Investigar todo lo relacionado a los siguientes términos:

Medidas de Seguridad Informática

 Medidas Administrativas

Eliminar las amenazas de seguridad online

La seguridad informática se refiere a la protección y el fortalecimiento de los
ordenadores y sistemas basados en Internet contra el acceso no intencionado o
no autorizado, modificaciones, robo y la obliteración.

Muchas empresas pequeñas modernas utilizan la tecnología y herramientas

basadas en la Web para llevar a cabo sus funciones cotidianas. Bien sea para
conferencias de larga distancia, publicidad, compra y venta, investigación,
identificación de nuevos mercados, comunicación con los clientes y
proveedores, e incluso para la realización de transacciones bancarias, Internet y
la nube se han convertido en parte integral del buen funcionamiento de las
pequeñas empresas.

Si bien la malversación física en las oficinas puede ser controlada con el auxilio
de ayudas tecnológicas y cámaras de seguridad de última generación, el mundo
virtual es un asunto diferente. Internet puede ser una bendición, pero también
tiene su parte de riesgos y vulnerabilidades. Junto con los beneficios, hay
muchos riesgos involucrados que están creciendo cada día. Muchas pequeñas
empresas caen presa de ataques cibernéticos debido a las lagunas en sus
medidas de seguridad cibernética.

Se mencionan a continuación algunas medidas de seguridad

informática que toda pequeña empresa debe tener para protegerse de los
peligros de tipo virtual.

1. Instalar un software antivirus confiable

Un buen programa antivirus confiable es un requisito básico de cualquier
sistema de seguridad cibernética. Aparte, el software anti-malware también es
esencial. Trabajan como una frontera final para la defensa de ataques no
deseados, si pasan a través de la red de seguridad de la empresa. Además su
cometido es la detección y eliminación de virus y malware, adware y spyware.
También exploran y filtran descargas y correos electrónicos potencialmente
dañinos.

2. Utilizar contraseñas complejas

Casi todas las aplicaciones basadas en un ordenador y en la Web requieren una
clave para acceder a ellas. Bien se trate de las respuestas a las preguntas de
seguridad o de las contraseñas, hay que asegurarse de crear contraseñas
complejas para que sea difícil para los hackers vulnerarlas.

Para obtener respuestas a preguntas de seguridad, se puede considerar

traducirlas a otro idioma utilizando herramientas de traducción online gratuitas.
Esto puede hacer que sean impredecibles y difíciles de descifrar, y menos
susceptibles a la ingeniería social.

Usar un espacio antes y / o después de las contraseñas también es una buena

idea para deshacerse de los hackers. De esta forma, si escribes tu contraseña,
será segura ya que sólo tu sabes que necesitas un espacio en el frente / final.
El uso de una combinación de guiones superior e inferior también ayuda, aparte
de usar caracteres alfanuméricos y símbolos.

3. Protegerte con Firewall

El Firewall es necesario, ya que ayuda a proteger el tráfico de red – entrante y
saliente. Puede impedir que los hackers ataquen tu red bloqueando ciertos
sitios web. También puede programarse para que el envío de datos de
propiedad y correos electrónicos confidenciales de la red de tu empresa esté
restringido.

4. Instalar software de cifrado

Si gestionas datos relativos a tarjetas de crédito, cuentas bancarias y números
de la seguridad social en una base de datos, tiene sentido tener un programa
de cifrado para mantener los datos seguros cambiando la información del
ordenador a códigos ilegibles.

De esta forma, incluso si se roban los datos, será inútil para el hacker, ya que
no tendrá las claves para descifrar los datos y descifrar la información.

5. Ignorar  los correos electrónicos sospechosos

Hay que habituarse a no abrir nunca ni responder correos electrónicos
de aspecto sospechoso, incluso si parecen ser de un remitente conocido. Si
abres el correo electrónico, no hagas clic en enlaces sospechosos ni descargues
archivos adjuntos. Si lo haces, puedes convertirte en una víctima de robo de
dinero y de identidad online, incluyendo  las «estafas de phishing».

Los correos electrónicos de phishing  son los que parece que proceden de

remitentes fidedignos, como un banco o alguien con quien puedes haber hecho
negocios. A través de ellos, los hackers intentan adquirir tus datos privados y
financieros,  como datos de cuentas bancarias y números de tarjetas de crédito.

Para mayor seguridad, hay que cambiar la contraseña de correo electrónico

cada 60-90 días, además de no usar la misma para diferentes cuentas de email
y no dejarla nunca escrita.

6. Limitar el acceso a datos críticos

En las empresas, el número de personas con acceso a datos críticos debe ser
mínimo, el Director de la empresa y ciertas personas de confianza.

7. Hacer una copia de seguridad regularmente

Cada semana, hay que realizar una copia de seguridad de los datos en un disco
duro externo o en la propia nube, o programar copias de seguridad automáticas
para garantizar que la información se almacene de forma segura.
8. Protección de la red Wi-Fi
Para proteger la red Wi-Fi de infracciones por parte de piratas informáticos, hay
que cambiar el nombre de su punto de acceso inalámbrico o enrutador,
también llamado Identificador de conjunto de servicios (SSI)

9. Portátiles y Smartphones seguros

Los ordenadores portátiles y los smartphones contienen una gran cantidad de
datos valiosos, y esa es también la razón por la que están en un mayor riesgo
de perder datos o de que se roben. La protección de ambos dispositivos implica
encriptación, protección por contraseña y habilitación de la opción de «limpieza
remota».

10. Comunicar Políticas de Seguridad Cibernética a los Empleados

Tener una política escrita de seguridad informática puede no ser
suficiente, tienes que asegurarte de que sus detalles sean comunicados y
entendidos por tus empleados, para que puedan ponerlos en práctica. Esa
es la única manera de hacer efectivas estas políticas. También hay que realizar
la modificación periódica de estas políticas en función de la relevancia de
los contenidos.

 Medidas de Seguridad Física

Seguridad física

Cuando hablamos de seguridad física nos referimos a todos aquellos

mecanismos --generalmente de prevención y detección-- destinados a proteger
físicamente cualquier recurso del sistema; estos recursos son desde un simple
teclado hasta una cinta de backup con toda la información que hay en el
sistema, pasando por la propia CPU de la máquina.

Dependiendo del entorno y los sistemas a proteger esta seguridad será más o
menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

A continuación mencionaremos algunos de los problemas de seguridad física

con los que nos podemos enfrentar y las medidas que podemos tomar para
evitarlos o al menos minimizar su impacto.

Protección del hardware

El hardware es frecuentemente el elemento más caro de todo sistema

informático y por tanto las medidas encaminadas a asegurar su integridad son
una parte importante de la seguridad física de cualquier organización.

Problemas a los que nos enfrentamos:

 Acceso físico

 Desastres naturales
  Alteraciones del entorno

Acceso físico

Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el
resto de medidas de seguridad implantadas se convierten en inútiles.

De hecho, muchos ataques son entonces triviales, como por ejemplo los de
denegación de servicio; si apagamos una máquina que proporciona un servicio
es evidente que nadie podrá utilizarlo.

Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos

podemos copiar los ficheros o robar directamente los discos que los contienen.

Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el

control total del mismo, por ejemplo reiniciándolo con un disco de recuperación
que nos permita cambiar las claves de los usuarios.

Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los

equipos es importante, generalmente si se controla el PC de un usuario
autorizado de la red es mucho más sencillo atacar otros equipos de la misma.

Para evitar todo este tipo de problemas deberemos implantar mecanismos

de prevención (control de acceso a los recursos) y de detección (si un
mecanismo de prevención falla o no existe debemos al menos detectar los
accesos no autorizados cuanto antes).

Para la prevención hay soluciones para todos los gustos y de todos los precios:

 analizadores de retina,

 tarjetas inteligentes,

 videocámaras,

 vigilantes jurados.

En muchos casos es suficiente con controlar el acceso a las salas y cerrar

siempre con llave los despachos o salas donde hay equipos informáticos y no
tener cableadas las tomas de red que estén accesibles.

Para la detección de accesos se emplean medios técnicos, como cámaras de

vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es
suficiente con qué las personas que utilizan los sistemas se conozcan entre si y
sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo
que les resulte sencillo detectar a personas desconocidas o a personas
conocidas que se encuentran en sitios no adecuados.
Desastres naturales

Además de los posibles problemas causados por ataques realizados por

personas, es importante tener en cuenta que también los desastres
naturales pueden tener muy graves consecuencias, sobre todo si no los
contemplamos en nuestra política de seguridad y su implantación.

Algunos desastres naturales a tener en cuenta:

 Terremotos y vibraciones

 Tormentas eléctricas

 Inundaciones y humedad

 Incendios y humos

Los terremotos son el desastre natural menos probable en la mayoría de

organismos ubicados en España, por lo que no se harán grandes inversiones en
prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso
elevado y que son útiles para prevenir problemas causados por pequeñas
vibraciones:

 No situar equipos en sitios altos para evitar caídas,

 No colocar elementos móviles sobre los equipos para evitar que caigan
sobre ellos,

 Separar los equipos de las ventanas para evitar que caigan por ellas o
qué objetos lanzados desde el exterior los dañen,

 Utilizar fijaciones para elementos críticos,

 Colocar los equipos sobre plataformas de goma para que esta absorba
las vibraciones,

Otro desastre natural importante son las tormentas con aparato eléctrico,
especialmente frecuentes en verano, que generan subidas súbitas de tensión
muy superiores a las que pueda generar un problema en la red eléctrica. A
parte de la protección mediante el uso de pararrayos, la única solución a este
tipo de problemas es desconectar los equipos antes de una tormenta (qué por
fortuna suelen ser fácilmente predecibles).
En entornos normales es recomendable que haya un cierto grado de humedad,
ya que en si el ambiente es extremadamente seco hay mucha electricidad
estática. No obstante, tampoco interesa tener un nivel de humedad demasiadoa
elevado, ya que puede producirse condensación en los circuitos integrados que
den origen a un cortocircuito. En general no es necesario emplear ningún tipo
de aparato para controlar la humedad, pero no está de más disponer de
alarmas que nos avisen cuando haya niveles anómalos.

Otro tema distinto son las inundaciones, ya que casi cualquier medio
(máquinas, cintas, routers ...) que entre en contacto con el agua queda
automáticamente inutilizado, bien por el propio líquido o bien por los
cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos
instalar sistemas de detección que apaguen los sistemas si se detecta agua y
corten la corriente en cuanto estén apagados. Hay que indicar que los equipos
deben estar por encima del sistema de detección de agua, sino cuando se
intente parar ya estará mojado.

Por último mencionaremos el fuego y los humos, que en general provendrán

del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos
sistemas de extinción, que aunque pueden dañar los equipos que apaguemos
(aunque actualmente son más o menos inocuos), nos evitarán males mayores.
Además del fuego, también el humo es perjudicial para los equipos (incluso el
del tabaco), al ser un abrasivo que ataca a todos los componentes, por lo que
es recomendable mantenerlo lo más alejado posible de los equipos.

Alteraciones del entorno

En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que
afecten a nuestros sistemas que tendremos que conocer e intentar controlar.

Deberemos contemplar problemas que pueden afectar el régimen de

funcionamiento habitual de las máquinas como la alimentación eléctrica, el
ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.

Electricidad

Quizás los problemas derivados del entorno de trabajo más frecuentes son los
relacionados con el sistema eléctrico que alimenta nuestros equipos;
cortocircuitos, picos de tensión, cortes de flujo ...

Para corregir los problemas con las subidas de tensión podremos instalar tomas
de tierra o filtros reguladores de tensión.

Para los cortes podemos emplear Sistemas de Alimentación

Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo
de corriente constante, evitando las subidas y bajadas de tensión. Estos
equipos disponen de baterias que permiten mantener varios minutos los
aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma
ordenada (generalmente disponen de algún mecanísmo para comunicarse con
los servidores y avisarlos de que ha caido la línea o de que se ha restaurado
después de una caida).

Por último indicar que además de los problemas del sistema eléctrico también
debemos preocuparnos de la corriente estática, que puede dañar los equipos.
Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y
tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté
excesivamente seco, etc.

Ruido eléctrico

El ruido eléctrico suele ser generado por motores o por maquinaria pesada,
pero también puede serlo por otros ordenadores o por multitud de aparatos, y
se transmite a través del espacio o de líneas eléctricas cercanas a nuestra
instalación.

Para prevenir los problemas que puede causar el ruido eléctrico lo más barato
es intentar no situar el hardware cerca de los elementos que pueden causar el
ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o
apantallar las cajas de los equipos.

Temperaturas extremas

No hace falta ser un genio para comprender que las temperaturas extremas, ya
sea un calor excesivo o un frio intenso, perjudican gravemente a todos los
equipos. En general es recomendable que los equipos operen entre 10 y 32
grados Celsius. Para controlar la temperatura emplearemos aparatos de aire
acondicionado.

Protección de los datos

Además proteger el hardware nuestra política de seguridad debe incluir

medidas de protección de los datos, ya que en realidad la mayoría de ataques
tienen como objetivo la obtención de información, no la destrucción del medio
físico que la contiene.

En los puntos siguientes mencionaremos los problemas de seguridad que

afectan a la transmisión y almacenamiento de datos, proponiendo medidas para
reducir el riesgo.

Eavesdropping

La interceptación o eavesdropping, también conocida por ''passive wiretapping''

es un proceso mediante el cual un agente capta información que va dirigida a
él; esta captación puede realizarse por muchísimos medios: sniffing en redes
ethernet o inalámbricas (un dispositivo se pone en modo promiscuo y analiza
todo el tráfico que pasa por la red), capturando radiaciones electromagnéticas
(muy caro, pero permite detectar teclas pulsadas, contenidos de pantallas, ...),
etc.

El problema de este tipo de ataque es que en principio es completamente

pasivo y en general difícil de detectar mientras se produce, de forma que un
atacante puede capturar información privilegiada y claves que puede emplear
para atacar de modo activo.

Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final

la única realmente útil es cifrar toda la información que viaja por la red (sea a
través de cables o por el aire). En principio para conseguir esto se deberían
emplear versiones seguras de los protocolos de uso común, siempre y cuando
queramos proteger la información. Hoy en día casi todos los protocolos basados
en TCP permiten usar una versión cifrada mendiante el uso del TLS.

Copias de seguridad

Es evidente que es necesario establecer una política adecuada de copias de

seguridad en cualquier organización; al igual que sucede con el resto de
equipos y sistemas, los medios donde residen estas copias tendrán que estar
protegidos físicamente; de hecho quizás deberíamos de emplear medidas más
fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la
información contenida en varios servidores.

Lo primero que debemos pensar es dónde se almacenan los dispositivos donde

se realizan las copias. Un error muy habitual es almacenarlos en lugares muy
cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en
principio puede parecer correcto (y cómodo si necesitamos restaurar unos
archivos) puede convertirse en un problema serio si se produce cualquier tipo
de desastre (como p. ej. un incendio). Hay que pensar que en general
el hardware se puede volver a comprar, pero una pérdida de información puede
ser ireemplazable.

Así pues, lo más recomendable es guardar las copias en una zona alejada de la
sala de operaciones; lo que se suele recomendar es disponer de varios niveles
de copia, una que se almacena en una caja de seguridad en un lugar alejado y
que se renueva con una periodicidad alta y otras de uso frecuente que se
almacenan en lugares más próximos (aunque a poder ser lejos de la sala donde
se encuentran los equipos copiados).

Para proteger más aun la información copiada se pueden emplear mecanísmos

de cifrado, de modo que la copia que guardamos no sirva de nada si no
disponemos de la clave para recuperar los datos almacenados.
Soportes no electrónicos

Otro elemento importante en la protección de la información son los elementos

no electrónicos que se emplean para transmitirla, fundamentalmente el papel.
Es importante que en las organizaciones que se maneje información
confidencial se controlen los sistemas que permiten exportarla tanto en formato
electrónico como en no electrónico (impresoras, plotters, faxes, teletipos, ...).

Cualquier dispositivo por el que pueda salir información de nuestro sistema ha

de estar situado en un lugar de acceso restringido; también es conveniente que
sea de acceso restringido el lugar donde los usuarios recogen los documentos
que lanzan a estos dispositivos.

Además de esto es recomendable disponer de trituradoras de papel para

destruir todos los papeles o documentos que se quieran destruir, ya que
evitaremos que un posible atacante pueda obtener información rebuscando en
nuestra basura.

 Medidas Técnicas o Lógicas

Podemos entender como seguridad una característica de cualquier sistema

(informático o no) que nos indica que ese sistema está libre de todo peligro,
daño o riesgo, y que es, en cierta manera, infalible. Como esta característica,
particularizando para el caso de SO o redes de ordenadores, es muy difícil de
conseguir (según la mayoría de expertos, imposible), se suaviza la definición de
seguridad y se pasa a hablar de fiabilidad (probabilidad de que un sistema se
comporte tal y como se espera de él) más que de seguridad.

Se entiende que mantener un sistema seguro (o fiable) consiste básicamente

en garantizar tres aspectos:

 Confidencialidad o Privacidad. Es la necesidad de que la información sólo

sea conocida por personas autorizadas no convirtiendo esa información en
disponible para otras entidades. En casos de falta de confidencialidad, la
información puede provocar daños a sus dueños o volverse obsoleta.
 Integridad. Es la característica que hace que el contenido de la
información permanezca inalterado a menos que sea modificado por
personal autorizado, y esta modificación sea registrada para posteriores
controles o auditorias.
 Disponibilidad u Operatividad. Es la capacidad de que la información esté
siempre disponible para ser procesada por personal autorizado. Esto
requiere que dicha información se mantenga correctamente almacenada
con el hardware y el software funcionando perfectamente y que se respeten
los formatos para su recuperación en forma satisfactoria.
Generalmente tienen que existir los tres aspectos descritos para que haya
seguridad.

Los tres elementos principales a proteger en cualquier sistema informático son

el software, el hardware y los datos. Habitualmente los datos son el principal
elemento, ya que es el más amenazado y el más difícil de recuperar.Así, por
ejemplo en una máquina Unix tenemos un hardware ubicado en un lugar de
acceso físico restringido, o al menos controlado, en caso de pérdida de una
aplicación ( o un programa de sistema, o el propio núcleo de Unix) este
software se puede restaurar sin problemas desde su medio original (por
ejemplo, el CD-ROM con el SO que se utilizó para su instalación). Sin embargo,
en caso de pérdida de una BD o de un proyecto de un usuario, no tenemos un
medio ‘original’ desde el que restaurar: hemos de pasar obligatoriamente por
un sistema de copias de seguridad, y a menos que la política de copias sea muy
estricta, es difícil devolver los datos al estado en que se encontraban antes de
la pérdida.
Se deben conocer las amenazas a que los datos están sometidos y las
vulnerabilidades de los sistemas en los que residen, así como los principales
tipos de ataques para crear una buena política de seguridad que los proteja.

Seguridad Física y Seguridad Lógica

El estudio de la seguridad puede estudiarse dependiendo de las fuentes de las

amenazas a los sistemas, lo que da lugar a hablar de seguridad física y
seguridad lógica.

La seguridad física trata de la protección de los sistemas ante amenazas físicas.

Consiste en la aplicación de barreras físicas y procedimientos de control, como
medidas de prevención y contramedidas, ante amenazas a los recursos e
informaciones confidenciales. Desastres naturales, sabotajes internos o
externos, etc, forman parte de este tipo de seguridad.

La seguridad lógica protege la información dentro de su propio medio mediante

el uso de herramientas de seguridad. Se puede definir como conjunto de
operaciones y técnicas orientadas a la protección de la información contra la
destrucción, la modificación, la divulgación indebida o el retraso en su
gestación.

El activo más importante de una organización es la información por lo que es

necesario técnicas que vayan más allá de la seguridad física para proteger dicha
información. Estas técnicas las brinda la seguridad lógica.
Seguridad Lógica
La Seguridad Lógica consiste en la “aplicación de barreras y procedimientos
que resguarden el acceso a los datos y sólo permitan acceder a ellos a las
personas autorizadas para hacerlo“.
Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión
minuciosa y no puedan modificar los programas ni los archivos que no les
correspondan.
3. Asegurar que se estén utilizando los datos, archivos y programas
correctos por el procedimiento correcto.
4. Que la información transmitida sea recibida por el destinatario al que ha
sido enviada y no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre
diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la
transmisión de información
La seguridad lógica está estandarizada de acuerdo a unos niveles de seguridad.
El estándar más utilizado internacionalmente es el TCSEC (Trusted Computer
System Evaluation) Orange Book desarrollado en 1982 de acuerdo a las normas
de seguridad de ordenadores del Departamento de Defensa de la Estados
Unidos. Los niveles describen diferentes tipos de seguridad del SO y se
enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han
sido la base de desarrollo de estándares europeos (ITSEC/ITSEM, Information
Technology Security Evaluation Criteria / Methodology) y luego internacionales
(ISO/IEC).

Medida de Seguridad de Operaciones

1. Contar con un equipo de trabajo especializado en el área de

informática
La seguridad informática para una empresa reviste muchas características
y vulnerabilidades. Es por esto que resulta vital que cada compañía cuente con
un personal profesional y especializado en el área de informática, para
configurar correctamente los equipos y atender cualquier percance.
De igual manera, el personal de informática estará en capacidad de instalar
los programas que sean necesarios, administrar las redes de área local y
detectar amenazas informáticas que pudieran suscitarse en cualquier instante.
Asimismo, el personal de informática se mantiene actualizado acerca de los
cambios y tendencias existentes en el sector de la seguridad informática,
pudiendo aplicar aquellas medidas que resulten necesarias y beneficiosas para
la empresa en ese ámbito.

2. Realizar mantenimiento a los equipos informáticos de manera

oportuna
Los equipos informáticos generalmente poseen un importante valor
económico, por lo que constituyen uno de los activos más importantes de la
empresa, y, por tanto, merece la pena resguardarlos y garantizar su vida útil.
Para ello, se debe considerar que la seguridad informática para una
empresa pasa por llevar a cabo un correcto cronograma de
mantenimiento a los diferentes dispositivos que se encuentren en la
compañía, para así detectar errores de funcionamiento y poder corregirlos. 
3. Efectuar copias de seguridad y respaldo de la información de la
empresa
Toda empresa maneja información sensible, y esto se refleja en diferentes
áreas de actividad, como pueden ser los movimientos contables de la
compañía, datos de cuentas bancarias, información de la nómina, inventarios
de equipos, entre otros.
Ante la importancia que esa información, la empresa debe procurar la
realización de copias de seguridad a cada dispositivo informática, para entonces
respaldar la información sensible o confidencial de la compañía.

4. Utilizar programas antimalware

Los softwares maliciosos y virus son amenazas informáticas que se
encuentran a la orden del día, y que pueden afectar seriamente cualquier
computadora.
Por lo general, estas amenazas buscan replicarse en el dispositivo, para luego
robar información, afectar el funcionamiento del equipo o incluso enviar
publicidad no deseada a los correos de la compañía.

En ese sentido, es importante que la empresa instale programas

antimalware en todos sus dispositivos y los mantenga debidamente
actualizados. Esto permitirá una detección y eliminación oportuna de amenazas
de virus, spam, troyanos, entre muchos otros.
5. Implementar licencias legales de software
El uso de licencias genuinas de cualquier software contribuye de manera
notable en la seguridad informática para una empresa, ya que permite
obtener directamente las actualizaciones que el fabricante publique.
Pero, además, las licencias legales de software permiten contar con garantía,
servicio técnico especializado y otras prestaciones por parte del fabricante de
programa. Mientras que, por el contrario, una licencia original puede hacer
perder tiempo valioso a la empresa, al no contar con el respaldo del fabricante
del producto.

6. Usar contraseñas seguras en el correo corporativo

Toda empresa debe contar con un servicio de correo electrónico
corporativo, el cual no solo mejora la imagen institucional de la organización,
sino que, además, provee filtros de seguridad para los contenidos que sean
enviados a través de los mismos.
Sin embargo, el correo corporativo no está exento de amenazas, por lo que
resulta pertinente que el personal de la empresa sea advertido acerca de la
importancia de usar contraseñas seguras en su correo, además de
modificarlas de manera periódica.
7. Impedir el uso del correo corporativo para fines personales
El correo corporativo de la empresa debe ser implementado para
labores estrictamente institucionales, que tengan que ver con actividades
administrativas u operativas de la organización en cuestión.
Por eso, debe evitarse al máximo el envío de contenidos personales a través del
correo corporativo, ya que se podría estar abriendo la puerta a alguna amenaza
mediante correo electrónico, lo que resulta muy común en la actualidad.

También se debe ser muy cuidadoso con la descarga de archivos

sospechosos, tanto recibidos por correo electrónico, como también aquellos
que sean ubicados directamente en algún sitio web. Este tipo de archivos
puede contener amenazas que dañarían al dispositivo desde donde se los
descarga.
8. Capacitar al personal acerca de la seguridad informática
Otra de las medidas de seguridad informática para una empresa guarda
relación con la capacitación oportuna que debe recibir el personal de la
compañía sobre las amenazas informáticas existentes y cómo
prevenirlas.
Aplicando esta importante medida, nuestra empresa se ahorrará tiempo valioso
que, en otra circunstancia, sería destinado para reparar equipos infectados, lo
que afectaría el rendimiento y productividad de las operaciones habituales de la
compañía.

En última instancia, toda empresa debe comprender que la prevención es la

mejor medida de seguridad informática para una empresa, lo cual
evitará percances y optimizará procesos.

 Medidas Legales

Protección de datos personales es un derecho fundamental: necesidad de

consentimiento para el tratamiento de los datos personales a conocer la
existencia de ficheros donde se recojan datos que nos afectan de acceso a su
contenido, de rectificación de los incorrectos y de oposición y cancelación1.

 Niveles de Seguridad.

Las medidas de seguridad exigibles se clasifican en tres niveles en atención a la

naturaleza de la información:

a) Nivel básico: todos los ficheros que contengan datos de carácter

personal.

1
 b) Nivel medio: ficheros que contengan datos relativos a la comisión de
infracciones administrativas o penales, servicios de información sobre
solvencia patrimonial y crédito, datos tributarios, de entidades
financieras, de Seguridad Social y aquellos que contengan un conjunto
de datos de carácter personal que puedan definir la personalidad o
evaluar el comportamiento de los ciudadanos.

c) Nivel alto: ficheros que contengan datos (especialmente protegidos) de

ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual, los que contengan datos recabados para fines policiales sin
consentimiento de las personas afectadas, datos derivados de actos de
violencia de género o de los operadores que presten servicios de
comunicaciones electrónicas.

o Legislación Informática de la República Dominicana

o Actualizada junio 2015
o Ley nº 118, de 1 de febrero de 1966, de Telecomunicaciones.
o Resolución 684, de 27 de octubre de 1977 ratifica el Pacto Internacional
de los Derechos Civiles y Políticos.
o Resolución nº739, de 25 de diciembre de 1977 que ratifica la Convención
Interamericana sobre Derechos Humanos (Pacto de San José de Costa
Rica).
o Ley n° 32-86 de 15 de abril de 1986 sobre Derecho de Autor. (Derogada
por Ley nº 65/2000, de 21 de agosto de Derechos de Autor).
o Reglamento nº 82-93, de 28 de marzo de 1993. Primer Reglamento para
la Aplicación de la Ley 32-86 de fecha 4 de julio de 1986, de Derecho de
Autor (Derogado por Decreto nº 362/2001 de 14 de marzo de 2001.
 Reglamento de Aplicación de la Ley nº 65/2000 sobre Derechos de
Autor)2.

o Constitución de la República de 1994. (Revisión de agosto de 1994).

o Resolución nº 2-95, del 20 de enero de 1995, mediante el cual la
República Dominicana ratificó el Acuerdo de Marrakech, por el cual se
establece la Organización Mundial del Comercio.
o Ley nº 153/1998 de 27 de mayo de 1998. General de las
Telecomunicaciones.
o Ley nº 20/2000 del 10 de mayo de 2000 de Propiedad Industrial.
o Decreto Reglamentario nº 408/2000 del 11 de agosto de 2000.
Reglamento Ley de Propiedad Industrial.
o Ley nº 65/2000, de 21 de agosto de 2000. Derechos de Autor.
o Decreto nº 167/2001.del 31 de enero de 2001, crea la Comisión Nacional
de Informática.
o Decreto nº 362/2001 de 14 de marzo de 2001. Reglamento de Aplicación
de la Ley nº 65/2000 sobre Derechos de Autor.
o Decreto n° 599-01, de 1 de junio de 2001, que establece el Reglamento
de Aplicación de la Ley nº 20-00 sobre Propiedad Industrial3.

i. 2002.
o Ley nº 76-02, de 19 de julio de 2002, Código Procesal Penal.
o Constitución de la República de 25 de julio de 2002.
o Ley nº 126/2002 de 4 de septiembre de 2002, sobre Comercio
Electrónico, Documentos y Firmas Digitales.

ii. 2003.
o Resolución nº 042-2003, de 17 de marzo de 2003, del Instituto
Dominicano de las Telecomunicaciones que aprueba el Reglamento de

3
 aplicación de la Ley nº 126-2002 sobre Comercio Electrónico,
Documentos y Firmas Digitales.
o Decreto nº 335/2003 del 8 de abril de 2003. Reglamento de la Ley nº
126/2002, sobre Comercio Electrónico, Documentos y Firmas Digitales4.
iii. 2004.
o Resolución nº 010-2004, de 30 de enero del 2004, del Instituto
Dominicano de las Telecomunicaciones (INFOTEL) que aprueba las
normas complementarias a la Ley nº 126-2002 sobre Comercio
Electrónico, Documentos y Firmas Digitales y a su Reglamento de
Aplicación.
o Resolución nº 020-2004, de 12 de febrero de 2004, del Instituto
Dominicano de las Telecomunicaciones (INDOTEL), que aprueba el
arancel de costos, derechos y multas sobre Comercio Electrónico,
Documentos y firmas digitales y su Reglamento de aplicación.
o Resolución nº 094-2004, de 18 de junio de 2004, del Instituto
Dominicano de las Telecomunicaciones (INDOTEL), que aprueba el
procedimiento de acreditación de Entidades de Certificación de Firma
Digital de los Estados Unidos de América.
o Ley nº 200/2004 del 28 de julio de 2004. Ley General de Libre Acceso a
la Información Pública.
o Decreto nº 1090-04 del 03 de septiembre de 2004, a través del cual se
constituye la Oficina Presidencial de Tecnologías de la Información y
Comunicación (OPTIC) como dependencia directa del Poder Ejecutivo5.

 Medidas Educativas

La revolución informática iniciada hace cincuenta años e intensificada en la

última década mediante el incesante progreso de las nuevas tecnologías
multimedia les y las redes de datos en los distintos ambientes en los que se
desenvuelven las actividades humanas, juntamente con la creciente

5
globalización de la economía y el conocimiento, conducen a profundos cambios
estructurales en todas las naciones, de los que la República Argentina no puede
permanecer ajeno y en consecuencia a una impostergable modernización de los
medios y herramientas con que se planifican, desarrollan y evalúan las
diferentes actividades, entre otras, las que se llevan a cabo en los institutos de
enseñanza del país6. El análisis sobre las computadoras y la escuela, tema
reservado inicialmente a los especialistas en educación e informática, se ha
convertido en un debate público sobre la informática en la escuela y sus
consecuencias sociales7.

Variada resulta en la actualidad el abanico de las diversas realidades en que se

desenvuelven los establecimientos educacionales, desde los que realizan
denodados esfuerzos por mantener sus puertas abiertas brindando un
irremplazable servicio, hasta aquellos otros que han logrado evolucionar a tono
con los modernos avances tecnológicos, sin olvidar una significativa mayoría de
los que diariamente llevan a cabo una silenciosa e invalorable tarea en el seno
de la comunidad de la que se nutren y a la que sirven8.

 El Rol del Docente en la Educación.

Todo esto podrá realizarse solamente si hay un "otro", acompañando y guiando

este proceso de aprendizaje. Este "otro" es, sin lugar a dudas, el docente. Para
favorecer este proceso de aprendizaje, el docente deberá ser, ante todo, una
persona flexible, humana, capaz de acompañar a sus alumnos en este camino
de crecimiento y aprendizaje que ellos realizan. Deberá ser capaz de plantear
conflictos cognitivos a los alumnos, apoyándolos en la construcción de sus
estructuras de conocimientos. También deberá colaborar con ellos para que
integren el error como parte del proceso de aprendizaje que está llevando a
cabo, impulsándolos a reflexionar sobre la lógica de sus equivocaciones9.

 La Capacitación Docente.

9
En el caso de la capacitación de los docentes en Informática Educativa
podemos identificar los siguientes caminos para alcanzarla:

a) El docente como autodidacta: diversos factores -falta de tiempo,

atención de la familia, escasez de recursos económicos, dedicación a la
capacitación mediante planes oficiales, ausencia de incentivos, otros-
llevan a muchos docentes a conducir su propio aprendizaje. No resulta
una capacitación regular y suele presentar distintas falencias; de todas
maneras, el autoaprendizaje siempre es valioso, especialmente para
mantener actualizados los conocimientos en una temática comoel de las
nuevas tecnologías que avanzan tan vertiginosamente.

b) El docente capacitado en la Institución Educativa: en muchos casos la

capacitación se realiza en horario extraescolar y en la misma Institución
en que se desempeña. No siempre se consideran los aspectos
pedagógicos que rodean la utilización de la informática y se basan más
bien en lo computacional, ya que suelen ser especialistas en sistemas los
encargados de dictar las clases.

c) La capacitación en institutos dirigidos al público en general: apuntan al

entrenamiento en computación (educación informática) más que a la
capacitación en informática educativa. Se da preferente atención al
estudio de los sistemas operativos, los procesadores de la palabra, las
planillas electrónicas, las bases de datos, los graficadores, los
diseñadores gráficos, los programas de animación y para comunicaciones
de datos.

d) La capacitación en Institutos Superiores de Formación Docente: ofrecen

cursos, talleres y seminarios para aprender a utilizar la computadora
como medio didáctico eficaz, algunos con puntaje oficial; suelen ser
cortos y modulares.
 e) La capacitación en Institutos Superiores de Formación en Informática
Educativa para Docentes: existen carreras de especialización más
extensas, intensivas y la capacitación resulta sistemática, incluyendo lo
pedagógico y lo computacional; proporcionan puntaje reconocido por las
autoridades educativas y otorgan títulos oficiales que habilitan
profesionalmente en la especialidad10.

 La Informática en la Educación.

Informática no puede ser una asignatura más, sino la herramienta que pueda
ser útil a todas las materias, a todos los docentes y a la escuela misma, en
cuanto institución que necesita una organización y poder comunicarse con la
comunidad en que se encuentra 11. Entre las aplicaciones más destacadas que
ofrecen las nuevas tecnologías se encuentra la multimedia que se inserta
rápidamente en el proceso de la educación y ello es así, porque refleja
cabalmente la manera en que el alumno piensa, aprende y recuerda,
permitiendo explorar fácilmente palabras, imágenes, sonidos, animaciones y
videos, intercalando pausas para estudiar, analizar, reflexionar e interpretar en
profundidad la información utilizada buscando de esa manera el deseado
equilibrio entre la estimulación sensorial y la capacidad de lograr el
pensamiento abstracto12.

1. PROCEDIMIENTOS DE SEGURIDAD INFORMÁTICA.

A. Procedimientos de Prevención
Las políticas y los procedimientos de seguridad informática tienen como
objetivo proteger los activos físicos e intelectuales utilizados en la generación
de información de la Oficina de Sistemas de Información y Apoyo Tecnológico a
la Docencia (OSIATD). El Procedimiento de Seguridad Informática aplica al nivel

10

11

12
central y a todas las áreas dentro del DE (escuelas, institutos tecnológicos y
escuelas especializadas, escuelas para adultos y centros de exámenes libres,
distritos, oficinas regionales, centros de servicios de educación especial, oficina
central de comedores escolares, almacenes de alimentos y almacenes de
equipo, centros de archivos inactivos, OMEP, imprenta y demás dependencias),
ya sea por requerimiento o cuando se estime necesario por una operación
relacionada o autorizada.

El factor más importante dentro de la protección de activos de información se

basa en la administración de la seguridad de la información. El aumento de los
servicios de correo electrónico externos, la pérdida de barreras organizacionales
a través del uso de facilidades de acceso remoto; exposiciones de seguridad
tales como virus, negaciones de servicio, intrusiones, accesos no autorizados,
nos lleva a la necesidad de una administración efectiva de la seguridad de la
información13.

Además, la red mundial Internet y sus elementos asociados son mecanismos

ágiles que proveen una alta gama de posibilidades de comunicación, interacción
y entretenimiento, tales como elementos de multimedia, foros, chat, correo,
comunidades, bibliotecas virtuales entre otros que pueden ser accedidos por
todo tipo de público. Sin embargo, estos elementos deben contener
mecanismos que protejan y reduzcan los riesgos de seguridad alojados,
distribuidos y potencializados a través del mismo servicio de Internet14.

Seguridad de Informática “Protección de los sistemas de información

en contra del acceso o modificación física o electrónica de la
información; protección en contra de la negación de servicios a
usuarios autorizados o de la disponibilidad de servicios a usuarios no
autorizados; las políticas, normas, medidas, proceso y herramientas
necesarias para detectar, documentar, prevenir y contrarrestar los
ataques a la información o servicios antes descritos; los procesos y
herramientas necesarias para la restauración de la información o los
sistemas afectados por las brechas en la seguridad; disponibilidad y
13

14
 protección de los recursos requeridos para establecer dicha
seguridad.”

B. Procedimientos de Detección
El DE cuenta con controles automáticos para la prevención y detección de
programas no deseados (i.e. virus, spyware, adware y actualizaciones
automáticas). La seguridad de la información debe ser parte integral del diseño
de cualquier programa de aplicación que se adquiera o se desarrolle en el DE
para facilitar las operaciones de la agencia o mejorar el servicio a los
ciudadanos. Es política de OSIATD que cada programa o aplicación pueda
trabajar con los privilegios otorgados mediante el Active Directory y no
mediante accesos creados única y exclusivamente para algún programa o
aplicación específica. La información y los programas de aplicación que se
utilizan en las operaciones de la agencia tienen controles de acceso, de tal
manera que solamente el personal autorizado pueda dar acceso a los datos y
las aplicaciones (o módulo de la aplicación) que necesita utilizar. Estos controles
incluyen mecanismos de autenticación y autorización (véase la sección de
Definiciones).

Todos los mecanismos de autenticación deben incluir una contraseña

combinada de números y letras mayúsculas, minúsculas y caracteres
especiales. Los privilegios de acceso de los usuarios se reevalúan anualmente
(Véase Sección VIII: Mantenimiento de Cuentas de Usuarios en el DE) o cuando
el secretario o la autoridad delegada así lo disponga. Las aplicaciones y los
sistemas críticos o sensitivos (SIFDE, SIE, TAL y STAFF), que están instalados
en los servidores que residen y operan en el Centro de Cómputos del DE,
cuentan con la funcionalidad y capacidad de registrar y monitorear las
actividades y transacciones de los usuarios. La disposición o descarte de todo
equipo que va a salir de la agencia y que contenga información sensitiva, debe
seguir el proceso de remoción de datos y programas de forma segura para que
los mismos no estén expuestos ni disponibles a personal no autorizado.
El DE cuenta con los programas o herramientas que configuran los controles
necesarios para evitar que de forma intencionada o accidental se inicien
ataques desde la red interna hacia sistemas de información externos y
viceversa15.

o Procedimientos y Técnicas de Auditoria

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas

debe evaluar los riesgos globales y luego desarrollar un programa de auditoria
que consta de objetivos de control y procedimientos de auditoria que deben
satisfacer esos objetivos. El proceso de auditoria exige que el auditor de
sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles
existentes basado en la evidencia recopilada, y que prepare un informe de
auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada
de recursos para realizar el trabajo de auditoria, además de las revisiones de
seguimiento sobre las acciones correctivas emprendidas por la gerencia16.

C. Procedimientos de Recuperación
La recuperación de datos es el conjunto de técnicas y procedimientos utilizados
para acceder y extraer la información almacenada en medios de
almacenamiento digital que por daño o avería no pueden ser accesibles de
manera usual. Los procedimientos de recuperación de datos pueden ser
utilizados para recuperar información de diversos tipos de medios como discos
duros, memorias USB, servidores, cámaras digitales, CD, DVD, entre otros17.

La recuperación de datos es necesaria por distintos motivos, como por ejemplo

daños físicos en el medio de almacenamiento (averías electrónicas, averías
mecánicas, golpes, incendios, inundaciones, etc.) o averías lógicas (daños en el
sistema de archivos, daño en las particiones, archivos eliminados, formateos

15

16

17
accidentales, etc..). Existen distintos métodos y herramientas que se pueden
ejecutar para realizar la recuperación de datos y todo dependerá de la avería
que el dispositivo presente, desde software especializado hasta herramientas de
hardware diseñadas específicamente para esta labor18.

El escenario más común de "recuperación de datos" involucra una falla en el

sistema operativo (típicamente de un solo disco, una sola partición, un solo
sistema operativo), en este caso el objetivo es simplemente copiar todos los
archivos requeridos en otro disco. Esto se puede conseguir fácilmente con un
Live CD, la mayoría de los cuales provéen un medio para acceder al sistema de
archivos, obtener una copia de respaldo de los discos o dispositivos removibles,
y luego mover los archivos desde el disco hacia el respaldo con un
administrador de archivos o un programa para creación de discos ópticos. Estos
casos pueden ser mitigados realizando particiones del disco y continuamente
almacenando los archivos de información importante (o copias de ellos) en una
partición diferente del de la de los archivos de sistema en el sistema operativo,
los cuales son reemplazables19.

Dentro de la seguridad informática se denomina plan de contingencia (también

de recuperación de desastres o de continuación de negocios), a la definición de
acciones a realizar, recursos a utilizar y personal a emplear en caso de
producirse un acontecimiento intencionado o accidental que inutilice o degrade
los recursos informáticos o de transmisión de datos de una organización. Es
decir, es la determinación precisa del quién, qué, cómo, cuándo y dónde en
caso de producirse una anomalía en el sistema de información20.

El plan de contingencia debe considerar todos los componentes del sistema:

Datos críticos, equipo lógico de base, aplicaciones, equipos físicos y de
comunicaciones, documentación y personal. Además, debe contemplar también
todos los recursos auxiliares, sin los cuales el funcionamiento de los sistemas
podría verse seriamente comprometido: suministro de potencia; sistemas de
climatización; instalaciones; etc. Finalmente, debe prever también la carencia

18

19

20
de personal cualificado (por ejemplo, por una huelga que impida el acceso del
mismo) para el correcto funcionamiento del sistema. Se debe destacar, que
previo al comienzo del trabajo, se debe obtener el pleno compromiso de los
máximos responsables de la organización. Sin su apoyo decidido y constante, el
fracaso del plan está garantizado.

El plan de contingencias debe ser comprobado de forma periódica para detectar

y eliminar problemas. La manera más efectiva de comprobar si funciona
correctamente, es programar simulaciones de desastres. Los resultados
obtenidos deben ser cuidadosamente revisados, y son la clave para identificar
posibles defectos en el plan de contingencia. Además, el plan de contingencia
debe contemplar los planes de emergencia, backup, recuperación,
comprobación mediante simulaciones y mantenimiento del mismo. Un plan de
contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el
control y capacidades para procesar la información y restablecer la marcha
normal del negocio.