Ley # 1: Si un intruso puede convencerlo para ejecutar un programa en su

computadora, no es más su equipo y usted es un………….

Ley # 2: Si un intruso puede alterar el sistema operativo de su computadora, no es

más su equipo

Ley # 3: Si un intruso tiene acceso físico sin restricción a su computadora, no es más

su equipo

Ley # 4: Si permite que alguien cargue archivos a su sitio web, no es más su sitio web

Ley # 5: Las contraseñas débiles triunfan sobre la seguridad fuerte

Ley # 6: Un equipo es tan fuerte como confiable sea el administrador

Ley # 7: Los datos cifrados son tan seguros como la clave de descifrado

Ley # 8: Un antivirus desactualizado es sólo ligeramente mejor que ningún antivirus

Ley # 9: El anonimato absoluto no es práctico, ni en la vida real ni en la web

Ley # 10: La tecnología no es una panacea

 INTRODUCCION

La seguridad es un proceso continuo, que requiere tener previsto hasta

lo imprevisible. Tener unos buenos hábitos y tomar unas pequeñas
precauciones nos ayudarán mucho.

Existen acontecimientos de los que nos puede resultar muy difícil

protegernos como son los desastres naturales, únicamente podremos seguir
una serie de pasos para evitar que su incidencia sea lo menor posible. La mejor
solución es mantener un buen conjunto de copias de seguridad sobre toda la
información necesaria del sistema. Hay que pensar que las copias de
seguridad no sólo nos protegen de desastres naturales, también de los
desastres que pueda ocasionar algún intruso en nuestro sistema, de cualquier
ataque a la disponibilidad o integridad de la información del sistema

Actualmente, la seguridad de los sistemas de información es objeto de

metáforas. A menudo, se la compara con una cadena, afirmándose que el nivel
de seguridad de un sistema es efectivo únicamente si el nivel de seguridad del
eslabón más débil también lo es. De la misma forma, una puerta blindada no
sirve para proteger un edificio si se dejan las ventanas completamente abiertas.

Lo que se trata de demostrar es que se debe afrontar el tema de la

seguridad a nivel global y que debe constar de elementos indicados en su
constitución.
 Las primeras medidas de seguridad que necesita tener en cuenta son
las de seguridad física de sus sistemas. Hay que tomar en consideración
quiénes tienen acceso físico a las máquinas y si realmente deberían acceder.
El nivel de seguridad física que necesita en su sistema depende de su situación
concreta. Un usuario doméstico no necesita preocuparse demasiado por la
protección física, salvo proteger su máquina de un niño o algo así. En una
oficina puede ser diferente.
Al usar sistemas no solo se debe tomar en cuanta la seguridad
lógica, si no como protegerlo de ataques externos que podrían afectar el buen
funcionamiento de cualquier sistema informático, y así mismo proteger el
hardware y los medios de almacenamiento de datos. Algunas de las acciones
que pueden ocurrir es el robo de los equipos o incluso extraer información
confidencial o importante de las áreas claves de cualquier organización o
institución, también podría utilizarse para realizar fraudes. Asimismo el sabotaje
podría estar incurrido en la seguridad física los diferentes tipos de riesgos como
incendios, inundaciones, condiciones climatológicas, señal de radar que puede
inferir en el procesamiento electrónico y afecta en correctivo funcionamiento del
computador.

SEGURIDAD FISICA

Debemos hacer notar que lo más importante en un estudio de seguridad

física es el encontrar los posibles puntos de fallo dentro del sistema. Esto se
realizará estudiando la estructura del sistema y su funcionamiento.
Es esencial comprender como funciona el sistema para conocer los
puntos de fallo que puedan aparecer tanto en el funcionamiento normal del
sistema como ante posibles situaciones anómalas, así como las debilidades
que ante intrusos o atacantes exteriores pueda ofrecer.
Cuando hablamos de seguridad física nos referimos a todos aquellos
mecanismos --generalmente de prevención y detección-- destinados a proteger
físicamente cualquier recurso del sistema; estos recursos son desde un simple
teclado hasta una cinta de backup con toda la información que hay en el
sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación mencionaremos algunos de los problemas de seguridad física
con los que nos podemos enfrentar y las medidas que podemos tomar para
evitarlos o al menos minimizar su impacto.
Protección del hardware
El hardware es frecuentemente el elemento más caro de todo sistema
informático y por tanto las medidas encaminadas a asegurar su integridad son
una parte importante de la seguridad física de cualquier organización.
Problemas a los que nos enfrentamos:
 Acceso físico
 Desastres naturales
 Alteraciones del entorno
Acceso físico
Si alguien que desee atacar un sistema tiene acceso físico al mismo
todo el resto de medidas de seguridad implantadas se convierten en inútiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegación de servicio; si apagamos una máquina que proporciona un servicio
es evidente que nadie podrá utilizarlo.
Otros ataques se simplifican enormemente, p. ej. si deseamos obtener
datos podemos copiar los ficheros o robar directamente los discos que los
contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible
tomar el control total del mismo, por ejemplo reiniciándolo con un disco de
recuperación que nos permita cambiar las claves de los usuarios.
Este último tipo de ataque es un ejemplo claro de que la seguridad de todos
los equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho más sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar
mecanismos de prevención (control de acceso a los recursos) y de detección
(si un mecanismo de prevención falla o no existe debemos al menos detectar
los accesos no autorizados cuanto antes).
Para la prevención hay soluciones para todos los gustos y de todos los
precios:
 analizadores de retina,
 tarjetas inteligentes,
 videocámaras,
 vigilantes jurados,
 ...
En muchos casos es suficiente con controlar el acceso a las salas y
cerrar siempre con llave los despachos o salas donde hay equipos informáticos
y no tener cableadas las tomas de red que estén accesibles.
Para la detección de accesos se emplean medios técnicos, como cámaras de
vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es
suficiente con qué las personas que utilizan los sistemas se conozcan entre si y
sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo
que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.

Desastres naturales
Además de los posibles problemas causados por ataques realizados por
personas, es importante tener en cuenta que también los desastres naturales
pueden tener muy graves consecuencias, sobre todo si no los contemplamos
en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
 Terremotos y vibraciones
 Tormentas eléctricas
 Inundaciones y humedad
 Incendios y humos
Los terremotos son el desastre natural más impactante, aunque hay
varias cosas que se pueden hacer sin un desembolso elevado y que son útiles
para prevenir problemas causados por pequeñas vibraciones:
 No situar equipos en sitios altos para evitar caídas,
  No colocar elementos móviles sobre los equipos para evitar que caigan
sobre ellos,
 Separar los equipos de las ventanas para evitar que caigan por ellas o
qué objetos lanzados desde el exterior los dañen,
 Utilizar fijaciones para elementos críticos,
 Colocar los equipos sobre plataformas de goma para que esta absorba
las vibraciones,
Otro desastre natural importante son las tormentas con aparato eléctrico,
especialmente frecuentes en verano, que generan subidas súbitas de tensión
En entornos normales es recomendable que haya un cierto grado de
humedad, ya que en si el ambiente es extremadamente seco hay mucha
electricidad estática. No obstante, tampoco interesa tener un nivel de humedad
demasiado elevado, ya que puede producirse condensación en los circuitos
integrados que den origen a un cortocircuito...

Alteraciones del entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que
afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de
funcionamiento habitual de las máquinas como la alimentación eléctrica, el
ruido eléctrico producido por los equipos o los cambios bruscos de
temperatura.
Electricidad
Quizás los problemas derivados del entorno de trabajo más frecuentes
son los relacionados con el sistema eléctrico que alimenta nuestros equipos;
cortocircuitos, picos de tensión, cortes de flujo.
Para corregir los problemas con las subidas de tensión podremos
instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación
Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de
corriente constante, evitando las subidas y bajadas de tensión. Estos equipos
disponen de baterías que permiten mantener varios minutos los aparatos
conectados a ellos, permitiendo que los sistemas se apaguen de forma
ordenada (generalmente disponen de algún mecanismo para comunicarse con
los servidores y avisarlos de que ha caído la línea o de que se ha restaurado
después de una caída).
Por último indicar que además de los problemas del sistema eléctrico también
debemos preocuparnos de la corriente estática, que puede dañar los equipos.
Para evitar problemas se pueden emplear espráis antiestáticos o ionizadores y
tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté
excesivamente seco, etc.
Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria
pesada, pero también puede serlo por otros ordenadores o por multitud de
aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a
nuestra instalación.
Para prevenir los problemas que puede causar el ruido eléctrico lo más
barato es intentar no situar el hardware cerca de los elementos que pueden
causar el ruido. En caso de que fuese necesario hacerlo siempre podemos
instalar filtros o apantallar las cajas de los equipos.
Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas
extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a
todos los equipos. En general es recomendable que los equipos operen entre
10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos
de aire acondicionado.
Protección de los datos
Además proteger el hardware nuestra política de seguridad debe incluir
medidas de protección de los datos, ya que en realidad la mayoría de ataques
tienen como objetivo la obtención de información, no la destrucción del medio
físico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad
que afectan a la transmisión y almacenamiento de datos, proponiendo medidas
para reducir el riesgo.
Eavesdropping
La interceptación o eavesdropping, también conocida por ''passive
wiretapping'' es un proceso mediante el cual un agente capta información que
va dirigida a él; esta captación puede realizarse por muchísimos medios:
sniffing en redes ethernet o inalámbricas (un dispositivo se pone en modo
promiscuo y analiza todo el tráfico que pasa por la red), capturando radiaciones
electromagnéticas (muy caro, pero permite detectar teclas pulsadas,
contenidos de pantallas, ...), etc.
El problema de este tipo de ataque es que en principio es
completamente pasivo y en general difícil de detectar mientras se produce, de
forma que un atacante puede capturar información privilegiada y claves que
puede emplear para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque
al final la única realmente útil es cifrar toda la información que viaja por la red
(sea a través de cables o por el aire). En principio para conseguir esto se
deberían emplear versiones seguras de los protocolos de uso común, siempre
y cuando queramos proteger la información. Hoy en día casi todos los
protocolos basados en TCP permiten usar una versión cifrada mediante el uso
del TLS.
Copias de seguridad
Es evidente que es necesario establecer una política adecuada de
copias de seguridad en cualquier organización; al igual que sucede con el resto
de equipos y sistemas, los medios donde residen estas copias tendrán que
estar protegidos físicamente; de hecho quizás deberíamos de emplear medidas
más fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la
información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos
donde se realizan las copias. Así pues, lo más recomendable es disponer de
varios niveles de copia, una que se almacena en una caja de seguridad en un
lugar alejado y que se renueva con una periodicidad alta y otras de uso
frecuente que se almacenan en lugares más próximos).
Para proteger más aun la información copiada se pueden emplear
mecanismos de cifrado, de modo que la copia que guardamos no sirva de nada
si no disponemos de la clave para recuperar los datos almacenados.
Soportes no electrónicos
Otro elemento importante en la protección de la información son los
elementos no electrónicos que se emplean para transmitirla, fundamentalmente
el papel. Es importante que en las organizaciones que se maneje información
confidencial se controlen los sistemas que permiten exportarla tanto en formato
electrónico como en no electrónico (impresoras, plotters, faxes, teletipos,...).
Cualquier dispositivo por el que pueda salir información de nuestro
sistema ha de estar situado en un lugar de acceso restringido; también es
conveniente que sea de acceso restringido el lugar donde los usuarios recogen
los documentos que lanzan a estos dispositivos.
Además de esto es recomendable disponer de trituradoras de papel para
destruir todos los papeles o documentos que se quieran destruir, ya que
evitaremos que un posible atacante pueda obtener información rebuscando en
nuestra basura.

SEGURIDAD LÓGICA
Para hacer que un sistema este protegido lógicamente debe existir un
sistema de control de acceso como: identificación y autenticación que permitiría
tener una defensa para el ingreso de personas no autorizadas a los sistemas
computarizados, donde se pueden encontrar cuatro técnicas que permiten la
autenticación de la identidad del usuario como son: la clave secreta de acceso
o password, tarjeta magnética, huellas digitales o la voz, patrones de escritura;
las se pueden utilizar individualmente o combinadas.
Otros de los controles de acceso es los Roles que es la función que va a
cumplir el usuario dentro del sistema. Las Transacciones que se puede
proteger a través de una clave para el procesamiento. Limitaciones a los
servicios son las restricciones y contribuye a un control de nivel del sistema.
Modalidades de acceso que permite establecer el modo de acceso de los
recursos y la información, pudiéndose constituir de la siguiente manera: lectura,
escritura, ejecución, borrado o todas en conjunto; es decir, cada usuario tendrá
establecida su tipo de modalidad activa, pero a su vez podría utilizar todas las
modalidades y de esta proteger sus documentos creados en el computador e
igualmente en la utilización de cualquier sistema informático.
Para salvaguardar la información se realizaría una encriptación de las
claves y poder proveer de un buen control de acceso y mas allá de ello seria la
encriptación de cualquier información confidencial que se maneje dentro del
sistema. También se utilizaría dispositivos de control de acceso, firewalls o
puertas de seguridad, y de esta manera evitaría de ataques externos como
hackers, virus, etc.; que podrían afectar la seguridad y estabilidad de un
sistema informático.

Para poder llevar a cabo la aplicación de barreras y procedimientos que

resguarden el acceso a los datos y sólo se permita acceder a ellos a las
personas autorizadas para hacerlo para ello se va implementar una política
primordial que es: Todo lo que no está permitido debe estar prohibido, por lo
tanto nadie podrá bajar archivos sin previo aviso y evitar cierto tipo de páginas
no autorizadas por la compañía.

Para ello se tienen los siguientes objetivos:

Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no correspondan.

3. Asegurar que se estén utilizados los datos, archivos y programas correctos

en y por el procedimiento correcto.

4. Que la información transmitida sea recibida sólo por el destinatario al cual ha

sido enviada y no a otro.

5. Que la información recibida sea segura a la misma que ha sido transmitida.

6. Que se disponga de pasos alternativos de emergencia para la transmisión de

información.

Controles de Acceso

Para ello se deben evaluar y controlar con:

• Identificación y Autentificación en claves de acceso al equipo

• Limitaciones a ciertos equipos solo lo podrán utilizar los departamentos

de contabilidad y gerencia

 Control de Acceso Interno

 Control de Acceso Externo

 Administración del equipo

NIVELES DE SEGURIDAD INFORMÁTICA

• NIVEL D
Este nivel contiene sólo una división y está reservada para sistemas que
han sido evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema
operativo es inestable y no hay autentificación con respecto a los usuarios y
sus derechos en el acceso a la información.

• NIVEL C1: PROTECCIÓN DISCRECIONAL

Se requiere identificación de usuarios que permite el acceso a distinta
información. Cada usuario puede manejar su información privada y se hace la
distinción entre los usuarios y el administrador del sistema, quien tiene control
total de acceso.

• NIVEL B3: DOMINIOS DE SEGURIDAD

Refuerza a los dominios con la instalación de hardware: por ejemplo el
hardware de administración de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado

• NIVEL A: PROTECCIÓN VERIFICADA

Es el nivel más elevado, incluye un proceso de diseño, control y
verificación, mediante antivirus para asegurar todos los procesos que realiza en
un sistema
Para llegar a este nivel de seguridad, el software y el hardware son protegidos
para evitar infiltraciones ante traslados o movimientos del equipamiento.

DEFINICIONES COMPONENTES DE LA SEGURIDAD LOGICA

 CONFIDENCIALIDAD
Conjunto de elementos que permitan garantizar razonablemente que la
información magnética o Documentos Fuentes son accesados o
procesados por personal debidamente autorizado, de acuerdo a su
posición jerárquica, responsabilidad y autoridad en la estructura de la
organización.
 CONFIABILIDAD (DISPONIBILIDAD)
Conjunto de elementos de control tanto automatizados como manuales,
que permiten garantizar razonablemente la disponibilidad del producto.
Relacionado directamente con premisa básica de informática:
Continuidad del servicio
Custodia de los datos
La propiedad y uso de los datos pertenece a los usuarios
 INTRUSION
Es aquel acto que consiste en penetrar en sistemas administrativos o
computacionales sin autorización debida, con en fin de extraer
información de manera visual o en forma virtual, sin implicar ello
necesariamente la extracción de información magnética o impresa.
 AUTENTICACION
Acción de verificación que consiste en validar que, quien dice ser sea
efectivamente él. Es decir, al momento de identificarse en un sistema
computacional o de telecomunicaciones, de acuerdo a los procesos de
identificación efectivamente compruebe que es él. Ejemplo:
Identificación de acceso, password. Debe existir un mecanismo que
asegure la autenticación.
 ENCRIPTACION
Es una técnica basada en algoritmos y modelos matemáticos que
permite transformar un conjunto de caracteres o una secuencia de
 caracteres tal, que sólo puede ser entendida por el receptor que utilice el
mismo algoritmo o modelo matemático desencriptador,
 SUSTRACCION
Acción deliberada y maliciosa de apropiarse información magnética ya
sea mediante un down loading (bajada de archivo) o la sustracción de
material impreso, respaldos, o cualquier otro medio de dispositivo de
almacenamiento magnético.
 INTEGRIDAD
Concepto asociado a que la información magnética, mediante controles
apropiados, se mantenga en forma modular sin perder su coherencia ni
su consistencia.
 CONSISTENCIA
Relacionado con la integridad de los datos, se refiere a que estos no
pierdan su forma inicial y la relación coherente con otros datos, campos
o tablas a través del tiempo.
 SOPORTE
Es un concepto vinculado a las acciones o procesos que se encargan de
mantener la integridad y consistencia de una determinada información.
 RESGUARDO
Acciones manuales o automatizadas, para la custodia de la información
magnética
.