SEGURIDAD INFORMATICA Y PROPIEDAD INTELECTUAL

Este capítulo presenta el conocimiento básico necesario para evaluar la seguridad

informática, del entorno y de la infraestructura de TI de una organización. Este conocimiento
permite determinar si la seguridad establecida satisface las necesidades que tiene una
organización para salvaguardar la información de la utilización, revelado, y modificación sin
autorización y de la pérdida o daño accidental o maliciosa.

SEGURIDAD INFORMATICA

GESTIÓN DE LA SEGURIDAD INFORMATICA

La gestión de la seguridad de la información para ser eficaz requiere el compromiso y

soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la
concienciación y la formación formales en la seguridad. Esto incluye su propia formación.
La política de seguridad y los procedimientos relacionados deben estar actualizados y
reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos
de información de tal manera que haya un entendimiento claro de los riesgos y las
amenazas.
El desarrollo de la política de seguridad de la información es responsabilidad de la alta
dirección, delegando su implementación en los apropiados niveles de la dirección. La
existencia y la promoción de una política de seguridad de la información son de capital
importancia para la supervivencia y el desarrollo de una organización.
Para que la seguridad se implemente y mantenga con éxito, se deben establecer y
comunicar claramente los elementos esenciales para la gestión de la seguridad de la
información. Entre ellos se incluyen:

POLÍTICAS Y PROCEDIMIENTOS: Debe comenzar con una política de organización

general manifestando el claro compromiso de la alta dirección y dando directrices al
respecto. Aspectos a contemplar en esta política son la importancia de la información para
la organización, la necesidad de la seguridad, la importancia de definir los activos
sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se
deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a
introducir y mantener en el sistema de seguridad.

ORGANIZACIÓN: Las responsabilidades de proteger cada activo y de llevar a cabo

procesos específicos de seguridad deben estar claramente definidas. La política de
seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se
puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones,
sistemas o servicios específicos.
Las responsabilidades a considerar por posición incluyen:

 Dirección ejecutiva: tiene la responsabilidad global de los activos de información.

 Comité de seguridad: las políticas y procedimientos de seguridad afectan a toda la
organización, por tanto, deben tener el soporte de los usuarios finales, dirección
ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo
tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles
cuya tarea es la de discutir temas de seguridad y establecer las prácticas de
seguridad.
 Propietarios de datos: determinan los niveles de clasificación de los datos en
cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de
acceso a los datos bajo su responsabilidad.
 Propietarios de procesos: son los responsables de la seguridad de los procesos
bajo su responsabilidad en línea con la política de la organización
 Desarrolladores de TI: Implementan la seguridad de la información
  Especialistas de seguridad: Promueven y ayudan en el diseño, implementación,
gestión y revisión de la política y procedimientos de seguridad de la organización.
 Usuarios: Deben seguir los procedimientos establecidos en la política de seguridad
de la organización que generalmente incluye: Leer la política de seguridad,
mantener en secreto la identificación de usuario y la contraseña, informar de las
sospechas de violación de la seguridad, mantener una buena seguridad física
cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la
clave de acceso de cerraduras electrónicas y preguntando a personas
desconocidas, cumpliendo las leyes y regulaciones legales, siguiendo las
regulaciones de privacidad respecto a información confidencial (salud, legal, etc.)
 Auditores de SI: Suministran un aseguramiento independiente a la gerencia de la
adecuación y eficacia de los objetivos de seguridad de la información.

POLÍTICA DE SEGURIDAD INFORMATICA

Una Política de Seguridad se define como la especificación de los requerimientos para el

control de acceso a la información, aplicaciones y servicios de una organización.
Dentro de las funciones de las entidades informáticas, las políticas de seguridad se deben
enfocar inicialmente a la protección de la información almacenada, procesada y
distribuida mediante sus recursos; sin embargo, también se deben emitir políticas para
todos los rubros, incluyendo facilidades, aplicaciones, instalaciones y equipos.
Una buena política de seguridad deja poco campo a la interpretación. Es muy importante
que los usuarios y todos los que intenten usar un computador de la red para acceder a sus
servicios conozcan y entiendan las reglas del sistema.

IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA

Es importante tener una política de seguridad de red efectiva y bien pensada que pueda
proteger la inversión y recursos de información de la entidad. Las políticas de seguridad
son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de
seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de
protección tales como: identificación y control de acceso, respaldo de datos, planes de
contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el
tipo de organización de que se trate, en general incluyen declaraciones generales sobre
metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las
violaciones de seguridad. A menudo las políticas van acompañadas de normas,
instrucciones y procedimientos.

CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

Crear políticas es, por definición, especificar las necesidades de control de acceso a la
información. En particular, las políticas deberán reflejar los objetivos de la Institución con
respecto a la relativa importancia de cada rubro a proteger y la manera en que esa
información contribuye a la misión de cada Institución. Por su parte, las normas,
procedimientos, prácticas y estándares, deberán acoplar esas necesidades con los
recursos técnicos existentes en la Institución e incidirán en su caso en la modernización de
los esquemas técnicos de seguridad.
Cuando se habla de un documento de Políticas de Seguridad, no se trata de un documento
general, ya que por definición debe responder a las necesidades y características de la
Institución que incorpora las políticas; se refiere a un documento dinámico, es decir, que
requiere de constante revisión para mantenerlo vigente, por cuestiones de legítima
seguridad, sobre todo en ámbitos tan cambiantes como lo es la Internet, donde la vigencia
de las soluciones técnicas y administrativas es de primordial importancia para mantener
nuestros sistemas confiables.

NATURALEZA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA

La naturaleza de las políticas de seguridad puede ser educativa, restrictiva o
simultáneamente ambas.

Cuadro Nº 01. Ejemplo de Política de seguridad educativa

Estrategias de seguridad e Implementación Para la política de Monitoreo de software

Identificativos 2
Nombre Política de control software instalado
Inf. Adicional Fecha Creación: aa/mm/dd
Fecha Expiración: aa/mm/dd
Estado Pol: activa [si/no]
Objetivo El propósito fundamental es que la Administración de la Red pueda tener
un control sobre el tipo de software que se instala en los equipos terminales,
permitiendo o denegando la instalación de ciertos programas que pueden
atentar contra la seguridad de la Red de Datos
El Agentes está encargado de llevar a cabo una evaluación exhaustiva y control
del software instalado en el equipo, software licenciado, software permitido y
no permitido. El Gestor posee en su base de datos una lista estándar del
software licenciado y aprobado por el comité aprobador (Directivas de la
Descripción Institución), y esta lista es suministrada a cada uno de los Agentes. El Agente
de Control instado en el equipo terminal revisa en el registro del Sistema
Operativo que software se encuentra actualmente instalado, y notificar Usuario
Responsable (monitor, laboratorista, encargado) el software que se encuentre
como no autorizado en el momento de la instalación del Agente.
El incumplimiento de esta política pone en riesgo tanto la credibilidad
Consecuencia institucional, como los gastos que se derivan por penalizaciones a las normas
s constitucionales que protegen los derechos de autor, además de que la
ejecución de programas no confiables amenaza la protección del sistema.
Educativo. El Agente desplegará información visual para guiar al usuario
respecto al uso correcto de los servicios de Red y del mismo software de
protección. Además el Agente notificará al usuario algunas operaciones que no
Sanciones
se deben realizar, como por ejemplo tratar de desinstalar el software sin
autorización, o instalar software que la Red de Datos ha catalogado como no
confiable o perjudicial para la Red.
Educativo
“Sistema de Control de Políticas de Seguridad Informática de la Red de
Datos de la Universidad P e r u a n a L o s A n d e s
Política de Seguridad No. 002
Elaborada por: Red de Datos de la Universidad Peruana Los Andes
Contenido
Aprobada por: Comité Verificador
Fecha de Operación: fecha Creación
Esta política establece de forma institucional que tipo de software está
autorizado por parte de la Administración de la Red de Datos para ser
instalado en los equipos terminales de la Red.
A disposición del Administrador de Red a través del Módulo de gestión (según
Actualización una opción seleccionada por el Administrador en el momento de gestionar y
crear la política de seguridad)
Aprobador Comité Verificador Administración Red de Datos de la Universidad P e r u a n a
Los Andes
COMPONENTES DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

Cuadro Nº 03. Descripción de los componentes de una política de seguridad

informática

ELEMENTOS DE UNA
DEFINICIÓN
POLÍTICA
1. Identificativo El identificativo debe corresponder a una estructura de codificación
(código política) que le permita al administrador del sistema realizar operaciones de
consulta, búsquedas, modificaciones, etc., de una forma sencilla
dentro de la base de datos que contiene la información
 correspondiente las políticas de seguridad.
Por facilidad de administración, este nombre debe ser sencillo,
conciso y concreto de tal manera que en la implementación del
sistema de protección, pueda realizarse una referencia a un objeto de
2. Nombre tipo política que contenga la información necesaria para ejecutar el
(denominativo) control necesario de dicha directiva de seguridad. La sencillez de
esta denominación también permitirá mayor eficiencia en la
transacción de datos entre el gestor y el agente, además de facilitar
las operaciones realizadas por el manejador de la base de datos.
Esta información permite tener un registro preciso de cada política
que se desea implementar, como la fecha de creación, duración (si
la política lo requiere), fecha de expiración (si la política lo
3. Información
requiere), estado de la política (activa/inactiva). La información
adicional
detallada le permitirá al administrador llevar un control total de sus
funciones de gestión, además de facilitar la elaboración de los
reportes e informes estadísticos.
Este aspecto busca limitar la política a su objetivo en el sistema,
sin tratar de abarcar otros aspectos que restarían eficiencia en
tiempo de ejecución y que además pueden llegar a colapsar el
sistema o incluso en estado de fuera de control la misma Red.
4. Alcance de la
Aunque esta información no forma parte de la implementación de
política
las políticas, si se considera relevante para las correspondientes
operaciones de gestión que realizará el Administrador en el
momento de crear, modificar e implementar políticas de seguridad a
través del módulo de gestión del sistema.
Se considera el corazón estructural de la política y debe constituirse
en una respuesta directa y suficiente frente a la falla o problema de
5. Objetivos de la seguridad que busca controlar. Su información es fundamental para
política la gestión de políticas aunque no se considere un requisito visible en
la implementación del sistema más allá del correspondiente algoritmo
de operación.
6. Descripción de los Esta información permite obtener una descripción detallada del
elementos contexto o entorno de operación del sistema gestor agente además
involucrados en la de los distintos actores que tendrán contacto con el sistema. También
política y su determina su comportamiento y funciones específicas frente a cada
definición. requerimiento de seguridad de la Red.
7. Definición de Esta información es relevante para realizar una correcta gestión de
riesgos y políticas que se ajuste a la realidad del sistema que se desea
consecuencias del proteger en cuanto a desprotección e inseguridad, riesgos, fallos y
no cumplimiento vulnerabilidades que se desean erradicar o aminorar.
de la política.
Este análisis debe proporcionar de forma precisa los medios
operativos mediante los cuales se controlará el cumplimiento de las
políticas de seguridad. Depende de una decisión del área
administrativa de la Red o de la Organización quienes se
8. Aplicativos y/o responsabilizan por las sanciones asignadas a los distintos
sanciones infractores, su magnitud y duración (en el caso de que las políticas
implementadas tengan un carácter restrictivo), y además permitirán
al usuario recibir ayuda y soporte en el uso de los servicios que
presta la institución (en el caso de que las políticas tengan una
naturaleza educativa).
En toda política a gestionar o implementar, debe existir una valoración
de riesgo o daño que corresponda a una estimación más o menos
9. Nivel de seguridad
precisa del grado de inseguridad o consecuencias perjudiciales que
(alto/medio/bajo)
asume la institución en el caso de la infracción de una o algunas de
las políticas de seguridad que se desean controlar.
Esta información debe brindar una explicación comprensible y
coherente (preciso sin entrar en tecnicismos y terminología judicial),
10. Contenido
que aclare los motivos y propósitos que constituyen la razón de ser
de cada política.
11. Actualización Toda política debe brindar la flexibilidad necesaria para que su
 conforme a los funcionamiento se adecue a los distintos cambios tecnológicos
propósitos que pueden implicar un crecimiento en los riesgos de protección que
organizacionales la organización desea controlar.
En toda política debe existir una entidad aprobatoria y responsable
12. Autoridad cuya autoridad dentro de la institución le acredita asumir la seguridad
aprobatoria o de la Red mediante distintos mecanismos de protección que aseguren
responsable el funcionamiento normal del sistema y el cumplimiento de los
propósitos organizacionales.

ESTRUCTURA JERARQUICA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA

Dependiendo de la amplitud que abarca: Puede ser clasificada en los siguientes niveles
jerárquicos como se describe en el cuadro Nº04.

Cuadro Nº 04. Clasificación de una política de seguridad

Niveles de Políticas: Objetivo:

Visión de seguridad respecto a todo el
Política general
servicio de Internet.
Política específica a un Se orienta a tópicos que tienen un interés
tema específico
Política particular a una Se enfoca a decisiones tomadas por la
aplicación administración para proteger aplicaciones o
sistemas particulares
De acuerdo a la dependencia: Esta estructura jerárquica permite por un lado, hacia
arriba, mantener la congruencia con los objetivos institucionales, y por otro, hacia abajo,
normar los procedimientos de operación en observancia a las Políticas de Seguridad
definidas como se muestra en el gráfico Nº 16.
Es evidente que entre más alto sea el nivel jerárquico de los enunciados regulatorios, las
modificaciones serán mínimas, pero serán más generales y legislativamente más robustos,
mientras que los niveles inferiores estarán más apegados a soluciones muy concretas,
por lo que su modificación puede ser más frecuente.

Grafico N°16 “Estructura jerárquica de la seguridad en la información”

Marco Jurídico. Define la Ley o Leyes que dan origen a la creación por decreto de la
Institución o Dependencia, la cual mantendrá su vigencia o espíritu mientras encuentre el
sustento jurídico que permite su existencia.
Ley. Sustenta la existencia legítima de la Institución.
Marco Conceptual. Es el espíritu institucional dentro del que se engloban los valores y
metas de la Institución, en concordancia con la naturaleza de la ley que la origina.
Principios. Esencia moral y ética de la Institución.
Objetivo. Propósito de la Institución.
Marco Normativo. Es el conjunto de preceptos que regulan la conducta institucional con el
fin de llevar a buen término sus objetivos.
Políticas. Forma en que se cumple con el objetivo
Normas. Regla específica que debe cumplirse; su omisión causará la sanción respectiva.
Marco Operacional. Es el conjunto de elementos de orden que definen la operación de los
esquemas de manejo de información.
Procedimientos: Son instrucciones precisas para el desarrollo de Actividades.
Estándares. Procedimientos apegados estrictamente a la norma.
Guías.- Procedimientos dirigidos u orientados, susceptibles de ser comentados o
interpretados.
Como se observa, los procedimientos pueden ser estándares o guías; cuando sólo se
recomienda la manera de hacer alguna tarea específica, se emite una guía, misma que no
es obligatoria, sino una sugerencia de acción; por otro lado, un estándar es mucho más
riguroso, y es de observancia obligatoria; cuando las guías son adoptadas y probadas en su
efectividad, pueden pasar a ser estándares.

ANALISIS DE RIESGOS DE LA POLÍTICA DE SEGURIDAD INFORMATICA

Una política de seguridad siempre debe constar de una etapa de análisis sobre el riesgo
que se pretende erradicar o aminorar. Este análisis de riesgo se compone de los siguientes
elementos:

 Evaluación económica de los impactos que puede generar la ausencia de un control de

seguridad sobre los elementos críticos del sistema.
 Análisis de la probabilidad de que pueda ocurrir un evento que amenace la seguridad
del sistema.
 Definición precisa del elemento o aspecto específico que se desea proteger mediante
las directivas de seguridad.

A continuación se presentan algunos cuestionamientos que sirven como referencia para

desarrollar la correspondiente evaluación de seguridad.

 ¿Qué fallas puede ocurrir en el comportamiento normal del sistema?

 ¿Con qué frecuencia puede ocurrir esta falla?
 ¿Cuáles serían las consecuencias al darse dicha fallas?
 ¿Qué tan fiable es la información obtenida al responder las anteriores preguntas?
 ¿De qué manera está preparado el sistema para responder a dichas fallas?
 ¿Cuál es el costo de controlar dichas fallas?
 ¿Se tiene un control real sobre las operaciones del sistema?
 ¿Cómo responderá el sistema en el caso de que la seguridad haya sido violada?
 ¿Cuál información se considera confidencial o sensitiva dentro del sistema?
 ¿Está el sistema en capacidad de adecuarse a los cambios tecnológicos que puedan
implicar una amenaza para su seguridad?
 ¿Qué usuario específico está autorizado para realizar operaciones sobre el sistema?
 ¿Cuáles son las responsabilidades y privilegios de cada uno de los distintos actores que
componen el sistema?

Posterior a la evaluación anterior el sistema arrojará información que puede describirse en

la tabla

Cuadro Nº 05. Resultados de los análisis de riesgo.

TIPO RIESGO VALORACI

Robo Hardware ÓN
Alto
Robo Información Alto
Ataques Intrusión Medio
Fallas Sistema Medio
Programas Maliciosos Medio
Equivocaciones Usuario Medio
Acceso No Autorizado Medio
Fraude Legal Medio
Amenazas Físicas Bajo

Partiendo de las políticas generales, el grado de detalle y complejidad requerido aumenta

conforme se avanza hacia las políticas particulares. Así mismo, entre más detallada y
compleja es una política, se requiere actualizarla más frecuentemente y es más
complicado el proceso de implantación de la misma. Por otro lado, de acuerdo al recurso al
que está dirigida una política, ésta puede ser clasificada en varios tipos básicos como se
muestra en el cuadro Nº06.

Cuadro Nº 06. Clasificación de la política informática de acuerdo al recurso dirigido

Recursos: Objetivo:
Cuando el recurso tiene que ver con las técnicas
Orientada a los recursos
empleadas para generar, explotar o intercomunicar
lógicos.
tanto aplicaciones como los datos asociados a las
mismas. el recurso tiene que ver con aspectos
Cuando
Orientada a la recursos de
administrativos, de personal o con la misma
gestión
estructura organizacional de la Dependencia
 Orientada a los recursos Cuando se trate de bienes materiales como
físicos instalaciones y equipos.
Orientada a la respuesta Cuando se trate de los recursos empleados durante
ante incidentes y después de una contingencia.

AMENAZAS A LA SEGURIDAD INFORMATICA

Existe una relación directa entre amenaza y vulnerabilidad a tal punto que si una no
existe, la otra tampoco. Las amenazas se pueden catalogar según el entorno en el cual
operan.
Amenazas del entorno (que afectan la seguridad física) Amenazas del sistema (que afectan
la seguridad lógica) Amenazas de la red (que afectan las comunicaciones) Amenazas de
personas (InsidersOutsiders)

ESTRATEGIAS DE SEGURIDAD INFORMATICA

PROACTIVA: Se centra en reducir al mínimo los riesgos presentes en el sistema.
REACTIVA: Se centra en una evaluación de consecuencias y daños a fin de realizar
actividades de restauración del sistema y corrección de fallas.
Cuando se habla de seguridad informática se cumple literalmente:

 “Lo que no se permite expresamente está prohibido”

 “Lo que no se prohíbe expresamente está permitido”

CRÍMENES INFORMÁTICOS

Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes,
software o información de la organización. También constituye un delito cuando se manipula
el proceso de una aplicación o los datos para que se acepte información falsa o
transacciones no autorizadas. Puede cometerse delitos informáticos sin que se substraiga
nada, tan solo la visualización de información ofrece información al delincuente para robar
ideas o información confidencial.
Los delitos informáticos con el fin de aprovecharse del computador y la información que
contiene pueden ser perjudiciales para la reputación, la moral y la mismísima existencia de
una organización. El resultado puede consistir en la pérdida de clientes, una situación
embarazosa para la gerencia o el inicio de acciones legales contra la organización. Entre las
amenazas para la organización se cuentan:
PÉRDIDAS FINANCIERAS
Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los
costos de corregir la exposición al riesgo.

REPERCUSIONES LEGALES
Existen numerosas leyes que protegen derechos a la intimidad y los derechos humanos que
deben ser tenidas en cuenta por la organización en la etapa de desarrollo de las políticas y
procedimientos de seguridad. Estas leyes pueden proteger la organización, pero también
proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de
seguridad puede exponer a la organización a juicios de los inversores o aseguradores si se
produjera una pérdida significativa por violación de la seguridad.

PÉRDIDA DE CREDIBILIDAD O MARGEN DE COMPETITIVIDAD

Muchas organizaciones, en especial las organizaciones de servicios como los bancos,
entidades de ahorro y préstamo o inversiones necesitan una alta credibilidad y confianza del
público para mantener su competitividad o incluso seguir funcionando. Una violación a la
seguridad puede dañar gravemente esa credibilidad, con la consiguiente pérdida de
negocios y prestigio.

CHANTAJE/ESPIONAJE INDUSTRIAL
Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso
sobre las operaciones del computador, puede exigirse a la organización pagos o servicios
bajo amenazas de aprovecharse de la brecha en la seguridad.

DIVULGACIÓN DE INFORMACIÓN CONFIDENCIAL, SENSIBLE O EMBARAZOSA

Que dañan la credibilidad de una organización y los medios que utiliza para realizar el
negocio. También puede ocasionar que se presenten acciones legales o de índole
administrativa contra la organización.

SABOTAJE
En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el
deseo de realizar daño. Puede darse cuando el causante odia la organización o
simplemente desea un reto contra el cual enfrentarse.
Normalmente, quienes violan el acceso lógico son las mismas personas que pueden
aprovecharse de las exposiciones físicas. Los tipos de causantes de dichas violaciones
incluyen:

 Piratas Informáticos: Los piratas informáticos por lo general intentan poner a

prueba los límites de las restricciones de acceso para demostrar su capacidad
para superar los obstáculos. A menudo no entran con el propósito de destrucción,
aunque ese suele ser el resultado final.
 Empleados (autorizados y no autorizados)
 Personal de SI: Son quienes tienen el acceso a la información más fácil debido a
que son los que custodian la información.
 Usuarios finales
 Ex empleados: En particular, hay que tener cuidado con los que han dejado la
organización en condiciones conflictivas.
 Terceros interesados o capacitados: Competencia, potencias extranjeras,
crimen organizado, piratas informáticos contratados por un tercero (Crackers)
 Personal a tiempo parcial o temporal
 Proveedores y Consultores Externos
 Legos, accidentalmente: Quien comete una violación sin saberlo.

PROTECCION DE LOS RECURSOS INFORMATICOS

CLASIFICACIÓN DE DATOS
Los archivos informatizados, al igual que los documentos, tienen diversos grados de
sensibilidad. Las clasificaciones del grado de sensibilidad deben ser simples, tales como
alta, media y baja. Los gerentes de usuarios finales y el Administrador de Seguridad pueden
utilizar esas clasificaciones para determinar quién puede estar en condiciones de acceder a
qué archivos.
La clasificación de los datos reduce el riesgo y el costo de excederse en la protección de los
recursos informáticos. La clasificación de datos es extremadamente importante para la
identificación de quién debe tener acceso a datos y programas de producción y a los de
prueba. Los datos de producción son los datos actuales o históricos reales. El acceso a
estos datos o programas lo debe conceder su correspondiente propietario.

ACCESO AL SISTEMA
Es la habilidad de hacer algo con un recurso de información. Por ejemplo, la habilidad para
leer, crear, modificar o eliminar un fichero ejecutar un programa o utilizar una conexión
externa.
El acceso al sistema es tanto físico como lógico. Los controles de acceso lógico proveen un
medio técnico de controlar que información pueden utilizar los usuarios, los programas que
pueden ejecutar y las modificaciones que pueden realizar. Los controles de acceso físico
restringen la entrada y la salida del personal, y a veces del equipamiento, de un área tal
como un edificio, centro de datos o habitación conteniendo equipamiento de proceso de
datos. Hay que establecer criterios para decidir qué tipo de acceso se da a los diferentes
usuarios a los datos, programas y recursos específicos. Generalmente el control del acceso
se consigue a través de los mecanismos de seguridad que dan los siguientes cuatro niveles:
redes, sistema operativo, bases de datos y aplicaciones.

SEGURIDAD DEL ACCESO LÓGICO

Los controles de acceso lógico son el método primario de gestionar y proteger los activos de
información para reducir a un nivel aceptable el riesgo de una organización. Por ejemplo, el
concepto de control de acceso lógico se relaciona con gestionar y controlar el acceso a los
recursos de información que residan en sistemas tanto de computador central como
basados en redes. Los controles de acceso lógico inadecuados incrementan el potencial de
pérdidas de una organización debida a exposiciones a riesgos.
Las exposiciones a riesgos que existen debido a debilidades de control de acceso lógico
accidental o intencional incluyen:

Exposiciones de acceso lógico:

Las exposiciones técnicas son la alteración, uso o destrucción de programas de producción
y archivos de datos no autorizada (deliberada o no intencionada) a nivel de sistema
operativo, red o aplicación. Existen muchos términos para estos tipos de exposición, entre
los que se encuentran:

Caballos de Troya:
Consiste en ocultar código con fines maliciosos dentro de un programa autorizado. Tal
código oculto se ejecutará cuando se ejecute el programa autorizado.
Redondeo por defecto:
Se denomina redondeo por defecto pues se redondean muy pequeñas sumas y se las
transfiere a una cuenta no autorizada. Dado que tales sumas son muy pequeñas, es difícil
que se descubran.
Técnica de la rodaja o tajada:
Esta técnica es similar a la técnica del Redondeo por defecto, pero consiste en tomar una
pequeña tajada de las sumas de las transacciones o cuentas.
Virus:
Los virus informáticos son programas dolosos que pueden autoduplicarse y transmitirse de
un computador a otro. Un virus puede simplemente mostrar un mensaje gracioso en los
terminales, o borrar peligrosamente o alterar los archivos informatizados, o llenar la memoria
del computador con basura hasta el punto que el computador deje de funcionar. El peligro
adicional es que un virus permanezca hibernando o en un estado aletargado hasta que
determinado acontecimiento lo ponga en actividad, como una fecha (el 1º de enero - Feliz
Año Nuevo) o que se copie una cantidad de veces. Sin embargo, entretanto el virus se ha
estado propagando en silencio.
Gusanos:
Son programas destructivos que borran datos o utilizan grandes cantidades de recursos del
computador o de comunicaciones pero no se duplican.
Bombas lógicas:
Las bombas lógicas son similares a los virus, pero no se autoduplican.
Puertas traseras:
Las puertas traseras son puntos de salida de un programa que permiten que se inserte
lógica especial dentro en un programa autorizado, tal como interrupciones del programa
para poder revisar los datos en el medio del procesamiento.
Ataque asíncrono:
En un ambiente de multiproceso los datos viajan a través de líneas de telecomunicaciones
asíncronas (en una sola dirección por vez). Por ello, muchas transmisiones deben esperar
que la línea esté libre y fluya en la dirección adecuada antes de que se transmita. Los datos
que estén en espera son susceptibles a acceso no autorizado denominado ataques
asíncronos. Esta es una exposición muy compleja, para evaluarla el Auditor de SI necesitará
la ayuda del administrador de red y del analista de software.

Fugas de datos:
La fuga de datos consiste en la extracción de información de dentro del computador. Puede
realizarse imprimiendo archivos en listados, o simplemente robar informes informatizados o
cintas.
Interceptación de líneas:
Esta técnica consiste en captar la información que se esté transmitiendo por medio de líneas
de telecomunicaciones.
Apagado del computador:
Puede iniciarse el apagado del computador por conexiones directas (en línea) con
terminales o microcomputadores o indirectas (líneas de telemarcado) de terminales. A
menudo para ello se requiere tener acceso a un código de usuario de alto nivel.

Métodos de acceso lógico:

Para realizar una evaluación eficaz de los controles de acceso lógico en una organización
hay determinar en qué áreas desde un punto de vista de riesgo hay que poner el foco de la
auditoría, esto incluye revisar todos los niveles de seguridad asociados con la arquitectura
de sistemas de información informatizados.
Estos niveles son la red, la plataforma de sistema operativo, la base de datos y las
aplicaciones El acceso lógico al computador puede hacerse por distintas vías. Cada una de
ellas debe tener niveles adecuados de seguridad de acceso.
Entre los métodos de acceso se incluyen:
Consola del operador:
Estos terminales controlan la mayoría de las operaciones y funciones del computador.
Deben estar de manera que solo se permita el acceso físico a la consola a los operadores
del computador y al personal de soporte.
Terminales en línea:
Este modo de acceso lógico es el más popular entre los usuarios. Generalmente requiere un
código de usuario y una contraseña para tener acceso al computador. El acceso en línea
permite el procesamiento de los datos en forma inmediata. El acceso en línea sirve para la
carga de transacciones, consultas a archivos y la actualización de los archivos (agregar,
cambiar, borrar). Dado que el acceso es inmediato, también los es iniciar la seguridad lógica
respecto de este acceso.
Procesamiento diferido:
Esta modalidad de acceso es indirecta ya que el acceso se realiza por medio del
procesamiento de las transacciones (proceso por lotes). Generalmente consiste en acumular
las transacciones de entrada y procesarlas después de determinado tiempo o de que se
haya acumulado cierta cantidad de transacciones. La seguridad lógica se realiza
determinando quienes pueden acumular transacciones (personal de carga de datos) y
quienes pueden iniciar el procesamiento diferido (operadores del computador o el sistema
automatizado de asignación de trabajos). Asimismo, se debe controlar cuidadosamente los
procedimientos de autorización para manipular las transacciones acumuladas antes de
procesar el lote.

Puertos de llamada telefónica:

La utilización de puertos de conexión por llamada telefónica consiste en conectar un terminal
remoto a una línea telefónica y así tener acceso al computador al marcar el número de una
línea telefónica especial. Normalmente se debe utilizar un módem como interfaz entre el
terminal remoto y la línea telefónica a fin de codificar y decodificar las transmisiones. La
seguridad lógica se realiza dando un medio para identificar a un usuario remoto para
determinar la autorización de acceso que posee.
Ello se puede hacer por medio de una línea de respuesta de llamada, utilización de un
código de usuario y software de control de acceso, o haciendo participar a un operador del
computador para que verifique la identidad de quien hace la llamada y luego realizar la
conexión al computador.
Redes de telecomunicaciones:
Las redes de telecomunicaciones enlazan los terminales de computador con un computador
por medio de líneas de comunicaciones. Las líneas pueden ser privadas, es decir dedicadas
a un solo usuario, o públicas, como las de los sistemas nacionales de teléfonos. La
seguridad debe realizarse de la misma manera que en los terminales en línea.

SOFTWARE DE CONTROL DE ACCESO

El software de control de acceso, cada vez más, es un elemento crítico para asegurar la
confidencialidad, integridad y disponibilidad de los recursos de información. El propósito del
software de control de acceso (SCA) es el de prevenir el acceso y la modificación sin
autorización a los datos sensibles y la utilización de funciones críticas. Para conseguir este
nivel de control es necesario establecer controles de acceso en todos los niveles de la
arquitectura de SI. Normalmente esto consiste en alguna forma de identificación y
autentificación, autorización de acceso y registro e informe de las actividades de los
usuarios.

IDENTIFICACIÓN Y AUTENTIFICACIÓN
Es el proceso de probar la identidad de uno, donde la identificación es el medio por el cual el
usuario da su identidad y la autentificación el medio por el cual el usuario da una información
(algo que solamente él conoce o tiene) que garantiza que realmente es quien dice ser.
Algunas de estas técnicas son las siguientes:

Código de usuario y contraseña:

Es la técnica más conocida, esta identificación del usuario en dos etapas puede utilizarse
para limitar el acceso a la información, transacciones informatizadas, programas y software
de sistemas.
 El computador puede llevar una lista interna de códigos de usuario válidos y los
correspondientes conjuntos de reglas de acceso para cada código de usuario. Las
reglas de acceso identifican los recursos informatizados a los que puede acceder
cada código de usuario.
El código de usuario da una identificación de la persona. Cada usuario recibe un código de
usuario que puede ser identificado por el sistema; el código da la autenticación del usuario.
La autenticación es un proceso en dos etapas en el cual el sistema informatizado primero
verifica que el usuario tiene un código de usuario válido y luego obliga al usuario a
substanciar su validez personal por medio de una contraseña, que por lo general la decide el
usuario.

Características de las contraseñas

 Las contraseñas deben ser fáciles de recordar para el usuario, pero difíciles de
adivinar para quien intente violarlas.
 La primera asignación de la contraseña debe ser hecha por el Administrador de
Seguridad. Cuando el usuario se conecte por primera vez, el sistema debe obligarle
a cambiarla para mejorar su confidencialidad.
  Si se introduce una contraseña errónea un determinado número de veces, por lo
general tres, se debe desactivar automáticamente el código de usuario por un
tiempo apreciable.
 Si un código de usuario ha quedado desactivado por el olvido de la contraseña, el
usuario debe notificarlo al Administrador de Seguridad. Este último sólo debe
reactivar el código de usuario tras verificar la identificación del usuario antes de dar
la información por teléfono, por ejemplo: apellido de soltera de la madre, devolver la
llamada tras verificar el número interno del usuario, o solicitar verificación al
supervisor del usuario.
 Las contraseñas deben estar encriptados internamente. El encriptado es un medio
de codificar la contraseña almacenada. Con ello se reduce el riesgo de que un
individuo tenga acceso a las contraseñas de otras personas, si no la puede
entender, tampoco la podrá utilizar.
 Las contraseñas no deben estar visibles de ninguna manera, ni en la pantalla del
computador cuando se entra, ni en los informes informatizados, o escritas sobre un
papel adherido al escritorio de una persona.
 Las contraseñas se deben cambiar periódicamente, en forma regular, por ejemplo
cada 30 días. El mejor método es que el sistema obligue a cambiarla.
 Reglas de sintaxis (formato) de la contraseña
 Debe tener por lo menos cuatro caracteres de longitud. Más corta es fácil de adivinar.
 Debe permitir la combinación de caracteres alfabéticos y numéricos.
 No se debe poder asociar con algo especial del usuario, como sucede con el primer
nombre, nombre del cónyuge, de una mascota, etc.
 Cuando se cambie, el sistema no debe permitir que se vuelvan a utilizar contraseñas
utilizadas previamente.
 Los códigos de usuario que no sean utilizados tras cierto tiempo se deben desactivar
para evitar que sean mal utilizados. Esto lo puede hacer el sistema de forma
automática o el Administrador de Seguridad de forma manual.
 El sistema debe desconectar automáticamente una sesión si no se produce actividad
transcurrida un tiempo, por ejemplo, una hora. Con ello se reduce el riesgo de un
uso inapropiado de una sesión desatendida porque el usuario se haya olvidado de
hacer la desconexión.

Control de acceso de seguridad biométrico:

Este control limita el acceso al computador a partir de características físicas del usuario,
tales como una huella digital o el patrón de la retina. Para interpretar las características
biométricas de la persona antes de permitir acceso al computador se utiliza un lector
especializado. Este es un control de acceso muy eficaz ya que es difícil de eludir, pero
puede que no sea eficiente debido al alto costo del hardware y software que se necesita.

Aspectos de la autorización del acceso

El proceso de autorización del control de acceso normalmente requiere que el sistema
pueda identificar y diferenciar a los usuarios. Por ejemplo, el control de acceso a menudo
está basado en los privilegios mínimos necesarios, es decir dar a los usuarios solo los
accesos que necesitan para realizar su trabajo.
Las reglas de acceso (autorización) especifican quién puede acceder a qué. Las
autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la
necesidad de hacer y deben quedar documentadas estas necesidades.
Tener acceso al computador no siempre implica que se tenga acceso sin restricciones. El
acceso se puede dar a diferentes niveles. Cuando un auditor de SI revisa la accesibilidad al
sistema, necesita saber qué es lo que se puede hacer con el acceso y que es lo que está
restringido. Por ejemplo, las restricciones de acceso a nivel de fichero normalmente incluyen
las siguientes:

 Solo lectura, consulta o copia

  Solo escritura, creación, actualización o eliminación
 Solo ejecución
 Una combinación de las anteriores.

El tipo de acceso menos peligroso es el de consulta o lectura, si la información no es

sensible o confidencial. Ello es así porque el usuario no puede alterar o utilizar el fichero
informático más allá de su mera visualización o impresión.
A continuación se presenta una lista de los Archivos y funciones informatizadas a proteger
con controles de acceso lógico más normales:

 Datos
 Software de aplicaciones, de prueba y de producción
 Servidores de nombres de dominio
 Utilitarios
 Bibliotecas/directorios
 Contraseñas
 Archivos temporales en discos
 Biblioteca de soporte magnéticos
 Software de sistemas
 Software de control de acceso
 Bibliotecas de procedimientos del sistema
 Archivos de registros históricos
 Característica de eludir el procesamiento de etiqueta
 Salidas del sistema del operador
 Líneas de telecomunicaciones
 Diccionario de datos
 Colas de spool

Tablas de autorización
Para dotar de seguridad a lo anterior, el mecanismo de control de acceso utiliza tablas de
autorización de acceso también conocidas como listas de control de acceso (ACLs access
control lists). Las listas de control de acceso son un registro de usuarios humanos o no
(incluyendo grupos, máquinas, procesos) a los que se ha dado acceso un determinado
recurso del sistema y los tipos de acceso que les ha sido permitido. Las listas de control de
acceso varían en cuanto su capacidad y flexibilidad. Algunas solo permiten especificaciones
para ciertos grupos preestablecidos como por ejemplo propietario, grupo, resto del mundo,
mientras que otras más avanzadas tienen mucha más flexibilidad, tal como grupos definidos
por los usuarios. También, algunas permiten denegar explícitamente el acceso a un usuario
o grupo de usuarios.

Restricción y monitorización del acceso a las funciones que eludan la seguridad:

Por lo general, solamente los programadores de sistemas deben tener acceso a este tipo de
funciones. Entre estas funciones están:

Salto del proceso de etiqueta

El salto hace que el computador omite leer la etiqueta del archivo. Dado que la mayoría de
las reglas de control de acceso se basan en los nombres de archivos (etiquetas), con ello
puede omitirse la seguridad del acceso.
Salidas del sistema
Estas utilidades especiales de software de sistemas, permiten que el usuario pueda realizar
complejos mantenimientos del sistema. A menudo estas utilidades están fuera del sistema
de seguridad del computador y de esa manera no están limitadas o no se informa de su uso.
Códigos especiales de usuarios
Normalmente el proveedor del computador suministra estos códigos de usuario con el
computador. Estos códigos pueden determinarse fácilmente pues son los mismos para
computadores del mismo tipo. Se debe proceder a su restricción cambiando sus
contraseñas de inmediato una vez dada la conformidad a la instalación del computador.

Convenciones de nombres para el control del acceso:

Las capacidades de acceso las implementa la administración de seguridad mediante un
conjunto de reglas de acceso que estipulan que usuarios (o grupos de usuarios) están
autorizados a acceder a un recurso (tal como un conjunto o un fichero de datos) y a qué
nivel (tal como lectura o actualización). El software de control de acceso aplica estas reglas
siempre que un usuario intente acceder a un recurso protegido.
Las convecciones de nombres de control de acceso son estructuras que se utilizan para
gobernar el acceso de los usuarios al sistema y la autorización que se les da para acceder o
utilizar los recursos del sistema, tales como ficheros, programas y terminales. Estas
convenciones generales de nombres son un requerimiento en un entorno informatizado para
establecer y mantener la responsabilidad individual y la segregación de funciones del
acceso a los datos. Las convenciones de nombres normalmente las establecen los
propietarios de los datos o de las aplicaciones con la ayuda del Jefe de Seguridad. Las
convenciones de nombres para los recursos de sistemas (conjuntos de datos, volúmenes,
programas, terminales, etc.) son un requisito importante para la administración eficiente de
los controles de seguridad. Por ejemplo, las convenciones de nombres se pueden
estructurar para que los recursos que comiencen con el mismo calificador se puedan
gobernar por una o más reglas genéricas en vez de reglas específicas para cada recurso.
Esto reduce el número de reglas requeridas para proteger los recursos adecuadamente,
facilitando los esfuerzos de administración y mantenimiento de la seguridad.

Controles sobre Virus:

Los virus de computador son una amenaza para cualquier tipo de computador. Los entornos
de redes de hoy en día son el medio ideal para propagar virus a todo un sistema. Hay dos
formas principales para prevenir y detectar virus: la primera es teniendo establecidas buenas
políticas y procedimientos; la segunda mediante medios técnicos que incluye el software
antivirus. Ninguna de ella es efectiva sin la otra.
Algunos de los controles que deben existir así como las políticas y procedimientos que
deben estar puestos en práctica son las siguientes:

 Construir cualquier sistema utilizando copias maestras originales y limpias.

 Arrancar solo con CDs originales siempre con la protección de escritura puesta.
 No permitir utilizar ningún disco hasta que haya sido analizado en una máquina
aislada que se utilice única y exclusivamente para este propósito y que no esté
conectada a la red.
 Actualizar el software antivirus frecuentemente
 Proteger de escritura todos los CDs con extensiones .EXE o .COM
 Hacer que los vendedores hagan las demostraciones en sus máquinas y no en las
de la organización.
 Reforzar la regla de no utilizar software compartido sin haber previamente analizado
en su totalidad dicho software
 El software comercial ocasionalmente lleva un Caballo de Troya (virus o gusano)-
Analizarlo antes de que sea instalado.
 Insistir que los técnicos analicen sus discos en una máquina de prueba antes de
utilizarlos en el sistema.
 Asegurar que el administrador de red utilice software antivirus de estaciones de
trabajo y de servidores.
 Crear un registro de arranque maestro que haga inaccesible el disco duro cuando se
arranque desde un CD. Esto asegura que el disco duro no pueda ser contaminado
por el CD.
  Considerar el cifrar los ficheros y descifrar antes de la ejecución.
 Asegurar que las actualizaciones de las pasarelas, encaminadores y gateways son
auténticas. Esta es una forma muy fácil de poner y esconder un Caballo de Troya.
 Los respaldos son un elemento vital en la estrategia antivirus. Asegurar que se tiene
un procedimiento de respaldo bueno y efectivo.
 Educar a los usuarios para que presten atención a estas políticas y procedimientos.
 Revisar las políticas y procedimientos antivirus al menos una vez al año.

Los medios técnicos de prevención de virus se pueden implementar por medios de hardware
y software. Hay cuatro tácticas de hardware para poder reducir el riesgo de infección:
1. Utilizar estaciones de trabajo sin discos.
2. Realizar el arranque de forma remota.
3. Utilizar contraseñas basadas en el hardware.
4. Utilizar la protección de escritura en los CDs.
Las herramientas software son las herramientas antivirus más comunes. El software
antivirus se debe utilizar primariamente como un control preventivo. A menos que se
actualice periódicamente el software antivirus no será una herramienta efectiva.
Hay tres tipos diferentes de software antivirus:

1. Escáneres buscan secuencias de bits que sean típicas en programas de virus,

examinan la memoria, los sectores de arranque en los discos, los ficheros
ejecutables y de mandatos para localizar patrones de bits que casen con los virus
conocidos.
2. Monitores activos interceptan las llamadas al DOS y a la BIOS (basic input output
system) buscando acciones de virus; no pueden distinguir entre una petición de
usuario o una petición de programa o de virus por lo que los usuarios tienen que
confirmar acciones como formatear un disco o borrar un fichero o conjunto de
ficheros.
3. Chequeadores de integridad calcula un número binario sobre un programa libre de
virus que se almacena en la base de datos. Al número se le llama chequeo de
redundancia cíclica (CRC – cyclical redundancy check-). Cuando se invoca la
ejecución del programa, el chequeador calcula el CRC del programa y lo compara
con el número almacenado en la base de datos. Si no hay coincidencia de ambos
números significa que el programa que se quiere ejecutar ha tenido un cambio y
esto puede significar que se ha introducido un virus en él. Los chequeadores de
integridad aprovechan la ventaja del hecho de que los programas ejecutables y los
sectores de arranque no cambian muy a menudo.

SEGURIDAD DEL ACCESO FÍSICO

La exposición a riesgos de acceso físico puede producir pérdidas financieras, repercusiones
legales, pérdida de credibilidad o pérdida de competitividad. Tienen causas de origen natural
o humanos y puede exponer el negocio al riesgo del acceso no autorizado.

Exposiciones de acceso físico:

Las exposiciones a riesgos debidas a violaciones accidentales o intencionadas de estas
rutas de acceso incluyen:

 Entrada no autorizada
 Daño a equipamiento y propiedad
 Vandalismo sobre equipamiento, propiedad y documentos
 Robo de equipamiento, propiedad o documentos
 Copiado o visualización de información sensible
 Alteración en equipamiento o de información de naturaleza sensible
 Divulgación de información sensible
 Abuso de confianza en la utilización de los recursos de proceso
  Extorsión
 Fraude

Otras cuestiones relevantes a considerar son las siguientes:

 ¿Las instalaciones de hardware están razonablemente protegidas de entradas no
autorizadas?
 ¿Las llaves de las instalaciones del computador están controladas de manera que
se reduzca el riesgo de acceso no autorizado?
 ¿Los terminales inteligentes del computador están anclados o resguardados para
evitar que se retiren tarjetas, chips o el mismo computador?
 ¿Se requiere autorización para poder retirar equipos informáticos de sus entornos
habituales?

Desde un punto de vista de SI, las funciones que se deben proteger son las siguientes:

 Área de Programación
 Sala del computador
 Consolas y terminales del operador
 Biblioteca en los soportes magnéticos de almacenamiento
 Salas de almacenamiento de consumibles
 Centro de almacenamiento de archivos de respaldo fuera de la sede
 Sala de control de entrada/salida
 Cuarto de conexiones de comunicaciones
 Equipos de telecomunicaciones (tanto radios, como satélites, cableado, módems,
etc.)
 Microcomputadores y computadores personales (PCs)
 Fuentes de energía eléctrica
 Lugares de eliminación de residuos
 Minicomputadores
 Líneas telefónicas dedicadas
 Unidades de control y procesadores frontales
 Equipos portátiles (escáneres de mano y dispositivos de codificación, lectores de
código de barras, PCs, impresoras, adaptadores para RALs de bolsillo y otros)
 Impresoras en ubicaciones locales o remotas
 Redes de área local.

Controles de acceso físico:

Los controles de acceso físico están diseñados para proteger a la organización ante
accesos no autorizados. Los controles físicos deben permitir el acceso físico solamente al
personal autorizado por la gerencia. Esta autorización puede ser explícita, como una puerta
con cerradura para la cual la gerencia ha dado la llave; o bien implícita, como un perfil de
puesto de trabajo que indique a que espacios físicos se puede acceder.

Algunos controles de acceso físico son los siguientes:

Puertas con cerrojo:
Son las cerraduras que requieren la llave metálica tradicional para su apertura. Las llaves
deben estar estampadas con la leyenda No duplicar.
Cerraduras con combinación:
Este sistema utiliza un teclado numérico o un dial numerado para la apertura. La
combinación se debe cambiar de forma periódica o toda vez que un empleado que tenga
acceso sea transferido, cesado o reciba sanciones disciplinarias.
Cerraduras electrónicas:
Este sistema utiliza una tarjeta magnética llave que se pasa por un lector de tarjetas para
poder entrar. El lector lee un código especial almacenado internamente en la tarjeta y
después activa el mecanismo de cerrojo de la puerta. Este sistema presenta las siguientes
ventajas respecto de las cerraduras de cerrojo o combinación:

 Se puede asociar la tarjeta a una persona e identificarla.

 Se pueden asignar restricciones respecto de determinadas puertas o
determinadas horas del día.
 Difíciles de duplicar.
 El acceso mediante la tarjeta se puede desactivar fácilmente en el caso de que se
cese en sus funciones al empleado, o que se pierda o robe la tarjeta.
 Se pueden activar automáticamente alarmas silenciosas o audibles si se intenta
una entrada no autorizada.

Se debe controlar cuidadosamente el proceso administrativo de la emisión, seguimiento de

su existencia y la recuperación de las tarjetas llave. Una tarjeta llave es un elemento
importante a recuperar en el caso de que un empleado deje la organización.
Cerraduras biométricas de puertas:
Estas cerraduras se activan con una característica corporal propia de una persona, tal como
voz, mapa de la retina, huella dactilar o firma. Este sistema se utiliza en casos en que se
deba proteger centros de altísima sensibilidad.
Entrada en un registro histórico: El registro histórico puede ser:

 Manual
Se debe exigir que todos los visitantes firmen un registro que indique su nombre y
apellido, organización a la que representan, razón de la visita y persona con la
que se entrevistan. Generalmente se hace en el puesto de recepción y entrada a
la sala del computador. Se debe exigir a los visitantes que presenten un medio de
verificación de la identidad.
 Electrónico
Esta es una función disponible en sistemas de seguridad electrónicos y
biométricos. Se pueden registrar automáticamente todos los accesos, remarcando
los intentos infructuosos.

Identificaciones con fotografía:

Todo el personal debe utilizar tarjetas de identificación. Las tarjetas de identificación de los
visitantes deben tener un color distinto de las de los empleados para que resulte más fácil su
identificación. Se pueden utilizar identificaciones sofisticadas con fotografía como tarjetas
llave. Se debe controlar cuidadosamente el proceso administrativo de la emisión,
seguimiento de su existencia y la recuperación de las tarjetas.
Cámaras de vídeo:
Las cámaras de vídeo se deben ubicar en puntos estratégicos y se deben monitorizar por
guardias de seguridad. Las cámaras de vídeo sofisticadas se activan con el movimiento. Se
deben conservar las grabaciones de la vigilancia por cámaras de vídeo para su posible
visualización futura.
Guardia de seguridad:
Los guardias de seguridad son muy útiles si se les complementa con cámaras de vídeo y
puertas cerradas. Deben existir garantías reales por los guardias para proteger de pérdidas
a la organización.
Acceso acompañado de visitantes:
Todos los visitantes deben estar acompañados siempre al menos por un empleado. Los
visitantes incluyen amigos, técnicos de reparaciones, proveedores de informática,
consultores, personal de mantenimiento y auditores externos.
Personal de mantenimiento:
El personal de los contratistas externos de servicios, tal como personal de limpieza y
servicios de almacenamiento externo, debe estar garantizados por medio de garantías
reales o seguros de caución. Ello no mejora la seguridad física, pero reduce la exposición a
riesgos financieros para la organización.
Puertas dobles de seguridad:
Las puertas dobles de seguridad, generalmente, se ponen en puntos de acceso a centros
con información altamente sensible como la sala del computador y ubicaciones de los
archivos y/o documento sensibles. Para que funcione la segunda puerta la primera debe
estar cerrada con cerrojo y sólo se permite la entrada a una sola persona en la zona
intermedia.
No dar visibilidad a la ubicación de los centros sensibles:
Los centros sensibles como la sala del computador no deben ser visibles o identificables
desde el exterior, es decir, sin ventanas o indicadores.
Cerrojos en terminales del computador:
Los cerrojos en los terminales pueden sujetar el dispositivo al escritorio o evitar que se
conecte el computador.
Punto único de entrada, controlado por recepcionista:
Todo el personal que entre debe hacerlo por un punto de entrada controlado.
Cuando hay demasiados lugares de entrada se incrementa el riesgo de entrada no
autorizada; por tanto la entrada se debe limitar a uno o dos puntos. Asimismo se deben
eliminar los puntos de entradas innecesarios o no utilizados o incorporarles un sistema de
puertas dobles combinadas.
Sistema de alarma:
Se debe conectar un sistema de alarma a los puntos de entrada inactivos, detectores de
movimiento en áreas resguardadas y detección de flujo inverso de tránsito de puertas de
solo entrada o solo salida. El personal de seguridad debe poder oír una alarma cuando se
active.
Carro de distribución de informes/documentos resguardado:
Los carros de reparto de correspondencia deben tener tapa y estar cerrados con llave o no
dejarse fuera de la vista de quién reparte los documentos.

SEGURIDAD DEL ENTORNO

Exposiciones del entorno:

Las exposiciones del entorno básicamente se producen por fenómenos naturales. Sin
embargo, con controles adecuados, se puede reducir la exposición a tales elementos.
Algunas causas de esta clase de exposiciones son las siguientes:

 Incendios, que pueden originarse dentro o fuera del centro de proceso de datos.
 Desastres naturales:
 Terremotos, volcanes, huracanes, tornados, etc.
 Inundación
 Fallo del suministro eléctrico
 Picos de tensión
 Fallo del sistema de aire acondicionado
 Cortocircuitos
 Fallos de equipos
 Daños por humedad
 Amenazas/ataques de bombas.

Otras cuestiones que atañen al entorno son:

 ¿La fuente de energía del computador está controlada adecuadamente para

asegurar que sólo varíe dentro del rango determinado por el fabricante?
 ¿Son adecuados los sistemas de control del aire acondicionado, humedad y
ventilación del computador para mantener la temperatura dentro del rango
especificado por el fabricante?
  ¿Está el computador protegido de los efectos de la electricidad estática, por
ejemplo con alfombras antiestáticas o con rocío antiestático?
 ¿Está el equipamiento protegido del polvo, humo y otras partículas como por
ejemplo, la comida?
 ¿Se prohíbe el consumo de comida, bebidas cigarrillos, por medio de una política,
alrededor del computador?
 ¿Los CDs y soportes magnéticos de respaldo están protegidos de: daño por
temperaturas extremas, efectos de los campos magnéticos o daño por humedad?

Controles para exposiciones del entorno:

Los controles del entorno reducen el riesgo de interrupción de la actividad del negocio
debido a un entorno afectado por factores ambientales adversos. Los controles del entorno
más típicos son:
Detectores de agua:
Se deben colocar detectores de agua en la sala del computador debajo del falso suelo y
cerca de los drenajes del piso, aunque la misma se encuentre en un piso elevado. Estas
alarmas no solo protegen al equipo, sino que también protegen al personal de cortocircuitos.
Cuando se activan los detectores deben producir una señal audible que pueda escuchar el
personal de seguridad y de control. La ubicación de los detectores de agua debe estar
marcada en el falso suelo de la sala del computador.
Extintores portátiles:
Se deben ubicar en posiciones estratégicas en todo el centro. Deben tener una etiqueta de
inspección, se deben revisar anualmente y deben indicar que sirven para extinguir incendios
de clase A, B o C.
Alarmas de incendio manual:
Deben existir alarmas de accionamiento manual en ubicaciones estratégicas en todo el
centro. El aviso de la alerta resultante debe estar conectado con un salón de guardia cuyo
personal debe ser supervisado de forma regular.
Detectores de humo:
Deben existir detectores de humo por debajo y por encima de los paneles del techo raso en
todo el centro y por debajo del falso suelo de la sala del computador. Los detectores deben
producir una señal audible cuando sean activados, deben estar conectados con el salón
central de guardia que debe ser supervisado de forma periódica (preferiblemente por el
departamento de bomberos). La ubicación de los detectores por encima de los paneles del
techo raso debe estar marcada para tener fácil acceso.
Sistemas de supresión de incendios:
Los sistemas de supresión de incendios están diseñados para que se activen en forma
automática cuando se detecte una fuente de gran calor, deben estar conectados con el
salón central de guardia y producir una señal audible cuando sean activados. Idealmente, el
sistema automáticamente debe accionar otros mecanismos para delimitar el área del
incendio. Ello incluye cierre de puertas ignífugas, aviso al departamento de bomberos, cierre
de conductos de ventilación y apagado de equipo eléctrico no esencial. Asimismo, el sistema
debe estar segmentado de manera que un incendio en una gran instalación no active a todo
el sistema. Existen diversos medios para la supresión de incendios, entre los cuales los más
usuales son:

 Agua: Los sistemas en base a agua generalmente se denominan rociadores. Son

eficaces pero no son muy buenos pues dañan los equipos y otros bienes. El
sistema puede ser de cañerías secas (el agua se almacena en receptáculos y se
libera al sistema de cañerías sólo cuando se activa) o estar cargado (con agua en
las cañerías). Un sistema cargado es más fiable, pero tiene la desventaja de que
expone a la instalación a grandes daños por agua por cañerías rotas o con
pérdidas.
 Halón 1301: Los sistemas a base de Halón liberan gas a alta presión para quitar el
oxígeno del aire, con lo que se impide la combustión. El Halón es mejor que el
 agua ya que no daña al equipo. Debe existir una señal de alarma audible y una
breve demora antes de que se inunde con este gas para que el personal pueda
evacuar el área y le dé tiempo a interrumpir el proceso y desconectar los equipos.
Debido a sus efectos perjudiciales sobre la capa de ozono.

Ubicación estratégica de la sala del computador:

Para reducir los riesgos de inundaciones la sala del computador no debe estar en los
subsuelos o sótanos del edificio. En un edificio de varios pisos, los estudios indican que la
mejor ubicación que reduce los riesgos de fuego, humo y daño por agua para la sala del
computador son los pisos 3, 4, 5 o 6.

Inspección periódica por parte de expertos del departamento de bomberos:

Para asegurar que todos los sistemas de detección de incendios cumplen con los códigos
de edificación, el departamento de bomberos debe inspeccionar el sistema y las
instalaciones anualmente.

Paredes, pisos y techos rasos incombustibles alrededor de la sala del computador:

Las paredes que rodean la instalación de proceso de datos deben acotar o bloquear la
extensión del incendio. Las paredes que rodean la instalación deben tener una capacidad
probada de resistir el fuego por lo menos dos horas.

Provisión ininterrumpible de energía:

Un sistema de alimentación ininterrumpida (SAI) incluye un generador, a batería o
combustible, que hace de interfaz entre la línea eléctrica que entra a la instalación y la
conexión que da energía al computador. El sistema generalmente limpia la energía a fin de
que la potencia de la corriente al computador sea uniforme. En caso de que se interrumpa la
energía, el SAI continúa suministrando al computador corriente desde el generador durante
cierto tiempo.

Protectores de picos de tensión:

Estos aparatos reducen el riesgo de daños al equipo por picos de tensión. Utilizan
reguladores de voltaje que miden la corriente que llega y bien aumentan o disminuyen la
carga para mantener una corriente constante. Por lo general están incorporados en los SAIs.

Llave de desconexión de emergencia:

Son necesarias dos llaves de desconexión una en la sala del computador y la otra cerca,
pero fuera de la misma, a fin de desconectar de inmediato la energía al computador y los
dispositivos periféricos. Deben estar claramente identificadas y ser de fácil acceso.

Conexiones a dos líneas de suministro de electricidad:

Las conexiones que llegan a la instalación del computador están expuestas a diversos
peligros ambientales: agua, incendio, rayos, corte accidental, etc. Para reducir el riesgo de
interrupciones por esas causas, la instalación debe estar alimentada por líneas redundantes.
De esa manera, la interrupción de una línea no afecta de manera adversa a la provisión de
electricidad.

Cableado ubicado en paneles y cañerías para electricidad:

Para reducir el riesgo de que ocurra un incendio y se extienda, el cableado eléctrico debe
estar empotrado y en cañerías a prueba de fuego.

Prohibición de comer, beber y fumar dentro del Centro de Proceso de Datos:

Se deben desterrar del centro de proceso de datos los alimentos, bebidas y el tabaco que
pueden provocar incendios, acumulación de contaminantes o dañar el equipo de naturaleza
sensible. La prohibición debe estar visible.

Equipamiento de oficinas resistentes al fuego:

Las papeleras, cortinajes, escritorios, armarios y otro equipamiento deben ser resistentes al
fuego o no inflamables.
Planes de evacuación de emergencia documentados y probados:
Los planes de evacuación deben hacer hincapié en la seguridad de las personas, pero no
deben dejar a las instalaciones de proceso de información sin resguardos.

PERMISOS Y LICENCIAS
El término licencia según la Real Academia de la Lengua, tiene 7 definiciones, las cuales
solo utilizaremos 2:

1. Permiso para hacer algo.

2. Abusiva libertad en decir u obrar.

Así que determinamos una Licencia al “permiso que tenemos para realizar algún acto o
acción, así como para decir u obrar con la autorización de otra persona”
Una licencia de software (en inglés software license) es la autorización o permiso concedido
por el titular del derecho de autor, en cualquier forma contractual, al usuario de un programa
informático, para utilizar éste en una forma determinada y de conformidad con unas
condiciones convenidas.
La licencia, que puede ser gratuita u onerosa, precisa los derechos (de uso, modificación o
redistribución) concedidos a la persona autorizada y sus límites. Además, puede señalar el
plazo de duración, el territorio de aplicación y todas las demás cláusulas que el titular del
derecho de autor establezca.

DERECHO DE AUTOR (Copyright)

Es un conjunto de normas y principios que regulan los derechos morales y patrimoniales
que la ley concede a los autores (los derechos de autor), por el solo hecho de la creación
de una obra literaria, artística o científica – tecnológica (programas informáticos), tanto
publicada o que todavía no se haya publicado y que están protegidos por las leyes de
derechos de autor.

TIPOS DE LICENCIAS DE SOFTWARE

Los tipos de licencias básicamente pueden ser tres:
1. Licencia de Software libre
Software libre (en inglés free software) es el software que, una vez obtenido, puede ser
usado, copiado, estudiado, modificado y redistribuido libremente.
El software libre suele estar disponible gratuitamente, pero no hay que asociar software
libre a software gratuito, o a precio del costo de la distribución a través de otros medios;
sin embargo no es obligatorio que sea así y, aunque conserve su carácter de libre,
puede ser vendido comercialmente.
Análogamente, el software gratis o gratuito (denominado usualmente freeware) incluye
en algunas ocasiones el código fuente; sin embargo, este tipo de software no es libre en
el mismo sentido que el software libre, al menos que se garanticen los derechos de
modificación y redistribución de dichas versiones modificadas del programa, como se
estipula en protección heredada. Las licencias de software libre son:

a) Sin protección heredada

Hablamos de obra derivada ante cualquier transformación de una obra anterior. Se
puede crear una obra derivada sin que esta tenga obligación de protección alguna.
Muchas licencias pertenecen a esta clase, aunque por lo general pueden resumirse
en lo establecido por las licencias BSD, Artistic o del MIT.
 Por Ejemplo, un programa de computador obtenido mediante la modificación de un
programa anterior es una obra derivada.

b) Con protección heredada

Algunas restricciones se aplican a las obras derivadas. La licencia emblemática de
este apartado es la GNU GPL, aunque entran varias tan distintas como: Mozilla
Public License, Sun Community Source License, y muchas más.

Libertades del Software libre:

De acuerdo con tal definición, el software es "libre" si garantiza las siguientes libertades:
1. "libertad 0", ejecutar el programa con cualquier propósito (privado, educativo,
público, comercial, etc.)
2. "libertad 1", estudiar y modificar el programa (para lo cual es necesario poder
acceder al código fuente)
3. "libertad 2", copiar el programa de manera que se pueda ayudar a cualquier
persona o entidad
4. "libertad 3", Mejorar el programa y publicar las mejoras

2. Licencia de Software semilibre

El software semilibre, (semi-free en inglés), es una categoría de programas informáticos
que no son libres, pero que vienen con autorización de uso, copia, modificación y
redistribución (incluso de versiones modificadas) sin fines de lucro (PGP sería un
ejemplo de un programa semilibre).
Según la Fundación para el Software Libre (FSF), el software semilibre es mucho mejor
que el software no libre, pero aún plantea problemas y no podría ser usado en un
sistema operativo libre.
Por ejemplo, la distribución comercial de sistemas operativos libres, incluyendo
Sistemas GNU/Linux, es muy importante, y los usuarios aprecian el poder disponer de
distribuciones comerciales en CD-ROM. Incluir un programa semilibre en un sistema
operativo impediría su distribución comercial en CD-ROM.

3. Licencia de Software no libre

Se protege contra uso, copia o redistribución. (También llamado software propietario,
software privativo, software privado y software con propietario) se refiere a cualquier
programa informático en el que los usuarios tienen limitadas las posibilidades de usarlo,
modificarlo o redistribuirlo (con o sin modificaciones), o que su código fuente no está
disponible o el acceso a éste se encuentra restringido.
En el software no libre una persona física o jurídica (compañía, corporación, fundación,
etc.) posee los derechos de autor sobre un software negando o no otorgando, al mismo
tiempo, los derechos de usar el programa con cualquier propósito; de estudiar cómo
funciona el programa y adaptarlo a las propias necesidades (donde el acceso al código
fuente es una condición previa); de distribuir copias; o de mejorar el programa y hacer
públicas las mejoras (para esto el acceso al código fuente es un requisito previo).
De esta manera, un software sigue siendo no libre aún si el código fuente es hecho
público, cuando se mantiene la reserva de derechos sobre el uso, modificación o
distribución.