Confidencialidad de la Informacin

Es la propiedad de prevenir la divulgacin de informacin a personas o

sistemas no autorizados. A groso modo, la confidencialidad es el acceso a la
informacin nicamente por personas que cuenten con la debida autorizacin.

Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el

nmero de tarjeta de crdito sea transmitida desde el comprador al
comerciante y del comerciante a una red de procesamiento de transacciones.
El sistema intenta hacer valer la confidencialidad mediante el cifrado del
nmero de la tarjeta y los datos que contiene la banda magntica durante la
transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la
tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.

La prdida de la confidencialidad de la informacin puede adoptar muchas

formas. Cuando alguien mira por encima de su hombro, mientras usted tiene
informacin confidencial en la pantalla, cuando se publica informacin privada,
cuando un laptop con informacin sensible sobre una empresa es robada,
cuando se divulga informacin confidencial a travs del telfono, etc. Todos
estos casos pueden constituir una violacin de la confidencialidad.
http://www.coreoneit.com/confidencialidad-de-la-informacion/

CONFIDENCIALIDAD DE LA INFORMATICA
la confidencialidad se entiende en el mbito de laseguridad informtica, como
la proteccin de datos y deinformacin intercambiada entre un emisor y uno o
ms destinatarios frente a terceros. esto debe hacerse independientemente de
la seguridad del sistema decomunicacin utilizado: de hecho, un asunto
de graninters es el problema de garantizar la confidencialidad de la
comunicacin utilizado cuando el sistema es inherentemente insegura (como
internet).
en un sistema que garantice la confidencialidad, un tercero que entra en
posesin de la informacin intercambiada entre el remitente y el destinatario
no es capaz de extraer cualquier contenido inteligible.
para garantizarla se utilizan mecanismos de cifrado y de ocultacin de la
comunicacin. digitalmente se puede mantener la confidencialidad de un
documento con el uso de llaves asimtricas. los mecanismos de cifrado
garantizan la confidencialidad durante el tiempo necesario para descifrar el
mensaje. por esta razn, es necesario determinar durante cunto tiempo el
mensaje debe seguir siendo confidencial. no existe ningn mecanismo de
seguridad absolutamente

http://tecnologia2.bligoo.com.mx/confidencialidad-de-lainformatica#.VWcClc9_Okp
Fundamentos de Seguridad Informtica
Servicios de Seguridad Informtica
Confidencialidad
Servicio de seguridad o condicin que asegura que la informacin no pueda
estar disponible o ser descubierta por o para personas, entidades o procesos
no autorizados. Tambin puede verse como la capacidad del sistema para
evitar que personas no autorizadas puedan acceder a la informacin
almacenada en l.
La confidencialidad es importante porque la consecuencia del descubrimiento
no autorizado puede ser desastrosa. Los servicios de confidencialidad proveen
proteccin de los recursos y de la informacin en trminos del almacenamiento
y de la informacin, para asegurarse que nadie pueda leer, copiar, descubrir o
modificar la informacin sin autorizacin. As como interceptar las
comunicaciones o los mensajes entre entidades.

Mecanismos para salvaguardar la confidencialidad de los datos:

El uso de tcnicas de control de acceso a los sistemas.

El cifrado de la informacin confidencial o de las comunicaciones.

Confidencialidad
Confidencialidad es la propiedad de la informacin, por la que se garantiza que est
accesible nicamente a personal autorizado a acceder a dicha informacin. La
confidencialidad ha sido definida por la Organizacin Internacional de Estandarizacin (ISO)
en la norma ISO/IEC 27002 como "garantizar que la informacin es accesible slo para
aquellos autorizados a tener acceso" y es una de las piedras angulares de la seguridad de la
informacin. La confidencialidad es uno de los objetivos de diseo de muchoscriptosistemas,
hecha posible en la prctica gracias a las tcnicas de criptografa moderna.

La confidencialidad tambin se refiere a un principio tico asociado con varias profesiones

(por ejemplo, medicina, derecho, religin, psicologa profesional, y el periodismo); en este
caso, se habla de secreto profesional. En tica, y (en algunos lugares) en Derecho,
concretamente en juicios y otras formas de resolucin de conflictos legales, tales como
la mediacin, algunos tipos de comunicacin entre una persona y uno de estos profesionales
son "privilegiados" y no pueden ser discutidos o divulgados a terceros. En lasjurisdicciones en
que la ley prev la confidencialidad, por lo general hay sanciones por su violacin.
La confidencialidad de la informacin, impuesta en una adaptacin del principio
clsico militar "need-to-know", constituye la piedra angular de la seguridad de la informacin
en corporaciones de hoy en da. La llamada "burbuja de confidencialidad" restringe los flujos
de informacin, con consecuencias tanto positivas como negativas.

Confidencialidad en Informtica[editar]
La confidencialidad se entiende en el mbito de la seguridad informtica, como la proteccin
de datos y de informacin intercambiada entre un emisor y uno o ms destinatarios frente a
terceros. Esto debe hacerse independientemente de la seguridad del sistema de
comunicacin utilizado: de hecho, un asunto de gran inters es el problema de garantizar la
confidencialidad de la comunicacin utilizado cuando el sistema es inherentemente inseguro
(como Internet).
En un sistema que garantice la confidencialidad, un tercero que entra en posesin de la
informacin intercambiada entre el remitente y el destinatario no es capaz de extraer ningn
contenido inteligible.
Para garantizarla se utilizan mecanismos de cifrado y de ocultacin de la comunicacin.
Digitalmente se puede mantener la confidencialidad de un documento con el uso dellaves
asimtricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo
necesario para descifrar el mensaje. Por esta razn, es necesario determinar durante cunto
tiempo el mensaje debe seguir siendo confidencial. No existe ningn mecanismo de seguridad
absolutamente seguro.

Vase tambin[editar]
http://es.wikipedia.org/wiki/Confidencialidad

Seguridad Informtica

Enviado por Julio Rios

Partes: 1, 2
1.

Introduccin

2.

Seguridad Informtica

3.

Mecanismos de seguridad

4.

Contraseas

5.

Firewalls

6.

Encriptacin

7.

Antivirus

8.

Conclusiones

9.

Recomendaciones

10.

Bibliografa

Introduccin
Se entiende por seguridad informtica al conjunto de normas, procedimientos y herramientas,
que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso
de la informacin que reside en un sistema de informacin.
Cada da ms y ms personas mal intencionadas intentan tener acceso a los datos de nuestros
ordenadores.
El acceso no autorizado a una red informtica o a los equipos que en ella se encuentran pueden
ocasionar en la gran mayora de los casos graves problemas.
Uno de las posibles consecuencias de una intrusin es la prdida de datos. Es un hecho
frecuente y ocasiona muchos trastornos, sobre todo si no estamos al da de las copias
de seguridad. Y aunque estemos al da, no siempre es posible recuperar la totalidad de los
datos.
Otro de los problemas ms dainos es el robo de informacin sensible y confidencial. La
divulgacin de la informacin que posee una empresa sobre sus clientes puede acarrear
demandas millonarias contra esta, o un ejemplo mas cercano a usted es el de nuestras
contraseas de las cuentas de correo por las que intercambiamos informacin con otros.
Con la constante evolucin de las computadoras es fundamental saber que recursos necesitar
para obtener seguridad en los sistemas de informacin.

En el presente informe hablaremos sobre la importancia de seguridad informtica, haremos

referencias sobre a las formas que existen para proteger los sistemas informticos y la
informacin que contienen sobre accesos no autorizados, daos, modificaciones o
destrucciones
OBJETIVOS

El presente informe tiene como objetivo comprender los conceptos bsicos de

seguridad informtica

Describir los principales problemas de seguridad informtica con los que se enfrentas
los usuarios de computadoras.

Conocer los conceptos de Integridad, confiabilidad y disponibilidad de la informacin.

Conocer los factores de riegos

Conocer los mecanismos de seguridad informtica existentes.

Concientizar sobre los riesgos a los que las organizaciones y usuarios de computadoras
se enfrentan en materia de seguridad de la informacin

Y por ultimo ampliar o enriquecer los conocimientos a cerca de la seguridad

informtica.

Seguridad Informtica
La seguridad informtica es la disciplina que se Ocupa de disear las normas,
procedimientos,mtodos y tcnicas, orientados a proveer condiciones seguras y confiables,
para el procesamiento de datos en sistemas informticos.
consiste en asegurar que los recursos del sistema de informacin (material informtico
o programas) de una organizacin sean utilizados de la manera que se decidi y que el acceso a
la informacin all contenida, as como su modificacin, slo sea posible a las personas que se
encuentren acreditadas y dentro de los lmites de su autorizacin.
Principios de Seguridad Informtica:
Para lograr sus objetivos la seguridad informtica se fundamenta en tres principios, que debe
cumplir todo sistema informtico:
Confidencialidad: Se refiere a la privacidad de los elementos de informacin almacenados y
procesados en un sistema informtico, Basndose en este principio, las herramientas de
seguridad informtica deben proteger el sistema de invasiones y accesos por parte de personas
o programas no autorizados. Este principio es particularmente importante en sistemas
distribuidos, es decir, aquellos en los que los usuarios , computadores y datos residen en
localidades diferentes , pero estn fsica y lgicamente interconectados.
Integridad: Se refiere a la validez y consistencia de los elementos de informacin
almacenados y procesador en un sistema informtico. Basndose en este principio, las
herramientas de seguridad informtica deben asegurar que los procesos de actualizacin estn
bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen
adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados,
es decir, aquellos en los que diferentes usuarios , computadores y procesos comparten la misma
informacin.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de informacin

almacenados y procesados en un sistema informtico. Basndose en este principio, las
herramientas de seguridad informtica deber reforzar la permanencia del sistema informtico,
en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la
frecuencia y dedicacin que requieran, este principio es importante en sistemas informticos
cuyos compromiso con el usuario, es prestar servicio permanente.
Factores de Riesgo:
Ambientales/Fsicos : factores externos , lluvias, inundaciones , terremotos, tormentas,
rayos, humedad, calor entre otros.
Partes: 1, 2
Pgina siguiente
http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridad-informatica.shtml
Leer ms: http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridadinformatica.shtml#ixzz3bR6KK5az

Seguridad Informtica (pgina 2)

Enviado por Julio Rios

Partes: 1, 2
Tecnolgicos: Fallas de hardware y/o software, fallas en el aire acondicionado, falla en
el servicio elctrico, ataque por virus informtico, etc.
Humanos: hurto, adulteracin, fraude, modificacin, revelacin, prdida, sabotaje,
vandalismo, crackers, hackers, falsificacin, robo de contraseas, alteraciones etc.

Mecanismos de seguridad
Un mecanismo de seguridad informtica es una tcnica o herramienta que se utiliza para
fortalecer la confidencialidad , la integridad y/o la disponibilidad de un sistema informatico.
Existen muchos y variados mecanismos de seguridad informtica. Su seleccin depende del
tipo de sistema, de su funcin y de los factores de riesgo que lo amenazan.
Clasificacin segn su funcin:
Preventivos: Actan antes de que un hecho ocurra y su funcin es detener agentes no
deseados.

Detectivos: Actan antes de que un hecho ocurra y su funcin es revelar la presencia de

agentes no deseados en algn componente del sistema. Se caracterizan por enviar un aviso y
registrar la incidencia.
Correctivos: Actan luego de ocurrido el hecho y su funcin es corregir la consecuencias.
Segn un informe del ao 1991 del Congressional Research Service, las computadoras tienen
dos caractersticas inherentes que las dejan abiertas a ataques o errores operativos
1.-Una computadora hace exactamente lo que est programada para hacer, incluyendo la
revelacin de informacin importante. Un sistema puede ser reprogramado por
cualquier persona que tenga los conocimientos adecuados.
2.-Cualquier computadora puede hacer slo aquello para lo que est programada , no puede
protegerse a s misma contra un mal funcionamiento o un ataque deliberado a menos que este
tipo de eventos haya sido previsto de antemano y se hayan puesto medidas necesarias para
evitarlos.
Los propietarios de computadoras y los administradores utilizan una gran variedad
de tcnicas de seguridad para protegerse:
1. Restricciones al acceso Fsico: Esta consiste en la aplicacin de barreas
y procedimientos de control , como medidas de prevencin y contramedidas ante amenazas a
los recursos de informacin confidencial.

El Ratn U-Match Bio-Link, comprueba la huella del pulgar del usuario. Contra
una base de datos que contiene las huellas autorizadas.
Se refiere a los controles y mecanismos de seguridad dentro y alrededor del dentro de computo
as como los medios de accesos remoto al y desde el mismo, implementados para proteger el
hardware y medios de almacenamiento de datos. Una forma de reducir las brechas de
seguridad es asegurarse de que slo las personas autorizadas pueden acceder a una
determinada mquina. Las organizaciones utilizan una gran variedad de herramientas tcnicas
para identificar a su personal autorizado. Las computadoras pueden llevar a cabo ciertas
comprobaciones de seguridad, los guardias de seguridad humanos otras. En funcin del
sistema de seguridad implementado, podr acceder a un sistema en funcin a:

Algo que usted tenga: Una llave, una tarjeta de identificacin con una fotografa o
una tarjeta inteligente que contenga una identificacin digital codificada almacenada en un
chip de memoria.

Algo que usted conozca: una contrasea, un nmero de identificacin, una

combinacin de bloqueo o algo de su historial personal.

Algo que usted haga: Su firma o su velocidad de escritura y los patrones de error.

Verificacin Automtica de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra
encuadrarse dentro de las verificaciones biomtricas.Mientras es posible para un falsificador
producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas
de una persona: por ejemplo la firma genuina con exactitud.La VAF, usando emisiones
acsticas toma datos del proceso dinmico de firmar o de escribir.La secuencia sonora de
emisin acstica generada por el proceso de escribir constituye un patrn que es nico en
cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es
ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto.
Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas
similares) y una computadora barata.
Algo suyo: (Sistema Biomtrico) La Biometra es una tecnologa que realiza mediciones en
forma electrnica, guarda y compara caractersticas nicas para la identificacin de personas.,
La forma de identificacin consiste en la comparacin de caractersticas fsicas de cada persona
con un patrn conocido y almacenado en una base de datos. Los lectores biomtricos
identifican a la persona por lo que es (manos, ojos, huellas digitales y voz).
Los Beneficios de una Tecnologa Biomtrica Pueden eliminar la necesidad de poseer una
tarjeta para acceder. Aunque las reducciones de precios han disminuido el costo inicial de
las tarjetas en los ltimos aos, el verdadero beneficio de eliminarlas consiste en la reduccin
del trabajo concerniente a su administracin.
Utilizando un dispositivo biomtrico los costos de administracin son ms pequeos, se realiza
el mantenimiento del lector, y una persona se encarga de mantener la base de datos
actualizada. Sumado a esto, las caractersticas biomtricas de una persona son intransferibles
Huella Digital Basado en el principio de que no existen dos huellas dactilares iguales, este
sistema viene siendo utilizado desde el siglo pasado con excelentes resultados. Cada huella
digital posee pequeos arcos, ngulos, bucles, remolinos, etc. (llamados minucias)
caractersticas y la posicin relativa de cada una de ellas es lo analizado para establecer la
identificacin de una persona. Esta aceptado que dos personas no tienen ms de ocho minucias
iguales y cada una posee ms de 30, lo que hace al mtodo sumamente confiable.
Verificacin de Voz: La diccin de una (o ms) frase es grabada y en el acceso se compara la
vos (entonacin, diptongos, agudeza, etc.). Este sistema es muy sensible a factores externos
como el ruido, el estado de animo y enfermedades de la persona, el envejecimiento, etc.
Verificacin de Patrones Oculares: Estos modelos pueden estar basados en los patrones
del iris o de la retina y hasta el momento son los considerados ms efectivos (en 200 millones
de personas la probabilidad de coincidencia es casi 0).

Contraseas
Las contraseas son las herramientas ms utilizadas para restringir el acceso a
los sistemas informticos. Sin embargo, slo son efectivas si se escogen con cuidado, la mayor
parte de los usuarios de computadoras escogen contraseas que son fciles de adivinar: El
nombre de la pareja, el de un hijo o el de una mascota, palabras relacionadas con trabajos o
aficiones o caracteres consecutivos del teclado. Un estudio descubri que las contraseas
favoritas en el Reino Unido son Fred-God, mientras que en Amrica eran, Love- sexy, .
Los hackers conocen y explotan estos clichs, por lo que un usuario precavido no debe
utilizarlos. Muchos sistemas de seguridad no permiten que los usuarios utilicen palabras reales

o nombres como contraseas, evitando as que los hackers puedan usar diccionarios para
adivinarlas. Incluso la mejor contrasea sebe cambiarse peridicamente.
Combine letras, nmeros y smbolos. Cuanto ms diversos sean los tipos de caracteres de
la contrasea, ms difcil ser adivinarla.
En sistemas informticos, mantener una buena poltica de seguridad de creacin,
mantenimiento y recambio de claves es un punto crtico para resguardar la seguridad y
privacidad.
Muchas passwords de acceso son obtenidas fcilmente porque involucran el nombre u otro
dato familiar del usuario y, adems, esta nunca (o rara vez) se cambia. En esta caso el ataque se
simplifica e involucra algn tiempo de prueba y error. Otras veces se realizan ataques
sistemticos (incluso con varias computadoras a la vez) con la ayuda de programas especiales y
"diccionarios" que prueban millones de posibles claves, en tiempos muy breves, hasta
encontrar la password correcta.
Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles
passwords de los usuarios. Este archivo es utilizado para descubrir dicha password
en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamao
orientados, incluso, a un rea especfica de acuerdo al tipo de organizacin que se este
Normas de Eleccin de Claves
Se debe tener en cuenta los siguientes consejos:

No utilizar contraseas que sean palabras (aunque sean extranjeras), o nombres (el del
usuario, personajes de ficcin, miembros de la familia, mascotas, marcas, ciudades, lugares,
u otro relacionado).

No usar contraseas completamente numricas con algn significado (telfono, D.N.I.,

fecha de nacimiento, patente del automvil, etc.).

No utilizar terminologa tcnica conocida.

Elegir una contrasea que mezcle caracteres alfabticos (maysculas y minsculas) y
numricos.

Deben ser largas, de 8 caracteres o ms.

Tener contraseas diferentes en mquinas diferentes y sistemas diferentes. Es posible

usar una contrasea base y ciertas variaciones lgicas de la misma para distintas mquinas.
Esto permite que si una password de un sistema cae no caigan todos los dems sistemas por
utilizar la misma password.

Deben ser fciles de recordar para no verse obligado a escribirlas. Algunos ejemplos
son:

Combinar palabras cortas con algn nmero o carcter de puntuacin: soy2_yo3

Usar un acrnimo de alguna frase fcil de recordar: A ro Revuelto Ganancia de
Pescadores: ArRGdP
Aadir un nmero al acrnimo para mayor seguridad: A9r7R5G3d1P

Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contrasea:

aHoelIo
Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
Realizar reemplazos de letras por signos o nmeros: En Seguridad Ms Vale Prevenir
que Cura

Algunos consejos a seguir:

No permitir ninguna cuenta sin contrasea. Si se es administrador del sistema, repasar

este hecho peridicamente (auditora).

No mantener las contraseas por defecto del sistema. Por ejemplo, cambiar
las cuentas de Administrador, Root, System, Test, Demo, Guest, InetUser, etc.

Nunca compartir con nadie la contrasea. Si se hace, cambiarla inmediatamente.

No escribir la contrasea en ningn sitio. Si se escribe, no debe identificarse como tal y

no debe identificarse al propietario en el mismo lugar.

No teclear la contrasea si hay alguien observando. Es una norma tcita de buen

usuario no mirar el teclado mientras alguien teclea su contrasea.

No enviar la contrasea por correo electrnico ni mencionarla en una conversacin. Si

se debe mencionar no hacerlo explcitamente diciendo: "mi clave es...".

No mantener una contrasea indefinidamente. Cambiarla regularmente. Disponer de

una lista de contraseas que puedan usarse cclicamente (por lo menos 5).

Firewalls
Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos
elementos. Aunque deben ser uno de los sistemas a los que ms se debe prestar atencin,
distan mucho de ser la solucin final a los problemas de seguridad.
Los Firewalls estn diseados para proteger una red interna contra los accesos no autorizados.
En efecto , un firewall es un Gateway con un bloqueo (la puerta bloqueada solo se abre para los
paquetes de informacin que pasan una o varias inspecciones de seguridad), estos aparatos
solo lo utilizan las grandes corporaciones
Un gateway (puerta de enlace) es un dispositivo, con frecuencia un ordenador,
que permite interconectar redes con protocolos y arquitecturas diferentes a todos los
niveles de comunicacin. Su propsito es traducir la informacin
del protocolo utilizado en una red al protocolo usado en la red de destino. Es
normalmente un equipo informtico configurado para dotar a las mquinas de
una red local (LAN) conectadas a l de un acceso hacia una red exterior
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una
poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de
una que no lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

Todo el trfico desde dentro hacia fuera, y viceversa, debe pasar a travs de l.

Slo el trfico autorizado, definido por la poltica local de seguridad, es permitido.

Como puede observarse, el Muro Cortafuegos, slo sirven de defensa perimetral de las redes,
no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer
proteccin una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la informacin entrante y saliente
debe pasar a travs de ellos para proveer servicios de seguridad adicionales como la
encriptacin del trfico de la red. Se entiende que si dos Firewalls estn conectados, ambos
deben "hablar" el mismo mtodo de encriptacin-desencriptacin para entablar la
comunicacin
Tipos de Firewall

Filtrado de Paquetes

Proxy-Gateways de Aplicaciones

Dual-Homed Host

Screened Host

Screened Subnet

Inspeccin de Paquetes

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado, as como tambin su procedencia y destino. Se aplican desde la capa de Red
hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al
contexto y en aplicaciones muy complejas.

Firewalls Personales :Estos Firewalls son aplicaciones disponibles para usuarios finales
que desean conectarse a una red externa insegura y mantener su computadora a salvo de
ataques que puedan ocasionarle desde un simple "cuelgue" o infeccin de virus hasta la
prdida de toda su informacin almacenada

Filtrado de paquetes: El filtrado de paquetes mediante puertos y protocolos permite

establecer que servicios estarn disponibles al usuario y por cuales puertos. Se puede
permitir navegar en la WWW (puerto 80 abierto) pero no acceder a la transferencia de
archivos va FTP (puerto 21 cerrado).

Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo

de Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y estn conectados
a ambos permetros (interior y exterior) de la red.
Tienen la ventaja de ser econmicos, tienen un alto nivel de desempeo y son transparentes
para los usuarios conectados a la red. Sin embargo presenta debilidades como:

No protege las capas superiores a nivel OSI.

Las necesidades aplicativas son difciles de traducir como filtros de protocolos y

puertos.

No son capaces de esconder la topologa de redes privadas, por lo que exponen la red al
mundo exterior.

Sus capacidades de auditora suelen ser limitadas, al igual que su capacidad

de registro de actividades.

No soportan polticas de seguridad complejas como autentificacin de usuarios y

control de accesos con horarios prefijados.

Proxy-Gateways de Aplicaciones: Para evitar las debilidades asociadas al filtrado

de paquetes, los desarrolladores crearon software de aplicacin encargados de filtrar las
conexiones. Estas aplicaciones son conocidas como Servidores Proxy y la mquina donde se
ejecuta recibe el nombre de Gateway de Aplicacin o Bastion Host.

El Proxy, instalado sobre el Nodo Bastin, acta de intermediario entre el cliente y

el servidor real de la aplicacin, siendo transparente a ambas partes.
Cuando un usuario desea un servicio, lo hace a travs del Proxy. Este, realiza el pedido al
servidor real devuelve los resultados al cliente. Su funcin fue la de analizar el trfico de red en
busca de contenido que viole la seguridad de la misma.
Grficamente:

Dual-Homed Host : Son dispositivos que estn conectados a ambos permetros

(interior y exterior) y no dejan pasar paquetes IP (como sucede en el caso del Filtrado de
Paquetes), por lo que se dice que actan con el "IP-Forwarding desactivado".

Un usuario interior que desee hacer uso de un servicio exterior, deber conectarse primero al
Firewall, donde el Proxy atender su peticin, y en funcin de la configuracin impuesta en
dicho Firewall, se conectar al servicio exterior solicitado y har de puente entre este y el
usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la mquina interior hasta el Firewall y el
otro desde este hasta la mquina que albergue el servicio exterior.

Screened Host : En este caso se combina un Router con un host bastin y el principal
nivel de seguridad proviene del filtrado de paquetes. En el bastin, el nico sistema
accesible desde el exterior, se ejecuta el Proxy de aplicaciones y en el Choke se filtran los
paquetes considerados peligrosos y slo se permiten un nmero reducido de servicios.

Screened Subnet: En este diseo se intenta aislar la mquina ms atacada y

vulnerable del Firewall, el Nodo Bastin. Para ello se establece una Zona Desmilitarizada
(DMZ) de forma tal que sin un intruso accede a esta mquina no consiga el acceso total a la
subred protegida.

En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene
la misin de bloquear el trfico no deseado en ambos sentidos: hacia la red interna y hacia la

red externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router
externo y el interno).
Es posible definir varias niveles de DMZ agregando ms Routers, pero destacando que las
reglas aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se
simplificaran a uno solo.

Como puede apreciarse la Zona Desmilitarizada asla fsicamente los servicios internos,
separndolos de los servicios pblicos. Adems, n o existe una conexin directa entre la red
interna y la externa. Los sistemas Dual-Homed Host y Screnned pueden ser complicados de
configurar y comprobar, lo que puede dar lugar, paradjicamente, a importantes agujeros de
seguridad en toda la red. En cambio, si se encuentran bien configurados y administrados
pueden brindar un alto grado de proteccin y ciertas ventajas:

Ocultamiento de la informacin: los sistemas externos no deben conocer el nombre de

los sistemas internos. El Gateway de aplicaciones es el nico autorizado a conectarse con el
exterior y el encargado de bloquear la informacin no solicitada o sospechosa.

Registro de actividades y autenticacin robusta: El Gateway requiere de autenticacin

cuando se realiza un pedido de datos externos. El registro de actividades se realiza en base a
estas solicitudes.

Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del
Router sern menos compleja dado a que l slo debe atender las solicitudes del Gateway.

As mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que

generalmente este debe instalar algn tipo de aplicacin especializada para lograr la
comunicacin. Se suma a esto que generalmente son ms lentos porque deben revisar todo el
trfico de la red.
Restricciones en el Firewall
La parte ms importante de las tareas que realizan los Firewalls, la de permitir o denegar
determinados servicios, se hacen en funcin de los distintos usuarios y su ubicacin:

Usuarios internos con permiso de salida para servicios restringidos: permite especificar
una serie de redes y direcciones a los que denomina Trusted (validados) . Estos usuarios,
cuando provengan del interior, van a poder acceder a determinados servicios externos que
se han definido.

Usuarios externos con permiso de entrada desde el exterior: este es el caso ms sensible
a la hora de vigilarse. Suele tratarse de usuarios externos que por algn motivo deben
acceder para consultar servicios de la red interna.

Tambin es habitual utilizar estos accesos por parte de terceros para prestar servicios al
permetro interior de la red. Sera conveniente que estas cuentas sean activadas y desactivadas
bajo demanda y nicamente el tiempo que sean necesarias.
Beneficios de un Firewall
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la
red estaran expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la
red, estara dependiendo de que tan fcil fuera violar la seguridad local de cada maquina
interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de
intentos de ataque, el administrador ser el responsable de la revisin de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se haya convertido en uso casi imperativo es el
hecho que en los ltimos aos en Internet han entrado en crisis el nmero disponible de
direcciones IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a
Internet por medio de un "traductor de direcciones", el cual puede alojarse en el Firewall.
Los Firewalls tambin son importantes desde el punto de vista de llevar las estadsticas del
ancho de banda "consumido" por el trafico de la red, y que procesos han influido ms en ese
trafico, de esta manera el administrador de la red puede restringir el uso de estos procesos y
economizar o aprovechar mejor el ancho de banda disponible.
Los Firewalls tambin tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un
sitio que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP
brindados.
Limitaciones de un Firewall
La limitacin ms grande que tiene un Firewall sencillamente es el hueco que no se tapa y que
coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas
inteligentes, ellos actan de acuerdo a parmetros introducidos por su diseador, por ende si
un paquete de informacin no se encuentra dentro de estos parmetros como una amenaza de
peligro simplemente lo deja pasar. Ms peligroso an es que ese intruso deje Back Doors,
abriendo un hueco diferente y borre las pruebas o indicios del ataque original.
Otra limitacin es que el Firewall "NO es contra humanos", es decir que si un intruso logra
entrar a la organizacin y descubrir passwords o los huecos del Firewall y difunde esta
informacin, el Firewall no se dar cuenta.
El Firewall tampoco provee de herramientas contra la filtracin de software o archivos
infectados con virus, aunque es posible dotar a la mquina, donde se aloja el Firewall,
de antivirus apropiados.

Finalmente, un Firewall es vulnerable, l NO protege de la gente que est dentro de la red

interna. El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja:
"cuanto mayor sea el trfico de entrada y salida permitido por el Firewall, menor ser
la resistencia contra los paquetes externos. El nico Firewall seguro (100%) es aquel que se
mantiene apagado" (1)

Encriptacin
Encriptacin es el proceso mediante el cual cierta informacin o texto sin formato es cifrado de
forma que el resultado sea ilegible a menos que se conozca los datos necesarios para
su interpretacin. Es una medida de seguridad utilizada para que al momento de almacenar o
transmitir informacin sensible sta no pueda ser obtenida con facilidad por terceros.
Opcionalmente puede existir adems un proceso de desencriptacin a travs del cul la
informacin puede ser interpretada de nuevo a su estado original. Aunque existen mtodos de
encriptacin que no pueden ser revertidos.
El termino encriptacin es traduccin literal del ingls y no existe en el idioma espaol, la
forma mas correcta de utilizar este trmino sera Cifrado.
4.1 Criptologa
La encriptacin como proceso forma parte de la criptologa, ciencia que estudia los sistemas
utilizados para ocultar informacin, La criptologa es la ciencia que estudia la transformacin
de un determinado mensaje en un cdigo de forma tal que a partir de dicho cdigo solo algunas
personas sean capaces de recuperar el mensaje original.
4.2 Usos de las Encriptacin
Algunos de los usos mas comunes de la encriptacin son el almacenamiento y transmisin de
informacin sensible como contraseas, nmeros de identificacin legal, nmeros de
tarjetas crdito, reportes administrativos contables y conversaciones privadas, entre otros.
4.3 Mtodos de Encriptacin
Para poder encriptar un dato, se pueden utilizar tres procesos matemticos diferentes.
Los algoritmos HASH, los simtricos y los asimtricos.
4.3.1. Algoritmo HASH:
Este algoritmo efecta un clculo matemtico sobre los datos que constituyen el documento y
da como resultado un nmero nico llamado MAC. Un mismo documento dar siempre un
mismo MAC.
4.3.2. Criptografa de Clave Secreta o Simtrica
Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento
encriptado con una clave, deber desencriptarse, en el proceso inverso, con la misma clave, es
importante destacar que la clave debera viajar con los datos, lo que hace arriesgada la
operacin, imposible de utilizar en ambientes donde interactan varios interlocutores.
Los Criptosistemas de clave secreta se caracterizan porque la clave de cifrado y de la descifrado
es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma.
Sus principales caractersticas son:

-Rpidos y fciles de implementar

-clave de cifrado y descifrado son la misma
-cada par de usuarios tiene que tener una clave secreta compartida
-una comunicacin en la que intervengan mltiples usuarios requiere de muchas claves
secretas distintas.
4.3.3. Algoritmos Asimtricos (RSA)
Requieren dos claves, una privada (nica y personal, solo conocida por su dueo) y la otra
llamada pblica, ambas relacionadas por una frmula matemtica compleja imposible de
reproducir. El concepto de criptografa de clave pblica fue introducido por Whitfield Diffie y
Martin Hellman a fin de solucionar la distribucin de claves secretas de los sistemas
tradicionales, mediante un canal inseguro. El usuario, ingresando su PIN genera clave Publicas
y Privadas necesarias. La clave publica podr ser distribuida sin ningn inconveniente entre
todos los
4.5 Firma Digital:
La firma digital permite garantiza algunos conceptos de seguridad y son importantes al
utilizar documentos en formato digital, tales como identidad o autenticidad, integridad y no
repudio. El modo de funcionamiento es similar a lo explicado para los algoritmos de
encriptacin , se utilizan tambin algoritmos de clave pblica, aplicados en dos etapas.
Ventajas ofrecidas por la firma Digital

Integridad de la informacin: la integridad del documento es una proteccin contra la

modificacin de los datos en forma intencional o accidental. El emisor protege el
documento, incorporndole a ese un valor control de integridad, el receptor deber efectuar
el mismo clculo sobre el documento recibido y comparar el valor calculado con el enviado
por el emisor.

Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del
documento, garantizndole que dicho mensaje ha sido generado por la parte identificada en
el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un
usuario del sistema.

No repudio del origen: el no repudio del origen protege al receptor del documento de la
negacin del emisor de haberlo enviado. Este aspecto de seguridad es ms fuerte que los
anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado
dicho mensaje , transformndose en un medio de prueba inequvoco respecto de
la responsabilidad del usuario del sistema.

4.6.Encriptar datos en un PDA.

La importancia de tener nuestros datos a salvo de miradas extraas o tener un mnimo de
privacidad se ha convertido en un tema muy importante. Los PDAs son muchas veces usados
como pequeas oficinas porttiles donde se guardan datos de gran valor y donde es de gran
importancia tener estos datos protegidos. Muchos usuarios PDA por comodidad no protegen el
acceso de inicio con una clave, imagnense en caso de prdida del aparato o descuido poder
dejar estos datos confidenciales en manos ajenas a las nuestras. Para solucionar este problema
o tener cierto grado de seguridad, es muy importante poder encriptar nuestros datos.

4.7 Encriptacin de Ficheros:

Windows XP profesional nos da una alternativa para poder proteger estos datos y prevenir su
prdida. El Encripting File System (EFS) en el encargado de codificar los ficheros. Estod
Ficheros solo se pueden leer cuando el usuario que los ha creado hace "logon" en su maquina
(con lo cual, presumiblemente, nuestra password ser una pasword robusta). De hecho,
cualquiera que acceda a nuestra mquina, no tendr nunca acceso a nuestros ficheros
encriptados aunque sea un administrador del equipo.
4.8 Tipos de Cifrados
Cifrado en otros nombre que se le da al proceso de encriptacin. El propsito de un cifrado es
tomar datos sin encriptar, llamado texto claro, y producir una versin encriptada de los mismo.
Existen dos clases de cifrad: Cifrado de Flujo de datos y Cifrado de bloques.

Cifrado de flujo de datos: En el cifrado por flujo de datos encriptan un bit de texto en claro por
vez. El ejemplo ms simple de cifrado por flujo de datos es el que consiste en combinar los
datos, un bit a la vez, con otro bloque de datos llamado pad. Los cifrados por flujo de datos
funcionan realmente bien con datos en tiempo real como voz y video.
Cifrado por bloques: operan sobre bloques de tamao mayor que un bit del texto en claro y
producen un bloque de texto cifrado, generalmente los bloques de salida son del mismo tamao
que los de la entrada. El tamao del bloque debe ser lo suficientemente grande como para
4.9 Autenticacin
Este proceso, es otro mtodo para mantener una comunicacin seguro entre ordenadores. La
autenticacin es usada para verificar que la informacin viene de una fuente de confianza.
Bsicamente, si la informacin es autentica, sabes quin la ha creado y que no ha sido alterada.
La encriptacin y la autenticacin, trabajan mano a mano para desarrollar un entorno seguro.
Hay varias maneras para autenticar a una persona o informacin en un ordenador:

Contraseas El uso de un nombre de usuario y una contrasea provee el modo ms

comn de autenticacin. Esta informacin se introduce al arrancar el ordenador o acceder a
una aplicacin. Se hace una comprobacin contra un fichero seguro para confirmar que
coinciden, y si es as, se permite el acceso.

Tarjetas de acceso Estas tarjetas pueden ser sencillas como si de una tarjeta de
crdito se tratara, poseyendo una banda magntica con la informacin de autenticacin. Las
hay ms sofisticadas en las que se incluye un chip digital con esta informacin.

Firma digital Bsicamente, es una manera de asegurar que un elemento electrnico

(email, archivo de texto, etc.) es autentico. Una de las formas ms conocidas es DSS (Digital
Signature Standard) la cual est basada en un tipo de encriptacin de clave pblica la cual
usa DSA (Digital Signature Algorithm). El algoritmo DSA consiste en una clave privada,
solo conocida por el que enva el documento (el firmante), y una clave pblica. Si algo es
cambiado en el documento despus de haber puesto la firma digital, cambia el valor contra
lo que la firma digital hace la comparacin, invalidando la firma.

Recientemente, otros mtodos de autenticacin se estn haciendo populares en varios medios

que deben mantenerse seguros, como son el escaneo por huellas, de retina, autenticacin facial
o identificacin de voz.

Antivirus
Los antivirus son herramientas simples; cuyo objetivo es detectar y eliminar virus
informticos. Nacieron durante la dcada de 1980.
Un virus informtico ocupa una cantidad mnima de espacio en disco (el tamao es vital para
poder pasar desapercibido), se ejecuta sin conocimiento del usuario y se dedica a autoreplicarse, es decir, hace copias de s mismo e infecta archivos, tablas de particin o sectores de
arranque de los discos duros y disquetes para poder expandirse lo ms rpidamente posible.
Bsicamente, el propsito de un virus es provocar dao en el equipo infectado.
Normalmente un antivirus tiene un componente que se carga en memoria y permanece en
ella para verificar todos los archivos abiertos, creados, modificados y ejecutados, en tiempo
real. Es muy comn que tengan componentes que revisen los adjuntos de los correos
electrnicos salientes y entrantes, as como los scripts y programas que pueden ejecutarse en
un navegadorweb (ActiveX, Java, JavaScript).
Bsicamente, un antivirus compara el cdigo de cada archivo con una base de datos de los
cdigos de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de
evitar que un virus nuevo no sea detectado. Tambin se les ha agregado funciones avanzadas,
como la bsqueda de comportamientos tpicos de virus (tcnica conocida como heurstica) o la
verificacin contra virus en redes de computadoras. Actualmente existe una nueva tecnologa
basada en Inteligencia artificial llamada TruPrevent que cuenta con la capacidad de deteccin
de virus desconocidos e intrusos.
Los antivirus son esenciales en sistemas operativos cuya seguridad es baja,
como Microsoft Windows, pero existen situaciones en las que es necesario instalarlos en
sistemas ms seguros, como Unix y similares.
Con tantos software malignos dando vuelta por internet, se hace necesario disponer de un buen
antivirus que nos proteja continuamente.
A continuacin presentamos las caractersticas bsicas de los mejores antivirus del mercado.
Qu se debe tener en cuenta para calificar un antivirus?
Un antivirus debe ser evaluado por distintas caractersticas como son, capacidad de deteccin
de software maligno conocidos y desconocidos, actualizacin constante y efectiva, velocidad de
escaneo y monitorizacin, dar grandes posibilidades a los expertos y sencillez a los inexpertos,
efectiva documentacin de ayuda.Simbologa de las principales caractersticas de cada
uno:

E - Rpido en escaneo/monitorA - Buena capacidad de actualizacinD - Buena capacidad de

detectar virus R - Buena capacidad para removerS - Mnimo consumo de recursos al
sistema H - Muchas herramientas y facilidades disponiblesG - Versin gratuita personal (no
para uso comercial)Los mejores antivirus de la actualidad
1 - KAV (Kaspersky Anti-virus) - E A D R H :

Sistema completo de prevencin, deteccin y eliminacin de cientos de virus y

troyanos. Uno de los antivirus ms eficaces y considerado por muchos como el mejor
analizador en busca de virus.

El programa escanea de forma recursiva dentro de mltiples formatos de fichero

comprimido. Incluso desencripta y busca dentro de EXE protegidos/encriptados

Uno de sus puntos fuertes es la deteccin de virus polimrficos o desconocidos, pero no

por eso deja de tener una gran base datos de virus. Incluso detecta y desactiva virus que
estn en memoria.

No te preocupes por las actualizaciones de virus porque el programa tiene una opcin
para auto-actualizarse solo a travs Internet. Este sistema consta de varios programas:

Escaneador (que te permite escanear tus unidades en busca de virus)

Monitorizador, que mantiene tu ordenador bajo constante proteccin

2 - F-Secure - E A D R H 3 - eScan - E A D R H 4 - AntiVir - E A D R H 5 - Microsoft

Security Essentials - E A D S G 6 - BitDefender Prof.+ - A D R H 7 - NOD32 Anti-Virus - E
A D R S H 8 - McAfee VirusScan - E A H : McAfee VirusScan te ofrecer una proteccin total
frente a los virus que puedas contener en archivos, subdirectorios, disquetes, o hasta en la
totalidad de una red.

Protege de las posibles infecciones a travs del correo electrnico, de descargas de

ficheros de Internet, y de ataques maliciosos a partir de applets de java y controles ActiveX.

Trae una nuevo motor de bsqueda de virus, con un nuevo interfaz de usuario, y un
potente filtro para Internet que te permitir bloquear el acceso a sitios Web no deseados.

Completo escudo activo siempre en segundo plano para la recepcin de correo

electrnico, contenidos Web, y descarga de ficheros de Internet.

Utilidad llamada "Safe & Sound" que automticamente se encargar de realizar copias
de seguridad de tus documentos mientras trabajas con ellos, para evitar la prdida de
informacin si sucede algn tipo de problema.

9 - G DATA - E A D R H 10 - Avast! Home - E A D H G 11 - AVG Professional - E A S H G

12 - Norton Anti-Virus - A D R H : Un norton AntiVirus es la ms novedosa utilidad de
Symantec para protegerse contra todo tipo de virus, applets Java, controles ActiveX, y todo tipo
de cdigo malicioso detectado. Como la mayora de antivirus, Norton AntiVirus te protege
mientras navegas por Internet, obtienes informacin de disquetes o CD, en una red LAN, y
comprueba los archivos adjuntos que se reciben por e-mail y suele ser una de las mayores
causas de infeccin actualmente en el sistema.
13 - Panda antivirus - E A R H : Panda Antivirus Titanium 2005 con TruPrevent es una
solucin ms que completa que no slo nos proteger de cualquier intruso conocido, sino que

adems, y gracias a su nueva herramienta TruPrevent, nos proteger tambin de los intrusos
an desconocidos.
Si ya de por s Panda Antivirus Platinium es un excelente sistema antivirus, con la adicin de
TruPrevent se convierte en una barrera realmente difcil de franquear por cualquier intruso
malicioso, analizando cualquier actividad fuera de lo normal en nuestro ordenador.
14 - F-Prot Anti-Virus - E A S H 15 - RAV Desktop - A H 16 - Dr. Web - A H
6. Copias de Seguridad/Backups
Incluso el sistema de seguridad ms sofisticado no puede garantizar al cien por ciento una
proteccin completa de los datos. Un pico o una cada de tensin pueden limpiar en un instante
hasta el dato ms cuidadosamente guardado. Un UPS(Sistema
de alimentacin ininterrumpidas) puede proteger a las computadoras contra la perdida de
datos durante una cada de tensin, los ms baratos pueden emplearse en las casas para
apagones de corta duracin. Los protectores de sobrecarga no sirven durante un apagn, pero
si protegen los equipos contra los dainos picos de tensin, evitando costosas reparaciones
posteriores.
Por su puestos los desastres aparecen de forma muy diversas, Los sabotajes, los errores
humanos, los fallos de la mquina, el fuego, las inundaciones, los rayos y los terremotos pueden
daar o destruir los datos de la computadora adems del hardware , Cualquier sistema de
seguridad completo debe incluir un plan de recuperacin en el caso de producirse un desastre.
En mainframes y PC, lo mejor, adems de ser lo ms utilizado, es llevar a cabo copias de
seguridad regulares.
Las copias de seguridad son una manera de proteger la inversin realizada en los datos. Las
prdidas de informacin no es tan importante si existen varias copias resguardadas
La copia de seguridad es til por varias razones:

Para restaurar un ordenador a un estado operacional despus de un desastre (copias de

seguridad del sistema)

Para restaurar un pequeo nmero de ficheros despus de que hayan sido borrados o
daados accidentalmente (copias de seguridad de datos).

En el mundo de la empresa, adems es til y obligatorio, para evitar ser sancionado por
los rganos de control en materia de proteccin de datos .

Normalmente las copias de seguridad se suelen hacer en cintas magnticas, si bien

dependiendo de lo que se trate podran usarse disquetes, CD, DVD, Discos Zip, Jaz o
magnticos-pticos, pendrivers o pueden realizarse sobre un centro de respaldo remoto propio
o va internet.
La copia de seguridad puede realizarse sobre los datos, en los cuales se incluyen tambin
archivos que formen parte del sistema operativo. As las copias de seguridad suelen ser
utilizadas como la ltima lnea de defensa contra prdida de datos, y se convierten por lo tanto
en el ltimo recurso a utilizar.
Las copias de seguridad en un sistema informtico tienen por objetivo el mantener cierta
capacidad de recuperacin de la informacin ante posibles prdidas. Esta capacidad puede
llegar a ser algo muy importante, incluso crtico, para las empresas. Se han dado casos de

empresas que han llegado a desaparecer ante la imposibilidad de recuperar sus sistemas al
estado anterior a que se produjese un incidente de seguridad grave
Software de copias de seguridad
Existen una gran gama de software en el mercado para realizar copias de seguridad. Es
importante definir previamente los requerimientos especficos para determinar el software
adecuado.
Entre los ms populares se encuentran ZendalBackup Cobian, SeCoFi, CopiaData y
NortonGhost.
7. Algunas afirmaciones errneas comunes acerca de la seguridad
Mi sistema no es importante para un cracker
Esta afirmacin se basa en la idea de que no introducir contraseas seguras en una empresa no
entraa riesgos pues quin va a querer obtener informacin ma?. Sin embargo, dado que los
mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a
otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir
sistemas y dejarlos sin claves es facilitar la vida a los virus.
El trmino hacker: es una persona que slo desea conocer el funcionamiento interno de los
sistemas informticos, ayudando a mejorarlos en el caso de que detecte fallos en su seguridad.
Sin embargo, un 'hacker' deja de serlo cuando provoca daos y su accin es malintencionada:
en ese momento pasa a ser un 'cracker'.
Para un 'hacker', el objetivo es saltar los sistemas de seguridad de los servidores de Internet
para llegar hasta su interior, pero, una vez dentro, no causar ningn dao. Como mucho, un
'hacker' autntico simplemente deja una seal o "bandera" en el servidor (al estilo de "yo estuve
aqu"), que sirva como prueba de que ha conseguido acceder a l. Mediante estas seales el
'hacker' consigue dos objetivos: por un lado, demuestra ante el resto de su comunidad que ha
sido capaz de acceder al servidor y, por otro, permite que los administradores del sistema
vulnerado detecten el acceso al servidor, ayudndoles as a mejorar la seguridad. Es ms, la
mayora de los 'hackers', tras acceder a un sistema, informan a sus propietarios
de los agujeros de seguridad que tiene su servidor, para que nadie malintencionado (como
un 'cracker') pueda aprovecharse a posteriori de esa vulnerabilidad.
En definitiva, la labor del 'hacker' es una lucha contra uno mismo, un "llegar ms all",
poniendo a prueba sus conocimientos, destreza e inteligencia. Los propios 'hackers' se
autodefinen como "unas personas interesada en explorar los detalles de los sistemas
informticos y obtener el mximo de sus capacidades, al contrario que la mayora de los
usuarios de estos sistemas, que prefieren conocer slo lo mnimo necesario para poder trabajar
con ellos"
El trmino cracker: Es cualquier persona que viola la seguridad de un sistema informtico
de forma similar a como lo hara un hacker, slo que a diferencia de este ltimo, el cracker
realiza la intrusin con fines de beneficio personal o para hacer dao.
El cracker, es considerado un "vandlico virtual". Este utiliza sus conocimientos para invadir
sistemas, descifrar claves y contraseas de programas y algoritmos de encriptacin, ya sea para
poder correr juegos sin un CD-ROM, o generar una clave de registro falsa para un determinado

programa, robar datos personales, etc. Algunos intentan ganar dinero vendiendo la
informacin robada, otros slo lo hacen por fama o diversin.
Cracker es el trmino que define a programadores maliciosos y ciberpiratas que actan con el
objetivo de violar ilegal o inmoralmente sistemas cibernticos, siendo un trmino creado en
1985 por hackers en defensa del uso periodstico del trmino. Algunos tipos de crackers:
Crackers de sistemas: trmino designado a programadores que alteran el contenido de un
determinado programa, por ejemplo, alterando fechas de expiracin de un determinado
programa para hacerlo funcionar como si se tratara de una copia legtima. Crackers de
Criptografa: trmino usado para aquellos que se dedican a la ruptura de criptografa
(cracking codes)
Phreaker: cracker especializado en telefona. Tiene conocimiento para hacer conexiones
gratuitas, reprogramar centrales telefnicas, grabar conversaciones de otros telfonos para
luego poder escuchar la conversacin en su propio telfono, etc. Cyberpunk: son los vndalos
de pginas web o sistemas informatizados. Destruyen el trabajo ajeno
Estoy protegido pues no abro archivos que no conozco
Esto es falso, pues existen mltiples formas de contagio, adems los programas
realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas.
Como tengo antivirus estoy protegido
En general los programas antivirus no son capaces de detectar todas las posibles formas de
contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten
las capacidades de comunicacin, adems los antivirus son vulnerables a desbordamiento de
bfer que hacen que la seguridad del sistema operativo se vea ms afectada an.
Desbordamiento de bfer: es un error de software que se produce cuando se copia una
cantidad de datos sobre un rea que no es lo suficientemente grande para contenerlos,
sobrescribiendo de esta manera otras zonas de memoria. Esto se debe en general a un fallo
de programacin.
Como dispongo de un firewall no me contagio
Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en
una red son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege
un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios
con altos privilegios para realizar conexiones puede entraar riesgos, adems los firewalls de
aplicacin (los ms usados) no brindan proteccin suficiente contra el spoofing.
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas de
suplantacin de identidad generalmente con usos maliciosos o de investigacin.

Conclusiones

Si bien da a da aparecen nuevos y complejos tipos de incidentes, an se registran

fallas de seguridad de fcil resolucin tcnica, las cuales ocurren en muchos casos por falta
de conocimientos sobre los riesgos que acarrean. Por otro lado, los incidentes de seguridad
impactan en forma cada vez ms directa sobre las personas. En consecuencia, se requieren
efectivas acciones de concientizacin, capacitacin y difusin de mejores prcticas.

Es necesario mantener un estado de alerta y actualizacin permanente: la seguridad es

un proceso continuo que exige aprender sobre las propias experiencias.

Las organizaciones no pueden permitirse considerar la seguridad como un proceso o

un producto aislado de los dems. La seguridad tiene que formar parte de las
organizaciones.

Debido a la constantes amenazas en que se encuentran los sistemas, es necesario que

los usuarios y las empresas enfoquen su atencin en el grado de vulnerabilidad y en las
herramientas de seguridad con las que cuentan para hacerle frente a posibles ataques
informticos que luego se pueden traducir en grandes prdidas.

Los ataques estn teniendo el mayor xito en el eslabn mas dbil y difcil de proteger,
en este caso es la gente, se trata de uno de los factores que han incentivado el nmero de
ataques internos. No importando los procesos y la tecnologa, finalmente el evitar los
ataques queda en manos de los usuarios.

Recomendaciones

Actualice regularmente su sistema operativo y el software instalado en su equipo,

poniendo especial atencin a las actualizaciones de su navegador web. Estar al da con las
actualizaciones, as como aplicar los parches de seguridad recomendados por los
fabricantes, le ayudar a prevenir la posible intrusin de hackers y la aparicin de nuevos
virus.

Instale un Antivirus y actualcelo con frecuencia. Analice con su antivirus todos los
dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos,
especialmente aquellos archivos descargados de internet.

Instale un Firewall o Cortafuegos con el fin de restringir accesos no autorizados de

Internet.

tilice contraseas seguras, es decir, aquellas compuestas por ocho caracteres, como
mnimo, y que combinen letras, nmeros y smbolos. Es conveniente adems, que
modifique sus contraseas con frecuencia. En especial, le recomendamos que cambie la
clave de su cuenta de correo si accede con frecuencia desde equipos pblicos.

Navegue por pginas web seguras y de confianza. Para diferenciarlas

identifique si dichas pginas tienen algn sello o certificado que garanticen su calidad y
fiabilidad. Extreme la precaucin si va a realizar compras online o va a facilitar informacin
confidencial a travs de internet

Ponga especial atencin en el tratamiento de su correo electrnico, ya que es

una de las herramientas ms utilizadas para llevar a cabo estafas, introducir virus, etc.

No abra mensajes de correo de remitentes desconocidos.

Desconfe de aquellos e-mails en los que entidades bancarias, compaas de subastas o

sitios de venta online, le solicitan contraseas, informacin confidencial, etc.

No propague aquellos mensajes de correo con contenido dudoso y que le piden ser
reenviados a todos sus contactos. Este tipo de mensajes, conocidos como hoaxes, pretenden
avisar de la aparicin de nuevos virus, transmitir leyendas urbanas o mensajes solidarios,
difundir noticias impactantes, etc.

En general, es fundamental estar al da de la aparicin de nuevas tcnicas que

amenazan la seguridad de su equipo informtico, para tratar de evitarlas o de aplicar
la solucin ms efectiva posible.

Bibliografa

http://www.slideshare.net/guest8d2f0a/seguridad-informatica-3261911?
src=related_normal&rel=2573451

http://www.sitiosargentina.com.ar/webmaster/cursos%20y
%20tutoriales/que_es_un_antivirus.htm

http://www.segu-info.com.ar/fisica/seguridadfisica.htm

http://www.segu-info.com.ar/articulos/2-porque-caen-password-clave.htm

http://www.slideshare.net/saintmanios/8-seguridad-informatica-presentation-633705

http://www.seguridad.unam.mx/eventos/admin-unam/politicas_seguridad.pdf

Texto Introduccin a la informtica George Beekman

Leer ms: http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridadinformatica2.shtml#ixzz3bR76O6Ab

http://www.monografias.com/trabajos82/la-seguridad-informatica/la-seguridadinformatica2.shtml

TEMA 12 SEGURIDAD Y NUEVAS TECNOLOGAS EN

SISTEMAS DISTRIBUIDOS

SEGURIDAD
Es la capacidad del sistema para proteger datos, servicios y recursos de
usuarios no autorizados. El fin de la seguridad es garantizar la proteccin o estar
libre de todo peligro y/o dao, y que en cierta manera es infalible. Como esta
caracterstica, particularizando para el caso de sistemas operativos o redes de
computadores, es muy difcil de conseguir (segn la mayora de expertos,
imposible), se suaviza la definicin de seguridad y se pasa a hablar de fiabilidad
(probabilidad de que un sistema se comporte tal y como se espera de el) ms que
de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de
sistemas seguros. A grandes rasgos se entiende que mantener un sistema seguro
(o able) consiste bsicamente en garantizar tres aspectos: confidencialidad,
integridad y disponibilidad. Algunos estudios integran la seguridad dentro de una
propiedad ms general de los sistemas, la confiabilidad, entendida como el nivel
de calidad del servicio ofrecido. Consideran la disponibilidad como un aspecto al
mismo nivel que la seguridad y no como parte de ella, por lo que dividen esta

ltima en slo las dos facetas restantes, confidencialidad e integridad. En este

trabajo no seguiremos esa corriente por considerarla minoritaria.

La confidencialidad: Nos dice que los objetos de un sistema han de ser

accedidos nicamente por elementos autorizados a ello, y que esos elementos
autorizados no van a convertir esa informacin en disponible para otras entidades.
La integridad: Significa que los objetos slo pueden ser modificados por
elementos autorizados, y de una manera controlada.
La disponibilidad: Indica que los objetos del sistema tienen que permanecer
accesibles a elementos autorizados; es el contrario de la negacin de servicio.
Generalmente tienen que existir los tres aspectos descritos para que haya
seguridad: por ejemplo en un sistema Unix puede conseguir condencialidad para
un determinado fichero haciendo que ningn usuario (ni siquiera el root) pueda
leerlo, pero este mecanismo no proporciona disponibilidad alguna. Dependiendo
del entorno en que un sistema Unix trabaje, a sus responsables les interesara
dar prioridad a un cierto aspecto de la seguridad. Por ejemplo, en un sistema
militar se antepondra la confidencialidad de los datos almacenados o transmitidos
sobre su disponibilidad: seguramente, es preferible que alguien borre informacin
confidencial (que se podra recuperar despus desde una cinta de backup) a que
ese mismo atacante pueda leerla, o a que esa informacin est disponible en un
instante dado para los usuarios autorizados. En cambio, en un servidor NFS de un
departamento se premiar la disponibilidad frente a la condencialidad: importa
poco que un atacante lea una unidad, pero que esa misma unidad no sea leda por
usuarios autorizados va a suponer una prdida de tiempo y dinero. En un entorno
bancario, la faceta que mas ha de preocupar a los responsables del sistema es la
integridad de los datos, frente a su disponibilidad o su condencialidad: Es menos
grave que un usuario consiga leer el saldo de otro que el hecho de que ese
usuario pueda modificarlo.

Dentro del campo de la proteccin de la informacin podemos destacar tres

grandes problemas, adems comunes, que intervienen en nuestros sistemas y
perturban nuestra informacin, primero encontramos a los HACKER que son

usuarios muy avanzados que por su elevado nivel de conocimientos tcnicos son
capaces de superar determinadas medidas de proteccin. Su motivacin abarca
desde el espionaje industrial hasta el mero desafo personal. Tambin Los virus
informticos son programas, generalmente destructivos, que se introducen en el
ordenador (al leer un disco o acceder a una red informtica) y pueden provocar
prdida de la informacin (programas y datos) almacenada en el disco duro. Para
evitar problemas en caso de apagn elctrico existen las denominadas UPS
(acrnimo de UninterruptedPowerSupply), bateras que permiten mantener el
sistema informtico en funcionamiento, por lo menos el tiempo necesario para
apagarlo sin prdida de datos.
MEDIDAS DE SEGURIDAD Una alternativa es el uso de una llave pblica y una
privada mediante el protocolo de seguridad Securet Socket Layer (SSL) que
autentifica tanto al usuario que enva como al que recibe la informacin, porque es
durante este proceso de transmisin que ocurren la mayor parte de las violaciones
en la seguridad. Una tcnica para proteger la confidencialidad es el cifrado. La
informacin puede cifrarse y descifrarse empleando ecuaciones matemticas y un
cdigo secreto denominado clave. Generalmente se emplean dos claves, una para
codificar la informacin y otra para descodificarla. La clave que codifica la
informacin, llamada clave privada, slo es conocida por el emisor. La clave que
descodifica los datos, llamada clave pblica, puede ser conocida por varios
receptores. Ambas claves se modifican peridicamente, lo que complica todava
ms el acceso no autorizado y hace muy difcil descodificar o falsificar la
informacin cifrada. Estas tcnicas son imprescindibles si se pretende transmitir
informacin confidencial a travs de un medio no seguro como puede ser Internet.
Las tcnicas de firma electrnica permiten autentificar los datos enviados de forma
que se pueda garantizar la procedencia de los mismos (imprescindible, por
ejemplo, a la hora de enviar una orden de pago).
LA COMPUTACIN GRID
La computacin grid es una tecnologa innovadora que permite utilizar de forma
coordinada todo tipo de recursos (entre ellos cmputo, almacenamiento y
aplicaciones especficas) que no estn sujetos a un control centralizado. En este
sentido es una nueva forma de computacin distribuida, en la cual los recursos
pueden ser heterogneos (diferentes arquitecturas, supercomputadores,
clusters...) y se encuentran conectados mediante redes de rea extensa (por
ejemplo Internet). Desarrollado en mbitos cientficos a principios de los aos

1990, su entrada al mercado comercial siguiendo la idea de la llamada Utility

computing supone una importante revolucin.

El trmino grid se refiere a una infraestructura que permite la integracin y el

uso colectivo de ordenadores de alto rendimiento, redes y bases de datos que son
propiedad y estn administrados por diferentes instituciones. Puesto que la
colaboracin entre instituciones envuelve un intercambio de datos, o de tiempo de
computacin, el propsito del grid es facilitar la integracin de recursos
computacionales. Universidades, laboratorios de investigacin o empresas se
asocian para formar grid para lo cual utilizan algn tipo de software que
implemente este concepto.
Llamamos grid al sistema de computacin distribuido que permite compartir
recursos no centrados geogrficamente para resolver problemas de gran escala.
Los recursos compartidos pueden ser ordenadores (PC, estaciones de trabajo,
supercomputadoras, PDA, porttiles, mviles, etc), software, datos e informacin,
instrumentos especiales (radio, telescopios, etc.) o personas/colaboradores.
La computacin grid ofrece muchas ventajas frente a otras tecnologas
alternativas. La potencia que ofrecen multitud de computadores conectados en red
usando grid es prcticamente ilimitada, adems de que ofrece una perfecta
integracin de sistemas y dispositivos heterogneos, por lo que las conexiones
entre diferentes mquinas no generarn ningn problema. Se trata de una
solucin altamente escalable, potente y flexible, ya que evitarn problemas de falta
de recursos (cuellos de botella) y nunca queda obsoleta, debido a la posibilidad de
modificar el nmero y caractersticas de sus componentes.
Estos recursos se distribuyen en la red de forma transparente pero guardando
unas pautas de seguridad y polticas de gestin de carcter tanto tcnico como

econmico. As pues, su objetivo ser el de compartir una serie de recursos en la

red de manera uniforme, segura, transparente, eficiente y fiable, ofreciendo un
nico punto de acceso a un conjunto de recursos distribuidos geogrficamente en
diferentes dominios de administracin. Esto nos puede llevar a pensar que la
computacin Grid permite la creacin de empresas virtuales. Es importante saber
que una grid es un conjunto de maquinas distribuidas que ayudan a mejorar el
trabajo sobre software pesados
CARACTERISTICAS
Capacidad de balanceo de sistemas: no habra necesidad de calcular la capacidad de
los sistemas en funcin de los picos de trabajo, ya que la capacidad se puede reasignar
desde
la
granja
de
recursos
a
donde
se
necesite;
Alta disponibilidad. con la nueva funcionalidad, si un servidor falla, se reasignan los
servicios
en
los
servidores
restantes;
Reduccin de costes: con esta arquitectura los servicios son gestionados por "granjas de
recursos". Ya no es necesario disponer de "grandes servidores" y podremos hacer uso de
componentes de bajo coste. Cada sistema puede ser configurado siguiendo el mismo
patrn;
Se relaciona el concepto de grid con la nueva generacin del protocolo IP. El nuevo
protocolo de Internet IPv6 permitir trabajar con una Internet ms rpida y accesible. Una
de las ideas clave en la superacin de las limitaciones actuales de Internet IPv4 es la
aparicin de nuevos niveles de servicio que harn uso de la nueva capacidad de la red
para
intercomunicar
los
ordenadores.
Este avance en la comunicacin permitir el avance de las ideas de grid computing al
utilizar como soporte la altsima conectividad de Internet. Es por ello que uno de los
campos de mayor innovacin en el uso del grid computing, fuera de los conceptos de
supercomputacin, es el desarrollo de un estndar para definir los Grid Services frente a
los
actuales
Web
Services.
Desventajas
No obstante, la computacin grid presenta algunos inconvenientes que deben
solucionarse.
Estos
problemas
son:
Recursos heterogneos: la computacin grid debe ser capaz de poder manejar cualquier
tipo de recurso que maneje el sistema, si no resultar totalmente intil.
Descubrimiento, seleccin, reserva, asignacin, gestin y monitorizacin de recursos
son procesos que deben controlarse externamente y que influyen en el funcionamiento del
grid.
Necesidad de desarrollo de aplicaciones para manejar el grid, as como desarrollo de
modelos
eficientes
de
uso.

Comunicacin
lenta
y
no
uniforme.
Organizativos: dominios de administracin, modelo de explotacin y costes, poltica de
seguridad...

Econmicos:
precio
de
los
recursos,
oferta/demanda

Ventajas

requisitos

En definitiva, grid supone un avance respecto a la World Wide Web:

El World Wide Web proporciona un acceso transparente a informacin que est
almacenada en millones de ordenadores repartidos por todo el mundo. Frente a ello, el
grid es una infraestructura nueva que proporciona acceso transparente a potencia de
clculo y capacidad de almacenamiento distribuida por una organizacin o por todo el
mundo.
Los
requisitos
que
debe
cumplir
cualquier
grid
son:
Los datos deben compartirse entre miles de usuarios con intereses distintos. Se deben
enlazar los centros principales de supercomputacin, no slo los PC. Se debe asegurar
que los datos sean accesibles en cualquier lugar y en cualquier momento. Debe
armonizar las distintas polticas de gestin de muchos centros diferentes. Debe
proporcionar
seguridad.
Y
los
beneficios
que
se
obtienen:
Proporciona un mecanismo de colaboracin transparente entre grupos dispersos, tanto
cientficos
como
comerciales.

Posibilita
el
funcionamiento
de
aplicaciones
a
gran
escala.

Facilita
el
acceso
a
recursos
distribuidos
desde
nuestros
PC.
Todos estos objetivos y beneficios se engloban en la idea de "e-Ciencia".
Estos
beneficios
tendrn
repercusin
en
muchos
campos:

Medicina
(imgenes,
diagnosis
y
tratamiento).

Bioinformtica
(estudios
en
genmica
y
protemica).

Nanotecnologa
(diseo
de
nuevos
materiales
a
escala
molecular).
Ingeniera (diseo, simulacin, anlisis de fallos y acceso remoto a instrumentos de
control).
Recursos naturales y medio ambiente (previsin meteorolgica, observacin del planeta,
modelos
y
prediccin
de
sistemas
complejos).
La tecnologa derivada del grid abre un enorme abanico de posibilidades para el
desarrollo de aplicaciones en muchos sectores. Por ejemplo: desarrollo cientfico y
tecnolgico, educacin, sanidad, y administracin pblica.

NUEVAS TECNOLOGAS EN SISTEMAS DISTRIBUIDOS

IBM anunci una serie de productos de software que se auto-reparan. Estos

productos son capaces de encontrar y resolver problemas en forma automtica,
para evitar cadas de sistemas antes de que ocasionen demoras en la operatoria
basada en Internet, o la prdida de valiosa informacin sobre los clientes. El
software marca la prxima ola de tecnologa autonmica auto-administrable de
IBM, al entrar de lleno en el terreno de la reparacin pro-activa de los problemas
de tecnologa informtica.
El nuevo software de la divisin Tivoli de IBM es capaz de identificar y luego
llegar al lugar del problema para resolverlo. Por ejemplo, puede reparar cuellos de
botella o logjams de Internet, y devolver los sistemas al estado operativo en lnea
despus de producirse un corte de electricidad. Con este recurso, se elimina la
engorrosa tarea de encontrar y reparar contratiempos que naturalmente ocurren
en sistemas informticos complicados y entrelazados, para que las empresas de
todo tipo desde minoristas de mediano porte hasta compaas de seguros
multinacionales- puedan administrar en forma segura y completa sus aplicaciones
en lnea. En modo anlogo al sistema nervioso autnomo del organismo, capaz de
reparar un hueso quebrado sin intervencin del pensamiento consciente, el nuevo
software de reparacin autnoma de IBM se hace cargo de las desaceleraciones y
las interrupciones de servicio, evitando que los consumidores que visitan un sitio
se frustren con la espera y decidan pasar al sitio de la competencia, por ejemplo.
La tarea de resolucin de problemas relacionados con cadas e interrupciones de
sistemas puede llevar horas o incluso das a los equipos de especialistas de TI,
pues requiere revisar los registros de error para rastrear los problemas, paso por
paso, hasta encontrar el punto de falla. De hecho, la firma de analistas Enterprise
Management Associates estima que determinar la causa de un problema puede
llevar entre el 50 y el 80% del tiempo del personal de TI, mientras que el tiempo
dedicado a su reparacin es el 15 a 20% restante.
La iniciativa de computacin autonmica de IBM, que abarca mltiples industrias y
fue lanzada en 2001, durante los ltimos cuatro aos ha logrado simplificar
radicalmente la gestin de la tecnologa informtica y su infraestructura
subyacente, al automatizar los procesos e incorporar la inteligencia a los sistemas
en s, ayudando a movilizar a las empresas hacia ambientes de autogestin. IBM
ha construido el portafolio ms amplio de productos, servicios y soluciones
habilitados para la modalidad autonmica, con ms de 475 caractersticas de
autogestin en 75 productos IBM distintos.

La era de la tecnologa auto-reparable ha llegado coment Alan Ganek, Chief

Technology Officer de la Divisin de Software Tivoli de IBM y Vicepresidente de
Computacin Autonmica de IBM. Estos nuevos productos de IBM permiten a las
empresas detectar y corregir los problemas de TI en forma automtica (y detrs de
escena) para que puedan enfocarse en los proyectos estratgicos que son
valiosos para su negocio. Estamos abriendo nuevas puertas para reducir la
complejidad de la tecnologa.

Los nuevos productos auto-reparables de IBM son:

IBM Tivoli Monitoring Permite a las empresas manejar aplicaciones en lnea,
tales como e-mail o sistemas de pago de facturas, mediante la correccin
anticipada de los problemas de servicios informticos, tales como aplicaciones
colgadas, y la resolucin de los problemas en los servidores, sistemas operativos
y bases de datos de una empresa antes de que impacten en los usuarios. El
software detecta la necesidad de procedimientos especficos, tales como agregar
servidores adicionales cuando se acerca la sobrecarga de capacidad,
automatizando la forma en que se corrigen los problemas comunes. Adems, el
software proporciona encriptado de seguridad para servicios en toda la empresa,
lo cual asegura que los datos que pasan por la tecnologa de monitoreo, tales
como contraseas y claves, estn protegidos. Este software que se auto-repara
fue probado durante los ltimos siete meses por casi 100 organizaciones, con lo
cual se convirti en el programa beta ms grande de la historia de Tivoli. Tivoli
Monitoring de IBM ya est disponible.
IBM Tivoli Composite Application Manager acelera el acceso a la informacin
en Internet (desde reservar un paquete para vacaciones a realizar investigacin
antes de comprar un auto) al predecir y arreglar cuellos de botella que surgen a
medida que docenas de sistemas diferentes se conectan bajo una Arquitectura
Orientada a Servicios (SOA). El software auto-reparable puede ubicar dnde estn
los problemas, identificar la causa especfica y tomar medidas para resolverlos,
todo antes de que los clientes se vean afectados. Los productos IBM Tivoli
Composite Application Manager for SOA, IBM Tivoli Composite Application
Manager for WebSphere y IBM Tivoli Composite Application Manager for
Response Time Tracking ya estn disponibles.
Tivoli System Automation for Multiplatforms puede sealar el estado de
aplicaciones complejas que se ejecutan en mltiples plataformas y sistemas

operativos, y usar instrucciones predefinidas, o polticas, para que las aplicaciones

vuelvan a estar en lnea en forma automtica si el sistema falla por un corte de
energa o por otra causa. Por ejemplo, una aplicacin compleja de un banco para
transferir fondos entre cuentas puede ejecutarse en un sistema Linux y estar
conectada a una base de datos en un sistema mainframe. El software autoreparable de IBM devuelve todo el entorno complejo de aplicacin y base de datos
en lnea si se produce un corte de energa, evitndole a la empresa perder datos
de negocio y de clientes. Anteriormente, el personal de TI deba encontrar dnde
se haba producido el corte y reiniciar manualmente la aplicacin o la base de
datos para reanudar las operaciones. Tivoli System Automation ya est disponible.
El nuevo software se enmarca en la iniciativa IT Service Management de IBM,
dedicada a automatizar e integrar procesos de tecnologa informtica en toda la
empresa. El software podr adquirirse directamente en IBM y a travs de sus
asociados de negocio.
http://ais-sistemasdistribuidos.blogspot.mx/p/tema-12-seguridad.html

CONFIDENCIALIDAD E INTEGRIDAD
CONFIDENCIALIDAD
Se entiende en el mbito de la Seguridad Informtica como la proteccin de
datos y de informacin intercambiada entre un emisor y uno o ms
destinatarios frente a terceros. Esto debe hacerse independientemente de la
seguridad del sistema de comunicacin utilizado, de hecho un asunto de
inters es el problema de garantizar la Confidencialidad de la comunicacin
utilizada cuando el sistema es inseguro.
En un sistema que garantice la Confidencialidad, un tercero que entra en
posesin de la informacin intercambiada entre el remitente y el destinatario

INTEGRIDAD
En la Seguridad Informtica, la Integridad es la propiedad que busca mantener
los datos libres de modificaciones no autorizadas. La violacin de la Integridad
se presenta cuando un empleado, programa o proceso por accidente o con
mala intencin, modifica o borra los datos importantes que son parte de la

informacin, as mismo hace que su contenido permanezca inalterado a menos

que sea modificado por el personal autorizado; y esta modificacin ser
registrada, asegurando su precisin y confiabilidad.

La Integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de

comprobacin de la integridad, es decir, la firma digital. Es uno de los pilares
fundamentales de la Seguridad de la Informacin.
Publicado por Anggie Guzmn en 14:14
Enviar por correo electrnicoEscribe un blogCompartir con TwitterCompartir con
FacebookCompartir en Pinterest
No hay comentarios:
Publicar un comentario en la entrada
http://seguridadanggie.blogspot.mx/2011/11/confidencialidad.html
Seguridad de la informacin

Mquina Enigma utilizada para cifrar informacin por las fuerzas de Alemania
durante la Segunda Guerra Mundial.
La seguridad de la informacin es el conjunto de medidas preventivas y
reactivas de las organizaciones y de los sistemastecnolgicos que permiten
resguardar y proteger la informacin buscando mantener la confidencialidad,
la disponibilidad e integridadde la misma.
El concepto de seguridad de la informacin no debe ser confundido con el
de seguridad informtica, ya que este ltimo slo se encarga de la seguridad
en el medio informtico, pero la informacin puede encontrarse en diferentes
medios o formas, y no solo en medios informticos.

Para el hombre como individuo, la seguridad de la informacin tiene un efecto

significativo respecto a su privacidad, la que puede cobrar distintas
dimensiones dependiendo de la cultura del mismo.
El campo de la seguridad de la informacin ha crecido y evolucionado
considerablemente a partir de la Segunda Guerra Mundial, convirtindose en
una carrera acreditada a nivel mundial. Este campo ofrece muchas reas de
especializacin, incluidos la auditora de sistemas de informacin, planificacin
de la continuidad del negocio, ciencia forense digital y administracin de
sistemas de gestin de seguridad, entre otros.
ndice

1 Concepcin de la seguridad de la informacin

o

1.1 Confidencialidad

1.2 Integridad

1.3 Disponibilidad

1.4 Autenticacin o autentificacin

2 Servicios de seguridad
o

2.1 No repudio

2.2 Protocolos de Seguridad de la Informacin

3 Planificacin de la seguridad
o

3.1 Creacin de un plan de respuesta a incidentes

3.2 Consideraciones legales

3.3 Planes de accin

4 El manejo de riesgos
o

4.1 Medios de transmisin de ataques a los sistemas de seguridad

4.2 Actores que amenazan la seguridad

4.3 Otros conceptos

5 Gobierno de la Seguridad de la Informacin

6 Tecnologas

7 Estndares de seguridad de la informacin

o

7.1 Otros estndares relacionados

8 Certificaciones
o

8.1 Certificaciones independientes en seguridad de la informacin

9 Vase tambin

10 Referencias
o

10.1 Bibliografa

10.2 Enlaces externos

Concepcin de la seguridad de la informacin[editar]

En la seguridad de la informacin es importante sealar que su manejo est
basado en la tecnologa y debemos de saber que puede ser confidencial: la
informacin est centralizada y puede tener un alto valor. Puede ser divulgada,
mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y
la pone en riesgo. La informacin es poder, y segn las posibilidades
estratgicas que ofrece tener acceso a cierta informacin, sta se clasifica
como:
Crtica: Es indispensable para la operacin de la empresa.
Valiosa: Es un activo de la empresa y muy valioso.
Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad:
Riesgo: Es la materializacin de vulnerabilidades identificadas, asociadas con
su probabilidad de ocurrencia, amenazas expuestas, as como el impacto
negativo que ocasione a las operaciones de negocio.
Seguridad: Es una forma de proteccin contra los riesgos.
La seguridad de la informacin comprende diversos aspectos entre ellos la
disponibilidad, comunicacin, identificacin de problemas, anlisis de riesgos,
la integridad, confidencialidad, recuperacin de los riesgos.
Precisamente la reduccin o eliminacin de riesgos asociado a una cierta
informacin es el objeto de la seguridad de la informacin y la seguridad
informtica. Ms concretamente, la seguridad de la informacin tiene como
objeto los sistemas el acceso, uso, divulgacin, interrupcin o destruccin no
autorizada de informacin.1 Los trminos seguridad de la
informacin, seguridad informtica y garanta de la informacin son usados
frecuentemente como sinnimos porque todos ellos persiguen una misma
finalidad al proteger la confidencialidad, integridad y disponibilidad de la
informacin. Sin embargo, no son exactamente lo mismo existiendo algunas
diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las
metodologas utilizadas, y las zonas de concentracin. Adems, la seguridad de
la informacin involucra la implementacin de estrategias que cubran los
procesos en donde la informacin es el activo primordial. Estas estrategias
deben tener como punto primordial el establecimiento de polticas, controles
de seguridad, tecnologas y procedimientos para detectar amenazas que
puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es

decir, que ayuden a proteger y salvaguardar tanto informacin como los

sistemas que la almacenan y administran. La seguridad de la informacin
incumbe a gobiernos, entidades militares, instituciones financieras, los
hospitales y las empresas privadas con informacin confidencial sobre sus
empleados, clientes, productos, investigacin y su situacin financiera.
En caso de que la informacin confidencial de una empresa, sus clientes, sus
decisiones, su estado financiero o nueva lnea de productos caigan en manos
de un competidor; se vuelva pblica de forma no autorizada, podra ser causa
de la prdida de credibilidad de los clientes, prdida de negocios, demandas
legales o incluso la quiebra de la misma.
Por ms de veinte aos[cundo?] la Seguridad de la Informacin ha declarado que
la confidencialidad, integridad y disponibilidad (conocida como la Trada CIA,
del ingls: "Confidentiality, Integrity, Availability") son los principios bsicos de
la seguridad de la informacin.
La correcta Gestin de la Seguridad de la Informacin busca establecer y
mantener programas, controles y polticas, que tengan como finalidad
conservar la confidencialidad, integridad y disponibilidad de la informacin, si
alguna de estas caractersticas falla no estamos ante nada seguro. Es preciso
anotar, adems, que la seguridad no es ningn hito, es ms bien un proceso
continuo que hay que gestionar conociendo siempre las vulnerabilidades y las
amenazas que se cien sobre cualquier informacin, teniendo siempre en
cuenta las causas de riesgo y la probabilidad de que ocurran, as como el
impacto que puede tener. Una vez conocidos todos estos puntos, y nunca
antes, debern tomarse las medidas de seguridad oportunas.
Confidencialidad[editar]
La confidencialidad es la propiedad que impide la divulgacin de informacin a
personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la
informacin nicamente a aquellas personas que cuenten con la debida
autorizacin.
Por ejemplo, una transaccin de tarjeta de crdito en Internet requiere que el
nmero de tarjeta de crdito a ser transmitida desde el comprador al
comerciante y el comerciante de a una red de procesamiento de transacciones.
El sistema intenta hacer valer la confidencialidad mediante el cifrado del
nmero de la tarjeta y los datos que contiene la banda magntica durante la
transmisin de los mismos. Si una parte no autorizada obtiene el nmero de la
tarjeta en modo alguno, se ha producido una violacin de la confidencialidad.
La prdida de la confidencialidad de la informacin puede adoptar muchas
formas. Cuando alguien mira por encima de su hombro, mientras usted tiene
informacin confidencial en la pantalla, cuando se publica informacin privada,
cuando un laptop con informacin sensible sobre una empresa es robado,
cuando se divulga informacin confidencial a travs del telfono, etc. Todos
estos casos pueden constituir una violacin de la confidencialidad.
Integridad[editar]

Es la propiedad que busca mantener los datos libres de modificaciones no

autorizadas. (No es igual a integridad referencial en bases de datos.) Grosso
modo, la integridad es el mantener con exactitud la informacin tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
La violacin de integridad se presenta cuando un empleado, programa o
proceso (por accidente o con mala intencin) modifica o borra los datos
importantes que son parte de la informacin, as mismo hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y
esta modificacin sea registrada, asegurando su precisin y confiabilidad. La
integridad de un mensaje se obtiene adjuntndole otro conjunto de datos de
comprobacin de la integridad: la firma digital Es uno de los pilares
fundamentales de la seguridad de la informacin
Disponibilidad[editar]
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la
informacin y a los sistemas por personas autorizadas en el momento que as
lo requieran.
En el caso de los sistemas informticos utilizados para almacenar y procesar la
informacin, los controles de seguridad utilizados para protegerlo, y los canales
de comunicacin protegidos que se utilizan para acceder a ella deben estar
funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar
disponible en todo momento, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware, y actualizaciones del sistema.
Garantizar la disponibilidad implica tambin la prevencin de ataque
de denegacin de servicio. Para poder manejar con mayor facilidad la
seguridad de la informacin, las empresas o negocios se pueden ayudar con un
sistema de gestin que permita conocer, administrar y minimizar los posibles
riesgos que atenten contra la seguridad de la informacin del negocio.
La disponibilidad adems de ser importante en el proceso de seguridad de la
informacin, es adems variada en el sentido de que existen varios
mecanismos para cumplir con los niveles de servicio que se requiera. Tales
mecanismos se implementan en infraestructura tecnolgica, servidores de
correo electrnico, de bases de datos, de web etc, mediante el uso de clusters
o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicacin de datos, redes de almacenamiento (SAN), enlaces
redundantes, etc. La gama de posibilidades depender de lo que queremos
proteger y el nivel de servicio que se quiera proporcionar.
Autenticacin o autentificacin[editar]
Es la propiedad que permite identificar el generador de la informacin. Por
ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el
que lo ha mandado, y no una tercera persona hacindose pasar por la otra

(suplantacin de identidad). En un sistema informtico se suele conseguir este

factor con el uso de cuentas de usuario y contraseas de acceso.
Esta propiedad se puede considerar como un aspecto de la integridad -si est
firmado por alguien, est realmente enviado por el mismo- y as figura en la
literatura anglosajona.
Servicios de seguridad[editar]
El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas
de procesamiento de datos y la transferencia de informacin en las
organizaciones. Los servicios de seguridad estn diseados para contrarrestar
los ataques a la seguridad y hacen uso de uno o ms mecanismos de seguridad
para proporcionar el servicio.
No repudio[editar]
Proporciona proteccin contra la interrupcin, por parte de alguna de las
entidades implicadas en la comunicacin, de haber participado en toda o parte
de la comunicacin. El servicio de Seguridad de No repudio o irrenunciabilidad
est estandarizado en la ISO-7498-2.
No Repudio de origen: El emisor no puede negar que envo porque el
destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen del envo, lo cual evita que el emisor, de negar tal
envo, tenga xito ante el juicio de terceros. En este caso la prueba la crea el
propio emisor y la recibe el destinatario.

Prueba que el mensaje fue enviado por la parte especfica.

No Repudio de destino: El receptor no puede negar que recibi el mensaje

porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al
emisor la prueba de que el destinatario legtimo de un envo, realmente lo
recibi, evitando que el receptor lo niegue posteriormente. En este caso la
prueba irrefutable la crea el receptor y la recibe el emisor.

Prueba que el mensaje fue recibido por la parte especfica.

Si la autenticidad prueba quin es el autor de un documento y cual es su

destinatario, el no repudio prueba que el autor envi la comunicacin (no
repudio en origen) y que el destinatario la recibi (no repudio en destino). El no
repudio evita que el emisor o el receptor nieguen la transmisin de un
mensaje. As, cuando se enva un mensaje, el receptor puede comprobar que,
efectivamente, el supuesto emisor envi el mensaje. De forma similar, cuando
se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto
receptor recibi el mensaje. Definicin segn la recomendacin X.509 de la UITT Servicio que suministra la prueba de la integridad y del origen de los datosambos en una relacin infalsificable que pueden ser verificados por un tercero
en cualquier momento.
Protocolos de Seguridad de la Informacin[editar]

Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de

la transmisin de datos entre la comunicacin de dispositivos para ejercer una
confidencialidad,integridad, autenticacin y el no repudio de la informacin. Se
componen de:

Criptografa (Cifrado de datos). Se ocupa de transposicionar u ocultar el

mensaje enviado por el emisor hasta que llega a su destino y puede ser
descifrado por el receptor.

Lgica (Estructura y secuencia). Llevar un orden en el cual se agrupn

los datos del mensaje el significado del mensaje y saber cuando se va
enviar el mensaje.

Identificacin (Autentication). Es una validacin de identificacin es la

tcnica mediante la cual un proceso comprueba que el compaero de
comunicacin es quien se supone que es y no se trata de un impostor.

Planificacin de la seguridad[editar]
Hoy en da la rpida evolucin del entorno tcnico requiere que las
organizaciones adopten un conjunto mnimo de controles de seguridad para
proteger su informacin y sistemas de informacin. El propsito del plan de
seguridad del sistema es proporcionar una visin general de los requisitos de
seguridad del sistema y se describen los controles en el lugar o los previstos
para cumplir esos requisitos. El plan de seguridad del sistema tambin delinea
las responsabilidades y el comportamiento esperado de todos los individuos
que acceden al sistema. Debe reflejar las aportaciones de distintos gestores
con responsabilidades sobre el sistema, incluidos los propietarios de la
informacin, el propietario de la red, y el alto funcionario de la agencia de
informacin de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de
seguridad en la organizacin debe entender el sistema de seguridad en el
proceso de planificacin. Los responsables de la ejecucin y gestin de
sistemas de informacin deben participar en el tratamiento de los controles de
seguridad que deben aplicarse a sus sistemas.
Creacin de un plan de respuesta a incidentes[editar]
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo
de la organizacin y probarlo regularmente. Un buen plan de respuestas a
incidentes puede no slo minimizar los efectos de una violacin sino tambin,
reducir la publicidad negativa.
Desde la perspectiva del equipo de seguridad, no importa si ocurre una
violacin o abertura (pues tales eventos son una parte eventual de cuando se
hacen negocios usando un mtodo de poca confianza como lo es Internet), sino
ms bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de
una violacin a los sistemas (cualquier sistema donde se procese informacin
confidencial, no esta limitado a servicios informticos) es que permite al equipo
de seguridad desarrollar un curso de acciones para minimizar los daos

potenciales. Combinando un curso de acciones con la experiencia le permite al

equipo responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Accin inmediata para detener o minimizar el incidente

Investigacin del incidente

Restauracin de los recursos afectados

Reporte del incidente a los canales apropiados

Una respuesta a incidentes debe ser decisiva y ejecutarse rpidamente. Debido

a que hay muy poco espacio para errores, es crtico que se efecten prcticas
de emergencias y se midan los tiempos de respuesta. De esta forma, es posible
desarrollar una metodologa que fomenta la velocidad y la precisin,
minimizando el impacto de la indisponibilidad de los recursos y el dao
potencial causado por el sistema en peligro.
Un plan de respuesta a incidentes tiene un nmero de requerimientos,
incluyendo:

Un equipo de expertos locales (un Equipo de respuesta a emergencias

de computacin)

Una estrategia legal revisada y aprobada

Soporte financiero de la compaa

Soporte ejecutivo de la gerencia superior

Un plan de accin factible y probado

Recursos fsicos, tal como almacenamiento redundante, sistemas en

stand by y servicios de respaldo

Consideraciones legales[editar]
Otros aspectos importantes a considerar en una respuesta a incidentes son las
ramificaciones legales. Los planes de seguridad deberan ser desarrollados con
miembros del equipo de asesora jurdica o alguna forma de consultora
general. De la misma forma en que cada compaa debera tener su propia
poltica de seguridad corporativa, cada compaa tiene su forma particular de
manejar incidentes desde la perspectiva legal. Las regulaciones locales, de
estado o federales estn ms all del mbito de este documento, pero se
mencionan debido a que la metodologa para llevar a cabo el anlisis forense,
ser dictado, al menos en parte, por la consultora jurdica. La consultora
general puede alertar al personal tcnico de las ramificaciones legales de una
violacin; los peligros de que se escape informacin personal de un cliente,
registros mdicos o financieros; y la importancia de restaurar el servicio en
ambientes de misin crtica tales como hospitales y bancos.
Planes de accin[editar]

Una vez creado un plan de accin, este debe ser aceptado e implementado
activamente. Cualquier aspecto del plan que sea cuestionado durante la
implementacin activa lo ms seguro es que resulte en un tiempo de respuesta
pobre y tiempo fuera de servicio en el evento de una violacin. Aqu es donde
los ejercicios prcticos son invalorables. La implementacin del plan debera
ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a
menos que se llame la atencin con respecto a algo antes de que el plan sea
colocado en produccin.
La respuesta a incidentes debe ir acompaada con recoleccin de informacin
siempre que esto sea posible. Los procesos en ejecucin, conexiones de red,
archivos, directorios y mucho ms debera ser auditado activamente en tiempo
real. Puede ser muy til tener una toma instantnea de los recursos de
produccin al hacer un seguimiento de servicios o procesos maliciosos. Los
miembros de CERT y los expertos internos sern recursos excelentes para
seguir tales anomalas en un sistema.
El manejo de riesgos[editar]
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las
alternativas para manejar los posibles riegos que un activo o bien puede tener
dentro de losprocesos de organizacin. Esta clasificacin lleva el nombre de
manejo de riesgos. El manejo de riesgos, conlleva una estructura bien definida,
con un control adecuado y su manejo, habindolos identificado, priorizados y
analizados, a travs de acciones factibles y efectivas. Para ello se cuenta con
las siguientes tcnicas de manejo del riesgo:

Evitar. El riesgo es evitado cuando la organizacin rechaza aceptarlo, es

decir, no se permite ningn tipo de exposicin. Esto se logra
simplemente con no comprometerse a realizar la accin que origine el
riesgo. Esta tcnica tiene ms desventajas que ventajas, ya que la
empresa podra abstenerse de aprovechar muchas oportunidades.
Ejemplo:

No instalar empresas en zonas ssmicas

Reducir. Cuando el riesgo no puede evitarse por tener varias

dificultades de tipo operacional, la alternativa puede ser su reduccin
hasta el nivel ms bajo posible. Esta opcin es la ms econmica y
sencilla. Se consigue optimizando los procedimientos,
la implementacin de controles y su monitoreo constante. Ejemplo:

No fumar en ciertas reas, instalaciones elctricas anti flama, planes de

contingencia.

Retener, Asumir o Aceptar el riesgo. Es uno de los mtodos ms

comunes del manejo de riesgos, es la decisin de aceptar las
consecuencias de la ocurrencia del evento. Puede ser voluntaria o
involuntaria, la voluntaria se caracteriza por el reconocimiento de la
existencia del riesgo y el acuerdo de asumir las perdidas involucradas,

esta decisin se da por falta de alternativas. La retencin involuntaria se

da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el
riesgo:
Con recursos propios se financian las prdidas.

Transferir. Es buscar un respaldo y compartir el riesgo con otros

controles o entidades. Esta tcnica se usa ya sea para eliminar un riesgo
de un lugar y transferirlo a otro, o para minimizar el mismo,
compartindolo con otras entidades. Ejemplo:

Transferir los costos a la compaa aseguradora

Medios de transmisin de ataques a los sistemas de seguridad[editar]
El mejor en soluciones de su clase permite una respuesta rpida a las
amenazas emergentes, tales como:

Malware y spam propagado por e-mail.

La propagacin de malware y botnets.

Los ataques de phishing alojados en sitios web.

Los ataques contra el aumento de lenguaje de marcado extensible (XML)

de trfico, arquitectura orientada a servicios (SOA) y servicios web.

Estas soluciones ofrecen un camino a la migracin y la integracin. Como las

amenazas emergentes, cada vez ms generalizada, estos productos se vuelven
ms integrados en un enfoque de sistemas.
Un enfoque de sistemas de configuracin, la poltica, y el seguimiento se rene
cumplimiento de las normativas en curso y permite a los sistemas rentables de
gestin. El enfoque de sistemas de gestin de la seguridad, dispone:

Configuracin de la poltica comn de todos los productos

Amenaza la inteligencia y la colaboracin de eventos

Reduccin de la complejidad de configuracin

Anlisis de riesgos eficaces y operativos de control

En la actualidad gracias a la gran cantidad posibilidades que se tiene para

tener acceso a los recursos de manera remota y al gran incremento en las
conexiones a la internet los delitos en el mbito de TI se han visto
incrementado, bajo estas circunstancias los riesgos informticos son ms
latentes. Los delitos cometidos mediante el uso de la computadora han crecido
en tamao, forma y variedad. Los principales delitos hechos por computadora o
por medio de computadoras son:

Fraudes

Falsificacin

Venta de informacin

Entre los hechos criminales ms famosos en los Estados Unidos estn:

El caso del Banco Wells Fargo donde se evidencio que la proteccin de

archivos era inadecuada, cuyo error costo USD 21.3 millones.

El caso de la NASA donde dos alemanes ingresaron en archivos

confidenciales.

El caso de un muchacho de 15 aos que entrando a la computadora de

la Universidad de Berkeley en California destruyo gran cantidad de
archivos.

Tambin se menciona el caso de un estudiante de una escuela que

ingreso a una red canadiense con un procedimiento de admirable
sencillez, otorgndose una identificacin como un usuario de alta
prioridad, y tomo el control de una embotelladora de Canad.

Tambin el caso del empleado que vendi la lista de clientes de una

compaa de venta de libros, lo que causo una prdida de USD 3
millones.

Tambin el caso de estudiantes de Ingeniera electrnica donde

accedieron al sistema de una Universidad de Colombia y cambiaron las
notas de sus compaeros generando estragos en esta Universidad y
retrasando labores, lo cual dej grandes perdidas econmicas y de
tiempo.2

Los virus, troyanos, spyware, malware y dems cdigo llamado malicioso (por
las funciones que realiza y no por tratarse de un cdigo errneo), tienen como
objetivo principal el ejecutar acciones no solicitadas
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

Seguridad de la informacin / Seguridad informtica

Existen muchas definiciones del trmino seguridad. Simplificando, y en general, podemos definir la
seguridad como: "Caracterstica que indica que un sistema esta libre de todo peligro, dao o
riesgo." (Villaln)
Cuando hablamos de seguridad de la informacin estamos indicando que dicha informacin tiene
una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Informacin se puede definir como conjunto de medidas tcnicas, organizativas
y legales que permiten a la organizacin asegurar la confidencialidad, integridad y disponibilidad de
su sistema de informacin.
Hasta la aparicin y difusin del uso de los sistemas informticos, toda la informacin de inters de
una organizacin se guardaba en papel y se almacenaba en grandes cantidades de abultados
archivadores. Datos de los clientes o proveedores de la organizacin, o de los empleados
quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje,
transporte, acceso y procesado.
Los sistemas informticos permiten la digitalizacin de todo este volumen de informacin
reduciendo el espacio ocupado, pero, sobre todo, facilitando su anlisis y procesado. Se gana en
'espacio', acceso, rapidez en el procesado de dicha informacin y mejoras en la presentacin de
dicha informacin.
Pero aparecen otros problemas ligados a esas facilidades. Si es mas fcil transportar la
informacin tambin hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fcil
acceder a ella tambin es mas fcil modificar su contenido, etc.
Desde la aparicin de los grandes sistemas aislados hasta nuestros das, en los que el trabajo en
red es lo habitual, los problemas derivados de la seguridad de la informacin han ido tambin
cambiando, evolucionando, pero estn ah y las soluciones han tenido que ir adaptndose a los
nuevos requerimientos tcnicos. Aumenta la sofisticacin en el ataque y ello aumenta la
complejidad de la solucin, pero la esencia es la misma.
Existen tambin diferentes definiciones del trmino Seguridad Informtica. De ellas nos quedamos
con la definicin ofrecida por el estndar para la seguridad de la informacin ISO/IEC 27001, que
fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization
(ISO) y por la comisin International Electrotechnical Commission (IEC).
La seguridad informtica consiste en la implantacin de un conjunto de medidas tcnicas
destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la informacin,
pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la
fiabilidad y el no repudio.
Como vemos el trmino seguridad de la informacin es mas amplio ya que engloba otros aspectos
relacionados con la seguridad mas all de los puramente tecnolgicos.

Seguridad de la informacin: modelo PDCA

Dentro de la organizacin el tema de la seguridad de la informacin es un captulo muy importante
que requiere dedicarle tiempo y recursos. La organizacin debe plantearse un Sistema de Gestin
de la Seguridad de la Informacin (SGSI).

El objetivo de un SGSI es proteger la informacin y para ello lo primero que debe hacer es
identificar los 'activos de informacin' que deben ser protegidos y en qu grado.
Luego debe aplicarse el plan PDCA ('PLAN DO CHECK ACT'), es decir Planificar, Hacer,
Verificar, Actuar y volver a repetir el ciclo.
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se
eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad
no son nicamente de naturaleza tecnolgica, y por ese motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en
Actuar, consiguiendo as mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas de seguridad,

se hace el anlisis de riesgos, se hace la seleccin de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestin de seguridad de la informacin,
implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditoras internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones
preventivas y acciones correctivas .

Bases de la Seguridad Informtica

Fiabilidad
Existe una frase que se ha hecho famosa dentro del mundo de la seguridad. Eugene Spafford,
profesor de ciencias informticas en la Universidad Purdue (Indiana, EEUU) y experto en seguridad
de datos, dijo que el nico sistema seguro es aquel que est apagado y desconectado, enterrado
en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y
muy bien armados. An as, yo no apostara mi vida por l.
Hablar de seguridad informtica en trminos absolutos es imposible y por ese motivo se habla mas
bien de fiabilidad del sistema, que, en realidad es una relajacin del primer trmino.

Definimos la Fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera
de l.
En general, un sistema ser seguro o fiable si podemos garantizar tres aspectos:
Confidencialidad: acceso a la informacin solo mediante autorizacin y de forma
controlada.
Integridad: modificacin de la informacin solo mediante autorizacin.
Disponibilidad: la informacin del sistema debe permanecer accesible mediante
autorizacin.

Existe otra propiedad de los sistemas que es la Confiabilidad, entendida como nivel de calidad del
servicio que se ofrece. Pero esta propiedad, que hace referencia a la disponibilidad, estara al
mismo nivel que la seguridad. En nuestro caso mantenemos la Disponibilidad como un aspecto de
la seguridad.

Confidencialidad
En general el trmino 'confidencial' hace referencia a "Que se hace o se dice en confianza o con
seguridad recproca entre dos o ms personas." (http://buscon.rae.es)
En trminos de seguridad de la informacin, la confidencialidad hace referencia a la necesidad de
ocultar o mantener secreto sobre determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin no autorizada de la
informacin.
En general, cualquier empresa pblica o privada y de cualquier mbito de actuacin requiere que
cierta informacin no sea accedida por diferentes motivos. Uno de los ejemplos mas tpicos es el
del ejrcito de un pas. Adems, es sabido que los logros mas importantes en materia de seguridad
siempre van ligados a temas estratgicos militares.
Por otra parte, determinadas empresas a menudo desarrollan diseos que deben proteger de sus
competidores. La sostenibilidad de la empresa as como su posicionamiento en el mercado pueden
depender de forma directa de la implementacin de estos diseos y, por ese motivo, deben
protegerlos mediante mecanismos de control de acceso que aseguren la confidencialidad de esas
informaciones.

Un ejemplo tpico de mecanismo que garantice la confidencialidad es la Criptografa, cuyo objetivo

es cifrar o encriptar los datos para que resulten incomprensibles a aquellos usuarios que no
disponen de los permisos suficientes.
Pero, incluso en esta circunstancia, existe un dato sensible que hay que proteger y es la clave de
encriptacin. Esta clave es necesaria para que el usuario adecuado pueda descifrar la informacin
recibida y en funcin del tipo de mecanismo de encriptacin utilizado, la clave puede/debe viajar
por la red, pudiendo ser capturada mediante herramientas diseadas para ello. Si se produce esta
situacin, la confidencialidad de la operacin realizada (sea bancaria, administrativa o de cualquier
tipo) queda comprometida.

Integridad
En general, el trmino 'integridad' hace referencia a una cualidad de 'ntegro' e indica "Que no
carece de ninguna de sus partes." y relativo a personas "Recta, proba, intachable.".
En trminos de seguridad de la informacin, la integridad hace referencia a la la fidelidad de la
informacin o recursos, y normalmente se expresa en lo referente a prevenir el cambio impropio o
desautorizado.
El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la informacin.
La integridad hace referencia a:
la integridad de los datos (el volumen de la informacin)
la integridad del origen (la fuente de los datos, llamada autenticacin)
Es importante hacer hincapi en la integridad del origen, ya que puede afectar a su exactitud,
credibilidad y confianza que las personas ponen en la informacin.
A menudo ocurre que al hablar de integridad de la informacin no se da en estos dos aspectos.
Por ejemplo, cuando un peridico difunde una informacin cuya fuente no es correcta, podemos
decir que se mantiene la integridad de la informacin ya que se difunde por medio impreso, pero
sin embargo, al ser la fuente de esa informacin errnea no se est manteniendo la integridad del
origen, ya que la fuente no es correcta.

Disponibilidad
En general, el trmino 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una
cosa "Que se puede disponer libremente de ella o que est lista para usarse o utilizarse."
En trminos de seguridad de la informacin, la disponibilidad hace referencia a que la informacin
del sistema debe permanecer accesible a elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de
los recursos informticos.
En trminos de seguridad informtica un sistema est disponible cuando su diseo e
implementacin permite deliberadamente negar el acceso a datos o servicios determinados. Es
decir, un sistema es disponible si permite no estar disponible.
Y un sistema 'no disponible' es tan malo como no tener sistema. No sirve.

Como resumen de las bases de la seguridad informtica que hemos comentado, podemos decir
que la seguridad consiste en mantener el equilibrio adecuado entre estos tres factores. No tiene
sentido conseguir la confidencialidad para un archivo si es a costa de que ni tan siquiera el usuario
administrador pueda acceder a l, ya que se est negando la disponibilidad.
Dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la
seguridad o a otro. En ambientes militares suele ser siempre prioritaria la confidencialidad de la
informacin frente a la disponibilidad. Aunque alguien pueda acceder a ella o incluso pueda
eliminarla no podr conocer su contenido y reponer dicha informacin ser tan sencillo como
recuperar una copia de seguridad (si las cosas se estn haciendo bien).
En ambientes bancarios es prioritaria siempre la integridad de la informacin frente a la
confidencialidad o disponibilidad. Se considera menos daino que un usuario pueda leer el saldo
de otro usuario a que pueda modificarlo.

http://recursostic.educacion.es/observatorio/web/es/component/content/article/
1040-introduccion-a-la-seguridad-informatica?start=1

3. Seguridad de la Informacin y Proteccin de Datos

En la Seguridad Informtica se debe distinguir dos propsitos de proteccin, la Seguridad de la
Informacin y la Proteccin de Datos.

Se debe distinguir entre los dos, porque forman la base y dan la razn, justificacin en la
seleccin de los elementos de informacin que requieren una atencin especial dentro del marco

de la Seguridad Informtica y normalmente tambin dan el motivo y la obligacin para su

proteccin.
Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Informacin y
la Proteccin de Datos como motivo o obligacin de las actividades de seguridad, las medidas de
proteccin aplicadas normalmente sern las mismas.
Para ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguienteejercicio.

En la Seguridad de la Informacin el objetivo de la proteccin son los datos mismos y trata de

evitar su perdida y modificacin non-autorizado. La proteccin debe garantizar en primer lugar
la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen ms requisitos
como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de proteccin, que responden a la Seguridad de
la Informacin, es el propio inters de la institucin o persona que maneja los datos, porque la
perdida o modificacin de los datos, le puede causar un dao (material o inmaterial). Entonces
en referencia al ejercicio con el banco, la perdida o la modificacin errnea, sea causado
intencionalmente o simplemente por negligencia humana, de algn rcord de una cuenta

bancaria, puede resultar en perdidas econmicas u otros consecuencias negativas para la

institucin.

En el caso de la Proteccin de Datos, el objetivo de la proteccin no son los datos en si mismo,

sino el contenido de la informacin sobre personas, para evitar el abuso de esta.
Esta vez, el motivo o el motor para la implementacin de medidas de proteccin, por parte de la
institucin o persona que maneja los datos, es la obligacin jurdica o la simple tica personal,
de evitar consecuencias negativas para las personas de las cuales se trata la informacin.
En muchos Estados existen normas jurdicas que regulan el tratamiento de los datos personales,
como por ejemplo en Espaa, donde existe la Ley Orgnica de Proteccin de Datos de Carcter
Personal que tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los
datos personales, las libertades pblicas y los derechos fundamentales de las personas fsicas, y
especialmente de su honor, intimidad y privacidad personal y familiar [1]. Sin embargo el gran
problema aparece cuando no existen leyes y normas jurdicas que evitan el abuso o mal uso de
los datos personales o si no estn aplicadas adecuadamente o arbitrariamente.

Existen algunas profesiones que, por su carcter profesional, estn reconocidos o obligados, por
su juramento, de respetar los datos personales como por ejemplo los mdicos, abogados, jueces
y tambin los sacerdotes. Pero independientemente, si o no existen normas jurdicas, la
responsabilidad de un tratamiento adecuado de datos personales y las consecuencias que puede
causar en el caso de no cumplirlo, recae sobre cada persona que maneja o tiene contacto con tal
informacin, y debera tener sus races en cdigos de conducta [2], [3] y finalmente la tica
profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer dao.
Si revisamos otra vez los resultados del ejercicio con el banco y en particular los elementos que
clasificamos como Informacin Confidencial, nos podemos preguntar, de que manera nos
podra perjudicar un supuesto mal manejo de nuestros datos personales, por parte del banco,
con la consecuencia de que terminen en manos ajenas? Pues, no hay una respuesta clara en
este momento sin conocer cul es la amenaza, es decir quin tuviera un inters en esta
informacin y con que propsito?
<< anterior | siguiente >>

buscar

go

Contenido

Gesti
n de
Riesgo
o

1.
Defi
nici
n de
Segu
rida
d Inf
orm
tica

2.
Gest
in

de
Ries
go
en la
Segu
rida
d Inf
orm
tica
3.

Segu
rida
d de
la
Infor
maci
n y
Prot
ecci
n
de D
atos
Ej

er
cic
io
o

4.
Reto
s de
la Se
guri
dad

5.
Elem
ento
s

de I
nfor
maci
n
o

6.
Ame
naza
sy
Vuln
erabi
lidad
es

7.
Anli
sis
de R
iesg
o

8.
Matri
z
para
el
Anli
sis
de R
iesg
o

9.
Clasi
ficaci
n
de R
iesg
o

10.

Redu
cci
n
de R
iesg
o
11.

Cont
rol
de R
iesg
o

Herra
mienta
s de
Protec
cin

Descar
gas

Glosari
o

Comen
tarios

Sobre
o

Refe
renci
as

Licencia / Derecho de Autor

"Gestin de Riesgo en la Seguridad Informtica" de Markus Erb est protegida con la licenciada Creative Commons
Atribucin-No Comercial-Compartir Obras Derivadas Igual 3.0 Espaa License.
Blog de WordPress.com. El tema K2-lite.
RSS Entries and RSS Comments

Seguir

Seguir Gestin de Riesgo en la Seguridad Informtica

Recibe cada nueva publicacin en tu buzn de correo electrnico.
nete a otros 109 seguidores
Suscrbeme

Construye un sitio web con WordPress.com

https://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccio
n/

Privacidad de datos

Nuevos recursos
Demos

Informatica Dynamic Data Masking: Brief Product Overview and Demo

Informatica Data Privacy: Protect Sensitive Data

Ms Demos

White Papers

Administracin del crecimiento de datos en la Suite Oracle E-Business con Enterprise

Application Archiving,Test Data Management y Data Masking

Gestin del ciclo de vida de la informacin de aplicaciones para SAP

Ms White Papers

Informes de analistas

Cuadrante Mgico de Gartner sobre tecnologa de enmascaramiento de datos

Situacin de la seguridad centrada en los datos

Ms informes de analistas

Webinars

Data Privacy Webinar for Pharma

No more excuses Healthcare organizations need to mask their patient data

Ms Webinars

Datasheets

Informatica Dynamic Data Masking

Informatica Dynamic Data Masking

Ms Data Sheets

Informacin general

Productos

Proteja los datos sensibles y mejore el cumplimiento de

normativas gracias a la privacidad de datos.
Las soluciones de Informatica para la privacidad de datos se basan en una tecnologa probada de ltima
generacin que permite a las organizaciones gestionar y proteger sus datos sensibles y privados de
forma rpida, sencilla y rentable. Adems, reducen los riesgos de filtraciones de datos y satisfacen
eficazmente los requisitos de cumplimiento para entornos de produccin y no produccin de forma
oportuna.
Estas completas soluciones, basadas en una arquitectura abierta e innovadora, son muy flexibles y
escalables y estn destinadas al procesamiento de batch o en tiempo real, dinmico o persistente.
Gracias a su implantacin rpida, sencilla y transparente y a la plataforma de gestin centralizada, las
soluciones de Informatica para la privacidad de datos ayudarn a su organizacin a mantener el control
y les permitirn acceder a sus datos analticos y transaccionales, minimizar los costes de cumplimiento y
garantizar la privacidad de los datos.

Minimice el riesgo de incumplimiento de las normativas con la privacidad de datos

La informacin personal, financiera y sanitaria sensible se rige por un entramado de normativas
gubernamentales y del sector sobre la privacidad de datos. Si las organizaciones no mantienen la
privacidad de los datos, se enfrentan a costosas sanciones econmicas y legales, as como a una
prdida significativa de la confianza de consumidores y mercados. Es fundamental que las
organizaciones protejan las cientos de aplicaciones y bases de datos de los usuarios de negocio, los
equipos de soporte de produccin, los administradores de bases de datos, los desarrolladores y los
equipos externos y situados en el extranjero, siempre al mismo tiempo que les permiten realizar sus
trabajos. Sin una solucin de privacidad de datos flexible y completa las organizaciones se arriesgan a:
Exponer los datos sensibles a usuarios no autorizados, con el riesgo inherente para su
seguridad
No cumplir las estrictas normativas gubernamentales, como la ley Gramm-Leach-Bliley Act
(GLBA), la ley HIPAA, el estndar de seguridad de datos PCI DSS y la directiva sobre
proteccin de datos personales de la Unin Europea
Consecuencias potencialmente devastadoras derivadas del incumplimiento de normativas, que
incluyen mala publicidad y sanciones elevadas
Disminucin del nmero de clientes debida a la prdida de confianza en las polticas de
privacidad de los datos.

Garantice la privacidad de los datos y minimice el riesgo de una filtracin de

datos

Las soluciones de Informatica para la privacidad de datos afrontan desafos especficos de las
organizaciones de IT, que deben garantizar la seguridad de los datos sensibles tanto en entornos de
produccin como de no produccin.
Esta solucin permite a las organizaciones de IT:
Auditar, bloquear el acceso o enmascarar dinmicamente datos de produccin sensibles e
informacin personal identificable (PII), todo ello sin realizar cambios en la base de datos o el
cdigo fuente de la aplicacin
Proteger la privacidad de los datos segn las clasificaciones de confidencialidad y mantener al
mismo tiempo la integridad referencial y la adecuacin contextual
Integrarse con software LDAP, ActiveDirectory y de gestin de accesos e identidades (IAM) para
llevar a cabo una resolucin de roles e identidades de equipo real
Lograr un retorno de la inversin a travs de una instalacin e implementacin rpidas
Ejecutar procesos y ver pantallas de aplicaciones sin necesidad de exponer datos de
produccin reales
Enmascarar los datos sensibles y proteger la privacidad de los datos en las copias de
desarrollo, pruebas y formacin, al mismo tiempo que se trabaja con conjuntos de datos
realistas
Acelerar los tiempos de implantacin por medio de polticas de privacidad y enmascaramiento
de datos predefinidas que permiten crear rpidamente conjuntos de datos de prueba seguros
para aplicaciones empaquetadas

http://international.informatica.com/la/solutions/application-informationlifecycle-management/data-privacy/

DR. ESQUERDO 29, 1 D

Madrid (Espaa) - Sede central

+34 91 713 18 98
info@tuabogadodefensor.com

CONTACTE CON NOSOTROS

DERECHOS INDIVIDUALES
DERECHO INMOBILIARIO
TRABAJADOR / EMPRESA
ABOGADOS ONLINE
PLANTILLAS
BLOG

Tuabogadodefensor > Confidencialidad de datos informaticos

Confidencialidad de datos informaticos

1.

Los datos privados en Internet: Proteccin de datos

2.

La revelacin de secretos empresariales

3.

Tipos de ataques informticos

4.

La privacidad de los correos electrnicos

5.

Firma Digital y proteccin de datos

Los datos privados en

Internet: Confidencialidad

Los datos personales y los datos privados, pueden ser objeto de proteccin, por su propio
contenido.
Los datos que se contengan en ficheros informticos, pueden ser personales, es decir de
contenido o proteccin por la Ley de Proteccin de Datos o no, mientras que los datos
privados, puede contener datos personales o no, pinsese por ejemplo en datos
relacionados con un proyecto empresarial, mediciones, estructuras, etc., que son
privados, pero no entran dentro del mbito de la Ley de Proteccin de datos, pero que
evidentemente, por el inters de la empresa que los desarrolla, tambin los debe de
considerar de gran importancia confidencial.
En la actualidad, en el siglo XXI en que nos encontramos, el uso de la informtica, es algo
consustancial con la propia dinmica de la vida moderna, hoy todo trabajo tiene que ver
con las aplicaciones informticas o se utiliza Internet para interrelacionarse entre las
personas, bien de forma privada, como pblica.
Pero esa interrelacin entre las personas por medios tan potentes como Internet, donde
se contrata o se pueden mantener relaciones con cualquier ciudadano de cualquier pais o
continente, tambin tiene sus peligros, para la intimidad y para el uso que se pueda hacer
de los datos que se suministren sin proteccin o an incluso, con ella.
Por ello el legislador en Espaa y en otras naciones donde se aplican protecciones
similares, han creado distintos organismos de proteccin, como en Espaa es la Agencia
de Proteccin de Datos, mximo rgano espaol para velar por la intimidad personal
frente al abuso de las nuevas tecnologas, ha advertido de que, a no ser que se utilice un
mecanismo de cifrado, debe asumirse que el correo electrnico no es seguro.
Mtodos como el asimtrico de clave pblica defienden la confidencialidad del correo
electrnico, fcilmente violable sin ellos, o la necesaria seguridad de las compras por
Internet. Sin embargo, la duda persiste.
Son capaces las complejas claves actuales de garantizar el secreto?
Muchas de las tcnicas que se han considerado infalibles a lo largo de la Historia han
mostrado sus puntos dbiles ante la habilidad de los criptoanalistas, desde los misterios

de Enigma, que cayeron en poder del enemigo, hasta el DES, desechado por el propio
Gobierno estadounidense por poco fiable.
Pero a pesar de los muchos rumores que hablan de la poca seguridad que garantizan las
transmisiones va Internet, es muy improbable que un estafador pueda interceptar los
datos reservados de una transaccin, por ejemplo, el nmero de una tarjeta de crdito,
porque los formularios que hay que rellenar han sido diseados con programas que
cifran los datos. Los hay tan simples como el Ro13, que sustituye cada letra por la situada
13 puestos ms adelante, o extremadamente complicados.
En palabras de un apasionado de la criptografa, Edgar Allan Poe, es dudoso que el
gnero humano logre crear un enigma que el mismo ingenio humano no resuelva.

La revelacin de secretos
empresariales
La violacin de secretos empresarial, se encuentra dentro de la categora de los actos de
competencia desleal que protegen bsicamente, aunque no exclusivamente, el inters de
los competidores se encuentra el artculo 13 de la Ley, el cual con la rbrica sobre
violacin de secretosestablece literalmente en su apartado l.-Se considera desleal la
divulgacin o explotacin, sin autorizacin de su titular, de secretos industriales o de
cualquier otra especie de secretos empresariales a los que se haya tenido acceso
legtimamente, pero con deber de reserva, o ilegtimamente, a consecuencia de alguna de
las conductas previstas en el apartado siguiente o en el artculo 14.
La doctrina espaola, considera como secreto emrpesarial todo conocimiento reservado
sobre ideas, productos o procedimientos industriales que el empresario, por su valor
competitivo para la empresa, desea mantener oculto, la informacin secreta, debe tener
un valor patrimonial que se manifiesta en el hecho de reportar a su titular una ventaja
econmica, ya sea actual o potencial, en relacin con terceros que no la conocen.

La violacin de los secretos empresariales

El artculo 13.1 de la Ley establece como presupuesto esencial del acto de deslealtad que
la violacin del secreto se realice sin autorizacin de su titular. Por tanto, a sensu
contrario, el titular de un secreto empresarial puede comunicar la informacin a terceros
sin que por ello pierda su carcter confidencial en el seno de una relacin, o bien porque
as lo establezcan las partes mediante una clausula de confidencialidad. Esta

comunicacin de la informacin secreta es caracterstica de los contratos de trasferencia

de Know-how y de licencia de informacin secreta. En estos supuestos, no estamos
ante un acto de deslealtad por estar autorizada la divulgacin y explotacin de la
informacin secreta por el propio titular de la misma.

La proteccin del secreto empresarial: accin penal

Habida cuenta que la revelacin o el uso de secretos empresariales de un tercero en gran
parte de los casos se realizan con intencin de perjudicar al competidor, no parece
aventurado el sostener que el recurso al procedimiento penal resulta mas ventajoso para
el perjudicado.
En los procesos de secretos empresariales existe mas facilidad para probar las prdidas
del demandante y los beneficios obtenidos por el demandado, ya que uno de los factores
determinantes para la caracterizacin del secreto empresarial es precisamente que
reporte a su titular una ventaja de contenido patrimonial respecto de los competidores
que no lo utilizan y, por tanto su utilizacin se traduce en un incremento patrimonial
constatable por un examen de la contabilidad.

Los ataques informticos

El uso masivo de Internet, ha propiciado tambin que, en la mayor parte de los casos, se
produzcan intromisiones en la intimidad de la red personal o empresarial por parte de
piratas informticos, organizados o no, con distintas finalidades, muchos ataques son
como siguen:

Ataque slo con texto cifrado. Esta es la peor situacin posible para el
criptoanalista, ya que se presenta cuando slo conoce el criptograma.

Ataque con texto original conocido. Consiste en que el criptoanalista tiene

acceso a una correspondencia del texto inicial y cifrado. Se de este caso, por ejemplo,
cuando conoce el tema del que trata el mensaje, pues eso proporciona una
correspondencia entre las palabras ms probables y las palabras cifradas mas
repetidas.

Ataque con texto original escogido. Este caso se da cuando el enemigo puede
obtener, adems del criptograma que trata de descifrar, el cifrado de cualquier texto
que l elija, entendindose que no es que l sepa cifrarlo, sino que lo obtiene ya
cifrado.

Ataque con texto cifrado escogido. Se presenta cuando el enemigo puede

obtener el texto original correspondiente a determinados textos cifrados de su
eleccin.

Retomando la primera regla de Kerckhoffs, se pueden distinguir dos tipos de secreto: el

secreto terico o incondicional y el secreto prctico o de ordenadores.
El primero se basa en que la informacin disponible para el enemigo no es suficiente para
romper el sistema.
Por ejemplo, se da este caso cuando el enemigo slo conoce una cantidad de criptograma
insuficiente para el criptoanlisis. Por el contrario, el secreto prctico se mide de acuerdo
con la complejidad computacional del criptoanlisis.
Segn las necesidades actuales, y debido principalmente a la gran cantidad de
informacin que se transmite habitualmente, los diseadores de sistemas criptogrficos
deben suponer que el enemigo puede hacer al menos un ataque del segundo tipo, luego
deben intentar conseguir al menos secreto prctico.
Como ya se ha mencionado, existen muchos puntos en comn entre la teora de la
informacin y la criptografa. En concreto, entre codificacin y criptografa se tiene que la
codificacin representa una forma alternativa de esconder un mensaje. La diferencia
esencial entre un cifrado y un cdigo estriba en que este ltimo es un diccionario fijo; es
decir, a cada palabra le corresponde siempre la misma palabra cdigo.

La privacidad de los mensajes de

correo electrnico
Hay dos posibles situaciones en las que se pueden encontrar los interlocutores.
Puede que sea suficiente la comprobacin de que un mensaje no ha sido modificado por
un tercero, o bien puede ser necesario que el receptor sea capaz de demostrar que
realmente recibi el mensaje del emisor legtimo tal y como ste lo envi. La solucin a la
primera situacin protege a ambos comunicantes de la accin de posibles enemigos, pero
no protege contra los fraudes cometidos por uno de ellos.
En la segunda situacin, si se produce un fraude cometido por uno de los dos
comunicantes, se presenta el llamado problema de la disputa, que se resuelve
proporcionando una demostracin de la identidad del emisor al receptor.

Tal y como se definieron los esquemas de autenticacin con y sin secreto se tiene que en
el primero, un autenticador conocido por emisor y receptor se aade al texto que se
desea autenticar y luego se cifra. De esta manera al texto resultante se le proporciona al
mismo tiempo secreto y autenticacin. En el segundo caso, al texto simplemente se le
aade un cdigo de autenticacin. Si en alguno de estos dos casos se usa un sistema
simtrico, entonces emisor y receptor han de confiar plenamente el uno en el otro,
porque ambos comparten la misma clave.
Por tanto se pueden clasificar claramente los mtodos de autenticacin, segn si se utiliza
criptografa simtrica o asimtrica, en:

Mtodos basados en criptosistemas simtricos.

Mtodos basados en criptosistemas asimtricos.

Veremos solamente el caso de los esquemas de autenticacin mediante criptosistemas

asimtricos.
Consideremos en particular el algoritmo RSA. Cada usuario i genera una clave secreta di a
partir de dos nmeros primos (pi,qi) y pblica ni=pi*qi y ei-di-1(mod (ni)). Para usar este
sistema como esquema de autenticacin, el usuario i obtiene Di(m) y lo enva al receptor.
Este para verificar su autenticidad, le aplica Ei con la clave pblica de i, obteniendo
obteniendo Ei(Di(m)) m (mod ni), demostrando as que es autentico.
Uno de los principales problemas que se presentan en la autenticacin es la posibilidad
de que el enemigo utilice mensajes anteriores. Para intentar resolverlo, es conveniente
aadir al texto alguna seal que impida el engao, como, por ejemplo, la fecha.
Aunque un esquema de autenticacin permite al usuario A confiar en que el mensaje que
ha recibido viene de quin dice venir, eso no le permite convencer a un tercero de ello.
Por eso, los esquemas de autenticacin resultan dbiles ante el engao de uno de los dos
interlocutores legtimos. El uso de las funciones trampas hace posible la solucin a este
problema con la nocin de firma digital.

La autenticacin de un documento con

firma digital
El desarrollo de las telecomunicaciones en estos ltimos aos ha creado toda una
variedad de nuevas necesidades.

Por ejemplo, dado que en la mayora de las operaciones bancarias es necesario firmar los
documentos, con el uso de los ordenadores se requiere un nuevo planteamiento, donde
una firma digital sustituye a la firma manual y cumple las mismas propiedades que sta.
Se puede distinguir la firma:

implcita (contenida dentro del texto) de la explcita (aadida al texto como una
marca inseparable).

privada (legible slo para quien comparte cierto secreto con el emisor) de la
pblica (legible para todo el mundo).

La firma digital debe ser:

nica, pudindola generar solamente el usuario legtimo.

no falsificable, el intento de falsificacin debe llevar asociada la resolucin de un

problema numrico intratable.

fcil de autentificar, pudiendo cualquier receptor establecer su autentidad an

despus de mucho tiempo.

irrevocable, el autor de una firma no puede negar su autora.

barata y fcil de generar.

Otra caracterstica que han de tener las firmas digitales es que deben depender tanto del
mensaje como del autor. Esto debe ser as porque en otro caso el receptor podra
modificar el mensaje y mantener la firma, producindose as un fraude.
Si el emisor A enva un mensaje firmado digitalmente al receptor B, este ltimo no slo
debe convencerse de que el mensaje fue firmado por el primero, sino que, adems, debe
ser capaz de demostrar a un juez que A realmente firm ese mensaje. Esta nocin fue
ideada por Diffie y Hellman en 1976. La firma digital y el correo electrnico ofrecen
conjuntamente sustanciosas ventajas, una de ellas es hacer posible el correo certificado y
la firma electrnica de contratos.
La idea principal de la firma digital es que solamente el emisor la pueda producir y
adems se pueda demostrar que, efectivamente, es l quien la produce. Representa por
tanto, un control ms fuerte que la autenticacin.

http://www.tuabogadodefensor.com/proteccion-criptografica-datos/

PROTEGER LA CONFIDENCIALIDAD DE LAS BASES DE DATOS,

ASUNTO DE POLITICAS DE SEGURIDAD

En mayo nos enteramos con sorpresa que el padrn electoral, con datos personales de 58 millones
de votantes, fue sustrado del Registro Nacional de Poblacin e Identificacin (RENAPO) de la
SEGOB y vendido a la compaa estadounidense Choice Point, en un proceso de triangulacin en
el que participaron empleados de una empresa de computacin y una compaa que cambi de
nombre. Un empleado de la empresa "Vanguardia en Informtica" sustrajo los datos del padrn
electoral en poder del RENAPO y los vendi en 400 mil pesos a la empresa mexicana "Bases de
Datos Especializadas", que ces sus operaciones legales en abril de 2002 y meses despus se dio
de alta como "Soluciones Mercadolgicas en Base de Datos". La SEGOB se deslind de cualquier
responsabilidad. Sin embargo, admiti que los cartuchos con la informacin no fueron reportados
en las actas de entrega-recepcin por los exfuncionarios del RENAPO en por lo menos dos relevos
de sus directivos. Choice Point al parecer adquiri tambin el registro de licencias vehiculares del
DF con informacin de 6 millones de capitalinos y las bases de datos de otros estados de la
Repblica Mexicana, entre ellas la del estado de Mxico.
El incidente debe motivar la reflexin hacia el interior de las organizaciones sobre la
responsabilidad que implica la privacidad y confidencialidad de las personas y en particular de las
bases de datos que guardan sus nombres, domicilios, nmeros telefnicos, entre otros datos
personales. Nos invita a re-pensar en las polticas de seguridad y los procedimientos relacionados
con el manejo y custodia de la informacin en la organizacin. Superar las deficiencias de los
controles informticos e incorporar nuevos controles para asegurar la privacidad y confidencialidad
de la informacin, incluyendo mecanismos para el manejo de proveedores informticos, el
intercambio de informacin, revisiones de salida y de cumplimiento de normativas, convenios de
confidencialidad y por supuesto las acciones o sanciones que procedan para el caso de
incumplimiento o de hechos que pongan en riesgo la confidencialidad de la informacin y puedan
originar conflictos legales a la organizacin. Cmo protege usted a sus bases de datos? Tiene la
certeza de que los controles son seguros y eficientes? Como siempre, es recomendable revisar
dichos controles para evaluar si cumplen el objetivo de salvaguardar la informacin. Realizar
auditoras informticas con un cierto nivel de periodicidad le ayudar a identificar con oportunidad
riesgos y deficiencias de los controles establecidos y evitar sorpresas desagradables que pueden
afectar econmica y legalmente a la empresa. No se descuide.

TRABAJO EN CASA: SEGURIDAD MINIMA

El Home Office o trabajo en casa es algo que est siendo frecuente en muchas empresas,
particularmente por el beneficio econmico que trae para las empresas y aprovechando el uso
creciente de Internet y del acceso remoto. Sin embargo, la seguridad es un tema que pocas veces
se considera al implantar este esquema de trabajo. Aunque es recomendable realizar un anlisis
de riesgos que permita identificar posibles vulnerabilidades en el acceso remoto a los equipos de la
empresa, trabajar desde casa amerita que el empleado considere algunas medidas bsicas de
seguridad:
1. Dar a los activos asignados (PC, laptop y dems perifricos) el mismo trato que dara en la

oficina, cuidando las polticas y procedimientos de seguridad establecidos.

2. Asegurar que el software del equipo est soportado por la licencia de uso del fabricante. Evitar
descargar software de Internet y slo mantener instalado el software autorizado por la empresa.
3. Usar los activos asignados nicamente para las actividades y funciones autorizadas, evitando
prestarlas a familiares o amigos.
4. Asegurar que los activos asignados estn protegidos y seguros.
5. Cuidar el cambio peridico de passwords y procurar que stas sean difciles de adivinar pero
fciles de recordar. Es recomendable utilizar combinaciones de letras, nmeros y caracteres
especiales para lograr passwords fuertes.
6. Proteger con password de acceso todos los documentos, hojas de clculo, presentaciones,
diseos, que contengan informacin sensitiva.
7. Realizar respaldos de la informacin sensitiva, de ser posible utilizando mecanismos de
encripcin de datos.
8. Asegurar que el equipo est protegido por software anti-virus, anti-troyano, de deteccin de
intrusos y firewall, cuidando su actualizacin permanente.
9. En el caso de conexiones remotas va dial-up considerar la facilidad dial-back, cuidando el
reportar fallas o problemas que puedan ser sospechosos.

INDIGNACION POR CURSO PARA ESCRIBIR VIRUS

La decisin de la Universidad de Calgary de ofrecer un curso para escribir virus ha ocasionado la
indignacin de profesionales de la seguridad informtica. El curso cubrir los aspectos legales,
ticos y de seguridad en torno a los virus aunque tambin permitir el desarrollar software
malicioso como virus de computadora, gusanos y caballos de troya. Expertos en software anti-virus
condenaron el curso que ser ofrecido en el prximo otoo, lo llamaron "absolutamente
irresponsable" al tiempo que cuestionaron a la universidad por minimizar el riesgo y las
consecuencias en caso de posibles fugas de virus que no puedan ser controlados.

EL RIESGO DE USAR KAZAA

Mucha gente usa este sistema de intercambio de archivos para descargar msica por Internet
utilizando el concepto "Peer-to-Peer" (de amigo a amigo). En caso de no instalarse
adecuadamente, existe el riesgo de que estos amigos puedan escudriar el disco duro y con ello
comprometer la informacin que contiene, como correos electrnicos, contraseas, documentos
legales, cuentas bancarias o de tarjetas de crdito y otro tipo de datos sensitivos.

REINICIA LA BSA SU CAMPAA CERO-TOLERANCIA CONTRA LA

PIRATERIA DE SOFTWARE
Con una intencin ms amigable, la BSA reinici su campaa Cero-Tolerancia de
revisiones para la deteccin de software pirata en las empresas. Seguramente

usted ya ha observado algunos anuncios panormicos y en los diarios

nacionales, y an por correo-e, la BSA est invitando a las empresas a
regularizarse antes de las visitas de inspeccin de las autoridades federales. La
BSA est facilitando tambin el uso de GASP, la herramienta que recomienda
para que las empresas se auto-auditen y se les facilite la tarea de determinar la
legalidad de los programas de cmputo instalados en sus computadoras. GASP
se puede obtener en www.bsa.org/mexico/ para ambientes Windows. En el caso
de equipos Macintosh se puede solicitar el CD sin costo en Attest Mxico. Como
socios de negocios de Attest Mxico, queremos tambin ponernos a sus rdene
http://www.auditoria.com.mx/not/boletin/2003/0305.htm

de PIMETIC

INICIO

10 PASOS PARA PROTEGER LOS DATOS PERSONALES EN LA EMPRESA

Etiquetas
PIMETIC @ Facebook
Archivo

noviembre 2014 (1)

octubre 2014 (1)

septiembre 2014 (2)

agosto 2014 (2)

julio 2014 (2)

junio 2014 (1)

abril 2014 (2)

febrero 2014 (2)

enero 2014 (2)

diciembre 2013 (4)

noviembre 2013 (4)

octubre 2013 (2)

septiembre 2013 (2)

julio 2013 (1)

abril 2013 (2)

febrero 2013 (1)

enero 2013 (2)

diciembre 2012 (2)

julio 2012 (1)

mayo 2012 (1)

abril 2012 (1)

noviembre 2011 (1)

octubre 2011 (2)

junio 2011 (1)

abril 2011 (1)

10 pasos para proteger los datos

personales en la empresa
Publicado en blog, servicios el 14/11/2014 por Jess Soler2 comentarios

Este es un artculo invitado del abogado Jess Soler, de Privacidad Digital Abogados

En nuestras empresas todos manejamos datos

personales de clientes, proveedores y empleados. Saberlos gestionar y proteger nos dar una
ventaja competitiva sobre nuestros competidores. Los podemos implementar con la ayuda de
profesionales en diez sencillos pasos
1.

Conocer en profundidad los tipos de datos personales que manejamos.

2.

Establecer qu riesgos corremos por no proteger convenientemente la informacin.

3.

Informarse sobre los beneficios que se obtienen al proteger los datos personales,
especialmente la mejora de la reputacin.

4.

Ser consciente de que los datos personales de terceros han de ser confidenciales.

5.

Determinar qu informacin necesitas revelar antes de intercambiar informacin fuera

de tu organizacin

6.

Limitar tcnicamente la exposicin pblica de los datos personales.

7.

Implementar medidas bsicas de seguridad informtica.

8.

Formar al equipo operativo sobre la necesidad de proteger la informacin personal.

9.

Hacer cumplir los protocolos de confidencialidad a los terceros a los que reveles datos
personales.

10.

Hacer mantenimiento de los sistemas y revisiones peridicas de los protocolos de

proteccin de los datos personales.

Igual que los mandamientos, todos estos pasos pueden resumirse en dos:

Cumplirlas las obligaciones legales de la LOPD (registrar ficheros y elaborar un

Documento de Seguridad) y

Establecer los protocolos operativos que desarrollan el Documento de seguridad.

Y t, como gestionas tus datos personales?
Etiquetas: datos, lopd, seguridad

http://www.pimetic.com/es/2014/11/14/pasos-para-proteger-los-datospersonales/