REPUBLICA BOLIVARIANA DE VENEZUELA

MIISTERIO DEL PODER POPULAR PARA LA EDUC. UNIVERSITARIA Y TECNOLOGIA

INSTITUTO DE TECNOLOGIA AGRO-INDUSTRIAL IUTAI

ZONA NORTE

PNF EN ING. INFORMATICA TRAYECTO IV TRIMESTRE II

POLITICAS DE SEGURIDAD

AUTOR:

CONTRERAS V. ANNY Y.

C.I 19860551

PROFESOR:

ING. LISBY MORA

SAN JUAN DE COLON, JUNIO 2015

INTRODUCCION

El descubrimiento ms importante del siglo XX ha sido sin duda la computadora, que est provocando cambios en nuestra sociedad cuya importancia hoy slo podemos intuir, y que los provocar an ms en el futuro.En la actualidad, nuestro entorno est prcticamente controlado por las nuevas tecnologas, que a medida que transcurre el tiempo, avanzan sin lmites y en ocasiones son utilizados incorrectamente provocando daos en el mismo sistema en el que han sido creados.Es indudable el crecimiento de la importancia que tiene el procesamiento de la informacin en el funcionamiento de cualquier organizacin. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin.

Hoy es imposible hablar de un sistema cien por ciento seguros, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms negocios.El trabajo que se presenta a continuacin, est enfocado a las Polticas de Seguridad Informtica (PSI), que surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios.

1- POLITICAS DE SEGURIDAD EN INFORMATICA.

La poltica de seguridad es un conjunto de leyes, reglas y prcticas que regulan la manera de dirigir, proteger y distribuir recursos en una organizacin para llevar a cabo los objetivos de seguridad informtica dentro de la misma.

Las polticas de seguridad definen lo que est permitido y lo que est prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los dueos y permiten adoptar una buena actitud dentro de la organizacin.La RFC 1244 definePoltica de Seguridadcomo: "una declaracin de intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones tcnicas y organizativas que se requerirn.De acuerdo a lo antes expuesto, se puede decir que una poltica de seguridades un conjunto dereglaspara el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prcticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un pas entero.La poltica debe ser enriquecida y compatibilizada con otras polticas dependientes de sta como son: objetivos de seguridad, procedimientos. Debe estar fcilmente accesible de forma que los empleados estn al tanto de su existencia y entiendan su contenido. Puede ser tambin un documento nico o inserto en un manual de seguridad. Se debe designar un propietario que ser el responsable de su mantenimiento y su actualizacin a cualquier cambio que se requiera.

Algunas organizaciones han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso indebido de la misma, la cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo.

En este sentido, las polticas de seguridad informtica (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios.

2- COMO ABODRDAR LA IMPLEMENTACION DE POLITICAS DE SEGURIDAD.La implementacin de medidas de seguridad, es un proceso Tcnico-Administrativo. Como este proceso debe abarcar todala organizacin, sin exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.

Se deber tener en cuenta que la implementacin de Polticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organizacin. La implementacin de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organizacin, tanto tcnica como administrativamente.Por esto, ser necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y tcnicos que se generen.

Es fundamental no dejar de lado la notificacin a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin de otorgar visibilidad a los actos de la administracin.

Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.

Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la poltica.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo suceder; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y trminos legales pero sin sacrificar su precisin) sobre el porqu de las decisiones tomadas.

Finalmente, como documento dinmico de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, etc.Se comienza realizando una evaluacin del factor humano, el medio en donde se desempea, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del anlisis, se originan un programa de seguridad, el plan de accin y las normas y procedimientos a llevar a cabo.

Para que todo lo anterior llegue a buen fin debe realizarse un control peridico de estas polticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditora a los archivos Logs de estos controles.Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulacin de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y los casos reales registrados generan una realimentacin y revisin que permiten adecuar las polticas generadas en primera instancia.

Por ltimo el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la poltica falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseo de un sistema. Si la seguridad es contemplada luego de la implementacin del mismo, el personal se enfrentar con problemas tcnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayora de los casos, un menor grado de seguridad.3- LEGISLACIN NACIONAL E INTERNACIONAL DE LOS DELITOS INFORMTICOS.Segn Luciano Saellas (2012) en su artculo titulado Delitos Informticos ciberterrorismo, define Delitos Informticos como aquella conducta ilcita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informtico.

Legislacin nacional

El Artculo 110 de laConstitucin de la Repblica Bolivariana de Venezuela (2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la innovacin y sus aplicaciones y los servicios de informacin necesarios por ser instrumentos fundamentales para el desarrollo econmico, social y poltico del pas, as como para la seguridad y soberana nacional. Para el fomento y desarrollo de esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la ley. El sector privado deber aportar recursos para los mismos. El Estado garantizar el cumplimiento de los principios ticos y legales que deben regir las actividades de investigacin cientfica, humanstica y tecnolgica. La ley determinar los modos y medios para dar cumplimiento a esta garanta.El Artculo 28 de la CRBVestablece que toda persona tiene el derecho de acceder a la informacin y a los datos que sobre s misma o sobre sus bienes consten en registros oficiales o privados, () Igualmente, podr acceder a documentos de cualquier naturaleza que contengan informacin cuyo conocimiento sea de inters para comunidades o grupos de personasPor otra parte el Artculo 60seala que toda persona tiene derecho a la proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputacin. La ley limitar el uso de la informtica para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.A su vez, elArtculo 143acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administracin Pblica, () Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad democrtica

La Ley Especial Contra los Delitos Informticos (2001) tiene porObjeto la Proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas.

Legislacin internacional

Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informtica. Tradicionalmente se ha considerado en todos los pases el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informtico, la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas, distinto a donde se materializa el dao.Debido a situaciones como las antes expuestas, los pases se vieron en la necesidad de agruparse y en primer lugar definir algunos trminos cibernticos que pudieran permitir la unificacin de criterios en esta materia. As, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estndares mnimos, tal es el caso de la Organizacin de Cooperacin y Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos, desde 1983 hasta 1986 en publicaruninforme titulado Delitos de Informtica: anlisis de la normativa jurdica, donde se recomendaba una lista mnima de ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.

Esa lista mnima de delitos informticos era como sigue:

Fraude y falsificacin informticos. Alteracin de datos y programas decomputadora. Sabotaje informtico. Acceso no autorizado. Interceptacin no autorizada yreproduccin no autorizada de un programa de computadora protegido.

Posteriormente, la Comisin Poltica de Informacin Computadoras y Comunicacin recomend que se instituyesen protecciones penales contra otros usos indebidos.Se trataba de una lista optativa o facultativa, que inclua entre otros aspectos, los siguientes:

Espionaje informtico. Utilizacin no autorizada de una computadora. Utilizacin no autorizada de un programa de computadora protegido. Robo de secretos comerciales y acceso o empleo no autorizado de sistemas de computadoras.

Adicionalmente, el Comit Especial de Expertos en Delitos Informticos, adscritos al Comit Europeo para los problemas de la delincuencia, se dedic a examinar temas como: La proteccin de la esfera personal.

Las Victimas.

La posibilidad de prevencin.

Procedimiento (investigacin y confiscacin internacional de bancos de datos y la cooperacin internacional en la investigacin y represin del delito informtico).

De igual manera, la Organizacin de las Naciones Unidas (ONU), en elManual de la ONU para la Prevencin y Control de Delitos Informticos seala, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informtico constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperacin internacional.Otra organizacin internacional que se dedic a tratar este aspecto de la seguridad informtica, es la Asociacin Internacional de Derecho Penal, queadopt diversas recomendaciones respecto a los delitos informticos. En la medida en que el derecho penal tradicional no sea suficiente, deber promoverse la modificacin de la definicin de los delitos existentes o la creacin de otros nuevos.

Seala como delitos, entre otras:

El trfico con contraseas informticas obtenidas por medios inapropiados

Distribucin de virus o de programas similares

La Organizacin de Estados Americanos (OEA), entre las estrategias de seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad ciberntica de los sistemas de informacin, las infraestructuras esenciales y las economas en todo el mundo.En el contexto internacional, Quintero establece que los pases que cuentan con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa, Alemania, China, Holanda y AustriaInglaterra.Debido a un caso de hacking en 1991, comenz a regir en este pas la Ley de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos de prisin o multasChina. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podr ser condenada con penas que van de10 aos de prisin hasta la muerte.Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la informacin o a un sistema de comunicaciones puede ser castigado con crcel de seis meses a quince aos.

4- EVALUACIN DE RIESGOS.El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presuponer algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto. "Qu puede ir mal?"

"Con qu frecuencia puede ocurrir?"

"Cules seran sus consecuencias?"

"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

"Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una semana, cuanto tiempo?"

"Cul es el costo de una hora sin procesar, un da, una semana...?"

"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"

"Se tiene forma de detectar a un empleado deshonesto en el sistema?"

"Se tiene control sobre las operaciones de los distintos sistemas?"

"Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?"

"A qu se llama informacin confidencial y/o sensitiva?"

"La informacin confidencial y sensitiva permanece as en los sistemas?"

"La seguridad actual cubre los tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?"

"A quin se le permite usar que recurso?"

"Quin es el propietario del recurso? y quin es el usuario con mayores privilegios sobre ese recurso?"

"Cules sern los privilegios y responsabilidades del Administrador vs. la del usuario?"

"Cmo se actuar si la seguridad es violada?.

Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen de tipo:

Ejemplo.

Tipo de RiesgoFactor

Robo de hardwareAlto

Robo de informacinAlto

VandalismoMedio

Fallas en los equiposMedio

Virus InformticosMedio

EquivocacionesMedio

Accesos no autorizadosMedio

FraudeBajo

FuegoMuy Bajo

TerremotosMuy Bajo

Segn esta tabla habr que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios segn el factor de riesgo representado.5- ESTRATEGIAS DE SEGURIDAD.Para establecer una estrategia adecuada es conveniente pensar una poltica de proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva.LaEstrategia Proactiva(proteger y proceder) o de previsin de ataques es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinacin del dao que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta estrategia.

LaEstrategia Reactiva(perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible.

Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la organizacin proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos que se indique expresamente que cierto servicio no est disponible, todos los dems s lo estarn.

Estas posturas constituyen la base de todas las dems polticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qu acciones se toleran y cules no.

Actualmente, y gracias a las, cada da ms repetitivas y eficaces, acciones que atentan contra los sistemas informticos los expertos se inclinan por recomendar la primera poltica mencionada.

6- TENDENCIAS DE LA SEGURIDAD MICROELECTRNICA.La microelectrnica es la aplicacin de la ingeniera electrnica a componentes y circuitos de dimensiones muy pequeas, microscpicas y hasta de nivel molecular para producir dispositivos y equipos electrnicos de dimensiones reducidas pero altamente funcionales. El telfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnologa Microelectrnica.

Existen mltiples factores de ndole tecnolgicos que explican la convergencia de la Microelectrnica, la Informtica y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:

Los tres campos de actividad se caracterizan por utilizar un soporte fsico comn, como es la microelectrnica.

Por la gran componente de software incorporado a sus productos.

Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribucin (deslocalizacin) de los distintos elementos de proceso de la informacin en mbitos geogrficos distintos.

La microelectrnica, frecuentemente denominada hardware, est residente en todas las funcionalidades del proceso de informacin. Resuelve los problemas relacionados con la interaccin con el entorno como la adquisicin y la presentacin dela informacin, mediante dispositivos como transductores, tarjetas de sonido, tarjetas grficas, etc. No obstante, su mayor potencialidad est en la funcin de tratamiento de la informacin.

La microelectrnica abarca como campo de aplicacin la domtica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestin energtica, seguridad, bienestar y comunicacin, y que pueden estar integrados por medio de redes interiores y exteriores de comunicacin, cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. Entre las tareas realizadas por la demtica se usan distintos tipos de componentes microelectrnicos que hacen que dichas tareas se lleven a cabo con gran precisin por medio de microcontroladores.La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran:

Simulacin de presencia.

Alarmas de Deteccin de incendio, fugas de gas, escapes de agua, concentracin de monxido en garajes.

Alerta mdica.

Tele asistencia.

Cerramiento de persianas puntual y seguro.

Acceso a Cmaras IP.

CONCLUSIONLa Poltica de Seguridad debe ser la gua a seguir por la empresa para asegurar su informacin valiosa.

En primer lugar, no podemos perder de vista la actividad de nuestro negocio y lo que este nos exige da a da, por lo tanto, conviene establecer una Poltica concisa y clara, sin rodeos ni "obligaciones" que posteriormente, por las caractersticas de nuestra organizacin, no podamos cumplir.

Un punto fundamental es establecer los requisitos de seguridad de nuestra empresa, desarrollando un conjunto de principios y reglas que resuman como se gestionar la proteccin de la informacin del negocio.

La Poltica de Seguridad debe tener unos objetivos bsicos que fundamentalmente serngarantizar la confidencialidad, integridad y disponibilidad de los datos.