El gran desarrollo de las tecnologías de las Telecomunicaciones y de la Informática en las últimas

décadas ha permitido el crecimiento exponencial del servicio de Internet. Al presente todos pueden
acceder a este servicio. La información ha sido globalizada.

Habiendo comenzado en los años 80 con algunos miles de usuarios hoy se benefician de este
servicio miles de millones. Tanto es así que según las últimas estadísticas el número de
direcciones IP actualmente en uso en Internet alcanza los 3/4 de la capacidad total que permite el
rango de direcciones IPv4.

Particularmente, las nuevas tendencias revelan un creciente consenso en torno al impacto que tiene
la innovación tecnológica para el desarrollo económico y mejorar el nivel de vida de los
ciudadanos. La innovación tecnológica es el resultado de quienes la crean y difunden
(Universidades y Centros de Enseñanza, Centros de investigación), quienes la incentivan (Sector
gubernamental) y quienes la utilizan económicamente (las empresas).

Las facilidades para conectarse a las redes hay aumentado; además, las aplicaciones y el software
son cada vez más amigables y accesibles, de esto modo todos tienden a conectarse en una red para
compartir los recursos, pero esa facilidad de conexión también representa un aumento en los
riesgos de que la información y los recursos de una organización puedan ser vulnerados.

Es por eso que se deben implementar medidas de seguridad para proteger la información y los
activos de la Empresa.

Seguridad significa disponer de medios que permitan reducir lo más que se pueda, la
vulnerabilidad de la información y de los recursos; aunque no se puede alcanzar el 100% de
seguridad, la tendencia debe ser llegar a ese valor extremo.

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las

organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información
buscando mantener la confidencialidad, la disponibilidad e integridad de datos.

El concepto de seguridad de la información no debe ser confundido con el de seguridad

informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la
información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el ser humano como individuo, la seguridad de la información tiene un efecto significativo
respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura e
idiosincrasia de la sociedad donde se desenvuelve.

La seguridad de la información es sumamente importante ya que Tanto los Sistemas de Gestión de

Seguridad de la Información como las redes de trabajo de cualquier organización se ven
constantemente afectados por amenazas de seprodesarrollo, ciberataques y por fraudes
informáticos. Además, se enfrentan continuamente a sabotajes o virus con el consiguiente riesgo
de eliminación y pérdida de la información.

La clave está en que la organización invierta recursos en aplicar herramientas que mejoren la
seguridad.

En lo que a seguridad de la información se refiere, algunos de los aspectos fundamentales que

deben ser analizados y medidos, son:

La disponibilidad de los datos

La confidencialidad de los documentos
La integridad de la información
Por este motivo, es importante tener monitorizado cada proyecto. Para ello, lo primero es contar
con un sistema que se centre en los procesos, en el almacenamiento y en las conexiones de red de
nuestra empresa a través de softwares comerciales, softwares libres o de tecnología propia. Una
vez se ha elegido el software de monitorización, lo siguiente es establecer un protocolo de
resolución de incidencias. Además, mediante este software se puede acceder al estado de los
sistemas informáticos, detectar el origen de incidentes, mejorar la eficacia y la eficiencia de los
procesos o configurar distintas alarmas.

Consideraciones Inmediatas para la Auditoría de la Seguridad

A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la
evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:

tiempo de máquina para uso ajeno

copia de programas de la organización para fines de comercialización (copia pirata)
acceso directo o telefónico a bases de datos con fines fraudulentos
Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las
computadoras de acuerdo a:

nivel de seguridad de acceso

empleo de las claves de acceso
evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor
costo
Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como
un factor de alto riesgo ya que podrían producir que:

la información este en manos de algunas personas

la alta dependencia en caso de perdida de datos
Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la programación,
ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

los programas no contengan bombas lógicas

los programas deben contar con fuentes y sus ultimas actualizaciones
los programas deben contar con documentación técnica, operativa y de emergencia
Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están
ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

la dependencia del sistema a nivel operativo y técnico

evaluación del grado de capacitación operativa y técnica
contemplar la cantidad de personas con acceso operativo y administrativo
conocer la capacitación del personal en situaciones de emergencia
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio
o un fraude en el sistema.

También se debe observar con detalle el sistema ya que podría generar indicadores que pueden
actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que
pueden surgir:

malos manejos de administración

malos manejos por negligencia
malos manejos por ataques deliberados
Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado
de riesgo. Para lo cual se debe verificar:

la continuidad del flujo eléctrico

efectos del flujo eléctrico sobre el software y hardware
evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre
las instalaciones
Control de Residuos

Observar como se maneja la basura de los departamentos de mayor importancia, donde se

almacena y quien la maneja.

Establecer las Areas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que
corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se
deben conocer los principales riesgos que acechan a la función informática y los medios de
prevención que se deben tener, para lo cual se debe:

Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio)

Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el
costo de un sistema de seguridad.

Para realizar este estudio se debe considerar lo siguiente:

clasificar la instalación en términos de riesgo (alto, mediano, pequeño)

identificar las aplicaciones que tengan alto riesgo
cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto
riesgo
formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera
la justificación del costo de implantar las medidas de sseguridad.

Asi mismo , podemos conocer los elementos que rigen la implementación de la seguridad vincula
la participación de tres elementos generales: personas, procesos y tecnología.
Personas
Personas que usan o tienen un interés en la seguridad de la información: autoridades, funcionarios,
académicos, alumnos, personal de base, de confianza y demás empleados; clientes, proveedores,
prestadores de servicios, contratistas y consultores.

Procesos
Conjuntos de actividades mutuamente relacionadas o que interactúan o transforman elementos de
entrada en resultados. Es decir, es toda actividad necesaria para lograr los objetivos de negocio.
Los procesos están descritos en los procedimientos y prácticamente todos implican información o
dependen de ella, por eso ésta resulta ser un activo crítico.

Tecnología
La tecnología aplicada a la organización permite el manejo adecuado de la información, el
desarrollo de las actividades organizacionales y la resolución de problemas. La tecnología permite
elaborar y manipular información, así como su almacenamiento, procesamiento, mantenimiento,
recuperación, presentación y difusión por medio de señales acústicas, ópticas o electromagnéticas.

Por otro la es responsabilidad también de la gerencia la revisión del SGSI.La alta dirección tiene
que revisar el sistema a intervalos previamente planificados, para asegurar su continua idoneidad,
conveniencia y efectividad. Aquí se incluyen oportunidades de mejora y la necesidad de aportar
cambios en el SGSI. Se trata de revisiones que deben estar documentadas y registradas.La revisión
gerencial debe estar alimentada de resultados de auditorías, retroalimentación de las partes
interesadas, técnicas de mejora del desempeño y efectividad del SGSI, acciones correctivas,
amenazas no tratadas de forma correcta, acciones de seguimiento, cambios que afecten al sistema
y recomendaciones para una mejora.

La falta de políticas de seguridad de una empresa podría traer consecuencias graves

Entre las amenazas mas frecuentes se encuentran:

Catástrofes naturales: Este tipo de amenazas generalmente provocan la interrupción de los

servicios, afectando principalmente a la disponibilidad de la información, ejemplos de este tipo de
amenazas son los provocados por la naturaleza: las inundaciones, terremotos, tornados, etc.
Amenazas físicas: Relativo al acceso físico a los recursos, pueden resultar en robos, daños físicos
a los equipos, sabotajes. El acceso no autorizado pero que se logra mediante la ingeniería social,
explotando la confianza de los empleados de una organización.

Fraude Informático: Representados por el engaño a los clientes en la venta de productos y

servicios a través de promociones y agencias que no existen.

Intrusiones: Osea el acceso no autorizado a los sistemas de comunicaciones, a los servidores de

una organización, con el fin de dañar la imagen u obtener beneficios económicos indebidos.

Errores humanos: Como su nombre lo indica resultan de la acción humana, como ser: passwords
fácilmente vulnerables, backup de los sistemas mal hechos, interrupción de los servicios,
configuraciones incompletas de los dispositivos.

Software ilegal: Las consecuencias de copiar software ilegal conducen a vulnerabilidades de los
sistemas informáticos, ya que no se cuenta con las actualizaciones que los desarrolladores
proporcionan, dentro del software ilegal se tienen también otras amenazas como los códigos
maliciosos.

Código maliciosos: Es todo programa o parte de programa (software) que ocasiona problemas en
los sistemas informáticos, como ser los virus, troyanos, gusanos, puertas traseras, cuando se
activan en los sistemas finales. Este tipo de amenaza ha evolucionado por la conectividad cada vez
mayor de Internet y por los recursos de engaño de los que se valen los atacantes.

Hemos indicado líneas arriba que es necesario estimar los riesgos a los que están sujetos la red, los
servidores, los dispositivos de redes. Si bien, es difícil realizar una evaluación exacta de la
información, se podría intentar evaluarla suponiendo su pérdida o alteración.

Por otro lado tenemos los aspectos organizativos de la seguridad de la información a

continuación:
ORGANIZACIÓN INTERNA.

La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la

organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la
implantación de la seguridad de la información dentro de la organización y/o empresa.

Comité de gestión de seguridad de la información.

Ø Control: La gerencia debe apoyar activamente en la seguridad dentro de la organización a

través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento
de las responsabilidades de la seguridad de información.
Ø Guía de implementación: El comité de gestión de seguridad debe realizar las funciones que
son:
Asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las
exigencias organizacionales y que sean integradas en procesos relevantes.
Formular, revisar y aprobar la política de seguridad de información.
Revisión de la efectividad en la implementación de la política de información.
Proveer direcciones claras y un visible apoyo en la gestión para iniciativas de seguridad.
Proveer los recursos necesarios para la seguridad de información.

Asignación de responsabilidades sobre seguridad de la información.

Ø Control: Deberían definirse claramente las responsabilidades.

Ø Guía de implementación: Es esencial que se establezcan claramente las áreas de las que cada
directivo es responsable; en particular deberían establecerse las siguientes:
Identificarse claramente los activos y los procesos de seguridad asociados con cada sistema
específico.
Nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los
detalles de esta responsabilidad.

Proceso de autorización de recursos para el tratamiento de la información.

Ø Control: Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso
de tratamiento de la información.
Ø Guía de implementación: Deberían considerarse los siguientes controles:
Los nuevos medios deberían tener la aprobación adecuada de la gerencia de usuario, autorizando
su propósito y uso. También debería obtenerse la aprobación del directivo responsable del
mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple
con todas las políticas y requisitos de seguridad correspondientes.
Dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los
demás dispositivos del sistema.

Acuerdos de confidencialidad.

Ø Control: Requerimientos de confidencialidad o acuerdos de no divulgación para la protección

de información deben ser identificadas y revisadas regularmente.
Ø Guía de implementación: Para identificar requerimientos de confidencialidad o acuerdos de no
divulgación, se deben considerar los siguientes elementos:
Responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información.
Propiedad de la información, secretos del comercio y de la propiedad intelectual, y cómo esto se
relaciona con la protección de la información confidencial.

Contacto con autoridades.

Ø Control: Deben ser mantenidos contactos apropiados con autoridades relevantes.

Ø Guía de implementación:
Las organizaciones deben de tener procedimientos instalados que especifiquen cuándo y por qué
autoridades deben ser contactados.
Las organizaciones bajo ataque desde el Internet pueden necesitar de terceros para tomar acción
contra la fuente de ataque.

Revisión independiente de la seguridad de la información.

Ø Control: El alcance de la organización para gestionar la seguridad de información y su

implementación deben ser revisados independientemente en intervalos planificados cuando
cambios significativos a la puesta en marcha de la seguridad ocurran.
Ø Guía de implementación:
La revisión independiente debe ser iniciado por la gerencia.
Esta revisión debe ser llevado a cabo por individuos independientemente del área bajo revisión.
Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia.

La seguridad ligada a los recursos humanos , lo podemos ver en la ISO 27001 que hace posible
que una organización incluya los criterios de seguridad de la información en la gestión de los
Recursos Humanos.La seguridad en esta gestión debe tener en cuenta la selección y contratación,
la formación de empleados y la salida de la empresa.Selección y contrataciónLa incorporación de
una persona a una empresa o el ascenso interno implica un nuevo acceso a sistemas de
información sensibles para la organización, y que con ISO-27001 se podrá proteger. Por esto,
deberían realizarse acciones preventivas para evitar riesgos derivados de un mal uso de la
información.Al margen de esto, antes de contratar a una persona se debería comprobar todos sus
antecedentes, teniendo en cuenta la legislación en privacidad y protección de datos, incluyendo el
contenido del currículum, las certificaciones académicas y profesionales.

Todas las responsabilidades de seguridad deben definir antes de la contratación laboral

mediante la descripción adecuada del trabajo y los términos y condiciones de empleo.Todos los
candidatos para el empleo, los contratistas y los usuarios de terceras partes se deben seleccionar de
forma adecuada, especialmente para los empleados sensibles.Los trabajadores, contratistas y
usuarios de terceras partes de los servicios de procesamiento de la información deben firmar un
acuerdo sobre las funciones y las responsables con relación a la seguridad.
Es necesario asegurarse de que se cumpla con el proceso de verificación de antecedentes
proporcional a la clasificación de seguridad de la información a la que se debe acceder en el
empleado a contratar. Dicho eso, el proceso de contratación de un administrador de sistemas TI
debe ser muy diferentes al de un administrativo. Es necesario realizar comprobaciones de
procedencia, formación, conocimientos, etc.

Durante la contratación Se tienen que definir las responsabilidades de la dirección para garantizar
que la seguridad se aplica en todos los puestos de trabajo de las personas en la empresa. A todos
los usuarios empleados, contratistas y terceras personas se les debe proporcionar un adecuado
nivel de concienciación, educación y capacitación en los procedimientos de seguridad y en la
utilización de los medios disponibles para procesar la información con el fin de minimizar los
posibles riesgos de seguridad.
Es necesario establecer un proceso disciplinario normal para gestionar las brechas en seguridad.
La responsabilidad con respecto a la protección de la información no finaliza cuando un empleado
se va a casa o abandona a la empresa. Es necesario asegurarse de que esto se documenta de forma
clara con los materiales de concienciación, los contratos de empleo, etc.Se debe contemplar la
posibilidad de que se lleve a cabo una revisión anual por parte de recursos humanos de los
contratos junto a los trabajadores para refrescar las expectativas expuestas en los términos y las
condiciones de empleo, incluyendo el compromiso con la seguridad de la información.

Gestión de activos:
La gestión de activos (Asset Management en inglés) tiene dos acepciones, una en el mundo
empresarial y otra en la banca.

Consiste en obtener el máximo rendimiento de los bienes o recursos, es decir de todo aquello
que tenga valor para una organización (sus activos). Esta gestión puede integrarse en los sistemas
de gestión de la organización y certificarse bajo la norma ISO 55001, de manera similar a la
Calidad (ISO 9001), el medio ambiente (ISO 14001), la eficiencia energética (ISO 50001), etc.

Responsabilidad sobre los activos:

Todos los activos deberían ser justificados y tener asignado un propietario.
Se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad del
mantenimiento de los controles adecuados. La implantación de controles específicos podría ser
delegada por el propietario convenientemente. No obstante, el propietario permanece como
responsable de la adecuada protección de los activos.
El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la
aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento,
uso y seguridad de los activos. El término “propietario” no significa que la persona disponga de
los derechos de propiedad reales del activo.

Clasificación de la información :
Confidencial.
Es aquel cumulo de datos que presentan un contenido generalizado, pero que solo puede estar a la
vista de los altos ejecutivos; por lo general son catalogados de confidencial todos y cada uno de
los datos que se disponen en el departamento de recursos humanos, ya que el mismo contempla
toda las nociones sobre los empleados.

Restringida.
Es la información que reside solo en el área de gerencia, y pasa a ser considerada como datos
estratégicos, la misma se resume al cumulo de actividades que una empresa lleva a cabo, como
son las cifras sinceras de los ingresos financieros, las evaluaciones de los empleados para
contemplar los debidos ascensos como también los egresos.

Lo cierto es que la misma, suele catalogarse de restringida con el fin de protegerla de manos
inescrupulosas, muchas veces la información restringida se haya copada por los intereses ocultos
de una empresa, o por la descripción exacta de la composición de sus productos.
Uso Interno.
Esta suele considerarse como la información que se dispone en cada uno de los departamentos y
que es del conocimiento del personal que labora en estos.

En efecto, esta información esta compuestas por datos que solo pueden ser entendidos y operados
por el personal que la manejo y crea con sus actividades, de aquí que las misma suele ser
exclusiva de cada área, no pudiendo ser compartida con demás departamentos al menos que los
ejecutivos determinen lo contrario.

Todo público.
Una vez que se realiza la depuración de los datos y se les clasifica por su importancia y nivel
necesario de protección para resguardarlos de daños de terceros, quedan datos que pueden ser
expuestos a todo el personal.

En otro orden de ideas tenemos el control de acceso que no es mas que un sistema automatizado
que permite de forma eficaz, aprobar o negar el paso de personas o grupo de personas a zonas
restringidas en función de ciertos parámetros de seguridad establecidos por una empresa,
comercio, institución o cualquier otro ente.

Los controles de acceso también hacen posible llevar un registro automatizado de los movimientos
de un individuo o grupo dentro de un espacio determinado.

Requisitos de negocios para el control de acceso

Objetivo: controlar el acceso a la información.
El acceso a la información, a los servicios de procesamiento de información y a los
procesos del negocio se debería controlar con base en los requisitos de seguridad y del
negocio.
Las reglas para el control del acceso deberían tener en cuenta las políticas de
distribución y autorización de la información.

Gestión de acceso de usuario:

Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas
de información.
Se deberían establecer procedimientos formales para controlar la asignación de los permisos de
acceso a los sistemas y servicios de información.

Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.

Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de

permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
Cree la función diferenciada de "administrador de seguridad", con responsabilidades operativas
para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la
dirección de seguridad de la información.

Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo más
eficientemente posible.
Tiempo medio transcurrido entre la solicitud y la realización de peticiones de cambio de accesos
y número de solicitudes de cambio de acceso cursadas en el mes anterior (con análisis de
tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicación
financiera este mes").

Gestión de acceso de usuarios:

Su objetivo es Garantizar el acceso a los usuarios autorizados e impedir los accesos no
autorizados a los sistemas de información.

Se deberían establecer procedimientos formales para controlar la asignación de los permisos de

acceso a los sistemas y servicios de información.

Los procedimientos deberían cubrir todas la etapas del ciclo de vida del acceso de los usuarios,
desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su
acceso a los sistemas y servicios de información.

Se debería prestar especial atención, si fuera oportuno, a la necesidad de controlar la asignación de

permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.

Separación de entornos de desarrollo, calidad y producción:

La separación de los recursos para el desarrollo, prueba y producción es importante para reducir
los riesgos de un acceso no autorizado o de cambios al sistema operacional.

Protección contra código malicioso:

Objetivo: proteger la integridad del software y de la información.

Se requieren precauciones para evitar y detectar la introducción de códigos maliciosos.

El software y los servicios de procesamiento de información son vulnerables a la introducción de

códigos maliciosos tales como virus de computador, gusanos en la red, caballos troyanos y
bombas lógicas. Los usuarios deberían ser conscientes de los peligros de los códigos maliciosos.
Los directores deberían, cuando sea apropiado, introducir controles para evitar, detectar y retirar
los códigos maliciosos y controlar los códigos móviles.

Manejo de los soportes de almacenamiento:

Los medios deben ser controlados y protegidos. Se tiene que establecer los procedimientos
operativos adecuados para proteger los documentos, los medios informáticos, datos de entrada o
salida y documentos del sistema contra la divulgación, modificación, retirada o destrucción de
activos no autorizados.Los soportes y la información no son solo físico sino electrónico. Es
necesario cifrar todos los datos sensibles o valiosos antes de ser transportados.

Gestión de la vulnerabilidad técnica:

Su objetivo es reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas
publicadas.

La gestión de la vulnerabilidad técnica debe ser

implementada de una manera efectiva, sistemática y respetable con medidas tomadas para
confirmar su efectividad. Estas consideraciones deben incluir los sistemas operativos y otras
aplicaciones en uso.
Escaneo de la vulnerabilidad
Es un análisis, identificación y reporte muy sistemático de las vulnerabilidades en cuestión de
seguridad que se tienen en una infraestructura de computo. La intención es proteger en el mejor
porcentaje posible la seguridad de la información ante el ataque de un ente externo.
Permite remediar las vulnerabilidades dentro del ambiente TI antes de que un hacker o agresor
cibernético logre detectarlas, es cierto, nadie puede proteger una empresa al 100% pues cada
segundo nacen nuevos virus y es imposible seguirles el paso.

¿Cuáles son los entregables en un Escaneo de Vulnerabilidades?

Contrato de confidencialidad
Detección y evaluación de las vulnerabilidades a través de el uso de hardware y software
Análisis del muestreo
Reporte cuantitativo y cualitativo de los datos obtenidos
Sugerencias
Propuesta de Soluciones para robustecer la estrategia de ciberseguridad.

Control de intrusos
xisten numerosas medidas de seguridad para proteger los recursos informáticos de una empresa,
pero aunque se sigan todas las recomendaciones de los expertos, no estaremos libres de posibles
ataques con éxito. Esto se debe a que conseguir un sistema virtualmente invulnerable es
sumamente costoso, además de que las medidas de control reducirían la productividad de la
empresa
Dentro de las soluciones tecnológicas que en la actualidad están disponibles para reforzar la
seguridad de una red, los firewalls son muy populares. Un firewall es un sistema encargado del
cumplimiento de las políticas de control de acceso a la red, lo cual se hace a través de reglas. Un
firewall actúa como guardia perimetral de una red: protege una red de ataques que provengan del
exterior de ésta. Pero el escenario se puede complicar de la siguiente forma:

Un atacante puede lograr pasar el firewall, dejando la red a su merced.

Un firewall protege de los accesos no autorizadas hacia la red interna, pero no protege a las
máquinas ubicadas en la red perimetral como servidores web, servidores de correo, servidores
FTP, en otras palabras, a las bases funcionales de Internet.
Un firewall no protege contra ataques desde adentro.
En estos casos lo que nos queda detectar el ataque o la intrusión lo antes posible para que cause el
menor daño en el sistema. Antes de continuar vamos a definir qué se entiende normalmente por
intrusión. Normalmente un intruso intenta:

Acceder a una determinada información.

Manipular cierta información.
Hacer que el sistema se no funcione de forma segura o inutilizarlo.
 CONCLUSION.

La información es un recurso de suma importancia para la Empresa u organización y se la debe

proteger a través de la implementación de las medidas de seguridad basadas en hardware, software
y recursos humanos, pero también complementadas con adecuadas políticas de seguridad que sean
conocidas por el personal de la organización en todos sus niveles. El personal de la organización
debe identificarse plenamente con los objetivos de seguridad y protección que busca la Empresa.

La seguridad de la información es tarea de todos: del personal de la Empresa, de los Socios, de los
accionistas, de los clientes.