Seguridad en el desarrollo de tecnologas de la informacin, Universidad de Oriente,

Venezuela. (2015)

GERENCIA ESTRATGICA DE PROYECTOS EN

TECNOLOGAS DE LA INFORMACIN
Antonio Garca
Hctor Rafael Rodrguez Rojas
Universidad de Oriente, Ncleo Anzotegui, Escuela de Ciencias Administrativas.
Email: hector_531@hotmail.com

RESUMEN
El presenta artculo resalta la importancia de tcnicas fundamentales
en el desarrollo de tecnologas de informacin, los cuales abarcan
tcnicas, procedimientos y estndares que garantizan la seguridad de
las

diferentes

aplicaciones

dispositivos

tecnolgicos

de

la

informacin.
Palabras Claves: Seguridad, tecnologas de la informacin, aplicaciones

INTRODUCCIN
Desde el punto de vista de seguridad resulta fundamental establecer
lineamientos que rijan cada una de las operaciones y funciones del
sistema dentro de normativas que garanticen la consistencia de datos
e informacin.
Es claro que para ello se deben estudiar todos los escenarios de
riesgo a los que se puede enfrentar la tecnologa o aplicacin
desarrollada, ya que la estabilidad de la misma garantiza el acceso
apropiado a la informacin adecuada y la distribucin de la misma de
manera masiva.
En

estas

ltimas

dcadas

las

tecnologas

de

informacin

comunicacin (TIC) se han convertido en un elemento fundamental en

la estructura organizacional de cualquier empresa o institucin. El

aprovechamiento de este recurso le permite a una organizacin

optimizar sus procesos y desarrollar tareas de manera ms eficiente.
La seguridad en el mbito de las TIC no est relacionada a slo
aspectos de manejo de datos, tambin tiene su relacin con el
soporte tcnico y la asistencia en el mantenimiento de los equipos
que son necesarios para implementar las nuevas tecnologas de
informacin.

Dimensiones Bsicas Seguridad TIC

De con Cabrero (1998) las nuevas tecnologas de la informacin y
comunicacin son las que giran en torno a tres medios bsicos: la
informtica, la microelectrnica y las telecomunicaciones; pero giran,
no slo de forma aislada, sino lo que es ms significativo de manera
interactiva e interconexionadas, lo que permite conseguir nuevas
realidades comunicativas' (pg. 198)
Definimos la Fiabilidad como la probabilidad de que un sistema se
comporte tal y como se espera de l. En general, un sistema ser
seguro o fiable si podemos garantizar tres aspectos:

Confidencialidad: acceso a la informacin solo mediante

autorizacin y de forma controlada.

Integridad: modificacin de la informacin solo mediante

autorizacin.
Disponibilidad: la informacin del sistema debe permanecer
accesible mediante autorizacin.

Confidencialidad
Es la propiedad de la informacin por la que se tiene la certeza de
que esta solo puede ser accedida (vista y entendida), por quienes

tienen la necesidad de ello y han sido autorizados por el propietario

de la misma. En trminos de seguridad de la informacin, la
confidencialidad hace referencia a la necesidad de ocultar o mantener
secreto sobre determinada informacin o recursos.
El objetivo de la confidencialidad es, entonces, prevenir la divulgacin
no autorizada de la informacin.
Un ejemplo tpico de mecanismo que garantice la confidencialidad es
la Criptografa, cuyo objetivo es cifrar o encriptar los datos para que
resulten incomprensibles a aquellos usuarios que no disponen de los
permisos suficientes. Pero, incluso en esta circunstancia, existe un
dato sensible que hay que proteger y es la clave de encriptacin. Esta
clave es necesaria para que el usuario adecuado pueda descifrar la
informacin recibida y en funcin del tipo de mecanismo de
encriptacin utilizado.
Integridad
Es la propiedad de la informacin por la que se tiene la certeza de
que esta es exacta y completa, que no ha sido alterada en modo
alguno. Tambin se habla de la integridad de los sistemas de
informacin, de los sistemas que permiten el proceso de los datos o
informacin, y en este sentido es la caracterstica de los mismos que
garantiza que no se ven modificados (lo cual puede ocurrir
accidentalmente o deliberadamente).
En trminos de seguridad de la informacin, la integridad hace
referencia a la fidelidad de la informacin o recursos, y normalmente
se expresa en lo referente a prevenir el cambio impropio o
desautorizado.

El objetivo de la integridad es, entonces, prevenir modificaciones no

autorizadas de la informacin.
La integridad hace referencia a:
La integridad de los datos (el volumen de la informacin)
La integridad del origen (la fuente de los datos, llamada
autenticacin)
Disponibilidad
Es la propiedad de la informacin por la que se tiene la certeza de
que los autorizados a acceder a ella lo pueden hacer cuando lo
requieran en todo momento y circunstancia
En trminos de seguridad de la informacin, la disponibilidad hace
referencia a que la informacin del sistema debe permanecer
accesible a elementos autorizados.
El objetivo de la disponibilidad es, entonces, prevenir interrupciones
no autorizadas/controladas de los recursos informticos. En trminos
de seguridad informtica un sistema est disponible cuando su diseo
e implementacin permite deliberadamente negar el acceso a datos o
servicios determinados.
Como resumen de las bases de la seguridad informtica que hemos
comentado, podemos decir que la seguridad consiste en mantener el
equilibrio adecuado entre estos tres factores. No tiene sentido
conseguir la confidencialidad para un archivo si ni siquiera el usuario
administrador pueda acceder a l, ya que se est negando la
disponibilidad.

Dependiendo del entorno de trabajo y sus necesidades se puede dar

prioridad a un aspecto de la seguridad o a otro. En ambientes
militares suele ser siempre prioritaria la confidencialidad de la
informacin frente a la disponibilidad. Aunque alguien pueda acceder
a ella o incluso pueda eliminarla no podr conocer su contenido y
reponer dicha informacin ser tan sencillo como recuperar una copia
de seguridad (si las cosas se estn haciendo bien).
En ambientes bancarios es prioritaria siempre la integridad de la
informacin frente a la confidencialidad o disponibilidad. Se considera
menos daino que un usuario pueda leer el saldo de otro usuario a
que pueda modificarlo.
VULNERABILIDADES Y AMENAZAS
Una

vulnerabilidad de seguridad

es un defecto o debilidad en el

diseo, implementacin o funcionamiento de un sistema que podra

ser utilizado para violar su seguridad.
Las amenazas son aquellas acciones o situaciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa,
entidad u organismo. Comnmente se indican como amenazas los
fallos de programacin, los virus, uso inadecuado de software, los
desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Un

riesgo

de

seguridad

ocurre

cuando

se

combinan

una

vulnerabilidad y una amenaza de seguridad.

Para gestionar la seguridad hay que hacer un inventario de activos y
de las amenazas que pueden daarlos. A continuacin se realiza un
anlisis de riesgos. El riesgo, que es contingencia o proximidad de un
dao ha de ser medido en trminos de la probabilidad de que una

amenaza concreta pueda explotar la vulnerabilidad de un activo para

daarlo y causar prdidas.
Por ejemplo, el riesgo de incendio en un CPD debe considerarse
independientemente de los posibles sensores de temperatura (ya
veremos porqu en la siguiente entrada). Para la cuantificacin,
existen amenazas, como por ejemplo incendios, de las que se dispone
de informacin suficiente (series histricas, compaas de seguros y
otros datos) para establecer con razonable objetividad su probabilidad
de ocurrencia. Otras amenazas presentan mayor dificultad en
establecer cuantitativamente la probabilidad, como por ejemplo el
acceso no autorizado a datos, dnde se hacen estimaciones sobre la
base de conocimiento o experiencia previa. En este caso, para el
personal

interno

del

Centro

de

Proceso

de

Datos

(CPD),

la

probabilidad puede ser del 70%, mientras que para el personal de la

organizacin externo al CPD del 45%, y para personas externa el 20%.
El hecho de conectar una red a un entorno externo nos da la
posibilidad de que algn atacante pueda entrar en ella, con esto, se
puede hacer robo de informacin o alterar el funcionamiento de la
red. Sin embargo el hecho de que la red no sea conectada a un
entorno externo no nos garantiza la seguridad de la misma. De
acuerdo con el Computer Security Institute (CSI) de San Francisco
aproximadamente entre 60 y 80 por ciento de los incidentes de red
son causados desde adentro de la misma. Basado en esto podemos
decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser

ms serias que las externas por varias razones como son:

Los

usuarios

funcionamiento.

conocen

la

red

saben

cmo

es

su

 Tienen algn nivel de acceso a la red por las mismas

necesidades de su trabajo.
Los IPS y Firewalls son mecanismos no efectivos en amenazas
internas.
Esta situacin se presenta gracias a los esquemas ineficientes de
seguridad con los que cuentan la mayora de las compaas a nivel
mundial, y porque no existe conocimiento relacionado con la
planeacin de un esquema de seguridad eficiente que proteja los
recursos informticos de las actuales amenazas combinadas. El
resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin, lo que puede
representar un dao con valor de miles o millones de dlares.
Amenazas externas: Son aquellas amenazas que se originan de
afuera de la red. Al no tener informacin certera de la red, un
atacante tiene que realizar ciertos pasos para poder conocer qu es lo
que hay en ella y buscar la manera de atacarla.