INCIDENCIAS DE LOS PROCESOS DE LAS EMPRESAS

SERVICIO NACIONAL DE APRENDIZAJE SENA

CONTROLES Y SEGURIDAD INFORMÁTICA

2.019
INCIDENCIAS DE LOS PROCESOS DE LAS EMPRESAS

APRENDIZ

JOHANNA CAROLINA ARARAT MUÑOZ

CODIGO 27604094

INSTRUCTORA

AYDA ANDREA FRANCO VILLAMIL

CURSO

CONTROLES Y SEGURIDAD INFORMÁTICA

SERVICIO NACIONAL DE APRENDIZAJE SENA

CONTROLES Y SEGURIDAD INFORMÁTICA

2.019
 RESUMEN

Para el siglo XX era muy difícil el acceso a un computador, ya que su precio era muy

elevado y sólo unas cuantas personas podrían tenerlo. Actualmente es impensable no tener

acceso a esta herramienta; podemos pagar por horas para utilizarlo, su costo es más accequible

para adquirirlo; y no solo a un computador sino que podría ser a una Tablet o un Smartphone, ya

que con cualquiera de estos dispositivos podemos acceder a cualquier medio de comunicación:

radio, periódico, telefonía, entre otros y así mantenernos informados e intercambiar información.

Cada vez nos apegamos más a la tecnología, el avance tantos de dispositivos como de

aplicaciones ha crecido a pasos tan agigantados que se han convertido en herramientas de uso

diario, que en algunos casos nos facilitan nuestro diario vivir.

En las empresas el computador se ha convertido en una herramienta del trabajo,

facilitándonos el desarrollo de nuestras actividades, pero se deben contar con mecanismos de

control que aseguren la información que manejamos para que no estemos expuestos a incidentes

que repercutan negativamente sobre la empresa.

 TABLA DE CONTENIDO

Pág.

DESARROLLO…………………………………………………………………..…..…… 5

RESULTADOS……………………………………………………………………..……..12

BIBLIOGRAFIA…………………………………………………………………..……....13

REFERENCIAS……………………………………………………………………..…….16
 DESARROLLO

Día a día en nuestro entorno, vamos recibiendo y transmitiendo más información; en el

colegio, la universidad, en el trabajo, en nuestros hogares, las redes sociales. La información

hace parte útil y fundamental de nuestras vidas.

La tecnología al estar alcance de todos, hace que la información que se transmite desde

cualquier medio de comunicación sea vulnerable como información personal, empresarial,

política, administrativa y financiera.

Dentro de las empresas, la información es una de las partes más valiosas, la cual debe

cuidarse muy celosamente. Cualquier fuga de información puede ser utilizada por personas

malintencionadas en contra de sus dueños, para realizar extorsiones, fraudes, venta de

información a la competencia como por ejemplo bases de datos de clientes o estrategias de la

empresa; y sacar provecho de ello.

Necesariamente la información no siempre esta guardada en un computador, también

existen procedimientos manuales y archivos físicos ya que hay algunas pequeñas empresas

donde todavía no poseen un sistema de información sistematizado. En este caso es más propenso

a que el impacto de las amenazas que lo afectan sea alto. Por eso la información debe estar

protegida según su importancia para no estar expuesta a riesgos informáticos los cuales causan

pérdida, daños o fuga de información.

Las diferentes amenazas de riesgos que afectan la información pueden darse a nivel de

seguridad física o lógica; la seguridad física abarca no solo amenazas humanas sino también

factores ambientales internos o externos a los que puede ser expuesta la empresa donde se guarda

la información, tales como accesos no autorizados, daños físicos de hardware, robos o incendios
del lugar. En cuanto a la seguridad lógica comprende daños en el contenido de la información

como ausencia o pérdida de backups de la información, afectación de la integridad de la

información, ataque de virus, sabotaje de información.

Si se llegara a presentar una amenaza a la seguridad de la información, dependiendo del

impacto que pueda tener dentro de la empresa, esta podría tardar días o inclusive meses para

poder diagnosticar, analizar y recuperarse de los daños ocasionados. Por lo tanto es necesario

tomar previamente precauciones fijando políticas de seguridad de la información, las cuales son

normas o procedimientos en los cuales se debe hacer un análisis exhaustivo de todos los tipos de

riesgos a los que puede estar expuesta la información de la empresa.

En la definición y establecimiento de estas políticas debe haber una participación activa de los

socios de la empresa y por supuesto de los miembros del departamento Tecnológico, basados en

una buena metodología para evaluar los riesgos de la seguridad informática.

En este proceso se deben tener en cuenta aspectos importantes como: Cuales son los

recursos que debo proteger, que tan importante es cada recurso, de quien necesito proteger

cada recurso, que tan frecuente puede estar expuesto los recursos, que medidas debo tomar

para proteger los recursos y examinar las políticas de seguridad aplicadas para ajustarlas y

renovarlas. (Agudelo, 2014).

 Figura2.Aspectos importantes a evaluar http://topcomm.biz/~toptech/home/index.php/consultorias/empresas/seguridad-de-la-informacion/9-

consultoria.html

Dentro de estas políticas se deben contemplar los pilares de la seguridad informática, los

cuales son las bases que caracterizan la información y que deben ser valoradas. Tales como

Confidencialidad, se refiere al acceso que se tenga sobre la información. Solo personas

autorizadas pueden manipularla, no pueden divulgarla ni compartirla, sino estarían violando el

código ético de la empresa. Integridad, esta característica está muy ligada a la anterior, ya que

se pretende que la información no tenga acceso de personas no autorizadas para que siempre este

completa, evitando sabotajes y manteniendo backups permanentes de la información.

Disponibilidad, la información debe estar accequible para las personas autorizadas y que la

requieran, garantizando continuidad en el acceso a la información; podría presentarse una falla

por ejemplo en la corriente para contrarrestarlo se debe tener un plan para continuar con los

procesos. Autenticidad, garantizar que la información sea original que no se haya editado; y con

respecto a los usuarios que no se suplante su identidad. No repudio, en una auditoria existen

pruebas de parte ya sea de origen o destino de la información, donde se puede encontrar las

responsabilidades de las partes.

 Figura3.Pilares de la Seguridad Informática http://es.slideshare.net/bioga/seguridad-informacion-9506922

Una vez establecidas las políticas de seguridad de la información deberán ser

socializadas con los demás miembros de la empresa para que las conozcan y ayuden a que

cumplan estas políticas. Finalmente los empleados son los que a diario van a tener contacto con

esta información, así que se deben capacitar para que conozcan la importancia sobre la seguridad

de la información y concientizarlos para que den un buen manejo y creen un compromiso con la

empresa.

En una encuesta de fraude en Colombia del 2.013, nos demuestra que: La tendencia de

mayor número de fraudes internos sigue prevaleciendo en Colombia, casi 7 de cada 10

empresas que operan en Colombia han padecido cuando menos un fraude en los últimos doce

meses; teniendo un incremento del 2% (68% al 70%) entre el año 2.011 y 2.013 debido a

faltas de mecanismos de control interno y supervisión para la manipulación de la información

y ausencias de políticas claras y bien definidas. (KPMG, 2013)

Pero así como existen personas inescrupulosas, los empleados también pueden caer

ingenuamente; en el caso de que un hackers o crackers quiere acceder a la información, los

empleados podrían contribuir por falta de información en los procedimientos o por

desconocimiento. En tan solo un clic podrían estar siendo víctimas de una amenaza. Ejemplos

vemos a diario, muchos correos pueden llegar con archivos adjuntos infectados, a veces nos

pueden hacer hasta dudar porque pueden utilizar un remitente conocido. Mal manejo del

antivirus y de firewall que por más de que los tengas sino se configuran y se utilizan de manera

adecuada no servirán de nada. Claves poco seguras. Entre otras.

El incumplimiento de una política de seguridad o la falta de políticas, conlleva a estas

incidencias informáticas. Donde se pueden abrir brechas que den lugar a amenazas.

Según la encuesta nacional de tendencias 2016 sobre la seguridad informática. Las

tendencias en incidencias más frecuentas con el 40% se da por instalaciones de software no

autorizado, seguido del 33% por los virus. (Junco, 2016)

Se deben tener bien definidas las posibles amenazas a los que la empresa se vea

afectada para tener un plan de contingencia que sirva de ayuda en caso de un siniestro y poderle

dar continuidad al negocio. La empresa debe estar preparada para cualquier eventualidad que se

presente. Las actividades de la empresa no pueden parar por ningún motivo para no causar

pérdidas económicas.

Estos planes de respuestas a incidentes son planes de contingencia sirven para

identificar los recursos críticos dentro de la empresa, incidentes o las amenazas que la afecten,

analizar el impacto que ejercen dentro de la empresa, conocer las debilidades y fortaleza de la

empresa

La empresa debe contar con un grupo que vele por la seguridad de la información de la

empresa, ellos son los encargados de gestionar los incidentes. Los demás empleados deberán
reportar los incidentes que se vayan presentando para que se lleve una bitácora y se pueda

solventar de forma eficaz y rápida; y prevenir que nuevamente se vuelva a presentar.

 RESULTADOS

Debemos ser conscientes que la seguridad de la información es vital para la empresa, de

no mantener vigentes unas políticas que rijan el movimiento diario de nuestra empresa, se darán

muchas incidencias que al principio no serán muy graves pero que si las seguimos dejando pasar

pueden determinar la continuidad de la empresa. Nuestra información puede caer en manos de

terceras personas que esperan sacar ventajas de ello.

Los miembros de la empresa deben recibir una capacitación continua en las empresas

para que estos incidentes sean mínimos; no estamos exentos a que sucedan, pero si suceden

debemos estar preparados para responder a la amenaza de forma correcta y rápida.

 BIBLIOGRAFIA

Portafolio.co. (2012). Cómo prevenir y evitar la fuga de información empresarial. Recuperado

de: http://www.portafolio.co/mis-finanzas/ahorro/prevenir-evitar-fuga-informacion-

empresarial-100890

Almanza Juco, Andrés Ricardo. (2016).Tendencias 2016 Encuesta nacional de Seguridad

Informática. Recuperado de: http://acis.org.co/revista139/content/tendencias-2016-encuesta-

nacional-de-seguridad-inform%C3%A1tica

González Agudelo, Daniel Felipe. (2014). EL RIESGO Y LA FALTA DE POLITICAS DE

SEGURIDAD INFORMÁTICA UNA AMENAZA EN LAS EMPRESAS CERTIFICADAS

BASC. Recuperado de:

http://repository.unimilitar.edu.co/bitstream/10654/12251/1/ENSAYO%20FINAL.pdf

KPMG.(2013). Encuesta de fraude en Colombia 2013. Recuperado de:

https://www.kpmg.com/CO/es/IssuesAndInsights/ArticlesPublications/Documents/Encuesta

%20de%20Fraude%20en%20Colombia%202013.pdf

Blogfirmae. (2014). Pilares de la Seguridad de la Información: confidencialidad, integridad y

disponibilidad. Recuperado de: http://blog.firma-e.com/pilares-de-la-seguridad-de-la-

informacion-confidencialidad-integridad-y-disponibilidad/

Cebreiros Arce, Jorge. (2011). Seguridad de la Información. Recuperado de:

http://es.slideshare.net/bioga/seguridad-informacion-9506922

AGESIC. (2010). Política de Gestión de Incidentes de Seguridad de la Información. Recuperado

de: https://www.cert.uy/wps/wcm/connect/certuy/b708c1c9-d5f5-4845-b8f9-
f3485a39a332/politica+de+gestion+de+incidentes+(.pdf+602+KB).pdf?MOD=AJPERES&

CONVERT_TO=url&CACHEID=b708c1c9-d5f5-4845-b8f9-f3485a39a332
 REFERENCIAS

Agudelo, D. F. (2014). El riesgo y la falta de políticas de seguridad informática una amenaza en

las empresas certificadas BASC. [ en línea]. http://repository.unimilitar.edu.co/. Disponible

en: http://repository.unimilitar.edu.co/bitstream/10654/12251/1/ENSAYO%20FINAL.pdf

Junco, M. R. (junio de 2016). Tendencias 2016 Encuesta nacional de Seguridad Informática.[en

línea].http://acis.org.co/. Disponible en: http://acis.org.co/revista139/content/tendencias-

2016-encuesta-nacional-de-seguridad-inform%C3%A1tica

KPMG, G. (2013). Encuesta de fraude en Colombia 2013. [en línea].

https://home.kpmg.com/xx/en/home.html. Disponible en:

https://www.kpmg.com/CO/es/IssuesAndInsights/ArticlesPublications/Documents/Encuest

a%20de%20Fraude%20en%20Colombia%202013.pdf