REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACION UNIVERSITARIA

INSTITUTO UNIVERSITARIO DE TECNOLOGIA AGRO-INDUSTRIAL
EXTENSION ZONA NORTE

POLITICAS DE
SEGURIDAD

AUTORA:
USECHE ALVAREZ NATHALY
CI 24.153.611
IV TRAYECTO II TRIMESTRE INFORMATICA TARDE
PROF ING LISBY MORA

San Juan de Coln, Julio de 2015

INTRODUCCION
El objetivo de la Poltica de Seguridad de Informacin de una organizacin es, por un
lado, mostrar el posicionamiento de la organizacin con relacin a la seguridad, y por otro
lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que
debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaracin
de intenciones. Lo ms importante para que estas surtan efecto es lograr la concienciacin,
entendimiento y compromiso de todos los involucrados.
Las polticas deben contener claramente las prcticas que sern adoptadas por la compaa.
Y estas polticas deben ser revisadas, y si es necesario actualizadas, peridicamente.

POLITICAS DE SEGURIDAD DE LA INFORMACION

De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad
requiere un alto compromiso con la organizacin, agudeza tcnica para establecer
fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin
del dinmico ambiente que rodea las organizaciones modernas.
Est lejos de mi intencin (y del alcance del presente) proponer un documento
estableciendo lo que debe hacer un usuario o una organizacin para lograr la mayor
Seguridad Informtica posible. S est dentro de mis objetivos proponer los
lineamientos generales que se deben seguir para lograr (si as se pretendiese) un
documento con estas caractersticas.
El presente es el resultado de la investigacin, pero sobre todo de mi experiencia
viendo como muchos documentos son ignorados por contener planes y polticas
difciles de lograr, o peor an, de entender.
Esto adquiere mayor importancia aun cuando el tema abordado por estas polticas
es la Seguridad Informtica. Extensos manuales explicando cmo debe protegerse
una computadora o una red con un simple Firewall, un programa antivirus o un
monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor
"Proteccin" = "Aceite de Serpiente" del mundo.
He intentado dejar en claro que la Seguridad Informtica no tiene una solucin
definitiva aqu y ahora, sino que es y ser (a mi entender) el resultado de la
innovacin tecnolgica, a la par del avance tecnolgico, por parte de aquellos que
son los responsables de nuestros sistemas.
En palabras de Julio C. Ardita: "Una poltica de seguridad funciona muy bien en
EE.UU. pero cuando estos manuales se trajeron a Amrica Latina fue un fiasco...
Armar una poltica de procedimientos de seguridad en una empresa est costando
entre 150-350 mil dlares y el resultado es ninguno... Es un manual que llevado a la
implementacin nunca se realiza... Es muy difcil armar algo global, por lo que
siempre se trabaja en un plan de seguridad real: las polticas y procedimientos por
un lado y la parte fsica por otra."
Para continuar, har falta definir algunos conceptos aplicados en la definicin de una
PSI:

Decisin: eleccin de un curso de accin determinado entre varios posibles.

Plan: conjunto de decisiones que definen cursos de accin futuros y los medios para
conseguirlos. Consiste en disear un futuro deseado y la bsqueda del modo de
conseguirlo.
Estrategia: conjunto de decisiones que se toman para determinar polticas, metas y
programas.
Poltica: definiciones establecidas por la direccin, que determina criterios generales
a adoptar en distintas funciones y actividades donde se conocen las alternativas
ante circunstancias repetidas.
Meta: objetivo cuantificado a valores predeterminados.
Procedimiento: Definicin detallada de pasos a ejecutar para desarrollar una
actividad determinada.
Norma: forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que
se utilizan para coordinar y controlar operaciones.
Proyeccin: prediccin del comportamiento futuro, basndose en el pasado sin el
agregado de apreciaciones subjetivas.
Pronostico: prediccin del comportamiento futuro, con el agregado de hechos
concretos y conocidos que se prev influirn en los acontecimientos futuros.
Control: capacidad de ejercer o dirigir una influencia sobre una situacin dada o
hecho. Es una accin tomada para hacer un hecho conforme a un plan.
Riesgo: proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos,
hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos:
amenaza, contingencia, emergencia, urgencia, apuro.

Ahora, "una Poltica de Seguridad es un conjunto de requisitos definidos por los

responsables de un sistema, que indica en trminos generales que est y que no
est permitido en el rea de seguridad durante la operacin general del sistema."

La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir,

donde se definen las medidas a tomar para proteger la seguridad del sistema; pero...
ante todo, "(...) una poltica de seguridad es una forma de comunicarse con los
usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina
con personas." y debe:

Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene
sentido proteger el acceso con una puerta blindada si a esta no se la ha
cerrado con llave.

Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja

fuerte para proteger un lpiz.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y

eficiencia.

Definir estrategias y criterios generales a adoptar en distintas funciones y

actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad

ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,
Autenticidad y Utilidad.
No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una
expresin legal que involucre sanciones a conductas de los empleados. Es ms bien
una descripcin de los que deseamos proteger y el porqu de ello.

COMO ABORDAR LA IMPLEMENTACION DE POLITICAS DE

SEGURIDAD
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque
el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen
riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.
La cuestin es que, en algunas organizaciones puntuales, tener un sistema de
seguridad muy acotado les impedira hacer ms negocios. "Si un Hacker quiere

gastar cien mil dlares en equipos para descifrar una encriptacin, lo puede hacer
porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar millones
de dlares".
La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo
que hace a plataformas, procedimientos y estrategias. De esta manera se puede
controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total.
Y esto significa ni ms ni menos que un gran avance con respecto a unos aos
atrs.
Algunas organizaciones gubernamentales y no gubernamentales internacionales han
desarrollado documentos, directrices y recomendaciones que orientan en el uso
adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso
indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y
servicios de las empresas en el mundo.
En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de
negocios.

LEGISLACIN NACIONAL E INTERNACIONAL DE DELITOS

INFORMTICOS
Los pases y las organizaciones internacionales se han visto en la necesidad de
legislar sobre los delitos informticos, debido a los daos y perjuicios que le han
causado a la humanidad.
LEGISLACIN NACIONAL
El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela (2010), el
Estado reconocer el inters pblico de la ciencia, la tecnologa, el conocimiento, la
innovacin y sus aplicaciones y los servicios de informacin necesarios por ser
instrumentos fundamentales para el desarrollo econmico, social y poltico del pas,

as como para la seguridad y soberana nacional. Para el fomento y desarrollo de

esas actividades, el Estado destinar recursos suficientes y crear el sistema nacional
de ciencia y tecnologa de acuerdo con la ley. El sector privado deber aportar
recursos para los mismos. El Estado garantizar el cumplimiento de los principios
ticos y legales que deben regir las actividades de investigacin cientfica,
humanstica y tecnolgica. La ley determinar los modos y medios para dar
cumplimiento a esta garanta.
El Artculo 28 de la CRBV establece que toda persona tiene el derecho de acceder a
la informacin y a los datos que sobre s misma o sobre sus bienes consten en
registros oficiales o privados, () Igualmente, podr acceder a documentos de
cualquier naturaleza que contengan informacin cuyo conocimiento sea de inters
para comunidades o grupos de personas
Por otra parte el Artculo 60 seala que toda persona tiene derecho a la proteccin de
su honor, vida privada, intimidad, propia imagen, confidencialidad y reputacin. La ley
limitar el uso de la informtica para garantizar el honor y la intimidad personal y
familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.
A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen derecho a ser
informados e informadas oportuna y verazmente por la Administracin Pblica, ()
Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los
lmites aceptables dentro de una sociedad democrtica
La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la Proteccin
integral de los sistemas que utilicen tecnologas de informacin, as como la
prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de
sus componentes, o de los cometidos mediante el uso de dichas tecnologas.
A continuacin, se muestra una tabla con las sanciones establecidas por los
diferentes delitos informticos:

Art.
1

Ttulo
Objeto de la ley
Tiene por objeto la proteccin integral de los sistemas que utilicen
tecnologas de informacin.
Definiciones
Tecnologa de Informacin, Sistema, Data (Datos), Informacin,
Documento,

Computador,

Hardware,

Firmware,

Software,

Programa, Seguridad, Virus, Tarjeta Inteligente, Contrasea

(Password) y Mensaje de Datos.
3

Extraterritorialidad
Cuando alguno de los delitos previstos en la presente ley se
cometa fuera del territorio de la Repblica.
Las
sanciones
Sanciones

principales

concurrirn con las accesorias y

ambas
Sern principales y accesorias.

podrn

tambin

concurrir entre s, de acuerdo

con

las

circunstancias

particulares del delito del cual

se trate.
5
6
7

Responsabilidad

de

lasSer

personas jurdicas

sancionada

en

los

trminos previstos en esta ley.

Prisin de 1 a 5Multas

Acceso indebido

de10

Aos
a 50 UT
Prisin de 4 a 8Multas de400

Sabotaje o daos a sistemas Aos

Si los efectos indicados en el

a 800

presente artculo se realizaren

mediante

la

creacin,Prisin

introduccin

transmisina 10 Aos

de 5Multas

de500

a 1000

intencional, por cualquier medio,

8

de un virus o programa anlogo.

Favorecimiento culposo delSe
sabotaje o dao

aplicar

pena

laReduccin de
la pena entre

correspondiente la mitad y dos

segn el caso.

tercios

10

Acceso indebido o sabotaje aAumento de la pena tercera

sistemas
Posesin

parte y la mitad.
de

equipos

prestacin

de

servicios

de

sabotaje

Prisin de 3 a 6Multas de 300

Aos

a 600

Prisin de 3 a 6Multas de 300

11

Aos

Espionaje informtico

Prisin de 3 a 6
12

Falsificacin de documentos
Cuando el agente hubiere

Aos

a 600
Multas

de300

a 600

actuado con el fin de procurarAumento de la pena de un

para s o para otro algn tipo de tercio y la mitad.
beneficio.
Si del hecho

resultare

perjuicio para otro.

13
14
15
16

17

18
19

unAumento de la pena Mitad a

dos tercios.
Prisin de 2 a 6Multas

de200

Aos
a 600
Prisin de 3 a 7Multas

de300

Fraude
Aos
a 700
Obtencin indebida de bienesPrisin de 2 a 6Multas

de200

Hurto

o servicios
Aos
a 600
Manejo fraudulento de tarjetas
Prisin
de 5Multas
inteligentes o instrumentos
a 10 Aos
a 1000
anlogos
Apropiacin
de
tarjetas
Prisin de 1 a 5Multas
inteligentes o instrumentos
Aos
a 50
anlogos
Provisin indebida de bienes oPrisin de 2 a 6Multas
servicios
Posesin

de

falsificaciones

equipo

Aos
a 600
paraPrisin de 3 a 6Multas
Aos

a 600

de500

de10

de200
de300

Violacin de la privacidad de la
20

data o informacin de carcter

personal
Si como consecuencia de los

Prisin de 2 a 6
Aos

Multas de 200
a 600

hechos anteriores resultare unAumento de la pena de un

perjuicio para el titular de la datatercio a la mitad.
o informacin o para un tercero.
21

Violacin de la privacidad de
las comunicaciones.
Revelacin indebida de data o

22

informacin

de

carcter

personal
Si la revelacin, difusin o cesin

Prisin de 2 a 6
Aos
Prisin de 2 a 6
Aos

Multas de 200
a 600
Multas de 200
a 600

se hubieren realizado con un fin Aumento de la pena de un

de lucro o si resultare algntercio a la mitad.

23
24
25
26

perjuicio para otro.

Difusin o exhibicin

dePrisin de 2 a 6Multas de 200

material pornogrfico
Exhibicin pornogrfica

Aos
a 600
dePrisin de 4 a 8Multas de 400

nios o adolescentes
Aos
a 800
Apropiacin
de
propiedadPrisin de 1 a 5Multas de 100
intelectual

Aos
a 500
Prisin de 1 a 5Multas de 100

Oferta engaosa

Aos

a 500

Fuente: Elaborado por las autoras (Ao 2011)

Entre los primeros delitos informticos que aquejan al venezolano, hoy da figuran los
financieros. La clonacin de tarjetas de crdito y dbito y la obtencin de informacin
de las cuentas, ha

generado en los ltimos aos prdidas millonarias.

La pornografa infantil es el segundo con mayor nmero de denuncias.

La estafa electrnica ofreciendo productos falsos por internet, es otro de los delitos

con mayor frecuencia.

Sumndose: el hacking, cracking y phising que son quienes, a distancia, violan la
seguridad de otras computadoras.
En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias
personalidades pblicas venezolanas.
El Centro Nacional de Informtica Forense (CENIF), es un laboratorio de informtica
forense para la adquisicin, anlisis, preservacin y presentacin de las evidencias
relacionadas a las tecnologas de informacin y comunicacin, con el objeto de
prestar apoyo a los cuerpos de investigacin judicial rganos y entes del Estado que
as lo requieran.
LEGISLACIN INTERNACIONAL
Muchos son los problemas que han surgido a nivel internacional en materia de
delincuencia informtica. Tradicionalmente se ha considerado en todos los pases el
principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito
ha sido cometido dentro del territorio nacional, pero, en el caso del delito informtico,
la situacin cambia porque el delito pudo haberse cometido desde cualquier otro pas,
distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la necesidad
de agruparse y en primer lugar definir algunos trminos cibernticos que pudieran
permitir la unificacin de criterios en esta materia. As, se le asignaron nombres
conocidos en materia de delitos tradicionales, para adaptarlos a la informtica; tales
como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.
Esta situacin cada vez ms frecuente, dio pie a que distintas organizaciones
internacionales, tomaran la iniciativa de organizarse y establecer pautas o estndares
mnimos, tal es el caso de la Organizacin de Cooperacin y Desarrollo Econmico
(OCDE), que segn explica Acurio (2006), tard tres aos, desde 1983 hasta 1986 en

publicar un informe titulado Delitos de Informtica: anlisis de la normativa jurdica,

donde se recomendaba una lista mnima de ejemplos de uso indebido que cada pas
podra prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.
Esa lista mnima de delitos informticos era como sigue:
1.

Fraude y falsificacin informticos

2.

Alteracin de datos y programas de computadora

3.

Sabotaje informtico

4.

Acceso no autorizado

5.

Interceptacin no autorizada y

6.

Reproduccin no autorizada de un programa de computadora protegido.

Posteriormente, la Comisin Poltica de Informacin Computadoras y Comunicacin

recomend que se instituyesen protecciones penales contra otros usos indebidos. Se
trataba de una lista optativa o facultativa, que inclua entre otros aspectos, los
siguientes:
1.

Espionaje informtico

2.

Utilizacin no autorizada de una computadora

3.

Utilizacin no autorizada de un programa de computadora protegido

4.

Robo de secretos comerciales y

5.

Acceso o empleo no autorizado de sistemas de computadoras.

Adicionalmente, el Comit Especial de Expertos en Delitos Informticos, adscritos

al Comit Eutopeo para los problemas de la Delincuencia, se dedic a examinar

temas como:
La proteccin de la esfera personal Las Victimas La posibilidad de prevencin
Procedimiento (investigacin y confiscacin internacional de bancos de datos y la
cooperacin internacional en la investigacin y represin del delito informtico)
De igual manera, la Organizacin de las Naciones Unidas (ONU), en el Manual de la
ONU para la Prevencin y Control de Delitos Informticos seala, cuando el problema
se eleva a la escena internacional, se magnifican los inconvenientes y las
insuficiencias, por cuanto los delitos informtico constituyen una nueva forma de
crimen transnacional y su combate requiere de una eficaz cooperacin internacional.

Otra organizacin internacional que se dedic a tratar este aspecto de la seguridad

informtica, es la Asociacin Internacional de Derecho Penal, que adopt diversas
recomendaciones respecto a los delitos informticos. En la medida en que el derecho
penal tradicional no sea suficiente, deber promoverse la modificacin de la definicin
de los delitos existentes o la creacin de otros nuevos.
Seala como delitos, entre otras:
1.

El trfico con contraseas informticas obtenidas por medios inapropiados

2.

Distribucin de virus o de programas similares

La Organizacin de Estados Americanos (OEA), entre las estrategias de seguridad

ciberntica, demostr la gravedad de las amenazas a la seguridad ciberntica de los

sistemas de informacin, las infraestructuras esenciales y las economas en todo el
mundo.
En el contexto internacional, Quintero establece que los pases que cuentan con una
legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia, Espaa,
Alemania, China, Holanda y Austria Inglaterra. Debido a un caso de hacking en 1991,
comenz a regir en este pas la Ley de Abusos Informticos. Mediante esta ley el
intento, exitoso o no, de alterar datos informticos, es penado con hasta cinco aos
de prisin o multas China. Toda persona implicada en actividades de espionaje, que
robe, descubra, compre o divulgue secretos de Estado desde la red, podr ser
condenada con penas que van de 10 aos de prisin hasta la muerte.
Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y
puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar datos
puede ser penalizado hasta con dos aos de prisin pero, si se hizo va remota
aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar datos en ella
tambin conlleva un castigo de cuatro aos en la crcel. El dao a la informacin o a
un sistema de comunicaciones puede ser castigado con crcel de seis meses a
quince aos.
Entre los casos ms famosos de delitos informticos, se destacan los siguientes:

John William Racine II, culpable de redireccionar el trfico de la web de Al-Jazeera a

la suya propia, donde se poda ver una bandera estadounidense. El fiscal ha pedido
tres aos de libertad vigilada y mil horas de servicio a la comunidad.
Helen Carr ha sido declarada tambin culpable por simular correos de America On
Line y enviarlos a sus clientes, pidindoles la actualizacin de sus datos de tarjeta de
crdito (esto es conocido como phishing).
Vladimir Levin. Fue condenado por ingresar a los centros de cmputos de algunos
bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8
millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow,
Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo,
irrumpi en las cuentas del Citibank NY y transfiri los fondos a cuentas en Finlandia,
Israel

en

el

Bank

of

Amrica

de

San

Francisco.

Alexei Lashmanov (Ayudante de Levin), fue condenado a 5 aos de prisin y a pagar

USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de
Finlandia e Israel. Estos conspiradores haban obtenido accesos no autorizados al
Sistema de Administracin de Dinero en Efectivo del Citibank, en New Jersey, el cual
permite a sus clientes acceder a una red de computadoras y transferir fondos a
cuentas de otras instituciones financieras (realizaron un total de 40 transferencias
ilegales de dinero)
De los 20 mil casos recolectados por la divisin del FBI encargada de fraudes
informticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line,
otro 22 % a mercadera o dinero no enviado y apenas un 5 % al fraude de tarjetas de
crdito.
Hasta ahora el caso ms importante de fraude detectado sucedi en abril de 2004,
durante una transaccin que implic la venta de monedas de plata y oro por un valor
cercano al medio milln de dlares.

EVALUACION DE RIESGOS

El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que

ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos

sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin
de la informacin en anlisis, versus el costo de volverla a producir
(reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los

problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con

los costos en los que se incurren se obtengan beneficios efectivos. Para esto
se deber identificar los recursos (hardware, software, informacin, personal,
accesorios, etc.) con que se cuenta y las amenazas a las que se est
expuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma

personalizada para cada organizacin; pero se puede presuponer algunas preguntas
que ayudan en la identificacin de lo anteriormente expuesto (1):

"Qu puede ir mal?"

"Con qu frecuencia puede ocurrir?"

"Cules seran sus consecuencias?"

"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

"Se est preparado para abrir las puertas del negocio sin sistemas, por un
da, una semana, cunto tiempo?"

"Cul es el costo de una hora sin procesar, un da, una semana...?"

"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la
competencia?"

"Se tiene forma de detectar a un empleado deshonesto en el sistema?"

"Se tiene control sobre las operaciones de los distintos sistemas?"

"Cuantas personas dentro de la empresa, (sin considerar su honestidad),

estn en condiciones de inhibir el procesamiento de datos?"

"A qu se llama informacin confidencial y/o sensitiva?"

"La informacin confidencial y sensitiva permanece as en los sistemas?"

"La seguridad actual cubre los tipos de ataques existentes y est preparada
para adecuarse a los avances tecnolgicos esperados?"

"A quin se le permite usar que recurso?"

"Quin es el propietario del recurso? y quin es el usuario con mayores

privilegios sobre ese recurso?"

"Cules sern los privilegios y responsabilidades del Administrador vs. la del

usuario?"

"Cmo se actuar si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del
tipo:

Tipo de Riesgo

Factor

Robo de hardware Alto

Robo
informacin
Vandalismo

de

Alto
Medio

Fallas

en

los

equipos

Medio

Virus Informticos

Medio

Equivocaciones

Medio

Accesos
autorizados
Fraude
Fuego

Terremotos

no

Medio
Bajo
Muy
Bajo
Muy
Bajo

Tabla 9.1 - Tipo de Riesgo-Factor

Segn esta tabla habr que tomar las medidas pertinentes de seguridad para cada
caso en particular, cuidando incurrir en los costos necesarios segn el factor de
riesgo representado.
1. Niveles de riesgo
2. Identificacin de Amenaza
3. Evaluacin de Costos

ESTRATEGIAS DE SEGURIDAD
Para establecer una estrategia adecuada es conveniente pensar una poltica de
proteccin en los distintos niveles que esta debe abarcar y que no son ni ms ni
menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la interaccin que
existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia

Proactiva y otra Reactiva (1).
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques es un
conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos vulnerables
existentes en las directivas de seguridad y a desarrollar planes de contingencia. La
determinacin del dao que un ataque va a provocar en un sistema y las debilidades
y puntos vulnerables explotados durante este ataque ayudar a desarrollar esta
estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda
al personal de seguridad a evaluar el dao que ha causado el ataque, a repararlo o a
implementar el plan de contingencia desarrollado en la estrategia Proactiva, a
documentar y aprender de la experiencia, y a conseguir que las funciones
comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la

organizacin proporciona una serie de servicios bien determinados y
documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a menos

que se indique expresamente que cierto servicio no est disponible, todos los
dems s lo estarn.

Estas posturas constituyen la base de todas las dems polticas de seguridad y

regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a
describir qu acciones se toleran y cules no.
Actualmente, y "gracias" a las, cada da ms repetitivas y eficaces, acciones que
atentan contra los sistemas informticos los expertos se inclinan por recomendar la
primera poltica mencionada.
1. Implementacin

2. Auditora y Control
3. Plan de Contingencia
4. Equipos de Respuesta a Incidentes
5. Backups
6. Pruebas

TENDENCIAS DE LA SEGURIDAD MICROELECTRNICA

La microelectrnica es la aplicacin de la ingeniera electrnica a componentes y

circuitos de dimensiones muy pequeas, microscpicas y hasta de nivel molecular
para producir dispositivos y equipos electrnicos de dimensiones reducidas pero
altamente funcionales. El telfono celular, el microprocesador de la CPU y la
computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnologa
Microelectrnica.

Existen mltiples factores de ndole tecnolgicos que explican la convergencia de la

Microelectrnica, la Informtica y las Telecomunicaciones en las TIC. Pero todos se
derivan de tres hechos fundamentales:

Los tres campos de actividad se caracterizan por utilizar un soporte fsico

comn, como es la microelectrnica.

Por la gran componente de software incorporado a sus productos.

Por el uso intensivo de infraestructuras de comunicaciones que permiten la

distribucin (deslocalizacin) de los distintos elementos de proceso de la
informacin en mbitos geogrficos distintos.

La microelectrnica, frecuentemente denominada hardware, est residente en todas

las funcionalidades del proceso de informacin. Resuelve los problemas relacionados
con la interaccin con el entorno como la adquisicin y la presentacin dela
informacin, mediante dispositivos como transductores, tarjetas de sonido, tarjetas
grficas, etc. No obstante, su mayor potencialidad est en la funcin de tratamiento de
la informacin.

La microelectrnica abarca como campo de aplicacin la domtica que se entiende

por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando
servicios de gestin energtica, seguridad, bienestar y comunicacin, y que pueden
estar integrados por medio de redes interiores y exteriores de comunicacin,
cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad, desde dentro y
fuera del hogar. Entre las tareas realizadas por la demtica se usan distintos tipos de
componentes microelectrnicas que hacen que dichas tareas se lleven a cabo con
gran precisin por medio de microcontroladores.

La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales

y la seguridad personal. Entre las herramientas aplicadas se encuentran:

Simulacin de presencia.

Alarmas de Deteccin de incendio, fugas de gas, escapes de agua,

concentracin de monxido en garajes.

Alerta mdica.

Tele asistencia.

Cerramiento de persianas puntual y seguro.

Acceso a Cmaras IP.

CONCLUSION
Por lo tanto, la seguridad es una actividad cuyo propsito es: proteger a los activos
contra accesos no autorizados, evitar alteraciones indebidas que pongan en peligro su
integridad. Garantizar la disponibilidad de la informacin. Y es instrumentada por
medio de polticas y procedimientos de seguridad que permiten: la identificacin y
control de amenazas y puntos dbiles, teniendo en mira la preservacin de la
confidencialidad, integridad y disponibilidad de la informacin.