Seguridad en informatica

La informacin, los sistemas y las redes que brindan apoyo constituyen

importantes recursos de la empresa. La confidencialidad, integridad y
disponibilidad de la informacin pueden ser esenciales para mantener la
ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las
leyes y la imagen institucional. Las organizaciones, sus redes y sistemas de
informacin, se enfrentan en forma creciente con amenazas relativas a la
seguridad, de diversos orgenes, incluyendo el fraude asistido por
computadora, espionaje, sabotaje, vandalismo, incendio o inundacin. Daos
tales como los ataques mediante virus informticos, hacking y denegacin de
servicio se han vuelto ms comunes, ambiciosos y crecientemente sofisticados.
La dependencia de las organizaciones respecto de los sistemas y servicios de
informacin denota que ellas son ms vulnerables a las amenazas
concernientes a seguridad.
La interconexin de las redes pblicas y privadas y el uso compartido de los
recursos de informacin incrementa la dificultad de lograr el control de los
accesos.
La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del
control tcnico centralizado. Muchos sistemas de informacin no han sido
diseados para ser seguros.
La seguridad que puede lograrse por medios tcnicos es limitada y debe ser
respaldada por una gestin y procedimientos adecuados. La identificacin de
los controles que deben implementarse requiere una cuidadosa planificacin y
atencin a todos los detalles.
La administracin de la seguridad de la informacin, exige, como mnimo, la
participacin de todos los empleados de la organizacin. Tambin puede
requerir la participacin de proveedores, clientes y accionistas. Asimismo,
puede requerirse el asesoramiento experto de organizaciones externas. Los
controles de seguridad de la informacin resultan considerablemente ms
econmicos y eficaces si se incorporan en la etapa de especificacin de
requerimientos y diseo.
Algunos controles pueden considerarse como principios rectores que
proporcionan un buen punto de partida para la implementacin de la seguridad
de la informacin. Estn basados en requisitos legales fundamentales, o bien
se consideran como prctica recomendada de uso frecuente concerniente a la
seguridad de la informacin. Los controles que se consideran esenciales para
una organizacin, desde el punto de vista legal comprenden: a) proteccin de
datos y confidencialidad de la informacin personal b) proteccin de registros y
documentos de la organizacin ; c) derechos de propiedad intelectual ; Los
controles considerados como prctica recomendada de uso frecuente en la

implementacin de la seguridad de la informacin comprenden: a)

documentacin de la poltica de seguridad de la informacin; b) asignacin de
responsabilidades en materia de seguridad de la informacin; c) instruccin y
entrenamiento en materia de seguridad de la informacin; d) comunicacin de
incidentes relativos a la seguridad; e) administracin de la continuidad de la
empresa; Estos controles son aplicables a la mayora de las organizaciones y
en la mayora de los ambientes. No todos los controles aqu descritos estn
desarrollados en este documento. Se debe ver este documento como la
primera de mltiples ediciones a ser desarrolladas.
Plan de Seguridad Fsica :
Todo centro de datos de la Institucin debe tener un plan de seguridad fsica
que debe ser revisado y actualizado anualmente por el gerente a cargo de las
instalaciones. Comentario: Esta poltica explcitamente asigna la
responsabilidad para el desarrollo y actualizacin de los planes de seguridad
fsica del centro de datos. Esta poltica establece claramente que la seguridad
fsica es una lnea de responsabilidad gerencial, no una responsabilidad del
departamento de personal. Esto quiere decir que la seguridad fsica debe ser
tratada dentro del curso ordinario de las operaciones del centro de datos, no
exclusivamente por un grupo especial. Un grupo tcnico especial, normalmente
llamado departamento de Seguridad Fsica, est generalmente disponible para
consultas y asistencia. En la mayora de los casos, el gerente a cargo del
centro de datos no prepara el plan, sino alguna otra persona que reporta al
gerente. Algunas organizaciones pueden querer incluir palabras en la poltica
que indiquen que este plan estar sujeto a revisiones peridicas por Auditora
Interna. Esta declaracin puede ser omitida de la poltica como se ha hecho
aqu. Debe haber una buena seguridad fsica si se quiere tener una buena
seguridad informtica. Por ejemplo, si cualquier persona de la calle puede
entrar en un centro de datos, iniciar un computador y despus cargar su propia
versin de un sistema operativo, casi todo, cuando no todo, el buen trabajo en
el rea de seguridad informtica ser nulo de toda nulidad.
Las distintas alternativas estudiadas son suficientes para conocer en todo
momento el estado del medio en el que nos desempeamos; y as tomar
decisiones sobre la base de la informacin brindada por los medios de control
adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.
Las principales amenazas en la seguridad fsica son:

Desastres naturales, incendios accidentales tormentas e inundaciones.

Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
Robo

 Fraude
Sabotaje
Evaluar y controlar permanentemente la seguridad fsica del edificio es la
base para o comenzar a integrar la seguridad como una funcin primordial
dentro de cualquier organismo.
Tener controlado el ambiente y acceso fsico permite:

disminuir siniestros

trabajar mejor manteniendo la sensacin de seguridad

descartar falsas hiptesis si se produjeran incidentes

tener los medios para luchar contra accidentes

Seguridad lgica: es toda aquella relacionada con la proteccin del software y

de los sistemas operativos, que en definitiva es la proteccin directa de los
datos y de la informacin. Existen unas medidas de seguridad elementales que
ha de cumplir cualquier sistema informtico o de informacin, desde el hogar
hasta las macro empresas. Es decir que la seguridad lgica consiste en la
aplicacin de barreras y procedimientos que resguarden el acceso a los datos y
solo se permita acceder a ellos a las personas autorizadas para ello.
OBJETIVOS:

Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y
no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas correctos en
y por el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el destinatario al cual ha
sido enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.

Mtodos de Encriptacin
Para poder Encriptar un dato, se pueden utilizar tres procesos matemticos
diferentes:

Los

algoritmos

HASH,

los

simtricos

los

asimtricos.

1.
Algoritmo
HASH:
Este algoritmo efecta un clculo matemtico sobre los datos que constituyen
el documento y da como resultado un nmero nico llamado MAC. Un mismo
documento
dar
siempre
un
mismo
MAC.
2.
Criptografa
de
Clave
Secreta
o
Simtrica
Utilizan una clave con la cual se encripta y desencripta el documento. Todo
documento encriptado con una clave, deber desencriptarse, en el proceso
inverso, con la misma clave. Es importante destacar que la clave debera viajar
con los datos, lo que hace arriesgada la operacin, imposible de utilizar en
ambientes
donde
interactan
varios
interlocutores.
Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y
la de descifrado es la misma, por tanto la robustez del algoritmo recae en
mantener
el
secreto
de
la
misma.
Sus principales caractersticas son:

rpidos y fciles de implementar

clave de cifrado y descifrado son la misma

cada par de usuarios tiene que tener una clave secreta compartida

una comunicacin en la que intervengan mltiples usuarios requiere

muchas claves secretas distintas

Actualmente existen dos mtodos de cifrado para criptografa de clave secreta,

el cifrado de flujo y el cifrado en bloques.
Cifrado de flujo
El emisor A, con una clave secreta y un algoritmo determinstico (RKG), genera
una secuencia binaria (s) cuyos elementos se suman mdulo 2 con los
correspondientes bits de texto claro m, dando lugar a los bits de texto cifrado c,
Esta secuencia (c) es la que se enva a travs del canal. En recepcin, B, con
la misma clave y el mismo algoritmo determinstico, genera la misma secuencia
cifrante (s), que se suma modulo 2 con la secuencia cifrada (c) , dando lugar a
los bits de texto claro m.
Los tamaos de las claves oscilan entre 120 y 250 bits
Cifrado en bloque
Los cifrados en bloque se componen de cuatro elementos:
- Transformacin inicial por permutacin.

- Una funcin criptogrfica dbil (no compleja) iterada r veces o "vueltas".

- Transformacin final para que las operaciones de encriptacin
desencriptacin sean simtricas.

- Uso de un algoritmo de expansin de claves que tiene como objeto convertir

la clave de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un
conjunto de subclaves que puedan estar constituidas por varios cientos de bits
en total.
3. Algoritmos Asimtricos (RSA):

Requieren dos Claves, una Privada (nica y personal, solo conocida por su
dueo) y la otra llamada Pblica, ambas relacionadas por una frmula
matemtica compleja imposible de reproducir. El concepto de criptografa de
clave pblica fue introducido por Whitfield Diffie y Martin Hellman a fin de
solucionar la distribucin de claves secretas de los sistemas tradicionales,
mediante un canal inseguro. El usuario, ingresando su PIN genera la clave
Publica y Privada necesarias. La clave Publica podr ser distribuida sin ningn
inconveniente entre todos los interlocutores. La Privada deber ser
celosamente guardada. Cuando se requiera verificar la autenticidad de un
documento enviado por una persona se utiliza la Clave Publica porque el utiliz
su Clave Privada.