La seguridad de los sistemas de información (página 3)
Control de Comportamiento: controla cómo se usan
servicios particulares (ejemplos: filtros de email).
Tipos de firewalls
A. Router con Filtrado de Paquetes
B. Gateway a Nivel de
AplicaciónC. Gateway a Nivel de Circuitos + (Host
Bastión)
A. Router con filtrado de paquetes
Aplica un set de redes para cada paquete entrante y
luego lo reenvía o descarta. Filtra paquetes en ambas
direcciones.
El filtrado de paquetes se setea típicamente como
una lista de Reglas
Se implementa con notación específica de
cada router.
Ventajas
Simplicidad
Transparencia hacia usuarios
Alta velocidad
Desventajas
Dificultad en el seteo de reglas de
filtradoFalta de autenticación
B. Gateway a nivel aplicación (o proxy
server)
Son hosts corriendo Proxy servers, que evitan
tráfico directo entre redes.
Actúa como un relay (conmutador) de
tráfico a nivel de aplicación.
Más eficiente y posible control de
contenidos.
Proxy de aplicación
Programa que representa a toda la red interna, ocultando
la LAN de la red pública. Toma decisiones de forwarding en
los 2 sentidos.
Hará el forward de clientes autorizados a servers
del exterior y traerá las respuestas a dichos
clientes.
Proxy HTTP puede mantener páginas web en
caché.
Ventajas
Más seguros que filtros de
paquetes.Sólo necesita discriminar unas pocas
aplicaciones permitidas (Telnet, HTTP, etc.), no a nivel de
IP o TCP.Fácil control de log y auditar todo el
tráfico entrante
Desventajas
Overhead de procesamiento adicional en cada
conexión, ya que hay dos conexiones divididas y el
Gateway que actúa como splice, debe examinar y
reenviar todo el tráfico.
C. Gateway a nivel de circuitos
Puede ser un sistema stand-alone o una función
especializada realizada por un Gateway de nivel
aplicación.
No permite conexiones TCP end-to-end, sino que GW setea
2 conexiones TCP entre usuarios TCP externo e interno con
él.
Gateway hace conmutación de segmentos TCP de una
conexión a otra sin examinar contenido.
La función de seguridad consiste en determinar
qué conexiones serán permitidas.
Usado típicamente en situaciones donde el
administrador del sistema confía en los usuarios
internos.
D. Bastion host
Es un sistema identificado por el administrador del
firewall como un punto crítico en la seguridad de la
red.
Host bastión sirve como una plataforma para un
Gateway a nivel de aplicación o de circuito.
Su plataforma de hardware corre versión segura de
S.O. O es decir Sistema Confiable.
Administrador de red instala sólo servicios
esenciales en él, como aplicaciones praxis como Telnet,
DNS, FTP, SMTP y Autenticación usuarios.
Cada proxy se configura para requerir
autenticación adicional, antes de permitir a usuario
acceder a servicios.
Cada módulo proxy es un pequeño paquete SW
diseñado para seguridad en red, e independiente de los
otros proxis.
Proxy generalmente no realiza accesos a disco, salvo
leer configuración inicial, tal de dificultar
instalación de troyanos o sniffers.
Estado actual en el mercado
Hoy en día en el mercado existen infinidad de
proveedores de aplicación de firewalls que están
complementadas con los esfuerzos por elevar el nivel de seguridad
de los distintos sistemas operativos. Estas aplicaciones de
firewalls están disponibles para los distintos sistemas
operativos y todos cumplen las mismas funciones, cada proveedor
tiene sus característica particulares que se van igualando
de uno a otro con el correr del tiempo y el desarrollo. Los
productos más utilizados se encuentran firewall -1, pix y
raptor, de las empresas chekpoint, cisco y HP
respectivamente.
Indagando un poco en el mercado local se puede comprobar
que el producto de cisco está siendo muy utilizado, debido
a su integración "nativo" en todas organizaciones que
están utilizando routers cisco.
Identificación digital
Firma digital
Una firma digital encriptada con una clave privada,
identifica de forma unívoca a la persona que envía
un mensaje y conecta a esa persona con ese mensaje en particular.
(23)
Cualquier persona que posee una clave pública
puede verificar la integridad del mensaje, pero no el contenido.
Si el mensaje es alterado de alguna manera, la firma no se
podrá desencriptar Correctamente, lo que indica que el
mensaje fue modificado. Si A (persona que envía el
mensaje) utiliza su clave privada para firmar un mensaje
encriptado, B (el receptor) puede verificar que A lo envió
efectivamente solo si B conoce la clave pública de A. Sin
embargo, para poder confiar en esa clave pública, B debe
obtener la clave de alguna otra fuente que no sea el mismo
mensaje que envió A. Es decir, si suponemos que C quiere
enviar un mensaje como si lo enviara A (falsificando su firma), C
enviará su clave pública como si ésta
perteneciera a; pero cuando B intente verificar la firma,
resultaría en una confirmación de la autenticidad
del mensaje aunque éste no haya sido enviado realmente por
A. En cambio, si B tiene acceso a la clave pública de A
obtenida de alguna fuente externa, y la utilizara para verificar
el mensaje firmado con la clave privada de C, la
verificación fallaría y revelaría el
engaño. En resumen, si A y B son personas desconocidas,
sin posibilidad de comunicación, ninguna firma digital
sería confiable para autenticar e identificar uno a otro
sin la asistencia de alguna fuente externa que provea un enlace
entre sus identidades y sus claves públicas.
Autoridades de certificación y
autoridades
Una autoridad de certificación es un ente
público o privado que tiene como objetivo, cubrir la
necesidad de que exista un tercero para asignar certificados
digitales para su utilización en el Comercio
electrónico. En el ejemplo anterior, si B quiere tener
seguridad acerca de la autenticidad de la clave pública de
A, debe contar con una certificación del ente externo de
que la clave es realmente de A. Un certificado provee la
confirmación de una autoridad de certificación,
acerca de una persona que utiliza una firma digital. Es decir, es
un registro digital que identifica a la autoridad de
certificación, identifica y asigna un nombre o describe
algún atributo del suscriptor, contiene la clave
pública del suscriptor y está firmado en forma
digital por la autoridad de certificación que lo
emite.
Virus y gusanos
informáticos
¿Qué son los virus?
Según a la real academia se define de siguiente
manera: es un programa introducido subrepticiamente en la memoria
de un ordenador que al activarse destruye total o parcialmente la
información almacenada. (24) También se puede decir
es un programa que se copia automáticamente (sin
conocimiento ni permiso del usuario), ya sea por medios de
almacenamiento o por internet, y que tiene por objetivo alterar
el normal funcionamiento del ordenador. Un virus puede o no ser
peligroso pero independientemente de dicho grado, si el sistema a
comprometer es crítico, un virus de bajo grado de
peligrosidad podrá causar graves daños. Si por el
contrario dicho virus es muy peligroso y afecta a una computadora
familiar sus daños serán mínimos. Por ello
desde un punto de vista de una empresa o gran corporación,
un virus sea cual sea, debe ser considerado siempre como
peligroso.
Características comunes
Dañino: todo virus causa daño, ya sea de
forma implícita, borrando archivos o modificando
información, o bien disminuyendo el rendimiento del
sistema. A pesar de esto, existen virus cuyo fin es simplemente
algún tipo de broma.
Autoreproductor: la característica que más
diferencia a los virus es esta, ya que ningún otro
programa tiene la capacidad de autoreplicarse en el
sistema.
Subrepticio: característica que le permite
ocultarse al usuario mediante diferentes técnicas, como
puede ser mostrarse como una imagen, incrustarse o en programas.
(25)
Tipos de virus y gusanos
A) Virus de fichero
Es el virus más antiguo. Estos virus se encargan
de infectar ficheros ejecutables o programas (aunque como veremos
también pueden adjuntarse a otros tipos de archivos). Al
ejecutar uno de los programas infectados activamos el virus,
produciendo los efectos dañinos que el virus desee.
(26)
B) Gusanos (worms)
Estos programas se ocupan principalmente de hacer copias
de sí mismos haciendo uso de las facilidades de
comunicaciones del equipo (conexiones de red, correo
electrónico, etc.). La mayoría no tienen efectos
directamente destructivos, pero su crecimiento exponencial puede
colapsar por saturación las redes en las que se infiltran.
A diferencia de los virus de fichero, no necesitan infectar ni
dañar otros archivos. Posiblemente, en la actualidad, los
gusanos de correo electrónico y sus variantes son los
virus más populares.
C) Bulos o falsos virus (Hoaxes)
Se trata de mensajes de correo electrónico que
contienen información falsa, normalmente relacionada con
temas de seguridad. Se trata de la versión actualizada de
las antiguas pirámides o cadenas de correo utilizadas con
fines lucrativos o para difundir leyendas urbanas. Su
comportamiento es similar al de los gusanos, aunque en general no
son capaces de replicarse por sí mismos, sino que piden
nuestra colaboración para obtener la mayor difusión
posible, instándonos a reenviar el mensaje a todos
nuestros conocidos. Para engañarnos y convencernos
utilizan los más variados ardides (lo que se conoce como
técnicas de ingeniería social).
Por ejemplo
Se hacen pasar por verdaderas alertas sobre seguridad o
virus
Apelan a nuestra solidaridad o a nuestra
conciencia
Ofrecen chollos de todo tipo: salud, éxito, amor,
dinero.
Nos amenazan con terrible calamidades si rompemos la
cadena.
D) Vulnerabilidades o agujeros de seguridad
(exploits)
Los agujeros de seguridad no son ninguna clase de virus,
sino desafortunados errores de programación. La
razón de incluirlos en este artículo es que,
algunos hackers son capaces de crear virus que explotan estas
vulnerabilidades para atacarnos o infiltrarse en nuestros
sistemas. Por ejemplo los sasser y blaster.
E) Troyanos
Los troyanos o caballos de Troya son ligeramente
diferentes. Actúan de forma similar al mítico
caballo de madera que, aparentando ser un regalo, fue utilizado
por los soldados griegos para introducirse en la sitiada ciudad
de Troya. Llegan al ordenador como aplicaciones o utilidades
aparentemente inofensivas, pero cuando los ejecutamos, dejan
instalado en nuestro equipo un segundo programa oculto de
carácter malicioso. Este programa oculto es el que
propiamente denominamos troyano. A veces los troyanos se anexan a
programas legítimos, alterándolos en forma de virus
de fichero, pero en la mayoría de casos no se trata de
archivos infectados sino aplicaciones que intencionadamente
esconden un "maligno regalo".
Normalmente no necesitan replicarse ni infectar otros
ficheros, sino que se propagan mediante el engaño,
aprovechándose de la ingenuidad de algunos usuarios que
abren el programa porque creen que proviene de una fuente
legítima. A diferencia de otras clases de virus, la
instalación de los troyanos la suele llevar a cabo el
propio usuario de forma voluntaria (al menos en cierto modo), lo
que ha llevado a ciertas compañías de software a
defender la supuesta legalidad de estas técnicas. En este
sentido, este tipo de programas suelen incluir contratos y
licencias de usuario ofuscadas o engañosas que
supuestamente advierten de lo que se está instalando. En
cualquier caso, estos programas actúan de mala fe y
utilizan técnicas como mínimo abusivas.
F) Puertas traseras o troyanas de
administración remota
Una vez introducidos en nuestro ordenador, estos virus
abren una "puerta trasera" (backdoor) que permite a un atacante
acceder o controlar nuestro PC a través de una red local o
de Internet. En cierto modo convierten nuestro equipo en una
especie de servidor de red al alcance de usuarios
malintencionados. Las posibilidades de estos virus son enormes y
aterradoras, quedando seriamente comprometida la integridad del
equipo y la confidencialidad de nuestros datos y
acciones.
G) Redes o robots
Un gran número de equipos infectados con un
determinado troyano de control remoto, constituyen una
auténtica red de ordenadores esclavizados, denominadas
"botnets" en inglés.
Dado el enorme "poder de fuego" de estas redes, a menudo
son utilizadas como plataforma para el envío de correo
basura o para ataques de denegación de servicio contra
servidores web o de otros tipos.
Esto se ha convertido en un negocio lucrativo, ya que
algunos hackers llegan incluso a alquilar estas redes a los
spammers, por supuesto sin el consentimiento de los propietarios
de los ordenadores.
H) Software espía (spyware)
Se trata de programas que de forma encubierta, extraen
cualquier tipo de información sobre nuestro ordenador o el
uso que hacemos de él, sistema operativo, programas
instalados, páginas de internet, etc. Al igual que los
backdoors, el software espía suele hacer uso de los medios
de comunicación existentes (Internet, e-mail, red
local,…) para enviar la información recolectada a
ciertos servidores o direcciones de correo electrónico.
Resultan difíciles de detectar y suelen permanecer
instalados durante mucho tiempo, ya que no se trata de programas
destructivos y normalmente no producen efectos visibles, a lo
sumo cierta ralentización de las comunicaciones, ya que
utilizan parte del ancho de banda para su propio
servicio.
I) El gusano: ILOVEYOU
Es un virus de tipo gusano, escrito en Visual Basic
Script que se propaga a través de correo
electrónico y de IRC (Internet Relay Chat). (27) Miles de
usuarios de todo el mundo, entre los que se incluyen grandes
multinacionales e instituciones públicas, se han visto
infectados por este gusano. Su apariencia en forma de correo es
un mensaje con el tema: "ILOVEYOU" y el fichero adjunto
LOVE-LETTER-FOR-YOU.TXT.vbs aunque la extensión "vbs"
(Visual Basic Script) puede quedar oculta en las configuraciones
por defecto de Windows, por lo cual la apariencia del anexo es la
de un simple fichero de texto. Cuando se abre el archivo
infectado el gusano infecta nuestra máquina y se intenta
auto enviar a todo lo que tengamos en las agendas de Outlook
(incluidas las agendas globales corporativas).
J) El gusano: Melissa
El virus es conocido como W97M_Melissa o
Macro.Word97.Melissa. Nos puede llegar en un archivo adjunto a un
mensaje electrónico, enviado por alguien conocido (como el
Happy99). Dicho mensaje, incluye en asunto. Este virus infecta a
MS Word y éste a todos los archivos que se abren, cambia
ciertas configuraciones para facilitar la infección, se
auto-envía por correo, como un mensaje proveniente del
usuario a las primeras 50 buzones de la libreta de direcciones de
su correo.
Los antivirus son aplicaciones de software que permiten
detectar, y algunas veces eliminar, los virus de una computadora.
Sin embargo, estas aplicaciones son sólo efectivas para
aquellos virus que ya son conocidos, por lo tanto, es esencial la
actualización continua de las versiones del
antivirus.
Hacker
Es la persona que está siempre en una continua
búsqueda de información, vive para aprender y todo
para él es un reto; no existen barreras, y lucha por la
difusión libre de información, distribuir de
software sin costo y la globalización de la
comunicación. (28)
Habilidades básicas en un hacker
Es el conjunto de habilidades que cambia lentamente a lo
largo del tiempo a medida que la tecnología crea nuevas
tecnologías y descarta otras por obsoletas. Un buen hacker
emplea las siguientes reglas:
Aprender a programar: es la habilidad fundamental de
hacker que debe aprender como pensar en los problemas de
programación de una manera general, independiente de
cualquier lenguaje.
Aprender Unix: el paso más importante es obtener
un Linux libre, instalarlo en una maquina personal y hacerlo
funcionar.
Cracker
En realidad los cracker son hackers cuyas intenciones
van más allá de la investigación. Es
también un apasionado del mundo informático. (29)
La principal diferencia consiste en que la finalidad del cracker
es dañar sistemas y ordenadores. Tal como su propio nombre
indica, el significado de cracker en inglés es "rompedor",
su objetivo es el de romper y producir el mayor daño
posible.
El término cracker fue acuñado por primera
vez hacia 1985 por hackers que se defendían de la
utilización inapropiada por periodistas del término
hacker.
Tipos de cracker:
A) PIRATA. Su actividad consiste en la copia ilegal de
programas, rompiendo sus sistemas de protección y
licencias. Luego distribuye los productos por Internet, a
través de CD"s, etc.
B) LAMER. Se trata de personas con poco conocimiento de
informática que consiguen e intercambian herramientas no
creadas por ellos para atacar ordenadores. Ejecutan aplicaciones
sin saber mucho de ellas causando grandes
daños.
C) PHREAKERS. Son los crackers de las líneas
telefónicas. Se dedican a atacar y "romper" los sistemas
telefónicos ya sea para dañarlos o realizar
llamadas de forma gratuita.
D) TRASHER. Su traducción al español es la
de 'basurero'. Se trata de personas que buscan en la basura y en
papeleras de los cajeros automáticos para conseguir claves
de tarjetas, números de cuentas bancarias o
información secreta para cometer estafas y actividades
fraudulentas a través de Internet.
E) INSIDERS. Son los crackers 'corporativos', empleados
de las empresas que las atacan desde dentro, movidos usualmente
por la venganza.
Spamming
Es el envío indiscriminado de correos
electrónicos no solicitados a gran cantidad de usuarios de
Internet. El spamming es la táctica favorita de aquellos
que envían publicidades masivas. También ha sido
utilizado por los delincuentes informáticos para la
distribución masiva de virus o para la infiltración
en muchas computadoras.
Flaming
Es la práctica de enviar mensajes
críticos, derogatorios y frecuentemente vulgares, a
través de correo electrónico o foros de
discusión.
Hoax
Los hoax son generalmente falsos avisos de alerta
iniciados por personas malintencionadas y luego distribuidas por
usuarios inocentes que creen que de esa manera ayudan a la
comunidad, distribuyendo el mensaje. (30) Por lo general, los
hoax se distribuyen a través del correo
electrónico.
Los hoax tienen dos objetivos claros:
Estafar: Generalmente los HOAX te acaban llevando a
páginas que te piden que introduzcas tu número de
teléfono móvil o que directamente te piden que
pagues por algo que es mentira.
Recopilar direcciones de e-mail o listas de usuarios:
Hay veces que el único objetivo de los HOAX es recopilar
un montón de correos electrónicos o cuentas de
Facebook y Twitter para luego bombardearlas con mensajes
publicitarios.
Robar tus datos: Entrar en tu correo o en alguna cuenta
de una red social que uses.
Ver esquema (3)
CAPITULO IV
Los delitos
informáticos
La delincuencia informática es difícil de
comprender o conceptualizar plenamente. A menudo, se la considera
una conducta proscrita por la legislación y/o la
jurisprudencia, que implica la utilización de
tecnologías digitales en la comisión del delito; se
dirige a las propias tecnologías de la computación
y las comunicaciones; o incluye la utilización incidental
de computadoras en la comisión de otros
delitos.
Varios delitos informáticos atacan a las propias
tecnologías de la información y las comunicaciones,
como los servidores y los sitios Web, con virus
informáticos de alcance mundial que causan considerables
perjuicios a las redes comerciales y de consumidores.
(31)
Un delito informático es toda aquella
acción, típica, antijurídica y culpable, que
se da por vías informáticas o que tiene como
objetivo destruir y dañar ordenadores, medios
electrónicos y redes de Internet. (32)
Una persona acostumbrada a navegar por la Red o utilizar
correo electrónico ha podido ser víctima de
espionaje, aunque en la mayoría de los casos, no se haya
percatado de ello. Bien, como sucede en todos los campos o
materias de la vida, la tecnología avanza, y a pasos
agigantados, lo que aporta grandes y notables beneficios a las
comunicaciones y a la interacción de los distintos
sectores de la economía. No obstante estos nuevos
conocimientos pueden ser aprovechados por mentes maliciosas que
los utilizan para fines menos éticos.
La aparición en el mercado de nuevas
técnicas y programas, difundidos en su mayor parte a
través de Internet, posibilitan la recogida de
información privada de un determinado usuario, sin dejar
de mencionar aquellos programas que reconfiguran
parámetros de los ordenadores aprovechándose del
desconocimiento de las personas en el campo de las nuevas
tecnología
Elementos integrantes
El delito es un acto humano, es una acción,
aquello pone en peligro un interés protegido. El acto ha
de ser culpable, por tanto, un delito es una acción
antijurídica realizada por el ser humano. (33)
La distribución de las tecnologías de la
información y las comunicaciones en todo el mundo no es
uniforme. Hay vastas diferencias en el tipo y el número de
adelantos tecnológicos en diferentes partes del mundo. La
denominada brecha digital fue reconocida en la Declaración
del Milenio de las Naciones Unidas de 2000, que enunció
los ocho objetivos de desarrollo del Milenio con miras a lograr
mejoras cuantificables en las vidas de la parte más grande
de la población mundial. Uno de los objetivos, que
requiere el desarrollo de alianzas mundiales para el desarrollo,
también requiere la cooperación con el sector
privado, para que se compartan los beneficios de las nuevas
tecnologías, especialmente las tecnologías de la
información y las comunicaciones. Al mismo tiempo, a
medida que los beneficios empiezan a difundirse, es necesario
aumentar la conciencia sobre las amenazas y las vulnerabilidades
asociadas con la delincuencia informática.
Debe corresponder a un tipo legal (figura de delito),
definido por La Ley, ha de ser un acto típico.
El acto ha de ser culpable, imputable a dolo
(intención) o a culpa (negligencia), y una acción
es imputable cuando puede ponerse a cargo de una determinada
persona. La ejecución u omisión del acto debe estar
sancionada por una pena. (34)
El delito Informático como
medio
Violación de la intimidad
Publicaciones en Internet de fotos o videos personales
y/o íntimos
Estafas
Scamming: Es un término anglosajón que
se emplea familiarmente para referirse a una red de
corrupción. Hoy también se usa para definir los
intentos de estafa a través de un correo
electrónico fraudulento. Generalmente, se pretende
estafar económicamente por medio del engaño
presentando una supuesta donación a recibir o un
premio de lotería al que se accede previo envío
de dinero.Phishing: Phishing o suplantación de
identidad es un
término informático que denomina un
modelo de abuso informático y que se comete mediante
el uso de un tipo de ingeniería social caracterizado
por intentar adquirir información confidencial de
forma fraudulenta (como puede ser
una contraseña o información
detallada sobre tarjetas de crédito u otra
información bancaria). El cibercriminal, conocido
como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial
electrónica, por lo común un correo
electrónico, o algún sistema
de mensajería instantánea o incluso
utilizando también llamadas
telefónicas.
Amenazas y Acoso
Por Gmail, redes sociales, o SMS
Hurto
Robo de las cuentas bancarias a través del
Home Banking, también conocida como la
divulgación no autorizada de datos reservados, es una
variedad del espionaje industrial que sustrae
información confidencial de una empresa.
Pornografía Infantil
Distribución de imágenes
pornográficas a menores de edad
Calumnias
Cyberbulling: Abusos de tipo verbal, mediante el
usos de medios electrónicos. Son principales
manifestaciones de odio, burlas, fotomontajes, acosos, que
también pueden incluir amenazas, mayormente se da en
los estudiantes, adolescentes trayendo consigo
destrucción moral, daños
psicológicos.Grooming: es el engaño por parte de un
delincuente adulto, el cual simula a través de medios
electrónicos ser un niño o niña, con el
ánimo de contactar a menores de edad y adolescentes
con diversos fines, como la agresión o el abuso
sexual,
El delito Informático como
objetivo
El ataque puede producirse contra:
a. Hardware
b. Software
c. Información almacenada
En esta categoría, se enmarcan las conductas
criminales que van dirigidas contra las computadoras, accesorios
o programas como entidad física, por ejemplo:
Programación de instrucciones que producen un
bloqueo total al sistema.Destrucción de programas por cualquier
método.Daño a la memoria
Atentado físico contra la maquina o sus
accesorios.Secuestro de soportes magnéticos entre los
que figure información valiosa con fines de chantaje
(pago de rescate, etc.). (35)
– Hurto
Hacking (acceso no autorizado a un sistema o dato
informático)Cracking (violación de las medidas de
seguridad informáticas)Phreaking (botnets en Android, acceso no autorizado
a través de Bluethoot)
Consiste en el hurto del tiempo de uso de las
computadoras, un ejemplo de esto es el uso de internet, en el
cual una empresa proveedora de este servicio proporciona una
clave de acceso al usuario de Internet, para que con esa clave
pueda acceder al uso de la supercarretera de la
información, pero sucede que el usuario de ese servicio da
esa clave a otra persona que no está autorizada para
usarlo, causándole un perjuicio patrimonial a la empresa
proveedora de servicios.
– Daño
Destrucción de archivos o sistemas
informáticosEs el acto de borrar, suprimir o modificar sin
autorización funciones o datos de computadora con
intención de obstaculizar el funcionamiento normal del
sistema.Aquí están como los gusanos, virus
informáticos, entre otros, lo cual están
programados a la destrucción o a la obtención
de información.
– Fraude Informático
Conocido como introducción de datos falsos,
es una manipulación de datos de entrada al computador
con el fin de producir o lograr movimientos falsos en
transacciones de una empresa. Este tipo de fraude
informático conocido también como
manipulación de datos de entrada, representa el delito
informático más común ya que es
fácil de cometer y difícil de descubrir. Este
delito no requiere de conocimientos técnicos de
informática y puede realizarlo cualquier persona que
tenga acceso a las funciones normales de procesamiento de
datos en la fase de adquisición de los
mismos.
– Violación de la intimidad
Intercepción, apoderamiento, o desvío
indebido, y publicación de una comunicación
electrónica (E-Mail, SMS, etc.). Ingreso no autorizado
a una cuenta de Hotmail, Facebook, u otro servicio
similar.
¿Qué es lo que no sabemos
acerca de la realidad virtual que llamamos Internet?
La respuesta es: infinidad de cosas. Internet constituye
simplemente una red, pero una red muy grande. Ejemplificaremos
sólo algunos puntos que demuestren los peligros que en
general el uso de Internet, sin conocimientos técnicos,
podría suscitarse: (36)
Internet es una Red de Redes, es decir, no es más
ni menos que una gran Red, de millones de computadoras. Cada
computadora está conectada a una serie limitadas de
computadoras, por lo cual la información que se transmite
de una PC a otra en Internet suele atravesar en promedio 10
computadoras hasta llegar a destino. Esto implica que toda
comunicación que enviemos o recibamos será
susceptible de ser vista por otras personas; comenzando por los
empleados de una empresa.
Los usuarios y claves de correos electrónicos
(cuando se usan los clientes de correo, como el Outlook) son
enviados sin encriptar, y cualquier persona que acceda a nuestro
mismo router (por ejemplo, en un café con WiFi)
podría interceptarla. También, compartiendo router,
puede una persona "capturar" nuestra sesión de GMail,
Twitter o Facebook, y hacer todas las acciones como si poseyera
la clave. Podría también cambiar la clave, y la
respuesta a la pregunta secreta, con el fin de pedir dinero por
la restitución del uso de la cuenta.
Una dirección de Internet (URL) está
compuesta de varias partes. Lo que la mayoría de las
personas no sabe es cuáles son las partes, qué
significan, y fundamentalmente que una URL se debe leer de
derecha a izquierda.
Así, muchas personas creerían que
están ingresando a Facebook si en la barra de
navegación de su explorador figura: www.facebook.com o
www.server1.facebook.com o www.facebook.server1.com; cuando en
realidad, sólo los 2 primeros casos refieren al sitio
Facebook, mientras que el último no.
De ese modo, una persona puede –por ejemplo- ser
víctima del siguiente engaño: recibir un correo
electrónico que lo lleve al sitio www.facebook.server1.com
donde verá la página de ingreso de Facebook,
ingresará su usuario y clave y será redirigido al
sitio real de Facebook, no sin antes haber almacenado su usuario
y clave en el servidor del victimario.
Una URL se divide en: Protocolo, subdominio, dominio de
segundo nivel y dominio de primer nivel. Como ejemplo, en http:
//www.facebook.com, el protocolo es "http", que significa "Hyper
Text Transfer Protocol", que es un modo de transferencia de
información sin codificar por Internet. Si el protocolo es
"https", implica que la información está
codificada, o encriptada, y es muy común ver que ese
protocolo es el que utilizan los sitios bancarios.
Finalmente el más comúnmente utilizado es
"www", que significa "World Wide Web". Generalmente se usa para
identificar diferentes servidores o instancias en un dominio. Es
por ello que si el contenido de un correo electrónico
resulta al menos un poco sospechoso, se debe corroborar por otro
medio el origen del gmail, y bajo ningún aspecto abrir los
archivos adjuntos.
Hay muchos otros temas a los que podríamos
referirnos para intentar encuadrar esta realidad virtual que
denominamos informática e Internet; pero lo dicho hasta
ahora debería suficiente para que, extrapolando, el lector
descubra que "la ignorancia de las víctimas sobre el tema
es un factor esencial en el delito
informático".
Perfil del delincuente informático y
la victima
El delincuente como sobre la víctima, el acceso
generalizado a la informática y a Internet ha llevado a
que cada vez más personas de diversas condiciones se
encuentren en una u otra posición. Hoy en día, es
tan fácil como habitual que una persona viole derechos de
autor, o utilice alguna técnica de cracking para instalar
un software (aunque más no sea la introducción de
una clave que no ha adquirido legalmente), como que una
computadora hogareña se vea infectada por virus o troyanos
con diversas intenciones.
Delitos informáticos de guante
blanco
Las personas que cometen los «Delitos
Informáticos» son aquellas que poseen ciertas
características que no presentan el denominador
común de los delincuentes, esto es, los sujetos
activos tienen habilidades para el manejo de los sistemas
informáticos y/o generalmente por su situación
laboral se encuentran en lugares estratégicos donde se
maneja información de carácter sensible, o bien son
hábiles en el uso de los sistemas informatizados, aun
cuando, en muchos de los casos, no desarrollen actividades
laborales que faciliten la comisión de este tipo de
delitos. (37)
Con el tiempo se ha podido comprobar que los autores de
los delitos informáticos son muy diversos y que lo que los
diferencia entre sí es la naturaleza de los delitos
cometidos. De esta forma, la persona que «ingresa» en
un sistema informático sin intenciones delictivas es muy
diferente del empleado de una institución financiera que
desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente
informático es tema de controversia ya que para algunos el
nivel de aptitudes no es indicador de delincuencia
informática en tanto que otros aducen que los posibles
delincuentes informáticos son personas listas, decididas,
motivadas y dispuestas a aceptar un reto tecnológico,
características que pudieran encontrarse en un empleado
del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las
características ya mencionadas de las personas que cometen
los «delitos informáticos», los estudiosos en
la materia los han catalogado como «delitos de cuello
blanco» término introducido por primera vez por el
criminólogo norteamericano Edwin Sutherland en el
año de 1943. Efectivamente, este conocido
criminólogo señala un sinnúmero de conductas
que considera como «delitos de cuello blanco», aun
cuando muchas de estas conductas no están tipificadas en
los ordenamientos jurídicos como delitos, y dentro de las
cuales cabe destacar las «violaciones a las leyes de
patentes y fábrica de derechos de autor, el mercado negro,
el contrabando en las empresas, la evasión de impuestos,
las quiebras fraudulentas, corrupción de altos
funcionarios, entre otros».
Asimismo, este criminólogo estadounidense dice
que la definición de los «delitos de cuello
blanco» no es de acuerdo al interés protegido, como
sucede en los delitos convencionales sino de acuerdo al sujeto
activo que los comete.
Entre las características en común que
poseen ambos delitos tenemos que:
«El sujeto activo del delito es una persona de
cierto status socioeconómico, su comisión no puede
explicarse por pobreza ni por mala habitación, ni por
carencia de recreación, ni por baja educación, ni
por poca inteligencia, ni por inestabilidad emocional».
(38)
Respecto al Sujeto Pasivo vamos a definirlo como el
sujeto sobre el cual recae la conducta de acción u
omisión que realiza el sujeto activo.
Normalmente son grandes empresas, públicas o
privadas, siendo los bancos de los más atractivos. La
mayor parte de los delitos informáticos no son
descubiertos o denunciados a las autoridades responsables, ya que
los mismos tienen miedo de dejar al descubierto la falta de
seguridad que poseen, generando una "invisibilidad" del delito
informático.
Es difícil elaborar estadísticas sobre
ambos tipos de delitos.
Sin embargo, la cifra es muy alta; no es fácil
descubrirlo y sancionarlo, en razón del poder
económico de quienes los cometen, pero los daños
económicos son altísimos; existe una gran
indiferencia de la opinión pública sobre los
daños ocasionados a la sociedad; la sociedad no considera
delincuentes a los sujetos que cometen este tipo de delitos, no
los segrega, no los desprecia, ni los desvaloriza, por el
contrario, el autor o autores de este tipo de delitos se
considera a sí mismos «respetables» otra
coincidencia que tienen estos tipos de delitos es que,
generalmente, «son objeto de medidas o sanciones de
carácter administrativo y no privativos de la
libertad».
Este nivel de criminalidad se puede explicar por la
dificultad de reprimirla en forma internacional, ya que los
usuarios están esparcidos por todo el mundo y, en
consecuencia, existe una posibilidad muy grande de que el agresor
y la víctima estén sujetos a leyes nacionales
diferentes. Además, si bien los acuerdos de
cooperación internacional y los tratados de
extradición bilaterales intentan remediar algunas de las
dificultades ocasionadas por los delitos informáticos, sus
posibilidades son limitadas.
Por su parte, el «Manual de la Naciones Unidas
para la Prevención y Control de Delitos
Informáticos» señala que cuando el problema
se eleva a la escena internacional, se magnifican los
inconvenientes y las insuficiencias, por cuanto los delitos
informáticos constituyen una nueva forma de crimen
transnacional y su combate requiere de una eficaz
cooperación internacional concertada. Asimismo, la ONU
resume de la siguiente manera a los problemas que rodean a la
cooperación internacional en el área de los delitos
informáticos:
Falta de acuerdos globales acerca de qué tipo
de conductas deben constituir delitos
informáticos.Ausencia de acuerdos globales en la
definición legal de dichas conductas
delictivas.Falta de especialización de las
policías, fiscales y otros funcionarios judiciales en
el campo de los delitos informáticos.Falta de armonización entre las diferentes
leyes procesales nacionales acerca de la investigación
de los delitos informáticos.Carácter transnacional de muchos delitos
cometidos mediante el uso de computadoras.Ausencia de tratados de extradición, de
acuerdos de ayuda mutuos y de mecanismos sincronizados que
permitan la puesta en vigor de la cooperación
internacional.
En síntesis, es destacable que la delincuencia
informática se apoya en el delito instrumentado por el uso
de la computadora a través de redes telemáticas y
la interconexión de la computadora, aunque no es el
único medio. Las ventajas y las necesidades del flujo
nacional e internacional de datos, que aumenta de modo creciente
conlleva también a la posibilidad creciente de estos
delitos; por eso puede señalarse que la criminalidad
informática constituye un reto considerable tanto para los
sectores afectados de la infraestructura crítica de un
país, como para los legisladores, las autoridades
policiales encargadas de las investigaciones y los funcionarios
judiciales.
Delito informático en
general
Si hacen unos años sólo las grandes
empresas y las instituciones u organismos públicos eran
objeto de incidentes de acceso no autorizado por terceros
(hackers), ahora puede ser potencialmente víctima de los
mismos cualquier familia o pequeña empresa que tenga una
conexión más o menos permanente a
Internet.
Las víctimas suelen ostentar una o algunas de las
siguientes características: ingenuidad, candidez,
desconocimiento, falta de educación, desatención,
necesidad, avaricia, búsqueda de venganza.
A modo de ejemplo, podemos mencionar aquellas personas
que quieren acceder a cuentas de correo de otras personas
(parejas, socios, o exposos), y googlean, es decir, ingresan en
un buscador como Google, la siguiente frase: "como Hacker
Hotmail", lo cual remite a una serie de sitios cuya finalidad
oculta es obtener información del internauta el cual, con
tal de acceder a la cuenta de Hotmail de la otra persona, no
escatima en brindar información propia, comenzando con su
propia clave de correo electrónico.
También están aquellos sitios y correos
que afirman identificar a aquellos contactos de Hotmail que "no
te admiten"; con la misma finalidad de robar la
contraseña. Por otro lado, es muy fácil redactar un
correo cuyo remitente no es quien figura; y adjuntarle un archivo
"troyano", que el destinatario abrirá ya que considera que
el remitente es alguien conocido.
En estos casos, se produce también la denominada
"invisibilidad" del delito informático, teniendo su
razón de ser en el carácter anónimo de
Internet, el cual provoca en la víctima la
sensación, rayana con la certeza, de que la Justicia penal
no podrá dar con el responsable del ataque en su contra.
La víctima siente que se enfrenta a un ser "invisible"
ante cuyos ataques sólo queda resignarse, por lo que pocas
veces denuncian los hechos que se dan en su perjuicio.
Internet es un nuevo mundo, lo que podríamos
llamar "una realidad paralela" o "realidad virtual", en las
cuales las personas se desenvuelven, con mayor o menor carga
emocional. En esta nueva realidad, las personas se relacionan
tanto emocional, como profesional y económicamente. Pero
resulta fundamental considerar que esta realidad tiene sus
propias reglas, y dada la novedad de esta nueva realidad, muchas
personas acceden a ella aplicando reglas de otros ámbitos,
convirtiéndose en blanco fácil de los
delitos.
Perfil de la victima de Scanming
Una práctica habitual en el scamming consiste en
contratar gente para que intermedie en transacciones de dinero.
Generalmente, dentro de los engañosos avisos que circulan,
el perfil buscado del mulero oscila entre los 21 y 50
años. Entre los requisitos que suelen enumerar figuran que
el potencial empleado debe ser comunicativo, cumplidor,
despierto, capacitado para ir aprendiendo en el proceso de
trabajo y responsable. No hace hincapié en el nivel
educativo y prometen una paga de 1000 a 4000 euros mensuales. Una
cifra atractiva para un trabajo de solamente dos horas diarias,
fácilmente combinable con otras ocupaciones. En otros
casos, el único requisito imprescindible, ser titular de
una cuenta bancaria será suficiente para poder convertirse
en intermediario de una persona de la cual no sabe su nombre y
jamás le verá la cara.
El perfil de las víctimas de estafas por internet
se corresponde con el de una persona -hombres y mujeres en igual
medida- de entre 20 y 40 años y un nivel adquisitivo
medio.
Perfil del agresor y la víctima de
ciberbulling
El ciberbullying es el uso de los medios
telemáticos (Internet, telefonía móvil y
videojuegos online principalmente) para ejercer el acoso
psicológico entre iguales. No se trata aquí el
acoso o abuso de índole estrictamente sexual ni los casos
en los que personas adultas intervienen. (39)
La intimidación, el acoso y en general el abuso
de poder entre escolares (bullying en su expresión
inglesa) han sido algunos de los problemas más estudiados
en el ámbito de la psicología educativa en las
últimas décadas. La agresión injustificada y
mantenida que un escolar o un grupo realizan contra otro,
acompañada de la escasa sensibilidad de los que conociendo
el asunto callan, establece una estructura de
dominio-sumisión en la red de iguales que resulta a la par
que injusta enormemente perturbadora y desequilibrante para todos
los que se ven afectados, pero también para la convivencia
escolar.
La discriminación por tamaño,
altura, color de piel o procedencia crece entre los escolares.
Según el Centro de Información y Educación
para la Prevención del Abuso de Drogas (Cedro), el 77% de
ellos, de entre 12 y 17 años, son acosados por estos
motivos en las redes sociales. A este maltrato se le conoce como
"ciberbullying" (40). Según el investigador Ferrán
Barri, "los acosadores provienen de cualquier capa de la sociedad
pero todos tienen unos rasgos en común, todos han sido
educados en valores como la sumisión y la prepotencia, no
en la igualdad, y están acostumbrados a avasallar al
otro". Los adolescentes agredidos, por su parte, suelen ser
niños muy sobreprotegidos, tímidos y con una severa
dificultad en socializar y comunicarse.
Entendemos por cyberbullying el acoso entre
iguales que se desarrolla utilizando las TIC. Aunque este
fenómeno comparte gran parte de sus rasgos esenciales con
el bullying tradicional, las propias
características del medio hacen que,
simultáneamente, posea elementos diferenciales con
respecto a éste. Por ejemplo, en el caso
del cyberbullying no hay, generalmente, contacto cara a
cara; la presencia del mensaje agresivo se puede mantener en el
tiempo más allá del propio control del agresor y,
por tanto, la victimización adquirir dimensiones
temporales permanentes e incontrolables para la víctima,
con los consiguientes efectos de humillación e indignidad;
además, una no deseada audiencia puede aumentar los
sentimientos de vulnerabilidad de la víctima y de
impunidad del agresor. Pero algunos de estos rasgos están
ya, en alguna medida, en formas de bullying indirectas,
como la expansión de rumores y otras formas
relacionales.
Ver esquema (4)
CAPITULO VI
Plan de seguridad y plan de
contingencias
Ambos
deben ser promovidos por el sector específico del
área de administración de recursos
informáticos, pero son planes de la organización y,
por lo tanto, involucran a todos sus miembros. En su
formulación, mantenimiento y aplicación efectiva,
así como en la observación de las medidas de
seguridad que contienen, los primeros y más importantes
protagonistas deben ser los integrantes de la dirección
superior, sin cuyo respaldo explícito y continuo tales
planes no podrán ser cumplidos con
éxito.
La seguridad es la situación en la que se
está adecuadamente protegido contra pérdidas, de
modo tal que los hechos adversos Están apropiadamente
impedidos, disuadidos, prevenidos, detectados y/o corregidos. Un
sistema seguro no es impenetrable; más. Bien, es un
sistema que se encuentra protegido a un costo justificable.
(30)
Plan de seguridadEl plan de
seguridad es un conjunto de medidas preventivas, detectivas y
correctivas para enfrentar los riesgos a los que se
encuentran expuestas las operaciones de procesamiento o
transmisión de datos, así como los archivos,
programas y demás recursos informáticos
involucrados. (31)
Generalidades:En los actuales momentos la seguridad
informática ha tomado gran importancia, debido al avance
de la tecnología. La posibilidad de interconectarse a
través de redes, permite explorar más allá
de las fronteras nacionales, y con estas nuevas amenazas para los
sistemas de información.
Estos riesgos que se están enfrentando han
llevado a que se desarrolle un documento de directrices que
orientan en el uso adecuado de estas destrezas
tecnológicas y recomendaciones para obtener el mayor
provecho de estas ventajas, y evitar el mal uso de las mismas, lo
que puede ocasionaría serios problemas a los bienes.
(32)
Objetivo:El objetivo esencial del plan de seguridad es
resguardar los recursos informáticos en cuanto a
integridad, confidencialidad, privacidad y continuidad.
(33)
La elaboración de este plan comprende las
siguientes actividades básicas:
Organizar un grupo para conducir la revisión
de la seguridad; establecer planes, deberes, programas,
presupuestos y atribuciones; obtener apoyo
superior.Identificar los recursos informáticos
expuestos a pérdidas; determinar el valor de los
mismos, las consecuencias de su pérdida y el valor de
su reemplazo, o bien hacer un ranking de su
importancia.Identificar las contingencias.
Identificar las vulnerabilidades.
Para ello se debe:
Identificar los controles existentes que limitan las
amenazas potenciales y los controles faltantes que facilitan
tales amenazas.Combinar asociaciones de amenazas potenciales, de
activos expuestos a pérdida y de falta de controles
limitantes.
Realizar el análisis de riesgos.
Determinar las consecuencias.
Evaluar las consecuencias económicas y
operativas de las contingencias, incluyendo la
determinación del riesgo que se desea asumir (o
importe máximo que se justifica invertir en medidas de
seguridad para cada contingencia).Formular la lista de medidas de seguridad (acciones
ycontroles) que reducirían los riesgos de
pérdidas a niveles aceptablemente bajos.Calcular estimativamente las pérdidas
esperadas para cada recurso informático (en
función de la probabilidad de cada contingencia y del
valor de la respectiva consecuencia).Identificar y costear las medidas de seguridad
aplicables.Seleccionar las medidas de seguridad a implantar
para reducir el riesgo a un nivel total aceptablemente
bajo.Formular el conjunto completo y coherente de medidas
de seguridad para enfrentar las contingencias, reducir las
vulnerabilidades y limitar las consecuencias.Llevar el plan a la práctica y establecer un
método para su mantenimiento y mejora
permanentes.
Política de seguridad
Una Política de Seguridad es una
"declaración de intenciones de alto nivel que cubre la
seguridad de los sistemas informáticos y que proporciona
las bases para definir y delimitar responsabilidades para las
diversas actuaciones técnicas y organizativas que se
requieran " (RFCs 1244 y 2196). (34)
Una política de seguridad informática es
una forma de comunicarse con los usuarios y los gerentes. Las PSI
establecen el canal formal de actuación del personal, en
relación con los recursos y servicios informáticos,
importantes de la organización. No se trata de una
descripción técnica de mecanismos de seguridad, ni
de una expresión legal que involucre sanciones a conductas
de los empleados. Es más bien una descripción de lo
que se desea proteger y el porqué de ello.
Cada PSI es consciente y vigilante del personal por el
uso y limitaciones de los recursos y servicios
informáticos críticos de la compañía.
(35)
Objetivos de una política de
seguridad:
Reducir los riesgos a un nivel aceptable.
Garantizar la confidencialidad, integridad,
disponibilidad, privacidad de la
información.Cumplir con las Leyes y Reglamentaciones
vigentes
¿Cómo desarrollar una política de
seguridad? (36)
• Identifique y evalúe los activos:
Qué activos deben protegerse y cómo protegerlos de
forma que permitan la prosperidad de la empresa:
Hardware: terminales, estaciones de trabajo,
procesadores, teclados, unidades de disco, computadoras
personales, tarjetas, router, impresoras, líneas de
comunicación, cableado de la red, servidores de
terminales, bridges.
Software: sistemas operativos, programas fuente,
programas objeto, programas de diagnóstico,
utilerías, programas de comunicaciones.
Datos: durante la ejecución, almacenados en
línea, archivados fuera de línea, back-up, bases de
datos, en tránsito sobre medios de
comunicación.
Personas: usuarios, personas para operar los
sistemas.
Documentación: sobre programas, hardware,
sistemas, procedimientos administrativos locales.
• Identifique las amenazas: ¿Cuáles
son las causas de los potenciales problemas de seguridad?
Considere la posibilidad de violaciones a la seguridad y el
impacto que tendrían si ocurrieran. Estas amenazas son
externas o internas:
Amenazas externas: Se originan fuera de la
organización y son los virus, intentos de ataques de los
hackers, retaliaciones de ex-empleados o espionaje
industrial.
Amenazas internas: Son las amenazas que provienen del
interior de la empresa y que pueden ser muy costosas porque el
infractor tiene mayor acceso y perspicacia para saber
dónde reside la información sensible e
importante.
• Evalué los riesgos: Debe calcularse la
probabilidad de que ocurran ciertos sucesos y determinar
cuáles tienen el potencial para causar mucho daño.
El costo puede ser más que monetario, se debe asignar un
valor a la pérdida de datos, la privacidad,
responsabilidad legal, etc.
• Asigne las responsabilidades: Seleccione un
equipo de desarrollo que ayude a identificar las amenazas
potenciales en todas las áreas de la empresa. Los
principales integrantes del equipo serían el administrador
de redes, un asesor jurídico, un ejecutivo superior y
representantes de los departamentos de Recursos Humanos y
Relaciones Públicas.
• Establezca políticas de seguridad: Cree
una política que apunte a los documentos asociados;
parámetros y procedimientos, normas, así como los
contratos de empleados. Estos documentos deben tener
información específica relacionada con las
plataformas informáticas y tecnológicas, las
responsabilidades del usuario y la estructura organizacional. De
esta forma, si se hacen cambios futuros, es más
fácil cambiar los documentos subyacentes que la
política en sí misma.
• Implemente una política en toda la
organización: La política que se escoja debe
establecer claramente las responsabilidades en cuanto a la
seguridad y reconocer quién es el propietario de los
sistemas y datos específicos. Éstas son las tres
partes esenciales de cumplimiento que debe incluir la
política:
– Cumplimiento: Indique un procedimiento para garantizar
el cumplimiento y las consecuencias potenciales por
incumplimiento.
– Funcionarios de seguridad: Nombre individuos que sean
directamente responsables de la seguridad de la
información.
– Financiación: Asegúrese de que a cada
departamento se le haya asignado los fondos necesarios para poder
cumplir adecuadamente con la política de seguridad de la
compañía.
• Administre el programa de seguridad: Establezca
los procedimientos internos para implementar estos requerimientos
y hacer obligatorio su cumplimiento.
Normatividad de una política de
seguridad
Las normas son un conjunto de lineamientos, reglas,
recomendaciones y controles con el propósito de dar
respaldo a las políticas de seguridad y a los objetivos
desarrollados por éstas, a través de funciones,
delegación de responsabilidades y otras técnicas,
con un objetivo claro y acorde a las necesidades de seguridad
establecidas para el entorno administrativo de la red
institucional. Un modelo propuesto según la norma ISO
17799 la cual recomienda la aplicación de
estándares encaminados a la seguridad informática
plantea tres grandes secciones:
• Las directrices son un conjunto de reglas
generales de nivel estratégico donde se expresan los
valores de la seguridad de la organización. Es propuesta
por el líder empresarial de la organización y tiene
como su base la misión y visión para abarcar toda
la filosofía de la seguridad de la
información.
• Las normas de seguridad para usuarios son
dirigidas para el uso de ambientes informatizados, basadas en
aspectos genéricos como el cuidado con las claves de
acceso, manejo de equipos o estaciones de trabajo,
inclusión y exclusión de usuarios,
administración de sistemas operativos, etc.
• Los procedimientos e instrucciones de trabajo son
un conjunto de orientaciones para realizar las actividades
operativas, que representa las relaciones interpersonales e
interdepartamental y sus respectivas etapas de trabajo para su
implementación y mantenimiento de la seguridad de la
información.
ISO 17799
Documento de la política de seguridad de la
información. El documento de la política de
seguridad de la información debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las
partes externas relevantes.
Lineamiento de implementación
El documento de la política de seguridad de la
información debe enunciar el compromiso de la gerencia y
establecer el enfoque de la organización para manejar la
seguridad de la información. El documento de la
política debiera contener enunciados relacionados
con:
•Una definición de seguridad de la
información, sus objetivos y alcance generales y la
importancia de la seguridad como un mecanismo facilitador para
intercambiar información.
•Un enunciado de la intención de la
gerencia, fundamentando sus objetivos y los principios de la
seguridad de la información en línea con la
estrategia y los objetivos comerciales
•Un marco referencial para establecer los objetivos
de control y los controles, incluyendo la estructura de la
evaluación del riesgo y la gestión de
riesgo
•Una explicación breve de las
políticas, principios, estándares y requerimientos
de conformidad de la seguridad de particular importancia para la
organización, incluyendo: conformidad con los
requerimientos legislativos, reguladores y restrictivos,
educación, capacitación y conocimiento de
seguridad, gestión de la continuidad del negocio,
consecuencias de las violaciones de la política de
seguridad de la información
•Una definición de las responsabilidades
generales y específicas para la gestión de la
seguridad de la información incluyendo el reporte de
incidentes de seguridad de la información
•Referencias a la documentación que
fundamenta la política; por ejemplo, políticas y
procedimientos de seguridad más detallados para sistemas
de información específicos o reglas de seguridad
que los usuarios debieran observar.
•Esta política de seguridad de la
información se debiera comunicar a través de toda
la organización a los usuarios en una forma que sea
relevante, accesible y entendible para el lector
objetivo.
Revisión de la política de
seguridad de la informaciónLa política de seguridad
de la información debiera ser revisada a intervalos
planeados o si ocurren cambios significativos para asegurar su
continua idoneidad, eficiencia efectividad.
ProcedimientosUn Procedimiento de seguridad es la
definición detallada de los pasos a ejecutar para llevar a
cabo unas tareas determinadas. Los Procedimientos de Seguridad
permiten aplicar e implantar las Políticas de Seguridad
que han sido aprobadas por la organización.
Se describe cómo se implementan, en las
áreas a proteger, las políticas generales que han
sido definidas para toda la entidad, en correspondencia con las
necesidades de protección en cada una de ellas, atendiendo
a sus formas de ejecución, periodicidad, personal
participante y medios. Se sustenta sobre la base de los recursos
disponibles y, en dependencia de los niveles de seguridad
alcanzados se elaborará un Programa de Seguridad
Informática, que incluya las acciones a realizar por
etapas para lograr niveles superiores.
Algunos procedimientos a considerar son los
siguientes:
•Otorgar (retirar) el acceso de personas a las
tecnologías de información y como se controla el
mismo.
•Asignar (retirar) derechos y permisos sobre los
ficheros y datos a los usuarios.
•Autorizar (denegar) servicios a los usuarios.
(Ejemplo: Correo Electrónico, Internet)
•Definir perfiles de trabajo.
•Autorización y control de la entrada/salida
de las tecnologías de información.
•Gestionar las claves de acceso considerando para
cada nivel el tipo de clave atendiendo a su longitud y
composición, la frecuencia de actualización,
quién debe cambiarla, su custodia, etc.
•Realización de salva de respaldo,
según el régimen de trabajo de las áreas, de
forma que las salvas se mantengan actualizadas, y las acciones
que se adoptan para establecer la salvaguarda de las mismas, de
forma que se garantice la compartimentación de la
información según su nivel de
confidencialidad.
•Garantizar que los mantenimientos de los equipos,
soportes y datos, se realicen en presencia y bajo la
supervisión de personal responsable y que en caso del
traslado del equipo fuera de la entidad la información
clasificada o limitada sea borrada físicamente o protegida
su divulgación.
•Salva y análisis de registros o trazas de
auditoria, especificando quien lo realiza y con qué
frecuencia.
Se describirán por separado los controles de
seguridad implementados en correspondencia con su naturaleza, de
acuerdo al empleo que se haga de los medios humanos, de los
medios técnicos o de las medidas y procedimientos que debe
cumplir el personal.
•Medios Humanos: Aquí se hará
referencia al papel del personal dentro del sistema de seguridad
implementado, definiendo sus responsabilidades y funciones
respecto al diseño, establecimiento, control,
ejecución y actualización del mismo.
•Medios Técnicos de Seguridad: Se
describirán los medios técnicos utilizados en
función de garantizar niveles de seguridad adecuados,
tanto al nivel de software como de hardware, así como la
configuración de los mismos. Para lo cual se tendrá
en cuenta:
•De protección física:
– A las áreas con tecnologías
instaladas:
Se precisarán, a partir de las definiciones
establecidas en el Reglamento sobre la Seguridad
Informática, las áreas que se consideran vitales y
reservadas en correspondencia con el tipo de información
que se procese, intercambie, reproduzca o conserve en las mismas
o el impacto que pueda ocasionar para la Entidad la
afectación de los activos o recursos que en ellas se
encuentren, relacionando las medidas y procedimientos
específicos que se apliquen en cada una. (Ejemplo:
restricciones para limitar el acceso a los locales,
procedimientos para el empleo de cierres de seguridad y
dispositivos técnicos de detección de intrusos,
etc.)
– A las Tecnologías de Información: Se
especificarán las medidas y procedimientos de empleo de
medios técnicos de protección física
directamente aplicados a las tecnologías de
información. Posición de las tecnologías de
información destinadas al procesamiento de
información con alto grado de confidencialidad o
sensibilidad en el local de forma que se evite la visibilidad de
la información a distancia, minimice la posibilidad de
captación de las emisiones electromagnéticas y
garantice un mejor cuidado y conservación de las mismas.
Medidas y procedimientos para garantizar el control de las
tecnologías de información existentes, durante su
explotación, conservación, mantenimiento y
traslado.
– A los soportes de información: Se
describirá el régimen de control establecido sobre
los soportes magnéticos de información
•Técnicas o Lógicas:
Se especificarán las medidas y procedimientos de
seguridad que se establezcan, cuya implementación se
realice a través de software, hardware o ambas:
Identificación de usuarios
Autenticación de usuarios
Control de acceso a los activos y
recursosIntegridad de los ficheros y datos
Auditoría y Alarmas
•De recuperación ante
contingencias
Se describirán las medidas y procedimientos de
neutralización y recuperación ante cualquier
eventualidad que pueda paralizar total o parcialmente la
actividad informática o degraden su funcionamiento,
minimizando el impacto negativo de éstas sobre la
entidad.
Planes de seguridad
Un Plan de seguridad es un conjunto de decisiones que
definen cursos de acción futuros, así como los
medios que se van a utilizar para conseguirlos. El Plan de
Seguridad debe ser un proyecto que desarrolle los objetivos de
seguridad a largo plazo de la organización, siguiendo el
ciclo de vida completo desde la definición hasta la
implementación y revisión. (37)
La forma adecuada para plantear la planificación
de la seguridad en una organización debe partir siempre de
la definición de una política de seguridad que
defina el QUÉ se quiere hacer en materia de seguridad en
la organización para a partir de ella decidir mediante un
adecuado plan de implementación el CÓMO se
alcanzarán en la práctica los objetivos fijados. A
partir de la Política de Seguridad se podrá definir
el Plan de Seguridad, que es muy dependiente de las decisiones
tomadas en ella, en el que se contemplará: el estudio de
soluciones, la selección de herramientas, la
asignación de recursos y el estudio de
viabilidad.
La Política de Seguridad y el Plan de Seguridad
(y la implantación propiamente dicha) están
íntimamente relacionados:
•La Política de Seguridad define el Plan de
Seguridad ya que la implementación debe ser un fiel
reflejo de los procedimientos y normas establecidos en la
política.
•El Plan de Seguridad debe estar revisado para
adaptarse a las nuevas necesidades del entorno, los servicios que
vayan apareciendo y a las aportaciones que usuarios,
administradores, etc. vayan proponiendo en función de su
experiencia. La revisión es esencial para evitar la
obsolescencia de la política debido al propio crecimiento
y evolución de la organización. Los plazos de
revisión deben estar fijados y permitir además
revisiones extraordinarias en función de determinados
eventos (por ejemplo, incidentes).
•El Plan de Seguridad debe ser auditado para
asegurar la adecuación con las normas.
•El Plan de Seguridad debe realimentar a la
Política de Seguridad. La experiencia, los problemas de
implantación, las limitaciones y los avances
tecnológicos, etc. permitirán que la
política pueda adecuarse a la realidad, evitando la
inoperancia por ser demasiado utópica y la mejora cuando
el progreso lo permita.
Plan de contingencias
El plan de contingencias es un conjunto de
procedimientos que, luego de producido un desastre, pueden ser
rápidamente ejecutados para restaurar las operaciones
normales con máxima rapidez y mínimo impacto. Se
trata de un capítulo importante del plan de seguridad
informática. Este último, como se vio, comprende
medidas preventivas, detectives y correctivas. El plan de
contingencias se concentra en las medidas correctivas; en
él, se asume que los aspectos de prevención y
detección de las contingencias yace hallan estudiados y
resueltos. (38)Se entiende por PLAN DE CONTINGENCIA los
procedimientos alternativos al orden normal de una empresa, cuyo
fin es permitir el normal funcionamiento de esta, aun cuando
alguna de sus funciones se viese dañada por un accidente
interno o externo. Que una organización prepare sus planes
de contingencia, no significa que reconozca la ineficacia de su
empresa, sino que supone un avance a la hora de superar cualquier
eventualidad que puedan acarrear pérdidas o importantes
pérdidas y llegado el caso no solo materiales sino
personales.
Los Planes de Contingencia se deben hacer de cara a
futuros acontecimientos para los que hace falta estar preparado.
(39)
La función principal de un Plan de Contingencia
es la continuidad de las operaciones de la empresa su
elaboración la dividimos en cuatro etapas:
1. Evaluación.
2. Planificación.
3. Pruebas de viabilidad.
4. Ejecución.
Las tres primeras hacen referencia al componente
preventivo y la última a la ejecución del plan una
vez ocurrido el siniestro. La planificación aumenta la
capacidad de organización en caso de siniestro sirviendo
como punto de partida para las respuestas en caso de
emergencia.
Es mejor planificar cuando todavía no es
necesario.
Los responsables de la Planificación, deben
evaluar constantemente los planes creados del mismo modo
deberán pensar en otras situaciones que se pudiesen
producir. Un Plan de Contingencia estático se queda
rápidamente obsoleto y alimenta una falsa sensación
de seguridad, solo mediante la revisión y
actualización periódicas de lo dispuesto en el Plan
las medidas preparatorias adoptadas seguirán siendo
apropiadas y pertinentes.
Toda planificación de contingencia debe
establecer objetivos estratégicos así como un Plan
de acción para alcanzar dichos objetivos. A
continuación veremos las diferencias fundamentales entre
una Planificación de la
Contingencia y la planificación de los
objetivos:
La planificación de la contingencia implica
trabajar con hipótesis y desarrollar los escenarios
sobre los que se va a basar la
planificaciónLa planificación de objetivos ya se conoce el
punto de partida y se basará en la evaluación
de las necesidades y recursos.
Un Plan de Contingencia debe ser exhaustivo pero sin
entrar en demasiados detalles, debe ser de fácil lectura y
cómodo de actualizar. Debemos tener en cuenta que un Plan
de Contingencia, eminentemente, debe ser Operativo y debe
expresar claramente lo que hay que hacer, por quien y cuando.
Toda Planificación debe tener en cuenta al personal que
participar directamente en ella desde el personal que lo
planifica hasta aquellos que operativamente participarían
en el accidente. Debemos tener en cuenta los procedimientos para
la revisión del Plan, quien lo actualizará y como,
esa información, llegara a los afectados.
El Plan de Emergencia
Una Planificación de Contingencias debe ser
también un Plan de Emergencia que contenga los siguientes
elementos:
Identificación del escenario
Objetivos operativos
Medidas que se deben adoptar
Investigación
Conclusiones
Objetivos Generales
Minimizar las perdidas
Objetivos Particulares
A. Gestión y coordinación global,
asignación de responsabilidadesB. Activación del Plan de
EmergenciaC. Minimizar las perdidas
Contenido del Plan de Contingencia
A. La naturaleza de la contingencia
B. Las repercusiones operativas de la
contingenciaC. Las respuestas viables
D. Las implicaciones financieras de las
respuestasE. Cualquier efecto en otro proceso
Se deberán valorar los diferentes escenarios,
esta actividad es la más intuitiva y sin embargo una de
las más importantes ya que sienta las bases de toda la
planificación posterior. Para establecer escenarios es
necesario formular distintas hipótesis, aunque estas se
basen en todos los conocimientos disponibles, nunca se debe
eliminar el elemento de imprevisibilidad.
Debe ser un documento "vivo", actualizándose,
corrigiéndose, y mejorándose constantemente. No se
trata de un documento que deba ser revisado exhaustivamente y
fecha fija, sino de un documento que esté en permanente
estado de cambio.
Los planes de contingencia deberán ser realistas
y eficaces. Deberá existir un mecanismo para determinar
qué plan de contingencia alternativo se
instrumentará, tomando en consideración la
eficiencia con respecto al costo. En situaciones de crisis, el
rendimiento con respecto a otros objetivos es
secundario.
Ver esquema (5)
Página anterior | Volver al principio del trabajo | Página siguiente |