Etica Y Seguridad De Un Sistema De Informacion

Ventajas y desventajas Ética y Seguridad de Sistemas de información.

Ventajas de la ética y seguridad de los sistemas de información

Controles de acceso

Cumplimiento del deber ser y hacer

Privacidad, integridad y operatividad del usuario

Usuarios más productivos y moralmente estables

Controles de guías o políticas que sirven de parámetros para los usuarios.

Desventajas de la ética y seguridad de los sistemas de información

Fraudes o delitos informáticos

Errores humanos en el usos del sistemas

Cambios constates y Resistencias al cambio

Falta de cultura informática

Inseguridad de los usuarios.

La administración de recursos informáticos tiene que ver con la forma en que se planean, organizan, dirigen y controlan los bienes informáticos, de tal suerte que todos los costos involucrados (adquisición, mantenimiento, capacitación, uso,

infraestructura, etc.) sean optimizados.

Las nuevas tecnologías constituyen hoy en día uno de los ejes del desarrollo de la humanidad, pero también es cierto que a veces se confunden dichos avances con el uso o abuso que se hace de ellos. La informática, debe estar sustentada en lo ético, produciendo una escala de valores de hechos y formas de comunicación dentro de una sociedad cambiante, los flujos de información, han trastocado los valores naturales, y actúan en forma deficitaria cuando deben responder a los principios éticos y morales naturales de la vida.

La ética, al igual que la informática, es educable, nadie nace sabiendo manejar

una computadora o sabiendo navegar por Internet y mucho menos administrar esos recursos, de la misma forma que no se nace prudente, honesto o justo, se van adquiriendo esos valores en la medida que se conocen y se van poniendo en práctica. El problema es que al ser individuos de costumbres, también es posible acostumbrarse a lo negativo, a desarrollar vicios tales como la imprudencia o la injusticia, o visto de un modo material, a desaprovechar los recursos con que se cuentan.

Controles de acceso

Las leyes sobre el uso indebido de las computadoras ahora son más severas, sin

embargo solo algunos países han legislado en esta materia. Esto trae como consecuencia que la investigación, enjuiciamiento y condena de los transgresores se convierte en un problema jurisdiccional y jurídico. Una vez capturados los delincuentes se tiene que extraditar y eso implica acuerdos internacionales.

Todas las organizaciones manifiestan una gran preocupación de que información

confidencial caiga en manos de personas no autorizadas, de que sus competidores tengan

conocimiento sobre información patentada que pueda perjudicarlos. La seguridad significa guardar "algo seguro ", "algo" que puede ser un objeto, un secreto, un mensaje, una aplicación, un archivo, un sistema o una comunicación interactiva y "seguro" los medios son protegidos desde el acceso, el uso o alteración no autorizada.

Para guardar objetos seguros, es necesario lo siguiente:

_ La autentificación (promesa de identidad): La prevención de suplantaciones,

que se garantice que quién firma un mensaje es realmente quién dice ser.

_ La autorización: Se da permiso a una persona o grupo de personas de poder

realizar ciertas funciones, al resto se le niega el permiso y se les sanciona si las

realizan.

_ La confidencialidad o privacidad: Es el más obvio de los aspectos y se refiere a

que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada.

_ La integridad de datos: Se refiere a la seguridad de que una información no ha

sido alterada, borrada, reordenada, copiada, etc., ya sea durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante

al no poder descifrar un paquete de información y sabiendo que es importante, simplemente lo intercepte y lo borre.

_ La disponibilidad de la información: Se refiere a la seguridad que la información

pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, ya sea por ataque doloso, mala operación accidental, situaciones fortuitas o de fuerza mayor.

_ Controles de acceso: Esto es, quién tiene autorización y quién no, para acceder

a una información determinada. Son los requerimientos básicos para la seguridad que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurando. La importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar niveles más altos de seguridad.

Estos requerimientos básicos no son simplemente requerimientos para el mundo

de la red, sino también para el mundo físico. La autenticación y el asegurar los

objetos es una parte de nuestra vida diaria. La comprensión de los elementos de

seguridad y como ellos trabajan en el mundo físico, puede ayudar para explicar cómo estos requerimientos se encuentran en el mundo de la red y dónde se sitúan las dificultades.

Seguridad contra el delito en las funciones de los sistemas Una estrategia para alcanzar las propiedades de auditabilidad, integridad y controlabilidad es la implantación de controles funcionales para el dominio de cada interfase. Las funciones son descritas en la secuencia en las que son diseñadas dentro de un sistema.

_ Identificación: La función de identificación nos permite establecer como su nombre lo dice, identificadores (nombres, símbolos) para cada usuario y cada recurso del sistema identifica a los

usuarios, hardware, software y demás recursos disponibles para el sistema.

_ Autentificación: Esta función se encarga de reunir evidencias para cumplir con

un determinado nivel de riesgo, para que la exigencia de identidad sea valida, esto puede ser llevado a cabo mediante comparaciones de algo que el individuo sepa, tenga, sea o pueda hacer y que sea factible de ser comparado. Por ejemplo: Algo que él sepa: (contraseña) Un código o palabra que solamente él y el sistema conozcan. Algo que él posea: (foto de identificación) Alguna foto personal que pueda ser comparada con una imagen de la misma persona almacenada en memoria. Algo que él sea: (apariencia física) Una comparación de cuerpo entero en base a un sistema óptico. Algo que él pueda hacer: (su firma) Toda firma posee un estilo único que es susceptible de ser analizado por computadora.

_ Autorización: El único propósito de la función de autorización es establecer quién y qué le esta permitido con respecto a un recurso determinado, esta función generalmente relaciona a un usuario con un recurso a través de ciertas reglas definidas para su autorización. Esto significa que la autorización establece reglas que restringen a los usuarios a llevar acabo solo acciones predefinidas en el recurso accesado, todos los usuarios sin excepción deberán tener una autorización explícita de la gerencia para accesar los recursos. Un ejemplo típico son los permisos que se definen en el sistema operativo UNIX.

Delegación: Para poder mantener y aplicar la función de autorización, es necesario delegar, esta función determina quién y bajo que circunstancias, podrá ejercitar o cambiar las reglas de autorización.

En los pequeños sistemas, esta tarea puede ser llevada a cabo por el administrador de seguridad, en sistemas muy grandes que poseen una compleja estructura de usuarios, recursos, ubicaciones y actividades puede requerir de un sofisticado mecanismo de delegación que les permita el manejo para actualizar las reglas de autorización en tiempos reales para necesidades reales. Muchos de los sistemas que se encuentran actualmente en el mercado están diseñados para que solamente el operador designado o controlado pueda cambiar identificadores de operación.

_ Seguimiento: Provee registros escritos del uso de los recursos del sistema y de

todas las actividades significativas, ofrece beneficios mayores al permitir reconstruir información, hacer respaldos y recuperaciones, puntualizar la contabilidad, seguir pistas e identificaciones, ganar visibilidad y ver que ésta sucediendo. Los sistemas nunca deberían ser diseñados sin tener la capacidad

de hacer seguimiento (quién y qué capturó, donde, porqué y cómo), es la manera más efectiva para monitorear la operación, objetivos, reglas y estándares de ejecución.

_ Reconocimiento: Es necesario que alguien revise el seguimiento, monitoreé las

variaciones de actividades con respecto al uso, contenido y comportamiento esperado, en realidad lo que se busca con esta función es llegar más allá del seguimiento, informando a la gerencia o jefatura de todo tipo de irregularidades de cualquier comportamiento inesperado, es entonces cuando la jefatura deberá tomar las acciones correctivas pertinentes. Podría confundirse el objetivo de esta función con la de seguimiento, sin embargo, la anterior se limita a la capacidad de registrar las operaciones y ésta última se refiere a las acciones de deslindar responsabilidades y revisar oportunamente aquellos registros con el objeto de preparar las

...