Polticas de Seguridad Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total

es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestin es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms negocios. "Si un Hacker quiere gastar cien mil dlares en equipos para descifrar una encriptacin, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podran gastar millones de dlares". La solucin a medias, entonces, sera acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni ms ni menos que un gran avance con respecto a unos aos atrs. Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologas para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las Polticas de Seguridad Informtica (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de negocios. POLTICAS DE SEGURIDAD INFORMTICA (SEG) a. Generalidades La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas amenazas para los sistemas de informacin. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un

alto compromiso con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las organizaciones modernas. b. Definicin de Polticas de Seguridad Informtica Una poltica de seguridad informtica es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuacin del personal, en relacin con los recursos y servicios informticos de la organizacin. No se puede considerar que una poltica de seguridad informtica es una descripcin tcnica de mecanismos, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de los que deseamos proteger y l por qu de ello, pues cada poltica de seguridad es una invitacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Por tal razn, las polticas de seguridad deben concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos. c. Elementos de una Poltica de Seguridad Informtica Como una poltica de seguridad debe orientar las decisiones que se toman en relacin con la seguridad, se requiere la disposicin de todos los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las Polticas de Seguridad Informtica deben considerar principalmente los siguientes elementos: Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos los niveles de la organizacin. Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el alcance de la poltica. Definicin de violaciones y sanciones por no cumplir con las polticas. Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso. Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, debern establecer las expectativas de la organizacin en relacin con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.

Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una comprensin clara de las mismas, claro est sin sacrificar su precisin. Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o diversificacin del rea de negocios, etc. d. Parmetros para Establecer Polticas de Seguridad Es importante que al momento de formular las polticas de seguridad informtica, se consideren por lo menos los siguientes aspectos: Efectuar un anlisis de riesgos informticos, para valorar los activos y as adecuar las polticas a la realidad de la empresa. Reunirse con los departamentos dueos de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las polticas. Comunicar a todo el personal involucrado sobre el desarrollo de las polticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Identificar quin tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos crticos su rea. Monitorear peridicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las polticas puedan actualizarse oportunamente. Detallar explcita y concretamente el alcance de las polticas con el propsito de evitar situaciones de tensin al momento de establecer los mecanismos de seguridad que respondan a las polticas trazadas. e. Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el xito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica. Otros inconvenientes lo representan los tecnicismos informticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informtica o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "ms dinero para juguetes del Departamento de Sistemas".

Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen informacin sensitiva y por ende su imagen corporativa. Ante esta situacin, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compaa. Finalmente, es importante sealar que las polticas por s solas no constituyen una garanta para la seguridad de la organizacin, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la organizacin. Evaluacin de Riesgos El anlisis de riesgos supone ms que el hecho de calcular la posibilidad de que ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos sucesos. Este valor se podr utilizar para contrastar el costo de la proteccin de la informacin en anlisis, versus el costo de volverla a producir (reproducir). Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de accin adecuado. Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deber identificar los recursos (hardware, software, informacin, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se est expuesto.

La evaluacin de riesgos y presentacin de respuestas debe prepararse de forma personalizada para cada organizacin; pero se puede presupone algunas preguntas que ayudan en la identificacin de lo anteriormente expuesto (1):

"Qu puede ir mal?" "Con qu frecuencia puede ocurrir?" "Cules seran sus consecuencias?" "Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

"Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una semana, cuanto tiempo?" "Cul es el costo de una hora sin procesar, un da, una semana...?" "Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?" "Se tiene forma de detectar a un empleado deshonesto en el sistema?" "Se tiene control sobre las operaciones de los distintos sistemas?" "Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn en condiciones de inhibir el procesamiento de datos?" "A que se llama informacin confidencial y/o sensitiva?" "La informacin confidencial y sensitiva permanece as en los sistemas?" "La seguridad actual cubre los tipos de ataques existentes y est preparada para adecuarse a los avances tecnolgicos esperados?" "A quien se le permite usar que recurso?" "Quin es el propietario del recurso? y quin es el usuario con mayores privilegios sobre ese recurso?" "Cules sern los privilegios y responsabilidades del Administrador vs. la del usuario?" "Cmo se actuar si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen del tipo:

Tipo de Riesgo Robo de hardware Robo de informacin Vandalismo Fallas en los equipos Virus Informticos Equivocaciones

Factor Alto Alto Medio Medio Medio Medio

Accesos no autorizados Medio Fraude Fuego Terremotos Tipo de Riesgo-Factor Bajo Muy Bajo Muy Bajo

Ejemplo de Seguridad. BIOMETRA El termino Biometra ha sido utilizado desde inicios del siglo 20 para referirse al campo de desarrollo de mtodos estadsticos y matemticos aplicados al anlisis de datos en problemas de la Biologa, como es el anlisis y comparacin de datos obtenidos de campos de experimentos agrcolas de distintos tipos y variedades de maz, el anlisis de datos obtenidos de la aplicacin de distintas terapias que podran ser la solucin de enfermedades humanas, o el anlisis de datos obtenidos del estudio del medioambiente para determinar el nivel de afectacin del aire o el agua por la polucin y su relacin con la aparicin de enfermedades humanas en alguna regin o pas.

IDENTIFICACIN DE HUELLAS DIGITALES

La Identificacin de Huellas Digitales es una de las tcnicas ms antiguas y ciertamente la mas difundida de los medios de identificacin usados actualmente.

La huella digital de un individuo es definida por una compleja combinacin de patrones de lneas, arcos, lazos, y crculos. Un lector de huellas lee la huella mediante el uso de una luz intermitente a travs de una lmina de vidrio, sobre el cual el usuario ha plasmado uno o varios de sus dedos, cuya reflexin se digitaliza. Software de Computadora existente sirve para codificar los distintos patrones encontrados en la imagen digitalizados y las

plantillas resultantes pueden ser encriptados en forma opcional y almacenada en una base de datos central o sobre una tarjeta individual de cada usuario.

Las Huellas Digitales pueden ser obtenidas de diferentes maneras. El procedimiento comn envuelve la captura de la imagen d la impresin hecha en algn papel lo cual no es muy prctico para la implementacin de un sistema de identificacin de civiles, para lo que se podra utilizar mejor un sistema de registro utilizando un escner ptico. Un escner registra y analiza una imagen del dedo que se coloca sobre una lmina de vidrio. A pesar que es mucho ms conveniente que un sistema que utiliza tinta, el sistema ptico basado en un escaneo en vivo puede ser poco confiable dependiendo de los niveles de suciedad y otros agentes externos que podran causar distorsin en la imagen.

Fig. 1 Identificacin de Huellas Digitales Definicin de lector de huella digital Es un dispositivo de seguridad encargado de detectar los relieves del dedo por medio de luz por medio de sensores elctricos, posteriormente genera una imagen digital la cul es enviada a la computadora y almacenada en una base de datos en los que se le asocia con la informacin de una persona. Cada vez que se coloca el dedo sobre la superficie ptica del lector, este enva la informacin y la computadora determina a que persona corresponde si se trata de alguien no identificado. El nombre que se le da en Ingls es ("Finger Print Reader"), lo que traducido al espaol significa lector de impresin de dedo, otro modo de llamarlo es control biomtrico.

Si se trata de lectores de huella digital independientes, tiene la capacidad de almacenar informacin sobre las personas, mientras que uno no independiente, enva la informacin a la computadora y esta se encarga de guardar la informacin.

Tienen un tiempo exploracin, el cul determina cunto tarda en realizar la lectura de la huella digital, se mide en segundos y puede ser de hasta 1.2 s. Tienen un tiempo de verificacin, el cul determina cunto tarda en procesar la informacin que recabe de la huella digital, este se encuentra en promedio, se mide en segundos y puede ser de hasta 1.5 s.

Algunos equipos independientes incluso pueden tener la opcin de insertar una contrasea como medida de seguridad adicional. Los modelos con conector USB, se alimentan desde el puerto USB de la computadora, mientras que otros modelos tienen un conector DC adaptador para enchufe domstico.

Tienen dos valores llamados porcentajes de aceptacin y rechazo falsos, las cules determinan la fiabilidad del dispositivo, este se mide en % y puede ser muy bajo como ejemplo 0.001%.

Tecnologas empleadas en los lectores de huella Hay 2 tipos de tecnologa empleadas para estos dispositivos: 1) Lector ptico: esta tecnologa utiliza diminutos diodos que emiten luz, integrados en un sensor denominado CCD ("Charged Coupled Device"), el cul detecta los relieves por medio de sombras e iluminacin de la superficie del dedo, posteriormente forma un mapa digital con la informacin y determina que tenga la iluminacin correcta y una vez realizada esta verificacin, esta puede ser enviada a la computadora para su almacenamiento, de lo contrario seguir creando la imagen digital. 2) Sensores capacitivos: esta tecnologa utiliza diminutos capacitores, los cules se cargan con diferentes cantidades de corriente de acuerdo a la posicin de los relieves del dedo, de este modo crea un mapa digital con la informacin y no es necesario verificarla, sino que se enva de manera inmediata a la computadora, siendo una tecnologa mas fiable y veloz.

Partes que componen al lector de huella digital Internamente cuenta con los circuitos y elementos electrnicos indispensables para convertir la huella digital en un mapa que ser enviado a la computadora, externamente cuenta con las siguientes partes: 1.- Cubierta: protege los circuitos internos y le da esttica al lector de huellas digitales. 2.- Ventana: es el sensor que se encarga de determinar los relieves del dedo. 3.- Cable de datos: se encarga de enviar la informacin digital de la huella hacia la computadora. 4.- Conector USB-M: se conecta al puerto USB de la computadora, suministra los datos y alimenta al dispositivo. Conectores y puertos del lector de huella digital Hay lectores de huella digital que se pueden considerar en dos tipos, independientes (los cules tienen todo un sistema electrnico y de programacin para prescindir del uso constante de una computadora) y los dependientes (que solamente se encargan de enviar informacin a la computadora). Para ambos casos, pueden tener alguno ms de los siguientes conectores: Tipo de conector Caractersticas Se utiliza en dispositivos Conector DC (Direct Current) mayores e independientes, los cules necesitan un mayor suministro de corriente. Se trata de un estndar de RS-232 (Registred Standar puerto serial de 9 pines, con 232) / COM (COMmunications) capacidad de transmisin de datos de 112 Kilobits por segundo (Kbps), Imgen

Es un conector de 4 terminales, utilizado en una USB (Universal Serial Bus) gran gama de dispositivos, con una capacidad de transmisin de datos de hasta 480 Mbps.

Lector porttil de huella digital USB Con la tendencia de miniaturizar los dispositivos y adoptar el estndar USB, tambin existen en el mercado lectores porttiles USB de huella digital, los cules tienen la funcin primaria de permitir no el acceso a equipos de computo de ciertos usuarios, eliminando el uso de contraseas bien reforzando la seguridad, principalmente en equipos de tipo Laptop Netbook. Capacidades de almacenamiento del lector de huella digital. El lector de huellas digitales independiente, tiene una memoria interna, la cul se encarga de almacenar la informacin de las personas y su respectiva huella digital, dependiendo el modelo de lector, este puede almacenar los datos de hasta 3000 personas. Precio promedio del lector de huella digital USB Los precios varan dependiendo de muchas variables como la situacin econmica del pas, la ciudad en que se comercializa, los impuestos del pas, etc. pero haciendo un promedio estndar a la moneda de referencia internacional es la siguiente: Producto Lector de huella digital USB estndar Costo $ 500 pesos

Usos del lector de huella digital El lector de huella digital tiene una funcin de seguridad, ya que por medio de l es posible identificar personas dentro de una empresa y llevar un estricto control como su hora de llegada y salida exactas, tambin para el acceso a ciertos lugares restringidos, para realizar transacciones bancarias, etc. Ventajas y desventajas. La diferencia con los sistemas de tarjetas es que la huella es nica y no se puede reproducir, es comn en las empresas que los empleados que faltan al trabajo le den su tarjeta a otro compaero para que fichen por el donde es difcil detectar que el que ficha es otra persona Con respecto al mtodo de cdigo de barras es muy poco segura ya que incluso mediante un lector y PC comn se puede reimprimir el mismo cdigo de barra falsificando la tarjeta de un empleado El mtodo de huella digital es seguro ya que si uno escucha el Beep que fue aceptado la persona de seguridad instantneamente sabe que esa persona esta habilitada y realmente es esa persona la que ficha Existe un mito de que un ladrn corte el dedo de un empleado para entrar, este mito surge ms que nada de pelculas de holliwood ya que no hay ningn caso detectado, ya que de todas formas el ladrn podra esperar a que alguien abra la puerta para entrar. VENTAJAS. La huella digital de cada persona es nica. La huella digital de cada persona permanece inalterable de por vida. Grandes bases de datos existen actualmente. Se han invertido gran cantidad de dinero en el desarrollo y perfeccionamiento de tcnicas de procesamiento de huellas digitales. Es una tcnica No intrusiva, es decir, el colocar un dedo en un lector no hace sentir al usuario que su cuerpo esta siendo invadido por algn ente. La tasa de error de los algoritmos que identifican o autentican huellas digitales es muy baja.

DESVENTAJAS. Ejecutar una bsqueda uno a uno en una base de datos puede ser lento, a menos que se tengan varios sistemas identificadores trabajando a la vez repartindose el trabajo. Realmente esta desventaja no es solamente para la tecnologa de identificacin de Huellas Digitales, ya que todas las tcnicas biomtricas sufren del mismo requerimiento. La imagen escaneada puede ser borrosa o inexacta debido a heridas, sucio en el dedo o en la lmina del escner.