• Author / Uploaded
• Nathaly09

Citation preview

REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACION UNIVERSITARIA INSTITUTO UNIVERSITARIO DE TECNOLOGIA AGRO-INDUSTRIAL EXTENSION ZONA NORTE

POLITICAS DE SEGURIDAD

AUTORA: USECHE ALVAREZ NATHALY CI 24.153.611 IV TRAYECTO II TRIMESTRE INFORMATICA TARDE PROF ING LISBY MORA

San Juan de Colón, Julio de 2015

INTRODUCCION El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad. La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados. No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados. Las políticas deben contener claramente las prácticas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.

POLITICAS DE SEGURIDAD DE LA INFORMACION De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características. El presente es el resultado de la investigación, pero sobre todo de mi experiencia viendo como muchos documentos son ignorados por contener planes y políticas difíciles de lograr, o peor aún, de entender. Esto adquiere mayor importancia aun cuando el tema abordado por estas políticas es la Seguridad Informática. Extensos manuales explicando cómo debe protegerse una computadora o una red con un simple Firewall, un programa antivirus o un monitor de sucesos. Falacias altamente remuneradas que ofrecen la mayor "Protección" = "Aceite de Serpiente" del mundo. He intentado dejar en claro que la Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será (a mi entender) el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas. En palabras de Julio C. Ardita: "Una política de seguridad funciona muy bien en EE.UU. pero cuando estos manuales se trajeron a América Latina fue un fiasco... Armar una política de procedimientos de seguridad en una empresa está costando entre 150-350 mil dólares y el resultado es ninguno... Es un manual que llevado a la implementación nunca se realiza... Es muy difícil armar algo global, por lo que siempre se trabaja en un plan de seguridad real: las políticas y procedimientos por un lado y la parte física por otra." Para continuar, hará falta definir algunos conceptos aplicados en la definición de una PSI:

Decisión: elección de un curso de acción determinado entre varios posibles. Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo. Estrategia: conjunto de decisiones que se toman para determinar políticas, metas y programas. Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas. Meta: objetivo cuantificado a valores predeterminados. Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada. Norma: forma en que realiza un procedimiento o proceso. Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones. Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas. Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros. Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan. Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

Ahora, "una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema."

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." y debe: 

Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.



Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.



Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.



Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello.

COMO ABORDAR LA IMPLEMENTACION DE POLITICAS DE SEGURIDAD Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios. "Si un Hacker quiere

gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque es imposible de controlarlo. Y en tratar de evitarlo se podrían gastar millones de dólares". La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con respecto a unos años atrás. Algunas organizaciones gubernamentales y no gubernamentales internacionales han desarrollado documentos, directrices y recomendaciones que orientan en el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas en los bienes y servicios de las empresas en el mundo. En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.

LEGISLACIÓN NACIONAL E INTERNACIONAL DE DELITOS INFORMÁTICOS Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han causado a la humanidad. LEGISLACIÓN NACIONAL El Artículo 110 de la Constitución de la República Bolivariana de Venezuela (2010), el Estado reconocerá el interés público de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos fundamentales para el desarrollo económico, social y político del país,

así como para la seguridad y soberanía nacional. … Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos para los mismos. El Estado garantizará el cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica, humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía. El Artículo 28 de la CRBV establece que toda persona tiene el derecho de acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados, (…) Igualmente, podrá acceder a documentos de cualquier naturaleza que contengan información cuyo conocimiento sea de interés para comunidades o grupos de personas… Por otra parte el Artículo 60 señala que toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos. A su vez, el Artículo 143 acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administración Pública, (…) Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los límites aceptables dentro de una sociedad democrática… La Ley Especial Contra los Delitos Informáticos (2001) tiene por Objeto la Protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías. A continuación, se muestra una tabla con las sanciones establecidas por los diferentes delitos informáticos:

Art. 1

2

Título Objeto de la ley Tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información. Definiciones Tecnología de Información, Sistema, Data (Datos), Información, Documento,

Computador,

Hardware,

Firmware,

Software,

Programa, Seguridad, Virus, Tarjeta Inteligente, Contraseña (Password) y Mensaje de Datos. 3

4

Extraterritorialidad Cuando alguno de los delitos previstos en la presente ley se cometa fuera del territorio de la República. Las sanciones Sanciones

principales

concurrirán con las accesorias y ambas Serán principales y accesorias.

podrán

también

concurrir entre sí, de acuerdo con

las

circunstancias

particulares del delito del cual se trate. 5 6 7

Responsabilidad

de

lasSerá

personas jurídicas

sancionada

en

los

términos previstos en esta ley. Prisión de 1 a 5Multas

Acceso indebido

de10

Años a 50 UT Prisión de 4 a 8Multas de400

Sabotaje o daños a sistemas Años Si los efectos indicados en el

a 800

presente artículo se realizaren mediante

la

creación,Prisión

introducción

o

transmisióna 10 Años

de 5Multas

de500

a 1000

intencional, por cualquier medio, 8

de un virus o programa análogo. Favorecimiento culposo delSe sabotaje o daño

aplicará

pena

laReducción de la pena entre

correspondiente la mitad y dos según el caso.

tercios

9

10

Acceso indebido o sabotaje aAumento de la pena tercera sistemas Posesión

parte y la mitad. de

equipos

o

prestación

de

servicios

de

sabotaje

Prisión de 3 a 6Multas de 300 Años

a 600

Prisión de 3 a 6Multas de 300 11

Años

Espionaje informático

Prisión de 3 a 6 12

Falsificación de documentos Cuando el agente hubiere

Años

a 600 Multas

de300

a 600

actuado con el fin de procurarAumento de la pena de un para sí o para otro algún tipo de tercio y la mitad. beneficio. Si del hecho

resultare

perjuicio para otro. 13 14 15 16

17

18 19

unAumento de la pena Mitad a dos tercios. Prisión de 2 a 6Multas

de200

Años a 600 Prisión de 3 a 7Multas

de300

Fraude Años a 700 Obtención indebida de bienesPrisión de 2 a 6Multas

de200

Hurto

o servicios Años a 600 Manejo fraudulento de tarjetas Prisión de 5Multas inteligentes o instrumentos a 10 Años a 1000 análogos Apropiación de tarjetas Prisión de 1 a 5Multas inteligentes o instrumentos Años a 50 análogos Provisión indebida de bienes oPrisión de 2 a 6Multas servicios Posesión

de

falsificaciones

equipo

Años a 600 paraPrisión de 3 a 6Multas Años

a 600

de500

de10

de200 de300

Violación de la privacidad de la 20

data o información de carácter personal Si como consecuencia de los

Prisión de 2 a 6 Años

Multas de 200 a 600

hechos anteriores resultare unAumento de la pena de un perjuicio para el titular de la datatercio a la mitad. o información o para un tercero. 21

Violación de la privacidad de las comunicaciones. Revelación indebida de data o

22

información

de

carácter

personal Si la revelación, difusión o cesión

Prisión de 2 a 6 Años Prisión de 2 a 6 Años

Multas de 200 a 600 Multas de 200 a 600

se hubieren realizado con un fin Aumento de la pena de un de lucro o si resultare algúntercio a la mitad.

23 24 25 26

perjuicio para otro. Difusión o exhibición

dePrisión de 2 a 6Multas de 200

material pornográfico Exhibición pornográfica

Años a 600 dePrisión de 4 a 8Multas de 400

niños o adolescentes Años a 800 Apropiación de propiedadPrisión de 1 a 5Multas de 100 intelectual

Años a 500 Prisión de 1 a 5Multas de 100

Oferta engañosa

Años

a 500

Fuente: Elaborado por las autoras (Año 2011) Entre los primeros delitos informáticos que aquejan al venezolano, hoy día figuran los financieros. La clonación de tarjetas de crédito y débito y la obtención de información de las cuentas, ha

generado en los últimos años pérdidas millonarias.

La pornografía infantil es el segundo con mayor número de denuncias. La estafa electrónica ofreciendo productos falsos por internet, es otro de los delitos

con mayor frecuencia. Sumándose: el hacking, cracking y phising que son quienes, a distancia, violan la seguridad de otras computadoras. En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias personalidades públicas venezolanas. El Centro Nacional de Informática Forense (CENIF), es un laboratorio de informática forense para la adquisición, análisis, preservación y presentación de las evidencias relacionadas a las tecnologías de información y comunicación, con el objeto de prestar apoyo a los cuerpos de investigación judicial órganos y entes del Estado que así lo requieran. LEGISLACIÓN INTERNACIONAL Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informática. Tradicionalmente se ha considerado en todos los países el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informático, la situación cambia porque el delito pudo haberse cometido desde cualquier otro país, distinto a donde se materializa el daño. Debido a situaciones como las antes expuestas, los países se vieron en la necesidad de agruparse y en primer lugar definir algunos términos cibernéticos que pudieran permitir la unificación de criterios en esta materia. Así, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informática; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc. Esta situación cada vez más frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estándares mínimos, tal es el caso de la Organización de Cooperación y Desarrollo Económico (OCDE), que según explica Acurio (2006), tardó tres años, desde 1983 hasta 1986 en

publicar un informe titulado “Delitos de Informática: análisis de la normativa jurídica”, donde se recomendaba una lista mínima de ejemplos de uso indebido que cada país podría prohibir y sancionar con leyes penales especiales que promulgaran para tal fin. Esa lista mínima de delitos informáticos era como sigue: 1.

Fraude y falsificación informáticos

2.

Alteración de datos y programas de computadora

3.

Sabotaje informático

4.

Acceso no autorizado

5.

Interceptación no autorizada y

6.

Reproducción no autorizada de un programa de computadora protegido.

Posteriormente, la Comisión Política de Información Computadoras y Comunicación recomendó que se instituyesen protecciones penales contra otros usos indebidos. Se trataba de una lista optativa o facultativa, que incluía entre otros aspectos, los siguientes: 1.

Espionaje informático

2.

Utilización no autorizada de una computadora

3.

Utilización no autorizada de un programa de computadora protegido

4.

Robo de secretos comerciales y

5.

Acceso o empleo no autorizado de sistemas de computadoras. Adicionalmente, el Comité Especial de Expertos en Delitos Informáticos, adscritos

al Comité Eutopeo para los problemas de la Delincuencia, se dedicó a examinar temas como: La protección de la esfera personal Las Victimas La posibilidad de prevención Procedimiento (investigación y confiscación internacional de bancos de datos y la cooperación internacional en la investigación y represión del delito informático) De igual manera, la Organización de las Naciones Unidas (ONU), en el Manual de la ONU para la Prevención y Control de Delitos Informáticos señala, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informático constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional.

Otra organización internacional que se dedicó a tratar este aspecto de la seguridad informática, es la Asociación Internacional de Derecho Penal, que adoptó diversas recomendaciones respecto a los delitos informáticos. En la medida en que el derecho penal tradicional no sea suficiente, deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos. Señala como delitos, entre otras: 1.

El tráfico con contraseñas informáticas obtenidas por medios inapropiados

2.

Distribución de virus o de programas similares La Organización de Estados Americanos (OEA), entre las estrategias de seguridad

cibernética, demostró la gravedad de las amenazas a la seguridad cibernética de los sistemas de información, las infraestructuras esenciales y las economías en todo el mundo. En el contexto internacional, Quintero establece que los países que cuentan con una legislación apropiada. Son: Chile, Gran Bretaña, Estados Unidos, Francia, España, Alemania, China, Holanda y Austria Inglaterra. Debido a un caso de hacking en 1991, comenzó a regir en este país la Ley de Abusos Informáticos. Mediante esta ley el intento, exitoso o no, de alterar datos informáticos, es penado con hasta cinco años de prisión o multas China. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podrá ser condenada con penas que van de 10 años de prisión hasta la muerte. Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de cárcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos años de prisión pero, si se hizo vía remota aumenta a cuatro. Copiar archivos de la máquina hackeada o procesar datos en ella también conlleva un castigo de cuatro años en la cárcel. El daño a la información o a un sistema de comunicaciones puede ser castigado con cárcel de seis meses a quince años. Entre los casos más famosos de delitos informáticos, se destacan los siguientes:

John William Racine II, culpable de redireccionar el tráfico de la web de Al-Jazeera a la suya propia, donde se podía ver una bandera estadounidense. El fiscal ha pedido tres años de libertad vigilada y mil horas de servicio a la comunidad. Helen Carr ha sido declarada también culpable por simular correos de America On Line y enviarlos a sus clientes, pidiéndoles la actualización de sus datos de tarjeta de crédito (esto es conocido como “phishing”). Vladimir Levin. Fue condenado por ingresar a los centros de cómputos de algunos bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8 millones. En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo, irrumpió en las cuentas del Citibank NY y transfirió los fondos a cuentas en Finlandia, Israel

y

en

el

Bank

of

América

de

San

Francisco.

Alexei Lashmanov (Ayudante de Levin), fue condenado a 5 años de prisión y a pagar USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de Finlandia e Israel. Estos conspiradores habían obtenido accesos no autorizados al Sistema de Administración de Dinero en Efectivo del Citibank, en New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras (realizaron un total de 40 transferencias ilegales de dinero) De los 20 mil casos recolectados por la división del FBI encargada de fraudes informáticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line, otro 22 % a mercadería o dinero no enviado y apenas un 5 % al fraude de tarjetas de crédito. Hasta ahora el caso más importante de fraude detectado sucedió en abril de 2004, durante una transacción que implicó la venta de monedas de plata y oro por un valor cercano al medio millón de dólares.

EVALUACION DE RIESGOS

El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas. 

Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).



Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.



Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar los recursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.

La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presuponer algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1): 

"¿Qué puede ir mal?"



"¿Con qué frecuencia puede ocurrir?"



"¿Cuáles serían sus consecuencias?"



"¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"



"¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuánto tiempo?"



"¿Cuál es el costo de una hora sin procesar, un día, una semana...?"



"¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?"



"¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"



"¿Se tiene control sobre las operaciones de los distintos sistemas?"



"¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"



"¿A qué se llama información confidencial y/o sensitiva?"



"¿La información confidencial y sensitiva permanece así en los sistemas?"



"¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"



"¿A quién se le permite usar que recurso?"



"¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"



"¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"



"¿Cómo se actuará si la seguridad es violada?"

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:

Tipo de Riesgo

Factor

Robo de hardware Alto Robo información Vandalismo

de

Alto Medio

Fallas

en

los

equipos

Medio

Virus Informáticos

Medio

Equivocaciones

Medio

Accesos autorizados Fraude Fuego

Terremotos

no

Medio Bajo Muy Bajo Muy Bajo

Tabla 9.1 - Tipo de Riesgo-Factor

Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada caso en particular, cuidando incurrir en los costos necesarios según el factor de riesgo representado. 1. Niveles de riesgo 2. Identificación de Amenaza 3. Evaluación de Costos

ESTRATEGIAS DE SEGURIDAD Para establecer una estrategia adecuada es conveniente pensar una política de protección en los distintos niveles que esta debe abarcar y que no son ni más ni menos que los estudiados hasta aquí: Física, Lógica, Humana y la interacción que existe entre estos factores.

En cada caso considerado, el plan de seguridad debe incluir una estrategia Proactiva y otra Reactiva (1). La Estrategia Proactiva (proteger y proceder) o de previsión de ataques es un conjunto de pasos que ayuda a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. La determinación del daño que un ataque va a provocar en un sistema y las debilidades y puntos vulnerables explotados durante este ataque ayudará a desarrollar esta estrategia. La Estrategia Reactiva (perseguir y procesar) o estrategia posterior al ataque ayuda al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la estrategia Proactiva, a documentar y aprender de la experiencia, y a conseguir que las funciones comerciales se normalicen lo antes posible. Con respecto a la postura que puede adoptarse ante los recursos compartidos: 

Lo que no se permite expresamente está prohibido: significa que la organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa está prohibida.



Lo que no se prohíbe expresamente está permitido: significa que, a menos que se indique expresamente que cierto servicio no está disponible, todos los demás sí lo estarán.

Estas posturas constituyen la base de todas las demás políticas de seguridad y regulan los procedimientos puestos en marcha para implementarlas. Se dirigen a describir qué acciones se toleran y cuáles no. Actualmente, y "gracias" a las, cada día más repetitivas y eficaces, acciones que atentan contra los sistemas informáticos los expertos se inclinan por recomendar la primera política mencionada. 1. Implementación

2. Auditoría y Control 3. Plan de Contingencia 4. Equipos de Respuesta a Incidentes 5. Backups 6. Pruebas

TENDENCIAS DE LA SEGURIDAD MICROELECTRÓNICA

La microelectrónica es la aplicación de la ingeniería electrónica a componentes y circuitos de dimensiones muy pequeñas, microscópicas y hasta de nivel molecular para producir dispositivos y equipos electrónicos de dimensiones reducidas pero altamente funcionales. El teléfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnología Microelectrónica.

Existen múltiples factores de índole tecnológicos que explican la convergencia de la Microelectrónica, la Informática y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales: 

Los tres campos de actividad se caracterizan por utilizar un soporte físico común, como es la microelectrónica.



Por la gran componente de software incorporado a sus productos.



Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribución (deslocalización) de los distintos elementos de proceso de la información en ámbitos geográficos distintos.

La microelectrónica, frecuentemente denominada hardware, está residente en todas las funcionalidades del proceso de información. Resuelve los problemas relacionados con la interacción con el entorno como la adquisición y la presentación dela información, mediante dispositivos como transductores, tarjetas de sonido, tarjetas gráficas, etc. No obstante, su mayor potencialidad está en la función de tratamiento de la información.

La microelectrónica abarca como campo de aplicación la domótica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestión energética, seguridad, bienestar y comunicación, y que pueden estar integrados por medio de redes interiores y exteriores de comunicación, cableadas o inalámbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. Entre las tareas realizadas por la demótica se usan distintos tipos de componentes microelectrónicas que hacen que dichas tareas se lleven a cabo con gran precisión por medio de microcontroladores.

La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran: 

Simulación de presencia.



Alarmas de Detección de incendio, fugas de gas, escapes de agua, concentración de monóxido en garajes.



Alerta médica.



Tele asistencia.



Cerramiento de persianas puntual y seguro.



Acceso a Cámaras IP.

CONCLUSION Por lo tanto, la seguridad es una actividad cuyo propósito es: proteger a los activos contra accesos no autorizados, evitar alteraciones indebidas que pongan en peligro su integridad. Garantizar la disponibilidad de la información. Y es instrumentada por medio de políticas y procedimientos de seguridad que permiten: la identificación y control de amenazas y puntos débiles, teniendo en mira la preservación de la confidencialidad, integridad y disponibilidad de la información.