DEFINICIÓN DE UNA POLÍTICA DE SEGURIDAD EN COMPUTACIÓN.

  

LIMITACIONES DE SEGURIDAD .

No existe una seguridad total y cada instrucción  depende de su personal para lograr los niveles de seguridad requeridos. Así, la Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

CUANTIFICACIÓN DE LOS RIESGOS PARA LA SEGURIDAD EN COMPUTACIÓN

Los sistemas de información computarizados son vulnerables a una diversidad de amenazas y atentados por parte de:

Personas tanto internas como externas de la organización.

Desastres naturales.

Por servicios, suministros y trabajos no confiables e imperfectos.

Por la incompetencia y las deficiencias cotidianas.

Por el abuso en el manejo de los sistemas informáticos.

Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las actividades de cómputos.

Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta hasta ahora la organización, aunque también hay algunas entidades que están haciendo un trabajo prominente en asegurar sus sistemas informáticos.

Es fundamental que los directivos de las organizaciones que no se han ocupado lo suficiente en implementar un estricto sistema de seguridad se preocupen en:

Reconocer la necesidad de establecer normas de seguridad para los datos, políticas, normas y directrices. Comprender que el papel que desempeñan en la organización, esta relacionado con la seguridad del ciclo de vida del sistema de información. Establecer una planificación formalizada para la seguridad informática. Gestionar los medios necesarios para administrar correctamente la función de la seguridad informática. Hasta que la sección directiva de la compañía no tome conciencia de esto y no lo lleve a la practica, seguirán completamente abiertas las puertas y ventanas de sus sistemas informáticos. Seguidamente veremos otros riesgos que afectan a la protección informática puesto que aumentan los puntos de vulnerabilidad de los sistemas

SEGURIDAD FÍSICA Y CONTRA INCENDIOS.

Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas.

Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputos.

Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cómputos son:

•             El área en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable.

•             El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas.

•             Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.

•             Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego.

•             No debe estar permitido fumar en el área de proceso.

•             Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables.

•             El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

Seguridad del Equipamiento

Es necesario proteger los equipos de cómputo instalándolos en áreas en las cuales el acceso a los mismos sólo sea para personal autorizado. Además, es necesario que estas áreas cuenten con los mecanismos de ventilación y detección de incendios adecuados.

Para protegerlos se debe tener en cuenta que:

•             La temperatura no debe sobrepasar los 18º C y el limite de humedad no debe superar el 65% para evitar el deterioro.

•             Los centros de cómputos deben estar provistos de equipo para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito.

•             Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

1.            Utilización de Guardias .

Control de Personas

El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal.

A cualquier personal ajeno a la planta se le solicitará completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.

El uso de credenciales de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.

En este caso la persona se identifica por algo que posee, por ejemplo una tarjeta de identificación. Cada una de ellas tiene un PIN (Personal Identification Number) único, siendo este el que se almacena en una base de datos para su posterior seguimiento, si fuera necesario. Su mayor desventaja es que estas tarjetas pueden ser copiadas, robadas, etc., permitiendo ingresar a cualquier persona que la posea.

Estas credenciales se pueden clasificar de la siguiente manera:

•             Normal o definitiva: para el personal permanente de planta.

•             Temporaria: para personal recién ingresado.

•             Contratistas: personas ajenas a la empresa, que por razones de servicio deben ingresar a la misma.

•             Visitas.

Las personas también pueden acceder mediante algo que saben (por ejemplo un número de identificación o una password) que se solicitará a su ingreso. Al igual que el caso de las tarjetas de identificación los datos ingresados se contrastarán contra una base donde se almacena los datos de las personas autorizadas. Este sistema tiene la desventaja que generalmente se eligen identificaciones sencillas, bien se olvidan dichas identificaciones o incluso las bases de datos pueden verse alteradas o robadas por personas no autorizadas.

Control de Vehículos

Para controlar el ingreso y egreso de vehículos, el personal de vigilancia debe asentar en una planilla los datos personales de los ocupantes del vehículo, la marca y patente del mismo, y la hora de ingreso y egreso de la empresa.

Desventajas de la Utilización de Guardias

La principal desventaja de la aplicación de personal de guardia es que éste puede llegar a ser sobornado por un tercero para lograr el acceso a sectores donde no esté habilitado, como así también para poder ingresar o egresar de la planta con materiales no autorizados. Esta situación de soborno es muy frecuente, por lo que es recomendable la utilización de sistemas biométricos para el control de accesos.

2.           

3.            Utilización de Detectores de Metales

El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.

La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.

La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.

4.            Utilización de Sistemas Biométricos

5.            Verificación Automática de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas.

Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud.

La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir.

La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada.

El equipamiento de colección de firmas es inherentemente de bajo costo y robusto.

Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata.

6.            Seguridad con Animales

Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.

Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.

7.            Protección Electrónica.

Barreras Infrarrojas y de Micro-Ondas

Transmiten y reciben haces de luces infrarrojas y de micro-ondas respectivamente. Se codifican por medio de pulsos con el fin de evadir los intentos de sabotaje. Estas barreras están compuestas por un transmisor y un receptor de igual tamaño y apariencia externa.

Cuando el haz es interrumpido, se activa el sistema de alarma, y luego vuelve al estado de alerta. Estas barreras son inmunes a fenómenos aleatorios como calefacción, luz ambiental, vibraciones, movimientos de masas de aire, etc.

Las invisibles barreras fotoeléctricas pueden llegar a cubrir áreas de hasta 150 metros de longitud (distancias exteriores). Pueden reflejar sus rayos por medio de espejos infrarrojos con el fin de cubrir con una misma barrera diferentes sectores.

Las micro-ondas son ondas de radio de frecuencia muy elevada. Esto permite que el sensor opere con señales de muy bajo nivel sin ser afectado por otras emisiones de radio, ya que están muy alejadas en frecuencia.

Debido a que estos detectores no utilizan aire como medio de propagación, poseen la ventaja de no ser afectados por turbulencias de aire o sonidos muy fuertes.

Otra ventaja importante es la capacidad de atravesar ciertos materiales como son el vidrio, lana de vidrio, plástico, tabiques de madera, revoques sobre madera, mampostería y hormigón.

Detector Ultrasónico

Este equipo utiliza ultrasonidos para crear un campo de ondas. De esta manera, cualquier movimiento que realice un cuerpo dentro del espacio protegido, generará una perturbación en dicho campo que accionará la alarma. Este sistema posee un circuito refinado que elimina las falsas alarmas. La cobertura de este sistema puede llegar a un máximo de 40 metros cuadrados.

Detectores Pasivos Sin Alimentación

Estos elementos no requieren alimentación extra de ningún tipo, sólo van conectados a la central de control de alarmas para mandar la información de control. Los siguientes están incluidos dentro de este tipo de detectores:

•             Detector de aberturas: contactos magnéticos externos o de embutir.

•             Detector de roturas de vidrios: inmune a falsas alarmas provocadas por sonidos de baja frecuencia; sensibilidad regulable.

•             Detector de vibraciones: detecta golpes o manipulaciones extrañas sobre la superficie controlada.

Sonorización y Dispositivos Luminosos

Dentro de los elementos de sonorización se encuentran las sirenas, campanas, timbres, etc. Algunos dispositivos luminosos son los faros rotativos, las balizas, las luces intermitentes, etc.

Estos deben estar colocados de modo que sean efectivamente oídos o vistos por aquellos a quienes están dirigidos. Los elementos de sonorización deben estar bien identificados para poder determinar rápidamente si el estado de alarma es de robo, intrusión, asalto o aviso de incendio.

Se pueden usar transmisores de radio a corto alcance para las instalaciones de alarmas locales. Los sensores se conectan a un transmisor que envía la señal de radio a un receptor conectado a la central de control de alarmas encargada de procesar la información recibida.

Circuitos Cerrados de Televisión

Permiten el control de todo lo que sucede en la planta según lo captado por las cámaras estratégicamente colocadas. Los monitores de estos circuitos deben estar ubicados en un sector de alta seguridad. Las cámaras pueden estar a la vista (para ser utilizada como medida disuasiva) u ocultas (para evitar que el intruso sepa que está siendo captado por el personal de seguridad).

Todos los elementos anteriormente descriptos poseen un control contra sabotaje, de manera que si en algún momento se corta la alimentación o se produce la rotura de alguno de sus componentes, se enviará una señal a la central de alarma para que ésta accione los elementos de señalización correspondientes.

 Incendios.

Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que puede destruir fácilmente los archivos de información y programas.

Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputos.

Los diversos factores a contemplar para reducir los riesgos de incendio a los que se encuentra sometido un centro de cómputos son:

•             El área en la que se encuentran las computadoras debe estar en un local que no sea combustible o inflamable.

•             El local no debe situarse encima, debajo o adyacente a áreas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases tóxicos o sustancias radioactivas.

•             Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.

•             Debe construirse un "falso piso" instalado sobre el piso real, con materiales incombustibles y resistentes al fuego.

•             No debe estar permitido fumar en el área de proceso.

•             Deben emplearse muebles incombustibles, y cestos metálicos para papeles. Deben evitarse los materiales plásticos e inflamables.

•             El piso y el techo en el recinto del centro de cómputo y de almacenamiento de los medios magnéticos deben ser impermeables.

Seguridad del Equipamiento

Es necesario proteger los equipos de cómputo instalándolos en áreas en las cuales el acceso a los mismos sólo sea para personal autorizado. Además, es necesario que estas áreas cuenten con los mecanismos de ventilación y detección de incendios adecuados.

Para protegerlos se debe tener en cuenta que:

•             La temperatura no debe sobrepasar los 18º C y el limite de humedad no debe superar el 65% para evitar el deterioro.

•             Los centros de cómputos deben estar provistos de equipo para la extinción de incendios en relación al grado de riesgo y la clase de fuego que sea posible en ese ámbito.

•             Deben instalarse extintores manuales (portátiles) y/o automáticos (rociadores).

Recomendaciones

El personal designado para usar extinguidores de fuego debe ser entrenado en su uso.

Si hay sistemas de detección de fuego que activan el sistema de extinción, todo el personal de esa área debe estar entrenado para no interferir con este proceso automático.

Implementar paredes protectoras de fuego alrededor de las áreas que se desea proteger del incendio que podría originarse en las áreas adyacentes.

Proteger el sistema contra daños causados por el humo. Este, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy dañino y requiere una lenta y costosa operación de limpieza.

Mantener procedimientos planeados para recibir y almacenar abastecimientos de papel.

Suministrar información, del centro de computo, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios.

ACCESO NO AUTORIZADO A EQUIPOS DE CÓMPUTO Y DE TELECOMUNICACIONES.

Es habitual observar en los entornos corporativos cómo los usuarios se levantan de su puesto de trabajo por cualquier circunstancia, dejando la sesión abierta. Esta manera de actuar puede representar un grave riesgo de seguridad, tanto para las empresas como para los propios usuarios. De acuerdo a la consultora, un número significativo de accesos no autorizados ocurren cuando alguien se sienta ante la sesión abierta del ordenador de otro usuario. Los PCS desatendidos facilitan -entre otras acciones- el acceso a datos sensibles y el envío de correos falsos. Como vemos pues todas estas acciones que vemos son:

Acceso no autorizado a sistemas de información

Acceso no autorizado a equipo de computo

Acceso no autorizado a equipo de telecomunicaciones

Robo de equipo de computo y telecomunicaciones El cual, cómo se explica en el mapa conceptual se dice el problema, después se dice cómo funciona o lo que significa y después para concluir se explica la sanción que se aplica para el que comete cierto delito. Para concluir con esta actividad se me hace muy importante e interesante como técnicos informáticos saber cuáles son las sanciones que se aplican al realizar este tipo de cosas y así pues prevenirnos y actuar como marca la ley.

ACCESO NO AUTORIZADO A EQUIPOS DE CÓMPUTO Y DE TELECOMUNICACIONES

Debido a la gran afluencia de las redes a Internet, se presentan diversos problemas como son:

· El Internet expone las computadoras conectadas a muchos programas destructivos.

· Las pérdidas de corporaciones, debido a ataques computacionales, se han incrementado.

· Las computadoras conectadas a Internet, tienen más riesgos que las que están conectadas internamente o privadamente.

Legislación Informática en México

Fraude mediante el uso de la computadora y la manipulación de la información que éstas contienen.

Artículo 231 del Código Penal para el D.F.

“Se impondrán las penas previstas en el artículo anterior, a quien: ... XIV. Para obtener algún beneficio para sí o para un tercero, por cualquier medio accese, entre o se introduzca a los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la Institución...”

Código Penal Federal, artículos 211 bis 1 a 211 bis 7.

Código Penal Federal, artículos 211 bis 1 a 211 bis 7.

CONDUCTA	PENA
Destruir información sin autorización Si se trata de sistemas o equipos del Estado Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero	6 meses a 2 años prisión, 100 a 300 días multa 1 a 4 años y 200 a 600 días multa 6 meses a 4 años prisión, 100 a 600 días multa
Conocer o copiar información sin autorización Si se trata de sistemas o equipos del Estado Si se trata de sistemas o equipos de las instituciones que integran el sistema financiero	3 meses a 1 año prisión, 50 a 150 días multa 6 meses a 2 años prisión ,100 a 300 días multa 3 meses a 2 años prisión, 50 a 300 días multa

Ley Federal de Telecomunicaciones

Esta tiene por objeto regular el uso, aprovechamiento y explotación del espectro radioeléctrico, de las redes de telecomunicaciones, y de la comunicación vía satélite.

LA LEGISLACION Y LA NORMATIVIDAD ACTUAL RELATIVA AL EQUIPO (HARDWARE)

Referente a la adquisición de equipo

De acuerdo al Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración Pública Federal del 4 diciembre de 2006:

Art. 21 Frac.I, La contratación de las TICs deberá realizarse de forma consolidada la prestación de servicios de cómputo que incluyan, como mínimo, la obligación de los proveedores de proporcionar los equipos correspondientes y brindar los servicios de asistencia técnica, mantenimiento y reemplazo de dichos equipos

Por Tecnologías de la Información y Comunicaciones se entienden redes, Internet, computadoras, sistemas por desarrollar o mantener, paquetería de software, impresoras, escanners, telefonía, videoconferencia y bienes informáticos en general.

 Equipos de cómputo de exportación

Desde 1992 el Gobierno de México decidió que era conveniente para el país que la industria de equipo de cómputo fuera liberalizada completamente no sólo con EE. UU. y Canadá, sino con todos los países, ya que por su grado de globalización no podrían producirse todos los tipos de equipos de cómputo y menos aún todos sus componentes en México, como no sucede en ningún país del mundo.

 La responsabilidad.

ART.2.- I. Por cada equipo de cómputo, habrá un servidor público responsable, quién deberá observar las disposiciones de esta normatividad, auxiliado por el administrador de la unidad informática, quién a su vez es responsable directo, de todos los bienes informáticos que por función le corresponda administrar; Tanto los responsables como los administradores de unidades informáticas, deberán verificar los equipos de cómputo con objeto de constatar el cumplimiento escrupuloso la normatividad establecida en el presente acuerdo y la legislación aplicable.

Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización de un respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.

Las políticas deberán basarse en los siguientes pasos:

• Identificar y seleccionar lo que se debe proteger (Información sensible).

• Establecer niveles de prioridad e importancia sobre esta Información.

• Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles.

• Identificar las amenazas, así como los niveles de vulnerabilidad de la red.

• Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla.

• Implementar respuesta a incidentes y recuperación para disminuir el impacto.

Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de

acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.

 Robo de equipo de cómputo

En la red hay noticias que hablan del robo de equipos de cómputo , lo cual se podría tomar como algo natural y sin importancia, pero regularmente los equipos de cómputo robados son noticia cuando contienen información confidencial de miles de usuarios, datos sobre proyectos importantes, información de las empresas, entre otros datos críticos.

Art. 19. El usuario es directamente responsable del uso que se le dé al equipo de cómputo, software y/o periféricos asignados para el desarrollo de sus actividades, así como de dar aviso inmediato al:

I. Enlace Informático de los equipos de cómputo, software o periféricos que sufran algún deterioro, extravío o robo, y

II. Al Coordinador Administrativo al cambiar de adscripción o dejar de prestar sus servicios en la Secretaría, entregando los equipos de cómputo, software o periféricos que estén consignados en el vale de resguardo correspondiente.

· Norma para la seguridad contra robos de equipos de computo gubernamentales

1. Todo el equipo de cómputo (computadoras, estaciones de trabajo y equipo accesorio), que esté o sea conectado a la Red del GDF y que sea propiedad del Gobierno debe sujetarse a las normas y procedimientos de instalación que emite el Comité de Informática.

2. El equipo requiere estar ubicado en una área que cumpla con los requerimientos de:

3. Seguridad física: Tanto para el equipo como para el usuario.

4. Condiciones ambientales: Condiciones climáticas adecuadas para no afectar al equipo.

5. Alimentación eléctrica: Garantizar la continuidad de la energía eléctrica.

6. Cumpla con los lineamientos y estándares aceptados por el Comité de Informática.

7. La protección física de los equipos corresponde a quienes en un principio se les asigna, y se deben notificar los movimientos en caso de que existan, a las autoridades correspondientes.

8. En caso de que el equipo se encuentre en un lugar distinto con respecto al resguardo de la persona que lo tiene, éste deberá ser responsabilidad del área de trabajo en donde se encuentra el equipo en comento.

9. La seguridad física del equipo contra robo, siniestro o cualquier eventualidad, será responsabilidad del personal de seguridad del inmueble.

10. En las áreas donde la información se considera de vital importancia, las unidades removibles deberán estar aseguradas físicamente.

11. Los equipos móviles (laptops, computadoras de mano, celulares, etc...), son responsabilidad de quien las porta.


referencias: http://esc-caro.blogspot.com/2007/12/legislacion-informatica.html