Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PASACABLES
PASACABLES
PASACABLES
PASACABLES
le
P
P
b
b
a
s
a
c
a
a
s
a
c
a
s
Ud. Panel 24 RJ-45 tomas 1 y 3
planta 1
PASACABLES
PASACABLES
PASACABLES
Ud. Panel 24 RJ-45 tomas 2 planta 2
PASACABLES
DIMENSIONAMIENTO ARMARIOS
Se instalará normalmente un armario de distribución por planta del edificio.
Excepciones:
En los casos en que la cantidad de rosetas a servir por parte de cada armario
supere las 200 o que la distancia a alguna roseta supere los 90 metros, se
instalará un segundo armario por planta para cumplir las limitaciones impuestas
por la norma.
En las plantas en que se instalen menos de 25 puestos de trabajo y a las que se
pueda dar servicio en las condiciones de calidad especificadas, se podrá eliminar
el armario y dar servicio desde un armario de otra planta.
CONSIDERACIONES EN LA INSTALACIÓN
El cable UTP está constituido por un conjunto de cuatro pares. Cada par se
identifica por ser dos hilos de cobre entrelazados con cubierta de los colores
naranja, verde, azul y marrón. En cada pareja, uno de los cables tiene la cubierta
de color uniforme (por ejemplo naranja) y el otro par tiene la cubierta mezclando
ese color con blanco (para el ejemplo sería naranja y blanco). Dependiendo del
orden de conexión de los cables a los pines de la roseta, se establece un tipo de
toma.
Resulta más frecuente de lo que parece encontrar racks con todos los cables
puestos de cualquier manera. Este tipo de racks suelen presentar problemas
precisamente por su caos. Por un lado los servidores se calientan más por el
menor flujo de aire, por lo que los componentes se estropean antes.
Por otro lado si se desea hacer algún cambio es más probable que la persona
que lo haga toque sin querer algún cable y desconecte algún equipo, ya sea la
alimentación o la red.
Veamos unos ejemplos:
Donde:
1: Blanco Naranja.
2: Naranja.
3: Blanco Verde.
4: Azul.
5: Blanco Azul.
6: Verde.
7: Blanco Marrón.
8: Marrón.
Procederá a pelar el cable con mucho cuidado, ya que se
pueden cortar los cables accidentalmente.
Ahora, separará los cables en forma correcta y cortará el
separador plástico que se encuentra en el interior del cable:
Luego, utilizando un ponchador (Impact tool) para colocar bien los cables.
Finalmente le colocaremos sus seguros para proteger la conexión del cable:
Los seguros
deben colocarse
de forma precisa.
En otros casos, se deben colocar en los cables unos Jack’s Rj45 y estos irán
empotrados en el Patch Panel.
Para esto debe seguir el procedimiento que a continuación se indica:
Luego, con el Impact Tool presionará los cables para que ingresen en el Jack
Rj 45 con fuerza:
Finalmente le colocaremos sus seguros para proteger la conexión del cable:
Luego se le quita la envoltura adicional con la que cuenta este tipo de cable:
Finalmente le colocaremos sus seguros para proteger la conexión del cable:
Colocará una parte del Jack RJ 45 para esta categoría, insertamos los cables
y los separamos correctamente:
Luego presionará con la otra parte del Jack para que queden presionados los
cables:
2. El outlet hace contacto con la tira de conexión a tierra del patch panel
cuando el outlet se inserta en su lugar
OBSERVACIÓN:
El apantallamiento y puesta en tierra (une en 50310, ANSI/EIA/TIA607A)
La primera consideración a tener en cuenta es que, el sistema de tierras de datos
que se diseñó y se instale en el edificio deberá ser totalmente complementario
al sistema de tierras eléctrico que haya sido diseñado e instalado con propósitos
de seguridad eléctrica y de las personas en el entorno del edificio, y estarán
eléctricamente conectados de acuerdo con las premisas establecidas según
normativa.
El principio de compatibilidad electromagnética establece que toda instalación
tiene obligación de no interferir y el derecho a no ser interferida. El cómo se
resuelve la compatibilidad electromagnética en cada instalación, dependerá del
diseño de la misma.
El cumplimiento de los requisitos de compatibilidad electromagnética se
incorporara a la instalación de transmisión y comunicaciones a través de tierra
radial en el ámbito de actuación de cada repartidor y a través de la canalización
de acometida, troncal, vertical y horizontal, usando canalización metálica,
preferiblemente cerrada con tapa, eléctricamente conductora y un conductor
desnudo de cobre a lo largo de toda ella, puesto a tierra de estructura solo en el
extremo de los cuartos de telecomunicaciones o salas de equipos (para no
generar bucles de tierra), actuando como jaula de faraday para todo su contenido.
La ejecución de la canalización se llevara a término respetando
escrupulosamente lo establecido en la norma UNE EN 50174-2, clausula 6.6.3.1
sistema de conducción de cable metálico compuesto especialmente para fines
CEM (Compatibilidad Electro Magnética).
OBSERVACIÓN:
Desde el punto de vista de configuración o ubicación de los armarios que se
alojen en el data center y con el propósito de optimizar el sistema de
refrigeración necesario, los armarios estarán enfrentados, es decir, los frontales
de los armarios quedaran enfrentados y a su vez las partes traseras de los
armarios quedaran igualmente enfrentadas, esta configuración se denomina
pasillo frio/pasillo caliente.
Etiquetado en el Patch Panel y colocación de los equipos de
comunicaciones.
La administración y etiquetado del cableado estructurado y sus componentes
adyacentes está basado en las normas: ANSI/TIA/EIA 606A, ISO/IEC 14763-1.
Este estándar se divide en dos partes. Una primera parte que describe los colores
usados para identificar las diferentes partes o subsistemas del cableado
estructurado y una segunda parte que explica cómo identificar cada elemento
del cableado de tal forma que se facilite la posterior administración y gestión de
la infraestructura.
Los colores contemplados y su utilización se describen a continuación:
Estos colores serán los que deberán tener las etiquetas empleadas en la
identificación de los diferentes subsistemas.
Con objeto de facilitar la identificación del cableado, esta norma establece 4 tipos
o clases de cableado, en función de su complejidad:
INTRODUCCIÓN
Si bien la identidad digital segura es un mecanismo que permite garantizar con
seguridad y confianza la identidad de una persona en entornos electrónicos, es
necesario también que las personas cuenten con mecanismos que les permitan
manifestar su voluntad1 y/o derechos y obligaciones con la misma validez y eficacia
jurídica que en entornos presenciales tradicionales.
1 La manifestación de la voluntad por medios electrónicos fue incorporada por primera vez
en una norma peruana mediante la Ley 27291 que, en su artículo 1,modifica el articulo 141
del Código Civil con el siguiente texto: “La manifestación de voluntad puede ser expresa
o tácita. Es expresa cuando se realiza en forma oral o escrita a través de cualquier medio
directo, manual, mecánico, eléctrico u otro análogo. Es tácita cuando la voluntad se infi-
ere indubitablemente de una actitud o de circunstancias de comportamiento que revelan
su existencia. No puede considerarse que existe manifestación tácita cuando la ley exige
declaración expresa o cuando el agente formula reserva o declaración en contrario”.
ÁLVARO CUNO
LA FIRMA DIGITAL
Una firma digital es un dato en formato electrónico que sirve como mecanismo
para verificar la autenticidad3 e integridad4 de otro dato también en formato elec-
trónico (a este último, nos referiremos como dato firmado). Una firma digital es
un tipo de firma electrónica5 generada por un procedimiento criptográfico que
establece una relación única y exclusiva entre el dato firmado y el firmante. De
forma simplificada, podemos describir este procedimiento como una caja negra
que requiere como entradas un dispositivo seguro y el dato a ser firmado, gene-
rando como salida una firma digital (véase figura 1).
108 figurA 1
iluStración del procedimiento de generación de firma digital
DISPOSITIVO SEGURO
A diferencia de una firma manuscrita que suele ser un patrón único, posible
109
de ser generado solamente por el firmante (independiente del dato firmado y del
instante de la firma), una firma digital siempre será diferente para cada momento
y para cada dato firmado. La figura 2 ilustra la generación de firmas distintas
para múltiples documentos usando el mismo dispositivo seguro de propiedad de
un firmante.
figurA 2
iluStrac ión de laS múltipleS y difere nteS firmaS digitaleS que puede crear un miSmo
firmant e uSando un único diS poS it ivo Seguro
DISPOSITIVO SEGURO
DOCUMENTO FIRMA
1 DIGITAL 1
110
DOCUMENTO FIRMA
3 DIGITAL 3
Si bien la firma digital como mecanismo tecnológico puede ser descrita en fun-
ción de sus características, es importante considerar el marco normativo asociado
al contexto donde se requiera su uso. Para el caso del Perú, se define la firma digi-
tal en el artículo 3 de la Ley de Firmas y Certificados Digitales, como:
En tal sentido, para que una firma digital adquiera la equivalencia funcional con
la firma manuscrita debe ser generada conforme a ciertos requisitos. En el caso
del Perú, el artículo 3 del Reglamento de la Ley indica:
CONCEPTOS DE FIRMA DIGITAL
GENERACIÓN
La generación de una firma digital es una operación en la que intervienen varios
elementos. En la figura 3 se ilustran los principales.
ÁLVARO CUNO
figurA 3
m odelo concept ual de l a gener ac ión de una firma digital
SISTEMA DE INFORMACIÓN
Atributos
de firma
Documento
ACTOR
Dispositivo seguro
Clave Certificado TSA
PIN privada digital
7 Los sellos de tiempo son mecanismos que garantizan que un dato ha existido en un tiempo
específico del tiempo y que no ha sido alterado desde ese momento. En el marco de la IOFE
precisan ser “avalados” por un PSC conocido como Time Stamp Authority (TSA), a través de
la modalidad de PSVA.
CONCEPTOS DE FIRMA DIGITAL
VERIFICACIÓN
La verificación de una firma digital es una operación en la que interactúan varios
elementos. En la figura 4 se ilustran los principales. 113
figurA 4
m odelo concept ual de l a verific ación de una firma digital .
SISTEMA DE INFORMACIÓN
Documento firmado
Parámetros de
verificación
ACTOR Documento
Reporte de
Software de generación verificación
de firma digital
FIRMA
DIGITAL
EXTENSIÓN DE LA VALIDEZ
114 Firmar un documento es una operación relativamente simple. Sin embargo, el pro-
ceso de verificación representa un desafío mayor debido a que es probable que los
documentos firmados en un tiempo (t0) pueden necesitar ser verificados —por
ejemplo, por haber sido incluidos como parte de alguna disputa legal o proceso de
auditoria— en un tiempo (t0 + k); que podría suceder muchos años después del
momento en que fueron firmados. Si k tomase el valor de, por ejemplo, 10, 20 o 50
años, podrían ocurrir los siguientes escenarios problemáticos:
ARCHIVAMIENTO
La necesidad de realizar una adecuada gestión del ciclo de vida de datos, docu-
mentos o cualquier objeto electrónico firmado digitalmente debe constituir una
actividad esencial en las organizaciones privadas y públicas. Para su “conservación
en el tiempo”, debe ser necesario mantener usable el respectivo “original”, a fin de
acreditar la autoría, hechos y/o manifestaciones de voluntad contenidos en aque-
llos de modo similar a lo que ocurre con los documentos en papel. Sin embargo,
debe recordarse que en entornos electrónicos el concepto de original y copia de
documentos firmados digitalmente no es relevante tecnológicamente, puesto que
funcionalmente son equivalentes.
• Estándares ETSI: este esquema propone mantener, para cada objeto firmado,
una secuencia de sellos de tiempo periódicos que garantizarán la auten-
ticidad, integridad y la prueba de existencia. Antes de aplicar un sello de
tiempo, se recolectan todos los datos de validación necesarios de la firma
digital o del último sello de tiempo.
• Registros de evidencias: para cada objeto se mantiene una estructura llamada
registro de evidencias que contiene un conjunto de sellos de tiempo perió-
dicos asociados a resúmenes de los objetos estructurados jerárquicamente.
Este esquema garantiza la autenticidad, integridad y la prueba de existen-
cia.
• Tokens de integridad: se genera para cada objeto y depende solamente del uso
de resúmenes estructurados jerárquicamente, así como del uso de disposi-
tivos WORM (write-once-read-many) almacenados de forma pública y distri-
buida. En este esquema no es necesario almacenar evidencias de validación
de firmas (certificados y estados de revocación). La desventaja es que esta
propuesta no provee pruebas de autenticidad.
• Servicios de integridad de contenido: este esquema es similar al propuesto
por el ETSI con la diferencia que permite que los objetos puedan sufrir
transformaciones (conversión de formatos, modificaciones e inserción de
CONCEPTOS DE FIRMA DIGITAL
FORMATOS Y EMPAQUETAMIENTO
El uso de formatos estandarizados es esencial en la generación y verificación de
las firmas digitales. La no-utilización de formatos estandarizados compromete la
interoperabilidad y afecta el ejercicio de los deberes y derechos que están siendo
adquiridos u otorgados con la firma digital.
Asimismo, para los formatos CAdES, XAdES y PAdES pueden distinguirse los
siguientes niveles de firma (véase figura 5):
• Firma-B: es una rúbrica que puede ser validada mientras los certificados
digitales correspondientes no han expirado.
• Firma-T: es una firma que evidencia que la firma digital existió en un momento
determinado en el tiempo. Puede ser usada para validar una firma después
que el certificado del firmante haya expirado o haya sido revocado posterior
al momento de generación de la firma.
ÁLVARO CUNO
figurA 5
eStructura de una firma digital y SuS diferenteS niveleS
Firma - A
Firma - LT
Firma - T
Atributos sin fir mar
Firma - B
118 Una vez generada la firma digital, existen tres formas de empaquetarla:
Por otro lado, así como en el mundo del papel un documento puede conte-
ner firmas de múltiples personas, en el mundo electrónico muchas personas pue-
den requerir firmar un mismo documento. En tal sentido, podemos distinguir los
siguientes escenarios:
• Firma única: ocurre cuando un documento es firmado por un único firmante.
• Co-firma: ocurre cuando las firmas son generadas de forma paralela e inde-
pendiente de los firmantes. Aquí no importa el orden en que las personas
firmen. Normalmente es usada en situaciones en las que todos los firman-
tes se encuentran al mismo nivel. Esta firma es permitida en los formatos
CONCEPTOS DE FIRMA DIGITAL
CAdES y XAdES.
• Contra-firma: ocurre cuando las firmas son generadas sobre una firma digi-
tal ya existente. Esta firma es permitida en los formatos CAdES y XAdES.
• Firmas secuenciales: sucede cuando las firmas son generadas sobre toda la
estructura del documento firmado, inclusive las firmas anteriores, si hubie-
sen. En este caso, el orden en que las personas firman sí importa. Normal-
mente es empleada en situaciones en las que un documento debe seguir un
flujo específico, pasando por varios firmantes, cuyas rúbricas certifican la
anterior hasta finalizar el flujo. Esta firma es permitida únicamente en los
formatos PAdES.
MODELO DE IMPLEMENTACIÓN
La implementación de un proyecto de firma digital o un proyecto de cero papel
debe considerar la coexistencia de dos mundos: el electrónico y el físico habitual.
Si bien una organización pueda llegar a convertirse en cien por ciento digital, es
posible que los usuarios con los que interactúa (otras organizaciones y personas) no
necesariamente hayan migrado al mundo digital. Asimismo, deberá contemplarse
que con anterioridad a la implementación del proyecto de firma digital, ya existen
en la organización procesos internos que generan documentos en papel. Por tal
motivo, deben considerarse en los proyectos de cero papel un alcance que aborde
mínimamente los siguientes módulos:
• Módulo de digitalización: debe contemplar las funcionalidades necesarias para
digitalizar documentos en papel para convertirlos en documentos electróni- 119
cos con pleno valor legal. Para tal fin será necesario la participación de un
depositario de la fe pública. Inclusive, de ser el caso, podría considerarse la
destrucción de los documentos originarios en papel.
• Módulo de creación de copias de documentos firmados digitalmente: debe tener
dos funcionalidades básicas; la primera, la capacidad de generar copias
imprimibles a partir de los documentos electrónicos firmados digitalmente y,
la segunda, la capacidad de permitir la verificación de éstas copias impresas.
• Módulo de generación de firmas digitales: debe tener la capacidad de firmar
ficheros electrónicos en múltiples formatos y crear las firmas en estruc-
turas modernas e interoperables, tales como: CAdES, PAdES, XAdES, etc.
Para la definición del formato y el nivel de firma debe considerarse la canti-
dad de años que se requiere conservar el documento firmado en un archivo
electrónico.
• Módulo de verificación de firmas digitales: permitirá que la entidad interactúe
con otros organismos o ciudadanos, en particular, cuando requiera recibir
documentos electrónicos de estos y necesite verificar su validez. Asimismo,
este módulo debe ser capaz de procesar firmas digitales en formatos están-
dares, interoperables y modernos.
• Módulo de aplicación de sellos de tiempo: debe tener la capacidad de renovar
las firmas digitales antes de su expiración, de ser el caso recopilando las
evidencias de validación y agregando sellos de tiempo periódicos obtenidos
de una TSA. La renovación puede aplicarse a documentos en fase activa,
semiactiva o de conservación permanente. igualmente, debe permitir agregar
ÁLVARO CUNO
Creación de copias
120
ACTOR Verificación
Autenticación fuerte
Renovación
Digitali9ación
CONCLUSIONES
Una firma digital segura —tecnológica y jurídicamente— es un mecanismo
eficiente y eficaz de manifestación de la voluntad en entornos electrónicos, pues
permite verificar la autenticidad e integridad del documento firmado.
121
ÁLVARO CUNO
BIBLIOGRAFÍA
dekeyser , Hannelore
2005 “Preservation of Signed Electronic Records and the Law”. DLM
Conference. Budapest, 6 de octubre. Disponible en: <http://bit.
ly/1My8Co9>.
duMortier , Jos
2003 “E-Government and Digital Preservation”. En: Galindo, Fernando y
Roland Traunmüller (eds.). E-Government: Legal, Technical and Pedagogi-
cal Aspects. Zaragoza: Seminario de Informática y Derecho, Universi-
dad de Zaragoza, pp. 93-104.
vigil , Martín, Johannes B uChMAnnA , Daniel CABArCAsB, Christian weinertA & Alexan-
der wiesMAierC
2015 “Integrity, authenticity, non-repudiation, and proof of existence for long-
term archiving: a survey”. Computers & Security, vol. 50, mayo, pp.
16-32.
SERVICIOS ELECTRÓNICOS
SEGUROS
RICARDO SAAVEDRA Y
MAREILLE ASTOLFI
Al utilizar las tecnologías de la información (TI) y, sobre todo, con el uso inten-
sivo del Internet, las personas han adquirido otras formas de identidad en el
mundo del ciberespacio, lo que les da la posibilidad de configurar su identidad
digital. Así, las personas pueden acceder a redes sociales y a servicios de alma-
cenamiento de datos compartidos tales como fotografías, videos, documentos,
entre otros; todo ello va definiendo la necesidad de usar un perfil para el consumo
de dichos servicios. Por ejemplo, una persona debe identificarse para crear una
cuenta de correo electrónico y probablemente utilizará datos como su nombre,
fecha de nacimiento, dirección, etc. Esa misma persona accederá a algún servicio
RICARDO SAAVEDRA Y MAREILLE ASTOLFI
de redes sociales, por lo que deberá configurar un perfil de acceso para registrarse
y conforme vaya utilizando el servicio irá generando un determinado comporta-
miento definido por su historial de navegación, sus preferencias o sus contactos.
Por lo tanto, una misma persona puede tener diferentes perfiles, dependiendo del
contexto electrónico en el cual se desenvuelva y cada perfil puede tener distinta
información
LA AUTENTICACIÓN Y LA AUTORIZACIÓN
La identidad digital está estrechamente relacionada con los conceptos de infor-
mación (definida por la persona, generada por su perfil en el consumo de servicios
electrónicos, calculada por otros a partir del análisis de su huella digital), seguri-
dad y privacidad. Su gestión requiere de la interacción de procesos y elementos
de tecnología que permitan el uso adecuado de servicios de gobierno electrónico
o de comercio electrónico; ello a partir de la autenticación de los usuarios y de su
posterior autorización a los recursos o funcionalidades ofrecidos.
figurA 1
interroganteS de Seguridad y acceSo
124
SISTEMA
USUARIOS
figurA 2
l a autent ic ac ión y l a autorización como ele mentoS de Seguridad y
acceSo en l aS tranS accioneS electrónic aS
Seguridad y acceso
Autenticación
Autori9ación
SISTEMA
USUARIOS
Una ve9 que la identidad del usuario ha sido autenticada, sus privilegios de acceso deben ser determinados
Un usuario autenticado no necesariamente tienen permiso para acceder a los recursos
Por otro lado, el uso del Internet propicia que las personas puedan generar
identidades que no reflejan lo que son en el mundo físico; así, por ejemplo, se pue-
den usar seudónimos o los llamados “Nick-Name” para identificarse y acceder a
los sistemas. Las entidades públicas y privadas deben considerar esta situación y
RICARDO SAAVEDRA Y MAREILLE ASTOLFI
MECANISMOS DE AUTENTICACIÓN
DE LOS CERTIFICADOS DIGITALES
Como parte de la arquitectura de la identidad digital, tal como se ha mencionado,
las entidades públicas o privadas tienen la posibilidad de considerar mecanismos
de autenticación de las personas basadas en el uso de certificados digitales. Dicha
tecnología se utiliza en el marco de una infraestructura de clave pública conocida
con el acrónimo PKI, por su sigla en inglés.
figurA 3
validación del eStado del certificado utilizando la crl
USUARIOS REPOSITORIO
figurA 4
validación del eStado del certificado utilizando ocSp
ID del certificado
a consultar
Consulta CRL
SERVIDOR CA
OCSP
Un emisor es aquella persona que genera mensajes de datos y que puede enviar-
los en el marco de las transacciones que se generan en los sistemas que implemen-
tan servicios electrónicos. Un receptor es la persona con la cual el iniciador desea
comunicarse utilizando el mensaje de datos.
Otro aspecto vinculado con los mensajes de datos es aquel relacionado con el
“acuse de recibo” del mensaje. Un acuse de recibo es la confirmación formal de la
recepción de un determinado mensaje. En tal sentido, un “iniciador” de un deter-
minado mensaje puede convenir con el “receptor” que el mensaje tiene efectos a
partir de la confirmación de recepción que realiza este; incluso es posible conside-
rar al mensaje como no enviado en tanto no se reciba el acuse de recibo. En dicho
escenario, tanto el “emisor” como el “receptor” deben ponerse de acuerdo en el
Existen diversos criterios para acordar una fecha cierta de envío y de recepción
de mensajes, como por ejemplo la fecha que proporciona el sistema de información
que el “emisor” utiliza para el despacho de los mensajes o el sistema de informa-
ción que el “receptor” usa para recibirlos. En ambos casos debe quedar declarado
y reconocido el mecanismo a ser utilizado. Adicionalmente es posible que tanto el
“emisor” como el “receptor” puedan tener más de un lugar desde el cual envían o
reciben los mensajes, por lo que también se puede determinar cuál es el lugar que
se utilizará y que se reconocerá como válido para la expedición de los mismos.
softwares clientes, que proveen las interfaces a los usuarios para interactuar con la
herramienta, y existen los dispositivos servidores que son los que almacenan todo
el flujo de mensajes que se intercambian tanto emisores como receptores.
El domicilio electrónico provee mecanismos para que los emisores y los receptores
puedan comunicarse electrónicamente de forma efectiva, segura, confiable y con pleno
valor legal. El concepto de domicilio electrónico se extrae del Reglamento de la Ley de
Firmas y Certificados Digitales (en adelante el Reglamento), fundamentalmente de lo
señalado en sus artículos del 33 al 36, además de su glosario de términos:
SERVICIOS ELECTRÓNICOS SEGUROS
• Emisor: Cualquier organismo público, así como entidades privadas que requie-
ren notificar electrónicamente procedimientos generados por los servicios
que brindan.
• Receptor: Cualquier ciudadano que cuente con un DNI electrónico y que, por
lo tanto, accede a un domicilio electrónico en el que podrá recibir las notifi-
caciones.
figurA 5
m odelo concept ual de not ific ac ión en domic ilio electrónico
Domicilios
Emisores electrónicos Receptores
GUI
GUI
Entidades privadas Personas jurídicas
• No repudio del mensaje: Ningún emisor podrá denegar la autoría del mensaje
(a través del uso de la firma digital)
• Disponibilidad del servicio: el servicio está disponible las 24 horas del día, los
siete días de la semana (24 x 7).
Comparativamente con las notificaciones a través del uso del correo electrónico
convencional, las notificaciones en el domicilio electrónico presentan los siguientes
133
beneficios (véase figura 6):
figurA 6
m odelo de confianza par a l aS not ific acioneS electrónic aS en domic ilio electrónico
Domicilios
Emisores electrónicos Receptores
GUI
GUI
Entidades Privadas Personas jurídicas
SEDE ELECTRÓNICA
DEFINICIÓN Y RÉGIMEN JURÍDICO
El término “sede electrónica” fue acuñado por la Ley N.° 11/2007, de 22 de junio,
de acceso electrónico de los ciudadanos a los servicios públicos (en adelante la Ley
11/2007). Esta norma se creó para concretar el derecho de los ciudadanos a comu-
nicarse con la Administración por medios electrónicos, y en su artículo 10 define a
la sede electrónica como:
Las sedes electrónicas son, así, un punto de acceso digital a aquellos servicios
que requieran la autenticación de los ciudadanos o de la administración, dotado de
especiales condiciones de identificación, seguridad y responsabilidad que garanti-
zan una información veraz, actualizada y completa.
Se trata, por tanto, de un régimen jurídico que establece: a) las relaciones entre 135
las entidades y los ciudadanos, b) la identificación de la entidad prestadora del
servicio, c) la autenticación del ciudadano, d) un contenido mínimo, e) la protección
jurídica, y f) la accesibilidad, disponibilidad y responsabilidad del titular (entidad
pública).
Por otro lado, cabe precisar que no es lo mismo “sede electrónica” que el “portal
institucional”, de hecho son conceptualmente distintos; el portal tiene contenidos
informativos e incluso servicios que no requieren autenticación, las sedes electró-
nicas están reguladas y normalizadas, y ofrecen servicios que requieren autenti-
cación del ciudadano o administrado, así como de la entidad de la administración
pública.
EXPEDIENTE ELECTRÓNICO
El Reglamento de la Ley de Firmas y Certificados Digitales, en la décimo cuarta
disposición complementaria final, define como expediente electrónico y docu-
mento electrónico de la siguiente manera:
5 En el Boletín Oficial del Estado, número 182 del sábado 30 de julio de 2011. Disponible en:
<http://www.boe.es/diario_boe/txt.php?id=BOE-A-2011¬ 13170>.
RICARDO SAAVEDRA Y MAREILLE ASTOLFI
6 El Artículo 2, numeral 6, reconoce el derecho que toda persona tiene a que los servicios
informáticos, computarizados o no, públicos o privados, no suministren informaciones que
afecten la intimidad personal y familiar.
7 Título I de la Ley. Los principios rectores son: legalidad, consentimiento, finalidad, proporcio-
nalidad, calidad, seguridad, disposición del recurso y nivel de protección adecuado.
8 En <http://www.coe.int/t/dghl/standardsetting/DataProtection/Global_standard/D%C3%
A9pliant%20Conv108_es.pdf>.
SERVICIOS ELECTRÓNICOS SEGUROS
En caso se recoja algún dato relacionado con la salud u otra información que sea
considerada sensible adicionalmente a las características referidas en el párrafo
precedente, el consentimiento debe ser por escrito, sea con una firma manuscrita,
digital u otro mecanismo de autenticación que garantice la voluntad inequívoca del
titular.
9 Principio de finalidad.
10 Principio de proporcionalidad.
11 Principio de calidad.
12 Principio de seguridad.
RICARDO SAAVEDRA Y MAREILLE ASTOLFI
A través del derecho de acceso, el titular de los datos personales puede conocer
si su información es correcta o si está actualizada, de qué fuente se obtuvo sus
datos personales, los fines del tratamiento, si sus datos fueron transferidos y a
quiénes. Mediante el derecho de rectificación, el titular de los datos personales
podrá solicitar a quien utilice sus datos personales (titular del banco de datos) que
los corrija cuando los mismos resulten ser incorrectos, desactualizados o inexactos.
El titular de los datos personales puede solicitar que se cancelen sus datos
(eliminen o supriman) si estos han dejado de ser necesarios o pertinentes a la fina-
lidad para la cual han sido recogidos o cuando hubiera vencido el plazo establecido
para su tratamiento, o cuando ha revocado su consentimiento para el tratamiento.
En el caso de las entidades de la administración pública, la supresión de los datos
personales está sujeta a lo dispuesto por el artículo 21 del Texto Único Ordenado
de la Ley N.° 27806, Ley de Transparencia y Acceso a la Información Pública13:
BIBLIOGRAFÍA
Convenio 108
1981 Convenio 108, Convenio del Consejo de Europa para la Protección de las
Personas con Respecto al Tratamiento Automatizado de Datos de Carácter
Personal. Unión Europea.
fundACión telefóniCA
2013 Identidad Digital: El Nuevo usuario en el mundo digital. Madrid: Editorial
Ariel, S.A
l ey n .° 11/2007
2007 Ley n.° 11/2007, Ley de acceso electrónico de los ciudadanos a los servicios
públicos, de 22 de junio. República del Perú.
l ey n .° 29733
2011 Ley n.° 29733, Ley de Protección de Datos Personales. República del
Perú. 143
Ministerio de polítiCA territoriAl y A dMinistrACión púBliCA s eCretAríA g enerAl téC -
niCA - e squeMA n ACionAl de i nteroperABilidAd - e spAñA
2011 Guía de aplicación de la Norma Técnica de Interoperabilidad de Expediente
Electrónico.
toMAsi, Wayne
2003 Sistemas de comunicaciones electrónicas, cuarta edición. México
D. F.: Pearson Educación.
windley, Phillip J.
2005 Digital Identity. Sebastopol: O’Reilly Media, Inc.
CONEXIÓN A TIERRA O PUESTA A TIERRA
Definición
La puesta a tierra es un mecanismo de seguridad que forma parte de las instalaciones eléctricas
y que consiste en conducir eventuales desvíos de la corriente hacia la tierra, impidiendo que el
usuario entre en contacto con la electricidad.
- La instalación de pararrayos.
- Los enchufes eléctricos y las masas metálicas comprendidas en los aseos y baños.
- Todos los aparatos eléctricos con carcasa metálica como por ejemplo: la lavadora, el
lavavajillas o el microondas deben conectarse a la puesta a tierra a través de los enchufes del
local o vivienda.
La conexión a tierra establece la unión eléctrica entre el armazón metálico de los aparatos
eléctricos y la puesta a tierra. La puesta a tierra que puede ser un electrodo a tierra o una malla
que será ubicada en el terreno debajo de la superficie de su casa u oficina. El sistema de
conexión a tierra se extiende desde la puesta a tierra hacia todas las instalaciones, a través del
tercer conductor, que debe estar presente en todos tus tomacorrientes.
Son indispensables ya que se piensa en la disponibilidad del fluido eléctrico con corriente
regulada y mecanismos de acción ante apagones constantes, que permitan evitar los daños en
los equipos existentes en un Data Center, garantizando con esto respaldo y seguridad tanto de
los equipos como de la información sensible que se maneja.
Uptime Institute
La norma TIA-942 es un estándar que describe los requerimientos que deberían ser
considerados para implementar la infraestructura de un data center.
Basado en recomendaciones del Uptime Institute, establece cuatro niveles (TIERS) en función
de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%. UPTIME
INSTITUTE El más simple es un centro de nivel 1 (Tier 1), que es básicamente una sala de
servidores siguiendo las directivas básicas para la instalación de sistemas informáticos. El nivel
más estricto es el 4 (Tier 4), que está diseñado para albergar los sistemas informáticos más
críticos.
Esta norma a su vez divide la infraestructura soporte de un data center en cuatro subsistemas a
saber:
-Telecomunicaciones
-Arquitectura
-Sistema eléctrico
-Sistema Mecánico
Un data center TIER I puede ser susceptible a interrupciones tanto planeadas como no
planeadas. Cuenta con sistemas de aire acondicionado y distribución de energía; pero puede o
no tener piso técnico, UPS o generador eléctrico; si los posee puede no tener redundancia y
existir varios puntos únicos de falla. Los data centers con componentes redundantes son
ligeramente menos susceptibles a interrupciones, tanto planeadas como las no planeadas. Estos
data centers cuentan con piso falso, UPS y generadores eléctricos, pero están conectados a una
sola línea de distribución.
Las capacidades de un data center de este tipo le permiten realizar cualquier actividad planeada
sobre cualquier componente de la infraestructura sin interrupciones en la operación.
Actividades planeadas incluyen mantenimiento preventivo y programado, reparaciones o
reemplazo de componentes, agregar o eliminar elementos y realizar pruebas de componentes
o sistemas, entre otros.
Este data center provee capacidad para realizar cualquier actividad planeada sin interrupciones
en las cargas críticas, pero además la funcionalidad tolerante a fallas le permite a la
infraestructura continuar operando aun ante un evento crítico no planeado. Esto requiere dos
líneas de distribución simultáneamente activas, típicamente en una configuración “system +
system”; eléctricamente esto significa dos sistemas de UPS independientes, cada sistema con
un nivel de redundancia N+1.
“Construir un Data Center que cumpla con todos los requerimientos de grado es un proceso
complejo, especialmente cuando se requiere profesionalismo en un gran rango de
especialidades técnicas, incluyendo arquitectura, infraestructura de cableado, diseño eléctrico,
control ambiental y protección contra fuego”
Mezcla del conductor de puesta a tierra con neutro
El neutro y el conductor de puesta a tierra, no deberán conectarse entre sí, salvo en un único
punto general que será el punto de referencia cero y generalmente es próximo a la acometida
de energía al edificio o bien a la salida de un sistema derivado separado (Ejemplo: un
transformador de acoplamiento o aislamiento).
Impedancia a tierra
En ningún caso la impedancia del electrodo a tierra podrá ser mayor que 2 Ohms dentro de la
banda de 0 a 1800 Hz.
¿Porque los sistemas de puesta a tierra son fundamentales para el tiempo de Actividad de los
Data Center?
Construir un Data Center que cumpla con todos los requerimientos de grado es un proceso
complejo, especialmente cuando se requiere profesionalismo en un gran rango de
especialidades técnicas, incluyendo arquitectura, infraestructura de cableado, diseño eléctrico,
control ambiental y protección contra fuego” (Tom Turner - Gerente Panduit Corp )
-El sistema de conexión a tierra debe ser intencional y contar con una cuidadosa planeación.
-El sistema de conexión a tierra deberá desviar las corrientes dañinas fuera del equipo.
-Todos los componentes metálicos en el Data Center deberán ser unidos al sistema de conexión
a tierra para minimizar el flujo de corriente. La corriente fluye cuando hay una diferencia en
potencial entre componentes.
-Usar el tipo incorrecto de conectores de tierra. Por ejemplo, los conectores que utilizan tornillos
de fijación para sujetar el conductor pueden aflojar el paso del tiempo, y aumentar así la
degradación del vínculo eléctrico.
-La aplicación de hardware, tales como tornillos y arandelas, que no están diseñados para hacer
una unión eléctrica, lo que resulta en un equipo sin conexión a tierra.
-El no poder crear un vínculo eléctrico entre los componentes estructurales de bastidores y
gabinetes pueden atrapar las corrientes dentro de las secciones de los mismos, dando lugar a
potenciales riesgos de seguridad.
COMO SE CONSTRUYE UN POZO A TIERRA CON CEMENTO CONDUCTIVO
Pásala por la varilla presentada al centro del pozo y deberá quedar a unos 20 cm. bajo el
nivel del piso.
Rellena la tubería y luego rellena los contornos externos al tubo, es decir del pozo con
tierra de cultivo tamizada y mezclada con sal y bentonita.
Sube el tubo un tramo de 25 cm. y repite el procedimiento de llenado del tubo PVC con
cemento conductivo, una vez lleno el segundo tramo vuelve a rellenar y compactar
tierra a su alrededor en toda la amplitud de la excavación del pozo, repite los pasos
hasta llegar a dejar solo 20 cm. de varilla descubierta que servirá para colocar los
conectores y los cables de la línea a tierra.
Pozo Horizontal
Realiza un excavación tipo zanja de 50 cm. de ancho por una profundidad de 60 cm. y
una longitud de 2.40 cm.
En este caso deberás doblar la varilla en L (es decir 90 grados) a una distancia de 40 cm.
de la parte superior.
Para que puedas ubicarte la parte superior de la varilla es la que no acaba en punta.
En este caso solo necesitaras compactar unos 10cm de Tierra Combinada con Sal y
Bentonita.
Sobre ese terreno puedes colocar un par de listones de 2.30 mts de largo y unos 4 cm.
de alto, hecha una capa de cemento conductivo de unos 2 cm. de espesor y asienta
sobre esa mezcla la varilla de cobre, dejando la parte doblada para sobresalga
Por la caja de registro. Vuelve a vaciar unos 2 cm. más de cemento conductivo sobre la
varilla y la mezcla anterior haciendo una especie de sándwich con la varilla.
Para la parte doblada en L y que sobresale por la caja de registro, emplea un corte de 20
cm. de tubería PVC de 6” y colócala teniendo cuidado que la varilla quede en el centro
exacto, vacía allí más cemento conductivo y antes que endurezca retira el molde
plástico. Espera unos minutos que seque y tome fuerza y rellena toda la zanja con la
mezcla tamizada de tierra de cultivo, sal y bentonita bien mezcladas creando una mezcla
uniforme.
Para la construcción e instalación de pozo a tierra, es indispensable contar con los materiales
para pozo a tierra más adecuados. Es la única manera de garantizar el trabajo de pozo a tierra y
sentirnos protegidos de las descargas eléctricas.
1. Tierra de chacra
Dentro de pozo a tierra materiales, uno de los más importantes es la tierra de chacra. Es una
tierra muy particular, ya que debe pasar por un proceso orgánico natural. Gracias al tiempo de
vida que tiene, es posible encontrar grandes componentes de materia orgánica.
2. Varillas de cobre
Forma parte de los materiales pozo a tierra más necesarios. Ofrecen gran conductividad al
momento de ser enterradas en la tierra. Ayudan a proteger los equipos e instalaciones
eléctricas de las descargas eléctricas.
3. Cinta de cobre
Son aquellas láminas de cobre que actúan como un conductor sencillo. Es utilizada como una
gran cinta conductora de electricidad.
Debe estar presente en la lista de materiales para pozo a tierra, ya que es uno de los cables
más usados en la construcción de los pozos de tierra. Se caracterizan por tener alta resistencia a
la corrosión, tanto en zonas industriales como en atmósferas salinas.
5. Cable de tierra
Son materiales de pozo a tierra de color amarillo y verde. Ofrecen buena resistencia a las
gradas y a la humedad. Es conocido como el conductor más adecuado para la construcción de
pozos a tierra.
6. Conectores paralelos
Son aquellos conectores de bronce utilizados en la puesta de pozo a tierra. Pueden usarse en
las estructuras, varillas y cables.
7. Cemento conductivo
Corresponde a materiales para pozo a tierra utilizado como conductor de electrodos. Es ideal
para disminuir la resistencia en cualquier tipo de terreno. Absorben la humedad del suelo
circundante. Está en la categoría de materiales para pozo a tierra con cemento conductivo.
En el pozo a tierra materiales se requiere el uso de una caja de registro para mantener
protegidos los aparatos eléctricos. Es el mejor elemento para prevenir los accidentes
ocasionados por los desperfectos en las conexiones eléctricas.
Suele utilizarse como materiales para pozo a tierra para rellenar. Se aplican en aquellos
terrenos que necesitan ser rellenados para la instalación del pozo a tierra.
Todos estos materiales son de gran ayuda para construir un pozo a tierra, y por eso es
importante incluirlos en la lista de materiales para pozo a tierra.
Pozo a tierra
Rack o Bastidores:
Conceptos previos:
CUARTO DE TELECOMUNICACIONES
Se destinara únicamente a la función
de telecomunicaciones todo equipo
no relacionado con esta función no
será instalado, ni pasara ni entrara
por el cuarto de telecomunicaciones.
POTENCIA:
Debe haber tomacorrientes suficientes para alimentar los dispositivos a
instalarse en los andenes (racks). El estándar establece que debe haber un
mínimo de dos tomacorrientes dobles de 110 V C.A ó 220 V C.A. dedicados de
tres hilos. Deben ser circuitos separados de 15 a 20 amperios. Estos dos
tomacorrientes podrían estar dispuestos a 1.8 metros de distancia uno de otro.
Considerar alimentación eléctrica de emergencia con activación automática. En
muchos casos es deseable instalar un panel de control eléctrico dedicado al
cuarto de telecomunicaciones. La alimentación específica de los dispositivos
electrónicos se podrá hacer con UPS y regletas montadas en los andenes.
Separado de estos tomas deben haber tomacorrientes dobles para
herramientas, equipo de prueba etc. Estos tomacorrientes deben estar a 15 cms.
del nivel del piso y dispuestos en intervalos de 1.8 metros alrededor del perímetro
de las paredes.
DISPOSICION DE EQUIPOS:
Los armarios deben de contar con al menos 82 cm. de espacio de trabajo libre
alrededor (al frente y detrás) de los equipos y paneles de telecomunicaciones.
La distancia de 82 cm. se debe medir a partir de la superficie más salida del
armario.
ARMARIO DE TELECOMUNICACIONES
Los armarios múltiples de un mimo piso serán interconectados mediante un
ducto no menor a 78mm (ducto comercial de tamaño 3).
Las puertas de acceso deben ser de apertura completa, con llave y tendrán un
tamaño mínimo de 91cm ancho x 200cm de alto.
CUARTO DE EQUIPOS
Espacio físico que centraliza los equipos específicos de la red, como son los
servidores, centrales, etc.
• El cuarto debe poder permitir una futura ampliación.
• Dimensiones del cuarto de equipos.
Definición.
Gabinete de telecomunicaciones:
El gabinete de Telecomunicaciones es un mueble
diseñado para alojar los equipos activos y pasivos,
responsables de toda la conectividad de la Institución. Su
diseño está pensado para alojar apropiadamente,
diferentes dispositivos que presentan diferentes
servicios. Dichos dispositivos se nombran a continuación:
• UPS.
• Estabilizadores de voltaje.
• Supresor de picos.
• Modem
• Patch Panel
• Switch
• Router.
• Servidores para rack.
Cada uno de los dispositivos alojados en el gabinete cumple una función
específica que sirve al propósito de llevar la conectividad a las redes locales en
las Instituciones.
Se debe tener el cuidado adecuado para que el gabinete este siempre en las
mejores condiciones de mantenimiento y ventilación.
Ahora daremos un breve concepto sobre los dispositivos que podemos encontrar
en el gabinete de telecomunicaciones:
Estabilizadores de voltaje:
Es un dispositivo electrónico que permite corregir el voltaje existente en la línea
de energía eléctrica. Se le denomina Estabilizador de voltaje o Tensión porque
tiene la habilidad de corregir tanto defectos como excesos en el voltaje de línea.
El primer argumento por el cual es aceptable
protegerse con un Estabilizador de voltaje es que en
casi todas las instalaciones eléctricas existen motores,
heladeras, aire acondicionado, ascensores, motores
industriales; cuando estos arrancan generan disturbios
en la red eléctrica y el más común de esos disturbios
es una “Caída de Voltaje”.
Supresor de picos.
Los supresores de picos actúan como esponjas eléctricas que absorben el voltaje
excesivo peligroso y evitan que en su mayor parte alcance su equipo sensible.
Como las esponjas, los protectores de picos tienen una capacidad de absorción
limitada. Una vez que se alcanza su capacidad, la unidad ya no protege su equipo
y debe sustituirse.
Modem:
El módem es un dispositivo que
permite conectar dos ordenadores
remotos utilizando la línea telefónica
de forma que puedan intercambiar
información entre sí. El módem es uno
de los métodos más extendidos para la
interconexión de ordenadores por su
sencillez y bajo costo.
La gran cobertura de la red telefónica
convencional posibilita la casi
inmediata conexión de dos
ordenadores si se utiliza módems. El módem es por todas estas razones el
Supresor de picos.
método más popular de acceso a la Internet por parte de los usuarios privados y
también de muchas empresas.
Switch:
Un conmutador o switch es un dispositivo digital de
lógica de interconexión de redes de computadores
que opera en la capa de enlace de
datos del modelo OSI. Su función es interconectar dos o más segmentos de red,
de manera similar a los puentes de red, pasando datos de un segmento a otro
de acuerdo con la dirección MAC de destino de las tramas en la red.
Router:
Es un dispositivo de hardware usado para la
interconexión de redes informáticas que permite
asegurar el direccionamiento de paquetes de datos
entre ellas o determinar la mejor ruta que deben
tomar.
Clasificación.
Los equipos activos y el cableado pueden ser ubicados en una estructura abierta,
basado en un bastidor (rack o bracket) o cerrada denominado gabinete (closet o
cabinet).
Ventajas
• Menor costo.
• No requiere ventiladores.
• Más fácil de administrar y mantener, al contar mayor acceso a todos los
puntos de conexión.
Desventajas:
• Los equipos activos (switches, routers, etc) así como los cables quedan
expuestos completamente al polvo y humedad, por lo que es conveniente
definir un régimen de mantenimiento más frecuente.
• Está expuesto a acciones vandálicas, las conexiones en los equipos o en
los paneles de empalme (patch panel) pueden ser modificadas por
cualquier persona.
Rack de piso:
Servidores
Se denominanpara
así aRack:
las estructuras abiertas que son ancladas al piso, por eso
es posible contar con bastidores de mayor tamaño, en este caso no es necesario
considerar la profundidad a diferencia de los bastidores (brackets o racks de
pared).
El Rack de piso es una solución económica de alta capacidad para colocar los
equipos de red y sus cables, es posible incluir también el cableado de la
telefonía.
Se pueden encontrar de las siguientes medidas:
Rack de Piso de 19" x 45 RU
Rack de Piso de 19" x 38 RU
Rack de Piso de 19" x 24 RU, etc.
OBSERVACION: Medida en unidades de apilamiento RU (Rack Unit).
1RU = 1.75” = 44.45 mm.
Especificaciones técnicas del rack de piso:
• Normalizados en 19".
Una estructura cerrada tiene mayores ventajas a una abierta, ya que ofrece
seguridad, protección contra el medio ambiente, permite dirigir mejor la
ventilación y circulación del aire enfriado.
También es posible elegir entre modelos de pared o de piso, dependiendo de
las facilidades de espacio, peso y densidad de concentración que requiere la red
de datos.
Gabinetes de pared:
Los gabinetes de pared cuentan con un marco
posterior con bisagra y chapa con llave que
permite abrir el armazón principal por la parte
posterior facilitando la labor de anclaje, luego de
realizado el trabajo se coloca la llave para una
mayor seguridad, adicionalmente cuenta con una
puerta frontal con llave y cristal de seguridad que
permite ver el interior del gabinete.
• Autorrealización.
• Búsqueda de reconocimiento social y Intrusión en
de un cierto estatus dentro de una co- la red o
munidad de usuarios. sistema
4. FASES DE UN ATAQUE INFOR- Motivo informático Medios
MÁTICO Diversión Conocimientos
técnicos
Lucro personal...
Herramientas
Los ataques contra redes de ordenadores y
sistemas informáticos suelen constar de las Figura 3: El “Triángulo de la Intrusión”
etapas o fases que se presentan a continuación:
En cuanto a los medios y herramientas de
• Descubrimiento y exploración del sis- disponibles en la actualidad para llevar a cabo
tema informático. sus ataques (“Hacking Tools”), podríamos citar
• Búsqueda de vulnerabilidades en el sis- las siguientes:
tema. • Escáneres de puertos, que permiten de-
• Explotación de las vulnerabilidades de- tectar los servicios instalados en un de-
tectadas (para ello, se suelen utilizar terminado sistema informático.
herramientas específicamente construi-
Resumen— Cuando se habla de seguridad en el ámbito de la Los sistemas informáticos permiten la digitalización de todo
Tecnología de la Información y Comunicaciones a menudo se este volumen de información reduciendo el espacio ocupado,
confunden los conceptos de seguridad de la información y pero, sobre todo, facilitando su análisis y procesamiento. Pero
seguridad informática. Y siendo ambos realmente importantes y aparecen otros problemas ligados a esas facilidades. Si es más
similares, hay diferencias entre ellos. fácil transportar la información también hay más posibilidades
En este artículo hablaremos sobre los conceptos de seguridad de
de que desaparezca. Si es más fácil acceder a ella también es
la información y seguridad informática y explicaremos los pilares más fácil modificar su contenido, etc.
sobre los que se basa la seguridad de la información.
Desde la aparición de los grandes sistemas aislados hasta
También tendremos en cuenta los elementos vulnerables de un nuestros días, en los que el trabajo en red es lo habitual, los
sistema informático, el concepto de amenaza, fuentes de problemas derivados de la seguridad de la información han ido
amenazas y tipos, así como las políticas de seguridad que adoptan también cambiando, evolucionando, pero están ahí y las
las organizaciones para asegurar sus sistemas o minimizar el soluciones han tenido que ir adaptándose a los nuevos
impacto que éstas pudieran ocasionar.
requerimientos técnicos. Aumenta la sofisticación en el ataque
y ello aumenta la complejidad de la solución, pero la esencia
Abstract—When we talk about security in the field of
Information Technology and Communications often the concepts
es la misma.
of information security and computer security are confused. And
being both really important and similar, there are differences La Seguridad de la Información se puede definir como
between them. conjunto de medidas técnicas, organizativas y legales que
permiten a la organización asegurar la confidencialidad,
In this article we will discuss the concepts of information security integridad y disponibilidad de un sistema de información.
and information security and explain the pillars on which the
security of the information is based. Existen también diferentes definiciones del término Seguridad
de la Información. De ellas nos quedamos con la definición
We will also consider vulnerable components of a computer
system, the concept of threat, sources and types of threats and
ofrecida por el estándar ISO/IEC 27001, que fue aprobado y
security policies that take organizations to ensure their systems publicado en octubre de 2005 por la International
or to minimize the impact that they may cause. Organization for Standardization (ISO) y por la comisión
International Electrotechnical Commission (IEC).
Índice de Términos— seguridad informática, seguridad de la
información, vulnerabilidad, amenazas, políticas de seguridad. “La seguridad de la información consiste en la preservación de
la confidencialidad, la integridad y la disponibilidad de la
información; además, también pueden estar involucradas
I. INTRODUCCIÓN otras propiedades, como la autenticidad, responsabilidad, la
confiabilidad y el no repudio.”
C uando hablamos de seguridad de la información estamos
indicando que dicha información tiene una relevancia
especial en un contexto determinado y que, por tanto, hay que II. SEGURIDAD DE LA INFORMACIÓN:
proteger. MODELO PDCA
Hasta la aparición y difusión del uso de los sistemas Dentro de la organización el tema de la seguridad de la
informáticos, toda la información de interés de una información es un capítulo muy importante que requiere
organización se guardaba en papel y se almacenaba en grandes dedicarle tiempo y recursos. La organización debe plantearse
cantidades de abultados archivadores. Datos de los clientes o un Sistema de Gestión de la Seguridad de la Información
proveedores de la organización, o de los empleados quedaban (SGSI).
registrados en papel, con todos los problemas que luego
acarreaba su almacenaje, transporte, acceso y procesamiento. El objetivo de un SGSI es proteger la información y para ello
lo primero que debe hacer es identificar los 'activos de
información' que deben ser protegidos y en qué grado.
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 2
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK En general, un sistema será seguro o confiable si podemos
– ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver garantizar tres aspectos, como se ve en la siguiente gráfica:
a repetir el ciclo.
La integridad del origen (la fuente de los datos, parte de las empresas debe estar en relación al valor de la
llamada autenticación). información a proteger.
Es importante hacer hincapié en la integridad del origen, ya La técnica más usual es la autenticación utilizando
que puede afectar a su exactitud, credibilidad y confianza que contraseñas. Este método será mejor o peor dependiendo de
las personas ponen en la información. las características de la contraseña. En la medida que la
A menudo ocurre que al hablar de integridad de la contraseña sea más grande y compleja para ser adivinada, más
información no se da en estos dos aspectos. difícil será burlar esta técnica.
Por ejemplo, cuando un periódico difunde una información Además, la contraseña debe ser confidencial. No puede ser
cuya fuente no es correcta, podemos decir que se mantiene la conocida por nadie más que el usuario. Muchas veces sucede
integridad de la información ya que se difunde por medio que los usuarios se prestan las contraseñas o las anotan en un
impreso, pero sin embargo, al ser la fuente de esa información papel pegado en el escritorio y que puede ser leído por
errónea no se está manteniendo la integridad del origen, ya cualquier otro usuario, comprometiendo a la empresa y al
que la fuente no es correcta. propio dueño, ya que la acción/es que se hagan con esa
contraseña es/son responsabilidad del dueño.
Disponibilidad: En términos de seguridad de la información, la
disponibilidad hace referencia a que la información del Para que la contraseña sea difícil de adivinar debe tener un
sistema debe permanecer accesible a elementos autorizados. conjunto de caracteres amplio y variado (con minúsculas,
mayúsculas, números y símbolos). El problema es que los
El objetivo de la disponibilidad es, entonces, prevenir usuarios difícilmente recuerdan contraseñas tan elaboradas y
interrupciones no autorizadas/controladas de los recursos utilizan (utilizamos) palabras previsibles (el nombre, el
informáticos. apellido, el nombre de usuario, el grupo musical preferido,...),
que facilitan la tarea a quién quiere entrar en el sistema sin
En términos de seguridad informática “un sistema está autorización.
disponible cuando su diseño e implementación permite
deliberadamente negar el acceso a datos o servicios Autorización: Proceso por el cual se determina qué, cómo y
determinados”. Es decir, un sistema es disponible si permite cuándo, un usuario autenticado puede utilizar los recursos de
no estar disponible. la organización.
Y un sistema 'no disponible' es tan malo como no tener El mecanismo o el grado de autorización pueden variar
sistema. No sirve. dependiendo de qué sea lo que se está protegiendo. No toda la
información de la organización es igual de crítica. Los
Podemos decir que la seguridad consiste en mantener el recursos en general y los datos en particular, se organizan en
equilibrio adecuado entre estos tres factores. No tiene sentido niveles y cada nivel debe tener una autorización.
conseguir la confidencialidad para un archivo si es a costa de
que ni tan siquiera el usuario administrador pueda acceder a él, Dependiendo del recurso la autorización puede hacerse por
ya que se está negando la disponibilidad. medio de la firma en un formulario o mediante una contraseña,
pero siempre es necesario que dicha autorización quede
registrada para ser controlada posteriormente.
IV. MECANISMOS BÁSICOS DE SEGURIDAD
En el caso de los datos, la autorización debe asegurar la
Autenticación: Verificación de la identidad del usuario, confidencialidad e integridad, ya sea dando o denegando el
generalmente cuando entra en el sistema o la red, o accede a acceso en lectura, modificación, creación o borrado de los
una base de datos. datos.
Normalmente para entrar en el sistema informático se utiliza Por otra parte, solo se debe dar autorización a acceder a un
un nombre de usuario y una contraseña. Pero, cada vez más se recurso a aquellos usuarios que lo necesiten para hacer su
están utilizando otras técnicas más seguras. trabajo, y si no se le negará. Aunque también es posible dar
autorizaciones transitorias o modificarlas a medida que las
Es posible autenticarse de tres maneras: necesidades del usuario varíen.
1. Por lo que uno sabe (una contraseña). Administración: establece, mantiene y elimina las
2. Por lo que uno tiene (una tarjeta magnética). autorizaciones de los usuarios del sistema, los recursos del
3. Por lo que uno es (las huellas digitales). sistema y las relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las
La utilización de más de un método a la vez aumenta las políticas de la organización y las autorizaciones otorgadas a un
probabilidades de que la autenticación sea correcta. Pero la formato que pueda ser usado por el sistema.
decisión de adoptar más de un modo de autenticación por
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 4
La administración de la seguridad informática dentro de la Las vulnerabilidades de los sistemas informáticos las podemos
organización es una tarea en continuo cambio y evolución ya agrupar en función de:
que las tecnologías utilizadas cambian muy rápidamente y con
ellas los riesgos. Diseño
Auditoría y registro: la Auditoría es continua vigilancia de los Debilidad en el diseño de protocolos utilizados en las
servicios en producción y para ello se recaba información y se redes.
analiza. Este proceso permite a los administradores verificar Políticas de seguridad deficiente e inexistente.
que las técnicas de autenticación y autorización utilizadas se
realizan según lo establecido y se cumplen los objetivos Implementación
fijados por la organización.
Errores de programación.
El Registro como el mecanismo por el cual cualquier intento Existencia de “puertas traseras” en los sistemas
de violar las reglas de seguridad establecidas queda informáticos.
almacenado en una base de eventos para luego analizarlo. Descuido de los fabricantes.
Pero auditar y registrar no tiene sentido sino van acompañados Uso
de un estudio posterior en el que se analice la información
recabada.
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los
Monitorear la información registrada o auditar se puede
usuarios y de los responsables de informática.
realizar mediante medios manuales o automáticos, y con una
Disponibilidad de herramientas que facilitan los
periodicidad que dependerá de lo crítica que sea la
ataques.
información protegida y del nivel de riesgo.
Limitación gubernamental de tecnologías de
seguridad.
Mantenimiento de la integridad: conjunto de procedimientos
establecidos para evitar o controlar que los archivos sufran
Vulnerabilidad del día cero
cambios no autorizados y que la información enviada desde un
punto llegue al destino inalterada. Dentro de las técnicas más
utilizadas para mantener (o controlar) la integridad de los Se incluyen en este grupo aquellas vulnerabilidades
datos están: uso de antivirus, cifrado y funciones 'hash'. para las cuales no existe una solución “conocida”,
pero se sabe cómo explotarla.
Definimos Vulnerabilidad como debilidad de cualquier tipo La denegación de servicio hace que un servicio o recurso no
que compromete la seguridad del sistema informático. esté disponible para los usuarios. Suele provocar la pérdida de
la conectividad de la red por el consumo del ancho de banda
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 5
de la red de la víctima o sobrecarga de los recursos En general lo que se busca es conseguir un nivel de privilegio
informáticos del sistema de la víctima. en el sistema que les permita realizar acciones sobre el sistema
no autorizadas.
Vulnerabilidad de ventanas engañosas (Windows
Spoofing). Podemos clasificar las personas 'atacantes' en dos grupos:
Las ventanas engañosas son las que dicen que eres el ganador Activos: su objetivo es hacer daño de alguna forma.
de tal o cual cosa, lo cual es mentira y lo único que quieren es Eliminar información, modificar o sustraerla para su
que el usuario de información. Hay otro tipo de ventanas que provecho.
si las sigues obtienen datos del ordenador para luego realizar
un ataque. Pasivos: su objetivo es curiosear en el sistema.
reglas a seguir para evitar esas amenazas o minimizar los La empresa debe disponer de un documento formalmente
efectos si se llegan a producir. elaborado sobre el tema y que debe ser divulgado entre todos
los empleados.
La política de seguridad se implementa mediante una serie de
mecanismos de seguridad que constituyen las herramientas No es necesario un gran nivel de detalle, pero tampoco ha de
para la protección del sistema. Estos mecanismos quedar como una declaración de intenciones. Lo más
normalmente se apoyan en normativas que cubren áreas más importante para que estas surtan efecto es lograr la
específicas. concienciación, entendimiento y compromiso de todos los
involucrados.
Los mecanismos de seguridad se dividen en tres grupos:
Las políticas deben contener claramente las prácticas que
Prevención: Evitan desviaciones respecto a la política de serán adoptadas por la compañía. Y estas políticas deben ser
seguridad. Ejemplo: utilizar el cifrado en la transmisión de la revisadas, y si es necesario actualizadas, periódicamente.
información evita que un posible atacante capture (y entienda)
información en un sistema de red. Las políticas deben:
Detección: Detectan las desviaciones si se producen, Definir qué es seguridad de la información, cuáles
violaciones o intentos de violación de la seguridad del sistema. son sus objetivos principales y su importancia dentro
Ejemplo: la herramienta DLP para la seguridad de los de la organización.
archivos. Mostrar el compromiso de sus altos cargos con la
misma.
Recuperación: Se aplican cuando se ha detectado una Definir la filosofía respecto al acceso a los datos.
violación de la seguridad del sistema para recuperar su normal Establecer responsabilidades inherentes al tema.
funcionamiento. Ejemplo: las copias de seguridad. Establecer la base para poder diseñar normas y
procedimientos referidos a Organización de la
Dentro del grupo de mecanismos de prevención tenemos: seguridad.
Clasificación y control de los datos.
Mecanismos de identificación e autenticación: Permiten Seguridad de las personas.
identificar de forma única 'entidades' del sistema. El proceso Seguridad física y ambiental.
siguiente es la autenticación, es decir, comprobar que la Plan de contingencia.
entidad es quien dice ser.
Prevención y detección de virus.
Administración de los computadores.
En concreto los sistemas de identificación y autenticación de
los usuarios son los mecanismos más utilizados.
A partir de las políticas se podrá comenzar a desarrollar,
primero las normas, y luego los procedimientos de seguridad
Mecanismos de control de acceso: Los objetos del sistema
que serán la guía para la realización de las actividades.
deben estar protegidos mediante mecanismos de control de
acceso que establecen los tipos de acceso al objeto por parte
La política de seguridad comprende todas las reglas de
de cualquier entidad del sistema.
seguridad que sigue una organización. Por lo tanto, la
administración de la organización en cuestión debe encargarse
Mecanismos de separación: Si el sistema dispone de diferentes
de definirla, ya que afecta a todos los usuarios del sistema.
niveles de seguridad se deben implementar mecanismos que
permitan separar los objetos dentro de cada nivel.
La seguridad informática de una compañía depende de que los
empleados (usuarios) aprendan las reglas a través de sesiones
Los mecanismos de separación, en función de cómo separan
de capacitación y de concienciación.
los objetos, se dividen en los grupos siguientes: separación
física, temporal, lógica, criptográfica y fragmentación.
Sin embargo, la seguridad debe ir más allá del conocimiento
de los empleados y cubrir las siguientes áreas:
Mecanismos de seguridad en las comunicaciones: La
protección de la información (integridad y privacidad) cuando
viaja por la red es especialmente importante. Clásicamente se Un mecanismo de seguridad física y lógica que se
utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el adapte a las necesidades de la compañía y al uso de
tráfico por la red. los empleados.
Un procedimiento para administrar las
El objetivo de la Política de Seguridad de Información de una actualizaciones.
organización es, por un lado, mostrar el posicionamiento de la Una estrategia de realización de copias de seguridad
organización con relación a la seguridad, y por otro lado servir planificada adecuadamente.
de base para desarrollar los procedimientos concretos de Un plan de recuperación luego de un incidente.
seguridad. Un sistema documentado actualizado.
Universidad Piloto de Colombia. Calderón. Seguridad informática y seguridad de la información 7
REFERENCIAS
[1]http://windowsupdate.microsoft.com
[2]http://www.intendenciaatacama.gov.cl/filesapp/Manual%20
debuenas%20practicas%20politicas%20de%20seguridad.pdf
[3]http://www.welivesecurity.com/wp-
content/uploads/2014/01/buenas_practicas_seguridad_informa
tica.pdf
[4]http://repositorio.utp.edu.co/dspace/bitstream/11059/2514/1
/0058A973.pdf