1

Contenido
I. Entornos de los Sistemas de Informacin ............................................................................. 2
A. Desarrollo de Intranets ..................................................................................................... 2
B. Desarrollo de Extranet ...................................................................................................... 2
II. Seguridad de Informacin ..................................................................................................... 3
A. Concepcin de la Seguridad de la Informacin ................................................................. 3
B. El Manejo de Riesgos ........................................................................................................ 4
III. Niveles de Seguridad y Ventajas Competitivas ................................................................. 4


2

I. Entornos de los Sistemas de Informacin

El uso de la tecnologa Web para el desarrollo de los sistemas internos de las organizaciones,
permite presentar pantallas e interactuar con los usuarios a travs de los mismos navegadores
que utilizan para acceder a sitios de internet.
Algunas de las ventajas de utilizar este tipo de tecnologa son:
Escalabilidad: se pueden incorporar fcilmente funciones generando un nico punto
de acceso a todos los sistemas de informacin de la empresa.
Homogenizacin: estandariza los formatos y formas de acceso a la informacin.
Acceso Remoto: el acceso se puede realizar desde cualquier computadora conectada a
la red interna donde se encuentre instalado el sistema. Adems, en caso de contar con
una conexin permanente a internet, se puede configurar para el acceso desde
cualquier lugar del mundo a travs de internet.
Independencia de la tecnologa: se puede acceder al sistema desde cualquier tipo de
computador y sistema operativo. Solo es necesario contar con un navegador.
Usabilidad: los usuarios estn habilitados a utilizar navegadores como el Internet
Explorer, lo cual minimiza las necesidades y tiempos de capacitacin.
A. Desarrollo de Intranets
Si se precisa una plataforma para un negocio; la intranet provee una herramienta, tanto para
mejorar los mecanismos de informacin y comunicacin dentro de la compaa, como la
posibilidad de implementar sistemas y workflows en un entorno nico para toda la empresa.
Tcnicamente una intranet es un sitio web pero con acceso exclusivo para el personal de su
empresa, brindando todos los beneficios de los sistemas de operacin o gestin tradicionales
junto a la simpleza y la estandarizacin que proveen los entornos Web.
B. Desarrollo de Extranet
Si un negocio requiere comunicacin fluida con proveedores, distribuidores o clientes se
aprovecha al mximo la tecnologa Web implementando una extranet. La extranet es un sitio
web pero con acceso exclusivo para el personal de la empresa y para sus socios estratgicos.
De esta forma, los socios se encuentran completamente integrados a los sistemas de
informacin de la compaa optimizando los mecanismos de comunicacin e impulsando el
trabajo en equipo.
La extranet permite implementar con facilidad procedimientos operativos para sus empleados
y socios estratgicos, logrando derrumbar los lmites entre las empresas que comparten la
extranet. Su compaa puede desarrollar una extranet desde cero, o puede implementarla
como una extensin de su intranet a sus clientes proveedores.


3

II. Seguridad de Informacin

La seguridad de informacin es el conjunto de medidas preventivas y reactivas de las
organizaciones y de los sistemas tecnolgicos que permiten resguardar y proteger la
informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la
misma.
El concepto de seguridad de la informacin no debe ser confundido con el de seguridad
informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero
la informacin puede encontrarse en diferentes medios o formas, y no solo en medios
informticos.
A. Concepcin de la Seguridad de la Informacin
En la seguridad de la informacin es importante sealar que su manejo est basado en la
tecnologa y debemos de saber que puede ser confidencial: la informacin est centralizada y
puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada.
Esto afecta su disponibilidad y la pone en riesgo. La informacin es poder, y segn las
posibilidades estratgicas que ofrece tener acceso a cierta informacin, esta se clasifica como:
Critica: es indispensable para la operacin de la empresa.
Valiosa: es un activo de la empresa y muy valioso.
Sensible: debe ser conocida por las personas autorizadas.
Existen dos palabras muy importantes que son riesgo y seguridad.
Riesgo: es la materializacin de vulnerabilidades identificadas, asociadas con su
probabilidad de ocurrencia, amenazas expuestas, as como el impacto negativo que
ocasiones a las operaciones de negocio.
Seguridad: es una forma de proteccin contra los riesgos.
La seguridad de la informacin comprende diversos aspectos entre ellos la disponibilidad,
comunicacin, identificacin de problemas, anlisis de riesgos, la integridad, confidencialidad,
recuperacin de los riesgos.
Confidencialidad: es la propiedad que impide la divulgacin de informacin a personas
o sistemas no autorizados. A grandes rasgos, asegura el acceso a la informacin
nicamente a aquellas personas que cuenten con la debida autorizacin.
Integridad: es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. A groso modo, la integridad es el mantener con exactitud la informacin
tal cual fue generada, sin ser manipulada o alterada por personas o procesos no
autorizados.
Disponibilidad: es la caracterstica, cualidad o condicin de la informacin de
encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos
o aplicaciones. Groso modo, la disponibilidad es el acceso a la informacin y a los
sistemas por personas autorizadas en el momento que as lo requieran.
4

Autenticacin o autentificacin: es la propiedad que permite identificar el generador
de la informacin.
B. El Manejo de Riesgos
Dentro de la seguridad en la informacin se lleva a cabo la clasificacin de las alternativas para
manejar los posibles riesgos que un activo o bien puede tener dentro de los procesos de
organizacin. Esta clasificacin lleva el nombre de manejo de riesgos. El manejo de riesgos,
conlleva una estructura bien definida, con un control adecuado y su manejo, habindolos
identificado, priorizados y analizados, a travs de acciones factibles y efectivas. Para ello se
cuenta con las siguientes tcnicas de manejo del riesgo:
Evitar: el riesgo es evitado cuando la organizacin rechaza aceptarlo, es decir, no se
permite ningn tipo de exposicin. Esto se logra simplemente con no comprometerse
a realizar la accin que origine el riesgo. Esta tcnica tiene ms desventajas que
ventajas, ya que la empresa podra abstenerse de aprovechar muchas oportunidades.
Reducir: cuando el riesgo no puede evitarse por tener varias dificultades de tipo
operacional, la alternativa puede ser su reduccin hasta el nivel ms bajo posible. Esta
opcin es la ms econmica y sencilla. Se consigue optimizando los procedimientos, la
implementacin de controles y su monitoreo constante.
Retener, Asumir o Aceptar el riesgo: es uno de los mtodos ms comunes del manejo
de riesgos, es la decisin de aceptar las consecuencias de la ocurrencia del evento.
Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento
de la existencia del riesgo y el acuerdo de asumir las perdidas involucradas, esta
decisin se da por falta de alternativas. La retencin involuntaria se da cuando el
riesgo es retenido inconscientemente.
Transferir: es buscar un respaldo y compartir el riesgo con otros controles o entidades.
Esta tcnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro, o
para minimizar el mismo, compartindolo con otras entidades.

III. Niveles de Seguridad y Ventajas Competitivas

El estndar de niveles de seguridad ms utilizado internacionalmente es el TCSEC Orange Book
(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del
Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran
desde el mnimo grado de seguridad al mximo. Estos niveles han sido la base de desarrollo de
estndares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada
nivel requiere todos los niveles definidos anteriormente: as el subnivel B2 abarca los
subniveles B1, C2, C1 y el D.

5

Nivel D: este nivel contiene slo una divisin y est reservada para sistemas que han
sido evaluados y no cumplen con ninguna especificacin de seguridad.
Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es
inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el
acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-
DOS y System 7.0 de Macintosh.
Nivel C1 (Proteccin Discrecional): se requiere identificacin de usuarios que permite
el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y
se hace la distincin entre los usuarios y el administrador del sistema, quien tiene
control total de acceso. Muchas de las tareas cotidianas de administracin del sistema
slo pueden ser realizadas por este "sper usuario" quien tiene gran responsabilidad
en la seguridad del mismo. Con la actual descentralizacin de los sistemas de
cmputos, no es raro que en una organizacin encontremos dos o tres personas
cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los
cambios que hizo cada usuario. A continuacin se enumeran los requerimientos
mnimos que debe cumplir la clase C1:
o Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn
definir grupos de usuarios (con los mismos privilegios) y grupos de objetos
(archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos
de ellos.
o Identificacin y Autentificacin: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podr ser accedido por un usuario sin autorizacin o identificacin.
Nivel C2 (Proteccin de Acceso Controlado): este subnivel fue diseado para
solucionar las debilidades del C1. Cuenta con caractersticas adicionales que crean un
ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos
fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los
usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o
denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin
en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es
utilizada para llevar registros de todas las acciones relacionadas con la seguridad,
como las actividades efectuadas por el administrador del sistema y sus usuarios.
La auditora requiere de autenticacin adicional para estar seguros de que la persona
que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos
adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de
administracin del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administracin del
sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del
sistema.
Nivel B1 (Seguridad Etiquetada): este subnivel, es el primero de los tres con que
cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultra secreta. Se
establece que el dueo del archivo no puede modificar los permisos de un objeto que
est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.)
se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto,
reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa. Es decir que cada usuario tiene sus objetos asociados.
Tambin se establecen controles para limitar la propagacin de derecho de accesos a
los distintos objetos.

6

Nivel B2 (Proteccin Estructurada): requiere que se etiquete cada objeto de nivel
superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera
que empieza a referirse al problema de un objeto a un nivel ms elevado de seguridad
en comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser
etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y
seguridad son modificadas; y el administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los dems usuarios.
Nivel B3 (Dominios de Seguridad): refuerza a los dominios con la instalacin de
hardware: por ejemplo el hardware de administracin de memoria se usa para
proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos
de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las
peticiones de acceso de cada usuario y las permite o las deniega segn las polticas de
acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo
suficientemente pequeas como para permitir anlisis y testeos ante posibles
violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexin segura. Adems, cada usuario tiene asignado los lugares y
objetos a los que puede acceder.
Nivel A (Proteccin Verificada): Es el nivel ms elevado, incluye un proceso de diseo,
control y verificacin, mediante mtodos formales (matemticos) para asegurar todos
los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de
seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo
requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de
canales encubiertos y de distribucin confiable. El software y el hardware son
protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.