Aspectos Momento1 233005 1

ASPECTOS ÉTICOS Y LEGALES DE LA SEGURIDAD INFORMÁTICA Momento 1

PRESENTADO POR:

BORIS BERNARDO VESGA CAMILO ERNESTO HOYOS

DANIEL ALBERTO TRUJILLO CAMPOS JORGE LUIS VILLEGAS MAGUIÑA

PRESENTADO A:

GINA ALEXANDRA GONZALEZ

GRUPO

233005_1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESPECIALIZACIÓN SEGURIDAD EN INFORMÁTICA

CEAD IBAGUÉ

2014

INTRODUCCIÓN

Dentro del campo de las tecnologías de información, la seguridad informática toma cada vez

más relevancia, dado que la información que viaja a través de la red es el activo más importante

que deben proteger todas las organizaciones. Este aspecto no debe contemplar solo el uso de

antivirus, proxis, firewalls, niveles de acceso o encriptación, pues la seguridad depende en

gran parte de los profesionales que administran la información y la infraestructura tecnológica,

es entonces donde la ética profesional y la moral se postulan como un valor agregado que

permite proteger los sistemas de información de maneja integral.

El siguiente trabajo describe la estructura organizacional del área de las tecnologías de la

información de la alcaldía municipal de La Dorada Caldas; detallando su estructura orgánica,

funciones, principios morales y éticos, niveles de acceso a la información y los nombres reales

de los implicados.

Otro factor que se tiene en cuenta es el estado actual en materia de seguridad y se realiza una

reflexión sobre los desafíos éticos y morales que se enfrenta el profesional de sistemas en la

vida profesional.

DESARROLLO DEL TRABAJO

1. Realice una descripción del área de informática o departamento de sistemas de una

organización, identifique las personas que trabajan en ella, identificando sus capacidades

profesionales y sus principios morales y éticos (comportamiento), el nivel de acceso a la

información y a los sistemas de información.

Organización. Alcaldía municipal, La Dorada Caldas.

ORGANIGRAMA ÁREA DE TECNOLOGÍA.

Líder del área de tecnología

Coordinador del área de desarrollo

Analista Diseñador

Desarrollador

Líder de soporte técnico de la

infraestructura computacional

Analista de soporte técnico

Técnico.

Detalle de los cargos.

Cargo Nombre Funciones Principios morales y

éticos

Nivel de acceso

Información Sistemas de información

Líder del área de tecnología.

Jhon Jairo Rojas Ríos

Liderar y coordinar todos los procesos relacionados con el área de tecnología de la alcaldía municipal.

Son personas respetuosas con los demás de comportamiento personal y social intachable, de buenas costumbres, imparciales a la hora de tomar decisiones y con un alto grado de compromiso con la organización. Ofrecen a los usuarios servicios de calidad basados en el respeto y orientado hacia la satisfacción del usuario. Son inquietos y autocríticos en lo que tiene que ver con su profesión en continua formación, consulta e

Consulta de la información crítica y no crítica. Mantenimiento de la información crítica y no crítica.

Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados.

Coordinador del área de desarrollo.

Edwin León Molina

Coordinar la construcción de soluciones de software de acuerdo con las necesidades del usuario y los procesos de la organización. Implementar las soluciones de software. Realizar el seguimiento para medir la eficacia de las soluciones implementadas. Coordinar las mejoras o actualizaciones para las soluciones implementadas. Coordinar a los responsables de los procesos del área de desarrollo.


Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados

Analista

Jorge David Muriel Ruiz

Analizar las necesidades de los usuarios y los cuellos de botella en los procesos para determinar soluciones de mejora. Reunir, compilar, analizar e interpretar información para proponer métodos, mejoras en

Consulta de la información crítica y no crítica.

Acceso como usuario limitado a las bases de datos y los sistemas de información automatizados

los procesos y las soluciones implementadas con el objeto de aumentar la productividad en las áreas de la organización.

investigación para ofrecer un buen servicio. Respetan los derechos de autor, cumplen las políticas internas y la legislación vigente. Mantienen en estricta confidencialidad la información o conocimiento derivado de las funciones. Dan buen uso a los recursos puestos a su disposición o de la organización en general. Hasta el momento no se tiene conocimiento de fuga de información clasificada por

Diseñador

Marlon Alberto Álvarez Castro

Analizar las necesidades de los usuarios de acuerdo a la información suministrada por el analista para realizar el diseño de la solución informática. Realizar la planificación en el proyecto de software. Crear los modelos de software para indicar a los programadores cómo escribir el código. Documentar todos los aspectos del sistema computacional como referencia para futuras actualizaciones y mantenimiento.


Acceso como usuario limitado a las bases de datos y los sistemas de información automatizados

Desarrollador

Eduar Hernán Echeverry Riveros

Determinar en colaboración con el analista y el diseñador, los objetivos propuestos para las distintas soluciones informáticas. Creación de código de acuerdo al diseño y el lenguaje de programación seleccionado. Elaborar la documentación de software para los usuarios.



Implementar el software desarrollado con el fin de corregir deficiencias o errores. Instalar, configurar y actualizar las bases de datos. Crear cuentas para usuarios de acuerdo a las políticas de acceso.

parte de personal interno del área de sistemas.

Líder de soporte técnico de la infraestructura computacional.

Carlos Guillermo Hernández Paternina

Planificar y coordinar con sus colaboradores los procedimientos a realizar para mantener un óptimo funcionamiento de la infraestructura computacional y redes. Coordinar la adquisición, instalación y configuración de nuevo software y hardware. Determinar y diseñar la topología de red en armonía con las necesidades de la organización. Medir la eficacia y productividad de los servicios ofrecidos por el área de servicio con ayuda de los informes que realiza el analista de soporte técnico. Crear protocolos, políticas y hacer seguimiento del uso de la infraestructura computacional y de redes.



Analista de soporte técnico.

Carlos Eduardo

Medir la satisfacción del usuario sobre los servicios

No tiene privilegios de acceso a la

Acceso como súper-usuario a las bases de datos

Barragán Molano

ofrecidos en el área de soporte. Generar informes estadísticos para medir la productividad del área de soporte técnico. Registrar información sobre LOS Procedimientos realizados por el área de soporte técnico. Cumplir funciones de técnico.

información crítica y no crítica formales pero tiene acceso a los medios donde se almacena dicha información.

y los sistemas de información automatizados.

Técnico.

Andrés Felipe Betancourth García

Asistir al usuario de manera técnica (hardware y software) para ayudarlo a cumplir las tareas derivadas de su cargo. Ofrecer soporte técnico en tiempo real (físico, en línea o telefónico) al usuario. Capacitarse de forma constante en el uso de las herramientas tecnológicas con el objeto de asistir al usuario. Elaborar guías de usuario para utilizar el software y hardware. Dar capacitación a los usuarios periódicamente sobre el uso de herramientas tecnológicas. Ofrecer soporte técnico a equipos en red. Ampliar, implementar la estructura de la red de acuerdo al diseño elaborado por los responsables del área de soporte técnico. Instalar y configurar de nuevos equipos de hardware y software.

No tiene privilegios de acceso a la información crítica y no crítica formales pero tiene acceso a los medios donde se almacena dicha información.


Instalación y configuración de dispositivos Activos de la red. Configurar la salida a internet de los equipos de cómputo. Administrar el servidor. Asignar direcciones IP a las computadoras. Asignar nombres a las computadoras. Realizar rutinas de mantenimiento preventivo a los equipos de cómputo y a la red. Realizar rutinas de mantenimiento correctivo a los equipos de cómputo y a la red. Ejecutar copias de seguridad de la información.

2. Identificar los problemas, fraudes, delitos informáticos, vulnerabilidades, riesgos y

amenazas que se presentan en dicha organización en cuanto al manejo de los sistemas

de información y la información que manejan los usuarios, para identificar su posible

causa.

En la alcaldía municipal, en varias ocasiones ha tenido problemas de virus y acceso no

autorizado a la red inalámbrica. Es imposible detectar si han sido víctimas de ataques

informáticos que pongan en riesgo la confidencialidad, integridad y disponibilidad de la

información crítica; porque no existen políticas, monitoreo y controles de seguridad que

permitan la protección de sus activos informáticos siendo vulnerables a estos ataques, esta

situación puede repercutir negativamente en la credibilidad la entidad, podría poner en

riesgo la continuidad del negocio, prestarse para fraude por riesgo de robo de información

financiera o generar inconvenientes legales.

RIESGOS Y AMENZAS

FRAUDES

Obtención de información de manera inadecuada tanto magnética como física, la información física debido a que no se tiene la concientización de la seguridad de la información y se deja documentación neurálgica sobre el escritorio y es de libre acceso a personas ajenas violando la confidencialidad pilar fundamental de la seguridad de la información. Estafas como se manifiesta hay incidentes severos como es el ingreso a la red inalámbrica de manera indebida, lo cual conduce a estafas con la captura de paquetes de la red utilizando software como ettercap.

DELITOS INFORMÁTICOS

Robo de información por parte de funcionarios por diferentes vías una de ellas por medios extraíbles como USB que es el más utilizado debido a que no hay una política de bloqueo de estos dispositivos. Como es una entidad pública el personal puede utilizar los recursos asignados para beneficio propio debido a que no se evidencia una gestión sobre el canal de internet. Phising: Se puede obtener información por medio de engaños en correos fraudulentos o con links que capturen información. Al ser entidad pública maneja un área de tesorería o administrativa donde se puede ejecutar este ataque logrando capturar usuarios y contraseñas.

RIESGOS La no gestión con unas políticas de seguridad de la información que tengan establecidas para minimizar los riesgos hace que la alcaldía sea más

vulnerable a un ataque informático o una denegación de servicios que afectaría la continuidad del negocio y la imagen institucional.

AMENAZAS

La falta de concientización sobre seguridad de la información hace más vulnerable la alcaldía entre ellas la no asignación de usuario y contraseñas mediante formatos de confidencialidad de la información.

ACCESO NO AUTORIZADO

Se presenta alto riesgo de acceso a la red cableada por puntos de red desatendidos y dispositivos de red en puntos medios donde quedan a la vista de personal externo a la Alcaldía.

ATAQUES REDES INALAMBRICAS

Ninguna red es 100% segura, pero las redes inalámbricas son más propensas a sufrir ataques

en comparación con las redes alámbricas. A continuación se nombran algunos ataques a redes

inalámbricas (informatica-hoy, s.f.).

Access Point Spoofing: Access Point Spoofing o "Asociación Maliciosa": en este caso el atacante se hace pasar por un Access Point y el cliente piensa estar conectándose a una red WLAN verdadera. Ataque común en redes ad-hoc.

ARP Poisoning: ARP Poisoning o "Envenenamiento ARP", ataque al protocolo ARP (Address Resolution Protocol) como el caso de ataque denominado "Man in the Midle" o "hombre en medio". Una computadora invasora X envía un paquete de ARP reply para Y diciendo que la dirección IP de la computadora Z apunta hacia la dirección MAC de la computadora X, y de la misma forma envía un paquete de ARP reply para la computadora Z diciendo que la dirección IP de la computadora Y apunta hacia la dirección MAC de X. Como el protocolo ARP no guarda los estados, las computadoras “Y” y “Z” asumen que enviaron un paquete de ARP request solicitando esta información, y asumen los paquetes como verdaderos. A partir de este punto, todos los paquetes enviados y recibidos entre las computadoras “Y” y “Z” pasan por X (hombre en medio).

MAC spoofing: MAC Spoofing o "enmascarar el MAC", ocurre cuando alguien roba una dirección MAC de una red haciéndose pasar por un cliente autorizado. En general, las placas de redes permiten el cambio de lo numero MAC por otro, lo que posibilita este tipo de ataque.

Denial of service: Denial of Service o "Negativa de Servicio", también conocido por D.O.S. Consiste en negar algún tipo de recurso o servicio. Puede ser utilizado para "inundar" la red con pedidos de disociación, imposibilitando así el acceso de los usuarios, pues los

componentes de la red se asocian y desasocian una y otra vez. Al rechazar algún servicio, también puede dar origen a interferencias por equipamientos de Bluetooth, hornos de microondas y teléfonos inalámbricos, debido a que estos equipamientos trabajan en la misma franja de frecuencia que las redes inalámbricas.

WLAN escáner: WLAN Escáner o "Ataque de Vigilancia", consiste en recorrer un lugar que se desea invadir para descubrir redes WLAN activas en dicho lugar, así como equipamientos físicos, para un posterior ataque o robo.

Wardriving y warchalking: Se llama de "Wardriving" a la actividad de encontrar puntos de acceso a redes inalámbricas, mientras uno se desplaza por la ciudad en un automóvil y haciendo uso de una notebook con una placa de red wireless para detectar señales. Después de localizar un punto de acceso a una determinada red inalámbrica, algunos individuos marcan el área con un símbolo hecho con tiza en la veredera o la pared, e informan a otros invasores -actividad que se denomina "warchalking".

Evitar ataques en las redes WI-FI

Aspecto Recomendado

Usuario y password por defecto admin-admin

Crear contraseñas seguras porque ofrecen seguridad contra el acceso no autorizado.

Largo periodo de tiempo que no se cambia la contraseña.

Es recomendable cambiar las contraseñas regularmente, porque existen aplicaciones capaces de obtener la clave de una red Wi-Fi analizando los datos transmitidos. Además exempleados o personal contrista puede conocer las claves y divulgarlas o usarlas sin ser autorizados.

Encriptación WEP. Se puede recuperar la clave después de capturar una cantidad pequeña de tráfico.

Usar encriptación WPA/WPA2 con el algoritmo de cifrado AES porque ofrece un mayor nivel se seguridad y consume menos ancho de banda.

Broadcast SSID activado. Es importante ocultar la señal de nuestra red a los ojos del público para reducir el porcentaje de ataques.

Filtrado de direcciones MAC desactivado.

Es importante activar el filtrado de direcciones MAC porque podremos controlar los equipos que se van a conectar a la red Wi-Fi mediante sus dirección física.

DHCP activado Es recomendable desactivar el DHCP y realizar la configuración IP de forma manual, porque reduce la posibilidad de sufrir un ataque.

3. Elaborar un ensayo sobre los problemas que enfrenta el ingeniero de sistemas dentro de

la organización, la toma de decisiones que debe hacer de acuerdo al código de ética

profesional, y las soluciones más apropiadas teniendo en cuenta todos los aspectos del

código de ACM.

LA ÉTICA Y LA MORAL COMO VALOR IMPLÍCITO EN LOS PROFESIONALES DE TI

La actualidad uno de los principales intereses de las organizaciones en TI radica en la forma

del cómo prevenir ataques informáticos, con el fin de salvaguardar la información que es

su activo más importante. El reto de estructurar de manera óptima la seguridad informática

sin dejar cabos sueltos; involucrando al personal de la empresa, genera toda una

oportunidad de aplicar controles que permitan un nivel de riesgo aceptable.

Este reto de la seguridad informática debe ir acompañado de un conjunto de frentes que

incluya políticas de seguridad, infraestructura tecnológica, acuerdos de confidencialidad y

profesionales con altos niveles de ética y moral.

Las organizaciones actualmente soportan sus procesos de negocios en las NTIC que son

el pilar para el éxito de sus operaciones porque le permite el acceso y tratamiento de la

información como activo principal de su existencia. Estas herramientas necesitan soporte

y configuración; para satisfacer esta necesidad las diferentes facultades universitarias del

mundo proveen en sus pensum diferentes carreras, cuya función principal es la de formar

profesionales con conocimientos técnicos y amplios valores éticos con el objeto de lograr

una vocación hacia el servicio basado en el respeto, la comunicación, honradez y

responsabilidad para cumplir con los compromisos adquiridos. Dentro de las principales

carreras que ofrecen las facultades en Colombia se encuentran: Ingeniería de Sistemas,

Ingeniería Electrónica, Administración de Sistemas Informáticos, Ingeniería de

Telecomunicaciones entre otras, algunas facultades de otros partes del mundo ofrecen

hasta 25 carreras diferentes alcanzando un alto nivel de especialización en cada una de

las ramas de TI.

En su área de desempeño, los Profesionales de TI son los encargados de elaborar y

ejecutar proyectos tecnológicos, ofrecer soporte, desarrollar soluciones. Todo esto ocurre

desde el rol de empresario o empleado e implica tomar decisiones fundamentales para

alcanzar la satisfacción de ambas partes.

Estas decisiones deben ser libres e imparciales donde los beneficios sean equitativos y

evitar el clientelismo, estos profesionales con su amplio conocimiento en las NTIC tienen

ciertos privilegios de acceso a la información y deben de abstenerse de aceptar tareas o

propuestas que atenten contra la lealtad y la honradez de sus clientes o jefes.

Otra parte fundamental en el desarrollo profesional es la autocrítica para evaluar sus

debilidades en lo que tiene que ver con la conducta y formación. Estos dos aspectos son

requeridos para ofrecer servicios de óptima calidad bajo los estándares y políticas vigentes

para evitar que los proyectos o actividades fracasen.

Cuando se planean proyectos tecnológicos las organizaciones asignan una gran cuantía

de recursos y es responsabilidad del profesional en sistemas estimar una serie de aspectos.

El primer aspecto “dependencia tecnológica”. En toda circunstancia se debe evitar la

dependencia tecnológica entre el profesional de sistemas como individuo y las soluciones

tecnológicas implementadas, esto quiere decir que cualquier profesional del área puede

continuar en la ejecución de las actividades derivadas de la tecnología sin que la

continuidad del negocio se vea afectada.

Segundo aspecto “riesgos”. Es evidente que el uso de estas tecnologías trae consigo una

serie de riesgos y amenazas que se deben de prever antes “de…” para desarrollar el plan

de acción para mitigar el impacto. Tercer aspecto “recursos”, es indispensable no

subvalorar los recursos y aprovecharlos al máximo en beneficio de los procesos de la

organización más no en beneficio propio.

Tercer aspecto “proyectos eficaces”, cada proyecto de tecnología debe de solucionar un

problema y aumentar la productividad de la organización, el informático debe evaluar cada

situación con profesionalismo y objetivamente sin el ánimo de beneficiar a terceros e

informar a los directivos si realmente el proyecto impactara positivamente en los procesos

de la organización o buscar soluciones en caso de que se requiera.

Cuarto y último aspecto “Confidencialidad”, el profesional de sistemas está involucrado en

todos los procesos de la organización y tiene conocimiento de información crítica y por

ningún motivo esta información debe ser trasmitida a ningún tercero buscando el beneficio

individual o de otros.

Con lo anterior podemos concluir que los conocimientos técnicos o gerenciales no son

suficientes para el profesional en TI, pues el reto más grande de las diferentes

organizaciones al hacer procesos de selección y las facultades al formar, es velar por que

el personal egresado o contratado tenga un conjunto de aptitudes que le permitan

desenvolverse en el campo laboral y empresarial con verdadero sentido de

responsabilidad, ética y pertinencia.

La ética en la vida profesional de un ingeniero de sistemas, implica como en todas las

profesiones éticas llevar un comportamiento adecuado, con el objetivo de logra el bienestar

de nosotros como individuos y el del grupo de trabajo en el que nos desempeñemos. Es

así como la ingeniería de sistemas lleva intrínseca la ética laboral y porque no decir moral

de todo individuo que se ha formado profesionalmente. La ética de un Ingeniero de

Sistemas va más allá de la moral y buenas costumbres sociales, pues de estas y acciones,

comportamientos, decisiones se verán reflejada en el trasfondo de un sistema complejo

como es la tecnología y los sistemas de información, el ingeniero de sistemas tiene que ser

consciente que su ética afectará sistemas completos, la sociedad en sí y el daño que puede

ocasionar un mal comportamiento puede ser catastrófico y alcanzar magnitudes nunca

sospechadas cuando se inventó el primer computador.

Todo ingeniero de sistemas en ejercicio de sus funciones debe ser cauteloso y celoso de

su trabajo, debe procurar que su ejercer como profesional, ser correcto, y en todo

momento ser juez implacable de sus actos. Se debe tomar conciencia social, basada en la

ética personal y moral que le permite sentir hasta donde son los límites de lo correcto y

cuando parar para no transgredir los límites de la ética. Hasta los más mínimos detalles

en toda actividad laboral deben ser bien ejecutados, es así que principios básicos de todo

trabajador como el ser puntual, responsable, entregado al trabajo, leal, honesto, también

son parte de los principios que debe procurar todo ingeniero de sistemas

Ahora bien veamos y tomemos como base el código de la ACM para ver los 8 principios

del código que nos ayuda a regir la ética de un Ingeniero de Sistemas:

Principio 1 Sociedad: “Los ingenieros de software actuarán de manera coherente con el

interés general”.

Principio 2 Cliente y Empresario: Los ingenieros del software deberán actuar de tal modo

que se sirvan los mejores intereses para sus clientes y empresarios, y consecuentemente

con el interés general”.

Principio 3 Producto: “Los ingenieros de software deberán garantizar que sus productos y

las modificaciones correspondientes cumplen los estándares más altos posibles”

Principio 4 Juicio: “Los ingenieros de software deberán mantener integridad e

independencia en su valoración profesional”.

Principio 5 Gestión “Los gestores y líderes en ingeniería de software suscribirán y

promoverán un enfoque ético a la gestión del desarrollo y mantenimiento del software.”

Principio 6 Profesión: “Los ingenieros de software deberán progresar en la integridad y

reputación de la profesión, consecuentemente con el interés general.”

Principio 7 Compañeros: “Los ingenieros de software serán justos y serán soporte de sus

compañeros.”

Principio 8: Persona “Los ingenieros de software deberán participar en el aprendizaje

continuo de la práctica de su profesión y promoverán un enfoque ético en la práctica de la

profesión“.

CONCLUSIONES

La seguridad informática no es un tema solo de infraestructura y algoritmos, el factor

humano es el más importante a la hora del éxito o el fracaso.

El profesional de TI está involucrado transversalmente en todos los procesos de las

organizaciones, por ende maneja información relacionada con todos los procesos.

Dicho manejo debe ser confidencial.

La toma de decisiones que realiza el profesional de TI debe ser trasparente y estar

ajustada a las políticas de las organizaciones sin recibir ni ofrecer dadivas.

Los proyectos tecnológicos deben ser en pro de algo, algún beneficio común como

la reducción de costos o la mejora de tiempos de respuesta, es responsabilidad del

Profesional de TI realizar este seguimiento y velar por que las etapas propuestas se

cumplan.

Las facultades de tecnología tiene el reto de proporcionar profesionales con altos

niveles de ética y valores para un desempeño integral de sus funciones.

BIBLIOGRAFIA

González Cruz., A. (s.f.). Administración de centros de cómputo. Recuperado el 19 de Marzo

de 2014, de http://datateca.unad.edu.co/:

http://datateca.unad.edu.co/contenidos/233004/administracion-centros-computo.pdf

Informatica-hoy. (s.f.). Vulnerabilidades de las redes WIFI. Recuperado el 1 de Abri de 2014,

de informatica-hoy.com.ar: http://www.informatica-hoy.com.ar/redes-inalambricas-

wifi/Vulnerabilidades-de-las-redes-WIFI.php

La ética en los sistemas de información . (s.f.). Recuperado el 19 de Marzo de 2014, de UNAD:

http://66.165.175.235/campus18_20141/mod/resource/view.php?id=3673

Solarte Solarte , F. N. (Mayo de 2013). Módulo aspectos éticos y legales de seguridad

informática. (Y. A. Gonzalez Sanabria , Ed.) Recuperado el 19 de Marzo de 2014, de

UNAD: http://66.165.175.235/campus18_20141/mod/resource/view.php?id=3673

ACM. Computing and Public Policy. Recuperado el 7 de abril de 2014, de

http://www.acm.org/serving/

Aspectos Momento1 233005 1

Documents

Transcript of Aspectos Momento1 233005 1