• Utilizar las herramientas y técnicas necesarias para iniciar, planear, ejecutar, controlar y cerrar proyectos de éxito.
• Analizar la información del sector de las Telecomunicaciones para identificar oportunidades de negocio y para decodificar la realidad en la cual se desarrollan los proyectos que atienden las necesidades de las compañías del sector.
• Conocer las últimas tendencias a nivel nacional y mundial sobre las telecomunicaciones, así como la importancia y relevancia de cada una de ellas en la sociedad de la información
• Encontrar datos estadísticos que informen sobre los resultados de las tendencias tecnológicas y su enfoque hacia el futuro.
• Reconocer todos los entes de control que regulan los ambientes de telecomunicaciones de acuerdo a un proyecto específico en la especialización.
• Reconocer los antecedentes de los ambientes de telecomunicaciones.
• Identificar la importancia y relevancia de las TIC en la sociedad y las organizaciones, encontrando un enfoque sistémico en todos ambientes desarrollados.
sábado, 18 de junio de 2011
¿Cómo ayudan esas tendencias tecnológicas a fomentar y construir una sociedad basada en la información?
UBICACIÓN DEL TELETRABAJO EN LA SOCIEDAD DE LA INFORMACIÓN:
Por tanto es necesario que los gobiernos desarrollen estrategias conjuntas que permitan el desarrollo de esta Sociedad de la Información, de forma inclusiva y brindando las mismas oportunidades a todos los habitantes.
Aplicaciones como el Gobierno Digital a nivel nacional, Ciudades Digitales o Municipios Digitales a nivel de gobiernos locales, y por ende en las empresas proveedoras de trabajo a los ciudadanos, el teletrabajo va tomando fuerza y convirtiéndose en un proceso productivo más.
El Teletrabajo se vuelve una aplicación importantísima, que ya sea a nivel nacional o local, a nivel empresarial o por simple iniciativa del ciudadano, ayuda a cerrar la brecha digital, y a mejorar las condiciones de vida de los que lo practican.
Por esto se requiere de los que toman decisiones en todos los niveles, que soporten la implementación y consolidación del Teletrabajo y aseguren las garantías legislativas, políticas, educativas y económicas para resguardar los intereses de las empresas, de los y las tele-trabajadores y de las y los tele-empleados.
Por ejemplo, la estrategia nacional de un país para desarrollar el Gobierno Digital debe incluir una estrategia de introducción, consolidación y uso del teletrabajo en todo el sector público, y mediante la reforma a las leyes laborales, propiciar el teletrabajo a nivel privado en todo el territorio nacional.
Como parte de la estrategia digital de un país, está no solamente desarrollar e implementar el Gobierno Digital a nivel nacional, sino facilitar y promover el desarrollo de los Gobiernos Digitales Locales, transformando los municipios en Municipios Digitales o Ciudades Digitales como se les conoce. Dentro de cada una de ellas, los gobiernos locales también deben facilitar la utilización del teletrabajo dentro del municipio o alcaldía, facilitando también métodos de trabajo que permitan a los ciudadanos de dicho municipio o alcaldía el poder tele-trabajar.
Entre las ideas de fuerza planteadas y que motivan a un análisis más exhaustivo se encuentra que el Teletrabajo es un instrumento catalizador de empleo y desarrollo económico a escala humana y es una materia que debe ser estudiada y analizada por los gobiernos ya que puede contribuir a:
• Disminuir la brecha digital.
• Fortalecer la familia
• Aumentar las tasas empleo y trabajo
• Mejorar la inserción e integración laboral de personas económicamente activas excluidas del mercado laboral.
• Disminuir la discriminación laboral a la mujer.
• Fortalecer las comunidades rurales y disminuir la migración tanto interna como externa.
• Generar empleos y crear nuevas empresas.
• Favorecer el crecimiento económico de los países, a través de nuevas divisas generadas a través de comercio electrónico y de la exportación de tele-servicios.
• Disminuir asistencialidad para reasignar estos recursos a formación, capacitación y empleo.
• Disminuir el estrés y el acoso laboral.
• Mejorar los índices de absorción tecnológica e imagen país.
• Disminuir los niveles de contaminación y favorecer los beneficios ambientales como producto de la descongestión vehicular y la descontaminación acústica, entre otros.
REDES SOCIALES EN LA SOCIEDAD DE LA INFORMACION
Las redes sociales en la sociedad de la información
Nueva edición del estudio anual sobre La Sociedad en Red, realizada por el Observatorio Nacional de la Telecomunicaciones y la Sociedad de la Información (ONTSI) para analizar el desarrollo de la tecnologías de la información (TIC) en los hogares y empresas españolas, vs. resto de Europa y del mundo.
Este año destaca el rápido crecimiento de las redes sociales a nivel global, soportado en dos pilares: Por una parte, permiten agregar servicios y utilidades de gran interés para los usuarios (tanto personas físicas, como empresas u otras instituciones). Por otra, la capacidad que tienen de proyectar las relaciones entre los usuarios más allá del ámbito físico.
El estudio clasifica además en tres categorías las actividades que pueden llevarse a cabo en redes sociales: Comunicación / Cooperación / Creación de comunidad
En primer lugar, actividades de comunicación, ya que permiten mantener relación con los contactos que se tienen asociados.
En segundo lugar, actividades de cooperación, al colaborar en actividades o propósitos conjuntos.
En tercer y último lugar actividades que crean comunidad, debido a que los lazos y vínculos que hay en otros ámbitos se hacen más fuertes en el mundo de Internet.
Se destaca también el hecho de que algunas de las páginas más relevantes y más vistas del ámbito de Internet sean precisamente las de las redes sociales, “de ahí la importancia de su análisis, no sólo por el fenómeno social que suponen, sino por el potencial que tienen asociado y que ya se empieza a descubrir en el entorno de los negocios en Internet“.
Siguiendo con los datos publicados por Nielsen, el volumen de usuarios únicos de redes sociales superaba los 500 millones en todo el mundo en diciembre de 2010, un crecimiento de un 27% respecto al año anterior. La fase de expansión se hace más evidente teniendo en cuenta que la tasa de 2010 frente al valor de 2009 (27%), supera en más de 12 puntos a la tasa de 2009 frente a 2008 (14,7%).
![]()
Por otro lado, La Sociedad en Red 2010 señala la destacada tercera posición de España en el ranking mundial de porcentaje de usuarios activos de redes sociales, sólo detrás de Brasil con un 88% y a un sólo punto porcentual de Italia con un 78% de usuarios activos.
![]()
A la vista de todos estos datos parece más que evidente que las redes sociales dejaron atrás hace tiempo su etiqueta de moda pasajera y, como destaca el informe, cada día su importancia crece exponencialmente en todo el mundo no sólo en el ámbito personal sino en el de los negocios, ¿puede una empresa del siglo XXI quedarse fuera?Vivimos en la Sociedad de la Información y del Conocimiento, la cual se caracteriza por ser un concepto en plena evolución, que ha alcanzado en el mundo diferentes niveles, como reflejo de diferentes etapas de desarrollo. Los cambios tecnológicos y de otro tipo están transformando rápidamente el entorno en que se desarrolla la Sociedad de la Información.
Por tanto es necesario que los gobiernos desarrollen estrategias conjuntas que permitan el desarrollo de esta Sociedad de la Información, de forma inclusiva y brindando las mismas oportunidades a todos los habitantes.
Aplicaciones como el Gobierno Digital a nivel nacional, Ciudades Digitales o Municipios Digitales a nivel de gobiernos locales, y por ende en las empresas proveedoras de trabajo a los ciudadanos, el teletrabajo va tomando fuerza y convirtiéndose en un proceso productivo más.
El Teletrabajo se vuelve una aplicación importantísima, que ya sea a nivel nacional o local, a nivel empresarial o por simple iniciativa del ciudadano, ayuda a cerrar la brecha digital, y a mejorar las condiciones de vida de los que lo practican.
Por esto se requiere de los que toman decisiones en todos los niveles, que soporten la implementación y consolidación del Teletrabajo y aseguren las garantías legislativas, políticas, educativas y económicas para resguardar los intereses de las empresas, de los y las tele-trabajadores y de las y los tele-empleados.
Por ejemplo, la estrategia nacional de un país para desarrollar el Gobierno Digital debe incluir una estrategia de introducción, consolidación y uso del teletrabajo en todo el sector público, y mediante la reforma a las leyes laborales, propiciar el teletrabajo a nivel privado en todo el territorio nacional.
Como parte de la estrategia digital de un país, está no solamente desarrollar e implementar el Gobierno Digital a nivel nacional, sino facilitar y promover el desarrollo de los Gobiernos Digitales Locales, transformando los municipios en Municipios Digitales o Ciudades Digitales como se les conoce. Dentro de cada una de ellas, los gobiernos locales también deben facilitar la utilización del teletrabajo dentro del municipio o alcaldía, facilitando también métodos de trabajo que permitan a los ciudadanos de dicho municipio o alcaldía el poder tele-trabajar.
Entre las ideas de fuerza planteadas y que motivan a un análisis más exhaustivo se encuentra que el Teletrabajo es un instrumento catalizador de empleo y desarrollo económico a escala humana y es una materia que debe ser estudiada y analizada por los gobiernos ya que puede contribuir a:
• Disminuir la brecha digital.
• Fortalecer la familia
• Aumentar las tasas empleo y trabajo
• Mejorar la inserción e integración laboral de personas económicamente activas excluidas del mercado laboral.
• Disminuir la discriminación laboral a la mujer.
• Fortalecer las comunidades rurales y disminuir la migración tanto interna como externa.
• Generar empleos y crear nuevas empresas.
• Favorecer el crecimiento económico de los países, a través de nuevas divisas generadas a través de comercio electrónico y de la exportación de tele-servicios.
• Disminuir asistencialidad para reasignar estos recursos a formación, capacitación y empleo.
• Disminuir el estrés y el acoso laboral.
• Mejorar los índices de absorción tecnológica e imagen país.
• Disminuir los niveles de contaminación y favorecer los beneficios ambientales como producto de la descongestión vehicular y la descontaminación acústica, entre otros.
REDES SOCIALES EN LA SOCIEDAD DE LA INFORMACION
Las redes sociales en la sociedad de la información
Nueva edición del estudio anual sobre La Sociedad en Red, realizada por el Observatorio Nacional de la Telecomunicaciones y la Sociedad de la Información (ONTSI) para analizar el desarrollo de la tecnologías de la información (TIC) en los hogares y empresas españolas, vs. resto de Europa y del mundo.
Este año destaca el rápido crecimiento de las redes sociales a nivel global, soportado en dos pilares: Por una parte, permiten agregar servicios y utilidades de gran interés para los usuarios (tanto personas físicas, como empresas u otras instituciones). Por otra, la capacidad que tienen de proyectar las relaciones entre los usuarios más allá del ámbito físico.
El estudio clasifica además en tres categorías las actividades que pueden llevarse a cabo en redes sociales: Comunicación / Cooperación / Creación de comunidad
En primer lugar, actividades de comunicación, ya que permiten mantener relación con los contactos que se tienen asociados.
En segundo lugar, actividades de cooperación, al colaborar en actividades o propósitos conjuntos.
En tercer y último lugar actividades que crean comunidad, debido a que los lazos y vínculos que hay en otros ámbitos se hacen más fuertes en el mundo de Internet.
Se destaca también el hecho de que algunas de las páginas más relevantes y más vistas del ámbito de Internet sean precisamente las de las redes sociales, “de ahí la importancia de su análisis, no sólo por el fenómeno social que suponen, sino por el potencial que tienen asociado y que ya se empieza a descubrir en el entorno de los negocios en Internet“.
Siguiendo con los datos publicados por Nielsen, el volumen de usuarios únicos de redes sociales superaba los 500 millones en todo el mundo en diciembre de 2010, un crecimiento de un 27% respecto al año anterior. La fase de expansión se hace más evidente teniendo en cuenta que la tasa de 2010 frente al valor de 2009 (27%), supera en más de 12 puntos a la tasa de 2009 frente a 2008 (14,7%).
Por otro lado, La Sociedad en Red 2010 señala la destacada tercera posición de España en el ranking mundial de porcentaje de usuarios activos de redes sociales, sólo detrás de Brasil con un 88% y a un sólo punto porcentual de Italia con un 78% de usuarios activos.
A la vista de todos estos datos parece más que evidente que las redes sociales dejaron atrás hace tiempo su etiqueta de moda pasajera y, como destaca el informe, cada día su importancia crece exponencialmente en todo el mundo no sólo en el ámbito personal sino en el de los negocios, ¿puede una empresa del siglo XXI quedarse fuera?Vivimos en la Sociedad de la Información y del Conocimiento, la cual se caracteriza por ser un concepto en plena evolución, que ha alcanzado en el mundo diferentes niveles, como reflejo de diferentes etapas de desarrollo. Los cambios tecnológicos y de otro tipo están transformando rápidamente el entorno en que se desarrolla la Sociedad de la Información.
¿Cómo están relacionadas las tendencias tecnológicas identificadas con en el desarrollo del ámbito y línea de acción seleccionadas? ¿Cuáles son los beneficios y riesgos para la sociedad que proveen las tendencias tecnológicas identificadas?
EL TELETRABAJO:
Los empleados que realizan labores desde su hogar, hoteles o cibercafés o con dispositivos móviles pueden comprometer información corporativa e incluso provocar caídas en las redes de las organizaciones, porque son más propensos a visitar sitios peligrosos.
El teletrabajo es una tendencia creciente en todo el mundo, por los ahorros que benefician a las empresas y la presunta mejora en la calidad de vida que tienen los empleados. Sin embargo, puede convertirse en un boomerang para las compañías, dado que el acceso privilegiado que tienen los trabajadores a las redes corporativas puede ser utilizado por los delincuentes informáticos.
El teletrabajo es una práctica empresarial que mejora la productividad pero que puede exponer la seguridad corporativa y personal si no se toman las medidas adecuadas.
No importa si el trabajador hace sus tareas en su hogar, en un café o en un hotel. Lo cierto es que los trabajadores móviles empeoran los problemas de seguridad de la red debido a un sentido falso de la concientización.
Un estudio de la empresa ScanSafe afirma que existe la posibilidad de que estos trabajadores accedan a sitios para compartir archivos, páginas porno y otras Webs de "contenido cuestionable" que exponen a los empleados a todo tipo de malware.
La compañía de seguridad informática analizó 8.000 millones de peticiones Web durante marzo. También confirmó que los trabajadores a distancia visitan páginas de ese tipo en mucha mayor proporción que aquellos que trabajan en el edificio de la empresa.
Los teletrabajadores visitan Webs dedicadas a compartir archivos 8,5 veces más, páginas para adultos 2,5 veces más y navegan por webs con contenido gráfico extremo 5,2 veces más.
Scanface señala que acceden con una frecuencia 3,5 veces superior al resto de trabajadores a páginas que contienen actividades ilegales, como "información para construir explosivos".
"No es una sorpresa que los hábitos de navegación por Internet cambien cuando los empleados salen fuera de la oficina y se encuentran alejados del control de un supervisor", indica el vicepresidente de estrategia de producto de la compañía, Dan Nadir.
La empresa recomendó a las compañías que utilicen sistemas de seguridad para cuando la navegación se produzca fuera de las oficinas.
El comportamiento inseguro de los trabajadores remotos puede hacer caer una red o comprometer información corporativa e identidades personales. Para grandes empresas, especialmente aquellas con una fuerza laboral global y de diferentes culturas empresariales, el riesgo potencial es aun más desafiante.
Entre las acciones consideradas riesgosas para la seguridad de los sistemas de la empresa, se encuentran las siguientes:
• Compartir computadoras de trabajo con personas que no son empleados.
• Abrir correos electrónicos desconocidos.
• Acceder redes inalámbricas de los vecinos.
Las tendencias de comportamiento y culturales crean para los equipos de seguridad de TI un desafío en la medida en que más empleados trabajan fuera de sus oficinas tradicionales.
A continuación, algunos ejemplos de inseguridad corporativa:
• Compartir dispositivos corporativos con personas que no son empleados de la misma compañía.
• Acceder redes inalámbricas de vecinos.
• Abrir correos electrónicos sospechosos y documentos adjuntos.
• Uso personal de la computadora laboral.
¿Cómo enfrentar estas prácticas? El área de TI debe jugar un rol más estratégico, y para hacerlo debe desarrollar relaciones más fuertes con los usuarios para prevenir amenazas y dañar la eficiencia y las identidades personales.
La Seguridad Informatica en la era de las Redes Sociales
![]()
En internet las matemáticas son bastante simples. Cuando un servicio es utilizado por tantas personas de todo el mundo la seguridad empieza a estar en la línea de juego porque los hackers ven que la cantidad de información que pueden obtener es enorme. Sobre todo cuando hay gente descuidada a la hora de compartirla.
¿Cuáles son las amenazas que existen en las redes sociales? Las más comunes son "malware, phishing y robo de información. Los usuarios "deben preocuparse por estar protegidos".
Los empleados que realizan labores desde su hogar, hoteles o cibercafés o con dispositivos móviles pueden comprometer información corporativa e incluso provocar caídas en las redes de las organizaciones, porque son más propensos a visitar sitios peligrosos.
El teletrabajo es una tendencia creciente en todo el mundo, por los ahorros que benefician a las empresas y la presunta mejora en la calidad de vida que tienen los empleados. Sin embargo, puede convertirse en un boomerang para las compañías, dado que el acceso privilegiado que tienen los trabajadores a las redes corporativas puede ser utilizado por los delincuentes informáticos.
El teletrabajo es una práctica empresarial que mejora la productividad pero que puede exponer la seguridad corporativa y personal si no se toman las medidas adecuadas.
No importa si el trabajador hace sus tareas en su hogar, en un café o en un hotel. Lo cierto es que los trabajadores móviles empeoran los problemas de seguridad de la red debido a un sentido falso de la concientización.
Un estudio de la empresa ScanSafe afirma que existe la posibilidad de que estos trabajadores accedan a sitios para compartir archivos, páginas porno y otras Webs de "contenido cuestionable" que exponen a los empleados a todo tipo de malware.
La compañía de seguridad informática analizó 8.000 millones de peticiones Web durante marzo. También confirmó que los trabajadores a distancia visitan páginas de ese tipo en mucha mayor proporción que aquellos que trabajan en el edificio de la empresa.
Los teletrabajadores visitan Webs dedicadas a compartir archivos 8,5 veces más, páginas para adultos 2,5 veces más y navegan por webs con contenido gráfico extremo 5,2 veces más.
Scanface señala que acceden con una frecuencia 3,5 veces superior al resto de trabajadores a páginas que contienen actividades ilegales, como "información para construir explosivos".
"No es una sorpresa que los hábitos de navegación por Internet cambien cuando los empleados salen fuera de la oficina y se encuentran alejados del control de un supervisor", indica el vicepresidente de estrategia de producto de la compañía, Dan Nadir.
La empresa recomendó a las compañías que utilicen sistemas de seguridad para cuando la navegación se produzca fuera de las oficinas.
El comportamiento inseguro de los trabajadores remotos puede hacer caer una red o comprometer información corporativa e identidades personales. Para grandes empresas, especialmente aquellas con una fuerza laboral global y de diferentes culturas empresariales, el riesgo potencial es aun más desafiante.
Entre las acciones consideradas riesgosas para la seguridad de los sistemas de la empresa, se encuentran las siguientes:
• Compartir computadoras de trabajo con personas que no son empleados.
• Abrir correos electrónicos desconocidos.
• Acceder redes inalámbricas de los vecinos.
Las tendencias de comportamiento y culturales crean para los equipos de seguridad de TI un desafío en la medida en que más empleados trabajan fuera de sus oficinas tradicionales.
A continuación, algunos ejemplos de inseguridad corporativa:
• Compartir dispositivos corporativos con personas que no son empleados de la misma compañía.
• Acceder redes inalámbricas de vecinos.
• Abrir correos electrónicos sospechosos y documentos adjuntos.
• Uso personal de la computadora laboral.
¿Cómo enfrentar estas prácticas? El área de TI debe jugar un rol más estratégico, y para hacerlo debe desarrollar relaciones más fuertes con los usuarios para prevenir amenazas y dañar la eficiencia y las identidades personales.
La Seguridad Informatica en la era de las Redes Sociales
Las redes sociales se convirtieron rápidamente en parte de la vida cotidiana de la mayoría de los usuarios de internet. Sin ir más lejos, durante el 2010 Facebook marcó un récord y logró llegar a tener 500 millones de usuarios registrados. Hoy Twitter es un medio donde no sólo los usuarios se comunican entre ellos, sino también que fue elegido por muchos famosos para hablar directamente con sus fanáticos o por medios para dar sus primicias y exclusivas antes que el resto.
En internet las matemáticas son bastante simples. Cuando un servicio es utilizado por tantas personas de todo el mundo la seguridad empieza a estar en la línea de juego porque los hackers ven que la cantidad de información que pueden obtener es enorme. Sobre todo cuando hay gente descuidada a la hora de compartirla.
Pero hay, como en todos los casos, maneras de estar seguro.Es muy importante contar con las herramientas necesarias: desde un antivirus o un firewall que controle las conexiones, hasta herramientas más especializadas, que permitan bloquear el acceso a estos servicios (más enfocado a las empresas)".
Las compañías también deben tener cuidado y para eso se necesitan medidas tanto de gestión como humanas. En la primera "hay que definir políticas de seguridad que puntualicen qué tiene permitido realizar el empleado con la información de la empresa". Mientras que en las medidas humanas, como sucede en todos los ámbitos, "lo fundamental es la educación" del usuario.
Uno de los ataques más utilizados por los hackers para sacar información es la Ingeniería Social . Esta es una práctica donde el atacante tratará de obtener información confidencial a través del robo de identidad. Este tipo de personas pueden pedirle datos diciendo, por ejemplo, que son administradores de la red social y que necesitan esa información para comprobar algo. Por este motivo muchos servicios piden encarecidamente que nunca, bajo ninguna circunstancia, revelen contraseñas.
Una de las mejores formas para estar seguros es aceptar sólo a gente que conozcas, tener bien configurada las opciones de privacidad y no compartir información demasiado personal (como tu teléfono, por ejemplo). Parece algo por demás simple, pero muchas veces por descuido o desinformación, no se tiene en cuenta.
¿Qué significa...?
Malware: Se trata de un software malicioso que tiene como finalidad robar información o dañar la computadora de la persona que lo instaló.
Phishing: Se denomina a las estafas que se hacen a través de internet. La mayoría de las veces se hace mediante la ingeniería social donde se trata de obtener información confidencial haciéndose pasar por staff de, por ejemplo, un banco.
Spyware: Se trata básicamente de una aplicación programada para espiar una computadora y se instala sin que el usuario ni siquiera lo note. Se usan, sobre todo, para recopilar información que más tarde será distribuido a empresas de, por ejemplo, publicidad.
sábado, 4 de junio de 2011
6.- ¿Qué importancia se le da a la línea de acción seleccionada en los planes de
Dentro del Plan Vive Digital Colombia, y como parte del desarrollo de los obejetivos para la masificación del internet en estratos 1,2 y 3 y pymes, se incluyo una Política Nacional de Uso Responsable de las TIC (PNURT). Esta política tiene por objeto prevenir prácticas de producción y consumo de contenidos en línea, interacción entre personas en línea, exposición y uso de información personal a través de las redes de comunicaciones electrónicas, que vulneren el desarrollo y la seguridad de los menores de edad, la confidencialidad de la información personal de los ciudadanos y los derechos de autor. De esta manera, la política busca promover la apropiación de las TIC por parte de todos los colombianos, pues el uso responsable de las tecnologías de la información y las comunicaciones aumenta la confianza en las TIC, y afianza el proceso de adopción de las mismas.
Los comportamientos de riesgo pueden agruparse en tres categorías: riesgos de contenidos en línea, riesgos de contacto en línea con terceros, y riesgos de confidencialidad en línea. Los primeros se refieren principalmente a la pornografía, la pornografía infantil, los contenidos auto-destructivos y los contenidos promotores de la violencia. Los riesgos de contacto se refieren principalmente al matoneo virtual, el acoso de adultos a menores de edad y la interacción con desconocidos. Los riesgos de confidencialidad se refieren la vulneración de la privacidad, el fraude electrónico, la publicidad invasiva (incluyendo spam), la violación de propiedad intelectual y la vulneración de la reputación de las personas. La PNURT tiene el propósito de anticiparse a la ocurrencia de estos riesgos.
Para ejecutar la PNURT se desarrollarán los siguientes programas:
• Trazar un régimen normativo de protección al consumidor en actividades de comercio electrónico, y diseño y puesta en marcha de un programa de información para la protección de los intervinientes en esta actividad.
• Regular la recolección de información personal sobre menores de edad en Internet.
• Poner en marcha el programa de comunicación masiva En TIC Confío para promover el uso de Internet en el país por parte de los ciudadanos en general, mediante el conocimiento y adopción de hábitos seguros de uso de las redes de comunicaciones electrónicas.
Los comportamientos de riesgo pueden agruparse en tres categorías: riesgos de contenidos en línea, riesgos de contacto en línea con terceros, y riesgos de confidencialidad en línea. Los primeros se refieren principalmente a la pornografía, la pornografía infantil, los contenidos auto-destructivos y los contenidos promotores de la violencia. Los riesgos de contacto se refieren principalmente al matoneo virtual, el acoso de adultos a menores de edad y la interacción con desconocidos. Los riesgos de confidencialidad se refieren la vulneración de la privacidad, el fraude electrónico, la publicidad invasiva (incluyendo spam), la violación de propiedad intelectual y la vulneración de la reputación de las personas. La PNURT tiene el propósito de anticiparse a la ocurrencia de estos riesgos.
Para ejecutar la PNURT se desarrollarán los siguientes programas:
• Trazar un régimen normativo de protección al consumidor en actividades de comercio electrónico, y diseño y puesta en marcha de un programa de información para la protección de los intervinientes en esta actividad.
• Regular la recolección de información personal sobre menores de edad en Internet.
• Poner en marcha el programa de comunicación masiva En TIC Confío para promover el uso de Internet en el país por parte de los ciudadanos en general, mediante el conocimiento y adopción de hábitos seguros de uso de las redes de comunicaciones electrónicas.
5.- ¿Cómo se mide el impacto del ámbito seleccionado en la sociedad?
Para medir el impacto de la seguridad informática en la sociedad, se puede identificar que tanta confianza tienen las personas en el uso de las TIC.
Según los datos de la grafica Colombia es el cuarto país más vulnerable de América latina.
- La proliferación de los delitos informáticos a hecho que nuestra sociedad sea cada vez más escéptica a la utilización de tecnologías de la información, las cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el comercio electrónico puede verse afectado por la falta de apoyo de la sociedad en general.
- También se observa el grado de especialización técnica que adquieren los delincuentes para cometer éste tipo de delitos, por lo que personas con conductas maliciosas cada vez más están ideando planes y proyectos para la realización de actos delictivos, tanto a nivel empresarial como a nivel global.
- También se observa que las empresas que poseen activos informáticos importantes, son cada vez más celosas y exigentes en la contratación de personal para trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros tiempos. Aquellas personas que no poseen los conocimientos informáticos básicos, son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no conocen nada de informática (por lo general personas de escasos recur sos económicos) pueden ser engañadas si en un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas adecuadamente para la utilización de tecnologías como la Internet, correo electrónico, etc.
- La falta de cultura informática puede impedir de parte de la sociedad la lucha contra los delitos informáticos, por lo que el componente educacional es un factor clave en la minimización de esta problemática.
4.- ¿Cuál es la prospectiva del ámbito seleccionado?
El tema de ciberseguridad y ciberdefensa fue incluido en el Plan Nacional de Desarrollo 2010-2014 “Prosperidad para Todos”, como parte del Plan Vive Digital liderado por el Ministerio de Tecnologías de la Información y las Comunicaciones, cuyo fin es impulsar la masificación del uso de internet, para dar un salto hacia la prosperidad democrática. Esto hace que estemos ante un proyecto intersectorial estratégico, como parte de un objetivo para generar confianza en el uso de las TIC.
Actualmente el problema central la capacidad actual del Estado para enfrentar las amenazas que atentan contra la ciberseguridad y ciberdefensa nacional es insuficiente. Esto genera los siguientes efectos:
• Incremento de delincuencia cibernética y del riesgo de acceso indebido a la información.
• Afectación del normal funcionamiento y continuidad en la prestación de servicios.
• Persistencia de impunidad.
• Desconfianza en el uso de las TIC.
Por lo tanto dentro del plan nacional de desarrollo se plantean los siguientes objetivos:
A. Objetivo central
Fortalecer la capacidad del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y ciberdefensa), creando el ambiente y las condiciones necesarias para brindar protección en el ciberespacio.
Para esto se requiere:
• Involucrar a todos los sectores e instituciones del Estado con responsabilidad en el campo de ciberseguridad y ciberdefensa.
• Fortalecer los niveles de cooperación y colaboración internacional en aspectos de ciberseguridad y ciberdefensa.
B. Objetivos específicos
• Brindar capacitación especializada en seguridad de la información y ampliar las líneas de investigación en ciberseguridad y ciberdefensa.
• Fortalecer la legislación en materia de ciberdefensa y ciberseguridad y adelantar la adhesión de Colombia a los diferentes instrumentos internacionales en esta temática.
La implementación inicial del colCERT en el Ministerio de Defensa, implicará la asignación de los siguientes recursos:
Presupuesto colCERT
2011 | 2012 | 2013 | 2014 |
$ 960.000.000 | $ 1.400.000.000 | $ 1.200.000.000 | $ 1.000.000.000 |
Presupuesto CCP
2011 | 2012 | 2013 | 2014 |
$ 228.000.000 | $ 2.000.000.000 | $ 2.000.000.000 | $ 2.000.000.000 |
Presupuesto CCOC
2011 | 2012 | 2013 | 2014 |
$ 240.000.000 | $ 2.000.000.000 | $ 1.800.000.000 | $ 1.600.000.000 |
Para el 2011 el presupuesto de los tres centros será financiado con recursos de funcionamiento. A partir de 2012, los recursos serán financiados por inversión con tres proyectos que ya se encuentran inscritos en el Banco de Proyectos de Inversión.
3º ¿Cómo es la tendencia de mercado del ámbito de las telecomunicaciones seleccionado?
En una sociedad de la información cada vez más interconectada, las amenazas de actos terroristas que se han venido produciendo desde fines de 2002 han puesto en relieve la importancia de la seguridad de las redes de comunicaciones. De acuerdo al documento de la UIT-D “Informe sobre las infraestructuras nacionales de seguridad del ciberespacio”, la toma de conciencia con respecto a estos desafíos, principalmente económicos, varía de un país a otro en función de su nivel de desarrollo. Así, los países menos desarrollados muestran mayor interés en la instalación de las redes que en su protección, mientras que los países más desarrollados se centran sobre todo en la seguridad de las comunicaciones del sector público.
En zonas como África del Norte, debido al bajo índice de penetración de Internet y el comercio electrónico en la mayoría de los países de esta región, el problema de la seguridad de las redes se plantea a menor escala y el marco reglamentario es prácticamente inexistente.
En África Subsahariana, en el plano reglamentario, la seguridad de las redes no es todavía una preocupación de primer orden para las autoridades locales, que se hallan más concentradas en la instalación de dichas redes que en su protección. El cifrado y la encriptación de los datos se practican todavía poco, por lo que las autoridades ejercen un control restringido.
De modo distinto en América del Norte, los gobiernos intervienen de manera mucho más activa en el campo de la seguridad nacional. En el plano de la oferta, cabe señalar el avance comercial de las técnicas de biometría o de los sistemas que utilizan tarjetas inteligentes. Las últimas soluciones de seguridad que se están diseñando actualmente en América del Norte corresponden a las VPN (Red Privada Virtual) y las redes inalámbricas WLAN. Sin embargo, esta zona se caracteriza por la ausencia de restricciones con respecto a la criptografía y la confidencialidad de las comunicaciones.
En América Latina, la seguridad de las redes de comunicaciones es una preocupación secundaria en la mayoría de los países de esta zona. La norma internacional ISO/CEI 17799, en la que se etiquetan los procedimientos de seguridad de la información, ya ha sido adoptada por algunos órganos encargados de la normalización, aunque su difusión en la región sigue siendo limitada. En lo que se refiere al cifrado, América Latina se caracteriza por un vacío jurídico que permite la libre utilización de estas tecnologías.
Los países de Asia se caracterizan por la ausencia de un marco legislativo sobre la seguridad de las redes. Consumidores y empresas tienen libertad para optar por las soluciones de seguridad que juzguen apropiadas. Con frecuencia, los gobiernos dan ejemplo utilizando sistemas de criptografía de tipo PKI (Public Key Infrastructure), La tecnología PKI permite a los usuarios autentificarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves publicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.
Cabe destacar que últimamente la demanda en la India se ha orientado hacia sistemas más sofisticados, tales como los servicios de detección de intrusos, la gestión del contenido, la identificación, el filtrado URL, los servicios de asesoramiento en materia de seguridad, los sistemas de criptografía que comprenden las PKI y redes privadas virtuales (VPN).
La mayoría de los gobiernos europeos han tomado conciencia de la importancia que reviste la seguridad de las infraestructuras de telecomunicaciones. La disponibilidad e integridad de las redes están básicamente garantizadas por las normas impuestas a los operadores de telecomunicaciones en el marco de las licencias concedidas. Son muchos los países que han instalado o están instalando redes privadas destinadas a las fuerzas de policía y protección civil. Los Estados Miembros de la Unión Europea ya utilizan habitualmente la criptografía. Los principales desafíos son la seguridad de las comunicaciones móviles y el paso al protocolo IPv6.
El uso de los sistemas de cifrado sigue siendo relativamente libre en Oriente Medio. Los operadores nacionales de telecomunicaciones, a menudo en régimen de monopolio, administran las comunicaciones electrónicas por un sistema de filtrado. Las empresas apenas están comenzando a tomar conciencia de la importancia de la seguridad de sus comunicaciones en un momento en que el comercio electrónico hace su aparición en Oriente Medio. Por consiguiente, los organismos internacionales que tienen responsabilidades sobre aspectos como la seguridad de los estados, la protección de la privacidad de las personas, la seguridad de las transacciones y de la información electrónica en general, la normalización de las redes y los aspectos jurídicos, reglamentarios y de control, han adoptado disposiciones que tienen el objetivo común de prevenir los peligros y combatir frontalmente los delitos que se cometen por el uso inapropiado las redes y de la información electrónica.
En zonas como África del Norte, debido al bajo índice de penetración de Internet y el comercio electrónico en la mayoría de los países de esta región, el problema de la seguridad de las redes se plantea a menor escala y el marco reglamentario es prácticamente inexistente.
En África Subsahariana, en el plano reglamentario, la seguridad de las redes no es todavía una preocupación de primer orden para las autoridades locales, que se hallan más concentradas en la instalación de dichas redes que en su protección. El cifrado y la encriptación de los datos se practican todavía poco, por lo que las autoridades ejercen un control restringido.
De modo distinto en América del Norte, los gobiernos intervienen de manera mucho más activa en el campo de la seguridad nacional. En el plano de la oferta, cabe señalar el avance comercial de las técnicas de biometría o de los sistemas que utilizan tarjetas inteligentes. Las últimas soluciones de seguridad que se están diseñando actualmente en América del Norte corresponden a las VPN (Red Privada Virtual) y las redes inalámbricas WLAN. Sin embargo, esta zona se caracteriza por la ausencia de restricciones con respecto a la criptografía y la confidencialidad de las comunicaciones.
En América Latina, la seguridad de las redes de comunicaciones es una preocupación secundaria en la mayoría de los países de esta zona. La norma internacional ISO/CEI 17799, en la que se etiquetan los procedimientos de seguridad de la información, ya ha sido adoptada por algunos órganos encargados de la normalización, aunque su difusión en la región sigue siendo limitada. En lo que se refiere al cifrado, América Latina se caracteriza por un vacío jurídico que permite la libre utilización de estas tecnologías.
Los países de Asia se caracterizan por la ausencia de un marco legislativo sobre la seguridad de las redes. Consumidores y empresas tienen libertad para optar por las soluciones de seguridad que juzguen apropiadas. Con frecuencia, los gobiernos dan ejemplo utilizando sistemas de criptografía de tipo PKI (Public Key Infrastructure), La tecnología PKI permite a los usuarios autentificarse frente a otros usuarios y usar la información de los certificados de identidad (por ejemplo, las claves publicas de otros usuarios) para cifrar y descifrar mensajes, firmar digitalmente información, garantizar el no repudio de un envío, y otros usos.
Cabe destacar que últimamente la demanda en la India se ha orientado hacia sistemas más sofisticados, tales como los servicios de detección de intrusos, la gestión del contenido, la identificación, el filtrado URL, los servicios de asesoramiento en materia de seguridad, los sistemas de criptografía que comprenden las PKI y redes privadas virtuales (VPN).
La mayoría de los gobiernos europeos han tomado conciencia de la importancia que reviste la seguridad de las infraestructuras de telecomunicaciones. La disponibilidad e integridad de las redes están básicamente garantizadas por las normas impuestas a los operadores de telecomunicaciones en el marco de las licencias concedidas. Son muchos los países que han instalado o están instalando redes privadas destinadas a las fuerzas de policía y protección civil. Los Estados Miembros de la Unión Europea ya utilizan habitualmente la criptografía. Los principales desafíos son la seguridad de las comunicaciones móviles y el paso al protocolo IPv6.
El uso de los sistemas de cifrado sigue siendo relativamente libre en Oriente Medio. Los operadores nacionales de telecomunicaciones, a menudo en régimen de monopolio, administran las comunicaciones electrónicas por un sistema de filtrado. Las empresas apenas están comenzando a tomar conciencia de la importancia de la seguridad de sus comunicaciones en un momento en que el comercio electrónico hace su aparición en Oriente Medio. Por consiguiente, los organismos internacionales que tienen responsabilidades sobre aspectos como la seguridad de los estados, la protección de la privacidad de las personas, la seguridad de las transacciones y de la información electrónica en general, la normalización de las redes y los aspectos jurídicos, reglamentarios y de control, han adoptado disposiciones que tienen el objetivo común de prevenir los peligros y combatir frontalmente los delitos que se cometen por el uso inapropiado las redes y de la información electrónica.
2.- ¿Cuál es el desarrollo histórico del ámbito seleccionado?
A. Incidentes de seguridad informática
• En el mundo de hoy cada vez hay más vulnerabilidades cibernéticas.
• El mejor ejemplo son los ataques cibernéticos que sufrieron varias páginas del gobierno colombiano en protesta por la ley “Lleras”.
• A nivel internacional, el mayor ataque cibernético fue el sufrido por la infraestructura crítica (Bancos, sector público) en Estonia en el 2007, ocasionando que este país pidiera la intervención de la OTAN.
• Por otra parte, las empresas del sector privado cada vez sufren más ataques cibernéticos y según un estudio realizado por la multinacional Symantec, éstos les cuestan en promedio unos 2 millones de USD al año.
• En Colombia, durante el 2009, se atendieron 590 delitos informáticos. En el 2010 la cifra ascendió a 988.
B. Normatividad Internacional
Convenio sobre Ciberdelincuencia del Consejo de Europa – CCC (conocido como en convenio sobre cibercriminalidad de Budapest): El objetivo principal del convenio es la adopción de una legislación que facilite la prevención de las conductas delictivas y contribuya con herramientas eficientes en materia penal que permitan detectar, investigar y sancionar las conductas antijurídicas.
Resolución AG/RES 2004 (XXXIV-O/04) de la Asamblea General de la Organización de los Estados Americanos: Se fija una estrategia integral para combatir las amenazas a la seguridad cibernética y se crea la Red Hemisférica de Equipos Nacionales de Respuesta a Incidentes de Seguridad de Computadores – CSIRT Asignado al Comité Interamericano Contra el Terrorismo – CICTE.
Decisión 587 de la Comunidad Andina, adoptada el 10 de julio de 2004: Por la cual se establecen los lineamientos de la Política de Seguridad Externa Común Andina.
Consenso en materia de ciberseguridad de la Unión Internacional de Telecomunicaciones: Busca la promoción del examen de los conceptos internacionales pertinentes encaminados a fortalecer la seguridad de los sistemas mundiales de información y telecomunicaciones.
Resolución 64/25 “Los avances en la esfera de la información y las telecomunicaciones en el contexto de la seguridad internacional” Asamblea General de las Naciones Unidas. (2010) : La Asamblea General exhorta a los Estados miembros a seguir promoviendo el examen multilateral de las amenazas reales y potenciales en el ámbito de la seguridad de la información y de posibles medidas para limitar las amenazas que surjan en ese ámbito, de manera compatible con la necesidad de preservar la libre circulación de información.
C. Instancias Internacionales
En la región los únicos países que no cuentan con un organismo (Cert - Centro de Respuesta a Emergencias Cibernéticas) para atender los ataques cibernéticos son Colombia, Perú y Ecuador.
D. Normatividad Nacional
1º En Colombia se han hecho esfuerzos por regular el tema de la seguridad de la información. Se destacan las siguientes leyes:
- Ley 527 de 1999 (Ley de comercio electrónico)
- Ley 1341 de 2009 (Ley de TIC’s)
- Ley 1273 de 2009 (penaliza delito informático y vela por la protección de los datos)
- Resolución CRC 2258 de 2009 (protege al usuario de servicios de comunicaciones)
Pese a este esfuerzo nuestro marco jurídico debe ser fortalecido.
2º Varias entidades gubernamentales han venido redactando documentos de diagnóstico para concienciar sobre la importancia de este tema.
• En el mundo de hoy cada vez hay más vulnerabilidades cibernéticas.
• El mejor ejemplo son los ataques cibernéticos que sufrieron varias páginas del gobierno colombiano en protesta por la ley “Lleras”.
• A nivel internacional, el mayor ataque cibernético fue el sufrido por la infraestructura crítica (Bancos, sector público) en Estonia en el 2007, ocasionando que este país pidiera la intervención de la OTAN.
• Por otra parte, las empresas del sector privado cada vez sufren más ataques cibernéticos y según un estudio realizado por la multinacional Symantec, éstos les cuestan en promedio unos 2 millones de USD al año.
• En Colombia, durante el 2009, se atendieron 590 delitos informáticos. En el 2010 la cifra ascendió a 988.
B. Normatividad Internacional
Convenio sobre Ciberdelincuencia del Consejo de Europa – CCC (conocido como en convenio sobre cibercriminalidad de Budapest): El objetivo principal del convenio es la adopción de una legislación que facilite la prevención de las conductas delictivas y contribuya con herramientas eficientes en materia penal que permitan detectar, investigar y sancionar las conductas antijurídicas.
Resolución AG/RES 2004 (XXXIV-O/04) de la Asamblea General de la Organización de los Estados Americanos: Se fija una estrategia integral para combatir las amenazas a la seguridad cibernética y se crea la Red Hemisférica de Equipos Nacionales de Respuesta a Incidentes de Seguridad de Computadores – CSIRT Asignado al Comité Interamericano Contra el Terrorismo – CICTE.
Decisión 587 de la Comunidad Andina, adoptada el 10 de julio de 2004: Por la cual se establecen los lineamientos de la Política de Seguridad Externa Común Andina.
Consenso en materia de ciberseguridad de la Unión Internacional de Telecomunicaciones: Busca la promoción del examen de los conceptos internacionales pertinentes encaminados a fortalecer la seguridad de los sistemas mundiales de información y telecomunicaciones.
Resolución 64/25 “Los avances en la esfera de la información y las telecomunicaciones en el contexto de la seguridad internacional” Asamblea General de las Naciones Unidas. (2010) : La Asamblea General exhorta a los Estados miembros a seguir promoviendo el examen multilateral de las amenazas reales y potenciales en el ámbito de la seguridad de la información y de posibles medidas para limitar las amenazas que surjan en ese ámbito, de manera compatible con la necesidad de preservar la libre circulación de información.
C. Instancias Internacionales
En la región los únicos países que no cuentan con un organismo (Cert - Centro de Respuesta a Emergencias Cibernéticas) para atender los ataques cibernéticos son Colombia, Perú y Ecuador.
D. Normatividad Nacional
1º En Colombia se han hecho esfuerzos por regular el tema de la seguridad de la información. Se destacan las siguientes leyes:
- Ley 527 de 1999 (Ley de comercio electrónico)
- Ley 1341 de 2009 (Ley de TIC’s)
- Ley 1273 de 2009 (penaliza delito informático y vela por la protección de los datos)
- Resolución CRC 2258 de 2009 (protege al usuario de servicios de comunicaciones)
Pese a este esfuerzo nuestro marco jurídico debe ser fortalecido.
2º Varias entidades gubernamentales han venido redactando documentos de diagnóstico para concienciar sobre la importancia de este tema.
1.- ¿Qué variables permiten conocer el desarrollo y comportamiento del ámbito seleccionado?
La utilización de las TIC debe ser fiable y segura para generalizar su uso y lograr una mayor confianza de los usuarios. Para ello, es necesario en materia de seguridad informática tener en cuenta las siguientes variables:
• Protección de la confidencialidad de los datos y los intereses de los consumidores.
• Fiabilidad de las transacciones electrónicas y el comercio en línea, e instaurar el control de los mismos.
• Elaboración de normas técnicas mundiales y regionales que faciliten la instalación y utilización de las TIC.
• Mejoramiento de la calidad de las redes mundiales y regionales, así como mantener la interconexión y el interfuncionamiento de las mismas.
• Refuerzo de la cooperación internacional para luchar contra la ciberdelincuencia.
• Creación de mecanismos apropiados que den a conocer la importancia de la seguridad de las redes de información y comunicación y de los recursos de que dispone la comunidad internacional en este ámbito.
• Análisis de las amenazas (reales y potenciales) que se ciernen en la seguridad de estas redes, sobre todo en lo que respecta a la piratería y los virus informáticos en Internet, y estudiar los métodos que permitan poner fin a los mismos.
• Mejoramiento los intercambios de información técnica y la cooperación internacional en el ámbito de la seguridad de las redes de información y comunicación.
A nivel internacional la UIT plantea un modelo de capas que permite identificar los estados de seguridad en una región, país o empresa tal como se puede ver en la siguiente gráfica:
Capa Gestor de Red:
La primera capa de gestor de la red será el recurso más importante de la organización para su seguridad. El gasto adicional anual en un buen gestor de red es 100 veces mejor que adquirir un cortafuego5 o Firewall costoso. Los buenos gestores de red conocen los sistemas operativos con los que trabajan y saben cómo proteger cada máquina de su red autorizando únicamente los puertos y los procesos que realmente son necesarios.
Capa Seguridad Física
Cada atacante en el mundo sabe que la manera más sencilla para acceder a una red es desde el interior. La seguridad física incluye aspectos que van desde permitir que únicamente ciertas personas (administradores del sistema) accedan a las consolas, hasta políticas relativas a qué tipo de información se puede dar al público en relación con su red. Las buenas políticas sobre utilización aceptable, contraseñas e instalación de programas informáticos ayudan considerablemente a controlar el acceso a su red.
Capa de Supervisión
El ojo humano es el mejor dispositivo para detectar patrones en los ficheros de registro. Hay diversos programas informáticos muy eficientes que permiten supervisar los ficheros de registro y aunque estos programas pueden ser muy útiles, el gestor del sistema debería revisar los registros de sus máquinas principales todos los días.
Capa Programas Informáticos para Telecomunicaciones
La cuarta capa es el programa informático para telecomunicaciones. Se debe evaluar cada programa informático que se instala en los servidores, teniendo en mente la seguridad. El gestor del sistema debe saber, por ejemplo, a cuáles puertos TCP y UDP estará vinculado el programa informático, con cuáles cuentas de usuario interactúan el mismo y los permisos de directorio que necesita.
Capa de Herramientas de Seguridad
La quinta capa son las herramientas de seguridad. Después de que alguien ha establecido buenas políticas y prácticas para las cuatro capas anteriores, es necesario comenzar a analizar los cortafuegos, los programas informáticos de detección de intrusión y los mandatarios (proxies).
Capa de Seguridad
La sexta capa es la auditoria de seguridad. La seguridad de la red es algo que evoluciona. Cada día, hay alguien en algún lugar que está tratando de encontrar un nuevo método para utilizarlo en perjuicio de otra persona. Es importante intentar regularmente penetrar en nuestra propia red. Un proceso de auditoría debe probar cada aspecto de la seguridad de la red.
• Protección de la confidencialidad de los datos y los intereses de los consumidores.
• Fiabilidad de las transacciones electrónicas y el comercio en línea, e instaurar el control de los mismos.
• Elaboración de normas técnicas mundiales y regionales que faciliten la instalación y utilización de las TIC.
• Mejoramiento de la calidad de las redes mundiales y regionales, así como mantener la interconexión y el interfuncionamiento de las mismas.
• Refuerzo de la cooperación internacional para luchar contra la ciberdelincuencia.
• Creación de mecanismos apropiados que den a conocer la importancia de la seguridad de las redes de información y comunicación y de los recursos de que dispone la comunidad internacional en este ámbito.
• Análisis de las amenazas (reales y potenciales) que se ciernen en la seguridad de estas redes, sobre todo en lo que respecta a la piratería y los virus informáticos en Internet, y estudiar los métodos que permitan poner fin a los mismos.
• Mejoramiento los intercambios de información técnica y la cooperación internacional en el ámbito de la seguridad de las redes de información y comunicación.
A nivel internacional la UIT plantea un modelo de capas que permite identificar los estados de seguridad en una región, país o empresa tal como se puede ver en la siguiente gráfica:
La primera capa de gestor de la red será el recurso más importante de la organización para su seguridad. El gasto adicional anual en un buen gestor de red es 100 veces mejor que adquirir un cortafuego5 o Firewall costoso. Los buenos gestores de red conocen los sistemas operativos con los que trabajan y saben cómo proteger cada máquina de su red autorizando únicamente los puertos y los procesos que realmente son necesarios.
Capa Seguridad Física
Cada atacante en el mundo sabe que la manera más sencilla para acceder a una red es desde el interior. La seguridad física incluye aspectos que van desde permitir que únicamente ciertas personas (administradores del sistema) accedan a las consolas, hasta políticas relativas a qué tipo de información se puede dar al público en relación con su red. Las buenas políticas sobre utilización aceptable, contraseñas e instalación de programas informáticos ayudan considerablemente a controlar el acceso a su red.
Capa de Supervisión
El ojo humano es el mejor dispositivo para detectar patrones en los ficheros de registro. Hay diversos programas informáticos muy eficientes que permiten supervisar los ficheros de registro y aunque estos programas pueden ser muy útiles, el gestor del sistema debería revisar los registros de sus máquinas principales todos los días.
Capa Programas Informáticos para Telecomunicaciones
La cuarta capa es el programa informático para telecomunicaciones. Se debe evaluar cada programa informático que se instala en los servidores, teniendo en mente la seguridad. El gestor del sistema debe saber, por ejemplo, a cuáles puertos TCP y UDP estará vinculado el programa informático, con cuáles cuentas de usuario interactúan el mismo y los permisos de directorio que necesita.
Capa de Herramientas de Seguridad
La quinta capa son las herramientas de seguridad. Después de que alguien ha establecido buenas políticas y prácticas para las cuatro capas anteriores, es necesario comenzar a analizar los cortafuegos, los programas informáticos de detección de intrusión y los mandatarios (proxies).
Capa de Seguridad
La sexta capa es la auditoria de seguridad. La seguridad de la red es algo que evoluciona. Cada día, hay alguien en algún lugar que está tratando de encontrar un nuevo método para utilizarlo en perjuicio de otra persona. Es importante intentar regularmente penetrar en nuestra propia red. Un proceso de auditoría debe probar cada aspecto de la seguridad de la red.
jueves, 2 de junio de 2011
3º Organizaciones relacionadas con el ámbito
¿Qué organizaciones están relacionadas con el ámbito seleccionado?
Las siguientes son algunas de las organizaciones relacionadas con la seguridad informática a nivel nacional e internacional:
CCIT
CRC
ACIS
MINTIC
UIT
CRC
ACIS
MINTIC
UIT
¿Cuáles son los objetivos y funciones de dichas organizaciones?
A continuación se describe los objetivos y funciones de cada una de las organizaciones nombradas:
CCIT (CAMARA COLOMBIANA DE INFORMÁTICA Y TECNOLOGÍA): Es una entidad gremial que agrupa a las empresas más importantes del sector de las telecomunicaciones e informática en Colombia. Esta organización tiene 4 objetivos:
• Agrupar a las empresas privadas del sector de las telecomunicaciones e informática.
• Defender sus intereses legítimos y proveerles oportunamente de la información de su interés.
• Ser interlocutor válido ante el estado, medios de comunicación, agremiaciones privadas y la opinión pública.
• Trabajar con el Gobierno Nacional y los demás gremios en todo aquello que propicie el desarrollo de la informática y las telecomunicaciones y el uso de las TIC como factor esencial en el desarrollo económico, social y político de Colombia.
CRC (COMISION DE REGULACION DE COMUNICACIONES): Es una entidad estatal que basados en su profesionalismo, imparcialidad, transparencia y altos estándares de calidad, promueven la competencia y la inversión mediante la construcción de mercados competitivos en el sector de TIC, con el fin de generar condiciones que permitan que la población tenga acceso a la sociedad de la información y se apropie de sus beneficios. Algunas de las funciones que cumple son entre otras:
1. Establecer el régimen de regulación que maximice el bienestar social de los usuarios.
2. Promover y regular la libre competencia para la provisión de redes y servicios de telecomunicaciones, y prevenir conductas desleales y prácticas comerciales restrictivas, mediante regulaciones de carácter general o medidas particulares, pudiendo proponer reglas de comportamiento diferenciales según la posición de los proveedores, previamente se haya determinado la existencia de una falla en el mercado.
3. Expedir toda la regulación de carácter general y particular en las materias relacionadas con el régimen de competencia, los aspectos técnicos y económicos relacionados con la obligación de interconexión y el acceso y uso de instalaciones esenciales, recursos físicos y soportes lógicos necesarios para la interconexión; así como la remuneración por el acceso y uso de redes e infraestructura, precios mayoristas, las condiciones de facturación y recaudo; el régimen de acceso y uso de redes; los parámetros de calidad de los servicios; los criterios de eficiencia del sector y la medición de indicadores sectoriales para avanzar en la sociedad de la información; y en materia de solución de controversias entre los proveedores de redes y servicios de comunicaciones.
4. Regular el acceso y uso de todas las redes y el acceso a los mercados de los servicios de telecomunicaciones, con excepción de las redes destinadas principalmente para servicios de televisión radiodifundida y radiodifusión sonora, hacia una regulación por mercados.
ACIS (ASOCIACIÓN COLOMBIANA DE INGENIEROS DE SISTEMAS): La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Con el transcurrir de los años, así como el panorama profesional para el área de los sistemas ha ido evolucionando, ACIS ha experimentado un desarrollo paralelo. Es el gremio de los Ingenieros de Sistemas participante en el desarrollo nacional.
Hoy en día, además de organizar eventos académicos de gran importancia a nivel nacional en el área de informática, la Asociación Colombiana de Ingenieros de Sistemas ha multiplicado sus campos de acción involucrándose en la mayoría de los debates sobre el desarrollo tecnológico de Colombia. ACIS se ha constituido en los últimos años como el gestor de eventos de gran reconocimiento que buscan cubrir las diferentes áreas tecnológicas de la Ingeniería de Sistemas como son el Salón de Informática, las Jornadas de Gerencia de Proyectos de TI, las Jornadas de Seguridad Informática, las Jornadas de Telemática, cursos de capacitación, etc.
MINTIC (MINISTERIO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS TELECOMUNICACIONES): El Ministerio de Tecnologías de la Información y las Comunicaciones, según la Ley 1341 o Ley de TIC, es la entidad que se encarga de diseñar, adoptar y promover las políticas, planes, programas y proyectos del sector de las Tecnologías de la Información y las Comunicaciones.
Dentro de sus funciones está incrementar y facilitar el acceso de todos los habitantes del territorio nacional a las Tecnologías de la Información y las Comunicaciones y a sus beneficios.
UIT (UNION INTERNACIONAL DE LAS TELECOMUNICACIONES): Es el organismo especializado de la Organización de las Naciones Unidas encargado de regular las telecomunicaciones a nivel internacional entre las distintas administraciones y empresas operadoras.
Sus objetivos son: promover el desarrollo, la explotación eficaz, el empleo y la disponibilidad general de las instalaciones y servicios de telecomunicaciones; promover el desarrollo de las telecomunicaciones en los países en desarrollo y la extensión de los beneficios de las telecomunicaciones a todos los habitantes del planeta; y promover la adopción de un enfoque más amplio de las cuestiones de las telecomunicaciones en la economía y la sociedad mundiales de la información.
¿Cuál es el público al que se enfocan dichas organizaciones?
Algunas de estas organizaciones se enfocan principalmente a empresas privadas del sector, para gestionar los intereses del gremio, tal como la ACIS y la CCIT. Pero las empresas estatales tales como la CRC, MINTIC y la UIT, se enfocan en el desarrollo de las TIC desde los sectores residenciales, tanto rurales y urbanos, hasta empresas del sector Pyme y Corporativo.
¿Qué organizaciones regulan el ámbito seleccionado?
Actualmente en Colombia la CRC y MINTIC se encargan de regular y legislar acerca de entre otros ambientes de las telecomunicaciones, sobre la seguridad informática o ciberseguridad.
¿Cómo es la tendencia de regulación en el ámbito seleccionado?
En Colombia se han hecho esfuerzos por regular el tema de la seguridad de la información. Se destacan las siguientes leyes:
• Ley 527 de 1999 (Ley de comercio electrónico)
• Ley 1341 de 2009 (Ley de TIC’s)
• Ley 1273 de 2009 (penaliza delito informático y vela por la protección de los datos)
• Ley 1273 de 2009 (penaliza delito informático y vela por la protección de los datos)
• Resolución CRC 2258 de 2009 (protege al usuario de servicios de comunicaciones)
De acuerdo al tipo de regulación en la seguridad se hace las siguientes síntesis de las leyes anteriores:
1º Ley 527 de 1999 (Ley de comercio electrónico): Por medio del cual se define y reglamenta el acceso y usos de los mensajes de datos del comercio electrónico y de las firmas digitales y se establece las entidades de la certificación y se dictan otras disposiciones.
Los asuntos regulados por la ley 527 son:
• Aplicaciones de los requisitos jurídicos de los mensajes de datos
• Comunicación de los mensajes de datos
• Comercio electrónico en materia de transporte de mercancías.
• Firmas digitales
• Entidades de certificación
• Suscriptores de firmas digitales
• Funciones de la superintendencia de industria y comercio
La finalidad de la ley 527 1999 es la de dotar de validez legal a la información electrónica, la cual es poco aplicada en ámbitos privados y públicos, quienes a su vez invierten cada día más recursos en tecnologías de información y comunicación para apoyar su gestión.
Esta es una normatividad proactiva para asegurar y proteger jurídicamente la información digital.
2º Ley 1341 de 2009 (Ley de TIC’s): más conocida como Ley TIC, se constituye no sólo en un importante avance del proceso de reformas normativas que ha liderado el Gobierno Nacional para el sector de Tecnologías de la Información y las Comunicaciones (TIC), sino también una respuesta necesaria frente a la realidad del mismo, en ambiente de convergencia y competencia. Dentro de este contexto, el rol del organismo regulador técnico sectorial a efectos de la adecuada implementación del nuevo marco legal resulta fundamental. Mediante el fortalecimiento de sus competencias materiales y de la extensión del campo de acción de su acción regulatoria, la Comisión de Regulación de Comunicaciones (CRC), antes Comisión de Regulación de Telecomunicaciones (CRT), tiene a su cargo el desarrollo de los diferentes proyectos e iniciativas orientadas al establecimiento del marco regulatorio que desarrolle integralmente tanto la visión y los principios orientadores contenidos en la Ley como las competencias materiales y los mandatos legales que el legislador le ha otorgado directamente. En este sentido, la regulación que expida la CRC debe necesariamente garantizar un adecuado equilibrio entre los principios que rigen el nuevo contexto legal, a partir de los pilares que siempre han fundado su actuación, esto es la promoción de la competencia y la inversión así como la protección de los derechos de los usuarios.
3º Ley 1273 de 2009 (penaliza delito informático y vela por la protección de los datos):
Por medio de la cual se modifica el código final se crea un nuevo bien jurídico titulado - denominado de la protección de la información y de los datos y se preservan integralmente, los sistemas que utilicen la tecnología de la información y las comunicaciones, entre otras disposiciones.
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos:
1. Acceso abusivo a un sistema informático
2. Obstaculización ilegítima de sistema informático o red de telecomunicación
3. Interceptación de datos informáticos
4. Daño Informático
5. Uso de software malicioso
6. Violación de datos personales
7. Suplantación de sitios web para capturar datos personales.
1. Acceso abusivo a un sistema informático
2. Obstaculización ilegítima de sistema informático o red de telecomunicación
3. Interceptación de datos informáticos
4. Daño Informático
5. Uso de software malicioso
6. Violación de datos personales
7. Suplantación de sitios web para capturar datos personales.
De los atentados informáticos y otras infracciones
1. Hurto por medios informáticos y semejantes
2. Transferencia no consentida de activos
3. Circunstancias de mayor punibilidad
1. Hurto por medios informáticos y semejantes
2. Transferencia no consentida de activos
3. Circunstancias de mayor punibilidad
En el contexto actual de nuestro país y del mundo de la tecnología informática se encuentra presente en muchos aspectos de la vida cotidiana; tales como: transacciones comerciales, procesos mecánicos industriales y laborales, domesticas.
Constantemente nos vemos expuestos a ser víctimas de ataques informáticos.
En esta ley están las acciones por parte del gobierno colombiano contra este flagelo, los resultados informáticos de la policía, sus procedimientos a si como la puesta en marcha de la ley 1273 de 2009.
Constantemente nos vemos expuestos a ser víctimas de ataques informáticos.
En esta ley están las acciones por parte del gobierno colombiano contra este flagelo, los resultados informáticos de la policía, sus procedimientos a si como la puesta en marcha de la ley 1273 de 2009.
Gracia a los avances de la tecnología se ha logrado la sistematización de los procesos, obteniendo con esto una alta capacidad de producción a nivel industrial expansión de mercados transacciones de dineros por internet, la posibilidad de tener diversos clientes y proveedores, a nivel mundial a si como a establecer nuevas amistades. El poder de la tecnología informática puede causar mucho daño a usuarios desprevenidos e ingenuos. La ley 1273 del 2009 tipifica los delitos informáticos con el fin de penalizar a los infractores.
4º Resolución CRC 2258 de 2009 (protege al usuario de servicios de comunicaciones):
Por la cual se adoptó el Régimen de Protección de los Derechos de los Suscriptores y/o Usuarios de los Servicios de Telecomunicaciones, establecieron las características generales que se deben cumplir para la seguridad de los datos e informaciones y la inviolabilidad de las comunicaciones. Por la cual se definen los indicadores de calidad para los servicios de telecomunicaciones y se dictan otras disposiciones, establecieron las características generales para garantizar la seguridad de la red y la integridad de los servicios.
¿Considera que las organizaciones seleccionadas están relacionadas con la línea de acción escogida? ¿Por qué?
De acuerdo con las organizaciones nombradas anteriormente estas se relacionan con la línea de acción escogida, debido a que para generar la confianza y la seguridad en el uso de TIC’s a nivel nacional e internacional y cumplir con los objetivos se debe tener en cuenta que los gobiernos, en cooperación con el sector privado, deben prevenir, detectar y responder a la ciberdelincuencia y el mal uso de las TIC, definiendo directrices que tengan en cuenta los esfuerzos existentes en estas zonas, considerando la legislación que permite la investigación y persecución eficaces de mal uso, la promoción de esfuerzos efectivos de asistencia mutua; el fortalecimiento del apoyo institucional a nivel internacional para la prevención, detección y recuperación de estos incidentes, y fomentar la educación y la sensibilización además de seguir fortaleciendo el marco de confianza y seguridad con iniciativas, con iniciativas o directrices con respecto a los derechos a la privacidad, los datos y protección de los consumidores.
Por tal motivo cabe destacar que el tema de ciberseguridad y ciberdefensa fue incluido en el Plan Nacional de Desarrollo 2010-2014 “Prosperidad para Todos”, como parte del Plan Vive Digital liderado por el Ministerio de Tecnologías de la Información y las Comunicaciones (CRC), cuyo fin es impulsar la masificación del uso de internet, para dar un salto hacia la prosperidad democrática. Esto hace que estemos ante un proyecto intersectorial estratégico.
¿Cómo están relacionados los dos objetivos de la línea de acción con la seguridad informática?
Para logra confianza y seguridad en el uso de las TIC, se debe fortalecer los procesos de calidad en seguridad informática o ciberseguridad. Es por eso que la UIT definen 5 pilares relevantes en los cuales se deben centrar los gobiernos y las entidades privadas, para lograr los objetivos comunes:
Teniendo en cuenta estos pilares, se encaminan los esfuerzos en el cumplimiento de los objetivos propuestos anteriormente, y se visualiza el uso de las TIC en sectores donde aún es muy limitado su uso, tales como en las pymes, y los estratos 1,2 y 3.
Más información: http://www.itu.int/net/itunews/issues/2010/10/39-es.aspx
Medidas legalesEl establecimiento de la infraestructura legal apropiada es una componente integral de cualquier estrategia nacional sobre ciberseguridad. la Oficina de Desarrollo de las Telecomunicaciones de la UIT ha ayudado a los Estados Miembros a entender cabalmente los aspectos legales de la ciberseguridad con el fin de armonizar sus marcos legales.
Medidas técnicas y de procedimientoEl trabajo de la UIT sobre seguridad abarca una amplia gama de actividades e incluye desde ataques a la red, denegación de servicio, robo de identidades, escuchas ilegales, telebiometría para autenticación hasta la seguridad en las comunicaciones de emergencia.
Estructuras institucionalesLa falta de estructuras institucionales para el tratamiento de ciberincidentes (ataques, fraude, destrucción de información, diseminación de contenidos inadecuados) es un verdadero problema para dar una respuesta adecuada a las ciberamenazas. La BDT, en asociación con IMPACT, está desplegando medios para la creación de capacidades a nivel nacional y regional. En este sentido, se realiza una labor de coordinación con varios Estados Miembros de la UIT, centrándose en la ayuda para el establecimiento de equipos nacionales encargados de los incidentes informáticos (CIRT).
Creación de capacidadesLas personas constituyen el eslabón más débil. Uno de los desafíos fundamentales de la ciberseguridad es educar al usuario final. Entender y ser consciente de que los peligros potenciales son factores esenciales para que el usuario final se beneficie de las TIC de forma segura.
Cooperación internacionalInternet y las TIC han permitido una interconexión entre países que anteriormente no era posible. Los países no pueden cerrar fácilmente sus fronteras a amenazas entrantes y tampoco puede frenar las que proceden de su interior. Aunque los intentos por solucionar estos desafíos a nivel nacional e internacional son importantes, las soluciones deben estar armonizadas más allá de las fronteras nacionales ya que la ciberseguridad es tan global y tiene un alcance similar al de Internet. Ello exige necesariamente la cooperación internacional, no sólo a nivel gubernamental sino también entre la industria, organizaciones no gubernamentales e internacionales.
¿Por qué es importante para Colombia desarrollar la línea de acción anterior?
Internet se ha convertido en parte integral de las sociedades modernas y ha puesto al usuario final en la vanguardia de la comunicación. Cualquier tipo de información está disponible y además en numerosos formatos. Sin embargo, ¿cuánta de dicha información es auténtica? ¿es la información inexacta, engañosa? o incluso peor, ¿se trata de contenidos maliciosos? El fraude, el robo y la falsificación existen en línea al igual que fuera de ella. Para que los usuarios se beneficien de todas las ventajas de Internet, es de la máxima importancia que exista confianza en la infraestructura.
Por todo ello, dirigentes del mundo entero designaron a la UIT como organismo que debe liderar la coordinación de los esfuerzos internacionales destinados a promover la ciberseguridad. La UIT fue nombrada facilitador único de la Línea de Acción C5 relativa a la creación de confianza y seguridad en la utilización de las tecnologías de la información y la comunicación (TIC). En consecuencia, se ha instado a los Miembros de la UIT a que ésta asuma un papel más relevante en aspectos de ciberseguridad a través de Resoluciones, Decisiones y Recomendaciones. Desde 2006, la UIT ha realizado una amplia gama de actividades para que las comunicaciones sobre las redes de telecomunicaciones públicas sean seguras, fiables y amigables.
Por todo ello, dirigentes del mundo entero designaron a la UIT como organismo que debe liderar la coordinación de los esfuerzos internacionales destinados a promover la ciberseguridad. La UIT fue nombrada facilitador único de la Línea de Acción C5 relativa a la creación de confianza y seguridad en la utilización de las tecnologías de la información y la comunicación (TIC). En consecuencia, se ha instado a los Miembros de la UIT a que ésta asuma un papel más relevante en aspectos de ciberseguridad a través de Resoluciones, Decisiones y Recomendaciones. Desde 2006, la UIT ha realizado una amplia gama de actividades para que las comunicaciones sobre las redes de telecomunicaciones públicas sean seguras, fiables y amigables.
2º Línea de acción planteadas y desarrolladas desde el 2003 en la Cumbre Mundial de Sociedad de la Información.(http: //www.itu.int/wsis/docs/geneva/official/poa-es.html) relacionada con la seguridad informática, y objetivos.
C5. Building confidence and security in the use of ICTs
Confidence and security are among the main pillars of the Information Society.
1. Governments, in cooperation with the private sector, should prevent, detect and respond to cyber-crime and misuse of ICTs by: developing guidelines that take into account ongoing efforts in these areas; considering legislation that allows for effective investigation and prosecution of misuse; promoting effective mutual assistance efforts; strengthening institutional support at the international level for preventing, detecting and recovering from such incidents; and encouraging education and raising awareness.
2. Further strengthen the trust and security framework with complementary and mutually reinforcing initiatives in the fields of security in the use of ICTs, with initiatives or guidelines with respect to rights to privacy, data and consumer protection.
C5. Fomento de la confianza y la seguridad en el uso de las TIC
La confianza y la seguridad son algunos de los principales pilares de la Sociedad de la Información.
1. Los gobiernos, en cooperación con el sector privado, deben prevenir, detectar y responder a la ciberdelincuencia y el mal uso de las TIC, definiendo directrices que tengan en cuenta los esfuerzos existentes en estas zonas, considerando la legislación que permite la investigación y persecución eficaces de mal uso, la promoción de esfuerzos efectivos de asistencia mutua; el fortalecimiento del apoyo institucional a nivel internacional para la prevención, detección y recuperación de estos incidentes, y fomentar la educación y la sensibilización.
2. Seguir fortaleciendo el marco de confianza y seguridad con iniciativas complementarias y se refuerzan mutuamente en los ámbitos de la seguridad en el uso de las TIC, con iniciativas o directrices con respecto a los derechos a la privacidad, los datos y protección de los consumidores.
Confidence and security are among the main pillars of the Information Society.
1. Governments, in cooperation with the private sector, should prevent, detect and respond to cyber-crime and misuse of ICTs by: developing guidelines that take into account ongoing efforts in these areas; considering legislation that allows for effective investigation and prosecution of misuse; promoting effective mutual assistance efforts; strengthening institutional support at the international level for preventing, detecting and recovering from such incidents; and encouraging education and raising awareness.
2. Further strengthen the trust and security framework with complementary and mutually reinforcing initiatives in the fields of security in the use of ICTs, with initiatives or guidelines with respect to rights to privacy, data and consumer protection.
C5. Fomento de la confianza y la seguridad en el uso de las TIC
La confianza y la seguridad son algunos de los principales pilares de la Sociedad de la Información.
1. Los gobiernos, en cooperación con el sector privado, deben prevenir, detectar y responder a la ciberdelincuencia y el mal uso de las TIC, definiendo directrices que tengan en cuenta los esfuerzos existentes en estas zonas, considerando la legislación que permite la investigación y persecución eficaces de mal uso, la promoción de esfuerzos efectivos de asistencia mutua; el fortalecimiento del apoyo institucional a nivel internacional para la prevención, detección y recuperación de estos incidentes, y fomentar la educación y la sensibilización.
2. Seguir fortaleciendo el marco de confianza y seguridad con iniciativas complementarias y se refuerzan mutuamente en los ámbitos de la seguridad en el uso de las TIC, con iniciativas o directrices con respecto a los derechos a la privacidad, los datos y protección de los consumidores.
¿Por qué se considera importante el ámbito de las telecomunicaciones seleccionado?
IMPORTANCIA DE LA SEGURIDAD INFORMATICA
Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.
El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.AMENAZAS Y VULNERABIILDADES
Por vulnerabilidad entendemos la exposición latente a un riesgo. En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos.
Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no en la PC.Es por la existencia de un número importante de amenazas y riesgos, que la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.
Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.
Las políticas deberán basarse en los siguientes pasos:• Identificar y seleccionar lo que se debe proteger (información sensible)
• Establecer niveles de prioridad e importancia sobre esta información
• Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles
• Identificar las amenazas, así como los niveles de vulnerabilidad de la red
• Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla
• Implementar respuesta a incidentes y recuperación para disminuir el impacto
Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente habremos identificado y definido los sistemas y datos a proteger.
Es importante tomar en consideración, que las amenazas no disminuirán y las vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la información en riesgo.
Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administración del riesgo implica una protección multidimensional (firewalls, autenticación, \ antivirus, controles, políticas, procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente tecnología.
Un esquema de seguridad empresarial contempla la seguridad física y lógica de una compañía. La primera se refiere a la protección contra robo o daño al personal, equipo e instalaciones de la empresa; y la segunda está relacionada con el tema que hoy nos ocupa: la protección a la información, a través de una arquitectura de seguridad eficiente.Esta última debe ser proactiva, integrar una serie de iniciativas para actuar en forma rápida y eficaz ante incidentes y recuperación de información, así como elementos para generar una cultura de seguridad dentro de la organización.
Desde el punto de vista de soluciones tecnológicas, una arquitectura de seguridad lógica puede conformarse (dependiendo de los niveles de seguridad) por: software antivirus, herramientas de respaldo, de monitoreo de la infraestructura de red y enlaces de telecomunicaciones, firewalls, soluciones de autentificación y servicios de seguridad en línea; que informen al usuario sobre los virus más peligrosos y, a través de Internet, enviar la vacuna a todos los nodos de la red empresarial, por mencionar un ejemplo.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.
Más información:
1º Ámbito e importancia de las telecomunicaciones.
SEGURIDAD INFORMATICA
Garantizar que los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos, es decir, que no estén dañados o alterados por circunstancias o factores externos, es una definición útil para conocer lo que implica el concepto de seguridad informática.
En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.
En este sentido, es la información el elemento principal a proteger, resguardar y recuperar dentro de las redes empresariales.
Suscribirse a:
Entradas (Atom)