República Bolivariana de Venezuela Ministerio de Educación Superior

Instituto Universitario de los Llanos Núcleo Valle de la Pascua Unidad Curricular-TICS-Sección 02 Admón. Prosecución

SOFTWARE PARA LA GESTION ADMINISTRATIVA Y SEGURIDAD DE LA INFORMACION

Facilitador ParticipantesIng.HéctorCastillo Armas karelys

Castillo Glendymar García Sonia

García Yusmery Hernández Rosangel

Medina Mariangela

Valle de La Pascua, Marzo 2013

IntroducciónLas aplicaciones informáticas y las peculiaridades que los nuevos entornos gráficos

ofrecen al diseñador nos permiten a los profesionales de la educación generar

nuestros propios materiales sin necesidad de grandes conocimientos en informática.

Ahora bien, teniendo en cuenta la diversidad así como la atención a las diferencias

individuales de cada persona, asociadas a las aplicaciones informáticas aparecen

conceptos como software, interfaz de aprendizaje, amigabilidad o accesibilidad que

todos y todas utilizamos pero que no siempre quedan claros. Con la intención de

conocer un poco más las particularidades del software (de aquí en adelante será

más usual el empleo de programa, en tanto que preferimos utilizar la traducción

española del término) y sus posibilidades educativas en un primer momento, se

ofrecen determinadas definiciones de programa para descender, luego, a los

matices educativos. En un segundo momento, nos detenemos en el concepto de

interfaz y sus características. Posteriormente, tomando como sustrato la normativa

para la accesibilidad de materiales en formato electrónico (AENOR, UNE 139802),

proponemos pautas para orientar al docente en el diseño de aplicaciones

informáticas dirigidas hacia el aprendizaje de todo el alumnado.

¿Qué se entiende por software?

Desde un punto de vista técnico, son diversos los manuales que determinan la

concepción de software. Así, por ejemplo, recurriendo al diccionario de informática

publicado originalmente por la Oxford University Press (1993) el término software o

programa se aplica a aquellos componentes de un sistema informático que no son

tangibles, es decir, que físicamente no se pueden tocar. Para Freedman (1984) el

programa es sencillamente el conjunto de instrucciones que contiene la

computadora, ya sean instrucciones para poner en funcionamiento el propio sistema

informático (software de sistema) o instrucciones concretas dirigidas a programas

particulares del usuario (software específico).

En este sentido, MS-DOS, LINUX o el Sistema Operativo Windows, de Microsoft,

son ejemplos de software de sistema, mientras que programas como Power Point,

Hot Potatoes o Clic entran dentro de la categoría de software específico. Los

primeros aportan las instrucciones que la máquina necesita para que el usuario

pueda utilizarla en casa o en el centro docente. Por su parte, una vez puesta en

marcha la computadora, Power Point permite hacer presentaciones para clase,

mientras que Hot Potatoes o Clic son programas gratuitos de autor, es decir, nos

permiten a los docentes elaborar nuestros propios materiales. La presentación de

un concepto concreto, la elaboración de un documento de autoevaluación, una

unidad didáctica o una actividad para el desarrollo de la motricidad son aplicaciones,

por citar algunas, que permiten realizar estos programas. El docente recurre a ellos

porque necesita realizar una tarea concreta. Los programas informáticos

acompañados del adjetivo “educativo” adquieren, como es evidente, un sentido

funcional distinto. La definición que aporta Marqués (1999) se centra en el empleo

del programa informático como medio didáctico, es decir, cómo ayuda al proceso de

enseñanza/ aprendizaje. En este sentido, el autor considera que las expresiones

programa educativo o programa didáctico, entiéndanse dentro de un argumento

relacionado con la informática, son sinónimos de software educativo.

CONCEPTO DE SOFTWARE PARA LA GESTION ADMINISTRATIVA

El software de Administración y Gestión de Personal es un programa que permite manejar y administrar el personal de una empresa de una forma más fácil y agradable, es decir, en cuanto al procesamiento, liquidación y pago de nómina, y si se desea, la selección, contratación, autoliquidación y liquidación de contratos, logrando así, la disminución de costos administrativos, evitando errores en cálculos y procedimientos que pueden causar el pago de costosas indemnizaciones. Además proporciona confidencialidad y seguridad en el manejo de la información de la empresa, especialmente la relacionada con el departamento de Recursos Humanos.

CONCEPTO DE SOFTWARE:

Es el conjunto de los programas de cómputo, procedimientos, reglas,

documentación y datos asociados, que forman parte de las operaciones de un

sistema de computación.Considerando esta definición, el concepto de software va más allá de los programas de computación en sus distintos estados: código fuente, binario o ejecutable; también su documentación, los datos a procesar e incluso la información de usuario forman parte del software: es decir, abarca todo lo intangible, todo lo «no físico» relacionado.

El término «software» fue usado por primera vez en este sentido por John W. Tukey en 1957. En la ingeniería de software y las ciencias de la computación, el software es toda lainformación procesada por los sistemas informáticos: programas y datos.El concepto de leer diferentes secuencias de instrucciones (programa) desde la memoria de un dispositivo para controlar los cálculos fue introducido por Charles Babbage como parte de su máquina diferencial. La teoría que forma la base de la mayor parte del software moderno fue propuesta por Alan Turing en su ensayo de 1936, «Los números computables», con una aplicación al problema de decisión.

CLASIFICACION DEL SOFTWRE:Si bien esta distinción es, en cierto modo, arbitraria, y a veces confusa, a los fines prácticos se puede clasificar al software en tres grandes tipos:

Software de sistema: Su objetivo es desvincular adecuadamente al usuario y al programador de los detalles del sistema informático en particular que se use, aislándolo especialmente del procesamiento referido a las características internas de: memoria, discos, puertos y dispositivos de comunicaciones, impresoras, pantallas, teclados, etc. El software de sistema le procura al usuario y programador adecuadas interfaces de alto nivel, controladores, herramientas y utilidades de apoyo que permiten el mantenimiento del sistema global. Incluye entre otros:

Sistemas operativos

Controladores de dispositivos

Herramientas de diagnóstico

Herramientas de Corrección y Optimización

Servidores

UtilidadesSoftware de programación: Es el conjunto de herramientas que permiten al programador desarrollar programas informáticos, usando diferentes alternativas y lenguajes de programación, de una manera práctica. Incluyen básicamente:

Editores de texto

Compiladores

Intérpretes

Enlazadores

Depuradores

Entornos de Desarrollo Integrados (IDE): Agrupan las anteriores

herramientas, usualmente en un entorno visual, de forma tal que el

programador no necesite introducir múltiples comandos para compilar,

interpretar, depurar, etc. Habitualmente cuentan con una avanzada interfaz

gráfica de usuario (GUI).

Software de aplicación: Es aquel que permite a los usuarios llevar a cabo una o varias tareas específicas, en cualquier campo de actividad susceptible de ser automatizado o asistido, con especial énfasis en los negocios. Incluye entre muchos otros:

Aplicaciones para Control de sistemas y automatización industrial

Aplicaciones ofimáticas

Software educativo

Software empresarial

Bases de datos

Telecomunicaciones  (por ejemplo Internet y toda su estructura lógica)

Videojuegos

Software médico

Software de cálculo numérico y simbólico.

Software de diseño asistido (CAD)

Software de control numérico (CAM)

Proceso para el desarrollo de software.

Se define como proceso al conjunto ordenado de pasos a seguir para llegar a la solución de un problema u obtención de un producto, en este caso particular, para lograr un producto software que resuelva un problema específico.El proceso de creación de software puede llegar a ser muy complejo, dependiendo de su porte, características y criticidad del mismo. Por ejemplo la creación de un sistema operativo es una tarea que requiere proyecto, gestión, numerosos recursos y todo un equipo disciplinado de trabajo. En el otro extremo, si se trata de un sencillo programa (por ejemplo, la resolución de una ecuación de segundo orden), éste puede ser realizado por un solo programador (incluso aficionado) fácilmente. Es así que normalmente se dividen en tres categorías según su tamaño (líneas de código) o costo: de «pequeño», «mediano» y «gran porte». Existen varias metodologías para estimarlo, una de las más populares es el sistema COCOMO que provee métodos y un software (programa) que calcula y provee una aproximación de todos los costos de producción en un «proyecto software» (relación horas/hombre, costo monetario, cantidad de líneas fuente de acuerdo a lenguaje usado, etc.).Considerando los de gran porte, es necesario realizar complejas tareas, tanto técnicas como de gerencia, una fuerte gestión y análisis diversos (entre otras

cosas), la complejidad de ello ha llevado a que desarrolle una ingeniería específica para tratar su estudio y realización: es conocida como Ingeniería de Software.En tanto que en los de mediano porte, pequeños equipos de trabajo (incluso un avezado analista-programador solitario) pueden realizar la tarea. Aunque, siempre en casos de mediano y gran porte (y a veces también en algunos de pequeño porte, según su complejidad), se deben seguir ciertas etapas que son necesarias para la construcción del software. Tales etapas, si bien deben existir, son flexibles en su forma de aplicación, de acuerdo a la metodología o proceso de desarrollo escogido y utilizado por el equipo de desarrollo o por el analista-programador solitario (si fuere el caso).Los «procesos de desarrollo de software» poseen reglas preestablecidas, y deben ser aplicados en la creación del software de mediano y gran porte, ya que en caso contrario lo más seguro es que el proyecto no logre concluir o termine sin cumplir los objetivos previstos, y con variedad de fallos inaceptables (fracasan, en pocas palabras). Entre tales «procesos» los hay ágiles o livianos (ejemplo XP), pesados y lentos (ejemplo RUP), y variantes intermedias. Normalmente se aplican de acuerdo al tipo y porte del software a desarrollar, a criterio del líder (si lo hay) del equipo de desarrollo. Algunos de esos procesos son Programación Extrema (en inglés eXtreme Programming o XP), Proceso Unificado de Rational (en inglés Rational Unified Process o RUP), Feature Driven Development (FDD), etc.Cualquiera sea el «proceso» utilizado y aplicado al desarrollo del software (RUP, FDD, XP, etc), y casi independientemente de él, siempre se debe aplicar un «modelo de ciclo de vida».6

Se estima que, del total de proyectos software grandes emprendidos, un 28% fracasan, un 46% caen en severas modificaciones que lo retrasan y un 26% son totalmente exitosos.7

Cuando un proyecto fracasa, rara vez es debido a fallas técnicas, la principal causa de fallos y fracasos es la falta de aplicación de una buena metodología o proceso de desarrollo. Entre otras, una fuerte tendencia, desde hace pocas décadas, es mejorar las metodologías o procesos de desarrollo, o crear nuevas y concientizar a los profesionales de lainformática a su utilización adecuada. Normalmente los especialistas en el estudio y desarrollo de estas áreas (metodologías) y afines (tales como modelos y hasta la gestión misma de los proyectos) son los ingenieros en software, es su orientación. Los especialistas en cualquier otra área de desarrollo informático (analista, programador, Lic. en informática, ingeniero en informática, ingeniero de sistemas, etc.) normalmente aplican sus conocimientos especializados pero utilizando modelos, paradigmas y procesos ya elaborados.Es común para el desarrollo de software de mediano porte que los equipos humanos involucrados apliquen «metodologías propias», normalmente un híbrido de los procesos anteriores y a veces con criterios propios.El proceso de desarrollo puede involucrar numerosas y variadas tareas6 , desde lo administrativo, pasando por lo técnico y hasta la gestión y el gerenciamiento. Pero, casi rigurosamente, siempre se cumplen ciertas etapas mínimas; las que se pueden resumir como sigue:

Captura, elicitación8 , especificación y análisis de requisitos (ERS) Diseño Codificación Pruebas (unitarias y de integración) Instalación y paso a producción Mantenimiento

En las anteriores etapas pueden variar ligeramente sus nombres, o ser más globales, o contrariamente, ser más refinadas; por ejemplo indicar como una única fase (a los fines documentales e interpretativos) de «análisis y diseño»; o indicar como «implementación» lo que está dicho como «codificación»; pero en rigor, todas existen e incluyen, básicamente, las mismas tareas específicas.En el apartado 4 del presente artículo se brindan mayores detalles de cada una de las etapas indicadas.

Modelos de proceso o ciclo de vidaPara cada una de las fases o etapas listadas en el ítem anterior, existen sub-etapas (o tareas). El modelo de proceso o modelo de ciclo de vida utilizado para el desarrollo, define el orden de las tareas o actividades involucradas,6 también define la coordinación entre ellas, y su enlace y realimentación. Entre los más conocidos se puede mencionar: modelo en cascada o secuencial, modelo espiral, modelo iterativo incremental. De los antedichos hay a su vez algunas variantes o alternativas, más o menos atractivas según sea la aplicación requerida y sus requisitos.7

Modelo cascada

Este, aunque es más comúnmente conocido como modelo en cascada es también llamado «modelo clásico», «modelo tradicional» o «modelo lineal secuencial».El modelo en cascada puro difícilmente se utiliza tal cual, pues esto implicaría un previo y absoluto conocimiento de los requisitos, la no volatilidad de los mismos (o rigidez) y etapas subsiguientes libres de errores; ello sólo podría ser aplicable a escasos y pequeños sistemas a desarrollar. En estas circunstancias, el paso de una etapa a otra de las mencionadas sería sin retorno, por ejemplo pasar del diseño a la codificación implicaría un diseño exacto y sin errores ni probable modificación o evolución: «codifique lo diseñado sin errores, no habrá en absoluto variantes futuras». Esto es utópico; ya que intrínsecamente el software es de carácter evolutivo9 , cambiante y difícilmente libre de errores, tanto durante su desarrollo como durante su vida operativa.6

Fig. 2 - Modelo cascada puro o secuencial para el ciclo de vida del software.

Algún cambio durante la ejecución de una cualquiera de las etapas en este modelo secuencial implicaría reiniciar desde el principio todo el ciclo completo, lo cual redundaría en altos costos de tiempo y desarrollo. La Figura 2 muestra un posible esquema de el modelo en cuestión.6

Sin embargo, el modelo cascada en algunas de sus variantes es uno de los actualmente más utilizados10 , por su eficacia y simplicidad, más que nada en software de pequeño y algunos de mediano porte; pero nunca (o muy rara vez) se lo usa en su "forma pura", como se dijo anteriormente. En lugar de ello, siempre se produce algunarealimentación entre etapas, que no es completamente predecible ni rígida; esto da oportunidad al desarrollo de productos software en los cuales hay ciertas incertezas, cambios o evoluciones durante el ciclo de vida. Así por ejemplo, una vez capturados y especificados los requisitos (primera etapa) se puede pasar al diseño del sistema, pero durante esta última fase lo más probable es que se deban realizar ajustes en los requisitos (aunque sean mínimos), ya sea por fallas detectadas, ambigüedades o bien por que los propios requisitos han cambiado o evolucionado; con lo cual se debe retornar a la primera o previa etapa, hacer los reajuste pertinentes y luego continuar nuevamente con el diseño; esto último se conoce como realimentación. Lo normal en el modelo cascada será entonces la aplicación del mismo con sus etapas realimentadas de alguna forma, permitiendo retroceder de una a la anterior (e incluso poder saltar a varias anteriores) si es requerido.De esta manera se obtiene el «modelo cascada realimentado», que puede ser esquematizado como lo ilustra la Figura 3.

Fig. 3 - Modelo cascada realimentado para el ciclo de vida.

Lo dicho es, a grandes rasgos, la forma y utilización de este modelo, uno de los más usados y populares.6 El modelo cascada realimentado resulta muy atractivo, hasta ideal, si el proyecto presenta alta rigidez (pocos cambios, previsto no evolutivo), los requisitos son muy claros y están correctamente especificados.10

Hay más variantes similares al modelo: refino de etapas (más etapas, menores y más específicas) o incluso mostrar menos etapas de las indicadas, aunque en tal caso la faltante estará dentro de alguna otra. El orden de esas fases indicadas en el ítem previo es el lógico y adecuado, pero adviértase, como se dijo, que normalmente habrá realimentación hacia atrás.El modelo lineal o en cascada es el paradigma más antiguo y extensamente utilizado, sin embargo las críticas a él (ver desventajas) han puesto en duda su eficacia. Pese a todo, tiene un lugar muy importante en la Ingeniería de software y continúa siendo el más utilizado; y siempre es mejor que un enfoque al azar.10

Desventajas del modelo cascada:6

Los cambios introducidos durante el desarrollo pueden confundir al equipo profesional en las etapas tempranas del proyecto. Si los cambios se producen en etapa madura (codificación o prueba) pueden ser catastróficos para un proyecto grande. No es frecuente que el cliente o usuario final explicite clara y completamente los requisitos (etapa de inicio); y el modelo lineal lo requiere. La incertidumbre natural en los comienzos es luego difícil de acomodar.10

El cliente debe tener paciencia ya que el software no estará disponible hasta muy avanzado el proyecto. Un error detectado por el cliente (en fase de operación) puede ser desastroso, implicando reinicio del proyecto, con altos costos.

Características

La información puede encontrarse en tres estados fundamentales: transmisión, almacenamiento y proceso, y debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios que se utilicen en dichos estados.

Asimismo, la información posee las siguientes características relacionadas con la seguridad (estas son las garantías que se deben salvaguardar para cualquier información o documentación en que se empleen medios electrónicos, informáticos y telemáticos ─en adelante, Medios EIT─):

Confidencialidad: Característica que previene contra la puesta a disposición, comunicación y divulgación de información a individuos, entidades o procesos no autorizados.

Integridad: Característica que asegura que la información no se ha transformado ni modificado de forma no autorizada durante su procesamiento, transporte o almacenamiento, detectando fácilmente posibles modificaciones que pudieran haberse producido.

Disponibilidad: Característica que asegura que los usuarios autorizados tienen acceso a la información cuando se requiera y previene contra intentos de denegar el uso autorizado a la misma.

Autenticidad: Característica por la que se garantiza la identidad del usuario que origina una información. Permite conocer con certeza quién envía o genera una información específica.

Conservación de la información: En un sentido amplio, es el conjunto de procesos y operaciones que se conjugan para estabilizar y proteger los documentos del deterioro. A la hora de hablar de la gestión de recursos digitales, sea cual sea su forma o función, se debe tener en cuenta todas las etapas que componen el ciclo de vida de los documentos para aplicar las medidas de preservación lo antes posible. Por lo tanto, más que a una característica intrínseca de la información se hace referencia a la gestión del ciclo de vida de la información.

Trazabilidad: Característica de la información que asegura el conocimiento de aspectos clave de las operaciones de creación, modificación y consulta, tales como: ¿quién realizó la operación?, ¿cuándo se realizó la operación?, ¿qué resultados tuvo la operación?.

Concepto de La seguridad de la información, es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemastecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad eintegridad de la misma.

Ejemplos de Estándares de seguridad de la información

ISO/IEC 27000-series ISO/IEC 27001  BSI fue pionera con el desarrollo de la BS 7799 en 1995, norma en la que se basó la ISO 27001 ISO/IEC 17799

Otros estándares relacionados

COBIT ITIL ISO/IEC 20000  — Tecnología de la información, Gestión del servicio. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma en la que se basó la ISO 20000

Certificaciones

CISM  - CISM Certificaciones: Certified Information Security Manager CISSP  - CISSP Certificaciones: Security Professional Certificación GIAC  - GIAC Certificaciones: Global Información Assurance Certificación

Certificaciones independientes en seguridad de la información

CISA - Certified Information Systems Auditor, ISACA CISM - Certified Information Security Manager, ISACA Lead Auditor ISO27001 - Lead Auditor ISO 27001, BSI CISSP  - Certified Information Systems Security Professional, ISC2 SECURITY+ , COMPTia - Computing Technology Industry Association CEH  - Certified Ethical Hacker PCI DSS  - PCI Data Security Standard

El manejo de riesgos

Dentro de la seguridad en la información se lleva a cabo la clasificación de las

alternativas para manejar los posibles riegos que un activo o bien puede tener

dentro de los procesos de orgnización. Esta clasificación lleva el nombre de manejo

de riegos. El manejo de riesgos, conlleva una estructura bien definida, con un

control adecuado y su manejo, habiéndolos identificado, priorizados y analizados, a

través de acciones factibles y efectivas. Para ello se cuenta con las siguientes

técnicas de manejo del riesgo:

Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es

decir, no se permite ningún tipo de exposición. Esto se logra simplemente con

no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene

más desventajas que ventajas, ya que la empresa podría abstenerse de

aprovechar muchas oportunidades. Ejemplo:

No instalar empresas en zonas sísmicas

Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de

tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo

posible. Esta opción es la más económica y sencilla. Se consigue optimizando

los procedimientos, la implementación de controles y su monitoreo constante.

Ejemplo:

No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de

contingencia.

Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes

del manejo de riesgos, es la decisión de aceptar las consecuencias de la

ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se

caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de

asumir las perdidas involucradas, esta decisión se da por falta de alternativas.

La retención involuntaria se da cuando el riesgo es retenido inconscientemente.

Ejemplo de asumir el riesgo:

Con recursos propios se financian las pérdidas.

Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o

entidades. Esta técnica se usa ya sea para eliminar un riesgo de un lugar y

transferirlo a otro, o para minimizar el mismo, compartiéndolo con otras

entidades. Ejemplo:

Transferir los costos a la compañía aseguradora

El software de aplicación es el que se utiliza en una computadora para realizar las tareas que son útiles para los usuarios.A diferencia del software del sistema que sirve para relacionar al usuario con la computadora, el software de aplicación hace que la computadora realice las tareas propias del usuario.

El software de aplicación es desarrollado para ser independiente del hardware y no requiere de conocimientos especializados del hardware en el cual se ejecuta.

10 Ejemplos de Software de Aplicación:

1. Los Procesadores de texto como Word, Bloc de Notas.

2. Editores de imágenes como Adobe Fireworks, o Adobe Photoshop.

3. Sistemas Administradores de Bases de Datos (Oracle, SQL Server,

Informix).

4. Editores de Páginas Web, Adobe Dreamweaver.

5. Editores de Lenguaje de programación Visual Studio PHP Edit.

6. Programas de Contabilidad como Contavisión.

7. Programas de Administración de Empresas como ASPEL o SAP.

8. Programas de Gestión de relaciones con clientes como los CRM’s.

9. Programas de Gestión de proyectos como MS Project.

10. Programas de Diseño asistido por computadora como Auto CAD.

La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ésta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

ObjetivosLa seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran.La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios

Son las personas que utilizan la estructura tecnológica, zona de

comunicaciones y que gestionan la información. La seguridad informática

debe establecer normas que minimicen los riesgos a la información o

infraestructura informática. Estas normas incluyen horarios de

funcionamiento, restricciones a ciertos lugares, autorizaciones,

denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo

lo necesario que permita un buen nivel de seguridad informática minimizando

el impacto en el desempeño de los funcionarios y de la organización en

general y como principal contribuyente al uso de programas realizados por

programadores.

Las amenazasUna vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).Estos fenómenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, inundación): una mala manipulación o una malintención derivan a la pérdida del material o de los archivos. El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

La amenaza informática del futuro

Si en un momento el objetivo de los ataques fue cambiar las plataformas

tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad

es manipular los certificados que contienen la información digital. El área semántica,

era reservada para los humanos, se convirtió ahora en el núcleo de los ataques

debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al

nacimiento de la generación 3.0.

Se puede afirmar que “la Web 3.0 otorga contenidos y significados de manera

tal que pueden ser comprendidos por las computadoras, las cuales -por medio

de técnicas de inteligencia artificial- son capaces de emular y mejorar la

obtención de conocimiento, hasta el momento reservada a las personas”.

Es decir, se trata de dotar de significado a las páginas Web, y de ahí el

nombre de Web semántica o Sociedad del Conocimiento, como evolución de la

ya pasada Sociedad de la Información

En este sentido, las amenazas informáticas que viene en el futuro ya no son con la

inclusión de troyanos en los sistemas o softwares espías, sino con el hecho de que

los ataques se han profesionalizado y manipulan el significado del contenido virtual.

“La Web 3.0, basada en conceptos como elaborar, compartir y significar, está

representando un desafío para los hackers que ya no utilizan las plataformas

convencionales de ataque, sino que optan por modificar los significados del

contenido digital, provocando así la confusión lógica del usuario y permitiendo

de este modo la intrusión en los sistemas”, La amenaza ya no solicita la clave de

homebanking del desprevenido usuario, sino que directamente modifica el

balance de la cuenta, asustando al internauta y, a partir de allí, sí efectuar el

robo del capital”.

Para no ser presa de esta nueva ola de ataques más sutiles, Se recomienda:

Mantener las soluciones activadas y actualizadas.

Evitar realizar operaciones comerciales en computadoras de uso público.

Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga

en caso de duda.Tipos de Virus.

Los virus se pueden clasificar de la siguiente forma:Virus residentes

La característica principal de estos virus es que se ocultan en la memoria RAM de

forma permanente o residente. De este modo, pueden controlar e interceptar todas

las operaciones llevadas a cabo por el sistema operativo, infectando todos aquellos

ficheros y/o programas que sean ejecutados, abiertos, cerrados, renombrados,

copiados. Algunos ejemplos de este tipo de virus son: Randex, CMJ, Meve,

MrKlunky.Virus de acción directa

Al contrario que los residentes, estos virus no permanecen en memoria. Por tanto,

su objetivo prioritario es reproducirse y actuar en el mismo momento de ser

ejecutados. Al cumplirse una determinada condición, se activan y buscan los

ficheros ubicados dentro de su mismo directorio para contagiarlos.

Virus de sobreescritura

Estos virus se caracterizan por destruir la información contenida en los ficheros que

infectan. Cuando infectan un fichero, escriben dentro de su contenido, haciendo que

queden total o parcialmente inservibles.Virus de boot(bot_kill) o de arranque

Los términos boot o sector de arranque hacen referencia a una sección muy

importante de un disco o unidad de almacenamiento CD,DVD, memorias USB etc.

En ella se guarda la información esencial sobre las características del disco y se

encuentra un programa que permite arrancar el ordenador. Este tipo de virus no

infecta ficheros, sino los discos que los contienen. Actúan infectando en primer lugar

el sector de arranque de los dispositivos de almacenamiento. Cuando un ordenador

se pone en marcha con un dispositivo de almacenamiento, el virus de boot infectará

a su vez el disco duro.

Los virus de boot no pueden afectar al ordenador mientras no se intente poner en

marcha a éste último con un disco infectado. Por tanto, el mejor modo de

defenderse contra ellos es proteger los dispositivos de almacenamiento contra

escritura y no arrancar nunca el ordenador con uno de estos dispositivos

desconocido en el ordenador.

Algunos ejemplos de este tipo de virus son: Polyboot.B, AntiEXE.Virus de enlace o directorio

Los ficheros se ubican en determinadas direcciones (compuestas básicamente por

unidad de disco y directorio), que el sistema operativo conoce para poder

localizarlos y trabajar con ellos.Virus cifrados

Más que un tipo de virus, se trata de una técnica utilizada por algunos de ellos, que

a su vez pueden pertenecer a otras clasificaciones. Estos virus se cifran a sí

mismos para no ser detectados por los programas antivirus. Para realizar sus

actividades, el virus se descifra a sí mismo y, cuando ha finalizado, se vuelve a

cifrar.Virus polimórficos

Son virus que en cada infección que realizan se cifran de una forma distinta

(utilizando diferentes algoritmos y claves de cifrado). De esta forma, generan una

elevada cantidad de copias de sí mismos e impiden que los antivirus los localicen a

través de la búsqueda de cadenas o firmas, por lo que suelen ser los virus más

costosos de detectar.Virus multipartites

Virus muy avanzados, que pueden realizar múltiples infecciones, combinando

diferentes técnicas para ello. Su objetivo es cualquier elemento que pueda ser

infectado: archivos, programas, macros, discos, etc.Virus del Fichero

Infectan programas o ficheros ejecutables (ficheros con extensiones EXE y COM).

Al ejecutarse el programa infectado, el virus se activa, produciendo diferentes

efectos.Virus de FAT

La Tabla de Asignación de Ficheros o FAT es la sección de un disco utilizada para

enlazar la información contenida en éste. Se trata de un elemento fundamental en el

sistema. Los virus que atacan a este elemento son especialmente peligrosos, ya

que impedirán el acceso a ciertas partes del disco, donde se almacenan los ficheros

críticos para el normal funcionamiento del ordenador.Análisis de riesgos

Véase también: Análisis de riesgo informático

El activo más importante que se posee es la información y, por lo tanto, deben

existir técnicas que la aseguren, más allá de la seguridad física que se establezca

sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad

lógica que consiste en la aplicación de barreras y procedimientos que resguardan el

acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para

hacerlo.

Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido

debe estar prohibido" y ésta debe ser la meta perseguida.

Los medios para conseguirlo son:

1. Restringir el acceso (de personas de la organización y de las que no lo

son) a los programas y archivos.

2. Asegurar que los operadores puedan trabajar pero que no puedan

modificar los programas ni los archivos que no correspondan (sin una

supervisión minuciosa).

3. Asegurar que se utilicen los datos, archivos y programas correctos

en/y/por el procedimiento elegido.

4. Asegurar que la información transmitida sea la misma que reciba el

destinatario al cual se ha enviado y que no le llegue a otro.

5. Asegurar que existan sistemas y pasos de emergencia alternativos de

transmisión entre diferentes puntos.

6. Organizar a cada uno de los empleados por jerarquía informática, con

claves distintas y permisos bien establecidos, en todos y cada uno de los

sistemas o aplicaciones empleadas.

7. Actualizar constantemente las contraseñas de accesos a los sistemas

de cómputo.

Elementos de un análisis de riesgo

Cuando se pretende diseñar o crear una técnica para implementar un análisis de

riesgo informático se pueden tomar los siguientes puntos como referencia a seguir:

Planes para reducir los riesgos.Análisis de impacto al negocio

El reto es asignar estratégicamente los recursos para cada equipo de seguridad y

bienes que intervengan, basándose en el impacto potencial para el negocio,

respecto a los diversos incidentes que se deben resolver. Para determinar el

establecimiento de prioridades, el sistema de gestión de incidentes necesita saber el

valor de los sistemas de información que pueden ser potencialmente afectados por

incidentes de seguridad. Esto puede implicar que alguien dentro de la organización

asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor

relativo a cada sistema y la información sobre ella. Dentro de los Valores para el

sistema se pueden distinguir: Confidencialidad de la información, la Integridad

(aplicaciones e información) y finalmente la Disponibilidad del sistema. Cada uno de

estos valores es un sistema independiente del negocio, supongamos el siguiente

ejemplo, un servidor Web público pueden poseer los requisitos de confidencialidad

de baja (ya que toda la información es pública),pero de alta disponibilidad y los

requisitos de integridad. En contraste, un sistema de planificación de recursos

empresariales (ERP), sistema puede poseer alto puntaje en los tres variables. Los

incidentes individuales pueden variar ampliamente en términos de alcance e

importancia.Puesta en marcha de una política de seguridad

Actualmente las legislaciones nacionales de los Estados, obligan a las empresas,

instituciones públicas a implantar una política de seguridad. Ej: En España la Ley

Orgánica de Protección de Datos o también llamada LOPD y su normativa de

desarrollo.

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los

datos y recursos con las herramientas de control y mecanismos de identificación.

Estos mecanismos permiten saber que los operadores tienen sólo los permisos que

se les dio.

La seguridad informática debe ser estudiada para que no impida el trabajo de los

operadores en lo que les es necesario y que puedan utilizar el sistema informático

con toda confianza. Por eso en lo referente a elaborar una política de seguridad,

conviene:

Elaborar reglas y procedimientos para cada servicio de la organización.

Definir las acciones a emprender y elegir las personas a contactar en caso de

detectar una posible intrusión

Sensibilizar a los operadores con los problemas ligados con la seguridad de

los sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los

responsables jerárquicos y no por los administradores informáticos, los cuales

tienen que conseguir que los recursos y derechos de acceso sean coherentes con la

política de seguridad definida. Además, como el administrador suele ser el único en

conocer perfectamente el sistema, tiene que derivar a la directiva cualquier

problema e información relevante sobre la seguridad, y eventualmente aconsejar

estrategias a poner en marcha, así como ser el punto de entrada de la

comunicación a los trabajadores sobre problemas y recomendaciones en término de

seguridad informática.Técnicas para asegurar el sistema

Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas

difíciles de averiguar a partir de datos personales del individuo.

Vigilancia de red. Zona desmilitarizada

Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de

intrusos - antispyware, antivirus, llaves para protección de software, etc.

Mantener los sistemas de información con las actualizaciones que más impacten

en la seguridad.

Sistema de Respaldo Remoto. Servicio de backup remotoRespaldo de Información

La información constituye el activo más importante de las empresas, pudiendo verse

afectada por muchos factores tales como robos, incendios, fallas de disco, virus u

otros. Desde el punto de vista de la empresa, uno de los problemas más

importantes que debe resolver es la protección permanente de su información

crítica.

La medida más eficiente para la protección de los datos es determinar una buena

política de copias de seguridad o backups: Este debe incluir copias de seguridad

completa (los datos son almacenados en su totalidad la primera vez) y copias de

seguridad incrementales (sólo se copian los ficheros creados o modificados desde

el último backup). Es vital para las empresas elaborar un plan de backup en función

del volumen de información generada y la cantidad de equipos críticos.

Un buen sistema de respaldo debe contar con ciertas características

indispensables:

Continuo

El respaldo de datos debe ser completamente automático y continuo. Debe

funcionar de forma transparente, sin intervenir en las tareas que se encuentra

realizando el usuario.

Seguro

Muchos softwares de respaldo incluyen cifrado de datos (128-448 bits), lo

cual debe ser hecho localmente en el equipo antes del envío de la

información.

Remoto

Los datos deben quedar alojados en dependencias alejadas de la empresa.

Mantención de versiones anteriores de los datosSe debe contar con un sistema que permita la recuperación de versiones diarias, semanales y mensuales de los datos.

CONCLUSIONEl software es un término que una vez obtenido puede ser copiado, estudiado y modificado y redistribuido. Este está disponible gratuitamente en Internet entre los años 60 y 70 era considerado un añadido en vez de un producto para los grandes vendedores de computadoras. Dicho proyecto fue trabajado por Richard Stallmon en 1984, el cual llevaría por nombre GNU.Se puede decir que el software libre viene a ser de gran ayuda a las personas para el estudio ya que esta accesible en Internet sin ninguna restricción.Por otro lado, el movimiento del software libre hace especial énfasis en los aspectos morales o éticos del software, viendo la excelencia técnica como un producto secundario deseable de su estándar ético. El movimiento Open Source ve la excelencia técnica como el objetivo prioritario, siendo la compartición del código fuente un medio para dicho fin. Por dicho motivo, la FSF se distancia tanto del movimiento Open Source como del término "Open Source".Puesto que la OSI sólo aprueba las licencias que se ajustan a la OSD (Open Source Definition), la mayoría de la gente lo interpreta como un esquema de distribución, e intercambia libremente "open source" con "software libre". Aun cuando existen importantes diferencias filosóficas entre ambos términos, especialmente en términos de las motivaciones para el desarrollo y el uso de tal software, raramente suelen tener impacto en el proceso de colaboración.Aunque el término "Open Source" elimina la ambigüedad de Libertad frente a Precio (en el caso del Inglés), introduce una nueva: entre los programas que se ajustan a la Open Source Definition, que dan a los usuarios la libertad de mejorarlos, y los programas que simplemente tiene el código fuente disponible, posiblemente con fuertes restricciones sobre el uso de dicho código fuente. Mucha gente cree que cualquier software que tenga el código fuente disponible es open source, puesto que lo pueden manipular (un ejemplo de este tipo de software sería el popular paquete de software gratuito Graphviz, inicialmente no libre pero que incluía el código fuente, aunque luego AT&T le cambió la licencia).