Post on 15-Sep-2015
description
Repblica Bolivariana De VenezuelaMinisterio Del Poder Popular Para La Educacin Universitaria Ciencia Y
Instituto Universitario De Tecnologa Agro IndustrialSan Juan De Coln, Extensin Zona Norte
Repblica Bolivariana De Venezuela Ministerio Del Poder Popular Para La Educacin Universitaria Ciencia Y
Tecnologa Instituto Universitario De Tecnologa Agro Industrial
San Juan De Coln, Extensin Zona Norte
Cegarra P. Rossana G.Prof. Lisby Mora
San Juan de Coln, junio de 2015
Ministerio Del Poder Popular Para La Educacin Universitaria Ciencia Y
Instituto Universitario De Tecnologa Agro Industrial
Alumna: Cegarra P. Rossana G.
Prof. Lisby Mora Trayecto 4
Introduccin.
Ante la inseguridad informtica es necesario tener en cuenta la seguridad que existe para evitar fraudes o daos a equipos de computacin o informacin resguardada en un disco duro.
A continuacin se explicar puntos importantes para tener en cuenta como las polticas de seguridad, leyes, evaluacin del riesgo, entre otros.
Polticas de Seguridad Informtica
Una poltica de seguridad informtica es una los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin.
Surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto copara establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas.
Caractersticas
Polticas de Seguridad Informtica
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la
Surgen como una herramienta organizacional para concientizar a los aboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones
forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la
Surgen como una herramienta organizacional para concientizar a los aboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de
mpromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones
La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma).
Adecuarse a las necesidades y recursos.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin.
Deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc.
Como abordar la implementacin de polticas de seguridad.
La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar toda la organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente.
Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar: Alcance de la poltica, incluyendo sistemas y personal
sobre el cual se aplica. Objetivos de la poltica y descripcin clara de los elementos
involucrados en su definicin. Responsabilidad de cada uno de los servicios, recurso y
responsables en todos los niveles de la organizacin. Responsabilidades de los usuarios con respecto a la
informacin que generan y a la que tienen acceso. Requerimientos mnimos para la configuracin de la
seguridad de los sistemas al alcance de la poltica.
Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.
Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitaque se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.
Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porque de las decisiones tomadas.
Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento decambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.
LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS
Segn Luciano Saellasciberterrorismo, define Delitos Informticos como aquella conducta ilcita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informtico.
Legislacin NacionalBolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser insdesarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de
Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.
Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria
Explicaciones comprensibles (libre de tecnicismos y legales pero sin sacrificar su precisin) sobre el porque de las
decisiones tomadas. Finalmente, como documento dinmico de la organizacin,
deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios,
LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS INFORMTICOS
Segn Luciano Saellas en su artculo titulado Delitos Informticos ciberterrorismo, define Delitos Informticos como aquella conducta ilcita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informtico.
Legislacin Nacional El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser instrumentos fundamentales para el desarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de
Definicin de violaciones y las consecuencias del no
Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus
n dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria
Explicaciones comprensibles (libre de tecnicismos y legales pero sin sacrificar su precisin) sobre el porque de las
Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios
la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios,
LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS
en su artculo titulado Delitos Informticos ciberterrorismo, define Delitos Informticos como aquella conducta ilcita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de
Constitucin de la Repblica Bolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los
trumentos fundamentales para el desarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de ciencia y
tecnologa de acuerdo con la ley. El sector privado deber aportar recursos para los mismos. El Estado garantizar el cumplimiento de los principios ticos y legales que deben regir las actividades de investigacin cientfica, humanstica y tecnolgica. La ley determinar los modos y medios para dar cumplimiento a esta garanta.
Segn el artculo antes nombrado dice que el estado reconoce las innovaciones y aplicaciones ya que son necesarios para la mejora econmica y social para el pas. El estado y el sector privado apoyan para que el pueblo obtenga recursos y as concientizar el aprendizaje.
La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la Proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas.
A continuacin, se muestra una tabla con las sanciones establecidas por los diferentes delitos informticos:
Art.
Ttulo
1 Objeto de la ley
Tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de informacin.
2 Definiciones
Tecnologa de Informacin, Sistema, Data (Datos), Informacin, Documento, Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, Tarjeta Inteligente, Contrasea (Password) y Mensaje de Datos.
3 Extraterritorialidad
Cuando alguno de los delitos previstos en la presente ley se cometa fuera del territorio de la Repblica.
4 Sanciones Las sanciones principales
Sern principales y accesorias.
concurrirn con las accesorias y ambas podrn tambin concurrir entre s, de acuerdo con las circunstancias particulares del delito del cual se trate.
5 Responsabilidad de las personas jurdicas Ser sancionada en los trminos
previstos en esta ley.
6 Acceso indebido Prisin
de 1 a 5 Aos Multas de10
a 50 UT
7 Sabotaje o daos a sistemas
Prisin de 4 a 8 Aos
Multas de400 a 800
Si los efectos indicados en el presente artculo se realizaren mediante la creacin, introduccin o transmisin intencional, por cualquier medio, de un virus o programa anlogo.
Prisin de 5 a 10 Aos
Multas de500 a 1000
8 Favorecimiento culposo del sabotaje o dao
Se aplicar la penacorrespondiente segn el caso.
Reduccin de la pena entre la mitad y dos tercios
9 Acceso indebido o sabotaje a sistemas
Aumento de la pena tercera parte y la mitad.
10 Posesin de equipos o
prestacin de servicios de sabotaje
Prisin de 3 a 6 Aos
Multas de 300 a 600
11 Espionaje informtico Prisin
de 3 a 6 Aos Multas de 300
a 600
12 Falsificacin de
documentos Prisin
de 3 a 6 Aos Multas de300
a 600
Cuando el agente hubiere actuado con el fin de procurar para s o para otro algn tipo de beneficio.
Aumento de la pena de un tercio y la mitad.
Si del hecho resultare un perjuicio para otro.
Aumento de la pena Mitad a dos tercios.
13 Hurto Prisin
de 2 a 6 Aos Multas de200
a 600
14 Fraude Prisin
de 3 a 7 Aos Multas de300
a 700
15 Obtencin indebida de
bienes o servicios Prisin
de 2 a 6 Aos Multas de200
a 600
16 Manejo fraudulento de
tarjetas inteligentes o instrumentos anlogos
Prisin de 5 a 10 Aos
Multas de500 a 1000
17 Apropiacin de
tarjetas inteligentes o instrumentos anlogos
Prisin de 1 a 5 Aos
Multas de10 a 50
18 Provisin indebida de bienes o servicios Prisin
de 2 a 6 Aos Multas de200
a 600
19 Posesin de equipo para falsificaciones Prisin
de 3 a 6 Aos Multas de300
a 600
20 Violacin de la
privacidad de la data o informacin de carcter personal
Prisin de 2 a 6 Aos
Multas de 200 a 600
Si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o informacin o para un tercero.
Aumento de la pena de un tercio a la mitad.
21 Violacin de la
privacidad de las comunicaciones.
Prisin de 2 a 6 Aos
Multas de 200 a 600
22 Revelacin indebida
de data o informacin de carcter personal
Prisin de 2 a 6 Aos
Multas de 200 a 600
Si la revelacin, difusin o cesin se hubieren realizado con un fin de lucro o si resultare algn perjuicio para otro.
Aumento de la pena de un tercio a la mitad.
23 Difusin o exhibicin de material pornogrfico Prisin
de 2 a 6 Aos Multas de 200
a 600
24 Exhibicin
pornogrfica de nios o adolescentes
Prisin de 4 a 8 Aos
Multas de 400 a 800
25 Apropiacin de propiedad intelectual Prisin
de 1 a 5 Aos Multas de 100
a 500
26 Oferta engaosa Prisin
de 1 a 5 Aos Multas de 100
a 500
Entre los primeros delitos informticos que aquejan al venezolano, hoy da figuran los financieros. La clonacin de tarjetas de crdito y dbito y la
obtencin de informacin de las cuentas, ha generado en los ltimos aos prdidas millonarias. Tambin se encuentra la pornografa infantil es el segundo con mayor nmero de denuncias. Adems las estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos con mayor frecuencia. Sumndose el hacking, cracking y phising que son quienes, a distancia, violan la seguridad de otras computadoras.
El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de informtica forense para la adquisicin, anlisis, preservacin y presentacin de las evidencias relacionadas a las tecnologas de informacin y comunicacin, con el objeto de prestar apoyo a los cuerpos de investigacin judicial rganos y entes del Estado que as lo requieran.
LEGISLACIN INTERNACIONAL: Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informtica. Tradicionalmente se ha considerado en todos los pases el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informtico, la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas, distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la necesidad de agruparse y en primer lugar definir algunos trminos cibernticos que pudieran permitir la unificacin de criterios en esta materia.
As, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.
Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estndares mnimos, tal es el caso de la Organizacin de Cooperacin y Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos, desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica: anlisis de la normativa jurdica, donde se recomendaba una lista mnima de ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.
Esa lista mnima de delitos informticos era como sigue: 1. Fraude y falsificacin informticos 2. Alteracin de datos y programas de computadora 3. Sabotaje informtico 4. Acceso no autorizado 5. Interceptacin no autorizada y 6. Reproduccin no autorizada de un programa de computadora
protegido.
Posteriormente, la Comisin Poltica de Informacin Computadoras y Comunicacin recomend que se instituyesen protecciones penales contra otros usos indebidos. Se trataba de una lista optativa o facultativa, que inclua entre otros aspectos, los siguientes:
1. Espionaje informtico 2. Utilizacin no autorizada de una computadora 3. Utilizacin no autorizada de un programa de computadora
protegido 4. Robo de secretos comerciales y 5. Acceso o empleo no autorizado de sistemas de computadoras.
En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa, Alemania, China, Holanda y Austria
Inglaterra. Debido a un caso de hacking en 1991, comeneste pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o multas
China. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podr ser condenada con penas que van de 10 aos de prisin hasta la muerte.
Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis magregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos.
Entre los casos ms famosos de delitos informticos, se destacan los siguientes:
John William Racine II, culpable de web de Albandera estadounidense. El fiscal ha pedido tres aos de libertad vigilada y mil horas de servicio a la comunidad.
Helen Carr ha sido declarada tambin culpable por simulacorreos de America On Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de crdito (esto es conocido como phishing).
Vladimir Levin. Fue condenado por ingresar a los centros de cmputos de algunos bancos efectuandoa su favor por aprox USA$ 2.8 millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo,
En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa, Alemania, China, Holanda y Austria
Inglaterra. Debido a un caso de hacking en 1991, comeneste pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o
China. Toda persona implicada en actividades de espionaje, que robe, bra, compre o divulgue secretos de Estado desde la red, podr ser
condenada con penas que van de 10 aos de prisin hasta la muerte. Holanda. Entrar en una computadora en la cual no se tiene acceso legal
ya es delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos
a crcel. El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos.
Entre los casos ms famosos de delitos informticos, se destacan los
John William Racine II, culpable de re direccionar web de Al-Jazeera a la suya propia, donde se poda ver una bandera estadounidense. El fiscal ha pedido tres aos de libertad vigilada y mil horas de servicio a la comunidad.
Helen Carr ha sido declarada tambin culpable por simulacorreos de America On Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de crdito (esto es conocido como phishing).
Vladimir Levin. Fue condenado por ingresar a los centros de cmputos de algunos bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8 millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo,
En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados
Inglaterra. Debido a un caso de hacking en 1991, comenz a regir en este pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o
China. Toda persona implicada en actividades de espionaje, que robe, bra, compre o divulgue secretos de Estado desde la red, podr ser
condenada con penas que van de 10 aos de prisin hasta la muerte. Holanda. Entrar en una computadora en la cual no se tiene acceso legal
eses de crcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos
a crcel. El dao a la informacin o a un sistema de comunicaciones puede
Entre los casos ms famosos de delitos informticos, se destacan los
el trfico de la Jazeera a la suya propia, donde se poda ver una
bandera estadounidense. El fiscal ha pedido tres aos de libertad
Helen Carr ha sido declarada tambin culpable por simular correos de America On Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de crdito (esto es
Vladimir Levin. Fue condenado por ingresar a los centros de transferencias de fondos
a su favor por aprox USA$ 2.8 millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo,
irrumpi en las cuentas del Citibank NY y transfiri los fondos a cuentas en Finlandia, Israel y en el Bank of Amrica de San Francisco.
Alexei Lashmanov (Ayudante de Levin), fue condenado a 5 aos de prisin y a pagar USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de Finlandia e Israel. Estos conspiradores haban obtenido accesos no autorizados al Sistema de Administracin de Dinero en Efectivo del Citibank, en New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras (realizaron un total de 40 transferencias ilegales de dinero)
De los 20 mil casos recolectados por la divisin del FBI encargada de fraudes informticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line, otro 22 % a mercadera o dinero no enviado y apenas un 5 % al fraude de tarjetas de crdito.
Hasta ahora el caso ms importante de fraude detectado sucedi en abril de 2004, durante una transaccin que implic la venta de monedas de plata y oro por un valor cercano al medio milln de dlares.
Evaluacin de riesgos.
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada paraalgunas preguntas que ayudan en la identificacin de lo anteriormente expuesto (1):
"Qu puede ir mal?" "Con qu frecuencia puede ocurrir?" "Cules seran sus consecuencias?" "Qu fiabilidad tienen "Se est preparado para abrir las puertas del negocio sin sistemas, por
un da, una semana, cunto "Cul es el costo de una hora sin procesar, un da, una semana...?" "Cunto, tiempo se pued
la competencia?" "Se tiene forma de detectar a un empleado deshonesto en el sistema?" "Se tiene control sobre las operaciones de los distintos sistemas?" "Cuantas personas dentro de la empresa, (sin
honestidad), estn en condiciones de inhibir el procesamiento de datos?" "A que se llama informacin confidencial y/o sensitiva?" "La informacin confidencial y sensitiva permanece as en los
sistemas?" "La seguridad actual cubre lo
preparada para adecuarse a los avances tecnolgicos esperados?" "A quin se le permite usar que recurso?" "Quin es el propietario del recurso? y quin es el usuario con
mayores privilegios sobre ese recurso?" "Cules sern los privilegios y responsabilidades del Administrador vs.
la del usuario?" "Cmo se actuar si la seguridad es violada?"
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios
se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presupone algunas preguntas que ayudan en la identificacin de lo anteriormente
"Qu puede ir mal?" "Con qu frecuencia puede ocurrir?" "Cules seran sus consecuencias?" "Qu fiabilidad tienen las respuestas a las tres primeras preguntas?""Se est preparado para abrir las puertas del negocio sin sistemas, por
cunto tiempo?" "Cul es el costo de una hora sin procesar, un da, una semana...?""Cunto, tiempo se puede estar off-line sin que los clientes se vayan a
"Se tiene forma de detectar a un empleado deshonesto en el sistema?""Se tiene control sobre las operaciones de los distintos sistemas?""Cuantas personas dentro de la empresa, (sin
honestidad), estn en condiciones de inhibir el procesamiento de datos?""A que se llama informacin confidencial y/o sensitiva?" "La informacin confidencial y sensitiva permanece as en los
"La seguridad actual cubre los tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?"
se le permite usar que recurso?" "Quin es el propietario del recurso? y quin es el usuario con
mayores privilegios sobre ese recurso?" "Cules sern los privilegios y responsabilidades del Administrador vs.
"Cmo se actuar si la seguridad es violada?"
Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios
se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a
La evaluacin de riesgos y presentacin de respuestas debe prepararse cada organizacin; pero se puede presupone
algunas preguntas que ayudan en la identificacin de lo anteriormente
las respuestas a las tres primeras preguntas?" "Se est preparado para abrir las puertas del negocio sin sistemas, por
"Cul es el costo de una hora sin procesar, un da, una semana...?" line sin que los clientes se vayan a
"Se tiene forma de detectar a un empleado deshonesto en el sistema?" "Se tiene control sobre las operaciones de los distintos sistemas?"
considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?"
"La informacin confidencial y sensitiva permanece as en los
s tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?"
"Quin es el propietario del recurso? y quin es el usuario con
"Cules sern los privilegios y responsabilidades del Administrador vs.
Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del tipo:
Tipo de Riesgo Factor
Robo de hardware Alto
Robo de informacin Alto
Vandalismo Medio
Fallas en los equipos Medio
Virus Informticos Medio
Equivocaciones Medio
Accesos no autorizados Medio
Fraude Bajo
Fuego Muy Bajo
Terremotos Muy Bajo
Segn esta tabla habr que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios segn el factor de riesgo representado.
Estrategia de seguridad
Debe contemplar tres aspectos: proteccin antivirus, un firewall, proteccin anti Spam y resolucin de las vulnerabilidades de los distintos programas que usemos. Hasta hace relativamente poco tiempo bastaba con instalar un antivirus y mantenerlo actualizado. El problema actual es que las fronteras entre las acciones que caracterizaban a los distintos enemigos de la seguridad informtica se estn difuminando: hoy un virus se puede comportar como un troyano que a su vez aprovecha una vulnerabilidad del sistema operativo y que lo utiliza un distribuidor de Spam para enviar miles de mensajes sin que el propietario de la maquina infectada se entere.
Los virus, los troyanos, las vulnerabilidades y los spammers estn relacionados, haciendo un cctel ms que peligroso para un usuario que no tome las medidas de proteccin adecuadas. Si a esto agregamos el reciente auge de la conexin dedicada ya sea mediante ADSL, cable modem o antena,
lo que ha aumentado el nmero de usuarios que permanecen un gran nmero de horas conectados a Internet y esto aumenta el riesgo.
Veamos cada uno de los componentes que necesitamos para instrumentar una estrategia de seguridad.
El antivirus a esta altura no hay que explicar mucho sobre para que se necesite un antivirus, la cuestin es que el grado de velocidad de aparicin de nuevos virus o variaciones de los mismos es tan alto que muy pocas personas actualizan sus antivirus con frecuencia. Conociendo este problema varias empresas desarrolladoras de antivirus han creado antivirus on line que chequean su computadora mientras usted est conectado a Internet. Es una forma cmoda y segura de inspeccionar la computadora para encontrar todos los virus y los de reciente aparicin.
Antivirus en lnea: Trend Micro http://housecall.trendmicro.com Excelente servicio.
RAV antivirus: www.ravantivirus.com/scan Debe enviar una direccin de correo electrnico, no es tan rpido como TrendMicro.
El Firewall o cortafuegos es un programa que protege a su computadora del ingreso de intrusos, lo que hace este programa es inspeccionar todo el trfico que sale e ingresa a su computadora a travs de Internet . A un firewall hay que configurarlo muy bien por que lgicamente hay trfico permitido como la navegacin por pginas web y trafico que usted no debe permitir. Estos programas bloquean automticamente todo tipo de ataque hacia su ordenador.
La configuracin correcta de un firewalll es fundamental, por ejemplo el puerto 80 es el usado para navegar por la pginas web, si usted lo cierra no podr navegar por Internet pero si lo deja abierto totalmente (entrada y salida) ingresaran a su PC muy fcilmente.
Las vulnerabilidades: El sistema operativo Windows tiene decenas de vulnerabilidades que lo hacen fcilmente penetrable por intrusos . Por ejemplo desde su salida al mercado el sistema Windows en su versin Me (Milleniun) hasta hoy (julio 2004) acumulo 25 vulnerabilidades para las cuales Microsoft provee los parches de seguridad correspondientes. Windows XP va en el mismo camino.
El Spam y otras acciones ilegales: Hasta hace poco tiempo no pareca ser un tema relacionado con la seguridad sino con la administracin del correo electrnico entrante , bastaba con colocar un filtro de correo y nada mas . Como los distribuidores de Spam son cada vez mas perseguidos y muy pocos proveedores de conexin permiten realizarlo desde sus cuentas , que mejor idea tuvieron que hacerlo desde computadoras ajenas . Mediante la utilizacin de exploits o troyanos adecuados un spammer puede distribuir sus mensajes desde otra computadora sin que el propietario de la misma se entere .Lo cual le puede, incluso, acarrear a este problemas legales ya que los mensajes salen de esa computadora.
Tendencias de la Seguridad Microelectrnica
La microelectrnica es la aplicacin de la ingeniera electrnica a componentes y circuitos de dimensiones muy pequeas, microscpicas y hasta de nivel molecular para producir dispositivos y equipos electrnicos de dimensiones reducidas pero altamente funcionales. El telfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnologa Microelectrnica.
Existen mltiples factores de ndole tecnolgicos que explican la convergencia de la Microelectrnica, la Informtica y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:
Los tres campos de actividad se caracterizan por utilizar un soporte fsico comn, como es la microelectrnica.
Por la gran componente de software incorporado a sus productos. Por el uso intensivo de infraestructuras de comunicaciones que
permiten la distribucin (deslocalizacin) de los distintos elementos de proceso de la informacin en mbitos geogrficos distintos.
La microelectrnica, frecuentemente denominada hardware, est residente en todas las funcionalidades del proceso de informacin. Resuelve los problemas relacionados con la interaccin con el entorno como la adquisicin y la presentacin dela informacin, mediante dispositivos como
transductores, tarjetas de sonido, tarjetas grficas, etc. No obstante, su mayor potencialidad est en la funcin de tratamiento de la informacin.
La microelectrnica abarca como campo de aplicacin la domtica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestin energtica, seguridad, bienestar y comunicacin, y que pueden estar integrados por medio de redes interiores y exteriores de comunicacin, cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. Entre las tareas realizadas por la demtica se usan distintos tipos de componentes microelectrnicos que hacen que dichas tareas se lleven a cabo con gran precisin por medio de micro controladores. Editar texto
La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran:
Simulacin de presencia. Alarmas de Deteccin de incendio, fugas de gas, escapes de
agua, concentracin de monxido en garajes. Alerta mdica. Tele asistencia. Cerramiento de persianas puntual y seguro. Acceso a Cmaras IP.