Introducción
El
descubrimiento más importante del siglo XX ha sido sin duda la computadora, que
está provocando cambios en nuestra sociedad cuya importancia hoy sólo podemos intuir,
y que los provocará aún más en el futuro.
En la actualidad, nuestro entorno está
prácticamente “controlado” por las nuevas tecnologías, que a medida que
transcurre el tiempo, avanzan sin límites y en ocasiones son utilizados
incorrectamente provocando daños en el mismo sistema en el que han sido
creados.
Es indudable el
crecimiento de la importancia que tiene el procesamiento de la información en
el funcionamiento de cualquier organización. La posibilidad de interconectarse
a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su
productividad y poder explorar más allá de las fronteras nacionales, lo cual
lógicamente ha traído consigo, la aparición de nuevas amenazas para los
sistemas de información.
Hoy es imposible hablar de un sistema cien por
cien seguros, sencillamente porque el costo de la seguridad total es muy alto.
Por eso las empresas, en general, asumen riesgos: deben optar entre perder un
negocio o arriesgarse a ser hackeadas. La cuestión es que, en algunas organizaciones
puntuales, tener un sistema de seguridad muy acotado les impediría hacer más
negocios.
El trabajo que se presenta a continuación, está
enfocado a las Políticas de Seguridad Informática (PSI), que surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organización sobre la importancia y sensibilidad de la información y servicios
críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector
de negocios.
Políticas de seguridad informática
Las políticas de seguridad
definen lo que está permitido y lo que está prohibido, permiten definir los
procedimientos y herramientas necesarias, expresan el consenso de los “dueños”
y permiten adoptar una buena actitud dentro de la organización
Una política de seguridad en
el ámbito de la criptografía de clave pública o PKI es un plan de acción para
afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de
cierto nivel de seguridad. Puede ser también un documento único o inserto en un
manual de seguridad. Se debe designar un propietario que será el responsable de
su mantenimiento y su actualización a cualquier cambio que se requiera
Es indudable el crecimiento de la importancia que tiene el procesamiento de la información en el funcionamiento de cualquier organización. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
La política de seguridad es un
conjunto de leyes, reglas y prácticas que regulan la manera de dirigir,
proteger y distribuir recursos en una organización para llevar a cabo los
objetivos de seguridad informática dentro de la misma
Como abordar la implementación de
políticas de seguridad
La implementación de medidas de seguridad, es un proceso
Técnico-Administrativo. Como este proceso debe abarcar toda la organización,
sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial,
ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae
aparejados varios tipos de problemas que afectan el funcionamiento de la
organización. La implementación de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organización, tanto técnica
como administrativamente.
Por esto,
será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los
costos administrativos y técnicos que se generen.
Es fundamental no dejar de lado la notificación a todos los involucrados en las
nuevas disposiciones y, darlas a conocer al resto de la organización con el fin
de otorgar visibilidad a los actos de la administración.
Una PSI
informática deberá abarcar:
- Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
- Objetivos de la política y descripción clara de los elementos involucrados en su definición.
- Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
- Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
- Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
- Definición de violaciones y las consecuencias del no cumplimiento de la política.
- Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.
- Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porqué de las decisiones tomadas.
Finalmente, como documento dinámico de la
organización, deben seguir un proceso de actualización periódica sujeto a los
cambios organizacionales relevantes: crecimiento de la planta de personal,
cambio en la infraestructura computacional, alta y rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.
Legislación Nacional e Internacional y los delitos informáticos
Aquella conducta ilícita susceptible de ser sancionada por el derecho penal,
que hacen uso indebido de cualquier medio informático.
En un primer momento, los países trataron de encuadrar estos hechos en figuras típicas de carácter tradicional, como fraude, falsificaciones, estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio único o un concepto unificado para poder manejar un solo concepto para cada tipo de delito.
Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han causado a la humanidad.
Seguridad informática se considera entonces es la preparación de las instancias técnicas de una organización para actuar y resguardar el efecto que dicho incidente puede ocasionar.
En este artículo se pretende dar una visión global sobre los avances en materia de legislación nacional e internacional, que se ha desarrollado en esta mater
En un primer momento, los países trataron de encuadrar estos hechos en figuras típicas de carácter tradicional, como fraude, falsificaciones, estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio único o un concepto unificado para poder manejar un solo concepto para cada tipo de delito.
Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han causado a la humanidad.
Seguridad informática se considera entonces es la preparación de las instancias técnicas de una organización para actuar y resguardar el efecto que dicho incidente puede ocasionar.
En este artículo se pretende dar una visión global sobre los avances en materia de legislación nacional e internacional, que se ha desarrollado en esta mater
Evaluación de riesgos
El análisis de riesgos supone más que el hecho de calcular la posibilidad de
que ocurran cosas negativas.
Se debe poder obtener una evaluación económica del impacto de estos sucesos.
Este valor se podrá utilizar para contrastar el costo de la protección de la
información en análisis, versus el costo de volverla a producir (reproducir).
La probabilidad que sucedan cada uno de los problemas posibles. De esta forma
se pueden priorizar los problemas y su coste potencial desarrollando un plan de
acción adecuado quiere proteger, dónde y cómo, asegurando que con los costos en
los que se incurren se obtengan beneficios efectivos. Para esto se deberá
identificar los recursos (hardware, software, información, personal,
accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma
personalizada para cada organización; pero se puede presupone algunas preguntas
que ayudan en la identificación de lo anteriormente expuesto
Estrategia de seguridad
Para establecer
una estrategia adecuada es conveniente pensar una política de protección en los
distintos niveles que esta debe abarcar y que no son ni más ni menos que los
estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre
estos factores.
En cada
caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y
otra Reactiva.
La Estrategia
Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de
pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables
existentes en las directivas de seguridad y a desarrollar planes de
contingencia. La determinación del daño que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este ataque
ayudará a desarrollar esta estrategia.
La Estrategia Reactiva
(perseguir y procesar) o estrategia posterior al ataque ayuda al personal de
seguridad a evaluar el daño que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia Proactiva, a
documentar y aprender de la experiencia, y a conseguir que las funciones
comerciales se normalicen lo antes posible.
Tendencias de la seguridad
microelectrónica
La microelectrónica es la
aplicación de la ingeniería electrónica a componentes y circuitos de
dimensiones muy pequeñas, microscópicas y hasta de nivel molecular para
producir dispositivos y equipos electrónicos de dimensiones reducidas pero
altamente funcionales. El teléfono celular, el microprocesador de la CPU y la
computadora tipo Palm son claros ejemplos de los alcances actuales de la
Tecnología Microelectrónica.
Existen múltiples factores de
índole tecnológicos que explican la convergencia de la Microelectrónica, la
Informática y las Telecomunicaciones en las TIC. Pero todos se derivan de tres
hechos fundamentales:
- Los tres campos de actividad se caracterizan por utilizar un soporte físico común, como es la microelectrónica.
- Por la gran componente de software incorporado a sus productos.
- Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribución (deslocalización) de los distintos elementos de proceso de la información en ámbitos geográficos distintos.
La microelectrónica, frecuentemente
denominada hardware, está residente en todas las funcionalidades del proceso de
información. Resuelve los problemas relacionados con la interacción con el
entorno como la adquisición y la presentación de la información, mediante
dispositivos como transductores, tarjetas de sonido, tarjetas gráficas, etc. No
obstante, su mayor potencialidad está en la función de tratamiento de la
información.
La microelectrónica abarca
como campo de aplicación la demótica que se entiende por aquel conjunto de
sistemas capaces de automatizar una vivienda, aportando servicios de gestión
energética, seguridad, bienestar y comunicación, y que pueden estar integrados
por medio de redes interiores y exteriores de comunicación, cableadas o
inalámbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del
hogar. Entre las tareas realizadas por la demótica se usan distintos tipos de
componentes microelectrónicas que hacen que dichas tareas se lleven a cabo con
gran precisión por medio de microcontroladores
La Seguridad consiste en una
red de encargada de proteger los Bienes Patrimoniales y la seguridad personal.
Entre las herramientas aplicadas se encuentran:
- Simulación de presencia.
- Alarmas de Detección de incendio, fugas de gas, escapes de agua, concentración de monóxido en garajes.
- Alerta médica.
- Tele asistencia.
- Cerramiento de persianas puntual y seguro.
- Acceso a Cámaras IP
Autores:
Tania Aguirre – C.I.: 11.793.643
Gianfranco Montanary – C.I.: 20.523.240
Génesis Herrera – C.I.: 25.549.353
Ángel Garrido – C.I.: 20.522.549