REPBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN

UNIVERSITARIA
INSTITUTO UNIVERSITARIO DE TECNOLOGA AGRO-INDUSTRIAL
PROGRAMA NACIONAL FORMACIN EN INFORMTICA
COLN ESTADO TCHIRA

Integrante: TSU Cristhian Useche

San juan de colon, mayo del 2015

Introduccin

La seguridad informtica se enfoca en la proteccin y la privatizacin de sus

sistemas y en esta se pueden encontrar dos tipos: La seguridad lgica que se
enfoca en la proteccin de los contenidos y su informacin y la seguridad fsica
aplicada a los equipos como tal, ya que el ataque no es estrictamente al
software y tambin al hardware y tambin la infraestructura informtica es
una parte fundamental para la preservacin del activo mas valioso que es la
informacin, as mismo se busca mantener la confidencialidad, integridad,
autenticidad, y disponibilidad que son los datos recordando smbolos que
representan hechos, situaciones, condiciones o informacin es el resultado de
procesar o transformar los datos la informacin es significativa para el usuario

Seguridad fsica
Cuando hablamos de seguridad fsica nos referimos a todos aquellos
mecanismos --generalmente de prevencin y deteccin-- destinados a proteger
fsicamente cualquier recurso del sistema; estos recursos son desde un simple
teclado hasta una cinta de backup con toda la informacin que hay en el
sistema, pasando por la propia CPU de la mquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad ser ms o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuacin mencionaremos algunos de los problemas de seguridad fsica
con los que nos podemos enfrentar y las medidas que podemos tomar para
evitarlos o al menos minimizar su impacto.

Proteccin del hardware

El hardware es frecuentemente el elemento ms caro de todo sistema
informtico y por tanto las medidas encaminadas a asegurar su integridad son
una parte importante de la seguridad fsica de cualquier organizacin.
Problemas a los que nos enfrentamos:

Acceso fsico
Desastres naturales
Alteraciones del entorno

Acceso fsico
Si alguien que desee atacar un sistema tiene acceso fsico al mismo todo el
resto de medidas de seguridad implantadas se convierten en intiles.
De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegacin de servicio; si apagamos una mquina que proporciona un servicio
es evidente que nadie podr utilizarlo.
Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos
podemos copiar los ficheros o robar directamente los discos que los contienen.
Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el
control total del mismo, por ejemplo reinicindolo con un disco de recuperacin
que nos permita cambiar las claves de los usuarios.

Este ltimo tipo de ataque es un ejemplo claro de que la seguridad de todos

los equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho ms sencillo atacar otros equipos de la misma.
Para evitar todo este tipo de problemas deberemos implantar mecanismos de
prevencin (control de acceso a los recursos) y de deteccin (si un mecanismo
de prevencin falla o no existe debemos al menos detectar los accesos no
autorizados cuanto antes).
En muchos casos es suficiente con controlar el acceso a las salas y cerrar
siempre con llave los despachos o salas donde hay equipos informticos y no
tener cableadas las tomas de red que estn accesibles.
Para la deteccin de accesos se emplean medios tcnicos, como cmaras de
vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es
suficiente con qu las personas que utilizan los sistemas se conozcan entre si y
sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo
que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.

Desastres naturales
Adems de los posibles problemas causados por ataques realizados por
personas, es importante tener en cuenta que tambin los desastres naturales
pueden tener muy graves consecuencias, sobre todo si no los contemplamos
en nuestra poltica de seguridad y su implantacin.
Algunos desastres naturales a tener en cuenta:

Terremotos y vibraciones
Tormentas elctricas
Inundaciones y humedad
Incendios y humos

Terremotos y vibraciones
Los terremotos son el desastre natural menos probable, por lo que no se harn
grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden
hacer sin un desembolso elevado y que son tiles para prevenir problemas
causados por pequeas vibraciones:

No situar equipos en sitios altos para evitar cadas,

No colocar elementos mviles sobre los equipos para evitar que caigan
sobre ellos,
Separar los equipos de las ventanas para evitar que caigan por ellas o
qu objetos lanzados desde el exterior los daen,
Utilizar fijaciones para elementos crticos,

Colocar los equipos sobre plataformas de goma para que esta absorba
las vibraciones,

Tormentas elctricas
Otro desastre natural importante son las tormentas con aparato elctrico,
especialmente frecuentes en verano, que generan subidas sbitas de tensin
muy superiores a las que pueda generar un problema en la red elctrica. A
parte de la proteccin mediante el uso de pararrayos, la nica solucin a este
tipo de problemas es desconectar los equipos antes de una tormenta (qu por
fortuna suelen ser fcilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad,
ya que en si el ambiente es extremadamente seco hay mucha electricidad
esttica. No obstante, tampoco interesa tener un nivel de humedad demasiado
elevado, ya que puede producirse condensacin en los circuitos integrados que
den origen a un cortocircuito. En general no es necesario emplear ningn tipo
de aparato para controlar la humedad, pero no est de ms disponer de
alarmas que nos avisen cuando haya niveles anmalos.
Inundaciones
Otro tema distinto son las inundaciones, ya que casi cualquier medio
(mquinas, cintas, routers ) que entre en contacto con el agua queda
automticamente inutilizado, bien por el propio lquido o bien por los
cortocircuitos que genera en los sistemas electrnicos. Contra ellas podemos
instalar sistemas de deteccin que apaguen los sistemas si se detecta agua y
corten la corriente en cuanto estn apagados. Hay que indicar que los equipos
deben estar por encima del sistema de deteccin de agua, sino cuando se
intente parar ya estar mojado.
Incendios
Por ltimo mencionaremos el fuego y los humos, que en general provendrn
del incendio de equipos por sobrecarga elctrica. Contra ellos emplearemos
sistemas de extincin, que aunque pueden daar los equipos que apaguemos
(aunque actualmente son ms o menos inocuos), nos evitarn males mayores.
Adems del fuego, tambin el humo es perjudicial para los equipos (incluso el
del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que
es recomendable mantenerlo lo ms alejado posible de los equipos.

Alteraciones del entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que
afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el rgimen de
funcionamiento habitual de las mquinas como la alimentacin elctrica, el
ruido elctrico producido por los equipos o los cambios bruscos de
temperatura.
Electricidad
Quizs los problemas derivados del entorno de trabajo ms frecuentes son los
relacionados con el sistema elctrico que alimenta nuestros equipos;
cortocircuitos, picos de tensin, cortes de flujo ...
Para corregir los problemas con las subidas de tensin podremos instalar
tomas de tierra o filtros reguladores de tensin.
Para los cortes podemos emplear Sistemas de Alimentacin Ininterrumpida
(SAI), que adems de proteger ante cortes mantienen el flujo de corriente
constante, evitando las subidas y bajadas de tensin. Estos equipos disponen
de bateras que permiten mantener varios minutos los aparatos conectados a
ellos, permitiendo que los sistemas se apaguen de forma ordenada
(generalmente disponen de algn mecanismo para comunicarse con los
servidores y avisarlos de que ha cado la lnea o de que se ha restaurado
despus de una cada).
Por ltimo indicar que adems de los problemas del sistema elctrico tambin
debemos preocuparnos de la corriente esttica, que puede daar los equipos.
Para evitar problemas se pueden emplear esprais antiestticos o ionizado res y
tener cuidado de no tocar componentes metlicos, evitar que el ambiente est
excesivamente seco, etc.

Ruido elctrico
El ruido elctrico suele ser generado por motores o por maquinaria pesada,
pero tambin puede serlo por otros ordenadores o por multitud de aparatos, y
se transmite a travs del espacio o de lneas elctricas cercanas a nuestra
instalacin.
Para prevenir los problemas que puede causar el ruido elctrico lo ms barato
es intentar no situar el hardware cerca de los elementos que pueden causar el
ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos
o apantallar las cajas de los equipos.

Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya
sea un calor excesivo o un frio intenso, perjudican gravemente a todos los
equipos. En general es recomendable que los equipos operen entre 10 y 32
grados Celsius. Para controlar la temperatura emplearemos aparatos de aire
acondicionado.

Proteccin de los datos

Adems proteger el hardware nuestra poltica de seguridad debe incluir
medidas de proteccin de los datos, ya que en realidad la mayora de ataques
tienen como objetivo la obtencin de informacin, no la destruccin del medio
fsico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que
afectan a la transmisin y almacenamiento de datos, proponiendo medidas
para reducir el riesgo.
Interceptacin
La interceptacin o eavesdropping, tambin conocida por ''passive wiretapping''
es un proceso mediante el cual un agente capta informacin que va dirigida a
l; esta captacin puede realizarse por muchsimos medios: sniffing en redes
ethernet o inalmbricas (un dispositivo se pone en modo promiscuo y analiza
todo el trfico que pasa por la red), capturando radiaciones electromagnticas
(muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...),
etc.
El problema de este tipo de ataque es que en principio es completamente
pasivo y en general difcil de detectar mientras se produce, de forma que un
atacante puede capturar informacin privilegiada y claves que puede emplear
para atacar de modo activo.
Para evitar que funcionen los sniffer existen diversas soluciones, aunque al
final la nica realmente til es cifrar toda la informacin que viaja por la red (sea
a travs de cables o por el aire). En principio para conseguir esto se deberan
emplear versiones seguras de los protocolos de uso comn, siempre y cuando
queramos proteger la informacin. Hoy en da casi todos los protocolos
basados en TCP permiten usar una versin cifrada mendiante el uso del TLS.
Copias de seguridad
Es evidente que es necesario establecer una poltica adecuada de copias de
seguridad en cualquier organizacin; al igual que sucede con el resto de
equipos y sistemas, los medios donde residen estas copias tendrn que estar
protegidos fsicamente; de hecho quizs deberamos de emplear medidas ms
fuertes, ya que en realidad es fcil que en una sola cinta haya copias de la
informacin contenida en varios servidores.

primero que debemos pensar es dnde se almacenan los dispositivos donde se

realizan las copias. Un error muy habitual es almacenarlos en lugares muy
cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en
principio puede parecer correcto (y cmodo si necesitamos restaurar unos
archivos) puede convertirse en un problema serio si se produce cualquier tipo
de desastre (como p. ej. un incendio). Hay que pensar que en general el
hardware se puede volver a comprar, pero una prdida de informacin puede
ser irreemplazable.
As pues, lo ms recomendable es guardar las copias en una zona alejada de
la sala de operaciones; lo que se suele recomendar es disponer de varios
niveles de copia, una que se almacena en una caja de seguridad en un lugar
alejado y que se renueva con una periodicidad alta y otras de uso frecuente
que se almacenan en lugares ms prximos (aunque a poder ser lejos de la
sala donde se encuentran los equipos copiados).
Para proteger ms aun la informacin copiada se pueden emplear mecanismos
de cifrado, de modo que la copia que guardamos no sirva de nada si no
disponemos de la clave para recuperar los datos almacenados.
Soportes no electrnicos
Otro elemento importante en la proteccin de la informacin son los elementos
no electrnicos que se emplean para transmitirla, fundamentalmente el papel.
Es importante que en las organizaciones que se maneje informacin
confidencial se controlen los sistemas que permiten exportarla tanto en formato
electrnico como en no electrnico (impresoras, plotters, faxes, teletipos, ...).
Cualquier dispositivo por el que pueda salir informacin de nuestro sistema ha
de estar situado en un lugar de acceso restringido; tambin es conveniente que
sea de acceso restringido el lugar donde los usuarios recogen los documentos
que lanzan a estos dispositivos.
Adems de esto es recomendable disponer de trituradoras de papel para
destruir todos los papeles o documentos que se quieran destruir, ya que
evitaremos que un posible atacante pueda obtener informacin rebuscando en
nuestra basura

Seguridad lgica
La seguridad lgica se refiere a la seguridad en el uso de software y los
sistemas, la proteccin de los datos, procesos y programas, as como la del
acceso ordenado y autorizado de los usuarios a la informacin. La seguridad
lgica involucra todas aquellas medidas establecidas por la administracin usuarios y administradores de recursos de tecnologa de informacin- para
minimizar los riesgos de seguridad asociados con sus operaciones cotidianas
llevadas a cabo utilizando la tecnologa de informacin.
La mayora de los daos que puede sufrir un sistema informtico no ser solo
los medios fsicos sino contra informacin almacenada y procesada. El activo
ms importante que se posee es la informacin y por tanto deben existir
tcnicas mas all de la seguridad fsica que la aseguren, estas tcnicas las
brinda la seguridad lgica.

Es decir que la seguridad lgica consiste en la aplicacin de barreras y

procedimientos que resguarden el acceso a los datos y solo se permita acceder
a ellos a las personas autorizadas para ello Los objetivos que se plantean
sern:

Restringir el acceso al arranque (desde la BIOS) al S.O, los programas y

archivos.
Asegurar que los usuarios puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos que no
correspondan.
Asegurar que se estn utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto analizando peridicamente
los mismos.

TCNICAS DE CONTROL DE ACCESO

Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas
de aplicacin, en las DB, en un paquete especifico de de seguridad o en
cualquier otra aplicacin. Constituyen una importante ayuda para proteger al
S.O de la red, al sistema de aplicacin y dems software de la utilizacin o
modificaciones no autorizadas. Para mantener la integridad de la informacin
(restringiendo la cantidad de usuarios y procesos con acceso permitido) y para
resguardad la informacin confidencial de accesos no autorizados. As mismo
es conveniente tener en cuenta otras consideraciones referidas a la seguridad
lgica como por ejemplo las relacionadas al procedimiento que se lleva a cabo
para determinar si corresponde un permiso de acceso

IDENTIFICACIN Y AUTENTICACIN
Se denomina identificacin al momento en que el usuario se da a conocer en el
sistema y autenticacin a la verificacin que se realiza en el sistema sobre esta
identificacin. Existen 4 tipos de tcnicas que permiten realizar la autenticacin
de la identidad del usuario, las cuales pueden ser utilizadas individualmente o
combinadas:

Algo que solamente el individuo conoce: Una clave, un pin etc..

Algo que la persona posee: Una tarjeta.
Algo que el individuo es: Huella digital o voz
Algo que el individuo es capaz de hacer: Patrones de escritura.

Para conocer ms acerca de estas tcnicas vaya al tema de Seguridad Fsica.

Desde el punto de vista de la eficiencia es conveniente que los usuarios sean
identificados y autenticados una sola vez, pudiendo a partir de ah acceder a
todas las aplicaciones y datos que su perfil permita, ya sea en local o remoto.
Esto se denomina SINCRONIZACIN DE PASSWORDS. Una de las posibles
tcnicas para implementar esta nica identificacin sera la utilizacin de
servidores de autenticacin sobre el que se identifican los usuarios y que se
encarga luego de autenticar al usuario sobre los restantes equipos. Este
servidor no tiene que ser necesariamente un solo equipo y puede tener sus
funciones distribuidas geogrficamente de acuerdo a los requerimientos de
carga de tarea.

La seguridad informtica se basa en gran medida en la efectiva administracin

de los permisos de acceso a los recursos informticos basados en la
identificacin, autenticacin y autorizacin de accesos

PASSWORD SEGURAS
Para un atacante una contrasea segura debe parecerse a una cadena
aleatoria de caracteres, puede conseguir que su contrasea sea segura por los
siguientes criterios:
Que no sea corta, cada carcter que agrega a su contrasea aumenta
exponencialmente el grado de proteccin que esta ofrece, las contraseas
deben contener un mnimo de 8 caracteres lo ideal es que contengan 14 o mas,
muchos sistemas tambin admiten el uso de la barra espaciadora de modo que
se pueden crear contraseas de varias palabras una frase codificada.
Combina letras, nmeros y smbolos, cuantos mas diversos sean los tipos de
caracteres mas difcil ser adivinarla.
Cuantos menos tipos de caracteres haya en la contrasea mas larga deber
ser esta. Una contrasea de 15 caracteres formada nicamente por letras y
nmeros es una 33000 veces mas segura que una de 8 caracteres compuestas
por caracteres de todo tipo. Si la contrasea no puede tener smbolos deber
ser considerablemente mas larga para conseguir el mismo grado de proteccin.
Una contrasea ideal combinara una mayor longitud y distintos tipos de
smbolos.
Utiliza todo tipo de teclas, no te limites a los caracteres mas comunes los
smbolos que necesitan que se presione la tecla mayscula junto con un
nmero son muy habituales, tu contrasea ser mucho mas segura si eliges
entre todos los smbolos del teclado incluidos los smbolos de puntuacin as
como los exclusivos de tu idioma.
Utiliza palabras y frases que te resulten fciles de recordar pero que a otras
personas les sea difcil de adivinar. La manera mas sencilla de recordar tus
contraseas y frases codificadas consiste en anotarlas, no hay nada malo en
anotar las contraseas si bien estas anotaciones deben estar debidamente
protegidas para que resulten seguras y eficaces.
Por lo general las contraseas escritas en un trozo de papel suponen un riesgo
menor en Internet que un administrador de contraseas, un sitio web u otra
herramienta basada en Software.

ROLES

El acceso a la informacin tambin puede controlarse a travs de la funcin

perfil o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles
seran programador, lder del proyecto, administrador del sistema etc..
En este caso los derechos de acceso y poltica de seguridad asociada pueden
agruparse de acuerdo con el rol de los usuarios
LIMITACIONES A LOS SERVICIOS
Estos controles se refieren a las restricciones que dependen de parmetros
propios de de la utilizacin de la aplicacin o preestablecidos por el
administrador del sistema. Un ejemplo podra ser licencias para la utilizacin
simultnea de un determinado producto software para 5 personas de manera
que desde el sistema no se permita la utilizacin del producto simultneamente
a un sexto usuario
MODALIDAD DE ACCESO

Se refiere al modo de acceso que se permite al usuario sobre los recursos y la

informacin esta modalidad puede ser:

Lectura: el usuario puede nicamente leer o visualizar la informacin

pero no puede alterarla, debe considerarse que la informacin puede ser
copiada o impresa
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
informacin
Ejecucin: otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema como
programas, campos de datos o archivos.
Todas las anteriores

Adems existen otras modalidades de acceso especiales:

Creacin: permite al usuario crear archivos nuevos, registros o campos.

Bsqueda: permite listar los archivos de un directorio determinado

UBICACIN Y HORARIOS

El acceso a determinados recursos del sistema puede estar basado en la

ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios
este tipo de controles permite limitar el acceso de los usuarios a determinadas
horas del da o a determinados das de la semana. Se debe mencionar que en
estos dos tipos de controles siempre deben ir acompaados de algunos de los
controles anteriormente mencionados.
ADMINISTRACIN
Una vez establecidos los controles de acceso sobre los sistemas y a las
aplicaciones es necesario realizar una eficiente administracin de estas
medidas lo que involucra la implementacin, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios en los sistemas. La poltica
de seguridad que se desarrolle respecto a la seguridad lgica debe guiar a las
decisiones referidas a la determinacin de los controles de accesos,
especificando las concesiones necesarias para el establecimiento de perfiles
de usuario. La definicin de permisos de acceso requiere determinar cual ser
el nivel de seguridad necesario sobre los datos por lo que es imprescindible
clasificar la informacin determinando el riesgo que producira una eventual
exposicin de la misma a usuarios no autorizados as los diversos niveles de la
informacin requerirn diferentes medidas y niveles de seguridad. Para
empezar la implementacin es conveniente empezar definiendo las medidas
sobre la informacin mas sensible o las aplicaciones mas crticas y avanzar
de acuerdo a un orden de prioridad decreciente establecido alrededor de las
aplicaciones.
Tiene que existir una conciencia de la seguridad organizacional por parte de
todos los empleados, esta consciencia puede alcanzarse mediante el ejemplo
del personal directivo en el cumplimiento de las polticas y estableciendo
compromisos firmados por el personal donde se especifique la
responsabilidad de cada uno. Adems debe existir una concienciacin por
parte de la administracin hacia el personal en donde se remarque la
importancia de la informacin y las consecuencias posibles de su perdida o
apropiacin por agentes extraos a la organizacin.

ADMINISTRACIN DEL PERSONAL Y USUARIOS

Este proceso lleva generalmente 4 pasos:

Definicin de Puestos: Debe contemplarse la mxima separacin de

funciones y el otorgamiento mnimo de permisos de acceso por cada
puesto para la ejecucin de las tareas asignadas.
Determinacin de la sensibilidad del puesto: Es necesario determinar si
la funcin requiere permisos arriesgados que le permitan alterar
procesos, perpetuar fraudes o visualizar informacin confidencial.
Eleccin de la persona para cada puesto: Requiere considerar los
requerimientos de experiencia y conocimientos tcnicos necesarios para
cada puesto, as mismo para los puestos definidos como crticos puede
requerirse una verificacin de antecedentes personales.
Entrenamiento inicial y continuo del empleado: Cuando la persona
ingresa a la organizacin debe comunicrsele las polticas de seguridad
de la organizacin y su responsabilidad. El personal debe sentir que la
seguridad es un elemento prioritario.

ACTUALIZACIONES DEL SISTEMA Y APLICACIONES

Los ciber-delincuentes suelen aprovechar las vulnerabilidades mas recientes
que requieren actualizacin inmediata de los sistemas, los fabricantes de
software actualizan sus programas cada vez que se descubre un agujero de
seguridad.
Es de vital importancia actualizar los sistemas, tanto en sistema operativo como
el resto de aplicaciones tan pronto como sea posible. La mayora de
aplicaciones y sistemas disponen de la opcin de actualizacin automtica se
recomienda activar dicha opcin.

Conclusiones
Aunque las implantaciones de la seguridad van siendo ms sofisticados y
llegando a reas o aspectos casi desconocidos hace aos, esto no implica que
estn plenamente resueltos lo mas bsicos: encontramos bastantes
deficiencias en controles fsicos, no tanto porque no existan cuanto por las
brechas o descuidos que se pueden encontrar en el trabajo que todos los das
realizamos, el control que tenemos sobre nuestras finanzas, los procesos de
las empresas y hasta las comunicaciones que hacen que se mueva el mundo
utilizan computadoras, equipos y sistemas; es as, que se han convertido estos
en algo cotidiano pero de lo cual dependemos, por eso es necesario tener
todas las medidas pertinentes para evitar fallas, ataques y fraudes que se
puedan presentar .