1. LA NATURALEZA DE LA
TECNOLOGÍA
Desde que el ser humano apareció sobre la Tierra hay tecnología.
La tecnología aumenta las posibilidades para cambiar el mundo: cortar, formar o
reunir materiales; mover objetos de un lugar a otro; llegar más lejos con las manos,
voces y sentidos.
Pero los resultados de cambiar el mundo son con frecuencia complicados e
impredecibles; pueden incluir beneficios, costos y riesgos inesperados los
cuales pueden afectar a diferentes grupos sociales en distintos momentos.
Por tanto, anticipar los efectos de la tecnología es tan importante como
prever sus potencialidades.
Marcos Villacis
2. Toda tecnología tiene siempre
efectos colaterales
Además de los beneficios esperados, es probable que la producción y aplicación de
todo diseño tenga efectos secundarios no intencionales.
Por un lado, pueden presentarse beneficios inesperados. Por ejemplo, las condiciones
de trabajo pueden resultar más seguras cuando los materiales se moldean que cuando
se estampan, y los materiales diseñados para satélites espaciales pueden resultar útiles
en productos de consumo.
Por otro lado, las sustancias o procesos que intervienen en la producción pueden dañar
a los trabajadores o al público general; por ejemplo, operar una computadora puede
afectar los ojos del usuario y aislarlo de sus compañeros.
Asimismo, el trabajo puede verse afectado al aumentar el empleo de personas que
intervienen en la nueva tecnología, al disminuir el empleo para aquellos que se
desarrollan en el marco de la tecnología antigua y cambiando la naturaleza del trabajo
que los individuos deben desempeñar en sus centros laborales.
Para minimizar dichas consecuencias, los planificadores están volviendo al análisis
sistemático de riesgos.
Marcos Villacis
3. Administracion de riesgos
La administración de riesgos es una
aproximación científica del comportamiento de
los riesgos, anticipando posibles perdidas
accidentales con el diseño e implementación de
procedimientos que minimicen la ocurrencia de
pérdidas o el impacto financiero de las pérdidas
que puedan ocurrir.
Marcos Villacis
4. Herramientas De La
Administracion De Riesgos
Las principales técnicas o herramientas usadas en la
administración de riesgos son :
Control de Riesgos : Técnica diseñada para minimizar los
posibles costos causados por los riesgos a que esté
expuesta la organización, esta técnica abarca el rechazo de
cualquier exposición a pérdida de una actividad particular y
la reducción del potencial de las posibles perdidas.
Financiación de Riesgos : Se enfoca en garantizar la
habilidad de conocer recursos financieros y las perdidas
que pueden ocurrir en ellos.
Marcos Villacis
5. Estructura De La Seguridad
Informatica
La historia de la seguridad informática se remonta a los tiempos de los
primeros documentos escritos.
La necesidad de información segura tuvo su origen en el año 2000 antes de
Cristo.
La codificación de la información, que es el base del cifrado, fue utilizada por
Julio Cesar, y durante toda la historia en periodos de guerra, incluyendo las
guerras civiles y revolucionarias, y las dos guerras mundiales.
Una de las máquinas de codificación mejor conocidas fue la alemana Enigma,
utilizada por los alemanes para crear mensajes codificados en la Segunda
Guerra Mundial.
Con el tiempo, y gracias a los esfuerzos del proyecto Ultra de los Estados
Unidos de América, entre otros, la capacidad de descifrar los mensajes
generados por los alemanes marcó un éxito importante para los aliados.
Marcos Villacis
6. En los últimos diez años, la importancia de la seguridad informática se ha
puesto de manifiesto por algunas historias.
Una de ellas fue la del gusano de Internet, en 1988, que se extendió por
decenas de miles de computadores, como resultado de la obra de un hacker
llamado Robert Morris.
Había un pirata informático en 1995 en Alemania que se introdujo en casi 30
sistemas a partir de un objetivo que se había propuesto a sí mismo de casi
500.
Más recientemente, en febrero de 1995, el arresto del pirata informático más
buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo
de códigos, de información y de otro tipo de datos secretos durante años.
Claramente, la amplia utilización de los sistemas informáticos ha puesto en
evidencia la importancia de la seguridad informática. El objetivo principal de la
seguridad informática es proteger los recursos informáticos del daño, la
alteración, el robo y la pérdida. Esto incluye los equipos, los medios de
almacenamiento, el software, los listados de impresora y en general, los datos.
Una efectiva estructura de seguridad informática se basa en cuatro técnicas de
administración de riesgos, mostradas en el siguiente diagrama:
Marcos Villacis
8. Técnicas de administración de
riesgos
Estrategias y políticas: Estrategias de administración para seguridad informática
y políticas, estándares, guías o directivos usados para comunicar estas
estrategias a la organización.
Administración de la organización: Procesos que se dirigen hacia políticas
profesionales y programas de capacitación, administración de cambios y control,
administración de seguridad y otras actividades necesarias.
Monitorización de eventos: Procesos reactivos que permite a la administración
medir correctamente la implementación de políticas e identificar en que momento
las políticas necesitan cambios.
Técnología informática: Es la tecnología necesaria para proveer la apropiada
protección y soporte en los distintos procesos involucrados en la organización. La
seguridad informática abarca un amplio rango de estrategias y soluciones, tales
como:
Marcos Villacis
9. Control de acceso: Básicamente, el papel del control de acceso es identificar la
persona que desea acceder al sistema y a sus datos, y verificar la identidad de
dicha persona. La manera habitual de controlar el acceso a un sistema es restringir
la entrada a cualquiera que no tenga un nombre de usuario y una contraseña
válidos.
El control de acceso es efectivo para mantener a las personas desautorizadas
fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no
debería tener acceso libre a todos los programas, archivos e información existente
en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo
DAC, se realiza en muchos sistemas, y es una parte importante de cualquier
acceso donde el acceso a los archivos y programas se concede en función de la
clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional
en tanto que un administrador puede especificar la clase de acceso que decide dar
a otros usuarios del sistema. Esto difiere de otra clase de controles más restrictiva,
control de acceso obligatorio (MAC), que proporciona un control mucho más rígido
de acceso a la información del sistema.
Virus informáticos: La prevención y control de los efectos producidos por las
diferentes clases de virus y programas destructivos que existen.
Marcos Villacis
10. Planificación y administración del sistema: Planificación, organización y
administración de los servicios relacionados con la informática , así como políticas
y procedimientos para garantizar la seguridad de los recursos de la organización.
Cifrado: La encriptación y la desencriptación de la información manipulada, de
forma que sólo las personas autorizadas pueden acceder a ella.
Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a
través de las redes y los sistemas de telecomunicaciones.
Seguridad física: Otro aspecto importante de la seguridad informática es la
seguridad física de sus servicios, equipos informáticos y medios de datos reales;
para evitar problemas que pueden tener como resultado: Pérdida de la
productividad, pérdida de ventaja competitiva y sabotajes intencionados.
Marcos Villacis
11. RIESGOS DE LA COMPUTACION
Algunos riesgos en seguridad emergen de la posibilidad de mal uso
intencional de su computador por intrusos a través de Internet. Otros
son riesgos a los que usted se enfrentaría aunque no estuviera
conectado con Internet (por ejemplo, fallas en el disco duro, robos,
fallas en la energía).
La seguridad en la información concierne a tres áreas importantes:
· Confidencialidad – la información debe estar disponibles sólo para
quienes tienen el derecho de acceder a ella.
· Integridad – la información debe ser modificada solo por aquellos
que estén autorizados a hacerla.
· Disponibilidad – la información deber ser accesible para aquellos
que la necesiten cuando la necesiten.
Marcos Villacis
12. Ventanas compartidas sin protección
Las Ventanas de red compartidas sin protección pueden ser
aprovechadas por los intrusos de manera automática para colocar
herramientas en grandes cantidades de computadores que trabajan
sobre la plataforma Windows que estén conectados a la Internet.
Dado que la seguridad de las páginas en Internet es
interdependiente, un computador afectado genera problemas no
sólo para su dueño, sino que además es una amenaza contra otras
páginas de la Internet. El mayor riesgo inmediato a la comunidad de
la Internet es el potencialmente alto número de computadores
conectados a Internet con ventanas de red compartidas sin
protección combinadas con herramientas de ataque distribuidas.
Otra amenaza incluye un código maligno y destructivo, tales como
los virus o los gusanos, que entran a las ventanas de red
compartidas sin protección para propagarse.
Existe gran potencial para el surgimiento de otras herramientas de
intrusión que atacan ventanas de red compartidas sin protección de
manera más amplia.
Marcos Villacis
13. Código Móvil (Java/JavaScript/ActiveX)
Se han presentado informes sobre problemas con "código
móvil" (e.g. Java, JavaScript, y ActiveX). Estos son lenguajes
de programación que permiten a los programadores de
páginas web escribir un código que luego es ejecutado por su
navegador. Aunque el código por lo general es útil, puede ser
utilizado por intrusos para recolectar información (como las
paginas web que usted visita) o ejecutar un código maligno en
su computador.
Es posible desactivar Java, JavaScript y ActiveX en su
navegador. Le recomendamos lo haga si usted está
navegando en páginas web con los cuales no está
familiarizado o en los cuales no confía.
También debe tener cuidado con los riesgos que conlleva la
utilización de código móvil en programas de correo
electrónico. Muchos de éstos pueden utilizar el mismo código
de los navegadores para mostrar HTML. Por lo tanto, las
vulnerabilidades que afectan Java, JavaScript, y ActiveX por
lo general aplican al correo electrónico y a las páginas web.
14. Programa de Ejecución de página cruzada
Un malintencionado programador de páginas web puede
anexar un programa de ejecución a algo que se ha
enviado a una página web, como un URL, un elemento en
una forma, o una inquietud enviada a una base de datos.
Más adelante, cuando la página le envíe una respuesta,
se le transfiere el programa de ejecución maligno a su
navegador.
Usted potencialmente puede exponer su navegador a
programas de ejecución malignos al seguir los enlaces de
la páginas web, correo electrónico o avisos de grupos a
los que usted pertenezca, sin saber a dónde conducen
utilizar formas interactivas en una página que no es
confiable visitar discusiones de grupos en línea, foros, u
otras páginas dinámicas donde los usuarios pueden
enviar texto con etiquetas HTML.
Marcos Villacis
15. Simulación de correo electrónico
“Simulación” de correo electrónico sucede cuando un correo electrónico
parece haber sido originado en una fuente, cuando en realidad fue enviado
de otra distinta. La simulación de correo electrónico por lo general es un
intento de de engañar al usuario para que éste realice una declaración
perjudicial o para que comuniquen información delicada (como las claves).
El correo electrónico simulado puede ir desde trucos inofensivos hasta
engaños de ingeniería social. Ejemplo de este último incluyen correo
electrónico que dice venir de un administrador de sistema, que solicita a los
usuarios cambiar sus claves por una secuencia determinada y amenaza
con suspender su cuenta si no cumplen con lo indicado correo electrónico
que dice venir de una persona con autoridad que solicita a los usuarios
enviarle una copia de un archivo de clave u otra información delicada.
Tenga en cuenta que aunque los proveedores del servicio podrán solicitar
ocasionalmente que usted cambie su clave, por lo general no le
especificarán por cuál lo debe cambiar.
De la misma manera, la mayoría de los proveedores de servicio legítimos
nunca le solicitarán que les envíe información de su clave por correo
electrónico. Si usted sospecha que recibió una simulación de correo
electrónico de alguien con malas intenciones, debe contactar al soporte de
su proveedor de servicios inmediatamente
Marcos Villacis
16. Virus transportado por correo electrónico
Los virus y otros tipos de código maligno, por lo general se difunden como
archivo adjunto de correo electrónicos. Antes de abrir cualquier archivo
adjunto, asegúrese de conocer la fuente de dicho archivo. No es suficiente
con que el correo haya sido originado de una dirección que usted
reconozca. El virus Melissa se difundió precisamente porque provenía de
direcciones familiares. De la misma manera, un código maligno puede ser
distribuido en programas divertidos o atractivos.
Muchos de los virus recientes utilizan estas técnicas de ingeniería social
para difundirse.
Nunca ejecute un programa a menos de que sepa que su autoría proviene
de una persona o una empresa en la que usted confía. De la misma
manera, no envíe programas de origen desconocido a sus amigos o
colegas de trabajo sólo porque son divertidos pueden incluir un programa
Caballo de Troya.
Marcos Villacis
17. Extensiones de Archivo ocultas
Los sistemas que trabajan en Windows contienen una opción para "Esconder
extensiones de los archivos para tipos de archivo conocidos". La opción se
encuentra activada por defecto, pero el usuario puede escoger desactivarla para
que Windows muestre las extensiones de los archivos.
Se sabe que muchos virus transportados por correo electrónico pueden explotar
estas extensiones de archivo ocultas. El primer gran ataque que tomó ventaja
de una extensión de archivo oculta fue el gusano VBS/LoveLetter, el cual incluía
un archivo adjunto llamado "LOVE-LETTER-FOR-YOU.TXT.vbs". Desde
entonces, otros programas malignos han incluido el mismo esquema para el
nombre.
Algunos ejemplos son:
· Downloader (MySis.avi.exe o QuickFlick.mpg.exe)
· VBS/Timofonica (TIMOFONICA.TXT.vbs)
· VBS/CoolNote (COOL_NOTEPAD_DEMO.TXT.vbs)
· VBS/OnTheFly (AnnaKournikova.jpg.vbs)
Los archivos adjuntos al correo electrónico enviado por estos virus pueden
parecer inofensivos de texto (.txt), MPEG (.mpg), AVI (.avi) u otro tipo de
archivo, cuando en realidad es un programa malintencionado o de ejecución
(.vbs or .exe, por ejemplo).
Marcos Villacis
18. Clientes en Chat
Las aplicaciones de chat por Internet, tales como las aplicaciones
de red de mensajería instantánea y charla interactiva por Internet
(Internet Relay Chat - IRC), suministran un mecanismo para que la
información sea transmitida de manera bi-direccional entre
computadores en Internet.
Los clientes en chat proporcionan grupos de individuos con los
medios para intercambiar diálogo, URLs, y en muchos casos,
archivos de cualquier tipo.
Dado que muchos de los clientes en chat permiten el intercambio
de código ejecutable, ellos presentan riesgos similares a aquéllos
de los clientes con correo electrónicos. Al igual que con éstos
últimos, se deben tomar precauciones para limitar la capacidad del
cliente en chat para ejecutar archivos descargados.
Como siempre, usted debe tener cuidado al intercambiar archivos
con desconocidos.
Marcos Villacis
19. Accidentes y otros riesgos
Además de los riesgos asociados con conectar
su computador a Internet, existe una cantidad
de riesgos que aplican así el computador no
tenga conexión de red alguna.
La mayoría de estos riesgos son conocidos, por
lo que no entraremos en mucho detalle en este
documento, pero es importante aclarar que las
prácticas comunes asociadas con la reducción
de estos riesgos también pueden reducir la
vulnerabilidad a los riesgos asociados con la
utilización en red.
Marcos Villacis
20. Falla del disco
La disponibilidad es uno de los tres elementos clave de
la seguridad de la información. Aunque toda la
información almacenada puede convertirse en no
disponible:
– Si los medios en que está almacenada están
físicamente dañados, destruidos o perdidos
– La información almacenada en discos duros tiene
un riesgo mayor, debido a la naturaleza mecánica
del dispositivo.
Los colapsos de disco duro son la causa común de la
pérdida de información de computadores personales. La
única solución efectiva es efectuar copias de respaldo
permanentemente.
Marcos Villacis
21. Fallas y picos en la corriente
Los problemas de corriente (picos,
apagones y baja tensión) pueden causar
daños físicos a su computador, llevando al
colapso del disco duro o sino, perjudicando
los componentes electrónicos del
computador.
Los métodos para mitigar estos problemas
incluyen la utilización de supresores de pico
y de fuentes de poder ininterrumpidas
(uninterruptible power supplies - UPS).
Marcos Villacis
22. Robo Físico
El robo físico de un computador, claro está, conlleva a la
pérdida de confidencialidad y de disponibilidad, y
(asumiendo que el mismo se pueda recuperar) convierte
en sospechosa la información almacenada en el disco.
Las copias de respaldo permanentes (con las copias
guardadas en algún sitio lejos del computador) permiten
la recuperación de la información, pero las mismas no
pueden solucionar el problema de la confidencialidad.
Las herramientas criptográficas están disponibles para
encriptar la información almacenada en el disco duro de
un computador.
Marcos Villacis