¿Cómo funciona Internet?
Desde su aparición, Internet ha funcionado gracias a la colaboración entre distintas partes, llamadas partidos de cooperación. Ciertas funciones claves han sido críticas para su operatividad, siendo la más importante entre ellas la especificación de protocolos de comunicación, por medio de los cuales operan los componentes del sistema. Estos fueron originalmente desarrollados en el programa de investigación DARPA, pero en los últimos años este trabajo ha abarcado un espectro de influencias mucho mayor. Actualmente, además de los protocolos TCP/IP, existen nuevos, tales como: El conjunto de protocolos Open System Interconnection (OSI) , promulgados por la International Standards Organization (ISO) , que tratan de definir de un modo más amplio cómo ciertas aplicaciones deben ser realizadas: mensajería electrónica, conexiones online y transferencia de ficheros.
El apoyo “regional” en Internet es proporcionado por varios consorcios de redes/networks y el apoyo “local” está a cargo de las instituciones de investigación y de educación. Gran parte de la ayuda que la comunidad de Internet recibe proviene del gobierno federal y estatal de los Estados Unidos, puesto que el Internet era originalmente parte de un programa de investigación federal-financiado, que posteriormente se ha convertido en una parte esencial de la infraestructura de la investigación de dicho país. Tanto lo relacionado con el dominio público como las implementaciones comerciales de los cien protocolos del TCP/IP estuvieron disponibles a partir de fines de los ochentas. Es precisamente en esa época cuando la población de usuarios de Internet y de componentes de la red se amplió internacionalmente y comenzó a incluir recursos de corte comercial. De hecho, gran parte del sistema hoy en día se compone de redes privadas que brindan facilidades a nivel mundial en el plano educacional, de instituciones de investigación, de negocios y gubernamentales; la industria, asimismo, ha aportado una considarable contribución, dando origen a una nueva etapa en el desarrollo de la red.
Por otro lado, en Europa y en otras partes del mundo, el apoyo proviene de esfuerzos de cooperatividad internacional y de organizaciones de investigación locales. Durante el curso de su evolución, particularmente después de 1989, el sistema de Internet empezó a integrar soportes a otras áreas de los protocolos en cuanto al establecimiento de la red se refiere. A principios de 1990, los protocolos de OSI también se pusieron en práctica, y hacia fines del año siguiente, Internet había crecido hasta incluir alrededor de 5,000 redes en más de 36 países, sirviendo a un número mayor a de 700,000 computadoras host/ cliente, utilizadas por más de 400,000 personas.
Actualmente el énfasis en el sistema está en el trabajo de integración multiprotocolar, y en particular , en la integración de los protocolos del OSI (Open Systems Interconnection ) a su configuración.
Desde finales de los años 80, la red Internet ha crecido exponencialmente a nivel de número de redes conectadas, como de ordenadores y de tráfico. Además, el porcentaje de usuarios del ámbito comercial y empresarial crece rápidamente.
En 1992 Internet conectaba más de un millón de “hosts” (ordenadores “madre” que daban acceso a los usuarios finales) y enlazaba más de 10.000 redes de 50 países.
Niveles Físico y de enlace: Ethernet
Los protocolos que pertenecen al nivel de enlace o interfaz de red de Internet (niveles físico y de enlace en el modelo OSI) deben añadir más información a los datos provenientes de IP para que la transmisión pueda realizarse. Es el caso, por ejemplo, de las redes Ethernet, de uso muy extendido actualmente. Este tipo de redes utiliza su propio sistema de direcciones, junto con una nueva cabecera para los datos.
Las redes locales Ethernet son posiblemente la tecnología que domina en Internet. Este tipo de redes fue desarrollado por Xerox durante los años 70, y entre sus características podemos destacar su alto nivel de rendimiento, la utilización de cable coaxial para la transmisión, una velocidad de 10Mbit/seg. y CSMA/CD como técnica de acceso.
Ethernet es un medio en el que todos los ordenadores pueden acceder a cada uno de los paquetes que se envían, aunque un ordenador sólo tendrá que prestar atención a aquellos que van dirigidos a él mismo.
La técnica de acceso CSMA/CD (Carrier Sense and Multiple Access with Collition Detection) permite a que todos los dispositivos puedan comunicarse en el mismo medio, aunque sólo puede existir un único emisor en cada instante. De esta manera todos los sistemas pueden ser receptores de forma simultánea, pero la información tiene que ser transmitida por turnos. Si varios dispositivos intentan transmitir en el mismo instante la colisión es detectada, de forma que cada uno de ellos volverá a intentar la transmisión transcurrido un pequeño intervalo de tiempo aleatorio.
La cabecera Ethernet consta de 14 bytes, en los que se incluyen 3 campos: La dirección de origen (48 bit), la dirección de destino (48 bit), y el código de tipo (16 bit) que se utiliza para permitir el uso de diferentes protocolos en la misma red (TCP/IP es uno de ellos). El checksum o campo de detección de errores (32 bit) no se incluye en la cabecera Ethernet, sino que se sitúa al final del mensaje, y se calcula a partir de todos los datos del paquete completo. A estos datos hay que sumar un campo de una longitud de 64 bit que se envía inmediatamente antes de la cabecera, y cuya misión es sincronizar la línea para marcar el momento en que comienzan los datos del paquete completo.
Es importante notar que las direcciones utilizadas por Ethernet no guardan ninguna relación con las direcciones de Internet. Así como las direcciones IP de Internet son asignadas por el usuario, las direcciones Ethernet se asignan “de fábrica”. Esta es la razón por la que se utilizan 48 bit en las direcciones, ya que de esta manera se obtiene un número lo suficientemente elevado de direcciones como para asegurar que no sea necesario repetir los valores.
En una red Ethernet los paquetes son transportados de un ordenador a otro de manera que son visibles para todos, siendo necesario un procedimiento para identificar los paquetes que pertenecen a cada ordenador. Cuando el paquete es recibido en el otro extremo, la cabecera y el checksum se retiran, se comprueba que los datos corresponden a un mensaje IP, y este mensaje se pasa al protocolo IP para que sea procesado.
El tamaño máximo para un paquete de datos varía de unas redes a otras. En el caso de Ethernet el tamaño puede ser de 1500 bytes, para otras redes puede ser menor o bastante mayor en el caso de redes muy rápidas. Aquí surge otro problema, pues normalmente los paquetes de tamaño mayor resultan más eficientes para transmitir grandes cantidades de información. Sin embargo, se debe tener en cuenta que las redes del receptor y el emisor pueden ser muy distintas. Por este motivo el protocolo TCP está preparado para negociar el tamaño máximo de los datagramas que serán enviados durante el resto de la conexión. Pero así el problema no queda completamente resuelto porque hasta que los paquetes lleguen a su destino es muy probable que tengan que atravesar otras redes intermedias, las cuales puede que no sean capaces de soportar el tamaño de los paquetes que se está enviando. Se hace necesario entonces dividir el paquete original en otros más pequeños para que puedan ser manejados: Esto se conoce como fragmentación (fragmentation).
La fragmentación es posible gracias a determinados campos que el protocolo IP introduce en su cabecera. Estos campos de fragmentación se usan cuando ha sido necesario dividir el paquete enviado originalmente, de manera que éste pueda ser reconstruido por el host receptor a través del protocolo TCP/IP. Este último proceso de reconstrucción de los paquetes se conoce como “reensamblaje” (reassembly).
ARP (Address Resolution Protocol)
El Protocolo de Resolución de Direcciones (ARP) es necesario debido a que las direcciones Ethernet y las direcciones IP son dos números distintos y que no guardan ninguna relación. Así, cuando pretendemos dirigirnos a un host a través de su dirección de Internet se necesita convertir ésta a la correspondiente dirección Ethernet.
ARP es el protocolo encargado de realizar las conversiones de dirección correspondientes a cada host. Para ello cada sistema cuenta con una tabla con la dirección IP y la dirección Ethernet de algunos de los otros sistemas de la misma red. Sin embargo, también puede ocurrir que el ordenador de destino no se encuentre en la tabla de direcciones, teniendo entonces que obtenerla por otros medios.
Con la finalidad de obtener una dirección Ethernet destino que no se encuentra en la tabla de conversiones se utiliza el mensaje ARP de petición. Este mensaje es enviado como broadcast, es decir, que estará disponible para que el resto de los sistemas de la red lo examinen, y el cual contiene una solicitud de la dirección final de un sistema a partir de su dirección IP. Cuando el ordenador con el que se quiere comunicar analiza este mensaje comprueba que la dirección IP corresponde a la suya y envía de regreso el mensaje ARP de respuesta, el cual contendrá la dirección Ethernet que se estaba buscando. El ordenador que solicitó la información recibirá entonces el mensaje de respuesta y añadirá la dirección a su propia tabla de conversiones para futuras referencias.
El mensaje de petición ARP contiene las direcciones IP y Ethernet del host que solicita la información, además de la dirección IP del host de destino. Estos mensajes son aprovechados en algunas ocasiones también por otros sistemas de la red para actualizar sus tablas, ya que el mensaje es enviado en forma de broadcast. El ordenador de destino, una vez que ha completado el mensaje inicial con su propia dirección Ethernet, envía la respuesta directamente al host que solicitó la información.
Wiki
El término Wiki es de origen hawaiano que significa: rápido. Comúnmente para abreviar esta palabra se utiliza Wiki y en términos tecnológicos es un software para la creación de contenido de forma colaborativa.
Wiki es el nombre que el programador de Oregón, Ward Cunningham, escogió para su invento, en 1994: un sistema de creación, intercambio y revisión de información en la web, de forma fácil y automática.
Todos hemos escuchado de la famosa enciclopedia que se dio a conocer en el 2001 denominada Wikipedia, la cual hoy aglutina más de un millón de artículos en Inglés y 100,000 en español. Esta enciclopedia permite a los usuarios accesar y modificar sus contenidos.
Un Wiki sirve para crear páginas web de forma rápida y eficaz, además ofrece gran libertad a los usuarios, incluso para aquellos usuarios que no tienen muchos conocimientos de informática ni programación, permite de forma muy sencilla incluir textos, hipertextos, documentos digitales, enlaces y demás.
La finalidad de un Wiki es permitir que varios usuarios puedan crear páginas web sobre un mismo tema, de esta forma cada usuario aporta un poco de su conocimiento para que la página web sea más completa, creando de esta forma una comunidad de usuarios que comparten contenidos acerca de un mismo tema o categoría.
¿Entonces, qué es un Wiki, en síntesis?
Se le llama Wiki a las páginas Web con enlaces, imágenes y cualquier tipo de contenido que puede ser visitada y editada por cualquier persona. De esta forma se convierte en una herramienta Web que nos permite crear colectivamente documentos sin que se realice una aceptación del contenido antes de ser publicado en Internet. Un ejemplo claro: Wikipedia, un proyecto para desarrollar una enciclopedia libre en Internet.
¿Cómo publicar?
Para publicar en un Wiki el usuario no necesita conocer ninguna clase de sintaxis especial. Simplemente pulsa sobre “editar” en la página que quieras editar y escribe. Si quieres utilizar algún formato puedes utilizar los botones situados encima del área de texto.
Licencia
Ten en cuenta que al añadir contenido al wiki este quedará publicado bajo la licencia Atribución 2.0 de Creative Commons, que permite a cualquiera copiar, distribuir y comunicar públicamente la obra; hacer obras derivadas y hacer un uso comercial del contenido siempre y cuando se reconozca y cite el autor original.
Actividad sugerida. Leer sobre Creative Commons.
Los Wiki se han vuelto cada vez más populares y aunque existen otras ofertas de productos que te permiten publicar información y obtener retroalimentación de tus lectores, no podemos negar que el compartir información a través de una comunidad dedicada a un tema específico suele ser más divertido.
Un blog, o en español también una bitácora, es un sitio web periódicamente actualizado que recopila cronológicamente textos o artículos de uno o varios autores, apareciendo primero el más reciente, donde el autor conserva siempre la libertad de dejar publicado lo que crea pertinente. El término blog proviene de las palabras web y log (‘log’ en inglés = diario). El término bitácora, en referencia a los antiguos cuadernos de bitácora de los barcos, se utiliza preferentemente cuando el autor escribe sobre su vida propia como si fuese un diario, pero publicado en Internet en línea. Una aplicación web híbrida (mashup o remezcla), es un sitio web o aplicación web que usa contenido de otras aplicaciones Web para crear un nuevo contenido completo, consumiendo servicios directamente siempre a través de protocolo http. El contenido usado en un mashup es típicamente usado de terceros a través de una interfaz pública o usando un API. Otros métodos que constituyen el origen de sus datos incluyen: sindicadores web (RSS o Atom) , Screen scraping …Así como los weblogs han revolucionado la publicación en línea, los mashups están revolucionando el desarrollo web, permitiendo que cualquiera combine, de forma innovadora, datos que existen en eBay, Amazon, Google, Windows Live y Yahoo!. Las grandes facilidades brindadas por simples y ligeras API’s han hecho que los mashups sean relativamente fáciles de diseñar. El que se requiera de mínimos conocimientos técnicos ha hecho que los mashups sean creados en su mayoría de casos por innovadores, quienes combinan en formas nuevas y creativas datos disponibles públicamente. Así como hay mashups muy útiles, existen otros que no pasan de sólo ser novedosos o publicitarios, con mínima utilidad práctica. Los defensores e impulsores de las aplicaciones Web 2.0 expresan que los mashups son un ejemplo de este nuevo movimiento con sus usuarios en activa participación e interacción. Enterprise 2.0 es el “uso de plataformas de softwares sociales emergentes dentro de las empresas, o entre empresas y sus proveedores y clientes” en donde:
Plataforma: Ambiente digital en donde las contribuciones e interacciones son globalmente visibles y permanentes en el tiempo, Emergente: Significa que el software es LIBRE y que contiene mecanismos que permiten patrones y estructuras inherentes en las interacciones de las personas siendo visibles en el tiempo Libre: Significa que el software debe al menos poseer alguno o todos los siguientes elementos opcional igualitario o indiferente a individuos formales en una organización (no respeta jerarquías) acepta varios tipos de datos, En el ejemplo, el empresario no contaba con que el wiki permitía comentarios libres, sin moderadores ni jerarquías, y que haberle dejado todo el trabajo de implementación al técnico en programación (no tengo nada en contra de ellos 
) sin participar de por lo menos alguna reunión de avance no fue la mejor idea.(Language), un sistema para definir tipos de documentos estructurados y lenguajes de marcas para representar esos mismos documentos. El término HTML se suele referir a ambas cosas, tanto al tipo de documento como al lenguaje de marcas.
A medida que nos afianzamos en el manejo de Internet cada uno de nosotros pasa por tres etapas diferentes: Al principio solamente conocemos unas pocas páginas, luego nos damos cuenta que existen buscadores lo cual lo hace más interesante y por último nos damos cuenta que en Internet no solamente se puede ver la información sino que también se puede publicar. ¿y qué otra manera más fácil y más sencilla? Si Internet tiene acceso a todos los rincones del mundo.
Para que varias personas se comuniquen es necesarios que éstas hablen un mismo idioma. El lenguaje que utilizan las computadoras que están conectadas a Internet es HTML.
¿Que es el HTML? El HTML, Hyper Text Markup Language (Lenguaje de marcación de Hipertexto) es el lenguaje de marcas de texto utilizado normalmente en la www (World Wide Web). Fue creado en 1986 por el físico nuclear Tim Berners-Lee; el cual tomo dos herramientas preexistentes: El concepto de Hipertexto (Conocido también como link o ancla) el cual permite conectar dos elementos entre si y el SGML (Lenguaje Estándar de Marcación General) el cual sirve para colocar etiquetas o marcas en un texto que indique como debe verse. HTML no es propiamente un lenguaje de programación como C++, Visual Basic, etc., sino un sistema de etiquetas. HTML no presenta ningún compilador, por lo tanto algún error de sintaxis que se presente éste no lo detectará y se visualizara en la forma como éste lo entienda.
El entorno para trabajar HTML es simplemente un procesador de texto, como el que ofrecen los sistemas operativos Windows (Bloc de notas), UNIX (el editor vi o ed) o el que ofrece Office (Word). El conjunto de etiquetas que se creen, se deben guardar con la extensión .htm o .html
Estos documentos pueden ser mostrados por los visores o “browsers” de paginas Web en Internet, como Safari, Netscape Navigator, Mosaic, Opera, Mozilla firefox y Microsoft Internet Explorer.
También existe el HTML Dinámico (DHTML), que es una mejora de Microsoft de la versión 4.0 de HTML que le permite crear efectos especiales como, por ejemplo, texto que vuela desde la página palabra por palabra o efectos de transición al estilo de anuncio publicitario giratorio entre página y página. Active Server Pages (ASP) es una tecnología del lado servidor de Microsoft para páginas web generadas dinámicamente, que ha sido comercializada como un anexo a Internet Information Server (IIS). La tecnología ASP está estrechamente relacionada con el modelo tecnológico de su fabricante. Intenta ser solución para un modelo de programación rápida ya que programar en ASP es como programar en VisualBasic, por supuesto con muchas limitaciones ya que es una plataforma que no se ha desarrollado como lo esperaba Microsoft. Lo interesante de este modelo tecnológico es poder utilizar diversos componentes ya desarrollados como algunos controles ActiveX. Otros problemas que han hecho evolucionar esta tecnología es el no disponer de información “que oriente a quienes desean aprenderla y resulta muy costosa en tiempo descubrir aquí y allá toda la información para volverla altamente útil”.ASP ha pasado por cuatro iteraciones mayores, ASP 1.0 (distribuido con IIS 3.0), ASP 2.0 (distribuido con IIS 4.0), ASP 3.0 (distribuido con IIS 5.0) y ASP.NET (parte de la plataforma .NET de Microsoft). Las versiones pre-.NET se denominan actualmente (desde 2002) como ASP clásico.En el último ASP clásico, ASP 3.0, hay seis objetos integrados disponibles para el programador, Application, ASPError, Request, Response, Server y Session. Cada objeto tiene un grupo de funcionalidades frecuentemente usadas y útiles para crear páginas web dinámicas.Las páginas pueden ser generadas mezclando código de scripts del lado del servidor (incluyendo acceso a base de datos) con HTML. Por ejemplo:Una base de datos o banco de datos es un conjunto de datos que pertenecen al mismo contexto almacenados sistemáticamente para su posterior uso. En este sentido, una biblioteca puede considerarse una base de datos compuesta en su mayoría por documentos y textos impresos en papel e indexados para su consulta. En la actualidad, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos tienen formato electrónico, que ofrece un amplio rango de soluciones al problema de almacenar datos. En informática existen los sistemas gestores de bases de datos (SGBD), que permiten almacenar y posteriormente acceder a los datos de forma rápida y estructurada. Las propiedades de los sistemas gestores de bases de datos se estudian en informática. Las aplicaciones más usuales son para la gestión de empresas e instituciones públicas. También son ampliamente utilizadas en entornos científicos con el objeto de almacenar la información experimental. Aunque las bases de datos pueden contener muchos tipos de datos, algunos de ellos se encuentran protegidos por las leyes de varios países. Por ejemplo en España, los datos personales se encuentran protegidos por la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).
Según la variabilidad de los datos almacenados
Bases de datos estáticas
Éstas son bases de datos de sólo lectura, utilizadas primordialmente para almacenar datos históricos que posteriormente se pueden utilizar para estudiar el comportamiento de un conjunto de datos a través del tiempo, realizar proyecciones y tomar decisiones.
Bases de datos dinámicas
Éstas son bases de datos donde la información almacenada se modifica con el tiempo, permitiendo operaciones como actualización y adición de datos, además de las operaciones fundamentales de consulta. Un ejemplo de esto puede ser la base de datos utilizada en un sistema de información de una tienda de abarrotes, una farmacia, un videoclub, etc.
Según el contenido
Bases de datos bibliográficas
Solo contienen un surrogante (representante) de la fuente primaria, que permite localizarla. Un registro típico de una base de datos bibliográfica contiene información sobre el autor, fecha de publicación, editorial, título, edición, de una determinada publicación, etc. Puede contener un resúmen o extracto de la publicación original, pero nunca el texto completo, porque sino estaríamos en presencia de una base de datos a texto completo (o de fuentes primarias—ver más abajo). Como su nombre lo indica, el contenido son cifras o números. Por ejemplo, una colección de resultados de análisis de laboratorio, entre otras.
Bases de datos de texto completo
Almacenan las fuentes primarias, como por ejemplo, todo el contenido de todas las ediciones de una colección de revistas científicas.
Directorios
Un ejemplo son las guías telefónicas en formato electrónico.
Bases de datos o “bibliotecas” de información Biológica
Son bases de datos que almacenan diferentes tipos de información proveniente de las ciencias de la vida o médicas. Se pueden considerar en varios subtipos:
- Aquellas que almacenan secuencias de nucleótidos o proteínas.
- Las bases de datos de rutas metabólicas
- Bases de datos de estructura, comprende los registros de datos experimentales sobre estructuras 3D de biomoléculas
- Bases de datos clínicas
- Bases de datos bibliográficas (biológicas)
Evaluación Seguridad de un Sistema de Información
Importancia de la Información. Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información:
- Esta almacenada y procesada en computadoras.
- Puede ser confidencial para algunas personas o a escala institucional.
- Puede ser mal utilizada o divulgada.
- Puede estar sujeta a robos, sabotaje o fraudes.
Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo. Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar donde se almacena la información. Ahora preguntémonos: ¿Cuánto tiempo pasaría para que la organización este nuevamente en operación? Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.
La informática forense es la rama de la informática que se encarga de la recuperación, preservación y análisis de evidencias electrónicas, tales como: fotografías digitales, e-mail, SMS, transacciones bancarias o rastros de cualquier tipo de actividades a través de internet.
La recuperación de información mediante técnicas forenses consiste en la extracción de evidencias almacenadas en soportes informáticos, sin que el proceso de recuperación pueda alterar la información o coartar su validez como prueba. Este proceso se divide en varias fases: la copia o duplicado del dispositivo donde se almacena la prueba, la preservación de la evidencia, la localización de la información relevante y el análisis de la misma.
Paradigmas Organizacionales en Cuanto a Seguridad
Paradigma: Modelo o ejemplo de algo.
En filosofía: Conjunto de ideas filosóficas, teorías científicas y normas metodológicas que influyen en la forma de resolver los problemas en una determinada tradición científica. Sinónimo: prototipo, muestra, canon. Los paradigmas desempeñan un papel importante en la actual filosofía de la ciencia, a partir de la obra de Thomas S. Kuhn “La estructura de las revoluciones científicas” (1962). Del paradigma se desprenden las reglas que rigen las investigaciones. Cuando dentro de un paradigma aparecen anomalías excesivas, se produce una revolución científica que consiste precisamente en el cambio de paradigma es muy importante que el auditor conozca los paradigmas que existen en las organizaciones sobre la seguridad, para no encontrarse con un contrincante desconocido. Entre los principales paradigmas que se pueden encontrar veamos los siguientes:
- Generalmente se tiene la idea que los procedimientos de auditoría es responsabilidad del personal del centro de computo, pero se debe cambiar este paradigma y conocer que estas son responsabilidades del usuario y del departamento de auditoría interna.
- También muchas compañías cuentan con dispositivos de seguridad física para los computadores y se tiene la idea que los sistemas no pueden ser violados si no se ingresa al centro al centro de computo, ya que no se considera el uso terminales y de sistemas remotos.
- Se piensa también que los casos de seguridad que tratan de seguridad de incendio o robo que “eso no me puede suceder a mí” o “es poco probable que suceda”.
- También se cree que los computadores y los programas son tan complejos que nadie fuera de su organización los va a entender y no les van a servir, ignorando las personas que puedan captar y usarla para otros fines.
- Los sistemas de seguridad generalmente no consideran la posibilidad de fraude interno que es cometido por el mismo personal en el desarrollo de sus funciones.
- Generalmente se piensa que la seguridad por clave de acceso es inviolable pero no se considera a los delincuentes sofisticados.
- Se suele suponer que los defectos y errores son inevitables.
- También se cree que se hallan fallas porque nada es perfecto.
- Y la creencia que la seguridad se aumenta solo con la inspección.
Consideraciones Inmediatas para la Auditoría de la Seguridad. A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle. Uso de la Computadora se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:
- Tiempo de máquina para uso ajeno.
- Copia de programas de la organización para fines de comercialización (copia pirata)
- Acceso directo o telefónico a bases de datos con fines fraudulentos.
- Sistema de Acceso.
- Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:
Nivel de seguridad de acceso, empleo de las claves de acceso, evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo,
Cantidad y Tipo de Información. El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que: la información este en manos de algunas personas, la alta dependencia en caso de perdida de datos.
Control de Programación Se debe tener presente que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:
- Los programas no contengan bombas lógicas.
- Los programas deben contar con fuentes y sus ultimas actualizaciones.
- Los programas deben contar con documentación técnica, operativa y de emergencia.
Personal. Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
- La dependencia del sistema a nivel operativo y técnico.
- Evaluación del grado de capacitación operativa y técnica.
- Contemplar la cantidad de personas con acceso operativo y administrativo.
- Conocer la capacitación del personal en situaciones de emergencia.
Medios de Control. Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.
Rasgos del Personal. Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:
- Malos manejos de administración.
- Malos manejos por negligencia.
- Malos manejos por ataques deliberados.
Instalaciones. Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:
- La continuidad del flujo eléctrico.
- Efectos del flujo eléctrico sobre el software y hardware.
- Evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
- Verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones.
Control de Residuos. Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.Establecer las áreas y Grados de Riesgo. Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad.
Para realizar este estudio se debe considerar lo siguiente:
- Clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
- Identificar las aplicaciones que tengan alto riesgo.
- Cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo.
- Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
- La justificación del costo de implantar las medidas de seguridad.
Costo por pérdida de la información sistema de seguridad
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que pueden ser: Riesgo Computacional. Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas:
1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo. Por ejemplo citemos:
- Un sistema de reservación de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo.
- Una lista de clientes será de menor riesgo.
- Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado.
3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación en red, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de que al levantarse la red existan métodos de actualización y verificación automática.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando:
- Que exista un sistema paralelo al menos manual.
- Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado).
- Si hay sistemas de energía ininterrumpida UPS.
- Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de un experto).
- Si se cuenta con un método de respaldo y su manual administrativo.
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideración y Cuantificación del Riesgo a Nivel Institucional (importante). Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:
- Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación.
- Identificar la información que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial.
- Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella.
Una vez determinada esta información se la debe cuantificar, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones.
Disposiciones que Acompañan la Seguridad. De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:
- Obtener una especificación de las aplicaciones, los programas y archivos de datos.
- Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso.
- Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
- Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa.
- Que los operadores no sean los únicos en resolver los problemas que se presentan.
Higiene. Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad.También podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo) Además es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.
Cultura Personal. Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
Consideraciones para Elaborar un Sistema de Seguridad Integral. Como hablamos de realizar la evaluación de la seguridad es importante también conocer como desarrollar y ejecutar el implantar un sistema de seguridad.Desarrollar un sistema de seguridad significa: “planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa.”Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.Sistema Integral de Seguridad Un sistema integral debe contemplar:
- Definir elementos administrativos.
- Definir políticas de seguridad.
- A nivel departamental.
- A nivel institucional.
- Organizar y dividir las responsabilidades.
- Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
- Definir prácticas de seguridad para el personal:
Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores)
- Números telefónicos de emergencia.
- Definir el tipo de pólizas de seguros.
- Definir elementos técnicos de procedimientos.
- Definir las necesidades de sistemas de seguridad para:
Hardware y software
- Flujo de energía.
- Cableados locales y externos.
- Aplicación de los sistemas de seguridad incluyendo datos y archivos.
- Planificación de los papeles de los auditores internos y externos.
- Planificación de programas de desastre y sus pruebas (simulación)
- Planificación de equipos de contingencia con carácter periódico.
- Control de desechos de los nodos importantes del sistema:
Política de destrucción de basura copias, fotocopias, etc.
- Consideración de las normas ISO 14000.
Etapas para Implementar un Sistema de Seguridad. Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:
- Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
- Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.
- Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:
- Plan de Seguridad Ideal (o Normativo)
– Un plan de seguridad para un sistema de seguridad integral debe contemplar:
– El plan de seguridad debe asegurar la integridad y exactitud de los datos.
- Debe permitir identificar la información que es confidencial.
- Debe contemplar áreas de uso exclusivo.
- Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles.
- Debe asegurar la capacidad de la organización para sobrevivir accidentes.
- Debe proteger a los empleados contra tentaciones o sospechas innecesarias.
- Debe contemplar la administración contra acusaciones por imprudencia.
Un punto de partida será conocer como será la seguridad, de acuerdo a la siguiente ecuación. Riesgo Medidas preventivas y correctivas.
Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas(políticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal. Es de gran importancia la elaboración del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluación de su comportamiento con respecto al sistema, que lleve a la persona a:
- Asumir riesgos.
- Cumplir promesas.
- Innovar.
Para apoyar estos objetivos se debe cumplir los siguientes pasos:
Motivar. Se debe desarrollar métodos de participación reflexionando sobre lo que significa la seguridad y el riesgo, así como su impacto a nivel empresarial, de cargo y individual.
Capacitación General. En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo. Este proceso incluye como práctica necesaria la implantación la ejecución de planes de contingencia y la simulación de posibles delitos.Capacitación de TécnicosSe debe formar técnicos encargados de mantener la seguridad como parte de su trabajo y que esté capacitado para capacitar a otras personas en lo que es la ejecución de medidas preventivas y correctivas.
Ética y Cultura. Se debe establecer un método de educación estimulando el cultivo de elevados principios morales, que tengan repercusión a nivel personal e institucional.De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual, relaciones humanas, etc.
Etapas para Implantar un Sistema de Seguridad en Marcha. Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos:
1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.
Beneficios de un Sistema de Seguridad.
Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
- Aumento de la productividad.
- Aumento de la motivación del personal.
- Compromiso con la misión de la compañía.
- Mejora de las relaciones laborales.
- Ayuda a formar equipos competentes.
- Mejora de los climas laborales para los RR.HH.
Una Intranet es una red de computadoras dentro de una red de área local (LAN) privada, empresarial o educativa que proporciona herramientas de Internet. Tiene como función principal proveer lógica de negocios para aplicaciones de captura, informes y consultas con el fin de facilitar la producción de dichos grupos de trabajo; es también un importante medio de difusión de información interna a nivel de grupo de trabajo. Las redes internas corporativas son potentes herramientas que permiten divulgar información de la compañía a los empleados con efectividad, consiguiendo que estos estén permanentemente informados con las últimas novedades y datos de la organización. Tienen gran valor como repositorio documental, convirtiéndose en un factor determinante para conseguir el objetivo de la oficina sin papeles. Añadiéndoles funcionalidades como un buen buscador y una organización adecuada, se puede conseguir una consulta rápida y eficaz por parte de los empleados de un volumen importante de documentación.
Puedes consultar tambien a:
