REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN UNIVERSITARIA I. U. T. E. T. EXT.

TRUJILLO TRUJILLO ESTADO TRUJILLO PNF. INFORMTICA

Realizado por: T.S.U. Yaritza Santos T.S.U. Maryury Vitora T.S.U.Vanessa Riveros

Mayo, 2013.

Introduccin

La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas as como a los organismos gubernamentales e instituciones educativas para mejorar su productividad e imagen y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de las instituciones y empresas. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin

del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos.

OBJETIVOS Objetivo General Desarrollar un informe donde se verifique la Seguridad Fsica y Lgica al rea de Cmputo del Liceo Bolivariano Amrico Briceo Valero. Objetivos Especficos Realizar una observacin directa. Elaborar una encuesta al personal encargado Verificar la informacin Redactar el informe

Justificacin En los ltimos aos se ha visto con mayor auge la importancia de la seguridad informtica en todas las reas de nuestra vida, as como principalmente en las empresas, organizaciones e instituciones educativas, este tema es de relevancia en el aspecto que la seguridad no solo es guardar informacin en discos compactos o poseer un buen antivirus, sino que este es un tema que va mucho ms all, el siguiente trabajo busca profundizar nuestros conocimientos en el rea de seguridad informtica y verificar en la institucin antes nombrada si existe una verdadera seguridad informtica. Con respecto al rea tecnolgica es de suma importancia el tener resguardada la informacin que manejamos para que as el trabajo sea de manera fluido y poco repetitivo, existen muchas maneras de infiltrase o de robar informacin si podra as llamarse, pero tambin tenemos varias maneras de evadir estas amenazas.

MARCO TERICO Resea Histrica Liceo Bolivariano Amrico Briceo Valero En la Administracin del General Isaas Medina Angarita en nuestra comunidad de Santa Rosa se construy una edificacin; con el fin de que en la misma funcionara el Ancianato Municipal, ms adelante se destino para la ubicacin de la Escuela Carrillo Guerra, la cual estuvo funcionando hasta que se construy el nuevo local para la misma y esta edificacin dio paso al funcionamiento de la escuela Amrico Briceo Valero, que fue fundada el 01 de octubre de 1959, en la comunidad de Santa Rosa, Parroquia Cristbal Mendoza, Avenida Ayacucho N 1-102, municipio Trujillo Estado Trujillo, el Grupo Escolar Amrico Briceo Valero, epnimo designado en Homenaje al bachiller, educador, historiador, pensador y cultivador de la Docencia, nacido en San Lzaro Amrico Briceo Valero.. Su Primer director fue el profesor Manuel Antonio Colmenares el cual como era la costumbre viva con su familia en la institucin, nacido el 9 de abril de 1926 en Cuicas, estado Trujillo, sus padres Juan de Dios Vargas y Pascuala de las Mercedes Colmenares, sus estudios de maestro de Educacin Primaria Urbana, Profesor de Educacin Secundario,

Administracin y Supervisin de Educacin en el Centro Interamericano de Educacin Rural en Rubio Estado Tchira, Ingles en la Universidad de Columbia en USA. La escuela comienza con una distribucin de 12 secciones comprendidas desde el primer grado al sexto grado; Posteriormente para el ao escolar 1975 1976 se implementa la segunda Etapa, comenzando con dos secciones de primer ao y con una matricula de 55 estudiantes, en los aos venideros se extendi hasta el tercer ao con una matricula de 135 entre las seis secciones del liceo.

El 23 de junio de 1977 se le asigno la categora de Unidad Educativa Bsica dada la instancia de tener Coordinador y administrador bajo un mismo techo, dos niveles con todas las Etapas que van desde primer grado hasta el noveno grado. Una vez promulgada el nuevo reglamento de la ley Orgnica de Educacin en enero de 1986, es cuando se le da la Denominacin de Unidad Educativa Amrico Briceo Valero. El 13 de abril de 2007 pas a ser Escuela Bolivariana las secciones desde Pre-escolar hasta sexto grado; pasando la III ETAPA a conformar el LICEO AMERICO BRICEO VALERO, en horario comprendido de 11:00am hasta las 6:00pm. Actualmente, el liceo cuenta con el siguiente personal: veinticuatro (24) profesores, cinco (05) administrativos y diez (10) personal de Ambiente. En su matrcula tiene 170 estudiantes de primero a tercer ao. Desde el 2011 lo dirige el Profesor Segundo Mndez, quien es el Director encargado.

Es de hacer notar que la unidad Educativa Amrico Briceo Valero es una institucin que est ubicado en la Av. Ayacucho Sector santa Rosa de la Parroquia Cristbal Mendoza (Santa Rosa Municipio Autnomo Trujillo estado Trujillo. En cuanto al nombre de la escuela se debe al ilustre pedagogo, escritor, matemtico, geogrfico, ciudadano Amrico Briceo Valero, su obra es de carcter didctico y divulgativo y posee un amplio registro de conocimientos. Ubicacin Geogrfica: Esta ubicada en la Parroquia Cristbal Mendoza, municipio Trujillo.

Limites Por el Norte: Av. Ayacucho. Por el Sur: Av. Mendoza, parte de Quebrada de los Cedros. Por el Este: Calle. Buen Pastor. Por el Oeste: Viaducto Santo Toms de Aquino. Misin Rescatar la eficiencia del trabajo en equipo como herramienta de calidad educativa que nos permita ser proactivos, participativos, creativos e innovadores con sentido de perteneca, teniendo como meta la excelencia de la planificacin institucional como eje fundamental del desarrollo individual colectivo, administrativo, pedaggico y gerencial. Visin Proyectar la calidad Educativa, a fin de formar un alumno integral Creativo, participativo, basado en los principios ticos, morales, sociales, polticos y culturales que le permite desenvolverse de manera prctica en su contexto y a su vez generar capacidad de respuestas a las inquietudes y necesidades de la accin Educativa con el propsito de alcanzar la

pertinencia en la comunidad. Seguridad Informtica La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar

ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informticos y la informacin como activos de una organizacin, mantenindolos libres de peligros, daos o riesgos. Cuando hablamos de seguridad informtica debemos hablar de los dos ejes de este concepto como lo son la Seguridad Fsica y la seguridad lgica que a continuacin detallaremos: Seguridad Fsica La seguridad fsica de un sistema informtico consiste en la aplicacin de barreras fsicas y procedimientos de control frente a amenazas fsicas al hardware. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el sistema. Las principales amenazas que se prevn son: Desastres naturales, incendios accidentales y cualquier variacin

producida por las condiciones ambientales. Amenazas ocasionadas por el hombre como robos o sabotajes. Disturbios internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad fsica del sistema es la base para comenzar a integrar la seguridad como funcin primordial del mismo. Tener controlado el ambiente y acceso fsico permite disminuir siniestros y tener los medios para luchar contra accidentes. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma.

As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Tipos de Desastres Cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica. Es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Trujillo, tcnicas de seguridad ante ciclones; pero s ser de mxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro.

Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e

inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios .

Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones elctricas defectuosas y el inadecuado

almacenamiento y traslado de sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo nmero uno de las computadoras ya que puede destruir fcilmente los archivos de informacin y programas. Inundaciones

Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas

Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catstrofes ssmicas similares. Las condiciones atmosfricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran est documentada. Seales de Radar

La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor.

Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Elctricas

Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales reas a considerar en la seguridad fsica. Adems, es una problemtica que abarca desde el usuario hogareo hasta la gran empresa. En la medida que los sistemas se vuelven ms complicados se hace ms necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estn de acuerdo con una norma de seguridad industrial. Ergometra

El enfoque ergonmico plantea la adaptacin de los mtodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatoma, la fisiologa y la psicologa del operador. Entre los fines de su aplicacin se encuentra, fundamentalmente, la proteccin de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro. Acciones Hostiles 1. Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero.

Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro. 2. Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones. 3. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas

estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. 1. Utilizacin de Guardias El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratgicos para cumplir con sus objetivos y controlar el acceso del personal. 2. Utilizacin de Detectores de Metales El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metlico mnimo, a partir del cual se activar la alarma.

La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuar como elemento disuasivo. 3. Utilizacin de Sistemas Biomtricos La Biometra es una tecnologa que realiza mediciones en forma electrnica, guarda y compara caractersticas nicas para la identificacin de personas. La forma de identificacin consiste en la comparacin de

caractersticas fsicas de cada persona con un patrn conocido y almacenado en una base de datos. Los lectores biomtricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). 4. Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas. Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada.

El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata. 5. Seguridad con Animales Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado. 6. Proteccin Electrnica Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la utilizacin de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de sealizacin que son los encargados de hacerles saber al personal de una situacin de emergencia. Cuando uno de los elementos sensores detectan una situacin de riesgo, stos transmiten inmediatamente el aviso a la central; sta procesa la informacin recibida y ordena en respuesta la emisin de seales sonoras o luminosas alertando de la situacin.

Evaluar y controlar permanentemente la seguridad fsica es la base para o comenzar a integrar la seguridad como una funcin primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso fsico permite: Disminuir siniestros Trabajar mejor manteniendo la sensacin de seguridad Descartar falsas hiptesis si se produjeran incidentes Tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeamos; y as tomar decisiones sobre la base de la informacin brindada por los medios de control adecuados. Estas decisiones pueden variar desde el conocimiento de la reas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes. Seguridad Lgica Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es importante recalcar que la mayora de los daos que puede sufrir un centro de cmputos no ser sobre los medios fsicos sino contra informacin por l almacenada y procesada. As, la Seguridad Fsica, slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. Como ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben existir tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad Lgica. Es decir que la Seguridad Lgica consiste en la "aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo."

Existe un viejo dicho en la seguridad informtica que dicta que "todo lo que no est permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lgica. Los objetivos que se plantean sern: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin. Controles de Acceso Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la informacin confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema: Identificacin y Autentificacin Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificacin al momento en que el usuario se da a conocer en el sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta identificacin. Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas: Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptogrfica, un nmero de identificacin personal o PIN, etc. Algo que la persona posee: por ejemplo una tarjeta magntica. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz.

Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

Roles El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones Tambin pueden implementarse controles a travs de las

transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario. Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la informacin. Esta modalidad puede ser: Lectura: el usuario puede nicamente leer o visualizar la informacin pero no puede alterarla. Debe considerarse que la informacin puede ser copiada o impresa. Escritura: este tipo de acceso permite agregar datos, modificar o borrar informacin. Ejecucin: este acceso otorga al usuario el privilegio de ejecutar programas. Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificacin. Todas las anteriores. existen otras modalidades de acceso especiales, que

Adems

generalmente se incluyen en los sistemas de aplicacin: Creacin: permite al usuario crear nuevos archivos, registros o campos. Bsqueda: permite listar los archivos de un directorio determinado.

Ubicacin y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la semana.

De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno de los controles anteriormente mencionados. Control de Acceso Interno Palabras Claves (Passwords) Generalmente se utilizan para realizar la autenticacin del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a travs de la utilizacin de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fcilmente deducibles, con lo que se ve disminuida la utilidad de esta tcnica. Se podr, por aos, seguir creando sistemas altamente seguros, pero en ltima instancia cada uno de ellos se romper por este eslabn: la eleccin de passwords dbiles. Sincronizacin de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualizacin automtica en todos ellos en caso de ser modificada. Podra pensarse que esta es una caracterstica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podra tener acceso a los mltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo an mayor. Para

implementar la sincronizacin de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad. Caducidad y control: este mecanismo controla cundo pueden y/o deben cambiar sus passwords los usuarios. Se define el perodo mnimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un perodo mximo que puede transcurrir para que stas caduquen. Encriptacin: La informacin encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptacin puede proveer de una potente medida de control de acceso. Este tema ser abordado con profundidad en el Captulo sobre Proteccin del presente.

Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, as como la modalidad de acceso permitido. Este tipo de listas varan considerablemente en su capacidad y flexibilidad. Lmites sobre la Interfaz de Usuario: Esto lmites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones especficas. Bsicamente pueden ser de tres tipos: mens, vistas sobre la base de datos y lmites fsicos sobre la interfase de usuario. Por ejemplo los cajeros automticos donde el usuario slo puede ejecutar ciertas funciones presionando teclas especficas. Etiquetas de Seguridad: Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propsitos como control de accesos, especificacin de medidas de proteccin, etc. Estas etiquetas no son modificables.

Control de Acceso Externo Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar fsicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un mdem. Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisin de atacantes o virus a los sistemas de la organizacin. Este tema ser abordado con posterioridad. Acceso de Personal Contratado o Consultores: Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideracin en la poltica y administracin de sus perfiles de acceso. Accesos Pblicos: Para los sistemas de informacin consultados por el pblico en general, o los utilizados para distribuir o recibir informacin computarizada (mediante, por ejemplo, la distribucin y recepcin de formularios en soporte magntico, o la consulta y recepcin de informacin a travs del correo electrnico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administracin. Debe considerarse para estos casos de sistemas pblicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organizacin. Administracin

Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es necesario realizar una eficiente administracin de estas medidas de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe guiar a las decisiones referidas a la determinacin de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios. Niveles de Seguridad Informtica El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mnimo grado de seguridad al mximo. Estos niveles han sido la base de desarrollo de estndares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el subnivel B2 abarca los subniveles B1, C2, C1 y el D. Nivel D Este nivel contiene slo una divisin y est reservada para sistemas que han sido evaluados y no cumplen con ninguna especificacin de seguridad.

Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Proteccin Discrecional Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1: Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos. Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o identificacin.

Nivel C2: Proteccin de Acceso Controlado Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece

que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. Tambin se establecen controles para limitar la propagacin de derecho de accesos a los distintos objetos. Nivel B2: Proteccin Estructurada Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems usuarios. Nivel B3: Dominios de Seguridad

Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Proteccin Verificada Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

A continuacin Aplicamos los criterios estudiados anteriormente sobre seguridad fsica y lgica a La institucin Educativa Liceo Bolivariano Amrico Briceo Valero, para tal fin empleamos la tcnica de la encuesta para llegar a las conclusiones obtenidas, dicha encuesta detallamos seguidamente:

Encuesta realizada el Da 15 de mayo de 2013. Coordinador: Prof. Juamary Vasquez 1. El lugar donde se ubica el centro Informtico esta seguro de inundaciones, robo o cualquier otra situacin que pueda poner en peligro los equipos? Si ____ No __X__ 2. El material con que esta construido el centro de cmputo es confiable? Si __X___ No ______ 3. Dentro del centro de cmputo existen materiales que puedan ser inflamables o causar algn dao a los equipos? Si_____ Cul?_________________________________ No__X__

4. Aparte del centro de cmputo se cuenta con algn lugar para almacenar otros equipos de cmputo, muebles, suministros, etc.? Si _X__ Dnde? _En la direccin y en el Departamento de evaluacin___ No ____ 5. Se cuenta con una salida de emergencia? Si ______ No ______ 6. Existen sealamientos que las hagan visibles? Si _____ Dnde? ________________________________ No ______ 7. Es adecuada la iluminacin del centro de cmputo? Si ______ No ______ Por qu?___________________________ 8. El color de las paredes es adecuado para el centro de cmputo? Si ______ No ______ Porqu?________________________ 9. Existen lmparas dentro del centro de cmputo? Si ______ Cuntas?________ No ______ 10. Es suficiente la iluminacin del centro de cmputo? Si ______ No ______ Porqu?__________________________ 11. La ubicacin de los aires acondicionado es adecuada? Si ______ No ______ 12. Existe algn otro medio de ventilacin aparte del aire acondicionado? Si ______ Cul? ___________________________________ No ______

13. El aire acondicionado emite algn tipo de ruido? Si ______ No ______ 14. El cableado se encuentra correctamente instalado? Si ______ No ______ 15. Se tiene switch de apagado en caso de emergencia en algn lugar visible? Si ______ No ______ 16. Los cables estn dentro de paneles y canales elctricos? Si ______ No ______ 17. Los interruptores de energa estn debidamente protegidos y sin obstculos para alcanzarlos? Si ______ No ______ 18. Con que periodo se les da mantenimiento a las instalaciones y suministros de energa? 19. Se cuenta con alarma contra incendios? Si ______ No ______ 20. En caso de ser afirmativo Dnde se encuentran ubicadas? 21. Es perfectamente audible? Si ______ No ______

22. Existen extintores? Si _______ Cuntos? ___________________________ No ______ Tipo de extintores: Manual ____ Automtico ____ No existen ___ 23. Cuentan con algn tipo de control de entradas y salidas de usuario? Si________ No______ 24. El usuario respeta ese control? Si________ No______ 25. Con que tipo de programas cuentan en los equipos de computo?

26. Cuentan con manuales para cada programa que se maneja? Si___ No___ 27. El personal sabe del contenido de estos manuales? Si___ No___ 28. Se cuenta con reglamento para el usuario, maestro y personal? Si___ No___ 29. Usuarios y maestros respetan los reglamentos y polticas estipuladas dentro del centro de cmputo? Si___ No___ 30. El reglamento esta a la vista del usuario? Si___ No___

31. Qu tipo de mantenimiento realizan? a. Preventivo b. Correctivo 32. Por qu razn? 33. Qu materiales utilizan para realizar el mantenimiento del hardware?

34. Tienen un lugar especfico para guardar el material de mantenimiento de hardware? Si___ No___ 35. Qu materiales utilizan para realizar el mantenimiento de software?

36. Los usuarios tienen la suficiente confianza como para presentar su queja sobre fallas en los equipos? Si___ No___ 37. Se cuenta con copias de los archivos en lugar distinto al de la computadora? Si___ No___ 38. Se tienen establecidos procedimientos de actualizacin a estas copias? Si___ No___

39. Se ha establecido que informacin puede ser accesada y por qu persona? Si___ No___ 40. Se han instalado equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje como: reguladores de voltaje, supresores pico, UPS, generadores de energa? Si___ No___ 41. Se mantiene programas y procedimientos de deteccin e

inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos? Si___ No___

Directos (E) Lcdo. Segundo Mndez: 1. Sabe que hacer el personal en caso de una emergencia? Si ______ No ______ 2. Se ha adiestrado al personal sobre el uso de extintores? Si ______ No ______ 3. Existe una persona responsable de la seguridad de autorizacin de acceso? Si ______ No ______

4. Se supervisa que esta persona realice sus actividades? Si _______ Quin? _________________________________ No ______ 5. El personal que trabaja actualmente es adecuado para cumplir con las funciones encomendadas? Si___ No___ Porqu?_____________________________ 6. Se da algn tipo de induccin al personal para que este informado de las funciones que realizar? Si____ No____ 7. Cual es la forma de darles a conocer sus funciones? ____________________ 8. Cul es la causa de que no estn por escrito? __________________ 9. Se establece algn tipo de objetivo para el rea de cmputo? Si___ No___ 10. Estos objetivos estn por escrito? Si___ No____ 11. En caso de ser si, en que tipo de documentos se encuentra? ______________

12. En caso de ser no, por que no estn definidos por escrito? ___________ 13. Cumple el personal o encargado del centro de computo con dichos objetivos? Si___ No____ Porqu?____________________________ 14. Existe un programa de mantenimiento del centro de cmputo ya especificado? Si (Descrbalo)______________________________ No (Cul es la razn de que no exista?)_________________ 15. Se lleva a cabo el programa? Si_______ No (Cules son las razones?)______ 16. Seale el periodo aproximado en el cual esta estipulado en el programa darle mantenimiento a las computadoras a.1 mes b. 2 meses c. 6 meses d. Cada ao e. Otro (Indique_______________________________________________________

17 Cmo se reportan las fallas? Formato preestablecido (especifique nombre ____________________________________________________) Otro _____________________ 18. En qu porcentaje se cumplen los calendarios de produccin? a. b. 100% c. 90% d. 80% e. 70% f. 50% g. Otro______________ 19.Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas? Si_______ No_______ 20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? Si_______ No_______

21. Se llevo a cabo la planeacin para la instalacin de los equipos? Si_______ No_______ 22. Bajo que trminos estn instalados los equipos?______________________________________________________ ________________________ 23. Existe un informe tcnico en el que se justifique la adquisicin del equipo, software y servicios de computacin, incluyendo un estudio costobeneficio? Si (Cul?_______________________________) No_____ (Por qu? _________________________________) 24. Han elaborado un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos, programas y servicios computacionales? Si (Descrbalo____________________________) No ________ 25.Se hacen revisiones peridicas y sorpresivas del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la Institucin? Si_______ No_______ 26.Se apega a la estandarizacin del Sistema Operativo, software utilizado como procesadores de palabras, hojas electrnicas, manejadores de base de datos y se mantienen actualizadas las versiones y la capacitacin sobre modificaciones incluidas? Si_______ No_______

27. Se ha asegurado un respaldo de mantenimiento y asistencia tcnica? Si_______ No_______ USUARIOS: 1. El encargado del centro de cmputo te brinda atencin cuando la requieres? Si___ No___ 2. Respetas el control de acceso al centro de cmputo? Si___ No___ 3. Conoces el reglamento implementado dentro del centro de cmputo? Si___ No___ 4. Cumples con los reglamentos y polticas estipuladas dentro del centro de cmputo? Si___ No___ 5. Tienen la suficiente confianza como para presentar su queja sobre fallas en los equipos? 6. Si___ No___ 7. Cul es la efectividad de los tcnicos para resolver los problemas del mantenimiento? a. b. Excelente c. Muy buena

d. Buena e. Regular f. Mala g. Muy mala 8. Te parece adecuada la ubicacin del centro de cmputo? Si ____ No ____ Porqu?___________________________ 9. Crees que la ubicacin del centro de cmputo es de fcil acceso? Si ____ No ____ Por qu?___________________________ 10. Consideras que es adecuado el espacio que hay entre los equipos de cmputo? Si ____ No ____ Por qu?___________________________ 11. Consideras conveniente que exista un lugar para dejar las mochilas mientras se entra al centro de cmputo? Si ____ No ____ Porqu?___________________________ 12. Has observado si existe una salida de emergencia dentro del centro de cmputo? Si ____ No ____ Por qu?___________________________ 13. Crees que la iluminacin del centro de cmputo es adecuada? Si ____ No ____ Por qu?___________________________

14. Consideras que la temperatura del centro de cmputo es adecuada para los equipos? Si ____ No ____ Por qu?___________________________ 15. El aire acondicionado genera algn tipo de ruido que provoque distraccin? Si ____ No ____ 16. Crees que los cables estn bien instalados dentro del centro de computo, es decir si se encuentran dentro de canales o paneles? Si ____ No ____ Por qu?___________________________ 17. Has identificado algn tipo de alarma dentro del centro de cmputo? Si ____ Cul? Contra incendio _____ contra inundaciones ______ contra robo_____ Consideras adecuada su ubicacin? Si ____ No ____ Por qu?___________________________ 18. Has identificado algn extintor dentro del centro de cmputo? Si ____ Cuntos? ________ No ____ 19. Consideras necesario que exista alguno? Si ____ No ____ Por qu?___________________________ 20. Consideras importante que se controle el acceso al laboratorio? Si ____ No ____ Por qu?___________________________

21. Crees las medidas de seguridad que manejan dentro del centro de computo sean seguras? Si ____ No ____ Por qu?___________________________ 22. Crees que el tipo de seguridad que manejan en cuanto al equipo sean las adecuadas? Si ____ No ____ Por qu?___________________________ 23. Crees conveniente que los equipos estn protegidos con contraseas? Si ____ No ____ Por qu?___________________________ 24. Cmo calificas el servicio a Internet? Bueno ____ Regular ____ Malo ____ Psimo ____ Porqu?____________ 25. Consideras que el servicio de internet debe estar disponible a cualquier hora y para cualquier usuario? Si ____ No ____ Por qu?___________________________ 26. Trabajar en el laboratorio es cmodo? Si ____ No ____ Por qu?___________________________ 27. Consideras adecuadas las restricciones a las configuraciones del equipo? Si ____ No ____ Por qu?___________________________ 28. Los equipos tienen los programas que necesitas? Si ____ No ____ Por qu?___________________________

29. Consideras correcto el control de acceso al laboratorio? Si ____ No ____ Por qu?___________________________ 30. Consideras adecuado para todos los alumnos el nmero de mquinas que existen en el laboratorio? Si ____ No ____ Por qu?___________________________ 31. En el centro de computo respetan la informacin que guardas? Si ____ No ____ Porqu?___________________________ 32. Se priorizan algunas clases en el laboratorio? Si (Por qu? ______________________________) No 33. Estas de acuerdo del espacio en cuanto a la divisin del centro de cmputo? Si ____ No ____ Por qu?___________________________ 34. El espacio entre maquinas es de tu agrado? Si ____ No ____ Por qu?___________________________ 35. Tienes siempre la disposicin de los equipos? Si ____ No ____ Por qu?___________________________ 36. La atencin de los encargados hacia ti es la correcta? Si ____ No ____ Porqu?___________________________

37.Cuando quieres consultar una pgina para buscar informacin tienes acceso a ella? Si ____ No ____ Por qu?___________________________

HUERTA, Antonio Villaln. "Seguridad en Unix y Redes". Versin 1.2 Digital - Open Publication License v.10 o Later. 2 de Octubre de 2000. http://www.kriptopolis.org

(1) http://www.nist.gov Descargar DoD Orange Book - Department Of Defense Trusted Computer System Evaluation Criteria (2) Orange Book. Department Of Defense. Library N S225, 711. EEUU. 1985. http://www.doe.gov