Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria Ciencia y Tecnologa

Instituto Universitario Tecnologa Agro-Industrial
Ext (Zona - Norte)

SEGURIDAD INFORMTICA

Ing. Mora Lisby.

San juan de Coln, junio de 2015

Repblica Bolivariana de Venezuela

Ministerio del Poder Popular para la Educacin Universitaria Ciencia y Tecnologa
Instituto Universitario Tecnologa Agro-Industrial
Ext (Zona - Norte)

POLTICAS
DE SEGURIDAD

Moncada Belkis
C.I 18.715.809
Turno: Maana
Seccin: A
Trayecto: IV
Trimestre: II

INTRODUCCIN

El descubrimiento ms importante del siglo XX ha sido sin duda la

computadora, que est provocando cambios en nuestra sociedad cuya
importancia hoy slo podemos intuir, y que los provocar an ms en el futuro.
En la actualidad, nuestro entorno est prcticamente controlado por la nueva
tecnologa, que a medida que transcurre el tiempo, avanzan sin lmites y en
ocasiones son utilizados incorrectamente provocando daos en el mismo sistema
en el que han sido creados.
Es indudable el crecimiento de la importancia que tiene el procesamiento de la
informacin en el funcionamiento de cualquier organizacin. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas para los sistemas de informacin.
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente
porque el costo de la seguridad total es muy alto. Por eso las empresas, en
general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser
hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un
sistema de seguridad muy acotado les impedira hacer ms negocios.
El trabajo que se presenta a continuacin, est enfocado a las Polticas de
Seguridad Informtica (PSI), que surgen como una herramienta organizacional
para concientizar a cada uno de los miembros de una organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a
la compaa desarrollarse y mantenerse en su sector de negocios.

Polticas de Seguridad

El trmino poltica de seguridad se suele definir como el conjunto de

requisitos definidos por los responsables directos o indirectos de un sistema que
indica en trminos generales qu est y qu no est permitido en el rea de
seguridad durante la operacin general de dicho sistema. Al tratarse de `trminos
generales, aplicables a situaciones o recursos muy diversos, suele ser necesario
refinar los requisitos de la poltica para convertirlos en indicaciones precisas de
qu es lo permitido y qu lo denegado en cierta parte de la operacin del sistema,
lo que se denomina poltica de aplicacin especfica.
Una poltica de seguridad informtica es una forma de comunicarse con los
usuarios, ya que las mismas establecen un canal formal de actuacin del personal,
en relacin con los recursos y servicios informticos de la organizacin.
No se puede considerar que una poltica de seguridad informtica es una
descripcin tcnica de mecanismos, ni una expresin legal que involucre
sanciones a conductas de los empleados, es ms bien una descripcin de los que
deseamos proteger y el porqu de ello, pues cada poltica de seguridad es una
invitacin a cada uno de sus miembros a reconocer la informacin como uno de
sus principales activos as como, un motor de intercambio y desarrollo en el
mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en
una posicin consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informticos.
Surgen

como

una

herramienta

organizacional

para

concientizar

los

colaboradores de la organizacin sobre la importancia y sensibilidad de la

informacin y servicios crticos que permiten a la empresa crecer y mantenerse
competitiva.

Implementacin de una poltica de seguridad

La implementacin de medidas de seguridad, es un proceso TcnicoAdministrativo. Como este proceso debe abarcar toda la organizacin, sin
exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae
aparejados varios tipos de problemas que afectan el funcionamiento de la
organizacin. La implementacin de un sistema de seguridad conlleva a
incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como
administrativamente.
Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad
respecto de los costos administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en las
nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de
otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar.

Evaluacin de riesgos

El anlisis de riesgos supone ms que el hecho de calcular la

posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluacin econmica del impacto de estos
sucesos. Este valor se podr utilizar para contrastar el costo de la
proteccin de la informacin en anlisis, versus el costo de volverla a
producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de

los problemas posibles. De esta forma se pueden priorizar los problemas y
su coste potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando

que con los costos en los que se incurren se obtengan beneficios efectivos.
Para esto se deber identificar los recursos (hardware, software,
informacin, personal, accesorios, etc.) con que se cuenta y las amenazas
a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de
forma personalizada para cada organizacin; pero se puede presuponer algunas
preguntas que ayudan en la identificacin de lo anteriormente expuesto
"Qu puede ir mal?"
"Con qu frecuencia puede ocurrir?
"Cules seran sus consecuencias?"
"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"
"Se est preparado para abrir las puertas del negocio sin sistemas, por un
da, una semana, cunto tiempo?"
"Cul es el costo de una hora sin procesar, un da, una semana...?"
"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la
competencia?"
"Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"Se tiene control sobre las operaciones de los distintos sistemas?"
"Cuantas personas dentro de la empresa, (sin considerar su honestidad),
estn en condiciones de inhibir el procesamiento de datos?"
"A qu se llama informacin confidencial y/o sensitiva?"
"La informacin confidencial y sensitiva permanece as en los sistemas?"
"La seguridad actual cubre los tipos de ataques existentes y est
preparada para adecuarse a los avances tecnolgicos esperados?"
"A quin se le permite usar que recurso?"

"Quin es el propietario del recurso? y quin es el usuario con mayores

privilegios sobre ese recurso?"
"Cules sern los privilegios y responsabilidades del Administrador vs. la
del usuario?"
"Cmo se actuar si la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del
tipo:

Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de informacin

Alto

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informticos

Medio

Equivocaciones

Medio

Accesos
no autorizados

Medio

Fraude

Bajo

Fuego

Muy Bajo

Terremotos

Muy Bajo

Estrategias de seguridad informtica

La seguridad informtica en las organizaciones actualmente es un factor
sumamente importante, que no debe descuidarse. Las estrategias que se sigan
deben estar alineadas a los procesos de negocio para asegurar la continuidad del

negocio. La seguridad informtica debe verse ms como un proceso que como

una alternativa tecnolgica dentro de las organizaciones.
Tiene su organizacin un proceso de seguridad informtica? Cuenta con
polticas y procedimientos definidos expresamente para la salvaguarda de los
sistemas de informacin? Cmo calificara el estado actual de la seguridad
informtica en su organizacin? Contar con un proceso de seguridad informtica
permitir trabajar de forma ordenada y consistente en la proteccin de los activos
informticos de la organizacin, identificar con oportunidad los riesgos o errores, y
actuar oportunamente para mitigarlos o tenerlos bajo control.
Por lo general, se traslada al usuario la responsabilidad de la seguridad de
los sistemas que utiliza, llmense la computadora asignada, las aplicaciones e
informacin que contiene sta, el gafete de identificacin, las aplicaciones e
informacin centrales a las que accesa, entre otros. Pero qu tanto sabe el
usuario acerca de cuestiones de seguridad informtica? Qu tanto puede operar
las

tecnologas de seguridad en uso? Si el usuario desconoce cmo opera un

antivirus, podr ejecutar otros mecanismos de seguridad?

Actualmente se dice que mnimo hay que mantener actualizados el sistema
operativo y el antivirus, y usar un firewall personal para proteger a la PC. Conoce
el usuario esto? Sabe cmo hacerlo? Sabe cmo actuar en caso de emergencia
informtica?
Si bien no suficientes dichas recomendaciones, creemos que lo ms
importante es mantener un proceso de seguridad informtica basado en la
concientizacin y educacin informtica del usuario, y en el uso de las tcnicas y
tecnologas disponibles para la proteccin de los activos informticos. No hay que
descuidar que aunque se estn protegiendo de forma directa los sistemas de
informacin, indirectamente se protege a la gente que trabaja en las
organizaciones y a la productividad de stas.

Para definir el proceso de seguridad debe considerarse:

Definir objetivos. Qu se quiere proteger. Con base en el
objetivo, misin y visin empresarial de la organizacin pueden
identificarse sistemas de aplicacin crtica
Administrar

riesgos.

Identificar

riesgos,

evaluarlos

administrarlos. Qu puede pasar si... el riesgo identificado se

materializa.

Definir la poltica de seguridad. Establecer las reglas de

actuacin ante los riesgos de seguridad y deben incluir los controles
preventivos, directivos y correctivos necesarios para el control de los
riesgos informticos.
Monitorear el proceso. Evaluar la efectividad del proceso,
haciendo auditoras internas y externas que permitan identificar con
oportunidad posibles problemas o riesgos, y corregir lo que sea
necesario.

Tendencias de la seguridad
Este ao marc el despegue de la tecnologa para vestir. Apple present su
reloj inteligente, el Apple Watch, y otras empresas, como Samsung, Sony, Asus,
LG y Motorola fortalecieron su oferta en esta nueva arista del mercado.

Estas tecnologas suponen nuevos riesgos de seguridad. Los cibercriminales

podran acceder a informacin detallada sobre los comportamientos de los
usuarios, sus signos vitales, los lugares que frecuentan, los ritmos de sueo y
ms.
Los dispositivos ms fciles de vulnerar sern aquellos con sistemas
operativos abiertos, como lo es Android, y con conexiones inalmbricas a internet.
En estos dispositivos se tiende a simplificar la interfaz al mximo, lo que
tambin facilita vulnerarlas, segn los expertos.

Troyanos bancarios
Los troyanos bancarios se encuentran en crecimiento. Los ms difundidos
son Zeus, Lohmys, Chepro y SpyEye. Con estos troyanos, se puede robar dinero
de las entidades bancarias.
Kaspersky Security Network detect ms de 500.000 usuarios afectados
por el troyano Zeus en el segundo trimestre de 2014.
Estos troyanos se han vuelto cada vez ms sofisticados y difciles de
detectar. Lo que es peor, se pueden comprar en tiendas virtuales. No solo son
usados por cibercriminales sino que se han convertido en herramientas fciles de
adquirir en almacenes ilegales de comercio electrnico.
La mayora de troyanos bancarios provienen de Europa del Este.

Webcam hacking
Saba que pueden secuestrar la cmara de su mvil o su webcam para
espiar todas sus actividades?
Cuando se intenta hackear la webcam de una persona y activarla sin permiso del
propietario, se habla de un camfecting.
El objetivo es observar a los usuarios, capturar imgenes de su intimidad
para, despus, extorsionarlos o manchar su nombre. La recomendacin es que
tape su webcam o cmara mvil cuando no la est usando.

Ataques a infraestructura crtica

Una de las mayores amenazas informticas son los ataques a
infraestructura crtica. Esto quiere decir, ataques a sistemas de control de servicios
pblicos, a sistemas de control de trfico, a redes de telecomunicaciones y a
sistemas de defensa nacional, entre otros.
El problema es que estos sistemas no suelen protegerse con robustos
modelos de seguridad. A veces utilizan sistemas operativos muy bsicos sin
proteccin alguna. La creacin de soluciones para eliminar estas vulnerabilidades
es una de las apuestas de las principales casas de seguridad informtica.

Programas maliciosos para mviles

Saba que el 98 por ciento de los mviles infectados utiliza sistema
operativo Android? Si en 2012 Kaspersky detect 2.385 programas malicioso para
mviles, en noviembre de 2013 esa cifra lleg a 104.000.

Cuando un mvil se infecta, el cibercriminal busca robar datos, espiar

informacin personal, secuestrar el mvil para enviar mensajes de texto, enviar
mensajes basura y atacar computadores desde los dispositivos mviles.

Delitos informticos
El delito informtico implica actividades criminales que en un primer
momento los pases han tratado de encuadrar en figurar tpicas de carcter
tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa,
sabotaje,

etctera.

Sin

embargo,

debe

destacarse

que

el

uso

de

las tcnicas informticas ha creado nuevas posibilidades del uso indebido de las
computadoras lo que ha propiciado a su vez la necesidad de regulacin por parte
del derecho.
A nivel internacional se considera que no existe una definicin propia del delito
informtico, sin embargo muchos han sido los esfuerzos de expertos que se han
ocupado del tema, y aun cuando no existe una definicin con carcter universal,
se han formulado conceptos funcionales atendiendo a realidades nacionales
concretas.