Facultad De Ingeniera

Carrera: Ingeniera Informtica Con nfasis En Redes Y Sistemas

Telemticos

Materia: Sistemas Operativos

Horario: Jueves 5:45pm 8:05pm

Estudiante:
Zaskya Yissellmitth Crdoba Delisser

8-711-2346

Profesor:
Roberto Elas Vergara Quintero

Charla # 1
Seguridad Informtica

Fecha De Entrega:
10 de julio de 2014

Introduccin

El Sistema operativo es normalmente solo una porcin del total de software

que corre en un sistema particular. Pero el Sistema Operativo controla el
acceso a los recursos del sistema. La seguridad de los Sistemas Operativos
es solo una pequea parte del problema total de la seguridad en los
sistemas de computacin, pero ste viene incrementndose en gran
medida. Hay muchas razones para que la seguridad de los Sistemas
Operativos reciba especial atencin hoy en da.
La evolucin de los sistemas de computacin, ha sido en las ltimas
dcadas de una magnitud asombrosa. Las computadoras se han tornado
ms accesibles, tambin se tiene un aumento en los riesgos vinculados con
la seguridad. Pero hay una cosa que se ha mantenido constante a travs de
todo este tiempo, y es que los sistemas digitales se han vuelto cada vez
ms complejos. Los microprocesadores se han vuelto ms complejos. Los
sistemas operativos se han vuelto ms complejos. Los ordenadores se han
vuelto ms complejos. Las redes se han vuelto ms complejas. Las redes
individuales se han combinado y han aumentado todava ms su
complejidad. Ejemplo claro de ello es Internet, la gran red de computadoras,
a medida que aumenta su complejidad va tornndose ms insegura.
Si tenemos en cuenta que todo software no est libre fallos, entonces un
software complejo es probable que falle y un porcentaje de estos fallos
afecte a la seguridad.
Tambin es importante mencionar que los sistemas complejos son
necesariamente modulares, ya que de otra manera no se podra manejar su
complejidad. Pero el aumento de la modularidad significa que la seguridad
disminuye porque falla a menudo donde dos mdulos se comunican.
La nica manera razonable de probar la seguridad de un sistema es realizar
evaluaciones de seguridad en l. Sin embargo, cuanto ms complejo es el
sistema, ms dura se vuelve la evaluacin de su seguridad. Un sistema ms
complejo tendr ms errores relacionados con la seguridad en su anlisis,
diseo y programacin. Y desgraciadamente, el nmero de errores y la
dificultad de evaluacin no crecen de acuerdo con la complejidad, crece
mucho ms rpido.
Cuanto ms complejo es un sistema, ms difcil es de entender. Hay toda
clase de puntos de vulnerabilidad -interface entre usuario y mquina,
interacciones del sistema- esto crece exponencialmente cuando no se
puede mantener el sistema completo en la cabeza.
Cuanto ms complejo es un sistema, ms duro es hacer este tipo de
anlisis. Todo es ms complicado: su anlisis, su diseo, su programacin y
su uso.
Los sistemas operativos no escapan a esta realidad y se tornan cada vez
ms complejos. Un ejemplo es Microsoft Windows, que cuando se public en
1992 (Versin 3.1) tena alrededor de 3 millones de lneas de cdigo;
Windows 95 alcanz a los 15 millones y Windows 98 tiene 18 millones;
Windows NT lanzado en 1992 tena 4 millones de lneas de cdigo; Windows
NT 4.0 tiene 16.5 millones; Windows 2000 tiene entre 35 y 80 millones de
lneas.
Como punto de comparacin tenemos a Solaris que mantuvo su cdigo
fuente en aproximadamente 7 a 8 millones de lneas y Linux (Incluso con la
suma del entorno grfico X Windows y de Apache) que todava se mantiene
por debajo de los 5 millones de lneas.
En el pasado la seguridad fsica fue suficiente para resguardar un
computadora contra ataques de intrusos, actualmente controles sofisticados
deben instrumentarse para prevenir intentos de login desde terminales
remotas y sobre otras redes de comunicacin.

Por ltimo, cabe destacar que el nivel de seguridad apropiado para un

sistema en particular depende del valor de los recursos que se aseguran.

Por qu es importante la seguridad en los sistemas de

computadora?

Mantener la seguridad de tu computadora en lnea es importante por varias

razones. Primeramente, necesitas protegerte de ataques que podran daar
o destruir datos personales, o permitirles a piratas informticos acceder a
cuentas en lnea. Sin embargo, un sistema comprometido es peligroso no
slo para su propietario, y la carencia de seguridad puede llevar a ataques a
otros. Unas buenas prcticas de seguridad no slo te benefician, a los otros
usuarios tambin.
Datos financieros
Una de las razones ms importantes para tener una buena seguridad en la
computadora es por las finanzas. Los usuarios acceden a sus cuentas
bancarias y de tarjetas de crdito, y compran artculos, servicios e incluso
propiedades en lnea. Un pirata informtico que gane acceso a cualquiera de
estas cuentas puede causarle al propietario problemas financieros severos y
muchos esfuerzos de recuperacin. Una buena seguridad computacional
puede ayudar a proteger estas cuentas vitales.
Infiltracin y fraude
Un pirata informtico que gane control de tu sistema puede hacerse pasar
por ti. Si tienes una red local configurada con varias computadoras, acceder
a una mquina puede darle al intruso acceso a toda la red. Los piratas
informticos tambin usan a los sistemas comprometidos para esparcir virus
y otros malware a amigos del afectado a travs de correos electrnicos
enviados a los contactos en su lista de direcciones. Los usuarios son ms
propensos a ejecutar programas infectados que parecen ser enviados por
alguien que conocen, as que ganar acceso a tu sistema puede ser una
manera de atacar a tus amigos y familia.

Control y correo no deseado

Los piratas informticos comnmente instalan programas que les permiten
volver a los sistemas comprometidos cuando quieran, o controlar el sistema
remotamente. Un uso comn de sistemas infiltrados es enviar correos
electrnicos no deseados, permitindole al pirata llenar redes con publicidad
sin tomar la culpa.
Interrumpir comunicaciones
Otro uso de los sistemas computacionales infiltrados es a lo que se llama
computadoras "zombi" para lanzar ataques de denegacin de servicio. Un
pirata informtico compromete a un gran nmero de sistemas y despus les
instruye que todos inunden a un sitio con peticiones de comunicacin. Esto
puede abrumar la habilidad del objetivo para responder a los usuarios
legtimos, y puede noquear efectivamente al sitio por la duracin del
ataque. Mantener una buena seguridad del sistema puede evitar que tu
computadora se convierta en otra herramienta del arsenal de un pirata
informtico.
Seguridad Interna y Externa
La seguridad interna est relacionada a los controles incorporados al
hardware y al Sistema Operativo para asegurar los recursos del sistema.
La seguridad externa est compuesta por la seguridad fsica y la seguridad
operacional. La seguridad fsica incluye la proteccin contra desastres
(como inundaciones, incendios, etc.) y proteccin contra intrusos.
Seguridad Operacional
La seguridad operacional consiste en varias polticas y procedimientos
implementados por el administrador del sistema de computacin.
Mediante la autorizacin se determina qu acceso se permite y a qu
entidad.
Como punto crtico se destaca la seleccin del personal y la asignacin del
mismo. Generalmente se dividen responsabilidades, de esta manera un
operario no debe conocer la totalidad del sistema para cumplir con esas
responsabilidades.
Se deben instrumentar diversos controles, y el personal debe saber de la
existencia de dichos controles, pero desconocer cules son, para reducir la
probabilidad de que intrusos puedan evadirlos.
Proteccin: Metas de la proteccin
Existen varios mecanismos que pueden usarse para asegurar los archivos,
segmentos de memoria, CPU, y otros recursos administrados por el Sistema
Operativo.
Por ejemplo, el direccionamiento de memoria asegura que unos procesos
puedan ejecutarse solo dentro de sus propios espacios de direccin. El timer
asegura que los procesos no obtengan el control de la CPU en forma
indefinida.
La proteccin se refiere a los mecanismos para controlar el acceso de
programas, procesos, o usuarios a los recursos definidos por un sistema de

computacin. Seguridad es la serie de problemas relativos a asegurar la

integridad del sistema y sus datos.
Hay importantes razones para proveer proteccin. La ms obvia es la
necesidad de prevenirse de violaciones intencionales de acceso por un
usuario. Otras de importancia son, la necesidad de asegurar que cada
componente de un programa, use solo los recursos del sistema de acuerdo
con las polticas fijadas para el uso de esos recursos.
Un recurso desprotegido no puede defenderse contra el uso no autorizado o
de un usuario incompetente. Los sistemas orientados a la proteccin
proveen maneras de distinguir entre uso autorizado y desautorizado.
Mecanismos y Polticas
El rol de la proteccin es proveer un mecanismo para el fortalecimiento de
las polticas que gobiernan el uso de recursos. Tales polticas se pueden
establecer de varias maneras, algunas en el diseo del sistema y otras son
formuladas por el administrador del sistema. Otras pueden ser definidas por
los usuarios individuales para proteger sus propios archivos y programas.
Las polticas son diversas, dependen de la aplicacin y pueden estar sujetas
a cambios a lo largo del tiempo.
Un principio importante es la separacin de polticas de los mecanismos.
Los mecanismos determinan cmo algo se har. Las polticas deciden que
se har.
La separacin es importante para la flexibilidad del sistema.
Vigilancia
La vigilancia se compone de la verificacin y la auditoria del sistema, y la
identificacin de usuarios. En la vigilancia se utilizan sistemas muy
sofisticados, a tal punto, que a veces pueden surgir problemas en la
autentificacin generando un rechazo al usuario legtimo.
Monitoreo de amenazas
Una manera de reducir los riesgos de seguridad es tener rutinas de control
en el sistema operativo para permitir o no el acceso a un usuario. Estas
rutinas interactan con los programas de usuario y con los archivos del
sistema. De esta manera, cuando un usuario desea realizar una operacin
con un archivo, las rutinas determinan si se niega o no el acceso y en caso
de que el mismo fuera permitido devuelven los resultados del proceso.
Adems las rutinas de control permiten detectar los intentos de penetracin
al sistema y advertir en consecuencia.
Amplificacin
Los programas de vigilancia interactan con los programas de usuario y los
archivos del sistema. A veces estos programas requieren de ms derechos
de acceso de los que posee el usuario para realizar una operacin
determinada. Esto se conoce como amplificacin.
Proteccin por contrasea

Existen tres clases principalmente de elementos que permiten establecer la

identidad de un usuario:

Algo sobre las personas. Esto incluye huellas digitales,

reconocimiento de voz, fotografa y firmas.
Algo posedo por la persona. Esto incluye distintivos, tarjetas de
identificacin y llaves.
Algo conocido por el usuario. Esto incluye contraseas, nombre de la
suegra, combinacin de cerraduras. El esquema de autentificacin
ms comn es la simple proteccin por contrasea. El usuario elige
una palabra que se le viene a la memoria, y la tipea de inmediato
para ganar admisin al sistema de computacin.
Muchos sistemas no muestran la contrasea tal como ha sido
ingresada (mostrar asteriscos en lugar de letras).
La proteccin por contrasea es un esquema dbil. En el sentido de
que los usuarios tienden a elegir contraseas fciles de recordar.
Entonces alguien que conoce al usuario podra intentar ingresar al
sistema usando nombres de gente que la persona conoce. Esto puede
resultar en una violacin de la seguridad por los intentos repetitivos
de ingreso.
Algunos sistemas usan contraseas cortas lo que facilita la
conformacin rpida de la lista de todas las posibles combinaciones.
Los sistemas actuales utilizan contraseas largas para frenar tales
intentos de penetracin.

Auditora
La auditora normalmente es realizada en sistemas manuales despus del
hecho. Los auditores son llamados peridicamente para examinar las
transacciones recientes de una organizacin y para determinar si ha
ocurrido actividad fraudulenta.
El registro de auditoria es un registro permanente de acontecimientos de
importancia que ocurren en el sistema de computacin. Se produce
automticamente cada vez que ocurren los eventos y es almacenado en un
rea protegida del sistema.
Las auditorias peridicas prestan atencin regularmente a problemas de
seguridad; las auditoras al azar ayudan a detectar intrusos.
Controles de acceso
Los derechos de acceso definen qu acceso tienen los usuarios sobre los
objetos. Los objetos son entidades que contienen informacin, pueden ser
fsicos o abstractos. Los sujetos acceden a los objetos, y pueden ser
usuarios, procesos, programas u otras entidades.
Los derechos de accesos ms comunes son: acceso de lectura, acceso de
escritura y acceso de ejecucin. Estos derechos pueden implementarse
usando una matriz de control de acceso.
Matriz de acceso

El modelo de proteccin del sistema se puede ver en forma abstracta como

una matriz, la matriz de acceso.
Las filas de la matriz representan dominios (o sujetos) y las columnas
representan objetos. Las entradas de la matriz consisten en una serie de
derechos de acceso. Por ejemplo, la entrada access define el conjunto de
operaciones que un proceso, ejecutndose en el dominio D, puede invocar
sobre un objeto F.

Objeto
Dominio

F1

F2

F3

Lector de
tarjeta

Impresora

Read

Print

D1
Read

Read

D2

D3

D4

Read

Read Write

Execute

Read write

Polticas
El esquema de matriz de acceso provee el mecanismo para especificar una
variedad de polticas. Se debe asegurar que un proceso que se ejecuta en el
dominio D puede acceder slo a aquellos objetos especificados en la fila D.
Las decisiones de poltica concernientes a la proteccin pueden
implementarse por la matriz de acceso. Las decisiones polticas definen qu
derechos deben estar incluidos en las entradas. A veces decide el dominio
de cada proceso ejecutable. Esta ltima poltica es generalmente decidida
por el sistema operativo.
Los usuarios normalmente deciden el contenido de las entradas de la matriz
de acceso. Cuando un usuario crea un nuevo objeto F, la columna F es
agregada a la matriz de acceso con las entradas de inicializacin
apropiadas.

Criptografa
La criptografa es usada para la transformacin de datos para hacerlos
incomprensibles para todos, excepto para el usuario destinatario. El
problema de la privacidad tiene relacin con la prevencin de la no
autorizacin para la extraccin de informacin desde un canal de
comunicacin. Los problemas de autentificacin estn relacionados con la
prevencin contra intrusos que intentan modificar una transmisin o
insertar falsos datos dentro de una transmisin. Los problemas de disputa

estn relacionados con la providencia de reserva de un mensaje con prueba

legal de la identidad enviada.
Sistema de privacidad criptogrfico
En un sistema de privacidad criptogrfico, el remitente desea transmitir
cierto mensaje no cifrado a un receptor legtimo, la transmisin ocurre sobre
un canal inseguro asume ser monitoreado o grabado en cinta por un intruso.
El remitente pasa el texto a una unidad de encriptacin que transforma el
texto a un texto cifrado o criptograma; el mismo no es entendible por el
intruso. El mensaje es transmitido entonces, sobre un canal seguro. Al
finalizar la recepcin el texto cifrado pasa a una unidad de descripcin que
regenera el texto.
Criptoanlisis
Criptoanlisis es el proceso de intentar regenerar el mensaje desde el texto
cifrado pero sin conocimiento de las claves de encriptacin. Esta es la tarea
normal de los intrusos. Si el intruso o criptoanalista no puede determinar un
mensaje desde el texto cifrado (sin la clave), entonces el sistema de
criptografiado es seguro.

Mtodos y tcnicas de encriptacin

Cesar

Est tcnica consista simplemente en sustituir una letra por la situada tres
lugares ms all en el alfabeto esto es la A se transformaba en D, la B en E
y as sucesivamente hasta que la Z se converta en C.

Rumsfeld

Este mtodo utiliza ms de un alfabeto cifrado para poner en clave el

mensaje y que se cambia de uno a otro segn se pasa de una letra del texto
en claro a otra.
Es decir que deben tenerse un conjunto de alfabetos cifrados y una forma
de hacer corresponder cada letra del texto original con uno de ellos.

RSA

En los sistemas tradicionales de cifrado debe comunicarse una clave entre

el emisor y el receptor del mensaje, el problema aqu es encontrar un canal
seguro para transmitir dicha clave. Este problema viene a resolverse en los
sistemas de clave pblica la clave de cifrado, pues un tiempo enormemente
de ordenador es necesario para encontrar una transformacin de descifrado
a partir de la de cifrado.

DES

DES fue desarrollado por IBM a mediados de los setenta. Aunque tiene un
buen diseo, su tamao de clave de 56 bits es demasiado pequeo para los
patrones de hoy.
DES (Data Encryption Standard) es un mecanismo de encriptacin de datos
de uso generalizado. Hay muchas implementaciones de hardware y software
de DES. Este transforma la informacin de texto llano en datos encriptados
llamados texto cifrado mediante el uso de un algoritmo especial y valor
semilla llamado clave. Si el receptor conoce la clave, podr utilizarla para
convertir el texto cifrado en los datos originales. Es un mecanismo de
encriptado simtrico.

Chaffing & Winnowing

Esta tcnica propuesta por Donald Rivest. Es ms un intento de esquivar las

restricciones a la criptografa en EE.UU. (y otros pases) que una propuesta
razonable debido al tamao de los mensajes resultantes.
El trmino ingls winnowing se tomar como aventar es decir separar el
grano de la paja y el trmino chaffing por el castellano empajar (cubrir o
rellenar con paja). La idea bsica consiste en mezclar la informacin real
(grano) con otra de relleno (paja) de modo que sea imposible separarlas
excepto para el destinatario.

SKIPJACK

Este algoritmo fue descalificado por el gobierno de Estados Unidos. Algunos

detalles sobre el algoritmo en s y sus aplicaciones en la prctica a los chips
Clipper y Capstone.
Skipjack fue desarrollado por la NSA inicialmente para los chips Clipper y
Capstone. Su diseo comenz en 1985 y se complet su evaluacin en
1990.

BFIDO

El mtodo Bfido es un cifrado fraccionario. Es decir que cada letra viene

representada por una o ms letras o smbolos, y donde se trabaja con estos
smbolos ms que con las letras mismas.

WLBYKYAAOTB

Este mtodo altera la frecuencia de los caracteres a diferencia de lo que

ocurre por ejemplo con los cifrados monoalfabticos. Admite algunas
variaciones como por ejemplo dividir la lista en 3,4,..., n partes.

Cifrado exponencial

Es un sistema basado en la exponenciacin modular, debido Pohlig y

Hellman (1978). Este mtodo es resistente al criptoanlisis.

Blowfish

Este algoritmo realiza un cifrado simple en 16 ciclos, con un tamao de

bloque de 64 bytes para un total de 448 bits. Aunque hay una fase compleja

de la inicializacin. El cifrado de datos es muy eficiente en los

microprocesadores grandes.

Sistemas de clave pblica

Un sistema criptogrfico de clave pblica es tan seguro como su clave. La
distribucin de las claves debe ser manejada sobre canales altamente
seguros. Esto suele consumir mucho tiempo. A veces, tales canales de
seguridad no estn disponibles.
Los sistemas de clave pblica no tienen tal problema en la distribucin de la
clave. En el sistema criptogrfico convencional el cifrado y descifrado estn
ntimamente relacionados. Estos sistemas usan una clave encriptada, E, y
una clave descifrado, D, de manera que no es computacionalmente viable
(dentro de un tiempo razonable) determinar E a partir de D.
De esta forma, E puede ser hecha pblica sin comprometer la seguridad de
D. Esto simplifica el problema de la distribucin de la clave. Cada usuario
genera una clave de cifrado y una de descifrado, la clave de cifrado est
hecha pblica y la clave cifrada se mantiene secreta. As cualquiera puede
enviar un mensaje encriptado a un usuario particular (porque la clave de
cifrado es pblica), pero solo aquellos usuarios pueden descifrar el mensaje
(porque la clave de descifrado es privada). E es llamada una clave pblica y
D es llamada una clave privada.
Firmas digitales
Para que una firma digital sea aceptada como sustituta de una firma escrita
debe ser:

Fcil de autentificar (reconocer) por cualquiera.

Producible nicamente por su autor.
En los cripto-sistemas de clave pblica el procedimiento es:
El remitente usa la clave privada para crear un mensaje firmado.
El receptor:
o
Usa la clave pblica del remitente para descifrar el
mensaje
o
Guarda el mensaje firmado para usarlo en caso de
disputas

Medidas bsicas de seguridad

En general se puede afirmar que si la llave privada solo es conocida y
accesible por el usuario A, sera prcticamente imposible, para otro usuario
B, falsificar una firma digital del usuario A, o abrir un sobre digital dirigido al
usuario A, utilizando mtodos matemticos. El atacante de un sistema va a
centrar su esfuerzo en encontrar debilidades en la implementacin del
software o hardware de seguridad. A continuacin se mencionan los dos
puntos de ataque ms comunes:

Generacin de nmeros aleatorios:

La generacin de las llaves utiliza mtodos pseudoaleatorios por lo
que es muy importante que un sujeto B no puede replicar el

procedimiento que sigui un usuario A cuando este gener sus

llaves.
Ataque a la Llave Privada:
La llave privada, que normalmente reside en un archivo debe
mantenerse encriptada con un algoritmo simtrico, utilizando como
llave una contrasea. La contrasea debe ser elegida por el usuario
en forma tal que resulte impredecible para quien intente adivinarlo
por asociacin de ideas. La encriptacin por contrasea es
normalmente presa de ataques denominados de diccionario que
buscan exhaustivamente entre un conjunto de palabras formadas por
letras del abecedario. Otro ataque ms sutil se concentra en intentar
por prueba y error las posibles contraseas que un sujeto utiliza en
base a acciones de ideas, por ejemplo, su apodo, el nombre de su
esposa, su apodo y fecha de nacimiento, etc.
La llave privada solo se debe de encontrar desencriptada cuando est
en la memoria de la computadora y mientras el programa de
seguridad est funcionando. Si el sujeto se encuentra en un entorno
de cmputo en donde sea posible que un atacante realice un vaciado
a disco del estado de la memoria del programa de seguridad,
entonces la llave privada est en peligro. Si se est en un entorno de
cmputo en donde sea posible que un atacante intercepte el teclado
entonces, su llave privada est en peligro. Si se est en un entorno de
cmputo en donde sea posible sustituir el programa de seguridad por
uno falso que capture su contrasea y su llave privada encriptada
entonces, su llave privada est en peligro.
Las formas ms seguras de evitar el robo de llaves privadas es de
firmar y abrir sobres en una computadora aislada fsica y
virtualmente del mundo exterior. A dicha computadora deben de
entrar mensajes a firmar y deben de salir mensajes firmados, nunca
debe de salir ni exponer la llave privada. Este es el caso de por
ejemplo, los Agentes Certificadores, Autoridades Certificadoras y en
general aplicaciones altamente sensitivas.

Consideraciones Inmediatas para la Auditora de la Seguridad

A continuacin se citarn las consideraciones inmediatas que se
deben tener para elaborar la evaluacin de la seguridad, pero luego
se tratarn las reas especficas con mucho mayor detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software

que puede ser susceptible a:

tiempo de mquina para uso ajeno

copia de programas de la organizacin para fines de

comercializacin (copia pirata)

acceso directo o telefnico a bases de datos con fines

fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma

clara los accesos a las computadoras de acuerdo a:

nivel de seguridad de acceso

empleo de las claves de acceso

evaluar la seguridad contemplando la relacin costo, ya que a

mayor tecnologa de acceso mayor costo

Cantidad y Tipo de Informacin

El tipo y la cantidad de informacin que se introduce en las

computadoras debe considerarse como un factor de alto riesgo ya
que podran producir que:

la informacin est en manos de algunas personas

la alta dependencia en caso de prdida de datos

Control de Programacin

Se debe tener conocer que el delito ms comn est presente en el

momento de la programacin, ya que puede ser cometido
intencionalmente o no, para lo cual se debe controlar que:

los programas no contengan bombas lgicas.

los programas deben contar con fuentes y sus ltimas

actualizaciones.

los programas deben contar con documentacin tcnica,

operativa y de emergencia.

Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de
las personas que estn ligadas al sistema de informacin de forma
directa y se deber contemplar principalmente:

la dependencia del sistema a nivel operativo y tcnico

evaluacin del grado de capacitacin operativa y tcnica

contemplar la cantidad de personas con acceso operativo y

administrativo

conocer la capacitacin del personal en situaciones de

emergencia

Medios de Control
Se debe contemplar la existencia de medios de control para conocer
cuando se produce un cambio o un fraude en el sistema.
Tambin se debe observar con detalle el sistema ya que podra
generar indicadores que pueden actuar como elementos de auditora
inmediata, aunque esta no sea una especificacin del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el carcter del personal
relacionado con el sistema, ya que pueden surgir:

malos manejos de administracin

malos manejos por negligencia

malos manejos por ataques deliberados

Instalaciones
Es muy importante no olvidar las instalaciones fsicas y de servicios,
que significan un alto grado de riesgo. Para lo cual se debe verificar:

la continuidad del flujo elctrico

efectos del flujo elctrico sobre el software y hardware

evaluar las conexiones con los sistemas elctrico, telefnico,

cable, etc.

verificar si existen un diseo, especificacin tcnica, manual o

algn tipo de documentacin sobre las instalaciones

Control de Residuos
Observar como se maneja la basura de los departamentos de mayor
importancia, donde se almacena y quien la maneja.

Establecer las reas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la

organizacin sobre el riesgo que corre la informacin y hacerles
comprender que la seguridad es parte de su trabajo. Para esto se

deben conocer los principales riesgos que acechan a la funcin

informtica y los medios de prevencin que se deben tener, para lo
cual se debe:

Establecer el Costo del Sistema de Seguridad (Anlisis

Costo vs Beneficio)

Este estudio se realiza considerando el costo que se presenta cuando

se pierde la informacin vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:

clasificar la instalacin en trminos de riesgo (alto, mediano,

pequeo)

identificar las aplicaciones que tengan alto riesgo

cuantificar el impacto en el caso de suspensin del servicio

aquellas aplicaciones con un alto riesgo

formular las medidas de seguridad necesarias dependiendo del

nivel de seguridad que se requiera

la justificacin del costo de implantar las medidas de seguridad

Costo x perdida Costo de informacin sistema de

seguridad

Cada uno de estos puntos es de mucha importancia por lo que se

sugiere clasificar estos elementos en reas de riesgo que pueden
ser:

Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de
informacin, para lo cual es importante considerar responder las
siguientes cuatro preguntas:

1. Qu sucedera si no se puede utilizar el sistema?

Si el sistema depende de la aplicacin por completo se debe definir el
nivel de riesgo.
Por ejemplo citemos:

Un sistema de reservacin de boletos que dependa por

completo de un sistema computarizado, es un sistema de alto
riesgo.

Una lista de clientes ser de menor riesgo.

Un sistema de contabilidad fuera del tiempo de balance ser de

mucho menor riesgo.

2. Qu consecuencias traera si es que no se pudiera acceder

al sistema?
Al considerar esta pregunta se debe cuidar la presencia de manuales
de respaldo para emergencias o algn modo de cmo se solucion
este problema en el pasado.
3. Existe un procedimiento alternativo y que problemas
ocasionara?
Se debe verificar si el sistema es nico o es que existe otro sistema
tambin computarizado de apoyo menor. Ejemplo: S el sistema
principal est diseado para trabajar en red sea tipo WAN quiz haya
un soporte de apoyo menor como una red LAN o monousuario. En el
caso de un sistema de facturacin en red, si esta cae, quiz pudiese
trabajar en forma distribuida con un mdulo menor monousuario y
que tenga la capacidad de que al levantarse la red existan mtodos
de actualizacin y verificacin automtica.
4. Qu se ha hecho en casos de emergencia hasta ahora?
Para responder esta pregunta se debe considerar al menos las
siguientes situaciones, donde se debe rescatar los acontecimientos,
las consecuencias y las soluciones tomadas, considerando:

Que exista un sistema paralelo al menos manual

Si hay sistemas duplicados en las reas crticas (tarjetas de red,

teclados, monitores, servidores, unidades de disco, aire
acondicionado).

Si hay sistemas de energa ininterrumpida UPS.

Si las instalaciones elctricas, telefnicas y de red son

adecuadas (se debe contar con el criterio de un experto).

Si se cuenta con un mtodo de respaldo y su manual

administrativo.

Consideracin y Cuantificacin del Riesgo a Nivel Institucional

(importante)
Ahora que se han establecido los riesgos dentro la organizacin, se
debe evaluar su impacto a nivel institucional, para lo cual se debe:

Clasificar la informacin y los programas de soporte en cuanto a

su disponibilidad y recuperacin.

Identificar la informacin que tenga un alto costo financiero en

caso de prdida o pueda tener impacto a nivel ejecutivo o
gerencial.

Determinar la informacin que tenga un papel de prioridad en la

organizacin a tal punto que no pueda sobrevivir sin ella.

Una vez determinada esta informacin se la debe CUANTIFICAR, para

lo cual se debe efectuar entrevistas con los altos niveles
administrativos que sean afectados por la suspensin en el
procesamiento y que cuantifiquen el impacto que podran causar
estas situaciones.
Disposiciones que Acompaan la Seguridad
De acuerdo a experiencias pasadas, y a la mejor conveniencia de la
organizacin, desde el punto de vista de seguridad, contar con un
conjunto de disposiciones o cursos de accin para llevarse a cabo en
caso de presentarse situaciones de riesgo. Para lo cual se debe
considerar:

Obtener una especificacin de las aplicaciones, los programas y

archivos de datos.

Medidas en caso de desastre como prdida total de datos,

abuso y los planes necesarios para cada caso.

Prioridades en cuanto a acciones de seguridad de corto y largo

plazo.

Verificar el tipo de acceso que tiene las diferentes personas de

la organizacin, cuidar que los programadores no cuenten con
acceso a la seccin de operacin ni viceversa.

Que los operadores no sean los nicos en resolver los

problemas que se presentan.

Higiene
Otro aspecto que parece de menor importancia es el de orden e
higiene, que debe observarse con mucho cuidado en las reas
involucradas de la organizacin (centro de cmputo y dems
dependencias), pues esto ayudar a detectar problemas de disciplina
y posibles fallas en la seguridad.
Tambin podemos ver que la higiene y el orden son factores que
elevan la moral del recurso humano, evita la acumulacin de
desperdicios y limita las posibilidades de accidentes. (ejm. del
rastrillo)
Adems es un factor que puede perjudicar el desarrollo del trabajo
tanto a nivel formal como informal.
Cultura Personal
Cuando hablamos de informacin, su riesgo y su seguridad, siempre
se debe considerar al elemento humano, ya que podra definir la
existencia o no de los ms altos grados de riesgo. Por lo cual es muy
importante considerar la idiosincrasia del personal, al menos de los
cargos de mayor dependencia o riesgo.
Consideraciones para Elaborar un Sistema de Seguridad
Integral
Como hablamos de realizar la evaluacin de la seguridad es
importante tambin conocer como desarrollar y ejecutar el implantar
un sistema de seguridad.
Desarrollar un sistema de seguridad significa: "planear, organizar
coordinar dirigir y controlar las actividades relacionadas a mantener y
garantizar la integridad fsica de los recursos implicados en la funcin
informtica, as como el resguardo de los activos de la empresa."
Por lo cual podemos ver las consideraciones de un sistema de integral
de seguridad.
Sistema Integral de Seguridad
Un sistema integral debe contemplar:

Definir elementos administrativos

Definir polticas de seguridad

A nivel departamental y a nivel institucional

Organizar y dividir las responsabilidades

Contemplar la seguridad fsica contra catstrofes (incendios,

terremotos, inundaciones, etc.)

Definir prcticas de seguridad para el personal:

Plan de emergencia (plan de evacuacin, uso de recursos de

emergencia como extinguidores.

Nmeros telefnicos de emergencia

Definir el tipo de plizas de seguros

Definir elementos tcnicos de procedimientos

Definir las necesidades de sistemas de seguridad para:

Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y
archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas
(simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
o Poltica de destruccin de basura copias, fotocopias, etc.
o Consideracin de las normas ISO 14000

Etapas para Implementar un Sistema de Seguridad

Para dotar de medios necesarios para elaborar su sistema de
seguridad se debe considerar los siguientes puntos:

Sensibilizar a los ejecutivos de la organizacin en torno al tema

de seguridad.

Se debe realizar un diagnstico de la situacin de riesgo y

seguridad de la informacin en la organizacin a nivel software,
hardware, recursos humanos, y ambientales.

Elaborar un plan para un programa de seguridad. El plan debe

elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo)

Un plan de seguridad para un sistema de seguridad integral debe
contemplar:

El plan de seguridad debe asegurar la integridad y exactitud de

los datos

Debe permitir identificar la informacin que es confidencial

Debe contemplar reas de uso exclusivo

Debe proteger y conservar los activos de desastres provocados

por la mano del hombre y los actos abiertamente hostiles

Debe asegurar la capacidad de la organizacin para sobrevivir

accidentes

Debe proteger a los empleados contra tentaciones o sospechas

innecesarias

Debe contemplar la administracin contra acusaciones por

imprudencia

Un punto de partida ser conocer como ser la seguridad, de acuerdo

a la siguiente ecuacin.
Riesgo no lleva a tomar Medidas preventivas y correctivas
Dnde?
Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc)
Medidas (polticas, sistemas de seguridad, planes de emergencia,
plan de resguardo, seguridad de personal, etc)
Consideraciones para con el Personal
Es de gran importancia la elaboracin del plan considerando el
personal, pues se debe llevar a una conciencia para obtener una

autoevaluacin de su comportamiento con respecto al sistema, que

lleve a la persona a:

Asumir riesgos

Cumplir promesas

Innovar

Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar
Se debe desarrollar mtodos de participacin reflexionando sobre lo
que significa la seguridad y el riesgo, as como su impacto a nivel
empresarial, de cargo e individual.
Capacitacin General
En un principio a los ejecutivos con el fin de que conozcan y
entiendan la relacin entre seguridad, riesgo y la informacin, y su
impacto en la empresa. El objetivo de este punto es que se podrn
detectar las debilidades y potencialidades de la organizacin frente al
riesgo.
Este proceso incluye como prctica necesaria la implantacin la
ejecucin de planes de contingencia y la simulacin de posibles
delitos.
Capacitacin de Tcnicos
Se debe formar tcnicos encargados de mantener la seguridad como
parte de su trabajo y que est capacitado para capacitar a otras
personas en lo que es la ejecucin de medidas preventivas y
correctivas.
tica y Cultura
Se debe establecer un mtodo de educacin estimulando el cultivo de
elevados principios morales, que tengan repercusin a nivel personal
e institucional.
De ser posible realizar conferencias peridicas sobre: doctrina,
familia, educacin sexual, relaciones humanas, etc.
Etapas para Implantar un Sistema de Seguridad en Marcha

Para hacer que el plan entre en vigor y los elementos empiecen a

funcionar y se observen y acepten las nuevas instituciones, leyes y
costumbres del nuevo sistema de seguridad se deben seguir los
siguiente 8 pasos:
1. Introducir el tema de seguridad en la visin de la empresa.
2. Definir los procesos de flujo de informacin y sus riesgos en
cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque
global.
4. Designar y capacitar supervisores de rea.
5. Definir y trabajar sobre todo las reas donde se pueden lograr
mejoras relativamente rpidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las reas de mayor riesgo corporativo y
trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos bsicos de
seguridad y riesgo para el manejo del software, hardware y con
respecto a la seguridad fsica.
Beneficios de un Sistema de Seguridad
Los beneficios de un sistema de seguridad bien elaborado son
inmediatos, ya que el la organizacin trabajar sobre una plataforma
confiable, que se refleja en los siguientes puntos:

Aumento de la productividad.

Aumento de la motivacin del personal.

Compromiso con la misin de la compaa.

Mejora de las relaciones laborales.

Ayuda a formar equipos competentes.

Mejora de los climas laborales para los RR.HH.

Cmo distinguir entre un hacker y un cracker?

A menudo, se utiliza el trmino hacker para referirse a "piratas
informticos", es decir, aquellos que con conocimientos de informtica
persiguen objetivos malignos, como robos de contraseas de tarjetas de
crdito o introduccin de virus en masa. No obstante, la verdadera
definicin de hacker dista mucho de estas caractersticas, que en cambio
s corresponden a los conocidos como crackers. Veamos cules son las
diferencias reales entre ambos conceptos.
Qu es un hacker?
Un hacker, originalmente, se describe como una persona amante de los
ordenadores con conocimientos altos en una o ms reas de la ciencia de la
informtica, especialmente en seguridad y programacin. En definitiva, se
trata de usuarios con conocimientos muy avanzados en el funcionamiento
interno de los ordenadores y redes informticas.
Pero, qu hace exactamente un hacker?
Estos usuarios suelen ser muchas veces aficionados obsesionados con la
seguridad en las redes, y tratan de averiguar de qu forma se podra
acceder a una red cerrada para posteriormente arreglar ese error del
sistema. Un hacker tambin puede desarrollar soluciones contra virus
informticos y programas que distribuye libremente, y ama la informtica lo
suficiente como para formarse da a da en este arte, sin buscar ningn
beneficio secundario u oculto que no sea la satisfaccin personal.
A diferencia de los crackers, un hacker pertenece a una comunidad mundial
que no oculta su actividad y que se ayuda mutuamente cuando hay
necesidad, por ejemplo, a travs de foros de Internet o eventos sociales
programados.
Qu es un cracker?
Muy al contrario de los hackers, los crackers son lo opuesto a los primeros:
sujetos con conocimientos (no siempre altos) de redes e informtica que
persiguen objetivos ilegales, como el robo de contraseas, destrozar la
seguridad de una red domstica o esparcir un virus informtico a un gran
nmero de computadoras.
Los crackers pueden hacer todo su trabajo buscando tanto recompensas
econmicas (sustraccin de dinero de tarjetas de crdito, estafas online...)
como el placer de creerse superiores al resto de la humanidad, o incluso por
morbo; un ejemplo sera infestar con un virus los ordenadores de una
universidad determinada.
El error de conceptos en la opinin pblica
Varios escndalos mundiales en los aos 80 y 90 provocaron una inmerecida
opinin pblica entorno a la cultura hacker: cada vez que se detena a algn
cracker que haba infestado miles de ordenadores personales o accedido a

documentos gubernamentales "top-secret", los medios de comunicacin se

referan a ellos como hackers, y no como "crackers", que es en realidad lo
que eran y siguen siendo.
En nuestras manos est la oportunidad de hacer cambiar este gran detalle,
y podemos empezar utilizando correctamente cada trmino al describir una
persona que ha cometido un claro delito, a por el contrario, otra que
simplemente utiliza sus conocimientos para ayudar a los dems y saciar su
inofensiva curiosidad.

Video: Seguridad Informtica

http://www.youtube.com/watch?v=KiuTyXehW-8

Conclusin
Cuando se ha definido el grado de riesgo se debe elaborar una lista
de los sistemas con las medidas preventivas que se deben tomar y las
correctivas en casi de desastre, sealando la prioridad de cada uno.
Con el objetivo que en caso de desastres se trabajen los sistemas de
acuerdo a sus prioridades.
El fin de este punto es encontrar y evitar posibles situaciones de roce
entre el recurso humano y la organizacin y lograr una mejor
comunicacin entre ambos.