21:38
andres
MEDIDAS DE SEGURIDAD:
EVITE SER VÍCTIMA DE DELITOS INFORMÁTICOS
En la
actualidad las computadoras se
utilizan no solo como
herramientas auxiliares de apoyo a diferentes actividades humanas, sino como
medio eficaz para obtener y conseguir información, lo que las ubica también
como un nuevo medio de comunicación, y condiciona su desarrollo de la informática;
tecnología cuya esencia se resume en la creación, procesamiento, almacenamiento
y transmisión de datos.
Seguridad contra los delitos
informáticos.
Ø Seguridad en Internet
Hoy en día, muchos usuarios no confían en
la seguridad del Internet pues temen que alguien pueda conseguir el número de
su tarjeta de crédito mediante el uso de la Red , temen que otros descubran su código de
acceso de la cuenta del banco y entonces transferir fondos a la
cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupación en dar
información confidencial a personas no autorizadas. Las corporaciones también
se preocupan en dar información a los empleados, quienes no están autorizados
al acceso de esa información o quien trata de curiosear sobre una persona o
empleado. Las organizaciones se preocupan que sus competidores tengan conocimiento sobre información patentada que pueda
dañarlos.
Aunque los consumidores tienden a agrupar
sus intereses juntos por debajo del término de la seguridad general, hay
realmente varias partes de la seguridad que confunden. La Seguridad significa
guardar "algo seguro ". "Algo" puede ser un objeto, tal
como un secreto, mensaje, aplicación, archivo,
sistema o una comunicación interactiva. "Seguro" los medios son
protegidos desde el acceso, el uso o alteración no autorizada.
Para guardar objetos seguros,
es necesario lo siguiente:
·
La autenticación (promesa de identidad), es decir la prevención de
suplantaciones, que se garantice que quien firma un mensaje es realmente quien
dice ser.
·
La autorización (se da permiso a una persona o grupo de personas
de poder realizar ciertas funciones,
al resto se le niega el permiso y se les sanciona si las realizan).
·
La privacidad o confidencialidad, es el más obvio de los aspectos
y se refiere a que la información solo puede ser conocida por individuos
autorizados. Existen infinidad de posibles ataques contra la privacidad,
especialmente en la comunicación de los datos. La transmisión a través de un
medio presenta múltiples oportunidades para ser interceptada y copiada: las
líneas "pinchadas" la intercepción o recepción electromagnética no
autorizada o la simple intrusión directa en los equipos donde la información
está físicamente almacenada.
·
La integridad de datos, La integridad se refiere a la seguridad de
que una información no ha sido alterada, borrada, reordenada, copiada, etc.,
bien durante el proceso de transmisión o en su propio equipo
de origen. Es un riesgo común que el atacante al no poder
descifrar un paquete de información y, sabiendo que es importante, simplemente
lo intercepte y lo borre.
·
La disponibilidad de la información, se refiere a la seguridad que
la información pueda ser recuperada en el momento que se necesite, esto es,
evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación
accidental o situaciones fortuitas o de fuerza mayor.
·
No rechazo (la protección contra alguien que niega que ellos
originaron la comunicación o datos).
·
Controles de acceso, esto es quien tiene autorización y quien no
para acceder a una pieza de información determinada.
Son los requerimientos básicos para la
seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian
ligeramente, dependiendo de lo que se está asegurado. La importancia de lo que
se está asegurando y el riesgo potencial involucra en dejar uno de estos
requerimientos o tener que forzar niveles más altos de seguridad. Estos no son
simplemente requerimientos para el mundo de la red, sino también para el mundo
físico.
En la tabla siguiente se presenta una
relación de los intereses que se deben proteger y sus requerimientos
relacionados:
|
Intereses
|
Requerimientos
|
|
Fraude
|
Autenticación
|
|
Acceso no Autorizado
|
Autorización
|
|
Curiosear
|
Privacidad
|
|
Alteración de Mensaje
|
Integridad de Datos
|
|
Desconocido
|
No - Rechazo
|
Estos intereses no son exclusivos de
Internet. La autenticación y el asegurar los objetos es una parte de nuestra
vida diaria. La comprensión de los elementos de seguridad y como ellos trabajan
en el mundo físico, puede ayudar para explicar cómo estos requerimientos se
encuentran en el mundo de la red y dónde se sitúan las dificultades.
Ø Medidas de seguridad de
la red.
Existen numerosas técnicas para proteger
la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes
tienen acceso a las diferentes partes de la red, poner protecciones con
contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar
periódicamente (Evitar las passwords "por defecto" o demasiado
obvias).
Firewalls
Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Una de las maneras
drásticas de no tener invasores es la de poner murallas. Los mecanismos más
usados para la protección de la red interna de otras externas son los firewalls
o cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está:
Packet filter (filtro de paquetes). Se
basa en el tratamiento de los paquetes IP a los que aplica unas reglas de
filtrado que le permiten discriminar el tráfico según nuestras indicaciones.
Firma digital.
El cifrado con clave pública permite
generar firmas digitales que hacen posible certificar la procedencia de un
mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma
se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a
otro usuario, por la imposibilidad de falsificar la firma. Además, garantizan
la integridad del mensaje, es decir, que no ha sido alterado durante la
transmisión. La firma se puede aplicar a un mensaje completo o puede ser algo
añadido al mensaje.
Las firmas son especialmente útiles
cuando la información debe atravesar redes sobre las que no se tiene control directo y, en consecuencia, no existe
posibilidad de verificar de otra forma la procedencia de los mensajes.
Seguridad en WWW.
¿Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener "agujeros" a
través de los que un hacker hábil, incluso poco hábil, puede "colar" comandos.
La red es totalmente pública y abierta,
los paquetes pasan por máquinas de las que no se tiene conocimiento y
a las que puede tener acceso la gente que le guste husmear el tráfico de la
red. Si es así (y no tienen que ser necesariamente hackers malintencionados, algunos
proveedores de servicio lo hacen) sólo se puede recurrir a encriptar el tráfico
por medio, en WWW, de servidores y clientes seguros.
Política de
seguridad.
Proveer acceso a los servicios de la red
de una empresa y proveer acceso al mundo exterior a
través de la organización,
da al personal e institución muchos beneficios. Sin embargo, a mayor acceso que
se provea, mayor es el peligro de que alguien explote lo que resulta del
incremento de vulnerabilidad.
Para asegurar una red adecuadamente, no
solamente se necesita un profundo entendimiento de las características técnicas
de los protocolos de red, sistemas operativos y
aplicaciones que son acezadas, sino también lo concerniente al planeamiento.
El plan es el primer paso y es la base para asegurar que todas las bases sean
cubiertas.
¿Por qué se necesita una política de
seguridad?
La imagen que frecuentemente viene a la mente
cuando se discute sobre seguridad está la del gran firewall que permanece al resguardo de la
apertura de su red, defendiendo de ataques de malévolos hackers. Aunque un
firewall jugará un papel crucial, es sólo una herramienta que debe ser parte de
una estrategia más comprensiva y que será necesaria a fin de proteger
responsablemente los datos de la red. Por una parte, sabiendo cómo configurar
un firewall para permitir las comunicaciones que se quiere que ingresen,
mientras salvaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y
experiencia necesaria para configurar el firewall correctamente, será difícil
conocer la administración de riesgos que está dispuesto a tomar
con los datos y determinar la cantidad de inconveniencias a resistir para
protegerlos. También se debe considerar cómo asegurar los hosts que están
siendo accesados. Incluso con la protección de firewall, no hay garantía que no
se pueda desarrollar alguna vulnerabilidad. Y es muy probable que haya un
dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de
acceso a su red que completamente sobrepase su firewall, los riesgos pueden
justificar el incremento de restricciones, resultando incómodo. Pero, a menos
que el usuario esté prevenido de estos peligros y entienda claramente las
consecuencias para añadir el riesgo, no hay mucho que hacer.
Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su
información? Si usted está en una compañía de publicidad puede tener algunas responsabilidades
definitivas al respecto.
Asegurar sus datos involucra algo más que
conectarse en un firewall con una interfase competente. Lo que se necesita es
un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera
que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la
explicación, claramente detallada, de las consecuencias de las violaciones. A
esto se le llama una "política de seguridad" y es el primer paso para
asegurar responsablemente la red. La política puede incluir instalar un
firewall, pero no necesariamente se debe diseñar su política de seguridad
alrededor de las limitaciones del firewall.
Elaborar la política de seguridad no es
una tarea trivial. Ello no solamente requiere que el personal técnico comprenda
todas las vulnerabilidades que están involucradas, también requiere que ellos
se comuniquen efectivamente con la gerencia. La gerencia debe decidir
finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y
cuánto se debería gastar en ambos, en dólares e inconvenientes, a fin de
minimizar los riesgos. Es responsabilidad del personal técnico asegurar que la
gerencia comprenda las implicaciones de añadir acceso a la red y a las aplicaciones
sobre la red, de tal manera que la gerencia tenga la suficiente información
para la toma de decisiones. Si la política de seguridad no viene desde el
inicio, será difícil imponer incluso medidas de seguridad mínimas.
El desarrollo de una política de
seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación
del riesgo, implementación de las herramientas y tecnologías disponibles para
hacer frente a los riesgos, y el desarrollo de una política de uso. Debe
crearse un procedimiento de auditoria que revise el uso de la
red y servidores de forma periódica.
Identificación de los activos
organizativos: Consiste en la creación de una lista de todas las cosas que
precisen protección.
Por ejemplo:
·
Hardware: ordenadores y equipos de telecomunicación
·
Software: programas fuente, utilidades, programas de diagnóstico,
sistemas operativos, programas de comunicaciones.
·
Datos: copias de seguridad, registros de auditoria, bases de
datos.
Valoración del riesgo:
Conlleva la determinación de lo que se
necesita proteger. No es más que el proceso de examinar todos los riesgos, y
valorarlos por niveles de seguridad.
Definición de una política de uso
aceptable:
Las herramientas y aplicaciones forman la
base técnica de la política de seguridad, pero la política de uso aceptable
debe considerar otros aspectos:
·
¿Quién tiene permiso para usar los recursos?
·
¿Quién esta autorizado a conceder acceso y a aprobar los usos?
·
¿Quién tiene privilegios de administración del sistema?
·
¿Qué hacer con la información confidencial?
·
¿Cuáles son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y
responsabilidades de los usuarios:
·
Si los usuarios están restringidos, y cuáles son sus
restricciones.
·
Si los usuarios pueden compartir cuentas o dejar que otros
usuarios utilicen sus cuentas.
·
Cómo deberían mantener sus contraseñas los usuarios.
·
Con qué frecuencia deben cambiar sus contraseñas.
·
Si se facilitan copias de seguridad o los usuarios deben realizar
las suyas.
RECOMENDACIONES PARA EVITAR
SER VÍCTIMA DE LOS DELITOS INFORMÁTICOS
1.
Tenga cuidado con los negocios y regalos por internet. Junto con
los virus, spam y demás programas malintencionados que
circulan por la red debemos ser desconfiados y tener precaución. También de los
correos donde nos regalan o ofrecen negocios (en algunos casos ilícitos) los
cuales pueden esconder peligrosas sorpresas.
2.
Para los niños en Internet: No des nunca información personal
sobre ti, tu colegio o tu casa. No envíes fotografías sin el permiso de tus
padres. No respondas nunca a mensajes de anuncios en los que se incluyan
mensajes agresivos, obscenos o amenazantes. No pactes citas con personas
desconocidas sin el permiso de tus padres y sin su presencia.
3.
Para los padres en Internet: Tenga situada la computadora en un
área común, para poder vigilar su uso por el menor. Si sus hijos son pequeños
no les permita entrar en chats, canales de conversación, sin tener a un adulto
presente. No permita que sus hijos pacten citas por Internet, aunque sea con
otro niño. Compruebe el contenido del historial del navegador, para ver a que
sitios han accedido. Debe tener conocimiento del lugar y de la garantía que
prestan las cabinas públicas a donde asisten sus hijos. Debe aconsejar y
alertar a los pequeños acerca del peligro de tener contacto con personas que no
conocen.
4.
Es importante recordar que en el internet
es preferible evitar compartir todo tipo de datos; los bancos
nunca solicitaran este tipo de información por medio de un correo electrónico o
por un mensaje de texto
5.
Para las claves, use siempre palabras donde mezcle números, letras
y símbolos diferentes.
6.
No reenvíe ni abra cadenas de correos, aunque el remitente sea
conocido, menos si esta en idioma diferente al español.
7.
Muchos hackers utilizan noticias curiosas o impactantes para
lanzar infecciones,
troyanos, malware.
8.
No ingrese a mensajes de correo o links como “Quién te eliminó de
Messenger”, es una forma de robar contraseñas.
- No descargar software del cual no se tenga plena confianza de que son
sitios seguros ni tampoco abrir archivos o postales de desconocidos
enviados a los correos.
10. las direcciones seguras son una forma
de verificar que el sitio a donde se ingrese es fehaciente, se debe percatar
que la página lleve https:// y evitar ingresar a hipervínculos en los correos
electrónicos.
Conclusiones
·
Los delitos informáticos, puede volverse confusa la tipificación
de éstos ya que a nivel general, poseen pocos conocimientos y experiencias en
el manejo de ésta área. Desde el punto de vista de la Legislatura es difícil la clasificación de estos
actos, por lo que la creación de instrumentos legales puede no tener los
resultados esperados, sumado a que la constante innovación
tecnológica obliga a
un dinamismo en el manejo de las Leyes.
·
Las nuevas formas de hacer negocios como el comercio electrónico
puede que no encuentre el eco esperado en los individuos y en las empresas
hacia los que va dirigido ésta tecnología, es necesario crear instrumentos
legales efectivos que ataquen ésta problemática, con el único fin de tener un
marco legal que sirva como soporte.
·
La ocurrencia de delitos informáticos en las organizaciones alrededor del mundo no debe en ningún
momento impedir que éstas se beneficien de todo lo que proveen las tecnologías
de información (comunicación remota, Ínter colectividad, comercio electrónico,
etc.); dicha situación debe plantear un reto a los profesionales de la
informática, de manera que se realicen esfuerzos encaminados a robustecer los
aspectos de seguridad, controles, integridad de la información, etc. en las
organizaciones.
Entradas
0 comentarios:
Publicar un comentario