Seguridad en las Tecnologías de la Información y la Comunicación TIC

Seguridad en las Tecnologías de la Información y la Comunicación

Objetivos

La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, sabotajes, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.

La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

Comprender el papel central que tienen los algoritmos y las estructuras de datos en su seguridad.
Adquirir destrezas fundamentales para la programación e implementación de algoritmos y sistemas que proporcionen seguridad a las TICs.
Capacidad de aplicar conocimientos e intuición en el diseño hardware/software según requisitos de seguridad especificados.
Concebir, realizar, instalar y mantener arquitecturas informáticas centralizadas o distribuidas que sean seguras.
Diseñar, desarrollar, y evaluar la seguridad de los sistemas, aplicaciones, servicios informáticos y sistemas operativos sobre los que se ejecutan, así como de la información que proporcionan.
Desarrollar, desplegar, organizar y gestionar servicios informáticos en contextos empresariales para mejorar sus procesos de negocio.
Gestionar sistemas y servicios informáticos en contextos empresariales o institucionales para mejorar sus procesos de negocio.
Capacidad de resolución de problemas de seguridad recurriendo a los conocimientos que sean necesarios (matemáticas, ciencias, ingeniería, etc.).

Resultados

Conocer y comprender la importancia de la seguridad para las Administraciones y Empresas.
Ser capaces de Identificar riesgos y posibles ataques.
Conocer, comprender y saber utilizar servicios criptográficos para la obtención de seguridad TIC.
Conocimiento actualizado de soluciones de seguridad válidas para la Sociedad de la Sociedad de la Información.
Ser capaces de instalar y utilizar una Identidad Digital mediante certificados X509v3 tanto en Navegación web como para la Firma Electrónica de correos electrónicos.

El uso de las tecnologías de información y comunicación entre los habitantes de una población, ayuda a disminuir en un momento determinado la brecha digital existente en dicha localidad, ya que aumentaría el conglomerado de usuarios que utilizan las Tic como medio tecnológico para el desarrollo de sus actividades y por eso se reduce el conjunto de personas que no las utilizan.

El desarrollo de internet ha significado que la información esté ahora en muchos sitios. Antes la información estaba concentrada, la daban los padres, los maestros, los libros. La escuela y la universidad eran los ámbitos que concentraban el conocimiento. Hoy se han roto estas barreras y con internet hay más acceso a la información. El principal problema, es la calidad de esta información. También se ha agilizado el contacto entre personas, y también entre los que hacen negocios. No hace falta moverse para cerrar negocios en diferentes ciudades del mundo o para realizar transacciones en cualquier lugar con un sencillo clic. Hasta muchos políticos tienen su blog o vídeos en YouTube, dejando claro que las TIC en cuarenta años -especialmente los últimos diez (2000-2010) han modificado todos los aspectos de la vida.

Los sistemas educativos de todo el mundo se enfrentan actualmente al desafío de utilizar las nuevas tecnologías de la información y la comunicación (TICs) para proveer a sus alumnos con las herramientas y conocimientos necesarios para el siglo XXI. En 1998, el Informe Mundial sobre la Educación de la UNESCO, Los docentes y la enseñanza en un mundo en mutación, describió el profundo impacto de las TICs en los métodos convencionales de enseñanza y de aprendizaje, augurando también la transformación del proceso de enseñanza-aprendizaje y la forma en que docentes y alumnos acceden al conocimiento y la información.

Seguridad Informática

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática del software comprende (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quién y cuándo puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización en organización. Independientemente, cualquier compañía con una red debe tener una política de seguridad que se dirija a la conveniencia y la coordinación.

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

Características de un Sistema de Seguridad

Control de acceso a personas o grupos de personas por horarios y zonas.

Acceso por dispositivos biométricos, tarjetas de proximidad, lectoras de código de barras, teclados entre otras.

Creación de rutas de acceso y sistemas anti pass-back.

Sistemas de puerta exclusa.

Marcos con detectores de metal.

Los sistemas y servicios de seguridad comparten un conjunto de cualidades y características, las mismas se pueden resumir en cinco conceptos los que se definen a continuación:

Integridad: Son las medidas o cualidades relacionadas con un sistema de seguridad para proteger al mismo de daños accidentales, pérdidas o modificaciones, tanto la parte física como lógica del mismo (hardware y software, equipamiento e información).

Confidencialidad: Los códigos, métodos e información que maneje el sistema de seguridad son secretos y de acceso restringido, el sistema de seguridad utiliza información que le permite reconocer intrusiones y enviar información remota con protección. (encriptación).

Disponibilidad: La disponibilidad se expresa como el tiempo en que un dispositivo, aparato o sistema está en disponibilidad de uso, en dispositivos electrónicos la disponibilidad suele expresarse como porcentaje comparando el tiempo de funcionamiento, respecto al tiempo total de conexión del sistema, ciertos sistemas de seguridad necesitan tener una disponibilidad completa (24/7), siendo necesarios métodos de alta disponibilidad como la redundancia.

Confiabilidad: La confiabilidad es la capacidad de un producto o servicio de cumplir completamente con la función para la cuál está diseñado, en el caso de sistemas electrónicos la confiabilidad se mide en el tiempo, generalmente como el MTBF (Medium Time Between Fail, tiempo promedio entre fallos).

Control de Acceso: Se considera el control de acceso no sólo el ingreso-salida de personal desde y hacia un lugar restringido, sino también los registros de acceso de los dispositivos electrónicos (servidores, sistemas de almacenamiento) que permiten obtener información a usuarios restringidos.

Internet seguro recomendaciones para educadores, padres y estudiantes

Resulta de la mayor urgencia que los estudiantes desarrollen habilidades para identificar, evitar y defenderse de los peligros y amenazas que se les puedan presentar cuando navegan por Internet.

Son múltiples los riesgos a los que se enfrenta la niñez, la juventud (y la sociedad en general) cuando acceden a Internet. Cada vez que sucede un hecho delictivo en el que los malos de la historia contactan a su víctima por medio de la Red, los medios de comunicación hacen amplio despliegue del hecho. Y eso está bien; sin embargo, a los pocos días todo pasa al olvido y después de un tiempo la historia se repite y tan solo cambian los nombres de víctimas y victimarios.

La situación anterior tiende a agravarse en la medida en que sectores más amplios de la población puedan acceder a conexiones de Internet de banda ancha por el aumento de la oferta y la reducción en el costo de este servicio. Es por esta razón que tanto en hogares, como en Instituciones Educativas (IE), se deben acometer con toda seriedad acciones tendientes a lograr que los menores adopten conductas responsables y preventivas, cuando navegan y se interrelacionan con otras personas en Internet.

Estas acciones tienen carácter de urgencia pues las Tecnologías de la Información y las Comunicaciones (TIC) llegaron para quedarse y hacer presencia en todos los ámbitos de la sociedad. Más urgentes aún, si tenemos en cuenta que la niñez y la juventud están cada día más expuestas a computadores y dispositivos móviles que ofrecen conexión a Internet, tal como se expone en el documento del BID "TIC en Educación: Una Innovación Disruptiva".

Concretamente, son cada vez más los hogares que cuentan con acceso a Internet y, en el campo educativo, muchas IE actualmente implementan iniciativas transformadoras tales como integrar servicios Web 2.0 en los procesos educativos, un computador portátil por estudiante, etc; todo lo anterior, con Internet de por medio.

Ahora, si bien es cierto que estas iniciativas ofrecen beneficios inmensos para docentes y estudiantes, también conllevan potenciales riesgos y responsabilidades por parte del usuario. Por esto resulta de la mayor urgencia que los estudiantes desarrollen habilidades para identificar, evitar y defenderse de los peligros y amenazas que se les puedan presentar cuando navegan por Internet y cuando interactúan a través de redes sociales.

Afortunadamente, se viene registrando ahora un aumento significativo de propuestas que buscan concientizar a docentes, padres de familia y estudiantes sobre la importancia de respetar un código de conducta básico cuando se usa Internet.

Recomendaciones para Docentes

A continuación, ofrecemos una serie de recomendaciones a tener en cuenta por parte de los docentes, cuando realizan actividades educativas enriquecidas con Internet:

- Informe a los estudiantes que el reglamento de uso de las salas de informática, de la red escolar y del acceso a Internet, prohíbe expresamente navegar por páginas con contenido inapropiado para menores; explique que no atender esta norma acarreará sanciones. Si no existe reglamento en la Institución Educativa, es de la mayor urgencia establecer uno y divulgarlo. Recomendamos consultar un modelo de reglamento publicado en Eduteka.

- Comunique claramente a los estudiantes que está prohibido descargar cualquier software de Internet, sin la debida autorización y sin la presencia de un(a) docente.

- Cuando sea necesario, permita que se descarguen aplicaciones únicamente desde sitios Web oficiales. Muchos sitios simulan ofrecer programas populares que se alteran, modifican o suplantan por versiones que contienen algún tipo de virus o software malintencionado (malware) y que infectan el computador cuando el usuario lo instala en el sistema.

- Indique a sus estudiantes que eviten hacer clic en enlaces sospechosos. Los enlaces son uno de los medios más utilizados para direccionarlos a páginas Web que tienen amenazas capaces de infectar el computador del usuario con virus o software malintencionado/espía.

- Informe a los estudiantes sobre las responsabilidades civiles, penales o administrativas que existen cuando se vulneran derechos propios o de terceros en la red.

- Asegúrese que los estudiantes son conscientes de que la distribución de contenidos prohibidos por la Ley (en especial la pornografía infantil), el acoso (en especial el acoso sexual), la discriminación, la promoción del odio racial, la difamación y la violencia, entre otros, son ilegales en Internet y en las redes sociales. Estas conductas se castigan con cárcel en la mayoría de los países.

- Evite que los estudiantes ingresen información personal en formularios Web de dudosa procedencia. Cuando un formulario contiene campos con información sensible (por ejemplo, usuario y contraseña), es recomendable verificar la legitimidad del sitio.

- Notifique a los estudiantes que se requiere tanto la autorización como la presencia de un(a) docente en la sala de informática para que ellos puedan utilizar Chats, IRC, servicios en línea de comunicación en tiempo real y redes sociales.

- Asegúrese que los estudiantes comprenden que no deben invadir la privacidad de otras personas cuando interactúan con ellas por medio de redes sociales.

- Muchas de las "riñas virtuales" que se convierten en "cyberbullying", se inician porque una de las partes no observa buenas maneras al comunicarse por Internet. Explique a sus estudiantes las normas básicas de "Netiqueta" y asegúrese que las cumplen cuando se comunican con otras personas.

- Esté atento al comportamiento de los estudiantes cuando utilicen redes sociales en Internet, con el fin de detectar y evitar situaciones de ciberacoso (responsable: menor/adulto; víctima: adulto), de "cyberbullying" (responsable: menor; víctima: menor) o de Grooming (responsable: adulto; víctima: menor).

- Antes de que los estudiantes envíen información a otras personas a través del correo electrónico, mensajería instantánea o redes sociales, promueva el hábito de reflexionar y evaluar la conveniencia de que esas personas conozcan dicha información y los riesgos que esto puede representar para su seguridad personal o familiar.

- Asegúrese que los estudiantes entienden que al participar en redes sociales, existe la posibilidad de encontrarse con personas que no son quienes dicen ser y que desean aprovecharse de otras personas.

- Reflexione con los estudiantes sobre los aspectos positivos del uso de pseudónimos como medio de protección en las redes sociales, mensajería instantánea, chats y foros. Además, sobre el uso responsable de estos pseudónimos que, entre otras cosas, implica no utilizarlos para engañar o confundir a otros.

- Tenga en cuenta que la legislación de algunos países requiere autorización expresa de los padres o acudientes antes de permitir a menores de 13 años participar en actividades educativas en las que se utilice correo electrónico, blogs, wikis, servicios de mensajería instantánea, redes sociales, etc. También hay que solicitar autorización cuando se utilizan servicios en línea que pueden almacenar alguna información sensible acerca de los estudiantes.

- Diseñe y realice un taller para padres en el que se informe a estos los riesgos que corren sus hijos cuando, sin control alguno, navegan en Internet o se comunican con otras personas. Comparta y discuta con ellos la sección "Recomendaciones para padres" (pdf) que encontrará más abajo en este mismo documento.

- Destine un espacio en el currículo de las asignaturas que tiene a su cargo para socializar con los estudiantes las "Recomendaciones para estudiantes" que encontrará más abajo en este documento. Puede descargar el pacto "Me Comprometo a..." (pdf) y realizar una actividad de aula en la que los estudiantes se comprometan a cumplir con todos los puntos del pacto estampando en el documento su firma y pidiéndole a su acudiente que también lo haga. Póngase de acuerdo con otros docentes que también utilizan/integran las TIC en sus procesos educativos para hacerle seguimiento al cumplimiento de este pacto.

- Promueva la inclusión del pacto "Me comprometo a..." (doc), para que haga parte del "Manual de convivencia de la Institución Educativa".

- Conozca y tenga a mano los números telefónicos y las páginas Web de las autoridades de su país, ante las cuales denunciar delitos informáticos.

- Consulte con frecuencia sitios especializados en Internet Seguro para mantenerse al tanto de las últimas amenazas (spam, phishing, fraude electrónico, robo de identidad, etc) y de la forma de prevenirlas.

Recomendaciones para Estudiantes

Cuando navego y cuando me relaciono con otras personas en Internet, pongo realmente todo mi empreño para no causar daño a nadie y para mantenerme alejado de amenazas y problemas. Por lo tanto, me comprometo a:

1. No dar nunca, a personas que no conozca de manera presencial, mi información personal (dirección particular, número de teléfono, etc), mí Institución Educativa (nombre, ubicación, etc) o mí familia (nombres de padres y hermanos, etc).

2. Respetar la información que tengo de mis amigos y no publicarla en Internet sin su autorización.

3. No revelar nunca a nadie, que no sean mis padres o acudientes (ni siquiera a mis mejores amigos), mis claves de acceso al correo electrónico y a las redes sociales . Esto evitará que me suplanten.

4. Utilizar contraseñas fuertes, difíciles de adivinar, con longitud de al menos 8 caracteres, que incluyan la combinación de números y letras.

5. Cerrar completamente tanto mis cuentas de correo electrónico como de redes sociales cuando termino de utilizar el computador.

6.No enviar nunca fotografías mías o de mis familiares, sin el permiso de mis padres.

7. Informar a padres y profesores cuando encuentre información que me haga sentir incómodo(a) y/o amenazado(a).

8. No realizar procedimientos en Internet que cuesten dinero, sin el permiso de mis padres.

9. Nunca contestar a mensajes que sean agresivos, obscenos, amenazantes o que me hagan sentir mal o amenazado.

10. No responder correos electrónicos de personas que yo no conozca personalmente.

11. Avisar a padres y docentes cuando alguien me ofrezca un regalo y me suministre una dirección a la que deba ir para recibirlo.

12. No aceptar citas de desconocidos y avisar inmediatamente a padres y docentes. Siempre recuerdo que hay personas que no siempre son lo que dicen ser; por ejemplo, alguien me puede decir que es un niño de 12 años y en realidad ser un señor 45.

13. Desconfiar de aquellas personas recién conocidas que quieren verme por medio de la cámara Web del computador o que encienden su cámara sin que yo lo haya solicitado.

14. Cuidarme en los ambientes tecnológicos como lo haría cuando salgo a la calle; utilizando mi criterio para seleccionar los sitios que visito en la Red y las personas con las que interactúo.

15. No permitirles a mis amigos por Internet, cosas que no les permito a mis amigos del colegio o del barrio.

16. Permitir, en las redes sociales en las que participo (Facebook, Hi5, MySpace, etc), que únicamente mis amigos puedan ver y comentar lo que comparto, lo que publico en el muro y en lo que yo esté etiquetado.

17. Permitir, en las redes sociales en las que participo (Facebook, Hi5, etc), que solamente mis amigos puedan ver mi información de contacto y mis fotografías.

18. Reflexionar, antes de subir una fotografía a un sitio social, si la foto se presta para que otra persona la descargue y me haga daño a mí o a otras personas.

19. Aceptar solicitudes de amistad en redes sociales que provengan únicamente de personas conocidas.

20. No utilizar, en las redes sociales en las que participo, identidades falsas para suplantar personas.

21. Nunca descargar, instalar o copiar nada de Internet sin el permiso previo de padres o docentes.

Recomendaciones para Padres

Atender los siguientes consejos minimiza los riesgos que pueden correr sus hijos cuando utilizan Internet:

- De a sus hijos buen ejemplo cuando navegue por Internet y cuando se relacione en redes sociales con otras personas.

- Hable frecuente y abiertamente con sus hijos sobre posibles riesgos que existen en Internet.

- Acompañe a sus hijos a navegar en Internet; conozca y evalúe cuáles son sus sitios favoritos y las redes sociales en las que participan.

- No permita que sus hijos se conviertan en huérfanos digitales. Esto sucede cuando los padres de familia no acompañan a sus hijos en el uso de las TIC, creando una brecha con ellos al no comprender ni hablar el lenguaje digital imperante hoy en día.

- Configure el "SafeSearch" del motor de búsqueda de Google para evitar que aparezcan páginas con contenido sexual explícito entre los resultados de una búsqueda. Seleccione la opción "Utilizar el filtro estricto"; este filtra tanto texto explícito como imágenes explícitas.

- Ubique el computador en áreas comunes del hogar (estudio, sala, etc). Para un delincuente resulta más difícil comunicarse con un menor cuando el computador está en un lugar a la vista de todos los que habitan el hogar.

- Cuando sus hijos utilicen en casa un computador con cámara Web, adviértales que dicha cámara solo se debe usar en comunicaciones con personas conocidas.

- Tenga en cuenta que cuando los menores son objeto de ciberacoso, "cyberbullying" o de Grooming, casi nunca lo manifiestan voluntariamente. Por lo regular guardan silencio sobre este problema, haciendo que esta práctica sea muy difícil de detectar y eliminar.

- Muestre a sus hijos cómo respetar a los demás cuando se usa Internet y asegúrese de que comprendan que las reglas del buen comportamiento no cambian respecto a las presenciales, sólo porque estén frente a un computador.

- Acompañe a sus hijos cuando asisten a un café Internet a realizar alguna consulta o tarea. Nunca se sabe quién se va a sentar al lado de ellos y la función de quien atiende el lugar no es cuidar a los niños para que los demás clientes no se les acerquen.

- Averigüe qué acciones ejecutan actualmente en la Institución Educativa donde estudian sus hijos para hacer que el acceso a Internet dentro de la Institución sea seguro. Ventile este tema abiertamente en las reuniones de padres de familia.

- Elabore un reglamento con normas claras para el uso de Internet en el hogar (horario, duración de la conexión, forma de uso) y comuníquelo a sus hijos. Además, vigile su cumplimiento. Recomendamos consultar el "Contrato de código de conducta en línea" propuesto por Microsoft.

- Solicite una copia del reglamento de uso de las salas de informática, de la red escolar y del acceso a Internet de la Institución donde estudian sus hijos e incluya varias de las normas contenidas en este, en el reglamento para usar Internet en el hogar. Esto permite que el reglamento del hogar esté acorde con el del colegio.

- Asegúrese que la conexión a Internet de su hogar es segura, especialmente si es inalámbrica. Protéjala siempre con una contraseña fuerte; de lo contrario, cualquier vecino se puede conectar a través de ella, restándole velocidad de navegación.

- Si instala un router inalámbrico para tener acceso a Internet en el hogar, ubíquelo en un sitio al cual tengan acceso en todo momento personas adultas. De esta forma es más fácil controlar los horarios de acceso a la red ya que con solo desconectar el aparato de la fuente de energía, cesa el acceso a Internet.

- Además de un antivirus, instale un firewall (cortafuego) en su computador. Este último impedirá que entre cualquier software malintencionado o que algún software espía que haya infectado el computador envíe datos sin que usted se de cuenta.

- Si sus hijos visitan salas de chat, utilizan programas de mensajería instantánea (como Messenger), videojuegos en línea u otras actividades en Internet que requieran un nombre de usuario para identificarse, ayúdeles a elegirlo y asegúrese de que dicho nombre no revela ninguna información personal.

- Manténgase informado tanto de las últimas amenazas como de las herramientas informáticas para contrarrestarlas.

- Enseñe a sus hijos, desde pequeños, a usar las TIC con responsabilidad.

- Aleccione a sus hijos para que confíen en su propio instinto. Si algo en Internet los pone nerviosos, deben tener la suficiente confianza para expresarlo a un adulto responsable sin temor a que se les prohíba su uso o se les castigue.

- Si su hijo, hija o joven ya participó en alguna actividad de tipo sexual por medio de Internet, comprenda que él o ella no son delincuentes, son víctimas. El delincuente que los sedujo es quien tiene toda la responsabilidad.

- Conozca y tenga a mano los números telefónicos y las páginas Web de las autoridades de su país, ante las cuales puede denunciar delitos informáticos.

A continuación presentamos una serie de enlaces que ofrecen información de interés para lograr que Internet sea un "ciberlugar" seguro para la niñez y la juventud:

Cartilla de implicaciones jurídicas de la agresión de niños, niñas y adolescentes a través de Internet.

Cartilla "Tus 10 comportamientos digitales"

Guía Metodológica para apropiación escolar del código de conducta "Tus 10 comportamientos digitales"

Hagamos un Pacto (Microsoft)

Guía menores en la Red ¿Un juego de niños? (Panda Security)

Consejos para padres en formato folleto (Panda Security)

Consejos para menores en formato folleto (Panda Security)

Guía: Educar para proteger - 3 a 11 años (Junta de Andalucía)

Guía: Educar para proteger - Adolescentes (Junta de Andalucía)

Redes Sociales y Adolescencia (CEAPA)

Redes Sociales en Internet - Revista 103 (CEAPA)

Memorándum de Montevideo sobre la protección de datos personales y la vida privada en las redes sociales en Internet (IIJusticia)

Investigación: Y la Generación Interactiva de tu colegio ¿cómo es?

Navegador para niños KidZui

Guía de Herramientas de Seguridad Para Hogares (Inteco)

Cyberbullying: Un análisis comparativo en siete países

Test: ¿sabes cómo navegar seguro en Internet?

Reconozca las estafas por suplantación de identidad (phishing) y los mensajes de correo electrónico fraudulentos

Internet en la vida de nuestros hijos, ¿cómo transformar los riesgos en oportunidades?

Cibercentinelas - Acción contra la pornografía infantil

Confidencialidad

La confidencialidad es la propiedad que impide la divulgación de información a individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos no autorizados.

La integridad también es la propiedad que busca proteger que se modifiquen los datos libres de forma no autorizada, para salvaguardar la precisión y completitud de los recursos.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra datos importantes que son parte de la información.

La integridad garantiza que los datos permanezcan inalterados excepto cuando sean modificados por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares fundamentales de la seguridad de la información.

Disponibilidad

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Autenticación o autentificación

Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso.

Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por el mismo- y así figura en la literatura anglosajona.

Servicios de Seguridad

El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones. Los servicios de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.

Planificación de la seguridad hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO).

Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.

Planes de acción

Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción.

La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más debería ser auditado activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema.

Medios de transmisión de ataques a los sistemas de seguridad

El mejor en soluciones de su clase permite una respuesta rápida a las amenazas emergentes, tales como:

Malware y spam propagado por e-mail.
La propagación de malware y botnets.
Los ataques de phishing alojados en sitios web.
Los ataques contra el aumento de lenguaje de marcado extensible (XML) de tráfico, arquitectura orientada a servicios (SOA) y servicios web.

Estas soluciones ofrecen un camino a la migración y la integración. Como las amenazas emergentes, cada vez más generalizada, estos productos se vuelven más integrados en un enfoque de sistemas.

Un enfoque de sistemas de configuración, la política, y el seguimiento se reúne cumplimiento de las normativas en curso y permite a los sistemas rentables de gestión. El enfoque de sistemas de gestión de la seguridad, dispone:

Configuración de la política común de todos los productos.
Amenaza la inteligencia y la colaboración de eventos.
Reducción de la complejidad de configuración.
Análisis de riesgos eficaces y operativos de control.

En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a la internet los delitos en el ámbito de TI se han visto incrementado, bajo estas circunstancias los riesgos informáticos son más latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son:

Fraudes
Falsificación
Venta de información

Entre los hechos criminales más famosos en los Estados Unidos están:

El caso del Banco Wells Fargo donde se evidenció que la protección de archivos era inadecuada, cuyo error costo USD 21.3 millones.
El caso de la NASA donde dos alemanes ingresaron en archivos confidenciales.
El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyó gran cantidad de archivos.
También se menciona el caso de un estudiante de una escuela que ingreso a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomo el control de una embotelladora de Canadá.
También el caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causo una pérdida de USD 3 millones.
También el caso de estudiantes de Ingeniería electrónica donde accedieron al sistema de una Universidad de Colombia y cambiaron las notas de sus compañeros generando estragos en esta Universidad y retrasando labores, lo cual dejó grandes perdidas económicas y de tiempo.

Los virus, troyanos, spyware, malware y demás código llamado malicioso (por las funciones que realiza y no por tratarse de un código erróneo), tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser desde, el acceso a una página no deseada, el redireccionamiento de algunas páginas de internet, suplantación de identidad o incluso la destrucción o daño temporal a los registros del sistemas, archivos y/o carpetas propias. El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través cualquier medio extraíble y transportable o de la misma red en la que se encuentre un equipo infectado, causando diversos tipos de daños a los sistemas.

Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que fue se distribuyó desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, pero al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía "Caíste".

Este dato se considera como el nacimiento de su nombre, ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.

Actores que amenazan la seguridad

Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.
Un lamer Es una persona que alardea de pirata informático, cracker o hacker y solo intenta utilizar programas de FÁCIL manejo realizados por auténticos hackers.
Un copyhacker' es una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.
Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.
Un phreaker se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos.
Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con una página de hacking y descubre que en ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.
Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitándose a recopilar información de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.
Un tonto o descuidado, es un simple usuarios de la información, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daña o modifica la información, ya sea en un mantenimiento de rutina o supervision.

Amenazas

No sólo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias no informáticas que deben ser tomadas en cuenta. Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.

Las amenazas pueden ser causadas por:

Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.

Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.

Errores de programación: la mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.

Intrusos: personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).

Un siniestro (robo, incendio, inundación): una mala manipulación o mala intención derivan en la pérdida del material o de los archivos.

Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.

Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.

Ingeniería Social

Existen diferentes tipos de ataques en Internet como virus, troyanos u otros; dichos ataques pueden ser contrarrestados o eliminados pero hay un tipo de ataque, que no afecta directamente a los ordenadores, sino a sus usuarios, conocidos como “el eslabón más débil”. Dicho ataque es capaz de conseguir resultados similares a un ataque a través de la red, saltándose toda la infraestructura creada para combatir programas maliciosos. Además, es un ataque más eficiente, debido a que es más complejo de calcular y prever. Se pueden utilizar infinidad de influencias psicológicas para lograr que los ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría inconscientemente dando autorización para que dicha inducción se vea finiquitada hasta el punto de accesos de administrador.

Tipos de amenaza

Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. Por ejemplo, un caso de phishing puede llegar a robar la contraseña de un usuario de una red social y con ella realizar una suplantación de la identidad para un posterior acoso, o el robo de la contraseña puede usarse simplemente para cambiar la foto del perfil y dejarlo todo en una broma (sin que deje de ser delito en ambos casos, al menos en países con legislación para el caso, como lo es España).

Amenazas por el origen

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella y hurtar información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco, aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:

Amenazas internas: generalmente estas amenazas pueden ser más serias que las externas, por varias razones como:

Si es por usuarios o personal técnico, conocen la red y saben cómo es su funcionamiento, ubicación de la información, datos de interés, etc. Además tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite mínimos movimientos.
Los sistemas de prevención de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por no estar, habitualmente, orientados al tráfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podría ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos.

Amenazas por el efecto: El tipo de amenazas según el efecto que causan a quien recibe los ataques podría clasificarse en:

Robo de información.
Destrucción de información.
Anulación del funcionamiento de los sistemas o efectos que tiendan a ello.
Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc.
Robo de dinero, estafas,...

Análisis del Riesgo

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas a una empresa u organización, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

Elementos de un análisis de riesgo

El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras.

Ciber riesgo, una de las principales preocupaciones para empresarios

El incremento de los delitos informáticos en el mundo ha tenido gran repercusión en los riesgos percibidos por los empresarios, revela una encuesta realizada en 2015 por Aon Risk Solutions a más de 1.400 altos ejecutivos de reconocidas empresas.

Dice el informe que por primera vez el ciber riesgo fue señalado como una de las principales preocupaciones de los empresarios, siendo la violación de datos la amenaza más preocupante.

Un reciente estudio de Symantec dice que durante 2014, cinco de cada seis compañías, en el mundo, con más de 2.500 empleados fueron atacadas con correos electrónicos maliciosos (spear-phishing attacks), lo cual evidenció un aumento de 40% de estos ataques respecto a 2013.

Los ciber riesgos o riesgos informáticos son aquellos que implican una pérdida financiera, interrupción del negocio o daño de la reputación como consecuencia de algún tipo de falla ocasionada en los sistemas de tecnología de información de una compañía.

Adolfo Urdaneta, vicepresidente comercial de AON Colombia, manifestó que “debido al vertiginoso desarrollo de las tecnologías de la información, se ha producido un importante incremento en el número de riesgos que pueden afectar la reputación de una organización. Para muchas de compañías, contar con una estrategia específica de gestión de riesgos de reputación puede ser crucial para proteger el estado de resultados y lograr recuperarse ante el impacto de un siniestro informático”.

Andrés Navas, gerente de Líneas Financieras de AIG Colombia, explicó que estos ataques no solo pueden impactar la productividad y reputación de una compañía, sino que también pueden generar reclamos de terceros afectados que impliquen incurrir en costos legales y pérdidas financieras para las compañías.

Para que las empresas puedan hacerle frente los ciber riesgos, Navas presentó el seguro CyberEdge de AIG que ayuda a que las compañías se protejan frente a la responsabilidad generada por infracciones violaciones de datos, ataques de hackers, virus informáticos, sabotajes y pérdida de información.

Entre las coberturas opcionales de la póliza CyberEdge de AIG se encuentran amparos para gastos asociados con una investigación por parte de autoridades reguladoras así como los relacionados con la restauración de datos electrónicos en caso de una infracción de seguridad asociada.

Los expertos coincidieron en que en este entorno actual que evoluciona rápidamente, es difícil que las empresas por sí mismas estén al día con las amenazas informáticas que siguen surgiendo. Por eso, el seguro Cyberedge también les ofrece herramientas de control de pérdidas, con las cuales podrán estar a la vanguardia en el proceso de gestión de sus riesgos cibernéticos. Estas herramientas van desde dispositivos de bloqueo de ataques hasta soluciones de capacitación y asistencia en políticas de cumplimento pensadas según cada empresa de los distintos sectores económicos del país.

Estándares de seguridad de la información

Otros estándares relacionados

COBIT
ITIL
ISO/IEC 20000 — Tecnología de la información, Gestión del servicio. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma en la que se basó la ISO 20000