1. INTRODUCCIÓN
En las instituciones de educación superior se ha encontrado que no se le da la importancia necesaria a la seguridad informática, ya que según estudios realizados mediante encuestas y entrevistas en las diferentes sedes universitarias de la ciudad de Pereira, se pudo concluir que son muy pocas las que tienen algún
indicio de seguridad y aquellas que la tienen apenas se
encuentran en proceso de implementación, igualmente se observó que no se están guiando por
metodologías, técnicas o normas de seguridad
estandarizadas y con aplicación específica al entorno académico, si no con una mezcla, la cual no asegura un buen proceso final De igual manera se pudo detectar que los usuarios tanto administrativos como académicos no tienen conocimiento sobre seguridad informática. También se observó que en las instituciones donde tienen un mínimo de seguridad en la parte de sistemas no tienen claro el concepto del mismo, ni hay una socialización a los usuarios sobre las políticas de seguridad establecidas. Por esta razón se ha realizado un protocolo basado en la norma ISO 27000 e ISO 17000, entendiendo que la seguridad tiene una parte muy importante que es la evaluación y análisis de riesgos, y así se concluye con la propuesta de un protocolo de seguridad que puede ser aplicado en las instituciones de educación superior el cual permitirá guiar y facilitar su implementación garantizando una disponibilidad, integridad y seguridad de la información en un porcentaje
muy
alto
de
1
aplicación
y
protección.
2. DESCRIPCIÓN DEL PROBLEMA 2.1 Planteamiento del problema
Con el constante crecimiento de las tecnologías de la información, se va acrecentando también la aparición de nuevas aplicaciones, nuevos avances técnicos y mejoramiento en la funcionalidad de los mismos. De forma paralela a estos avances surgen nuevos riesgos y vulnerabilidades que pueden ser utilizadas para comprometer nuestros sistemas, nuevos virus y software malicioso circulando en la red, diseñados para alterarlos o cometer fraudes.
Otro fenómeno que se está presentado en la actualidad, es el enorme crecimiento de los ataques cibernéticos, según declara un estudio de la agencia Akamai, la cual registró un aumento de un 2000% de los ataques de denegación de servicio (DDoS). La Verizon Business dio a conocer el listado del top 15 ataques más frecuentes contra organizaciones, estos son:
Keyloggers y spyware (19%): Puerta trasera, comandos de control (18%). SQL Injection(18%). Violación de privilegios/acceso del sistema (17%). Acceso no autorizado a través de credenciales por defecto (16%). Violación de las políticas de uso (12%). Acceso no autorizado a través de listas de control de acceso (ACL) mal configuradas (10%). Sniffers(9%). Acceso no autorizado a través de credenciales robadas (8%). Ingeniería social (8%). Authentication bypass (6%). 2
Robo físico de activos (6%). Ataques por fuerza bruta (4%). RAM scraper (4%). Phishing (4%). En el informe se identifica, clasifica y esboza los ataques más comunes. Para cada tipo de ataque, el informe proporciona escenarios reales, señales de alertas, cómo se ha orquestado el ataque, en qué activos se centraron los atacantes, qué industrias son las más afectadas y cuáles son las contramedidas más eficaces.
Fuente: Verizon Business Resulta casi imposible que se detecten todos o que se pueda prevenir su totalidad, sin embargo, es importante que se tengan indicadores y controles que ayuden a mitigar estos riesgos. De allí que sea importante conocer un
3
poco más acerca de estos ataques, cómo operan, de qué manera se pueden combatir, entre otros.
2.2 Formulación del problema Debido a los problemas presentados y a las fallas de seguridad registradas, al poco conocimiento que tienen las organizaciones del concepto de seguridad informática, se hace necesario descifrar si se requiere de un documento adicional o de uno de más fácil aplicación por parte de las instituciones de educación superior que facilite la compresión de lo que es la seguridad informática, lo que esta implica y lo que conlleva a no tenerla implementada. De acurdo a esto podemos decir: ¿Cómo debe diseñarse el protocolo de política de seguridad informática para las universidades de Risaralda? ¿Cómo favorece a las universidades de Risaralda contar con una serie de pasos y/o reglamentos para la implementación de la seguridad? ¿Cuáles son los puntos principales que deben ser incluidos en el protocolo de política
de
seguridad
para
las
4
universidades
de
Risaralda?
3. OBJETIVOS 3.1 Objetivo general
Construir y proponer un protocolo para la elaboración de una política seguridad informática para instituciones de educación superior en Risaralda.
3.2 Objetivos específicos
Documentar y consultar sobre seguridad informática.
Documentar y consultar sobre protocolos.
Clasificar la información y aplicaciones de los sistemas informáticos utilizados en las universidades.
Identificar los principales aspectos vulnerables de un sistema de seguridad informática.
Consultar sobre las normas ISO 17000 e ISO 27000 como metodologías para la seguridad informática.
5
4. JUSTIFICACIÓN
La seguridad informática es el proceso por medio del cual se protegen los activos informáticos.
Se debe tener en cuenta que en la actualidad, la
información juega un papel muy importante y es considerado el activo más valioso en todas las organizaciones, lo cual ha generado que se le dé mayor atención a la disponibilidad, confidencialidad e integridad de los sistemas informáticos para así garantizar una fluidez de información segura y sistemas protegidos.
Por tanto, se hace necesario contar con estrategias y procedimientos a la hora de implementar la seguridad informática, para así garantizar el correcto funcionamiento de los sistemas y al momento de un posible ataque o desastre natural que conlleve a perdida de información o sistemas informáticos, saber cómo actuar para mitigar el problema tomando los correctivos apropiados.
Haciendo relación a las universidades de Risaralda, estas instituciones educativas de educación superior requieren de gran control en este aspecto, así como unas políticas bien establecidas en todo lo que concierne al manejo de información de datos y usuarios, que sean precavidas a la hora de permitir el acceso a los sistemas informáticos.
La información y su confidencialidad es un tema de gran importancia, tanto a nivel personal como empresarial e institucional, de ahí que se realicen continuas investigaciones acerca de los nuevos riesgos que se presentan, debido al avance de la tecnología, la cual genera diversas herramientas para los usuarios quienes pueden utilizarlas con buena o mala intención de acuerdo al objetivo que esta tenga para atacar sistemas que no cumplan o no se preocupan
por
proteger
su 6
entorno
tecnológico.
Recientes estudios han relevado que el 73% de las empresas han sufrido un ataque informático, y que estas compañías mueven el 96% de la economía del país, es evidente la falta de aseguramiento informático según artículos de revistas especializadas en el tema, como lo es la revista digital “Enter” donde publican expertos en seguridad .
De igual manera se detectó en la indagación realizada el poco conocimiento sobre el tema, especialmente por parte de directivos de empresas e instituciones de educación superior, que no valoran la importancia de su información, además no son conscientes de que esto puede acarrear una afectación tanto a nivel económico como a nivel organizacional, ya que lo que está en juego es la seguridad de la información, la cual, se considera uno de los activos más importantes
7
5. PLANTEAMIENTO DE LA HIPÓTESIS
Construir un protocolo para la generación de políticas de seguridad informática al interior de las universidades y la implementación de éstas mejorará notablemente la seguridad y evitará en gran medida la perdida de información por
ataques,
descuidos
del
usuario
8
y/o
fallas
de
seguridad.
6. DELIMITACIÓN 6.1 Espacial El proyecto se realizará en el departamento de Risaralda, para las universidades que decidan acogerlo y hacer seguimiento. Se entregarán las recomendaciones y las metodologías para su puesta en marcha y control.
6.2 Temporal El proyecto se desarrollará entre el segundo semestre de 2012 y el primer semestre del año 2013
9
7 IDENTIFICACIÓN DE VARIABLES
7.1 Variable Independiente.
VARIABLE
TIPO DE
OPERACIÓN
VARIABLE
NALIZACIÓN
CATEGORÍAS
El seguimiento de
La presencia o
Protocolo para
ausencia de una
elaborar
Cualitativa
políticas de
guía de seguridad
Seguridad
DEFINICIÓN un protocolo puede
Normas
garantizar la
Modelos
elaboración de adecuadas normas
genera políticas
de seguridad
1 Variable independiente
Fuente: Elaboración propia
7.2 Variable Dependiente Cuadro 1. Identificación de variable dependiente.
VARIABLE
TIPO DE
OPERACIO
VARIABLE
NALIZACIÓN
CATEGORÍAS
La implementación
La presencia o ausencia de la Política de Seguridad
Cualitativa
política de seguridad causa un impacto positivo en las universidades
2 Variable dependiente
Fuente: Elaboración propia
10
DEFINICIÓN correcta de la
Integridad
política de
Confidencialida seguridad minimizan d Disponibilidad los riesgos en la seguridad informática
8. PRESUPUESTO 3 Presupuesto
Materia Fungible
Costo Unidad
Unidades
Costo
Resma Papel
1
$15.000
$15.000
Cartuchos de Tinta
2
$45.000
$90.000
Fotocopias
85
$100
$8.500
CD-ROM
2
$1.000
$2.000
Argollado
1
$10.000
$10.000 $125.500
Total Costo Material Fungible
Comunicaciones
Costo Unidad
Unidades
Celular
4
$60.000
Costo Unidad
Unidades
Pasajes
$240.000 $240.000
Total Costo de comunicaciones
Gastos Varios
Costo
Costo
128
$1.700
$217.600
Gasolina
6
$30.000
$180.000
Almuerzos
8
$5.500
$44.000 $441.600
Total Gastos Varios
Imprevisto (10% del Proyecto)
$80.710
Total
$887.810
11
Fuente: Elaboración Propia Gráfico de distribución de porcentaje de acuerdo a los gastos
Comunicacion es 27% Materia Fungible 14%
Imprevisto 9%
Gastos Varios 50%
1 Porcentaje de distribución presupuesto Fuente: Elaboración Propia En el anterior presupuesto se refleja los costos que se han tenido a lo largo de la elaboración del proyecto, los cuales, se clasifican en: Material fungible, comunicaciones, gastos varios e imprevistos dando un valor total de $887.810
12
9. CRONOGRAMA DE ACTIVIDADES
Fecha de inicio: 20 Agosto 2012 Fecha de finalización: 31 de Mayo 2013 Realizadores: Cristian Camilo Alzate Castañeda, Jorge Luis Galeano Villa Tutor: Ing. Julio césar Cano Ramírez
Nro Actividad 1 Formuacion del proyecto 2 Investigacion 3 Marco Teorico 4 Entrevistas 5 Encuestas 6 Diseño del Protocolo 7 Conclusiones 8 Resumen 9 Organización de documento
Agosto Septiembre Octubre Noviembre Diciembre Enero Febrero Marzo Abril Mayo 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
2 Cronograma
Fuente: Elaboración Propia
13
10. MARCO CONTEXTUAL
El proyecto se va a desarrollar para las diferentes instituciones de educación superior del departamento de Risaralda, por lo cual, se seleccionaron las universidades más importantes de la región, como lo son la Universidad Andina, Universidad Libre, Universidad Tecnológica de Pereira y la Universidad Católica de Pereira donde se realizaron una serie de entrevistas y encuestas dando como resultado el poco conocimiento por la parte administrativa y académica de seguridad y la pobre implementación de políticas de seguridad en los campus universitarios. La región tiene una proyección de crecimiento alto en su nivel social, económico, cultural y educativo, ya que se detecta un aumento de empresas, centros comerciales y universidades de otras ciudades, lo que motiva la migración de estudiantes provenientes de diferentes destinos del país, esto ha causado mayores requerimientos de capacitación, educación etc., y ha creado más
necesidades
de
manejo
de
la
información,
lo
cual
conlleva
necesariamente a que se tenga o generen escenarios adecuados para que se presenten vulnerabilidades de seguridad en sus sistemas informáticos. El incremento de instituciones de educación superior y de otro tipo, tales como educación no formal, y el tipo de información que se maneja al interior de ellas, así como la necesidad de que interactúen con el sistema de información académico y el administrativo para los servicios que se prestan a la comunidad académica como el proceso de matrícula, inscripción, consulta de notas, solicitudes, procesos académicos etc., hace que se presente un escenario
importante
de
análisis
14
para
la
seguridad
informática.
11. MARCO TEÓRICO 11.1
Antecedentes
Las normas en seguridad informática como la ISO 27000 se han gestado a partir de entidades normalizadores británicas como lo es la (British Standards Institution) que publicaron documentos sobre prácticas en Seguridad para empresas desde 1995,
a partir de esto se empezó a gestar la familia 27000 el año 200º como
requisito para un Sistema de gestión de la seguridad de Información o SGSI, que puede ser adoptado
en el ámbito internacional, de allí siguen surgiendo
complementos como la norma ISO 17000. En la actualidad se han desarrollado estudios e investigaciones sobre seguridad informática, así como proyectos de grado relacionados con el tema. Tal caso puede ser un análisis de la seguridad a una empresas específica y también universidades, un ejemplo claro está en la Universidad Católica de Pereira cuya política se ha desarrollado a partir de un trabajo de grado, también se encuentran la elaboración de políticas de seguridad para organizaciones como Apostar, de igual manera el CDA de Cartago y en general mucha documentación sobre el tema y sobre los diferentes métodos de detección y ataques a sistemas informáticos. Pero no existe en el momento una guía para que las propias universidades, es decir los encargados del área de sistemas puedan revisar todo lo relacionado con la seguridad y a partir de allí generar su propia política basados en los pasos planteados en el presente trabajo, así como concientizarse de la importancia de tener esto implementado, actualizado y socializado con toda la comunidad académica.
15
11.2
Conceptos claves
11.2.1 Seguridad de la información
Es un término que hace referencia a la seguridad de activos de forma general, incluyendo la seguridad informática, la seguridad TIC y la seguridad de los datos.
11.2.2 Seguridad informática “Es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas
destinados
a
conseguir
un
sistema
de
información
segura
y
confiable.”(Aguilera López, Purificación, 2010).
11.2.3 Mecanismos de seguridad
Todo aquello de naturaleza hardware como software que se utiliza para crear, reforzar y mantener la seguridad informática.
Se clasifican en: Preventivos: Actúan antes de que se produzcan ataques. Su misión es evitarlos.
Detectores: Actúan cuando el ataque se ha producido y antes que cause daños en el sistema.
Correctores: Actúan después de que haya habido un ataque y se hayan producido daños. Su misión es la de corregir las consecuencias del daño.
16
11.2.4 Seguridad pasiva “Está construida por el conjunto de medidas que se implementan con el fin de minimizar la repercusión debida a un incidente de seguridad y permitir la recuperación del sistema. A estas medidas podemos llamarlas de corrección.” (Aguilera López, Purificación, 2010).
11.2.5 Seguridad activa “Los mecanismos y procedimientos que permiten prevenir y detectar riesgos para la seguridad del sistema de información constituyen la seguridad activa del mismo.” (Aguilera López, Purificación, 2010).
11.2.6 Seguridad física
“Se utiliza para proteger el sistema informático utilizando barreras y mecanismos de control. Se emplea para proteger físicamente el sistema informático. Las amenazas físicas se pueden producir provocadas por el hombre, de forma accidental o voluntaria, o bien por factores naturales.” (Aguilera López, Purificación, 2010).
11.2.7 Seguridad lógica “Se encarga de asegurar la parte del software de un sistema informático, que se compone de todo lo que no es físico, es decir, los programas y los datos.” (Aguilera
López,
Purificación,
17
2010).
11.2.8 Arquitectura de seguridad OSI La arquitectura de seguridad OSI (Estándares ISO 7498-2 y ITU-T X.800) hace distinción entre los conceptos de servicio y mecanismos de seguridad. Un servicio de seguridad es una característica que debe tener un sistema para satisfacer una política de seguridad. Un mecanismo de seguridad es un procedimiento concreto utilizado para implementar el servicio de seguridad. En otras palabras, un servicio de seguridad identifica lo que es requerido; mientras el mecanismo describe cómo lograrlo.
La arquitectura OSI identifica las clases de servicios de seguridad: Confidencialidad, autenticidad, integridad, control de acceso, y no repudio.
11.2.9 Servicios de seguridad Confidencialidad: se refiere a la protección de la información respecto al acceso no autorizado, sea en los elementos computarizados del sistema o en elementos de almacenamiento.
Integridad: Protección de la información respecto a modificaciones no autorizadas, tanto a la almacenada en los elementos computarizados de la organización como la usada como soporte. Estas modificaciones pueden llevarse a cabo de manera accidental, intencional, o por errores de hardwaresoftware.
Autenticidad: Garantía que el usuario autorizado tiene para usar un recurso y que no sea suplantado por otro usuario.
Control de Acceso: Posibilidad de controlar los permisos a cualquier usuario para
acceder
a
servicios
o
18
datos
de
la
organización.
No Repudio: Al ser transferido un conjunto de datos, el receptor no puede rechazar la transferencia, y el emisor debe poder demostrar que envió los datos correspondientes.
Disponibilidad de los recursos y de la información: Protección de los elementos que poseen la información de manera que en cualquier momento, cualquier usuario autorizado pueda acceder a ella, sin importar el problema que ocurra.
Consistencia: Capacidad del sistema de actuar de manera constante y consistente, sin variaciones que alteren el acceso a la información.
Auditoría: Capacidad para determinar todos los movimientos del sistema, como accesos, transferencias, modificaciones, etc., en el momento en que fueron llevados a cabo (fecha y hora).
Vulnerabilidad: Consiste en cualquier debilidad que puede explotarse para causar pérdida o daño del sistema. De esta manera, el punto más débil de seguridad de un sistema consiste en el punto de mayor vulnerabilidad de ese sistema.
Amenaza: Será cualquier circunstancia con el potencial suficiente para causar pérdida o daño al sistema. De esta manera, el punto más débil.
La presencia de uno o más factores de diversa índole (personas, máquinas o sucesos) que de tener la oportunidad atacarían al sistema produciéndole daños aprovechándose de su nivel de vulnerabilidad.
11.2.9.1 Clasificación de las amenazas en función del tipo de alteración, daño o intervención que podrían producir sobre la información: 19
De interrupción: El objetivo de la amenaza es deshabilitar el acceso a
la
información; por ejemplo, destruyendo componentes físicos como el disco duro, bloqueando el acceso a los datos, o cortando o saturando los canales de comunicación.
De interpretación: Personas, programas o equipos no autorizados podrían acceder a in determinado recurso del sistema y captar información confidencial de la organización, como pueden ser datos, programas o identidad de personas.
De modificación: Personas, programas equipos no autorizados no solamente accederían a los programas y datos de un sistema de información sino que además los modificarían.
De fabricación: Agregarían información falsa en el conjunto de información del sistema.
Según su origen las amenazas se clasifican en:
Accidentales: accidentes meteorológicos, incendios, inundaciones, fallos en equipos, en las redes, en los sistemas operativos o en el software, errores humanos.
Intencionadas: Son debidas siempre a la acción humana, como a introducción de software malicioso, malware, intrusión informática, robos o hurtos.
Ataques: Se define como cualquier acción que explota una vulnerabilidad. 11.2.9.2 Clasificación de ataques:
20
Ataques Pasivos: Consiste en sólo observar comportamientos o leer información, sin alterar sin alterar el estado del sistema ni la información. En este sentido, un ataque pasivo sólo afecta la confidencialidad o privacidad del sistema o de la información.
Ataques Activos: Por el contrario, tiene la capacidad de modificar o afectar la información o el estado del sistema o ambos. En consecuencia, un ataque activo afecta no sólo la confidencialidad o privacidad sino también la integridad y la autenticidad de la información o del sistema. Riesgos: Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad.
3 Grafico ISO 27000 Fuente: www.ISO27000.es 11.3
Normas ISO sobre gestión de seguridad de la información.
“Norma: es un documento cuyo uso es voluntario y que es fruto del consenso de las partes interesadas y que deben aprobarse por un organismo de normalización reconocido.
21
El ISO (International Organization for Standardization, Organización Internacional para la Estandarización) es un organismo internacional que se dedica a desarrollar reglas de normalización en diferentes ámbitos, entre ellos la informática. El IEC (International Ellectrotechnical Commision) es otro organismo que publica normas de estandarización en el campo de la electrónica.
11.3.1 ISO 27000 La serie de normas ISO/IEC 27000 se denomina requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI), proporciona un marco de estandarización para la seguridad de la información para que sea aplicado en una organización o empresa y comprende un conjunto de normas sobre las siguientes materias:
Sistema de gestión de la seguridad de la información
Valoración de riesgos
Controles
Serie de normas: ISO 27001: Que sustituye a la ISO 17799-1, abarca un conjunto de normas relacionadas con la seguridad informática. Se basa en la norma BS 7799-2 de British Estándar, otro organismo de normalización. Según esta norma, que es la principal de la serie, la seguridad de la información es la prevención de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento.
ISO 27002: que se corresponde con la ISO 17799, y que describe un código de buenas prácticas para la gestión de la seguridad de la información y los controles recomendados
relacionados
con
22
la
seguridad.
ISO 27003: que contiene una guía para la implementación de la norma. ISO 27004: que contiene los estándares en materia de seguridad para poder evaluar el sistema de gestión de la seguridad de la información.
ISO 27005: que recoge el estándar para la gestión del riesgo de la seguridad. ISO 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO 27001.
ISO 27007: Es una guía de auditoría de un SGSI. Como un complemento a lo especificado en la ISO 19011.” (García, Alfonso. Hurtado Cervigón. Alegre Ramos, María del Pilar. 2011).
11.3.2 ISO 17000 No describen un sistema de gestión de calidad (el sistema de gestión de calidad es solamente uno de los requisitos de estas normas), sino que establecen los requisitos específicos que cada uno de los organismos de evaluación de la conformidad (laboratorios, certificadores e inspectores) deben cumplir
para
demostrar
su
23
competencia
técnica.
Enfoque funcional a la evolución de la conformidad 4 Enfoque ISO 17000 Fuente:www.iso.org/casco_building-trust-es.pdf
Selección:
Especificación de las normas u otros documentos en los cuales se evaluará la conformidad.
Selección de los ejemplos del objeto que se debe evaluar. Especificación de técnicas de muestreo estadístico si es aplicable.
Determinación:
24
Ensayos para determinar las características específicas del objeto de evaluación.
Inspección de las características físicas del objeto de la evaluación.
Auditoría de los sistemas y registros relacionados con el objeto de la evaluación.
Examen de las especificaciones y los planos para el objeto de la evaluación.
Revisión y atestación:
Revisión de las evidencias relevantes en la etapa de determinación para resolver las no conformidades.
Elaborar y emitir una declaración de conformidad
Coloca una marca de conformidad de productos conformes
Vigilancia:
Llevar a cabo actividades de determinación en el punto de producción o en la cadena de suministro al mercado
Llevar a cabo actividades de determinación en el mercado
Llevar a cabo actividades de determinación en el lugar de uso
Revisar los resultados de las actividades de determinación
Volver a la etapa de determinación para resolver no conformidades
Elaborar y expedir confirmación de continuidad de la conformidad
Iniciar
acciones
correctivas
y
preventivas
conformidades. (ISO/IEC 17000(ES),2004)
25
en
el
caso
de
no
11.4
Consideraciones al abordar la construcción del Protocolo para elaborar
políticas de seguridad 11.4.1 Seguridad Informática
Se puede definir la seguridad en cualquier sistema, aquella capaz de identificar la existencia de peligros, daños o riesgos. Un peligro o riesgo se define como aquel que puede afectar el buen funcionamiento de un determinado sistema o de los resultados que de él se obtienen. Aunque ningún sistema puede ofrecer un 100% de seguridad, los existentes sí pueden aminorar los posibles riegos presentados a nivel de información. Según Álvarez Marañón y Pérez García (2004), La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos.
Dicho de otro modo, mediante la aplicación de sus
principios, se implementarán en los sistemas informáticos las medidas de seguridad capaces de contrarrestar las amenazas a que se encuentran expuestos los activos de la organización: la información y los elementos hardware y software que la soportan. No se trata de implantar sino de medidas de seguridad, tales como cortafuegos o cifrado de datos porque tal o cual tecnología están de moda o porque se cree que así va a estar más seguro. Se trata más bien de evaluar los riesgos reales a los que la información está expuesta y mitigarlos mediante la aplicación de las medidas necesarias y en el grado adecuado, con el fin de satisfacer las expectativas de seguridad generadas. (p. 3) Es importante tener en cuenta que son muchas las medidas de seguridad que resultan ineficientes, especialmente cuando éstas se aplican de forma aislada, por lo tanto se hace importante que se combinen con otras que también ofrezcan protección ante posibles amenazas, con el fin de lograr contrarrestarlas en su totalidad; es indispensable entonces que se busquen las medidas apropiadas para el
contexto
en
el
cual
26
se
vayan
a
aplicar.
Según las características o fuente de las amenazas, la seguridad se podrá dividir en seguridad lógica y seguridad física. Seguridad Lógica: según Aguilera, (2005). “Es toda aquella con relación a la protección de software y de los sistemas operativos, que en definitiva es la protección directa de los datos y de la información”. (p. 31) A través de este tipo de seguridad se pueden poner a salvo todos aquellos datos y el software que se esté utilizando, ofreciendo seguridad a quien esté autorizado para su acceso. En cuanto a la seguridad física, y según lo dice el mismo autor, se llama Seguridad Física “A la que tiene que ver con la protección de los elementos físicos de la empresa u organización, como el Hardware y el lugar donde se realizan las actividades, edificio o habitaciones”. (p. 31) Es la forma en cómo se aseguran los entornos físicos con el fin de ofrecer tranquilidad a los usuarios y no permitir el acceso a aquellos intrusos que tratan de acceder a los sistemas. Cabe señalar que es importante tener en cuenta estos dos aspectos en la implementación de las políticas, ya que es por aquí donde se presentan los ataques a los sistemas
informáticos y se da la perdida de la información, de
acuerdo a los datos estadísticos que se tienen. El objetivo de los sistemas de seguridad es ofrecer protección a los activos, los cuales están conformados por tres elementos:
Información: La información es la que mayor valor presenta para cualquier organización, su objetivo es resguardar la información, sin importar el lugar en la cual se encuentra registrada.
Equipos que la soportan: Entre ellos se encuentra el hardware, el software
y
la
organización 27
en
sí.
Usuarios: Son aquellos individuos que hacen uso de la estructura tecnológica y comunicacional y son quienes manejan la información.
Estos tres objetivos de los sistemas de seguridad son muy importantes tenerlos en cuenta al momento de establecer las políticas, ya que son los que conforman la estructura tecnológica de las instituciones y en cada uno de ellos se recomienda mirar su funcionamiento y qué los conforman para así poder implementar una buena seguridad.
11.4.2 Análisis de Riesgos “La meta del análisis de riesgos es ayudar en la selección de salvaguardas costoefectivas. El análisis de riesgo incluye un estimado de las pérdidas potenciales y qué salvaguardas pueden reducirlas para identificar cuáles de entre estas salvaguardas son las mejores en función de su costo”. (Summers, 1997, pp. 1-11) La información es el activo más importante que se pueda tener en cualquier organización, por lo tanto, la existencia de técnicas que la aseguren deberán realizarse teniendo en cuenta además aquellos equipos en los cuales se almacenan. Estas técnicas se deben implementar siguiendo los lineamientos de la seguridad lógica, por medio de la cual se aplican barreras y procedimientos que van a ofrecer el no acceso a los datos por personas no autorizadas.
11.4.3 Evaluación de Riesgos
Hacer una evaluación de riesgos es mucho más que tratar de calcular la posibilidad de que cualquier sistema de información se vea afectado por cualquier eventualidad negativa. Se deben calcular los posibles efectos económicos, con el fin de compararlos con el costo de implantar un buen sistema de seguridad. Es
28
necesario hacer una distinción en cuanto al gasto incurrido en el sistema de seguridad y el gasto ocasionado por la implantación o restauración del daño ocasionado. Hay que estar conscientes de la probabilidad de que surjan los problemas, con el fin de desarrollar medidas o planes de acción adecuados.
Tomar en
consideración los programas existentes, evaluar de cada uno las amenazas que se puedan presentar y tratar de minimizar estos riesgos, bajo medidas adecuadas y efectivas. Metodologías de Evaluación de Riesgos La metodología MAGERIT es una de las más utilizadas ya que se encuentra en español. MAGERIT está basado en tres submodelos. Los submodelos son: 1. Submodelo de elementos: Es este se clasifican 6 elementos básicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda. 2. Submodelo de eventos: Aquí se clasifican los elementos anteriores en tres formas: dinámico físico, dinámico organizativo y estático. 3. Submodelo de procesos: Se definen en 4 etapas: análisis de riesgo, planificación, gestión de riesgo y selección de salvaguardas. La metodología OCTAVE está compuesta en tres fases: 1. Visión de organización: Donde se definen los siguientes elementos: activos, vulnerabilidades de organización, amenazas, exigencias de seguridad y normas existentes. 2. Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas.
29
3. Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos, estrategia de protección, ponderación de los riesgos y plano de reducción de los riesgos. La Metodología NIST SP 800-30 está compuesta por 9 pasos básicos para el análisis de riesgo: 1. Caracterización del sistema. 2. Identificación de amenazas. 3. Identificación de vulnerabilidades. 4. Control de análisis. 5. Determinación del riesgo. 6. Análisis de impacto. 7. Determinación del riesgo. 8. Recomendaciones de control. 9. Resultado de la implementación o documentación. Mehari • Diagnóstico de Seguridad • Análisis de los Intereses Implicados por la Seguridad • Análisis de Riesgos
30
11.4.4 Importancia de la seguridad
Como ya se ha tratado en varios apartes del documento la seguridad de la información es un elemento importante para las organizaciones, por eso se debe continuar esta línea de investigación con la opinión de algunos autores que han investigado sobre el tema. El autor Mediavilla Manuel (1998) menciona que: La seguridad hoy en día es uno de los principales problemas encontrados en el área informática, cuando se habla de seguridad por lo general se piensa en un término privacidad de la información en el cual se pueden incluir aspectos tales como: contraseñas, accesos a la información, mensajes cifrados y en definitiva, todo lo relacionado con la protección y confiabilidad de los datos. El autor Mediavilla menciona que también se tienen que considerar otros aspectos como son: “la privacidad, la integridad y disponibilidad” (p.15) De acuerdo a lo anterior mediante el estudio realizado en campo se observó que a pesar que la seguridad es uno de los principales problemas y que cada día es más crítico el tema por el avance tecnológico, se detectó que las instituciones de educación superior no le han dado gran importancia a la seguridad y la manejan de acuerdo a la necesidad sin tomar la medidas correctas para proteger su información, y le dan poca relevancia a éstas. Para Jesús Minguet (1994) “La informática debe concebirse en un sentido amplio y con un carácter propio. Si bien no existe una definición precisa del alcance de esta disciplina, es importante señalar que la misma ha surgido como una convergencia durante varias décadas entre las telecomunicaciones, las ciencias de la computación y la microelectrónica, incorporando a su vez conceptos y técnicas de la ingeniería, la administración, la psicología y la filosofía, entre otras disciplinas. Algunas áreas de la informática como es la de la inteligencia artificial tienen una estrecha relación con los algoritmos de búsqueda y de optimización de 31
la investigación de operaciones y con los conceptos de psicología cognitiva. (p. 39) Se puede, por lo tanto también detallar que hay que tomar la seguridad más en serio ya que está en juego la información y los equipos lo que se refleja en un tema financiero crítico para las instituciones.
11.4.5 Funciones de la seguridad informática
Hay que tener en cuenta que la seguridad informática está en estrecha relación con la forma, modo o lugar en que se emplea, de allí que sea importante traer a colación a tres autores que se han ido identificando con el tema. Mediavilla Manuel (1998) “Dentro de las funciones que se refieren a la seguridad informática tenemos:
Planear y establecer estrategias de seguridad informática de acuerdo a lineamientos principios y necesidades institucionales.
Contar con un sistema de información estadístico para dar seguimiento a los proyectos y planes de acción con el fin de garantizar dentro de la institución su implantación control y seguimiento.
Definir, elaborar, liberar, difundir y actualizar políticas y normas de seguridad informática que permitan a las áreas de la organización implantar y fortalecer mecanismos de protección de la información.
32
Realizar campañas de capacitación, difusión y concientización que eleven el nivel de recepción, entendimiento y conocimiento del personal en general sobre la materia.
Realizar diagnósticos y evaluaciones de seguridad informática para identificar y minimizar los riesgos en los diferentes niveles funcionales, operativos y de sistema.
Mantener la actualización sobre los avances tecnológicos en este campo, con el fin fortalecer esquemas de protección en la organización”. (pp. 102, 103)
De acuerdo con las entrevistas y las encuestas aplicadas en las Instituciones de educación superior se puede concluir que ninguna planea estrategias de acuerdo a sus necesidades tecnológicas, no se establecen políticas de seguridad de acuerdo a lo mencionado y si las tienen implementadas no siguen una norma de estandarización como la ISO 27000 y la ISO 17000, tampoco se evidencio que tuviesen un sistema de auditoria implementado, ni se realizan diagnósticos de riesgos y finalmente las que poseen un mínimo de seguridad, no realizan campañas de capacitación entre los integrantes administrativos y académicos de la institución.
Según Herrera Reyna (1994) La función centralizada: Permite un mejor control y desempeño de las funciones de seguridad informática, sin embargo, este esquema también suele generar algunos roces con otras áreas de la empresa, particularmente con el área de Sistemas.
Entre las existentes, es una de las mejores opciones para áreas donde el control resulta esencial aunque se tenga que sacrificar algo de desempeño en producción a costa de una mejor vigilancia. 33
Algunos sectores donde este
esquema puede ser benéfico son: Financiero, Farmacéutico, Salud, Gobierno, Organismos Militares y Organismos Policiales.
También se puede hacer referencia a la Función Distribuida, pues en algunas organizaciones es relevante distribuir la función de la seguridad, pues de esta manera se da un mejor desempeño operativo a costa de menor control y desempeño en la seguridad informática.
A consideración de Anderson, (2001) "Existen tres características fundamentales asociadas con el mercado de tecnologías de información. El valor de un producto para un usuario depende de cuántos exitosamente lo han adoptado. La tecnología tiene altos costos fijos y bajos costos marginales. Existen frecuentemente altos costos para los usuarios con el cambio de tecnologías.
Dichas características establecen una competencia de los proveedores por conquistar segmentos de mercado importantes, sabiendo que el ganador se lleva todo. Pero la pregunta es: ¿Quién es el beneficiado de esta dinámica? ¿La empresa? ¿El mercado de productos?
La seguridad informática, no es ajena a estas características propias del mercado de TI, pues, como se comentó previamente, el hardware, el software y los servicios especializados, son parte de la dinámica de la función de seguridad informática en las organizaciones.
Po ese es importante resaltar que la seguridad de la información no se consigue con una inversión costosa, es necesario una serie de componentes y un proceso que de acuerdo como se plantee puede tener una relación costo beneficio favorable
o
desfavorable
para 34
las
organizaciones.
La inversión en seguridad informática es un reto para los encargados de este tema en las organizaciones. Surgen preguntas alrededor del tema de presupuesto, impacto y retorno de la inversión que en la actualidad causan revuelo y establecen muchos interrogantes para aquellos que se halla en la tarea de justificar presupuestos de seguridad informática. “(p.86)
De acuerdo a lo anterior, se puede establecer que las funciones de la seguridad informática se dividirán de acuerdo al orden en el que se empleen, sin embargo, cualquier organización o empresa debe hacer un análisis básico de cuál es problema y cuáles los conflictos potenciales para poner en marcha un plan de contingencia.
11.4.6 Políticas generales de seguridad Las políticas de seguridad deben, principalmente, enfocarse a los usuarios: “una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes”. Indican a las personas cómo actuar frente a los recursos informáticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino más bien una descripción de aquello valioso que deseamos proteger y por qué.
11.4.6.1 Elementos de una política de seguridad informática
Si las decisiones tomadas en relación a la seguridad, dependen de las PSI (Políticas de Seguridad Informáticas), cada persona debe estar en disposición de aportar lo necesario para poder llegar a una conclusión correcta de las cosas que son importantes en una empresa y en cualquier institución de educación superior, que deben ser protegidas. Es por esto que una PSI debe tener los siguientes elementos: 35
Rango de acción de las políticas. Esto se refiere a las personas sobre las cuales se posa la ley, así como los sistemas a los que afecta.
Reconocimiento de la información como uno de los principales activos de la empresa.
Objetivo principal de la política y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripción de dicho elemento.
Responsabilidades generales de los miembros y sistemas de la empresa. Cómo la política cubre ciertos dispositivos y sistemas, estos deben tener un mínimo nivel de seguridad. Se debe definir este umbral mínimo.
Explicación de lo que se considera una violación y sus repercusiones ante el no cumplimiento de las normas.
Responsabilidad que tienen los usuarios frente a la información a la que tienen acceso.
Se puede añadir que es muy importante tener en cuenta estos elementos a la hora de establecer las políticas de seguridad, siendo estas unas pautas fundamentales para unas buenas prácticas de la protección de la información en los entornos tecnológicos. De igual manera es importante conocer las características
y
las
recomendaciones
36
para
lograr
el
objetivo.
11.4.6.2 Características de las PSI
Siempre se debe tener en cuenta cuáles son las expectativas de la organización frente a las PSI, qué es lo que espera de ellas en cuanto a seguridad y eficacia.
Siempre que se redacten, las PSI deben permanecer libres de tecnicismos que dificulten su comprensión por parte de cualquier persona de la organización.
Cada política redactada, debe explicar por qué se toma dicha decisión y por qué se protegen esos servicios o conocimientos particulares
Toda PSI debe ser vigilada por un ente, una autoridad, que la haga cumplir y apique los correctivos necesarios. Sin embargo, no debe confundirse una PSI con una ley, y no debe verse como tal.
Así como las características y elementos de una empresa cambian, también deben hacerlo las PSI, por lo que debe tenerse en cuenta, al redactarlas, que deben establecer un esquema de actualización constante, que dependa de las características de la organización.
No hay nada obvio. Se debe ser explícito y concreto en cuanto a los alcances y propuestas de seguridad. Esto evita gran cantidad de malos entendidos, y abre el camino para el establecimiento de la política de seguridad específica.
11.4.6.3 Recomendaciones para las PSI
37
Antes que nada, se debe hacer una evaluación de riesgos informáticos, para valorar los elementos sobre los cuales serán aplicadas las PSI.
Luego, deben involucrarse, en cada elemento valorado, la entidad que maneja o posee el recurso, ya que ellos son los que tienen el conocimiento y la experiencia manejando ese elemento particular.
Después de valorar los elementos e involucrar al personal, debe explicarles cuales son las ventajas de establecer PSI sobre los elementos valorados, así como los riesgos a los cuales están expuestos y las responsabilidades que les serán otorgadas.
El siguiente paso es determinar quiénes son las personas que dan las órdenes sobre los elementos valorados en la empresa. Ellos deben conocer el proceso de las PSI, ya que sobre ellos recae la responsabilidad de los activos críticos.
Finalmente, deben crearse mecanismos para monitorear a los elementos valorados, las personas involucradas y los altos mandos directores de los elementos. Esto con el objetivo de actualizar fácilmente las PSI cuando sea necesario.
11.4.6.4 Puesta en marcha de una política de seguridad Una buena política de seguridad debe asegurar que el acceso a la información sólo pueda realizarse por aquellos que tengan permiso de acceso a los datos, contar con unas buenas herramientas de control para los mismos y poseer la identificación
correspondiente.
38
Al momento de realizar una política de seguridad se debe tener en cuenta algunos aspectos tales como: Elaboración de procedimientos y reglas, para cada servicio que se presente y de acuerdo al servicio prestado por la organización. Definir las acciones necesarias y el personal encargado para evitar una posible intrusión. Ofrecer sensibilización a quienes operen estos sistemas para que tengan capacidad de detectar posibles problemas de seguridad.
La declaración de la política de seguridad es una declaración de propósito general a nivel superior para la administración superior, es similar a una declaración de la misión orientada a la seguridad.
Su intento es demostrar el
compromiso de la administración superior con las metas de seguridad de la información, y, por lo tanto, autoriza la estructura de organización de la seguridad. (Daltabuit, Hernández, Mallén& Vásquez, 2007, p. 313)
Para que un sistema esté seguro, se debe contar con algunos servicios de seguridad, que nos ayuden a minimizar los riesgos de fuga de información, sin embargo, implementar cada uno de estos servicios en un hardware
diferente,
implicas gastos y muchas horas de trabajo. Afortunadamente en la actualidad se cuenta con appliances o utm's las cuales se caracterizan por ofrecer todos los servicios de seguridad en un solo equipo.
En cuanto a lo anterior es fundamental seguir estos procedimientos que hacen parte de una buena implementación de las políticas de seguridad, de esta manera orientando a los encargados en establecer unas buenas prácticas de seguridad
en
las
instituciones
39
de
educación
superior.
Lo postulado con antelación ayudará a mitigar los problemas causados por el abordaje en cuanto a esta temática, cabe resaltar que esto no reducirá en 100% los factores externos como son los ataques y amenazas.
11.4.7 Protocolos
Según la RAE el significado del término protocolo, es un conjunto de normas, reglas, o procedimientos para la elaboración de una política o estándar. Es un acuerdo entre dos o más partes para realizar algo específico.
Un protocolo tiene las siguientes características:
El protocolo resuelve un cierto problema o produce un cierto resultado.
El protocolo consiste de una serie de pasos bien definidos, en este contexto, significa que el protocolo cubre todas las posibles situaciones que pueden surgir durante su ejecución. En todo momento debe ser claro lo que hay que hacer a continuación.
Los pasos tienen que ser conocidos con anticipación; además, el protocolo debe, finalmente, terminar. Cuando todos los pasos se hayan seguido exactamente, el problema dado tiene que haber sido resuelto.
El protocolo involucra a dos o más partes.
Todas las partes involucradas conocen el protocolo y están de acuerdo en seguirlo.
El protocolo define claramente lo que cada parte gana o expone con su ejecución.
El Protocolo se puede definir como el conjunto de normas y disposiciones legales vigentes que, junto a los usos, costumbres y tradiciones de los pueblos, rige la celebración de los actos oficiales y, en otros muchos casos, la celebración de actos de carácter privado que
40
toman como referencia todas estas disposiciones, usos, tradiciones y costumbres.
Pero el protocolo tiene que complementarse para cubrir todas las necesidades que requieren el conjunto de actividades que tienen lugar cuando en los actos oficiales se realizan otra serie de actividades que se deben regular y organizar. (Vásquez; Rodríguez, 2010, p. 1)
Tipos de protocolos
“Los protocolos, en general, consisten en desligar el proceso a seguir para realizar una determinada tarea del mecanismo y herramientas concretas utilizadas; en resumen, todo protocolo sólo especifica las reglas de comportamiento a seguir. Existen diferentes tipos de protocolos en los que intervienen terceras partes confiables:” (Regueiro, 2009)
Arbitrados.
Un protocolo arbitrado se basa en una tercera parte confiable para realizarse. El árbitro no tiene ningún tipo y forma de preferencia por ninguna de las partes involucradas. En la vida real es el papel que debe jugar un juez.
Adjudicados.
Los protocolos adjudicados son una variante de los arbitrados. También se basan en una tercera parte confiable, pero esta parte, sin embargo, no siempre es requerida.
41
Auto implementado
Estos son los mejores protocolos. Se diseñan de tal manera que hacen virtualmente imposible el engaño. No requieren ni arbitro ni juez. Garantizan lo siguiente: si cualquier participante en el protocolo engaña, el engaño es descubierto inmediatamente por el otro u otros participantes.
A través de este recorrido se puede determinar que la protección a diversos ataques es fundamental, de allí que implementar un protocolo de seguridad sea un arma efectiva, ya que se podrá tener un punto de referencia a la hora de implementar un plan de seguridad informática en las universidades de Risaralda, que permita mitigar este dificultad y masificar su implementación.
Los problemas que en la actualidad se han venido presentando y cada vez con mayor frecuencia, especialmente por la pobre implementación de seguridad en los activos informáticos y las inadecuadas prácticas de políticas de seguridad, lo que las deja expuestas a una posible infiltración de sus sistemas, ya que no cuentan con un punto de referencia que los guíe a la hora de realizar un adecuado sistema de seguridad.
Las universidades de Risaralda deben percatarse de la importancia de implementar dentro de su infraestructura unas buenas políticas de seguridad, es necesario que sean más rigurosos a la hora de tomar decisiones acerca de la necesidad de adquirir unas buenas prácticas de seguridad, además es un deber analizar las posibles consecuencias que pueden generarse en torno a la integridad y la confidencialidad de sus datos.
Todos estos problemas son motivados especialmente por el poco conocimiento que sobre el tema de seguridad informática que se tiene, esto de acuerdo a lo que se pudo indagar en las universidades de la región mediante 42
encuestas y entrevistas. Son muy pocas las entidades que se dedican a la prestación de este servicio, y quienes la prestan no han evolucionado al ritmo en cómo
están
evolucionando
estos
peligros
43
de
seguridad
informática.
12 MODELOS TEÓRICOS
12.1
Sistema de Gestión de la Seguridad de Información (SGSI)
Sistema de gestión de la seguridad de la información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Estos sistemas nombrados en la Norma ISO/IEC 27001 incorporan el modelo PDCA 1 como método de enfoque de mejora continua.
12.1.1 Modelo PDCA
5 Modelo PDCA
1
PDCA por sus siglas en inglés Plan – Do – Check - Act
44
Fuente: http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG SI/ Planificar: Definir el alcance del SGSI Definir la política de seguridad Elegir la metodología de evaluación de riesgos Realización del inventario de activos Identificar amenazas y vulnerabilidades Identificar impactos Análisis y evaluación del riesgo Selección de controles
Ejecutar: Definir plan de tratamiento de los riesgos Implantar plan de tratamiento de riesgos Implementar los controles Formación y concienciación Operar el SGSI
Verificar: Revisar el SGSI Medir eficacia de los controles Revisar riesgos residuales Realizar auditorías internas del SGSI Registrar acciones y eventos
Actuar Implantar mejoras 45
Acciones correctivas
Acciones preventivas
Acciones de mejora
Comprobar eficacia de las mejoras
12.1.2 Otra proposición de una forma de realizar el análisis para llevar a cabo un sistema de seguridad informática
Fuente (Curso Sena Redes y Seguridad, 2012) Antes que nada, se crea una base de análisis para el sistema de seguridad, que está basada en varios elementos:
Factor humano de la empresa
Mecanismos y procedimientos con que cuenta la empresa
Ambiente en que se desenvuelve la organización 46
Consecuencias posibles si falla la seguridad de la empresa
Amenazas posibles de la empresa.
Luego de evaluar este conjunto de elementos, que conforman la base del análisis del sistema de seguridad se procede a realizar el programa de seguridad, el cual contiene todos los pasos a tomar para definir la seguridad deseada. Luego de terminar este programa, se pasa al plan de acción, que posee todas las acciones a llevar a cabo para implantar el programa de seguridad.
A continuación se procede a crear un manual de procedimientos y normativas, que serán en suma la forma como cada elemento del programa debe ser aplicado en el elemento correspondiente, y las acciones a ejecutar luego de infringida una norma. Mientras los programas de seguridad, plan de acción y procedimientos son llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos, para asegurar su realización. Este control debe ser auditado, con el propósito de generar los logfiles o archivos de evidencias, que pueden ser revisados en cualquier momento para analizar la auditoria en la que fue llevado a cabo el control y poder generar cualquier cambio. La auditada realizada también sirve para generar simulaciones que permitan probar el sistema. Estas simulaciones pasan por una revisión que da fe del desempeño de las políticas de seguridad, y ayudan a modificar las bases del análisis, así como el programa, el plan y las normativas de seguridad.
Se va utilizar el Modelo PDCA pero
teniendo en cuenta la primera parte del
modelo del Sena que es un insumo muy importante ya que aplica a las instituciones de educación superior. Además tiene en cuenta todos los factores iniciales
importantes
para
47
una
universidad.
13 CONCRECIÓN DEL MODELO
13.1
Metodología utilizada
Para el desarrollo del objetivo general del proyecto es necesario abordar unos puntos específicos con acciones que se definirán a continuación.
1. Documentar y consultar sobre seguridad informática.
Para la documentación e indagación o consulta de todos los conceptos relacionados sobre seguridad informática, amenazas, vulnerabilidades, ataques, políticas de Seguridad se van a realizar consultas en fuentes confiables como libros y artículos de revistas reconocidas, además se buscó apoyo en trabajos de grado relacionados con el tema realizado en diferentes universidades.
Para cumplir el objetivo se utilizó un recurso gratuito, un curso virtual de 40 horas denominado “Redes y Seguridad” impartido por el Servicio Nacional de aprendizaje (Sena), el cual entregó una vez concretado a la respectiva certificación y que dio acceso a todo el material de estudio que será de gran ayuda en el desarrollo del protocolo.
2. Identificar los principales aspectos vulnerables de un sistema de seguridad
informática.
Con base en las consultas hechas es necesario identificar las diferentes partes críticas en las cuales se puede vulnerar la seguridad de un sistema: como los puntos de red, las redes inalámbricas, la página web, las salas de 48
sistemas, el acceso al data center, la cantidad de estudiantes y trabajadores para así poder establecer los principales pasos de un protocolo de política de seguridad informática.
Las amenazas que se pueden surgir y las vulnerabilidades que se den por el descuido de lo anterior, abren paso a que los atacantes las exploten ya que es sabido que no hay un sistema 100% efectivo, por lo cual es indispensable tener estos puntos críticos controlados
por la inmensa
cantidad de incidencias del exterior y del interior de las empresas o universidades.
3. Distinguir la información y aplicaciones de los sistemas informáticos utilizados
en las universidades de Risaralda. El alcance de éste proyecto está delimitado para las instituciones de educación superior de Risaralda. Se ha tomado una muestra de 4 Universidades las cuales son las más reconocidas a nivel regional por su trayectoria además por la facilidad de acceso a su información, también, en cuanto a cantidad de estudiantes, facultades y dependencias por lo que sus aplicaciones e implementaciones en cuanto a seguridad informática tienen mucha validez a la hora de ser tomadas como base para la formulación del protocolo. Las siguientes son las universidades escogidas:
Universidad Católica de Pereira
Universidad Tecnológica de Pereira
Fundación Universitaria del Área Andina
Universidad Libre de Pereira
49
Es importante conocer en el sector productivo cuáles son las técnicas utilizadas en cuanto a la seguridad informática, estas deben ser muy rigurosas por la criticidad de su activo principal que es la información y cuentan con políticas de seguridad informáticas que pueden servir de base para la formulación del protocolo porque son aplicables a cualquier empresa o institución de educación superior. Éstas son las empresas a las cuales se pudo obtener acceso al área de sistemas y conocer sus políticas. o
Media Commerce Telecomunicaciones
o
Fiscalía general de La Nación
Es entonces aquí donde se definen las acciones que se van a tomar en cuanto a las universidades y empresas escogidas para conocer y analizar su información y los sistemas de seguridad informáticos implementados por ellas: Encuesta a la comunidad académica de diferentes programas Encuesta a personal administrativo Entrevista a las persona encargada del área de sistemas de las universidades
4. Proponer un paso a paso para elaborar las políticas de seguridad informática.
Lo que se debe determinar primero es la información manejada por las instituciones de educación superior y darles una clasificación. Por ejemplo: el sistema Financiero, sistema de registro y control, Sistema documental de las bibliotecas, los repositorios institucionales con sus usuarios con base en las indagaciones hechas en las instituciones. Se deben conocer las
50
plataformas
tecnológicas
utilizadas
(Software,
Hardware,
redes
y
comunicaciones).
Con ésta información ya clara, hay que analizar y establecer las amenazas y vulnerabilidades a la que estos sistemas están expuestos, al momento de un ataque informático.
Una vez obtenida la documentación acerca de las instituciones de educación superior y las amenazas posibles a sus sistemas de información de acuerdo a toda la indagación anteriormente realizada se debe plantear las mejores prácticas para elaborar políticas de seguridad informática.
Todo esto se convertirá en una guía o protocolo que pueden seguir las universidades para asegurar su información, desde como determinar los activos, la información, sus sistemas y plataforma tecnológica, como identificar las amenazas, vulnerabilidades y ataques que pueden tener hasta observar los métodos para elaborar una buena política de seguridad completa que mitigue al mínimo
el riesgo de
tener ofensivas a
51
sus
sistemas de
información.
13.2
Resultados de las encuestas y entrevistas
Los sondeos indicaron claramente en un gran porcentaje que tanto la comunidad académica como la parte administrativa no consideran de alta importancia la seguridad informática, o no saben sobre el tema, al igual que la información que se maneja dentro de las redes no es exclusivamente académica, si no de carácter personal.
Así como las actividades desarrolladas suelen ser diferentes de los
temas de estudio, por ejemplo Redes Sociales,
Descargas de información
(Música, juegos entre otros) lo que claramente incrementan los riesgos y posibles amenazas ya estudiadas con anterioridad. Esto nos indica algo que se confirma durante el estudio, la comunidad en general
no
conoce
siquiera
si
hay
políticas
de
seguridad
informática
implementadas, si hay reglas claras que se deben cumplir cuando se está en la red o se utilizan los recursos de las instituciones por lo que cualitativamente los encuestados respondieron en general que “No nos sentimos seguros”, es decir no conocen las pautas claras que deben haber y se sienten en riesgo al navegar sobre los sistemas de la universidad, los resultados fueron prácticamente los mismos en todas las instituciones de educación superior objeto de estudio. Se va a mencionar los resultados de las preguntas más relevantes para el proyecto de la comunidad académica: ¿A la pregunta si conoce o ha escuchado sobre Seguridad Informática? 53% 52% 51% 50% 49%
52,500%
48% 47% 46%
6 Resultados Pregunta 1 Académicos
47,500%
45% Si
61
No
Se puede apreciar que más de la mitad de los estudiantes de todas las universidades no sabe sobre el tema. ¿A la pregunta Qué tan importante les parece la seguridad informática?
7 Resultados Pregunta 2 Académicos
No todas las personas consideran de gran importancia la seguridad que debe ser primordial. ¿A la pregunta en qué actividades se desempeña con los recursos informáticos de la universidad? 120% 100%
98%
80%
78%
70%
60% 38%
40%
25%
20% 0% Estudio
Redes sociales
8 Resultados Pregunta 8 Académicos
62
Descargar información
Musica
Juegos en linea
Se puede observar que no solo dentro de la red de la universidad se utilizan los recursos para estudio, también para otras actividades que pueden acrecentar los peligros de ataques informáticos. ¿A la pregunta sobre si conocen las políticas de seguridad implementadas por la universidad?
9 Resultados pregunta 14 Académicos Ninguno de los estudiantes encuestados sabe si hay políticas por parte de la institución, lo que demuestra que si las hay, no se están difundiendo adecuadamente a la comunidad académica. Resultados de las preguntas más relevantes para el proyecto de la parte administrativa: ¿A la pregunta si conoce o ha escuchado sobre Seguridad Informática?
63 10 Resultados pregunta 1 Administrativos
En este punto los empleados de las instituciones han escuchado un poco más sobre el tema. ¿A la pregunta Qué tan importante les parece la seguridad informática?
Nuevamente no se le da la importancia necesaria a tener protección sobre los sistemas informáticos por parte de la mayoría del personal administrativo. ¿A la pregunta sobre si conocen las políticas de seguridad implementadas por las universidades?
64
En ésta pregunta se denota que un 93% de los encuestados de las áreas administrativas de las instituciones no conocen las políticas de seguridad informática, lo que acarrea que no las implementen y aumenten los riesgos.
En las entrevistas a los encargados del área de sistemas también se pudo detectar que no se ha hecho un modelo establecido, lo que está implementado se ha desarrollado a partir de consultas autónomas realizados por las personas encargadas, además de trabajos de grado relacionados, pero no se está siguiendo al pie de la letra una norma como las ya estudiadas ISO 27000, ISO 17000. Aunque sí se le da la importancia requerida
y se están investigando cada día
tendencias y tecnologías actuales las cuales se puedan implementar. Se puede mencionar que algunas instituciones ya están en proceso de implementar la norma ISO 27000, se han adelantado estudios sobre ITIL. Cabe aclarar que la información recolectada es de manera confidencial concertada con las personas entrevistadas por lo que no se dará a conocer los resultados explícitos, pero si se pueden sacar algunas conclusiones:
Las políticas son desarrolladas por el área de sistemas, no se han contratado personas o empresas expertas en el tema. Continuamente se están investigando las tendencias, nuevas amenazas, ataques y nuevas formas de protección. En las instituciones sí consideran importante la seguridad informática. En las universidades ya han ocurrido incidentes como pérdida de información por los altos riesgos a los que se exponen.
65
Se debe mencionar que las muestras no han sido muy representativas, pero se escogió aleatoriamente buscando en todos los programas y dependencias, ya que la intención es conocer la opinión sobre la seguridad en las universidades.
Lo
realmente importante del estudio fueron las entrevistas a las personas encargadas del departamento de sistemas con un tipo semiabierto, es decir, preguntas cerradas y otras abiertas con acompañamiento de los investigadores.
El público objetivo de las entrevistas fueron los jefes de cada área de sistemas y eventualmente colaboradores en el departamento de las 4 universidades escogidas, Universidad Católica de Pereira, Universidad Tecnológica de Pereira, Universidad Libre de Pereira, Fundación Universitaria del Área Andina. De igual manera las encuestas se diseñaron para otros dos públicos así:
Comunidad Académica: Estudiantes y Profesores,
escogidos al azar pero
velando que fueran de diferentes carreras.
Personal Administrativo: Empleados de las universidades de diferentes departamentos, como tesorería, contabilidad, secretarías de facultades. Entre otros.
Un resumen del total del trabajo de campo.
Universidad Universidad Católica de Pereira Universidad Libre de Pereira Universidad Tecnológica de Pereira Fundación Universitaria de Área Andina
Entrevistas 2 1 1 1
Encuesta Académica 20 20 20 20
4 Total Entrevistas y Encuestas Fuente: Elaboración propia
66
Encuesta Administrativa 10 10 10 10
13.3
Proposición del protocolo para elaborar políticas de seguridad informática
DEFINICIÓN DEL PROTOCOLO DE SEGURIDAD INFORMÁTICA PARA LAS INSTITUCIONES DE EDUCACIÓN SUPERIOR
El incremento de ataques cibernéticos en todos los sectores, el crecimiento de manejo de
información y transacciones en línea y las malas prácticas de
seguridad informática hacen que cada vez la información sea más vulnerable a amenazas y riesgos de perdida de información. De lo anterior se concluye que las instituciones de educación superior no están exentas a esto y en su estructura manejan dos actores muy importantes como lo son la parte administrativa que es donde está la información crítica de las instituciones , en la cual se
deben establecer una serie de restricciones
considerables y la parte académica donde se debe prestar un buen servicio, teniendo en cuenta que una de las reglas de la seguridad informática es que la seguridad no puede ir en contra de la disponibilidad. Por tendencias actuales, los recursos y la estructura de las redes deben estar unidas físicamente, siguiendo este parámetro tan significativo se va a desarrollar un protocolo, con el cual cualquier institución de educación superior pueda implementar por lo menos un mínimo de seguridad en toda su infraestructura tecnológica, lo que hace que este protocolo este diseñado específicamente para esta situación sin ser esto un óbice para que se aplique a otro tipo de institución. Para empezar se realizaron una serie de encuestas y entrevistas en las instituciones de educación superior de Pereira para evaluar el estado actual de la seguridad y el concomimiento de la misma, dando como resultado que en la mayoría de las universidades no existe un comprensión real de seguridad informática y lo que se ha hecho de implementación de seguridad es mínimo.
67
Que no hay unas buenas prácticas de seguridad implementadas en todas las instituciones ni un conocimiento por parte del personal académico y administrativo. Pasos definidos en el protocolo: 1. Normatividad: Se debe seleccionar el tipo de normatividad a seguir para garantizar la seguridad informática, se recomienda utilizar la Norma ISO 17000 y la 27000 ya que una es complemento de la otra. La Norma 17000 establece los requisitos específicos que cada organismo debe cumplir para demostrar su competencia técnica. Un requisito de esta norma es el sistema de gestión de calidad, la norma ISO 27000 consiste en una serie de documentos referentes a gestión de seguridad de la información.
Las instituciones deben revisar los servicios que se prestan tanto a nivel académico como a nivel administrativo. Algunos servicios que se prestan en las instituciones por la parte académica son: Pagina Web, matrícula en línea, consulta de notas en línea, correo institucional, inscripción de materias en línea y por la parte administrativa: servicio de conexión a mi planilla, servicio de terminal virtual, entre otros. Se debe realizar un modelo donde describa la aplicación, su uso, el nivel de importancia, los usuarios que acceden a ella, su disponibilidad, los riesgos, puntos de control y responsable entre otras características.
2. Inventario de recursos (Hardware, software y comunicaciones): Las instituciones deben realizar un inventario de sus recursos tecnológicos a nivel de hardware, software y de comunicación. Algunas recursos en las instituciones: Hardware: servidores, computadores, impresoras, puntos de red, switches, routers, access point. Software: Aplicaciones utilizadas para el manejo de información, conexiones e implementación de plataforma
68
tecnológica. Comunicaciones: UTM2, firewall, antivirus, tipo de conexión a internet. Para este punto es adecuado realizar una serie de tablas de aclaraciones sobre los recursos prestados por la institución, se anexa un ejemplo a seguir:
Bloque
Nombre del bloque o del campus
Kabai
Piso Nro.
Nro. Oficina
Nro. de la oficina o del 2 salón
3
Dependencia
Nombre de la dependencia a la que pertenece
315 Sistemas
Nro. Serial
Nro. serial de los equipos
Disco Duro
80 GB
Nro. serial de los equipos
1 TB
Nro. Serial
Equipo
Memoria RAM
2 MB
Procesador Unidad
Intel, Amd
16 MB
Intel Xeon
DVD- CDMicro SD
personal de sistemas y administrativo (nombres y apellidos)
DVD- CDMicro SD
personal de sistemas y administrativo (nombres y apellidos)
5 Inventario Equipos de Cómputo Bloque
Nombre del bloque o del campus
Biblioteca
Piso Nro.
Nro. Oficina
Nro. de la oficina o del 1 salón
1
Dependencia
Nombre de la dependencia a la que pertenece
105 Biblioteca
Nro. serial de los equipos
Nro. serial de los equipos
Impresoras, Scanner, Teléfonos IP
Marca
Responsable
Nombre del fabricante
personal de sistemas y administrativo (nombres y apellidos) personal de sistemas y administrativo (nombres y apellidos)
Scanner
HP
6 Inventario Terminales
2
Siglas de Uniefed Threat Management o en español Gestión Unificada de Amenazas. Es un dispositivo Hardware utilizado en las redes de datos para proveer varios servicios de seguridad.
69
Responsable
Piso Nro.
Bloque
Nombre del bloque o del campus
Biblioteca
Nro. Oficina
Nro. de la oficina o del 1 salón
Nombre de red
Nombre de la red
Nombre de la 105 red
1
Nro. Serial
Equipo
Nro. serial de los equipos
Router, Switches, Access Point, UTM
Nro. serial de los equipos
Switch 5500G
Marca
Responsable
Nombre del fabricante
personal de sistemas y administrativo (nombres y apellidos)
3Com
personal de sistemas y administrativo (nombres y apellidos)
7 Dispositivos de Red
3. Inventario de Servicios: Para este punto es adecuado realizar una tabla de aclaraciones sobre los servicios prestados por la institución, se anexa un ejemplo a seguir.
Aplicación y/o servicio
Descripción
permite registrar las notas a los consulta de notas docentes y ser consultadas por los estudiantes
matricula en línea
permite registras las materias por internet a los estudiantes y ser organizado por los administrativos
Disponibilidad
por periodos
por periodos
Nivel de Tipo de importancia usuarios
media
media
Riesgos más importantes
Puntos de control
Responsables del servicio
docentes, estudiantes y administrativos
ataques por parte de usuarios mal intencionados, perdida de información
revisiones periódicas y pruebas de pen testing
personal de sistemas y administrativo (nombres y apellidos)
estudiantes y administrativos
ataques por parte de usuarios mal intencionados, perdida de información
revisiones periódicas y pruebas de pen testing
personal de sistemas y administrativo (nombres y apellidos)
8 Inventario de Servicios Este primer paso es muy importante porque permite tener claridad sobre qué?, cómo? y de quién se debe proteger la información, así como el nivel de importancia del riesgo y el impacto para la institución que esta aplicación o
servicios
dejen 70
de
funcionar.
4. Clasificación de usuarios: Se deben clasificar los tipos de usuarios que van acceder a la red. Se recomienda clasificar la parte Administrativa y la parte académica en dos actores importantes.
5. Identificar riesgos y amenazas: Se debe ejecutar una metodología adecuada para identificar los riesgos y amenazas de la institución. Algunas pruebas que se recomiendan son: Pen testing, hacking ético
6. Protección de los servicios: Se debe realizar de acuerdo al resultado del paso anterior. Pero, es importante proteger la red, los servidores y equipos de cómputo de amenazas evidentes por lo que se debe tener en cuenta lo siguiente:
Virus y software malicioso: Se deben tener instalados antivirus en todos los computadores de escritorio y portátiles de la institución. Se adjunta una tabla comparativa sobre aspectos a tener en cuenta a la hora de elegir antivirus, publicado en la revista ACIMED, revisado por la sociedad cubana de ciencias de la información adscrito al Centro Nacional de Ciencias Médicas
Antivirus Norton
McAfee
Ventajas 1. Es el segundo más vendido en el mundo. 2. Mejor porcentaje de detección. 3. Interfaz sencilla. 4. Buena integración con el correo y los navegadores de Internet. 5. Licencia del producto de por vida. 71 6. Al instalarse queda con todas las opciones habilitadas. 7. Respuesta rápida ante nuevos virus. 1. Falta de sencillez en la interfaz, que puede
Desventajas 1. Algo débil en la detección de troyanos y backdoors. 2. Problemas con la instalación en sistemas infectados.
1. Es el primero en ventas en el mundo.
Fuente: Analísis Comparativo de Antivirus, Revista ACIMED
72
Actualización
del
Software:
Se
deben
ejecutar
las
últimas
actualizaciones en los sistemas operativos disponibles en todas las máquinas de las instituciones.
Configurar un firewall: Es importante tener configurado los firewall tanto en los computadores y portátiles de administrativos y académicos como en servidores y equipos de acceso a la red.
Evitar correos no deseados (Spam): Es importante tener los filtros de correo electrónico actualizado
y capacitar a los usuarios sobre el
tema.
Utilizar Software legal: Se debe instalar software legal y prohibir a los usuarios la instalación de software que no tenga que ver con sus actividades laborales.
Navegación Segura: Se debe implementar un filtrado de contenido de acuerdo a la clasificación de usuario, se recomienda implementar servidores proxy y capacitar al personal para que realicen navegaciones seguras.
Directorio Activo: Es importante tenerlo en cuenta para proteger las aplicaciones y recursos facilitando la tarea de seguridad y funcionalidad.
7. Configuraciones de red: Para proteger la red es recomendable alguna de estas técnicas: Inalámbrica: 73
Ocultar el SSID (Identificador de redes inalámbricas)
Cifrado WEB, WPA o WAP2
Se debe configurar restricciones de acceso a la red ya sea por autenticación de Mac, servidores radius, o por usuario y contraseñas.
Segmentación de la red por VLANS.
Firewall a nivel de red.
8. Control de acceso: Se deben asignar roles de acceso a la información, controlar acceso y salida de la información, generando contraseñas de acceso a los computadores, aplicaciones administrativas las cuales se recomienda que cumplan con las siguientes características:
•
Tener ocho caracteres como mínimo.
•
No contener el nombre de usuario, el nombre real o el nombre
de
la empresa. •
No contener una palabra completa.
•
Debe ser diferente de contraseñas anteriores.
•
Estar compuesta por caracteres de cada una de las siguientes cuatro
categorías: Letras mayúsculas, letras minúsculas, números y símbolos del teclado. •
Se debe cambiar cada 90 días como mínimo y debe ser diferente a
las anteriores.
9. Restricciones de acceso: Se debe restringir el acceso a sitios críticos como: el data center, oficinas administrativas,
salas
de
sistemas;
74
para
personal
autorizado,
se
recomienda utilizar, equipos de biometría, equipos lectores de tarjetas, lectores de código de barras, equipos con claves, etc.
10. Salvaguardado de la información: Se deben tener en cuenta estos pasos para mantener la información segura:
Copias de seguridad: Se recomienda realizar copias de seguridad diaria y guárdala en un sitio diferente a la institución por lo menos cada semana. Se recomienda utilizar discos duros externos y cintas magnéticas.
Establecer permisos: Se deben establecer permisos de acceso a la información según la función y responsabilidad en la institución. Es decir tener usuarios con distintos privilegios.
Cifrar datos confidenciales: Es importante cifrar la información confidencial que se transmite por la red, con sistemas de cifrado de datos.
Sistema de alimentación interrumpida (SAI): Para evitar los cortes del suministro eléctrico y para filtrar los micro cortes y picos de intensidad, que son factores impredecibles se recomienda utilizar sistemas SAI también conocido como UPS.
11. Aseguración de equipos:
75
Se debe pagar una póliza de seguro por lo menos a los equipos más costosos de la plataforma tecnológica como los servidores, y equipos Core, es decir los más importantes dentro del sistema de información.
12. Socialización de la política de seguridad: Se debe realizar una socialización para crear compromiso y conocimiento de las políticas de seguridad implementadas en la institución, ya sea a través de una reunión, comunicados o capacitaciones
13. Seguimiento de la política de seguridad: Se debe hacer seguimiento en un periodo determinado, es recomendable cada 6 meses, de evaluar cada periodo y que hay de nuevo por implementar.
76
14 CONCLUSIONES
En las instituciones de educación superior no se están rigiendo por ninguna norma de estandarización o modelo como lo son la norma ISO 27000 y la norma ISO 17000 que brindan una guía para el establecimiento e implementación adecuada de la seguridad informática. Una de las principales debilidades reflejadas en la indagación realizada en campo mediante encuestas y entrevistas se encuentra en la falta de procedimientos normativos y prácticos que permitan la evaluación de desempeño de los sistemas tecnológicos e informáticos, como lo son las auditorias y estudios de la red para establecer los riesgos, amenazas
y
vulnerabilidades presentes en estos. Paralelamente se pudo observar que en las universidades donde hay políticas de seguridad establecidas no se ha realizado socializaciones o difusión de una forma adecuada ni, en la parte académica ni en la administrativa lo que acarrea desconocimiento y malas prácticas en la utilización de los sistemas informáticos. Por otra parte se detectó que los usuarios tanto administrativos como académicos no tienen claro el concepto de seguridad informática, por consiguiente no lo aplican. Lo anterior conlleva a que no dimensionen la importancia del tema y los problemas que pueden ocasionar su mal uso de los
entornos
77
tecnológicos.
15 RECOMENDACIONES
Se recomienda que los departamentos de sistemas de las instituciones de educación superior, adopten
las normas ISO 17000 y 27000 para
implementar su sistema de seguridad
La comunidad en general no está enterada si su información está segura o no, o de cómo protegerla. Es por esto que las políticas implementadas y las nuevas a realizar deben ser socializadas ampliamente a todas las partes involucradas, de ser necesario con capacitaciones periódicamente.
Cabe señalar que es importante al momento de establecer una política de seguridad realizar un estudio de los activos y los servicios de la institución para así tener un panorama claro de que es lo que se va proteger y de la misma manera poder proceder con unas buenas prácticas de seguridad.
78
16 REFERENCIAS BIBLIOGRÁFICAS Aguilera López, Purificación. (2010) Seguridad Informática. Madrid - España: Editex SA.
García, Alfonso. Hurtado Cervigón. Alegre Ramos, María del Pilar. (2011) Seguridad informática. Madrid – España: Paraninfo SA.
Auditar Mi PC.com, "GUID - GloballyUniqueIdentifier"mayo de 2012.
Consultado el 12 de
Disponibles desde: http://www.auditmypc.com/
acronym/GUID.asp
Boone; Kurtz..(2003) Contemporary Business. New York: Times.
Borghello, Cristian. (2001)
Seguridad Informática sus implicancias e
implementación. Bogotá: Universidad Tecnológica Nacional. Coakes, Elayne; (2006)Clarke, Steve editors; “Encyclopedia of Commnunities of Practice in Information and Knowledge Management”; 2006; Idea Group Inc. Hershey.
Huerta, Antonio. (2000).
Seguridad en Unix y redes.
España: Edición.
Regueiro, Arturo.
(2009). Autoridades de Certificación y Confianza Digital.
Consultado
4
el
de
mayor
de
2012.
Disponible
desde:
http://www.fundaciondike.org.ar/seguridad/firmadigital-autoridades.html
Smilor.
(1993).
Al-Ali, Nermien; “Comprehensive Intellectual Capital
Management. Step by Step”, 2003; John Wiley & Sons, Inc.New Jersey: Hoboken. 79
Sophos, "los análisis de virus de Sophos." Consultado el 23 de mayo de 2012. Disponible desde: http://www.sophos.com/virusinfo/analyses/] Summers, Rita C. (1996). Seguridad informática: Amenazas y Salvaguardias. México: McGraw-Hill Companies.
Vásquez, Fernando; Rodríguez, Penélope. Solución Negociada de Conflictos. Cali; Pontificia Universidad Javeriana.
Fletscher Bocanegra, Luis Alejandro.
(2007).
Implementación de
clustersbeowulf como firewall.
Gómez Guerra, John Alexis. (2007) Modelo de solución de enrutamiento de datos a bajo costo basado en software libre.
García, Alfonso. Hurtado, Cervigón. Algre Ramos, María del Pilar. (2011). Seguridad informática. España. Paraninfo.
Daltabuit Godás, Enrique. Hernández Audelo, Leobardo. Mallén Fullerton, Guillermo. Vázquez Gómez, José de Jesús. (2007) La seguridad de la información. Mexico. Limusa.
Martin, Mercedes. (2008) Guía de seguridad. Consultado
el
28
de
mayo
de
2012.
Disponible
Http://www.sonicwall.com
Normas ISO 27000, 2012 Disponible en: http://www.iso27000.es/
80
desde:
Modelo PDCA ISO 27000, Instituo Uruguayo de normas técnicas, 2012 Disponible en: http://www.unit.org.uy/iso27000/iso27000.php?&imprimir=1 Modelo PDCA, Instituto Nacional de Tecnologías de la Comunicación, España. Disponible en: http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Modelos_PDCA_SG SI/#modelo
Norma
Internacional
ISO/IEC
17000,
2004
Disponible
http://es.scribd.com/doc/75237631/Norma-Iso-iec-17000-2004-Es
81
en:
17 GLOSARIO A Agujeros: Fallo en la seguridad de una aplicación, sistema informático o sitio web, que permiten ser explotado para el hacking. Los agujeros son considerados bugs de programación. Los agujeros suelen corregirse en versiones superiores de un software o sistema, pero en el caso de ser muy riesgosos, se corrigen con la aplicación de parches. B Backup: Se refiere a la copia de datos de tal forma que estas puedan restaurar un sistema después de una perdida de información. C Claves criptográficas: es una pieza de información que controla la operación de un algoritmo de criptografía. Habitualmente, esta información es una secuencia de números o letras mediante la cual, en criptografía, se especifica la transformación del texto plano en texto cifrado, o viceversa. Crackers: Persona que diseña o programa los esquemas de protección anti copia
de
los
programas comerciales, que
sirven
para
modificar
el
comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, para así poder utilizar o vender copias ilegales. Cifrado: Encriptación de una señal por el proveedor del programa para evitar su uso no autorizado. La señal puede ser recuperada para ser utilizada con autorización. Código malicioso: Término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como
82
macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts). Continuidad del negocio: Es el resultado de la aplicación de una metodología interdisciplinaria, la continuidad de las actividades críticas del negocio, en el caso de que se presentara un evento inesperado que pudiera comprometer los procesos y actividades importantes de la operación de la compañía. Contraseñas: Una contraseña o password es una serie secreta de caracteres que permite a un usuario tener acceso a un archivo, a un ordenador, o a un programa. En sistemas multiusos, cada usuario debe incorporar su contraseña antes de que el ordenador responda a los comandos. D
Descifrado: La aplicación inversa de un algoritmo de cifrado, que restaura los datos a su estado original, sin cifrar. E Exploits: Programa informático malicioso, que intenta utilizar y sacar provecho de un bug o vulnerabilidad en otro programa o sistema. Suelen utilizar vulnerabilidades como: desbordamiento de buffer, condición de carrera. F Firewalls: E un elemento de software y hardware utilizado en una red para prevenir algunos tipos de comunicaciones prohibidos según las políticas de red que se hayan definido en función de las necesidades de la organización responsable de la red. La idea principal de un firewall es crear un punto de control de la entrada y salida de tráfico de una red. Fuerza bruta: La fuerza bruta es una técnica empleada para descubrir claves en sistemas donde el método sea posible. La fuerza bruta se implementa con
83
un programa que se encarga de probar múltiples claves hasta descubrir la correcta. Por lo general, las claves que se prueban son distintas combinaciones de caracteres, pero también se pueden probar palabras de un diccionario predefinido. H Hackers: Usuario especializado en penetrar sistemas informáticos con el fin de obtener información secreta. En la actualidad, el término se identifica con el de delincuente informático, e incluye a los cibernautas que realizan operaciones delictivas a través de las redes de ordenadores existentes. I ISO 27001: El estándar para la seguridad de la información, Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. K Keyloggers: Es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet M Malware: La palabra malware es la abreviatura de la palabra malicious software. Este programa es sumamente peligroso para la pc, esta creado para insertar gusanos, spyware, virus, troyanos o incluso los bots, intentando conseguir algún objetivo como por ejemplo recoger información sobre el usuario de internet o sacar información de la propia pc de un usuario. O
84
OSI: Siglas que significan Open Systems Interconnection o Interconexión de Sistemas Abiertos. Es un modelo o referente creado por la ISO para la interconexión en un contexto de sistemas abiertos. Se trata de un modelo de comunicaciones estándar entre los diferentes terminales y host. Las comunicaciones siguen unas pautas de siete niveles preestablecidos que son Físico, Enlace, Red, Transporte, Sesión, Presentación y Aplicación. P Password: Forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe mantenerse en secreto ante aquellos a quienes no se les permite el acceso. Phishing: Es un tipo de engaño creado por hackers malintencionados, con el objetivo de obtener información importante como números de tarjetas de crédito, claves, datos de cuentas bancarias, etc. El objetivo más común, suele ser la obtención de dinero del usuario que cae en la trampa. Por lo general, el engaño se basa en la ignorancia del usuario al ingresar a un sitio que presume legal o auténtico. PSI: Políticas de seguridad informática, forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. Protocolo: Uno o un conjunto de procedimientos destinados a estandarizar un comportamiento humano o sistémico artificial frente a una situación específica. R Redes Wi-Fi: Son a aquellas redes de telecomunicaciones en donde la interconexión entre nodos es implementada sin utilizar cables. Las redes inalámbricas de telecomunicaciones son generalmente implementadas con
85
algún tipo de sistema de transmisión de información que usa ondas electromagnéticas, como las ondas de radio.
S Seguridad Informática: Consiste en asegurar que los recursos de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Servidores: Es un tipo de software que realiza ciertas tareas en nombre de los usuarios. El término servidor ahora también se utiliza para referirse al ordenador físico en el cual funciona ese software, una máquina cuyo propósito es proveer datos de modo que otras máquinas puedan utilizar esos datos. SGSI: Sistema de Gestión de la seguridad de la Información, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001. Spam: Son mensajes no solicitados y enviados comúnmente en cantidades masivas. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es por correo electrónico. Otras tecnologías de Internet que han sido objeto de spam incluyen grupos de noticias, motores de búsqueda y blogs. El spam también puede tener como objetivo los celulares a través de mensajes de texto y los sistemas de mensajería instantánea. Spyware: es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. T 86
Tecnologías de la Información: Son un conjunto de técnicas, desarrollos y dispositivos avanzados que integran funcionalidades de almacenamiento, procesamiento y transmisión de datos. TIC: Las Tecnologías de la Información y la Comunicación, también conocidas como TIC, son el conjunto de tecnologías desarrolladas para gestionar información y enviarla de un lugar a otro. Abarcan un abanico de soluciones muy amplio. Incluyen las tecnologías para almacenar información y recuperarla después, enviar y recibir información de un sitio a otro, o procesar información para poder calcular resultados y elaborar informes. Troyano: Se denomina troyano o caballo de troya a un programa malware capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recopilar información o controlar remotamente a la máquina de algún usuario, pero sin afectar el funcionamiento de ésta. V Virus informático: Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos.
87
18 ANEXOS Formato Encuesta para Comunidad Académica ENCUESTA: SEGURIDAD INFORMÁTICA
Ésta información en confidencial y únicamente se usará para efectos de investigación dentro el proyecto de grado “Protocolo de Seguridad Informática para Universidades”.
Fecha de ingreso D_
M
A
Programa al que pertenece
Semestre actual
Ha escuchado o sabe sobre la seguridad informática? Si No
Le parece importante este Tema? Alto Medio
88
C– Bajo D– No importante
Qué tipo de Recursos informáticos utiliza en la universidad? Propios Equipos de las salas de sistemas No utiliza
Si son Propios Posee algún tipo de protección? Antivirus Firewall C - Contraseñas No utiliza
Usualmente en qué actividades se desempeña dentro de la red de la universidad (señale con una X):
ACTIVIDAD
Si
No
Estudio
89
Redes sociales Descargar información Música Juegos en línea
6. Qué tipo de información maneja en los equipos dentro de la universidad? Personal Académica Pública
¿Conoce sobre políticas de seguridad informáticas implementadas en la universidad?
A – Si B –No
90
Cuales?
¿Cuál es su percepción sobre la seguridad informática en la Universidad?
¡GRACIAS POR LA PARTICIPACIÓN!
91
Formato encuesta para personal administrativo ENCUESTA: SEGURIDAD INFORMÁTICA
Ésta información en confidencial y únicamente se usará para efectos de investigación dentro el proyecto de grado “Protocolo de Seguridad Informática para Universidades”.
Fecha de ingreso D_
M
A
Área a la que pertenece
Ha escuchado o sabe sobre la seguridad informática? Si No
Le parece importante este Tema? Alto Medio C– Bajo D– No importante
92
Qué tipo de Recursos informáticos utiliza en la universidad? Portátil Equipos de escritorio
Los equipos poseen algún tipo de protección? Antivirus Firewall Contraseñas No utiliza No sabe
Ha tenido algún inconveniente de pérdida de información? Si No
Cual?_
93
Usualmente en qué actividades se desempeña dentro de la red de la universidad (señale con una X):
ACTIVIDAD
Si
No
Estudio Trabajo Redes sociales Descargar información Música
Qué tipo de información maneja en los equipos dentro de la universidad Personal Académica y/o Laboral
11.. ¿Conoce sobre políticas de seguridad informáticas implementadas en la universidad?
94
A – Si B –No
Cuáles?
12. ¿Cuál es su percepción sobre la seguridad informática en la Universidad?
¡GRACIAS POR LA PARTICIPACIÓN!
95
Formato entrevista para encargados del área de sistemas ENCUESTA: SEGURIDAD INFORMÁTICA
Ésta información en confidencial y únicamente se usará para efectos de investigación dentro el proyecto de grado “Protocolo de Seguridad Informática para Universidades”.
Cargo:
Qué tan importante es la seguridad Informática? A- Alto B- Medio C– Bajo D– No importante
Políticas de seguridad implementadas en la institución
2.
96
Actualmente están en Funcionamiento? Si No
97
Otra:
Desde qué fecha o en qué fecha se implementará:
Cómo y quién desarrolló las políticas:
Modelos que se está siguiendo (en qué se basaron):
98
Normatividad con la cual se están rigiendo para la seguridad informática:_
Cuál considera que son los puntos más críticos para proteger?
99
Ha habido algún suceso sobre perdida de información o delito informático?
INFORMACIÓN DE LA UNIVERSIDAD
Dependencias de la Universidad:
Cantidad de usuarios en la red de la universidad:
¡GRACIAS POR LA PARTICIPACIÓN!
100 100 100