tag:blogger.com,1999:blog-75649534013301986002024-02-08T08:23:22.014-08:00SEGURIDAD INFORMATICAangie sanabriahttp://www.blogger.com/profile/07446103468950730137noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-7564953401330198600.post-71725163012339599482014-05-31T08:11:00.002-07:002014-05-31T08:11:56.605-07:00<span style="color: #cc0000; font-size: large;">¿Qué es la seguridad informática? </span><br />
Pareciera que ahora todo dependiera de las computadoras e Internet - comunicación (correos<br />
electrónicos, teléfonos celulares), entretenimiento (cable digital, <br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-T-2awcbsBX8/U4nxNG-hicI/AAAAAAAAAS4/Q4YsTdizOtQ/s1600/consejos_seguridad_ordenador--644x450.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://1.bp.blogspot.com/-T-2awcbsBX8/U4nxNG-hicI/AAAAAAAAAS4/Q4YsTdizOtQ/s1600/consejos_seguridad_ordenador--644x450.jpg" height="223" width="320" /></a></div>
mp3s), transporte (sistemas de<br />
motores de automóviles, navegación en aviones), compras (negocios online, tarjetas de crédito),<br />
medicina (equipamiento, registros médicos), y la lista sigue. ¿En qué medida la mayor parte de su vida<br />
depende de las computadoras? ¿Qué volumen de su información personal está almacenado ya fuere en<br />
su propia computadora o en el sistema de otra persona?<br />
La seguridad informática abarca proteger esa información previniendo, detectando y respondiendo a<br />
los ataques.<br />
¿Cuáles son los riesgos?<br />
Hay muchos riesgos, algunos más serios que otros. Entre ellos están los virus que borran todo el sistema<br />
completo, algunos entrando en su sistema y alterando archivos, otros usando su computadora para<br />
atacar otras, o alguien que roba información de su tarjeta de crédito y hace compras no autorizadas.<br />
Lamentablemente, no hay una garantía 100% de que algunos de estos episodios no le ocurrirán, aún con<br />
las mejores precauciones, pero hay pasos que usted puede tomar para minimizar las probabilidades.<br />
¿Qué puede hacer?<br />
El primer paso para protegerse es reconocer los riesgos y familiarizarse con algunos de los términos<br />
asociados con ellos.<br />
<br />
• Hacker, atacante, o intruso – Estos términos se aplican a la gente que busca explotar las<br />
debilidades del software y los sistemas de computación para su propio provecho. Aunque sus<br />
intenciones a veces son bastante benignas y están motivadas sólo por la curiosidad, sus<br />
acciones típicamente violan el uso que se pretende dar a los sistemas que están explotando.<br />
Los resultados pueden variar desde una mera travesura (crear un virus sin ningún impacto<br />
intencionalmente negativo) a una actividad maliciosa (robar o alterar información).<br />
• Código malicioso – Un código malicioso, a veces denominado “malware”, es una amplia<br />
categoría que incluye cualquier código que pudiera ser usado para atacar su computadora. Un<br />
código malicioso puede tener las siguientes características: Fuente: www.us-cert.gov/cas/tips<br />
______________________________________________________________________<br />
2<br />
<br />
<br />
o Podría requerirle que usted haga algo antes de infectar su computadora. Esta acción<br />
podría ser abrir el adjunto de un correo electrónico o ir a una página web en<br />
particular.<br />
o Algunas formas se propagan sin intervención del usuario y típicamente comienzan<br />
explotando la vulnerabilidad de un software. Una vez que la computadora víctima se<br />
ha infectado, el código malicioso intentará encontrar e infectar otras computadoras.<br />
Este código también puede propagarse vía correo electrónico, sitios web, o software<br />
basado en una red.<br />
o Algunos códigos maliciosos dicen ser una cosa mientras que en realidad hacen algo<br />
diferente detrás de escena. Por ejemplo, un programa que dice que acelera su<br />
computadora puede en realidad estar enviando información confidencial a un intruso<br />
remoto.<br />
Los virus y gusanos son ejemplos de código malicioso.<br />
• Vulnerabilidad – En la mayoría de los casos, las vulnerabilidades son provocadas por errores de<br />
programación en el software. Los atacantes podrían tomar ventaja de estos errores e infectar<br />
su computadora, por lo tanto es importante aplicar actualizaciones o parches para corregir las<br />
vulnerabilidades conocidas.<br />
Esta serie de consejos de seguridad le dará mayor información acerca de cómo reconocer y protegerse<br />
de los ataques<br />
<div>
<br /></div>
angie sanabriahttp://www.blogger.com/profile/07446103468950730137noreply@blogger.com0tag:blogger.com,1999:blog-7564953401330198600.post-46430701265545162632014-05-31T08:08:00.003-07:002014-05-31T08:08:54.284-07:00POLITICAS DE SEGURIDAD INFORMATICA<h3 style="clear: both; text-align: center;">
<span style="color: #cc0000; font-size: large;">Políticas de Seguridad de la Información</span><br style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;" /><a href="http://www.segu-info.com.ar/politicas/politicasseguridad.htm" style="background-attachment: inherit; background-clip: inherit; background-image: inherit; background-origin: inherit; background-position: inherit; background-repeat: inherit; background-size: inherit; color: #999999; text-decoration: none;">volver</a><br style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;" />De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.<br />Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.<br />El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender.<br />Esto adquiere mayor importancia aún cuando el tema abordado por estas políticas es la Seguridad Informática. Extensos manuales explicando como debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo.<br />He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas.<br />En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra." <span class="italica" style="font-style: italic;">(1)</span>Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:<br style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;" /><span class="negrita" style="font-weight: 700;">Decisión:</span>elección de un curso de acción determinado entre varios posibles.<br /><span class="negrita" style="font-weight: 700;">Plan:</span>conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.<br /><span class="negrita" style="font-weight: 700;">Estrategia:</span>conjunto de decisiones que se toman para determinar políticas, metas y programas.<br /><span class="negrita" style="font-weight: 700;">Política:</span> definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.<br /><span class="negrita" style="font-weight: 700;">Meta</span>: objetivo cuantificado a valores predeterminados.<br /><span class="negrita" style="font-weight: 700;">Procedimiento</span>: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.<br /><span class="negrita" style="font-weight: 700;">Norma</span>: forma en que realiza un procedimiento o proceso.<br /><span class="negrita" style="font-weight: 700;">Programa</span>: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.<br /><span class="negrita" style="font-weight: 700;">Proyección</span>: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.<br /><span class="negrita" style="font-weight: 700;">Pronostico</span>: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.<br /><span class="negrita" style="font-weight: 700;">Control:</span> capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan. <span class="italica" style="font-style: italic;">(2)</span><span class="negrita" style="font-weight: 700;">Riesgo:</span>proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.<br style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;" />Ahora, "una <span class="negrita" style="font-weight: 700;">Política de Seguridad</span> es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." <span class="italica" style="font-style: italic;">(3)</span>La RFC 1244 define <span class="negrita" style="font-weight: 700;">Política de Seguridad</span> como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." <span class="italica" style="font-style: italic;">(4)</span>La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." <span class="italica" style="font-style: italic;">(5)</span> y debe:<ul style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;">
<li>Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.</li>
</ul>
<ul style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;">
<li>Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.</li>
</ul>
<ul style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;">
<li>Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.</li>
</ul>
<ul style="font-family: 'trebuchet ms', arial, verdana, helvetica, sans-serif;">
<li>Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.</li>
</ul>
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.<br />No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.<br /><a href="http://2.bp.blogspot.com/-0gVHyOfJqw8/U4nwV1JHAYI/AAAAAAAAASw/8swXWMIUP8M/s1600/Semana-de-la-seguridad-informatica.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://2.bp.blogspot.com/-0gVHyOfJqw8/U4nwV1JHAYI/AAAAAAAAASw/8swXWMIUP8M/s1600/Semana-de-la-seguridad-informatica.gif" /></a></h3>
<div style="height: 0px;">
x</div>
angie sanabriahttp://www.blogger.com/profile/07446103468950730137noreply@blogger.com0