REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA,

CIENCIA Y TECNOLOGA
INSTITUTO UNIVERSITARIO DE TECNOLOGA AGRO-INDUSTRIAL
PNF INFORMTICA

POLITICAS DE SEGURIDAD
INFORMATICA.
Ing. Lisby Mora

Chacn Castro Irene Yudeisy

C.I 20.608.533
Trayecto IV

Introduccin

Hoy es imposible hablar de un sistema cien por cien seguro,

sencillamente porque el costo de la seguridad total es muy alto. Por eso las
empresas, en general, asumen riesgos: deben optar entre perder un
negocio o arriesgarse a ser hackeadas.
La cuestin es que, en algunas organizaciones puntuales, tener un
sistema de seguridad muy acotado les impedira hacer ms negocios. "Si
un Hacker quiere gastar cien mil dlares en equipos para descifrar una
encriptacin, lo puede hacer porque es imposible de controlarlo. Y en tratar
de evitarlo se podran gastar millones de dlares".
La solucin a medias, entonces, sera acotar todo el espectro de
seguridad, en lo que hace a plataformas, procedimientos y estrategias. De
esta manera se puede controlar todo un conjunto de vulnerabilidades,
aunque no se logre la seguridad total. Y esto significa ni ms ni menos que
un gran avance con respecto a unos aos atrs.
En este sentido, las Polticas de Seguridad Informtica (PSI), surgen
como una herramienta organizacional para concientizar a cada uno de los
miembros de una organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos. Estos permiten a la compaa desarrollarse
y mantenerse en su sector de negocios.

Polti
ticas de seguridad informtica
De acuerdo co
on lo anterior, el proponer o identificar un
na poltica de
seguridad requiere un
n alto compromiso con la organizacin, agu
udeza tcnica
para establecer fallass y debilidades, y constancia para renovar
ar y actualizar
dicha poltica en funci
cin del dinmico ambiente que rodea las org
rganizaciones
modernas.
Est lejos de m
mi intencin (y del alcance del presente)) proponer un
documento establecie
iendo lo que debe hacer un usuario o una organizacin
para lograr la mayorr Seguridad Informtica posible. S est dentro
de
de mis
objetivos proponer lo
los lineamientos generales que se deben
n seguir para
lograr (si as se preten
endiese) un documento con estas caracterst
sticas.
Una Poltica de Seguridad es un conjunto de requisitos definidos
d
por
los responsables de u
un sistema, que indica en trminos generale
les que est y
que no est permitido
o en el rea de seguridad durante la opera
racin general
del sistema.

Objetivos
La seguridad informtica debe establecer normas que minimicen los
riesgos a la informacin o infraestructura informtica. Estas normas incluyen
horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones,
denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo
lo necesario que permita un buen nivel de seguridad informtica minimizando
el impacto en el desempeo de los trabajadores y de la organizacin en
general y como principal contribuyente al uso de programas realizados por
programadores.
La seguridad informtica est concebida para proteger los activos
informticos, entre los que se encuentran los siguientes:
La infraestructura computacional: Es una parte fundamental para el
almacenamiento y gestin de la informacin, as como para el
funcionamiento mismo de la organizacin. La funcin de la seguridad
informtica en esta rea es velar que los equipos funcionen
adecuadamente y anticiparse en caso de fallas, robos, incendios,
boicot, desastres naturales, fallas en el suministro elctrico y cualquier
otro factor que atente contra la infraestructura informtica.
Los usuarios: Son las personas que utilizan la estructura tecnolgica,
zona de comunicaciones y que gestionan la informacin. Debe
protegerse el sistema en general para que el uso por parte de ellos no
pueda poner en entredicho la seguridad de la informacin y tampoco
que la informacin que manejan o almacenan sea vulnerable.

La informacin: es el principal activo. Utiliza y reside en la

infraestructura computacional y es utilizada por los usuarios.

Amenazas
No solo las amenazas que surgen de la programacin y el
funcionamiento de un dispositivo de almacenamiento, transmisin o proceso
deben ser consideradas, tambin hay otras circunstancias que deben ser
tomadas en cuenta e incluso no informticas. Muchas son a menudo
imprevisibles o inevitables, de modo que las nicas protecciones posibles
son las redundancias y la descentralizacin, por ejemplo mediante
determinadas estructuras de redes en el caso de las comunicaciones o
servidores en clster para la disponibilidad.
Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un
sistema informtico. En algunos casos sus acciones causan
problemas de seguridad, si bien en la mayora de los casos es porque
tienen permisos sobre dimensionados, no se les han restringido
acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer
un uso ilcito de los recursos del sistema. Es instalado (por inatencin
o maldad) en el ordenador, abriendo una puerta a intrusos o bien
modificando los datos. Estos programas pueden ser un virus
informtico, un gusano informtico, un troyano, una bomba lgica, un
programa espa o spyware, en general conocidos como malware.

Errores de programacin: La mayora de los errores de programacin

que se pueden considerar como una amenaza informtica es por su
condicin de poder ser usados como exploits por los crackers, aunque
se dan casos donde el mal desarrollo es, en s mismo, una amenaza.
La actualizacin de parches de los sistemas operativos y aplicaciones
permite evitar este tipo de amenazas.
Intrusos: persona que consiguen acceder a los datos o programas a
los cuales no estn autorizados (crackers, defacers, hackers, script
kiddie o script boy, viruxers, etc.).

Un siniestro (robo, incendio, inundacin): una mala manipulacin o

una mala intencin derivan a la prdida del material o de los archivos.
Personal tcnico interno: tcnicos de sistemas, administradores de
bases de datos, tcnicos de desarrollo, etc. Los motivos que se
encuentran entre los habituales son: disputas internas, problemas
laborales, despidos, fines lucrativos, espionaje, etc.

Caractersticas
La poltica se refleja en una serie de normas, reglamentos y protocolos
a seguir, donde se definen las medidas a tomar para proteger la seguridad
del sistema; pero ante todo, una poltica de seguridad es una forma de

comunicarse con los usuarios. Siempre hay que tener en cuenta que la
seguridad comienza y termina con personas, y debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma).
Adecuarse a las necesidades y recursos.
Ser atemporal. El tiempo en el que se aplica no debe influir en su
eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas
funciones y actividades, donde se conocen las alternativas ante
circunstancias repetidas.
Otro punto importante, es que las polticas de seguridad deben
redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y
trminos ambiguos que impidan una comprensin clara de las
mismas, claro est sin sacrificar su precisin.
Deben seguir un proceso de actualizacin peridica sujeto a los
cambios organizacionales relevantes, como son: el aumento de
personal, cambios en la infraestructura computacional, alta rotacin de
personal, desarrollo de nuevos servicios, regionalizacin de la
empresa, cambio o diversificacin del rea de negocios, etc.

Elementos de una Poltica de Seguridad

Como una poltica de seguridad debe orientar las decisiones
que se toman en relacin con la seguridad, se requiere la disposicin
de todos los miembros de la empresa para lograr una visin conjunta
de lo que se considera importante.

Las Polticas de Seguridad Informtica deben considerar

principalmente los siguientes elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica.
Objetivos de la poltica y descripcin clara de los elementos
involucrados en su definicin.
Responsabilidades por cada uno de los servicios y recursos
informticos aplicado a todos los niveles de la organizacin.
Requerimientos mnimos para configuracin de la seguridad de
los sistemas que abarca el alcance de la poltica.
Definicin de violaciones y sanciones por no cumplir con las
polticas.
Responsabilidades

de

los

usuarios

con

respecto

la

informacin a la que tiene acceso.

Es necesario garantizar que los recursos del sistema se
encontrarn disponibles cuando se necesitan, especialmente la
informacin crtica.
Los recursos del sistema y la informacin manejada en el
mismo ha de ser til para alguna funcin.
Integridad: la informacin del sistema ha de estar disponible tal
y como se almacen por un agente autorizado.
Autenticidad: el sistema ha de ser capaz de verificar la
identidad de sus usuarios, y los usuarios la del sistema.
Confidencialidad: la informacin slo ha de estar disponible
para agentes autorizados, especialmente su propietario.
Posesin: los propietarios de un sistema han de ser capaces de
controlarlo en todo momento; perder este control en favor de un

usuario malicioso compromete la seguridad del sistema hacia el

resto de usuarios.

La Informacin y el Delito
El delito informtico implica actividades criminales que los
pases han tratado de encuadrar en figuras tpicas de carcter
tradicional,

tales

como

robos,

hurtos,

fraudes,

falsificaciones,

perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el

uso de las tcnicas informticas ha creado nuevas posibilidades del
uso indebido de las computadoras lo que ha creado la necesidad de
regulacin por parte del derecho.
Se considera que no existe una definicin formal y universal de
delito informtico pero se han formulado conceptos respondiendo a
realidades nacionales concretas: "no es labor fcil dar un concepto
sobre delitos informticos, en razn de que su misma denominacin
alude a una situacin muy especial, ya que para hablar de "delitos" en
el sentido de acciones tpicas, es decir tipificadas o contempladas en
textos jurdicos penales, se requiere que la expresin "delitos
informticos" est consignada en los cdigos penales, lo cual en
nuestro pas, al igual que en otros muchos no han sido objeto de
tipificacin an.

Tipos de Delitos Informticos

La Organizacin de Naciones Unidas (ONU) reconocen los
siguientes tipos de delitos informticos:
Fraudes cometidos mediante manipulacin de computadoras

Manipula
lacin de los datos de entrada
Daos o modificaciones de programas o datos com
mputarizados
Delincuente y Victima
Sujeto A
Activo
Sujeto P
Pasivo
Legislacin Na
Nacional
En los
ltimos aos se ha perfilado en el mbito internacional
un cierto con
nsenso en las valoraciones poltico-jurd
dicas de los
problemas deriv
rivados del mal uso que se hace de las comp
putadoras, lo
cual ha dado
o lugar a que, en algunos casos, se mo
odifiquen los
derechos penal
ales nacionales e internacionales.
La ONU
U seala que cuando el problema se eleva
a a la escena
internacional,

se magnifican

los

inconvenientes

y los

delitos

informticos se
e constituyen en una forma de crimen transn
snacional.