Apuntes Seguridad

7/29/2019 Apuntes Seguridad

1/48

www.monografias.com

Apuntes de seguridad

1. Seguridad Fsica2. Seguridad Lgica3. Delitos Informticos4. Amenazas Lgicas5. Polticas de Seguridad

CAPITULO 1Seguridad Fsica

Es muy importante ser conciente que por mas que nuestra empresa sea la mas segura desde elpunto de vista de ataques externos, hackers, virus, etc. ; la seguridad de la misma ser nula si no se haprevisto como combatir un incendio.

La seguridad fsica es uno de los aspectos mas olvidados a la hora del diseo de un sistemainformtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros como la deteccin deun atacante interno a la empresa que intenta acceder fsicamente a una sala de operaciones de la misma,no.

Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala,

que intentar acceder va lgica a la misma.As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control,

como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial.1

Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as comolos medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios dealmacenamiento de datos.1.1 TIPOS DE DESASTRES

No ser la primera vez que se mencione en este trabajo, que cada sistema es nico y por lo tanto lapoltica de seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el quenos encontramos. Es por ello que siempre se recomendarn pautas de aplicacin general y noprocedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Entre Ros,tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Los ngeles, EE.UU.

Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre comopor la naturaleza del medio fsico en que se encuentra ubicado el centro.Las principales amenazas que se prevn en la seguridad fsica son:

1. Desastres naturales, incendios accidentales tormentas e inundaciones.2. Amenazas ocasionadas por el hombre.3. Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mximaseguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces bastarecurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertasreas siguen siendo tcnicas vlidas en cualquier entorno.

A continuacin se analizan los peligros ms importantes que se corren en un centro deprocesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna parala prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos.

1.1.1 INCENDIOSLos incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones

elctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. El fuego es unade las principales amenazas contra la seguridad. Es considerado el enemigo nmero uno de lascomputadoras ya que puede destruir fcilmente los archivos de informacin y programas.

Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual dao queel propio fuego, sobre todo a los elementos electrnicos. El dixido de carbono, actual alternativa del agua,resulta peligroso para los propios empleados si quedan atrapados en la sala de cmputos.

1HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digltal -Open Publication License v.10 o

later. 2 de Octubre de 2000.http://www.kriptopolis.com

Para ver trabajos similares o recibir informacin semanal sobre nuevas publicaciones, visite www.monografias.com
http://www.kriptopolis.com/http://www.kriptopolis.com/http://www.kriptopolis.com/


2/48

www.monografias.com

Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentrasometido un centro de cmputos son:

1. El rea en la que se encuentran las computadoras debe estar en un local que no sea combustible oinflamable.

2. El local no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen oalmacenen materiales inflamables, explosivos, gases txicos o sustancias radioactivas.

3. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.4. Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y

resistentes al fuego.5. No debe estar permitido fumar en el rea de proceso.6. Deben emplearse muebles incombustibles, y cestos metlicos para papeles. Deben evitarse los

materiales plsticos e inflamables.7. El piso y el techo en el recinto del centro de cmputo y de almacenamiento de los medios

magnticos deben ser impermeables.1.1.1.1 SEGURIDAD DEL EQUIPAMIENTO

Es necesario proteger los equipos de cmputo instalndolos en reas en las cuales el acceso a losmismos slo sea para personal autorizado. Adems, es necesario que estas reas cuenten con losmecanismos de ventilacin y deteccin de incendios adecuados.

Para protegerlos se debe tener en cuenta que: La temperatura no debe sobrepasar los 18 C y el limite de humedad no debe superar el 65% para

evitar el deterioro. Los centros de cmputos deben estar provistos de equipo para la extincin de incendios en relacin al

grado de riesgo y la clase de fuego que sea posible en ese mbito. Deben instalarse extintores manuales (porttiles) y/o automticos (rociadores).

1.1.1.2 RECOMENDACIONESEl personal designado para usar extinguidores de fuego debe ser entrenado en su uso.Si hay sistemas de deteccin de fuego que activan el sistema de extincin, todo el personal de esa

rea debe estar entrenado para no interferir con este proceso automtico.Implementar paredes protectoras de fuego alrededor de las reas que se desea proteger del

incendio que podra originarse en las reas adyacentes.Proteger el sistema contra datos causados por el humo. Este, en particular la clase que es

principalmente espeso, negro y de materiales especiales, puede ser muy daino y requiere una lenta ycostosa operacin de limpieza.

Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.Suministrar informacin, del centro de computo, al departamento local de bomberos, antes de que

ellos sean llamados en una emergencia. Hacer que este departamento est consciente de lasparticularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de unasalida para el humo, es importante. Adems, ellos pueden ofrecer excelentes consejos como precaucionespara prevenir incendios.1.1.2 INUNDACIONESSe las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin enterrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas demayores desastres en centros de cmputos.

Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocadapor la necesidad de apagar un incendio en un piso superior.Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeablepara evitar el paso de agua desde un nivel superior y acondicionar laspuertas para contener el agua que bajase por las escaleras.1.1.3 CONDICIONES CLIMATOLGICAS

Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catstrofesssmicas similares. Las condiciones atmosfricas severas se asocian a ciertas partes del mundo y laprobabilidad de que ocurran est documentada.

La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construccin deun edificio. La comprobacin de los informes climatolgicos o la existencia de un servicio que notifique laproximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada

de objetos mviles, la provisin de calor, iluminacin o combustible para la emergencia.1.1.3.1 TERREMOTOS



3/48

www.monografias.com

Estos fenmenos ssmicos pueden ser tan poco intensos que solamente instrumentos muysensibles los detectan o tan intensos que causan la destruccin de edificios y hasta la prdida de vidashumanas. El problema es que en la actualidad, estos fenmenos estn ocurriendo en lugares donde no selos asociaba. Por fortuna los daos en las zonas

improbables suelen ser ligeros.1.1.4 SEALES DE RADAR

La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sidoexhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientesson que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin,pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si laantena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algnmomento, estuviera apuntando directamente hacia dicha ventana.1.1.5 INSTALACIN ELCTRICA

Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principalesreas a considerar en la seguridad fsica. Adems, es una problemtica que abarca desde el usuariohogareo hasta la gran empresa.

En la medida que los sistemas se vuelven ms complicados se hace ms necesaria la presencia deun especialista para evaluar riesgos particulares y aplicar soluciones que estn de acuerdo con una norma

de seguridad industrial.1.1.5.1 PICOS y RUIDOS ELECTROMAGNTICOSLas subidas (Picos) y cadas de tensin no son el nico problema elctrico al que se han de

enfrentar los usuarios. Tambin est el tema del ruido que interfiere en el funcionamiento de loscomponentes electrnicos. El ruido interfiere en los datos, adems de favorecer la escucha electrnica.1.1.5.2 CABLEADO

Los cables que se suelen utilizar para construir las redes locales van del cable telefnico normal alcable coaxil o la fibra ptica. Algunos edificios de oficinas ya se construyen con los cables instalados paraevitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro daoaccidental.

Los riesgos ms comunes para el cableado se pueden resumir en los siguientes:1. Interferencia: estas modificaciones pueden estar generadas por cables de alimentacin de

maquinaria pesada o por equipos de radio o microondas. Los cables de fibra ptica no sufren el

problema de alteracin (de los datos que viajan a travs de l) por accin de campos elctricos, quesi sufren los cables metlicos.

2. Corte del cable: la conexin establecida se rompe, lo que impide que el flujo de datos circule por elcable.

3. Daos en el cable: los daos normales con el uso pueden daar el apantallamiento que preserva laintegridad de los datos transmitidos o daar al propio cable, lo que hace que las comunicacionesdejen de ser fiables.En la mayor parte de las organizaciones, estos problemas entran dentro de la categorade daos naturales. Sin embargo tambin se pueden ver como un medio para atacar la red si el

objetivo es nicamente interferir en su funcionamiento.El cable de red ofrece tambin un nuevo frente de ataque para un determinado intruso que intentase

acceder a los datos. Esto se puede hacer:

1. Desviando o estableciendo una conexin no autorizada en la red: un sistema de administracin yprocedimiento de identificacin de acceso adecuados har difcil que se puedan obtener privilegiosde usuarios en la red, pero los datos que fluyen a travs del cable pueden estar en peligro.

2. Haciendo una escucha sin establecer conexin, los datos se pueden seguir y pueden versecomprometidos.Luego, no hace falta penetrar en los cables fsicamente para obtener los datos que transportan.

1.1.5.2.1 Cableado de Alto Nivel de SeguridadSon cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El

objetivo es impedir la posibilidad de infiltraciones y monitoreos de la informacinque circula por el cable. Consta de un sistema de tubos (hermticamente cerrados) por cuyo interior

circula aire a presin y el cable. A lo largo de la tubera hay censores conectados a una computadora. Si sedetecta algn tipo de variacin de presin se dispara un sistema de alarma.

1.1.5.2.2 Pisos de Placas Extrables



4/48

www.monografias.com

Los cables de alimentacin, comunicaciones, interconexin de equipos, receptculos asociados concomputadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacioque, para tal fin se dispone en los pisos de placas extrables, debajo del mismo.1.1.5.3 SISTEMA DE AIRE ACONDICIONADO

Se debe proveer un sistema de calefaccin, ventilacin y aire acondicionado separado, que sededique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva.

Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios einundaciones, es recomendable instalar redes de proteccin en todo el sistema de caera al interior y alexterior, detectores y extinguidotes de incendio, monitores y alarmas efectivas.1.1.5.4 EMISIONES ELECTROMAGNTICAS

Desde hace tiempo se sospecha que las emisiones, de muy baja frecuencia que generan algunosperifricos, son dainas para el ser humano.

Segn recomendaciones cientficas estas emisiones podran reducirse mediante filtros adecuados alrango de las radiofrecuencias, siendo estas totalmente seguras para las personas.

Para conseguir que las radiaciones sean mnimas hay que revisar los equipos constantemente ycontrolar su envejecimiento.1.1.6 ERGOMETRA

"La Ergonoma es una disciplina que se ocupa de estudiar la forma en que interacta el cuerpo

humano con los artefactos y elementos que lo rodean, buscando que esa interaccin sea lo menos agresivay traumtica posible."2El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias,

herramientas e instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologadel operador. Entre los fines de su aplicacin se encuentra, fundamentalmente, la proteccin de lostrabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro.1.1.6.1 TRASTORNOS OSEOS y /o MUSCULARES

Una de las maneras de provocar una lesin sea o muscular es obligar al cuerpo a ejecutarmovimientos repetitivos y rutinarios, y esta posibilidad se agrava enormemente si

dichos movimientos se realizan en una posicin incorrecta o antinatural.En el ambiente informtico, la operacin del teclado es un movimiento repetitivo y continuo, si a esto

le sumamos el hecho de trabajar con una distribucin ineficiente de lasteclas, el diseo antinatural del teclado y la ausencia (ahora atenuada por el uso del mouse) de

movimientos alternativos al de tecleado, tenemos un potencial riesgo de enfermedades o lesiones en losmsculos, nervios y huesos de manos y brazos.

En resumen, el lugar de trabajo debe estar diseado de manera que permita que el usuario secoloque en la posicin ms natural posible. Como esta posicin variar de acuerdo a los distintos usuarios,lo fundamental en todo esto es que el puesto de trabajo sea ajustable, para que pueda adaptarse a lasmedidas y posiciones naturales propias de cada operador.1.1.6.2 TRASTORNOS VISUALES

Los ojos, sin duda, son las partes ms afectadas por el trabajo con computadoras.La pantalla es una fuente de luz que incide directamente sobre el ojo del operador, provocando,

luego de exposiciones prolongadas el tpico cansancio visual, irritacin y lagrimeo, cefalea y visin borrosa.Si a esto le sumamos un monitor cuya definicin no sea la adecuada, se debe considerar la

exigencia a la que se sometern los ojos del usuario al intentar' descifrar el contenido de la pantalla.

Adems de la fatiga del resto del cuerpo al tener que cambiar la posicin de la cabeza y el cuello paraacercar los ojos a la misma.Para prevenir los trastornos visuales en los operadores podemos tomar recaudos como:

1. Tener especial cuidado al elegir los monitores y placas de video de las computadoras.2. Usar de pantallas antirreflejo o anteojos con proteccin para el monitor, es una medida preventiva

importante y de relativo bajo costo, que puede solucionar varios de los problemas antesmencionados.

1.1.6.3 LA SALUD MENTALLa carga fsica del trabajo adopta modalidades diferentes en los puestos informatizados. De hecho,

disminuye los desplazamientos de los trabajadores y las tareas requieren un menor esfuerzo musculardinmico, pero aumenta, al mismo tiempo, la carga esttica de acuerdo con las posturas inadecuadasasumidas.

2ALDEGANI, Gustavo. Miguel. Seguridad Informtica. MP Ediciones. 1 Edicin. Argentina. 1997. Pgina 30.



5/48

www.monografias.com

Por su parte, la estandarizacin y racionalizacin que tiende a acompaar la aplicacin de las PCs en lastareas de ingreso de datos, puede llevar a la transformacin del trabajo en una rutina y.Los efectos del estrs pueden encuadrarse dentro de varias categoras:

1. Los efectos fisiolgicos inmediatos, caracterizados por el incremento de la presin arterial, elaumento de la frecuencia cardiaca, etc.

2. Los efectos psicolgicos inmediatos hacen referencia a la tensin, irritabilidad, clera, agresividad,

etc. Estos sentimientos pueden, a su vez, inducir ciertos efectos en el comportamiento tales como elconsumo de alcohol y psicofrmacos, el hbito de fumar, etc.

3. Tambin existen consecuencias mdicas a largo plazo, tales como enfermedades coronaras,hipertensin arterial, lceras ppticas, agotamiento; mientras que las consecuencias psicolgicas alargo plazo pueden sealar neurosis, insomnio, estados crnicos de ansiedad y/o depresin, etc.

4. La apata, sensaciones generales de insatisfaccin ante la vida, la prdida de la propia estima, etc.,alteran profundamente la vida personal, familiar y social del trabajador llevndolo, eventualmente, alaislamiento, al ausentismo laboral y la prdida de la solidaridad social.

1.1.6.4 AMBIENTE LUMINOSOSe parte de la base que las oficinas mal iluminadas son la principal causa de la prdida de la

productividad en las empresas y de un gasto energtico excesivo. Una iluminacin deficiente provocadolores de cabeza y perjudica a los ojos.

1.1.6.5 AMBIENTE CLIMTICOEn cuanto al ambiente climtico, la temperatura de una oficina con computadoras debe estarcomprendida entre 18 y 21 grados centgrados y la humedad relativa del aire debe estar comprendida entreel 45% y el 65%. En todos los lugares hay que contar con sistemas que renueven el aire peridicamente. Nomenos importante es el ambiente sonoro por lo que se recomienda no adquirir equipos que superen los 55decibeles, sobre todo cuando trabajan muchas personas en un mismo espacio.1.2 ACCIONES HOSTILES1.2.1 ROBO

Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma formaque lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadorade la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempode mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresasinvierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que

la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmentesustraible y las cintas y discos son fcilmente copiados sin dejar ningn rastro.1.2.2 FRAUDE

Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, lascomputadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ningunade las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sinoque ms bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.1.2.3 SABOTAJE

El peligro ms temido en los centros de procesamiento de datos, es el sabotaje.Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado

que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o unsujeto ajeno a la propia empresa.

Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada lainformacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Unahabitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datospueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden serintroducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden sercortadas, etc.1.3 CONTROL DE ACCESOS

El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a laapertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sectordentro de una empresa o institucin.1.3.1 UTILIZACIN DE GUARDIAS1.3.1.1 CONTROL DE PERSONAS

El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio.Este servicio es el encargado de colocar los guardias en lugares estratgicos para cumplir con sus objetivosy controlar el acceso del personal.



6/48

www.monografias.com

A cualquier personal ajeno a la planta se le solicitar completar un formulario de datos personales,los motivos de la visita, hora de ingreso y de egreso, etc.

El uso de credenciales de identificacin es uno de los puntos ms importantes del sistema deseguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectoresde la empresa.

En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta de identificacin.

Cada una de ellas tiene un PIN (personal Identificatin Number) nico, siendo este el que se almacena enuna base de datos para su posterior seguimiento, si fuera necesario.

Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresara cualquier persona que la posea.Estas credenciales se pueden clasificar de la siguiente manera: Normal o definitiva: para el personal permanente de planta. Temporaria: para personal recin ingresado. Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma. Visitas.

Las personas tambin pueden acceder mediante algo que saben (por ejemplo un nmero deidentificacin o una password) que se solicitar a su ingreso. Al igual que el caso de las tarjetas deidentificacin los datos ingresados se contrastarn contra una base donde se almacena los datos de las

personas autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificacionessencillas, bien se olvidan dichas identificaciones oincluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas.

1.3.1.2 CONTROL DE VEHCULOSPara controlar el ingreso y egreso de vehculos, el personal de vigilancia debe asentar en una

planilla los datos personales de los ocupantes del vehculo, la marca y patente del mismo, y la hora deingreso y egreso de la empresa.1.3.2 DESVENTAJAS DE LA UTILIZACIN DE GUARDIAS

La principal desventaja de la aplicacin de personal de guardia es que ste puede llegar a sersobornado por un tercero para lograr el acceso a sectores donde no est habilitado, como as tambin parapoder ingresar o egresar de la planta con materiales no autorizados. Esta situacin de soborno es muyfrecuente, por lo que es recomendable la utilizacin de sistemas biomtricos para el control de accesos.1.3.3 UTILIZACIN DE DETECTORES DE METALES

El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendograndes ventajas sobre el sistema de palpacin manual.

La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumenmetlico mnimo, a partir del cual se activar la alarma.

La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo,actuar como elemento disuasivo.1.3.4 UTILIZACIN DE SISTEMAS BIOMTRICOS

Definimos a la Biometra como "la parte de la biologa que estudia en forma cuantitativa lavariabilidad individual de los seres vivos utilizando mtodos estadsticos". La Biometra es una tecnologaque realiza mediciones en forma electrnica, guarda y compara caractersticas nicas para la identificacinde personas.

La forma de identificacin consiste en la comparacin de caractersticas fsicas de cada persona con

un patrn conocido y almacenado en una base de datos. Los lectores biomtricos identifican a la personapor lo que es (manos, ojos, huellas digitales y voz).1.3.4.1 Los BENEFICIOS DE UNA TECNOLOGA BIOMTRICA

Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las reducciones deprecios han disminuido el costo inicial de las tarjetas en los ltimos aos, el verdadero beneficio deeliminarlas consiste en la reduccin del trabajo concerniente a su administracin. Utilizando un dispositivobiomtrico los costos de administracin son ms pequeos, se realiza el mantenimiento del lector , y unapersona se encarga de mantener la base de datos actualizada. Sumado a esto, las caractersticasbiomtricas de una persona son intransferibles a otra.1.3.4.2 EMISIN DE CALOR

Se mide la emisin de calor del cuerpo (termograma), realizando un mapa de valores sobre la formade cada persona.

1.3.4.3 HUELLA DIGITALBasado en el principio de que no existen dos huellas dactilares iguales, este sistema viene siendoutilizado desde el siglo pasado con excelentes resultados.



7/48

www.monografias.com

Cada huella digital posee pequeos arcos, ngulos, bucles, remolinos, etc. (llamados minucias)caractersticas y la posicin relativa de cada una de ellas es lo analizado para establecer la identificacin deuna persona. Esta aceptado que dos personas no tienen ms de ocho minucias iguales y cada una poseems de 30, lo que hace al mtodo sumamente confiable.1.3.4.4 VERIFICACIN DE VOZ

La diccin de una ( o ms) frase es grabada y en el acceso se compara la vos (entonacin,

diptongos, agudeza, etc.).Este sistema es muy sensible a factores externos como el ruido, el estado de animo y

enfermedades de la persona, el envejecimiento, etc.1.3.4.5 VERIFICACIN DE PATRONES OCULARES

Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento sonlos considerados ms efectivos ( en 200 millones de personas la probabilidad de coincidencia es casi 0).

Su principal desventaja reside en la resistencia por parte de las personas a que les analicen losojos, por revelarse en los mismos enfermedades que en ocasiones se prefiere mantener en secreto.1.3.5 VERIFICACIN AUTOMTICA DE FIRMAS (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podraencuadrarse dentro de las verificaciones biomtricas.

Mientras es posible para un falsificador producir una buena copia visual o facsmil, es

extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud.La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. Lasecuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nicoen cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada.

El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente,consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y unacomputadora barata.1.3.6 SEGURIDAD CON ANIMALESSirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho

ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado ymantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistemaposee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado.1.3.7 PROTECCIN ELECTRNICA

Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la utilizacin de sensoresconectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de sealizacin queson los encargados de hacerles saber al personal de una situacin de emergencia. Cuando uno de loselementos sensores detectan una situacin de riesgo, stos transmiten inmediatamente el aviso a la central;sta procesa la informacin recibida y ordena en respuesta la emisin de seales sonoras o luminosasalertando de la situacin.1.3.7.1 BARRERAS INFRARROJAS y DE MICRO-ONDAS

Transmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican pormedio de pulsos con el fin de evadir los intentos de sabotaje. Estas barreras estn compuestas por untransmisor y un receptor de igual tamao y apariencia externa. Cuando el haz es interrumpido, se activa elsistema de alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenmenos aleatorioscomo calefaccin, luz ambiental, vibraciones, movimientos de masas de aire, etc.

Las invisibles barreras fotoelctricas pueden llegar a cubrir reas de hasta 150 metros de longitud(distancias exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir conuna misma barrera diferentes sectores.

Las microondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor operecon seales de muy bajo nivel sin ser afectado por otras emisiones de radio, ya que estn muy alejadas enfrecuencia.

Debido a que estos detectores no utilizan aire como medio de propagacin, poseen la ventaja de noser afectados por turbulencias de aire o sonidos muy fuertes.

Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana devidrio, plstico, tabiques de madera, revoques sobre madera, mampostera y hormign.1.3.7.2 DETECTOR ULTRASNICO

Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier

movimiento que realice un cuerpo dentro del espacio protegido, generar una perturbacin en dicho campoque accionar la alarma. Este sistema posee un circuito refinado que elimina las falsas alarmas. Lacobertura de este sistema puede llegar a un mximo de 40 metros cuadrados.



8/48

www.monografias.com

1.3.7.3 DETECTORES PASIVOS SIN ALIMENTACINEstos elementos no requieren alimentacin extra de ningn tipo, slo van conectados a la central de

control de alarmas para mandar la informacin de control. Los siguientes estnincluidos dentro de este tipo de detectores:

1. Detector de aberturas: contactos magnticos externos o de embutir.

2. Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia;sensibilidad regulable.

3. Detector de vibraciones: detecta golpes o manipulaciones extraas sobre la superficie controlada.1.3.7.4 SONORIZACIN y DISPOSITIVOS LUMINOSOS

Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas, timbres, etc.Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc. Estos debenestar colocados de modo que sean efectivamente odos o vistos por aquellos a quienes estn dirigidos. Loselementos de sonorizacin deben estar bien identificados para poder determinar rpidamente si el estado dealarma es de robo, intrusin, asalto o aviso de incendio.

Se pueden usar transmisores de radio a corto alcance para las instalaciones de alarmas locales.Los sensores se conectan a un transmisor que enva la seal de radio a un receptor conectado a la centralde control de alarmas encargada de procesar la informacin recibida.

1.3.7.5 CIRCUITOS CERRADOS DE TELEVISINPermiten el control de todo lo que sucede en la planta segn lo captado por las cmarasestratgicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de altaseguridad. Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (paraevitar que el intruso sepa que est siendo captado por el personal de seguridad).

Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que sien algn momento se corta la alimentacin o se produce la rotura de alguno de sus componentes, seenviar una seal a la central de alarma para que sta accione los elementos de sealizacincorrespondientes.1.3.7. 6 EDIFICIOS INTELIGENTES

La infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere a avancestecnolgicos. El Edificio Inteligente (surgido hace unos 10 aos) se define como una estructura que facilita ausuarios y administradores, herramientas y servicios integrados a la administracin y comunicacin. Este

concepto propone la integracin de todos los sistemas existentes dentro del edificio, tales como telfonos,comunicaciones por computadora, seguridad, control de todos los subsistemas del edificio (gas, calefaccin,ventilacin y aire acondicionado, etc. ) y todas las formas de administracin de energa.

Una caracterstica comn de los Edificios Inteligentes es la flexibilidad que deben tener para asumirmodificaciones de manera conveniente y econmica.1.4 CONCLUSIONES

Evaluar y controlar permanentemente la seguridad fsica del edificio es la base para o comenzar aintegrar la seguridad como una funcin primordial dentro de cualquier organismo.Tener controlado el ambiente y acceso fsico permite: Disminuir siniestros Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado delmedio en el que nos desempet1amos; y as tomar decisiones sobre la base de la informacin brindada porlos medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personashasta la extremo de evacuar el edificio en caso de accidentes.

CAPITULO 2Seguridad Lgica

Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, esimportante recalcar que la mayora de loS daos que puede sufrir un centro de cmputos no ser sobre loSmedios fsicos sino contra informacin por l almacenada y procesada.

As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir conuna sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es



9/48

www.monografias.com

la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estastcnicas las brinda la Seguridad Lgica.

Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos queresguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas parahacerlo."

Existe un viejo dicho en la seguridad informtica que dicta que todo lo que est permitido debe

estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica.Los objetivos que se plantean sern;

1. Restringir el acceso a los programas y archivos.2. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar

los programas ni tos archivos que no correspondan.3. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el

procedimiento correcto.4. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a

otro.5. Que la informacin recibida sea la misma que ha sido transmitida.6. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos.7. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.

2.1 CONTROLES DE ACCESOEstos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin,en bases de datos, en un paquete especifico de seguridad o en cualquier otro utilitario.

Construyen una importante ayuda para proteger al sistema operativo de la red, al sistema deaplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la integridadde la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardarla informacin confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica,como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde unpermiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute forStandars and Technology (NIST)3 ha resumido los siguientes estndares de seguridad que se refieren a losrequisitos mnimos de seguridad en cualquier sistema:2.1.1 IDENTIFICACIN y AUTENTIFICACIN

Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendoprevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso ypara el seguimiento de las actividades de 108 usuarios.

Se denomina identificacin al momento en que el usuario se da a conocer en el sistema; yAutenticacin a la verificacin que realiza el sistema sobre esta identificacin.

Al igual que se consider para la seguridad fsica. y basada en ella, existen cuatro tiposde tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales

pueden ser utilizadas individualmente o combinadas:1. Algo que solamente el individuo conoce: por ejemplo una clave de acceso secreto o password, una

clave criptogrfica, un nmero de identificacin personal o PIN, etc.2. Algo que la persona posee: por ejemplo una tarjeta magntica.3. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las buenas digitales o la voz.

4. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.Para cada una de estas tcnicas vale lo mencionado en el caso de la seguridad fsica en cuanto a

sus ventajas y desventajas. Se destaca en los dos primeros casos enunciados, es frecuente que las clavessean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, los controles deautenticacin biomtricos seran los ms apropiados y fciles de administrar, resultando ser tambin, losms costosos por lo dificultosos de su implementacin eficiente.

desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados yautenticados solamente una vez, pudiendo acceder a partir de all, a todas las aplicaciones y datos a los quesu perfil permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Estose denomina "single log-in" o sincronizacin de passwords.

Una de las posibles tcnicas para implementar esta nica identificacin de usuarios seria lautilizacin de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga

3http://www.nist.gov



10/48

www.monografias.com

luego de autenticar al usuario sobre los restantes equipos a los que ste pueda acceder. Este servidor deautenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funcionesdistribuidas tanto geogrfica como lgicamente, de acuerdo con los requerimientos de carga de tareas.

La seguridad informtica se basa, en gran medida, en la efectiva administracin de los permisos deacceso a los recursos informticos, basados en la identificacin, autenticacin y autorizacin de accesos.Esta administracin abarca:

1. Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Esnecesario considerar que la solicitud de habilitacin de un permiso de acceso para un usuariodeterminado, debe provenir de su superior y, de acuerdo con sus requerimientos especficos deacceso debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en laaplicacin segn corresponda.

2. Adems, la identificacin de los usuarios debe defirse de acuerdo con una norma homognea paratoda la organizacin.

3. Revisiones peridicas sobre la administracin de las cuentas y los permisos de accesoestablecidos. Las mismas deben encararse desde el punto de vista del sistema operativo, yaplicacin por aplicacin, pudiendo ser llevadas a cabo por personal de auditoria o por la gerenciapropietaria del sistema; siempre sobre la base de que cada usuario disponga del mnimo permisoque requiera de acuerdo con sus funciones.

4. Las revisiones deben orientarse a verificar la adecuacin de los permisos de acceso de cadaindividuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o laautorizacin de cada habilitacin de acceso. Para esto, deben analizarse las cuentas en busca deperodos de inactividad o cualquier otro aspecto anormal que permita una redefinicin de lanecesidad de acceso.

5. Deteccin de actividades no autorizadas. Adems de realizar auditorias o efectuar el seguimiento delos registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrenciade actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personasdeterminadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotacionesperidicas a las funciones asignadas a cada una.

6. Nuevas consideraciones relacionadas con cambios en la asignacin de funciones del empleado.Para implementar la rotacin de funciones, o en caso de reasignar funciones por ausencias

temporales de algunos empleados, es necesario considerar la importancia de manteneractualizados los permisos de acceso.

7. Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organizacin,llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altosriesgos ya que en general se trata de empleados con capacidad para modificar aplicaciones o laconfiguracin del sistema, dejando "bombas lgicas" o destruyendo sistemas o recursosinformticos. No obstante el personal de otras reas usuarias de los sistemas tambin puede causardaos, por ejemplo, introduciendo informacin errnea a las aplicaciones intencionalmente.Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas quese desvincularn de la organizacin, lo antes posible. En caso de despido, el permiso de accesodebera anularse previamente a la notificacin de la persona sobre la situacin.

2.1.2 ROLES

El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario querequiere dicho acceso. Algunos ejemplos de roles seran los siguientes:

programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema etc. En estecaso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.2.1.3 TRANSACCIONES

Tambin pueden implementarse controles a travs de las transacciones, por ejemplosolicitando una clave al requerir el procesamiento de una transaccin determinada.2.1.4 LIMITACIONES A LOS SERVICIOS

Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacinde la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en laorganizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de softwarepara cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a

un sexto usuario,2.1.5 MODALIDAD DE ACCESO



11/48

www.monografias.com

Se refiere al modo de acceso que se permite al usuario sobre los recursos ya la informacin, Estamodalidad puede ser: Lectura: el usuario puede nicamente leer o visualizar la informacin pero no puede alterarla, Debe

considerarse que la informacin puede ser copiada o impresa. Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin. Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas. Borrado: permite al usuario eliminar recursos del sistema (como programa, campos de datos o

archivos). El borrado es considerado una forma de modificacin. Todas las anteriores.

Adems existen otras modalidades de acceso especiales, que generalmente se incluyenen los sistemas de aplicacin: Creacin: permite al usuario crear nuevos archivos, registros o campos. Bsqueda: permite listar los archivos de un directorio determinado.

2.1.5.1 UBICACIN y HORARIOEl acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica

de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de losusuarios a determinadas horas de da o a determinados das de la

semana, De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso.

Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno delos controles anteriormente mencionados.2.1.6 CONTROL DE ACCESO INTERNO2.1.6.1 PALABRAS CLAVES (PASSWORDS)

Generalmente se utilizan para realizar la autenticacin del usuario y sirven para proteger los datos yaplicaciones. Los controles implementados a travs de la utilizacin de palabras clave resultan de muy bajocosto. Sin embargo cuando el Usuario se ve en la necesidad de utilizar varias palabras clave para acceder adiversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fcilmentededucibles, con lo que se ve disminuida la utilidad de esta tcnica.Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instanciaCada uno de ellos se romper por este eslabn: la eleccin de passwords dbiles.

Sincronizatin de passwords: consiste en permitir que un usuario acceda con la misma passworda diferentes sistemas interrelacionados y, su actualizacin automtica en todos ellos en caso de sermodificada. Podra pensarse que esta es una caracterstica negativa para la seguridad de un sistema, yaque una vez descubierta la clave de un usuario, se podra tener acceso a los mltiples sistemas a los quetiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelenmanejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegirdiferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo an mayor.Para implementar la sincronizacin de passwords entre sistemas es necesario que todos ellos tengan unalto nivel de seguridad.

Caducidad y control: este mecanismo controla cuando pueden y/o deben cambiar sus passwordslos usuarios. Se define el perodo mximo que debe pasar para que los usuarios puedan cambiar suspasswords, y un perodo mximo que puede transcurrir para que stas caduquen.2.1.6.2 ENCRIPTACIN

La informacin encriptada solamente puede ser desencriptada por quienes posean la clave

apropiada. La encriptacin puede proveer de una potente medida de control de acceso.Este tema ser abordado con profundidad en el Captulo sobre Proteccin del presente.2.1.6.3 LISTAS DE CONTROL DE ACCESOS

Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permisode acceso a un determinado recurso del sistema, as como la modalidad de acceso permitido. Este tipo delistas varan considerablemente en su capacidad y flexibilidad.2.1.6.4 LIMITES SOBRE LA INTERFASE DE USUARIO

Esto lmites, generalmente, son utilizados en conjunto con las listas de control de accesos yrestringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens, vistassobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los cajeros automticosdonde el usuario slo puede ejecutar ciertas funciones presionando teclas especficas.2.1.6.5 ETIQUETAS DE SEGURIDAD

Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que puedenutilizarse para varios propsitos Como control de accesos, especificacin de medidas de proteccin, etc.Estas etiquetas no Son modificables.



12/48

www.monografias.com

2.1.7 CONTROL DE ACCESO EXTERNO2.1.7.1 DISPOSITIVOS DE CONTROL DE PUERTOS

Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar fsicamenteseparados o incluidos en otro dispositivo de comunicaciones, Como por ejemplo un mdem.

2.1.7.2 FIREWALLS O PUERTAS DE SEGURIDAD

Permiten bloquear o filtrar el acceso entre dos redes. usualmente una privada y otra externa (porejemplo Internet). Los firewalls permiten que loS usuarios internos se conecten a la red exterior al mismotiempo que previenen la intromisin de atacantes o virus a los sistemas de la organizacin. Este tema serabordado Con posterioridad.2.1.7.3 ACCESO DE PERSONAL CONTRATADO O CONSULTORES

Debido q que este tipo de personal en general presta servicios temporarios, debe ponerse especialconsideracin en la poltica y administracin de sus perfiles de acceso.2.1.7.4 ACCESOS PBLICOS

Para los sistemas de informacin consultados por el pblico en general, o los utilizados paradistribuir o recibir infotn1acin computarizada (mediante. por ejemplo, la distribucin y recepcin deformularios en soporte magntico, o la consulta y recepcin de informacin a travs del correo elec1r6nico)deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su

administracin.Debe considerarse para estos casos de sistemas pblicos, que un ataque externo o interno puedeacarrear un impacto negativo en la imagen de la organizacin.2.1.8 ADMINISTRACIN

Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es necesariorealizar una eficiente administracin de estas medidas de seguridad lgica, lo que involucra laimplementacin. seguimientos. pruebas y modificaciones sobre los accesos de los usuarios de los sistemas,

La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe guiar a las decisionesreferidas a la determinacin de los controles de accesos y especificando las consideraciones necesariaspara el establecimiento de perfiles de usuarios.

La definicin de los permisos de acceso requiere determinar cual ser el nivel de seguridadnecesario sobre los datos. por lo que es imprescindible clasificar la informacin, determinado el riesgo queproducira una eventual exposicin de la misma a usuarios no autorizados.

As los diversos niveles de la informacin requerirn diferentes medidas y niveles de seguridad.Para empezar la implementacin es conveniente comenzar definiendo las medidas de seguridad

sobre la informacin ms sensible o las aplicaciones ms crticas. y avanzar deacuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones.Una vez clasificados los datos, debern establecerse las medidas de seguridad para cada uno de

los niveles.Un programa especfico para la administracin de los usuarios informticos desarrollado sobre la

base de las consideraciones expuestas, puede constituir un compromiso vaco, si no existe una concienciade la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puedealcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las polticas y elestablecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cadauno.

Pero adems de este compromiso debe existir una concientizacin por parte de la administracinhacia el personal en donde se remarque la importancia de la informacin y las consecuencias posibles de suprdida o apropiacin de la misma por agentes extraos a la organizacin.2.1.8.1 ADMINISTRACIN DEL PERSONAL y USUARIOS2.1.8.1.1 Organizacin del Personal

Este proceso lleva generalmente cuatro pasos:Definicin de puestos: debe contemplarse la mxima separacin de funciones posibles y el

otorgamiento del mnimo permiso de acceso requerido por cada puesto para la ejecucin de las tareasasignadas

Determinacin de la sensibilidad del puesto: para esto es necesario determinar si la func6n requierepermisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar informacin confidencial.

Eleccin de la persona para cada puesto: requiere considerar los requerimientos de experiencia y

conocimientos tcnicos necesarios para cada puesto. Asimismo, para los puestos defidos como crticospuede requerirse una verificacin de los antecedentes personales.



13/48

www.monografias.com

Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a laorganizacin, adems de sus responsabilidades individuales para la ejecucin de las tares que se asignen,deben comunicrseles las polticas organizacionales, haciendo hincapi en la poltica de seguridad. Elindividuo debe conocerlas disposiciones organizacionales, su responsabilidad en cuanto a la seguridadinformtica y lo que se espera de l.

Esta capacitacin debe orientarse a incrementar la conciencia de la necesidad de proteger los

recursos informticos ya entrenar a los usuarios en la utilizacin de los sistemas y equipos para que ellopueda llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores (principal riesgorelativo a la tecnologa informtica).

Slo cuando los usuarios estn capacitados y tienen una conciencia formada respecto de laseguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia constituye labase fundamental para que el entrenamiento sea efectivo; el personal debe sentir que la seguridad es unelemento prioritario dentro de la organizacin.2.2 NIVELES DE SEGURIDAD INFORMTICA

El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC 0range Book 4,desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento deDefensa de los Estados Unidos.

Los niveles describen los diferentes tipos de seguridad del sistema operativo y se enumeran desde

el mnimo grado de seguridad al mximo.Estos niveles han sido la base de desarrollo de estndares europeos (lTSEC/ITSEM) y luegointernacionales (lSO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente; as el subnivel B2abarca los subniveles B1, C2, Cl y el D.2.2.1 NIVEL D

Este nivel contiene slo una divisin y est reservada para sistemas que han sido evaluados y nocumplen con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para elhardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y susderechos en el acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS ySystem 7.0 de Macintosh.2.2.2 NIVEL C1: PROTECCIN DISCRECIONAL

Se requiere identificacin de usuarios que permite el acceso a distinta, informacin.

Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y eladministrador del sistema, quien tiene control total de acceso.

Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este"sper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacinde los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personascumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cadausuario.

A continuacin se enumeran los requerimiento mnimos que debe cumplir la clase C1: Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de

usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios. disco) sobre los cualespodrn actuar usuarios o grupos de ellos.

Identificacin y autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar

acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacino identificacin.

2.2.3 NIVEL C2: PROTECCIN DE ACCESO CONTROLADOEste subnivel fue diseado para solucionarlas debilidades del Cl. Cuenta con caractersticas

adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos eintentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecutenciertos comandos o tengan acceso a ciertos archivos permitir o denegar datos a usuarios en concreto. conbase no slo en los permisos, sino tambin en los niveles de autorizacin.

Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas lasacciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema ysus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que

4Orange Book. Department O( Defense. Llbrary N S22S, 711. EEUU. 1985. http://www.doe.gov



14/48

www.monografias.com

ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridospor el procesador y el subsistema de discos.

Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracindel sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadascon la administracin del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador delsistema.

2.2.4 NIVEL B1: SEGURIDAD ETIQUETADAEste subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel.

como la secreta y ultra secreta. Se establece que el dueo del archivo no puede modificar los permisos deun objeto que est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc. ) se leasigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto. secreto, reservado, etc.) y con unascategoras (contabilidad, nminas, ventas, etc.).

Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Esdecir que cada usuario tiene sus objetos asociados. Tambin se establecen controles para limitar lapropagacin de derecho de accesos a los distintos objetos.2.2.5 NIVEL B2: PROTECCIN ESTRUCTURADA

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. LaProteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas

elevado de seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco rgido seretiquetado por almacenar archivos Que son accedidos por distintos usuarios.El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son

modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda autilizar por los dems usuarios.2.2.6 NIVEL B3: DOMINIOS DE SEGURIDAD

Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracinde memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin deobjetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones deacceso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido.

Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitiranlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del

Usuario se conecte al sistema por medio de la conexin segura.

Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder.2.2.7 NIVEL A: PROTECCIN VERIFICADA

Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin mediante mtodosformales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores debenincluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis decanales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitarinfiltraciones ante traslados o movimientos del equipamiento.

CAPITULO 3Delitos Informticos

Ya hemos dejado en claro la importancia de la informacin en el mundo altamente tecnificado de

hoy. Tambin se ha dejado en claro cada uno de los riesgos "naturales" con los que se enfrenta nuestroconocimiento y la forma de enfrentarlos.El desarrollo de la tecnologa informtica ha abierto las puertas a nuevas posibilidades de

delincuencia antes impensables. La cuanta de los perjuicios as ocasionados esa menudo muy superior a lausual en la delincuencia tradicional y tambin son mucho ms elevadas las posibilidades de que no lleguena descubrirse o castigarse.

Es propsito de los captulos siguientes disertar sobre los riesgos "no naturales"'; es decir los Quese encuadran en el marco del delito. Para ello deberemos dejar en claro, nuevamente, algunos aspectos.3.1 LA INFORMACIN y EL DELITO

El delito informtico implica actividades criminales que los pases han tratado de encuadrar enfiguras tpicas de carcter tradicional. tales como robos, hurtos, fraudes, falsificaciones. perjuicios, estafas.sabotajes. Sin embargo, debe destacarse que el uso de las tcnicas informticas han creado nuevasposibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulacin por partedel derecho.



15/48

www.monografias.com

Se considera que no existe una definicin formal y universal de delito informtico pero se hanformulado conceptos respondiendo a realidades nacionales concretas: "no es labor fcil dar un conceptosobre delitos informticos, en razn de que su misma denominacin alude a una situacin muy especial. yaque para hablar de "delitos.. en el sentido de acciones tpicas, es decir tipificadas o contempladas en textosjurdicos penales, se requiere que la expresin "delitos informticos', est consignada en los cdigospenales lo cual en nuestro pas, al igual que en otros muchos no han sido objeto tipificacin aun."

En 1983, la Organizacin de Cooperacin y desarrollo econmico (OCDE) inici un estudio de lasposibilidades de aplicar y armonizar en el plano internacional las leyes penales a fin de luchar contra elproblema del uso indebido de los programas computacionales.

En 1992 la Asociacin Internacional de Derecho Penal. durante el coloquio celebrado en Wurzburgo(Alemania), adopt diversas recomendaciones respecto a los delitos informticos, entre ellas que, en lamedida que el Derecho Penal no sea suficiente. Deber promoverse la modificacin de la definicin de losdelitos existentes o la creacin de otros nuevos, si no basta con la adopcin de otras medidas como porejemplo el "principio de subsidiariedad".

Se entiende delito como: accin penada por las leyes por realizarse en perjuicio de algo o alguien.o por ser contraria a lo establecido por aqullas".

Finalmente la OCDE public un estudio sobre delitos informticos y el anlisis de la normativajurdica en donde se resean las normas legislativas vigentes y se define Delito

informtico como "cualquier comportamiento antijurdico. no tico o no autorizado,relacionado con el procesado automtico de datos vio transmisiones de datos... "Los delitosinformticos se realizan necesariamente con la ayuda de los sistemas informticos. pero tienen como objetodel injusto la informacin en s misma',.

Adicionalmente la OCDE elabor un conjunto de normas para la seguridad de los sistemas deinformacin, con la intencin de ofrecer las bases para que los distintos pases pudieran erigir un marco deseguridad para los sistemas informticos.

1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huellade los hechos. resultando. muchas veces, imposible de deducir como es o como se realizo el delito.La informtica rene caractersticas que la convierten en un medio idneo para la comisin denuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.

2. La legislacin sobre sistemas informticos debera perseguir acercarse lo ms posible a los distintos

medios de proteccin ya existentes. pero creando una nueva regulacin basada en los aspectos delobjeto a proteger: la informacin.En este punto debe hacerse un punto y notar lu siguiente; No es la computadora la que atenta contra el hombre, es el hombre el que encontr una nueva

herramienta. quizs la ms poderosa basta el momento, para delinquir. No es la computadora la que afecta nuestra Vida privada, sino el aprovechamiento que hacen ciertos

individuos de los datos que ellas contienen. La humanidad no est frente al peligro de la informtica sino frente a individuos sin escrpulos con

aspiraciones de obtener el poder que significa el conocimiento. Por eso la amenaza futura ser directamente proporcional a los adelantos de las tecnologas

informticas. La proteccin de los sistemas informticos puede abordarse desde distintos perspectivas: civil,

comercial o administrativa.Lo que se deber intentar es que ninguna de ellas sea excluyente con las dems y, todo lo

contrario, lograr una proteccin global desde los distintos sectores para alcanzar cierta eficiencia en ladefensa de estos sistemas informticos.

Julio Tllez Valdez clasifica a los delitos informticos en base a dos criterios.1. Como instrumento o medio: se tienen a las conductas criminales que se valen de las computadoras

como mtodo. medio o smbolo en la comisin del ilcito.Ejemplos: Falsificacin de documentos va computarizada: tarjetas de crditos. Cheques .etc. Variacin de la situacin contable. Planeamiento y simulacin de delitos convencionales como robo. homicidio y Fraude Alteracin el funcionamiento normal de un sistema mediante la introduccin de cdigo extrao al

mismo: virus, bombas lgicas. etc. Intervencin de lneas de comunicacin de datos o teleprocesos



16/48

www.monografias.com

2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de lacomputadora, accesorios o programas como entidad fsica.Ejemplos:

Instrucciones que producen un bloqueo parcial o total del sistema. Destruccin de programa por cualquier mtodo. Atentado fsico contra la computadora, sus accesorios o sus medios de comunicacin. Secuestro de soportes magnticos con informacin valiosa, para ser utilizada con fines delictivos.

Este mismo autor sostiene que las acciones delictivas informticas presentan las siguiente caractersticas:1. Slo una determinada cantidad de personas ( con conocimientos tcnicos por encima de lo normal)

pueden llegar a cometerlos.2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al inters protegido (como en los

delitos convencionales ) sino de acuerdo al sujeto que los comete. Generalmente este sujeto tienecierto status socioeconmico y la comisin del delito no puede explicarse por pobreza. carencia derecursos, baja educacin, poca inteligencia, ni por inestabilidad emocional.

3. Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado seencuentra trabajando.

4. Son acciones de oportunidad, ya que se aprovecha una ocasin creada por el atacante.

5. Provocan prdidas econmicas.6. Ofrecen posibilidades de tiempo y espacio.7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulacin y por miedo al

descrdito de la organizacin atacada.8. Presentan grandes dificultades para su comprobacin, por su carcter tcnico.9. Tienden a proliferar, por 10 Re requiere su urgente regulacin legal.Mara Luz Lima, por su parte, presenta la siguiente clasificacin de "delitos electrnicos5

1. Como Mtodo: Conductas criminales en donde los individuos utilizan mtodos electrnicos parallegar a un resultado ilcito.

2. Como Medio: conductas criminales en donde para realizar un delito utilizan una computadora comomedio o smbolo.

3. Como fin: Conductas criminales dirigidas contra la entidad fsica del objeto o mquina electrnica o

su material con objeto de daarla.3.2 TIPOS DE DELITOS INFORMTICOSLa Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitosinformticos :

1. Fraudes cometidos mediante manipulacin de computadoras Manipulacin de los datos de entrada: este tipo de fraude informtico conocido tambin

como sustraccin de datos, representa el delito informtico ms comn ya que es fcil decometer y difcil de descubrir.

La manipulacin de programas: consiste en modificar los programas existentes en elsistema o en insertar nuevos programas o rutinas. Es muy difcil de descubrir ya menudopasa inadvertida debido a que el delincuente tiene conocimientos tcnicos concretos deinformtica y programacin.

Manipulacin de datos de salida: se efecta fijando un objetivo al funcionamiento delsistema informtico, El ejemplo ms comn es el fraude del que se hace objeto a los cajerosautomticos mediante la falsificacin de instrucciones para la computadora en la fase deadquisicin de datos.

Fraude efectuado por manipulacin informtica: Aprovecha las repeticiones automticas delos procesos de cmputo. Es una tcnica especializada que se denomina tcnica desalchichn" en la que rodajas muy finas" apenas perceptibles, de transacciones financieras,se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en ei principiode que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrn n veces.

2. Manipulacin de los datos de entrada Como el objeto: Cuando se alteran datos de los documentos almacenados en forma

computarizada.

5LIMA de la LUZ, Marla. Criminalia N 1-6 Ao L. Delitos Electrnicos. Ediciones Porrua. Mxico. Enero-Julio 1984



17/48

www.monografias.com

Como Instrumento: las computadoras pueden utilizarse tambIn para efectuarfalsificaciones de documentos de uso comercial.

3. Daos o modificaciones de programas o datos computarizados Sabotaje informtico: es el acto de borrar, suprimir o modificar sin autorizacin

funciones o datos de computadora con intencin de obstaculizar el funcionamiento delsistema.

Acceso no a autorizado a servicios y sistemas informticos: estos acceso se puedenrealizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionajeinformtico.

Reproduccin no autorizada de programas informticos de proteccin legal; esta puedeentraftar una prdida econmica sustancial para los propietarios legtimos. Algunasjurisilicciones han tipificado como delito esta clase de actividad y la han sometido asanciones penales, El problema ha alcanzado dimensiones transnacionales con el trfico deesas reproducciones no autorizadas a travs de las redes de telecomunicacionesmodernas. Al respecto. se considera, que la reproduccin no autorizada de programasinformticos no es un delito informtico debido a que el bien jurdico a tutelar es lapropiedad intelectual.

Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Inbternacional de Derecho ha

propuesto todas las formas de conductas lesivas de la que puede ser objeto la informacin. Ellas son: "Fraude en el campo de la informtica. Falsificacin en materia informtica. Sabotaje informtico y daos a datos computarizados o programas informticos. Acceso no autorizado. Intercepcin sin autorizacin. Reproduccin no autorizada de un programa informtico protegido. Espionaje informtico. Uso no autorizado de una computadora. Trfico de claves informticas obtenidas por medio ilcito. Distribucin de virus o programas delictivos."6

3.3 DELINCUENTE y VICTIMA

3.3.1 SUJETO ACTIVOSe llama as a las personas que cometen los delitos informticos. Son aquellas que poseen ciertascaractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activostienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral seencuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbilesen el uso de los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividadeslaborales que faciliten la comisin de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversosy que lo que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona queentra en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucinfinanciera que desva fondos de las cuentas de sus clientes.

El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya que para algunosel nivel de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posiblesdelincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un retotecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento dedatos.

Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas quecometen los delitos informticos, estudiosos en la materia los han catalogado como delitos de

"cuello blanco" trmino introducido por primera vez por el criminlogo norteamericano Edwin Sutherland enel ao de 1943.

La Cifra Negra es muy alta; no es fcil descubrirlos ni sancionarlos, en razn del poder econmicode quienes lo cometen, pero los daos econmicos son altsimos; existe una gran indiferencia de la opininpblica sobre los daos ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no seconsidera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, esconsiderado y se considera a s mismo "respetable". Estos tipos de delitos, generalmente, son objeto de

medidas o sanciones de carcter administrativo y no privativos de la libertad.6 CARRION, Hugo Daniel: Presupuestos para la Punibilidad del Hacking



18/48

www.monografias.com

3.3.2 SUJETO PASIVOEste. la vctima del delito, es el ente sobre el cual recae la conducta de accin u omisin que realiza

el sujeto activo. Las vfctimas pueden ser individuos, instituciones crediticias, instituciones militares,gobiernos, etc. que usan sistemas automatizados de informacin, generalmente conectados a otros.

El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitosinformticos, ya que mediante l podemos conocer los diferentes ilcitos que cometen los delincuentes

informticos.

Es imposible conocer la verdadera magnitud de los delitos informticos, ya que la mayor parte noson descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyesque protejan a las vctimas de estos delitos; la falta de preparacin por parte de las autoridades paracomprender, investigar y aplicar el tratamiento jurdico adecuado; el temor por parte de las empresas dedenunciar este tipo de ilcitos por el desprestigio que esto pudiera ocasionar a su empresa y lasconsecuentes prdidas econmicas, trae como consecuencia que las estadsticas sobre este tipo deconductas se mantenga bajo la llamada "cifra negra".

Por lo anterior, se reconoce que para Conseguir una prevencin efectiva de la criminalidadinformtica se requiere, en primer lugar, un anlisis objetivo de las necesidades de proteccin y de lasfuentes de peligro. Una proteccin eficaz contra la criminalidad informtica presupone ante todo que las

vctimas potenciales conozcan las correspondientes tcnicas de manipulacin, as como sus formas deencubrimiento.En el mismo sentido, podemos decir que con:

1. La divulgacin de las posibles conductas ilcitas derivadas del uso de las computadoras.2. Alertas a las potenciales victimas, para que tomen las medidas pertinentes a fin de prevenir la

delincuencia informtica.3. Creacin de una adecuada legislacin que proteja los intereses de la vctimas.4. Una eficiente preparacin por parte del personal encargado de la procuracin, administracin y la

participacin de justicia para atender e investigar a estas conductas ilcitas.Se estara avanzando mucho en el camino de la lucha contra la delincuencia informtica, que cada

da tiende a expandirse ms.Adems, se debe destacar que 108 organi8mos internacionales han adoptado resoluciones

similares en el sentido de que educando a la comunidad de vctimas y estimulando la denuncia de los

delitos, se promovera la confianza pblica en la capacidad de los encargados de hacer cumplir la ley y delas autoridades judiciales para detectar, investigar y prevenir 108 delitos informticos.3.4 LEGISLACIN NACIONAL

En los ltimos aos se ha perfilado en el mbito internacional un cierto consenso en lasvaloraciones poltico-jurdicas de los problemas derivados del mal uso que se hace de las computadoras, locual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales einternacionales.

La ONU seala que cuando el problema se eleva a la escena internacional, se magnifican losinconvenientes y los delitos informticos se constituyen en una forma de crimen transnacional.

En este sentido habr que recurrir a aquellos tratados internacionales de los que nuestro pas esparte y que, en virtud del Articulo 75 inc. 22 de la Constitucin Nacional reformada en 1994, tiene rangoconstitucional.

Argentina tambin es parte del acuerdo que se celebr en el marco de la Ronda Uruguay delAcuerdo General de Aranceles Aduaneros y Comercio, que en su artculo lO, relativo a los programas deordenador y compilaciones de datos, establece que: Este tipo de programas, ya sean fuente u objeto, sern protegidos como obras literarias de conformidad

con el Convenio de Berna, de julio 1971, para la Proteccin de Obras Literarias y Artsticas. Las compilaciones de datos posibles de ser legibles sern protegidos como creaciones de carcter

intelectual. Para los casos de falsificacin dolosa de marcas de fbrica o de comercio o de piratera lesiva del

derecho de autor a escala comercial se establecern procedimientos y sanciones penales adems deque, los recursos disponibles comprendern la pena de prisin y/o la imposicin de sancionespecuniarias suficientemente disuasorias.

La Convencin sobre la Propiedad intelectual de Estocolmo (julio de 1967) y el Convenio de Berna

(julio de 1971) fueron ratificados en nuestro pais por la Ley 22.195 el 17 de marzo de 1980 y el8 de julio de1990 respectivamente.



19/48

www.monografias.com

La Convencin para la Proteccin y Produccin de Phonogramas de octubre de 1971, fue ratificadapor la ley 19.963 cl23 dc noviembre 1972.

Hay otros Convenios no ratificados an por nuestro Pas, realizados por la Organizacin Mundial dela Propiedad Intelectual (OMPI), de la que Argentina es parte integrante a partir del 8 de octubre de 1980.

Nuestra legislacin regula Comercial y Penalmente las conductas ilcitas relacionadas con lainformtica, pero que an no contemplan en si los delitos informticos:

1. La ley 111 de Patentes de Invencin regula la proteccin a la propiedad intelectual.2. La ley Penal 11.723 de "Propiedad Cientfica, Literaria y Artstica.., modificada por el decreto

165/94. ha modificado los Artculos 71. 72, 72 bis. 73 y 74.Por esta ley, en el pas solo estn protegidos los lenguajes de bases de datos, planillas de clculo,

el software y su documentacin dentro del mismo.Si bien, en el decreto de 1994, se realiz la modificacin justamente para incluir esos tem en el

concepto de propiedad intelectual. no tiene en cuenta la posibilidad de plagio ya que no hay jurisprudenciaque permita establecer qu porcentaje de igualdad en la escritura de dos programas se considera plagio.Las copias ilegales de software tambin son penalizadas, pero por reglamentaciones comerciales.

A diferencia de otros pases, en la Argentina la informacin no es un bien o propiedad, por lo tantono es posible que sea robada, modificada o destruida.

De acuerdo con los art. 1072 y 2311 del Cdigo Civil y 183 del Cdigo Penal se especifica que para

que exista robo o hurto debe afectarse una cosa. y las leyes definen cosa como algo que ocupa lugar en elespacio; los datos, se sabe, son intangibles.En resumen: s alguien destruye, mediante os mtodos que sean, la informacin almacenada en

una computadora no cometi delito; pero si rompi el hardware o un disquete ser penalizado: en ese caso,deber hacerse cargo de los costos de cada elemento pero no de lo que contenan. Tambin se especifica(art. 1109) que el damnificado no podr reclamar indemnizacin si hubiera existido negligencia de su parte.

Ahora, cabe preguntarse En Argentina, qu amparo judicial se tiene ante hechos electrnicosilcitos? La respuesta es que el Cdigo Penal argentino (con 77 aos de vida) no tiene reglas especficassobre los delitos cometidos a travs de computadoras. Esto es as porque cuando se sancionaron las leyesno exista la tecnologa actual y por lo tanto no fueron previstos los ataques actuales.

Dentro del Cdigo Penal se encuentran sanciones respecto de os delitos contra el honor (art. 109 a117); instigacin a cometer delito (art. 209), instigacin al suicidio (art. 83); hurto al art. 162 ), adems de losde defraudacin, falsificacin, trfico de menores, narcotrfico, etc., todas conductas que pueden ser

cometidas utilizando como medio la tecnologa electrnica, pero nada referente a delitos cometidos sobre lainformacin como

bien.El mayor inconveniente es que no hay forma de determinar fehacientemente cul era el estado

anterior de los datos, puesto que la informacin en estado digital es fcilmente adulterable. Por otro lado,aunque fuera posible determinar el estado anterior, sera difcil determinar el valor que dicha informacintena.

El problema surge en que los datos almacenados tienen el valor que el cliente o dueo" de esosdatos le asigna (y que razonablemente forma parte de su patrimonio). Esto, desde el punto de vista legal esalgo totalmente subjetivo. Son bienes intangibles, donde solo el cliente puede valorar los &'unos y ceros"almacenados.

As, las acciones comunes de hurto, robo, dao, falsificacin, etc. (art. 162 del Cdigo Penal) que

hablan de un apoderamiento material NO pueden aplicarse a los datos almacenados por considerarlosintangibles.

Hablar de estafa (contemplada en el art. 172 del cdigo penal) no es aplicable a una mquinaporque se la concibe como algo que no es susceptible de caer en error. todo lo contrario a la mentehumana.

En funcin del cdigo penal. se considera que entrar en un domicilio sin permiso o violarcorrespondencia constituyen delitos (art. 153). Pero el acceso a una computadora, red de computadoras omedios de transmisin de la informacin (violando un cable coaxil por ejemplo) sin autorizacin. en formadirecta o remota, no constituyen un acto penable por la justicia. aunque si el dado del mismo.

La mayor dificultad es cuantificar el delito informtico. Estos pueden ser muy variados: reducir lacapacidad informativa de un sistema con un virus o un caballo de Troya, saturar el correo electrnico de unproveedor con infinidad de mensajes, etc. Pero Cul de ellos es mas grave? .

Si se considera Internet, el problema se vuelve an ms grave ya que se caracteriza por ser algocompletamente descentralizado. Desde el punto de vista del usuario esto constituye un beneficio, puestoque no tiene ningn control ni necesita autorizacin para acceder a los datos.



20/48

www.monografias.com

Sin embargo. constituye un problema desde el punto de vista legal. Principalmente porque la leyespenales son aplicables territorialmente y no puede pasar las barreras de los pases.

La facilidad de comunicacin entre diversos pases que brinda la telemtica dificulta la sancin deleyes claras y eficaces para castigar las intrusiones computacionales.

Si ocurre un hecho delictivo por medio del ingreso a varias pginas de un sitio distribuidas pordistintos pases: Qu juez ser el competente en la causa? .Hasta qu punto se pueden regular loS

delitos a travs de Internet sabiendo que no se puede aplicar las leyes en forma extraterritorial? .Ver una pantalla con informacin. Es un robo? .Ante esta pregunta Julio C. Ardita7 responde (...)

si, desde el punto de vista del propietario, si es informacin confidencial y/o personal es delito porque seviol su privacidad".

Si un intruso salta de un satlite canadiense a una computadora en Taiwan y de all a otra alemanaCon las leyes de qu pas se juzgar? .

Lo mencionado hasta aqu no da buenas perspectivas para la Seguridad de 108 usuarios (amparolegal) en cuanto a los datos que almacenan. Pero esto no es tan as, puesto que si la informacin esconfidencial la misma tendr en algn momento, amparo legal.

Por lo pronto, en febrero de 1997 se sancion la ley 24.766 por la que se protege la informacinconfidencial a travs de acciones penales y civiles, considerando informacin confidencial aquella quecumple los siguientes puntos.

Es secreta en el sentido que no sea generalmente conocida ni fcilmente accesible para personasintroducidas en los crculos en que normalmente se utiliza el tipo de informacin. Tenga valor comercial para ser secreta. Se hayan tomado medidas necesarias para mantenerla secreta, tomadas por la persona que

legtimamente la controla.Por medio de esta ley la sustraccin de disquetes, acceso sin autorizacin a una red o computadora

que contenga informacin confidencial ser sancionado a travs de la pena de violacin de secretos.En cuanto a la actividad tpica de los hackers, las leyes castigan el hurto de energa elctrica y de

lneas telefnicas, aunque no es fcil de determinar la comisin del delito. La dificultad radica en establecerdnde se cometi el delito y quin es el damnificado.

Los posibles hechos de Hacking se encuadran en la categora de delitos comunes comodefraudaciones, estafas o abuso de confianza, y la existencia de una computadora no modifica el castigoimpuesto por la ley.

La Divisin Computacin de la Polica Federal no realiza acciones o investigaciones preventivas

Apuntes Seguridad

Documents

Transcript of Apuntes Seguridad