01-Introduccion A Ion

F49REV02
MDULO I
INTRODUCCIN AL CONCEPTO DE INFORMACIN
FORMACIN EN SEGURIDAD EN INFORMTICA
TUTOR: Diego Snchez Repila
MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 2

MDULO
01
INDICE
OBJETIVOS GENERALES ..................................................................... 5 UNIDAD 1. IMPORTANCIA DE LA INFORMACIN................................. 6 0. INTRODUCCIN ................................................................................ 6 1. INTRODUCCIN A LA INFORMACIN ..................................................... 7 2. ATRIBUTOS DE LA INFORMACIN ......................................................... 9 3. TIPOS DE INFORMACIN .................................................................. 11 4. BSQUEDA DE INFORMACIN ........................................................... 12 5. CICLO DE VIDA DE LA INFORMACIN .................................................. 13 6. FUENTES DE INFORMACIN .............................................................. 16 7. PROCESO PARA OBTENER LA INFORMACIN ........................................ 19 8. SISTEMAS DE INFORMACIN ............................................................. 24 UNIDAD 2. BASES DE DATOS ............................................................ 28 1. INTRODUCCIN .............................................................................. 2. CUALIDADES .................................................................................. 3. VENTAJAS ...................................................................................... 4. COMPONENTES BSICOS .................................................................. 5. CLASIFICACIN .............................................................................. 6. UTILIDAD ....................................................................................... 28 29 32 34 35 36
UNIDAD 3. CANTIDAD/INDETERMINACIN/ REDUNDANCIA ............ 38 1. INTRODUCCIN .............................................................................. 2. CANTIDAD ..................................................................................... 3. INDETERMINACIN ......................................................................... 4. REDUNDANCIA ................................................................................ 38 39 44 47
UNIDAD 4. SEGURIDAD DE LA INFORMACIN .................................. 50 1. INTRODUCCIN .............................................................................. 2. CONFIDENCIALIDAD ........................................................................ 3. INTEGRIDAD .................................................................................. 4. DISPONIBILIDAD ............................................................................ 5. SEGURIDAD DE LA INFORMACIN ...................................................... 6. PROPIEDADES DEL ACCESO .............................................................. 50 51 53 55 61 71
GLOSARIO 73 BIBLIOGRAFA 77

MDULO
01
OBJETIVOS GENERALES
Valorar la gran importancia que tiene la informacin en cualquier organizacin.
Adquirir los conocimientos para poder realizar un buen sistema de informacin.
Conocer los principales fallos y virtudes de un sistema de informacin, y como corregirlos.
Estudiar como guardar la informacin recogida utilizando una base de datos adecuada a la situacin en que nos encontremos.
Inculcar la importancia de un buen sistema de seguridad para proteger la informacin.
Aplicar los conocimientos para saber buscar la informacin necesaria y mantenerla actualizada.

MDULO
01
UNIDAD 1. IMPORTANCIA DE LA INFORMACIN
0. INTRODUCCIN
Este modulo
tiene como objetivo mostrarnos lo importante que es un buen
sistema de informacin en una organizacin. Con organizacin nos referimos no slo a empresas, que es lo primero en lo que pensamos, tambin a gobiernos, familias, entidades
En primer lugar, valoraremos debidamente lo que es la informacin, lo presente que est en cada decisin que tomamos, y los conceptos claves para poder profundizar ms en la materia.
En la segunda unidad continuaremos con la explicacin de lo que es una base de datos, como construirla, mantenerla, defectos, cualidades
En la siguiente unidad trataremos de explicar cualidades tan importantes como la cantidad, la indeterminacin y la redundancia de la informacin. Estas cualidades pueden ser defectos y virtudes en un sistema de informacin.
Para
concluir
el
modulo,
profundizaremos
en
conceptos
como
la
confidencialidad, integridad y disponibilidad de la informacin. Estos conceptos nos sern claves para poder realizar un buen sistema de seguridad de nuestra informacin. Adems trataremos de iniciarnos en el tema de las claves de acceso.

MDULO
01
1. INTRODUCCIN A LA INFORMACIN
Quien
tiene
la
informacin
tiene
el
poder.
Esta
frase
describe
perfectamente lo que en esta unidad trataremos de entender, ya que nos quiere decir que la informacin es, quizs, el activo ms importante que uno puede poseer.
Pero, qu es la informacin?
1. Definiciones.
Se denomina informacin al conjunto de elementos que dan significado a las cosas, objetos y entidades del mundo a travs de cdigos y modelos. Los animales interpretan informacin de la naturaleza y de su entorno para poder tomar decisiones. El ser humano tiene inteligencia, y por tanto la capacidad de generar cdigos, smbolos y lenguajes que hacen posible un mejor intercambio de informacin. La informacin permite resolver problemas y tomar decisiones, ya que su uso racional es la base del conocimiento.
Una forma diferente de ver lo que es la informacin es la que nos formula Mariana Ivnisky, que define informacin como:
Se entiende por Informacin: Es cualquier entrada que cambia las probabilidades (o las certezas) de cualquier manera, de ah que una entrada que aumente la incerteza sea informacin.
Esta forma de ver la informacin se basa en el existencialismo que plantea que toda la vida es una constante decisin, debemos elegir en cada momento de

MDULO
01
nuestras vidas, y las decisiones claramente deben estar basadas en informacin, la informacin se produce cuando logramos interpretar datos, es decir, seales de nuestro entorno, luego si nuestro razonamiento es acertado tenemos la capacidad de hacer una, en teora, buena decisin. En la siguiente figura se representa un esquema conceptual de lo que es la informacin, de donde procede (los datos), y su funcin (inteligencia):
Pirmide Informacional
Inteligencia
Conocimiento
Informacin
Datos
CANTIDAD

MDULO
01
2. ATRIBUTOS DE LA INFORMACIN
Finalidad: Propsito para el cual sirve. Exactitud: debe estar libre de errores. Oportuna: estar en el momento que se necesita. Relevancia: responder todas las dudas que se necesitan resolver. Modo y formato: los modos de comunicar informacin al ser humano son sensoriales. El hombre recibe la mayor parte de la informacin en formatos de material verbal o documentos. Las mquinas la reciben en el formato de escrita. patrones de energa, cintas, tarjetas e incluso en forma
Velocidad: tiempo que se tarda en asumir la informacin. Frecuencia: la frecuencia con que se transmite o recibe informacin repercute en su valor. La informacin que aparece con excesiva frecuencia tiende a producir interferencia, ruido o distraccin.
Determinista o probabilstica: la informacin determinista supone que existe un solo valor. Si la informacin es probabilstica, se da un conjunto de resultados posible junto con sus probabilidades correspondientes.
Costo: constituye un factor limitante en la obtencin de informacin. Es necesario evaluar constantemente el valor de la informacin y su costo.
Valor: depende del resto de atributos, pero es lo que estamos dispuestos a dar por obtener dicha informacin.
Validez: es una medida del grado en que la informacin representa lo que pretende representar.
Actualidad: designa la antigedad de la informacin. Implica que la informacin es capturada cuando se genera y no un tiempo despus. Es decir, cuando se factura en un almacn, se debe descargar del inventario y contabilizar con la misma transaccin (no necesariamente en tiempo real, pero no debe involucrar procesos manuales adicionales). Tambin debe haber una conectividad con entidades externas como clientes, proveedores, entidades de gobierno entre otras, de tal manera que la

MDULO
01
informacin que deba circular por fuera de la empresa, tambin lo haga de manera gil permitiendo la actualizacin permanente. Densidad: es el volumen de informacin presente en un informe o mensaje. Los informes largos tienen poca densidad de informacin. Las tablas y grficas presentan la mayor cantidad de ella en la forma ms condensada.

MDULO
01

3. TIPOS DE INFORMACIN
Para clasificar la informacin distinguiremos entre:
Externa: es aquella en la que no tenemos ninguna influencia (el mercado internacional, investigaciones cientficas, tipo de cambio, poltica, nuevos productos de la competencia, etc.)
Interna: es aquella que se genera dentro de la organizacin y en la que s tenemos efecto, se ver modificada con las decisiones que se tomen (problemas de produccin, nmina, gastos, etc.). Adems es importante determinar quin puede ver que informacin dentro de la organizacin.
Privada: es la informacin que no puede ir ms all de las personas que deban manejarla. Datos concretos sobre nuestra contabilidad, nuevas ideas en fase de definicin, negociaciones en marcha, datos internos de clientes, filtraciones y rumores... Las personas que acceden a esta informacin tienen un alto grado de confianza y de responsabilidad.

MDULO
01
4. BSQUEDA DE INFORMACIN
Acerca
del
cmo
dnde
encontrar
la
informacin
que
se
necesita,
distinguiremos tres fuentes, como nos cita el documento aportado por Mariana Ivnisky:
1. El entorno: Hay cuatro modos de investigar el ambiente: Observacin no dirigida: El que busca no tiene en mente un objetivo especfico, lo nico que desea es encontrar cosas que le puedan ser de utilidad en el momento presente o en el futuro. Observacin condicionada: El observador concentra su atencin en algn rea ms o menos identificada, sin efectuar una bsqueda activa. Si aparece una seal de algn tipo, el observador est listo para evaluarla. Bsqueda informal: Es una bsqueda activa, dirigida pero con poca estructuracin. Bsqueda formal: Es un mtodo sistemtico, que sigue a un plan previamente establecido tendiente a obtener informacin especfica o informacin relacionada con un problema concreto.
2. El sistema de almacenamiento ideado para el sistema operativo: Las probabilidades de conseguir la informacin deseada depender seguramente de cmo hayan sido clasificados los informes y su contenido al momento de guardarlos. La clasificacin consiste en estructurar la materia en lotes basndose en las diferencias y semejanzas. Cuanto ms refinados sean el ndice y la clasificacin del cdigo, ms caro ser el almacenamiento de los datos. Sin embargo, al aumentar el refinamiento del ndice y del sistema de clasificacin, disminuye el costo de la recuperacin porque los datos relevantes pueden obtenerse mejor.
3. Situaciones actualizadas: como pueden ser pruebas de laboratorio, ensayos Son una forma muy exacta de conseguir la informacin buscada.
10

MDULO
01
5. CICLO DE VIDA DE LA INFORMACIN
Ahora pasaremos a intentar comprender el ciclo que sigue la informacin desde que la obtenemos hasta que nos es til.
1. Recoger: el primer paso es la recogida de datos que pueden sernos tiles para problemas posteriores. 2. Evaluacin: una vez recogidos los datos y la informacin, evaluaremos lo que para nosotros es til y lo que es innecesario. 3. Almacenamiento: la informacin til de la evaluacin la almacenaremos para posteriores necesidades. Este almacenamiento debe ser lo ms ordenado posible para as evitar prdidas de tiempo innecesarias. 4. Necesidad: en algn momento se necesita de los datos recogidos y almacenados anteriormente para poder solucionar un problema o tomar una decisin. Por tanto se procede a una: 5. Bsqueda: se busca la informacin necesaria en nuestra base de datos 6. Utilidad: una vez encontrada la informacin necesaria, se usa para los fines iniciales. Se toma la decisin en base a la informacin captada. 7. Modificacin: cuando ya se han utilizado los datos y la informacin, se puede dar paso a cuatro situaciones distintas: Cambio de informacin inicial: La informacin que nos fue til ha modificado sus valores debido a la toma de decisin basada en sta.
El inventario de tornillos en un taller. Cuando necesitamos hacer un pedido porque no tenemos suficientes, el nmero de tornillos aumenta al recibir el pedido. Es decir la informacin (inventario de tornillos) por la que hemos tomado la decisin (pedir ms tornillos) ha sido modificada.
11

MDULO
01
Cambio debido a desfae temporal de informacin inicial: La informacin por la que tomamos una decisin era incorrecta, y por tanto ya disponemos de otra informacin que sustituye a la original y se aproxima ms a la realidad.
El precio de un bien. Como bien sabemos el precio de un bien es fluctuante y depende de muchos factores, podemos disponer de un precio en nuestra base de datos por el que tomamos una decisin de compra, y cuando se va a hacer efectiva nos informan de que el precio es otro. Esto nos lleva a dos conclusiones, la informacin inicial ha de ser corregida, y a la importancia de una informacin actualizada.
Eliminacin de informacin: La informacin slo nos es til para una ocasin y no para ms.
El clima de un da. Esta informacin nos es til slo para un momento determinado, por tanto es mejor eliminarla una vez que nos ha sido til.
Almacenamiento de la misma informacin: Este es el caso en el que la informacin nos ha sido til, y no necesita de ningn cambio para volver a sernos til en un futuro.
12

MDULO
01
Valores histricos. La historia no cambia, pero sigue siendo una fuente de informacin muy importante.
13

MDULO
01
6. FUENTES DE INFORMACIN
Hemos hablado mucho de lo importante que es la informacin, de sus cualidades, virtudes, clases pero: Dnde obtenemos la informacin? La informacin la obtenemos de las fuentes de informacin.
Las fuentes de informacin son todos aquellos recursos de los que disponemos para buscar, localizar e identificar la informacin o datos que puedan sernos tiles para el problema que se nos presenta.
Pueden clasificarse en:
Fuentes del conocimiento: no estn en un soporte fsico, sino que son las ideas grabadas en nuestro cerebro. Ejemplo: estudios, experiencias, recuerdos
Fuentes documentales: son las que estn en un soporte material permanente. Ejemplo: libros, ordenadores, enciclopedias
Fuentes relacionales: son las que recibimos a travs de la interrelacin con otras personas. Ejemplo: conferencias, ayuda de expertos en la materia
Las cualidades que debe poseer una buena fuente son fiabilidad, actualidad, confidencialidad atributos que debe tener la informacin, es decir, las que ya hemos descrito anteriormente.
14

MDULO
01
TIPOS DE FUENTES:
Fuentes Primarias: son aquellas en las que la informacin se encuentra en su origen, y por lo tanto debe ser elaborada por primera vez y de forma especfica Fuentes Secundarias: son aquellas que presentan informacin ya elaborada, o existente, que fue generada anteriormente con otra finalidad que no tiene porqu coincidir con la nuestra. Podemos distinguir entre: Estadsticas y Metodolgicas.
15

MDULO
01
PROBLEMAS CON FUNTES DE INFORMACION: La seleccin de una fuente en particular depende de que informacin se requiera y como se le emplear. No se puede afirmar que una fuente es mejor que otra. Imparcialidad: No debe reflejar perjuicio alguno, no contiene desviaciones intencionales o puntos de vista distorsionados de la realidad. Validez: Si la informacin es significativa y relevante para la situacin. Responde en realidad a la pregunta que se plantea? Puede no ser vlida si se utiliza para lo que no se reuni o formul. Confiabilidad: Fidelidad de la imagen que la informacin intenta describir, es indicador verdadero de un suceso determinado. Consistencia: Para que sea aprovechable debe basarse en datos homogneos, el tipo y nmero de unidades debe ser el mismo en toda la investigacin. Antigedad: La antigedad de la informacin es un factor muy importante en la determinacin de su valor para el usuario. Tanto mas antigua sea, ms cuestionable ser su valor para los administradores. Retraso: Cualquier actividad que interpone tiempo entre el reconocimiento por parte del usuario de una necesidad de informacin y la recepcin de esta. Pueden ser el tiempo requerido para reunir y procesar los datos o lograr el acceso a la informacin. Si el tiempo de atraso es demasiado largo, los datos pueden ya no ser tiles.
16

MDULO
01
7. PROCESO PARA OBTENER LA INFORMACIN
Ahora intentaremos entender unos pasos para hacer un proceso de bsqueda de informacin con sentido:
1. Objetivos y necesidades de informacin: La definicin de los objetivos es un aspecto clave en cualquier estudio, no se puede buscar sin saber que se quiere. No siempre se plantean los objetivos de forma directa, ms bien se presentan los problemas de los que hay que extraer los objetivos. Normalmente los que detectan o padecen los problemas no son los mismos que deben desarrollar la investigacin, y ni siquiera participan en el proceso; esto es una desventaja, porque desaprovechas una posible fuente de informacin. Para definir las soluciones a los problemas presentados, generalmente, se deben analizar las posibles causas de los sntomas detectados, tanto desde el punto de vista interno como del externo; de esta forma aislaremos los motivos. Otro factor muy importante es la acotacin del problema tanto en su dimensin temporal como en la espacial.
A continuacin estudiaremos unas recomendaciones muy tiles para la definicin del problema:
Hay
que
buscar
la
participacin
de
personas
de
diferentes
departamentos para as tener una visin global del problema. Con esto conseguimos diferentes puntos de vista del mismo problema. Comenzar con una definicin del problema de tipo genrico, para luego ir profundizando y sacar conclusiones. Identificar el tipo de informacin que necesitaremos para abordar el desarrollo de nuestra investigacin. Realizar un anlisis coste-beneficio. Esto es vital, ya que casi todos los problemas son solucionables, pero no todos son rentables
17

MDULO
01
solucionarlos. Es decir, podra costarte ms la solucin del problema que lo que te aporta dicha solucin, por tanto hay que hacer este anlisis antes de invertir en investigacin.
2. Fuentes para la generacin de hiptesis: Los objetivos pueden plantearse de una forma ms imprecisa como cuestiones a investigar, o bien de una forma muy determinada incluso con posibles respuestas, bajo la forma de hiptesis.
De esta forma quedan fijados no solo los objetivos, sino tambin la poblacin que se pretende estudiar y el horizonte temporal.
3. Diseo de la investigacin: para realizar un buen diseo hace falta: Elegir el enfoque de la investigacin Identificar y seleccionar las fuentes de informacin. Elegir los mtodos para obtener la informacin. Elegir la muestra, tamao y niveles de error de nuestra
investigacin. Presupuesto.
18

MDULO
01
Los enfoques de la investigacin hacen referencia a los objetivos planteados en la misma, diferenciando entre cuantitativo o cualitativo dependiendo de la naturaleza de la informacin; o exploratorio, descriptivo y causal, dependiendo de la finalidad de la investigacin.
4. Recogida de la informacin: Dependiendo del tipo de investigacin determinada en los pasos anteriores, se proceder a un tipo de recogida o a otro. En este paso puede haber muchos errores que distorsionen la informacin: Error en la eleccin del buscador de informacin. Error en la forma de conseguir la informacin, es decir, preguntas mal formuladas. Error en la fuente de informacin. Puede no ser fiable o actual. Puede haber muchos errores ms que hay que tener en cuenta para una correcta recogida de informacin.
5. Preparacin y anlisis de datos: Una vez recogida toda la informacin, se prepara para su posterior anlisis. Este paso puede contener los siguientes procesos: Codificacin de los Datos: Consiste en la transformacin en valores numricos de las todas respuestas en la medida que sea posible. El proceso requiere de un conocimiento de las respuestas posibles, por ello en ocasiones se lleva a cabo solo una vez se ha concluido la toma de datos Grabacin de los Datos: Es el proceso por el cual son introducidos en un fichero informtico los cdigos de las variables descritas en el paso anterior, que hacen referencia a las respuestas de los entrevistados Depuracin de los Datos: Es el proceso desarrollado a continuacin de la grabacin que consiste en la deteccin y eliminacin de los errores cometidos, e incluso en la decisin sobre cmo se tratarn las no respuestas u otros casos.
19

MDULO
01
Tabulacin de los Datos: Ser el ltimo proceso en el cual los datos ya preparados son analizados por los procedimientos ms
habituales. 6. Presentacin de resultados: La presentacin de los resultados se llevar a cabo de forma verbal y escrita, por ello se debe preparar un informe. Este informe ser el nico soporte fsico del trabajo realizado y debe servir para la toma de decisiones. Esto quiere decir que debe contener los objetivos planteados y una informacin manejable por el que pidi el anlisis. Puede contener recomendaciones pero nunca decisiones, ya que el servicio es de apoyo no de decisin. 7. Toma de decisiones: una vez hecho el anlisis, la persona encargada de la toma de decisiones y en base al informe tomar la decisin que crea conveniente para la solucin del problema planteado.
Para concluir, realizaremos un estudio de los aspectos ticos que debiramos tener a la hora de realizar un estudio: El objetivo de la investigacin es investigar: con esto nos referimos a que no nos debemos salir del guin marcado, hay que sacar la informacin que necesitamos. Objetividad en el desarrollo y metodologa: hay que ser objetivos y no dejarnos llevar por nuestras opiniones, gustos, sensaciones Si seguimos una metodologa de trabajo independientemente de nuestras opiniones, conseguiremos mantener una objetividad muy valiosa para la bsqueda de informacin. Representatividad de los datos: los datos recogidos deben se
representativos, deben decirnos lo que queremos saber y adems nosotros tendremos que representarlos de forma que el que toma las decisiones pueda entenderlos. Este paso parece evidente, pero es muy importante ya que cuando sabemos mucho de algo tendemos a creer que la otra persona sabe lo mismo, y puede no ser as. Confidencialidad con entrevistados y clientes: este consejo no necesita explicacin, si queremos que nuestros clientes y fuentes confen en nosotros debemos protegerlos.
20

MDULO
01
Sinceridad en los resultados: buscamos unos resultados que estn acordes con los datos tomados. Es decir, si no hay suficientes datos para dar una opinin debemos informar de ello. Sinceridad con los investigadores: si nos toca tomar el papel de cliente que solicita una investigacin, hay que tener la misma confianza con los investigadores, que la que t le exiges a ellos contigo. Privacidad de los datos: hay muchas investigaciones que son
confidenciales, no se pueden vender a los competidores, o ponerlas para todos los que quieran verlas.
21

MDULO
01
8. SISTEMAS DE INFORMACIN
Para concluir con esta unidad, hablaremos de los sistemas de informacin, que son los encargados de que los datos se transformen en informacin til para la toma de decisiones. Comenzaremos explicando el concepto Sistema:
Sistema: es un conjunto de cosas que ordenadamente relacionadas entre s, contribuyen a un determinado objetivo (RAE)
Elementos de un sistema: Componentes: son las personas, hardware, software Relaciones entre componentes: esto determina la estructura del sistema. Objetivo: la finalidad para la que es construido un sistema. Entorno: es todo aquello que rodea al sistema. Lmites: delimitan la frontera entre lo que es el sistema y lo que es el entorno.
22

MDULO
01
Sistema de informacin: es un conjunto organizado de elementos, que pueden ser personas, datos, actividades o recursos materiales en general; que, operando sobre una coleccin de datos estructurada segn las necesidades de la empresa, recopilan, elaboran y distribuyen la informacin (o parte de ella) necesaria para las operaciones de dicha empresa y para las actividades de direccin y control correspondientes (decisiones) para desempear su actividad de acuerdo a su estrategia de negocio.
Los sistemas de informacin no necesitan estar basados en un sistema informtico, hoy en da es aconsejable ayudarse de la tecnologa, pero no obligatorio. Es decir, el sistema de informacin existe siempre
independientemente de su mecanizacin.
Ejemplo: Sistema de informacin de un hipermercado
23

MDULO
01
Explicacin del ejemplo: Como se puede observar en la imagen, hay una serie de entradas, que son los datos internos de los que se dispone (inventario, ventas, fechas); hay salidas, que es la informacin que se desea para los objetivos de la empresa (pedidos, pagos, estadsticas). Toda esta informacin es obtenida mediante los procesos que llevan a cabo los sistemas de informacin (valor stock, controles, estudios). Finalmente, para que un sistema de informacin evolucione, y sea cada vez ms til y eficiente, debe haber un reflujo de informacin de las salidas a las entradas.
Elementos de un Sistema de Informacin: Informacin: es la salida y la entrada del proceso, la informacin entrante se procesa para conseguir la informacin necesaria pedida. Personas o usuarios: son todos aquellos que participan del proceso. Los que piden los objetivos (direccin), los que cogen y procesan los datos (sistema de informacin), y los que se benefician utilizndolos. Equipo de soporte: es todo el equipo usado para realizar el estudio, bases de datos, ordenadores, mviles, lpices Objetivos: son las bases para realizar el estudio de la informacin.
24

MDULO
01
Estructura de un SI: Sistema de Transacciones: Este nivel incluye el procesamiento de las actividades diarias o transacciones, los acontecimientos rutinarios que afectan a la organizacin: facturacin, pagos Direccin Operativa: Se preocupa del anlisis de los resultados,
esencialmente respecto de los recursos consumidos en las transacciones, para tomar decisiones a corto plazo y de consecuencias limitadas (reaprovisionamiento de materiales) Direccin Tctica: Se ocupa de la asignacin efectiva de los recursos a medio plazo para mejorar el rendimiento de la empresa Direccin Estratgica: Trabaja con plazos largos para acometer la difcil tarea de decidir las lneas maestras que debe seguir la empresa en el futuro
25

MDULO
01
UNIDAD 2. BASES DE DATOS
1. INTRODUCCIN
Ya hemos hablado de que es la informacin, de sus cualidades, de la forma de buscarla ahora hablaremos de donde almacenamos toda esa informacin recogida, las bases de datos.
26

MDULO
01
2. CUALIDADES
Uno de los aportes ms importantes y aplicables que ha trado la Informtica a las actividades diarias de las organizaciones ha sido el concepto de Base de Datos (BD), que trae consigo la disciplina en la organizacin de los datos e informacin de una empresa.
A grandes rasgos, podemos decir que el concepto de BD tiene como cualidades: Agrupar todos los datos relevantes de la empresa en un nico lugar: La expresin "datos relevantes" hace referencia a aquella
informacin que por su significado ser necesario mantenerla almacenada, ya que sustentarn las actividades del negocio y la toma de decisiones correspondientes. El parmetro que guiar en la eleccin de dichos datos estar dado por los objetivos que se persigan respecto de los mismos. Por ejemplo, en el caso de una empresa que hace envos a domicilio con distribucin propia, podra ser relevante tener disponibles los horarios en que el cliente deseara recibir la entrega y as programar el recorrido del da. El hecho de que la informacin se encuentre en un "nico lugar" implica que los datos se encuentran lgicamente unificados e interrelacionados, constituyendo un todo, que debe, por lo tanto, disearse, administrarse y usarse desde un punto de vista global. Esta expresin no debe, entonces, interpretarse desde el punto de vista de la ubicacin fsica, ya que se puede acceder a todos los datos almacenados desde muchos puntos fsicos diferentes. Compartir los datos: Lo que significa que varios usuarios pueden hacer uso simultneo de la informacin contenida en la BD, en el sentido que todos ellos pueden tener acceso al mismo elemento de informacin y diferentes usuarios pueden utilizarlo para propsitos diferentes. El ejemplo de este caso podra ser los datos econmicos de la empresa, el
27

MDULO
01
departamento financiero quiere saber cunto y cuando se ha pagado, mientras el de ventas quiere saber si finalmente se ha realizado la venta, y el de produccin cuantos productos han sido compradosTodos estos datos son el mismo, pero cada uno hace un uso diferente de l.
Evitar redundancia e inconsistencia en los datos: Redundancia es un estado en el cual existen datos repetidos innecesariamente. Por ejemplo, en una BD podramos tener almacenados datos de los empleados: apellido, nombre, domicilio, departamento, salario, etc., y tambin datos de inscripciones para cursos de capacitacin. Supngase que para llevar a cabo la administracin de los cursos es preciso conocer el departamento de cada empleado inscripto. Es evidente que no hace falta reingresar esta informacin a la BD como dato de inscripcin, dado que siempre podr obtenerse mediante una consulta a los datos del empleado.
Profundizaremos ms en este tema en unidades siguientes. Inconsistencia es un estado en el que dos o ms datos repetidos en una BD contienen diferentes valores. Generalmente es consecuencia de la actualizacin despareja o desordenada de datos redundantes. Por tanto no puede haber inconsistencia si no existe primero redundancia de los datos. Del ejemplo anterior, si se almacenara nuevamente el dato del
departamento del empleado, correramos el riesgo de que ante un cambio de departamento del empleado, se actualizara solamente esta situacin en los datos del empleado y no en los de las inscripciones. Volveremos ms adelante a este tema. Estructurar los datos de una sola forma, de "la forma natural": La BD de una empresa debe en todo momento reflejar la realidad de la forma ms fidedigna que se pueda lograr porque esto ayuda a comprender su estructura y funcionamiento. El diseo de la BD es crucial por ese motivo, y es entonces a partir de la realidad que debe dibujarse la BD y no la realidad ajustarse a esta. Volvemos a ver un ejemplo de la importancia de la informacin y los datos sobre el resto de las cosas.
28

MDULO
01
Proporcionar acceso a los mismos (BD) a travs de lenguajes "naturales": Qu ocurrira si nuestra BD est perfectamente diseada y funcionando de manera ptima, pero cada vez que se consultan algunos datos, estn a nuestro entender incompletos, con informacin redundante y/o mostrados de forma tal que dificultan su anlisis? El objetivo por el cual se implement la BD no est siendo logrado. Es as que la comunicacin entre las BD y los usuarios tambin posee una importancia vital y se la debe disear con cuidado para reflejar el flujo natural de datos hacia la BD y desde ella. Las impresiones y pantallas que muestran informacin deben adecuarse a las necesidades puntuales de cada caso por ejemplo, es ms conveniente usar tablas, grficos tortas o de barras o mostrar simplemente los nmeros en crudo para su posterior anlisis?-. Lo mismo sucede con las pantallas de entrada de datos. Estas debern acomodarse de forma natural, sencilla y entendible para que los usuarios puedan interactuar con la BD de forma fluida y sin limitaciones.
Entonces, una BD es un conjunto de datos unificados e interrelacionados cuyo propsito general es mantener informacin relevante y consistente para que est disponible en tiempo, forma y lugar deseados.
29

MDULO
01
3. VENTAJAS
Pero, cules son las ventajas de utilizar Bases de Datos? En el punto anterior describimos las caractersticas de una BD para, a partir de estas, dar una definicin de la misma. Ahora, por qu la utilizacin de BD es recomendable? Las ventajas de un sistema de BD sobre los mtodos
tradicionales de mantener registros en papel se harn ms evidentes con los siguientes ejemplos: Es compacto: No hacen falta archivos de papeles que pudieran ocupar mucho espacio. Es rpido: Se puede obtener y modificar datos con mayor velocidad dado que se hace a partir de la computadora. Es menos laborioso: Elimina el tedio de mantener archivos a mano y elimina tareas mecnicas y rutinarias de mantenimiento de los datos. Es eficaz: se puede disponer de informacin precisa, en el momento, lugar y forma deseados. Es posible optimizar los datos: se puede disminuir las redundancias y evitar inconsistencia. Es posible compartir los datos. Es posible hacer cumplir normas: al tener un control centralizado de los datos, un administrador puede garantizar la observancia de todas las normas aplicables para la representacin de los datos. Estas normas pueden ser de la empresa, del gobierno provincial, nacional, de la industria Es posible aplicar restricciones de seguridad: al tener jurisdiccin completa sobre a BD, el administrador puede: 1) asegurar que el acceso a los datos se realice a travs de los canales adecuados 2) definir controles y restricciones de acceso a cada elemento de informacin de la BD.
30

MDULO
01
Con esto nos aseguramos que la informacin la ve quien nosotros queremos. Un ejemplo para representar esto, sera el caso de que todos los sueldos y privilegios los pudiesen ver desde el operario hasta el ejecutivo, esto creara fricciones y no es nada aconsejable. Por tanto, lo habitual es que cada persona disponga de una clave de acceso a la BD que le de acceso a los datos que le son tiles para realizar su trabajo, el resto de informacin estar inaccesible.
31

MDULO
01
4. COMPONENTES BSICOS
Para poder entender bien lo que implica una BD hay que tener un conocimiento de sus componentes ms bsicos:
Hardware: constituido por un dispositivo de almacenamiento como discos, cintas
Software: es el sistema que administra los datos de forma ordenada y cumpliendo los criterios que nosotros elegimos.
Datos: es la razn por la que se hacen las BD, la parte ms importante del sistema, la informacin.
32

MDULO
01

5. CLASIFICACIN
Segn la naturaleza de la informacin contenida en las bases de datos, se distinguen dos grandes grupos:
Bases de datos referenciales: La informacin que contiene es muy estructurada principalmente a travs de tablas. Con stas se pueden establecer relaciones que pueden dar lugar a nuevas tablas o bases de datos. Ejemplo de este tipo de base de datos es el programa Access, Oracle, etc.
Bases de datos documentales: Los registros que componen la base de datos se relaciona con los documentos almacenados. Su organizacin se estructura de la siguiente manera: un registro se relaciona con un nmero de identificacin del documento original, y se puede acceder a ste mediante los distintos campos.
33

MDULO
01

6. UTILIDAD
Teniendo ya una primera aproximacin al concepto de BD y habiendo analizado sus caractersticas y ventajas, podemos ahora enfocarnos especialmente en lo que es la Base de Datos dentro de una empresa y su utilidad en el conocimiento y la fidelizacin de los clientes. La base de datos de clientes debe tener la gran capacidad de servir informacin para ofrecer a esos clientes justo lo que necesitan, en el menor tiempo posible.
Segn Philip Kotler las empresas generalmente utilizan su base de datos de cuatro maneras para: Identificar clientes potenciales. Muchas empresas generan ventas por medio de la publicidad de sus productos u ofertas. Los anuncios contienen por norma general un sistema de respuesta, como una tarjeta de respuesta de negocios o un nmero gratuito, se confecciona la base de datos a partir de esas respuestas. La empresa selecciona, dentro de la base, a los mejores clientes potenciales y luego se los contacta por algn medio o se les hace una visita para intentar convertirlos en clientes. Decidir qu clientes deberan recibir una oferta especial. Las empresas establecen criterios que describen a su cliente objetivo ideal para una oferta. Despus buscan en su base de datos de clientes a los que ms se parecen al tipo ideal y a esos dedican todo el esfuerzo en funcin de la oferta que ofrecen en ese momento.
Profundizar en la fidelidad del cliente. Las empresas pueden crear inters y entusiasmo recordando las preferencias de los clientes, remitindoles por ejemplo regalos adecuados, vales de descuento o material de lectura interesante.
34

MDULO
01
Reactivar las Compras de los Clientes. Las empresas pueden utilizar programas automticos de correo que envan tarjetas de cumpleaos o aniversario, recordatorios de compras de navidad, o promociones fuera de temporada. La base de datos puede ayudar a la empresa a realizar ofertas atractivas y oportunas. A continuacin, se muestra una figura que intenta mostrar de forma grfica, lo que es una base de datos para una empresa:
35

MDULO
01
UNIDAD 3. CANTIDAD/INDETERMINACIN/ REDUNDANCIA
1. INTRODUCCIN
En esta unidad trataremos de conocer conceptos tan importantes para la informacin y las bases de datos como son la cantidad (cunta?),
indeterminacin (qu dice?) y redundancia (se repite?). Estos tres conceptos dan lugar a mltiples defectos en un sistema de informacin, son los causantes de muchos de los problemas relacionados con el tema que nos ocupa.
Por tanto, intentaremos saber que son, porque se producen, y como solucionarlos.
36

MDULO
01
2. CANTIDAD
Cuando hablamos de cantidad de personas en un pas, sabemos perfectamente a que nos referimos ya que es un valor cuantitativo. Pero si en cambio nos preguntramos la cantidad de informacin que procesamos al da, o la que hay en una base de datos, o la que podemos encontrar en la red de internetno sabramos que contestar. Esto se debe a su carcter cualitativo. En este apartado trataremos de explicar lo importante que es saber decidir qu y cunta informacin necesitamos.
Para empezar, hablaremos de la cantidad de informacin que tenemos a nuestra mano hoy en da. Nos ha tocado vivir en la poca de las comunicaciones, redes sociales, internetesto es una fuente de informacin inagotable y tambin inasumible. Para ponernos en situacin, no hace tanto, la gente pagaba y trabajaba para poder obtener buena informacin, la informacin y sus fuentes escaseaban. Pero a da de hoy, las empresas pagan a personas para que ordenen la informacin de la que ya se dispone, y se la presenten de forma resumida y ordenada. En conclusin, se ha pasado en muy poco tiempo, de la escasez al exceso.
Esta evolucin natural, como todo, tiene ventajas e inconvenientes. Como ventajas claras, la informacin es ms accesible, hay ms cantidad de fuentes para contrastar, el precio de la informacin se reduce
Pero ms difcil es encontrar inconvenientes, pues parece que cuanto ms informacin, mejor. Acerca de este tema, el fundador de Infonoma Alfons Cornella, se inventa la palabra infoxicacin.
37

MDULO
01
Infoxicacin: exceso informacional, de intoxicacin informacional, en la que tienes ms informacin de la que humanamente puedes procesar y, como consecuencia, surge la ansiedad.
La infoxicacin es un problema de nuestra sociedad, pero tambin una gran fuente de oportunidades. Como curiosidad, hoy en la era digital, cada ao se genera ms informacin que la existente desde que comenz a escribirse la historia de la humanidad. Esto define muy bien el problema frente al que nos encontramos. Cuando consultamos un motor de bsqueda como Google, Yahoo, Altavista y tecleamos la correspondiente ecuacin de bsqueda nos podemos encontrar con cientos, miles o millones de contenidos "irrelevantes e
impertinentes" para el objeto de nuestra bsqueda. Navegar a travs de esa selva de informacin resulta cada vez ms complejo. El exceso de estmulos informativos genera estrs y aturdimiento.
"El promedio de lectura de un texto en la Web no sobrepasa las 200 palabras", destaca un informe de la consultora Jacob Nielsen. La paradoja es que, cuanto ms hay para leer, menos se lee; cuanta ms informacin hay, ms desinformados estamos.
Todo esto nos lleva a la conclusin de que ahora el tiempo que realmente prestamos atencin a una informacin es cada vez ms limitado, por tanto hay que saber filtrar toda esa cantidad de forma eficiente. Para filtrar toda la informacin hay que tener muy claro lo que estamos buscando.
38

MDULO
01
El segundo paso ser saber donde podemos encontrar esa informacin. Y finalmente pensar en restricciones o palabras claves para encontrar exactamente lo que se busca.
En cuanto a la cantidad de informacin que necesitamos, os aconsejo que pensis en una frase muy til: Todo lo que no suma, resta. Con esto queremos decir que la informacin que no cumpla los objetivos para poder ayudarte, deschala antes de que malgaste tu tiempo y recursos.
http://thinkwasabi.com/2009/07/claves-exprimir-google/
Como s que la mayora de nosotros utilizamos Google como buscador, me he permitido buscar una pgina que puede ayudaros mucho para ahorrar tiempo en vuestras futuras bsquedas, adems de aadir filtros para encontrar lo que queremos y donde lo queremos.
Ahora os propongo la lectura de un artculo que nos sirve de conclusin para el tema de exceso de informacin. Trata de abrirnos los ojos frente a lo que realmente es importante.
Editorial: Exceso de informacin y falta de criterio (Costa Rica Hoy)

A propsito de la modificacin del pensamiento y del procesamiento de la informacin, el filsofo Fernando Savater asegura que el ciudadano del siglo XXI se encuentra en las antpodas de su homlogo hace slo trescientos aos: si para componerse una visin del mundo, la gente tena entonces que obtener informacin poco disponible, que se concentraba en manos de lites
acentuadamente reducidas, hoy sucede todo lo contrario: un amplio sector de la
39

MDULO
01
poblacin recibe una cantidad extraordinaria de informacin que le impiden pensar con claridad acerca del mundo en que se encuentran. Como dice Savater: El problema ya no es tener informacin, hoy todo el mundo tiene ms informacin de la que puede manejar, el problema es orientarse de tal manera que la informacin sirva para algo y no simplemente para ahogar a la persona. Por eso, Savater considera que la filosofa tiene hoy un cometido distinto: si antes la filosofa tena que obtener y acumular informacin suficiente para poder sintetizarla y hacer luego una lectura concluyente, hoy el cometido de la filosofa es el compromiso y la pretensin de crear un marco y una muralla que divida lo relevante de lo irrelevante, lo trivial, lo engaoso. Es decir, lo fundamental hoy da es lograr criterio, o sea lo que la palabra criterio quiere decir. Criterio significa cedazo; sobre l se pasan de alguna manera las cosas para saber con qu nos quedamos y con qu no (La Aventura del Pensamiento, Buenos Aires, 2008). A esta descripcin de Savater sobre el cambio en el procesamiento cognitivo y en el papel de la filosofa, puede hacrsele algunas observaciones. La primera de ellas se refiere a la diferencia entre cantidad y calidad de la informacin. Los medios electrnicos y la extensin de las llamadas redes sociales estn produciendo un ocano infinito de informacin, pero de diez centmetros de profundidad. Los mensajes telegrficos que entregan los blogs y las redes sociales pueden ser tiles para proveer de informacin operativa, pero no ayudan mucho a reflexionar. Y el problema es que tratando de procesar esa cantidad inmanejable de informacin operativa, la gente carece de tiempo para pensar a fondo las cosas importantes.
Hemos hablado de la sobreinformacin de nuestros das, pero qu hay de la falta de informacin?

Parece que, despus de ver la cantidad de informacin y bases de datos de las que disponemos hoy en da, es paradjico hablar de la desinformacin. En mi opinin no existe la falta de informacin, sino otros errores que usan como
40

MDULO
01
excusa la falta de informacin. Analizaremos diferentes casos en los que se echa la culpa a la desinformacin:
Se presenta la informacin precisa para tomar la decisin correcta, pero se malinterpreta por el que debe tomar dicha decisin. Hoy en da podemos tener muchos ejemplos de este error, el ms claro puede ser el del poltico que teniendo cientos de analistas a su servicio se equivoca en la decisin a tomar porque no interpreta bien los datos que se le proporcionan.
Se presenta una informacin equivocada. Este es el caso en el que no se contrasta lo suficiente la informacin de la que se dispone. Cuando hacemos caso de la primera informacin que nos llega, tenemos muchas posibilidades de que no sea del todo correcta, hay que investigar ms para determinar si efectivamente es verdadera o no.
No se presta atencin a la informacin que se tiene. Todos hemos odo en la televisin la frase: Hay que informar ms a los adolescentes para que no consuman drogas. La informacin existe, y se les da en los institutos, colegios, televisin, internet pero ellos no prestan atencin a esa informacin que se les da. La solucin es hacer esa informacin ms atractiva para que si le presten atencin.
Se presenta una informacin incompleta. Un ejemplo es el tpico caso de las unidades de medida, los ingleses miden en millas, los espaoles en kilmetros; si slo prestamos atencin al nmero, estaremos teniendo una informacin equivocada.
Todos estos casos y muchos otros ms utilizan la excusa de que el error fue debido a la falta de informacin, pero realmente no fue as. Esto no quiere decir que no se cometan errores, sino que no es culpa de falta de informacin. En todas las tomas de decisiones hay un componente aleatorio que decide si se acierta o se falla, la informacin es un elemento para aumentar las posibilidades de acierto. De hecho, un buen informe siempre debe contemplar todas las posibilidades que hay, e intentar determinar el porcentaje de que ocurra cada una.
41

MDULO
01
3. INDETERMINACIN
Para empezar, definiremos indeterminacin:
Indeterminado: que no es concreto ni definido.
Como bien explica la definicin, la indeterminacin de la informacin implica que resuelve algunas dudas pero no todas. Esto es muy habitual en el mundo de los negocios, ya que nunca se puede precisar con exactitud que pasar. La informacin que se puede dar acerca de este tipo de situaciones no es nica, depende en muchas ocasiones de la intuicin. Un ejemplo para explicar este concepto es el vivido por la burbuja inmobiliaria.
Muchos economistas analizaban la situacin hace diez aos, unos decan que el precio de la vivienda caera y otros que subira. Estos anlisis se hacan con la misma informacin para todos, eran datos cuantitativos, pero sin embargo unos acertaron y otros fallaron. La informacin era correcta, estaba bien presentada, daba soluciones a preguntas, pero qu fallaba? El fallo era que la informacin solucionaba muchas preguntas, pero no todas. La informacin no poda prever la conducta de las personas ante la oferta y la demanda. Por tanto s, haba buena informacin pero indeterminada en algunos aspectos.
42

MDULO
01
La siguiente grfica nos muestra la evolucin del precio de la vivienda en Espaa:
La indeterminacin de la informacin puede llevar a situaciones nefastas para el caso de una empresa. Una forma de tener en cuenta todas estas indeterminaciones es hacer un buen rbol de decisin para intentar elegir la decisin ms correcta dentro de las posibilidades. No cometamos el error de pensar que porque una situacin est supeditada a la aleatoriedad ya no necesitamos buscar la mejor informacin. Es ms, es en estos casos donde ms hace falta un buen anlisis de las posibles situaciones y sus consecuencias. Y esto se consigue con una buena bsqueda de informacin. Trataremos de entender de forma breve lo que es un rbol de decisin y para que sirve. Los rboles de decisin proveen un mtodo efectivo para la toma de decisiones debido a que: plantean claramente el problema para que todas las opciones sean analizadas. permiten analizar totalmente las posibles consecuencias de tomar una decisin.
43

MDULO
01
proveen un esquema para cuantificar el costo de un resultado y la probabilidad de que suceda. nos ayuda a realizar las mejores decisiones sobre la base de la informacin existente y de las mejores suposiciones. Aqu tenemos representado el ejemplo de un rbol de decisin:
Cada rama es una posibilidad diferente, y el nmero encima de la rama, es la posibilidad de que ese caso suceda. El nmero ms a la derecha es la consecuencia de que pase dicha posibilidad, ya sea en beneficios, perdidas, costes Una vez explicado bsicamente el funcionamiento de un rbol de decisiones, se comprende lo importante que es realizar una buena bsqueda de informacin para poder determinar los nmeros de la forma ms precisa posible. Estas probabilidades y resultados marcaran el xito o fracaso de la decisin tomada.
44

MDULO
01
4. REDUNDANCIA
Redundancia: repeticin intil de un concepto, demasiada abundancia.
La propia definicin nos dice que, en la mayora de los casos, es un defecto. Por medio de palabras como intil, demasiada... Hay que destacar que sabemos lo que la palabra redundancia significa, pero la mayora de nosotros cometemos el error de ser redundantes en la gestin de nuestra informacin. Quin no tiene las fotografas de sus vacaciones guardadas en tres sitios distintos, por si acaso pasa algo? Quin no guarda sus trabajos informticos en su USB, su disco duro, su correo y su ordenador? Estos son ejemplos de redundancia en nuestras propias vidas. Esto no quiere decir que estemos cometiendo errores, sino que esos datos son muy importantes para nosotros, son insustituibles. Inconscientemente, estamos aplicando un filtro de importancia sobre nuestra base de datos: no guardamos tres veces los correos electrnicos, o la msicaguardamos lo que para nosotros es irremplazable o costoso de recuperar. En definitiva estamos realizando lo que las empresas deberan hacer con sus propias bases de datos. El procedimiento ideal sera que los datos slo se guardasen una nica vez en una base de datos y que esta nunca tuviese fallos, pero como sabemos que esto no es posible, hay que permitir la redundancia de los datos importantes. A continuacin enumeraremos algunos de los defectos que trae tras de s la redundancia. En bases de datos o en ficheros, la redundancia hace referencia al almacenamiento de los mismos datos varias veces en diferentes lugares. La redundancia de datos puede provocar problemas como:
45

MDULO
01
Incremento del trabajo: como un mismo dato est almacenado en dos o ms lugares, esto hace que cuando se graben o actualicen los datos, deban hacerse en todos los lugares a la vez. Para este fallo existen dos soluciones claras: 1. Se evita la redundancia y se opta por un sistema de datos que guarde esa informacin en un nico sitio, de tal manera que si se cambia la informacin no haya que repetir el proceso de cambio. 2. Si el dato necesita ser guardado en varios sitios distintos, se puede hacer que el sistema efecte el cambio en todos los sitios a la vez. Esto, aunque a priori parezca la mejor solucin, en muchos casos no lo es, ya que si alguien comete un error en el cambio de informacin, ese error se propaga a todos los departamentos que compartan esa informacin.
Desperdicio de espacio de almacenamiento: ya que los mismos datos estn almacenados en varios lugares distintos, ocupando as ms bytes del medio de almacenamiento. Este problema es ms evidente en grandes bases de datos. Para esto tambin existen dos posibles soluciones: 1. Hacer ms grande la memoria del sistema. Proceso que cuesta dinero y, por tanto, malo desde el punto de vista econmico. 2. Evitar la redundancia. Aumenta el riesgo de prdida de datos, pero se ahorra en costes.
Inconsistencia de datos: esto sucede cuando los datos redundantes no son iguales entre s. Esto puede suceder, por ejemplo, cuando se actualiza el dato en un lugar, pero el dato duplicado en otro lugar no es actualizado. Las soluciones son las mismas que en el primer caso.
Si una base de datos est bien diseada, no debera haber redundancia de datos. S puede haber copia de datos a un sistema de almacenamiento, pero no redundancia. La redundancia slo afecta a si los datos estn almacenados varias veces en la misma base de datos.
46

MDULO
01
Es importante destacar que si tenemos una adecuada redundancia de datos, los problemas de destruccin fsica de datos pueden no afectar al sistema "on line" que los utiliza. Por ejemplo, si tengo varios discos con informacin y la informacin de cada disco la tengo redundante en los otros discos, si se destruye un disco, gracias a esta redundancia, puedo seguir trabajando sin problemas (el sistema utilizar la informacin redundante almacenada en los discos sanos). Esto hay que saber hacerlo con los datos que realmente son importantes para la empresa, porque si lo hacemos con todos, el resultado son los fallos antes enunciados.
47

MDULO
01
UNIDAD 4. SEGURIDAD DE LA INFORMACIN
1. INTRODUCCIN
En las unidades anteriores hemos explicado la importancia de la informacin, como se consigue, cualidades, virtudes, defectos despus de explicar todo esto, nos damos cuenta de que el valor real que tiene la informacin dentro de una organizacin es incalculable. En consecuencia, surge el concepto de Seguridad de la informacin, porque si algo es muy valioso, hay que protegerlo. Pues bien, en esta unidad trataremos de explicar todos los conceptos que hay que tener en cuenta para proteger debidamente la informacin.
48

MDULO
01
2. CONFIDENCIALIDAD
Confidencialidad es la propiedad de la informacin, por la que se garantiza que est accesible nicamente a personal autorizado a acceder a dicha informacin. La confidencialidad ha sido definida por la Organizacin Internacional de Estandarizacin (ISO) en la norma ISO-17799 como "garantizar que la informacin es accesible slo para aquellos autorizados a tener acceso" y es una de las piedras angulares de la seguridad de la informacin.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el nmero de tarjeta de crdito sea transmitida desde el comprador al comerciante y del comerciante a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del nmero de la tarjeta y los datos que contiene la banda magntica durante la transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la tarjeta en modo alguno, se ha producido una violacin de la
confidencialidad. La confidencialidad es una propiedad de la informacin mediante la cual se garantizar el acceso a la misma solo por parte de las personas que estn autorizadas. Es de alguna manera lo que se dice o hace en confianza y con seguridad recproca entre dos o ms individuos.
49

MDULO
01
Cuando se elabora un documento que contiene informacin confidencial, sern los responsables del mismo quienes decidirn quienes podrn acceder a la informacin que se expresa en el. En muchsimas profesiones y oficios, el tema de la confidencialidad resulta ser un deber tico. Por ejemplo, en el caso de los mdicos y psiclogos jams debern develar aquello que conocieron bajo el secreto profesional. Algo ms o menos parecido ocurre por un lado con los periodistas, quienes debern garantizar la proteccin de la fuente cuando esta as lo requiera y por otro lado los sacerdotes tambin se comprometen a no develar aquello que el fiel le confes a travs del secreto de confesin.
50

MDULO
01
3. INTEGRIDAD
Integridad: garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento.
Consiste en conservar la seguridad en un sistema, donde se permite a mltiples usuarios el acceso al mismo para compartir la base de datos. La integridad tiene como funcin proteger la base de datos contra operaciones que introduzcan inconsistencias en los datos. Se habla de integridad en el sentido de correccin, validez y precisin de los datos. Un control de integridad o restricciones es aquel que nos permite definir con precisin el rango de valores vlidos para un elemento y/o las operaciones que sern consideraciones vlidas en la relacin de tales elementos.
El objetivo primordial de un control de integridad es la reduccin de la inconsistencia en la BD
51

MDULO
01
Las BD relacionales deben encargarse de mantener la integridad de los datos almacenados en una base de datos con respecto a las reglas predefinidas o restricciones. La integridad tambin puede verificarse inmediatamente antes del momento de introducir los datos a la base de datos (por ejemplo, en un formulario empleando validacin de datos).
Un claro ejemplo de error de integridad es el ingreso de un tipo de dato incorrecto dentro de un campo. Por ejemplo, ingresar un texto cuando se espera un nmero entero.
Tambin una error en la integridad en una base de datos puede ser la existencia de un valor numrico (id cliente) en la compra de un producto por parte de un cliente que no existe en su correspondiente tabla con ese nmero (integridad referencial).
La integridad debe asegurar que: No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados. Los datos son consistentes, es decir, la informacin interna es consistente entre s misma y respecto de la situacin real externa.
52

MDULO
01
4. DISPONIBILIDAD
La Disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita.
Para poder hablar de la disponibilidad, y entenderla bien, hay que definir el concepto de nivel de servicio:
Nivel de servicio: es la medida que nos indica la cantidad de tiempo que el sistema est activo respecto del tiempo en el que no lo est.
Como ejemplo para entender mejor el concepto, todos hemos sufrido alguna vez esa molesta escusa de: lo sentimos pero en este momento se est actualizando nuestra base de datos y no es posible acceder a su historial. El tiempo en el que no se puede acceder a una base de datos dividido entre el tiempo total de estudio, nos da nuestro nivel de servicio. Como se puede ver, hay una estrecha relacin entre disponibilidad y nivel de servicio.
53

MDULO
01
Nivel de servicio
En este apartado se revisa el concepto de nivel de servicio, cmo alcanzar un compromiso sobre el nivel de servicio cumplimiento de ese compromiso. Un servicio es un conjunto de sistemas de Tecnologas de la Informacin (TI) que soportan un proceso de negocio. Con esta definicin se puede considerar servicios las aplicaciones de lnea de negocio, y los servidores de bases de datos. requerido y cmo garantizar el
El nivel de servicio de un sistema de informacin depende de los elementos que lo componen (programas, servicios, datos y software de plataforma), de la infraestructura tecnolgica, el hardware, los equipos de red y comunicaciones, y de las funciones de operacin y gestin de servicio. El diseo del sistema de informacin deber incluir aquellos elementos, tanto tecnolgicos como de procedimiento, que permitan ofrecer el nivel de servicio adecuado. Cuanto mayor nivel de servicio queramos, ms caro ser el sistema. Por tanto hay que buscar un equilibrio entre coste-disponibilidad.
Sistemas de alta disponibilidad

Una funcionalidad muy apreciada en los sistemas, tanto en sistemas intermedios de comunicaciones como en sistemas finales, es su capacidad de poder mantener una alta disponibilidad basada en una redundancia de equipos. Es decir, que se pueda dimensionar el sistema sin puntos nicos de fallo de forma que, por ejemplo, en caso de fallo de un servidor, sea otro servidor el que ofrezca los servicios que prestaba aqul. Est siendo, cada vez ms comn, la utilizacin de sistemas redundantes que podrn estar configurados en modo activo-pasivo (tambin conocido como failover y hot-standby), es decir, que un sistema realiza las funciones y, en caso de fallo, un sistema de backup las asume. O que podrn estarlo en activo-activo, en el que una serie de sistemas, por ejemplo A o B, llevan a cabo servicios distintos A' y B' respectivamente pero que, en caso de fallo de un sistema (por ejemplo B), el otro (A) asume todos los servicios del cluster (A' y B').
54

MDULO
01
Para comprender mejor todo lo que conlleva la disponibilidad, y su importancia dentro de la empresa propongo la lectura del siguiente estudio, que pone de manifiesto las consecuencias que tiene un mal nivel de servicio.
Alta Disponibilidad de Sistemas: Una Definicin

Por Ken Akren, vicepresidente de operaciones de la empresa Visin Solutions
El huracn Andrew, las inundaciones del ro Mississippi, las grandes lluvias en Europa, el terremoto de Northridge, los grandes incendios en Australia. Los disturbios en Europa y Estados Unidos, los atentados en el World Trade Center. Estos y muchos otros graves desastres han hecho estallar una ola de inters en la planificacin y prevencin de contingencias. Eventos externos como los mencionados, ciertamente pueden traducirse en una catstrofe econmica para una empresa, pero no son la nica amenaza para la operacin estable de un negocio. Eventos internos, tales como errores de procesadores, errores errores de de software, aterrizajes descargas de discos, cadas de de
comunicaciones,
operacin,
accidentales
haln,
vandalismo o sabotaje, plantean un peligro real, aunque menos espectacular. Pero inclusive los tiempos muertos planificados - como copias de seguridad, ampliaciones de hardware y cambios de versin de software, instalacin de PTFs y mantenimiento preventivo - tienen un impacto en los costes de su empresa y deben estar cubiertos en todo buen plan de contingencias. Los costes de los tiempos muertos, planificados o no, son muy reales. El terremoto de Northridge, por ejemplo, ha desplazado de sus casas y oficinas a 100.000 personas - y puso en peligro 2.500 sistemas AS/400 en el rea de Los Angeles. Si an no est convencido de la importancia de la planificacin de contingencias, considere las siguientes estadsticas: un estudio recientemente realizado en 450 grandes empresas, indica que una hora de tiempo muerto representa un promedio de prdidas equivalente a 9.852.000 Ptas. Por lo tanto, un paro de 4
55

MDULO
01
horas representa un impacto negativo de casi 40 millones en la cuenta de resultados. (Este estudio, realizado en el mes de abril de 1.992, obtuvo informacin de 450 ejecutivos de Sistemas de Informacin al servicio de grandes empresas estadounidenses, pertenecientes a siete sectores industriales distintos. Fue publicado en diciembre de 1992 en Software Economics Letter, boletn mensual de Computer Economics, Inc., en Carlsbad, California.) Otra consecuencia de los fallos de sistemas es la prdida de productividad. Para las empresas incluidas en el estudio, una hora de tiempo muerto del sistema, significa un promedio de prdida de 355 horas de trabajo productivo. En muchos casos la prdida de productividad fue an mayor, de hecho, el 26% de las empresas estima que la prdida del tiempo productivo supera las 500 horas por cada hora de tiempo muerto del sistema.
56

MDULO
01
Los grficos muestran la frecuencia y la duracin de los fallos del sistema en las empresas estudiadas. Ms de 58% de los fallos dur 2 horas o menos y ms de la mitad de las empresas han tenido ms de 5 fallos en un ao. Adems, el 75% de los ejecutivos de Sistemas de Informacin piensa que en el futuro, la dependencia de sus empresas de los sistemas en lnea aumentar y el 40% piensan que el creciente uso de redes de comunicaciones aumenta su vulnerabilidad ante semejantes fallos. El diagrama Las causas de los tiempos muertos (fig. A), muestra estadsticas sobre las causas de los paros de los sistemas.
57

MDULO
01
Teniendo en cuenta todos los posibles accidentes y desastres que puede sufrir su ordenador, la planificacin de contingencias debera ser una tarea de mxima prioridad para todas las empresas. Para realizarla, es necesario entender las estrategias para lograr el grado requerido de disponibilidad de su instalacin central y las redes y los costes asociados a estas estrategias. Un buen punto de partida: aprender los conceptos de la disponibilidad de sistemas. Ahora consideremos estos trminos desde la perspectiva del usuario final; despus de todo, la consideracin ms importante respecto a un tiempo muerto, es su efecto sobre el usuario de la aplicacin. Tengamos en cuenta tambin, que no existen escenarios todo o nada. La Alta Disponibilidad pura, nunca tendr un paro de sistema perceptible, porque estos presumiblemente han sido eliminados. Sin embargo, ello puede tener un coste inaccesible en caso de algunas configuraciones o aplicaciones en particular. Puede resultar ms aceptable el tener un Sistema con Alta Disponibilidad, que pueda tolerar un corto tiempo muerto. Por tanto, el grado de Alta Disponibilidad es mucho ms una decisin econmica que tcnica, y en particular, algunas aplicaciones requerirn un nivel de disponibilidad del sistema ms alto que otras.
58

MDULO
01
5. SEGURIDAD DE LA INFORMACIN
Hemos descrito lo que significan los conceptos de integridad, disponibilidad y confidencialidad. Todos ellos aseguran una parte de la informacin de la que disponemos, podramos decir que son las tres partes ms importantes de un sistema de seguridad de la informacin. Pero no lo es todo, hay que saber en qu contexto, las partes, soluciones Intentaremos comprender todo esto en este apartado, pero sin olvidarnos de una cosa, la seguridad absoluta no existe, siempre hay una forma de saltarnos la seguridad.
La seguridad absoluta tendra un coste infinito
Empezaremos, como siempre, con una definicin para entrar en materia:
Se entiende por seguridad de la informacin a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la autenticidad e integridad de la misma.
59

MDULO
01
A los efectos de una correcta interpretacin de lo que se entiende por seguridad de la informacin, se realizan los siguientes recordatorios: Informacin: Se refiere a toda comunicacin o representacin de conocimiento como datos, en cualquier forma, con inclusin de formas textuales, numricas, grficas, cartogrficas, narrativas o audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras, audiovisual u otro. Sistema de Informacin: Se refiere a un conjunto independiente de recursos de informacin organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de informacin segn determinados procedimientos, tanto automatizados como manuales. Tecnologa de la Informacin: Se refiere al hardware y software operados por el Organismo o por un tercero que procese informacin en su nombre, para llevar a cabo una funcin propia del Organismo, sin tener en cuenta la tecnologa utilizada, ya se trate de computacin de datos, telecomunicaciones u otro tipo.
La informacin es un recurso que, como el resto de los activos, tiene valor para la organizacin y por consiguiente debe ser debidamente protegida.
Para entender mejor de lo que trata esta unidad, y a modo de introduccin he recogido un artculo del diario online El Librepensador:
Qu es la seguridad de la informacin?
04/06/10 Son muchos los conceptos que se hallan tras estas palabras, por lo que el objetivo de este artculo es tratar de responder a esta pregunta y crear cierto inters para el que no conoce en qu consiste, y como puede ser aplicado a cualquier tipo de organizacin. La Seguridad de la Informacin consiste en proteger una de las partes ms importantes del negocio, la informacin. Sin embargo debemos distinguir entre Seguridad Informtica, que es la proteccin de las infraestructuras tecnolgicas sobre las que funciona la empresa y Seguridad de la Informacin, que tiene
60

MDULO
01
como objetivo la proteccin de sistemas e informacin en cuanto a que estn siempre accesibles (Disponibilidad), que no sean alterados
malintencionadamente o por error (Integridad) y que su acceso sea permitido slo a personas autorizadas (Confidencialidad). Analizando desde este punto de vista nos damos cuenta de la importancia que tiene la Informacin para nuestro negocio y en ocasiones no prestamos la atencin necesaria a sucesos que ocurren o en el peor de los casos ni somos conscientes de que se producen. Con todo esto nuestra informacin y procesos estn muy prximos a sufrir daos, por lo tanto en riesgo. An as, nos damos cuenta de que controlar todo lo que rodea a los procesos de informacin puede llegar a convertirse en una tarea imposible de realizar. La respuesta a este problema es un Sistema de Gestin. Un Sistema de Gestin aplicado a la Seguridad de la Informacin (SGSI), tiene como objetivo mantener siempre el riesgo por debajo de unos umbrales asumidos por la propia organizacin. Para esto es necesario implementar herramientas que permitan analizar y ordenar la estructura de nuestros sistemas de informacin, establecer procedimientos de trabajo para definir la seguridad y disponer de controles que permitan medir la eficacia de las medidas de seguridad que tenemos implementadas, sin olvidar que todo esto se debe revisar peridicamente, realizando mejoras constantemente y siempre bajo las
directrices de una poltica de seguridad definida por la organizacin. Pero todo esto es necesario?, estamos realmente en peligro? La respuesta es siempre S. Todas las organizaciones y especialmente las empresas donde existe una motivacin econmica estn expuestas tanto externa como internamente a sufrir ataques de diferente naturaleza: virus, dao de imagen, sabotaje, beneficio econmico, fuga de informacin, fallos tcnicos, errores humanos, fuego, inundacin, etc, son algunas de las amenazas a las que una organizacin est expuesta. El mayor esfuerzo de las empresas se dedica a marketing y a recursos humanos, dejando a un lado la implementacin de medidas de seguridad o en el mejor de
61

MDULO
01
los casos poniendo en marcha soluciones reactivas que responden a los problemas producidos y olvidando medidas preventivas. Actualmente, la inversin en recursos tecnolgicos de seguridad son entre otros: backup, cifrado, sistemas de deteccin de intrusos, firewalls, antivirus, etc, sin considerar como parte del proceso la gestin, la estrategia y el personal. En este ltimo punto es muy importante realizar una buena labor formativa con el fin de concienciar al personal involucrado. La informacin con la que se trabaja diariamente debe estar clasificada como parte del proceso en la implementacin de polticas de seguridad. Por otro lado, existe un marco normativo en el que apoyarse a la hora de implementar un SGSI, bajo la denominacin de ISO/IEC 27000. La decisin de una empresa que se plantea poner en marcha un SGSI, debe estudiar qu y cuntos procesos quiere implementar, ya que puede ser desde la gestin del proceso ms crtico hasta la certificacin de la norma ISO 27001 de todos sus procesos. Entre toda la normativa existente debe destacarse un cdigo de buenas prcticas (ISO 27002), donde se presenta un catlogo de controles de seguridad organizados por reas funcionales. Hoy en da y ms en momentos de crisis, asegurar los procesos de negocio nos ayuda entre muchas otras cosas a mantener la competitividad, gestionar adecuadamente los recursos internos, mantener clientes y cuota de mercado, conseguir una imagen de empresa, gestionar y mantener el conocimiento, evitar litigios civiles y laborales, gestionar efectivamente las operaciones de las empresas, etc. Por lo que implementar de forma adecuada y correcta un SGSI permite ayudar a cumplir estos objetivos y anticipar incidencias, reduciendo significativamente costes para las organizaciones. Como comenta el artculo, a veces tendemos a equivocar el concepto de seguridad informtica con el de seguridad de la informacin, pero son conceptos diferentes. Mientras el primero slo se ocupa de asegurar la seguridad en el medio informtico, el segundo se ocupa de que la informacin pueda ser vista
62

MDULO
01
slo por las personas que tienen acceso a ella, ya sea en el medio informtico, fsico, personal
Seguridad de la informacin:
La seguridad de la informacin se entiende como la preservacin de las siguientes caractersticas: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma, toda vez que lo requieran.
Adicionalmente, debern considerarse los conceptos de: Autenticidad: busca asegurar la validez de la informacin en tiempo, forma y distribucin. Asimismo, se garantiza el origen de la informacin, validando el emisor para evitar suplantacin de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. Proteccin a la duplicacin: consiste en asegurar que una transaccin slo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transaccin para luego reproducirla, con el objeto de simular mltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido informacin alegue ante terceros que no la envi o recibi. Legalidad: referido al cumplimiento de las leyes, normas,
reglamentaciones o disposiciones a las que est sujeto el Organismo. Confiabilidad de la Informacin: es decir, que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones.
63

MDULO
01
Objetivo Proteger los recursos de informacin del organismo y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin.
Alcance Esta poltica se aplica en todo el mbito del organismo, a sus recursos y a la totalidad de los procesos, ya sean internos o externos vinculados a la entidad a travs de contratos o acuerdos con terceros.
Clasificacin de la informacin Para clasificar un activo de informacin, se evaluarn las tres caractersticas de la informacin en las cuales se basa la seguridad: confidencialidad, integridad y disponibilidad. A continuacin se establece el criterio de clasificacin de la informacin en funcin a cada una de las mencionadas caractersticas:
Confidencialidad: 1. Informacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, sea empleado del Organismo o no. PUBLICO 2. Informacin que puede ser conocida y utilizada por todos los empleados del Organismo y algunas entidades externas
debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. RESERVADA USO INTERNO 3. Informacin que slo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas
significativas al Organismo, al Sector Pblico Nacional o a terceros. RESERVADA CONFIDENCIAL 4. Informacin que slo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta direccin del Organismo, y cuya divulgacin o uso no autorizados podra
64

MDULO
01
ocasionar prdidas graves al mismo, al Sector Pblico Nacional o a terceros. RESERVADA SECRETA
Integridad: 1. Informacin cuya modificacin no autorizada puede repararse fcilmente, o no afecta la operatoria del Organismo. 2. Informacin cuya modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves para el Organismo, el Sector Pblico Nacional o terceros. 3. Informacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. 4. Informacin cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves al Organismo, al Sector Pblico Nacional o a terceros.
Disponibilidad: 1. Informacin Organismo. 2. Informacin cuya inaccesibilidad permanente durante un tiempo determinado (no menor a una semana) podra ocasionar prdidas significativas para el Organismo, el Sector Pblico Nacional o terceros. 3. Informacin cuya inaccesibilidad permanente durante un tiempo determinado (no menor a un da) podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. 4. Informacin cuya inaccesibilidad permanente durante un tiempo determinado (no menor a una hora) podra ocasionar prdidas significativas al Organismo, al Sector Pblico Nacional o a terceros. cuya inaccesibilidad no afecta la operatoria del
65

MDULO
01
Clasificacin: Se asignar a la informacin un valor por cada uno de estos criterios. Luego, se clasificar la informacin en una de las siguientes categoras: CRITICIDAD BAJA: ninguno de los valores asignados superan el 1. CRITICIDAD MEDIA: alguno de los valores asignados es 2. CRITICIDAD ALTA: alguno de los valores asignados es 3.
Slo el Propietario de la Informacin puede asignar o cambiar su nivel de clasificacin.
Compromiso de Confidencialidad Como parte de sus trminos y condiciones iniciales de empleo, los empleados, cualquiera sea su situacin, firmarn un compromiso de confidencialidad o no divulgacin, en lo que respecta al tratamiento de la informacin del organismo. La copia firmada del compromiso deber ser retenida en forma segura por el rea de Recursos Humanos u otra competente. Asimismo, mediante este documento, el empleado declarar conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control. Estas actividades deben ser detalladas a fin de no violar el derecho a la privacidad del empleado. Se debe desarrollar un procedimiento para la firma del compromiso de confidencialidad donde se incluirn aspectos sobre: Suscripcin inicial del Compromiso por parte de la totalidad del personal. Revisin del contenido del Compromiso cada ao. Mtodo de re suscripcin en caso de modificacin del texto compromiso. del
Es importante que cada empresa conozca los riesgos a los que puede estar expuesta y como los mismos pueden afectar su funcionamiento. Y en base a ello aplicar las medidas que entienda adecuadas.
66

MDULO
01
Para explicar el proceso que debe seguir el diseo de un sistema de seguridad, podemos estudiar el siguiente esquema, donde se representan los pasos y quien los da y recibe:
67

MDULO
01
Tabla: Objetivos y medidas de seguridad. Resumen de los objetivos y las medidas a tomar por un sistema de seguridad de informacin:
OBJETIVO
DESCRIPCIN Es el proceso de identificar al cliente de No la aplicacin que o los
MEDIDAS
Identificacin (Autentificacin)
servicio. clientes
olvidar
pueden
ser
tanto
Certificados digitales
personas como otros servicios, procesos y otros ordenadores Consiste en asegurar que a la Confidencialidad informacin solo accede quien est autorizado a ello. Conjunto de acciones que Cifrado, encriptacin
garantizan que la informacin no Integridad se ha transformado durante su procesado, transporte o Firma digital
almacenamiento Procedimientos que No repudio ninguna ya para de asegurar partes Firma digital, auditora
las
implicadas
identificadas puede en negar una
(autentificadas) haber
participado
determinada transaccin. Determinar a qu informacin puede puede Autorizacin acceder y qu un lo tareas cliente tanto Cuestin organizativa que debe disear cada organizacin y
acometer, por
autentificado,
identificado con
certeza. Este
llevar a cabo en sus sistemas particulares.
proceso determina los privilegios asociados a un perfil de usuario. Es la posibilidad de poder
rastrear los accesos realizados a Auditora la informacin y las operaciones hechas sobre ella por cada
Registros
de
acceso
operaciones efectuadas sobre la informacin.
usuario y las circunstancia en que las hizo. Forma parte de la seguridad el poder disponer de la informacin cuando se necesite. Por ello se Disponibilidad deben proteger los sistemas de forma que se mantengan en funcionamiento acceder a la y se pueda en
Operacin y nivel de servicio adecuados sobre los sistemas
informacin
cualquier momento.
68

MDULO
01
6. PROPIEDADES DEL ACCESO
Hemos explicado las medidas de seguridad que se deben tener en cuenta, y han salido palabras como claves, acceso restringido en esta materia es en la que vamos a profundizar ms.
Una clave es el signo o la combinacin de signos que permite hacer funcionar ciertos aparatos o ingresar a un espacio restringido. Este uso del concepto es muy usual en bases de datos, donde las claves permiten que un usuario acceda a su cuenta personal de la organizacin.
El acceso por medio de un sistema de restricciones y excepciones a la informacin es la base de todo sistema de seguridad informtica. Para impedir a el los acceso sistemas no de
autorizado
informacin se deben implementar procedimientos controlar la formales asignacin para de
derechos de acceso a los sistemas de informacin, bases de datos y servicios de informacin, y estos deben estar claramente documentados, comunicados y controlados en cuanto a su cumplimiento. Los procedimientos comprenden todas las etapas del ciclo de vida de los accesos de los usuarios de todos los niveles, desde el registro inicial de nuevos usuarios hasta la privacin final de derechos de los usuarios que ya no requieren el acceso.
69

MDULO
01
La cooperacin de los usuarios es esencial para la eficacia de la seguridad, por lo tanto es necesario concienciar a los mismos acerca de sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseas y la seguridad del equipamiento.
Objetivos Impedir el acceso no autorizado a los sistemas de informacin, bases de datos y servicios de informacin. Implementar seguridad en los accesos de usuarios por medio de tcnicas de autenticacin y autorizacin. Controlar la seguridad en la conexin entre la red del Organismo y otras redes pblicas o privadas. Registrar y revisar eventos y actividades crticas llevadas a cabo por los usuarios en los sistemas. Concienciar a los usuarios respecto de su responsabilidad frente a la utilizacin de contraseas y equipos. Garantizar la seguridad de la informacin cuando se utiliza computacin mvil e instalaciones de trabajo remoto.
Alcance
La Poltica definida en este documento se aplica a todas las formas de acceso de aquellos a quienes se les haya otorgado permisos sobre los sistemas de informacin, bases de datos o servicios de
informacin de la organizacin, cualquiera que sea la funcin que desempee. Asimismo se aplica al personal tcnico que define, instala, administra y mantiene los permisos de acceso y las conexiones de red, y a los que administran su seguridad. Responsabilidad El Responsable de Seguridad Informtica estar a cargo de: Definir normas y procedimientos para: la gestin de accesos a todos los sistemas, bases de datos y servicios de informacin multiusuario; el
70

MDULO
01
monitoreo del uso de las instalaciones de procesamiento de la informacin; la solicitud y aprobacin de accesos a Internet; el uso de computacin mvil
Los Propietarios de la Informacin estarn encargados de: Evaluar los riesgos a los cuales se expone la informacin con el objeto de: determinar los controles de accesos, autenticacin y utilizacin a ser implementados en cada caso. definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisin de los mismos. Aprobar y solicitar la asignacin de privilegios a usuarios. Llevar a cabo un proceso formal y peridico de revisin de los derechos de acceso a la informacin.
Reglas de Control de Acceso Las reglas de control de acceso especificadas, debern: Indicar expresamente si las reglas son obligatorias u optativas Establecer reglas sobre la premisa Todo debe estar prohibido a menos que se permita expresamente y no sobre la premisa inversa de Todo est permitido a menos que se prohba expresamente. Controlar los cambios en los rtulos de informacin que son iniciados automticamente por herramientas de procesamiento de informacin, de aquellos que son iniciados a discrecin del usuario Controlar los cambios en los permisos de usuario que son iniciados automticamente por el sistema de informacin y aquellos que son iniciados por el administrador. Controlar las reglas que requieren la aprobacin del administrador o del Propietario de la Informacin de que se trate, antes de entrar en vigencia, y aquellas que no requieren aprobacin.
Todo lo explicado anteriormente nos da una primera aproximacin de cmo asegurar nuestra base de datos, pero nuestro sistema siempre tendr pequeas vulnerabilidades por las que poder acceder a l y poder atacarnos. Para
71

MDULO
01
profundizar en consejos que nos pueden salvar alguna vez de estos molestos hackers, dejo una web en la que enumeran las 20 vulnerabilidades ms crticas de un sistema, estudiadas por el SANS Institute y el FBI.
http://www.desarrolloweb.com/articulos/553.php
Para concluir con esta unidad me gustara que acudieseis a esta web, donde se puede leer un artculo de lo importante que es la seguridad en la informacin. Explica que la informacin es el activo ms importante en una organizacin, y que por tanto hay que salvaguardarla como se merece:
http://www.revistainterforum.com/espanol/articulos/061803enfo_ info-vulnerabilidad.html
72

MDULO
01
Para concluir con el mdulo, a modo de resumen, haremos un glosario donde se expliquen los conceptos ms importantes: Anlisis de datos: Procedimiento por el cual se estudian los datos de los que disponemos para poder transformarlos en informacin rbol de decisin: Estudio de las posibles soluciones a un problema, sus resultados y posibilidades de que ocurran. Es un mtodo de ayuda a la toma de decisiones dentro de una organizacin. Bases de datos: Sitio donde se almacena la informacin de la organizacin. Est compuesto por hardware, que es el sistema fsico, software, que es el programa que ordena y pone reglas, y por los datos, que es lo que se quiere ordenar. Cantidad: Cualidad de la informacin, hay que saber medir la cantidad de informacin que se da, porque tanto el exceso como el defecto pueden dar lugar a malas decisiones. Clave: Elemento de seguridad que es personal e intransferible, y que da acceso a la informacin de la que puede disponer el titular de dicha clave. Confidencialidad: Parte importante de un sistema de seguridad de la informacin. Consiste en que la informacin de una organizacin est dividida en partes, y no todas las personas pueden ver las mismas partes. Est ntimamente relacionada con el concepto anteriormente explicado, la clave o password. Conocimiento: Estado al que se llega despus del anlisis de la informacin y su comprensin. Datos: Es la materia prima de la informacin. La informacin son datos ordenados y presentados de forma que puedan prestar algn servicio. Decisiones: Son el objetivo por el que se pide la informacin. Las organizaciones tienen que elegir entre varias alternativas, y la informacin ayuda a elegir la que, a priori, parece ms adecuada. Disponibilidad: Es una cualidad de las bases de datos, y de la informacin en general. Es la virtud de dar la informacin que se pide,
73

MDULO
01
cuando y donde se pide. Por tanto se considera otro elemento de seguridad de la informacin. Finalidad de la informacin: propsito para el que ha sido buscada la informacin. Puede tratarse de toma de decisiones, adquirir conocimiento, curiosidad Fuentes: Son elementos de donde se obtienen, tanto la informacin como los datos de los que no disponemos. Las fuentes se clasifican en: 1. Conocimiento: son las que recibimos a travs de la interrelacin con otras personas. Ejemplo: conferencias, ayuda de expertos en la materia 2. Documentales: estn en un medio fsico como son los libros, ordenadores 3. Relacionales: no estn en un soporte fsico, sino que son las ideas grabadas en nuestro cerebro. Ejemplo: estudios, experiencias, recuerdos Hiptesis: Son situaciones, o creencias que no estn confirmadas. Son posibles, pero todava no son certezas. Para conseguir que pasen a este nivel, es necesario un buen trabajo de investigacin y bsqueda de informacin. Inconsistencia: Cuando los datos de un mismo objeto no dicen lo mismo, son inconsistentes. Cuando se espera un tipo de dato y se entrega otro, hay inconsistencia. Es decir es un defecto de las bases de datos que ha de ser solucionado. En muchos casos, este defecto es consecuencia de la redundancia, trmino que definiremos ms adelante. Indeterminacin: Resuelve algunas dudas, pero no todas. Esto en el mundo empresarial es muy habitual. La informacin casi nunca adivina el futuro, da una ayuda de por donde pueden ir las decisiones. Por tanto la indeterminacin es un defecto difcilmente solucionable. Informacin: Es la base en torno a la que gira todo este mdulo. La informacin es una ayuda para la toma de decisiones en nuestra vida. Procede de los datos, y deriva en conocimiento. Puede ser:
74

MDULO
01
1. Interna: es aquella que se genera dentro de la organizacin y en la que s tenemos efecto, se ver modificada con las decisiones que se tomen (problemas de produccin, nmina, gastos, etc.). Adems es importante determinar quin puede ver que informacin dentro de la organizacin. 2. Externa: es aquella en la que no tenemos ninguna influencia (el mercado internacional, investigaciones cientficas, tipo de cambio, poltica, nuevos productos de la competencia, etc.) 3. Privada: es la informacin que no puede ir ms all de las personas que deban manejarla. Datos concretos sobre nuestra contabilidad, nuevas ideas en fase de definicin, negociaciones en marcha, datos internos de clientes, filtraciones y rumores... Las personas que acceden a esta informacin tienen un alto grado de confianza y de responsabilidad. Infoxicacin: Trmino inventado por Alfons Cornella que trata de explicar el peligro al que nos enfrentamos hoy en da debido a la gran cantidad de informacin innecesaria con la que nos encontramos en internet. Refleja la suma de informacin + intoxicacin, por tanto lo valioso es la atencin que prestamos a dicha informacin. Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Tiene una gran relacin con la
inconsistencia de datos, ya que trata de evitar este defecto. Inteligencia: Es el estado siguiente al conocimiento, los datos dan lugar a la informacin; esta deriva en conocimiento, y cuando se asimila este conocimiento, se llega a la inteligencia. Investigacin: Es el proceso por el cual tratamos de conseguir la informacin necesaria para conseguir un objetivo. La investigacin contiene el anlisis de datos, cuestionarios, fuentes Nivel de servicio: Mide el grado de disponibilidad de cualquier cosa, en el caso que nos interesa, el de la base de datos. Compara el tiempo en el que podemos encontrar lo que necesitamos, con el que, por motivos varios, no podemos disponer de esta informacin.
75

MDULO
01
Privacidad datos: Es un derecho que puede ejercer el propietario de estos datos. ste, permite la vista de sus datos a quien l desea. Redundancia: Es la repeticin de datos en diferentes lugares de la base de datos. Esto es, en la mayora de casos, fuente de muchos errores como inconsistencia, integridad Aunque a veces puede ser til en caso de prdida de datos importantes. Seguridad: Es una parte muy importante, y que hay que tener muy en cuenta en el diseo de una base de datos. En este mdulo hemos comprendido la importancia que tiene la informacin para cualquier tipo de organizacin, y por tanto su privacidad. La seguridad intenta conseguir que la informacin no llegue a manos de gente que quiera usarla en contra de nuestros intereses. Sistemas de informacin: Es un conjunto organizado de elementos, que pueden ser personas, datos, actividades o recursos materiales en general; que, operando sobre una coleccin de datos estructurada segn las necesidades de la empresa, recopilan, elaboran y distribuyen la
informacin necesaria para las operaciones de dicha empresa y para las actividades de direccin y control correspondientes para desempear su actividad de acuerdo a su estrategia de negocio.
76

MDULO
01
WEBS:
http://www.gestiopolis.com/
http://www.monografias.com/
http://es.wikipedia.org/
http://www.infonomia.com
http://www.alegsa.com.ar/ http://www.maestrosdelweb.com/
LIBROS:
LA SEGURIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD DE LA INFORMACIN. Jos Antonio Garbayo Snchez SEGURIDAD DE LA INFORMACIN. Sistemas de Informacin. Ed Paraninfo. Javier Areitio. Redes, Informtica y
SEGURIDAD DE LA INFORMACIN. Ed Creaciones Vicente Aceituno Canal
LAS FUENTES DE INFORMACIN. Ed Sntesis Isabel de Torres INFORMATICA DE GESTION Y SISTEMAS DE INFORMACIN. Ed Mc. Graw Hill. Garca Prez, F; Molina, J.M.; Chamorro, F. INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS. Ed Paraninfo
77

MDULO
01
Olga Pons; Nicols Marn; Juan Miguel Medina; Silvia Acid; Mara Amparo Vila.
DISEO DE BASES DE DATOS. Ed Anaya Rod stephens BASES DE DATOS RELACIONALES. Ed. Pearson Alhambra Laura Mota Herranz; Matilde Celma Gimnez; Juan Carlos Casamayor Rdenas
78

01-Introduccion A Ion

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

01-Introduccion A Ion

Uploaded by

Copyright:

Available Formats

F49REV02

FORMACIN EN SEGURIDAD EN INFORMTICA

TUTOR: Diego Snchez Repila

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 2

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 3

Valorar la gran importancia que tiene la informacin en cualquier organizacin.

Adquirir los conocimientos para poder realizar un buen sistema de informacin.

Conocer los principales fallos y virtudes de un sistema de informacin, y como corregirlos.

Inculcar la importancia de un buen sistema de seguridad para proteger la informacin.

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 4

tiene como objetivo mostrarnos lo importante que es un buen

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 5

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 6

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 7

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 8

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 9

Para clasificar la informacin distinguiremos entre:

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 10

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 11

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 12

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 13

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 14

Pueden clasificarse en:

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 15

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 16

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 17

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 18

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 19

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 20

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 21

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 22

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 23

Ejemplo: Sistema de informacin de un hipermercado

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 24

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 25

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 26

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 27

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 28

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 29

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 30

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 31

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 32

Hardware: constituido por un dispositivo de almacenamiento como discos, cintas

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 33

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 34

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 35

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 36

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 37

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 38

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 39

Editorial: Exceso de informacin y falta de criterio (Costa Rica Hoy)

acentuadamente reducidas, hoy sucede todo lo contrario: un amplio sector de la

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 40

Hemos hablado de la sobreinformacin de nuestros das, pero qu hay de la falta de informacin?

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 41

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 42

Para empezar, definiremos indeterminacin:

Indeterminado: que no es concreto ni definido.

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 43

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 44

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 45

Redundancia: repeticin intil de un concepto, demasiada abundancia.

MDULO I. INTRODUCCIN AL CONCEPTO DE INFORMACIN 46