Repblica Bolivariana De Venezuela

Ministerio Del Poder Popular Para La Educacin Universitaria

Ciencia Y Tecnologa
Instituto Universitario De Tecnologa Agro Industrial
San Juan De Coln, Extensin Zona Norte

Autor:
Chacn M Erick A.
Pnf Informtica

Polticas de seguridad
Definimos Poltica de seguridad como un documento
sencillo que define las directrices organizativas en materia de
seguridad (Villaln).
A partir de este anlisis habr que disear una poltica de
seguridad en la que se establezcan las responsabilidades y
reglas a seguir para evitar esas amenazas o minimizar los
efectos si se llegan a producir.
El objetivo de la Poltica de Seguridad de Informacin de
una organizacin es, por un lado, mostrar el posicionamiento
de la organizacin con relacin a la seguridad, y por otro lado
servir de base para desarrollar los procedimientos concretos
de seguridad.
La empresa debe disponer de un documento formalmente
elaborado sobre el tema y que debe ser divulgado entre todos
los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha
de quedar como una declaracin de intenciones. Lo ms
importante para que estas surtan efecto es lograr la
concienciacin, entendimiento y compromiso de todos los
involucrados.
Las polticas deben contener claramente las practicas
que sern adoptadas por la compaa. Y estas polticas deben
ser revisadas, y si es necesario actualizadas, peridicamente.
Las polticas deben:
definir qu es seguridad de la informacin,
cules son sus objetivos principales y su importancia
dentro de la organizacin

mostrar el compromiso de sus altos cargos

con la misma

definir la filosofa respecto al acceso a los

datos

establecer responsabilidades inherentes al

tema

establecer la base para poder disear normas

y procedimientos referidos a

Organizacin de la seguridad
o
Clasificacin y control de los datos
o
Seguridad de las personas
o
Seguridad fsica y ambiental
o
Plan de contingencia
o
Prevencin
vencin y deteccin de virus
o
Administracin de los computadores
A partir de las polticas se podr comenzar a desarrollar,
primero las normas, y luego los procedimientos de seguridad
que sern la gua para la realizacin de las actividades.
o

La poltica de seguridad comprende todas las reglas de

seguridad que sigue una organizacin (en el sentido general
de la palabra). Por lo tanto, la administracin de la
organizacin en cuestin debe encargarse de definirla, ya que
afecta a todos los usuarios del sistema.
La poltica de seguridad se implementa mediante una
serie de mecanismos de seguridad que constituyen las
herramientas para la proteccin del sistema. Estos
mecanismos normalmente se apoyan en normativas que
cubren reas ms especficas.
Esquemticamente:

Los mecanismos de seguridad se dividen en tres grupos:

1. Prevencin:
Prevencin
Evitan desviaciones respecto a la poltica de
seguridad.

Ejemplo: utilizar el cifrado en la transmisin de la

informacin evita que un posible atacante capture (y
entienda) informacin en un sistema de red.
2. Deteccin:
Deteccin
Detectan las desviaciones si se producen,
violaciones o intentos de violacin de la seguridad del
sistema. Ejemplo: la herramienta Tripwire para la
seguridad de los archivos.
3. Recuperacin:
Recuperacin
Se aplican cuando se ha detectado una violacin de
la seguridad del sistema para recuperar su normal
funcionamiento. Ejemplo: las copias de seguridad.
Dentro del grupo de mecanismos de prevencin tenemos:
Mecanismos de identificacin e autenticacin
Permiten identificar de forma nica 'entidades' del
sistema. El proceso siguiente es la autenticacin, es
decir, comprobar que la entidad es quien dice ser.

Pasados estos dos filtros, la entidad puede acceder

a un objeto del sistema.
En concreto los sistemas de identificacin y
autenticacin de los usuarios son los mecanismos mas
utilizados.
Mecanismos de control de acceso
Los objetos del sistema deben estar protegidos
mediante mecanismos de control de acceso que
establecen los tipos de acceso al objeto por parte de
cualquier entidad del sistema.

Mecanismos de separacin
Si el sistema dispone de diferentes niveles de
seguridad se deben implementar mecanismos que
permitan separar los objetos dentro de cada nivel.

Los mecanismos de separacin, en funcin de como

separan los objetos, se dividen en los grupos siguientes:
separacin fsica, temporal, lgica, criptogrfica y
fragmentacin.

Mecanismos
de
seguridad
en
las
comunicaciones
La proteccin de la informacin (integridad y
privacidad) cuando viaja por la red es especialmente
importante. Clsicamente se utilizan protocolos seguros,
tipo SSH o Kerberos, que cifran el trfico por la red.

Implementacin
seguridad:

de

polticas

de

Una vez conocidas las vulnerabilidades y ataques a las

que est expuesto un sistema es necesario conocer los
recursos disponibles para protegerlo. Mientras algunas
tcnicas son evidentes (como la seguridad fsica) otras pautas
no lo son tanto e incluso algunas pueden ocasionar una
sensacin de falsa seguridad.
Todas y cada una de las polticas de seguridad de una
empresa u organizacin deben cumplir con los siguientes
aspectos:
Objetivos de la poltica y descripcin clara de los
elementos involucrados en su definicin
Responsabilidades por cada uno de los servicios y
recursos informticos aplicado a todos los niveles de la
organizacin
Requerimientos mnimos para configuracin de la
seguridad de los sistemas que abarca el alcance de la poltica
Definicin de violaciones y sanciones por no cumplir con
las polticas
Responsabilidades de los usuarios con respecto a la
informacin a la que tiene acceso

Legislacin nacional e internacional de

los delitos informticos.
Delito Informtico: Todas aquellas conductas ilcitas
susceptibles de ser sancionadas por el derecho, y que hacen
uso
indebido
de
cualquier
medio
informtico".
La Ley Especial Contra Delitos Informticos forma parte de un
conjunto de instrumentos jurdicos que vienen a establecer el
marco de regulacin del rea tecnolgica en Venezuela,
aspecto en el cual se avanza a pasos agigantados. Sin
embargo, el dinamismo en materia tecnolgica crea ciertos
inconvenientes debido a que al no estar regulada
jurdicamente sta rea, da cobijo a actividades que sin ser
"ilcitas" representan una plaga para la sociedad. Como por
ejemplo:
Acceso

indebido.
Sabotaje o dao a sistemas.
Espionaje informtico.
Falsificacin de documentos.
Manejo fraudulento de tarjetas inteligentes o
instrumentos anlogos.
Difusin o exhibicin de material pornogrfico.
Apropiacin de propiedad intelectual, Etc.

SITUACION EN ARGENTINA Y EN EL RESTO DEL MUNDO.

En la Argentina, an no existe legislacin especfica sobre
los llamados delitos informticos. Slo estn protegidas las
obras de bases de datos y de software, agregados a la lista de
tems contemplados por la Ley 11.723 de propiedad
intelectual gracias al Decreto N 165/94 del 8 de febrero de
1994.
En dicho Decreto se definen:
Obras de software: Las producciones que se ajusten a las
siguientes definiciones:
Los diseos, tanto generales como detallados, del flujo
lgico de los datos en un sistema de computacin.
Los programas de computadoras, tanto en versin
"fuente", principalmente destinada al lector humano, como en
su versin "objeto", principalmente destinada a ser ejecutada
por la computadora.
La documentacin tcnica, con fines tales como
explicacin, soporte o entrenamiento, para el desarrollo, uso
o mantenimiento de software.
Obras de base de datos: Se las incluye en la categora de
"obras literarias", y el trmino define a las producciones
"constituidas por un conjunto organizado de datos
interrelacionados, compilado con miras a su almacenamiento,
procesamiento y recuperacin mediante tcnicas y sistemas
informticos".
De acuerdo con los cdigos vigentes, para que exista
robo o hurto debe afectarse una cosa, entendiendo como
cosas aquellos objetos materiales susceptibles de tener algn
valor, la energa y las fuerzas naturales susceptibles de
apropiacin. (Cdigo Civil, Art. 2311).
Asimismo, la situacin legal ante daos infligidos a la
informacin es problemtica:

El artculo 1072 del Cdigo Civil argentino declara "el acto

ilcito ejecutado a sabiendas y con intencin de daar la
persona o los derechos del otro se llama, en este Cdigo,
delito", obligando a reparar los daos causados por tales
delitos.
En caso de probarse la existencia de delito de dao por
destruccin de la cosa ajena, "la indemnizacin consistir en
el pago de la cosa destruida; si la destruccin de la cosa fuera
parcial, la indemnizacin consistir en el pago de la diferencia
de su valor y el valor primitivo" (Art. 1094).
Existe la posibilidad de reclamar indemnizacin cuando el
hecho no pudiera ser considerado delictivo, en los casos en
que "alguien por su culpa o negligencia ocasiona un dao a
otro" (Art. 1109).
Pero "el hecho que no cause dao a la persona que lo
sufre, sino por una falta imputable a ella, no impone
responsabilidad alguna" (Art. 1111).
En todos los casos, el resarcimiento de daos consistir
en la reposicin de las cosas a su estado anterior, excepto si
fuera imposible, en cuyo caso la indemnizacin se fijar en
dinero" (Art. 1083).
El mayor inconveniente es que no hay forma de
determinar fehacientemente cul era el estado anterior de los
datos, puesto que la informacin en estado digital es
fcilmente adulterable. Por otro lado, aunque fuera posible
determinar el estado anterior, sera difcil determinar el valor
que dicha informacin tena, pues es sabido que el valor de la
informacin es subjetivo, es decir, que depende de cada uno y
del contexto

Evaluacin de riesgos
Es importante en toda organizacin contar con una
herramienta, que garantice la correcta evaluacin de los
riesgos, a los cuales estn sometidos los procesos y
actividades que participan en el rea informtica; y por medio
de procedimientos
edimientos de control se pueda evaluar el desempeo
del entorno informtico.
Viendo la necesidad en el entorno empresarial de este
tipo de herramientas y teniendo en cuenta que, una de las
principales causas de los problemas dentro del entorno
informtico, es la inadecuada administracin de riesgos
informticos, esta informacin sirve de apoyo para una
adecuada gestin de la administracin de riesgos, basndose
en los siguientes aspectos:
La evaluacin de los riesgos inherentes a los procesos
informticos.
La evaluacin de las amenazas causas de los riesgos.
Los controles utilizados para minimizar las amenazas a
riesgos.
La asignacin de responsables a los procesos
informticos

Estrategia de seguridad
seguridad
El plan de seguridad se encargar de incluir una
Estrategia Proactiva que ayude a reducir al mnimo la
cantidad de puntos vulnerables existentes en las directivas de
seguridad y a desarrollar planes de contingencia. Tambin se

tendr que aplicar, Estrategia Reactiva que ayude al personal

de seguridad a evaluar el dao que ha causado el ataque, a
repararlo o a implementar el plan de contingencia
desarrollado en la Estrategia Proactiva. Y en cuanto a el
anlisis de riesgos supone ms que el hecho de calcular la
posibilidad de que ocurran cosas negativas, primero se debe
poder obtener una evaluacin econmica del impacto de
estos sucesos, segundo se debe tener en cuenta la
probabilidad que sucedan cada uno de los problemas
posibles, por lo tanto se debe conocer qu se quiere proteger,
dnde y cmo, asegurando que con los costos en los que se
incurren se obtengan beneficios efectivos.

Tendencia
electrnica

de

Seguridad

MicroMicro-

Con respecto a la postura que puede adoptarse ante los

recursos compartidos:
Lo
que
no
se
permite
expresamente
est
prohibido: significa que la organizacin proporciona una
serie de servicios bien determinados y documentados, y
cualquier otra cosa est prohibida.
Lo
que
no
se
prohbe
expresamente
est
permitido: significa que, a menos que se indique
expresamente que cierto servicio no est disponible,
todos los dems s lo estarn.
Estas posturas constituyen la base de todas las dems
polticas de seguridad y regulan los procedimientos puestos
en marcha para implementarlas. Se dirigen a describir qu
acciones se toleran y cules no.
Actualmente, y gracias a las, cada da ms repetitivas y
eficaces, acciones que atentan contra los sistemas
informticos los expertos se inclinan por recomendar la
primera poltica mencionada, significa que la organizacin

proporciona una serie de servicios bien determinados y

documentados, y cualquier otra cosa est prohibida.