REPUBLICA BOLIVARIANA DE VENEZUELA

MIISTERIO DEL PODER POPULAR PARA LA EDUC. UNIVERSITARIA Y

TECNOLOGIA
INSTITUTO DE TECNOLOGIA AGRO-INDUSTRIAL IUTAI
ZONA NORTE
PNF EN ING. INFORMATICA TRAYECTO IV TRIMESTRE II

POLITICAS DE SEGURIDAD

AUTOR:
CONTRERAS V. ANNY Y.
C.I 19860551
PROFESOR:
ING. LISBY MORA

SAN JUAN DE COLON, JUNIO 2015

INTRODUCCION
El descubrimiento ms importante del siglo XX ha sido sin duda la
computadora, que est provocando cambios en nuestra sociedad cuya
importancia hoy slo podemos intuir, y que los provocar an ms en el futuro.
En la actualidad, nuestro entorno est prcticamente controlado por las
nuevas tecnologas, que a medida que transcurre el tiempo, avanzan sin lmites y
en ocasiones son utilizados incorrectamente provocando daos en el mismo
sistema en el que han sido creados.
Es indudable el crecimiento de la importancia que tiene el procesamiento de
la informacin en el funcionamiento de cualquier organizacin. La posibilidad de
interconectarse a travs de redes, ha abierto nuevos horizontes a las empresas
para mejorar su productividad y poder explorar ms all de las fronteras
nacionales, lo cual lgicamente ha trado consigo, la aparicin de nuevas
amenazas para los sistemas de informacin.
Hoy es imposible hablar de un sistema cien por ciento seguros,
sencillamente porque el costo de la seguridad total es muy alto. Por eso las
empresas, en general, asumen riesgos: deben optar entre perder un negocio o
arriesgarse a ser hackeadas. La cuestin es que, en algunas organizaciones
puntuales, tener un sistema de seguridad muy acotado les impedira hacer ms
negocios.
El trabajo que se presenta a continuacin, est enfocado a las Polticas de
Seguridad Informtica (PSI), que surgen como una herramienta organizacional
para concientizar a cada uno de los miembros de una organizacin sobre la
importancia y sensibilidad de la informacin y servicios crticos. Estos permiten a
la compaa desarrollarse y mantenerse en su sector de negocios.

1- POLITICAS DE SEGURIDAD EN INFORMATICA.

La poltica de seguridad es un conjunto de leyes, reglas y prcticas que
regulan la manera de dirigir, proteger y distribuir recursos en una organizacin
para llevar a cabo los objetivos de seguridad informtica dentro de la misma.
Las polticas de seguridad definen lo que est permitido y lo que est
prohibido, permiten definir los procedimientos y herramientas necesarias,
expresan el consenso de los dueos y permiten adoptar una buena actitud
dentro de la organizacin.
La RFC 1244 define Poltica de Seguridad como: "una declaracin de
intenciones de alto nivel que cubre la seguridad de los sistemas informticos y que
proporciona las bases para definir y delimitar responsabilidades para las diversas
actuaciones tcnicas y organizativas que se requerirn .
De acuerdo a lo antes expuesto, se puede decir que una poltica de
seguridades un conjunto de reglas para el mantenimiento de cierto nivel de
seguridad. Pueden cubrir cualquier cosa desde buenas prcticas para la seguridad
de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de
seguridad de un pas entero.
La poltica debe ser enriquecida y compatibilizada con otras polticas
dependientes de sta como son: objetivos de seguridad, procedimientos. Debe
estar fcilmente accesible de forma que los empleados estn al tanto de su
existencia y entiendan su contenido. Puede ser tambin un documento nico o
inserto en un manual de seguridad. Se debe designar un propietario que ser el
responsable de su mantenimiento y su actualizacin a cualquier cambio que se
requiera.
Algunas organizaciones han desarrollado documentos, directrices y
recomendaciones que orientan en el uso adecuado de las nuevas tecnologas
para obtener el mayor provecho y evitar el uso indebido de la misma, la cual

puede ocasionar serios problemas en los bienes y servicios de las empresas en el

mundo.
En este sentido, las polticas de seguridad informtica (PSI), surgen como
una herramienta organizacional para concientizar a cada uno de los miembros de
una organizacin sobre la importancia y sensibilidad de la informacin y servicios
crticos. Estos permiten a la compaa desarrollarse y mantenerse en su sector de
negocios.
2- COMO ABODRDAR LA IMPLEMENTACION DE POLITICAS DE
SEGURIDAD.
La implementacin de medidas de seguridad, es un proceso TcnicoAdministrativo. Como este proceso debe abarcar toda la organizacin, sin
exclusin alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que
sin ese apoyo, las medidas que se tomen no tendrn la fuerza necesaria.
Se deber tener en cuenta que la implementacin de Polticas de
Seguridad, trae aparejados varios tipos de problemas que afectan el
funcionamiento de la organizacin. La implementacin de un sistema de
seguridad conlleva a incrementar la complejidad en la operatoria de la
organizacin, tanto tcnica como administrativamente.Por esto, ser necesario
sopesar cuidadosamente la ganancia en seguridad respecto de los costos
administrativos y tcnicos que se generen.
Es fundamental no dejar de lado la notificacin a todos los involucrados en
las nuevas disposiciones y, darlas a conocer al resto de la organizacin con el fin
de otorgar visibilidad a los actos de la administracin.
Una PSI informtica deber abarcar:

Alcance de la poltica, incluyendo sistemas y personal sobre el cual se

aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en

su definicin.

Responsabilidad de cada uno de los servicios, recurso y responsables en

todos los niveles de la organizacin.

Responsabilidades de los usuarios con respecto a la informacin que

generan y a la que tienen acceso.

Requerimientos mnimos para la configuracin de la seguridad de los

sistemas al alcance de la poltica.

Definicin de violaciones y las consecuencias del no cumplimiento de la

poltica.

Por otra parte, la poltica debe especificar la autoridad que debe hacer que
las cosas ocurran, el rango de los correctivos y sus actuaciones que
permitan dar indicaciones sobre la clase de sanciones que se puedan
imponer. Pero, no debe especificar con exactitud qu pasara o cundo algo
suceder; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y trminos legales pero

sin sacrificar su precisin) sobre el porqu de las decisiones tomadas.

Finalmente, como documento dinmico de la organizacin, deben seguir un

proceso de actualizacin peridica sujeto a los cambios organizacionales
relevantes: crecimiento de la planta de personal, cambio en la
infraestructura computacional, alta y rotacin de personal, desarrollo de
nuevos servicios, cambio o diversificacin de negocios, etc.
Se comienza realizando una evaluacin del factor humano, el medio en

donde se desempea, los mecanismos con los cuales se cuenta para llevar a
cabo

la

tarea

encomendada,

las

amenazas

posibles

sus

posibles

consecuencias.
Luego de evaluar estos elementos y establecida la base del anlisis, se originan
un programa de seguridad, el plan de accin y las normas y procedimientos a
llevar a cabo.

Para que todo lo anterior llegue a buen fin debe realizarse un control
peridico de estas polticas, que asegure el fiel cumplimiento de todos los
procedimientos enumerados. Para asegurar un marco efectivo se realiza una
auditora a los archivos Logs de estos controles.Con el objeto de confirmar que
todo lo creado funciona en un marco real, se realiza una simulacin de eventos y
acontecimientos que atenten contra la seguridad del sistema. Esta simulacin y
los casos reales registrados generan una realimentacin y revisin que permiten
adecuar las polticas generadas en primera instancia.
Por ltimo el Plan de Contingencia es el encargado de suministrar el
respaldo necesario en caso en que la poltica falle.
Es importante destacar que la Seguridad debe ser considerada desde la
fase de diseo de un sistema. Si la seguridad es contemplada luego de la
implementacin del mismo, el personal se enfrentar con problemas tcnicos,
humanos y administrativos muchos mayores que implicaran mayores costos para
lograr, en la mayora de los casos, un menor grado de seguridad.

3- LEGISLACIN NACIONAL E INTERNACIONAL DE LOS DELITOS

INFORMTICOS.
Segn Luciano Saellas (2012) en su artculo titulado Delitos Informticos
ciberterrorismo, define Delitos Informticos como aquella conducta ilcita
susceptible de ser sancionada por el derecho penal, que hacen uso
indebido de cualquier medio informtico.
Legislacin nacional
El Artculo 110 de la Constitucin de la Repblica Bolivariana de Venezuela
(2010), el Estado reconocer el inters pblico de la ciencia, la tecnologa, el
conocimiento, la innovacin y sus aplicaciones y los servicios de informacin
necesarios por ser instrumentos fundamentales para el desarrollo econmico,
social y poltico del pas, as como para la seguridad y soberana nacional. Para
el fomento y desarrollo de esas actividades, el Estado destinar recursos
suficientes y crear el sistema nacional de ciencia y tecnologa de acuerdo con la

ley. El sector privado deber aportar recursos para los mismos. El Estado
garantizar el cumplimiento de los principios ticos y legales que deben regir las
actividades de investigacin cientfica, humanstica y tecnolgica. La ley
determinar los modos y medios para dar cumplimiento a esta garanta.
El Artculo 28 de la CRBV establece que toda persona tiene el derecho de acceder
a la informacin y a los datos que sobre s misma o sobre sus bienes consten en
registros oficiales o privados, () Igualmente, podr acceder a documentos de
cualquier naturaleza que contengan informacin cuyo conocimiento sea de inters
para comunidades o grupos de personas
Por otra parte el Artculo 60 seala que toda persona tiene derecho a la
proteccin de su honor, vida privada, intimidad, propia imagen, confidencialidad y
reputacin. La ley limitar el uso de la informtica para garantizar el honor y la
intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de
sus derechos.
A su vez, el Artculo 143 acota que los ciudadanos y ciudadanas tienen
derecho a ser informados e informadas oportuna y verazmente por la
Administracin Pblica, () Asimismo, tienen acceso a los archivos y registros
administrativos, sin perjuicio de los lmites aceptables dentro de una sociedad
democrtica

La Ley Especial Contra los Delitos Informticos (2001) tiene por Objeto la
Proteccin integral de los sistemas que utilicen tecnologas de informacin, as
como la prevencin y sancin de los delitos cometidos contra tales sistemas o
cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas
tecnologas.
Legislacin internacional
Muchos son los problemas que han surgido a nivel internacional en materia
de delincuencia informtica. Tradicionalmente se ha considerado en todos los
pases el principio de territorialidad, que consiste en aplicar sanciones penales

cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del
delito informtico, la situacin cambia porque el delito pudo haberse cometido
desde cualquier otro pas, distinto a donde se materializa el dao.
Debido a situaciones como las antes expuestas, los pases se vieron en la
necesidad de agruparse y en primer lugar definir algunos trminos cibernticos
que pudieran permitir la unificacin de criterios en esta materia. As, se le
asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos
a la informtica; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc.
Esta situacin cada vez ms frecuente, dio pie a que distintas
organizaciones internacionales, tomaran la iniciativa de organizarse y establecer
pautas o estndares mnimos, tal es el caso de la Organizacin de Cooperacin y
Desarrollo Econmico (OCDE), que segn explica Acurio (2006), tard tres aos,
desde 1983 hasta 1986 en publicar un informe titulado Delitos de Informtica:
anlisis de la normativa jurdica, donde se recomendaba una lista mnima de
ejemplos de uso indebido que cada pas podra prohibir y sancionar con leyes
penales especiales que promulgaran para tal fin.
Esa lista mnima de delitos informticos era como sigue:

Fraude y falsificacin informticos.

Alteracin de datos y programas de computadora.
Sabotaje informtico.
Acceso no autorizado.
Interceptacin no autorizada yreproduccin no autorizada de un programa
de computadora protegido.
Posteriormente, la Comisin Poltica de Informacin Computadoras y

Comunicacin recomend que se instituyesen protecciones penales contra otros

usos indebidos. Se trataba de una lista optativa o facultativa, que inclua entre
otros aspectos, los siguientes:

Espionaje informtico.
Utilizacin no autorizada de una computadora.
Utilizacin no autorizada de un programa de computadora protegido.

Robo de secretos comerciales y acceso o empleo no autorizado de

sistemas de computadoras.

Adicionalmente, el Comit Especial de Expertos en Delitos Informticos,

adscritos al Comit Europeo para los problemas de la delincuencia, se dedic a
examinar temas como:

La proteccin de la esfera personal.

Las Victimas.
La posibilidad de prevencin.
Procedimiento (investigacin y confiscacin internacional de bancos de
datos y la cooperacin internacional en la investigacin y represin del
delito informtico).
De igual manera, la Organizacin de las Naciones Unidas (ONU), en

elManual de la ONU para la Prevencin y Control de Delitos Informticos seala,

cuando el problema se eleva a la escena internacional, se magnifican los
inconvenientes y las insuficiencias, por cuanto los delitos informtico constituyen
una nueva forma de crimen transnacional y su combate requiere de una eficaz
cooperacin internacional.
Otra organizacin internacional que se dedic a tratar este aspecto de la
seguridad informtica, es la Asociacin Internacional de Derecho Penal,
que adopt diversas recomendaciones respecto a los delitos informticos. En la
medida en que el derecho penal tradicional no sea suficiente, deber promoverse
la modificacin de la definicin de los delitos existentes o la creacin de otros
nuevos.
Seala como delitos, entre otras:

El trfico con contraseas informticas obtenidas por medios inapropiados

Distribucin de virus o de programas similares
La Organizacin de Estados Americanos (OEA), entre las estrategias de

seguridad ciberntica, demostr la gravedad de las amenazas a la seguridad

ciberntica de los sistemas de informacin, las infraestructuras esenciales y las

economas en todo el mundo.
En el contexto internacional, Quintero establece que los pases que cuentan
con una legislacin apropiada. Son: Chile, Gran Bretaa, Estados Unidos, Francia,
Espaa,

Alemania,

China,

Holanda

Austria

Inglaterra.
Debido a un caso de hacking en 1991, comenz a regir en este pas la Ley
de Abusos Informticos. Mediante esta ley el intento, exitoso o no, de alterar datos
informticos,

es

penado

con

hasta

cinco

aos

de

prisin

multas

China. Toda persona implicada en actividades de espionaje, que robe, descubra,

compre o divulgue secretos de Estado desde la red, podr ser condenada con
penas que van de 10 aos de prisin hasta la muerte.
Entrar en una computadora en la cual no se tiene acceso legal ya es delito y
puede ser castigado hasta con seis meses de crcel. Cambiar, agregar o borrar
datos puede ser penalizado hasta con dos aos de prisin pero, si se hizo va
remota aumenta a cuatro. Copiar archivos de la mquina hackeada o procesar
datos en ella tambin conlleva un castigo de cuatro aos en la crcel. El dao a la
informacin o a un sistema de comunicaciones puede ser castigado con crcel de
seis meses a quince aos.
4- EVALUACIN DE RIESGOS.
El anlisis de riesgos supone ms que el hecho de calcular la posibilidad
de que ocurran cosas negativas.

Se debe poder obtener una evaluacin econmica del impacto de estos

sucesos. Este valor se podr utilizar para contrastar el costo de la
proteccin de la informacin en anlisis, versus el costo de volverla a
producir (reproducir).

Se debe tener en cuenta la probabilidad que sucedan cada uno de los

problemas posibles. De esta forma se pueden priorizar los problemas y su
coste potencial desarrollando un plan de accin adecuado.

Se debe conocer qu se quiere proteger, dnde y cmo, asegurando que

con los costos en los que se incurren se obtengan beneficios efectivos.
Para esto se deber identificar los recursos (hardware, software,
informacin, personal, accesorios, etc.) con que se cuenta y las amenazas
a las que se est expuesto.
La evaluacin de riesgos y presentacin de respuestas debe prepararse de

forma personalizada para cada organizacin; pero se puede presuponer algunas

preguntas que ayudan en la identificacin de lo anteriormente expuesto.

"Qu puede ir mal?"

"Con qu frecuencia puede ocurrir?"

"Cules seran sus consecuencias?"

"Qu fiabilidad tienen las respuestas a las tres primeras preguntas?"

"Se est preparado para abrir las puertas del negocio sin sistemas, por un
da, una semana, cuanto tiempo?"

"Cul es el costo de una hora sin procesar, un da, una semana...?"

"Cunto, tiempo se puede estar off-line sin que los clientes se vayan a la
competencia?"

"Se tiene forma de detectar a un empleado deshonesto en el sistema?"

"Se tiene control sobre las operaciones de los distintos sistemas?"

"Cuantas personas dentro de la empresa, (sin considerar su honestidad),

estn en condiciones de inhibir el procesamiento de datos?"

"A qu se llama informacin confidencial y/o sensitiva?"

"La informacin confidencial y sensitiva permanece as en los sistemas?"

"La seguridad actual cubre los tipos de ataques existentes y est

preparada para adecuarse a los avances tecnolgicos esperados?"

"A quin se le permite usar que recurso?"

"Quin es el propietario del recurso? y quin es el usuario con mayores

privilegios sobre ese recurso?"

"Cules sern los privilegios y responsabilidades del Administrador vs. la

del usuario?"

"Cmo se actuar si la seguridad es violada?.

Una vez obtenida la lista de cada uno de los riesgos se efectuar un resumen
de tipo:
Ejemplo.
Tipo de Riesgo

Factor

Robo de hardware
Alto
Robo de informacin
Alto
Vandalismo
Medio
Fallas en los equipos
Medio
Virus Informticos
Medio
Equivocaciones
Medio
Accesos no autorizados Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo

Segn esta tabla habr que tomar las medidas pertinentes de seguridad
para cada caso en particular, cuidando incurrir en los costos necesarios segn el
factor de riesgo representado.

5- ESTRATEGIAS DE SEGURIDAD.
Para establecer una estrategia adecuada es conveniente pensar una
poltica de proteccin en los distintos niveles que esta debe abarcar y que no son
ni ms ni menos que los estudiados hasta aqu: Fsica, Lgica, Humana y la
interaccin que existe entre estos factores.
En cada caso considerado, el plan de seguridad debe incluir una estrategia
Proactiva y otra Reactiva.
La Estrategia Proactiva (proteger y proceder) o de previsin de ataques
es un conjunto de pasos que ayuda a reducir al mnimo la cantidad de puntos
vulnerables existentes en las directivas de seguridad y a desarrollar planes de
contingencia. La determinacin del dao que un ataque va a provocar en un
sistema y las debilidades y puntos vulnerables explotados durante este ataque
ayudar a desarrollar esta estrategia.
La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al
ataque ayuda al personal de seguridad a evaluar el dao que ha causado el
ataque, a repararlo o a implementar el plan de contingencia desarrollado en la
estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir
que las funciones comerciales se normalicen lo antes posible.
Con respecto a la postura que puede adoptarse ante los recursos compartidos:

Lo que no se permite expresamente est prohibido: significa que la

organizacin proporciona una serie de servicios bien determinados y
documentados, y cualquier otra cosa est prohibida.

Lo que no se prohbe expresamente est permitido: significa que, a

menos que se indique expresamente que cierto servicio no est disponible,
todos los dems s lo estarn.
Estas posturas constituyen la base de todas las dems polticas de

seguridad y regulan los procedimientos puestos en marcha para implementarlas.

Se dirigen a describir qu acciones se toleran y cules no.

Actualmente, y gracias a las, cada da ms repetitivas y eficaces, acciones

que atentan contra los sistemas informticos los expertos se inclinan por
recomendar la primera poltica mencionada.
6- TENDENCIAS DE LA SEGURIDAD MICROELECTRNICA.
La microelectrnica es la aplicacin de la ingeniera electrnica a
componentes y circuitos de dimensiones muy pequeas, microscpicas y hasta de
nivel molecular para producir dispositivos y equipos electrnicos de dimensiones
reducidas pero altamente funcionales. El telfono celular, el microprocesador de la
CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de
la Tecnologa Microelectrnica.

Existen mltiples factores de ndole tecnolgicos que explican la

convergencia de la Microelectrnica, la Informtica y las Telecomunicaciones en
las TIC. Pero todos se derivan de tres hechos fundamentales:
Los tres campos de actividad se caracterizan por utilizar un soporte fsico
comn, como es la microelectrnica.

Por la gran componente de software incorporado a sus productos.

Por el uso intensivo de infraestructuras de comunicaciones que permiten la
distribucin (deslocalizacin) de los distintos elementos de proceso de la
informacin en mbitos geogrficos distintos.
La microelectrnica, frecuentemente denominada hardware, est residente

en todas las funcionalidades del proceso de informacin. Resuelve los problemas

relacionados con la interaccin con el entorno como la adquisicin y la
presentacin dela informacin, mediante dispositivos como transductores, tarjetas
de sonido, tarjetas grficas, etc. No obstante, su mayor potencialidad est en la
funcin de tratamiento de la informacin.
La microelectrnica abarca como campo de aplicacin la domtica que se
entiende por aquel conjunto de sistemas capaces de automatizar una vivienda,

aportando servicios de gestin energtica, seguridad, bienestar y comunicacin, y

que pueden estar integrados por medio de redes interiores y exteriores de
comunicacin, cableadas o inalmbricas, y cuyo control goza de cierta ubicuidad,
desde dentro y fuera del hogar. Entre las tareas realizadas por la demtica se
usan distintos tipos de componentes microelectrnicos que hacen que dichas
tareas se lleven a cabo con gran precisin por medio de microcontroladores.
La Seguridad consiste en una red de encargada de proteger los Bienes
Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se
encuentran:

Simulacin de presencia.
Alarmas de Deteccin de incendio, fugas de gas, escapes de agua,

concentracin de monxido en garajes.

Alerta mdica.
Tele asistencia.
Cerramiento de persianas puntual y seguro.
Acceso a Cmaras IP.

CONCLUSION
La Poltica de Seguridad debe ser la gua a seguir por la empresa para
asegurar su informacin valiosa.
En primer lugar, no podemos perder de vista la actividad de nuestro negocio
y lo que este nos exige da a da, por lo tanto, conviene establecer una Poltica
concisa y clara, sin rodeos ni "obligaciones" que posteriormente, por las
caractersticas de nuestra organizacin, no podamos cumplir.
Un punto fundamental es establecer los requisitos de seguridad de nuestra
empresa, desarrollando un conjunto de principios y reglas que resuman como se
gestionar la proteccin de la informacin del negocio.
La Poltica de Seguridad debe tener unos objetivos bsicos que
fundamentalmente serngarantizar la confidencialidad, integridad y disponibilidad
de los datos.