VULNERABILIDAD de los SISTEMAS DE INFORMACION

Los sistemas de computacin y de informacin desempean un rol tan importante en los negocios, el gobierno y la vida diaria, que las organizaciones deben tomar medidas especiales para protegerlos y asegurarse que sean exactos y confiables. Antiguamente los datos sobre personas y organizaciones se mantenan archivados en forma de soportes de papel, divididos en las diferentes unidades de negocios de la organizacin. Actualmente los sistemas de informacin concentran los datos en archivos de computadoras a los que podra tener f cil acceso un gran n!mero de usuarios, como as tambi"n personas o grupos externos a la organizacin no autorizados, esto hace que la informacin sea mucho m s vulnerable, y susceptible a modificaciones que puedan producir destruccin, fraude o error. #uando los sistemas de computacin fallan o no funcionan como es debido, las compaas que dependen mucho de ellos no pueden funcionar de la forma en la que lo hacen habitualmente y cuanto mas tiempo permanezcan inactivos, mas graves ser n las consecuencias para la compaa. $l origen de la vulnerabilidad de los sistemas puede estar dado en factores t"cnicos, de organizacin y del entorno, adem s combinados con malas decisiones gerenciales. Algunas de las amenazas que pueden sufrir los sistemas de informacin pueden ser las siguientes a% &allos en el 'ard(are, b% &allos en el soft(are, c% Acciones intencionales del personal, d% $rrores involuntarios del personal, e% )ngreso por terminales locales o remotas, f% *obo de informacin, g% #ambios en los programas, h% +roblemas en las telecomunicaciones. Los sistemas de informacin son !lnera"les a estas amena#as $or las si%!ientes ra#ones& a% ,o pueden reproducirse manualmente, en el mismo tiempo b% Los procedimientos computarizados son invisibles y no es f cil reproducirlos, a no ser que se tenga el programa fuente. c% La p"rdida de las bases de datos, puede ser inmediata y total. d% -uchos usuarios tienen acceso directo a la informacin de los sistemas, esto los hace sumamente vulnerables a las acciones que puedan realizarse, para modificarlos o destruirlos. Los adelantos en hard(are, soft(are y fundamentalmente en las comunicaciones, hacen que los sistemas sean vulnerables tanto desde el interior como desde el exterior, porque por medio de las redes de rea extensa, es posible acceder a la informacin de una empresa desde cualquier lugar del mundo, entonces las posibilidades de que haya acceso no autorizado, fraude o robo de informacin no est limitado a un !nico lugar, sino que puede venir desde cualquier punto que pueda tener acceso a la red. Los sistemas mas vulnerables son las redes inal mbricas que utilizan tecnologas basadas en radio frecuencia, porque es f cil explorar las bandas de frecuencia por donde se transmite la informacin, otro aspecto muy vulnerable, es )nternet, porque fue diseado para que independientemente del sistema desde el que se quisiera acceder, este pudiera realizarse sin problemas.

SE'URIDAD
$s difcil pensar que por cada lugar que visitamos en la *ed de.amos una huella muy clara de nuestro paso, y que a la vez, estamos llenando miles de estadsticas de consumo, tendencia, inter"s, etc. /A quien no le ha llegado un mail de alguna empresa que ofrece productos0 ,unca nos enteramos de que exista hasta que ha llegado su mail. 1ambi"n encontramos gente que comete delitos robando informacin y tambi"n que destruye informacin. $sto dio lugar a que empezaran los planteos sobre privacidad, seguridad y muchas otras cuestiones que forman parte de este nuevo mundo abierto que es )nternet. $n los !ltimos tiempos han surgido diversas noticias sobre espiona.e electrnico, hablamos sobre la red espa $#'$L2,, esta red esta liderada por la inteligencia de $$.33., #anad , 4ran 5retaa, Australia y ,ueva 6elanda y que literalmente 7pinchan8 la red de )nternet accediendo a millones de mail9s, faxes etc., en todo el mundo, utilizando programas para que detecten palabras determinadas en los millones de mail9s, tales como la palabra 7bomba8, 7terrorismo8 etc. : tratando de prever cualquier acontecimiento que se pudiera suscitar. +ero mas all de los errores que surgieron de este servicio de inteligencia multinacional, como ser, el caso de una mu.er que termino en la base de datos de la red $#'$L2, despu"s de que mantuvo una conversacin con una amiga a la que le cont que su hi.o hizo un papeln durante una obra de teatro en el colegio, usando la expresin en ingles 7he bombed8 ;puso una bomba%. 1ambi"n se detallaron casos donde la ex premier brit nica -argaret 1atcher requiri los servicios de $chelon para espiar a dos de sus ministros de los cuales desconfiaba. Algunos ex miembros del proyecto $chelon habran dicho que ni siquiera los polticos norteamericanos estaban a salvo de esta red. +or otro lado el +arlamento $uropeo ha denunciado que la red $chelon se usa para robar secretos comerciales a las empresas europeas y as llegar a ganar licitaciones. REDES SE'URAS ( )OLITICAS /<ue es una red segura0 Las redes no pueden clasificarse simplemente como seguras o inseguras, pues el termino no es absoluto= Algunas organizaciones definen como red segura un sistema que evita que gente a.ena acceda a sus computadoras. 2tras organizaciones necesitan poner informacin a disposicin de usuarios externos, pero prohben que cambien los datos. 2tros grupos definen una red segura como aquella en la que nadie, excepto el destinatario, puede interceptar y leer los mensa.es -uchas organizaciones necesitan que se permita el acceso a datos seleccionados como p!blicos, y evite el acceso y la modificacin de datos delicados que se mantienen privados. #omo no existe una definicin absoluta de red segura, el primer paso que debe tomar una organizacin es definir su poltica de seguridad. La poltica establece claramente los elementos que deben protegerse. La complicacin principal se debe a que la poltica de seguridad de una red no puede separarse de la poltica de seguridad de los sistemas de computo conectados a ella. Los datos est n almacenados en un archivo y tienen solamente permiso de lectura, la seguridad de la red no puede evitar que usuarios no autorizados que tengan cuenta en la computadora copien los datos a otra m quina distinta, entonces para ser efectiva, la

poltica de seguridad debe aplicarse en todo momento> y a todas las m quinas, debe mantenerse para informacin almacenada en el disco, comunicada por una lnea telefnica con -2?$-, impresa, transportada en medios port tiles como disquetes y comunicada por una red. La ponderacin de los costos y beneficios de varias polticas de seguridad tambi"n aade comple.idad, no puede definirse una poltica de seguridad a menos que la organizacin entienda el valor de su informacin que en la mayora de los casos es muy difcil de estimar. Los aspectos a evaluar pueden ser los siguientes@ a% costo de reemplazo b% *esponsabilidad en la que puede incurrir una organizacin si su informacin es incorrecta c% costos indirectos por violaciones de seguridad> por e.emplo, si determinada informacin de la compaa se vuelve publica, la competencia podra utilizar dicha informacin para hacernos perder licitaciones, contratar a alguno de nuestros empleados, lo que dara lugar a determinados costos. $n resumen@ )dear una poltica de seguridad puede ser complicado porque una poltica racional requiere que una organizacin estime el valor de la informacin. La poltica debe aplicarse a la informacin almacenada en las computadoras, as como a la informacin que atraviesa una red. AS)ECTOS DE SE'URIDAD #ada organizacin debe decidir los aspectos de proteccin m s importantes y buscar una media entre seguridad y facilidad de uso. Ae puede considerar@@ Inte%ridad de datos. La integridad se refiere a la proteccin contra cambios@ /son iguales los datos que llegan al receptor que los transmitidos0 Dis$oni"ilidad de datos. La disponibilidad significa la proteccin contra interrupciones de servicio@ /permanecen accesibles los datos para usos legtimos0 Confidencialidad e intimidad de datos. La confidencialidad y la intimidad se refieren a proteccin contra espas e intervenciones@ /est n protegidos los datos contra el acceso no autorizado0 RES)ONSABILIDAD ( CONTROL Conta"ilidad. La contabilidad se refiere a la manera de mantener una pista de auditoria@ A!tori#acin. La autorizacin significa quien es responsable de donde reside y como aprueban el acceso y los cambios en los datos $l punto crtico es el control@ una organizacin debe controlar el acceso a la informacin de manera an loga al control de acceso a los recursos fsicos como oficinas, equipos y suministros. MECANISMOS DE SE'URIDAD $xisten errores en la informacin, tambi"n existen m"todos para la comprobacin y correccin de estos errores cifra de com$ro"acin y la com$ro"acin de red!ndancia c*clica $l transmisor calcula una cifra entera pequea como funcin de los datos de un paquete. $l receptor

recalcula la funcin a partir de los datos que llegan y compara el resultado con la cifra calculada por el transmisor. Las cifras de comprobacin y #*# no pueden garantizar completamente la integridad de los datos por dos razones. La primera, si el 'ard(are con fallas cambia la cifra de comprobacin al igual que la de los datos, es posible que la cifra de comprobacin alterada sea valida para los datos alterados. Aegunda, si el cambio de los datos es resultado de un ataque planeado, el atacante puede crear una cifra de comprobacin valida para los datos alterados, aunque la probabilidad de que los cambios aleatorios generen una cifra de comprobacin correcta es extremadamente ba.a, pero no es cero. +,CONTROL DE ACCESOS ( CONTRASE-AS #ada usuario tiene una contrasea que es secreta. #uando el usuario necesita acceder a un recurso protegido, se le solicita que ingrese la contrasea. 3n esquema de contrasea sencillo funciona bien en un sistema convencional por que no necesita revelar la contrasea a nadie. Ain embargo, en las redes un mecanismo de contrasea sencillo es susceptible de espiona.e, si un usuario de una localidad transmite una contrasea por una red a una computadora de otra localidad, cualquiera que intervenga la red puede obtenerla. La intervencin es particularmente f cil cuando los paquetes via.an por una LA,, pues muchas tecnologas LA, permiten que una estacin conectada adquiera copias de todo el tr fico. .,CIFRADO de cla es +ara que el contenido de un mensa.e sea confidencial a pesar de las intervenciones, el mensa.e debe ser cifrado. $n esencia, el cifrado codifica los bits del mensa.e de manera que solo el destinatario pueda decodificarlo. <uien intercepte el mensa.e cifrado no ser capaz de extraer informacin. /,FILTRADO DE )A0UETES +ara evitar que las computadoras de una red accedan a cualquier computadora se utiliza el filtrado de paquetes, un filtro de paquetes es un programa que opera en un enrutador y puede evitar que los paquetes pasen por el enrutador que es parte de una ruta entre una red y otra. $l administrador debe configurar el filtro para especificar los paquetes que pasan por el enrutador y los que se bloquean. +,1,CONCE)TO DE INTERNET FIRE2ALL #on frecuencia se emplea un filtro de paquetes para proteger las computadoras de una organizacin del tr fico de )nternet no deseado, se disea para evitar que los problemas de )nternet se extiendan a las computadoras de una organizacin. Las fire(alls son la herramienta de seguridad m s importante para mane.ar conexiones de red con otra organizacin en la cual no se tiene absoluta confianza. Al poner una barrera de seguridad en cada conexin externa de red, la organizacin puede definir un permetro seguro que evita que gente a.ena interfiera con sus computadoras. $n particular, al limitar el acceso a un pequeo grupo de computadoras, la fire(all evita que la gente a.ena acceda a todas las computadoras de la organizacin o que inunde sus redes con tr fico indeseado.

SE'URIDAD EN INTERNET +or definicin, las comunicaciones en )nternet son abiertas y sin controles. $sta caracterstica entra en conflicto con las necesidades de los negocios digitales, que requieren privacidad, confidencialidad e integridad en las transacciones. La demanda creciente de negocios electrnicos tambi"n aumenta la percepcin de los problemas de seguridad y de las preocupaciones sobre como lograr que los negocios por )nternet sean seguros. $l principal inconveniente en )nternet es la identidad de los usuarios, pero en )nternet todos somos iguales. $l fraude en la red crece en forma impresionante, por lo que la seguridad en )nternet de.a de ser un problema que deben resolver los departamentos de sistemas de las empresas para convertirse en una cuestin de negocios +ara proteger la informacin debe impedirse el acceso no autorizado a los datos acerca de los sistemas de negocios cruciales de la empresa. #omo consecuencia de un acceso no autorizado, la informacin podra ser difundida, alterada, reemplazada o destruida. Las organizaciones y las personas definen sus necesidades de seguridad y confianza sobre la base de cinco requisitos principales@ confidencialidad, integridad, disponibilidad, uso legtimo y validacin. )OLITICA DE INFORMACION $l primer paso de la poltica de informacin consiste en hacer una lista de todos los recursos que deben protegerse, lo que no solo abarca, computadoras, sino tambi"n impresoras, routers y fire(alls a nivel t"cnico. Adem s se deben proteger las instalaciones que contienen el hard(are o en las que se almacenan la copia de respaldo. ?ebe definirse a quien se le permite el acceso fsico al hard(are y el acceso lgico al soft(are. Ai se descuida el acceso fsico al hard(are, el me.or soft(are de fire(all resulta in!til si el hacBer puede ingresar a las instalaciones y copiar archivos en un disquete. 3na vez elaborada la lista de recursos, se deben catalogar las amenazas para cada uno de ellos, con este catalogo debe efectuarse un an lisis de riesgo que indica el porcenta.e de probabilidades asignado a cada amenaza, ya que no es posible invertir en la prevencin de todas las amenazas, la empresa debe valuar cuales pueden de.arse de lado por el momento y cuales deben efectuarse de inmediato. . AMENA3AS ( DESAF4OS )OR INTERNET Las amenazas para posibles ataques pueden clasificarse en cuatro categoras b sicas@ a% perdida de integridad de los datos, b% perdida de la privacidad de los datos, c% perdida de servicio y d% perdida del control. -uchas hacBers tratan de encontrar brechas de seguridad en el soft(are o en la configuracin de la red para penetrar al sistema. Los bancos on=line suelen ser blanco de los ataques de los hacBers, por que las perspectivas de lograr transferencias de dinero es una fuerte motivacin. $n algunos casos, a los hacBers no les interesa acceder al sistema, sino implementar procedimientos dainos denominados servicio denegado, la meta de los ataques es impedir el acceso de los usuarios autorizados, lo que se logra atacando componentes de la *ed, tales como suelen ser las aplicaciones o los sistemas operativos, de esta

forma se bloquean las condiciones de operacin, lo que puede provocar perdidas financieras a la organizacin, pero fundamentalmente molestias a los usuarios. Las comunicaciones por )nternet son, por definicin, totalmente inseguras, dado que la informacin se transmite en forma de texto sin cifrar. $l monitoreo de las comunicaciones permite obtener informacin privada y contraseas transmitidas por la *ed. +or e.emplo, si el usuario se pone en contacto con el servidor de correo, transmite su nombre de usuario y contrasea al servidor. #ualquiera podra interceptar esa transmisin. 5ERRAMIENTAS CRI)TO'RAFICAS Definicin de Cri$to%raf*a $l prefi.o #ripto que significa 7 oculto8. +or lo tanto criptologia significa 7palabra oculta8 'ace apenas treinta aos los bancos comenzaron a conectar redes de computadoras para comunicar todas las sucursales con un mainframe. #on el fin de proteger las transmisiones electrnicas, los bancos comenzaron a utilizar algoritmos de encriptacin, tales como el est ndar de encriptacin de datos ;?$A% desarrollado por )5- en los aos 9CD