2. Resumen Introductorio Y Objetivos.doc

SEGURIDAD INFORMATICA Y PROPIEDAD INTELECTUAL Este capítulo presenta el conocimiento básico necesario para evaluar la seguridad informática, del entorno y de la infraestructura de TI de una organización. Este conocimiento permite determinar si la seguridad establecida satisface las necesidades que tiene una organización para salvaguardar la información de la utilización, revelado, y modificación sin autorización y de la pérdida o daño accidental o maliciosa. SEGURIDAD INFORMATICA GESTIÓN DE LA SEGURIDAD INFORMATICA La gestión de la seguridad de la información para ser eficaz requiere el compromiso y soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la concienciación y la formación formales en la seguridad. Esto incluye su propia formación. La política de seguridad y los procedimientos relacionados deben estar actualizados y reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos de información de tal manera que haya un entendimiento claro de los riesgos y las amenazas. El desarrollo de la política de seguridad de la información es responsabilidad de la alta dirección, delegando su implementación en los apropiados niveles de la dirección. La existencia y la promoción de una política de seguridad de la información son de capital importancia para la supervivencia y el desarrollo de una organización. Para que la seguridad se implemente y mantenga con éxito, se deben establecer y comunicar claramente los elementos esenciales para la gestión de la seguridad de la información. Entre ellos se incluyen: POLÍTICAS Y PROCEDIMIENTOS: Debe comenzar con una política de organización general manifestando el claro compromiso de la alta dirección y dando directrices al respecto. Aspectos a contemplar en esta política son la importancia de la información para la organización, la necesidad de la seguridad, la importancia de definir los activos sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a introducir y mantener en el sistema de seguridad. ORGANIZACIÓN: Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de seguridad deben estar claramente definidas. La política de seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones, sistemas o servicios específicos. Las responsabilidades a considerar por posición incluyen:  

  

Dirección ejecutiva: tiene la responsabilidad global de los activos de información. Comité de seguridad: las políticas y procedimientos de seguridad afectan a toda la organización, por tanto, deben tener el soporte de los usuarios finales, dirección ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles cuya tarea es la de discutir temas de seguridad y establecer las prácticas de seguridad. Propietarios de datos: determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad. Propietarios de procesos: son los responsables de la seguridad de los procesos bajo su responsabilidad en línea con la política de la organización Desarrolladores de TI: Implementan la seguridad de la información

 



Especialistas de seguridad: Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de seguridad de la organización. Usuarios: Deben seguir los procedimientos establecidos en la política de seguridad de la organización que generalmente incluye: Leer la política de seguridad, mantener en secreto la identificación de usuario y la contraseña, informar de las sospechas de violación de la seguridad, mantener una buena seguridad física cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la clave de acceso de cerraduras electrónicas y preguntando a personas desconocidas, cumpliendo las leyes y regulaciones legales, siguiendo las regulaciones de privacidad respecto a información confidencial (salud, legal, etc.) Auditores de SI: Suministran un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de seguridad de la información. POLÍTICA DE SEGURIDAD INFORMATICA

Una Política de Seguridad se define como la especificación de los requerimientos para el control de acceso a la información, aplicaciones y servicios de una organización. Dentro de las funciones de las entidades informáticas, las políticas de seguridad se deben enfocar inicialmente a la protección de la información almacenada, procesada y distribuida mediante sus recursos; sin embargo, también se deben emitir políticas para todos los rubros, incluyendo facilidades, aplicaciones, instalaciones y equipos. Una buena política de seguridad deja poco campo a la interpretación. Es muy importante que los usuarios y todos los que intenten usar un computador de la red para acceder a sus servicios conozcan y entiendan las reglas del sistema. IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA Es importante tener una política de seguridad de red efectiva y bien pensada que pueda proteger la inversión y recursos de información de la entidad. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos. CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA Crear políticas es, por definición, especificar las necesidades de control de acceso a la información. En particular, las políticas deberán reflejar los objetivos de la Institución con respecto a la relativa importancia de cada rubro a proteger y la manera en que esa información contribuye a la misión de cada Institución. Por su parte, las normas, procedimientos, prácticas y estándares, deberán acoplar esas necesidades con los recursos técnicos existentes en la Institución e incidirán en su caso en la modernización de los esquemas técnicos de seguridad. Cuando se habla de un documento de Políticas de Seguridad, no se trata de un documento general, ya que por definición debe responder a las necesidades y características de la Institución que incorpora las políticas; se refiere a un documento dinámico, es decir, que requiere de constante revisión para mantenerlo vigente, por cuestiones de legítima seguridad, sobre todo en ámbitos tan cambiantes como lo es la Internet, donde la vigencia de las soluciones técnicas y administrativas es de primordial importancia para mantener nuestros sistemas confiables. NATURALEZA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA La naturaleza de las políticas de seguridad puede ser educativa, restrictiva o

simultáneamente ambas. Cuadro Nº 01. Ejemplo de Política de seguridad educativa Estrategias de seguridad e Implementación Para la política de Monitoreo de software Identificativos 2 Nombre Inf. Adicional Objetivo

Descripción

Consecuencia s

Sanciones

Contenido

Actualización

Aprobador

Política de control software instalado Fecha Creación: aa/mm/dd Fecha Expiración: aa/mm/dd Estado Pol: activa [si/no] El propósito fundamental es que la Administración de la Red pueda tener un control sobre el tipo de software que se instala en los equipos terminales, permitiendo o denegando la instalación de ciertos programas que pueden atentar contra la seguridad de la Red de Datos El Agentes está encargado de llevar a cabo una evaluación exhaustiva y control del software instalado en el equipo, software licenciado, software permitido y no permitido. El Gestor posee en su base de datos una lista estándar del software licenciado y aprobado por el comité aprobador (Directivas de la Institución), y esta lista es suministrada a cada uno de los Agentes. El Agente de Control instado en el equipo terminal revisa en el registro del Sistema Operativo que software se encuentra actualmente instalado, y notificar Usuario Responsable (monitor, laboratorista, encargado) el software que se encuentre como no autorizado en el momento de la instalación del Agente. El incumplimiento de esta política pone en riesgo tanto la credibilidad institucional, como los gastos que se derivan por penalizaciones a las normas constitucionales que protegen los derechos de autor, además de que la ejecución de programas no confiables amenaza la protección del sistema. Educativo. El Agente desplegará información visual para guiar al usuario respecto al uso correcto de los servicios de Red y del mismo software de protección. Además el Agente notificará al usuario algunas operaciones que no se deben realizar, como por ejemplo tratar de desinstalar el software sin autorización, o instalar software que la Red de Datos ha catalogado como no confiable o perjudicial para la Red. Educativo “Sistema de Control de Políticas de Seguridad Informática de la Red de Datos de la Universidad P e r u a n a L o s A n d e s Política de Seguridad No. 002 Elaborada por: Red de Datos de la Universidad Peruana Los Andes Aprobada por: Comité Verificador Fecha de Operación: fecha Creación Esta política establece de forma institucional que tipo de software está autorizado por parte de la Administración de la Red de Datos para ser instalado en los equipos terminales de la Red. A disposición del Administrador de Red a través del Módulo de gestión (según una opción seleccionada por el Administrador en el momento de gestionar y crear la política de seguridad) Comité Verificador Administración Red de Datos de la Universidad P e r u a n a Los Andes

COMPONENTES DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA Cuadro Nº 03. Descripción de los componentes de una política de seguridad informática ELEMENTOS DE UNA POLÍTICA 1.

Identificativo (código política)

DEFINICIÓN El identificativo debe corresponder a una estructura de codificación que le permita al administrador del sistema realizar operaciones de consulta, búsquedas, modificaciones, etc., de una forma sencilla dentro de la base de datos que contiene la información

2.

Nombre (denominativo)

3.

Información adicional

4.

Alcance de la política

5.

Objetivos de la política

6.

Descripción de los elementos involucrados en la política y su definición. Definición de riesgos y consecuencias del no cumplimiento de la política.

7.

8.

Aplicativos y/o sanciones

9.

Nivel de seguridad (alto/medio/bajo)

10. Contenido 11. Actualización

correspondiente las políticas de seguridad. Por facilidad de administración, este nombre debe ser sencillo, conciso y concreto de tal manera que en la implementación del sistema de protección, pueda realizarse una referencia a un objeto de tipo política que contenga la información necesaria para ejecutar el control necesario de dicha directiva de seguridad. La sencillez de esta denominación también permitirá mayor eficiencia en la transacción de datos entre el gestor y el agente, además de facilitar las operaciones realizadas por el manejador de la base de datos. Esta información permite tener un registro preciso de cada política que se desea implementar, como la fecha de creación, duración (si la política lo requiere), fecha de expiración (si la política lo requiere), estado de la política (activa/inactiva). La información detallada le permitirá al administrador llevar un control total de sus funciones de gestión, además de facilitar la elaboración de los reportes e informes estadísticos. Este aspecto busca limitar la política a su objetivo en el sistema, sin tratar de abarcar otros aspectos que restarían eficiencia en tiempo de ejecución y que además pueden llegar a colapsar el sistema o incluso en estado de fuera de control la misma Red. Aunque esta información no forma parte de la implementación de las políticas, si se considera relevante para las correspondientes operaciones de gestión que realizará el Administrador en el momento de crear, modificar e implementar políticas de seguridad a través del módulo de gestión del sistema. Se considera el corazón estructural de la política y debe constituirse en una respuesta directa y suficiente frente a la falla o problema de seguridad que busca controlar. Su información es fundamental para la gestión de políticas aunque no se considere un requisito visible en la implementación del sistema más allá del correspondiente algoritmo de operación. Esta información permite obtener una descripción detallada del contexto o entorno de operación del sistema gestor agente además de los distintos actores que tendrán contacto con el sistema. También determina su comportamiento y funciones específicas frente a cada requerimiento de seguridad de la Red. Esta información es relevante para realizar una correcta gestión de políticas que se ajuste a la realidad del sistema que se desea proteger en cuanto a desprotección e inseguridad, riesgos, fallos y vulnerabilidades que se desean erradicar o aminorar. Este análisis debe proporcionar de forma precisa los medios operativos mediante los cuales se controlará el cumplimiento de las políticas de seguridad. Depende de una decisión del área administrativa de la Red o de la Organización quienes se responsabilizan por las sanciones asignadas a los distintos infractores, su magnitud y duración (en el caso de que las políticas implementadas tengan un carácter restrictivo), y además permitirán al usuario recibir ayuda y soporte en el uso de los servicios que presta la institución (en el caso de que las políticas tengan una naturaleza educativa). En toda política a gestionar o implementar, debe existir una valoración de riesgo o daño que corresponda a una estimación más o menos precisa del grado de inseguridad o consecuencias perjudiciales que asume la institución en el caso de la infracción de una o algunas de las políticas de seguridad que se desean controlar. Esta información debe brindar una explicación comprensible y coherente (preciso sin entrar en tecnicismos y terminología judicial), que aclare los motivos y propósitos que constituyen la razón de ser de cada política. Toda política debe brindar la flexibilidad necesaria para que su

conforme a los propósitos organizacionales 12.

Autoridad aprobatoria responsable

o

funcionamiento se adecue a los distintos cambios tecnológicos que pueden implicar un crecimiento en los riesgos de protección que la organización desea controlar. En toda política debe existir una entidad aprobatoria y responsable cuya autoridad dentro de la institución le acredita asumir la seguridad de la Red mediante distintos mecanismos de protección que aseguren el funcionamiento normal del sistema y el cumplimiento de los propósitos organizacionales.

ESTRUCTURA JERARQUICA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA Dependiendo de la amplitud que abarca: Puede ser clasificada en los siguientes niveles jerárquicos como se describe en el cuadro Nº04. Cuadro Nº 04. Clasificación de una política de seguridad Niveles de Políticas: Política general

Objetivo: Visión de seguridad respecto a todo el servicio de Internet.

Política específica a un tema Política particular a una aplicación

Se orienta a tópicos que tienen un interés específico Se enfoca a decisiones tomadas por la administración para proteger aplicaciones o sistemas particulares De acuerdo a la dependencia: Esta estructura jerárquica permite por un lado, hacia arriba, mantener la congruencia con los objetivos institucionales, y por otro, hacia abajo, normar los procedimientos de operación en observancia a las Políticas de Seguridad definidas como se muestra en el gráfico Nº 16. Es evidente que entre más alto sea el nivel jerárquico de los enunciados regulatorios, las modificaciones serán mínimas, pero serán más generales y legislativamente más robustos, mientras que los niveles inferiores estarán más apegados a soluciones muy concretas, por lo que su modificación puede ser más frecuente. Grafico N°16 “Estructura jerárquica de la seguridad en la información”

Marco Jurídico. Define la Ley o Leyes que dan origen a la creación por decreto de la Institución o Dependencia, la cual mantendrá su vigencia o espíritu mientras encuentre el sustento jurídico que permite su existencia. Ley. Sustenta la existencia legítima de la Institución. Marco Conceptual. Es el espíritu institucional dentro del que se engloban los valores y metas de la Institución, en concordancia con la naturaleza de la ley que la origina. Principios. Esencia moral y ética de la Institución. Objetivo. Propósito de la Institución. Marco Normativo. Es el conjunto de preceptos que regulan la conducta institucional con el fin de llevar a buen término sus objetivos. Políticas. Forma en que se cumple con el objetivo Normas. Regla específica que debe cumplirse; su omisión causará la sanción respectiva. Marco Operacional. Es el conjunto de elementos de orden que definen la operación de los esquemas de manejo de información. Procedimientos: Son instrucciones precisas para el desarrollo de Actividades. Estándares. Procedimientos apegados estrictamente a la norma. Guías.- Procedimientos dirigidos u orientados, susceptibles de ser comentados o interpretados. Como se observa, los procedimientos pueden ser estándares o guías; cuando sólo se recomienda la manera de hacer alguna tarea específica, se emite una guía, misma que no es obligatoria, sino una sugerencia de acción; por otro lado, un estándar es mucho más riguroso, y es de observancia obligatoria; cuando las guías son adoptadas y probadas en su efectividad, pueden pasar a ser estándares. ANALISIS DE RIESGOS DE LA POLÍTICA DE SEGURIDAD INFORMATICA Una política de seguridad siempre debe constar de una etapa de análisis sobre el riesgo que se pretende erradicar o aminorar. Este análisis de riesgo se compone de los siguientes elementos:  Evaluación económica de los impactos que puede generar la ausencia de un control de seguridad sobre los elementos críticos del sistema.  Análisis de la probabilidad de que pueda ocurrir un evento que amenace la seguridad del sistema.

 Definición precisa del elemento o aspecto específico que se desea proteger mediante las directivas de seguridad. A continuación se presentan algunos cuestionamientos que sirven como referencia para desarrollar la correspondiente evaluación de seguridad.  ¿Qué fallas puede ocurrir en el comportamiento normal del sistema?  ¿Con qué frecuencia puede ocurrir esta falla?  ¿Cuáles serían las consecuencias al darse dicha fallas?  ¿Qué tan fiable es la información obtenida al responder las anteriores preguntas?  ¿De qué manera está preparado el sistema para responder a dichas fallas?  ¿Cuál es el costo de controlar dichas fallas?  ¿Se tiene un control real sobre las operaciones del sistema?  ¿Cómo responderá el sistema en el caso de que la seguridad haya sido violada?  ¿Cuál información se considera confidencial o sensitiva dentro del sistema?  ¿Está el sistema en capacidad de adecuarse a los cambios tecnológicos que puedan implicar una amenaza para su seguridad?  ¿Qué usuario específico está autorizado para realizar operaciones sobre el sistema?  ¿Cuáles son las responsabilidades y privilegios de cada uno de los distintos actores que componen el sistema? Posterior a la evaluación anterior el sistema arrojará información que puede describirse en la tabla Cuadro Nº 05. Resultados de los análisis de riesgo. TIPO RIESGO Robo Hardware Robo Información Ataques Intrusión Fallas Sistema Programas Maliciosos Equivocaciones Usuario Acceso No Autorizado Fraude Legal Amenazas Físicas

VALORACI ÓN Alto Alto Medio Medio Medio Medio Medio Medio Bajo

Partiendo de las políticas generales, el grado de detalle y complejidad requerido aumenta conforme se avanza hacia las políticas particulares. Así mismo, entre más detallada y compleja es una política, se requiere actualizarla más frecuentemente y es más complicado el proceso de implantación de la misma. Por otro lado, de acuerdo al recurso al que está dirigida una política, ésta puede ser clasificada en varios tipos básicos como se muestra en el cuadro Nº06. Cuadro Nº 06. Clasificación de la política informática de acuerdo al recurso dirigido Recursos: Orientada a los recursos lógicos. Orientada a la recursos de gestión

Objetivo: Cuando el recurso tiene que ver con las técnicas empleadas para generar, explotar o intercomunicar tanto aplicaciones como los datos asociados a las mismas. el recurso tiene que ver con aspectos Cuando administrativos, de personal o con la misma estructura organizacional de la Dependencia

Orientada a los recursos físicos

Cuando se trate de bienes materiales como instalaciones y equipos.

Orientada a la respuesta ante incidentes

Cuando se trate de los recursos empleados durante y después de una contingencia.

AMENAZAS A LA SEGURIDAD INFORMATICA Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no existe, la otra tampoco. Las amenazas se pueden catalogar según el entorno en el cual operan. Amenazas del entorno (que afectan la seguridad física) Amenazas del sistema (que afectan la seguridad lógica) Amenazas de la red (que afectan las comunicaciones) Amenazas de personas (InsidersOutsiders) ESTRATEGIAS DE SEGURIDAD INFORMATICA PROACTIVA: Se centra en reducir al mínimo los riesgos presentes en el sistema. REACTIVA: Se centra en una evaluación de consecuencias y daños a fin de realizar actividades de restauración del sistema y corrección de fallas. Cuando se habla de seguridad informática se cumple literalmente:  

“Lo que no se permite expresamente está prohibido” “Lo que no se prohíbe expresamente está permitido”

CRÍMENES INFORMÁTICOS Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes, software o información de la organización. También constituye un delito cuando se manipula el proceso de una aplicación o los datos para que se acepte información falsa o transacciones no autorizadas. Puede cometerse delitos informáticos sin que se substraiga nada, tan solo la visualización de información ofrece información al delincuente para robar ideas o información confidencial. Los delitos informáticos con el fin de aprovecharse del computador y la información que contiene pueden ser perjudiciales para la reputación, la moral y la mismísima existencia de una organización. El resultado puede consistir en la pérdida de clientes, una situación embarazosa para la gerencia o el inicio de acciones legales contra la organización. Entre las amenazas para la organización se cuentan: PÉRDIDAS FINANCIERAS Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los costos de corregir la exposición al riesgo. REPERCUSIONES LEGALES Existen numerosas leyes que protegen derechos a la intimidad y los derechos humanos que deben ser tenidas en cuenta por la organización en la etapa de desarrollo de las políticas y procedimientos de seguridad. Estas leyes pueden proteger la organización, pero también proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de seguridad puede exponer a la organización a juicios de los inversores o aseguradores si se produjera una pérdida significativa por violación de la seguridad. PÉRDIDA DE CREDIBILIDAD O MARGEN DE COMPETITIVIDAD Muchas organizaciones, en especial las organizaciones de servicios como los bancos, entidades de ahorro y préstamo o inversiones necesitan una alta credibilidad y confianza del público para mantener su competitividad o incluso seguir funcionando. Una violación a la

seguridad puede dañar gravemente esa credibilidad, con la consiguiente pérdida de negocios y prestigio. CHANTAJE/ESPIONAJE INDUSTRIAL Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso sobre las operaciones del computador, puede exigirse a la organización pagos o servicios bajo amenazas de aprovecharse de la brecha en la seguridad. DIVULGACIÓN DE INFORMACIÓN CONFIDENCIAL, SENSIBLE O EMBARAZOSA Que dañan la credibilidad de una organización y los medios que utiliza para realizar el negocio. También puede ocasionar que se presenten acciones legales o de índole administrativa contra la organización. SABOTAJE En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el deseo de realizar daño. Puede darse cuando el causante odia la organización o simplemente desea un reto contra el cual enfrentarse. Normalmente, quienes violan el acceso lógico son las mismas personas que pueden aprovecharse de las exposiciones físicas. Los tipos de causantes de dichas violaciones incluyen:  Piratas Informáticos: Los piratas informáticos por lo general intentan poner a prueba los límites de las restricciones de acceso para demostrar su capacidad para superar los obstáculos. A menudo no entran con el propósito de destrucción, aunque ese suele ser el resultado final.  Empleados (autorizados y no autorizados)  Personal de SI: Son quienes tienen el acceso a la información más fácil debido a que son los que custodian la información.  Usuarios finales  Ex empleados: En particular, hay que tener cuidado con los que han dejado la organización en condiciones conflictivas.  Terceros interesados o capacitados: Competencia, potencias extranjeras, crimen organizado, piratas informáticos contratados por un tercero (Crackers)  Personal a tiempo parcial o temporal  Proveedores y Consultores Externos  Legos, accidentalmente: Quien comete una violación sin saberlo.

PROTECCION DE LOS RECURSOS INFORMATICOS CLASIFICACIÓN DE DATOS Los archivos informatizados, al igual que los documentos, tienen diversos grados de sensibilidad. Las clasificaciones del grado de sensibilidad deben ser simples, tales como alta, media y baja. Los gerentes de usuarios finales y el Administrador de Seguridad pueden utilizar esas clasificaciones para determinar quién puede estar en condiciones de acceder a qué archivos. La clasificación de los datos reduce el riesgo y el costo de excederse en la protección de los recursos informáticos. La clasificación de datos es extremadamente importante para la identificación de quién debe tener acceso a datos y programas de producción y a los de prueba. Los datos de producción son los datos actuales o históricos reales. El acceso a estos datos o programas lo debe conceder su correspondiente propietario. ACCESO AL SISTEMA

Es la habilidad de hacer algo con un recurso de información. Por ejemplo, la habilidad para leer, crear, modificar o eliminar un fichero ejecutar un programa o utilizar una conexión externa. El acceso al sistema es tanto físico como lógico. Los controles de acceso lógico proveen un medio técnico de controlar que información pueden utilizar los usuarios, los programas que pueden ejecutar y las modificaciones que pueden realizar. Los controles de acceso físico restringen la entrada y la salida del personal, y a veces del equipamiento, de un área tal como un edificio, centro de datos o habitación conteniendo equipamiento de proceso de datos. Hay que establecer criterios para decidir qué tipo de acceso se da a los diferentes usuarios a los datos, programas y recursos específicos. Generalmente el control del acceso se consigue a través de los mecanismos de seguridad que dan los siguientes cuatro niveles: redes, sistema operativo, bases de datos y aplicaciones. SEGURIDAD DEL ACCESO LÓGICO Los controles de acceso lógico son el método primario de gestionar y proteger los activos de información para reducir a un nivel aceptable el riesgo de una organización. Por ejemplo, el concepto de control de acceso lógico se relaciona con gestionar y controlar el acceso a los recursos de información que residan en sistemas tanto de computador central como basados en redes. Los controles de acceso lógico inadecuados incrementan el potencial de pérdidas de una organización debida a exposiciones a riesgos. Las exposiciones a riesgos que existen debido a debilidades de control de acceso lógico accidental o intencional incluyen: Exposiciones de acceso lógico: Las exposiciones técnicas son la alteración, uso o destrucción de programas de producción y archivos de datos no autorizada (deliberada o no intencionada) a nivel de sistema operativo, red o aplicación. Existen muchos términos para estos tipos de exposición, entre los que se encuentran: Caballos de Troya: Consiste en ocultar código con fines maliciosos dentro de un programa autorizado. Tal código oculto se ejecutará cuando se ejecute el programa autorizado. Redondeo por defecto: Se denomina redondeo por defecto pues se redondean muy pequeñas sumas y se las transfiere a una cuenta no autorizada. Dado que tales sumas son muy pequeñas, es difícil que se descubran. Técnica de la rodaja o tajada: Esta técnica es similar a la técnica del Redondeo por defecto, pero consiste en tomar una pequeña tajada de las sumas de las transacciones o cuentas. Virus: Los virus informáticos son programas dolosos que pueden autoduplicarse y transmitirse de un computador a otro. Un virus puede simplemente mostrar un mensaje gracioso en los terminales, o borrar peligrosamente o alterar los archivos informatizados, o llenar la memoria del computador con basura hasta el punto que el computador deje de funcionar. El peligro adicional es que un virus permanezca hibernando o en un estado aletargado hasta que determinado acontecimiento lo ponga en actividad, como una fecha (el 1º de enero - Feliz Año Nuevo) o que se copie una cantidad de veces. Sin embargo, entretanto el virus se ha estado propagando en silencio. Gusanos: Son programas destructivos que borran datos o utilizan grandes cantidades de recursos del computador o de comunicaciones pero no se duplican. Bombas lógicas: Las bombas lógicas son similares a los virus, pero no se autoduplican. Puertas traseras:

Las puertas traseras son puntos de salida de un programa que permiten que se inserte lógica especial dentro en un programa autorizado, tal como interrupciones del programa para poder revisar los datos en el medio del procesamiento. Ataque asíncrono: En un ambiente de multiproceso los datos viajan a través de líneas de telecomunicaciones asíncronas (en una sola dirección por vez). Por ello, muchas transmisiones deben esperar que la línea esté libre y fluya en la dirección adecuada antes de que se transmita. Los datos que estén en espera son susceptibles a acceso no autorizado denominado ataques asíncronos. Esta es una exposición muy compleja, para evaluarla el Auditor de SI necesitará la ayuda del administrador de red y del analista de software. Fugas de datos: La fuga de datos consiste en la extracción de información de dentro del computador. Puede realizarse imprimiendo archivos en listados, o simplemente robar informes informatizados o cintas. Interceptación de líneas: Esta técnica consiste en captar la información que se esté transmitiendo por medio de líneas de telecomunicaciones. Apagado del computador: Puede iniciarse el apagado del computador por conexiones directas (en línea) con terminales o microcomputadores o indirectas (líneas de telemarcado) de terminales. A menudo para ello se requiere tener acceso a un código de usuario de alto nivel. Métodos de acceso lógico: Para realizar una evaluación eficaz de los controles de acceso lógico en una organización hay determinar en qué áreas desde un punto de vista de riesgo hay que poner el foco de la auditoría, esto incluye revisar todos los niveles de seguridad asociados con la arquitectura de sistemas de información informatizados. Estos niveles son la red, la plataforma de sistema operativo, la base de datos y las aplicaciones El acceso lógico al computador puede hacerse por distintas vías. Cada una de ellas debe tener niveles adecuados de seguridad de acceso. Entre los métodos de acceso se incluyen: Consola del operador: Estos terminales controlan la mayoría de las operaciones y funciones del computador. Deben estar de manera que solo se permita el acceso físico a la consola a los operadores del computador y al personal de soporte. Terminales en línea: Este modo de acceso lógico es el más popular entre los usuarios. Generalmente requiere un código de usuario y una contraseña para tener acceso al computador. El acceso en línea permite el procesamiento de los datos en forma inmediata. El acceso en línea sirve para la carga de transacciones, consultas a archivos y la actualización de los archivos (agregar, cambiar, borrar). Dado que el acceso es inmediato, también los es iniciar la seguridad lógica respecto de este acceso. Procesamiento diferido: Esta modalidad de acceso es indirecta ya que el acceso se realiza por medio del procesamiento de las transacciones (proceso por lotes). Generalmente consiste en acumular las transacciones de entrada y procesarlas después de determinado tiempo o de que se haya acumulado cierta cantidad de transacciones. La seguridad lógica se realiza determinando quienes pueden acumular transacciones (personal de carga de datos) y quienes pueden iniciar el procesamiento diferido (operadores del computador o el sistema automatizado de asignación de trabajos). Asimismo, se debe controlar cuidadosamente los procedimientos de autorización para manipular las transacciones acumuladas antes de procesar el lote. Puertos de llamada telefónica:

La utilización de puertos de conexión por llamada telefónica consiste en conectar un terminal remoto a una línea telefónica y así tener acceso al computador al marcar el número de una línea telefónica especial. Normalmente se debe utilizar un módem como interfaz entre el terminal remoto y la línea telefónica a fin de codificar y decodificar las transmisiones. La seguridad lógica se realiza dando un medio para identificar a un usuario remoto para determinar la autorización de acceso que posee. Ello se puede hacer por medio de una línea de respuesta de llamada, utilización de un código de usuario y software de control de acceso, o haciendo participar a un operador del computador para que verifique la identidad de quien hace la llamada y luego realizar la conexión al computador. Redes de telecomunicaciones: Las redes de telecomunicaciones enlazan los terminales de computador con un computador por medio de líneas de comunicaciones. Las líneas pueden ser privadas, es decir dedicadas a un solo usuario, o públicas, como las de los sistemas nacionales de teléfonos. La seguridad debe realizarse de la misma manera que en los terminales en línea. SOFTWARE DE CONTROL DE ACCESO El software de control de acceso, cada vez más, es un elemento crítico para asegurar la confidencialidad, integridad y disponibilidad de los recursos de información. El propósito del software de control de acceso (SCA) es el de prevenir el acceso y la modificación sin autorización a los datos sensibles y la utilización de funciones críticas. Para conseguir este nivel de control es necesario establecer controles de acceso en todos los niveles de la arquitectura de SI. Normalmente esto consiste en alguna forma de identificación y autentificación, autorización de acceso y registro e informe de las actividades de los usuarios. IDENTIFICACIÓN Y AUTENTIFICACIÓN Es el proceso de probar la identidad de uno, donde la identificación es el medio por el cual el usuario da su identidad y la autentificación el medio por el cual el usuario da una información (algo que solamente él conoce o tiene) que garantiza que realmente es quien dice ser. Algunas de estas técnicas son las siguientes: Código de usuario y contraseña: Es la técnica más conocida, esta identificación del usuario en dos etapas puede utilizarse para limitar el acceso a la información, transacciones informatizadas, programas y software de sistemas.  El computador puede llevar una lista interna de códigos de usuario válidos y los correspondientes conjuntos de reglas de acceso para cada código de usuario. Las reglas de acceso identifican los recursos informatizados a los que puede acceder cada código de usuario. El código de usuario da una identificación de la persona. Cada usuario recibe un código de usuario que puede ser identificado por el sistema; el código da la autenticación del usuario. La autenticación es un proceso en dos etapas en el cual el sistema informatizado primero verifica que el usuario tiene un código de usuario válido y luego obliga al usuario a substanciar su validez personal por medio de una contraseña, que por lo general la decide el usuario. Características de las contraseñas  Las contraseñas deben ser fáciles de recordar para el usuario, pero difíciles de adivinar para quien intente violarlas.  La primera asignación de la contraseña debe ser hecha por el Administrador de Seguridad. Cuando el usuario se conecte por primera vez, el sistema debe obligarle a cambiarla para mejorar su confidencialidad.

 Si se introduce una contraseña errónea un determinado número de veces, por lo general tres, se debe desactivar automáticamente el código de usuario por un tiempo apreciable.  Si un código de usuario ha quedado desactivado por el olvido de la contraseña, el usuario debe notificarlo al Administrador de Seguridad. Este último sólo debe reactivar el código de usuario tras verificar la identificación del usuario antes de dar la información por teléfono, por ejemplo: apellido de soltera de la madre, devolver la llamada tras verificar el número interno del usuario, o solicitar verificación al supervisor del usuario.  Las contraseñas deben estar encriptados internamente. El encriptado es un medio de codificar la contraseña almacenada. Con ello se reduce el riesgo de que un individuo tenga acceso a las contraseñas de otras personas, si no la puede entender, tampoco la podrá utilizar.  Las contraseñas no deben estar visibles de ninguna manera, ni en la pantalla del computador cuando se entra, ni en los informes informatizados, o escritas sobre un papel adherido al escritorio de una persona.  Las contraseñas se deben cambiar periódicamente, en forma regular, por ejemplo cada 30 días. El mejor método es que el sistema obligue a cambiarla.  Reglas de sintaxis (formato) de la contraseña  Debe tener por lo menos cuatro caracteres de longitud. Más corta es fácil de adivinar.  Debe permitir la combinación de caracteres alfabéticos y numéricos.  No se debe poder asociar con algo especial del usuario, como sucede con el primer nombre, nombre del cónyuge, de una mascota, etc.  Cuando se cambie, el sistema no debe permitir que se vuelvan a utilizar contraseñas utilizadas previamente.  Los códigos de usuario que no sean utilizados tras cierto tiempo se deben desactivar para evitar que sean mal utilizados. Esto lo puede hacer el sistema de forma automática o el Administrador de Seguridad de forma manual.  El sistema debe desconectar automáticamente una sesión si no se produce actividad transcurrida un tiempo, por ejemplo, una hora. Con ello se reduce el riesgo de un uso inapropiado de una sesión desatendida porque el usuario se haya olvidado de hacer la desconexión. Control de acceso de seguridad biométrico: Este control limita el acceso al computador a partir de características físicas del usuario, tales como una huella digital o el patrón de la retina. Para interpretar las características biométricas de la persona antes de permitir acceso al computador se utiliza un lector especializado. Este es un control de acceso muy eficaz ya que es difícil de eludir, pero puede que no sea eficiente debido al alto costo del hardware y software que se necesita. Aspectos de la autorización del acceso El proceso de autorización del control de acceso normalmente requiere que el sistema pueda identificar y diferenciar a los usuarios. Por ejemplo, el control de acceso a menudo está basado en los privilegios mínimos necesarios, es decir dar a los usuarios solo los accesos que necesitan para realizar su trabajo. Las reglas de acceso (autorización) especifican quién puede acceder a qué. Las autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la necesidad de hacer y deben quedar documentadas estas necesidades. Tener acceso al computador no siempre implica que se tenga acceso sin restricciones. El acceso se puede dar a diferentes niveles. Cuando un auditor de SI revisa la accesibilidad al sistema, necesita saber qué es lo que se puede hacer con el acceso y que es lo que está restringido. Por ejemplo, las restricciones de acceso a nivel de fichero normalmente incluyen las siguientes:  Solo lectura, consulta o copia

 Solo escritura, creación, actualización o eliminación  Solo ejecución  Una combinación de las anteriores. El tipo de acceso menos peligroso es el de consulta o lectura, si la información no es sensible o confidencial. Ello es así porque el usuario no puede alterar o utilizar el fichero informático más allá de su mera visualización o impresión. A continuación se presenta una lista de los Archivos y funciones informatizadas a proteger con controles de acceso lógico más normales:                 

Datos Software de aplicaciones, de prueba y de producción Servidores de nombres de dominio Utilitarios Bibliotecas/directorios Contraseñas Archivos temporales en discos Biblioteca de soporte magnéticos Software de sistemas Software de control de acceso Bibliotecas de procedimientos del sistema Archivos de registros históricos Característica de eludir el procesamiento de etiqueta Salidas del sistema del operador Líneas de telecomunicaciones Diccionario de datos Colas de spool

Tablas de autorización Para dotar de seguridad a lo anterior, el mecanismo de control de acceso utiliza tablas de autorización de acceso también conocidas como listas de control de acceso (ACLs access control lists). Las listas de control de acceso son un registro de usuarios humanos o no (incluyendo grupos, máquinas, procesos) a los que se ha dado acceso un determinado recurso del sistema y los tipos de acceso que les ha sido permitido. Las listas de control de acceso varían en cuanto su capacidad y flexibilidad. Algunas solo permiten especificaciones para ciertos grupos preestablecidos como por ejemplo propietario, grupo, resto del mundo, mientras que otras más avanzadas tienen mucha más flexibilidad, tal como grupos definidos por los usuarios. También, algunas permiten denegar explícitamente el acceso a un usuario o grupo de usuarios. Restricción y monitorización del acceso a las funciones que eludan la seguridad: Por lo general, solamente los programadores de sistemas deben tener acceso a este tipo de funciones. Entre estas funciones están: Salto del proceso de etiqueta El salto hace que el computador omite leer la etiqueta del archivo. Dado que la mayoría de las reglas de control de acceso se basan en los nombres de archivos (etiquetas), con ello puede omitirse la seguridad del acceso. Salidas del sistema Estas utilidades especiales de software de sistemas, permiten que el usuario pueda realizar complejos mantenimientos del sistema. A menudo estas utilidades están fuera del sistema de seguridad del computador y de esa manera no están limitadas o no se informa de su uso. Códigos especiales de usuarios

Normalmente el proveedor del computador suministra estos códigos de usuario con el computador. Estos códigos pueden determinarse fácilmente pues son los mismos para computadores del mismo tipo. Se debe proceder a su restricción cambiando sus contraseñas de inmediato una vez dada la conformidad a la instalación del computador. Convenciones de nombres para el control del acceso: Las capacidades de acceso las implementa la administración de seguridad mediante un conjunto de reglas de acceso que estipulan que usuarios (o grupos de usuarios) están autorizados a acceder a un recurso (tal como un conjunto o un fichero de datos) y a qué nivel (tal como lectura o actualización). El software de control de acceso aplica estas reglas siempre que un usuario intente acceder a un recurso protegido. Las convecciones de nombres de control de acceso son estructuras que se utilizan para gobernar el acceso de los usuarios al sistema y la autorización que se les da para acceder o utilizar los recursos del sistema, tales como ficheros, programas y terminales. Estas convenciones generales de nombres son un requerimiento en un entorno informatizado para establecer y mantener la responsabilidad individual y la segregación de funciones del acceso a los datos. Las convenciones de nombres normalmente las establecen los propietarios de los datos o de las aplicaciones con la ayuda del Jefe de Seguridad. Las convenciones de nombres para los recursos de sistemas (conjuntos de datos, volúmenes, programas, terminales, etc.) son un requisito importante para la administración eficiente de los controles de seguridad. Por ejemplo, las convenciones de nombres se pueden estructurar para que los recursos que comiencen con el mismo calificador se puedan gobernar por una o más reglas genéricas en vez de reglas específicas para cada recurso. Esto reduce el número de reglas requeridas para proteger los recursos adecuadamente, facilitando los esfuerzos de administración y mantenimiento de la seguridad. Controles sobre Virus: Los virus de computador son una amenaza para cualquier tipo de computador. Los entornos de redes de hoy en día son el medio ideal para propagar virus a todo un sistema. Hay dos formas principales para prevenir y detectar virus: la primera es teniendo establecidas buenas políticas y procedimientos; la segunda mediante medios técnicos que incluye el software antivirus. Ninguna de ella es efectiva sin la otra. Algunos de los controles que deben existir así como las políticas y procedimientos que deben estar puestos en práctica son las siguientes:  Construir cualquier sistema utilizando copias maestras originales y limpias.  Arrancar solo con CDs originales siempre con la protección de escritura puesta.  No permitir utilizar ningún disco hasta que haya sido analizado en una máquina aislada que se utilice única y exclusivamente para este propósito y que no esté conectada a la red.  Actualizar el software antivirus frecuentemente  Proteger de escritura todos los CDs con extensiones .EXE o .COM  Hacer que los vendedores hagan las demostraciones en sus máquinas y no en las de la organización.  Reforzar la regla de no utilizar software compartido sin haber previamente analizado en su totalidad dicho software  El software comercial ocasionalmente lleva un Caballo de Troya (virus o gusano)Analizarlo antes de que sea instalado.  Insistir que los técnicos analicen sus discos en una máquina de prueba antes de utilizarlos en el sistema.  Asegurar que el administrador de red utilice software antivirus de estaciones de trabajo y de servidores.  Crear un registro de arranque maestro que haga inaccesible el disco duro cuando se arranque desde un CD. Esto asegura que el disco duro no pueda ser contaminado por el CD.

 Considerar el cifrar los ficheros y descifrar antes de la ejecución.  Asegurar que las actualizaciones de las pasarelas, encaminadores y gateways son auténticas. Esta es una forma muy fácil de poner y esconder un Caballo de Troya.  Los respaldos son un elemento vital en la estrategia antivirus. Asegurar que se tiene un procedimiento de respaldo bueno y efectivo.  Educar a los usuarios para que presten atención a estas políticas y procedimientos.  Revisar las políticas y procedimientos antivirus al menos una vez al año. Los medios técnicos de prevención de virus se pueden implementar por medios de hardware y software. Hay cuatro tácticas de hardware para poder reducir el riesgo de infección: 1. Utilizar estaciones de trabajo sin discos. 2. Realizar el arranque de forma remota. 3. Utilizar contraseñas basadas en el hardware. 4. Utilizar la protección de escritura en los CDs. Las herramientas software son las herramientas antivirus más comunes. El software antivirus se debe utilizar primariamente como un control preventivo. A menos que se actualice periódicamente el software antivirus no será una herramienta efectiva. Hay tres tipos diferentes de software antivirus: 1. Escáneres buscan secuencias de bits que sean típicas en programas de virus, examinan la memoria, los sectores de arranque en los discos, los ficheros ejecutables y de mandatos para localizar patrones de bits que casen con los virus conocidos. 2. Monitores activos interceptan las llamadas al DOS y a la BIOS (basic input output system) buscando acciones de virus; no pueden distinguir entre una petición de usuario o una petición de programa o de virus por lo que los usuarios tienen que confirmar acciones como formatear un disco o borrar un fichero o conjunto de ficheros. 3. Chequeadores de integridad calcula un número binario sobre un programa libre de virus que se almacena en la base de datos. Al número se le llama chequeo de redundancia cíclica (CRC – cyclical redundancy check-). Cuando se invoca la ejecución del programa, el chequeador calcula el CRC del programa y lo compara con el número almacenado en la base de datos. Si no hay coincidencia de ambos números significa que el programa que se quiere ejecutar ha tenido un cambio y esto puede significar que se ha introducido un virus en él. Los chequeadores de integridad aprovechan la ventaja del hecho de que los programas ejecutables y los sectores de arranque no cambian muy a menudo. SEGURIDAD DEL ACCESO FÍSICO La exposición a riesgos de acceso físico puede producir pérdidas financieras, repercusiones legales, pérdida de credibilidad o pérdida de competitividad. Tienen causas de origen natural o humanos y puede exponer el negocio al riesgo del acceso no autorizado. Exposiciones de acceso físico: Las exposiciones a riesgos debidas a violaciones accidentales o intencionadas de estas rutas de acceso incluyen:        

Entrada no autorizada Daño a equipamiento y propiedad Vandalismo sobre equipamiento, propiedad y documentos Robo de equipamiento, propiedad o documentos Copiado o visualización de información sensible Alteración en equipamiento o de información de naturaleza sensible Divulgación de información sensible Abuso de confianza en la utilización de los recursos de proceso

 Extorsión  Fraude Otras cuestiones relevantes a considerar son las siguientes:  ¿Las instalaciones de hardware están razonablemente protegidas de entradas no autorizadas?  ¿Las llaves de las instalaciones del computador están controladas de manera que se reduzca el riesgo de acceso no autorizado?  ¿Los terminales inteligentes del computador están anclados o resguardados para evitar que se retiren tarjetas, chips o el mismo computador?  ¿Se requiere autorización para poder retirar equipos informáticos de sus entornos habituales? Desde un punto de vista de SI, las funciones que se deben proteger son las siguientes:                  

Área de Programación Sala del computador Consolas y terminales del operador Biblioteca en los soportes magnéticos de almacenamiento Salas de almacenamiento de consumibles Centro de almacenamiento de archivos de respaldo fuera de la sede Sala de control de entrada/salida Cuarto de conexiones de comunicaciones Equipos de telecomunicaciones (tanto radios, como satélites, cableado, módems, etc.) Microcomputadores y computadores personales (PCs) Fuentes de energía eléctrica Lugares de eliminación de residuos Minicomputadores Líneas telefónicas dedicadas Unidades de control y procesadores frontales Equipos portátiles (escáneres de mano y dispositivos de codificación, lectores de código de barras, PCs, impresoras, adaptadores para RALs de bolsillo y otros) Impresoras en ubicaciones locales o remotas Redes de área local.

Controles de acceso físico: Los controles de acceso físico están diseñados para proteger a la organización ante accesos no autorizados. Los controles físicos deben permitir el acceso físico solamente al personal autorizado por la gerencia. Esta autorización puede ser explícita, como una puerta con cerradura para la cual la gerencia ha dado la llave; o bien implícita, como un perfil de puesto de trabajo que indique a que espacios físicos se puede acceder. Algunos controles de acceso físico son los siguientes: Puertas con cerrojo: Son las cerraduras que requieren la llave metálica tradicional para su apertura. Las llaves deben estar estampadas con la leyenda No duplicar. Cerraduras con combinación: Este sistema utiliza un teclado numérico o un dial numerado para la apertura. La combinación se debe cambiar de forma periódica o toda vez que un empleado que tenga acceso sea transferido, cesado o reciba sanciones disciplinarias. Cerraduras electrónicas: Este sistema utiliza una tarjeta magnética llave que se pasa por un lector de tarjetas para poder entrar. El lector lee un código especial almacenado internamente en la tarjeta y

después activa el mecanismo de cerrojo de la puerta. Este sistema presenta las siguientes ventajas respecto de las cerraduras de cerrojo o combinación:  Se puede asociar la tarjeta a una persona e identificarla.  Se pueden asignar restricciones respecto de determinadas puertas o determinadas horas del día.  Difíciles de duplicar.  El acceso mediante la tarjeta se puede desactivar fácilmente en el caso de que se cese en sus funciones al empleado, o que se pierda o robe la tarjeta.  Se pueden activar automáticamente alarmas silenciosas o audibles si se intenta una entrada no autorizada. Se debe controlar cuidadosamente el proceso administrativo de la emisión, seguimiento de su existencia y la recuperación de las tarjetas llave. Una tarjeta llave es un elemento importante a recuperar en el caso de que un empleado deje la organización. Cerraduras biométricas de puertas: Estas cerraduras se activan con una característica corporal propia de una persona, tal como voz, mapa de la retina, huella dactilar o firma. Este sistema se utiliza en casos en que se deba proteger centros de altísima sensibilidad. Entrada en un registro histórico: El registro histórico puede ser: 

Manual Se debe exigir que todos los visitantes firmen un registro que indique su nombre y apellido, organización a la que representan, razón de la visita y persona con la que se entrevistan. Generalmente se hace en el puesto de recepción y entrada a la sala del computador. Se debe exigir a los visitantes que presenten un medio de verificación de la identidad.  Electrónico Esta es una función disponible en sistemas de seguridad electrónicos y biométricos. Se pueden registrar automáticamente todos los accesos, remarcando los intentos infructuosos. Identificaciones con fotografía: Todo el personal debe utilizar tarjetas de identificación. Las tarjetas de identificación de los visitantes deben tener un color distinto de las de los empleados para que resulte más fácil su identificación. Se pueden utilizar identificaciones sofisticadas con fotografía como tarjetas llave. Se debe controlar cuidadosamente el proceso administrativo de la emisión, seguimiento de su existencia y la recuperación de las tarjetas. Cámaras de vídeo: Las cámaras de vídeo se deben ubicar en puntos estratégicos y se deben monitorizar por guardias de seguridad. Las cámaras de vídeo sofisticadas se activan con el movimiento. Se deben conservar las grabaciones de la vigilancia por cámaras de vídeo para su posible visualización futura. Guardia de seguridad: Los guardias de seguridad son muy útiles si se les complementa con cámaras de vídeo y puertas cerradas. Deben existir garantías reales por los guardias para proteger de pérdidas a la organización. Acceso acompañado de visitantes: Todos los visitantes deben estar acompañados siempre al menos por un empleado. Los visitantes incluyen amigos, técnicos de reparaciones, proveedores de informática, consultores, personal de mantenimiento y auditores externos. Personal de mantenimiento: El personal de los contratistas externos de servicios, tal como personal de limpieza y servicios de almacenamiento externo, debe estar garantizados por medio de garantías

reales o seguros de caución. Ello no mejora la seguridad física, pero reduce la exposición a riesgos financieros para la organización. Puertas dobles de seguridad: Las puertas dobles de seguridad, generalmente, se ponen en puntos de acceso a centros con información altamente sensible como la sala del computador y ubicaciones de los archivos y/o documento sensibles. Para que funcione la segunda puerta la primera debe estar cerrada con cerrojo y sólo se permite la entrada a una sola persona en la zona intermedia. No dar visibilidad a la ubicación de los centros sensibles: Los centros sensibles como la sala del computador no deben ser visibles o identificables desde el exterior, es decir, sin ventanas o indicadores. Cerrojos en terminales del computador: Los cerrojos en los terminales pueden sujetar el dispositivo al escritorio o evitar que se conecte el computador. Punto único de entrada, controlado por recepcionista: Todo el personal que entre debe hacerlo por un punto de entrada controlado. Cuando hay demasiados lugares de entrada se incrementa el riesgo de entrada no autorizada; por tanto la entrada se debe limitar a uno o dos puntos. Asimismo se deben eliminar los puntos de entradas innecesarios o no utilizados o incorporarles un sistema de puertas dobles combinadas. Sistema de alarma: Se debe conectar un sistema de alarma a los puntos de entrada inactivos, detectores de movimiento en áreas resguardadas y detección de flujo inverso de tránsito de puertas de solo entrada o solo salida. El personal de seguridad debe poder oír una alarma cuando se active. Carro de distribución de informes/documentos resguardado: Los carros de reparto de correspondencia deben tener tapa y estar cerrados con llave o no dejarse fuera de la vista de quién reparte los documentos. SEGURIDAD DEL ENTORNO Exposiciones del entorno: Las exposiciones del entorno básicamente se producen por fenómenos naturales. Sin embargo, con controles adecuados, se puede reducir la exposición a tales elementos. Algunas causas de esta clase de exposiciones son las siguientes:           

Incendios, que pueden originarse dentro o fuera del centro de proceso de datos. Desastres naturales: Terremotos, volcanes, huracanes, tornados, etc. Inundación Fallo del suministro eléctrico Picos de tensión Fallo del sistema de aire acondicionado Cortocircuitos Fallos de equipos Daños por humedad Amenazas/ataques de bombas.

Otras cuestiones que atañen al entorno son:  ¿La fuente de energía del computador está controlada adecuadamente para asegurar que sólo varíe dentro del rango determinado por el fabricante?  ¿Son adecuados los sistemas de control del aire acondicionado, humedad y ventilación del computador para mantener la temperatura dentro del rango especificado por el fabricante?

 ¿Está el computador protegido de los efectos de la electricidad estática, por ejemplo con alfombras antiestáticas o con rocío antiestático?  ¿Está el equipamiento protegido del polvo, humo y otras partículas como por ejemplo, la comida?  ¿Se prohíbe el consumo de comida, bebidas cigarrillos, por medio de una política, alrededor del computador?  ¿Los CDs y soportes magnéticos de respaldo están protegidos de: daño por temperaturas extremas, efectos de los campos magnéticos o daño por humedad? Controles para exposiciones del entorno: Los controles del entorno reducen el riesgo de interrupción de la actividad del negocio debido a un entorno afectado por factores ambientales adversos. Los controles del entorno más típicos son: Detectores de agua: Se deben colocar detectores de agua en la sala del computador debajo del falso suelo y cerca de los drenajes del piso, aunque la misma se encuentre en un piso elevado. Estas alarmas no solo protegen al equipo, sino que también protegen al personal de cortocircuitos. Cuando se activan los detectores deben producir una señal audible que pueda escuchar el personal de seguridad y de control. La ubicación de los detectores de agua debe estar marcada en el falso suelo de la sala del computador. Extintores portátiles: Se deben ubicar en posiciones estratégicas en todo el centro. Deben tener una etiqueta de inspección, se deben revisar anualmente y deben indicar que sirven para extinguir incendios de clase A, B o C. Alarmas de incendio manual: Deben existir alarmas de accionamiento manual en ubicaciones estratégicas en todo el centro. El aviso de la alerta resultante debe estar conectado con un salón de guardia cuyo personal debe ser supervisado de forma regular. Detectores de humo: Deben existir detectores de humo por debajo y por encima de los paneles del techo raso en todo el centro y por debajo del falso suelo de la sala del computador. Los detectores deben producir una señal audible cuando sean activados, deben estar conectados con el salón central de guardia que debe ser supervisado de forma periódica (preferiblemente por el departamento de bomberos). La ubicación de los detectores por encima de los paneles del techo raso debe estar marcada para tener fácil acceso. Sistemas de supresión de incendios: Los sistemas de supresión de incendios están diseñados para que se activen en forma automática cuando se detecte una fuente de gran calor, deben estar conectados con el salón central de guardia y producir una señal audible cuando sean activados. Idealmente, el sistema automáticamente debe accionar otros mecanismos para delimitar el área del incendio. Ello incluye cierre de puertas ignífugas, aviso al departamento de bomberos, cierre de conductos de ventilación y apagado de equipo eléctrico no esencial. Asimismo, el sistema debe estar segmentado de manera que un incendio en una gran instalación no active a todo el sistema. Existen diversos medios para la supresión de incendios, entre los cuales los más usuales son:  Agua: Los sistemas en base a agua generalmente se denominan rociadores. Son eficaces pero no son muy buenos pues dañan los equipos y otros bienes. El sistema puede ser de cañerías secas (el agua se almacena en receptáculos y se libera al sistema de cañerías sólo cuando se activa) o estar cargado (con agua en las cañerías). Un sistema cargado es más fiable, pero tiene la desventaja de que expone a la instalación a grandes daños por agua por cañerías rotas o con pérdidas.  Halón 1301: Los sistemas a base de Halón liberan gas a alta presión para quitar el oxígeno del aire, con lo que se impide la combustión. El Halón es mejor que el

agua ya que no daña al equipo. Debe existir una señal de alarma audible y una breve demora antes de que se inunde con este gas para que el personal pueda evacuar el área y le dé tiempo a interrumpir el proceso y desconectar los equipos. Debido a sus efectos perjudiciales sobre la capa de ozono. Ubicación estratégica de la sala del computador: Para reducir los riesgos de inundaciones la sala del computador no debe estar en los subsuelos o sótanos del edificio. En un edificio de varios pisos, los estudios indican que la mejor ubicación que reduce los riesgos de fuego, humo y daño por agua para la sala del computador son los pisos 3, 4, 5 o 6. Inspección periódica por parte de expertos del departamento de bomberos: Para asegurar que todos los sistemas de detección de incendios cumplen con los códigos de edificación, el departamento de bomberos debe inspeccionar el sistema y las instalaciones anualmente. Paredes, pisos y techos rasos incombustibles alrededor de la sala del computador: Las paredes que rodean la instalación de proceso de datos deben acotar o bloquear la extensión del incendio. Las paredes que rodean la instalación deben tener una capacidad probada de resistir el fuego por lo menos dos horas. Provisión ininterrumpible de energía: Un sistema de alimentación ininterrumpida (SAI) incluye un generador, a batería o combustible, que hace de interfaz entre la línea eléctrica que entra a la instalación y la conexión que da energía al computador. El sistema generalmente limpia la energía a fin de que la potencia de la corriente al computador sea uniforme. En caso de que se interrumpa la energía, el SAI continúa suministrando al computador corriente desde el generador durante cierto tiempo. Protectores de picos de tensión: Estos aparatos reducen el riesgo de daños al equipo por picos de tensión. Utilizan reguladores de voltaje que miden la corriente que llega y bien aumentan o disminuyen la carga para mantener una corriente constante. Por lo general están incorporados en los SAIs.

Llave de desconexión de emergencia: Son necesarias dos llaves de desconexión una en la sala del computador y la otra cerca, pero fuera de la misma, a fin de desconectar de inmediato la energía al computador y los dispositivos periféricos. Deben estar claramente identificadas y ser de fácil acceso. Conexiones a dos líneas de suministro de electricidad: Las conexiones que llegan a la instalación del computador están expuestas a diversos peligros ambientales: agua, incendio, rayos, corte accidental, etc. Para reducir el riesgo de interrupciones por esas causas, la instalación debe estar alimentada por líneas redundantes. De esa manera, la interrupción de una línea no afecta de manera adversa a la provisión de electricidad. Cableado ubicado en paneles y cañerías para electricidad: Para reducir el riesgo de que ocurra un incendio y se extienda, el cableado eléctrico debe estar empotrado y en cañerías a prueba de fuego. Prohibición de comer, beber y fumar dentro del Centro de Proceso de Datos:

Se deben desterrar del centro de proceso de datos los alimentos, bebidas y el tabaco que pueden provocar incendios, acumulación de contaminantes o dañar el equipo de naturaleza sensible. La prohibición debe estar visible. Equipamiento de oficinas resistentes al fuego: Las papeleras, cortinajes, escritorios, armarios y otro equipamiento deben ser resistentes al fuego o no inflamables. Planes de evacuación de emergencia documentados y probados: Los planes de evacuación deben hacer hincapié en la seguridad de las personas, pero no deben dejar a las instalaciones de proceso de información sin resguardos. PERMISOS Y LICENCIAS El término licencia según la Real Academia de la Lengua, tiene 7 definiciones, las cuales solo utilizaremos 2: 1. Permiso para hacer algo. 2. Abusiva libertad en decir u obrar. Así que determinamos una Licencia al “permiso que tenemos para realizar algún acto o acción, así como para decir u obrar con la autorización de otra persona” Una licencia de software (en inglés software license) es la autorización o permiso concedido por el titular del derecho de autor, en cualquier forma contractual, al usuario de un programa informático, para utilizar éste en una forma determinada y de conformidad con unas condiciones convenidas. La licencia, que puede ser gratuita u onerosa, precisa los derechos (de uso, modificación o redistribución) concedidos a la persona autorizada y sus límites. Además, puede señalar el plazo de duración, el territorio de aplicación y todas las demás cláusulas que el titular del derecho de autor establezca. DERECHO DE AUTOR (Copyright) Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores (los derechos de autor), por el solo hecho de la creación de una obra literaria, artística o científica – tecnológica (programas informáticos), tanto publicada o que todavía no se haya publicado y que están protegidos por las leyes de derechos de autor. TIPOS DE LICENCIAS DE SOFTWARE Los tipos de licencias básicamente pueden ser tres: 1. Licencia de Software libre Software libre (en inglés free software) es el software que, una vez obtenido, puede ser usado, copiado, estudiado, modificado y redistribuido libremente. El software libre suele estar disponible gratuitamente, pero no hay que asociar software libre a software gratuito, o a precio del costo de la distribución a través de otros medios; sin embargo no es obligatorio que sea así y, aunque conserve su carácter de libre, puede ser vendido comercialmente. Análogamente, el software gratis o gratuito (denominado usualmente freeware) incluye en algunas ocasiones el código fuente; sin embargo, este tipo de software no es libre en el mismo sentido que el software libre, al menos que se garanticen los derechos de modificación y redistribución de dichas versiones modificadas del programa, como se estipula en protección heredada. Las licencias de software libre son: a) Sin protección heredada Hablamos de obra derivada ante cualquier transformación de una obra anterior. Se puede crear una obra derivada sin que esta tenga obligación de protección alguna. Muchas licencias pertenecen a esta clase, aunque por lo general pueden resumirse en lo establecido por las licencias BSD, Artistic o del MIT.

Por Ejemplo, un programa de computador obtenido mediante la modificación de un programa anterior es una obra derivada. b) Con protección heredada Algunas restricciones se aplican a las obras derivadas. La licencia emblemática de este apartado es la GNU GPL, aunque entran varias tan distintas como: Mozilla Public License, Sun Community Source License, y muchas más. Libertades del Software libre: De acuerdo con tal definición, el software es "libre" si garantiza las siguientes libertades: 1. "libertad 0", ejecutar el programa con cualquier propósito (privado, educativo, público, comercial, etc.) 2. "libertad 1", estudiar y modificar el programa (para lo cual es necesario poder acceder al código fuente) 3. "libertad 2", copiar el programa de manera que se pueda ayudar a cualquier persona o entidad 4. "libertad 3", Mejorar el programa y publicar las mejoras 2.

Licencia de Software semilibre El software semilibre, (semi-free en inglés), es una categoría de programas informáticos que no son libres, pero que vienen con autorización de uso, copia, modificación y redistribución (incluso de versiones modificadas) sin fines de lucro (PGP sería un ejemplo de un programa semilibre). Según la Fundación para el Software Libre (FSF), el software semilibre es mucho mejor que el software no libre, pero aún plantea problemas y no podría ser usado en un sistema operativo libre. Por ejemplo, la distribución comercial de sistemas operativos libres, incluyendo Sistemas GNU/Linux, es muy importante, y los usuarios aprecian el poder disponer de distribuciones comerciales en CD-ROM. Incluir un programa semilibre en un sistema operativo impediría su distribución comercial en CD-ROM.

3.

Licencia de Software no libre Se protege contra uso, copia o redistribución. (También llamado software propietario, software privativo, software privado y software con propietario) se refiere a cualquier programa informático en el que los usuarios tienen limitadas las posibilidades de usarlo, modificarlo o redistribuirlo (con o sin modificaciones), o que su código fuente no está disponible o el acceso a éste se encuentra restringido. En el software no libre una persona física o jurídica (compañía, corporación, fundación, etc.) posee los derechos de autor sobre un software negando o no otorgando, al mismo tiempo, los derechos de usar el programa con cualquier propósito; de estudiar cómo funciona el programa y adaptarlo a las propias necesidades (donde el acceso al código fuente es una condición previa); de distribuir copias; o de mejorar el programa y hacer públicas las mejoras (para esto el acceso al código fuente es un requisito previo). De esta manera, un software sigue siendo no libre aún si el código fuente es hecho público, cuando se mantiene la reserva de derechos sobre el uso, modificación o distribución.