La seguridad de los sistemas de información (página 3)
Enviado por Maria Alexia Castillo Salvatierra
Control de Comportamiento: controla cómo se usan servicios particulares (ejemplos: filtros de email).
Tipos de firewalls
A. Router con Filtrado de Paquetes
B. Gateway a Nivel de Aplicación
C. Gateway a Nivel de Circuitos + (Host Bastión)
A. Router con filtrado de paquetes
Aplica un set de redes para cada paquete entrante y luego lo reenvía o descarta. Filtra paquetes en ambas direcciones.
El filtrado de paquetes se setea típicamente como una lista de Reglas
Se implementa con notación específica de cada router.
Ventajas
Simplicidad
Transparencia hacia usuarios
Alta velocidad
Desventajas
Dificultad en el seteo de reglas de filtrado
Falta de autenticación
B. Gateway a nivel aplicación (o proxy server)
Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes.
Actúa como un relay (conmutador) de tráfico a nivel de aplicación.
Más eficiente y posible control de contenidos.
Proxy de aplicación
Programa que representa a toda la red interna, ocultando la LAN de la red pública. Toma decisiones de forwarding en los 2 sentidos.
Hará el forward de clientes autorizados a servers del exterior y traerá las respuestas a dichos clientes.
Proxy HTTP puede mantener páginas web en caché.
Ventajas
Más seguros que filtros de paquetes.
Sólo necesita discriminar unas pocas aplicaciones permitidas (Telnet, HTTP, etc.), no a nivel de IP o TCP.
Fácil control de log y auditar todo el tráfico entrante
Desventajas
Overhead de procesamiento adicional en cada conexión, ya que hay dos conexiones divididas y el Gateway que actúa como splice, debe examinar y reenviar todo el tráfico.
C. Gateway a nivel de circuitos
Puede ser un sistema stand-alone o una función especializada realizada por un Gateway de nivel aplicación.
No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP externo e interno con él.
Gateway hace conmutación de segmentos TCP de una conexión a otra sin examinar contenido.
La función de seguridad consiste en determinar qué conexiones serán permitidas.
Usado típicamente en situaciones donde el administrador del sistema confía en los usuarios internos.
D. Bastion host
Es un sistema identificado por el administrador del firewall como un punto crítico en la seguridad de la red.
Host bastión sirve como una plataforma para un Gateway a nivel de aplicación o de circuito.
Su plataforma de hardware corre versión segura de S.O. O es decir Sistema Confiable.
Administrador de red instala sólo servicios esenciales en él, como aplicaciones praxis como Telnet, DNS, FTP, SMTP y Autenticación usuarios.
Cada proxy se configura para requerir autenticación adicional, antes de permitir a usuario acceder a servicios.
Cada módulo proxy es un pequeño paquete SW diseñado para seguridad en red, e independiente de los otros proxis.
Proxy generalmente no realiza accesos a disco, salvo leer configuración inicial, tal de dificultar instalación de troyanos o sniffers.
Estado actual en el mercado
Hoy en día en el mercado existen infinidad de proveedores de aplicación de firewalls que están complementadas con los esfuerzos por elevar el nivel de seguridad de los distintos sistemas operativos. Estas aplicaciones de firewalls están disponibles para los distintos sistemas operativos y todos cumplen las mismas funciones, cada proveedor tiene sus característica particulares que se van igualando de uno a otro con el correr del tiempo y el desarrollo. Los productos más utilizados se encuentran firewall -1, pix y raptor, de las empresas chekpoint, cisco y HP respectivamente.
Indagando un poco en el mercado local se puede comprobar que el producto de cisco está siendo muy utilizado, debido a su integración "nativo" en todas organizaciones que están utilizando routers cisco.
Identificación digital
Firma digital
Una firma digital encriptada con una clave privada, identifica de forma unívoca a la persona que envía un mensaje y conecta a esa persona con ese mensaje en particular. (23)
Cualquier persona que posee una clave pública puede verificar la integridad del mensaje, pero no el contenido. Si el mensaje es alterado de alguna manera, la firma no se podrá desencriptar Correctamente, lo que indica que el mensaje fue modificado. Si A (persona que envía el mensaje) utiliza su clave privada para firmar un mensaje encriptado, B (el receptor) puede verificar que A lo envió efectivamente solo si B conoce la clave pública de A. Sin embargo, para poder confiar en esa clave pública, B debe obtener la clave de alguna otra fuente que no sea el mismo mensaje que envió A. Es decir, si suponemos que C quiere enviar un mensaje como si lo enviara A (falsificando su firma), C enviará su clave pública como si ésta perteneciera a; pero cuando B intente verificar la firma, resultaría en una confirmación de la autenticidad del mensaje aunque éste no haya sido enviado realmente por A. En cambio, si B tiene acceso a la clave pública de A obtenida de alguna fuente externa, y la utilizara para verificar el mensaje firmado con la clave privada de C, la verificación fallaría y revelaría el engaño. En resumen, si A y B son personas desconocidas, sin posibilidad de comunicación, ninguna firma digital sería confiable para autenticar e identificar uno a otro sin la asistencia de alguna fuente externa que provea un enlace entre sus identidades y sus claves públicas.
Autoridades de certificación y autoridades
Una autoridad de certificación es un ente público o privado que tiene como objetivo, cubrir la necesidad de que exista un tercero para asignar certificados digitales para su utilización en el Comercio electrónico. En el ejemplo anterior, si B quiere tener seguridad acerca de la autenticidad de la clave pública de A, debe contar con una certificación del ente externo de que la clave es realmente de A. Un certificado provee la confirmación de una autoridad de certificación, acerca de una persona que utiliza una firma digital. Es decir, es un registro digital que identifica a la autoridad de certificación, identifica y asigna un nombre o describe algún atributo del suscriptor, contiene la clave pública del suscriptor y está firmado en forma digital por la autoridad de certificación que lo emite.
Virus y gusanos informáticos
¿Qué son los virus?
Según a la real academia se define de siguiente manera: es un programa introducido subrepticiamente en la memoria de un ordenador que al activarse destruye total o parcialmente la información almacenada. (24) También se puede decir es un programa que se copia automáticamente (sin conocimiento ni permiso del usuario), ya sea por medios de almacenamiento o por internet, y que tiene por objetivo alterar el normal funcionamiento del ordenador. Un virus puede o no ser peligroso pero independientemente de dicho grado, si el sistema a comprometer es crítico, un virus de bajo grado de peligrosidad podrá causar graves daños. Si por el contrario dicho virus es muy peligroso y afecta a una computadora familiar sus daños serán mínimos. Por ello desde un punto de vista de una empresa o gran corporación, un virus sea cual sea, debe ser considerado siempre como peligroso.
Características comunes
Dañino: todo virus causa daño, ya sea de forma implícita, borrando archivos o modificando información, o bien disminuyendo el rendimiento del sistema. A pesar de esto, existen virus cuyo fin es simplemente algún tipo de broma.
Autoreproductor: la característica que más diferencia a los virus es esta, ya que ningún otro programa tiene la capacidad de autoreplicarse en el sistema.
Subrepticio: característica que le permite ocultarse al usuario mediante diferentes técnicas, como puede ser mostrarse como una imagen, incrustarse o en programas. (25)
Tipos de virus y gusanos
A) Virus de fichero
Es el virus más antiguo. Estos virus se encargan de infectar ficheros ejecutables o programas (aunque como veremos también pueden adjuntarse a otros tipos de archivos). Al ejecutar uno de los programas infectados activamos el virus, produciendo los efectos dañinos que el virus desee. (26)
B) Gusanos (worms)
Estos programas se ocupan principalmente de hacer copias de sí mismos haciendo uso de las facilidades de comunicaciones del equipo (conexiones de red, correo electrónico, etc.). La mayoría no tienen efectos directamente destructivos, pero su crecimiento exponencial puede colapsar por saturación las redes en las que se infiltran. A diferencia de los virus de fichero, no necesitan infectar ni dañar otros archivos. Posiblemente, en la actualidad, los gusanos de correo electrónico y sus variantes son los virus más populares.
C) Bulos o falsos virus (Hoaxes)
Se trata de mensajes de correo electrónico que contienen información falsa, normalmente relacionada con temas de seguridad. Se trata de la versión actualizada de las antiguas pirámides o cadenas de correo utilizadas con fines lucrativos o para difundir leyendas urbanas. Su comportamiento es similar al de los gusanos, aunque en general no son capaces de replicarse por sí mismos, sino que piden nuestra colaboración para obtener la mayor difusión posible, instándonos a reenviar el mensaje a todos nuestros conocidos. Para engañarnos y convencernos utilizan los más variados ardides (lo que se conoce como técnicas de ingeniería social).
Por ejemplo
Se hacen pasar por verdaderas alertas sobre seguridad o virus
Apelan a nuestra solidaridad o a nuestra conciencia
Ofrecen chollos de todo tipo: salud, éxito, amor, dinero.
Nos amenazan con terrible calamidades si rompemos la cadena.
D) Vulnerabilidades o agujeros de seguridad (exploits)
Los agujeros de seguridad no son ninguna clase de virus, sino desafortunados errores de programación. La razón de incluirlos en este artículo es que, algunos hackers son capaces de crear virus que explotan estas vulnerabilidades para atacarnos o infiltrarse en nuestros sistemas. Por ejemplo los sasser y blaster.
E) Troyanos
Los troyanos o caballos de Troya son ligeramente diferentes. Actúan de forma similar al mítico caballo de madera que, aparentando ser un regalo, fue utilizado por los soldados griegos para introducirse en la sitiada ciudad de Troya. Llegan al ordenador como aplicaciones o utilidades aparentemente inofensivas, pero cuando los ejecutamos, dejan instalado en nuestro equipo un segundo programa oculto de carácter malicioso. Este programa oculto es el que propiamente denominamos troyano. A veces los troyanos se anexan a programas legítimos, alterándolos en forma de virus de fichero, pero en la mayoría de casos no se trata de archivos infectados sino aplicaciones que intencionadamente esconden un "maligno regalo".
Normalmente no necesitan replicarse ni infectar otros ficheros, sino que se propagan mediante el engaño, aprovechándose de la ingenuidad de algunos usuarios que abren el programa porque creen que proviene de una fuente legítima. A diferencia de otras clases de virus, la instalación de los troyanos la suele llevar a cabo el propio usuario de forma voluntaria (al menos en cierto modo), lo que ha llevado a ciertas compañías de software a defender la supuesta legalidad de estas técnicas. En este sentido, este tipo de programas suelen incluir contratos y licencias de usuario ofuscadas o engañosas que supuestamente advierten de lo que se está instalando. En cualquier caso, estos programas actúan de mala fe y utilizan técnicas como mínimo abusivas.
F) Puertas traseras o troyanas de administración remota
Una vez introducidos en nuestro ordenador, estos virus abren una "puerta trasera" (backdoor) que permite a un atacante acceder o controlar nuestro PC a través de una red local o de Internet. En cierto modo convierten nuestro equipo en una especie de servidor de red al alcance de usuarios malintencionados. Las posibilidades de estos virus son enormes y aterradoras, quedando seriamente comprometida la integridad del equipo y la confidencialidad de nuestros datos y acciones.
G) Redes o robots
Un gran número de equipos infectados con un determinado troyano de control remoto, constituyen una auténtica red de ordenadores esclavizados, denominadas "botnets" en inglés.
Dado el enorme "poder de fuego" de estas redes, a menudo son utilizadas como plataforma para el envío de correo basura o para ataques de denegación de servicio contra servidores web o de otros tipos.
Esto se ha convertido en un negocio lucrativo, ya que algunos hackers llegan incluso a alquilar estas redes a los spammers, por supuesto sin el consentimiento de los propietarios de los ordenadores.
H) Software espía (spyware)
Se trata de programas que de forma encubierta, extraen cualquier tipo de información sobre nuestro ordenador o el uso que hacemos de él, sistema operativo, programas instalados, páginas de internet, etc. Al igual que los backdoors, el software espía suele hacer uso de los medios de comunicación existentes (Internet, e-mail, red local,…) para enviar la información recolectada a ciertos servidores o direcciones de correo electrónico. Resultan difíciles de detectar y suelen permanecer instalados durante mucho tiempo, ya que no se trata de programas destructivos y normalmente no producen efectos visibles, a lo sumo cierta ralentización de las comunicaciones, ya que utilizan parte del ancho de banda para su propio servicio.
I) El gusano: ILOVEYOU
Es un virus de tipo gusano, escrito en Visual Basic Script que se propaga a través de correo electrónico y de IRC (Internet Relay Chat). (27) Miles de usuarios de todo el mundo, entre los que se incluyen grandes multinacionales e instituciones públicas, se han visto infectados por este gusano. Su apariencia en forma de correo es un mensaje con el tema: "ILOVEYOU" y el fichero adjunto LOVE-LETTER-FOR-YOU.TXT.vbs aunque la extensión "vbs" (Visual Basic Script) puede quedar oculta en las configuraciones por defecto de Windows, por lo cual la apariencia del anexo es la de un simple fichero de texto. Cuando se abre el archivo infectado el gusano infecta nuestra máquina y se intenta auto enviar a todo lo que tengamos en las agendas de Outlook (incluidas las agendas globales corporativas).
J) El gusano: Melissa
El virus es conocido como W97M_Melissa o Macro.Word97.Melissa. Nos puede llegar en un archivo adjunto a un mensaje electrónico, enviado por alguien conocido (como el Happy99). Dicho mensaje, incluye en asunto. Este virus infecta a MS Word y éste a todos los archivos que se abren, cambia ciertas configuraciones para facilitar la infección, se auto-envía por correo, como un mensaje proveniente del usuario a las primeras 50 buzones de la libreta de direcciones de su correo.
Los antivirus son aplicaciones de software que permiten detectar, y algunas veces eliminar, los virus de una computadora. Sin embargo, estas aplicaciones son sólo efectivas para aquellos virus que ya son conocidos, por lo tanto, es esencial la actualización continua de las versiones del antivirus.
Hacker
Es la persona que está siempre en una continua búsqueda de información, vive para aprender y todo para él es un reto; no existen barreras, y lucha por la difusión libre de información, distribuir de software sin costo y la globalización de la comunicación. (28)
Habilidades básicas en un hacker
Es el conjunto de habilidades que cambia lentamente a lo largo del tiempo a medida que la tecnología crea nuevas tecnologías y descarta otras por obsoletas. Un buen hacker emplea las siguientes reglas:
Aprender a programar: es la habilidad fundamental de hacker que debe aprender como pensar en los problemas de programación de una manera general, independiente de cualquier lenguaje.
Aprender Unix: el paso más importante es obtener un Linux libre, instalarlo en una maquina personal y hacerlo funcionar.
Cracker
En realidad los cracker son hackers cuyas intenciones van más allá de la investigación. Es también un apasionado del mundo informático. (29) La principal diferencia consiste en que la finalidad del cracker es dañar sistemas y ordenadores. Tal como su propio nombre indica, el significado de cracker en inglés es "rompedor", su objetivo es el de romper y producir el mayor daño posible.
El término cracker fue acuñado por primera vez hacia 1985 por hackers que se defendían de la utilización inapropiada por periodistas del término hacker.
Tipos de cracker:
A) PIRATA. Su actividad consiste en la copia ilegal de programas, rompiendo sus sistemas de protección y licencias. Luego distribuye los productos por Internet, a través de CD"s, etc.
B) LAMER. Se trata de personas con poco conocimiento de informática que consiguen e intercambian herramientas no creadas por ellos para atacar ordenadores. Ejecutan aplicaciones sin saber mucho de ellas causando grandes daños.
C) PHREAKERS. Son los crackers de las líneas telefónicas. Se dedican a atacar y "romper" los sistemas telefónicos ya sea para dañarlos o realizar llamadas de forma gratuita.
D) TRASHER. Su traducción al español es la de 'basurero'. Se trata de personas que buscan en la basura y en papeleras de los cajeros automáticos para conseguir claves de tarjetas, números de cuentas bancarias o información secreta para cometer estafas y actividades fraudulentas a través de Internet.
E) INSIDERS. Son los crackers 'corporativos', empleados de las empresas que las atacan desde dentro, movidos usualmente por la venganza.
Spamming
Es el envío indiscriminado de correos electrónicos no solicitados a gran cantidad de usuarios de Internet. El spamming es la táctica favorita de aquellos que envían publicidades masivas. También ha sido utilizado por los delincuentes informáticos para la distribución masiva de virus o para la infiltración en muchas computadoras.
Flaming
Es la práctica de enviar mensajes críticos, derogatorios y frecuentemente vulgares, a través de correo electrónico o foros de discusión.
Hoax
Los hoax son generalmente falsos avisos de alerta iniciados por personas malintencionadas y luego distribuidas por usuarios inocentes que creen que de esa manera ayudan a la comunidad, distribuyendo el mensaje. (30) Por lo general, los hoax se distribuyen a través del correo electrónico.
Los hoax tienen dos objetivos claros:
Estafar: Generalmente los HOAX te acaban llevando a páginas que te piden que introduzcas tu número de teléfono móvil o que directamente te piden que pagues por algo que es mentira.
Recopilar direcciones de e-mail o listas de usuarios: Hay veces que el único objetivo de los HOAX es recopilar un montón de correos electrónicos o cuentas de Facebook y Twitter para luego bombardearlas con mensajes publicitarios.
Robar tus datos: Entrar en tu correo o en alguna cuenta de una red social que uses.
Ver esquema (3)
CAPITULO IV
Los delitos informáticos
La delincuencia informática es difícil de comprender o conceptualizar plenamente. A menudo, se la considera una conducta proscrita por la legislación y/o la jurisprudencia, que implica la utilización de tecnologías digitales en la comisión del delito; se dirige a las propias tecnologías de la computación y las comunicaciones; o incluye la utilización incidental de computadoras en la comisión de otros delitos.
Varios delitos informáticos atacan a las propias tecnologías de la información y las comunicaciones, como los servidores y los sitios Web, con virus informáticos de alcance mundial que causan considerables perjuicios a las redes comerciales y de consumidores. (31)
Un delito informático es toda aquella acción, típica, antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. (32)
Una persona acostumbrada a navegar por la Red o utilizar correo electrónico ha podido ser víctima de espionaje, aunque en la mayoría de los casos, no se haya percatado de ello. Bien, como sucede en todos los campos o materias de la vida, la tecnología avanza, y a pasos agigantados, lo que aporta grandes y notables beneficios a las comunicaciones y a la interacción de los distintos sectores de la economía. No obstante estos nuevos conocimientos pueden ser aprovechados por mentes maliciosas que los utilizan para fines menos éticos.
La aparición en el mercado de nuevas técnicas y programas, difundidos en su mayor parte a través de Internet, posibilitan la recogida de información privada de un determinado usuario, sin dejar de mencionar aquellos programas que reconfiguran parámetros de los ordenadores aprovechándose del desconocimiento de las personas en el campo de las nuevas tecnología
Elementos integrantes
El delito es un acto humano, es una acción, aquello pone en peligro un interés protegido. El acto ha de ser culpable, por tanto, un delito es una acción antijurídica realizada por el ser humano. (33)
La distribución de las tecnologías de la información y las comunicaciones en todo el mundo no es uniforme. Hay vastas diferencias en el tipo y el número de adelantos tecnológicos en diferentes partes del mundo. La denominada brecha digital fue reconocida en la Declaración del Milenio de las Naciones Unidas de 2000, que enunció los ocho objetivos de desarrollo del Milenio con miras a lograr mejoras cuantificables en las vidas de la parte más grande de la población mundial. Uno de los objetivos, que requiere el desarrollo de alianzas mundiales para el desarrollo, también requiere la cooperación con el sector privado, para que se compartan los beneficios de las nuevas tecnologías, especialmente las tecnologías de la información y las comunicaciones. Al mismo tiempo, a medida que los beneficios empiezan a difundirse, es necesario aumentar la conciencia sobre las amenazas y las vulnerabilidades asociadas con la delincuencia informática.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona. La ejecución u omisión del acto debe estar sancionada por una pena. (34)
El delito Informático como medio
Violación de la intimidad
Publicaciones en Internet de fotos o videos personales y/o íntimos
Estafas
Scamming: Es un término anglosajón que se emplea familiarmente para referirse a una red de corrupción. Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento. Generalmente, se pretende estafar económicamente por medio del engaño presentando una supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero.
Phishing: Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Amenazas y Acoso
Por Gmail, redes sociales, o SMS
Hurto
Robo de las cuentas bancarias a través del Home Banking, también conocida como la divulgación no autorizada de datos reservados, es una variedad del espionaje industrial que sustrae información confidencial de una empresa.
Pornografía Infantil
Distribución de imágenes pornográficas a menores de edad
Calumnias
Cyberbulling: Abusos de tipo verbal, mediante el usos de medios electrónicos. Son principales manifestaciones de odio, burlas, fotomontajes, acosos, que también pueden incluir amenazas, mayormente se da en los estudiantes, adolescentes trayendo consigo destrucción moral, daños psicológicos.
Grooming: es el engaño por parte de un delincuente adulto, el cual simula a través de medios electrónicos ser un niño o niña, con el ánimo de contactar a menores de edad y adolescentes con diversos fines, como la agresión o el abuso sexual,
El delito Informático como objetivo
El ataque puede producirse contra:
a. Hardware
b. Software
c. Información almacenada
En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, por ejemplo:
Programación de instrucciones que producen un bloqueo total al sistema.
Destrucción de programas por cualquier método.
Daño a la memoria
Atentado físico contra la maquina o sus accesorios.
Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje (pago de rescate, etc.). (35)
– Hurto
Hacking (acceso no autorizado a un sistema o dato informático)
Cracking (violación de las medidas de seguridad informáticas)
Phreaking (botnets en Android, acceso no autorizado a través de Bluethoot)
Consiste en el hurto del tiempo de uso de las computadoras, un ejemplo de esto es el uso de internet, en el cual una empresa proveedora de este servicio proporciona una clave de acceso al usuario de Internet, para que con esa clave pueda acceder al uso de la supercarretera de la información, pero sucede que el usuario de ese servicio da esa clave a otra persona que no está autorizada para usarlo, causándole un perjuicio patrimonial a la empresa proveedora de servicios.
– Daño
Destrucción de archivos o sistemas informáticos
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.
Aquí están como los gusanos, virus informáticos, entre otros, lo cual están programados a la destrucción o a la obtención de información.
– Fraude Informático
Conocido como introducción de datos falsos, es una manipulación de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa. Este tipo de fraude informático conocido también como manipulación de datos de entrada, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
– Violación de la intimidad
Intercepción, apoderamiento, o desvío indebido, y publicación de una comunicación electrónica (E-Mail, SMS, etc.). Ingreso no autorizado a una cuenta de Hotmail, Facebook, u otro servicio similar.
¿Qué es lo que no sabemos acerca de la realidad virtual que llamamos Internet?
La respuesta es: infinidad de cosas. Internet constituye simplemente una red, pero una red muy grande. Ejemplificaremos sólo algunos puntos que demuestren los peligros que en general el uso de Internet, sin conocimientos técnicos, podría suscitarse: (36)
Internet es una Red de Redes, es decir, no es más ni menos que una gran Red, de millones de computadoras. Cada computadora está conectada a una serie limitadas de computadoras, por lo cual la información que se transmite de una PC a otra en Internet suele atravesar en promedio 10 computadoras hasta llegar a destino. Esto implica que toda comunicación que enviemos o recibamos será susceptible de ser vista por otras personas; comenzando por los empleados de una empresa.
Los usuarios y claves de correos electrónicos (cuando se usan los clientes de correo, como el Outlook) son enviados sin encriptar, y cualquier persona que acceda a nuestro mismo router (por ejemplo, en un café con WiFi) podría interceptarla. También, compartiendo router, puede una persona "capturar" nuestra sesión de GMail, Twitter o Facebook, y hacer todas las acciones como si poseyera la clave. Podría también cambiar la clave, y la respuesta a la pregunta secreta, con el fin de pedir dinero por la restitución del uso de la cuenta.
Una dirección de Internet (URL) está compuesta de varias partes. Lo que la mayoría de las personas no sabe es cuáles son las partes, qué significan, y fundamentalmente que una URL se debe leer de derecha a izquierda.
Así, muchas personas creerían que están ingresando a Facebook si en la barra de navegación de su explorador figura: www.facebook.com o www.server1.facebook.com o www.facebook.server1.com; cuando en realidad, sólo los 2 primeros casos refieren al sitio Facebook, mientras que el último no.
De ese modo, una persona puede –por ejemplo- ser víctima del siguiente engaño: recibir un correo electrónico que lo lleve al sitio www.facebook.server1.com donde verá la página de ingreso de Facebook, ingresará su usuario y clave y será redirigido al sitio real de Facebook, no sin antes haber almacenado su usuario y clave en el servidor del victimario.
Una URL se divide en: Protocolo, subdominio, dominio de segundo nivel y dominio de primer nivel. Como ejemplo, en http: //www.facebook.com, el protocolo es "http", que significa "Hyper Text Transfer Protocol", que es un modo de transferencia de información sin codificar por Internet. Si el protocolo es "https", implica que la información está codificada, o encriptada, y es muy común ver que ese protocolo es el que utilizan los sitios bancarios.
Finalmente el más comúnmente utilizado es "www", que significa "World Wide Web". Generalmente se usa para identificar diferentes servidores o instancias en un dominio. Es por ello que si el contenido de un correo electrónico resulta al menos un poco sospechoso, se debe corroborar por otro medio el origen del gmail, y bajo ningún aspecto abrir los archivos adjuntos.
Hay muchos otros temas a los que podríamos referirnos para intentar encuadrar esta realidad virtual que denominamos informática e Internet; pero lo dicho hasta ahora debería suficiente para que, extrapolando, el lector descubra que "la ignorancia de las víctimas sobre el tema es un factor esencial en el delito informático".
Perfil del delincuente informático y la victima
El delincuente como sobre la víctima, el acceso generalizado a la informática y a Internet ha llevado a que cada vez más personas de diversas condiciones se encuentren en una u otra posición. Hoy en día, es tan fácil como habitual que una persona viole derechos de autor, o utilice alguna técnica de cracking para instalar un software (aunque más no sea la introducción de una clave que no ha adquirido legalmente), como que una computadora hogareña se vea infectada por virus o troyanos con diversas intenciones.
Delitos informáticos de guante blanco
Las personas que cometen los «Delitos Informáticos» son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y/o generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aun cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. (37)
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que «ingresa» en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los «delitos informáticos», los estudiosos en la materia los han catalogado como «delitos de cuello blanco» término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943. Efectivamente, este conocido criminólogo señala un sinnúmero de conductas que considera como «delitos de cuello blanco», aun cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos, y dentro de las cuales cabe destacar las «violaciones a las leyes de patentes y fábrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasión de impuestos, las quiebras fraudulentas, corrupción de altos funcionarios, entre otros».
Asimismo, este criminólogo estadounidense dice que la definición de los «delitos de cuello blanco» no es de acuerdo al interés protegido, como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete.
Entre las características en común que poseen ambos delitos tenemos que:
«El sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad emocional». (38)
Respecto al Sujeto Pasivo vamos a definirlo como el sujeto sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo.
Normalmente son grandes empresas, públicas o privadas, siendo los bancos de los más atractivos. La mayor parte de los delitos informáticos no son descubiertos o denunciados a las autoridades responsables, ya que los mismos tienen miedo de dejar al descubierto la falta de seguridad que poseen, generando una "invisibilidad" del delito informático.
Es difícil elaborar estadísticas sobre ambos tipos de delitos.
Sin embargo, la cifra es muy alta; no es fácil descubrirlo y sancionarlo, en razón del poder económico de quienes los cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a sí mismos «respetables» otra coincidencia que tienen estos tipos de delitos es que, generalmente, «son objeto de medidas o sanciones de carácter administrativo y no privativos de la libertad».
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuerdos de cooperación internacional y los tratados de extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas.
Por su parte, el «Manual de la Naciones Unidas para la Prevención y Control de Delitos Informáticos» señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a la cooperación internacional en el área de los delitos informáticos:
Falta de acuerdos globales acerca de qué tipo de conductas deben constituir delitos informáticos.
Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.
Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos.
Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos.
Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.
Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
En síntesis, es destacable que la delincuencia informática se apoya en el delito instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática constituye un reto considerable tanto para los sectores afectados de la infraestructura crítica de un país, como para los legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales.
Delito informático en general
Si hacen unos años sólo las grandes empresas y las instituciones u organismos públicos eran objeto de incidentes de acceso no autorizado por terceros (hackers), ahora puede ser potencialmente víctima de los mismos cualquier familia o pequeña empresa que tenga una conexión más o menos permanente a Internet.
Las víctimas suelen ostentar una o algunas de las siguientes características: ingenuidad, candidez, desconocimiento, falta de educación, desatención, necesidad, avaricia, búsqueda de venganza.
A modo de ejemplo, podemos mencionar aquellas personas que quieren acceder a cuentas de correo de otras personas (parejas, socios, o exposos), y googlean, es decir, ingresan en un buscador como Google, la siguiente frase: "como Hacker Hotmail", lo cual remite a una serie de sitios cuya finalidad oculta es obtener información del internauta el cual, con tal de acceder a la cuenta de Hotmail de la otra persona, no escatima en brindar información propia, comenzando con su propia clave de correo electrónico.
También están aquellos sitios y correos que afirman identificar a aquellos contactos de Hotmail que "no te admiten"; con la misma finalidad de robar la contraseña. Por otro lado, es muy fácil redactar un correo cuyo remitente no es quien figura; y adjuntarle un archivo "troyano", que el destinatario abrirá ya que considera que el remitente es alguien conocido.
En estos casos, se produce también la denominada "invisibilidad" del delito informático, teniendo su razón de ser en el carácter anónimo de Internet, el cual provoca en la víctima la sensación, rayana con la certeza, de que la Justicia penal no podrá dar con el responsable del ataque en su contra. La víctima siente que se enfrenta a un ser "invisible" ante cuyos ataques sólo queda resignarse, por lo que pocas veces denuncian los hechos que se dan en su perjuicio.
Internet es un nuevo mundo, lo que podríamos llamar "una realidad paralela" o "realidad virtual", en las cuales las personas se desenvuelven, con mayor o menor carga emocional. En esta nueva realidad, las personas se relacionan tanto emocional, como profesional y económicamente. Pero resulta fundamental considerar que esta realidad tiene sus propias reglas, y dada la novedad de esta nueva realidad, muchas personas acceden a ella aplicando reglas de otros ámbitos, convirtiéndose en blanco fácil de los delitos.
Perfil de la victima de Scanming
Una práctica habitual en el scamming consiste en contratar gente para que intermedie en transacciones de dinero. Generalmente, dentro de los engañosos avisos que circulan, el perfil buscado del mulero oscila entre los 21 y 50 años. Entre los requisitos que suelen enumerar figuran que el potencial empleado debe ser comunicativo, cumplidor, despierto, capacitado para ir aprendiendo en el proceso de trabajo y responsable. No hace hincapié en el nivel educativo y prometen una paga de 1000 a 4000 euros mensuales. Una cifra atractiva para un trabajo de solamente dos horas diarias, fácilmente combinable con otras ocupaciones. En otros casos, el único requisito imprescindible, ser titular de una cuenta bancaria será suficiente para poder convertirse en intermediario de una persona de la cual no sabe su nombre y jamás le verá la cara.
El perfil de las víctimas de estafas por internet se corresponde con el de una persona -hombres y mujeres en igual medida- de entre 20 y 40 años y un nivel adquisitivo medio.
Perfil del agresor y la víctima de ciberbulling
El ciberbullying es el uso de los medios telemáticos (Internet, telefonía móvil y videojuegos online principalmente) para ejercer el acoso psicológico entre iguales. No se trata aquí el acoso o abuso de índole estrictamente sexual ni los casos en los que personas adultas intervienen. (39)
La intimidación, el acoso y en general el abuso de poder entre escolares (bullying en su expresión inglesa) han sido algunos de los problemas más estudiados en el ámbito de la psicología educativa en las últimas décadas. La agresión injustificada y mantenida que un escolar o un grupo realizan contra otro, acompañada de la escasa sensibilidad de los que conociendo el asunto callan, establece una estructura de dominio-sumisión en la red de iguales que resulta a la par que injusta enormemente perturbadora y desequilibrante para todos los que se ven afectados, pero también para la convivencia escolar.
La discriminación por tamaño, altura, color de piel o procedencia crece entre los escolares. Según el Centro de Información y Educación para la Prevención del Abuso de Drogas (Cedro), el 77% de ellos, de entre 12 y 17 años, son acosados por estos motivos en las redes sociales. A este maltrato se le conoce como "ciberbullying" (40). Según el investigador Ferrán Barri, "los acosadores provienen de cualquier capa de la sociedad pero todos tienen unos rasgos en común, todos han sido educados en valores como la sumisión y la prepotencia, no en la igualdad, y están acostumbrados a avasallar al otro". Los adolescentes agredidos, por su parte, suelen ser niños muy sobreprotegidos, tímidos y con una severa dificultad en socializar y comunicarse.
Entendemos por cyberbullying el acoso entre iguales que se desarrolla utilizando las TIC. Aunque este fenómeno comparte gran parte de sus rasgos esenciales con el bullying tradicional, las propias características del medio hacen que, simultáneamente, posea elementos diferenciales con respecto a éste. Por ejemplo, en el caso del cyberbullying no hay, generalmente, contacto cara a cara; la presencia del mensaje agresivo se puede mantener en el tiempo más allá del propio control del agresor y, por tanto, la victimización adquirir dimensiones temporales permanentes e incontrolables para la víctima, con los consiguientes efectos de humillación e indignidad; además, una no deseada audiencia puede aumentar los sentimientos de vulnerabilidad de la víctima y de impunidad del agresor. Pero algunos de estos rasgos están ya, en alguna medida, en formas de bullying indirectas, como la expansión de rumores y otras formas relacionales.
Ver esquema (4)
CAPITULO VI
Plan de seguridad y plan de contingencias
Ambos deben ser promovidos por el sector específico del área de administración de recursos informáticos, pero son planes de la organización y, por lo tanto, involucran a todos sus miembros. En su formulación, mantenimiento y aplicación efectiva, así como en la observación de las medidas de seguridad que contienen, los primeros y más importantes protagonistas deben ser los integrantes de la dirección superior, sin cuyo respaldo explícito y continuo tales planes no podrán ser cumplidos con éxito.
La seguridad es la situación en la que se está adecuadamente protegido contra pérdidas, de modo tal que los hechos adversos Están apropiadamente impedidos, disuadidos, prevenidos, detectados y/o corregidos. Un sistema seguro no es impenetrable; más. Bien, es un sistema que se encuentra protegido a un costo justificable. (30)
Plan de seguridadEl plan de seguridad es un conjunto de medidas preventivas, detectivas y correctivas para enfrentar los riesgos a los que se encuentran expuestas las operaciones de procesamiento o transmisión de datos, así como los archivos, programas y demás recursos informáticos involucrados. (31)
Generalidades:En los actuales momentos la seguridad informática ha tomado gran importancia, debido al avance de la tecnología. La posibilidad de interconectarse a través de redes, permite explorar más allá de las fronteras nacionales, y con estas nuevas amenazas para los sistemas de información.
Estos riesgos que se están enfrentando han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el mal uso de las mismas, lo que puede ocasionaría serios problemas a los bienes. (32)
Objetivo:El objetivo esencial del plan de seguridad es resguardar los recursos informáticos en cuanto a integridad, confidencialidad, privacidad y continuidad. (33)
La elaboración de este plan comprende las siguientes actividades básicas:
Organizar un grupo para conducir la revisión de la seguridad; establecer planes, deberes, programas, presupuestos y atribuciones; obtener apoyo superior.
Identificar los recursos informáticos expuestos a pérdidas; determinar el valor de los mismos, las consecuencias de su pérdida y el valor de su reemplazo, o bien hacer un ranking de su importancia.
Identificar las contingencias.
Identificar las vulnerabilidades.
Para ello se debe:
Identificar los controles existentes que limitan las amenazas potenciales y los controles faltantes que facilitan tales amenazas.
Combinar asociaciones de amenazas potenciales, de activos expuestos a pérdida y de falta de controles limitantes.
Realizar el análisis de riesgos.
Determinar las consecuencias.
Evaluar las consecuencias económicas y operativas de las contingencias, incluyendo la determinación del riesgo que se desea asumir (o importe máximo que se justifica invertir en medidas de seguridad para cada contingencia).
Formular la lista de medidas de seguridad (acciones y
controles) que reducirían los riesgos de pérdidas a niveles aceptablemente bajos.
Calcular estimativamente las pérdidas esperadas para cada recurso informático (en función de la probabilidad de cada contingencia y del valor de la respectiva consecuencia).
Identificar y costear las medidas de seguridad aplicables.
Seleccionar las medidas de seguridad a implantar para reducir el riesgo a un nivel total aceptablemente bajo.
Formular el conjunto completo y coherente de medidas de seguridad para enfrentar las contingencias, reducir las vulnerabilidades y limitar las consecuencias.
Llevar el plan a la práctica y establecer un método para su mantenimiento y mejora permanentes.
Política de seguridad
Una Política de Seguridad es una "declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran " (RFCs 1244 y 2196). (34)
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de lo que se desea proteger y el porqué de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. (35)
Objetivos de una política de seguridad:
Reducir los riesgos a un nivel aceptable.
Garantizar la confidencialidad, integridad, disponibilidad, privacidad de la información.
Cumplir con las Leyes y Reglamentaciones vigentes
¿Cómo desarrollar una política de seguridad? (36)
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa:
Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco, computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado de la red, servidores de terminales, bridges.
Software: sistemas operativos, programas fuente, programas objeto, programas de diagnóstico, utilerías, programas de comunicaciones.
Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos, en tránsito sobre medios de comunicación.
Personas: usuarios, personas para operar los sistemas.
Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas:
Amenazas externas: Se originan fuera de la organización y son los virus, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.
Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber dónde reside la información sensible e importante.
• Evalué los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que monetario, se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, etc.
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas y tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma.
• Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:
– Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.
– Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información.
– Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.
• Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.
Normatividad de una política de seguridad
Las normas son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional. Un modelo propuesto según la norma ISO 17799 la cual recomienda la aplicación de estándares encaminados a la seguridad informática plantea tres grandes secciones:
• Las directrices son un conjunto de reglas generales de nivel estratégico donde se expresan los valores de la seguridad de la organización. Es propuesta por el líder empresarial de la organización y tiene como su base la misión y visión para abarcar toda la filosofía de la seguridad de la información.
• Las normas de seguridad para usuarios son dirigidas para el uso de ambientes informatizados, basadas en aspectos genéricos como el cuidado con las claves de acceso, manejo de equipos o estaciones de trabajo, inclusión y exclusión de usuarios, administración de sistemas operativos, etc.
• Los procedimientos e instrucciones de trabajo son un conjunto de orientaciones para realizar las actividades operativas, que representa las relaciones interpersonales e interdepartamental y sus respectivas etapas de trabajo para su implementación y mantenimiento de la seguridad de la información.
ISO 17799
Documento de la política de seguridad de la información. El documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.
Lineamiento de implementación
El documento de la política de seguridad de la información debe enunciar el compromiso de la gerencia y establecer el enfoque de la organización para manejar la seguridad de la información. El documento de la política debiera contener enunciados relacionados con:
•Una definición de seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo facilitador para intercambiar información.
•Un enunciado de la intención de la gerencia, fundamentando sus objetivos y los principios de la seguridad de la información en línea con la estrategia y los objetivos comerciales
•Un marco referencial para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la gestión de riesgo
•Una explicación breve de las políticas, principios, estándares y requerimientos de conformidad de la seguridad de particular importancia para la organización, incluyendo: conformidad con los requerimientos legislativos, reguladores y restrictivos, educación, capacitación y conocimiento de seguridad, gestión de la continuidad del negocio, consecuencias de las violaciones de la política de seguridad de la información
•Una definición de las responsabilidades generales y específicas para la gestión de la seguridad de la información incluyendo el reporte de incidentes de seguridad de la información
•Referencias a la documentación que fundamenta la política; por ejemplo, políticas y procedimientos de seguridad más detallados para sistemas de información específicos o reglas de seguridad que los usuarios debieran observar.
•Esta política de seguridad de la información se debiera comunicar a través de toda la organización a los usuarios en una forma que sea relevante, accesible y entendible para el lector objetivo.
Revisión de la política de seguridad de la informaciónLa política de seguridad de la información debiera ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia efectividad.
ProcedimientosUn Procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar las Políticas de Seguridad que han sido aprobadas por la organización.
Se describe cómo se implementan, en las áreas a proteger, las políticas generales que han sido definidas para toda la entidad, en correspondencia con las necesidades de protección en cada una de ellas, atendiendo a sus formas de ejecución, periodicidad, personal participante y medios. Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de seguridad alcanzados se elaborará un Programa de Seguridad Informática, que incluya las acciones a realizar por etapas para lograr niveles superiores.
Algunos procedimientos a considerar son los siguientes:
•Otorgar (retirar) el acceso de personas a las tecnologías de información y como se controla el mismo.
•Asignar (retirar) derechos y permisos sobre los ficheros y datos a los usuarios.
•Autorizar (denegar) servicios a los usuarios. (Ejemplo: Correo Electrónico, Internet)
•Definir perfiles de trabajo.
•Autorización y control de la entrada/salida de las tecnologías de información.
•Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
•Realización de salva de respaldo, según el régimen de trabajo de las áreas, de forma que las salvas se mantengan actualizadas, y las acciones que se adoptan para establecer la salvaguarda de las mismas, de forma que se garantice la compartimentación de la información según su nivel de confidencialidad.
•Garantizar que los mantenimientos de los equipos, soportes y datos, se realicen en presencia y bajo la supervisión de personal responsable y que en caso del traslado del equipo fuera de la entidad la información clasificada o limitada sea borrada físicamente o protegida su divulgación.
•Salva y análisis de registros o trazas de auditoria, especificando quien lo realiza y con qué frecuencia.
Se describirán por separado los controles de seguridad implementados en correspondencia con su naturaleza, de acuerdo al empleo que se haga de los medios humanos, de los medios técnicos o de las medidas y procedimientos que debe cumplir el personal.
•Medios Humanos: Aquí se hará referencia al papel del personal dentro del sistema de seguridad implementado, definiendo sus responsabilidades y funciones respecto al diseño, establecimiento, control, ejecución y actualización del mismo.
•Medios Técnicos de Seguridad: Se describirán los medios técnicos utilizados en función de garantizar niveles de seguridad adecuados, tanto al nivel de software como de hardware, así como la configuración de los mismos. Para lo cual se tendrá en cuenta:
•De protección física:
– A las áreas con tecnologías instaladas:
Se precisarán, a partir de las definiciones establecidas en el Reglamento sobre la Seguridad Informática, las áreas que se consideran vitales y reservadas en correspondencia con el tipo de información que se procese, intercambie, reproduzca o conserve en las mismas o el impacto que pueda ocasionar para la Entidad la afectación de los activos o recursos que en ellas se encuentren, relacionando las medidas y procedimientos específicos que se apliquen en cada una. (Ejemplo: restricciones para limitar el acceso a los locales, procedimientos para el empleo de cierres de seguridad y dispositivos técnicos de detección de intrusos, etc.)
– A las Tecnologías de Información: Se especificarán las medidas y procedimientos de empleo de medios técnicos de protección física directamente aplicados a las tecnologías de información. Posición de las tecnologías de información destinadas al procesamiento de información con alto grado de confidencialidad o sensibilidad en el local de forma que se evite la visibilidad de la información a distancia, minimice la posibilidad de captación de las emisiones electromagnéticas y garantice un mejor cuidado y conservación de las mismas. Medidas y procedimientos para garantizar el control de las tecnologías de información existentes, durante su explotación, conservación, mantenimiento y traslado.
– A los soportes de información: Se describirá el régimen de control establecido sobre los soportes magnéticos de información
•Técnicas o Lógicas:
Se especificarán las medidas y procedimientos de seguridad que se establezcan, cuya implementación se realice a través de software, hardware o ambas:
Identificación de usuarios
Autenticación de usuarios
Control de acceso a los activos y recursos
Integridad de los ficheros y datos
Auditoría y Alarmas
•De recuperación ante contingencias
Se describirán las medidas y procedimientos de neutralización y recuperación ante cualquier eventualidad que pueda paralizar total o parcialmente la actividad informática o degraden su funcionamiento, minimizando el impacto negativo de éstas sobre la entidad.
Planes de seguridad
Un Plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos. El Plan de Seguridad debe ser un proyecto que desarrolle los objetivos de seguridad a largo plazo de la organización, siguiendo el ciclo de vida completo desde la definición hasta la implementación y revisión. (37)
La forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una política de seguridad que defina el QUÉ se quiere hacer en materia de seguridad en la organización para a partir de ella decidir mediante un adecuado plan de implementación el CÓMO se alcanzarán en la práctica los objetivos fijados. A partir de la Política de Seguridad se podrá definir el Plan de Seguridad, que es muy dependiente de las decisiones tomadas en ella, en el que se contemplará: el estudio de soluciones, la selección de herramientas, la asignación de recursos y el estudio de viabilidad.
La Política de Seguridad y el Plan de Seguridad (y la implantación propiamente dicha) están íntimamente relacionados:
•La Política de Seguridad define el Plan de Seguridad ya que la implementación debe ser un fiel reflejo de los procedimientos y normas establecidos en la política.
•El Plan de Seguridad debe estar revisado para adaptarse a las nuevas necesidades del entorno, los servicios que vayan apareciendo y a las aportaciones que usuarios, administradores, etc. vayan proponiendo en función de su experiencia. La revisión es esencial para evitar la obsolescencia de la política debido al propio crecimiento y evolución de la organización. Los plazos de revisión deben estar fijados y permitir además revisiones extraordinarias en función de determinados eventos (por ejemplo, incidentes).
•El Plan de Seguridad debe ser auditado para asegurar la adecuación con las normas.
•El Plan de Seguridad debe realimentar a la Política de Seguridad. La experiencia, los problemas de implantación, las limitaciones y los avances tecnológicos, etc. permitirán que la política pueda adecuarse a la realidad, evitando la inoperancia por ser demasiado utópica y la mejora cuando el progreso lo permita.
Plan de contingencias
El plan de contingencias es un conjunto de procedimientos que, luego de producido un desastre, pueden ser rápidamente ejecutados para restaurar las operaciones normales con máxima rapidez y mínimo impacto. Se trata de un capítulo importante del plan de seguridad informática. Este último, como se vio, comprende medidas preventivas, detectives y correctivas. El plan de contingencias se concentra en las medidas correctivas; en él, se asume que los aspectos de prevención y detección de las contingencias yace hallan estudiados y resueltos. (38)Se entiende por PLAN DE CONTINGENCIA los procedimientos alternativos al orden normal de una empresa, cuyo fin es permitir el normal funcionamiento de esta, aun cuando alguna de sus funciones se viese dañada por un accidente interno o externo. Que una organización prepare sus planes de contingencia, no significa que reconozca la ineficacia de su empresa, sino que supone un avance a la hora de superar cualquier eventualidad que puedan acarrear pérdidas o importantes pérdidas y llegado el caso no solo materiales sino personales.
Los Planes de Contingencia se deben hacer de cara a futuros acontecimientos para los que hace falta estar preparado. (39)
La función principal de un Plan de Contingencia es la continuidad de las operaciones de la empresa su elaboración la dividimos en cuatro etapas:
1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.
Las tres primeras hacen referencia al componente preventivo y la última a la ejecución del plan una vez ocurrido el siniestro. La planificación aumenta la capacidad de organización en caso de siniestro sirviendo como punto de partida para las respuestas en caso de emergencia.
Es mejor planificar cuando todavía no es necesario.
Los responsables de la Planificación, deben evaluar constantemente los planes creados del mismo modo deberán pensar en otras situaciones que se pudiesen producir. Un Plan de Contingencia estático se queda rápidamente obsoleto y alimenta una falsa sensación de seguridad, solo mediante la revisión y actualización periódicas de lo dispuesto en el Plan las medidas preparatorias adoptadas seguirán siendo apropiadas y pertinentes.
Toda planificación de contingencia debe establecer objetivos estratégicos así como un Plan de acción para alcanzar dichos objetivos. A continuación veremos las diferencias fundamentales entre una Planificación de la
Contingencia y la planificación de los objetivos:
La planificación de la contingencia implica trabajar con hipótesis y desarrollar los escenarios sobre los que se va a basar la planificación
La planificación de objetivos ya se conoce el punto de partida y se basará en la evaluación de las necesidades y recursos.
Un Plan de Contingencia debe ser exhaustivo pero sin entrar en demasiados detalles, debe ser de fácil lectura y cómodo de actualizar. Debemos tener en cuenta que un Plan de Contingencia, eminentemente, debe ser Operativo y debe expresar claramente lo que hay que hacer, por quien y cuando. Toda Planificación debe tener en cuenta al personal que participar directamente en ella desde el personal que lo planifica hasta aquellos que operativamente participarían en el accidente. Debemos tener en cuenta los procedimientos para la revisión del Plan, quien lo actualizará y como, esa información, llegara a los afectados.
El Plan de Emergencia
Una Planificación de Contingencias debe ser también un Plan de Emergencia que contenga los siguientes elementos:
Identificación del escenario
Objetivos operativos
Medidas que se deben adoptar
Investigación
Conclusiones
Objetivos Generales
Minimizar las perdidas
Objetivos Particulares
A. Gestión y coordinación global, asignación de responsabilidades
B. Activación del Plan de Emergencia
C. Minimizar las perdidas
Contenido del Plan de Contingencia
A. La naturaleza de la contingencia
B. Las repercusiones operativas de la contingencia
C. Las respuestas viables
D. Las implicaciones financieras de las respuestas
E. Cualquier efecto en otro proceso
Se deberán valorar los diferentes escenarios, esta actividad es la más intuitiva y sin embargo una de las más importantes ya que sienta las bases de toda la planificación posterior. Para establecer escenarios es necesario formular distintas hipótesis, aunque estas se basen en todos los conocimientos disponibles, nunca se debe eliminar el elemento de imprevisibilidad.
Debe ser un documento "vivo", actualizándose, corrigiéndose, y mejorándose constantemente. No se trata de un documento que deba ser revisado exhaustivamente y fecha fija, sino de un documento que esté en permanente estado de cambio.
Los planes de contingencia deberán ser realistas y eficaces. Deberá existir un mecanismo para determinar qué plan de contingencia alternativo se instrumentará, tomando en consideración la eficiencia con respecto al costo. En situaciones de crisis, el rendimiento con respecto a otros objetivos es secundario.
Ver esquema (5)
Página anterior | Volver al principio del trabajo | Página siguiente |