Merged

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 69

Seguridad Informática Básica M.C.

Cintia Quezada Reyes

Etapas o fases de un ataque

Un ataque intencionado contempla tres etapas o fases principales:

1. Preparación o planteamiento: el método de ataque se plantea u otras


preparaciones se realizan.

Esta etapa se lleva a cabo ANTES de que se presente el ataque

R
CQ
Es en ella donde:

a) Se identifican objetivos

a−
b) Se establecen los recursos humanos que participarán en el ataque

ic
c) Se decide hora,fecha y lugar para llevarlo a cabo

s

d) Se diseña uno o varios planes alternativos por si el planteamiento principal no
sale como se esperaba

a
e) Se consideran los recursos monetarios para auspiciar dicho ataque
ic
át
f) Se analizan otros recursos que intervendrán en el ataque (tiempo, medios de
transporte, medios de comunicación, otros bienes como equipos de cómputo, discos
rm

duros, usb, credenciales, vestuario etc.)

g) Se define lo que se ganará con el ataque o lo que se perderá en caso de no ser


fo

exitoso
In

Esta etapa es la que más tiempo de preparación requiere porque deben tomarse en
cuenta todos los puntos involucrados en el ambiente donde se encuentra el bien que
se desea dañar.
ad

2. Activación: en esta etapa se realizan actividades que activan o disparan al ataque y


id

por ende causan algún tipo de pérdida.


ur

Dichas actividades pueden ser muy significativas o insignificantes aparentemente,


sin embargo, pueden causar que se generen daños de manera encadenada.
g
Se

Esta etapa se lleva a cabo DURANTE el ataque

Pueden existir diversas actividades que permitan llevar a cabo el daño, algunos
ejemplos son:
Seguridad Informática Básica M.C. Cintia Quezada Reyes

a) Bombas lógicas: es una parte de un código insertado intencionalmente en un


programa informático que permanece oculto hasta cumplirse una o más
condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa.

b) Bombas de tiempo: es una bomba cuya detonación es activada por un


temporizador.

c) Derramamiento de líquidos

R
CQ
d) Conversaciones que permitan obtener algún tipo de información.

e) Interrupciones

a−
3. Ejecución: en esta etapa se observan los resultados de llevar a cabo el ataque.

ic
Esta etapa se lleva a cabo DESPUÉS del ataque

s

Es indispensable que en esta etapa se realice un análisis de lo obtenido, es decir,
debe concientizarse sobre las ganancias que obtuvo el atacante, dichas ganancias no
necesariamente son de tipo monetario, puede verse involucrado el prestigio, el

a
tiempo invertido, los objetivos logrados. Lo anterior permite saber si el bien está
ic
fuertemente protegido o no, lo cual podría dar pie a que el mismo atacante vuelva a
causarle algún otro daño o que diferentes atacantes fácilmente puedan acceder al
át
bien y esto representa un alto riesgo. Con ello se puede entender que el bien es
sumamente vulnerable y que las verdaderas amenazas no han sido identificadas.
rm

Desde el punto de vista del atacado esta etapa indica cuáles fueron las pérdidas que
fo

se presentaron y que es el momento pertinente en el que URGE reforzar la


seguridad del bien, si sigue como hasta el momento, el ataque perpetrado siempre
In

será exitoso ya que es posible que el bien esté parcialmente protegido o no cuente
con alguna protección contra las verdaderas amenazas que lo rodean.
ad

Un ataque no intencionado contempla solo dos de las tres etapas o fases mencionadas. Las
id

etapas son Activación y Ejecución.


ur

Cuando se trata de entender cómo ocurrió algún tipo de ataque para identificar las
actividades realizadas y saber con exactitud cómo fue que actuó el perpetrador, es
g

indispensable como experto en seguridad, analizar DETALLADAMENTE cada una de las


Se

etapas y reportar los hallazgos en cada una, de tal manera que detectemos la forma en la
que el atacante preparó, activó y logró realizar el ataque, de esta manera es posible tomar
decisiones adecuadas que permitan implementar (en caso de no existir) o reforzar (en caso
de existir) el esquema de seguridad más adecuado.

Pensar como el atacante e intentar recrear los pasos y actividades que este llevó a cabo y el
orden en que los fue haciendo se le conoce como Psicología del intruso.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Mecanismos de seguridad

Un mecanismo de seguridad (también llamado herramienta de seguridad o


control) es una técnica, recomendación, actividad, consideración, objeto,
animal o persona que se utiliza para implementar uno o varios servicios de
seguridad, resumiendo: Es todo aquello que implementa varios servicios
básicos de seguridad o combinaciones de estos servicios básicos.

R
CQ
Recordemos que los servicios de seguridad especifican "qué" controles son
requeridos y los mecanismos de seguridad especifican "cómo" deben ser

a−
ejecutados los controles.

ic
Por lo que los mecanismos de seguridad contestan la tercera pregunta de

s
seguridad: ¿Cómo lo voy a proteger?


Es importante considerar que no existe un único mecanismo capaz de proveer
todos los servicios, por lo que, la relación entre los servicios de seguridad y

a
los mecanismos de seguridad se observa en la siguiente tabla:
ic
át
Servicios de Mecanismos de
seguridad seguridad
rm

1 1
1 N
fo

N 1
N M
In
ad

Los mecanismos de seguridad están diseñados para detectar, prevenir, corregir


o recobrarse de un ataque de seguridad.
id

Los mecanismos de seguridad se clasifican en:


gur

a) Por el servicio de seguridad que implementan:


Se

 Confidencialidad

 Disponibilidad

 Integridad
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 No repudio

 Autenticación

 Control de acceso

b) Por las acciones que realizan:

R
CQ
 Controles disuasivos: reducen la probabilidad de un ataque
deliberado.

a−
 Controles preventivos: protegen vulnerabilidades y hacen que un

ic
ataque fracase o reduzca su impacto.

s
 Controles correctivos: reducen el efecto de un ataque.


 Controles detectores: descubren ataques y disparan controles
preventivos o correctivos.
a
ic
át
c) Por su cobertura y especificidad:
rm

 Generalizados: se relacionan directamente con los niveles de


seguridad requeridos y permiten determinar el grado de seguridad
fo

del bien ya que se aplican a éste para cumplir la política general.


In

 Específicos: definen la implementación de servicios concretos a


nivel particular para cumplir políticas particulares.
ad

d) Por su importancia:
id

 Controles requeridos: controles requeridos u obligatorios son


ur

aquellos que son importantes para brindarle un nivel de


protección al bien. Estos controles deben existir y son los
g

mínimos indispensables que deben existir.


Se

 Controles discrecionales: son controles recomendados necesarios


pero no obligatorios para reducir el nivel de riesgo y aumentar la
seguridad del bien, es decir, son recomendaciones.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Los controles por las acciones que realizan se pueden relacionar con las
amenazas, vulnerabilidades, ataques mediante el siguiente modelo relacional
simple:

CONTROL CONTROL

R
AMENAZA
DISUASIVO CORRECTIVO

CQ
reduce la explota
probabilidad de

a−
disminuye

ic
VULNERABILIDAD
CONTROL

s
DETECTOR descubre


crea
dispara
causa
ATAQUE
a
ic
CONTROL protege
át
PREVENTIVO
IMPACTO
reduce
rm
fo

Recordar que los mecanismos de seguridad NO pueden implementarse si


primero NO se han contestado las dos preguntas previas (¿Qué voy a
In

proteger?, ¿De qué lo voy a proteger?), pues se generarán gastos innecesarios


y de ninguna manera cumplirán las metas de seguridad planteadas, recordando
también que deben hacerse las consideraciones necesarias debido a que las
ad

herramientas también cuentan con sus propias vulnerabilidades y que


id

posiblemente podrían ser generadoras de otras, esto debido a que no existe una
seguridad al 100%
ur

Hay que considerar también el principio de profundidad, recordar que este


g

consiste en el diseño e implantación de varios niveles de seguridad dentro de


Se

la de una organización, donde si una de las barreras es violada existen otras


barreras que intentaran frenar las amenazas.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Tema IV
Políticas de seguridad informática de la organización

Una organización puede definirse como la aplicación de un conjunto de técnicas


conducentes para obtener una empresa estructurada, de tal forma que con la
correspondiente división de actividades y la debida coordinación de estas, se obtenga la
máxima rentabilidad. La organización es la base de la labor del administrador que tiende a

R
adecuar los recursos previstos en la planificación para conseguir sus objetivos.

CQ
En la actualidad, la dependencia de las organizaciones en su información ha crecido al

a−
punto de ser considerada como uno de sus activos más importantes. A través del tiempo, las
necesidades del intercambio electrónico de información ha sido uno de los principales retos

ic
de cualquier organización, como respuesta a dichas necesidades se establece una

s
infraestructura que permita brindar los servicios necesarios a sus clientes, socios


comerciales y empleados. Esta infraestructura se basa, principalmente, en el
establecimiento de redes, que son grupos de computadoras y dispositivos periféricos
relacionados (impresoras, unidades de CD-ROM, etcétera) –conectados a través de un canal

a
ic
de comunicaciones–, los cuales son capaces de compartir archivos y otros recursos entre
varios usuarios.
át
rm

El principal objetivo de la organización es dar protección y seguridad a sus bienes, para ello
es necesario establecer las normas, políticas y estándares de seguridad para los sistemas y
que procesan, almacenan y transmiten información, así como las actividades o procesos que
fo

manipulan al resto de sus activos, a fin de minimizar riesgos en su integridad,


In

confidencialidad y disponibilidad.

Las ventajas que ofrece el plantear objetivos o misiones1 en la organización, garantiza que
ad

los bienes manejados dentro y fuera del sistema central de la organización, cuente con los
id

elementos necesarios para asegurar su protección contra alteración, divulgación,


malversación o negación de acceso no autorizados, permitiendo la continuidad de las
ur

operaciones en las áreas de negocio principalmente, o en áreas donde se manejan bienes


sensibles.
g
Se

La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y prácticas que


regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a
cabo los objetivos de seguridad dentro de la misma.

1
Misión: Apostolado, predicación. Deber moral que a cada hombre le impone su condición o estado.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

La política define la seguridad de los bienes en el sistema central de la organización, por lo


tanto, un sistema central es seguro si cumple con las políticas de seguridad impuestas para esa
organización. La política especifica qué propiedades de seguridad el sistema debe proveer.
De manera similar, la política define la seguridad para una organización, especificando tanto
las propiedades del sistema como las responsabilidades de seguridad de las personas.

Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una

R
organización previene, protege y maneja los riesgos a los que se puede enfrentar. Permite

CQ
identificar qué recursos son valiosos y qué medidas deben tomarse para prevenir y manejar
las pérdidas, así como los siniestros que pueden tener un impacto sobre los bienes de la

a−
misma.

ic
Conforme las tecnologías de la información siguen su avance, las organizaciones se han

s
visto en la necesidad de desarrollar políticas que ayuden a la protección de los bienes que


incluyen a estas nuevas tecnologías. Al desarrollo de este tipo de políticas orientadas a la
protección de las diferentes tecnologías de la información y a los bienes que incluyen, se le
denomina políticas de seguridad informática.

a
ic
Por otra parte, es necesario resaltar la creencia acerca de que este tipo de políticas solo
át
están orientadas a proteger la información contenida, tratada, procesada o almacenada por
medios digitales, no obstante, esto no es del todo correcto. Este tipo de pensamiento llega a
rm

causar confusión dentro de las organizaciones y puede llegar a causar desánimo por el
hecho de que no solo habría que desarrollar políticas de seguridad, sino que además hay
fo

que desarrollar políticas de seguridad informática.


In

Ideas como el pensar que las políticas de seguridad informática son un apartado o que
tienen que desarrollarse aisladas de la organización u orientarse únicamente hacia los
ad

medios digitales, o que solo tienen que ver con las tecnologías de la información, son un
error común.
id
ur

El desarrollo de este tipo de políticas no debe considerarse de manera aislada, ya que la


información de una organización no solo les concierne a los medios digitales, sino que este
g

tipo de políticas están enfocadas a la aplicación de la seguridad informática.


Se

Las políticas de seguridad informática (PSI) se definen como la declaración general de


principios, acuerdos, reglas y recomendaciones que permiten resguardar o proteger un
recurso informático.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Hablar de manera exclusiva acerca de recursos informáticos no es del todo correcto, ya que
existe información sensible que no se encuentra únicamente en medios digitales o que
concierne solo a los recursos informáticos o son referentes a las diferentes tecnologías de la
información. Existe información dentro de toda la organización que se cree que no es
importante o que simplemente no se piensa acerca de su importancia, dicha información es
toda aquella que las personas que laboran dentro de la organización conocen.

R
Por esto, es que las políticas de seguridad y las políticas de seguridad informática están

CQ
íntimamente ligadas por el hecho de que la información es uno de los bienes más
importantes que las organizaciones tienen y que si no es protegida de manera adecuada,

a−
representa una vulnerabilidad para la empresa que puede llegar a causar todo tipo de daños.

ic
Las políticas de seguridad informática tienen como objetivo proteger todo tipo de
información que tenga que ver con la organización, ya sean sus bienes, el personal que

s

labora o con el que se comparte algún tipo de información, para que esta información no
pueda ser utilizada para otro tipo de fines diferentes a los cuales está destinada. En
ocasiones, la información llega a ser más valiosa incluso que los otros bienes que la

a
organización tiene, puede ser decisiva en la toma de decisiones, las cuales pueden afectar
ic
en gran manera a la misma organización, así como a otras con las que se puede tener una
át
relación de cualquier tipo.
rm

Proteger la información de una organización es una meta complicada por el hecho de que la
esta se encuentra en diversas formas y formatos; es decir, la información que tiene o maneja
fo

el personal, la contenida en medios digitales, la que es procesada, transmitida y almacenada


por los sistemas informáticos; la información vital que es almacenada en las instalaciones
In

como pueden ser contratos, memorandos, correo de todo tipo, notas, manuales,
documentación, etcétera, es por esto que la políticas de seguridad informática y las políticas
ad

de seguridad deben ser consideradas como un todo y no de manera separada. Sin embargo,
el hacer énfasis en la informática delimita y hace que las políticas sean más puntuales, con
id

una mejor organización o administradas de una manera conveniente para ser más efectivas,
ur

además de poder abarcar algunas otras políticas que aparentemente pueden no estar
relacionadas, pero que son necesarias para tener un buen nivel de seguridad informática.
g
Se

A diferencia de las políticas de seguridad, este tipo de políticas busca proteger cualquier
tipo de información relacionada con la organización y que pueda ser usada para obtener un
beneficio a costa de la misma.

Teniendo este panorama general sobre las políticas de seguridad informática es necesario el
contar con una definición formal.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Las políticas de seguridad informática son parte de una estrategia en la que se establecen
reglas, recomendaciones, estándares y normas que una organización utiliza para la
implementación de medidas de seguridad informática para la protección de los diferentes
bienes de la organización, enfocando este esfuerzo a implementar un nivel adecuado de
seguridad informática, de tal manera que cualquier tipo de información sea empleada de
manera adecuada. Asimismo, describe las actividades aceptables, las sanciones que se
aplicarán si estas no son respetadas, el cómo es qué la organización reaccionará, dará

R
seguimiento y se reincorporará para seguir con sus actividades, además de crear conciencia

CQ
en los usuarios acerca de la seguridad informática, capacitando de esta forma al usuario
para la protección de cualquier tipo de información de la que sea responsable.

a−
Una política de seguridad informática debe fielmente representar una política del mundo

ic
real y además debe interactuar con la política de recursos, por ejemplo, políticas en el
manejo de bases de datos o de transacciones. En ella se deben considerar las amenazas

s

contra las computadoras, especificando cuáles son dichas amenazas y cómo contraatacarlas.
Así mismo, una política de seguridad debe ser expresada en un lenguaje en el que todas las
personas involucradas (quienes crean la política, quienes la van a aplicar y quienes la van a
cumplir) puedan entender.
a
ic
át
rm
fo
In
ad
id
g ur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Políticas de seguridad informática de la organización Parte 2

Puntualmente las políticas de seguridad se pueden definir de manera resumida


como:

Conjunto de leyes y normas que definen de manera clara y formal lo que se


considera valioso y especifican las medidas que se deben tomar para proteger

R
los recursos en una organización.

CQ
Por lo tanto una política de seguridad es un conjunto de reglas que gobiernan

a−
una identidad donde cada regla define una acción un mecanismo.

ic
Las políticas de seguridad y las políticas de seguridad en cómputo (PSC)

s
deben estar contenidas en un documento donde se establezcan reglas y


principios a seguir para lograr seguridad, orden y buen uso de los recursos de
la organización, ya que en este documento se especifican condiciones,
derechos y obligaciones.

a
ic
Los objetivos que persiguen las políticas de seguridad se listan a continuación:
át

1. Definir controles en la organización.


rm

2. Estandarizar la seguridad tanto en el ámbito humano como en el


fo

tecnológico.
In

3. Establecer las relaciones de responsabilidad para el cumplimiento de


tareas así como la aplicación de sanciones resultantes de casos de
ad

inconformidad.
id

4. Aclarar qué se protege y por qué.


ur

5. Indicar qué se va a permitir y qué se va a denegar.


g
Se

6. Poner las bases para resolver conflictos posteriores.

7. Prevenir la pérdida de la información.

8. Tener un uso adecuado y eficiente de los bienes, sistemas de cómputo y


telecomunicaciones.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

9. Colocar las bases para resolver conflictos posteriores.

Realizar políticas de seguridad permite contar con varias ventajas:

a. Ayudan a la adquisición de los bienes.

b. Permite que las autoridades actúen en caso de una violación a la

R
seguridad.

CQ
c. Permite contar con procedimientos que se deben llevar a cabo cuando se
presenten eventualidades

a−
ic
d. Permite que el proceso de auditoría se lleve a cabo de manera más
ordenada.

s

e. Evita la excusa llamada ignorancia

a
Al diseñar las políticas de seguridad es indispensable que cuenten con las
siguientes características:
ic
át
 El documento debe contar con vigencia permanente y se tiene que
rm

actualizar periódicamente
fo

 Debe servir de referencia para otros esquemas de seguridad dentro de la


organización.
In

 Las políticas deben estar enfocadas a la problemática particular de cada


institución.
ad
id

 Las políticas deben contar con una estructura bien definida.


ur

 Deben ser aceptadas como un documento oficial por las autoridades y la


comunidad que labora en la organización.
g
Se

 Deben ser claras, exactas, precisas, concisas.

 Deben establecer condiciones aceptables y no aceptables.

 Siempre deben estar accesibles para toda la comunidad.


Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Deben ser aprobadas por la alta dirección y aplicar a todas las personas
que laboran.

Al realizar las políticas de seguridad estas deben redactar los principios


fundamentales, se trata de siete principios que se muestran a continuación:

1. Responsabilidad individual: las personas son responsables de sus actos. El

R
principio implica que la gente que está plenamente identificada debe estar

CQ
consciente de sus actividades, debido a que sus acciones son registradas,
guardadas y examinadas.

a−
ic
2. Autorización: son reglas explícitas acerca de quién y de qué manera puede

s
utilizar los recursos.


3. Mínimo privilegio: la gente debe estar autorizada única y exclusivamente

a
para acceder a los recursos que necesita para hacer su trabajo.
ic
4. Separación de obligaciones: las funciones deben estar divididas entre las
át
diferentes personas relacionadas a la misma actividad o función, con el fin
rm

de que ninguna persona cometa un fraude o ataque sin ser detectado. La


separación de obligaciones funciona mejor cuando cada una de las
fo

personas involucradas tiene diferentes actividades y puntos de vista.


In

5. Auditoría: el trabajo y los resultados deben ser monitoreados durante su


ad

inicio y hasta después de ser terminado. Una revisión de los registros,


donde se guardan las actividades, ayuda para realizar una reconstrucción de
id

las acciones de cada individuo.


ur

6. Redundancia: el principio de redundancia afecta al trabajo y a la


g

información. Múltiples copias son guardadas con importantes registros y


Se

dichas copias son frecuentemente almacenadas en diferentes lugares.

7. Reducción de Riesgo: esta estrategia debe reducir el riesgo a un nivel


aceptable, haciendo que el costo de la aplicación sea proporcional al riesgo.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Políticas de seguridad informática de la organización Parte 3

Para realizar las políticas de seguridad se debe:

1. Detectar la problemática

Dentro de la organización debe detectarse cuáles son los problemas que

R
más se presentan debido a que no hay reglas que se sigan y permitan

CQ
regular las actividades para evitar esas acciones no deseadas o que
existan huecos en la aplicación de ciertas penalizaciones al observar que

a−
van en contra de la misión o visión de la empresa y que impiden el
correcto cumplimiento de los objetivos.

s ic
2. Detectar la cobertura


Siempre estar consciente de lo que abarcarán las políticas, en dónde
aplicarán estas, es decir, si aplicarán a todo el personal de la

a
organización, a todas las actividades de ella o solamente a los miembros
ic
de un cierto departamento o proyecto, a las actividades de ciertos
át
departamentos o de cierta figura del organigrama, etcétera.
rm

Es indispensable hacer notar que ciertas políticas tendrán una cobertura


más amplia que otras, pero es importante aclararlo.
fo

3. Identificar y hacer notar ¿qué se debe proteger?


In

Recordar que en seguridad lo más importante es identificar los bienes


ad

que se quieren proteger en una organización, si no se está consciente de


ello existirán brechas de seguridad y los activos puede que estén
id

parcialmente protegidos o carezcan de dicha protección.


g ur

4. De qué se debe proteger


Se

Considerar que una vez identificados los bienes que se quieren proteger
en una organización, es menester detectar todo aquello que puede
dañarlo a detalle como son las amenazas y vulnerabilidades, de tal
manera que las políticas eviten en mayor medida que se generen ataques
en esos bienes.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

5. Identificar los tipos de usuarios existente

Deben identificarse los tipos de usuarios que hay en la organización


tanto los eventuales como los de planta, pues las políticas deben
considerarlos a todos, una figura no tomada en cuenta por las políticas
se considera una gran amenaza en la organización.

R
Por ejemplo en la Facultad de Ingeniería existen las siguientes figuras:

CQ
 Investigadores
 Personal Administrativo

a−
 Docentes

ic
 Alumnos
 Becarios

s
 Servicio social


Para realizar las políticas de seguridad se deben hacer ciertas consideraciones

a
y para ello es conveniente hacerse preguntas para redactar correctamente las
ic
políticas dando contestación a ellas, algunos ejemplos de preguntas son los
át
siguientes:
rm

1. ¿Quién debe poder usar los recursos?


fo

2. ¿Qué constituye un uso adecuado de los recursos?


In

3. ¿Qué constituye un uso inadecuado de los recursos?

4. ¿Quién debe proporcionar acceso al sistema?


ad
id

5. ¿Quién debe tener privilegios de administrador?


ur

6. ¿Cuáles son los derechos y responsabilidades de los usuarios?


g

7. ¿Cuáles son los derechos y responsabilidades de los usuarios?


Se

8. ¿Cómo debe manejarse la información sensible?

9. ¿Qué actividades se pueden realizar y cuáles no?


Seguridad Informática Básica M.C. Cintia Quezada Reyes

10. ¿Qué premios pueden otorgarse por realizar correctamente las


actividades?

11. ¿Qué penalizaciones pueden implementarse por violar las


regulaciones?

R
Debe tomarse en cuenta que las preguntas anteriores no son todas ni las

CQ
únicas, pues como ya se había comentado, depende de la organización, su
giro, figuras que se toman en cuenta, la cobertura de las políticas, entre otras.

a−
El diseño de las políticas no es algo trivial, por lo que deben seguirse los

ic
siguientes consejos para desarrollarlas correctamente SIEMPRE.

s
1. Elegir una filosofía básica


Solo se debe elegir una de las dos filosofías y las políticas se redactan

a
con base en ella, NO pueden combinarse políticas siguiendo una y otra
de manera simultánea.
ic
át
Al realizar las políticas siempre debe indicarse el tipo de filosofía que
rm

seguirán estas y escribir puntualmente el texto de lo que quiere decir la


filosofía, esto debido a que no toda la gente está inmersa en el campo y
fo

sabe con exactitud lo que significa dicha filosofía.


In

a) Filosofía prohibitiva o restrictiva

“Todo está prohibido excepto lo que esté específicamente permitido”


ad
id

Esta filosofía es la más utilizada ya que es más fácil de antemano


tener prohibidas TODAS las actividades y solamente permitir
ur

algunas cuantas.
g

Las políticas se redactan empleando los términos: se permite, está


Se

permitido, se puede, puede, se le permite, se les permite, etcétera,


NUNCA se emplean los términos se prohíbe, está prohibido, se le
prohíbe, se les prohíbe, etcétera.

Debido a lo anterior los usuarios consideran la política más amigable


porque están conscientes de lo que sí pueden hacer porque les es
Seguridad Informática Básica M.C. Cintia Quezada Reyes

permitido, aunque realmente la cobertura de prohibición es más


amplia aunque la mayoría de las veces no estén conscientes de ello.

b) Filosofía permisiva

“Todo está permitido excepto lo que esté específicamente prohibido”

R
En esta filosofía TODAS las actividades están permitidas y

CQ
solamente se prohíben algunas cuantas, lo que puede provocar que
varias restricciones no se consideren al momento de redactar las
políticas.

a−
ic
Las políticas se redactan empleando los términos: se prohíbe, está
prohibido, se le prohíbe, se les prohíbe, etcétera. NUNCA se

s
emplean los términos se permite, está permitido, se puede, puede, se


le permite, se les permite, etcétera.

a
Debido a lo anterior los usuarios consideran la política menos
ic
amigable porque solo leen prohibiciones. Sin embargo, realmente la
át
cobertura de permisos es más amplia aunque la mayoría de las veces
no estén conscientes de ello.
rm
fo

2. Indicar fecha de vigor


In

Una vez indicada la filosofía es importante indicar a partir de cuándo


entran en vigor las políticas redactadas para evitar algún tipo de
ambigüedad.
ad
id

3. Redactar las políticas en presente


ur

Se aconseja que las políticas se redacten en presente para evitar que los
usuarios tomen en tono de burla o sarcasmo una redacción en futuro,
g

pues esto podría poner en tela de juicio ¿cuándo entran en vigor


Se

realmente?

4. Reflejar los principios fundamentales

En las políticas se deben tomar en cuenta los 7 principios


fundamentales.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

5. Asignar un dueño

En cada política debe indicarse puntualmente a quién le aplica dicha


regla, de otra manera es ambigua.

6. Ser positivo

R
CQ
En las políticas JAMÁS se emplea la palabra NO para negar alguna
actividad, se debe redactar de tal manera que se prohíba o niegue dicha
actividad pero sin emplear el término mencionado. Pues el término está

a−
relacionado con la psicología inversa, la cual basa su eficacia en la

ic
reactancia (Se trata de un proceso motivacional a través del cual
defendemos nuestra libertad y nos revelamos contra aquellos que

s
creemos que intentan reprimirnos). Los seres humanos reaccionamos


mejor cuando algo se lee de manera positiva aunque sea alguna
negación de cierta actividad ya que a nadie le gusta perder algo que
tiene valor.
a
ic
át
7. Evitar hostigamientos en los empleados
rm

Debido a los derechos humanos, las políticas no pueden ni deben incluir


reglas que hostiguen o discriminen a los empleados por su raza,
fo

religión, orientación sexual, condición física o socioeconómica


ni por ningún otro motivo que pueda dañarlos ni física ni
In

emocionalmente.

8. Concentrarse en la capacitación
ad
id

Dentro de las políticas es importante considerar que los empleados


cuenten con capacitación, que es posible que les otorgue la empresa o
ur

de manera personal cada empleado la realice según le convenga, sin


embargo, debe regularse para saber en qué términos, período y cada
g

cuánto debe llevarse a cabo tal capacitación, o si la misma es


Se

considerada para promociones o requisitos de estadía en la empresa,


liderazgo de proyectos, etcétera.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

9. Redacción sin ambigüedades

La redacción de las políticas debe ser clara, sin tecnicismos ya que debe
ser entendida por los todos los miembros de la organización a quienes
van dirigidas sin importar la formación de ellos.

10. Actualización

R
CQ
Las políticas deben actualizarse periódicamente por ejemplo, cada que
se crea un nuevo departamento, haya fusión de éstos o existan cambios
importantes o radicales en la empresa como la implementación de

a−
nuevas actividades o uso de nuevas tecnologías.

s ic

a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Políticas de seguridad informática de la organización Parte 4

Es conveniente que cuando se realicen las políticas se planteen rubros para


llevar un mejor orden y colocar en estos rubros las políticas relacionadas con
ellos por ejemplo:

Las siguientes políticas entran en vigor a partir del 16 de abril de 2020 y

R
siguen la filosofía prohibitiva, esto es: “Todo está prohibido excepto lo que

CQ
esté específicamente permitido”

a−
a) Sobre las contraseñas
 Las contraseñas son otorgadas por el administrador la

ic
primera vez a usuarios legítimos de la organización una

s
vez que estos empiezan a trabajar en la organización.


 El usuario debe cambiar su contraseña una vez que le sea
entregada.

a
ic
 Deben estar conformadas por una longitud mínima de 8
át
caracteres.
rm

 Deben contener metacaracteres.


fo

b) Sobre el correo electrónico


 El usuario legítimo es el único autorizado para leer su
In

correo.
ad

 El usuario legítimo solo puede hacer uso del correo con


fines laborales.
id

Observar que en algunas políticas del apartado sobre las contraseñas omitimos
ur

sobre lo que se está hablando, esto puede realizarse ya que está implícito
g

porque se colocan dichas políticas dentro de un apartado específico, esto es:


Se

 Deben estar conformadas por una longitud mínima de 8


caracteres.

 Deben contener metacaracteres.


Seguridad Informática Básica M.C. Cintia Quezada Reyes

En caso de no estar contenidas en un apartado deberían ser más específicas,


por lo que estas quedarían así:

 Las contraseñas deben estar conformadas por una longitud


mínima de 8 caracteres.

 Las contraseñas deben contener metacaracteres.

R
CQ
Un error común es observar políticas como las siguientes:

 No correr

a−
ic
 No gritar

s
 No empujar


Estas violan las consideraciones y principios fundamentales vistos en los
escritos de las clases anteriores ya que:
a
ic
át
1. No hay responsabilidad individual.
rm

2. No considera la redacción en positivo


fo

3. Sumamente ambiguas ya que no indica en dónde, ni cuándo, así que


los usuarios harían caso omiso a las indicaciones.
In

Dichas políticas pueden redactarse correctamente de la siguiente manera:


ad

Las siguientes políticas entran en vigor a partir del 16 de abril de 2020 y


id

siguen la filosofía prohibitiva, esto es: “Todo está prohibido excepto lo que
esté específicamente permitido”
ur

 A toda persona que se encuentre dentro de la organización en horario


g

laborable o no laborable y se presente algún tipo de eventualidad,


Se

debe desalojar el lugar con calma.

 A toda persona que se encuentre dentro de la organización en horario


laborable o no laborable y se presente algún tipo de eventualidad,
debe desalojar el lugar en silencio.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 A toda persona que se encuentre dentro de la organización en horario


laborable o no laborable y se presente algún tipo de eventualidad,
debe desalojar el lugar sin empujar.

Dicha política se puede resumir en una sola, quedando:

R
 A toda persona que se encuentre dentro de la organización en horario

CQ
laborable o no laborable y se presente algún tipo de eventualidad,
debe desalojar el lugar con calma, en silencio y sin empujar.

a−
Dichas políticas también pueden redactarse correctamente de la siguiente

ic
manera:

s
Las siguientes políticas entran en vigor a partir del 16 de abril de 2020 y


siguen la filosofía permisiva, esto es: “Todo está permitido excepto lo que esté
específicamente prohibido”

a
ic
 A toda persona que se encuentre dentro de la organización en horario
át
laborable o no laborable y se presente algún tipo de eventualidad, se
le prohíbe desalojar el lugar corriendo.
rm

 A toda persona que se encuentre dentro de la organización en horario


fo

laborable o no laborable y se presente algún tipo de eventualidad, se


le prohíbe desalojar el lugar gritando.
In

 A toda persona que se encuentre dentro de la organización en horario


laborable o no laborable y se presente algún tipo de eventualidad, se
ad

le prohíbe desalojar el lugar empujando.


id
ur

Dicha política se puede resumir en una sola, quedando:


g

 A toda persona que se encuentre dentro de la organización en horario


Se

laborable o no laborable y se presente algún tipo de eventualidad, se


le prohíbe desalojar el lugar corriendo, gritando y empujando.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Diseño de políticas

El diseño de políticas debe recaer en un grupo de personas, es común que


dicha tarea se le asigne a un solo individuo, lo cual es un error común que
debería evitarse a toda costa, pues es importante el punto de vista de varios
expertos y la responsabilidad de estos para evitar dejar cabos sueltos al
momento de redactar las reglas. El grupo de personas debe estar conformado

R
por:

CQ
1. Persona con autoridad

a−
Puede involucrar al dueño, gerente, subgerente de la organización o

ic
jefes responsables de las áreas, esto se decide con base en el alcance de
las políticas que se diseñan, puede ser que incluso estén todos o algún

s
representante que se designe.


2. Representante jurídico

a
ic
Importante que exista la persona que entienda sobre las leyes para evitar
át
la violación de contratos, códigos, leyes federales, gubernamentales,
internacionales, etcétera.
rm

3. Editor / Redactor
fo

Personal calificado para verificar la redacción, puntuación, ortografía y


In

uso adecuado del lenguaje, de tal manera que sea comprendido por todo
el personal de la organización evitando así ambigüedades y malos
entendidos.
ad
id

4. Psicólogos
ur

Los psicólogos laborales ayudan a plantear las reglas para evitar daños
psicológicos y que en todo momento motiven al personal a seguirlas y
g

sentirse a gusto dentro del entorno laboral.


Se

5. Administradores de sistemas

Personal experto que sabe lo que debe tomarse en cuenta con respecto al
ámbito informático, de tal manera que se minimicen los riesgos.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

6. Usuario típico

Estos usuarios pueden ayudar a probar las políticas o a dar ideas sobre
las actividades comunes realizadas en el ámbito laboral que podrían
ocasionar problemas o brechas en la seguridad. Tomar en cuenta su
opinión ayuda a diseñar políticas más realistas y a motivar su
cumplimiento por el simple hecho de haber sido considerado como

R
parte de equipo que las diseña o prueba.

CQ
a−
s ic

a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Políticas de seguridad informática de la organización Parte 5

La metodología para la creación de las políticas de seguridad se basa en 9


pasos:

I. Planteamiento de objetivos

R
Es importante tomar en cuenta los objetivos de la organización y los

CQ
objetivos propios del entorno, área, proyecto, actividad, etcétera, donde
se estarán aplicando dichas políticas, de otra manera el alcance podrá no

a−
ser el adecuado.

ic
II. Preparación

s

En este paso es conveniente tomar en cuenta al personal que va a
desarrollarlas (ya indicado en clases anteriores), lugares, hora y
frecuencia de la reunión para acordar actividades y discutir los
diferentes puntos de vista y avances.
a
ic
át
III. Redacción
rm

Se lleva a cabo la redacción de las políticas por el equipo de trabajo


correspondiente así como la verificación de avances, cambios, etcétera.
fo

IV. Edición
In

Se preparan las políticas de seguridad para ser publicadas o emitidas,


ad

cuidando su forma y su contenido, decidiendo cómo, de qué manera


será la publicación o emisión, inclusión de un índice para encontrar
id

rápidamente cierto apartado, inclusión de portadas, glosarios, anexos,


etcétera.
g ur

V. Aprobación
Se

Una vez editadas, la autoridad correspondiente deberá aprobarlas y


dicha aprobación debe quedar establecida en el documento. Esto puede
hacerse a través de firmas o sellos donde se indique a la autoridad
pertinente y la fecha de aprobación. Cada vez que se emiten nuevas
actualizaciones, estas también deben ser aprobadas.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

VI. Difusión

Es indispensable que las políticas de seguridad lleguen al conocimiento


de todos los integrantes de la organización, incluso aquellas políticas
que le aplican a los empleados eventuales o visitantes, por lo que la

R
forma de difundirlas dependerá de cada una de las organizaciones con

CQ
base en sus propios recursos, algunos ejemplos: realización de posters,
imágenes, señalética, trípticos, manuales, etcétera, que son distribuidos
de manera impresa o digital con acuse de recibo, colocación en las

a−
paredes de la organización, envío a los correos electrónicos, publicación

ic
en la intranet, entre otros.

s
VII. Revisión


Las políticas, así como la forma en la que son difundidas, deben

a
probarse o examinarse para hacer las correcciones necesarias en caso de
ic
que haya errores u omisiones o seguirlas manteniendo en caso de que
át
estén funcionando correctamente. Es en este punto en el que se puede
observar que probablemente sea adecuado incluir nuevas políticas de
rm

seguridad o eliminar aquellas que se han vuelto obsoletas, incluso


algunas pueden modificarse sin erradicarlas por completo o para
fo

ampliar su alcance.
In

VIII. Aplicación
ad

Las políticas de seguridad se ponen en práctica y se hacen cumplir en


id

toda la organización, por lo que las violaciones a estas deben estar


incluidas en el apartado de sanciones
ur

IX. Actualización
g
Se

Es en este punto en el que se incluyen nuevas políticas de seguridad o se


eliminan aquellas que se han vuelto obsoletas, incluso algunas pueden
modificarse sin erradicarlas por completo o para ampliar su alcance. Y
se repiten los pasos mencionados desde el paso número dos.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

El contenido de las políticas de seguridad considera lo siguiente:

1. Ámbito de aplicación

Indicar puntualmente el alcance de las políticas listadas, si aplican a

R
toda la organización, a un área o a un departamento en específico.

CQ
2. Análisis de riesgo

a−
Se basa en el análisis de riesgo realizado, una justificación de por qué se

ic
decidieron los apartados que se muestran y por qué se conjuntaron de
esa manera las distintas políticas, si existe un análisis de riesgo

s
realizado es aquí donde debe indicarse como conclusión lo que se


observó en él y hacer referencia dónde puede encontrarse, cuándo se
realizó, etcétera. Por ejemplo: Con base en el análisis de riesgos

a
realizado el 15-diciembre-2019, el cual arrojó que en la organización
los problemas más frecuentes son:…….
ic
át
3. Enunciados de políticas
rm

Tomando en cuenta los consejos para diseñarlas, así como los principios
fo

fundamentales ya vistos, incluir todas las políticas de seguridad por


apartados.
In

4. Sanciones
ad

Incluir un apartado con las sanciones que deben ser aplicadas en caso de
id

que haya alguna violación a las políticas de seguridad


ur

5. Sección de usos éticos de los recursos


g

Considerar una sección en donde se recomiende la forma ética en la que


Se

deben ser usados ciertos recursos de la organización, por ejemplo:


Sección de usos éticos de los recursos de cómputo.

6. Sección de procedimientos para el manejo de incidentes


Seguridad Informática Básica M.C. Cintia Quezada Reyes

En esta sección se indican los procedimientos que deben llevarse a cabo


cuando se presentan casos eventuales en la organización y se busca
recobrarse de ellos de manera expedita (Planes de contingencias).

7. Glosario de términos

Incluir un catálogo alfabetizado de las palabras y expresiones de uno o

R
varios textos que son difíciles de comprender, junto con su significado o

CQ
algún comentario para evitar ambigüedades o desconocimientos.

8. Anexos

a−
ic
Se pueden incluir tablas, imágenes, legistaciones, códigos, que puedan
servir en la comprensión o como complemento a las políticas de

s
seguridad en caso de ser necesario.


a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Modelos de seguridad Parte 1

Un modelo de seguridad es la presentación formal de una política de seguridad


ejecutada por el sistema. El modelo debe identificar el conjunto de reglas y
prácticas que regulan cómo un sistema maneja, protege y distribuye
información delicada.

R
CQ
Los modelos de seguridad pueden ser de dos tipos:

a−
a) Modelo abstracto: se ocupa de las entidades abstractas como sujetos y
objetos.

s ic
b) Modelo concreto: traduce las entidades abstractas a entidades de un


sistema real como procesos y archivos.

a
Además, los modelos sirven a tres propósitos en la seguridad informática:
ic
át
1. Proveer un sistema que ayude a comprender los diferentes conceptos.
Los modelos diseñados para este propósito usan diagramas, analogías,
rm

cartas.
fo

2. Proveer una representación de una política general de seguridad formal


y clara.
In

3. Expresar la política exigida por un sistema de cómputo específico.


ad

Un modelo de seguridad debe:


id
ur

 Representar de manera válida y precisa la política de seguridad: los


creadores del modelo deben explicar de manera clara cómo el
g
Se

modelo corresponde a la política y deben justificar la validez de las


correspondencias.

 Ayudar a entender la política de seguridad a través de expresiones


enfocadas y exactas y pruebas de propiedades: un modelo ayuda a
la comprensión tras aclarar conceptos y expresarlos de manera
Seguridad Informática Básica M.C. Cintia Quezada Reyes

precisa, lo cual enfoca la atención sobre lo esencial. Se entiende el


problema con lo que se deriva de los axiomas del modelo.

 Soportar un análisis de seguridad: un modelo debe soportar


decisiones sobre seguridad y la pregunta de si existe algún estado
del modelo en donde una propiedad específica de seguridad no se

R
mantiene.

CQ
 Soportar la creación y verificación del sistema: un sistema basado

a−
en un modelo debe ser razonable para construirse y debe trabajar de
manera adecuada.

s ic
 Permitir que los sistemas sean modelados en partes y después


unirlas: debe ser posible modelar sistemas complejos en partes y
después unir estas partes, de esta manera cada parte será más clara

a
y su verificación simple y correcta.
ic
át
Tipos de modelos
rm

1. Modelos de control de acceso


fo

Los modelos de control de acceso identifican las reglas necesarias para que un
In

sistema lleve a cabo el proceso que asegura que todo acceso a los recursos sea
un acceso autorizado. Los modelos de control de acceso son:
ad

a) Modelo de la matriz de acceso


id

Este modelo fue desarrollado a principios de la década de 1970 para los


ur

sistemas operativos, debido a los problemas de protección presentados


g

en los sistemas multiusuarios. El modelo de la matriz de acceso


Se

relaciona sujetos, objetos y derechos:

 Objetos: representan los recursos que serán controlados como


archivos o áreas de memorias.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Sujetos: son las entidades activas del modelo como los usuarios
o los procesos ejecutados por el usuario.

 Derechos: representan un tipo de acceso hacia el objeto, como leer,


escribir o ejecutar.

R
La matriz de acceso está formada por un renglón para cada sujeto y una

CQ
columna para cada objeto, la celda especifica los derechos que el sujeto
s tiene sobre el objeto o. Por lo que un renglón de la matriz de acceso

a−
corresponde a una lista de capacidad (lista de todos los derechos del

ic
sujeto) y una columna corresponde a una lista de control de acceso

s
(lista de todos los derechos que tiene el sujeto sobre el objeto).


Este modelo puede representar muchas políticas de control de acceso
que aseguran la confidencialidad y la integridad. En este modelo se

a
especifica quién eres y con quién estás relacionado, además de que el
ic
sistema indica lo que te está permitido hacer.
át
rm

Objetos
o
Sujetos
fo

Lista de capacidad
s Leer para “s”
In

Escribir
ad

Lista de control de acceso para “o”


id
ur

b) Modelo HRU
g
Se

El modelo HRU fue creado por Harrison, Ruzzo y Ullman, en 1976, al


tratar de mejorar el modelo de la matriz de acceso debido a que este era
débil con respecto a la seguridad, ya que de manera general no toma en
cuenta lo que un cambio en el modelo implica.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

El modelo HRU define un sistema de protección que se encuentra


constituido por dos elementos:

 Un conjunto de derechos genéricos, donde ese conjunto representa los


tipos de acceso del sujeto hacia el objeto como leer, escribir, borrar,
modificar, ejecutar.

R
CQ
 Un conjunto de comandos, donde un comando cuenta con una parte
condicional y una principal. La condicional prueba la presencia de

a−
ciertos derechos en la matriz de acceso, si la prueba es exitosa la parte

ic
principal se ejecuta realizando una serie de operaciones primitivas que

s
cambian la configuración de protección. Las operaciones primitivas


crean y destruyen objetos y sujetos, añaden o borran derechos en la
matriz de acceso.

a
ic
El modelo HRU es sencillo y se encuentra diseñado para contestar
át
preguntas fundamentales. Además, mejora la seguridad puesto que
verifica si realmente se trata de un sujeto autorizado y contempla que un
rm

cambio en la matriz de acceso no permite obtener derechos a sujetos no


autorizados.
fo
In

c) Modelo Take-Grant

Ya que un renglón de la matriz de acceso puede ser visto como una lista
ad

de capacidades donde se especifican todos los derechos del sujeto


id

asociado con ese renglón, existen dos maneras principales para


implementar el control de acceso:
gur

 Listas de control de acceso. Contienen todos los derechos que


Se

tiene el sujeto sobre el objeto.

 Capacidades. Se define como objeto, derechos, número


aleatorio, el número asegura que no haya falsificación de
capacidades.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Debido a que las capacidades no pueden ser falsificadas, pueden pasar


sin la intervención de un monitor. Esta propiedad de las capacidades
contribuye a dar gran importancia a la flexibilidad en el diseño de
sistemas, los sistemas operativos y las arquitecturas de hardware han
sido diseñados con base en las capacidades.

R
Un modelo Take-Grant especifica un conjunto de reglas para indicar

CQ
cómo un sujeto concede derechos a otro (reglas Grant (conceder)) e
indicar cómo un sujeto adquiere los derechos de otros (reglas Take

a−
(tomar)).

s ic
d) Modelo Bell-LaPadula


Una de las limitaciones del control de acceso discreto (DAC) es su
vulnerabilidad a los ataques de los Caballos de Troya, esto se debe a

a
que este se ejecuta con los derechos del usuario que lo invoca sin
ic
desearlo ni saberlo, por lo tanto, el control de acceso es incapaz de
át
protegerse contra esto. Para intentar resolver dicho problema, se recurre
rm

a un modelo mandatario de control de acceso (MAC), el cual restringe


lo que pueden hacer los que autorizan. Este modelo recibe el nombre de
fo

Bell-LaPadula ya que fue desarrollado por D. E. Bell y L. J. LaPadula


In

en 1976.
ad

El modelo Bell-LaPadula (BLP) formaliza la política de seguridad


multinivel –la política multinivel es aquella que clasifica la información
id

en cuatro niveles: no clasificado, confidencial, secreto y ultrasecreto–.


ur

La información es descrita en términos de compartimentos los cuales


representan el asunto del sujeto. El nivel de seguridad o clase de acceso
g

de un documento es la combinación de su nivel y conjunto de


Se

compartimientos. Cualquier persona autorizada recibe un permiso para


un cierto nivel, de esta manera tanto las personas como la información,
tienen niveles de seguridad o clases de acceso. La política indica que las
personas pueden tener acceso a la información que se encuentra hasta su
nivel autorizado –y esta política tiene como objetivo controlar el flujo
Seguridad Informática Básica M.C. Cintia Quezada Reyes

de la información–, el modelo también ayuda en la construcción de


sistemas cuya seguridad puede ser verificada.

R
CQ
a−
s ic

a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Plan de contingencia o plan de contingencias Parte 1

Un plan de contingencias de seguridad contiene los pasos que se deben seguir,


luego de un desastre, para recuperar, aunque sea en parte, la capacidad
funcional de la organización.

R
Las causas pueden ser variadas y pasan por un problema informático, una falla

CQ
en la correcta circulación de la información, la falta de provisión de servicios
básicos tales como energía eléctrica, gas, agua y telecomunicaciones, etcétera.

a−
El hecho de preparar un plan de contingencias no implica un reconocimiento

ic
de la ineficiencia en la gestión de la empresa, sino todo lo contrario, supone un

s
importante avance a la hora de superar todas aquellas situaciones descritas con


anterioridad y que pueden provocar importantes pérdidas, no sólo materiales
sino aquellas derivadas de la paralización del negocio durante un período más
o menos largo.
a
ic
át
A medida que las empresas se han vuelto cada vez más dependientes de las
rm

computadoras y las redes para manejar sus actividades, la disponibilidad de


todas las actividades se ha vuelto crucial. Actualmente, la mayoría de las
fo

empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso


un nivel continuo de ésta, ya que les resultaría extremadamente difícil
In

funcionar sin sus recursos.


ad

Los procedimientos manuales, si es que existen, sólo serían prácticos por un


corto periodo. En caso de un desastre, la interrupción prolongada de los
id

servicios de tecnologías de la información puede llevar a pérdidas financieras


ur

significativas, sobre todo si está implicada la responsabilidad de la gerencia de


informática. Lo más grave es que se puede perder la credibilidad del público o
g

de los clientes y, como consecuencia, la empresa puede terminar en un fracaso


Se

total.

Diseñar e implementar un plan de contingencias para recuperación de


desastres no es una tarea fácil; puede implicar esfuerzos y gastos
Seguridad Informática Básica M.C. Cintia Quezada Reyes

considerables, sobre todo si se está partiendo de cero. Una solución


comprende las siguientes actividades:

1. Debe ser diseñada y elaborada de acuerdo con las necesidades de la


empresa.

R
2. Puede requerir la construcción o adaptación de un sitio para los equipos

CQ
computacionales.

3. Requerirá del desarrollo y prueba de muchos procedimientos nuevos, y

a−
éstos deben ser compatibles con las operaciones existentes. Se hará

ic
participar a personal de muchos departamentos diferentes, el cual debe

s
trabajar en conjunto cuando se desarrolle e implemente la solución.


4. Implicará un compromiso entre costo, velocidad de recuperación,

a
medida de la recuperación y alcance de los desastres cubiertos.
ic
Como con cualquier proyecto de diseño, un método estructurado ayuda a
át
asegurar que se toman en cuenta todos estos factores y que se les trata
rm

adecuadamente.
fo

En términos generales todo plan de contingencias incluye cuatro etapas:


evaluación, planificación, pruebas de viabilidad y ejecución.
In

Un plan de contingencias se encuentra constituido por dos tipos de


ad

procedimientos:
id

a) Preventivos: se llevan a cabo de manera periódica y se realiza para


ur

evitar amenazas no detectadas al principio del proyecto y para evitar


ataques futuros.
g
Se

b) Correctivos: se llevan a cabo durante o después de un ataque para


cerrar las puertas por donde éste se realizó o también se puede realizar
la corrección una vez que se han detectado fallas en la seguridad del
sistema o de la organización. Los tipos de procedimientos correctivos
se lista a continuación:
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Planificados: se sabe con antelación lo que debe hacerse, de modo


que cuando la situación ocurre se dispone de personal, manuales y
recursos para corregirla.

 No planificados: el correctivo de emergencia deberá actuar lo más

R
rápidamente posible con el objetivo de evitar costos y daños

CQ
mayores. Comúnmente éste se lleva a cabo por el instinto de
supervivencia sin que haya una planificación, pues en ocasiones no

a−
se sabe con certeza cómo se reaccionará ante una eventualidad
hasta que ya se presenta.

s ic
En un plan de contingencias que permite la continuación o el reinicio de las


operaciones se observan las siguientes ventajas:

a
 Reduce al mínimo los daños que cualquier eventualidad pueda producir.
ic
át
 Permite alcanzar una normalización de las actividades normales de la
organización en un menor tiempo.
rm

 Implica menores pérdidas tanto económicas, materiales, personales así


fo

como de imagen para la empresa.


In

 Estimula la creación de una cultura de seguridad informática, así como


ad

fomentar la ética entre el personal de la empresa.


id

Asimismo contar con un plan de contingencia presenta la siguiente desventaja


para una empresa u organización:
gur

 Implica la inversión de tiempo y dinero ya que es necesario definir los


Se

requerimientos mínimos de seguridad en cada área, dependiendo del


tipo de información que se procese y de los activos que se quieren
proteger. Por lo que será necesario asignar recursos para realizar dichas
actividades.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Plan de contingencia o plan de contingencias Parte 2

El plan de contingencias también se conoce por las siglas DRP, del inglés
Disaster Recovery Plan (Plan de recuperación de desastres).

Un programa DRP incluye un plan de respaldo (que se realiza antes de la


amenaza), un plan de emergencia (que se aplica durante el ataque) y un plan

R
de recuperación (con las medidas que se deben aplicar una vez que el ataque

CQ
ha sido controlado).

a−
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA
(plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un

ic
análisis de riesgo donde, entre otras amenazas, se identifican aquellas que

s
afectan a la continuidad de las empresas. Sobre dicha base se seleccionan las


contramedidas más adecuadas entre diferentes alternativas, siendo plasmadas
en el plan de contingencias junto con los recursos necesarios para ponerlo en

a
marcha. El plan debe ser revisado periódicamente. Generalmente, la revisión
ic
será consecuencia de un nuevo análisis de riesgo. En cualquier caso, el plan
át
de contingencias siempre es cuestionado cuando se materializa una amenaza,
rm

actuando de la siguiente manera:

a) Si la amenaza estaba prevista y las contramedidas fueron eficaces se


fo

corrigen solamente aspectos menores del plan para mejorar la


In

eficiencia.
ad

b) Si la amenaza estaba prevista pero las contramedidas fueron ineficaces


debe analizarse la causa del fallo y proponer nuevas contramedidas.
id
ur

c) Si la amenaza no estaba prevista: debe promoverse un nuevo análisis de


riesgos. Es posible que las contramedidas adoptadas fueran eficaces
g

para una amenaza no prevista. No obstante, esto no es excusa para


Se

evitar el análisis de lo ocurrido.

El plan de contingencias comprende tres subplanes. Cada plan determina las


contramedidas necesarias en cada momento del tiempo respecto a la
materialización de cualquier amenaza:
Seguridad Informática Básica M.C. Cintia Quezada Reyes

1. El plan de respaldo
Contempla las contramedidas preventivas antes de que se materialice
una amenaza. Su finalidad es evitar dicha materialización.

R
2. El plan de emergencia

CQ
Contempla las contramedidas necesarias durante la materialización de
una amenaza, o inmediatamente después. Su finalidad es minimizar los
efectos adversos de la amenaza.

a−
ic
3. El plan de recuperación

s
Contempla las medidas necesarias después de materializada y


controlada la amenaza. Su finalidad es restaurar el estado de las cosas
tal y como se encontraban antes de la materialización de la amenaza.

a
ic
Por otra parte, el plan de contingencias no debe limitarse a estas medidas
át
organizativas. También debe expresar claramente:
rm

 ¿Qué recursos materiales son necesarios?


fo

 ¿Qué personas están implicadas en el cumplimiento del plan?


In

 ¿Cuáles son las responsabilidades concretas de esas personas y su rol


ad

dentro del plan?


id

 ¿Qué protocolos de actuación deben seguir y cómo son?


gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

A continuación se muestran las principales actividades requeridas para la


planificación e implementación de una capacidad de recuperación de
desastres.

1. Identificación de riesgos
2. Evaluación de riesgos

R
3. Asignación de prioridades a las aplicaciones

CQ
4. Establecimiento de los requerimientos de recuperación
5. Elaboración de la documentación

a−
6. Verificación e implementación del plan
7. Distribución y mantenimiento del plan

s ic

a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Análisis de riesgos Parte 1

Ya que no existe una seguridad total y las medidas de seguridad no pueden


asegurar al 100%, la protección en contra de las vulnerabilidades es
imprescindible realizar periódicamente en una organización, un análisis del riesgo

R
para identificar las consecuencias probables o los riesgos asociados con las

CQ
vulnerabilidades y, de esta forma, lograr un manejo del riesgo tras la
implementación y el mantenimiento de controles que reduzcan los efectos de este

a−
a un nivel aceptable.

ic
El proceso del análisis de riesgo le da al manejo del riesgo la información

s
necesaria para hacer juicios sobre la seguridad de la información de una


organización. Este procedimiento identifica los controles de seguridad existentes,
calcula vulnerabilidades y evalúa el efecto de las amenazas en cada área

a
vulnerable, en la mayoría de los casos, el análisis del riesgo intenta mantener un
ic
balance económico entre el impacto de los riesgos y el costo de las soluciones de
át
un programa efectivo de seguridad destinadas a manejarlos.
rm

En un proceso de análisis del riesgo debe considerarse la siguiente terminología:


fo

1. Activo: es todo aquello con valor para una organización y que necesita
In

protección
–datos, infraestructura, hardware, software, personal y su experiencia,
ad

información, servicios–.
id

2. Riesgo: posibilidad de sufrir algún daño o pérdida.


ur

3. Aceptación del riesgo: decisión para aceptar un riesgo.


g
Se

4. Análisis del riesgo: uso sistemático de información disponible para identificar


las fuentes y para estimar qué tan seguido determinados eventos no deseados
pueden ocurrir y la magnitud de sus consecuencias. Uso sistemático de la
información para describir y calcular el riesgo (tabla 1.1). Evaluación de
amenazas y vulnerabilidades de la información y su impacto (ver tabla 1.2) en
Seguridad Informática Básica M.C. Cintia Quezada Reyes

el procesamiento de la información, así como su frecuencia de ocurrencia (ver


tabla 1.3).

TABLA 1.1 UN EJEMPLO DE LA CLASIFICACIÓN DEL RIESGO


Cálculo del riesgo
de incidencias por Clasificación

R
año

CQ
0 Ninguna
1-3 Baja
4-7 Media

a−
8-14 Alta

ic
15-19 Crítica

s
20-30 Extrema


a
ic
TABLA 1.2 UN EJEMPLO DEL IMPACTO DEL ACONTECIMIENTO
át
Daño del Grado del daño Clasificación
acontecimiento
rm

Insignificante Sin impacto 0


Menor No se requiere un esfuerzo extra para 1
fo

reparar
Significante Daño tangible, esfuerzo extra 2
In

requerido para reparar


Dañino Gasto significante requerido de 3
ad

recursos
Daño a la reputación y a la confianza
id

Serio Pérdida de la conexión 4


Compromiso de grandes cantidades de
ur

datos o servicios
Grave Apagado permanente 5
g
Se

Compromiso total
Seguridad Informática Básica M.C. Cintia Quezada Reyes

TABLA 1.3 UN EJEMPLO DE LA FRECUENCIA DE OCURRENCIA DE UN


ACONTECIMIENTO

Acontecimie Frecuencia Clasificaci


nto ón
Insignifican Sin probabilidad de que 0
te ocurra

R
Muy bajo 2-3 veces cada 5 años 1

CQ
Bajo < = una vez por año 2
Medio < = una vez cada 6 3
meses

a−
Alto < = una vez por mes 4

ic
Muy alto = > una vez por mes 5

s
Extremo = > una vez por día 6


5. Manejo del riesgo: proceso de identificación, control y minimización o

a
eliminación de riesgos de seguridad que pueden afectar sistemas de
ic
información, por un costo aceptable.
át

6. Evaluación del riesgo: comparación de los resultados de un análisis del riesgo


rm

con los criterios estándares del riesgo u otros criterios de decisión.


fo

7. Impacto: pérdidas como resultado de la actividad de una amenaza, las pérdidas


In

son normalmente expresadas en una o más áreas de impacto –destrucción,


denegación de servicio, revelación o modificación–.
ad

8. Pérdida esperada: el impacto anticipado y negativo a los activos debido a una


id

manifestación de la amenaza.
g ur

9. Vulnerabilidad: una condición de debilidad.


Se

10. Amenaza: una acción potencial1 con la posibilidad de causar daño.

1
Que puede suceder o existir, pero no existe aún.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

11. Riesgo residual: el nivel de riesgo que queda después de la consideración de


todas las medidas necesarias, los niveles de vulnerabilidad y las amenazas
relacionadas. Este debe ser aceptado como es o reducirse a un punto donde
pueda ser aceptado

12. Control: son los protocolos y mecanismos de protección que permiten el

R
cumplimiento de las políticas de seguridad de la organización. Un mismo

CQ
control puede ser implementado para una o varias políticas de seguridad, lo
cual indica que la relación forzosamente no es uno a uno.

a−
ic
Un análisis del riesgo de seguridad es un procedimiento para estimar el riesgo de

s
los activos de cómputo relacionados y la pérdida debido a la manifestación de las


amenazas. El procedimiento primero determina el nivel de vulnerabilidad del
activo tras identificar y evaluar el efecto de los controles colocados en el lugar.

a
Un nivel de vulnerabilidad del activo para cierta amenaza se determina con
ic
controles que se encuentran en el lugar en el momento en el que se realiza el
át
análisis del riesgo. A continuación, la información detallada acerca del activo se
utiliza para determinar el significado de las vulnerabilidades sobre dicho activo,
rm

esto incluye cómo es o será utilizado el activo, los niveles de sensibilidad de los
datos (véase la tabla 6.4), misión crítica, interconectividad, etcétera. Finalmente,
fo

el impacto negativo al activo es estimado tras examinar varias combinaciones de


In

amenazas y áreas de vulnerabilidad.


ad
id

TABLA 6.4 UN EJEMPLO DEL NIVEL DE SENSIBILIDAD DE LOS DATOS


Nive
ur

Clasificación
l
g

0 No clasificado
Se

1 Información delicada no clasificada


2 Confidencial
3 Secreta
4 Secreta con una categoría
Ultrasecreta sin categorías o secreta con dos o
5
más categorías
Seguridad Informática Básica M.C. Cintia Quezada Reyes

6 Ultrasecreta con una categoría


7 Ultrasecreta con dos o más categorías

Un análisis del riesgo de seguridad define el ambiente actual y realiza acciones


correctivas recomendadas si el riesgo residual no es aceptable; es una parte vital
de cualquier programa del manejo de riesgo y seguridad. El proceso de análisis

R
del riesgo debe ser realizado con suficiente regularidad para asegurar que cada

CQ
aproximación del manejo del riesgo de la organización sea una respuesta real a
los riesgos actuales asociados con la información de sus activos. El manejo del

a−
riesgo debe decidir si acepta el riesgo residual o implementa las acciones

ic
recomendadas.

s

Las relaciones entre los elementos de un análisis del riesgo se muestran en la
figura 1.1.

a
ic
El objetivo del análisis del riesgo es tener la capacidad de:
át
rm

 Identificar, evaluar y manejar los riesgos de seguridad.

 Estimar la exposición de un recurso a una amenaza determinada.


fo
In

 Determinar qué combinación de medidas de seguridad proporcionará


un nivel de seguridad razonable a un costo aceptable.
ad

 Tomar mejores decisiones en seguridad de la información.


id

 Enfocar recursos y esfuerzos en la protección de los activos.


g ur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

AMENAZA AMENAZA AMENAZA

R
VULNERABILIDAD

CQ
CONTROLES

a−
ic
ACTIVO

s

Destrucción

a
IMPACTO
ic Denegación de servicio
át
Revelación
rm

Modificación
fo

FIGURA 1.1 RELACIONES ENTRE LOS ELEMENTOS DE UN ANÁLISIS DEL RIESGO


In

Tipos de análisis del riesgo


ad

La seguridad en cualquier sistema debe guardar una proporción con respecto a sus
id

riesgos. Sin embargo, el proceso para determinar qué controles de seguridad son
ur

apropiados y rentables, es a menudo una cuestión compleja y a veces subjetiva.


Una de las principales funciones del análisis del riesgo de seguridad es poner este
g

proceso sobre una base más objetiva.


Se

Existen dos tipos esenciales del análisis del riesgo.


Seguridad Informática Básica M.C. Cintia Quezada Reyes

1. Análisis cuantitativo del riesgo

Todos los activos, sus recursos y los controles se identifican, y se evalúan en


términos monetarios. Todas las amenazas potenciales se identifican y se estima la
frecuencia de su ocurrencia, estas amenazas se comparan con las vulnerabilidades
potenciales del sistema de tal forma que se identifiquen las áreas que son

R
sensibles.

CQ
Posteriormente, el análisis cuantitativo del riesgo hace uso del término
Expectativa de Pérdida Anual (ALE) o Costo Anual Estimado (EAC), el cual es

a−
calculado para un cierto acontecimiento simplemente multiplicando la frecuencia
de la ocurrencia de la amenaza por el valor del activo o clasificación del daño.

ic
Para esto, es necesario recolectar con detalle estimaciones exactas utilizando

s

técnicas matemáticas y estadísticas.

a
De esta forma, se puede decidir si los controles existentes son adecuados o si se
ic
requiere la implementación de otros, esto se observa cuando el producto obtenido
át
tras multiplicar el valor del activo por la frecuencia de la ocurrencia de la
amenaza en un determinado periodo por la duración del control es menor que el
rm

costo de dicho control.


fo

Es teóricamente posible situar acontecimientos en el orden del riesgo ALE y,


In

posteriormente, tomar las decisiones más convenientes. Los problemas con este
tipo de análisis del riesgo se asocian generalmente a la falta de fiabilidad2 y a la
ad

inexactitud de los datos, debido a que es difícil lograr una figura representativa de
la pérdida o daño que se tiene como resultado de las brechas de seguridad. La
id

probabilidad raramente puede ser exacta y en algunos casos es capaz de promover


ur

la satisfacción personal. Además, los controles a menudo abordan


acontecimientos potenciales que se correlacionan con frecuencia.
g
Se

2. Análisis cualitativo del riesgo

2
Probabilidad del buen funcionamiento de una cosa.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

En lugar de establecer valores exactos se dan notaciones como alto, bajo, medio
que representa la frecuencia de ocurrencia y el valor de los activos. Un problema
en este tipo de análisis es el consenso que debe realizarse para jerarquizar la
información, los controles y decidir sus valores, otra dificultad es la comparación
de la pérdida potencial con el costo de implementación de controles para
minimizarla, así como qué tan factible resulta aplicar los controles y en qué

R
niveles de información.

CQ
Ambos tipos del análisis del riesgo hacen uso de los siguientes elementos

a−
interrelacionados:

s ic
a) Amenazas: las amenazas están siempre presentes en cada sistema.


b) Vulnerabilidades: Las vulnerabilidades permiten que un sistema sea más

a
propenso a ser atacado por una amenaza o que un ataque tenga mayor
ic
probabilidad de tener cierto éxito o impacto.
át

c) Controles: son las medidas contra las vulnerabilidades. Existen cuatro tipos:
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Análisis de riesgos Parte 2

Pasos del análisis del riesgo

Cualquier análisis del riesgo de seguridad debe indicar:

R
 El actual nivel de riesgo.

CQ
 Las consecuencias probables.

a−
 Qué hacer con el riesgo residual si es muy alto.

ic
Para ser útil, una metodología de análisis del riesgo debe producir una sentencia

s

cuantitativa del impacto de un riesgo o del efecto de los problemas específicos de
seguridad. Los tres elementos principales en un análisis de riesgo son:

a
ic
1. Un balance del impacto o del costo de alguna dificultad específica si esta
sucede.
át

2. Una medida de la efectividad de los controles dentro del lugar.


rm

3. Una serie de recomendaciones para corregir o minimizar los problemas


fo

identificados.
In

La planeación para la seguridad de la información y del manejo del riesgo


empieza con la identificación de los activos de seguridad, la sensibilidad de los
ad

datos, los valores, los controles dentro del lugar, la configuración del sistema o
id

proyecto, amenazas probables y su frecuencia de ocurrencia. Esta información


es utilizada posteriormente para calcular las vulnerabilidades y los riesgos. El
ur

proceso de análisis del riesgo consiste en ocho pasos interrelacionados:


g
Se

1. Identificar y evaluar los activos

El primer paso para todas las evaluaciones del riesgo es identificar y asignar un
valor a los activos que necesitan protección. El valor de los activos es un factor
significante en la decisión para realizar cambios operacionales o para incrementar
Seguridad Informática Básica M.C. Cintia Quezada Reyes

la protección de los activos. El valor del activo se basa en su costo, sensibilidad,


misión crítica, o la combinación de estas propiedades. Cuando el valor se basa en
algo más que el costo, generalmente se utiliza una tabla estándar de equivalencia
para obtener su valor monetario correspondiente. El valor del activo será utilizado
más tarde para determinar la magnitud de pérdida cuando la amenaza ocurra.

R
2. Identificar las amenazas correspondientes

CQ
Después de identificar los activos que requieren protección, las amenazas a estos

a−
deben ser identificarse y examinarse para determinar cuál sería la pérdida si

ic
dichas amenazas se presentan. Este paso envuelve la identificación y la
descripción de las amenazas correspondientes al sistema o red que está siendo

s

utilizado y se estima qué tan seguido se pueden presentar. Esto incluye como
mínimo, el acceso no autorizado, revelación de información, denegación de

a
servicio, puntos de acceso, desconfiguración de sistemas, amenazas internas,
ic
errores de programación en el software.
át
rm

3. Identificar/describir vulnerabilidades

El nivel de riesgo se determina analizando la relación entre las amenazas y las


fo

vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad


In

correspondiente, aunque hay áreas de alta vulnerabilidad que no tienen


consecuencia si no presentan amenazas.
ad

4. Determinar el impacto de la ocurrencia de una amenaza


id
ur

Cuando la explotación de una amenaza ocurre, los activos sufren cierto impacto.
Las pérdidas son catalogadas en áreas de impacto llamadas:
g
Se

 Revelación: cuando la información es procesada y se pierde la


confidencialidad.

 Modificación: el efecto de la manifestación de una amenaza cambia el


estado original del activo.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Destrucción: el activo es logrando su completa pérdida.

 Denegación de servicio: pérdida temporal de los servicios.

5. Controles en el lugar

R
El crédito debe darse a los controles en el lugar. La identificación de los controles

CQ
es parte del proceso de recolección de datos en cualquier proceso de análisis del
riesgo. Existen dos tipos principales:

a−
 Controles requeridos: todos los controles en esta categoría pueden ser

ic
definidos con base en una o más reglas escritas. La clasificación de los

s

datos almacenados y procesados en un sistema o red y su modo de
operación determinan qué reglas aplicar, y estas indican cuáles son los

a
controles requeridos. ic
át
 Controles discrecionales: este tipo de controles es elegido por los
administradores. En muchos casos los controles requeridos no reducen
rm

el nivel de vulnerabilidad a un nivel aceptable, por lo que se deben


elegir e implementar este tipo de controles para ajustar el nivel de
fo

vulnerabilidad a un nivel aceptable.


In

6. Determinar los riesgos residuales (conclusiones)


ad

Siempre existirá un riesgo residual, por lo tanto, debe determinarse cuándo el


id

riesgo residual, es aceptable o no. El riesgo residual toma la forma de las


ur

conclusiones alcanzadas en el proceso de evaluación. Las conclusiones deben


identificar:
g
Se

 Las áreas que tienen alta vulnerabilidad junto con la probabilidad de


ocurrencia de la amenaza.

 Todas los controles que no están dentro del lugar.


Seguridad Informática Básica M.C. Cintia Quezada Reyes

El resultado de estos pasos permite comenzar la selección necesaria de controles


adicionales.

7. Identificar los controles adicionales (recomendaciones)

Una vez que el riesgo residual haya sido determinado, el siguiente paso es

R
identificar la forma más efectiva y menos costosa para reducir el riesgo a un nivel

CQ
aceptable. Un intercambio operacional –el cual puede tomar la forma de costo,
conveniencia, tiempo, o una mezcla de los anteriores– debe realizarse al mismo

a−
tiempo que los controles adicionales son implementados. Las recomendaciones
son:

s ic

 Recomendación de controles requeridos: controles requeridos u
obligatorios que no se encuentran en el lugar son la primera

a
recomendación. ic
át
 Recomendación de controles discrecionales: la segunda recomendación
generalmente identifica los controles discrecionales necesarios para
rm

reducir el nivel de riesgo.


fo

8. Preparar un informe del análisis del riesgo


In

El proceso de análisis del riesgo ayuda a identificar los activos de información en


ad

riesgo y añade un valor a los riesgos, adicionalmente identifica medidas


id

protectoras y minimiza los efectos del riesgo y asigna un costo a cada control. El
ur

proceso de análisis del riesgo también determina si los controles son efectivos.
Cuando el análisis está completo, un informe de la evaluación del riesgo debe
g
Se

prepararse. Los detalles técnicos del reporte deben incluir como mínimo:

 Niveles de vulnerabilidad.
 Amenazas correspondientes y su frecuencia.
 El ambiente usado.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Conexión del sistema.


 Nivel o niveles de sensibilidad de los datos
 Riesgo residual, expresado en una base individual de vulnerabilidad.
 Cálculos detallados de la expectativa de pérdida anual.

R
El análisis del riesgo de seguridad es fundamental en la seguridad de cualquier

CQ
organización ya que es un método formal para investigar los riesgos de un
sistema informático y recomendar las medidas apropiadas que deben adoptarse

a−
para controlar estos riesgos. Es esencial asegurarse que los controles y el gasto

ic
que implican sean completamente proporcionales a los riesgos a los cuales se

s
expone la organización.


En cualquier análisis del riesgo deben tomarse en cuenta tres costos o valores
fundamentales:
a
ic
át
1. Costo del sistema informático (Cr): valor de los recursos y la información a
rm

proteger.
fo

2. Costo de los medios necesarios (Ca): qué medios y el costo respectivo que
un criptoanalista requiere para romper las medidas de seguridad
In

establecidas en el sistema.
ad

3. Costo de las medidas de seguridad necesarias (Cs): medidas y su costo


id

para salvaguardar los bienes informáticos.


ur

Para que la política de seguridad del sistema sea lógica, debe cumplirse la
g

siguiente relación:
Se

Ca > Cr > Cs
Seguridad Informática Básica M.C. Cintia Quezada Reyes

El que Ca sea mayor que Cr significa que el ataque al sistema debe ser más
costoso que su valor. Por lo que los beneficios obtenidos al romper las medidas
de seguridad no compensan el costo de desarrollar el ataque.

El que Cr sea mayor que Cs significa que no debe costar más la información que
la información protegida. Si esto ocurre, resultaría conveniente no proteger el

R
sistema y volver a obtener la información en caso de pérdida.

CQ
a−
s ic

a
ic
át
rm
fo
In
ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Análisis de riesgos Parte 3

Metodologías para el análisis del riesgo

En el mundo de la seguridad informática no solo se disponen de normas de análisis de riesgos,


también existen metodologías ampliamente conocidas y de uso generalizado. Las principales
son MAGERIT, EBIOS, CRAMM, OCTAVE y FRAP, las cuales se detallan a continuación:

R
CQ
a) MAGERIT

a−
MAGERIT es el acrónimo de “Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información de las Administraciones Públicas”. Es una metodología de carácter público,

ic
perteneciente al Ministerio de Administraciones Públicas y fue elaborado por un equipo

s
interdisciplinar del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento


Automatizado de Datos Personales (SSITAD), del Consejo Superior de Informática.

Se trata de una metodología para conocer el riesgo al que está sometida una información y qué

a
tan segura (o insegura) está.
ic
át
MAGERIT responde a las necesidades de un amplio espectro de intereses de usuarios con un
rm

enfoque amplio de adaptación a cada organización y a sensibilidades diferentes en Seguridad


de los Sistemas de Información. Las diferencias residen en tres cuestiones fundamentales:
fo

- Situación. Dentro del “ciclo de estudio”: marco estratégico, planes globales, análisis de
grupos de múltiples activos, gestión de riesgos de activos concretos, determinación de
In

mecanismos específicos de salvaguarda.


ad

- Envergadura. Complejidad e incertidumbre relativas del Dominio estudiado, tipo de


estudio más adecuado a la situación (corto, simplificado, entre otros), granularidad
id

adoptada.
ur

- Problemas específicos que se deseen solventar: Seguridad lógica, Seguridad de Redes y


g

Comunicaciones, Planes de Emergencia y Contingencia, Estudios técnicos para


Se

homologación de sistemas o productos, Auditorías de seguridad.

El análisis y gestión de riesgos de MAGERIT se observa en el siguiente diagrama:


Seguridad Informática Básica M.C. Cintia Quezada Reyes

Análisis y Gestión Determinación de Objetivos,


de Riesgos Estrategia y Política de
Seguridad de los Sistemas de
MAGERIT Información.

R
CQ
Establecimiento de la Determinación de la
Planificación de la Organización de la
Seguridad de los Sistemas Seguridad de los Sistemas
de de

a−
Información Información

s ic
Implantación de Concientización de Todos
Salvaguardas y otras en la Seguridad de los


medidas de Seguridad de Sistemas de Información
los Sistemas de
Información

a
ic
át
Seguimiento, Gestión de Reacción a cada evento,
rm

Configuración y de Registro de incidencias y


Cambios en la Seguridad Recuperación de estados
de los Sistemas de de Seguridad
fo

Información
In
ad

 Estructura de MAGERIT
id

El modelo normativo de MAGERIT se apoya en tres submodelos. El submodelo de elementos


ur

proporciona los componentes que el submodelo de eventos va a relacionar entre sí y con el


tiempo, mientras que el submodelo de procesos será la descripción funcional (el esquema
g

explicativo) del proyecto de seguridad a construir.


Se

El submodelo de procesos de MAGERIT comprende cuatro etapas:


Seguridad Informática Básica M.C. Cintia Quezada Reyes

Modelo de MAGERIT

Submodelo de Submodelo Submodelo de


elementos de eventos procesos

R
6 entidades básicas: 3 tipos principales: 4 etapas tipificadas:

CQ
- Activos - Estático - Planificación
- Amenazas - Dinámico - Análisis de Riesgos

a−
- Vulnerabilidades organizativo - Gestión de Riesgos
- Impactos - Dinámico físico - Selección de
- Riesgos salvaguardas

ic
- Salvaguarda

s

1. Planificación del proyecto de riesgos. Como consideraciones iniciales para arrancar el

a
proyecto de Análisis y Gestión de Riesgos (AGR), se estudia la oportunidad de
ic
realizarlo, se definen los objetivos que ha de cumplir y el ámbito que abarcará,
át
planificando los medios materiales y humanos para su realización e inicializando el
propio lanzamiento del proyecto.
rm

2. Análisis de riesgos. Se identifican y valoran las diversas entidades, obteniendo una


fo

evaluación del riesgo, así como una estimación del umbral de riesgo deseable.
In

3. Gestión de riesgos. Se identifican las funciones y servicios de salvaguarda reductoras


del riesgo, seleccionando los que son aceptables en función de las salvaguardas
ad

existentes y las restricciones, tras simular diversas combinaciones.


id

4. Selección de salvaguardas. Se prepara el plan de implantación de los mecanismos de


ur

salvaguarda elegidos y los procedimientos de seguimiento para la implantación. Se


recopilan los documentos del Análisis y Gestión de Riesgos (AGR), para obtener los
g

documentos finales del proyecto y realizar las presentaciones de resultados a diversos


Se

niveles.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

b) EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - Expresión


de las necesidades e identificación de los objetivos de seguridad)

El método EBIOS es una herramienta de gestión de riesgos para los sistemas de seguridad
informática, fue creada por la Dirección Central de Seguridad de los Sistemas de Información
de Francia DCSSI.
El método EBIOS permite tratar los riesgos relativos a la Seguridad de los Sistemas de

R
Información (SSI), facilita la comunicación dentro y fuera del organismo para contribuir al

CQ
proceso de la gestión de los riesgos SSI y ayuda a la toma de decisiones.

a−
Este método toma en cuenta todas las entidades técnicas (software, hardware, redes) y no
técnicas (organización, aspectos humanos, seguridad física).

s ic
Las características de EBIOS son:


 Es compatible con normalizaciones internacionales.
- Es utilizado para estudiar tanto sistemas por diseñar como sistemas ya existentes.

a
ic
- Presenta y describe los tipos de entidades, métodos de ataque, vulnerabilidades,
objetivos de seguridad y requerimientos de seguridad.
át

Los pasos del método EBIOS son:


rm

1. Estudio del contexto. Durante este proceso se realiza un análisis de los activos de la
fo

organización, estos pueden ser distintos tipos como: hardware, software, redes,
In

personal, etc.

2. Expresión de las necesidades de seguridad. En este proceso se realiza un estudio de


ad

las necesidades de seguridad para los activos determinados en el paso anterior.


id

3. Estudio de las amenazas. Al considerar que cada organismo se encuentra expuesto a


ur

diversos peligros, es importante realizar un estudio de las amenazas y vulnerabilidades a


las que se encuentra expuesta la organización.
g
Se

4. Expresión de los objetivos de seguridad. Este proceso consiste principalmente en


cubrir las vulnerabilidades a las que la entidad se encuentra expuesta, es decir disminuir
los riesgos.

5. Determinar los requerimientos de seguridad. Durante este proceso el equipo


encargado del desarrollo del sistema de seguridad informática será el responsable de
Seguridad Informática Básica M.C. Cintia Quezada Reyes

determinar las funcionalidades de seguridad esperadas, así como también el


cumplimiento de los objetivos de seguridad.

c) CRAMM (Risk Analysis and Method Management)

Es una metodología de análisis de riesgos desarrollada en el Reino Unido por la Agencia


Central de Cómputo y Telecomunicaciones (CCTA). Comenzó a desarrollarse en la década de

R
1980.

CQ
A continuación se muestra el modelo de análisis y gestión de riesgos de CRAMM, el cual

a−
consiste en:

s ic

Vulnerabilidades

Análisis
Activos Riesgos
aAmenazas
ic
át
rm

Contramedidas
fo

Implantación Gestión
In

Auditoría
ad
id
ur

Uno de los aspectos principales de CRAMM es el soporte que proporciona la herramienta


informática que la soporta, con una base de datos de:
g
Se

- Más de 400 tipos de activos


- Más de 25 tipos de impacto
- 38 tipos de amenaza
- 7 tipos de medida del riesgo
- Más de 3,500 salvaguardas
Seguridad Informática Básica M.C. Cintia Quezada Reyes

CRAMM soporta 3 tipos de revisiones:

- CRAMM Express
- CRAMM Expert
- BS7799

Adicionalmente, existen variantes para la gestión de riesgos en proyectos de desarrollo, con una

R
interfaz al ciclo de vida estándar utilizado por la Administración Pública británica: SSADM

CQ
(Structured System Analysis and Design Method)

a−
La metodología CRAMM define tres fases para la realización del análisis de riesgos.

ic
Fase 1. Establecimiento de objetivos de seguridad

s

Esta fase consiste en llevar a cabo los siguientes aspectos:

a
- Definir el alcance del estudio. ic
- Definir el valor de la información entrevistando a los usuarios sobre los impactos
potenciales para el negocio que podrían producirse por la indisponibilidad, destrucción,
át
divulgación o modificación.
rm

- Identificar y evaluar los activos físicos que forman parte del sistema.
- Identificar y evaluar los activos de software que forman parte del sistema.
fo

Fase 2. Análisis de riesgos


In

Consta de:
ad

- Identificar y valorar el tipo de nivel de las amenazas que pueden afectar al sistema.
id

- Valorar las vulnerabilidades de los sistemas ante las amenazas identificadas.


- Combinar las valoraciones de amenazas y vulnerabilidades para calcular la medida de
ur

los riesgos.
g

Fase 3. Identificación y selección de salvaguardas


Se

Los principales productos de la metodología CRAMM son:

- Documento de inicio del proyecto.


- Informes de análisis de riesgos.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

- Informes de gestión de riesgos, cimentados en una base de datos de más de 3,500


salvaguardas técnicas y organizativas.
- Plan de implantación.

d) OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

Es una técnica efectiva de evaluación de riesgos creada por la oficina de patentes y negocios de

R
los Estados Unidos.

CQ
OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el

a−
riesgo, esta técnica está en contra de la consultoría enfocada en el campo tecnológico, que tiene
como objetivo los riesgos tecnológicos y en los temas tácticos, OCTAVE se enfoca en el riesgo

ic
organizacional y su objetivo principal son los temas relativos a la estrategia y a la práctica.

s

OCTAVE equilibra los siguientes aspectos:

- Riesgos operativos
- Prácticas de seguridad
a
ic
- Tecnología
át

Lo cual permite a las compañías tomar decisiones de protección de información en los riesgos
rm

de confidencialidad, integridad y disponibilidad de los bienes relacionados a la información


crítica.
fo
In

Características:

- Es diferente de los análisis tradicionales enfocados a la tecnología.


ad

- Es autodirigido
- Es flexible.
id
ur

Los objetivos de OCTAVE son:


g

- Permitir la comprensión del manejo de los recursos.


Se

- Identificar y evaluar los riesgos que afectan la seguridad dentro de una organización.
- Exigir llevar la evaluación de la organización y del personal de la tecnología de
información.

Este método se enfoca en tres fases para examinar los problemas organizacionales y
tecnológicos, los cuales son:
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Fase I. Durante esta fase se identifica la información de la organización. Los procesos que
se realiza en esta fase son:

- Establecer criterios de evaluación de impacto


- Identificar sus criterios de seguridad
- Identificar sus amenazas

R
- Analizar los procesos tecnológicos relacionados

CQ
Fase II. En esta fase se examina la infraestructura tecnológica y se realizan los siguientes
procesos:

a−
- Examinar rutas de acceso

ic
- Analizar procesos tecnológicos

s

Fase III. Durante esta fase se realiza la identificación de los riesgos, así como también se
realizan estrategias de mitigación y planes de protección. Los procesos que intervienen en
esta fase son:

a
- Evaluar el impacto de las amenazas
ic
át
- Evaluar la probabilidad de ocurrencia de amenazas
- Seleccionar formas de mitigación de riesgos
rm

- Desarrollar planes de mitigación de riesgos


fo

e) FRAP o FRAAP (Facilitated Risk Analysis Process o Facilitated Risk Analysis and
In

Assessment Process)
ad

Fue desarrollada por Tom Peltier en 2001 y diseñada como una metodología para ser utilizada
por los propios directivos, siempre basándose en la guía de un profesional capacitado.
id

En esta metodología se analiza un sistema, una aplicación o un segmento del negocio a la vez.
ur

Se convoca a un equipo de personas que incluya administradores y personal de soporte técnico.


El equipo realiza una lluvia de ideas sobre las amenazas potenciales, las vulnerabilidades y los
g

impactos negativos resultantes sobre la integridad, confidencialidad y disponibilidad de los


Se

datos y recursos. Se analiza el impacto sobre las operaciones de la empresa y a continuación se


priorizan las amenazas y los riesgos. Después de identificar y categorizar los riesgos, el grupo
identifica los controles que puedan mitigarlos.

Se trata de un método cualitativo que hace uso de plantillas y listas de verificación (checklist)
para llevar a cabo el análisis de riesgos
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Se encuentra conformada por tres partes1:

1. Reunión pre-FRAP (duración aproximada de una hora)

En esta etapa se busca:

a) Establecer el alcance del análisis


b) Realizar un diagrama visual del proceso que se va a analizar

R
c) Presentar, conocer y comenzar a trabajar con los miembros del equipo

CQ
d) Plantear, describir y acordar cuál será la mecánica de las reuniones

2. Sesión FRAP (duración aproximada de tres horas)

a−
ic
a) Comentar los riesgos identificados
b) Comentar los riesgos priorizados

s
c) Mencionar los controles sugeridos


3. Proceso post-FRAP (duración hasta de 10 días)

a
a) Es indispensable llenar las hojas de referencias cruzadas
ic
b) Es menester identificar los controles existentes
át
c) Seleccionar los controles para disminuir riesgos o lograr la aceptación de estos
rm
fo
In
ad
id
g ur
Se

1
http://www.ittoday.info/AIMS/DSM/85-01-21.pdf
Seguridad Informática Básica M.C. Cintia Quezada Reyes

VI. Auditoría y Ética informática

Auditoría informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias


para determinar si un sistema de información salvaguarda el activo empresarial,

R
mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la

CQ
organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están

a−
implantados en una empresa u organización, determinando si los mismos son

ic
adecuados y cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la consecución de los

s

mismos.

Los objetivos de la auditoría informática son:


a
ic
át
 El control de la función informática
rm

 El análisis de la eficiencia de los Sistemas Informáticos


fo

 La verificación del cumplimiento de la Normativa en este ámbito


In

 La revisión de la eficaz gestión de los recursos informáticos.


ad
id
gur
Se
Seguridad Informática Básica M.C. Cintia Quezada Reyes

R
CQ
a−
s ic

a
ic
át
rm

La auditoría informática cuenta con las siguientes características:


fo

a) Eficiencia: se refiere a operar de modo que los recursos sean utilizados de


In

forma adecuada, en otras palabras, es lograr las metas establecidas con la


menor cantidad de recursos.
ad

b) Eficacia: es hacer lo necesario para alcanzar o lograr los objetivos


id

propuestos. No se trata del proceso para obtener los resultados esperados


sino del cumplimiento de las metas establecidas.
ur

c) Rentabilidad: es la capacidad que tiene algo, ya sea un producto, empresa


g
Se

o persona para generar suficiente utilidad o beneficio, es decir, un negocio


es rentable cuando genera más ingresos que egresos.

d) Seguridad: se trata del conjunto de protecciones a un bien determinado


con el fin de preservar la confidencialidad, disponibilidad e integridad de
los bienes de la empresa u organización.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

Generalmente existen diversas formas de obtener un resultado determinado, y de


esto se deriva la existencia de varias metodologías para llevar a cabo una
auditoría informática. En general se siguen los siguientes pasos para llevar a cabo
una auditoría:

R
1. Planeación. Ésta consiste en la elaboración de los programas de trabajo

CQ
que se llevarán a cabo durante la revisión a la entidad auditada.

a−
2. Trabajos preliminares. Consisten básicamente, de una serie de entrevistas
con el cliente, las cuales tienen como objetivo dejar en claro las

ic
características básicas del trabajo que se va a realizar, qué es lo que quiere

s
el cliente y que hará, en términos generales, el auditor.


3. Diagnóstico administrativo. El diagnóstico administrativo tiene por
objetivo, proporcionar una panorámica de cómo la empresa percibe y
practica la administración.
a
ic
át
4. Investigación previa. Aquí se dará a conocer la empresa y de ser posible
se validará la problemática que fue expuesta por el cliente. Después de esta
rm

fase se estará en posibilidades de hacer una mejor estimación del tiempo y


de los honorarios, si es que no se pudo hacer en la primera fase.
fo

5. Elaboración del programa de la AI. Todo buen administrador debe


In

planear sus actividades y el auditor no debe ser la excepción, el programa


señala las actividades que han de realizarse, fechas de inicio y término, así
ad

como los tiempos.


id

6. Obtención de la Información. En esta fase se obtendrá toda la


información pertinente sobre el caso estudiado, pudiendo recurrir a
ur

herramientas como: entrevistas, encuestas, observación, etcétera,


g

dependiendo del tipo de información que se requiera.


Se

7. Análisis, clasificación y evaluación de la información. Se llevará a cabo


de la siguiente forma:
 El análisis y clasificación de la información podrá realizarse por
métodos estadísticos
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Evaluación: es aquí en donde se pone a prueba el talento del auditor,


para entender e interpretar la información y continuar con el siguiente
paso.

8. Informe, elaboración y presentación del informe final. Deberá contener


los siguientes aspectos:

R
CQ
 En él se informará de manera clara y concisa, sobre los resultados de la
AI. No debe olvidarse que a los ojos del cliente él paga por recibir un

a−
informe, y en él debe encontrar valiosas recomendaciones que habrán
de mejorar su administración., el informe aunque es escrito, debe

ic
presentarse apoyado en una exposición verbal.

s

 Implementación y seguimiento: Algunos autores consideran esta fase
como opcional, que no corresponde al auditor realizarla, sino a la

a
empresa, se considera que el auditor debe participar, para que se
ic
interpreten correctamente sus recomendaciones y no haya lugar a
át
desvíos en las mismas.
rm

El método de trabajo del auditor pasa por las siguientes etapas:


fo

 Alcance y Objetivos de la Auditoría Informática.


In

 Estudio inicial del entorno auditable.


 Determinación de los recursos necesarios para realizar la auditoría.
ad

 Elaboración del plan y de los Programas de Trabajo.


id

 Actividades propiamente dichas de la auditoría.


ur

Ética informática
g
Se

Definiciones:

a) Ética
Teoría o ciencia del comportamiento moral de los hombres en sociedad, es
decir, es la ciencia de una forma específica de conducta humana
Seguridad Informática Básica M.C. Cintia Quezada Reyes

b) Moral
Procede del latín mos o mores, costumbre o costumbres, en el sentido de
conjunto de normas o reglas adquiridas por hábito

c) Ética informática

 Disciplina que analiza problemas éticos que son creados por la

R
tecnología y por las personas que utilizan los avances de las

CQ
tecnologías de la información

 Es el análisis de la naturaleza y el impacto social de la tecnología

a−
informática y la correspondiente formulación y justificación de

ic
políticas para un uso ético de dicha tecnología

s
La ética informática considera:


 Ética profesional general

a
ic
 Utilización de la información
át

 Software como un bien o propiedad


rm

 Bienes informáticos como instrumento de actos potencialmente


fo

dañinos
In

 Miedos y amenazas de la informática


ad

 Dimensiones sociales de la informática


id

Las asociaciones de profesionales de informática y algunas empresas


relacionadas con la informática han desarrollado códigos de conducta
ur

profesional, a estos códigos se les conoce como códigos deontológicos.


g
Se

Las funciones del código deontológico se listan a continuación:

 Existencia de normas éticas para una profesión

 Suplemento a la ley y sirven de ayuda a los cuerpos legislativos,


administrativos y judiciales.
Seguridad Informática Básica M.C. Cintia Quezada Reyes

 Concienciación pública

 Función sociológica ya que dan una identidad a los informáticos


como grupo que piensa de una determinada manera.

 Fuente de evaluación pública de una profesión

R
 Permiten armonizar legislaciones o criterios divergentes existentes (o

CQ
ausentes, en su caso) en los países individuales.

a−
La ética informática considera los siguientes principios:

s ic
a) El secreto profesional y la confidencialidad


b) La responsabilidad profesional

a
c) La lealtad hacia la empresa y al público usuario
ic
át
d) La dignidad, la honestidad y la honradez
rm

e) La preferencia del servicio al bien común y al bien público


fo

f) La preparación académica y continua


In

g) La solidaridad profesional
ad

h) La integridad profesional
id

i) El apoyar y practicar el derecho a proveer y recibir información


ur

j) El transmitir datos con exactitud


g
Se

k) El evitar invasiones a la intimidad

l) El utilizar solamente justos u honestos medios en el ejercicio de la


actividad profesional

m) El saber mostrar su competencia


Seguridad Informática Básica M.C. Cintia Quezada Reyes

n) El respeto y protección de la propiedad intelectual y los derechos de


autor

Los mandamientos de la ética informática fueron creados por el Instituto de


Ética e Informática (http://www.cpsr.org/issues/ethics/cei)

Estos mandamientos son 10 y se listan a continuación:

R
CQ
1. Prohibido usar la computadora para hacer daño a otras
personas

a−
2. Prohibido intervenir el trabajo informático de otro.

ic
3. Prohibido husmear en los archivos informáticos de otro.

s

4. Prohibido usar una computadora para robar

a
5. Prohibido usar la computadora para levantar falsos testimonios
ic
át
6. Prohibido usar software por el que no se pagó licencia.
rm

7. Prohibido emplear los recursos informáticos de terceros sin


autorización.
fo

8. Prohibido adueñarse del trabajo intelectual de otro.


In

9. Pensar y evaluar las consecuencias sociales del programa


informático o el sistema que se está diseñando
ad
id

10. Emplear la informática asegurando el respeto y la dignidad


del ser humano
gur
Se

También podría gustarte