 ¿Por qué son vulnerables los sistemas de información a la destrucción, el error y el abuso?

R:
Los sistemas de información concentran los datos en archivos de computadoras, por ello, los datos
automatizados son más susceptibles a destrucción, fraude, error y abuso. Cuando se almacenan
grandes cantidades de datos en forma electrónica, estos son vulnerable a muchos tipos de
amenazas. Su origen puede estar en factores técnicos, de organización y del entorno, combinados
con las malas decisiones gerenciales.

8.1.A. Liste y describa las amenazas más comunes contra los sistemas de información
contemporáneos.

R:
• Contemporáneos.
• -Fallos de hardware
• -Incendio
• -Fallos de software
• -Problemas eléctricos
• -Acciones del personal
• -Errores de usuario
• -Penetración por terminales
• -Cambios de programas
• -Robo de datos, servicios, equipo
• -Problemas de telecomunicaciones

Los adelantos en telecomunicaciones y software de computadora han intensificado esta

vulnerabilidad.
Se requieren disposiciones más complejas y diversas de hardware, software,
organización y personal, para las redes de telecomunicaciones, lo que crea nuevas áreas y
oportunidades de penetración y manipulación.

8.1.B. Defina el malware e indique la diferencia entre un virus, un gusano y un caballo de Troya.

R:
Malware: Malware es la abreviatura de “Malicious software”, término que engloba a todo tipo de
programa o código informático malicioso cuya función es dañar un sistema o causar un mal
funcionamiento. Dentro de este grupo podemos encontrar términos como: Virus, Troyanos
(Trojans), Gusanos (Worm), keyloggers, Botnets, Ransomwares, Spyware, Adware, Hijackers,
Keyloggers, FakeAVs, Rootkits, Bootkits, Rogues, etc.

En la actualidad y dado que los antiguos llamados Virus informáticos ahora comparten funciones
con sus otras familias, se denomina directamente a cualquier código malicioso
(parásito/infección), directamente como un “Malware”.
8.1.C. Defina a un hacker y explique cómo crean los hackers problemas de seguridad y dañan
sistemas.

R:
Un Hacker es una persona con grandes conocimientos de informática que se dedica a acceder
ilegalmente a sistemas informáticos ajenos y a manipularlos. Los hackers pueden estar motivados
por una multitud de razones, incluyendo fines de lucro, protesta o por el desafío. La subcultura
que se ha desarrollado en torno a los hackers a menudo se refiere a la cultura de computadoras,
pero ahora es una comunidad abierta. Aunque existen otros usos de la palabra «hacker» que no
están relacionados con la seguridad informática, rara vez se utilizan en el contexto general.

8.1.D. Defina crimen por computadora. Mencione dos ejemplos de delitos en los que las
computadoras sean el objetivo y dos ejemplos en los que se utilicen como instrumentos de
delito.

R:
La mayoría de las actividades de los hackers son delitos criminales; las vulnerabilidades de los
sistemas que acabamos de describir los convierten en objetivos para otros tipos de  delitos por
computadora también. El delito por computadora se define en el Departamento de Justicia de
Estados Unidos como “cualquier violación a la ley criminal que involucra el conocimiento de una
tecnología de computadora para su perpetración, investigación o acusación”.

fraude realizado a través del uso de una computadora o del Internet. La piratería informática
(hacking) es una forma común de fraude: el delincuente usa herramientas tecnológicas
sofisticadas para acceder a distancia a una computadora con información confidencial.

 Revelación de secretos y acceso ilícito a sistemas y equipos de informática.

 Acoso sexual.
 Alteración o manipulación de medios de identificación electrónica.
 Delitos contra la indemnidad de privacidad de la información sexual.

8.1.E Defina robo de identidad o phishing; explique, además, por qué el robo de identidad es un
problema tan grande en la actualidad.

R:
El robo de identidad ha prosperado en Internet, en donde los archivos de tarjetas de crédito son
uno de los principales objetivos de los hackers de sitios Web. Además, los sitios de comercio
electrónico son maravillosas fuentes de información personal sobre los clientes: nombre, dirección
y número telefónico. Armados con esta información, los criminales pueden asumir nuevas
identidades y establecer nuevos créditos para sus propios fines. Una táctica cada vez más popular
es una forma de spoofing conocida como phishing, la cual implica el proceso de establecer sitios
Web falsos o enviar tanto correo electrónico como mensajes de texto que se parezcan a los de las
empresas legítimas, para pedir a los usuarios datos personales.
8.1.F. Describa los problemas de seguridad y confiabilidad de sistemas generados por los
empleados.

R:
Muchas veces los problemas de seguridad y confiabilidad son causados por los propios empleados
lo cual venden y negocian con información de vital importancia, por ello se ha visto en la
necesidad, de sistematizar todo y de que solo personal autorizado, tenga acceso a dicha
información.

8.1.G. Explique cómo afectan los defectos del software a la confiabilidad y seguridad de los
sistemas.

R:
Por un lado, encontramos los posibles problemas que se generan a través de las apps. Y es que el
fallo de un software puede afectar a estos programas del siguiente modo: se tienen problemas con
la cuenta de Mail o el navegador Safari, por lo que se puede acabar creyendo que se trata de
problemas con los ajustes de internet, algo que se puede comprobar añadiendo una cuenta
diferente de usuario y verificando. Ya sólo quedaría comprobar y listo. El problema debería de
estar resuelto.

8-2 ¿Cuál es el valor de negocios de la seguridad y el control?

R:
El valor de la seguridad dentro del sistema de información es de vital importancia, gracias ello se
puede manejar información de todo tipo, motivo por el cual debe ser guardado bajo 7 llaves, para
poder llevar el control de todo.

8.2.A. Explique cómo la seguridad y el control proporcionan valor a los negocios.

R:
La seguridad dentro del sistema de información es de vital importancia, gracias ello se puede
manejar información de todo tipo, motivo por el cual debe ser guardado con mezquindad, para
poder llevar el control de todo.

8.2.B. Describa la relación entre seguridad y control, los recientes requerimientos regulatorios
del gobierno de Estados Unidos y el análisis forense de sistemas.

R:
Regulatorios del gobierno de Estados Unidos y el análisis forense de sistemas. La relación que se
guarda en cuanto a seguridad y control es muy amplia, porque gracias a que tengas una buena
seguridad dentro de todos tus sistemas, puedes llevar un control muy estricto y cauteloso para
manejar la información.

8-3 ¿Cuáles son los componentes de un marco de trabajo organizacional para la seguridad y el
control?

R:
De otra parte, la estructura de la organización se compone de diferentes elementos los cuales
pueden ser estudiados según su posición y funcionamiento. Chiavenato (2004) señala que la
estructura depende del ambiente, la estrategia, la tecnología, las personas, las actividades y el
tamaño de la organización, esto orientado a las actividades necesarias para el trabajador.

8.3.A. Defina los controles generales y describa cada tipo de control general.

R:

• La primera la designación jerárquica, el control de gerentes y supervisores, algunas

personas o grupos tiene que tomar las decisiones dentro de la organización.

• La segunda ubicar como se encuentran agrupadas las áreas y reconocer las actividades
que cada persona realizar, la distribución puede ser formal e informal, temporal o
permanente, voluntaria o forzada, en esta, realizando la división de trabajo, en el cual será
definido por la naturaleza y contenido de cada labor, así como la departamentalización,
después de haber realizado la división de trabajo se procede a la agrupación y
combinación de los elementos para ejecutar las tareas, con ello se realizara al
establecimiento de puestos, quien se encarga de supervisar a quien, después con el
establecimiento de puestos se debe delegar autoridad necesaria definiendo hasta la
capacidad de tomar decisiones y autorizar adecuadamente los recursos.

• La tercera el diseño de sistemas para asegurar la coordinación y cómo van a integrarse los
esfuerzos en todos los departamentos. Por medio del diseño organizacional los
administradores podrán analizar y planear la división de trabajo.

8.3.B. Defina los controles de aplicación y describa cada tipo de control de aplicación.

R:
Los controles de aplicación son las revisiones que efectúan las empresas en el campo de la
auditoría interna, para asegurar que cada transacción sea manejada de acuerdo con el objetivo
específico descontrol.
8.3.C. Describa la función de la evaluación del riesgo y explique cómo se lleva a cabo para los
sistemas de información.

R:
Paso 1: Identificación de los riesgos y de los trabajadores expuestos Recorrer el lugar de trabajo
para examinar lo que podría causar daños y determinar cuáles son los trabajadores que están en
situación de riesgo.

Paso 2: Evaluación de riesgos y asignación de prioridades a los mismos Valorar los riesgos
existentes (su gravedad, probabilidad, etc.) y clasificarlos por orden de prioridad. Es primordial dar
prioridad al trabajo necesario para eliminar o prevenir los riesgos.

Paso 3: Planificación de las medidas preventivas necesarias Determinar cuáles son las medidas
adecuadas para eliminar o controlar los riesgos.

Paso 4: Adopción de las medidas Adoptar medidas preventivas y de protección estableciendo un

plan de prioridades (probablemente no se puedan resolver todos los problemas de forma
inmediata) y especificar lo que hay que hacer, cuándo debe hacerse y a quién le corresponde
hacerlo, cuándo debe finalizarse una tarea y los medios asignados para adoptar las medidas
adecuadas.

Paso 5: Seguimiento y revisión La evaluación debe revisarse periódicamente para comprobar que
las medidas funcionan o se aplican. Así pues, debe realizarse una revisión cuando se produzcan
cambios significativos en la organización o como consecuencia de la investigación de un accidente
o «incidente»

8.3.D. Defina y describa lo siguiente: política de seguridad, política de uso aceptable y

administración de identidad

R:
Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan de
acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de
cierto nivel de seguridad.

La gestión de identidad (gestión de ID o ID management) es una amplia área administrativa que se

ocupa de la identificación de individuos en un sistema (por ejemplo, un país, una red o una
empresa) así como de controlar su acceso a los recursos dentro de ese sistema mediante la
asociación de derechos de usuario.
8.3.E. Explique cómo es que la auditoría de sistemas de información promueve la seguridad y el
control.

R:

CONTROLES DE LOS SISTEMAS DE INFORMACIÓN

 
Los controles de los sistemas de información pueden ser manuales y automatizados; consisten
tanto de controles generales como de aplicación. Los controles generales gobiernan el diseño, la
seguridad y el uso de los programas de computadora, además de la seguridad de los archivos de
datos en general, a lo largo de toda la infraestructura de tecnología de la información de la
organización. En conjunto, los controles generales se asignan a todas las aplicaciones
computarizadas y consisten en una combinación de hardware, software y procedimientos
manuales que crean un entorno de control en general

Los controles de aplicación son controles específicos únicos para cada aplicación computarizada,

como nómina o procesamiento de pedidos. Implican procedimientos tanto automatizados como
manuales, los cuales aseguran que la aplicación procese de una forma completa y precisa sólo los
datos autorizados. Los controles de aplicación se pueden clasificar como:
(1) controles de entrada.
(2) controles de procesamiento.
(3) controles de salida.

EVALUACIÓN DEL RIESGO

Una evaluación del riesgo determina el nivel de riesgo para la firma si no se controla una actividad
o proceso específico de manera apropiada. No todos los riesgos se pueden anticipar o medir, pero
la mayoría de las empresas podrán adquirir cierta comprensión de los riesgos a los que se
enfrentan. Los gerentes de información que trabajan con especialistas en sistemas de información
deberían tratar de determinar el valor de los activos de información, los puntos de vulnerabilidad,
la probable frecuencia de un problema y el potencial de daño.

PLANIFICACIÓN DE RECUPERACIÓN DE DESASTRES Y PLANIFICACIÓN DE LA CONTINUIDAD DE

NEGOCIOS

La planificación de continuidad de negocios se enfoca en la forma en que la compañía puede

restaurar las operaciones de negocios después de que ocurre un desastre. El plan de continuidad
de negocios identifica los procesos de negocios críticos y determina los planes de acción para
manejar las funciones de misión crítica en caso de que fallen los sistemas.
LA FUNCIÓN DE LA AUDITORÍA

¿Cómo sabe la gerencia que la seguridad y los controles de los sistemas de información son
efectivos? Para responder a esta pregunta, las organizaciones deben llevar a cabo auditorías
exhaustivas y sistemáticas. Una auditoría de MIS examina el entorno de seguridad general de la
firma, además de controlar el gobierno de los sistemas de información individuales. El auditor
debe rastrear el flujo de transacciones de ejemplo a través del sistema y realizar pruebas,
mediante el uso (si es apropiado) de software de auditoría automatizado. La auditoría de MIS
también puede examinar la calidad de los datos.

8-4 ¿Cuáles son las herramientas y tecnologías más importantes para salvaguardar los recursos
de información?

R:
Para poder hablar de sistemas de información es preciso reunir seis componentes, que deben ser
capaz de integrarse para trabajar de manera conjunta:

 Hardware: se trata de la tecnología de almacenamiento, comunicaciones, entradas y salidas de

datos.

 Software: son los programas destinados a recoger los datos, almacenarlos, procesarlos y
analizarlos, generando conocimiento para el usuario final.

 Datos: son las porciones de información donde reside todo el valor.

 Procedimientos: son las políticas y reglas de negocio aplicables a los procesos de la organización.

 Usuarios: ellos son quienes se interactúan con la información extraída de los datos,
constituyendo el componente decisivo para el éxito o el fracaso de cualquier iniciativa
empresarial.

 Retroalimentación: es el elemento clave de cualquier sistema de información al ser la base para

la mejora continua.

8.4.A. Nombre y describa tres métodos de autenticación.

R:
-Autenticación mediante usuario/contraseña
-Autenticación basada en host/usuario
-Autenticación mediante claves
8.4.B. Describa los roles de los firewalls, los sistemas de detección de intrusos y el software
antivirus para promover la seguridad.

R:
Básicamente la función de un firewall es proteger los equipos individuales, servidores o equipos
conectados en red contra accesos no deseados de intrusos que nos pueden robar datos
confidenciales, hacer perder información valiosa o incluso denegar servicios en nuestra red.

8.4.C. Explique cómo protege el cifrado a la información.

R:
Cifrar un fichero consiste en hacer ilegible un fichero haciendo uso de un algoritmo
(procedimiento o método) y una clave secreta que solo nosotros conocemos. De este modo, si
alguien consigue el fichero, no podrá ver su contenido si no está en posesión de la clave de
descifrado.

Este tipo de procedimiento, cifrar la información, es muy común que lo utilicen organizaciones
tanto privadas como públicas para salvaguardar la privacidad de los datos que manejan ya que en
caso de que se produzca una fuga de información, ésta será inaccesible para cualquiera sin la clave
de descifrado.

8.4.D. Describa el rol del cifrado y los certificados digitales en una infraestructura de clave
pública.

R:
Pero ahora, además de protegerla ante una pérdida o deterioro, debemos aprender a protegerla
de la curiosidad de otros, de forma que mantengamos la privacidad a un nivel adecuado.

Y es que podría darse el caso de que alguien “ajeno” a nosotros pudiese acceder a nuestros
ficheros, bien apoyándose en algún tipo de malware, por intrusión en nuestros dispositivos,
mediante algún engaño o aprovechando un descuido por nuestra parte. Una buena forma de
prevenir que puedan acceder a la información importante es cifrándola con una clave que sólo
nosotros conoceremos. Sin la contraseña, no podrán ver nuestra información.

8.4.E Indique la diferencia entre planificación de recuperación de desastres y planificación de

continuidad de negocios.

R:
La planificación de contingencia y de la respuesta a desastres es una herramienta de gestión
utilizada de manera habitual por las Sociedades Nacionales y la Secretaría de la Federación. Ayuda
a asegurar la preparación organizacional y la adopción de disposiciones adecuadas en previsión de
una emergencia. La mayoría de los países afronta periódicamente emergencias tan graves que es
necesaria la asistencia humanitaria de la Cruz Roja y de la Medialuna Roja. La planificación
reflexiva puede contribuir a asegurar que se responda con rapidez y eficacia a las necesidades de
recursos en desastres de cualquier tipo o alcance, independientemente de dónde y cuándo
ocurran.

8.4.F Identifique y describa los problemas de seguridad impuestos por la computación en la

nube.

R:
La computación en la nube (cloud computing) es un estilo de computación que consiste en
virtualizar todo o parte del sistema en internet (en la nube). El usuario accede a través de una
conexión a internet a todos los datos y a todo el software que necesita. De esta manera el usuario
no tiene que preocuparse de mantener un complejo sistema, tan sólo necesita conexión de banda
ancha para poder trabajar. Además, puede hacerlo desde cualquier lugar. El sistema en la nube se
encarga de mantener el software, guardar los datos y ponderar las cargas de trabajo para sacar el
máximo rendimiento.

8.4.G Describa las medidas para mejorar la calidad y confiabilidad del software.

R:
En Neosystems desarrollamos software a medida. Abarcamos todo el proceso que va desde la fase
de consultoría previa (estudio estratégico del proyecto) al mantenimiento evolutivo del sistema
pasando por el diseño y la arquitectura, el desarrollo, la fase de pruebas, control de calidad,
puesta en marcha y el soporte. Es decir, realizamos el ciclo completo de un desarrollo de software.

Además, para ello, nos valemos de las últimas metodologías, las que más se adaptan a cada
proyecto, a cada empresa y a cada cliente. Utilizamos metodologías de gestión de proyectos
clásicas y también las más ágiles y modernas.

8-5 La seguridad no es tan sólo un asunto de tecnología es un asunto de negocios. Debata sobre
ello.

R:
A nivel global y local se reconoce los actuales problemas de seguridad de la información, donde los
atacantes buscan datos para obtener réditos económicos y su divulgación daña la confianza e
imagen de una empresa.

Por eso, la protección de la información es una labor estratégica y, por tanto, es obligación de los
jerarcas, socios o los directivos proveer los lineamientos relativas a la generación, protección y uso
de los recursos y los datos.

La implementación de la estrategia de seguridad es responsabilidad de los técnicos, pero es injusto

pedirles a ellos que definan la estrategia.
8-6 Si usted fuera a desarrollar un plan de continuidad de negocios para su compañía, ¿por
dónde empezaría? ¿Qué aspectos de la empresa se tratarían en el plan?

R:
Un plan de continuidad del negocio (BCP por sus siglas en inglés, Business Continuity Plan) es el
seguro más económico que una compañía puede tener, especialmente para las pequeñas
compañías, y prácticamente no cuesta nada hacerlo.

Este plan detalla cómo los empleados seguirán en contacto y haciendo sus trabajos en caso de un
desastre o emergencia, tal como un incendio en la oficina. Desafortunadamente, muchas
compañías nunca se toman el tiempo para desarrollar un plan de este tipo:

Pasos para crear un plan de continuidad de negocios.

1. Documenta al personal clave y las copias de seguridad.

Estas son personas que llenan posiciones sin las cuales tu negocio no puede funcionar:

- Haz la lista tan completa como sea necesario, pero tan corta como sea posible.

- Decide cuales funciones de trabajo son absolutamente necesarias, cada día. Piensa sobre quien
llena esas posiciones cuando el titular de esas posiciones está de vacaciones.

- Lista a esas personas con toda su información de contacto, incluyendo sus teléfonos de trabajo y
residencia, celular, buscapersonas, correo electrónico (tanto de trabajo como personal), y
cualquier otra forma posible de contactarlos en una situación de emergencia donde las
comunicaciones normales podrían no estar disponibles.

2. Identifica quien puede trabajar desde casa.

- Algunas personas en tu compañía podría ser perfectamente capaces de llevar adelante el negocia
desde una "oficina en sus casas". Averigua quien puede y quien no.

- Trata de asegurar cuál del personal crítico (que fue identificado en el paso 1) puede hacer
teletrabajo si es necesario.

3. Documenta los contactos externos.

Si tienes algunos proveedores o clientes sumamente importantes para tu compañía, elabora una
lista de contactos especial que incluya una descripción de la compañía (o persona) y cualquier otra
información que sea absolutamente crítica sobre ellos, incluyendo información de contacto
personal clave.

- Incluye en la lista a personas como abogados, banqueros, consultores de IT, cualquier que
podrías necesitar llamar para asuntos operacionales.
- Se debe incluir las compañías de servicios municipales como policía, bomberos, suministro de
agua, luz, hospitales y la oficina de correos.

4. Documenta el equipo crítico.

- A menudo, los ordenadores personales contienen información muy importante (tienes copias de
seguridad fuera de la empresa, ¿no?)

- Algunos negocios no pueden funcionar ni por unas horas sin un fax. ¿Dependes mucho de tu
fotocopiadora? ¿Tienes impresoras especiales de las que tu negocio depende?

- ¡No olvides el software! – el software debería ser considerado a menudo "equipo crítico" si es
especializado o si no puede ser reemplazado.

5. Identifica documentos críticos.

Artículos de incorporación y otros documentos legales, facturas de servicios públicos,

documentación bancaria, documentos críticos de recursos humanos, documentos del alquiler del
edificio, impuestos, necesitas tener disponible todo aquello que sería necesario para empezar tu
negocio nuevamente.

- Recuerda que podrías tener que enfrentarte a una pérdida total de tus instalaciones. ¿Sabrías
cuando se paga el préstamo de los vehículos de tu compañía? ¿A quién enviarle el pago por tus
servicios de internet?

6. Identifica opciones de equipo contingente.

Si tu compañía utiliza camiones, y los camiones resultan dañados en un incendio, ¿dónde podrías
alquilar camiones? - ¿Dónde alquilar computadoras? ¿Puedes usar un servicio externo para las
copias, servicio externo de fax, impresión u otras funciones críticas?

7. Identifica tu localización contingente.

El sitio de contingencia es el lugar donde llevarás a cabo tu negocio mientras tus oficinas
principales no estén disponibles.
- Podría ser un hotel, ya que muchos de ellos tienen salones muy bien equipados, aptos para
hombres de negocios.
- También podría ser la oficina de uno de tus proveedores o de tu abogado. - Tal vez la opción de
teletrabajo para todos es una opción viable.
- Si has identificado una localización temporal, incluye un mapa en tu BCP. Donde sea que esté,
asegúrate que tienes toda la información de contacto apropiada (incluyendo los nombres de la
gente responsable).

8. Prepara una guía de "Cómo hacer".

Debe incluir instrucciones paso por paso de que hacer, quien tiene que hacerlo y cómo hacerlo en
caso de una eventualidad.

- Prepara una lista de cada responsabilidad y escribe el nombre de la persona a la que está
asignada.

- También, hazlo, al contrario: Para cada persona, enlista las responsabilidades. De esa forma, si
quieres saber quién se supone que debe llamar a la compañía de seguros, puedes buscar "Seguro".
Si quieres saber que está haciendo Joe Doe, puedes buscar bajo "Joe", y así obtener esa
información.

Advertencias al crear un plan de continuidad de negocios

- No confíes en una caja de seguridad "a prueba de fuego" para almacenar los datos de tu
ordenador. La mayoría de las cajas a "a prueba de fuego" son diseñadas para almacenar papel; un
CD, un DVD o una cinta magnética se derretirán. Consigue un medio seguro para esos ítems. Lo
mejor es almacenarlos fuera del sitio.

- No hagas copias piratas de software importante. Aún si lo puedes hacer, quizás no funcione, y
podrías meterte en serios problemas legales. Contacta con tu proveedor de software si no conoces
tus opciones.

- No distribuyas tu plan a gente que no necesita tenerlo. Tu BCP contendrá cierta información
tanto privada como de la compañía que podría ser usada por un empleado descontento con
propósitos inapropiados

8-7 Suponga que su empresa tiene un sitio Web de e-commerce donde vende productos y acepta
pagos con tarjeta de crédito. Debata sobre las principales amenazas de seguridad para este sitio
Web y su potencial impacto. ¿Qué se puede hacer para minimizar estas amenazas?

R:
Al emprender un proyecto de comercio electrónico, no solo debemos tener en cuenta el desarrollo
de la infraestructura o de la aplicación, los empresarios deben tener conciencia de la necesidad de
agregar un elemento de seguridad que garantice la confidencialidad de los datos de la empresa y
de los usuarios”, explica Ángel Salazar, gerente general de Soluciones Seguras Guatemala.
Las soluciones de comercio electrónico cuentan con componentes de seguridad básica, enfocada
en el acceso a la plataforma, pero no proveen seguridad sobre la información que se maneja, ni
sobre los servidores en donde están alojados los datos.” Esto significa que garantizan
disponibilidad, es decir, que mi sitio va a funcionar, pero la seguridad es más que eso, se trata de
disponibilidad, integridad y confidencialidad”, indica el vocero de Soluciones Seguras.

Este tipo de plataformas son ahora uno de los blancos más apetecidos por los cibercriminales.
Algunos de los ataques que pueden experimentar incluyen phishing, que utilizan los atacantes
para adueñarse de cuentas de los administradores de la plataforma en la nube. Una vez que se
apropian de las credenciales del administrador, tienen control total de la plataforma y de los datos
que ahí se encuentren.

Otro método de ataque es cualquier técnica de hacking apuntando hacia los portales, que explota
un error de programación involuntario o un bug (errores de programación del fabricante) de los
sistemas. En muchos casos utilizan un SQL Injection por medio de las cuales atacan las plataformas
web, extraen información y toman control de esta.

Todos los sitios web o plataformas de E-commerce pueden tener vulnerabilidades, es por eso que
los expertos de Soluciones Seguras recomiendan:

 Contar con herramientas de seguridad adicionales a las que ofrece la plataforma. Desde
certificados digitales que se colocan en los portales para que mis usuarios estén
protegidos al ingresar su información, hasta tecnologías como Web Access Firewall (WAF)
que detecta cualquier error que cometa el programador o bug de mi plataforma.

 Determinar la sensibilidad de la información que almacena: Si su plataforma almacena,

por ejemplo, los emails de sus usuarios, es necesario un Database Firewall (DBF) que se
coloca dentro de la infraestructura para monitorear y controlar los accesos hacia la
información, evitando que algún cibercriminal pueda hacer una extracción de datos
sensibles de mis clientes que pueda significar problemas legales para la compañía y un
detrimento de su reputación.

 Proteger los recursos de los colaboradores: Además de pensar en el usuario final, es

necesario proteger los recursos que usan sus colaboradores, de tal manera que nadie
pueda hacer un account takeover (una técnica en la cual alguien toma control de mis
recursos y desde ahí gestiona permisos) que le permita realizar transacciones como
solicitar transferencias de dinero al equipo de contabilidad o cambiar la contraseña de la
data center. Todo esto se puede evitar utilizando una suite llamada Cloud Access Security
Broker (CASB), que controla el acceso a la información en la nube.
 CAPÍTULO VIII – PREGUNTAS DEL CASO DE ESTUDIO 3

LOS PLACERES Y LAS TRAMPAS DE BYOD

Respuestas de pregunta 8-10:

R:

Definitivamente ya que los seres humanos dependemos hoy en día de la tecnología. El internet es
utilizado por millones de usuarios, pues una ciberguerra puede afectar a todos, causando
principalmente temor. Dicen que el interne es un arma de doble filo, ya que puede ser peligroso.

Respuestas de pregunta 5-11:

R:

 Pobre organización en la ciberseguridad – falta de un líder definido entre las agencias

gubernamentales.

 Falta de participación de los miembros de la organización.

 La dependencia y confiabilidad en la tecnología ha alertado a los hackers.

 Falta de software que elimine completamente el riesgo de los ciberataques.  

Respuestas de pregunta 5-12:

R:

La creación de convenio global para tener una sola jurisdicción y no solo limitarse a las leyes de un
país, porque pueden ser que no castigue a los hackers.

No me parecen efectivas, ya que es muy difícil conocer la ubicación exacta de los delincuentes
cibernéticos, y a la vez puede crear muchos conflictos dentro de un gobierno.