Privacidad:

Seguridad

Seguridad
Informtica

Lgica
y

Fsica.
Ciberseguridad

La seguridad es un elemento capacitador de las ciudades del futuro

La seguridad informtica (ciberseguridad) se define como el conjunto de
mtodos y herramientas destinados a proteger los sistemas ante
cualquier amenaza. Estos pueden ser tanto de naturaleza real como virtual,
entindase, por ejemplo, desde un incendio en un centro de clculo que afecte
a los servidores o puestos de trabajo, hasta un ciberataque masivo por
denegacin de servicios (Ddos), entre un amplio y variado abanico de
posibles ciberamenazas.
En nuestro caso los hacemos extensivos tambin a la Seguridad y Privacidad
del Internauta, razn principal de nuestra existencia. Inclumos como
Internauta a nios, adolescentes, padres, educadores, empresarios o
trabajadores o personal que trabaje paa entidades gubernamentales o
pblicas.
Del mismo modo, son objetivos tambin para los ciberdelincuentes y
cibercriminales las Infraestructuras Crticas de una nacin, capaces de colapsar
los
servicios
pblicos
bsicos
de
abastecimiento.
La seguridad de los sistemas de informacin se suele comparar con una
cadena, la cual es segura si el eslabn ms dbil tambin lo es. Para encontrar
ese eslabn y protegerlo se tiene que tratar la seguridad desde distintos puntos
de vista:
- Establecer la seguridad fsica que afecta a la infraestructura y al material.
- Establecer la seguridad lgica para proteger datos, aplicaciones y sistemas
operativos.
- Concienciar a los usuarios de la importancia de la seguridad del equipo, del
sistema
y
de
la
informacin.
- Proteger los sistemas de comunicacin, especialmente en las redes.
- Invertir en Ciberseguridad.

Objetivos de la seguridad
El objetivo principal de la seguridad informtica es garantizar que los recursos y
la informacin estn protegidos y para protegerlo son necesarios conseguir los
siguientes aspectos:
- Integridad: slo los usuarios autorizados podrn modificar la informacin.
- Confidencialidad: slo los usuarios autorizados tendrn acceso a los
recursos
y
a
la
informacin
que
utilicen.
- Disponibilidad: la informacin debe estar disponible cuando se necesite.
- Irrefutabilidad: el usuario no puede refutar o negar una operacin realizada.
Sistemas de Seguridad Informtica
Hoy en da es imposible hablar de un sistema cien por cien seguro, ya que el
costo de la seguridad total suele ser considerado muy alto. En ciertos casos no
se le concede la debida importancia, por lo que se descuidan aspectos bsicos.
Sin
embargo,
es
posible
controlar
una
gran
parte
de
la vulnerabilidades acotando aspectos relativos a procedimientos y estrategias.
Organizaciones gubernamentales y no gubernamentales internacionales han
desarrollado una serie de directrices y recomendaciones sobre el uso
adecuado de las TIC, evitando el uso indebido de las mismas y obteniendo el
mximo aprovechamiento.

Surgen as, las llamadas Polticas de Seguridad Informtica (PSI) como una
herramienta para concienciar a cada uno de los miembros de una organizacin
sobre la importancia y sensibilidad de la informacin y su seguridad. Hacen
referencia tambin a los equipos que la soportan, incluyendo hardware y
software, y a los usuarios que la manejan.

Polticas de Seguridad
La poltica de seguridad define una serie de reglas, procedimientos y prcticas
ptimas que aseguren un nivel de seguridad que est a la altura de las
necesidades del sistema.

Se basa, por tanto, en la minimizacin del riesgo, el cual viene definido por la
siguiente ecuacin:
RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.
En esta ecuacin, la amenaza representa el tipo de accin maliciosa, la
vulnerabilidad es el grado de exposicin a dicha accin y la contramedida es el
conjunto de acciones que se implementan para prevenir o evitar la amenaza.
La determinacin de estos componentes indica el riesgo del sistema.
Etapas
La poltica de seguridad de un sistema informtico se define en cuatro etapas:
1- La definicin de las necesidades de seguridad y de los riesgos
informticos del sistema as como sus posibles consecuencias, es el primer
escaln a la hora de establecer una poltica de seguridad. El objetivo de esta
etapa es determinar las necesidades mediante la elaboracin de un inventario
del sistema, el estudio de los diferentes riesgos y de las posibles amenazas.
2- La implementacin de una poltica de seguridad consiste en establecer
los mtodos y mecanismos diseados para que el sistema de informacin sea
seguro, y aplicar las reglas definidas en la poltica de seguridad. Los
mecanismos ms utilizados son los sistemas firewall, los algoritmos
criptogrficos y la configuracin de redes virtuales privadas (VPN).
3- Realizar una auditora de seguridad para validar las medidas de
proteccin adoptadas en el diseo de la poltica de seguridad. Cuando se trata
de compaas, organismos oficiales o grandes redes, suelen realizarlas
empresas externas especializadas. Tambin se llama etapa de deteccin de
incidentes,
ya
que
ste
es
su
fin
ltimo.
4- La definicin de las acciones a realizar en caso de detectar una
amenaza es el resultado final de la poltica de seguridad. Se trata de pever y
planificar una las medidas que han de tomarse cuando surga algn problema.
Esta etapa tambin es conocida como etapa de reaccin puesto que es la
respuesta a la amenaza producida.

Mtodos
Para definir una poltica de seguridad informtica se han desarrollado distintos
mtodos, diferencindose especialmente por la forma de analizar los riesgos.
Algunos de ellos son:

- Mtodo MEHARI (Mtodo armonizado de anlisis de riesgos), desarrollado

por CLUSIF (Club de la Scurit de l'Information Franais), se basa en
mantener los riesgos a un nivel convenido mediante un anlisis riguroso y una
evaluacin
cuantitativa
de
los
factores
de
riesgo.
- Mtodo EBIOS (expresin de las necesidades e identificacin de los objetivos
de seguridad), desarrollado por la DCSSI (Direction Centrale de la Scurit des
Systmes d'Information, permite apreciar y tratar los riesgos relativos a la
seguridad
de
los
sistemas
de
informacin.
- La norma ISO/IEC 17799 es una gua de buenas prcticas pero no especifica
requisitos
para
establecer
un
sistema
de
certificacin.
- La norma ISO/IEC 27001 es certificable ya que especifica los requisitos para
establecer, implantar, mantener y mejorar un sistema de gestin de la
seguridad segn el PDCA, acrnimo de "plan, do, check, act" (planificar, hacer,
verificar, actuar).

Medios de proteccin
Chip no entiende cmo ha podido coger la gripe: est vacunado contra un
montn de virus, siempre va bien abrigado y tiene una buena higiene. Tantas
medidas de proteccin y no se ha escapado. Es cierto, nunca estamos
protegidos al cien por cien de las enfermedades. Lo mismo ocurre con los
sistemas informticos, por muchos medios de proteccin que se utilicen, nunca
se conseguir una seguridad total. Por tanto, es de vital importancia
concienciarse
de
que
no
existe
la
ciberseguridad
100%.
Ya hemos visto en los puntos anteriores que muchas de las vulnerabilidades de
un sistema son debidas a la falta de polticas de seguridad y a problemas
ocasionados por los usuarios. A continuacin vamos a verlos medios ms
utilizados para evitar o eliminar estas vulnerabilidades.

Antivirus
Son programas que detectan cdigos maliciosos, evitan su activacin y
propagacin y, si es posible, incluso eliminan el dao producido.
Se llaman antivirus porque surgieron para eliminar este tipo de malware, pero
hoy en da han evolucionado y detectan otros tipos de malware como troyanos,

gusanos o espas, y cuentan adems con rutinas de recuperacin y

reconstruccin de archivos daados.
El funcionamiento de los antivirus se basa en un programa residente que se
instala en la memoria del ordenador y analiza cualquier archivo, programa o
aplicacin mientras est encendido.
Para ello, tienen una base de datos actualizada con los cdigos maliciosos.
Hoy en da, disponen de la funcin de escaneado para revisar cualquier
sistema de almacenamiento interno o externo y tambin los hay que realizan
este anlisis desde internet.
En una breve relacin hablamos de antivirus domsticos, de usuario o para
puestos de trabajo como Avast, Avira y Avg, tanto en sus versiones gratuitas
como de pago, como de otros paquetes de software antivirus profesionales
pensados para grandes empresas o entidades.

Las tcnicas ms utilizadas por los antivirus son las siguientes:

- Deteccin de firma: cada cdigo malicioso se caracteriza por una cadena de
caracteres llamada firma del virus. Los antivirus tienen registradas estas
cadenas y las buscan para detectar los virus.
- Bsqueda de excepciones: se utiliza en el caso de que el virus cambie de
cadena cada vez que realiza una infeccin (virus polimorfos). Son difciles de
buscar, pero hay antivirus especializados.
- Anlisis heurstico: se basa en el anlisis del comportamiento de las
aplicaciones para detectar una actividad similar a la de un virus ya conocido. Es
la nica tcnica automtica de deteccin de virus.
- Verificacin de identidad o vacunacin: el antivirus almacena informacin
de los archivos y, cada vez que se abren, compara esta informacin con la
guardada. Cuando detecta una anomala, avisa al usuario.
Firewall
Un firewall (pared cortafuegos) es un elemento de hardware o software ubicado
entre dos redes y que ejerce la una poltica de seguridad establecida. Protege
una red confiable de una que no lo es (por ejemplo, internet) evitando que
pueda aprovechar las vulnerabilidades de la red interna. Una versin para
usuarios monopuesto es, por ejemplo ZoneAlarm.

El uso de firewall se ha convertido en algo fundamental ya que es el elemento

que controla el acceso entre dos redes y, si no existiera, todos los ordenadores
de la red estaran expuestos a ataques desde el exterior.
Sin embargo, el firewall no es un sistema inteligente ya que acta segn los
parmetros establecidos y si un paquete de informacin no est definido dentro
de estos parmetros como cdigo malicioso, lo deja pasar.
Normalmente se suele complementar con otro medio de proteccin, por
ejemplo un antivirus, ya que no contiene herramientas para filtrar los virus.
Existen muchos tipos de firewall (filtrado de paquetes, servidor proxy-gateway,
personales) y su eleccin depender de las limitaciones y capacidades del
sistema por un lado, y de las vulnerabilidades y las amenazas de la red externa
por
otro.

Criptografa
La criptografa es una ciencia utilizada desde la antigedad que consiste en
transformar un mensaje inteligible en otro que no lo es utilizando claves que
slo el emisor y el destinatario conocen, para despus devolverlo a su forma
original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.
La criptografa simtrica permite establecer una comunicacin segura entre
las partes siempre y cuando anteriormente se hayan intercambiado una clave
llamada "clave simtrica" que se utiliza para cifrar y para descifrar.
La criptografa tiene en la actualidad multitud de aplicaciones en informtica,
entre las cuales destacan las siguientes:
- Seguridad de las comunicaciones: permite establecer canales seguros
sobre redes que no lo son:
- Identificacin y autentificacin: se emplean las firmas digitales y otras
tcnicas criptogrficas para garantizar la autenticidad del remitente y verificar la
integridad
del
mensaje
recibido.
- Certificacin: se basa en la validacin por agentes fiables (como una entidad
certificadora)
de
la
identidad
de
agentes
desconocidos.
- Comercio electrnico: es un sistema muy utilizado ya que reduce el riesgo
de fraudes, estafas y robos en operaciones realizadas a travs de internet.

Antiespas
Son programas diseados para detectar, detener y eliminar los cdigos
maliciosos de programas espas (spyware). A veces, vienen incluidos en los
antivirus, pero son ms efectivos los diseados especficamente para eliminar
este tipo de malware. Algunas versiones recomendables son Malwarebyte,
Spybot o Ad-Aware para monopuestos.
Al igual que los antivirus, es necesario que el mdulo residente est activado
para detectar el cdigo malicioso antes de que se instale en el sistema.
Tambin es importante mantener actualizadas las bases de cdigos.
Siguiendo las pautas del libro Holistic Management, podramos definir la
seguridad ( figura 1 ), al igual que una organizacin, como un sistema viable,
muy complejo, con un propsito, probabilstico y con posibilidades (esta ltima
caracterstica no es parte de lo propuesto por el libro mencionado).
Viable , hace referencia a la capacidad de continuar existiendo en su entorno
por s mismo independiente del medio. La seguridad es viable en s misma
gracias a su dual, la inseguridad que vive permanentemente en el entorno, que
le permite desarrollar la capacidad para manifestarse ante situaciones fortuitas,
inesperadas
y
desconocidas.
En este orden de ideas, no es posible pensar en la seguridad, sin considerar su
dual, como el motivador clave para repensar el mismo.
Muy complejo , entendida esta caracterstica como las mltiples operaciones
que realiza el sistema, que bajo la coordinacin de todos sus miembros y
basado en un cuidadoso diseo de estructuras de manejo y flujo de
informacin, procura la viabilidad del mismo y el logro de sus objetivos.
En el contexto de la seguridad, hablamos de las consideraciones de gestin del
sistema de proteccin, basado en un reconocimiento y entendimiento de los
riesgos como un elemento fundamental de la dinmica de la organizacin. Este
sistema permanentemente se ve expuesto a las condiciones de la inseguridad,
razn por la cual la complejidad propia del sistema, se debe mantener bajo
observacin y administracin para lograr los objetivos propios del mismo.
Con un propsito es una caracterstica que nos habla de la capacidad de
lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa
aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es
otra cosa que el reconocimiento de la inseguridad propia del entorno y del

sistema que se quiere proteger, como la cuota de riesgos o amenaza que se

debe administrar.
Probabilstico significa que el comportamiento de sus partes son
probabilsticas e impredecibles, pero pueden ser guiados para alcanzar el
objetivo deseado. En el contexto de la seguridad, exige del administrador del
sistema de proteccin, reconocer la inseguridad como el evento probable e
impredecible, que dice que tan confiable puedo llegar a ser.
Con posibilidades es una caracterstica que es complementaria e inherente a
las interaccin de todas las anteriores, pues busca reconocer en la accin de
las propiedades explicadas previamente, opciones de conocimiento,
aprendizaje y desaprendizaje de la seguridad, no solamente basado en el
comportamiento del sistema de gestin de la seguridad, sino en las ventanas
creativas que surgen cada vez que la inseguridad se materializa.
Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece
con las condiciones del entorno, quien se alimenta de su dual de manera
permanente, para hacer de la gestin de la seguridad un ejercicio permanente
y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y
as mantener un nivel de confiabilidad en el contexto del negocio.
Reconociendo a la seguridad como un concepto sistmico y holstico que debe
ser parte inherente de los procesos de negocio, se hace necesario analizar la
evolucin del mismo ms all de las fronteras de la lgica de los datos
procesados y de los dispositivos de hardware conocidos, para avanzar en una
construccin de un concepto de seguridad corporativo, integral y global, que
vincule el mundo fsico, informtico y electrnico en una sola vista, con muchos
lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes
de tecnologa y seguridad fsica, as como por los individuos de la empresa.
En razn con lo anterior, se desarrolla este documento que busca animar una
reflexin bsica sobre el concepto de Enterprise Security Management ( ESM )
(Administracin de la Seguridad Corporativa), como fundamento de una nueva
generacin de ejecutivos de la seguridad, que pensando de manera relacional,
avanzan desde las necesidades operacionales de la seguridad, hacia las
exigencias tcticas y estratgicas de proteccin que se encuentran en las
mentes y agendas de los ejecutivos de ms alto nivel de las empresas.
Para terminar esta breve enumeracin de herramientas antivirus, antiespas y
firewall, es igualmente recomendable otro tipo de herramientas:
- Herramientas secundarias para limpieza y mantenimiento como CCleaner,
Ashampoo
o
los
packs
integrados
de
los
propios
antivirus

- Herramienta de anlisis similares a Hijackthis

La Seguridad Fsica y Electrnica

La historia de la seguridad inicia siempre con una materia prima para su

existencia:
un
riesgo,
un
peligro,
una
amenaza.
En este sentido, el escenario de la seguridad fsica se desarrolla en el contexto
de la guerra contra un enemigo, que no busca otra cosa que vulnerar las
estrategias de control y contencin, entre otras, que tiene el objetivo atacado,
para apoderarse de ste.
La Seguridad Fsica se refiere a todos los niveles de seguridad que garanticen
desde el que no se roben los equipos, hasta el que no se mojen, no se caigan,
no ingresen personas ajenas, no hayan cables tirados por todos lados
poniendo en peligro a las personas por una cada, que no ingieran alimentos
cerca de ellos, etc.
" Un experto es aquel que sabe cada vez ms sobre menos cosas, hasta que
sabe absolutamente todo sobre nada.. es la persona que evita los errores
pequeos mientras sigue su avance inexorable hacia la gran falacia"
Definicin de Webwer - Corolario de Weinberger (Leyes de Murphy)
Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto
por el hombre como por la naturaleza del medio fsico en que se encuentra
ubicado el sistema. Las principales amenazas que se prevn son:
- Desastres naturales, incendios accidentales y cualquier variacin
producida
por
las
condiciones
ambientales.
- Amenazas ocasionadas por el hombre como robos o sabotajes.
- Disturbios internos y externos deliberados.
Evaluar y controlar permanentemente la seguridad fsica del sistema es la base
para comenzar a integrar la seguridad como funcin primordial del mismo.
Tener controlado el ambiente y acceso fsico permite disminuir siniestros y
tener
los
medios
para
luchar
contra
accidentes.
Es muy importante ser consciente que por ms que nuestra empresa sea la
ms segura desde el punto de vista de ataques externos, Hackers, virus, etc.

(conceptos luego tratados); la seguridad de la misma ser nula si no se ha

previsto
como
combatir
un
incendio.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo
de un sistema informtico. Si bien algunos de los aspectos tratados a
continuacin se prevn, otros, como la deteccin de un atacante interno a la
empresa que intenta a acceder fsicamente a una sala de operaciones de la
misma,
no.
Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar
una cinta de la sala, que intentar acceder va lgica a la misma.
As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y
procedimientos de control, como medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial"(1). Se refiere a los
controles y mecanismos de seguridad dentro y alrededor del Centro de
Cmputo as como los medios de acceso remoto al y desde el mismo;
implementados para proteger el hardware y medios de almacenamiento de
datos.
De acuerdo con los tericos, existen cuatro categoras de seguridad fsica: las
obstrucciones fsicas, las tcnicas de vigilancia, los sistemas de inteligencia y
los
guardias
o
personal
de
seguridad
.
Estas cuatro categoras representan la caracterizacin de la seguridad misma
en el mundo tangible, que an hoy por hoy existen y que cuentan, todas ellas
con su referente en el mundo lgico.
Las obstrucciones fsicas , al igual que en el pasado, constituyen castillos,
fuertes, puertas blindadas, paredes reforzadas, entre otras. Tener una
fortificacin, supona una posicin fuerte, de ventaja y cuidado para aquellos
que
quisieran
vulnerarlo.
Cada castillo era construido para "hacerle difcil" el ingreso a cualquier intruso
que, sin autorizacin, quisiera tener acceso a los bienes protegidos por la
construccin. Un fuerte era el signo de avance en tcnicas de proteccin fsica,
que asistido por candados, llaves de acceso y combinaciones hacan de la
edificacin un reto de inteligencia y sorpresa para aquellos que quisieran
intentar traspasar sus barreras.
Las tcnicas de vigilancia , como aspecto complementario a la edificacin,
era un elemento clave para alertar cualquier movimiento que se percibiera en el
permetro de acceso a la edificacin. El concepto de monitoreo y vigilancia se
desarrolla a la par con el avance en las edificaciones, hacindose parte

inherente de los diseos de stos, como se sigue manteniendo hasta nuestros

das. El monitoreo permanente y el sistema de alarmas (seguridad electrnica)
que materializan algunas de las tcnicas de vigilancia, establecen nuevos
procesos y procedimientos que deben cumplirse como parte del sistema de
proteccin de la edificacin. La vigilancia no es componente accesorio de la
edificacin, es el sistema nervioso de la edificacin, que ahora cobra vida
gracias a las alertas permanentes del monitoreo.
Los sistemas de inteligencia surgen como la forma ms clara de analizar la
informacin resultado de los sistemas de monitoreo y de reconocimiento del
entorno de la edificacin protegida. La inteligencia no solamente recaba
informacin del ambiente donde se encuentra, sino indaga ms all de sus
lmites para hacer mejores estimaciones que permitan tener ventaja tctica y
operativa ante amenazas y situaciones que pueden afectar el nivel de
proteccin
de
la
edificacin
y
sus
bienes.
La funcin de inteligencia muestra la capacidad del componente humano, que
asistido por las tcnicas modernas de procesamiento de informacin, es capaz
de simular escenarios, para tomar decisiones claras ante situaciones no
previstas por la organizacin, pero probables en el contexto de su anlisis.
La guardia humana, los especialistas en proteccin fsica, son el componente
de inteligencia humana y de efectividad operacional ante una amenaza. Es
quien acta y decide frente a una alarma o un escenario de falla, con el fin de
conjurar el peligro o vulnerabilidad que pueda ser detectada.
La seguridad materializada en los guardias o vigilantes, representa, al mismo
tiempo, la mayor fortaleza del sistema de proteccin, pero tambin su peor
enemigo.
Si este personal, se encuentra claramente entrenado y capacitado frente a los
procedimientos de operacin previstos y reconoce en la inseguridad su aliada
para desarrollar estrategias de defensa, estamos ante un elemento que edifica
y
fortalece
el
sistema
de
seguridad.
De lo contrario, se advierte la presencia de un efecto sistmico de
vulnerabilidad (falla en el diseo) del concepto de proteccin del sistema que lo
contiene.
Los cuatro elementos mencionados nos muestran que la seguridad es un
proceso natural y propio del ser humano que vive en comunidad, es una
propiedad que de manera intangible se exige en el escenario de la actividad
empresarial y personal, no como algo que es accesorio o innecesario, sino

como aquello que es necesario para actuar y animar las actividades humanas
en todos los escenarios de la vida.

Jamming,

Proteccin

fsica

ciberseguridad:

Caracterizacin

Hoy en da es clave la proteccin del acceso a todo tipo de dispositivos de

computacin tanto desde la perspectiva fsica como digital. Si bien accedemos
a ellos a travs de la red, teclados u otras interfaces digitales tambin podemos
acceder a CPDs utilizando martillos neumticos, a SIM para clonarlas, a nodos
sensor para trastornar redes, a PCs para robar o modificar su contenido, al
contenido de una tarjeta inteligente utilizando tcnicas quirrgicas va lser con
microscopio
electrnico
e
incluso
nitrgeno
lquido,
etc.
El Jamming es basicamente la interferencia deliberada o reflexin de
energa electromagntica con el propsito de irrumpir en el uso del
enemigo de dispositivos electrnicos o sistemas. Tcnica usada
frecuentemente en el hacking de radiofrecuencias. Interferencias de satlites o
Jamming de satlites es un tipo de censura, por lo que el gobierno o los
hackers o delincuentes prohben el acceso al satlite e impide el libre flujo de
informacin. Tambin se refiere a la interferencia tcnica como tipo intencional.
Interferencias de satlites es una violacin del derecho del artculo 15 del
Reglamento de Radiocomunicaciones de la Unin Internacional de
Telecomunicaciones segn ha explicado maestro de hacking tico, Mike
Stevens
de
Instituto
Internacional
de
Seguridad
Ciberntica.
Se trata generar y difundir seales de ruido aleatorio de modo que las seales
que
transportan
informacin
se
pierdan
en
el
ruido.
Es similar a los dispositivos de inhabilitacin de RF que se utilizan para impedir
que los telfonos mviles tengan cobertura en salas de fiestas o edificios de la
polica/ejrcito o para evitar que se pueda detonar por RF una bomba al paso
de
una
vehculo
militar.
Cuando necesitamos proteger un porttil-PC-Mac o un servidor frente a robos,
lo podemos anclar al puesto de trabajo con escuadras soldadas o utilizamos
cables
de
acero
removibles
utilizando
candados.
Tambin podemos encerrar en armarios blindados/acorazados PCs, switches,
routers, patch-pannel, etc. Muchas veces es necesario proteger fsicamente
puntos de acceso WiFi y todo tipo de antenas y se opta por esconderlos en
falsos techos tipo Pladur o bien se ocultan las antenas dentro de chimeneas
falsas.

Actualmente un atacante puede causar daos a un dispositivo de computacin

tanto si tiene acceso fsico directo a l como si se encuentra en sus
proximidades. Los usuarios de los sistemas de computacin a veces no son
confiables. Algunos de los ciber-ataques directos ms relevantes son:
- Escuchas clandestinas. Se definen como escuchar de forma secreta la
comunicacin de otra entidad/persona. Por tanto es necesario proteger el
entorno en el que se utiliza un sistema de computacin. Se pueden identificar
dos tipos de escucha clandestinas:
1 - Escuchas pasivas: Consiste en monitorizar la comunicacin sin dejar rastro,
por ejemplo utilizando sniffers para cable o inalmbricos. Las tcnicas de mirar
por encima del hombro consisten en instalar videocmaras/Webcams ocultas
pequeas o bien observar con binoculares a travs de las ventanas, incluso
con
visin
infrarroja
para
ver
en
la
oscuridad.
2 - Escuchas activas. Consiste en modificar o crear/fabricar comunicacin
falsificada; es el caso de los ataques MITM (Man in the middle).
Tipos de Desastres
No ser la primera vez que se mencione en este trabajo, que cada sistema es
nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este
concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello
que siempre se recomendarn pautas de aplicacin general y no
procedimientos especficos. Para ejemplificar esto: valdr de poco tener en
cuenta aqu, tcnicas de seguridad ante terremotos; pero s ser de mxima
utilidad en Los Angeles, EE.UU.
Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto
por el hombre como por la naturaleza del medio fsico en que se encuentra
ubicado
el
centro.
No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo
obtener la mxima seguridad en un sistema informtico, adems de que la
solucin
sera
extremadamente
cara.
A veces basta recurrir al sentido comn para darse cuenta que cerrar una
puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas
vlidas
en
cualquier
entorno.
A continuacin se analizan los peligros ms importantes que se corren en un
centro de procesamiento; con el objetivo de mantener una serie de acciones a

seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y

correccin de los diferentes tipos de riesgos.

Incendios (leer ms)

Inundaciones: Se las define como la invasin de agua por exceso de

escurrimientos superficiales o por acumulacin en terrenos planos,
ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de
las causas de mayores desastres en centros de cmputos. Adems de
las causas naturales de inundaciones, puede existir la posibilidad de una
inundacin provocada por la necesidad de apagar un incendio en un
piso superior. Para evitar este inconveniente se pueden tomar las
siguientes medidas: construir un techo impermeable para evitar el paso
de agua desde un nivel superior y acondicionar las puertas para
contener el agua que bajase por las escaleras.

Condiciones Climatolgicas (leer ms)

Seales de Radar: La influencia de las seales o rayos de radar sobre

el funcionamiento de una computadora ha sido exhaustivamente
estudiada desde hace varios aos. Los resultados de las investigaciones
ms recientes son que las seales muy fuertes de radar pueden inferir
en el procesamiento electrnico de la informacin, pero nicamente si la
seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra
ocurrir slo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algn momento, estuviera
apuntando directamente hacia dicha ventana.

Instalaciones Elctricas (leer ms)

Ergometra (leer ms)

Acciones Hostiles

Robo: Las computadoras son posesiones valiosas de las empresas y

estn expuestas, de la misma forma que lo estn las piezas de stock e
incluso el dinero. Es frecuente que los operadores utilicen la
computadora de la empresa para realizar trabajos privados o para otras
organizaciones y, de esta manera, robar tiempo de mquina. La
informacin importante o confidencial puede ser fcilmente copiada.
Muchas empresas invierten millones de dlares en programas y archivos
de informacin, a los que dan menor proteccin que la que otorgan a
una mquina de escribir o una calculadora. El software, es una

propiedad muy fcilmente sustrable y las cintas y discos son fcilmente

copiados sin dejar ningn rastro

Fraude: Cada ao, millones de dlares son sustrados de empresas y,

en muchas ocasiones, las computadoras han sido utilizadas como
instrumento para dichos fines. Sin embargo, debido a que ninguna de las
partes implicadas (compaa, empleados, fabricantes, auditores, etc.),
tienen algo que ganar, sino que ms bien pierden en imgen, no se da
ninguna publicidad a este tipo de situaciones.

Sabotaje: El peligro ms temido en los centros de procesamiento de

datos, es el sabotaje. Empresas que han intentado implementar
programas de seguridad de alto nivel, han encontrado que la proteccin
contra el saboteador es uno de los retos ms duros. Este puede ser un
empleado o un sujeto ajeno a la propia empresa. Fsicamente, los
imanes son las herramientas a las que se recurre, ya que con una ligera
pasada la informacin desaparece, aunque las cintas estn
almacenadas en el interior de su funda de proteccin. Una habitacin
llena de cintas puede ser destruida en pocos minutos y los centros de
procesamiento de datos pueden ser destruidos sin entrar en ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser
introducidos por los conductos de aire acondicionado. Las lneas de
comunicaciones y elctricas pueden ser cortadas, etc.

Control de Accesos: El control de acceso no slo requiere la capacidad

de identificacin, sino tambin asociarla a la apertura o cerramiento de
puertas, permitir o negar acceso basado en restricciones de tiempo, rea
o sector dentro de una empresa o institucin.

Utilizacin de Guardia

Utilizacin de Detectores de Metales: El detector de metales es un

elemento sumamente prctico para la revisin de personas, ofreciendo
grandes ventajas sobre el sistema de palpacin manual. La sensibilidad
del detector es regulable, permitiendo de esta manera establecer un
volumen metlico mnimo, a partir del cual se activar la alarma. La
utilizacin de este tipo de detectores debe hacerse conocer a todo el
personal. De este modo, actuar como elemento disuasivo.

Utilizacin de Sistemas Biomtricos

Verificacin Automtica de Firmas (VAF): En este caso lo que se

considera es lo que el usuario es capaz de hacer, aunque tambin
podra encuadrarse dentro de las verificaciones biomtricas.

Mientras es posible para un falsificador producir una buena copia visual

o facsmil, es extremadamente difcil reproducir las dinmicas de una
persona: por ejemplo la firma genuina con exactitud. La VAF, usando
emisiones acsticas toma datos del proceso dinmico de firmar o de
escribir.
La secuencia sonora de emisin acstica generada por el proceso de
escribir constituye un patrn que es nico en cada individuo. El patrn
contiene informacin extensa sobre la manera en que la escritura es
ejecutada. El equipamiento de coleccin de firmas es inherentemente de
bajo costo y robusto. Esencialmente, consta de un bloque de metal (o
algn otro material con propiedades acsticas similares) y una
computadora barata.

Seguridad con Animales: Sirven para grandes extensiones de terreno,

y adems tienen rganos sensitivos mucho ms sensibles que los de
cualquier dispositivo y, generalmente, el costo de cuidado y
mantenimiento se disminuye considerablemente utilizando este tipo de
sistema. As mismo, este sistema posee la desventaja de que los
animales pueden ser engaados para lograr el acceso deseado.

Proteccin Electrnica (leer ms)

En conclusin, evaluar y controlar permanentemente la seguridad fsica del

edificio es la base para o comenzar a integrar la seguridad como una funcin
primordial dentro de cualquier organismo. Tener controlado el ambiente y
acceso fsico permite:

disminuir siniestros

trabajar mejor manteniendo la sensacin de seguridad

descartar falsas hiptesis si se produjeran incidentes

tener los medios para luchar contra accidentes

Las distintas alternativas vistas son suficientes para conocer en todo momento
el estado del medio en el que nos desempeamos; y as tomar decisiones
sobre la base de la informacin brindada por los medios de control adecuados.
Estas decisiones pueden variar desde el conocimiento de la reas que recorren
ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

La Seguridad Lgica y la Seguridad de la Informacin

La evolucin normal del concepto de seguridad en una sociedad de la
informacin y el conocimiento, hace que las estrategias de seguridad de la
antigedad cobren vida en un mundo regido por los " bits y bytes ." Todas las
condiciones de seguridad analizadas en el aparte anterior tienen sus
equivalentes en el mundo de la informtica y la tecnologa.
La Seguridad Lgica se refiere a que la informacin solo pueda ser accesada
parcialmente segn el puesto de la persona, de modo que solo el administrador
del sistema y alguno otro alto funcionario tenga acceso completo, eso previene
fraudes
y
otros
daos.
Hay quienes incluyen en la seguridad lgica, la seguridad de la informacin, lo
que incluye la proteccin contra virus, robos de datos, modificaciones,
intrusiones no autorizadas, respaldos adecuados y dems cosas relacionadas.
El activo ms importante de un sistema informtico es la informacin y, por
tanto, la seguridad lgica se plantea como uno de los objetivos ms
importantes.
Despus de ver cmo nuestro sistema puede verse afectado por la falta de
Seguridad Fsica, es importante recalcar que la mayora de los daos que
puede sufrir un centro de cmputos no ser sobre los medios fsicos sino
contra
informacin
por
l
almacenada
y
procesada.
As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe
cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha
mencionado, el activo ms importante que se posee es la informacin, y por lo
tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren.
Estas
tcnicas
las
brinda
la
Seguridad
Lgica.
Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y
procedimientos que resguarden el acceso a los datos y slo se permita acceder
a
ellos
a
las
personas
autorizadas
para
hacerlo."
Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no
est permitido debe estar prohibido" y esto es lo que debe asegurar la
Seguridad
Lgica.
Los objetivos que se plantean sern:
- Restringir el
acceso
a
los
programas
y
archivos.
- Asegurar que los operadores puedan trabajar sin una supervisin minuciosa

y no puedan modificar los programas ni los archivos que no correspondan.

- Asegurar que se estn utilizados los datos, archivos y programas correctos
en
y
por
el
procedimiento
correcto.
- Que la informacin transmitida sea recibida slo por el destinatario al cual
ha
sido
enviada
y
no
a
otro.
- Que la informacin recibida sea la misma que ha sido transmitida.
- Que existan sistemas alternativos secundarios de transmisin entre
diferentes
puntos.
- Que se disponga de pasos alternativos de emergencia para la transmisin
de informacin.

Controles

de

Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los

sistemas de aplicacin, en bases de datos, en un paquete especfico de
seguridad
o
en
cualquier
otro
utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red,
al sistema de aplicacin y dems software de la utilizacin o modificaciones no
autorizadas; para mantener la integridad de la informacin (restringiendo la
cantidad de usuarios y procesos con acceso permitido) y para resguardar la
informacin
confidencial
de
accesos
no
autorizados.
Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la
seguridad lgica, como por ejemplo las relacionadas al procedimiento que se
lleva a cabo para determinar si corresponde un permiso de acceso (solicitado
por
un
usuario)
a
un
determinado
recurso.
Al respecto, el National Institute for Standars and Technology (NIST) ha
resumido los siguientes estndares de seguridad que se refieren a los
requisitos mnimos de seguridad en cualquier sistema:
- Identificacin y Autentificacin
- Roles: El acceso a la informacin tambin puede controlarse a travs de la
funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles
seran los siguientes: programador, lder de proyecto, gerente de un rea
usuaria, administrador del sistema, etc. En este caso los derechos de acceso
pueden agruparse de acuerdo con el rol de los usuarios.
- Transacciones: Tambin pueden implementarse controles a travs de las

transacciones, por ejemplo solicitando una clave al requerir el procesamiento

de una transaccin determinada.
- Limitaciones a los Servicios: Estos controles se refieren a las restricciones
que dependen de parmetros propios de la utilizacin de la aplicacin o
preestablecidos por el administrador del sistema. Un ejemplo podra ser que en
la organizacin se disponga de licencias para la utilizacin simultnea de un
determinado producto de software para cinco personas, en donde exista un
control a nivel sistema que no permita la utilizacin del producto a un sexto
usuario.
- Modalidad de Acceso
- Ubicacin y Horario: El acceso a determinados recursos del sistema puede
estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto
a los horarios, este tipo de controles permite limitar el acceso de los usuarios a
determinadas horas de da o a determinados das de la semana. De esta forma
se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se
debe mencionar que estos dos tipos de controles siempre deben ir
acompaados de alguno de los controles anteriormente mencionados.
- Control de Acceso Interno
- Control de Acceso Externo
- Administracin

Niveles de Seguridad Informtica

El estndar de niveles de seguridad mas utilizado internacionalmente es el
TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de Defensa de los Estados
Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mnimo grado de seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos
(ITSEC/ITSEM)
y
luego
internacionales
(ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente:
as el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

- Nivel D : Este nivel contiene slo una divisin y est reservada para sistemas
que han sido evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema
operativo es inestable y no hay autentificacin con respecto a los usuarios y
sus derechos en el acceso a la informacin. Los sistemas operativos que
responden a este nivel son MS-DOS y System 7.0 de Macintosh.
- Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios
que
permite
el
acceso
a
distinta
informacin.
Cada usuario puede manejar su informacin privada y se hace la distincin
entre los usuarios y el administrador del sistema, quien tiene control total de
acceso. Muchas de las tareas cotidianas de administracin del sistema slo
pueden ser realizadas por este "super usuario" quien tiene gran
responsabilidad en la seguridad del mismo. Con la actual descentralizacin de
los sistemas de cmputos, no es raro que en una organizacin encontremos
dos
o
tres
personas
cumpliendo
este
rol.
Esto es un problema, pues no hay forma de distinguir entre los cambios que
hizo cada usuario. A continuacin se enumeran los requerimientos mnimos que
debe cumplir la clase C1:
*-. Acceso de control discrecional: distincin entre usuarios y recursos. Se
podrn definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o
grupos
de
ellos.
*-. Identificacin y Autentificacin: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podr ser accedido por un usuario sin autorizacin o identificacin.
- Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado
para solucionar las debilidades del C1. Cuenta con caractersticas adicionales
que crean un ambiente de acceso controlado. Se debe llevar una auditoria de
accesos
e
intentos
fallidos
de
acceso
a
objetos.
Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no slo en los permisos, sino tambin en los
niveles
de
autorizacin.
Requiere que se audite el sistema. Esta auditora es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.

La auditora requiere de autenticacin adicional para estar seguros de que la

persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside
en los recursos adicionales requeridos por el procesador y el subsistema de
discos.
Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas
tareas de administracin del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del
sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador
del
sistema.
- Nivel B1: Seguridad Etiquetada: Este subnivel, es el primero de los tres con
que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y
ultrasecreta. Se establece que el dueo del archivo no puede modificar los
permisos de un objeto que est bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un
nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas
categoras
(contabilidad,
nminas,
ventas,
etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de
accesos
a
los
distintos
objetos.
- Nivel B2: Proteccin Estructurada. Requiere que se etiquete cada objeto de
nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es
la primera que empieza a referirse al problema de un objeto a un nivel mas
elevado de seguridad en comunicacin con otro objeto a un nivel inferior.
As, un disco rgido ser etiquetado por almacenar archivos que son accedidos
por
distintos
usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el encargado
de fijar los canales de almacenamiento y ancho de banda a utilizar por los
dems
usuarios.
- Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la
instalacin de hardware: por ejemplo el hardware de administracin de
memoria se usa para proteger el dominio de seguridad de acceso no

autorizado a la modificacin de objetos de diferentes dominios de seguridad.

Existe un monitor de referencia que recibe las peticiones de acceso de cada
usuario y las permite o las deniega segn las polticas de acceso que se hayan
definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeas
como para permitir anlisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio
de una conexin segura. Adems, cada usuario tiene asignado los lugares y
objetos
a
los
que
puede
acceder.
- Nivel A: Proteccin Verificada. Es el nivel ms elevado, incluye un proceso
de diseo, control y verificacin, mediante mtodos formales (matemticos)
para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse. El diseo requiere ser verificado de forma
matemtica y tambin se deben realizar anlisis de canales encubiertos y de
distribucin confiable. El software y el hardware son protegidos para evitar
infiltraciones ante traslados o movimientos del equipamiento.
Si en la antigedad los activos a proteger eran de condicin tangible y real,
como el oro, los semovientes y las personalidades, entre otras, hoy el activo
fundamental se llama informacin. Esa pieza de datos procesados y analizados
que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual.
La informacin se convierte en el activo de carcter intangible (por aquello que
no es posible verlo a simple vista en su estado natural) y susceptible de
manipulacin, que hace que cada uno de sus dueos muestre inters en su
proteccin y control.
La informacin es ahora la razn evidente y concreta para que la industria
madure en el uso y control de la misma a travs de dispositivos informticos y
electrnicos que la reciban, almacenen, analicen, controlen y reporten, de tal
manera que las organizaciones tomen decisiones, revisen sus estrategias y
promulguen
sus
planes.
Es importante aclarar, que si bien, en la antigedad se tena claro el manejo de
la informacin, particularmente en los sistemas de inteligencia, en el contexto
de la seguridad de la informacin, los elementos tecnolgicos generan una
complejidad particular que debe ser enfrentada y administrada por los nuevos
guardianes, denominados analistas de seguridad.

Con la evolucin de la computacin, de un contexto cerrado y limitado en los

1970s, a uno ms abierto y con ms oportunidades en los 1980s, se inicia la
carrera para el desarrollo de mecanismos de seguridad informtica,
particularmente orientadas a las redes como son firewalls, sistemas de
deteccin de intrusos, criptografa asimtrica, Secure Socket Layer ( SSL,
navegacin segura), proxies, entre otros, los cuales establecen una nueva
responsabilidad para el rea de tecnologas de informacin y por extensin de
proteccin a las reas de seguridad fsica.
Los nuevos mecanismos de seguridad que se presentan recogen las prcticas
de los 1970s y desarrollan nuevas funcionalidades para disminuir los impactos
de la inseguridad propia de los protocolos asociados con TCP/IP , protocolo
fundamental que se propone para interconectar los diferentes puntos
tecnolgicos disponibles en una organizacin.
En este contexto, avanzan rpidamente las propuestas de seguridad y control
de la informacin que ahora, no est concentrada en un punto especfico de la
organizacin, sino que fluye de manera asincrnica (en diferentes momentos) y
asimtrica (en diferentes lugares y con diferentes temticas) dentro y fuera de
las empresas, lo cual, si lo comparamos con lo que se vea en la antigedad,
es una oportunidad y amenaza que puede o no, debilitar la posicin estratgica
y tctica de una corporacin.
(Anexo Seguridad Fsica)

Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la
utilizacin de sensores conectados a centrales de alarmas. Estas centrales
tienen conectadas los elementos de sealizacin que son los encargados de
hacerles saber al personal de una situacin de emergencia. Cuando uno de los
elementos sensores detectan una situacin de riesgo, stos transmiten
inmediatamente el aviso a la central; sta procesa la informacin recibida y
ordena en respuesta la emisin de seales sonoras o luminosas alertando de la
situacin.
Barreras Infrarrojas y de Micro-Ondas
Transmiten y reciben haces de luces infrarrojas y de micro-ondas
respectivamente. Se codifican por medio de pulsos con el fin de evadir los
intentos de sabotaje. Estas barreras estn compuestas por un transmisor y un
receptor
de
igual
tamao
y
apariencia
externa.

Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve

al estado de alerta. Estas barreras son inmunes a fenmenos aleatorios como
calefaccin, luz ambiental, vibraciones, movimientos de masas de aire, etc.
Las invisibles barreras fotoelctricas pueden llegar a cubrir reas de hasta 150
metros de longitud (distancias exteriores). Pueden reflejar sus rayos por medio
de espejos infrarrojos con el fin de cubrir con una misma barrera diferentes
sectores.
Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite
que el sensor opere con seales de muy bajo nivel sin ser afectado por otras
emisiones de radio, ya que estn muy alejadas en frecuencia.
Debido a que estos detectores no utilizan aire como medio de propagacin,
poseen la ventaja de no ser afectados por turbulencias de aire o sonidos muy
fuertes.
Otra ventaja importante es la capacidad de atravesar ciertos materiales como
son el vidrio, lana de vidrio, plstico, tabiques de madera, revoques sobre
madera,
mampostera
y
hormign.
Detector Ultrasnico
Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta
manera, cualquier movimiento que realice un cuerpo dentro del espacio
protegido, generar una perturbacin en dicho campo que accionar la alarma.
Este sistema posee un circuito refinado que elimina las falsas alarmas. La
cobertura de este sistema puede llegar a un mximo de 40 metros cuadrados.
Detectores Pasivos Sin Alimentacin
Estos elementos no requieren alimentacin extra de ningn tipo, slo van
conectados a la central de control de alarmas para mandar la informacin de
control. Los siguientes estn incluidos dentro de este tipo de detectores:

Detector de aberturas: contactos magnticos externos o de embutir.

Detector de roturas de vidrios: inmune a falsas alarmas provocadas por

sonidos de baja frecuencia; sensibilidad regulable.

Detector de vibraciones: detecta golpes o manipulaciones extraas

sobre la superficie controlada.

Sonorizacin y Dispositivos Luminosos

Dentro de los elementos de sonorizacin se encuentran las sirenas, campanas,

timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas,
las
luces
intermitentes,
etc.
Estos deben estar colocados de modo que sean efectivamente odos o vistos
por aquellos a quienes estn dirigidos. Los elementos de sonorizacin deben
estar bien identificados para poder determinar rpidamente si el estado de
alarma es de robo, intrusin, asalto o aviso de incendio.
Se pueden usar transmisores de radio a corto alcance para las instalaciones de
alarmas locales. Los sensores se conectan a un transmisor que enva la seal
de radio a un receptor conectado a la central de control de alarmas encargada
de
procesar
la
informacin
recibida.
Circuitos Cerrados de Televisin (CCTV)

Permiten el control de todo lo que sucede en la planta segn lo captado por las
cmaras estratgicamente colocadas. Los monitores de estos circuitos deben
estar
ubicados
en
un
sector
de
alta
seguridad.
Las cmaras pueden estar a la vista (para ser utilizada como medida disuasiva)
u ocultas (para evitar que el intruso sepa que est siendo captado por el
personal
de
seguridad).
Todos los elementos anteriormente descriptos poseen un control contra
sabotaje, de manera que si en algn momento se corta la alimentacin o se
produce la rotura de alguno de sus componentes, se enviar una seal a la
central de alarma para que sta accione los elementos de sealizacin
correspondientes.

Edificios Inteligentes
La infraestructura inmobiliaria no poda quedarse rezagada en lo que se refiere
a
avances
tecnolgicos.
El Edificio Inteligente (surgido hace unos 10 aos) se define como una
estructura que facilita a usuarios y administradores, herramientas y servicios
integrados a la administracin y comunicacin. Este concepto propone la
integracin de todos los sistemas existentes dentro del edificio, tales como
telfonos, comunicaciones por computadora, seguridad, control de todos los
subsistemas del edificio (gas, calefaccin, ventilacin y aire acondicionado,
etc.)
y
todas
las
formas
de
administracin
de
energa.

Una caracterstica comn de los Edificios Inteligentes es la flexibilidad que

deben tener para asumir modificaciones de manera conveniente y econmica.

Sistemas Biomtricos
Definimos a la Biometra como "la parte de la biologa que estudia en forma
cuantitativa la variabilidad individual de los seres vivos utilizando mtodos
estadsticos".
La Biometra es una tecnologa que realiza mediciones en forma electrnica,
guarda y compara caractersticas nicas para la identificacin de personas.
La forma de identificacin consiste en la comparacin de caractersticas fsicas
de cada persona con un patrn conocido y almacenado en una base de datos.
Los lectores biomtricos identifican a la persona por lo que es (manos, ojos,
huellas digitales y voz).
Los Beneficios de una Tecnologa Biomtrica
Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las
reducciones de precios han disminuido el costo inicial de las tarjetas en los
ltimos aos, el verdadero beneficio de eliminarlas consiste en la reduccin del
trabajo
concerniente
a
su
administracin.
Utilizando un dispositivo biomtrico los costos de administracin son ms
pequeos, se realiza el mantenimiento del lector, y una persona se encarga de
mantener la base de datos actualizada. Sumado a esto, las caractersticas
biomtricas
de
una
persona
son
intransferibles
a
otra.
Emisin de Calor: Se mide la emisin de calor del cuerpo (termograma),
realizando un mapa de valores sobre la forma de cada persona.
Huella Digital: Basado en el principio de que no existen dos huellas dactilares
iguales, este sistema viene siendo utilizado desde el siglo pasado con
excelentes
resultados.
Cada huella digital posee pequeos arcos, ngulos, bucles, remolinos, etc.
(llamados minucias) caractersticas y la posicin relativa de cada una de ellas
es lo analizado para establecer la identificacin de una persona.
Esta aceptado que dos personas no tienen ms de ocho minucias iguales y
cada una posee ms de 30, lo que hace al mtodo sumamente confiable.

Verificacin de Voz: La diccin de una (o ms) frase es grabada y en el

acceso se compara la vos (entonacin, diptongos, agudeza, etc.).
Este sistema es muy sensible a factores externos como el ruido, el estado de
animo y enfermedades de la persona, el envejecimiento, etc.
Verificacin de Patrones Oculares: Estos modelos pueden estar basados en
los patrones del iris o de la retina y hasta el momento son los considerados
ms efectivos (en 200 millones de personas la probabilidad de coincidencia es
casi
0).
Su principal desventaja reside en la resistencia por parte de las personas a que
les analicen los ojos, por revelarse en los mismos enfermedades que en
ocasiones se prefiere mantener en secreto.
Utilizacin de Guardias
Control de Personas: El Servicio de Vigilancia es el encargado del control de
acceso de todas las personas al edificio. Este servicio es el encargado de
colocar los guardias en lugares estratgicos para cumplir con sus objetivos y
controlar
el
acceso
del
personal.
A cualquier personal ajeno a la planta se le solicitar completar un formulario
de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.
El uso de credenciales de identificacin es uno de los puntos ms importantes
del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y
egreso del personal a los distintos sectores de la empresa.
En este caso la persona se identifica por algo que posee, por ejemplo una
tarjeta de identificacin. Cada una de ellas tiene un PIN (Personal Identification
Number) nico, siendo este el que se almacena en una base de datos para su
posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas
tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier
persona
que
la
posea.
Las personas tambin pueden acceder mediante algo que saben (por ejemplo
un nmero de identificacin o una password) que se solicitar a su ingreso. Al
igual que el caso de las tarjetas de identificacin los datos ingresados se
contrastarn contra una base donde se almacena los datos de las personas
autorizadas.
Este sistema tiene la desventaja que generalmente se eligen identificaciones
sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos

pueden

verse

alteradas

robadas

por

personas

no

autorizadas.

Control de Vehculos
Para controlar el ingreso y egreso de vehculos, el personal de vigilancia debe
asentar en una planilla los datos personales de los ocupantes del vehculo, la
marca y patente del mismo, y la hora de ingreso y egreso de la empresa.
Desventajas de la Utilizacin de Guardias
La principal desventaja de la aplicacin de personal de guardia es que ste
puede llegar a ser sobornado por un tercero para lograr el acceso a sectores
donde no est habilitado, como as tambin para poder ingresar o egresar de la
planta con materiales no autorizados. Esta situacin de soborno es muy
frecuente, por lo que es recomendable la utilizacin de sistemas biomtricos
para el control de accesos.

.
Instalacin Elctrica
Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta
una de las principales reas a considerar en la seguridad fsica. Adems, es
una problemtica que abarca desde el usuario hogareo hasta la gran
empresa.
En la medida que los sistemas se vuelven ms complicados se hace ms
necesaria la presencia de un especialista para evaluar riesgos particulares y
aplicar soluciones que estn de acuerdo con una norma de seguridad
industrial.
Picos y Ruidos Electromagnticos: Las subidas (picos) y cadas de tensin
no son el nico problema elctrico al que se han de enfrentar los usuarios.
Tambin est el tema del ruido que interfiere en el funcionamiento de los
componentes electrnicos. El ruido interfiere en los datos, adems de favorecer
la
escucha
electrnica.
Cableado: Los cables que se suelen utilizar para construir las redes locales
van del cable telefnico normal al cable coaxil o la fibra ptica.
Algunos edificios de oficinas ya se construyen con los cables instalados para
evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un
corte,
rozadura
u
otro
dao
accidental.

Los riesgos ms comunes para el cableado se pueden resumir en los

siguientes:
- Interferencia: estas modificaciones pueden estar generadas por cables de
alimentacin de maquinaria pesada o por equipos de radio o microondas. Los
cables de fibra ptica no sufren el problema de alteracin (de los datos que
viajan a travs de l) por accin de campos elctricos, que si sufren los cables
metlicos.
- Corte del cable: la conexin establecida se rompe, lo que impide que el flujo
de
datos
circule
por
el
cable.
- Daos en el cable: los daos normales con el uso pueden daar el
apantallamiento que preserva la integridad de los datos transmitidos o daar al
propio cable, lo que hace que las comunicaciones dejen de ser fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la
categora de daos naturales. Sin embargo tambin se pueden ver como un
medio para atacar la red si el objetivo es nicamente interferir en su
funcionamiento.
El cable de red ofrece tambin un nuevo frente de ataque para un determinado
intruso que intentase acceder a los datos. Esto se puede hacer:
- Desviando o estableciendo una conexin no autorizada en la red: un
sistema de administracin y procedimiento de identificacin de acceso
adecuados har difcil que se puedan obtener privilegios de usuarios en la red,
pero los datos que fluyen a travs del cable pueden estar en peligro.
- Haciendo una escucha sin establecer conexin, los datos se pueden
seguir y pueden verse comprometidos. Luego, no hace falta penetrar en los
cables fsicamente para obtener los datos que transportan.
Cableado de Alto Nivel de Seguridad: Son cableados de redes que se
recomiendan para instalaciones con grado de seguridad militar. El objetivo es
impedir la posibilidad de infiltraciones y monitoreos de la informacin que
circula por el cable. Consta de un sistema de tubos (hermticamente cerrados)
por cuyo interior circula aire a presin y el cable. A lo largo de la tubera hay
sensores conectados a una computadora. Si se detecta algn tipo de variacin
de
presin
se
dispara
un
sistema
de
alarma.
Sistema de Aire Acondicionado: Se debe proveer un sistema de calefaccin,
ventilacin y aire acondicionado separado, que se dedique al cuarto de

computadoras y equipos de proceso de datos en forma exclusiva.

Teniendo en cuenta que los aparatos de aire acondicionado son causa
potencial de incendios e inundaciones, es recomendable instalar redes de
proteccin en todo el sistema de caera al interior y al exterior, detectores y
extinguidores
de
incendio,
monitores
y
alarmas
efectivas.
Emisiones Electromagnticas: Desde hace tiempo se sospecha que las
emisiones, de muy baja frecuencia que generan algunos perifricos, son
dainas
para
el
ser
humano.
Segn recomendaciones cientficas estas emisiones podran reducirse
mediante filtros adecuados al rango de las radiofrecuencias, siendo estas
totalmente seguras para las personas. Para conseguir que las radiaciones sean
mnimas hay que revisar los equipos constantemente y controlar su
envejecimiento.
Condiciones Climatolgicas

Normalmente se reciben por anticipado los avisos de tormentas, tempestades,

tifones y catstrofes ssmicas similares. Las condiciones atmosfricas severas
se asocian a ciertas partes del mundo y la probabilidad de que ocurran est
documentada.
La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al
decidir la construccin de un edificio. La comprobacin de los informes
climatolgicos o la existencia de un servicio que notifique la proximidad de una
tormenta severa, permite que se tomen precauciones adicionales, tales como la
retirada de objetos mviles, la provisin de calor, iluminacin o combustible
para
la
emergencia.
Terremotos: Estos fenmenos ssmicos pueden ser tan poco intensos que
solamente instrumentos muy sensibles los detectan o tan intensos que causan
la destruccin de edificios y hasta la prdida de vidas humanas. El problema es
que en la actualidad, estos fenmenos estn ocurriendo en lugares donde no
se los asociaba. Por fortuna los daos en las zonas improbables suelen ser
ligeros.
Incendios
Los incendios son causados por el uso inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el inadecuado almacenamiento y

traslado

de

sustancias

peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es

considerado el enemigo nmero uno de las computadoras ya que puede
destruir
fcilmente
los
archivos
de
informacin
y
programas.
Desgraciadamente los sistemas antifuego dejan mucho que desear, causando
casi igual dao que el propio fuego, sobre todo a los elementos electrnicos. El
dixido de carbono, actual alternativa del agua, resulta peligroso para los
propios empleados si quedan atrapados en la sala de cmputos.
Los diversos factores a contemplar para reducir los riesgos de incendio a los
que
se
encuentra
sometido
un
centro
de
cmputos
son:
El rea en la que se encuentran las computadoras debe estar en un local que
no
sea
combustible
o
inflamable.
El local no debe situarse encima, debajo o adyacente a reas donde se
procesen, fabriquen o almacenen materiales inflamables, explosivos, gases
txicos
o
sustancias
radioactivas.
Las paredes deben hacerse de materiales incombustibles y extenderse desde
el suelo al techo. Debe construirse un "falso piso" instalado sobre el piso real,
con materiales incombustibles y resistentes al fuego. No debe estar permitido
fumar
en
el
rea
de
proceso.
Deben emplearse muebles incombustibles, y cestos metlicos para papeles.
Deben evitarse los materiales plsticos e inflamables. El piso y el techo en el
recinto del centro de cmputo y de almacenamiento de los medios magnticos
deben
ser
impermeables.
Seguridad del Equipamiento
Es necesario proteger los equipos de cmputo instalndolos en reas en las
cuales el acceso a los mismos slo sea para personal autorizado.
Adems, es necesario que estas reas cuenten con los mecanismos de
ventilacin
y
deteccin
de
incendios
adecuados.
Para protegerlos se debe tener en cuenta que:
- La temperatura no debe sobrepasar los 18 C y el limite de humedad no debe
superar
el
65%
para
evitar
el
deterioro.
- Los centros de cmputos deben estar provistos de equipo para la extincin de

incendios en relacin al grado de riesgo y la clase de fuego que sea posible en

ese
mbito.
- Deben instalarse
(rociadores).

extintores

manuales

(porttiles)

y/o

automticos

(Anexo Seguridad Lgica)

Identificacin y Autentificacin
Es la primera lnea de defensa para la mayora de los sistemas
computarizados, permitiendo prevenir el ingreso de personas no autorizadas.
Es la base para la mayor parte de los controles de acceso y para el
seguimiento
de
las
actividades
de
los
usuarios.
Se denomina Identificacin al momento en que el usuario se da a conocer en el
sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta
identificacin.
Al igual que se consider para la seguridad fsica, y basada en ella, existen
cuatro tipos de tcnicas que permiten realizar la autenticacin de la identidad
del usuario, las cuales pueden ser utilizadas individualmente o combinadas:
- Algo que solamente el individuo conoce: por ejemplo una clave secreta de
acceso o password, una clave criptogrfica, un nmero de identificacin
personal
o
PIN,
etc.
- Algo que la persona posee: por ejemplo una tarjeta magntica.
- Algo que el individuo es y que lo identifica unvocamente: por ejemplo las
huellas
digitales
o
la
voz.
- Algo que el individuo es capaz de hacer: por ejemplo los patrones de
escritura.
Para cada una de estas tcnicas vale lo mencionado en el caso de la seguridad
fsica
en
cuanto
a
sus
ventajas
y
desventajas.
Se destaca que en los dos primeros casos enunciados, es frecuente que las
claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que
por otro lado, los controles de autenticacin biomtricos seran los ms
apropiados y fciles de administrar, resultando ser tambin, los ms costosos
por
lo
dificultosos
de
su
implementacin
eficiente.
Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean
identificados y autenticados solamente una vez, pudiendo acceder a partir de
all, a todas las aplicaciones y datos a los que su perfil les permita, tanto en

sistemas locales como en sistemas a los que deba acceder en forma remota.
Esto se denomina "single login" o sincronizacin de passwords.
Una de las posibles tcnicas para implementar esta nica identificacin de
usuarios sera la utilizacin de un servidor de autenticaciones sobre el cual los
usuarios se identifican, y que se encarga luego de autenticar al usuario sobre
los restantes equipos a los que ste pueda acceder. Este servidor de
autenticaciones no debe ser necesariamente un equipo independiente y puede
tener sus funciones distribuidas tanto geogrfica como lgicamente, de acuerdo
con
los
requerimientos
de
carga
de
tareas.
La Seguridad Informtica se basa, en gran medida, en la efectiva
administracin de los permisos de acceso a los recursos informticos, basados
en
la
identificacin,
autenticacin
y
autorizacin
de
accesos.
Esta administracin abarca:
- Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de
las cuentas de usuarios. Es necesario considerar que la solicitud de
habilitacin de un permiso de acceso para un usuario determinado, debe
provenir de su superior y, de acuerdo con sus requerimientos especficos de
acceso, debe generarse el perfil en el sistema de seguridad, en el sistema
operativo
o
en
la
aplicacin
segn
corresponda.
- Adems, la identificacin de los usuarios debe definirse de acuerdo con
una
norma
homognea
para
toda
la
organizacin.
- Revisiones peridicas sobre la administracin de las cuentas y los permisos
de acceso establecidos. Las mismas deben encararse desde el punto de vista
del sistema operativo, y aplicacin por aplicacin, pudiendo ser llevadas a cabo
por personal de auditora o por la gerencia propietaria del sistema; siempre
sobre la base de que cada usuario disponga del mnimo permiso que requiera
de
acuerdo
con
sus
funciones.
- Deteccin de actividades no autorizadas. Adems de realizar auditorias o
efectuar el seguimiento de los registros de transacciones (pistas), existen otras
medidas que ayudan a detectar la ocurrencia de actividades no autorizadas.
Algunas de ellas se basan en evitar la dependencia hacia personas
determinadas, estableciendo la obligatoriedad de tomar vacaciones o
efectuando rotaciones peridicas a las funciones asignadas a cada una.
- Nuevas consideraciones relacionadas con cambios en la asignacin de
funciones del empleado. Para implementar la rotacin de funciones, o en caso

de reasignar funciones por ausencias temporales de algunos empleados, es

necesario considerar la importancia de mantener actualizados los permisos de
acceso.
- Procedimientos a tener en cuenta en caso de desvinculaciones de personal
con la organizacin, llevadas a cabo en forma amistosa o no. Los despidos del
personal de sistemas presentan altos riesgos ya que en general se trata de
empleados con capacidad para modificar aplicaciones o la configuracin del
sistema, dejando "bombas lgicas" o destruyendo sistemas o recursos
informticos.
No obstante, el personal de otras reas usuarias de los sistemas tambin
puede causar daos, por ejemplo, introduciendo informacin errnea a las
aplicaciones
intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de acceso
a las personas que se desvincularn de la organizacin, lo antes posible. En
caso de despido, el permiso de acceso debera anularse previamente a la
notificacin de la persona sobre la situacin.
Modalidad de Acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a
la informacin. Esta modalidad puede ser:
- Lectura: el usuario puede nicamente leer o visualizar la informacin pero no
puede alterarla. Debe considerarse que la informacin puede ser copiada o
impresa.
- Escritura: este tipo de acceso permite agregar datos, modificar o borrar
informacin.
- Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas.
- Borrado: permite al usuario eliminar recursos del sistema (como programas,
campos de datos o archivos). El borrado es considerado una forma de
modificacin.
- Todas las anteriores.
Adems existen otras modalidades de acceso especiales, que generalmente se
incluyen en los sistemas de aplicacin:

- Creacin: permite al usuario crear nuevos archivos, registros o campos.

- Bsqueda: permite listar los archivos de un directorio determinado.

Control de Acceso Interno

Palabras Claves: Generalmente se utilizan para realizar la autenticacin del
usuario y sirven para proteger los datos y aplicaciones. Los controles
implementados a travs de la utilizacin de palabras clave resultan de muy bajo
costo.
Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras
clave para acceder a diversos sistemas encuentra dificultoso recordarlas y
probablemente las escriba o elija palabras fcilmente deducibles, con lo que se
ve
disminuida
la
utilidad
de
esta
tcnica.
Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima
instancia cada uno de ellos se romper por este eslabn: la eleccin de
passwords
dbiles.
Sera deseable usar passwords seguras ya que aqu radican entre el 90% y
99% de los problemas de seguridad planteados.
- Sincronizacin de passwords: consiste en permitir que un usuario acceda
con la misma password a diferentes sistemas interrelacionados y, su
actualizacin automtica en todos ellos en caso de ser modificada.
Podra pensarse que esta es una caracterstica negativa para la seguridad de
un sistema, ya que una vez descubierta la clave de un usuario, se podra tener
acceso a los mltiples sistemas a los que tiene acceso dicho usuario.
Sin embargo, estudios hechos muestran que las personas normalmente suelen
manejar una sola password para todos los sitios a los que tengan acceso, y
que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas
para no olvidarlas, lo cual significa un riesgo an mayor.
Para implementar la sincronizacin de passwords entre sistemas es necesario
que
todos
ellos
tengan
un
alto
nivel
de
seguridad.
- Caducidad y control: este mecanismo controla cundo pueden y/o deben
cambiar sus passwords los usuarios. Se define el perodo mnimo que debe

pasar para que los usuarios puedan cambiar sus passwords, y un perodo
mximo que puede transcurrir para que stas caduquen.

Encriptacin: La informacin encriptada solamente puede ser desencriptada

por quienes posean la clave apropiada. La encriptacin puede proveer de una
potente medida de control de acceso. Este tema ser abordado con
profundidad
en
el
Captulo
sobre
Proteccin
del
presente.
Listas de Control de Accesos: Se refiere a un registro donde se encuentran
los nombres de los usuarios que obtuvieron el permiso de acceso a un
determinado recurso del sistema, as como la modalidad de acceso permitido.
Este tipo de listas varan considerablemente en su capacidad y flexibilidad.
Lmites sobre la Interfase de Usuario: Esto lmites, generalmente, son
utilizados en conjunto con las listas de control de accesos y restringen a los
usuarios a funciones especficas. Bsicamente pueden ser de tres tipos:
mens, vistas sobre la base de datos y lmites fsicos sobre la interfase de
usuario. Por ejemplo los cajeros automticos donde el usuario slo puede
ejecutar
ciertas
funciones
presionando
teclas
especficas.

Control de Acceso Externo

Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a
un puerto determinado y pueden estar fsicamente separados o incluidos en
otro dispositivo de comunicaciones, como por ejemplo un mdem.
Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre
dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los
firewalls permiten que los usuarios internos se conecten a la red exterior al
mismo tiempo que previenen la intromisin de atacantes o virus a los sistemas
de la organizacin. Este tema ser abordado con posterioridad.
Accesos Pblicos: Para los sistemas de informacin consultados por el
pblico en general, o los utilizados para distribuir o recibir informacin
computarizada (mediante, por ejemplo, la distribucin y recepcin de
formularios en soporte magntico, o la consulta y recepcin de informacin a
travs del correo electrnico) deben tenerse en cuenta medidas especiales de
seguridad, ya que se incrementa el riesgo y se dificulta su administracin.
Debe considerarse para estos casos de sistemas pblicos, que un ataque

externo o interno puede acarrear un impacto negativo en la imagen de la

organizacin.

Administracin de Seguridad
Una vez establecidos los controles de acceso sobre los sistemas y la
aplicacin, es necesario realizar una eficiente administracin de estas medidas
de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas
y modificaciones sobre los accesos de los usuarios de los sistemas.
La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe
guiar a las decisiones referidas a la determinacin de los controles de accesos
y especificando las consideraciones necesarias para el establecimiento de
perfiles
de
usuarios.
La definicin de los permisos de acceso requiere determinar cual ser el nivel
de seguridad necesario sobre los datos, por lo que es imprescindible clasificar
la informacin, determinando el riesgo que producira una eventual exposicin
de
la
misma
a
usuarios
no
autorizados.
As los diversos niveles de la informacin requerirn diferentes medidas y
niveles
de
seguridad.
Para empezar la implementacin, es conveniente comenzar definiendo las
medidas de seguridad sobre la informacin ms sensible o las aplicaciones
ms crticas, y avanzar de acuerdo a un orden de prioridad descendiente,
establecido
alrededor
de
las
aplicaciones.
Una vez clasificados los datos, debern establecerse las medidas de seguridad
para
cada
uno
de
los
niveles.
Un programa especfico para la administracin de los usuarios informticos
desarrollado sobre la base de las consideraciones expuestas, puede constituir
un compromiso vaco, si no existe una conciencia de la seguridad
organizacional por parte de todos los empleados. Esta conciencia de la
seguridad puede alcanzarse mediante el ejemplo del personal directivo en el
cumplimiento de las polticas y el establecimiento de compromisos firmados por
el personal, donde se especifique la responsabilidad de cada uno.
Pero adems de este compromiso debe existir una concientizacin por parte de
la administracin hacia el personal en donde se remarque la importancia de la
informacin y las consecuencias posibles de su prdida o apropiacin de la

misma

por

agentes

extraos

la

organizacin.

Administracin del Personal y Usuarios - Organizacin del Personal

Este proceso lleva generalmente cuatro pasos:
- Definicin de puestos: debe contemplarse la mxima separacin de
funciones posibles y el otorgamiento del mnimo permiso de acceso requerido
por cada puesto para la ejecucin de las tareas asignadas.
- Determinacin de la sensibilidad del puesto: para esto es necesario
determinar si la funcin requiere permisos riesgosos que le permitan alterar
procesos, perpetrar fraudes o visualizar informacin confidencial.
- Eleccin de la persona para cada puesto: requiere considerar los
requerimientos de experiencia y conocimientos tcnicos necesarios para cada
puesto. Asimismo, para los puestos definidos como crticos puede requerirse
una
verificacin
de
los
antecedentes
personales
- Entrenamiento inicial y continuo del empleado: cuando la persona
seleccionada ingresa a la organizacin, adems de sus responsabilidades
individuales para la ejecucin de las tares que se asignen, deben
comunicrseles las polticas organizacionales, haciendo hincapi en la poltica
de seguridad. El individuo debe conocer las disposiciones organizacionales, su
responsabilidad en cuanto a la seguridad informtica y lo que se espera de l.
Esta capacitacin debe orientarse a incrementar la conciencia de la necesidad
de proteger los recursos informticos y a entrenar a los usuarios en la
utilizacin de los sistemas y equipos para que ellos puedan llevar a cabo sus
funciones en forma segura, minimizando la ocurrencia de errores (principal
riesgo
relativo
a
la
tecnologa
informtica).
Slo cuando los usuarios estn capacitados y tienen una conciencia formada
respecto de la seguridad pueden asumir su responsabilidad individual. Para
esto, el ejemplo de la gerencia constituye la base fundamental para que el
entrenamiento sea efectivo: el personal debe sentir que la seguridad es un
elemento prioritario dentro de la organizacin.