Contenidos:

Seguridad Informática y Ciberseguridad Objetivos de la seguridad Sistemas de Seguridad Informática Políticas de Seguridad: Etapas y Métodos Medios de protección: Antivirus, Firewall,

Criptografía, Antiespías. La Seguridad Física y Electrónica

o - Tipos de Desastres: Incendios, Inundaciones, Condiciones Climatológicas, Señales de Radar, Instalaciones Eléctricas, Ergometría

o - Acciones Hostiles: Robo, Fraude, Sabotaje

o - Guardias, Detectores de Metales, Sistemas Biométricos, Verificación Automática de Firmas, Seguridad con Animales, Protección Electrónica

Jamming, Protección física y ciberseguridad: Caracterización Detectives, Espionaje y Contraespionaje: Otros tipos de Vigilancia La Seguridad Lógica y la Seguridad de la Información Controles de Acceso Niveles de Seguridad Informática Convergencia: Seguridad Integral Relaciones entre gobierno, administración y operación de la seguridad Anexo Seguridad Física y Lógica

Relacionados: Seguridad Básica para Empresas, Biometría , Ciberataques , Ciberguerra , Cloud Computing , Criptografía , Privacidad y Protección de Datos ,Rootkit, Spyware, Scam, Hoax, Phishing, Pharming e Ingenieria Social, Robo de identidad y Phishing , Botnets: Redes Zombies Tags: pyme, cloud computing, Somoclo, malware, botnet, virus, spyware, rootkit, firewall, ciberespionaje, phishing, vishing, smishing, spoofing, BYOD, keylogger, big data , biometría, detectives, contraespionaje, ergometría, ergonomía, jamming

Seguridad Informática y Ciberseguridad

“La seguridad es un elemento capacitador de las ciudades del futuro”

La seguridad informática (ciberseguridad) se define como el conjunto de métodos y herramientas destinados a proteger los sistemas ante cualquier amenaza. Estos puden ser tanto de naturaleza real como virtual, entiéndase, por ejemplo, desde un incendio en un centro de cálculo que afecte a los servidores o puestos de trabajo, hasta un ciberataque masivo por denegación de servicios (Ddos), entre un amplio y variado abanico de posibles ciberamenazas. En nuestro caso los hacemos extensivos también a la Seguridad y Privacidad del Internauta, razón principal de nuestra existencia. Incluímos como Internauta a niños, adolescentes, padres, educadores, empresarios o trabajadores o personal que trabaje paa entidades gubernamentales o públicas. Del mismo modo, son objetivos también para los ciberdelincuentes y cibercriminales las Infraestructuras Críticas de una nación, capaces de colapsar los servicios públicos básicos de abastecimiento.

La seguridad de los sistemas de información se suele comparar con una cadena, la cual es segura si el eslabón más débil también lo es. Para encontrar ese eslabón y protegerlo se tiene que tratar la seguridad desde distintos puntos de vista:

- Establecer la seguridad física que afecta a la infraestructura y al material. - Establecer la seguridad lógica para proteger datos, aplicaciones y sistemas operativos. - Concienciar a los usuarios de la importancia de la seguridad del equipo, del sistema y de la información. - Proteger los sistemas de comunicación, especialmente en las redes. - Invertir en Ciberseguridad.

Objetivos de la seguridad

El objetivo principal de la seguridad informática es garantizar que los recursos y la información estén protegidos y para protegerlo son necesarios conseguir los siguientes aspectos:

- Integridad: sólo los usuarios autorizados podrán modificar la información. - Confidencialidad: sólo los usuarios autorizados tendrán acceso a los recursos y a la información que utilicen. - Disponibilidad: la información debe estar disponible cuando se necesite. - Irrefutabilidad: el usuario no puede refutar o negar una operación realizada.

Sistemas de Seguridad Informática

Hoy en día es imposible hablar de un sistema cien por cien seguro, ya que el costo de la seguridad total suele ser considerado muy alto. En ciertos casos no se le concede la debida importancia, por lo que se descuidan aspectos básicos. Sin embargo, es posible controlar una gran parte de la vulnerabilidades acotando aspectos relativos a procedimientos y estrategias. Organizaciones gubernamentales y no gubernamentales internacionales han desarrollado una

serie de directrices y recomendaciones sobre el uso adecuado de las TIC, evitando el uso indebido de las mismas y obteniendo el máximo aprovechamiento. Surgen así, las llamadas Políticas de Seguridad Informática (PSI) como una herramienta para concienciar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y su seguridad. Hacen referencia también a los equipos que la soportan, incluyendo hardware y software, y a los usuarios que la manejan.

Políticas de Seguridad La política de seguridad define una serie de reglas, procedimientos y prácticas óptimas que aseguren un nivel de seguridad que esté a la altura de las necesidades del sistema. Se basa, por tanto, en la minimización del riesgo, el cual viene definido por la siguiente ecuación:

RIESGO = (AMENAZA x VULNERABILIDAD) / CONTRAMEDIDAS.

En esta ecuación, la amenaza representa el tipo de acción maliciosa, la vulnerabilidad es el grado de exposición a dicha acción y la contramedida es el conjunto de acciones que se implementan para prevenir o evitar la amenaza. La determinación de estos componentes indica el riesgo del sistema.

Etapas La política de seguridad de un sistema informático se define en cuatro etapas:

1- La definición de las necesidades de seguridad y de los riesgos informáticos del sistema así como sus posibles consecuencias, es el primer escalón a la hora de establecer una política de seguridad. El objetivo de esta etapa es determinar las necesidades mediante la elaboración de un inventario del sistema, el estudio de los diferentes riesgos y de las posibles amenazas. 2- La implementación de una política de seguridad consiste en establecer los métodos y mecanismos diseñados para que el sistema de información sea seguro, y aplicar las reglas definidas en la política de seguridad. Los mecanismos más utilizados son los sistemas firewall, los algoritmos criptográficos y la configuración de redes virtuales privadas (VPN). 3- Realizar una auditoría de seguridad para validar las medidas de protección adoptadas en el diseño de la política de seguridad. Cuando se trata de compañías, organismos oficiales o grandes redes, suelen realizarlas empresas externas especializadas. También se llama etapa de detección de incidentes, ya que éste es su fin último. 4- La definición de las acciones a realizar en caso de detectar una amenaza es el resultado final de la política de seguridad. Se trata de pever y planificar una las medidas que han de tomarse cuando surga algún problema. Esta etapa también es conocida como etapa de reacción puesto que es la respuesta a la amenaza producida.

Métodos Para definir una política de seguridad informática se han desarrollado distintos métodos, diferenciándose especialmente por la forma de analizar los riesgos. Algunos de ellos son:

- Método MEHARI (Método armonizado de análisis de riesgos), desarrollado por CLUSIF (Club de la Sécurité de l'Information Français), se basa en mantener los riesgos a un nivel convenido mediante un análisis riguroso y una evaluación cuantitativa de los factores de riesgo. - Método EBIOS (expresión de las necesidades e identificación de los objetivos de seguridad), desarrollado por la DCSSI (Direction Centrale de la Sécurité des Systèmes

d'Information, permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información. - La norma ISO/IEC 17799 es una guía de buenas prácticas pero no especifica requisitos para establecer un sistema de certificación. - La norma ISO/IEC 27001 es certificable ya que especifica los requisitos para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad según el PDCA, acrónimo de "plan, do, check, act" (planificar, hacer, verificar, actuar).

Medios de protección Chip no entiende cómo ha podido coger la gripe: está vacunado contra un montón de virus, siempre va bien abrigado y tiene una buena higiene. Tantas medidas de protección y no se ha escapado. Es cierto, nunca estamos protegidos al cien por cien de las enfermedades. Lo mismo ocurre con los sistemas informáticos, por muchos medios de protección que se utilicen, nunca se conseguirá una seguridad total. Por tanto, es de vital importancia concienciarse de que no existe la ciberseguridad 100%. Ya hemos visto en los puntos anteriores que muchas de las vulnerabilidades de un sistema son debidas a la falta de políticas de seguridad y a problemas ocasionados por los usuarios. A continuación vamos a verlos medios más utilizados para evitar o eliminar estas vulnerabilidades.

Antivirus

Son programas que detectan códigos maliciosos, evitan su activación y propagación y, si es posible, incluso eliminan el daño producido. Se llaman antivirus porque surgieron para eliminar este tipo de malware, pero hoy en día han evolucionado y detectan otros tipos de malware como troyanos, gusanos o espías, y cuentan además con rutinas de recuperación y reconstrucción de archivos dañados. El funcionamiento de los antivirus se basa en un programa residente que se instala en la memoria del ordenador y analiza cualquier archivo, programa o aplicación mientras está encendido. Para ello, tienen una base de datos actualizada con los códigos maliciosos. Hoy en día, disponen de la función de escaneado para revisar cualquier sistema de almacenamiento interno o externo y también los hay que realizan este análisis desde internet. En una breve relación hablamos de antivirus domésticos, de usuario o para puestos de trabajo como Avast, Comodo, Avira y Avg, tanto en sus versiones gratuitas como de pago, como de otros paquetes de software antivirus profesionales pensados para grandes empresas o entidades.

Relacionado: Programas básicos de protección para la Privacidad del Internauta

Las técnicas más utilizadas por los antivirus son las siguientes:

- Detección de firma: cada código malicioso se caracteriza por una cadena de caracteres llamada firma del virus. Los antivirus tienen registradas estas cadenas y las buscan para detectar los virus. - Búsqueda de excepciones: se utiliza en el caso de que el virus cambie de cadena cada vez que realiza una infección (virus polimorfos). Son difíciles de buscar, pero hay antivirus especializados. - Análisis heurístico: se basa en el análisis del comportamiento de las aplicaciones para detectar una actividad similar a la de un virus ya conocido. Es la única técnica automática de detección de virus. - Verificación de identidad o vacunación: el antivirus almacena información de los archivos y, cada vez que se abren, compara esta información con la guardada. Cuando detecta una anomalía, avisa al usuario.

Firewall

Un firewall (pared cortafuegos) es un elemento de hardware o software ubicado entre dos redes y que ejerce la una política de seguridad establecida. Protege una red confiable de una que no lo es (por ejemplo, internet) evitando que pueda aprovechar las vulnerabilidades de la red interna. Una versión para usuarios monopuesto es, por ejemplo ZoneAlarm.

El uso de firewall se ha convertido en algo fundamental ya que es el elemento que controla el acceso entre dos redes y, si no existiera, todos los ordenadores de la red estarían expuestos a ataques desde el exterior. Sin embargo, el firewall no es un sistema inteligente ya que actúa según los parámetros establecidos y si un paquete de información no está definido dentro de estos parámetros como

código malicioso, lo deja pasar. Normalmente se suele complementar con otro medio de protección, por ejemplo un antivirus, ya que no contiene herramientas para filtrar los virus. Existen muchos tipos de firewall (filtrado de paquetes, servidor proxy-gateway, personales) y su elección dependerá de las limitaciones y capacidades del sistema por un lado, y de las vulnerabilidades y las amenazas de la red externa por otro.

Criptografía

La criptografía es una ciencia utilizada desde la antigüedad que consiste en transformar un mensaje inteligible en otro que no lo es utilizando claves que sólo el emisor y el destinatario conocen, para después devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

La criptografía simétrica permite establecer una comunicación segura entre las partes siempre y cuando anteriormente se hayan intercambiado una clave llamada "clave simétrica" que se utiliza para cifrar y para descifrar. La criptografía tiene en la actualidad multitud de aplicaciones en informática, entre las cuales destacan las siguientes:

- Seguridad de las comunicaciones: permite establecer canales seguros sobre redes que no lo son. - Identificación y autentificación: se emplean las firmas digitales y otras técnicas criptográficas para garantizar la autenticidad del remitente y verificar la integridad del mensaje recibido. - Certificación: se basa en la validación por agentes fiables (como una entidad certificadora) de la identidad de agentes desconocidos. - Comercio electrónico: es un sistema muy utilizado ya que reduce el riesgo de fraudes, estafas y robos en operaciones realizadas a través de internet.

Antiespías

Son programas diseñados para detectar, detener y eliminar los códigos maliciosos de programas espías (spyware). A veces, vienen incluidos en los antivirus, pero son más efectivos los diseñados específicamente para eliminar este tipo de malware. Algunas versiones recomendables son Malwarebyte, Spybot o Ad-Aware para monopuestos. Al igual que los antivirus, es necesario que el módulo residente esté activado para detectar el código malicioso antes de que se instale en el sistema. También es importante mantener actualizadas las bases de códigos.

Siguiendo las pautas del libro Holistic Management , podríamos definir la seguridad ( figura 1 ), al igual que una organización, como un sistema viable, muy complejo, con un propósito, probabilístico y con posibilidades (esta última característica no es parte de lo propuesto por el libro mencionado).

Viable , hace referencia a la capacidad de continuar existiendo en su entorno por sí mismo independiente del medio. La seguridad es viable en sí misma gracias a su dual, la inseguridad que vive permanentemente en el entorno, que le permite desarrollar la capacidad para manifestarse ante situaciones fortuitas, inesperadas y desconocidas. En este orden de ideas, no es posible pensar en la seguridad, sin considerar su dual, como el motivador clave para repensar el mismo.

Muy complejo , entendida esta característica como las múltiples operaciones que realiza el sistema, que bajo la coordinación de todos sus miembros y basado en un cuidadoso diseño de estructuras de manejo y flujo de información, procura la viabilidad del mismo y el logro de sus objetivos. En el contexto de la seguridad, hablamos de las consideraciones de gestión del sistema de

protección, basado en un reconocimiento y entendimiento de los riesgos como un elemento fundamental de la dinámica de la organización. Este sistema permanentemente se ve expuesto a las condiciones de la inseguridad, razón por la cual la complejidad propia del sistema, se debe mantener bajo observación y administración para lograr los objetivos propios del mismo.

Con un propósito es una característica que nos habla de la capacidad de lograr los objetivos deseados. Para la seguridad, lograr los objetivos significa aumentar la confiabilidad del sistema que protege. Dicha confiabilidad, no es otra cosa que el reconocimiento de la inseguridad propia del entorno y del sistema que se quiere proteger, como la cuota de riesgos o amenaza que se debe administrar.

Probabilístico significa que el comportamiento de sus partes son probabilísticas e impredecibles, pero pueden ser guiados para alcanzar el objetivo deseado. En el contexto de la seguridad, exige del administrador del sistema de protección, reconocer la inseguridad como el evento probable e impredecible, que dice que tan confiable puedo llegar a ser.

Con posibilidades es una característica que es complementaria e inherente a las interacción de todas las anteriores, pues busca reconocer en la acción de las propiedades explicadas previamente, opciones de conocimiento, aprendizaje y desaprendizaje de la seguridad, no solamente basado en el comportamiento del sistema de gestión de la seguridad, sino en las ventanas creativas que surgen cada vez que la inseguridad se materializa.

Si lo anterior es correcto, estamos ante un concepto que evoluciona y crece con las condiciones del entorno, quien se alimenta de su dual de manera permanente, para hacer de la gestión de la seguridad un ejercicio permanente y creativo para enfrentar los errores, fallas y vulnerabilidades de la seguridad y así mantener un nivel de confiabilidad en el contexto del negocio.

Reconociendo a la seguridad como un concepto sistémico y holístico que debe ser parte inherente de los procesos de negocio, se hace necesario analizar la evolución del mismo más allá de las fronteras de la lógica de los datos procesados y de los dispositivos de hardware conocidos, para avanzar en una construcción de un concepto de seguridad corporativo, integral y global, que vincule el mundo físico, informático y electrónico en una sola vista, con muchos lentes, que pueda ser comprendida por los ejecutivos de negocio, los gerentes de tecnología y seguridad física, así como por los individuos de la empresa.

En razón con lo anterior, se desarrolla este documento que busca animar una reflexión básica sobre el concepto de Enterprise Security Management ( ESM ) (Administración de la Seguridad Corporativa), como fundamento de una nueva generación de ejecutivos de la seguridad, que pensando de manera relacional, avanzan desde las necesidades operacionales de la seguridad, hacia las exigencias tácticas y estratégicas de protección que se encuentran en las mentes y agendas de los ejecutivos de más alto nivel de las empresas. Para terminar esta breve enumeración de herramientas antivirus, antiespías y firewall, es igualmente recomendable otro tipo de herramientas:

- Herramientas secundarias para limpieza y mantenimiento como CCleaner, Ashampoo o los packs integrados de los propios antivirus - Herramienta de análisis similares a Hijackthis

La Seguridad Física y Electrónica

La historia de la seguridad inicia siempre con una materia prima para su existencia: un riesgo, un peligro, una amenaza. En este sentido, el escenario de la seguridad física se desarrolla en el contexto de la guerra contra un enemigo, que no busca otra cosa que vulnerar las estrategias de control y contención, entre otras, que tiene el objetivo atacado, para apoderarse de éste.

La Seguridad Física se refiere a todos los niveles de seguridad que garanticen desde el que no se roben los equipos, hasta el que no se mojen, no se caigan, no ingresen personas ajenas, no hayan cables tirados por todos lados poniendo en peligro a las personas por una caída, que no ingieran alimentos cerca de ellos, etc.

" Un experto es aquel que sabe cada vez más sobre menos cosas, hasta que sabe absolutamente todo sobre nada.. es la persona que evita los errores pequeños mientras sigue su avance inexorable hacia la gran falacia" Definición de Webwer - Corolario de Weinberger (Leyes de Murphy)

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el sistema. Las principales amenazas que se prevén son:

- Desastres naturales, incendios accidentales y cualquier variación producida por las condiciones ambientales. - Amenazas ocasionadas por el hombre como robos o sabotajes. - Disturbios internos y externos deliberados.

Evaluar y controlar permanentemente la seguridad física del sistema es la base para comenzar a integrar la seguridad como función primordial del mismo. Tener controlado el ambiente y acceso físico permite disminuir siniestros y tener los medios para luchar contra accidentes. Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro

y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

De acuerdo con los teóricos, existen cuatro categorías de seguridad física ( figura 2 ): las obstrucciones físicas, las técnicas de vigilancia, los sistemas de inteligencia y los guardias o personal de seguridad . Estas cuatro categorías representan la caracterización de la seguridad misma en el mundo tangible, que aún hoy por hoy existen y que cuentan, todas ellas con su referente en el mundo lógico.

Las obstrucciones físicas , al igual que en el pasado, constituyen castillos, fuertes, puertas blindadas, paredes reforzadas, entre otras. Tener una fortificación, suponía una posición fuerte, de ventaja y cuidado para aquellos que quisieran vulnerarlo. Cada castillo era construido para "hacerle difícil" el ingreso a cualquier intruso que, sin autorización, quisiera tener acceso a los bienes protegidos por la construcción. Un fuerte era el signo de avance en técnicas de protección física, que asistido por candados, llaves de acceso y combinaciones hacían de la edificación un reto de inteligencia y sorpresa para aquellos que quisieran intentar traspasar sus barreras.

Las técnicas de vigilancia , como aspecto complementario a la edificación, era un elemento clave para alertar cualquier movimiento que se percibiera en el perímetro de acceso a la edificación. El concepto de monitoreo y vigilancia se desarrolla a la par con el avance en las edificaciones, haciéndose parte inherente de los diseños de éstos, como se sigue manteniendo hasta nuestros días. El monitoreo permanente y el sistema de alarmas (seguridad electrónica) que materializan algunas de las técnicas de vigilancia, establecen nuevos procesos y procedimientos que deben cumplirse como parte del sistema de protección de la edificación. La vigilancia no es componente accesorio de la edificación, es el sistema nervioso de la edificación, que ahora cobra vida gracias a las alertas permanentes del monitoreo.

Los sistemas de inteligencia surgen como la forma más clara de analizar la información resultado de los sistemas de monitoreo y de reconocimiento del entorno de la edificación protegida. La inteligencia no solamente recaba información del ambiente donde se encuentra, sino indaga más allá de sus límites para hacer mejores estimaciones que permitan tener ventaja táctica y operativa ante amenazas y situaciones que pueden afectar el nivel de protección de la edificación y sus bienes. La función de inteligencia muestra la capacidad del componente humano, que asistido por las técnicas modernas de procesamiento de información, es capaz de simular escenarios, para tomar decisiones claras ante situaciones no previstas por la organización, pero probables en el contexto de su análisis.

La guardia humana , los especialistas en protección física, son el componente de inteligencia humana y de efectividad operacional ante una amenaza. Es quien actúa y decide frente a una alarma o un escenario de falla, con el fin de conjurar el peligro o vulnerabilidad que pueda ser detectada. La seguridad materializada en los

guardias o vigilantes, representa, al mismo tiempo, la mayor fortaleza del sistema de protección, pero también su peor enemigo. Si este personal, se encuentra claramente entrenado y capacitado frente a los procedimientos de operación previstos y reconoce en la inseguridad su aliada para desarrollar estrategias de defensa, estamos ante un elemento que edifica y fortalece el sistema de seguridad. De lo contrario, se advierte la presencia de un efecto sistémico de vulnerabilidad (falla en el diseño) del concepto de protección del sistema que lo contiene.

Los cuatro elementos mencionados nos muestran que la seguridad es un proceso natural y propio del ser humano que vive en comunidad, es una propiedad que de manera intangible se exige en el escenario de la actividad empresarial y personal, no como algo que es accesorio o innecesario, sino como aquello que es necesario para actuar y animar las actividades humanas en todos los escenarios de la vida.

Jamming, Protección física y ciberseguridad: Caracterización

Hoy en día es clave la protección del acceso a todo tipo de dispositivos de computación tanto desde la perspectiva física como digital. Si bien accedemos a ellos a través de la red, teclados u otras interfaces digitales también podemos acceder a CPDs utilizando martillos neumáticos, a SIM para clonarlas, a nodos sensor para trastornar redes, a PCs para robar o modificar su contenido, al contenido de una tarjeta inteligente utilizando técnicas quirúrgicas vía láser con microscopio electrónico e incluso nitrógeno líquido, etc. El Jamming es basicamente la interferencia deliberada o reflexión de energía electromagnética con el propósito de irrumpir en el uso del enemigo de dispositivos electrónicos o sistemas. Técnica usada frecuentemente en el hacking de radiofrecuencias. Interferencias de satélites o Jamming de satélites es un tipo de censura, por lo que el gobierno o los hackers o delincuentes prohíben el acceso al satélite e impide el libre flujo de información. También se refiere a la interferencia técnica como tipo intencional. Interferencias de satélites es una violación del derecho del artículo 15 del Reglamento de Radiocomunicaciones de la Unión Internacional de Telecomunicaciones según ha explicado maestro de hacking ético, Mike Stevens de Instituto Internacional de Seguridad Cibernética.

Se trata generar y difundir señales de ruido aleatorio de modo que las señales que transportan información se pierdan en el ruido. Es similar a los dispositivos de inhabilitación de RF que se utilizan para impedir que los teléfonos móviles tengan cobertura en salas de fiestas o edificios de la policía/ejército o para evitar que se pueda detonar por RF una bomba al paso de una vehículo militar. Cuando necesitamos proteger un portátil-PC-Mac o un servidor frente a robos, lo podemos anclar al puesto de trabajo con escuadras soldadas o utilizamos cables de acero removibles utilizando candados. También podemos encerrar en armarios blindados/acorazados PCs, switches, routers, patch-pannel, etc. Muchas veces es necesario proteger físicamente puntos de acceso WiFi y todo tipo de antenas y se opta por esconderlos en falsos techos tipo Pladur o bien se ocultan las antenas dentro de chimeneas falsas. Actualmente un atacante puede causar daños a un dispositivo de computación tanto si tiene acceso físico directo a él como si se encuentra en sus proximidades. Los usuarios de los sistemas de computación a veces no son confiables. Algunos de los ciber-ataques directos más relevantes son:

- Escuchas clandestinas. Se definen como escuchar de forma secreta la comunicación de otra entidad/persona. Por tanto es necesario proteger el entorno en el que se utiliza un sistema de computación. Se pueden identificar dos tipos de escucha clandestinas:

1 - Escuchas pasivas: Consiste en monitorizar la comunicación sin dejar rastro, por ejemplo utilizando sniffers para cable o inalámbricos. Las técnicas de mirar por encima del hombro consisten en instalar videocámaras/Webcams ocultas pequeñas o bien observar con binoculares a través de las ventanas, incluso con visión infrarroja para ver en la oscuridad. 2 - Escuchas activas. Consiste en modificar o crear/fabricar comunicación falsificada; es el caso de los ataques MITM (Man in the middle).

- Tempest. Es un estándar del gobierno USA con objeto de limitar las emisiones-emanaciones de señales electromagnéticas/energéticas que transportan información sensible procedente de equipos de computación. Las zonas de protección definidas en el estándar NATO/SDIP-27 son:

(i) Nivel A. Casi acceso inmediato. A una distancia de un metro; por ejemplo una sala vecina. (ii) Nivel B. A una distancia de veinte metros o nivel similar de atenuación; por ejemplo dentro de un edificio. (iii) Nivel C. A una distancia de cien metros o atenuación equivalente. Algunas contramedidas contra las emanaciones electromagnéticas Tempest son:

(a) Bloquear las emisiones. Se pueden identificar tres posibilidades en función del tipo de emanaciones energéticas emitidas:

* Bloqueo de luz visible. Utilizar salas sin ventanas o forrar las ventanas con material opaco o unidireccional. * Bloqueo de emanaciones acústicas. Utilizar salas recubiertas con materiales que absorban el sonido o desplegar sistemas acústicos muy sofisticados capaces de generar señales acústicas con polaridad opuesta que anulan el sonido-ruido original. * Bloqueo de radiación electromagnética. Consiste en utilizar una Caja de Faraday es decir rodear la sala/edificio/tarjeta a proteger con material metálico (placas, malla) o plásticos especiales capaces de bloquear las señales electromagnéticas.

(b) Modificar-enmascarar las emisiones. Es el jamming explicado anteriormente.

- Técnicas forenses. Consiste en identificar, preservar, recuperar, analizar y presentar evidencias digitales (hechos y opiniones) acerca de la información encontrada en medios de almacenamiento digital para ser utilizados en procedimientos legales o mejorar la seguridad. (Ver documento ampliado sobre Informática Forense y Peritaje) Las técnicas forenses las pueden utilizar los atacantes para extraer información de dispositivos de computación (PCs, smartphones, etc.). Permiten recuperar ficheros borrados ya que la mayoría de los sistemas operativos sólo eliminan los metadatos de un fichero borrado y no sobrescriben el propio fichero para su destrucción real. Algunos ficheros sobrescritos pueden recuperarse ya que las trazas magnéticas pueden permanecer. - Memorias externas de arranque vivas (DVD, CD, USB). Un sistema operativo de computador con capacidad de arrancar, almacenado en un medio externo (DVD, CD, unidad USB) posibilita arrancar un dispositivo de computación sin su disco duro. Los atacantes pueden arrancar un computador utilizando una memoria viva saltándose su sistema operativo nativo, saltándose cualquier mecanismo de autenticación lo que les permite leer y modificar los datos del disco duro. - Ataque contra la disponibilidad. Por ejemplo inyectando señales de jamming/interferencias para que no pueda abrir una cerradura con llave basada en emisor RF.

(Fuente: Prof. Dr. Javier Areitio Bertolín – Catedrático de la Facultad de Ingeniería. Director del Grupo de Investigación Redes y Sistemas. Universidad de Deusto)

Detectives, Espionaje y Contraespionaje:

Otros tipos de Vigilancia

Lo que pueden saber de nuestra intimidad sin que nos enteremos. La tecnología nos da muchas facilidades, pero también abre puertas a que nuestra vida privada quede en manos de personas carentes de ética. Muchas veces pueden ser también las propias multinacionales, entidades gubernamentales y grupos organizados o que actúen en solitario de cibercriminales. Cabe distinguirlos por dicha falta de ética y con fines delictivos y en contraposición, profesionales de reputación intachable como forenses y peritos informáticos o detectives. En una definición simple podríamos definir detective privado como la persona, normalmente profesional, que se encarga de realizar investigaciones por encargo de una de las partes, con un cierto carácter probatorio. Y el espía dedicado a materia industrial o política, cuyo trabajo se encuentra en muchas ocasiones «bordeando los límites de la ley, o incluso superándolos».

Relacionado: ¿Sabe que cantidad de información sobre usted está disponible y accesible en la red directamente, o mediante programas, o mediante geoposicionamiento o geolocalización? (leer más sobre Identidad Digital en la WEB y su protección)

En vista de los últimos acontecimientos que hemos conocido a través de los medios de comunicación, con filtraciones de supuestos papeles, o grabaciones de conversaciones privadas entre formaciones políticas, no hay mucha duda a la hora de afirmar que tanto en el ámbito personal como en el profesional «hemos descuidado mucho la protección de nuestro entorno». Nuestra familia, nuestra intimidad, nuestra empresa, son fácil objetivo de quienes desean enterarse de todo cuanto nos rodea con fines más o menos ilícitos. Es más nos sorprenderíamos por el número y la tipología de las investigaciones que se encargan todas las semanas, según expertos españoles en la materia. La tecnología puede ser nuestra aliada, pero también nuestro peor enemigo. Y por eso todos deberíamos de ser un poco más conscientes de lo mínimo que deberíamos de proteger. Es cierto que los detectives privados deben de seguir un código deontológico, y hay límites que no se deben sobrepasar. Pero normalmente cuando hay dinero de por medio los límites se pueden traspasar fácilmente. Alguno de esos límites se ha pasado en los temas más recurrentes de los medios de comunicación, como las escuchas telefónicas denunciadas por la Presidenta del PP de Cataluña, Alicia Sánchez Camacho. Hay quienes opinan que este asunto «ha sido una investigación chapucera», porque «una agencia de detectives no puede demostrar falta de respeto al cliente con filtraciones o difusión pública de sus investigaciones».

Además, en el caso de una intervención telefónica existe una legislación que hay que respetar. Por ejemplo, nos cuenta «yo puedo grabar la conversación telefónica que estoy manteniendo contigo, porque soy una de las partes implicadas. Pero la cosa cambia a la hora de dar difusión a esta conversación, o si he grabado la conversación telefónica, por ejemplo, entre dos de los socios de mi empresa». Ámbito empresarial, doméstico o emocional En el ámbito empresarial, si hablamos de espionaje, lo más habitual es que soliciten investigaciones sobre «cuestiones legales de empresas de la competencia, para saber si están cometiendo alguna posible ilegalidad o irregularidad». Pero también en nuestro entorno más cercano cada vez existe más demanda en temas de infidelidades, y, en la actualidad, para saber «qué es lo que hacen nuestros hijos cuando no estamos, o qué conversaciones mantienen por teléfono o a través de las redes sociales». Y a día de hoy todo es posible. Existen en el mercado diferentes dispositivos que nos permiten escuchar en tiempo real las conversaciones entre teléfonos móviles. «Cuanto más modernos sea el teléfono que compremos a nuestros hijos más posibilidades tenemos de controlarlos, porque disponemos de programas espías que lo hacen posible». Eso sí, hay que tener en cuenta que este tipo de escuchas» a nuestros propios hijos solo las podemos realizar de forma legal mientras que son menores de edad. Otro de los «gadgets» más demandados son los que permiten oír, ver y grabar. Existe una amplia gama de dispositivos que podemos instalar con facilidad, por ejemplo, en un coche, y así enterarnos de las conversaciones que se mantienen en él. Contraespionaje Se recomienda entonces adoptar una serie de precauciones básicas, especialmente si somos empresarios, abogados o asesores. Para ellos existen diversos cursos básicos en los que se incluyen recomendaciones como el escaneado periódico de la oficina, para detectar posibles escuchas, el vigilar la documentación y la papelera, e incluso el ordenador, en el que puede haber instalado algún tipo de software que «permita a alguien saber lo que hacemos en cada momento». Respecto a la telefonía móvil (más del 80% desprotegidos), al igual que existen dispositivos para interferir o escuchar nuestras comunicaciones, también cabe la posibilidad de hacerse con un terminal encriptado ( el español Blackphone o el Boeing Black de la multinacional aeronáutica), que codifica las conversaciones y evita que sean escuchadas por los «más curiosos». En estos cursos profesionales de las diferentes disciplinas imparten una base de conocimientos sobre las diferentes técnicas de investigación sobre personas, empresas o instituciones, los conocimientos necesarios sobre la utilización de aparatos electrónicos, su detección y bloqueo de los mismos, bien electrónicamente bien físicamente.

En realidad estos cursos son equivalentes al de un detective privado pero para evitar ser espiado o investigado tanto a nivel personal como profesional.

Blackphone, móvil encriptado

Foto: AFP Photo / Paul J. Richards. (Ampliar)

Tipos de Desastres

No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara. A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno. A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

Incendios (leer más)

Inundaciones: Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo

impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.

Condiciones Climatológicas (leer más) Señales de Radar: La influencia de las señales o rayos de radar sobre el

funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

Instalaciones Eléctricas (leer más) Ergometría (leer más)

Acciones Hostiles

Robo: Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro

Fraude: Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.

Sabotaje: El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.

Control de Accesos: El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de Guardias (leer más) Utilización de Detectores de Metales: El detector de metales es un elemento

sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.

Utilización de Sistemas Biométricos (leer más)

Verificación Automática de Firmas (VAF): En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada. El equipamiento de colección de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata.

Seguridad con Animales: Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.

Protección Electrónica (leer más)

En conclusión, evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. Tener controlado el ambiente y acceso físico permite:

disminuir siniestros trabajar mejor manteniendo la sensación de seguridad descartar falsas hipótesis si se produjeran incidentes tener los medios para luchar contra accidentes

Las distintas alternativas vistas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados. Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

La Seguridad Lógica y la Seguridad de la Información

La evolución normal del concepto de seguridad en una sociedad de la información y el conocimiento, hace que las estrategias de seguridad de la antigüedad cobren vida en un mundo regido por los " bits y bytes ." Todas las condiciones de seguridad analizadas en el aparte anterior tienen sus equivalentes en el mundo de la informática y la tecnología.

La Seguridad Lógica se refiere a que la información solo pueda ser accesada parcialmente según el puesto de la persona, de modo que solo el administrador del sistema y alguno otro alto funcionario tenga acceso

completo, eso previene fraudes y otros daños. Hay quienes incluyen en la seguridad lógica, la seguridad de la información, lo que incluye la protección contra virus, robos de datos, modificaciones, intrusiones no autorizadas, respaldos adecuados y demás cosas relacionadas.

El activo más importante de un sistema informático es la información y, por tanto, la seguridad lógica se plantea como uno de los objetivos más importantes.

Después de ver cómo nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada. Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica. Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica. Los objetivos que se plantean serán:

- Restringir el acceso a los programas y archivos. - Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. - Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. - Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. - Que la información recibida sea la misma que ha sido transmitida. - Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. - Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

- Identificación y Autentificación (leer más) - Roles: El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. - Transacciones: También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada. - Limitaciones a los Servicios: Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario. - Modalidad de Acceso (leer más) - Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana. De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados. - Control de Acceso Interno (leer más) - Control de Acceso Externo (leer más) - Administración (leer más)

Niveles de Seguridad Informática

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

- Nivel D : Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. - Nivel C1: Protección Discrecional. Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:

*-. Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos. *-. Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.

- Nivel C2: Protección de Acceso Controlado. Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización. Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el

administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. - Nivel B1: Seguridad Etiquetada: Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos. - Nivel B2: Protección Estructurada. Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios. - Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder. - Nivel A: Protección Verificada. Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.

Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

Si en la antigüedad los activos a proteger eran de condición tangible y real, como el oro, los semovientes y las personalidades, entre otras, hoy el activo fundamental se llama información. Esa pieza de datos procesados y analizados que constituyen la nueva moneda y pasaporte para vivir en la sociedad actual. La información se convierte en el activo de carácter intangible (por aquello que no es posible verlo a simple vista en su estado natural) y susceptible de manipulación, que hace que cada uno de sus dueños muestre interés en su protección y control.

La información es ahora la razón evidente y concreta para que la industria madure en el uso y control de la misma a través de dispositivos informáticos y electrónicos que la reciban, almacenen, analicen, controlen y reporten, de tal manera que las organizaciones tomen decisiones, revisen sus estrategias y promulguen sus planes. Es importante aclarar, que si bien, en la antigüedad se tenía claro el manejo de la información, particularmente en los sistemas de inteligencia, en el contexto de la seguridad de la información, los elementos tecnológicos generan una complejidad particular que debe ser enfrentada y administrada por los nuevos guardianes, denominados analistas de seguridad.

Con la evolución de la computación, de un contexto cerrado y limitado en los 1970s, a uno más abierto y con más oportunidades en los 1980s, se inicia la carrera para el desarrollo de mecanismos de seguridad informática, particularmente orientadas a las redes como son firewalls, sistemas de detección de intrusos, criptografía asimétrica, Secure Socket Layer ( SSL, navegación segura), proxies, entre otros, los cuales establecen una nueva responsabilidad para el área de tecnologías de información y por extensión de protección a las áreas de seguridad física.

Los nuevos mecanismos de seguridad que se presentan recogen las prácticas de los 1970s y desarrollan nuevas funcionalidades para disminuir los impactos de la inseguridad propia de los protocolos asociados con TCP/IP , protocolo fundamental que se propone para interconectar los diferentes puntos tecnológicos disponibles en una organización.

En este contexto, avanzan rápidamente las propuestas de seguridad y control de la información que ahora, no está concentrada en un punto específico de la organización, sino que fluye de manera asincrónica (en diferentes momentos) y asimétrica (en diferentes lugares y con diferentes temáticas) dentro y fuera de las empresas, lo cual, si lo comparamos con lo que se veía en la antigüedad, es una oportunidad y amenaza que puede o no, debilitar la posición estratégica y táctica de una corporación.

Convergencia: Seguridad Integral

Siguiendo lo establecido por ASIS International para la descripción del cargo de un chief security officer ( CSO ), éste es responsable por cuatro diferentes disciplinas de aplicación

de la administración de riesgos: seguridad de la información, seguridad física, continuidad del negocio y valoración de riesgos.

En este contexto, se muestra claramente que el concepto especializado de seguridad, revisado en el desarrollo de este documento, tiende a integrarse en un solo, que cobija las diferentes visiones del mismo problema al interior de la organización. Agregaríamos adicionalmente, los elementos propios de la protección de la vida humana como son los sistemas de emergencias, sistemas contra incendio, primeros auxilios y evacuaciones.

La seguridad en el escenario propio de la globalización y de convergencia de los temas, no es una disciplina inmune a esta tendencia. Comprender la seguridad en un contexto integral, establece el nuevo paradigma de la seguridad corporativa como una disciplina de carácter sistémico y sistemático, que no escatima en análisis y revisiones para identificar posibles focos de inseguridad en cualquiera de los dominios presentados, para avanzar en estrategias interdisciplinarias que permitan una mejor comprensión de los riesgos de seguridad organizacionales.

Por tanto, no existe una priorización de temas, o valoración de importancia entre ellos, pues todos suman al descubrimiento y construcción del sistema de gestión de seguridad, que cruza culturas, dominios de conocimiento, tipos de riesgos y amenazas, para concentrarse en los efectos de éstos, no en activos particulares, sino en los procesos de negocio, en sus flujos de información y su impacto en el logro de los objetivos organizacionales.

La seguridad integral en el contexto actual exige una reflexión profunda de cada uno de los especialistas actuales, sus ideas, culturas e intereses, para que superando sus áreas de conocimiento, se establezcan rutas de conocimiento conjunto, armonizados por un solo objetivo, que es delinear una cultura de protección y valoración de activos, que sumando en un lenguaje común, pueda comunicar, actuar y modelar los riesgos a partir de la experiencia misma de las personas y su percepción de las amenazas en el desarrollo de sus actividades.

Establecer lineamientos que permitan una seguridad integral, un concepto unificado de protección, implica cruzar los dominios de la seguridad física, informática, continuidad de negocio, valoración de riesgos, emergencias, evacuaciones, contraincendio, primeros auxilios e investigaciones derivadas de la materialización de los riesgos, en el escenario de sus operaciones y actividades detalladas, para luego evaluar las consideraciones tácticas de las mismas, que nos lleven a una visión estratégica de la seguridad que sea aplicable al proceso mismo de negocio; que apoyado con el especialista del área, reconozca lo sistémico del concepto y, lo sistemático y especializado de su aplicación.

Del Enterprise Security Management (ESM) al Enterprise Security Governance (ESG)

La literatura especializada en temas de seguridad integral, así como las tendencias internacionales sobre la convergencia de servicios y conceptos, detalla nuevas propuestas conceptuales que buscan ayudar a los profesionales y teóricos para visualizar una nueva práctica de la seguridad, ahora en un mundo global y más dinámico.

En este escenario los especialistas plantean una estrategia denominada enterprise security management (ESM), que podría traducirse como Administración o Gerencia de la Seguridad Corporativa, como ese concepto que permite a un analista monitorear la infraestructura de una organización en tiempo real, indistintamente el producto, proveedor y su versión. Si bien el concepto se utiliza generalmente en temas de tecnologías de información, recientemente se hace extensivo a los temas de seguridad física y

electrónica, forjando una visión integrada de la seguridad organizacional, más allá de una alarma de alerta informática o ataque informático o de un acceso no autorizado o violación de un perímetro de seguridad física.

El ESM es una respuesta concreta y práctica a la integración de tecnologías y conceptos de seguridad física, electrónica e informática que busca recolectar los registros de auditoría ( logs ), mensajes de error, fallas y alertas, que se denominan eventos, los cuales vienen de diferentes fuentes y con diferentes formatos, para luego correlacionarlos y establecer posibles patrones o vectores de ataque o incidentes en curso, que proporcionen a los analistas de seguridad orientación sobre las acciones que puedan adelantar frente al riesgo o amenaza identificada.

Contar con un ESM es una manera de visualizar un tablero de control y monitoreo de los diferentes puntos de la infraestructura, que alineados con las mejores prácticas internacionales de registro, seguimiento y reconstrucción de eventos, es capaz de responder a las iniciativas normativas internacionales sobre protección de activos (cualquiera que éstos sean) y como soporte a las investigaciones que de sus análisis se deriven, para identificar a los posibles intrusos o atacantes de la infraestructura.

Es importante anotar que contar con un ESM exige una infraestructura tecnológica especializada, un conocimiento holístico de los riesgos corporativos y la habilidad de cruzar de un dominio de especialidad técnica en seguridad a otro. Esto implica que las culturas de los especialistas de seguridad, los nuevos profesionales de la administración de riesgos y los entes de control, deben conjugar su experiencia y conocimiento para desarrollar unos nuevos lentes preventivos y correctivos, que vean más allá de un hecho mismo y correlacionen las diferente variables del escenario disponibles en los registros del ESM .

Si lo anterior es correcto, la siguiente evolución lógica del ESM será el Enterprise Security Governance ( ESG ), que podríamos traducirlo como el Gobierno de la Seguridad Corporativa, como un tema emergente táctico y estratégico que desarrolla una arquitectura de seguridad corporativa general y transversal, que basada en la administración corporativa de la seguridad, es capaz de alinear las necesidades de los ejecutivos de la empresa: disponibilidad, acceso, precisión y agilidad en un lenguaje común de acción que sea parte natural de los procesos de negocio.

Esta arquitectura requiere de un arquitecto de seguridad; ese visionario que crea el concepto de cómo se deben dar las relaciones entre las diferentes especialidades de la seguridad e instaura las reglas de diseño que permitan definir los atributos del negocio críticos a proteger, los objetivos de control a considerar, las estrategias de seguridad y control a implementar, el personal especializado para operar, los puntos de seguimiento y auditoría para monitorear y, una mente abierta y despierta para desaprender y evolucionar.

En esta nueva etapa planteada, que no es posible establecer cuando pueda ocurrir, las organizaciones podrán hacer parte de sus discusiones de alto nivel los temas de seguridad, no como requisitos funcionales de la operación de la empresa, sino como una manera de generar valor y diferenciación en los clientes. La seguridad será parte de los niveles ejecutivos como factor fundamental del proceso de la planeación del negocio; como esa propiedad que le da profundidad a las tendencias del mercado en cada una de las industrias.

Reflexiones Finales

"La preocupación por el futuro, la idea de dónde están las oportunidades y la comprensión del cambio organizativo no son patrimonio exclusivo de un grupo concreto: las personas de todos los niveles de la empresa pueden ayudar a definir el futuro."

Si esta afirmación es correcta, el futuro de la seguridad integral o el gobierno de la seguridad corporativa, se inicia en cada una de las iniciativas que se adelanten para comprender las diferentes integraciones de los dominios de especialidad en la seguridad.

Estos esfuerzos de aprendizaje y descubrimiento de los puntos en común de los diferentes temas que aborda la seguridad, no es un desconocimiento de la necesidad de la especialización de cada una de las áreas, sino el llamado formal de la academia, la industria, los reguladores y los gobiernos, para comprender de manera relacional y global los efectos de la inseguridad en la dinámica de los negocios actuales.

La convergencia de la seguridad, en todos sus escenarios es la manera concreta y real de comprender que requerimos modelar los riesgos y no asumirlos; que requerimos mayor confiabilidad de los procesos y no seguridad; que requerimos una mente que descubra los nexos causales de los hechos y no sólo concentrarnos en los hechos particulares. Si asumimos los fenómenos convergentes de la seguridad en el escenario actual de un sistema globalizado, es posible avanzar con mayor agilidad a la siguiente etapa planteada denominada el Gobierno de la Seguridad Corporativa ( figura 3 ).

Relaciones entre gobierno, administración y operación de la seguridad

Este gobierno necesariamente estará enmarcado en un proceso de madurez, que deberá asistir las acciones que fortalezcan las estructuras concretas de toma de decisiones para actuar, los canales de comunicación necesarios para coordinar y los acuerdos corporativos para alinear y satisfacer las expectativas de la alta gerencia sobre la protección de sus activos físicos y de información.

La convergencia de la seguridad, en sus diferentes especialidades, es la respuesta nativa de la evolución de la inseguridad, como ese intruso invisible que habita en las relaciones evidentes entre la tecnología, la organización, las personas y las normas. Avanzar en la convergencia de la seguridad, con una mente sistémica, es dejar al descubierto los rastros de la inseguridad en cada relación, como una forma para seguir de cerca los retos y desafíos que implican las vulnerabilidades propias de los activos a proteger.

Por tanto, si usted está pensando en avanzar hacia una modelo convergente de la seguridad recuerde los siguientes cinco (5) ingredientes vitales, que alimentarán su ánimo y harán evidentes las relaciones entre el gobierno, la administración y la operación:

1. Defina las expectativas de la Alta Gerencia como aquellos atributos de seguridad (confidencialidad, integridad, disponibilidad, confiabilidad, trazabilidad, entre otros) que deben ser inherentes al negocio.

2. Diseñe su arquitectura de seguridad basada en los atributos propuestos en punto 1 y en los flujos de la información corporativa.

3. Diseñe, implemente y actualice la infraestructura de seguridad conforme lo establecido en punto 2.

4. Administre los incidentes de seguridad como parte inherente de la operación en punto 3.

5. Monitoree los temas de cumplimiento y normatividad que les sean aplicables.

Si está atento a estos ingredientes, su postura de seguridad convergente no sólo tendrá vida propia, sino que animará la discusión sobre la transformación de los ejecutivos de la seguridad, que ahora no serán sólo parte del grupo táctico y operacional, sino elementos de consideración en las reflexiones de las juntas directivas.

Alok Mittal, responsable de la línea de productos de Gestión de Información de Seguridad Física de Cisco Systems, apuesta por la conectividad como clave de la seguridad ciudadana.

Mucha gente utiliza dispositivos físicos -como las tarjetas de identificación personal- para entrar y salir de los edificios. Sin embargo, esto también se puede hacer virtualmente desde un ordenador conectado a una red. Con solo identificarse con un código, es posible regular la calefacción, las luces o comprobar a través de un puñado de cámaras quién se mueve por sus pasillos, todo ello desde la pantalla y sin necesidad de acceder allí físicamente.

Para Alok Mittal, responsable de la línea de productos de Gestión de Información de Seguridad Física de Cisco Systems (PSIM, por sus siglas en inglés), esta convergencia entre la autenticación física y digital “está sucediendo” y la forma de responder a los retos que plantea y de aprovechar sus ventajas pasa por potenciar “la conectividad y la colaboración”.

Con las tecnologías móviles y los servicios en la nube en auge, Mittal se encarga de diseñar plataformas que “acerquen las necesidades entre la seguridad física y lógica” de los ciudadanos y de los espacios donde estos viven y trabajan. Para hablar sobre ello, Mittal fue invitado a participar en el panel de ciudades inteligentes de EmTech Colombia y compartió sus impresiones con MIT Technology Review en español.

Pregunta: ¿Qué aspecto tendrán las tecnologías de seguridad personal del futuro?

Alok Mittal: Todo va a girar en torno a la conectividad y la colaboración. ¿Cómo reducir el tráfico y su impacto en la salud o en el medio ambiente? Con más colaboración. Realizando acciones mientras estás sentado en casa. Lo importante es la colaboración y la conectividad remota, el cómo colaboras de forma efectiva con otros miembros de la sociedad.

¿Qué papel jugará exactamente la seguridad?

La seguridad es un componente crítico en las ciudades porque tienes que asegurar que las personas y las infraestructuras están protegidas. Si eso no es así, la gente nunca se sentiría confiada para trasladarse a una ciudad. La seguridad es uno de los elementos capacitadores clave de las ciudades del futuro. Su adopción se está produciendo a través de tecnologías como la videovigilancia, el control de acceso, la colaboración entre varios sistemas de radio o el streaming de video en tabletas y teléfonos inteligentes. (Ver documento ampliado sobre Videovigilancia)

¿Qué sistemas colaborativos está desarrollando Cisco?

La videovigilancia, por ejemplo. Las cámaras son sustitutos: no puedes tener guardias en cada punto de la ciudad pero sí cámaras. Una vez que identificas un incidente necesitas la tecnología para que puedan coordinarse varios agentes y dar una respuesta unitaria y consolidada: bomberos, policía, autoridades de diferentes jurisdicciones, etc. No importa

mucho qué utilices. Pueden ser diferentes tipos de dispositivos, cualquier tipo de conexión, cualquier tipo de fuente debe poder conectarse, ya sea un iPhone, un iPad o los ordenadores de los coches patrulla. Estamos hablando de la necesidad de conectividad que potencie la respuesta. Lo esencial es saber qué está pasando en diferentes puntos de la ciudad y poder comunicar a las personas apropiadas.

¿Cómo gestionamos la gran cantidad de datos que captan estos sistemas?

Hay muchos tipos diferentes de sensores (de humo, de monóxido de carbono, perímetros de seguridad por si alguien atraviesa una frontera, etc.) que envían advertencias y alarmas. La gestión de los datos se convierte en algo crítico, y necesitamos usar tecnología para extraer el ruido y establecer correlaciones que nos permitan atender solo las alarmas reales. Por ejemplo, si solo llega una alarma concreta de un sistema, puede no ser importante, pero si me llega la misma de cinco edificios diferentes quizá algo va mal.

¿En qué son mejores los sistemas de Cisco?

Todos estos sistemas son posibles porque están en una plataforma común llamada red IP y Cisco es el líder del mercado de IP con casi 30 años de experiencia. La infraestructura crítica de routers y conmutadores que permiten a la gente comunicarse entre sí en Internet son de Cisco. Las tecnologías de seguridad física, como las cámaras, no van a seguir siendo analógicas sino que el video que captan es digitalizado y viaja por Internet a través de la red IP. Todas estas tecnologías requieren IP y Cisco ofrece fiabilidad y soporte en todas las situaciones.

¿Hay hueco para start-ups en este campo?

Las start-ups juegan un rol muy importante. A medida que la tecnología mejora, a medida que la gente utiliza más teléfonos móviles, o lleva sus dispositivos al trabajo, se crean nuevas demandas de seguridad. Siempre que hay un salto tecnológico en cualquier materia hay algún aspecto de seguridad que necesita ser desarrollado. La tendencia general ha sido que las empresas grandes buscan start-ups que les

provean de lo que necesitan, en vez de construirlo todo ellas mismas, especialmente desarrollos nuevos.

¿Con quién colabora Cisco para crear mejores sistemas de seguridad?

Con cientos de empresas, entre ellas Google o Microsoft. Desde el punto de vista de la seguridad física estamos mirando hacia estándares abiertos, de manera que la cámara de cualquier persona pueda comunicarse con cualquier grabadora de video, o que el software como el del Gestor de Operaciones de Seguridad Física (PSOM, por sus siglas en inglés) pueda recoger datos de cualquier sistema. De esta forma conseguimos sencillez para el cliente y que no tenga que reemplazar toda su infraestructura.

(Anexo Seguridad Física)

Protección Electrónica

Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de sensores conectados a centrales de alarmas. Estas centrales tienen conectadas los elementos de señalización que son los encargados de hacerles saber al personal de una situación de emergencia. Cuando uno de los elementos sensores detectan una situación de riesgo, éstos transmiten inmediatamente el aviso a la central; ésta procesa la información recibida y ordena en respuesta la emisión de señales sonoras o luminosas alertando de la situación. Barreras Infrarrojas y de Micro-Ondas Transmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican por medio de pulsos con el fin de evadir los intentos de sabotaje. Estas barreras están compuestas por un transmisor y un receptor de igual tamaño y apariencia externa. Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenómenos aleatorios como calefacción, luz ambiental, vibraciones, movimientos de masas de aire, etc. Las invisibles barreras fotoeléctricas pueden llegar a cubrir áreas de hasta 150 metros de longitud (distancias exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con una misma barrera diferentes sectores. Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor opere con señales de muy bajo nivel sin ser afectado por otras emisiones de radio, ya que están muy alejadas en frecuencia. Debido a que estos detectores no utilizan aire como medio de propagación, poseen la ventaja de no ser afectados por turbulencias de aire o sonidos muy fuertes. Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana de vidrio, plástico, tabiques de madera, revoques sobre madera, mampostería y hormigón. Detector Ultrasónico Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier movimiento que realice un cuerpo dentro del espacio protegido, generará una perturbación en dicho campo que accionará la alarma. Este sistema posee un circuito refinado que

elimina las falsas alarmas. La cobertura de este sistema puede llegar a un máximo de 40 metros cuadrados. Detectores Pasivos Sin Alimentación Estos elementos no requieren alimentación extra de ningún tipo, sólo van conectados a la central de control de alarmas para mandar la información de control. Los siguientes están incluidos dentro de este tipo de detectores:

Detector de aberturas: contactos magnéticos externos o de embutir. Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de

baja frecuencia; sensibilidad regulable. Detector de vibraciones: detecta golpes o manipulaciones extrañas sobre la

superficie controlada.

Sonorización y Dispositivos Luminosos Dentro de los elementos de sonorización se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc. Estos deben estar colocados de modo que sean efectivamente oídos o vistos por aquellos a quienes están dirigidos. Los elementos de sonorización deben estar bien identificados para poder determinar rápidamente si el estado de alarma es de robo, intrusión, asalto o aviso de incendio. Se pueden usar transmisores de radio a corto alcance para las instalaciones de alarmas locales. Los sensores se conectan a un transmisor que envía la señal de radio a un receptor conectado a la central de control de alarmas encargada de procesar la información recibida. Circuitos Cerrados de Televisión (CCTV)

Permiten el control de todo lo que sucede en la planta según lo captado por las cámaras estratégicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cámaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad).

Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que si en algún momento se corta la alimentación o se produce la rotura de alguno de sus componentes, se enviará una señal a la central de alarma para que ésta accione los elementos de señalización correspondientes. (Ver documento ampliado sobre Videovigilancia) Edificios Inteligentes La infraestructura inmobiliaria no podía quedarse rezagada en lo que se refiere a avances tecnológicos. El Edificio Inteligente (surgido hace unos 10 años) se define como una estructura que facilita a usuarios y administradores, herramientas y servicios integrados a la administración y comunicación. Este concepto propone la integración de todos los

sistemas existentes dentro del edificio, tales como teléfonos, comunicaciones por computadora, seguridad, control de todos los subsistemas del edificio (gas, calefacción, ventilación y aire acondicionado, etc.) y todas las formas de administración de energía. Una característica común de los Edificios Inteligentes es la flexibilidad que deben tener para asumir modificaciones de manera conveniente y económica.

Relacionado: Domótica: las casas conectadas a Internet y controladas remotamente. El internet de las cosas: Todo interconectado. Ciudades inteligentes e interconectadas.

Sistemas Biométricos

Definimos a la Biometría como "la parte de la biología que estudia en forma cuantitativa la variabilidad individual de los seres vivos utilizando métodos estadísticos". La Biometría es una tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas. La forma de identificación consiste en la comparación de características físicas de cada persona con un patrón conocido y almacenado en una base de datos. Los lectores biométricos identifican a la persona por lo que es (manos, ojos, huellas digitales y voz). Los Beneficios de una Tecnología Biométrica Pueden eliminar la necesidad de poseer una tarjeta para acceder. Aunque las reducciones de precios han disminuido el costo inicial de las tarjetas en los últimos años, el verdadero beneficio de eliminarlas consiste en la reducción del trabajo concerniente a su administración. Utilizando un dispositivo biométrico los costos de administración son más pequeños, se realiza el mantenimiento del lector, y una persona se encarga de mantener la base de datos actualizada. Sumado a esto, las características biométricas de una persona son intransferibles a otra. Emisión de Calor: Se mide la emisión de calor del cuerpo (termograma), realizando un mapa de valores sobre la forma de cada persona. Huella Digital: Basado en el principio de que no existen dos huellas dactilares iguales, este sistema viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella digital posee pequeños arcos, ángulos, bucles, remolinos, etc. (llamados minucias) características y la posición relativa de cada una de ellas es lo analizado para establecer la identificación de una persona. Esta aceptado que dos personas no tienen más de ocho minucias iguales y cada una posee más de 30, lo que hace al método sumamente confiable.

Verificación de Voz: La dicción de una (o más) frase es grabada y en el acceso se compara la vos (entonación, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc. Verificación de Patrones Oculares: Estos modelos pueden estar basados en los patrones del iris o de la retina y hasta el momento son los considerados más efectivos (en 200 millones de personas la probabilidad de coincidencia es casi 0). Su principal desventaja reside en la resistencia por parte de las personas a que les analicen los ojos, por revelarse en los mismos enfermedades que en ocasiones se prefiere mantener en secreto.

Utilización de Guardias

Control de Personas: El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. A cualquier personal ajeno a la planta se le solicitará completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc. El uso de credenciales de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa. En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta de identificación. Cada una de ellas tiene un PIN (Personal Identification Number) único, siendo este el que se almacena en una base de datos para su posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que la posea. Estas credenciales se pueden clasificar de la siguiente manera:

- Normal o definitiva: para el personal permanente de planta. - Temporaria: para personal recién ingresado. - Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma. - Visitas.

Las personas también pueden acceder mediante algo que saben (por ejemplo un número de identificación o una password) que se solicitará a su ingreso. Al igual que el caso de las tarjetas de identificación los datos ingresados se contrastarán contra una base donde se almacena los datos de las personas autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificaciones sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas. Control de Vehículos Para controlar el ingreso y egreso de vehículos, el personal de vigilancia debe asentar en

una planilla los datos personales de los ocupantes del vehículo, la marca y patente del mismo, y la hora de ingreso y egreso de la empresa. Desventajas de la Utilización de Guardias La principal desventaja de la aplicación de personal de guardia es que éste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para poder ingresar o egresar de la planta con materiales no autorizados. Esta situación de soborno es muy frecuente, por lo que es recomendable la utilización de sistemas biométricos para el control de accesos.

Ergometría

"La Ergonomía es una disciplina que se ocupa de estudiar la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible." El enfoque ergonómico plantea la adaptación de los métodos, los objetos, las maquinarias, herramientas e instrumentos o medios y las condiciones de trabajo a la anatomía, la fisiología y la psicología del operador. Entre los fines de su aplicación se encuentra, fundamentalmente, la protección de los trabajadores contra problemas tales como el agotamiento, las sobrecargas y el envejecimiento prematuro. Trastornos Óseos y/o Musculares Una de las maneras de provocar una lesión ósea o muscular es obligar al cuerpo a ejecutar movimientos repetitivos y rutinarios, y esta posibilidad se agrava enormemente si dichos movimientos se realizan en una posición incorrecta o antinatural. En el ambiente informático, la operación del teclado es un movimiento repetitivo y continuo, si a esto le sumamos el hecho de trabajar con una distribución ineficiente de las teclas, el diseño antinatural del teclado y la ausencia (ahora atenuada por el uso del mouse) de movimientos alternativos al de tecleado, tenemos un potencial riesgo de enfermedades o lesiones en los músculos, nervios y huesos de manos y brazos. En resumen, el lugar de trabajo debe estar diseñado de manera que permita que el usuario se coloque en la posición más natural posible. Como esta posición variará de acuerdo a los distintos usuarios, lo fundamental en todo esto es que el puesto de trabajo sea ajustable, para que pueda adaptarse a las medidas y posiciones naturales propias de cada operador. Trastornos Visuales Los ojos, sin duda, son las partes más afectadas por el trabajo con computadoras. La pantalla es una fuente de luz que incide directamente sobre el ojo del operador, provocando, luego de exposiciones prolongadas el típico cansancio visual, irritación y lagrimeo, cefalea y visión borrosa.

Si a esto le sumamos un monitor cuya definición no sea la adecuada, se debe considerar la exigencia a la que se someterán los ojos del usuario al intentar descifrar el contenido de la pantalla. Además de la fatiga del resto del cuerpo al tener que cambiar la posición de la cabeza y el cuello para acercar los ojos a la misma. Para prevenir los trastornos visuales en los operadores podemos tomar recaudos como tener especial cuidado al elegir los monitores y placas de vídeo de las computadoras; y usar de pantallas antirreflejo o anteojos con protección para el monitor, es una medida preventiva importante y de relativo bajo costo, que puede solucionar varios de los problemas antes mencionados. La Salud Mental La carga física del trabajo adopta modalidades diferentes en los puestos informatizados. De hecho, disminuye los desplazamientos de los trabajadores y las tareas requieren un menor esfuerzo muscular dinámico, pero aumenta, al mismo tiempo, la carga estática de acuerdo con las posturas inadecuadas asumidas. Por su parte, la estandarización y racionalización que tiende a acompañar la aplicación de las PCs en las tareas de ingreso de datos, puede llevar a la transformación del trabajo en una rutina inflexible que inhibe la iniciativa personal, promueve sensaciones de hastío y monotonía y conduce a una pérdida de significado del trabajo. Además, el estrés informático está convirtiéndose en una nueva enfermedad profesional relacionada con el trabajo, provocada por la carga mental y psíquica inherente a la operación con los nuevos equipos. Los efectos del estrés pueden encuadrarse dentro de varias categorías:

- Los efectos fisiológicos inmediatos, caracterizados por el incremento de la presión arterial, el aumento de la frecuencia cardiaca, etc. - Los efectos psicológicos inmediatos hacen referencia a la tensión, irritabilidad, cólera, agresividad, etc. Estos sentimientos pueden, a su vez, inducir ciertos efectos en el comportamiento tales como el consumo de alcohol y psicofármacos, el hábito de fumar, etc.

(Ver también Tecnoadicciones y Tecnoestrés)

También existen consecuencias médicas a largo plazo, tales como enfermedades coronarias, hipertensión arterial, úlceras pépticas, agotamiento; mientras que las consecuencias psicológicas a largo plazo pueden señalar neurosis, insomnio, estados crónicos de ansiedad y/o depresión, etc. La apatía, sensaciones generales de insatisfacción ante la vida, la pérdida de la propia estima, etc., alteran profundamente la vida personal, familiar y social del trabajador llevándolo, eventualmente, al aislamiento, al ausentismo laboral y la pérdida de la solidaridad social. Ambiente Luminoso Se parte de la base que las oficinas mal iluminadas son la principal causa de la pérdida de la productividad en las empresas y de un gasto energético excesivo. Una iluminación deficiente provoca dolores de cabeza y perjudica a los ojos. Ambiente Climático En cuanto al ambiente climático, la temperatura de una oficina con computadoras debe estar comprendida entre 18 y 21 grados centígrados y la humedad relativa del aire debe estar comprendida entre el 45% y el 65%. En todos los lugares hay que contar con sistemas que renueven el aire periódicamente. No menos importante es el ambiente sonoro por lo que se recomienda no adquirir equipos que superen los 55 decibeles, sobre todo cuando trabajan muchas personas en un mismo espacio.

Instalación Eléctrica

Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta una de las principales áreas a considerar en la seguridad física. Además, es una problemática que abarca desde el usuario hogareño hasta la gran empresa. En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial. Picos y Ruidos Electromagnéticos: Las subidas (picos) y caídas de tensión no son el único problema eléctrico al que se han de enfrentar los usuarios. También está el tema del ruido que interfiere en el funcionamiento de los componentes electrónicos. El ruido interfiere en los datos, además de favorecer la escucha electrónica. Cableado: Los cables que se suelen utilizar para construir las redes locales van del cable telefónico normal al cable coaxil o la fibra óptica. Algunos edificios de oficinas ya se construyen con los cables instalados para evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo de un corte, rozadura u otro daño accidental.

Los riesgos más comunes para el cableado se pueden resumir en los siguientes:

- Interferencia: estas modificaciones pueden estar generadas por cables de alimentación de maquinaria pesada o por equipos de radio o microondas. Los cables de fibra óptica no sufren el problema de alteración (de los datos que viajan a través de él) por acción de campos eléctricos, que si sufren los cables metálicos. - Corte del cable: la conexión establecida se rompe, lo que impide que el flujo de datos circule por el cable. - Daños en el cable: los daños normales con el uso pueden dañar el apantallamiento que preserva la integridad de los datos transmitidos o dañar al propio cable, lo que hace que las comunicaciones dejen de ser fiables.

En la mayor parte de las organizaciones, estos problemas entran dentro de la categoría de daños naturales. Sin embargo también se pueden ver como un medio para atacar la red si el objetivo es únicamente interferir en su funcionamiento. El cable de red ofrece también un nuevo frente de ataque para un determinado intruso que intentase acceder a los datos. Esto se puede hacer:

- Desviando o estableciendo una conexión no autorizada en la red: un sistema de administración y procedimiento de identificación de acceso adecuados hará difícil que se puedan obtener privilegios de usuarios en la red, pero los datos que fluyen a través del cable pueden estar en peligro. - Haciendo una escucha sin establecer conexión, los datos se pueden seguir y pueden verse comprometidos. Luego, no hace falta penetrar en los cables físicamente para obtener los datos que transportan.

Cableado de Alto Nivel de Seguridad: Son cableados de redes que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la posibilidad de infiltraciones y monitoreos de la información que circula por el cable. Consta de un sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de variación de presión se dispara un sistema de alarma. Pisos de Placas Extraíbles: Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles, debajo del mismo. Sistema de Aire Acondicionado: Se debe proveer un sistema de calefacción, ventilación y aire acondicionado separado, que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva. Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e inundaciones, es recomendable instalar redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extinguidores de incendio, monitores y alarmas efectivas. Emisiones Electromagnéticas: Desde hace tiempo se sospecha que las emisiones, de muy baja frecuencia que generan algunos periféricos, son dañinas para el ser humano. Según recomendaciones científicas estas emisiones podrían reducirse mediante filtros adecuados al rango de las radiofrecuencias, siendo estas totalmente seguras para las

personas. Para conseguir que las radiaciones sean mínimas hay que revisar los equipos constantemente y controlar su envejecimiento.

Condiciones Climatológicas

Normalmente se reciben por anticipado los avisos de tormentas, tempestades, tifones y catástrofes sísmicas similares. Las condiciones atmosféricas severas se asocian a ciertas partes del mundo y la probabilidad de que ocurran está documentada. La frecuencia y severidad de su ocurrencia deben ser tenidas en cuenta al decidir la construcción de un edificio. La comprobación de

los informes climatológicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos móviles, la provisión de calor, iluminación o combustible para la emergencia. Terremotos: Estos fenómenos sísmicos pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la pérdida de vidas humanas. El problema es que en la actualidad, estos fenómenos están ocurriendo en lugares donde no se los asociaba. Por fortuna los daños en las zonas improbables suelen ser ligeros.

Incendios

Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas. El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas. Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputos. Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cómputos son: El área en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable. El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas. Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo. Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego. No debe estar permitido fumar en el área de proceso. Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben

evitarse los materiales plásticos e inflamables. El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables. Seguridad del Equipamiento Es necesario proteger los equipos de cómputo instalándolos en áreas en las cuales el acceso a los mismos sólo sea para personal autorizado. Además, es necesario que estas áreas cuenten con los mecanismos de ventilación y detección de incendios adecuados. Para protegerlos se debe tener en cuenta que:

- La temperatura no debe sobrepasar los 18º C y el limite de humedad no debe superar el 65% para evitar el deterioro. - Los centros de cómputos deben estar provistos de equipo para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito. - Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

Recomendaciones El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de esa área debe estar entrenado para no interferir con este proceso automático. Implementar paredes protectoras de fuego alrededor de las áreas que se desea proteger del incendio que podría originarse en las áreas adyacentes. Proteger el sistema contra daños causados por el humo. Este, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy dañino y requiere una lenta y costosa operación de limpieza. Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel. Suministrar información, del centro de computo, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios.

Relacionado: BUENAS PRÁCTICAS EN INSTALACIÓN Y PUESTA EN MARCHA DE UN SISTEMA CONTRA INCENDIOS

(Anexo Seguridad Lógica)

Identificación y Autentificación

Es la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor

parte de los controles de acceso y para el seguimiento de las actividades de los usuarios. Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación. Al igual que se consideró para la seguridad física, y basada en ella, existen cuatro tipos de técnicas que permiten realizar la autenticación de la identidad del usuario, las cuales pueden ser utilizadas individualmente o combinadas:

- Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc. - Algo que la persona posee: por ejemplo una tarjeta magnética. - Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas digitales o la voz. - Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.

Para cada una de estas técnicas vale lo mencionado en el caso de la seguridad física en cuanto a sus ventajas y desventajas. Se destaca que en los dos primeros casos enunciados, es frecuente que las claves sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por otro lado, loscontroles de autenticación biométricos serían los más apropiados y fáciles de administrar, resultando ser también, los más costosos por lo dificultosos de su implementación eficiente. Desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil les permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single login" o sincronización de passwords. Una de las posibles técnicas para implementar esta única identificación de usuarios sería la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas. La Seguridad Informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos. Esta administración abarca:

- Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es necesario considerar que la solicitud de habilitación de un permiso de acceso para un usuario determinado, debe provenir de su superior y, de acuerdo con sus requerimientos específicos de acceso, debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en la aplicación según corresponda. - Además, la identificación de los usuarios debe definirse de acuerdo con una norma homogénea para toda la organización. - Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso

establecidos. Las mismas deben encararse desde el punto de vista del sistema operativo, y aplicación por aplicación, pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mínimo permiso que requiera de acuerdo con sus funciones. - Las revisiones deben orientarse a verificar la adecuación de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorización de cada habilitación de acceso. Para esto, deben analizarse las cuentas en busca de períodos de inactividad o cualquier otro aspecto anormal que permita una redefinición de la necesidad de acceso. - Detección de actividades no autorizadas. Además de realizar auditorias o efectuar el seguimiento de los registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a las funciones asignadas a cada una. - Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. Para implementar la rotación de funciones, o en caso de reasignar funciones por ausencias temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso. - Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización, llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de empleados con capacidad para modificar aplicaciones o la configuración del sistema, dejando "bombas lógicas" o destruyendo sistemas o recursos informáticos. No obstante, el personal de otras áreas usuarias de los sistemas también puede causar daños, por ejemplo, introduciendo información errónea a las aplicaciones intencionalmente. Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularán de la organización, lo antes posible. En caso de despido, el permiso de acceso debería anularse previamente a la notificación de la persona sobre la situación.

Modalidad de Acceso

Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la información. Esta modalidad puede ser:

- Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla. Debe considerarse que la información puede ser copiada o impresa. - Escritura: este tipo de acceso permite agregar datos, modificar o borrar información. - Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas. - Borrado: permite al usuario eliminar recursos del sistema (como programas, campos de datos o archivos). El borrado es considerado una forma de modificación. - Todas las anteriores.

Además existen otras modalidades de acceso especiales, que generalmente se incluyen en los sistemas de aplicación:

- Creación: permite al usuario crear nuevos archivos, registros o campos. - Búsqueda: permite listar los archivos de un directorio determinado.

Control de Acceso Interno

Palabras Claves (ver Passwords seguras): Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica. Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia cada uno de ellos se romperá por este eslabón: la elección de passwords débiles. Sería deseable usar passwords seguras ya que aquí radican entre el 90% y 99% de los problemas de seguridad planteados.

- Sincronización de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad. - Caducidad y control: este mecanismo controla cuándo pueden y/o deben cambiar sus passwords los usuarios. Se define el período mínimo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen.

Encriptación: La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso. Este tema será abordado con profundidad en el Capítulo sobre Protección del presente.

Listas de Control de Accesos: Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad. Límites sobre la Interfase de Usuario: Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfase de usuario. Por ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones presionando teclas específicas. Etiquetas de Seguridad: Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propósitos como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no son modificables.

Control de Acceso Externo

Dispositivos de Control de Puertos: Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, como por ejemplo un módem. Firewalls o Puertas de Seguridad: Permiten bloquear o filtrar el acceso entre dos redes, usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que los usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización. Este tema será abordado con posterioridad. Acceso de Personal Contratado o Consultores: Debido a que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso. Accesos Públicos: Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir información computarizada (mediante, por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo electrónico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración. Debe considerarse para estos casos de sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organización.

Administración de Seguridad

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas. La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios. La definición de los permisos de acceso requiere determinar cual será el nivel de

seguridad necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad. Para empezar la implementación, es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones. Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles. Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno. Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización. Administración del Personal y Usuarios - Organización del Personal Este proceso lleva generalmente cuatro pasos:

- Definición de puestos: debe contemplarse la máxima separación de funciones posibles y el otorgamiento del mínimo permiso de acceso requerido por cada puesto para la ejecución de las tareas asignadas. - Determinación de la sensibilidad del puesto: para esto es necesario determinar si la función requiere permisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar información confidencial. - Elección de la persona para cada puesto: requiere considerar los requerimientos de experiencia y conocimientos técnicos necesarios para cada puesto. Asimismo, para los puestos definidos como críticos puede requerirse una verificación de los antecedentes personales - Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a la organización, además de sus responsabilidades individuales para la ejecución de las tares que se asignen, deben comunicárseles las políticas organizacionales, haciendo hincapié en la política de seguridad. El individuo debe conocer las disposiciones organizacionales, su responsabilidad en cuanto a la seguridad informática y lo que se espera de él.

Esta capacitación debe orientarse a incrementar la conciencia de la necesidad de proteger los recursos informáticos y a entrenar a los usuarios en la utilización de los sistemas y equipos para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores (principal riesgo relativo a la tecnología informática).

Sólo cuando los usuarios están capacitados y tienen una conciencia formada respecto de la seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia constituye la base fundamental para que el entrenamiento sea efectivo: el personal debe sentir que la seguridad es un elemento prioritario dentro de la organización.

Virus residentes

Este tipo de virus son aquellos que cuando se ponen en marcha, la

primera acción que realizan consiste en comprobar si se cumplen todas

las condiciones para atacar (fecha, hora,… etc.). De no ser así, se

colocan en una zona de la memoria principal, esperando que se ejecute

algún programa. Si en alguna de las operaciones que realiza el sistema

operativo se trabajase con un archivo ejecutable (programa) no infectado

el virus lo infectará. Para ello, el virus se añadirá al programa que infecta,

añadiendo su código al propio código del archivo ejecutable (programa).

Virus de arranque (boot)

Este tipo de virus de Boot, no afectan a los archivos por lo que el

contenido del disco no estará en peligro a no ser que se intente arrancar

el computador con ese disco. Si esto ocurre, el virus realizará la infección

siguiendo una serie de pasos habituales:

1. Reserva un determinado espacio en memoria para que éste no sea

ocupado por ningún otro programa.

2. Después de hacer esto, se coloca en esa zona reservada de la

memoria.

3. Desde esa posición de memoria se encarga de interceptar

servicios que realiza el sistema operativo. En cada ocasión que

una aplicación del S.O. llame a una función de acceso a archivos,

el virus toma el control. De esta forma comprueba si el disco al que

se accede esta infectado y si no lo está, lo infecta.

4. Una última operación que realiza es volver a colocar el sector de

arranque original (sin infectar), cediéndole el control, de tal forma

que parezca no haber ocurrido nada. No obstante el virus seguirá

actuando.

Virus de macro

Los virus macros infectan aquellos documentos de la ofimática (MS

Office, OpenOffice por ejemplo), ya sean documentos hechos en Word,

Excel, Powerpoint, Access o Publisher. El problema es que esos

programas forman parte de un 70% del uso de una computadora

personal, por lo que, son los virus más famosos.

Pues bien, estas macros son susceptibles de infección, lo que significa

que los virus (más concretamente los de macro) pueden fijar sus

objetivos de infección en ellas. En este caso, al abrir un documento que

contenga macros, éstas se cargarán de forma automática (ejecutándose

o esperando que el usuario decida ejecutarlas). En ese instante o

posteriormente, el virus actuará realizando cualquier tipo de operación

perjudicial. A diferencia de lo que se piensa habitualmente, los virus de

macro pueden realizar acciones dañinas de bastante importancia,

propagándose en poco tiempo de forma muy rápida.

Virus multi-partes

Sin duda alguna, éste tipo de virus es el más destructor de todos. Multi-

parte hace referencia a una combinación de todos los virus existentes en

uno sólo causando un daño aún mayor en el equipo en donde se ejecute,

por lo regular son bajos los ataques de este tipo de virus debido a que

son un poco más complejos.

Virus de fichero

Este tipo de virus se encarga de infectar programas o archivos

ejecutables (archivos con extensiones EXE o COM). Al realizar la

ejecución de uno de estos programas, de forma directa o indirecta, el

virus se activa produciendo los efectos dañinos que le caractericen en

cada caso. La mayoría de los virus existentes son de este tipo,

pudiéndose clasificar cada uno de ellos en función de su modo de

actuación.

Virus de sobre-escritura

Este tipo de virus se caracteriza por no respetar la información contenida

en los archivos que infecta, haciendo que estos queden inservibles

posteriormente. Pueden encontrarse virus de sobre-escritura que

además son residentes y otros que no lo son. Aunque la desinfección es

posible, no existe posibilidad de recuperar los archivos infectados, siendo

la única alternativa posible la eliminación de éstos.

En caso de que tu equipo de cómputo presente algún síntoma similar a

los mencionados no se deben de tomar a la ligera sino como una

advertencia y tomar algunas medidas preventivas/correctivas pero la más

recomendada es escanear el ordenador con un antivirus (actualizado).

CICLO DE VIDA DE UN VIRUS

Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando son

erradicados completamente.

Creación

Hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de programación assembler.

Hoy en día, cualquiera con un poco de conocimiento en programación puede crear un virus.

Generalmente, los creadores de los virus, son personas maliciosas que desean causar daño a las

computadoras.

Gestación

Luego de que el virus es creado, el programador hace copias asegurándose de que se diseminen.

Generalmente esto se logra infectando un programa popular y luego enviándolo a algún BBS o

distribuyendo copias en oficinas, colegios u otras organizaciones.

Reproducción Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un largo

tiempo antes de activarse, lo cual permite que se disemine por todos lados.

Activación

Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por ejemplo, en

determinada fecha o cuando el usuario haga algo determinado. Los virus sin rutina dañina no se activan,

pero causan daño al robar espacio en el disco.

Descubrimiento

Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla un virus, se envía al

International Security Association en Washington D.C, para ser documentado y distribuido a los

encargados de desarrollar los productos antivirus.

El descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se convierta en una

amenaza para la comunidad informática.

Asimilación

En este punto, quienes desarrollan los productos antivirus, modifican su programa para que éste pueda

detectar los nuevos virus. Esto puede tomar de un día a seis meses, dependiendo de quien lo desarrolle y

el tipo de virus.

Erradicación

Si suficiente cantidad de usuarios instalan una protección antivirus actualizada, puede erradicarse

cualquier virus. Hasta ahora, ningún virus ha desaparecido completamente, pero algunos han dejado de

ser una amenaza.