UNIVERSIDAD INTERAMERICANA DE PUERTO RICO

RECINTO DE AGUADILLA
DEPARTAMENTO DE CIENCIAS ECONMICAS Y ADMINISTRATIVAS

BIBLIOGRAFA ANOTADA

Aldo Gil Caraballo

Num. Est. A00134476
CMIS 4500
Dra. Mara G. Rosa-Rosario

BIBLIOGRAFA ANOTADA

Introduccin:
La auditora en sistemas de informacin se basa sobre la premisa de la deteccin de
riesgos a la informacin que posee la empresa. En la actualidad, esta responsabilidad ha recado
sobre los especialistas y tcnicos de la tecnologa informacin esto a su vez ha hecho difcil
establecer un estndar de deteccin dado que cada empresa maneja su informacin de maneras
distintas. Ahora, tanto empresas como gobiernos depende de informacin confiable para tomar
decisiones acertadas, en mi caso trabajando dentro del sector gubernamental he visto de primera
mano cmo la ausencia de esta informacin impacta sustancialmente las operaciones con efectos
que retumban a travs de todas las reas. Es por esto que tomar el tiempo para sobre ver los
mecanismo de seguridad de una empresa son indispensables.
Cyber intelligence: defining what you know (2015, febrero 27).
InformationWeek: Dark Reading, Recuperado el 7 de marzo de 2015 desde
http://goo.gl/AkCOKg
Jason Polancich, fundador y arquitecto principal de SurfWatch Labs, una firma
enfocada en los riesgos en la inteligencia ciberntica, discute en su artculo Cyber Inteligence:
defining what you know la verdadera importancia de identificar riesgos en los sistemas de
informacin y elevarlos a nivel de negocios para trabajar eficientemente con la resolucin de los
mismos. Polancich toca dos temas sumamente importantes para directores de departamentos de
tecnologa informacin como para gerentes en el rea de negocios, estos son: La gerencia
necesita ms conocimiento. Refirindose a la importancia de mantener a la gerencia al tanto de
las detecciones riesgos en los sistemas. Como cualquier buen negocio, la toma acertada de
decisiones asegura la longevidad de la empresa y es por esto que proveer le informacin del

BIBLIOGRAFA ANOTADA

estado de la seguridad en los sistemas de informacin a gerentes de reas dependientes a datos

provenientes de esta como lo sera un departamento de finanzas asistira en la elaboracin de
planes y estrategias que complementaran los esfuerzos del rea de tecnologa informacin. El
segundo punto es: La liberacin de informacin atrapada; What we dont know can hurt us,
tocando sobre la importancia de compartir informacin a travs de la empresa y como debera ser
una prioridad. La gerencia de negocios no ve la informacin de la misma manera que el rea de
tecnologa y es precisamente por esto que liberar informacin sobre el estado de la seguridad de
los sistemas de la empresa pueden ayudar a ambos bandos llegar a un mejor nivel de
entendimiento entre si y a largo plazo mejorar la relacin entre las reas y la comunicacin de
necesidades de uno a otro. Polancich establece firmemente la importancia de compartir
informacin y eliminar el riesgo de: What we dont know can hurt us.
Building a Cybersecurity Program: 3 Tips (2015, enero 26).
InformationWeek: Dark Reading, Recuperado el 7 de marzo de 2015 desde
http://goo.gl/SOX6op
En este artculo, Jason Sachowski, profesional en seguridad de informacin e
investigador forense con el Scotiabank Group presenta tres (3) consejos que podran ayudar en
la implementacin de un programa de seguridad ciberntica en una empresa. Sachowski
comienza discutiendo la importancia de diferenciar la seguridad de la informacin de la
seguridad ciberntica. El autor expone como la seguridad ciberntica es un componente de la
seguridad de informacin, claro uno de suma importancia. Contina discutiendo la elaboracin
del plan utilizando modelos ya probados como el National Institute of Standards and
Technology (NIST) Cybersecurity Framework. Este modelo para el siendo el que provee una
mejor base. Aun utilizando estos modelos, el autor argumenta sobre la adaptabilidad de estos a

BIBLIOGRAFA ANOTADA

una empresa, ya que no todas las jerarquas son iguales algunos componentes aplican a unas y
otros aplican a otras. Para lograr esto el autor recomienda el uso de Information Security Forum
(ISF) Standards of Good Practice for Information Security para crear una relacin entre el
modelo y los servicios de la empresa en particular. Para finalizar, Sachowski toca el tema del
financiamiento. Sin duda, una implementacin de este ndole por ms simple o robusta conlleva
una inversin considerable de tiempo y recursos, por esto Sachowski comenta acerca de los
objetivos y las operaciones que se deben tomar en consideracin a la hora de planificar este tipo
de proyecto. Como bien se conoce la implementacin de nueva tecnologa, servicios y recursos
es costoso pero al llevar a cabo un inventario y una evaluacin apropiada ayuda a concretar la
cantidad de inversin requerida y los datos relevantes que la sustentan.
Customers Arent the Only Victims: 5 Stages of Data Breach Grief (2015, febrero 25).
InformationWeek: Dark Reading, Recuperado el 7 de marzo de 2015 desde
http://goo.gl/8tm2wF
La importancia de la seguridad en los sistemas de informacin, un tema delicado para el
cual Ricky Link, director de Dallas office of Coalfire Systems, una compaa de rpido
crecimiento en el sector de TI, riesgo y cumplimiento en los estados unidos; Nos presenta las
cinco (5) etapas del sufrimiento empresarial que crea una violacin en los procesos de seguridad
de datos. Link asegura que las cinco (5) etapas son: negacin, coraje, negociacin, depresin y
aceptacin. Comenzando con la negacin. Segn el autor, esta etapa puede durar entre das a
meses en lo que la empresa asimila la violacin. La segunda etapa: coraje, se resume como la
falta de aceptacin de que la violacin ocurri sea por equipo perdido o inyeccin a algn
software. En la etapa de negociacin, el autor comenta sobre las promesas de tomar medidas para

BIBLIOGRAFA ANOTADA

asegurarse para el futuro mientras ya se ha perdido o se ha hurtado datos delicados que se

podran presentar. Luego, la etapa de depresin. Etapa donde la empresa lamenta lo que ocurre y
desea haber lo manejado de una manera distinta a lo ocurrido para evitar lo completamente y
finalmente la etapa de aceptacin. La etapa final segn Link conlleva el reconocimiento de la
gerencia sobre la importancia de la seguridad de los sistemas de informacin aceptando que la
promocin de estos servicios garantiza la confidencialidad, disponibilidad y la integridad de la
empresa.
Five Techniques to Keep Employees Computing Secure (2015, febrero 12).
InformationWeek: Dark Reading, Recuperado el 7 de marzo de 2015 desde
http://goo.gl/etj0Z4
Con la nueva tendencia de traer t propio equipo al trabajo, una en aumento en los Estado
Unidos, la autora, Alexandra Gheorghe, oficial de relaciones pblicas y mercadeo de la firma de
seguridad Bitdefender, presenta cinco (5) tcnicas para asegurar a los usuarios que participan
de ella. Los puntos presentados por Gheorghe aunque lgicos sirven como modelo para los
gerentes y tcnicos del rea de sistemas de informacin a la hora de incorporar dispositivos
personales de sus usuarios en la empresa. Comenzando con una auditoria inicial que segn
Gheorghe ayuda en identificar agujeros en la seguridad como tambin los procedimientos
necesarios para adiestrar al personal en el buen uso de las prcticas de seguridad en sus equipos.
La autora tambin recomienda las verificaciones de seguridad o background checks en ingls,
de sus usuarios para evitar cualquier tipo de mal uso como tambin el establecer una poltica
rgida de contraseas en los dispositivos. Otro punto que toca es la implementacin de
cortafuegos o firewalls como es conocido en ingls como tambin la implementacin de

BIBLIOGRAFA ANOTADA

actualizaciones de software para minimizar la cantidad de posibles riesgos. Para finalizar la

autora seala la importancia de implementar una solucin de manejo de seguridad o un End
Point Security Solution como se conoce en ingls para abarcar todas las posibles plataformas
que la empresa posea sean fsicas, virtuales o mviles para as implementar una capa adicional de
seguridad.
The Complicated Relationship among Security, Privacy & Legislation (2015, febrero 2).
InformationWeek: Dark Reading, Recuperado el 7 de marzo de 2015 desde
http://goo.gl/ofYhqI
Scott Montgomery, vice presidente y CTO de Intel Security para las amricas y el sector
pblico, a travs de su artculo The Complicated Relationship among Security, Privacy and
Legislation discute la dificultad que enfrentan empresas en el campo de la tecnologa en cumplir
con la creciente marea de regulaciones impuestas por los pases donde hacen negocios.
Introduciendo nos al tema el autor discute como en Europa donde los pases son ms estrictos y
enfocados en la privacidad de sus ciudadanos mientras en pases como los Estados Unidos los
usuarios finales ni siquiera toman el tiempo de leer los acuerdos de licenciamiento que proveen
las compaas al instalar un software; esto segn el autor presenta la polmica de adaptacin que
sufren las compaas al tener diferentes pases donde la ley se lleva de diferentes maneras, unos
ms flexibles que otros ms estrictos. A su vez, esto trae otros asuntos como al momento que
ocurre un ataque ciberntico, como por ejemplo: Cules leyes aplican? Y Cmo el gobierno y
la empresa responden? Para esto Montgomery discute la dificultad de los mismos gobiernos en
regular sus leyes para un cumplimiento adecuado. Luego el autor discute la adquisicin de
NEST por google donde argumenta sobre la disponibilidad de equipos electrnicos en este caso

BIBLIOGRAFA ANOTADA

de telemetra y su capacidad de capturar informacin rutinaria sobre las operaciones de un hogar

como lo sera la utilizacin de por ejemplo; electricidad. Montgomery al finalizar presenta su
punto de vista en este asunto de una manera muy simple, la regulacin efectiva de los gobiernos
lleva a la seguridad que a su vez lleva a la privacidad y as al cumplimiento con dichas
regulaciones.
Conclusin:
La seguridad en los sistemas de informacin es un tema debatido mundialmente tanto por
el alcance de los sistemas como las prcticas del personal a cargo de esta. En la actualidad los
avances tecnolgicos han ayudado a definir algunas prcticas comunes como se presenta en los
anteriores artculos que sirven como modelo a la hora de implementar un proyecto de tecnologa.
Con los ataques cibernticos siendo ley de vida para administradores de estos sistemas, la
experiencia y dedicacin son dos de las herramientas ms poderosas que podemos poseer pero a
la vez son nuestras mayores debilidades. Un administrador, gerente o tcnico debe mantener una
mente objetiva, una visin abierta y un ojo sobre los cambios en tendencias tecnolgicas y las
herramientas presentes para trabajar con esta, lograr esto asegurar el funcionamiento y la
longevidad de la empresa.