Escolar Documentos
Profissional Documentos
Cultura Documentos
Por otro lado, la seguridad es el control de riesgos. Una condición natural que
busca todo ser viviente, organización o colectividad para poder existir,
desarrollarse y cumplir sus propósitos en sus múltiples actividades.
1
http://www.bsiamerica.com/en-us/Assessment-and-Certification-services/Management-
systems/Standards-and-schemes/ISOIEC-27001/
1
prueba, medir los resultados y que sirva como plan piloto para todas las
facultades.
2
CAPÍTULO I
PLANTEAMIENTO DEL PROBLEMA
3
Las computadoras pueden programarse para enviar información determinada,
o pueden ser monitoreadas sin el conocimiento del propietario. Esto coloca al
usuario en una posición muy vulnerable. Existen muchos detalles en los que el
usuario debería poner especial atención para evitar lo anterior. Básicamente, el
usuario debe comenzar por cambiar su actitud y darse cuenta de que cualquier
negligencia, por pequeña que parezca, puede arriesgar enormemente la
información que se almacena en su computadora.
4
“clic” sobre un icono que dice:”enviar mensaje”. Eso ha permitido una
comunicación de manera más fácil y eficiente.
1.3. OBJETIVOS
5
riesgos que afectan de manera directa o indirecta la seguridad de la
información interna.
1.4. HIPÓTESIS
6
El surgimiento de nuevas tecnologías a la vez que surgen nuevas
tecnologías en seguridad, aparecen nuevas herramientas para
violentarlas.
1.5. VARIABLES
7
1.5.2 OPERACIÓN DE LAS VARIABLES
1.6. INDICADORES
8
Procesos y Tecnologías actuales para seguridad y espionaje
empresarial.
CAPÍTULO II
PRESENTACIÓN DEL MÉTODO
2
VI Curso de Titulación UAP – Módulo II, Taller de Investigación II Dr. Alberto Villagómez Lima,
Marzo 2008
9
Facultad de Ciencias de la Comunicación de la Universidad Alas Peruanas
debido a que las realidades son distintas y cambiantes.
10
Debido al tipo de investigación a realizar, hemos tomado en cuenta los
siguientes criterios para la recolección de datos 3:
Observación.
Antecedentes.
3
C. Selltiz y otros autores en Métodos de Investigación en las Relaciones Sociales; Ediciones
Rislp; Madrid; 1965; p.229):
11
CAPÍTULO III
MARCO TEÓRICO
Los ejecutivos estadounidenses podrían estar poniendo sus archivos bajo llave
y recuperando documentos de la papelera después de que tres personas
fueran acusadas por robar datos a Coca-Cola e intentar venderlos a su rival
PepsiCo.
4
http://www.eleconomista.es/mercados-cotizaciones/noticias/40919/07/06/El-caso-Coca-Cola-
podria-llevar-a-revisar-politica-de-seguridad.html
12
En el caso de Coca-Cola, Joya Williams, una asistente administrativa de 41
años que trabajaba con el director de marketing global de marca de la
compañía, fue la fuente de los secretos comerciales que iban a ser vendidos,
según las acusaciones que los fiscales federales formularon el miércoles.
Muchas veces las compañías consideran que las personas que no ocupan
puestos de importancia no necesitan ser escrutadas.
"Puede que su secretaria no tenga las llaves de la caja fuerte, pero puede tener
acceso a los correos electrónicos que le envía el presidente ejecutivo", señaló
Jason Morris, presidente de la compañía de revisión de antecedentes de
empleados Background Information Services.
13
El presidente ejecutivo de Coca-Cola, Neville Isdell, también indicó en un
memorando a sus empleados que la compañía revisará sus políticas de
protección de la información.
Esta teoría es muy conocida y fue propuesta por Abraham H. Maslow y se basa
en que cada humano se esfuerza por satisfacer necesidades escalonadas, que
se satisfacen de los niveles inferiores a los superiores, correspondiendo las
necesidades al nivel en que se encuentre la persona.
5
Maslow, Abraham Harold (1991), Motivación y personalidad, Madrid: Ediciones Díaz de
Santos
14
Necesidades Fisiológicas: Se relacionan con el ser humano como ser biológico,
son las más importantes ya que tienen que ver con las necesidades de
mantenerse vivo, respirar comer, beber, dormir, realizar sexo, etc.
15
- Las necesidades de pertenencia y de estima se satisfacen a través de
formar parte de un equipo en el trabajo y con el afecto, y la amistad.
Maslow, descubrió dos necesidades adicionales, para personas con las cinco
anteriores satisfechas (muy pocas personas según él), las que llamó
cognoscitivas.
Es de destacar que esta teoría tiene también sus detractores los cuales
plantean algunos elementos en contra tales como:
Asume que todas las personas son iguales desconociendo que puede existir
una necesidad para alguien que para otra persona no lo sea. La teoría asume
el orden de las necesidades con poca flexibilidad al cambio.
16
Ladrones, manipuladores, saboteadores, espías, etc. reconocen que el centro
de cómputo de una Universidad es su nervio central, que normalmente tiene
información confidencial y que, a menudo, es vulnerable a cualquier ataque.
El secreto se logra cuando no existe acceso a todos los datos sin autorización.
La privacidad adecuada puede lograrse cuando los datos que puedan
obtenerse no pueden enlazarse a individuos específicos o no pueden utilizarse
para imputar hechos acerca de ellos.
17
La convergencia de tecnologías hace la vida más fácil al usuario.
Las empresas empiezan a dar importancia al tema de seguridad.
Siempre estaremos expuestos a riesgos.
De otro lado, Alvin Toffler, en su libro La tercera ola6 nos dice que al igual que la
producción, los medios se van desmasificando. Infinidad de revistas
especializadas en temas específicos, numerosos canales de televisión por
cable y satelital, la capacidad de las computadoras de comunicarse; hacen que
la comunicación esté personalizada, y que el consumidor ya no se limite a
tomarla "tal cual viene". Ahora el espectador puede intervenir en los diarios que
lee y en los programas de televisión que mira.
Hay dos ámbitos que vamos a analizar. El primero abarca las actividades que
se deben realizar y los grupos de trabajo o responsables de operarlas. El
segundo, el control, esto es, las pruebas y verificaciones periódicas de que el
Plan de Seguridad de la Información está operativo y actualizado
Privacidad:
Seguridad:
6
The Third Wave, Alvin Toffler, Estados Unidos. Plaza & Janes - 1979
18
Se refiere a las medidas tomadas con la finalidad de preservar los datos o
información que en forma no autorizada, sea accidental o intencionalmente,
puedan ser modificados, destruidos o simplemente divulgados.
Integridad:
Se refiere a que los valores de los datos se mantengan tal como fueron puestos
intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir
que existan valores errados en los datos provocados por el software de la base
de datos, por fallas de programas, del sistema, hardware o errores humanos.
Datos:
Los datos son hechos y cifras que al ser procesados constituyen una
información, sin embargo, muchas veces datos e información se utilizan como
sinónimos.
En su forma más amplia los datos pueden ser cualquier forma de información:
campos de datos, registros, archivos y bases de datos, texto (colección de
palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de
vectores o cuadros de bits), video (secuencia de tramas), etc.
19
Base de Datos:
Acceso:
Ataque:
Término general usado para cualquier acción o evento que intente interferir con
el funcionamiento adecuado de un sistema informático, o intento de obtener de
modo no autorizado la información confiada a una computadora.
Ataque activo:
20
Acción iniciada por una persona que amenaza con interferir el funcionamiento
adecuado de una computadora, o hace que se difunda de modo no autorizado
información confiada a una computadora personal. Ejemplo: El borrado
intencional de archivos, la copia no autorizada de datos o la introducción de un
virus diseñado para interferir el funcionamiento de la computadora.
Ataque pasivo:
Amenaza:
Incidente:
Golpe (breach):
21
3.3. SITUACIÓN ACTUAL
22
¿Con qué frecuencia puede ocurrir?
¿Cuáles serían sus consecuencias?
¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?
23
Esta lista de riesgos que se puede enfrentar en la seguridad, es bastante corta.
La Facultad de Ciencias de la Comunicación de la Universidad Alas Peruanas
deberá profundizar en el tema para poder tomar todas las medidas del caso.
24
¿Existe la posibilidad que un ladrón desilusionado o frustrado
cause daños?
¿Hay la probabilidad que causen algún otro tipo de daño
intencionado?
¿Qué tipo de personal los sustituye y qué tanto saben del manejo
de computadoras?
25
A terremotos, que destruyen los equipos y archivos
Un terremoto
La lista de sospechosos,
26
¿Cuántas personas se ocupan de la contabilidad de la
Universidad?
¿El sistema de contabilidad es confiable?
27
Esto supone estudiar las computadoras, su software, localización y utilización
con el objeto de identificar los resquicios en la seguridad que pudieran suponer
un peligro. Por ejemplo, si se instala una computadora personal nueva, para
recibir informes de inventario desde otras PC´s vía modem situados en lugares
remotos, y debido a que el modem se ha de configurar para que pueda recibir
datos, se ha abierto una vía de acceso al sistema informático. Habrá que tomar
medidas de seguridad para protegerlo, como puede ser la validación de la
clave de acceso.
Generales: se hace una copia casi diaria de los archivos que son
vitales para la Facultad.
Robo común: se cierran las puertas de entrada y ventanas.
Vandalismo: se cierra la puerta de entrada.
Falla de los equipos: se tratan con cuidado, se realiza el
mantenimiento de forma regular, no se permite fumar, está
previsto el préstamo de otros equipos.
Daño por virus: todo el software que llega se analiza en un
sistema utilizando software antivirus. Los programas de dominio
público y de uso compartido (Shareware), sólo se usan si
proceden de una fuente fiable.
Equivocaciones: los empleados tienen buena formación. Cuando
son necesarios, se intenta conseguir buenos trabajadores
temporales.
Terremoto: nada. Aparte de la protección contra incendios, la cual
es buena.
Acceso no autorizado: se cierra la puerta de entrada. Varias
computadoras disponen de llave de bloqueo del teclado.
Robo de datos: se cierra la puerta principal. Varias computadoras
disponen de llave de bloqueo del teclado
Fuego: en la actualidad se encuentra instalado Sistemas contra
incendios, extintores, en sitios estratégicos debe brindarse
28
entrenamiento en el manejo de los sistemas o extintores al
personal, en forma periódica.
CAPÍTULO V
PLAN DE RECUPERACIÓN DE DESASTRES
29
5.1.1. ACTIVIDADES PREVIAS AL DESASTRE.
a) Sistemas e Información:
30
Las unidades o departamentos (internos/externos) que usan la
información del Sistema.
El volumen de los archivos que trabaja el Sistema.
El volumen de transacciones diarias, semanales y mensuales que
maneja el sistema.
El equipamiento necesario para un manejo óptimo del Sistema.
La(s) fecha(s) en las que la información es necesitada con carácter de
urgencia.
El nivel de importancia estratégica que tiene la información de este
Sistema para la Universidad (medido en horas o días que la Facultad
puede funcionar adecuadamente, sin disponer de la información del
Sistema). Equipamiento mínimo necesario para que el Sistema pueda
seguir funcionando (considerar su utilización en tres turnos de trabajo,
para que el equipamiento sea el mínimo posible).
Actividades a realizar para volver a contar con el Sistema de Información
(actividades de Restore).
Con toda esta información se deberá de realizar una lista priorizada (un
ranking) de los Sistemas de Información necesarios para que la Universidad
pueda recuperar su operatividad perdida en el desastre (contingencia).
b) Equipos de Cómputo:
31
hacer por otro de mayor potencia (por actualización tecnológica),
siempre y cuando esté dentro de los montos asegurados.
Señalización o etiquetado de los Computadores de acuerdo a la
importancia de su contenido, para ser priorizados en caso de
evacuación. Por ejemplo etiquetar (colocar un sticker) de color rojo a los
Servidores, color amarillo a las PC's con Información importante o
estratégica y color verde a las PC's de contenidos normales.
Tener siempre actualizada una relación de PC's requeridas como
mínimo para cada Sistema permanente de la Facultad (que por sus
funciones constituyen el eje central de los Servicios Informáticos de la
Institución), las funciones que realizaría y su posible uso en dos o tres
turnos de trabajo, para cubrir las funciones básicas y prioritarias de cada
uno de estos Sistemas.
32
las copias de los listados fuentes de los programas definitivos, para casos de
problemas.
Modalidad Externa. Mediante convenio con otra Institución que tenga equipos
similares o mayores y que brinden la seguridad de poder procesar nuestra
Información, y ser puestos a nuestra disposición, al ocurrir una contingencia y
mientras se busca una solución definitiva al siniestro producido. Este tipo de
convenios debe tener tanto las consideraciones de equipamiento como de
ambientes y facilidades de trabajo que cada institución se compromete a
brindar, y debe de ser actualizado cada vez que se efectúen cambios
importantes de sistemas que afecten a cualquiera de las instituciones.
33
Se debe establecer los procedimientos, normas, y determinación de
responsabilidades en la obtención de los Backups mencionados anteriormente
en el punto «c», debiéndose incluir:
34
Sus labores serán:
35
Revisar que las Normas y procedimientos con respecto a Backups y
seguridad de equipos y data se cumpla.
Supervisar la realización periódica de los backups, por parte de los
equipos operativos, comprobando físicamente su realización, adecuado
registro y almacenamiento.
Revisar la correlación entre la relación de Sistemas e Informaciones
necesarios para la buena marcha de la Universidad (detallados en «a»),
y los backups realizados.
Informar de los cumplimientos e incumplimientos de las Normas, para
las acciones de corrección respectivas.
Durante el día.
Durante la Noche o madrugada.
36
Vías de salida o escape.
Plan de Evacuación del Personal.
Plan de puesta a buen recaudo de los activos (incluyendo los activos de
Información) de la Universidad (si las circunstancias del siniestro lo
posibilitan)
Ubicación y señalización de los elementos contra el siniestro (extintores,
cobertores contra agua, etc.)
Secuencia de llamadas en caso de siniestro, tener a la mano: elementos
de iluminación (linternas), lista de teléfonos de Bomberos / Ambulancia,
Jefatura de Seguridad y de su personal (equipos de seguridad)
nombrados para estos casos.
5.1.2.3. ENTRENAMIENTO
37
Un aspecto importante es que el personal tome conciencia de que los siniestros
(incendios, inundaciones, terremotos, apagones, etc.) pueden realmente
ocurrir, y tomen con seriedad y responsabilidad estos entrenamientos, para
estos efectos es conveniente que participen los elementos directivos, dando el
ejemplo de la importancia que la alta dirección otorga a la Seguridad
Institucional.
Toda vez que el Plan de acción es general y contempla una pérdida total, la
evaluación de daños reales y su comparación contra el Plan, nos dará la lista
38
de las actividades que debemos realizar, siempre priorizándola en vista a las
actividades estratégicas y urgentes de nuestra Universidad.
Una vez concluidas las labores de Recuperación del (los) Sistema(s) que
fueron afectados por el siniestro, debemos de evaluar objetivamente, todas las
actividades realizadas, que tan bien se hicieron, que tiempo tomaron, que
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan
de acción, como se comportaron los equipos de trabajo, etc.
39
De la Evaluación de resultados y del siniestro en si, deberían de salir dos tipos
de recomendaciones, una la retroalimentación del plan de Contingencias y otra
una lista de recomendaciones para minimizar los riesgos y pérdida que
ocasionaron el siniestro.
40
CAPÍTULO VI
SEGURIDAD DE LA INFORMACIÓN
41
Existen diferentes formas de implementarlo:
Los terminales que son dejados sin protección pueden ser mal usados.
Cualquier terminal que puede ser utilizado como acceso a los datos de un
Sistema controlado, debe ser encerrado en un área segura o guardado, de tal
manera que no sean usados, excepto por aquellos que tengan autorización
para ello.
42
Algunos usuarios o extraños (personal no autorizado) pueden encontrar alguna
forma mediante la cual, logren el acceso al sistema o la base de datos y
descubrir información clasificada o datos no autorizados.
Programas de Control.
El uso de tal programa puede conferir al usuario algunos de los privilegios que
corresponden al controlador de dichos programas. La transferencia de
privilegios es adecuada si el programa actúa como filtro de la información.
Una vez que se obtiene una clave de acceso al sistema, ésta se utiliza para
entrar al sistema de la base de datos desde el sistema operativo. La
responsabilidad del manejo de la clave corresponde tanto al que accesa como
al sistema operativo.
43
el nombre del usuario, la cual consiste de unas cuantas letras elegidas por el
usuario.
Las claves de acceso no deben ser largas puesto que son más difíciles de
recordar.
Esto es, el Jefe Inmediato superior tendrá en un sobre lacrado, los passwords
de su personal, debiendo utilizar un cuaderno de control, cuando exista la
necesidad de romper el sobre lacrado (anotando fecha, hora, motivo, etc.), así
como un procedimiento de cambio de passwords periódicos y por dichas
eventualidades.
44
Nivel de consulta de la información no restringida o reservada.
Nivel de mantenimiento de la información no restringida o reservada.
Nivel de consulta de la información incluyendo la restringida o reservada.
Nivel de mantenimiento de la información incluyendo la restringida.
Cada palabra clave debe tener asignado uno de los niveles de acceso a la
información mencionados anteriormente.
45
La forma fundamental de autoridad es la que se le da al administrador de la
base de datos, que entre otras cosas puede autorizar nuevos usuarios,
reestructurar la base de datos, etc. Esta forma de autorización es análoga a la
que se provee a un "súper usuario" o al operador para un sistema operativo.
Adquisición
Préstamo
Baja
Remplazo
Uso interno
Mantenimiento o reparación
6.2. DESTRUCCIÓN
La destrucción del equipo puede darse por una serie de desastres como son:
incendios, inundaciones, sismos, o posibles fallas eléctricas, etc.
46
útil tener a mano pero que no son importantes para el funcionamiento normal.
Un ejemplo típico son las copias de la correspondencia en forma de archivos
del procesador de textos. Estos archivos se guardan muchas veces como
referencia o, por si hubiera que enviar cartas parecidas en un futuro. Sin
embargo, probablemente también existe copia en papel de estas cartas. Si se
borran los archivos, puede ser molesto, pero las consecuencias en la
organización pueden ser mínimas.
Hay que protegerse también ante una posible destrucción del hardware o
software por parte de personal no honrado. Por ejemplo: hay casos en los que,
empleados que han sido recientemente despedidos o están enterados que
ellos van a ser despedidos, han destruido o modificado archivos para su
beneficio inmediato o futuro.
La revelación o infidencia es otra forma que utilizan los malos empleados para
su propio beneficio. La información, que es de carácter confidencial, es vendida
a personas ajenas a la Universidad. Para tratar de evitar este tipo de problemas
se debe tener en cuenta lo siguiente:
47
La información puede ser conocida por personas no autorizadas, cuando se
deja en paquetes abiertos o cintas que otras personas pueden usar.
6.4. MODIFICACIONES
48
frente a la tendencia a asumir que ¨ si viene de la computadora, debe ser
correcto ¨
Deben ser considerados como medidas de seguridad para proteger los datos
en el sistema, las limitaciones en el ámbito de los programas de aplicación,
auditorías y pruebas, revisiones de modificaciones, exclusión cuando sea
necesario de los programas de aplicación de las áreas de sistemas (pase al
"Área de Producción" o a "Biblioteca de Programas") y restricciones efectivas
en los programas de aplicación de las áreas de sistemas (necesidad de
documento de autorización para tener acceso a los programas de aplicación).
Particular atención debe ser dada al daño potencial que pueda efectuar un
programador a través de una modificación no autorizada.
49
, ¿Con qué frecuencia se deben realizar copias de seguridad?, ¿Cuáles son
los archivos a los que se le sacará copia de seguridad y donde se
almacenará?, etc. Las empresas podrían desear establecer directrices claras
en estas materias, para que los usuarios tengan claras cuáles son sus
responsabilidades. Tales reglas y normativas pueden incorporase en una
campaña educativa.
Las empresas deben tener muy en cuenta los siguientes puntos para la
protección de sus datos de una posible contingencia.
50
CAPÍTULO VII
POLÍTICAS DE SEGURIDAD
Las políticas de seguridad deben ser definidas por los funcionarios de alto
nivel, los cuales deben ser motivados de manera que tengan un rol importante.
Distribuir las reglas de seguridad. Escribir en una lista las reglas básicas
de seguridad que los usuarios han de seguir, para mantener la seguridad
y ponerlas en un lugar público destacado. Se puede incluir un dibujo en
un póster para dar mayor referencia. Se debe considerar la posibilidad
de distribuir las reglas por todas las computadoras personales.
Hacer circular regularmente avisos sobre la seguridad. Utilice ejemplos
de daños y problemas procedentes de periódicos, revistas, para ilustrar
la necesidad de la vigilancia por mantener la seguridad. Intente que
51
estos avisos sean interesantes, sin entrar en muchos detalles, ya que en
caso contrario podría inspirar imitaciones.
Establecer incentivos para la seguridad. Las personas que rompen la
seguridad poseen un incentivo para hacerlo. Dé a las personas de su
organización un incentivo para mantenerla. Establezca premios para las
ideas que supongan trucos de seguridad y que apoyen las medidas de
seguridad oficiales. Haga que los responsables ofrezcan recompensas
sustanciosas a los ganadores.
Establecer una línea de comunicación sobre seguridad. El personal debe
conocer dónde puede obtener consejos sobre los temas de seguridad.
También deben de poder informar sobre violaciones de la seguridad o
actividades sospechosas de forma anónima. Por otro lado, ofrezca
recompensas por informar de las violaciones de seguridad.
Todos los usuarios bloquearán su teclado cada vez que dejen sin atención su
sistema.
52
Las responsabilidades específicas para la protección de los datos, sistemas,
programas, unidades de equipo, etc. deben ser firmemente mantenidos si se
desea una seguridad adecuada.
Las normas se han de trasladar en la jerarquía para que las personas clave,
implementen las medidas de seguridad dadas y ejecuten las acciones
adicionales necesarias. Por ejemplo:
53
b) Adoctrinar al personal de procesamiento de datos en la importancia
de la seguridad y la responsabilidad de cada uno en su mantenimiento.
54
CAPÍTULO VIII
PROTECCIÓN ESPECIAL DE LA INFORMACIÓN
8.1. ENCRIPTACIÓN
55
la información del mensaje sea ininteligible por medio de técnicas
criptográficas, sin intentar ocultar la existencia del mensaje.
Cada caracter es un registro reemplazado por otro caracter, así por ejemplo:
56
CAPÍTULO IX
INTEGRIDAD DE LA INFORMACIÓN
a) Prueba
b) Verificación y Validación
57
proceso por el cual se usa un software en un ambiente no simulado, con el fin
de encontrar errores que de existir, origina cambios en el sistema. Para ello se
hace trabajar al sistema en un ambiente real, en el cual se procesan las
transacciones en directo, emitiendo las salidas normales.
c) Certificación
58
b) Prueba de Almacenamiento
d) Prueba de Recuperación
e) Prueba de Procedimientos
59
llevan a cabo para el funcionamiento del sistema. Para ello, el usuario debe
seguir las instrucciones en forma exacta, como se indica en el manual de
procedimientos.
60
CAPÍTULO X
AMENAZAS MÁS COMUNES CONTRA LA SEGURIDAD
61
Universidad de Kobe en Japón, así como organismos de la ONU como el
OCHA (Cooperación para Ayuda Humanitaria), el ISDR (Estrategia
Internacional para la Reducción de Desastres), así como oficinas especiales en
el Banco Mundial, la CEPAL y el BID.
10.1.1 EL FUEGO
8
http://platea.pntic.mec.es/~jsanch14/dias.htm#0810
62
10.1.1.1. SISTEMAS AUTOMATICOS ANTIFUEGO
a) Sprinklers
Otro de los métodos muy eficaces para combatir el fuego es la inundación del
área con gas antifuego. En una emergencia por fuego, el área se inunda con un
determinado gas como:
Dióxido de Carbono,
Halón.
Este sistema no causa daño al equipo, pero el personal tiene que abandonar el
lugar con rapidez, porque este tipo de gas quita el oxígeno, por tanto las
personas no pueden respirar y consecuentemente, causar la muerte por
ahogamiento.
63
consumido por el fuego. Para cada tipo de situación hay un agente antifuego
ideal, así tenemos:
Extintores Hídricos (cargados con agua o con un agente espumógeno,
estos últimos hoy en desuso por su baja eficacia).
Extintores de Polvo (multifunción)
Extintores de C02 (también conocidos como Nieve Carbónica o
Anhidrido Carbónico)
Extintores para Metales (únicamente válidos para metales combustibles,
como sodio, potasio, magnesio, titanio, etc)
Extintores de Halón (hidrocarburo halogenado, actualmente prohibidos
en todo el mundo por afectar la capa de ozono)
La división tiene que ver con el máximo admitido para usarse de una u otra
forma, es decir, un extintor que pese más de 20 Kg. obligatoriamente tendrá
que tener un apoyo dorsal.
64
Asimismo, se distinguen por los fuegos que son capaces de apagar: de origen
eléctrico, originados por combustibles líquidos u originados por combustibles
sólidos, lo que depende del agente extintor que contienen. Las posibilidades
que tienen deben venir escritas de modo bien visible en la etiqueta, atendiendo
a la clase de fuego normalizada. Pueden servir para varias clases.
10.1.1.3. RECOMENDACIONES
65
También, considerar cómo estos sistemas de detección y extinción pueden ser
integrados a su fuerza eléctrica. Esto ahorraría el costo de la instalación inicial
y con algunos sistemas de extinción, daños por agua en el caso de fuego.
Una consideración más contra el incendio estaría dada por el uso de paredes
protectoras de fuego alrededor de las áreas que se desea proteger del
incendio, que podría originarse en las áreas adyacentes.
Se consigue sacar el humo del área de sistemas, tan rápido como sea posible,
con el uso de diferentes ventiladores. Estos son provechosos luego de que la
generación o ingreso del humo ha sido eliminado.
66
cantidades de agua que provienen de arriba y la conveniencia de una salida
para el humo, tanto que minimice la cantidad de penetración al área de
Procesamiento de Datos.
10.1.2 EL AGUA
Otro de los peligros relevantes es el agua. El agua puede entrar en una sala de
computadores por varios conductos.
67
Aunque realmente el agua es una amenaza para los componentes del
computador y cables, no constituye un verdadero peligro para las cintas
magnéticas. Se ha demostrado en pruebas, que cintas sumergidas en agua
durante varias horas han podido ser leídas de nuevo (libres de errores),
después de secarlas durante dos días. Si el agua, por si sola, no constituye un
serio peligro y el calor por debajo de 120 grados no es perjudicial, ambos
elementos juntos pueden causar serios problemas.
Daños por agua pueden ocurrir como resultado de goteos de la tapa del techo
de la torre de enfriamiento, goteo del techo, goteos de tuberías de techo y de
operaciones de sistemas de regadío en pisos sobre el Centro de
Procesamiento de Datos. Proteger el equipo, así como los muebles y cabinas
contra agua y trazar un plan para la rápida eliminación de algo de agua que
podría entrar en el área.
68
normales, las consecuencias pueden ser serias. Pueden perderse o dañarse
los datos que hay en memoria, se puede dañar el hardware, interrumpirse las
operaciones activas y la información podría quedar temporal o definitivamente
inaccesible.9
Fallas de energía.
Transistores y pulsos.
Bajo voltaje.
Ruido electromagnético.
Distorsión.
Alto voltaje.
Variación de frecuencia.
9
http://edison.upc.edu/curs/seguret/
69
Existen dispositivos que protegen de estas consecuencias negativas, los cuales
tienen nombres como:
Supresores de picos.
Estabilizadores de voltaje
Sistemas de alimentación ininterrumpida (SAI o UPS:
UNINTERRRUPTIBLE POWER SISTEM.
Para entender algunas de las cosas que pueden dar problemas en los circuitos
eléctricos, puede servir de ayuda imaginarse que la electricidad llega desde la
central eléctrica hasta los enchufes de la oficina, sale por el hilo activo y a
continuación vuelve a la central a través del neutro, tras haber realizado su
trabajo. Los materiales a través de los cuales la electricidad fluye libremente,
como es el cobre de los cables de la oficina, se denominan conductores. La
electricidad es esencialmente perezosa, intentando volver a la central eléctrica
lo más rápidamente posible a través de cualquier conductor disponible.
Sin embargo bajo ciertas condiciones extremas, como puede ser un voltaje
muy alto, incluso los mejores aislantes dejan de actuar, permitiendo que la
corriente fluya por donde no debería.
70
general, altas temperaturas. Existen formas de prever estas fallas y tecnologías
para minimizar el impacto de éstas; como por ejemplo:
a) Tomas de Tierra.
La toma a tierra limita la tensión que, con respecto a tierra, puede aparecer en
cualquier elemento conductor de una instalación y asegura con ello la correcta
actuación de los dispositivos de protección de la instalación eléctrica.
71
Facilitar el paso a tierra de las corrientes de defecto y de las descargas
de origen atmosférico u otro.
b) Fusibles
72
Si una parte de una computadora funde un fusible o hace saltar un diferencial,
primero se debe desconectar el equipo. A continuación debe desconectarse el
cable de alimentación que lleva al equipo y buscar la falla que ha hecho saltar
el fusible. Arreglado el problema, se puede volver a conectar el equipo. Vuelva
a encender el equipo, pero esté preparado para tener que apagarlo de nuevo, y
rápidamente, si el problema no se hubiera arreglado adecuadamente.
Entre las causas menos problemáticas para que se fundan los fusibles o salten
los diferenciales se encuentra la sobrecarga de un circuito eléctrico. Para
corregir ésto se necesita reorganizar la distribución de enchufes sobre las
placas, distribuyendo la carga de forma más uniforme.
Entre las fallas más serias, se incluyen los cables dañados de forma que el
aislante entre los conductores se ha roto. En los aparatos, los aislantes pueden
decaer o fundirse, dando lugar a cortocircuitos. Al sustituir los fusibles de una
computadora, se ha de tener cuidado que todos los equipos deben estar
apagados y desconectados antes de cambiar el fusible. No se debe olvidar que
algunos elementos del equipo, como es el caso de los monitores, pueden
mantener una carga de alto voltaje incluso, después de haberse apagado .
73
informático, es fácil ver que son muy necesarias las extensiones eléctricas
múltiples. El uso de estas extensiones eléctricas debe ser controlado con
cuidado por los responsables de las oficinas. No sólo para que no queden a la
vista, sino también porque suponen un peligro considerable para aquellos que
tengan que pasar por encima. Aparte del daño físico que puede provocar
engancharse repentinamente con el cable, se trata de una forma rápida y poco
agradable de desconectar un sistema completo.
74
Las caídas y subidas de tensión y los picos tienen un impacto negativo en todo
tipo de aparato electrónico, entre los que se incluyen las computadoras
personales, los monitores, las impresoras y los demás periféricos.
Los efectos de una subida son difíciles de predecir, dependiendo hasta cierto
punto de la fuente de alimentación de la computadora. Esta tiene un efecto
moderador sobre subidas de la corriente, pero puede que no sea suficiente
para evitar cortes temporales en los circuitos que lleven a que se desordenen
los datos o incluso se dañen los circuitos impresos. Un comportamiento errático
es el primer síntoma de una subida de tensión.
Si la lectura del voltaje continúa fluctuando, anote la medida más alta y la más
baja. Si se encuentran dentro de un margen del 5 por 100, alrededor del voltaje
esperado, probablemente no causará ningún problema. Si las oscilaciones se
encuentran fuera de este margen, puede ser recomendable pedir que un
electricista revise el cableado e invertir en algún equipo de acondicionamiento
de corriente (Estabilizadores de Voltaje).
75
personal y la fuente de corriente. Incluye una circuitería electrónica que recorta
el voltaje cuando éste comienza a subir por encima de un nivel aceptable. El
supresor de subidas evita que las subidas de la corriente de alimentación
peligrosas lleguen al equipo.
76
elemento no debe superar esa cantidad. El voltaje de cierre inicial es la tensión
a la que se produce el efecto de cierre de la circuitería del elemento.
b) Picos
Una variación en la corriente más peligrosa y difícil de medir son los picos.
Estos consisten en una súbita subida de tensión a niveles muy altos. Muchos
de estos picos son causados por la conexión y desconexión de grandes
aparatos eléctricos. Los picos son de dos tipos distintos:
Modo Normal y Modo Común. Los sucesos de modo normal se pueden medir
entre los hilos activo y neutro del circuito eléctrico del edificio. Los de modo
común se miden entre el neutro y la tierra.
Los criterios de adquisición de un protector ante picos son en gran parte los
mismos que los de los protectores ante sobretensiones, siendo normal y
desable que una misma unidad ofrezca protección ante ambos, aunque se
debe comprobar sus especificaciones para asegurarse. La capacidad de
impedir que los picos alcancen el equipo a veces se miden en julios.
77
en amperios, como sería "picos de 140 julios a 6.500 amperios". Por lo general,
cuando mayor sea el voltaje - julios - amperios que el protector puede tratar, se
considera mejor.
Las subidas y caídas de tensión y los picos no son el único problema eléctrico
al que se han de enfrentar los usuarios de computadoras. También está el tema
del Ruido, no se trata del que se puede oír, sino del ruido eléctrico que
interfiere en el funcionamiento de los componentes electrónicos.
Para describir el ruido se utilizan dos términos:
Este ruido se puede ver literalmente cuando se utiliza un taladro eléctrico cerca
de un televisor. El motor eléctrico del taladro hará que aparezcan líneas, nieve
u otras alteraciones en la pantalla. Una interferencia similar puede ser causada
por las bujías de un automóvil. También puede generarse interferencia de radio
con teléfonos inalámbricos que utilizan ondas de radio para comunicar entre la
unidad móvil y la base. No sólo la recepción de la TV, sino también la integridad
de los datos dentro de una computadora están en peligro ante éstas u otras
fuentes de interferencia.
78
supresora, y a continuación se conecta el teléfono - modem - fax a la unidad,
quedando la línea telefónica filtrada y protegida.
Esto ocurría a menudo con los primeros teléfonos inalámbricos, pudiendo ser
necesario tener la unidad de base del teléfono inalámbrico lejos de la
computadora.
Situación de los Aparatos. Como regla general se puede decir que las
computadoras personales y los aparatos eléctricos de gran consumo no
congenian. Cuando se instalan puestos de trabajo con computadoras se debe
intentar tenerlos lejos de estos equipos. Es difícil suprimir la interferencia
generada por las potentes corrientes que circulan por estas máquinas, como
son las grúas, ascensores, prensas de imprenta y los soldadores eléctricos. En
la mayor parte de las oficinas esto no es un problema, otros aparatos de
oficina, como son las fotocopiadoras, están normalmente apantalladas. Sin
embargo, los ascensores pueden ser un problema en los edificios de oficinas, y
el uso industrial de las computadoras crece rápidamente. Por ello, en algunos
casos será necesario encerrar la computadora personal en una caja metálica,
para protegerla de las interferencias del ruido eléctrico.
79
entre los dispositivos. Es útil no olvidar que los problemas de incompatibilidad
por ruido electromagnético aparecen de cuando en cuando, incluso con
productos del mismo fabricante.
10.2.5 CONMUTACIÓN
La acción rápida del conmutador tiene el mismo efecto que el golpe con el dedo
que produce armónicos en la cuerda de una guitarra. La generación de estas
frecuencias no deseadas por un elemento del equipo, puede interferir con el
funcionamiento de un elemento próximo.
80
de protección en sus circuitos de conexión que no pueden actuar, si
estando encendido el aparato, lo desenchufamos o lo enchufamos.
Debido a que conectar por separado cada elemento del equipo puede
ser una rutina desagradable, puede ser recomendable utilizar un centro
de conexión, una unidad con protección ante sobretensiones y picos con
diseño en forma de consola que alimenta a todos los elementos del
sistema
Las caídas, subidas de tensión y los picos tienen un impacto negativo en todo
tipo de aparato electrónico, entre los que se incluyen las computadoras,
monitores, las impresoras y los demás periféricos.
81
Se interrumpen las comunicaciones. Cuando vuelve la corriente, los
datos que se estaban transfiriendo entre las computadoras deben de ser
comprobados para tener exactitud, y los archivos que se estaban
transmitiendo puede que haya que volver a transmitirlos.
Detiene el trabajo.
El sistema queda expuesto a picos y subidas de tensión cuando vuelve
la tensión. Normalmente se desconectan los equipos cuando se va la
corriente, pero esto no siempre es posible. Cuando la empresa de
electricidad restaura el servicio, a menudo viene con picos que pueden
dañar los aparatos que no se hubieran desconectado.
82
Servicio de Mantenimiento
Soporte Técnico (antes, durante y después de la instalación)
UPS OFF LINE /FUERA DE LINEA. El flujo normal de energía que abastece la
carga en un UPS-off-Line, es a través de un by-pass. Esta configuración utiliza
un cargador tipo standby para cargar las baterías después de una descarga,
debido a que el inversor tipo standby suministra energía a la carga después de
una condición de pérdida o bajo voltaje. Este tipo de sistema abastece la carga
con energía eléctrica muy poco filtrada.
Ventajas:
83
Desventajas:
Ventajas:
84
Desventajas:
Este tipo de sistema abastece la carga crítica con energía continua regulada y
acondicionada sin ninguna variación de voltaje o de frecuencia.
Ventajas:
85
En esta tecnología no existe el requerimiento de intercambiar corriente
alterna a corriente directa y viceversa, durante una pérdida de energía
en la línea o durante el ciclo de descarga de baterías, por lo que elimina
así la posibilidad de transientes de conmutación que pueden afectar la
carga.
La alta capacidad del rectificador-cargador produce entre otras cosas
una carga mucho más rápida de las baterías.
Proveen una salida de energía de excelente calidad para una operación
adecuada de la carga crítica conectada.
Las funciones independientes del rectificador-cargador, el inversor y el
switch estático en esta tecnología, producen una operación sumamente
confiable del UPS.
Mantenimiento:
b) GRUPO ELECTRÓGENO
86
Una planta generadora ideal, deberá tener el rendimiento y capacidad
adecuada para alcanzar los requerimientos de carga que va a soportar. Esta
hará que no tenga capacidad excesiva o funciones innecesarias que
incrementarían el costo inicial y el costo de operación.
Mantenimiento.
La limpieza con paño seco puede ser satisfactoria cuando los componentes
son pequeños. Generalmente se recomienda soplar la suciedad con aire
comprimido, especialmente en los lugares donde se ha juntado tierra y no se
puede llegar con el paño.
El polvo y la tierra pueden quitarse con una escobilla de cerdas y luego aspirar.
No usar escobilla de alambre.
87
Comprobar la zona alrededor de las aberturas de admisión y escape del aire
estén limpias y sin obstrucciones.
Los equipos de cómputo son posesiones muy valiosas de las empresas y están
expuestas al "robo", de la misma forma que lo están las piezas de stock e
incluso el dinero. Es frecuente que los operadores utilicen el computador de la
empresa en realizar trabajos privados para otras organizaciones y, de esta
manera, robar tiempo de máquina. La información importante o confidencial
puede ser fácilmente copiada. Muchas empresa invierten millones de dólares
en programas y archivos de información, a los que dan menor protección que la
que otorgan a una máquina de escribir o una calculadora. El software, es una
propiedad muy fácilmente sustraída, cintas y discos son fácilmente copiados
sin dejar ningún rastro
88
Diseñar muebles para ordenadores de forma que se pueda asegurar
fácilmente la máquina y los periféricos (Tapas con llave, puertas, etc.).
Evitar que quiten la tapa del ordenador y se lleven la unidad y tarjetas
adaptadoras.
89
10.4. EL FRAUDE
90
Personal innecesariamente atareado todo el tiempo. Empleados con
pocos permisos para ausentarse, en la misma función, durante largo
tiempo y rara vez toman vacaciones (Una vez que un fraude está en
marcha, el delincuente necesita mantener continua vigilancia para evitar
ser descubierto).
Falta de segregación de deberes. Se permite a los programadores
ingresar datos, el personal de operaciones interviene en programación,
etc.
Deficiente administración de la operación. Falta de control de
documentos y de procedimientos de autorización, regulando cambios del
sistema y alteraciones a los ficheros de datos. Falta general de control
del sistema.
Alta incidencia de equivocaciones de la computadora. Errores creados
por un diseño deficiente del sistema hacen que el personal y gerentes
acepten errores susceptibles de "inculpar a la computadora".
10.5. EL SABOTAJE
Los imanes son herramientas muy recurridas, aunque las cintas estén
almacenadas en el interior de su funda de protección, una ligera pasada y la
información desaparecerá. Una habitación llena de cintas puede ser destruida
en pocos minutos. Los Centros de Procesamiento de Datos pueden ser
destruidos sin entrar en ellos. Suciedad, partículas de metal o gasolina pueden
ser introducidos por los conductos de aire acondicionado. Las líneas de
comunicaciones y eléctricas pueden ser cortadas, etc.
91
La protección contra el sabotaje requiere:
92
vulnerables desde la acera o lugares altos. Estos centros de Procesamiento de
Datos están expuestos a posibles tácticas destructivas por parte de grupos o
individuos disidentes.
Estas circunstancias deben ser aclaradas, para que las personas responsables
de llamar a la policía sepan qué servicio en particular deberá esperar que ella
provea.
93
El valor de un solo guardia desarmado en la puerta, como un impedimento
contra grupos disidentes que están determinados a destruir un servicio, es
generalmente sobrestimado.
94
en el edificio inicien una amenaza de bomba, causar la evacuación del personal
del Centro de Procesamiento de Datos y luego estar libre para entrar en el área
de Cómputo y dañarlo. En suma, los archivos más valiosos, particularmente
aquellos que incluyen transacciones del cuaderno bitácora , deben estar
considerados dentro del plan en caso de amenaza de bomba, para que puedan
ser apropiadamente protegidos o trasladados, si ocurre una explosión.
95
Es deseable que exista una revisión completa de los procedimientos que se
refieren a los archivos de reserva (backups), y que éstos estén escritos e
implementados. Hay alguna probabilidad de que los archivos de reserva
(backups) no probados, no tengan uso al momento de ser necesitados.
96
Sirviendo estas pruebas para tener entrenado al personal, para el caso de una
ocurrencia real de pérdida de servicio.
97
en reemplazarlos con cintas idénticas a las que han sido extraídas del almacén
de archivos.
98
CAPÍTULO XI
APLICACIÓN DEL PLAN
CAPÍTULO XII
CONCLUSIONES
99
CAPÍTULO XII
MEDIDAS DE PRECAUCIÓN Y RECOMENDACIONES
100
Se debe establecer un medio de control de entrada y salida de visitas al
centro de cómputo. Si fuera posible, acondicionar un ambiente o área de
visitas.
Se recomienda que al momento de reclutar al personal se les debe
hacer además exámenes psicológicos y médico y tener muy en cuenta
sus antecedentes de trabajo, ya que un Centro de Cómputo depende en
gran medida, de la integridad, estabilidad y lealtad del personal.
El acceso a los sistemas compartidos por múltiples usuarios y a los
archivos de información contenidos en dichos sistemas, debe estar
controlado mediante la verificación de la identidad de los usuarios
autorizados.
Deben establecerse controles para una efectiva disuasión y detección, a
tiempo, de los intentos no autorizados de acceder a los sistemas y a los
archivos de información que contienen.
Se recomienda establecer políticas para la creación de los password y
establecer periodicidad de cambios de los mismos.
Establecer políticas de autorizaciones de acceso físico al ambiente y de
revisiones periódicas de dichas autorizaciones.
Establecer políticas de control de entrada y salida del personal , así
como de los paquetes u objetos que portan.
La seguridad de las terminales de un sistema en red podrán ser
controlados por medios de anulación del disk drive, cubriéndose de esa
manera la seguridad contra robos de la información y el acceso de virus
informáticos.
Los controles de acceso, el acceso en sí y los vigilantes deben estar
ubicados de tal manera que no sea fácil el ingreso de una persona
extraña. En caso que ingresara algún extraño al centro de Cómputo, que
no pase desapercibido y que no le sea fácil a dicha persona llevarse un
archivo.
Las cámaras fotográficas no se permitirán en ninguna sala de cómputo,
sin permiso por escrito de la Dirección.
Asignar a una sola persona la responsabilidad de la protección de los
equipos en cada área.
101
El modelo de seguridad a implementar, estará basado en el entorno y en
la política y estrategias de la instalación.
Niveles de Control
102
Existen dos tipos de activos en un Centro de Cómputo. Los equipos físicos y la
información contenida en dichos equipos. Estos activos son susceptibles de
robo o daño del equipo, revelación o destrucción no autorizada de la
información clasificada, o interrupción del soporte a los procesos del negocio,
etc.
Cintas Magnéticas:
103
Deberá mantenerse alejados de los campos magnéticos.
Se les debe dar un mantenimiento preventivo en forma periódica a fin de
desmagnetizar impurezas que se hayan registrado sobre ellas.
Cartuchos:
104
Se debe evitar, en lo posible, la introducción de partículas de polvo que
pueden originar serios problemas.
Una de las medidas más importantes en este aspecto, es hacer que la gente
tome conciencia de lo importante que es cuidar un microcomputador.
La forma más fácil y común de reducir la fatiga en la visión que resulta de mirar
a una pantalla todo el día, es el uso de medidas contra la refección.
105
Generalmente éstos vienen en forma de una pantalla con un terminado áspero
o algún tipo de capa contra brillo con una base de sílice, sobre la superficie de
la pantalla del monitor.
106
ANEXOS
107
Junta de Accionistas
UNIVERSIDAD ALAS PERUANAS Consejo Consultivo
Academico
ORGANIGRAMA INSTITUCIONAL
Consejo Consultivo
Proyección Social
Rector
Oficina de Auditoria
Interna
Dirección de Informática
Dirección de
Planeamiento y Desar.
Oficina de Marketing e
Imagen Institucional
Oficina de Asesoría
Legal
Secretaría General
Vice – Rector
Vice - Rector
Administrativo
Académico
Educación
Departamento de Departamento de DUED
Continua
Personal Contabilidad
Ofic. Bienestar
Departamento de Departamento Universitario Centro Investig.
Cuentas Corriente Médico Fondo Editorial
Departamento
Centros CEPRE
Psicológico
Productivos
Centro de
Centro Cultural
Informacion
Vicerrectores
Adjuntos de Filiales
Fac. Ciencias Facultad de Facultad de Fac. Educación Fac. CC. Adm. Fac. Ciencias Facultad de Escuela de
Comunicacion Ingenierias Derecho y Humanidades Contab. y Fin. Agropecuarias Ciencias Salud Postgrado
108
EXTINTORES MANUALES
GAS
CARBONICO ESPUMA AGUA
(CO2)
PAPEL, MADERA
este tipo de material que
Apaga solamente en Excelente, enfría y empapa, apaga
deja brasa o ceniza Sofoca
la superficie totalmente
requiere un agente que
moje o enfríe.
Excelente no deja
residuos, no daña el Conduce la
EQUIPAMIENTO
equipamiento y no electricidad y además
ELECTRICO Conductora de electricidad.
es conductor de daña el equipo.
electricidad
109
110
REFERENCIAS BIBLIOGRÁFICAS
111