SEGURIDAD EN TI

INTRODUCCION
La incorporacin acelerada de Tecnologas de informacin en la empresas ha dado paso a nuevos retos, entre los mas importantes encontramos la seguridad de estos sistemas, la constante intromisin de personas ajenas a la informacin de las empresas ha motivado a las compaas a adoptar todas las medidas de seguridad pertinentes, la implementacin puede ser costosa pero no imaginamos ya la comunicacin de estas empresas sin su conexin a intranets y su comunicacin al exterior a travs del Internet es pieza clave en sus operaciones diarias. El escenario de la comunicacin y el intercambio de la misma no es remoto, ni alejado de la realidad, es una actividad diaria de las empresas.

Ataques y Agresores
Existen varios tipos de ataques y agresores en un sistema informtico, los podemos dividir en dos grandes grupos: Ataques pasivos: No modifican la informacin contenida en los sistemas. Ni el estado del sistema ni su operacin son alterados.

Ataques activos: Estos implican la modificacin de la informacin contenida en un sistema. Esto puede alterar el estado del sistema o su operacin.
Virus

El virus es un programa que se replica a si mismo en una red o en un sistema. La infeccin del sistema se realiza al copiar el cdigo del virus dentro de otro programa en el sistema o inclusive en otro sistema. Se mete en programas ejecutables donde es difcil su deteccin. Y obviamente al ejecutar los programas se activa permitiendo la propagacin.

Gusanos Un gusano es un programa que se replica a s mismo copindose en cada host de la red, su objetivo es acceder de manera ilegal a los sistemas.

Bugs (Bicho) Un bug va a ser cualquier error introducido de manera accidental en un programa. Un bug en un sistema operativo u otros programas se vuelve un gran problema ya que afecta el funcionamiento en general del sistema.

Seguridad en la empresa
Un sistema debe tener protegida su informacin, se tienen los siguientes atributos para la seguridad : Confidencialidad.- se refiere a tener la informacin restringida a aquellos sujetos que no tienen autorizacin, solamente usuarios definidos por la direccin de la empresa tendrn acceso a la informacin. Integridad.- para la empresa es muy importante que su informacin se mantenga sin modificacin y que los sujetos que estn autorizados para hacerlo trabajen bajo estrictas normas de operacin. Disponibilidad.- es muy importante que la informacin de los sistemas est disponible en cualquier momento que lo necesiten los usuarios designados o procesos autorizados.

Polticas de Seguridad

A la descripcin, bajo la forma de reglas, en la que se incluyan las propiedades de integridad, confidencialidad y disponibilidad, en la medida requerida por una organizacin, se le conoce como Polticas de seguridad. El objetivo de las polticas de seguridad es definir qu estn haciendo los usuarios con la informacin de la empresa, se deber hacer un buen uso de los recursos de hardware y software y por supuesto eficientizar los costos. Cada uno de los procesos administrativos o tcnicos que se manejen en los sistemas de informacin debern contar con su propia poltica de seguridad, los atributos descritos con anterioridad debern ser aplicados al definir estas polticas. El departamento de informtica deber tener amplios conocimientos en el uso y aplicacin de las herramientas de seguridad.

Servicios
Los servicios de seguridad propuestos por OSI en la norma ISO 7498-2 se presentan a continuacin: Servicio de Autentificacin Este nos sirve para verificar la identidad del sujeto y manejo de datos, para implementarlo se emplean los passwords entre otros.

Servicio de Control de acceso Es una proteccin contra el uso no autorizado del sistema. Se aplica a todo tipo de acceso a la informacin como transferencia, escritura, lectura y ejecucin. Cada acceso debe ser verificado en funcin de los privilegios del sujeto y los atributos de la informacin.

Servicio de Confidencialidad Este servicio es muy importante ya que va a prevenir la divulgacin no autorizada de los datos del sistema. Se aplica tanto a los datos de los hosts locales como a los datos en trnsito sobre la red. Se utiliza mucho el encriptamiento en la confidencialidad en conexin para evitar el secuestro de la informacin. Cada archivo debe tener derechos de lectura y ejecucin adecuados.

Servicio de Integridad de Datos Este servicio va a proteger los datos contra ataques activos. Detecta cualquier modificacin, insercin, borrado o repeticin de los datos, se puede tener integridad de conexin con recuperacin, integridad de conexin sin recuperacin, integridad de recuperacin en campos selectos, integridad en modo no-conexin e integridad en modo no-conexin en campos selectos.

Servicio de No-repudiacin Este servicio va a no permitir a un emisor el negar haber enviado un mensaje, ni permite a un receptor el negar haber recibido un mensaje, se tienen dos formas: No-repudiacin con prueba de origen y No-repudiacin con prueba de entrega.

Servicio de Control de Flujo A todo lo anterior debe agregarse uno adaptado a las redes clasificadas, un control de flujo de datos seguro. Va a proteger contra flujos de datos prohibidos, sean accidentales o intencionales.

Planeacin de la Seguridad
Se debe identificar que es lo que se va a proteger, por tanto se tiene los siguientes pasos a ejecutar: *Lista de objetos a definir como son las computadoras, el software, los routers y los cables entre otros. *Categorizarlos *Asignar una mtrica. *Priorizar: asignar cul es el mas importante.

La planeacin se enfoca en cmo se va a lograr la proteccin y cuando se va a proteger, debe planearse en conjunto pero observando las caractersticas propias del software, hardware, recuperacin en caso de desastre, la educacin de los usuarios, las necesidades de crecimiento, la auditora para todos los procesos del sistema de informacin.

En la implementacin se deber evaluar las opciones disponibles en el mercado en base a niveles de servicio e informacin de la operacin de la empresa para identificar si poseen el nivel de capacitacin adecuado para soportar el servicio de apoyo al sistema. Se deber incluir un perodo de prueba y entrenamiento a todos niveles. La revisin deber incluir monitorizar la red, la auditora, la poltica de respaldo de archivos y la periodicidad que se tiene para efectuar una revisin de las polticas teniendo al menos una cada seis meses. Se deber tener en cuenta cuales son las prioridades de la empresa, la seguridad que quiera o pueda implementar, el rendimiento de la red, disponibilidad del servicio entre otros.

Internet e Intranets
Internet La red Internet ha ampliado los horizontes de los sistemas de informacin, ha convertido a la bsqueda de informacin en algo rutinario y rpido, ha dado muchas ventajas en manejo de grandes volmenes de informacin e intercambio entre usuarios y una gran conectividad a travs de todo el mundo. Existen tambin graves problemas por la distribucin de la informacin a cualquier nivel quedando esto bajo la responsabilidad de los usuarios que en muchas ocasiones no respetan las normas. Otro problema es la tendencia a convertir a la Internet como un medio accesible y cmodo para las transacciones comerciales, la seguridad que deben tener estos sistemas es permanente y en constante evolucin. La presencia de hackers y craker en la red presenta nuevo retos para alcanzar una mxima seguridad en el manejo de la informacin. Las empresas tienen interconectadas todas sus redes internas existentes, utilizando con frecuencia la misma tecnologa que Internet. Estas intranets solo son accesibles slo dentro de la empresa pero, por otra parte, funcionan de la misma manera que Internet

Ventajas

Se pueden mencionar los siguientes puntos que marcan la ventaja en esta red:
* Transferencia de archivos, el manejo de envo y recepcin de archivos ahorra tiempo y dinero en el manejo de la informacin.

* Acceso a la Informacin rpido y econmicamente accesible que un fax o llamadas telefnicas.

* Correo electrnico llamado e-mail es ahora una de las formas mas productivas para comunicarse con personas de todo el mundo en minutos lo cual provoca un panorama de mxima eficiencia. * Anlisis cientficos, la bsqueda en bases de datos indexadas se ha vuelto rutinaria en los estudiantes y los conceptos se incorporan mas rpidamente ya que se tiene un fcil acceso a la informacin.

* Anlisis comerciales, la investigacin de productos se hace mas corta al igual que el intercambio de experiencias en los diferentes productos. Se pueden comparar artculos, grupos y compaas ampliando as la capacidad de decisin de los tomadores de decisiones lo cual crea ventajas competitivas y estimula las economas de escala.

Intranet Segn Jos Luis Garca Trejo la Intranet es un trmino ampliamente utilizado para describir la aplicacin de tecnologas de Internet en redes corporativas internas. Generalmente los negocios utilizan Internet para publicar y compartir informacin de manera ms efectiva a travs de la aplicacin de paradigmas de presentacin y relacin de informacin utilizados por Internet. Es la combinacin de dos tecnologas: la primera es una red de rea local la cual est asignada a una compaa o a un grupo de stas, la segunda es la facilidad de uso encontrada en Internet, especficamente en la tecnologa WWW.

En una red corporativa de grandes empresas actuales se esta utilizando las tecnologas de Internet, la puesta a disposicin de la informacin a varios niveles de la empresa ayuda a distribuir informacin clave como polticas y procedimientos de la empresa as como su visin y misin.

Diferencia entre Internet e Intranet La diferencia entre Internet y la Intranet es que sta ltima es la red privada de una empresa y esta dentro de la Internet. La Intranet hereda toda la tecnologa de Internet incluyendo el Groupware.

El Groupware se refiere al correo electrnico, el flujo de informacin compartido y el workflow que son la estructura de procesos y la automatizacin.
Una Intranet, al igual que cualquier red al ir creciendo va presentando mayor complejidad y la seguridad se vuelve prioridad.

Firewalls
La conectividad inmediata de las PCs se convierte en un problema para los administradores de red y seguridad informtica. Las empresas con intranets funcionando poseen una gran cantidad de informacin confidencial en lnea; el mal manejo de esta informacin puede ocasionar graves daos y prdidas a las compaas. Otro peligro es la infiltracin de virus, bugs y gusanos entre otros pueden abrir orificios y violar la seguridad, destruir los datos de las compaas y hacer que los administradores pierdan tiempo tratando de arreglar el dao que se ha hecho. Generalmente estos ataques son ocasionados por los mismos empleados que bajan programas sin control de la red con el pensamiento ignorante de que no suceder nada. Una forma de proteccin de la informacin es utilizar los IP. Este mtodo protege a los datos en trnsito entre los sitios seguros, sin embargo no es suficiente para mantener fuera de la LAN a los virus y dems agresores del sistema. Los Firewalls tambin conocidos como servidores de seguridad son una forma de seguridad que obliga a que todo el trfico de una o varias LANs conectadas pasen a travs de un puente electrnico.

La seguridad de los sistemas de informacin depender del tipo de sistema al que se recurra, existen muchas opciones en el mercado, es responsabilidad de los tomadores de decisiones investigar a fondo en cada una de ellas y encontrar la factibilidad de operacin de la opcin elegida, para de esta manera hacer mas eficiente y segura la operacin de la empresa y econmicamente rentable. El uso de los Sistemas de Informacin para maximizar las utilidades y reducir los precios se vuelve imprescindible y por supuesto el manejo de la seguridad se vuelve una pieza clave en la consecucin de estos objetivos. Cada vez mas los Sistemas de Informacin se incorporan a todas las empresas, las empresas cada vez dependen mas del uso de las intranets, y su incorporacin a WWW es inminente por eso asegurar su informacin se vuelve pieza clave en su planeacin estratgica para asegurar que su informacin no caiga en manos inadecuadas, se necesita personal comprometido con la empresa, que sea pieza clave en el aseguramiento de la informacin, por tal razn se necesitan polticas y procedimientos de seguridad claros y fciles de comprender e implementar, es otro compromiso que adquieren los administradores de red.

CONCLUSIONES
La seguridad de los sistemas de informacin depender del tipo de sistema al que se recurra, existen muchas opciones en el mercado, es responsabilidad de los tomadores de decisiones investigar a fondo en cada una de ellas y encontrar la factibilidad de operacin de la opcin elegida, para de esta manera hacer mas eficiente y segura la operacin de la empresa y econmicamente rentable. El uso de los Sistemas de Informacin para maximizar las utilidades y reducir los precios se vuelve imprescindible y por supuesto el manejo de la seguridad se vuelve una pieza clave en la consecucin de estos objetivos. Cada vez mas los Sistemas de Informacin se incorporan a todas las empresas, las empresas cada vez dependen mas del uso de las intranets, y su incorporacin a WWW es inminente por eso asegurar su informacin se vuelve pieza clave en su planeacin estratgica para asegurar que su informacin no caiga en manos inadecuadas, se necesita personal comprometido con la empresa, que sea pieza clave en el aseguramiento de la informacin, por tal razn se necesitan polticas y procedimientos de seguridad claros y fciles de comprender e implementar

WikiLeaks Cmo fue que un soldado rob y filtr el mayor botn de secretos
Todo fue posible gracias a Lady Gaga, podra decirse. Da tras da, el joven soldado Bradley Manning un analista de inteligencia del ejrcito estadounidense, de 22 aos, movilizado en Irak, entraba a las oficinasde informtica de una base de EE.UU. en Bagdad, y copiaba en un CD falso de la excntrica cantante miles de documentos secretos que luego entreg a Wikileaks. Nadie sospech nada. Fue extremadamente fcil. Tuve acceso a los servidores 14 horas al da los siete das a la semana durante ocho meses, le confes Manning por chat a un amigo hacker, Adrian Lamo, 29, quien termin denuncindolo al Pentgono .

Bajo el alias de Bradass87, Manning chateaba con Lamo y le dijo: Entraba a la sala de informtica con un CD regrabable de msica que deca Lady Gaga, borraba la msica y grababa un archivo comprimido con la informacin secreta. Nadie sospech nunca nada y probablemente nunca lo sabrn. Manning estaba entusiasmado y sigui contando: Hillary Clinton y miles de diplomticos del mundo van a tener un infarto cuando se levanten un da y sepan que el contenido de esos documentos es de dominio pblico.

Rubio y casi un adulto, el joven soldado cont a su amigo hacker haber visto documentos con manejos polticos casi criminales; la versin anti relaciones pblicas de los hechos y las crisis del mundo. Y mientras se llevaba en un CD lo que posiblemente sea la mayor prdida de datos en la historia estadounidense, Manning tarareaba la cancin Telephone, de Lady Gaga, segn l mismo le cont a su amigo hacker.

Bradass87 le sugiri a Lamo que alguien que conozco ntimamente haba estado descargando y comprimiendo y cifrando todos estos datos y subindoselos a alguien que identific como Julian Assange, el fundador de Wikileaks.