Presenta los aspectos mas relevantes de tener presente en una empresa sobre las politicas de seguridad para así evitar inconvenientes que ocasionan grandes riesgo perjudicando el patrimonio de la organización.
2. Contenido
2
Políticas de seguridad informática
Como abordar la implementación de políticas
de seguridad.
Legislación Nacional e Internacional y los
delitos informáticos.
Evaluación de riesgos.
Estrategias de seguridad.
Tendencias de la seguridad microelectrónica
3. 3
¿Qué es una política de seguridad
informática?
Son una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de
la información de una empresa y minimizar los riesgos que puedan afectar el desarrollo de sus actividades. Estas
políticas no solo van destinadas a los equipos técnicos e informáticos de una empresa, sino a todos los
miembros de la organización que sean susceptibles a producir algún error o descuido de seguridad, pues
muchos de los problemas de seguridad de las empresas se producen por errores de las personas que no tienen
en cuenta la vulnerabilidad de los datos y la información de la que son responsables.
Una política de seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que
indica en términos generales que está y que no está permitido en el área de seguridad durante la operación
general del sistema. Debe ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y
eficiencia.
4. 4
¿Cómo abordar la implementación de
políticas de seguridad?
Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así
como sus posibles consecuencias.
Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse
para afrontar los riesgos identificados en los diferentes departamentos de la organización.
Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado
acerca de las falencias en las aplicaciones y en los materiales que se usan.
Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza.
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso
de los empleados.
Un procedimiento para administrar las actualizaciones.
Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente.
Un plan de recuperación luego de un incidente.
Un sistema documentado actualizado.
5. 5
¿Las causas de inseguridad de los sistemas?
• Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las
funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo,
no desactivar los servicios de red que el usuario no necesita).
• Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad
disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los
dispositivos de seguridad con los que cuentan).
6. 6
¿Legislación Nacional e internacional de los
delitos informáticos?
Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos
informáticos, debido a los daños y perjuicios que le han causado a la humanidad tratándose de los hechos en
figuras típicas de carácter tradicional, como fraude, falsificaciones, estafas, robo, hurto y sabotaje. En este
artículo se pretende dar una visión global sobre los avances en materia de legislación nacional e
internacional, que se ha desarrollado en esta materia.
Legislación Nacional
El Artículo 110 de la Constitución de la República Bolivariana de Venezuela (2010), el Estado reconocerá el
interés público de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de
información necesarios por ser instrumentos fundamentales para el desarrollo económico, social y político
del país, así como para la seguridad y soberanía nacional. El Estado garantizará el cumplimiento de los
principios éticos y legales que deben regir las actividades de investigación científica, humanística y
tecnológica.
Artículo 60 señala que toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia
imagen, confidencialidad y reputación. La ley limitará el uso de la informática para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.
.
7. 7
La Ley Especial Contra los Delitos Informáticos (2001) tiene por Objeto la Protección integral de los sistemas
que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra
tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías.
Legislación Internacional
Son los problemas que han surgido a nivel internacional en materia de delincuencia informática.
Tradicionalmente se ha considerado en todos los países el principio de territorialidad, que consiste en aplicar
sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito
informático, la situación cambia porque el delito pudo haberse cometido desde cualquier otro país, distinto a
donde se materializa el daño. Entre los delitos informáticos mas frecuentes tratan de:
• Fraude y falsificación informáticos
• Alteración de datos y programas de computadora
• Sabotaje informático
• Acceso no autorizado
• Interpretación no autorizada y
• Reproducción no autorizada de un programa de computadora protegido.
8. 8
Delitos informático
Es toda aquella acción anti-jurídica y culpable a través de vías informáticas o que tiene como objetivo
destruir y dañar por medios electrónicos y redes de Internet. Existen conductas criminales por vías
informáticas que no pueden considerarse como delito, La criminalidad informática consiste en la
realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de
delito, sean llevados a cabo utilizando un elemento informático.
Existen leyes que tienen por objeto la protección integral de los sistemas que utilicen tecnologías de
información, así como la prevención y sanción de los delitos cometidos en las variedades existentes
contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas
tecnologías.
9. 9
Evaluación de riesgos
Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y
amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto
de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o
evitar la ocurrencia del riesgo.
Conocer el riesgo a los que están sometidos los activos es imprescindible para poder gestionarlos,
y por ello han surgido una multitud de guías informales, aproximaciones metódicas y
herramientas de soporte las cuales buscan objetivar el análisis para saber cuán seguros (o
inseguros) están dichos activos.
10. 10
Estrategias de seguridad
Existen algunas estrategias generales que responden a diferentes principios asumidos para llevar
a cabo la implementación de una solución de seguridad.
Mínimo privilegio: Este es uno de los principios más fundamentales de seguridad. La estrategia
consiste en conceder a cada objeto (usuario, programa y sistema) solo aquellos permisos o
privilegios que son necesarios para realizar las tareas que se programó para ellos.
Defensa en profundidad: Esta estrategia se basa en la implementación de varios mecanismos de
seguridad y que cada uno de ellos refuerce a los demás. De esta forma se evita que la falla de
uno de los mecanismos deje vulnerable a la red completa.
Punto de Ahogo (acceso): Esta estrategia consiste en depender de un único punto de acceso a la
red privada para todas las comunicaciones entre ésta y la red pública. Ya que no existe otro
camino para el tráfico de entrada y salida, los esfuerzos de control y mecanismos de seguridad se
centran y simplifican en monitoria un solo sitio de la red.
11. 11
Estrategias de seguridad
El enlace más débil: Esta estrategia responde a un principio de seguridad que, aplicado a redes,
establece que un sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de
los ataques a la privacidad de una red.
Estado a prueba de fallos: Esta estrategia considera un importante factor en la seguridad de redes:
ninguna solución de seguridad es 100% segura. Más o menos segura, una protección puede fallar.
Protección Universal: Más que una estrategia, es un principio que debería cumplir toda solución de
seguridad. Se plantea que todo individuo en la organización que posee la red privada debe colaborar
en mantener y cumplir las medidas de seguridad que permitan ofrecer una protección efectiva sus
sistemas. De otra forma, un atacante podría aprovechar la debilidad de aquellos sistemas a cargo de
estas personas para poder llegar al resto de los recursos de la red.
12. 12
Tendencias de la seguridad microelectrónica
La microelectrónica es la aplicación de la ingeniería electrónica a componentes y circuitos de dimensiones
muy pequeñas, microscópicas y hasta de nivel molecular para producir dispositivos y equipos electrónicos de
dimensiones reducidas pero altamente funcionales. Existen múltiples factores de índole tecnológicos que
explican la convergencia de la Microelectrónica, la Informática y las Telecomunicaciones en las TIC. Pero
todos se derivan de tres hechos fundamentales:
Existen múltiples factores de índole tecnológicos que explican la convergencia de la Microelectrónica, la
Informática y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:
Los tres campos de actividad se caracterizan por utilizar un soporte físico común, como es la
microelectrónica.
Por la gran componente de software incorporado a sus productos.
Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribución (deslocalización) de
los distintos elementos de proceso de la información en ámbitos geográficos distintos.