SEGURIDAD

Qu entendemos por seguridad?

Podemos entender como seguridad una caracterstica de cualquier sistema (informtico o
no) que nos indica que ese sistema est libre de todo peligro, dao o riesgo, y que es, en
cierta manera, infalible.
Es muy difcil de conseguir seguridad total, por lo que podemos hablar de fiabilidad
(probabilidad de que un sistema se comporte tal y como se espera de l). Se habla de
sistemas fiables en lugar de hacerlo de sistemas seguros.
Un sistema seguro (o fiable) consiste bsicamente en garantizar cuatro aspectos:

a) Confidencialidad: La informacin slo debe ser conocida por los usuarios,

entidades o procesos autorizados en el tiempo y forma previstos. Podemos indicar
que cuando la informacin hace referencia a datos de carcter personal, se podra
denominar privacidad, aunque ste trmino nos indica que el individuo tiene
derecho a controlar la recogida y almacenamiento de los datos.
b) Integridad: La informacin solo debe ser alterada o modificada por los usuarios
autorizados y registrada para posteriores controles o auditorias. La informacin
debe ser exacta y completa. Garantizar que los datos sean lo que se suponen que
son.
c) Disponibilidad: Los usuarios deben poder acceder a la informacin en el tiempo
y la forma autorizada. Esto requiere que la informacin se mantenga correctamente
almacenada.
d) Autenticacin: Asegurar que solo los individuos autorizados tengan acceso a
los recursos.
Qu queremos proteger?
En cualquier sistema informtico existen generalmente tres elementos principales a
proteger, que son el software, el hardware y los datos.
a) Hardware
Por hardware entendemos el conjunto formado por todos los elementos fsicos de
un sistema informtico, como los CPUs y sus componentes, terminales, cableado,
medios de almacenamiento secundario como cintas, CD-ROMs o disquetes. El

valor aadido que tiene el hardware es que si alguien sustrae un CPU, se llevar
consigo adems todos los datos que contenga su disco duro.
b) Software
El software es el conjunto de programas lgicos que hacen funcional al hardware,
tanto sistemas operativos como aplicaciones.
c) Datos
Por datos entendemos el conjunto de informacin dispuesta de manera adecuada
para su tratamiento que manejan el software y el hardware, como por ejemplo
entradas de una base de datos, paquetes que circulan por un cable de red o
proyectos o informes desarrollados por la entidad.

SEGURIDAD FSICA
Introduccin
Cuando hablamos de seguridad fsica nos referimos a todos aquellos mecanismos
generalmente de prevencin y deteccin destinados a proteger fsicamente cualquier
recurso del sistema.
La seguridad fsica es un aspecto olvidado con demasiada frecuencia a la hora de hablar
de seguridad informtica en general; en muchas organizaciones se suelen tomar medidas
para prevenir o detectar accesos no autorizados o negaciones de servicio, pero rara vez
para prevenir la accin de un atacante que intenta acceder fsicamente a la sala de
operaciones o al lugar donde se depositan las impresiones del sistema.
Esto motiva que en determinadas situaciones un atacante se decline por aprovechar
vulnerabilidades fsicas en lugar de lgicas, ya que posiblemente le sea ms fcil robar
una copia con una imagen completa del sistema que intentar acceder a l mediante fallos
en el software.

Definicin
La seguridad fsica consiste en la aplicacin de barreras fsicas, y procedimientos de
control como medidas de prevencin y contra medidas ante amenazas a los recursos y la
informacin confidencial, se refiere a los controles y mecanismos de seguridad dentro y
alrededor de la obligacin fsica de los sistemas informticos as como los medios de
acceso remoto al y desde el mismo, implementados para proteger el hardware y medios
de almacenamiento de datos. Cada sistema es nico, por lo tanto la poltica de seguridad

a implementar no ser nica es por ello siempre se recomendara pautas de aplicacin

general y no procedimientos especficos.

PROTECCION DE HARDWARE
El hardware es frecuentemente el elemento ms caro de todo sistema informtico y por
tanto las medidas encaminadas a asegurar su integridad son una parte importante de la
seguridad fsica de cualquier organizacin.

FACTORES QUE AFECTAN LA SEGURIDAD FISICA

Las principales amenazas que se prevn en la seguridad fsica son:

Amenazas ocasionadas por el hombre.

Desastres naturales, incendios accidentales tormentas e inundaciones, etc.

Alteraciones del Entorno.

AMENAZAS OCASIONADAS POR EL HOMBRE

-

Robo
Las computadoras son posesiones valiosas de las empresas y estn expuestas, de
la misma forma que lo estn las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para
realizar trabajos privados o para otras organizaciones y, de esta manera, robar
tiempo de mquina.
La informacin importante o confidencial puede ser fcilmente copiada. Muchas

empresas invierten millones de dlares en programas y archivos de informacin, a

los que dan menor proteccin que la que otorgan a una mquina de escribir o una
calculadora.
El software, es una propiedad muy fcilmente sustrable y las cintas y discos son
fcilmente copiados sin dejar ningn rastro.
Fraude
Cada ao, millones de dlares son sustrados de empresas y, en muchas
ocasiones, las computadoras han sido utilizadas como instrumento para dichos
fines.

Sabotaje
El peligro ms temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la proteccin contra el saboteador es uno de los retos ms
duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Ejemplos:
Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una
ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en
el interior de su funda de proteccin. Una habitacin llena de cintas puede ser
destruida en pocos minutos y los centros de procesamiento de datos pueden ser
destruidos sin entrar en ellos.
Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las lneas de comunicaciones y elctricas
pueden ser cortadas, etc.

Prevencin y deteccin

Para evitar este tipo de problemas deberemos implantar mecanismos de prevencin

(control de acceso a los recursos) y de deteccin (si un mecanismo de prevencin falla o
no existe debemos al menos detectar los accesos no autorizados cuanto antes).
Para la prevencin hay soluciones para todos los gustos y de todos los precios:

analizadores de retina,

tarjetas inteligentes,

videocmaras,

vigilantes jurados.

DESASTRES NATURALES
Los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los
contemplamos en nuestra poltica de seguridad y su implantacin.

Incendios
A los ordenadores no les sienta nada bien el fuego, por lo cual, el lugar donde
estn situados fsicamente tenga detectores de humo para que en caso de
incendio, adems de avisar arranque un sistema de extincin de incendios.

Inundaciones
Esta es una de las causas de mayores desastres en los sistemas informticos.

Adems de las causas naturales de inundaciones, puede existir la posibilidad de

una inundacin provocada por la necesidad de apagar un incendio en un piso
superior.
Para evitar este inconveniente se puede tomar las siguientes medidas. Construir
techos - habitaciones impermeables y acondicionar las puertas para contener el
agua.

Tormentas Elctricas
Las tormentas elctricas y los aparatos elctricos, generan subidas sbitas de
tensin infinitamente superiores a las que pueda generar un problema en la red
elctrica.

Terremotos
Poco probables en Ecuador pero que pueden ocasionar perdidas extremadamente
grandes.

ALTERACIONES DEL ENTORNO

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a
nuestros sistemas que tendremos que conocer e intentar controlar.
-

Electricidad
Quizs los problemas derivados del entorno de trabajo ms frecuentes son los
relacionados con el sistema elctrico que alimenta nuestros equipos; cortocircuitos,
picos de tensin, cortes de flujo.
Para corregir los problemas con las subidas de tensin podremos instalar tomas de
tierra o filtros reguladores de tensin.
Para los cortes podemos emplear Sistemas de Alimentacin Ininterrumpida (SAI),
que adems de proteger ante cortes mantienen el flujo de corriente constante,
evitando las subidas y bajadas de tensin.

Ruido Elctrico
Interferencias de alta frecuencia causada por radiofrecuencia o interferencias
electromagnticas, pueden ser causadas por transmisores, mquinas de soldar,
impresoras, relmpagos,.... Introduce errores en los programas y archivos as
como daos a los componentes electrnicos.

Temperaturas Extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya
sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos.
En general es recomendable que los equipos operen entre 10 y 32 grados Celsius.
Para controlar la temperatura emplearemos aparatos de aire acondicionado.

Entre otras alteraciones del entorno tenemos: HUMO, POLVO, EXPLOSIONES,

INSECTOS.

PROTECCION DE DATOS
Adems proteger el hardware nuestra poltica de seguridad debe incluir medidas de
proteccin de los datos, ya que en realidad la mayora de ataques tienen como objetivo la
obtencin de informacin, no la destruccin del medio fsico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la
transmisin y almacenamiento de datos, proponiendo medidas para reducir el riesgo.

COPIAS DE SEGURIDAD
Es evidente que es necesario establecer una poltica adecuada de copias de
seguridad en cualquier organizacin; al igual que sucede con el resto de equipos y
sistemas, los medios donde residen estas copias tendrn que estar protegidos
fsicamente; de hecho quizs deberamos de emplear medidas ms fuertes, ya que
en realidad es fcil que en un solo almacenamiento haya copias de la informacin
contenida en varios servidores.
As pues, lo ms recomendable es guardar las copias en una zona alejada de la
sala de operaciones; lo que se suele recomendar es disponer de varios niveles de
copia, una que se almacena en una caja de seguridad en un lugar alejado y que se
renueva con una periodicidad alta y otras de uso frecuente que se almacenan en

lugares ms prximos (aunque a poder ser lejos de la sala donde se encuentran

los equipos copiados).
Para proteger ms aun la informacin copiada se pueden emplear mecanismos de
cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos
de la clave para recuperar los datos almacenados.

SOPORTES NO ELECTRONICOS
Otro elemento importante en la proteccin de la informacin son los elementos no
electrnicos que se emplean para transmitirla, fundamentalmente el papel. Es
importante que en las organizaciones que se maneje informacin confidencial se
controlen los sistemas que permiten exportarla tanto en formato electrnico como
en no a estos dispositivos. Electrnico (impresoras, plotters, faxes, teletipos).
Cualquier dispositivo por el que pueda salir informacin de nuestro sistema ha de
estar situado en un lugar de acceso restringido; tambin es conveniente que sea de
acceso restringido el lugar donde los usuarios recogen los documentos que lanzan.
CONTROL DE ACCESOS

El control de acceso no slo requiere la capacidad de identificacin, sino tambin

asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en
restricciones de tiempo, rea o sector dentro de una empresa o institucin.
1. Utilizacin de Guardias
El Servicio de Vigilancia es el encargado del control de acceso de todas las
personas al edificio. Este servicio es el encargado de colocar los guardias en
lugares estratgicos para cumplir con sus objetivos y controlar el acceso del
personal.
2. Utilizacin de Detectores de Metales
El detector de metales es un elemento sumamente prctico para la revisin de
personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer
un volumen metlico mnimo, a partir del cual se activar la alarma.
La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal.
De este modo, actuar como elemento disuasivo.
3. Utilizacin de Sistemas Biomtricos

La Biometra es una tecnologa que realiza mediciones en forma electrnica,

guarda y compara caractersticas nicas para la identificacin de personas.
La forma de identificacin consiste en la comparacin de caractersticas fsicas de
cada persona con un patrn conocido y almacenado en una base de datos. Los
lectores biomtricos identifican a la persona por lo que es(manos, ojos, huellas
digitales y voz).

4. Verificacin Automtica de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque
tambin podra encuadrarse dentro de las verificaciones biomtricas.
Mientras es posible para un falsificador producir una buena copia visual o facsmil,
es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la
firma genuina con exactitud.
5. Seguridad con Animales
Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos
mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de
cuidado y mantenimiento se disminuyen considerablemente utilizando este tipo de
sistema.
As mismo, este sistema posee la desventaja de que los animales pueden ser
engaados para lograr el acceso deseado.
6. Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la
utilizacin de sensores conectados a centrales de alarmas. Estas centrales tienen
conectadas los elementos de sealizacin que son los encargados de hacerles
saber al personal de una situacin de emergencia.

CONCLUSIONES

Evaluar y controlar permanentemente la seguridad fsica es la base para comenzar a

integrar la seguridad como una funcin primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso fsico permite:

Disminuir siniestros.

Trabajar mejor manteniendo la sensacin de seguridad.

Descartar falsas hiptesis si se produjeran incidentes.

Tener los medios para luchar contra accidentes.

La definicin de los permisos de acceso requiere determinar cul ser el nivel de

seguridad necesario sobre los datos, por lo que es imprescindible clasificar la
informacin, determinando el riesgo que producira una eventual exposicin de la
misma a usuarios no autorizados.

SEGURIDAD LOGICA
La seguridad lgica se refiere a la seguridad en el uso de software y los sistemas, la
proteccin de los datos, procesos y programas.
Es la configuracin adecuada del sistema para evitar el acceso a los recursos y
configuracin del mismo por parte de personas no autorizadas, ya sea a nivel local o va
red. Mucha gente considera que seguridad es solamente la seguridad lgica, pero este
concepto es errneo.

Los objetivos que se plantean son:

Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin una supervisin minuciosa.

Asegurar que se estn utilizados los datos, archivos y programas correctos en y

por el procedimiento correcto.

Garantizar que la informacin transmitida sea recibida slo por el destinatario al

cual ha sido enviada y no a otro.

Certificar que la informacin recibida sea la misma que ha sido transmitida.

Asegurar que existan sistemas alternativos secundarios de transmisin entre

diferentes puntos.

Cerciorar que se disponga de pasos alternativos de emergencia para la transmisin

de informacin.

TCNICAS DE CONTROL DE ACCESO

Estos controles pueden implementarse en la BIOS, el S.O, sobre los sistemas de
aplicacin, en las DB, en un paquete especifico de de seguridad o en cualquier otra
aplicacin. Constituyen una importante ayuda para proteger al S.O de la red, al sistema
de aplicacin y dems software de la utilizacin o modificaciones no autorizadas.
Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los
siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad
en cualquier sistema:

IDENTIFICACIN Y AUTENTICACIN
Se denomina identificacin al momento en que el usuario se da a conocer en el sistema y
autenticacin a la verificacin que se realiza en el sistema sobre esta identificacin.
Existen 4 tipos de tcnicas que permiten realizar la autenticacin de la identidad del
usuario, las cuales pueden ser utilizadas individualmente o combinadas:

Algo que solamente el individuo conoce: Una clave, un pin etc..

Algo que la persona posee: Una tarjeta.

Algo que el individuo es: Huella digital o voz

Algo que el individuo es capaz de hacer: Patrones de escritura.

ROLES
El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del
usuario que requiere dicho acceso.
Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente
de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso
pueden agruparse de acuerdo con el rol de los usuarios.

TRANSACCIONES
Tambin pueden implementarse controles a travs de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transaccin determinada.

LIMITACIONES A LOS SERVICIOS

Estos controles se refieren a las restricciones que dependen de parmetros propios de la
utilizacin de la aplicacin o preestablecidos por el administrador del sistema.
Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin
simultnea de un determinado producto de software para cinco personas, en donde exista
un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario.

MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los recursos y la
informacin esta modalidad puede ser:

Lectura: el usuario puede nicamente leer o visualizar la informacin pero no

puede alterarla, debe considerarse que la informacin puede ser copiada o impresa

Escritura: este tipo de acceso permite agregar datos, modificar o borrar

informacin

Ejecucin: otorga al usuario el privilegio de ejecutar programas.

Borrado: permite al usuario eliminar recursos del sistema como programas,

campos de datos o archivos.

Todas las anteriores

Adems existen otras modalidades de acceso especiales:

Creacin: permite al usuario crear archivos nuevos, registros o campos.

Bsqueda: permite listar los archivos de un directorio determinado

UBICACIN Y HORARIO
El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica
o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite
limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la
semana.
De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso.

CRIPTOGRAFIA
El cifrado o encriptado es el proceso de transformacin del texto original en texto cifrado o
criptograma, este proceso es llamado encriptacin.
ADMINISTRACIN
Una vez establecidos los controles de acceso sobre los sistemas y a las aplicaciones es
necesario realizar una eficiente administracin de estas medidas lo que involucra la
implementacin, seguimientos, pruebas y modificaciones sobre los accesos de los
usuarios en los sistemas.
La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe guiar a las
decisiones referidas a la determinacin de los controles de accesos, especificando las
concesiones necesarias para el establecimiento de perfiles de usuario. La definicin de
permisos de acceso requiere determinar cul ser el nivel de seguridad necesario sobre
los datos por lo que es imprescindible clasificar la informacin determinando el riesgo que
producira una eventual exposicin de la misma a usuarios no autorizados as los diversos
niveles de la informacin requerirn diferentes medidas y niveles de seguridad. Para

empezar la implementacin es conveniente empezar definiendo las medidas sobre la

informacin ms sensible o las aplicaciones ms crticas y avanzar de acuerdo a un orden
de prioridad decreciente establecido alrededor de las aplicaciones.

ADMINISTRACIN DEL PERSONAL Y USUARIOS

Este proceso lleva generalmente 4 pasos:

Definicin de Puestos: Debe contemplarse la mxima separacin de funciones y el

otorgamiento mnimo de permisos de acceso por cada puesto para la ejecucin de
las tareas asignadas.

Determinacin de la sensibilidad del puesto: Es necesario determinar si la funcin

requiere permisos arriesgados que le permitan alterar procesos, perpetuar fraudes
o visualizar informacin confidencial.

Eleccin de la persona para cada puesto: Requiere considerar los requerimientos

de experiencia y conocimientos tcnicos necesarios para cada puesto, as mismo
para los puestos definidos como crticos puede requerirse una verificacin de
antecedentes personales.

Entrenamiento inicial y continuo del empleado: Cuando la persona ingresa a la

organizacin debe comunicrsele las polticas de seguridad de la organizacin y su
responsabilidad. El personal debe sentir que la seguridad es un elemento
prioritario.

ACTUALIZACIONES DEL SISTEMA Y APLICACIONES

Los ciber-delincuentes suelen aprovechar las vulnerabilidades ms recientes que
requieren actualizacin inmediata de los sistemas, los fabricantes de software actualizan
sus programas cada vez que se descubre un agujero de seguridad.
Es de vital importancia actualizar los sistemas, tanto en sistema operativo como el resto
de aplicaciones tan pronto como sea posible. La mayora de aplicaciones y sistemas
disponen de la opcin de actualizacin automtica se recomienda activar dicha opcin.

CONCLUSIONES:
-

Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es
necesario realizar una eficiente administracin de estas medidas de seguridad
lgica, lo que involucra la implementacin, seguimientos, pruebas y modificaciones
sobre los accesos de los usuarios de los sistemas.

La poltica de seguridad que se desarrolle respecto a la seguridad lgica debe

guiar a las decisiones referidas a la determinacin de los controles de accesos y
especificando las consideraciones necesarias para el establecimiento de perfiles
de usuarios.

Linkografa:
http://seguridadinformatica7.blogspot.com/2009/08/seguridad-fisica-ylogica.html
http://seguridad-informatica-1-iutll.blogspot.com/2012/11/seguridadfisica-y-logica.html
http://seguridadinformaticasmr.wikispaces.com/TEMA+2++SEGURIDAD+F%C3%8DSICA
http://www.eumed.net/rev/cccss/21/oocs.html
http://www.segu-info.com.ar/fisica/seguridadfisica.htm
http://www.uv.es/~sto/cursos/icssu/html/ar01s04.html
http://earchivo.uc3m.es/bitstream/handle/10016/16070/PFC_Sergio_Lucena_Prats
_2006_201212212438.pdf?sequence=1
http://seguridadinformaticasmr.wikispaces.com/TEMA+3++SEGURIDAD+L%C3%93GICA
http://electivaprof.blogspot.com/

PREGUNTAS

1.- Que desastres naturales podran suscitarse en nuestra ciudad? Que

podramos hacer para prevenir los mismos?

2.- Si usted fuera el encargado de sistemas de una empresa que importancia le

dara a estos atentados tanto naturales como de entorno?