LA NATURALEZA DE LA TECNOLOGA

1
LA NATURALEZA DE LA TECNOLOGÍA
Desde que el ser humano apareció sobre la Tierra
hay tecnología. La tecnología aumenta las
posibilidades para cambiar el mundo cortar,
formar o reunir materiales mover objetos de un
lugar a otro llegar más lejos con las manos,
voces y sentidos. Pero los resultados de
cambiar el mundo son con frecuencia complicados e
impredecibles pueden incluir beneficios, costos
y riesgos inesperados los cuales pueden afectar a
diferentes grupos sociales en distintos
momentos. Por tanto, anticipar los efectos de
la tecnología es tan importante como prever sus
potencialidades.
2
Toda tecnología tiene siempre efectos colaterales

• Además de los beneficios esperados, es probable
  que la producción y aplicación de todo diseño
  tenga efectos secundarios no intencionales.
• Por un lado, pueden presentarse beneficios
  inesperados. Por ejemplo, las condiciones de
  trabajo pueden resultar más seguras cuando los
  materiales se moldean que cuando se estampan, y
  los materiales diseñados para satélites
  espaciales pueden resultar útiles en productos de
  consumo.
• Por otro lado, las sustancias o procesos que
  intervienen en la producción pueden dañar a los
  trabajadores o al público general por ejemplo,
  operar una computadora puede afectar los ojos del
  usuario y aislarlo de sus compañeros.
• Asimismo, el trabajo puede verse afectado al
  aumentar el empleo de personas que intervienen en
  la nueva tecnología, al disminuir el empleo para
  aquellos que se desarrollan en el marco de la
  tecnología antigua y cambiando la naturaleza del
  trabajo que los individuos deben desempeñar en
  sus centros laborales.
• Para minimizar dichas consecuencias, los
  planificadores están volviendo al análisis
  sistemático de riesgos.

3

• Administracion de riesgos
• La administración de riesgos es una aproximación
  científica del comportamiento de los riesgos,
  anticipando posibles perdidas accidentales con el
  diseño e implementación de procedimientos que
  minimicen la ocurrencia de pérdidas o el impacto
  financiero de las pérdidas que puedan ocurrir.

4
Herramientas De La Administracion De Riesgos

• Las principales técnicas o herramientas usadas
  en la administración de riesgos son 
• Control de Riesgos  Técnica diseñada para
  minimizar los posibles costos causados por los
  riesgos a que esté expuesta la organización, esta
  técnica abarca el rechazo de cualquier exposición
  a pérdida de una actividad particular y la
  reducción del potencial de las posibles perdidas.
  
• Financiación de Riesgos  Se enfoca en
  garantizar la habilidad de conocer recursos
  financieros y las perdidas que pueden ocurrir en
  ellos.

5
Estructura De La Seguridad Informatica

• La historia de la seguridad informática se
  remonta a los tiempos de los primeros documentos
  escritos.
• La necesidad de información segura tuvo su
  origen en el año 2000 antes de Cristo.
• La codificación de la información, que es el
  base del cifrado, fue utilizada por Julio Cesar,
  y durante toda la historia en periodos de guerra,
  incluyendo las guerras civiles y revolucionarias,
  y las dos guerras mundiales.
• Una de las máquinas de codificación mejor
  conocidas fue la alemana Enigma, utilizada por
  los alemanes para crear mensajes codificados en
  la Segunda Guerra Mundial.
• Con el tiempo, y gracias a los esfuerzos del
  proyecto Ultra de los Estados Unidos de América,
  entre otros, la capacidad de descifrar los
  mensajes generados por los alemanes marcó un
  éxito importante para los aliados.

6

• En los últimos diez años, la importancia de la
  seguridad informática se ha puesto de manifiesto
  por algunas historias.
• Una de ellas fue la del gusano de Internet, en
  1988, que se extendió por decenas de miles de
  computadores, como resultado de la obra de un
  hacker llamado Robert Morris.
• Había un pirata informático en 1995 en Alemania
  que se introdujo en casi 30 sistemas a partir de
  un objetivo que se había propuesto a sí mismo de
  casi 500.
• Más recientemente, en febrero de 1995, el
  arresto del pirata informático más buscado, Kevin
  Nitnick, reveló las actividades criminales que
  incluían el robo de códigos, de información y de
  otro tipo de datos secretos durante años.
• Claramente, la amplia utilización de los
  sistemas informáticos ha puesto en evidencia la
  importancia de la seguridad informática. El
  objetivo principal de la seguridad informática es
  proteger los recursos informáticos del daño, la
  alteración, el robo y la pérdida. Esto incluye
  los equipos, los medios de almacenamiento, el
  software, los listados de impresora y en general,
  los datos. Una efectiva estructura de seguridad
  informática se basa en cuatro técnicas de
  administración de riesgos, mostradas en el
  siguiente diagrama

7
(No Transcript)
8
Técnicas de administración de riesgos

• Estrategias y políticas Estrategias de
  administración para seguridad informática y
  políticas, estándares, guías o directivos usados
  para comunicar estas estrategias a la
  organización.
• Administración de la organización Procesos que
  se dirigen hacia políticas profesionales y
  programas de capacitación, administración de
  cambios y control, administración de seguridad y
  otras actividades necesarias.
• Monitorización de eventos Procesos reactivos
  que permite a la administración medir
  correctamente la implementación de políticas e
  identificar en que momento las políticas
  necesitan cambios.
• Técnología informática Es la tecnología
  necesaria para proveer la apropiada protección y
  soporte en los distintos procesos involucrados en
  la organización. La seguridad informática abarca
  un amplio rango de estrategias y soluciones,
  tales como

9

• Control de acceso Básicamente, el papel del
  control de acceso es identificar la persona que
  desea acceder al sistema y a sus datos, y
  verificar la identidad de dicha persona. La
  manera habitual de controlar el acceso a un
  sistema es restringir la entrada a cualquiera que
  no tenga un nombre de usuario y una contraseña
  válidos.
• El control de acceso es efectivo para mantener a
  las personas desautorizadas fuera del sistema.
  Sin embargo, una vez que alguien está dentro, la
  persona no debería tener acceso libre a todos los
  programas, archivos e información existente en el
  sistema. El control de acceso discrecional, a
  veces abreviado por el acrónimo DAC, se realiza
  en muchos sistemas, y es una parte importante de
  cualquier acceso donde el acceso a los archivos y
  programas se concede en función de la clase de
  permisos otorgados a un usuario o un perfil de
  usuarios. Es discrecional en tanto que un
  administrador puede especificar la clase de
  acceso que decide dar a otros usuarios del
  sistema. Esto difiere de otra clase de controles
  más restrictiva, control de acceso obligatorio
  (MAC), que proporciona un control mucho más
  rígido de acceso a la información del sistema.
• Virus informáticos La prevención y control de
  los efectos producidos por las diferentes clases
  de virus y programas destructivos que existen.

10

• Planificación y administración del sistema
  Planificación, organización y administración de
  los servicios relacionados con la informática ,
  así como políticas y procedimientos para
  garantizar la seguridad de los recursos de la
  organización.
• Cifrado La encriptación y la desencriptación de
  la información manipulada, de forma que sólo las
  personas autorizadas pueden acceder a ella.
• Seguridad de la red y de comunicaciones
  Controlar problemas de seguridad a través de las
  redes y los sistemas de telecomunicaciones.
• Seguridad física Otro aspecto importante de la
  seguridad informática es la seguridad física de
  sus servicios, equipos informáticos y medios de
  datos reales para evitar problemas que pueden
  tener como resultado Pérdida de la
  productividad, pérdida de ventaja competitiva y
  sabotajes intencionados.

11
RIESGOS DE LA COMPUTACION

• Algunos riesgos en seguridad emergen de la
  posibilidad de mal uso intencional de su
  computador por intrusos a través de Internet.
  Otros son riesgos a los que usted se enfrentaría
  aunque no estuviera conectado con Internet (por
  ejemplo, fallas en el disco duro, robos, fallas
  en la energía).
• La seguridad en la información concierne a tres
  áreas importantes
• Confidencialidad la información debe estar
  disponibles sólo para quienes tienen el
  derecho de acceder a ella.
• Integridad la información debe ser
  modificada solo por aquellos que estén
  autorizados a hacerla.
• Disponibilidad la información deber ser
  accesible para aquellos que la necesiten cuando
  la necesiten.

12

• Ventanas compartidas sin protección
• Las Ventanas de red compartidas sin protección
  pueden ser aprovechadas por los intrusos de
  manera automática para colocar herramientas en
  grandes cantidades de computadores que trabajan
  sobre la plataforma Windows que estén conectados
  a la Internet.
• Dado que la seguridad de las páginas en Internet
  es interdependiente, un computador afectado
  genera problemas no sólo para su dueño, sino que
  además es una amenaza contra otras páginas de la
  Internet. El mayor riesgo inmediato a la
  comunidad de la Internet es el potencialmente
  alto número de computadores conectados a Internet
  con ventanas de red compartidas sin protección
  combinadas con herramientas de ataque
  distribuidas. Otra amenaza incluye un código
  maligno y destructivo, tales como los virus o los
  gusanos, que entran a las ventanas de red
  compartidas sin protección para propagarse.
  Existe gran potencial para el surgimiento de
  otras herramientas de intrusión que atacan
  ventanas de red compartidas sin protección de
  manera más amplia.

13

• Código Móvil (Java/JavaScript/ActiveX)
• Se han presentado informes sobre problemas con
  "código móvil" (e.g. Java, JavaScript, y
  ActiveX). Estos son lenguajes de programación que
  permiten a los programadores de páginas web
  escribir un código que luego es ejecutado por su
  navegador. Aunque el código por lo general es
  útil, puede ser utilizado por intrusos para
  recolectar información (como las paginas web que
  usted visita) o ejecutar un código maligno en su
  computador.
• Es posible desactivar Java, JavaScript y ActiveX
  en su navegador. Le recomendamos lo haga si usted
  está navegando en páginas web con los cuales no
  está familiarizado o en los cuales no confía.
• También debe tener cuidado con los riesgos que
  conlleva la utilización de código móvil en
  programas de correo electrónico. Muchos de éstos
  pueden utilizar el mismo código de los
  navegadores para mostrar HTML. Por lo tanto, las
  vulnerabilidades que afectan Java, JavaScript, y
  ActiveX por lo general aplican al correo
  electrónico y a las páginas web.

14

• Programa de Ejecución de página cruzada
• Un malintencionado programador de páginas web
  puede anexar un programa de ejecución a algo que
  se ha enviado a una página web, como un URL, un
  elemento en una forma, o una inquietud enviada a
  una base de datos. Más adelante, cuando la página
  le envíe una respuesta, se le transfiere el
  programa de ejecución maligno a su navegador.
  Usted potencialmente puede exponer su navegador
  a programas de ejecución malignos al seguir los
  enlaces de la páginas web, correo electrónico o
  avisos de grupos a los que usted pertenezca, sin
  saber a dónde conducen utilizar formas
  interactivas en una página que no es confiable
  visitar discusiones de grupos en línea, foros, u
  otras páginas dinámicas donde los usuarios pueden
  enviar texto con etiquetas HTML.

15

• Simulación de correo electrónico
• Simulación de correo electrónico sucede cuando
  un correo electrónico parece haber sido originado
  en una fuente, cuando en realidad fue enviado de
  otra distinta. La simulación de correo
  electrónico por lo general es un intento de de
  engañar al usuario para que éste realice una
  declaración perjudicial o para que comuniquen
  información delicada (como las claves). El
  correo electrónico simulado puede ir desde trucos
  inofensivos hasta engaños de ingeniería social.
  Ejemplo de este último incluyen correo
  electrónico que dice venir de un administrador de
  sistema, que solicita a los usuarios cambiar sus
  claves por una secuencia determinada y amenaza
  con suspender su cuenta si no cumplen con lo
  indicado correo electrónico que dice venir de una
  persona con autoridad que solicita a los usuarios
  enviarle una copia de un archivo de clave u otra
  información delicada.
• Tenga en cuenta que aunque los proveedores del
  servicio podrán solicitar ocasionalmente que
  usted cambie su clave, por lo general no le
  especificarán por cuál lo debe cambiar. De la
  misma manera, la mayoría de los proveedores de
  servicio legítimos nunca le solicitarán que les
  envíe información de su clave por correo
  electrónico. Si usted sospecha que recibió una
  simulación de correo electrónico de alguien con
  malas intenciones, debe contactar al soporte de
  su proveedor de servicios inmediatamente

16

• Virus transportado por correo electrónico
• Los virus y otros tipos de código maligno, por
  lo general se difunden como archivo adjunto de
  correo electrónicos. Antes de abrir cualquier
  archivo adjunto, asegúrese de conocer la fuente
  de dicho archivo. No es suficiente con que el
  correo haya sido originado de una dirección que
  usted reconozca. El virus Melissa se difundió
  precisamente porque provenía de direcciones
  familiares. De la misma manera, un código maligno
  puede ser distribuido en programas divertidos o
  atractivos. Muchos de los virus recientes
  utilizan estas técnicas de ingeniería social para
  difundirse.Nunca ejecute un programa a menos de
  que sepa que su autoría proviene de una persona o
  una empresa en la que usted confía. De la misma
  manera, no envíe programas de origen desconocido
  a sus amigos o colegas de trabajo sólo porque son
  divertidos pueden incluir un programa Caballo de
  Troya.

17

• Extensiones de Archivo ocultas
• Los sistemas que trabajan en Windows contienen
  una opción para "Esconder extensiones de los
  archivos para tipos de archivo conocidos". La
  opción se encuentra activada por defecto, pero el
  usuario puede escoger desactivarla para que
  Windows muestre las extensiones de los archivos.
  Se sabe que muchos virus transportados por
  correo electrónico pueden explotar estas
  extensiones de archivo ocultas. El primer gran
  ataque que tomó ventaja de una extensión de
  archivo oculta fue el gusano VBS/LoveLetter, el
  cual incluía un archivo adjunto llamado
  "LOVE-LETTER-FOR-YOU.TXT.vbs". Desde entonces,
  otros programas malignos han incluido el mismo
  esquema para el nombre. Algunos ejemplos son
• Downloader (MySis.avi.exe o
  QuickFlick.mpg.exe)
• VBS/Timofonica (TIMOFONICA.TXT.vbs)
• VBS/CoolNote (COOL_NOTEPAD_DEMO.TXT.vbs)
• VBS/OnTheFly (AnnaKournikova.jpg.vbs)
• Los archivos adjuntos al correo electrónico
  enviado por estos virus pueden parecer
  inofensivos de texto (.txt), MPEG (.mpg), AVI
  (.avi) u otro tipo de archivo, cuando en realidad
  es un programa malintencionado o de ejecución
  (.vbs or .exe, por ejemplo).

18

• Clientes en Chat
• Las aplicaciones de chat por Internet, tales
  como las aplicaciones de red de mensajería
  instantánea y charla interactiva por Internet
  (Internet Relay Chat - IRC), suministran un
  mecanismo para que la información sea transmitida
  de manera bi-direccional entre computadores en
  Internet.
• Los clientes en chat proporcionan grupos de
  individuos con los medios para intercambiar
  diálogo, URLs, y en muchos casos, archivos de
  cualquier tipo. Dado que muchos de los clientes
  en chat permiten el intercambio de código
  ejecutable, ellos presentan riesgos similares a
  aquéllos de los clientes con correo electrónicos.
  Al igual que con éstos últimos, se deben tomar
  precauciones para limitar la capacidad del
  cliente en chat para ejecutar archivos
  descargados. Como siempre, usted debe tener
  cuidado al intercambiar archivos con desconocidos.

19

• Accidentes y otros riesgos
• Además de los riesgos asociados con conectar su
  computador a Internet, existe una cantidad de
  riesgos que aplican así el computador no tenga
  conexión de red alguna.La mayoría de estos
  riesgos son conocidos, por lo que no entraremos
  en mucho detalle en este documento, pero es
  importante aclarar que las prácticas comunes
  asociadas con la reducción de estos riesgos
  también pueden reducir la vulnerabilidad a los
  riesgos asociados con la utilización en red.

20

• Falla del disco
• La disponibilidad es uno de los tres elementos
  clave de la seguridad de la información. Aunque
  toda la información almacenada puede convertirse
  en no disponible
• Si los medios en que está almacenada están
  físicamente dañados, destruidos o perdidos
• La información almacenada en discos duros
  tiene un riesgo mayor, debido a la naturaleza
  mecánica del dispositivo. Los colapsos de
  disco duro son la causa común de la pérdida de
  información de computadores personales. La única
  solución efectiva es efectuar copias de respaldo
  permanentemente.

21

• Fallas y picos en la corriente
• Los problemas de corriente (picos, apagones y
  baja tensión) pueden causar daños físicos a su
  computador, llevando al colapso del disco duro o
  sino, perjudicando los componentes electrónicos
  del computador. Los métodos para mitigar estos
  problemas incluyen la utilización de supresores
  de pico y de fuentes de poder ininterrumpidas
  (uninterruptible power supplies - UPS).

22

• Robo Físico
• El robo físico de un computador, claro está,
  conlleva a la pérdida de confidencialidad y de
  disponibilidad, y (asumiendo que el mismo se
  pueda recuperar) convierte en sospechosa la
  información almacenada en el disco. Las copias
  de respaldo permanentes (con las copias guardadas
  en algún sitio lejos del computador) permiten la
  recuperación de la información, pero las mismas
  no pueden solucionar el problema de la
  confidencialidad. Las herramientas criptográficas
  están disponibles para encriptar la información
  almacenada en el disco duro de un computador.