Aspectos Momento1 233005 1
-
Upload
bbvesgac5775 -
Category
Documents
-
view
78 -
download
0
Transcript of Aspectos Momento1 233005 1
ASPECTOS ÉTICOS Y LEGALES DE LA SEGURIDAD INFORMÁTICA Momento 1
PRESENTADO POR:
BORIS BERNARDO VESGA CAMILO ERNESTO HOYOS
DANIEL ALBERTO TRUJILLO CAMPOS JORGE LUIS VILLEGAS MAGUIÑA
PRESENTADO A:
GINA ALEXANDRA GONZALEZ
GRUPO
233005_1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESPECIALIZACIÓN SEGURIDAD EN INFORMÁTICA
CEAD IBAGUÉ
2014
INTRODUCCIÓN
Dentro del campo de las tecnologías de información, la seguridad informática toma cada vez
más relevancia, dado que la información que viaja a través de la red es el activo más importante
que deben proteger todas las organizaciones. Este aspecto no debe contemplar solo el uso de
antivirus, proxis, firewalls, niveles de acceso o encriptación, pues la seguridad depende en
gran parte de los profesionales que administran la información y la infraestructura tecnológica,
es entonces donde la ética profesional y la moral se postulan como un valor agregado que
permite proteger los sistemas de información de maneja integral.
El siguiente trabajo describe la estructura organizacional del área de las tecnologías de la
información de la alcaldía municipal de La Dorada Caldas; detallando su estructura orgánica,
funciones, principios morales y éticos, niveles de acceso a la información y los nombres reales
de los implicados.
Otro factor que se tiene en cuenta es el estado actual en materia de seguridad y se realiza una
reflexión sobre los desafíos éticos y morales que se enfrenta el profesional de sistemas en la
vida profesional.
DESARROLLO DEL TRABAJO
1. Realice una descripción del área de informática o departamento de sistemas de una
organización, identifique las personas que trabajan en ella, identificando sus capacidades
profesionales y sus principios morales y éticos (comportamiento), el nivel de acceso a la
información y a los sistemas de información.
Organización. Alcaldía municipal, La Dorada Caldas.
ORGANIGRAMA ÁREA DE TECNOLOGÍA.
Líder del área de tecnología
Coordinador del área de desarrollo
Analista Diseñador
Desarrollador
Líder de soporte técnico de la
infraestructura computacional
Analista de soporte técnico
Técnico.
Detalle de los cargos.
Cargo Nombre Funciones Principios morales y
éticos
Nivel de acceso
Información Sistemas de información
Líder del área de tecnología.
Jhon Jairo Rojas Ríos
Liderar y coordinar todos los procesos relacionados con el área de tecnología de la alcaldía municipal.
Son personas respetuosas con los demás de comportamiento personal y social intachable, de buenas costumbres, imparciales a la hora de tomar decisiones y con un alto grado de compromiso con la organización. Ofrecen a los usuarios servicios de calidad basados en el respeto y orientado hacia la satisfacción del usuario. Son inquietos y autocríticos en lo que tiene que ver con su profesión en continua formación, consulta e
Consulta de la información crítica y no crítica. Mantenimiento de la información crítica y no crítica.
Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados.
Coordinador del área de desarrollo.
Edwin León Molina
Coordinar la construcción de soluciones de software de acuerdo con las necesidades del usuario y los procesos de la organización. Implementar las soluciones de software. Realizar el seguimiento para medir la eficacia de las soluciones implementadas. Coordinar las mejoras o actualizaciones para las soluciones implementadas. Coordinar a los responsables de los procesos del área de desarrollo.
Consulta de la información crítica y no crítica. Mantenimiento de la información crítica y no crítica.
Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados
Analista
Jorge David Muriel Ruiz
Analizar las necesidades de los usuarios y los cuellos de botella en los procesos para determinar soluciones de mejora. Reunir, compilar, analizar e interpretar información para proponer métodos, mejoras en
Consulta de la información crítica y no crítica.
Acceso como usuario limitado a las bases de datos y los sistemas de información automatizados
los procesos y las soluciones implementadas con el objeto de aumentar la productividad en las áreas de la organización.
investigación para ofrecer un buen servicio. Respetan los derechos de autor, cumplen las políticas internas y la legislación vigente. Mantienen en estricta confidencialidad la información o conocimiento derivado de las funciones. Dan buen uso a los recursos puestos a su disposición o de la organización en general. Hasta el momento no se tiene conocimiento de fuga de información clasificada por
Diseñador
Marlon Alberto Álvarez Castro
Analizar las necesidades de los usuarios de acuerdo a la información suministrada por el analista para realizar el diseño de la solución informática. Realizar la planificación en el proyecto de software. Crear los modelos de software para indicar a los programadores cómo escribir el código. Documentar todos los aspectos del sistema computacional como referencia para futuras actualizaciones y mantenimiento.
Consulta de la información crítica y no crítica.
Acceso como usuario limitado a las bases de datos y los sistemas de información automatizados
Desarrollador
Eduar Hernán Echeverry Riveros
Determinar en colaboración con el analista y el diseñador, los objetivos propuestos para las distintas soluciones informáticas. Creación de código de acuerdo al diseño y el lenguaje de programación seleccionado. Elaborar la documentación de software para los usuarios.
Consulta de la información crítica y no crítica. Mantenimiento de la información crítica y no crítica.
Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados.
Implementar el software desarrollado con el fin de corregir deficiencias o errores. Instalar, configurar y actualizar las bases de datos. Crear cuentas para usuarios de acuerdo a las políticas de acceso.
parte de personal interno del área de sistemas.
Líder de soporte técnico de la infraestructura computacional.
Carlos Guillermo Hernández Paternina
Planificar y coordinar con sus colaboradores los procedimientos a realizar para mantener un óptimo funcionamiento de la infraestructura computacional y redes. Coordinar la adquisición, instalación y configuración de nuevo software y hardware. Determinar y diseñar la topología de red en armonía con las necesidades de la organización. Medir la eficacia y productividad de los servicios ofrecidos por el área de servicio con ayuda de los informes que realiza el analista de soporte técnico. Crear protocolos, políticas y hacer seguimiento del uso de la infraestructura computacional y de redes.
Consulta de la información crítica y no crítica.
Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados.
Analista de soporte técnico.
Carlos Eduardo
Medir la satisfacción del usuario sobre los servicios
No tiene privilegios de acceso a la
Acceso como súper-usuario a las bases de datos
Barragán Molano
ofrecidos en el área de soporte. Generar informes estadísticos para medir la productividad del área de soporte técnico. Registrar información sobre LOS Procedimientos realizados por el área de soporte técnico. Cumplir funciones de técnico.
información crítica y no crítica formales pero tiene acceso a los medios donde se almacena dicha información.
y los sistemas de información automatizados.
Técnico.
Andrés Felipe Betancourth García
Asistir al usuario de manera técnica (hardware y software) para ayudarlo a cumplir las tareas derivadas de su cargo. Ofrecer soporte técnico en tiempo real (físico, en línea o telefónico) al usuario. Capacitarse de forma constante en el uso de las herramientas tecnológicas con el objeto de asistir al usuario. Elaborar guías de usuario para utilizar el software y hardware. Dar capacitación a los usuarios periódicamente sobre el uso de herramientas tecnológicas. Ofrecer soporte técnico a equipos en red. Ampliar, implementar la estructura de la red de acuerdo al diseño elaborado por los responsables del área de soporte técnico. Instalar y configurar de nuevos equipos de hardware y software.
No tiene privilegios de acceso a la información crítica y no crítica formales pero tiene acceso a los medios donde se almacena dicha información.
Acceso como súper-usuario a las bases de datos y los sistemas de información automatizados.
Instalación y configuración de dispositivos Activos de la red. Configurar la salida a internet de los equipos de cómputo. Administrar el servidor. Asignar direcciones IP a las computadoras. Asignar nombres a las computadoras. Realizar rutinas de mantenimiento preventivo a los equipos de cómputo y a la red. Realizar rutinas de mantenimiento correctivo a los equipos de cómputo y a la red. Ejecutar copias de seguridad de la información.
2. Identificar los problemas, fraudes, delitos informáticos, vulnerabilidades, riesgos y
amenazas que se presentan en dicha organización en cuanto al manejo de los sistemas
de información y la información que manejan los usuarios, para identificar su posible
causa.
En la alcaldía municipal, en varias ocasiones ha tenido problemas de virus y acceso no
autorizado a la red inalámbrica. Es imposible detectar si han sido víctimas de ataques
informáticos que pongan en riesgo la confidencialidad, integridad y disponibilidad de la
información crítica; porque no existen políticas, monitoreo y controles de seguridad que
permitan la protección de sus activos informáticos siendo vulnerables a estos ataques, esta
situación puede repercutir negativamente en la credibilidad la entidad, podría poner en
riesgo la continuidad del negocio, prestarse para fraude por riesgo de robo de información
financiera o generar inconvenientes legales.
RIESGOS Y AMENZAS
FRAUDES
Obtención de información de manera inadecuada tanto magnética como física, la información física debido a que no se tiene la concientización de la seguridad de la información y se deja documentación neurálgica sobre el escritorio y es de libre acceso a personas ajenas violando la confidencialidad pilar fundamental de la seguridad de la información. Estafas como se manifiesta hay incidentes severos como es el ingreso a la red inalámbrica de manera indebida, lo cual conduce a estafas con la captura de paquetes de la red utilizando software como ettercap.
DELITOS INFORMÁTICOS
Robo de información por parte de funcionarios por diferentes vías una de ellas por medios extraíbles como USB que es el más utilizado debido a que no hay una política de bloqueo de estos dispositivos. Como es una entidad pública el personal puede utilizar los recursos asignados para beneficio propio debido a que no se evidencia una gestión sobre el canal de internet. Phising: Se puede obtener información por medio de engaños en correos fraudulentos o con links que capturen información. Al ser entidad pública maneja un área de tesorería o administrativa donde se puede ejecutar este ataque logrando capturar usuarios y contraseñas.
RIESGOS La no gestión con unas políticas de seguridad de la información que tengan establecidas para minimizar los riesgos hace que la alcaldía sea más
vulnerable a un ataque informático o una denegación de servicios que afectaría la continuidad del negocio y la imagen institucional.
AMENAZAS
La falta de concientización sobre seguridad de la información hace más vulnerable la alcaldía entre ellas la no asignación de usuario y contraseñas mediante formatos de confidencialidad de la información.
ACCESO NO AUTORIZADO
Se presenta alto riesgo de acceso a la red cableada por puntos de red desatendidos y dispositivos de red en puntos medios donde quedan a la vista de personal externo a la Alcaldía.
ATAQUES REDES INALAMBRICAS
Ninguna red es 100% segura, pero las redes inalámbricas son más propensas a sufrir ataques
en comparación con las redes alámbricas. A continuación se nombran algunos ataques a redes
inalámbricas (informatica-hoy, s.f.).
Access Point Spoofing: Access Point Spoofing o "Asociación Maliciosa": en este caso el atacante se hace pasar por un Access Point y el cliente piensa estar conectándose a una red WLAN verdadera. Ataque común en redes ad-hoc.
ARP Poisoning: ARP Poisoning o "Envenenamiento ARP", ataque al protocolo ARP (Address Resolution Protocol) como el caso de ataque denominado "Man in the Midle" o "hombre en medio". Una computadora invasora X envía un paquete de ARP reply para Y diciendo que la dirección IP de la computadora Z apunta hacia la dirección MAC de la computadora X, y de la misma forma envía un paquete de ARP reply para la computadora Z diciendo que la dirección IP de la computadora Y apunta hacia la dirección MAC de X. Como el protocolo ARP no guarda los estados, las computadoras “Y” y “Z” asumen que enviaron un paquete de ARP request solicitando esta información, y asumen los paquetes como verdaderos. A partir de este punto, todos los paquetes enviados y recibidos entre las computadoras “Y” y “Z” pasan por X (hombre en medio).
MAC spoofing: MAC Spoofing o "enmascarar el MAC", ocurre cuando alguien roba una dirección MAC de una red haciéndose pasar por un cliente autorizado. En general, las placas de redes permiten el cambio de lo numero MAC por otro, lo que posibilita este tipo de ataque.
Denial of service: Denial of Service o "Negativa de Servicio", también conocido por D.O.S. Consiste en negar algún tipo de recurso o servicio. Puede ser utilizado para "inundar" la red con pedidos de disociación, imposibilitando así el acceso de los usuarios, pues los
componentes de la red se asocian y desasocian una y otra vez. Al rechazar algún servicio, también puede dar origen a interferencias por equipamientos de Bluetooth, hornos de microondas y teléfonos inalámbricos, debido a que estos equipamientos trabajan en la misma franja de frecuencia que las redes inalámbricas.
WLAN escáner: WLAN Escáner o "Ataque de Vigilancia", consiste en recorrer un lugar que se desea invadir para descubrir redes WLAN activas en dicho lugar, así como equipamientos físicos, para un posterior ataque o robo.
Wardriving y warchalking: Se llama de "Wardriving" a la actividad de encontrar puntos de acceso a redes inalámbricas, mientras uno se desplaza por la ciudad en un automóvil y haciendo uso de una notebook con una placa de red wireless para detectar señales. Después de localizar un punto de acceso a una determinada red inalámbrica, algunos individuos marcan el área con un símbolo hecho con tiza en la veredera o la pared, e informan a otros invasores -actividad que se denomina "warchalking".
Evitar ataques en las redes WI-FI
Aspecto Recomendado
Usuario y password por defecto admin-admin
Crear contraseñas seguras porque ofrecen seguridad contra el acceso no autorizado.
Largo periodo de tiempo que no se cambia la contraseña.
Es recomendable cambiar las contraseñas regularmente, porque existen aplicaciones capaces de obtener la clave de una red Wi-Fi analizando los datos transmitidos. Además exempleados o personal contrista puede conocer las claves y divulgarlas o usarlas sin ser autorizados.
Encriptación WEP. Se puede recuperar la clave después de capturar una cantidad pequeña de tráfico.
Usar encriptación WPA/WPA2 con el algoritmo de cifrado AES porque ofrece un mayor nivel se seguridad y consume menos ancho de banda.
Broadcast SSID activado. Es importante ocultar la señal de nuestra red a los ojos del público para reducir el porcentaje de ataques.
Filtrado de direcciones MAC desactivado.
Es importante activar el filtrado de direcciones MAC porque podremos controlar los equipos que se van a conectar a la red Wi-Fi mediante sus dirección física.
DHCP activado Es recomendable desactivar el DHCP y realizar la configuración IP de forma manual, porque reduce la posibilidad de sufrir un ataque.
3. Elaborar un ensayo sobre los problemas que enfrenta el ingeniero de sistemas dentro de
la organización, la toma de decisiones que debe hacer de acuerdo al código de ética
profesional, y las soluciones más apropiadas teniendo en cuenta todos los aspectos del
código de ACM.
LA ÉTICA Y LA MORAL COMO VALOR IMPLÍCITO EN LOS PROFESIONALES DE TI
La actualidad uno de los principales intereses de las organizaciones en TI radica en la forma
del cómo prevenir ataques informáticos, con el fin de salvaguardar la información que es
su activo más importante. El reto de estructurar de manera óptima la seguridad informática
sin dejar cabos sueltos; involucrando al personal de la empresa, genera toda una
oportunidad de aplicar controles que permitan un nivel de riesgo aceptable.
Este reto de la seguridad informática debe ir acompañado de un conjunto de frentes que
incluya políticas de seguridad, infraestructura tecnológica, acuerdos de confidencialidad y
profesionales con altos niveles de ética y moral.
Las organizaciones actualmente soportan sus procesos de negocios en las NTIC que son
el pilar para el éxito de sus operaciones porque le permite el acceso y tratamiento de la
información como activo principal de su existencia. Estas herramientas necesitan soporte
y configuración; para satisfacer esta necesidad las diferentes facultades universitarias del
mundo proveen en sus pensum diferentes carreras, cuya función principal es la de formar
profesionales con conocimientos técnicos y amplios valores éticos con el objeto de lograr
una vocación hacia el servicio basado en el respeto, la comunicación, honradez y
responsabilidad para cumplir con los compromisos adquiridos. Dentro de las principales
carreras que ofrecen las facultades en Colombia se encuentran: Ingeniería de Sistemas,
Ingeniería Electrónica, Administración de Sistemas Informáticos, Ingeniería de
Telecomunicaciones entre otras, algunas facultades de otros partes del mundo ofrecen
hasta 25 carreras diferentes alcanzando un alto nivel de especialización en cada una de
las ramas de TI.
En su área de desempeño, los Profesionales de TI son los encargados de elaborar y
ejecutar proyectos tecnológicos, ofrecer soporte, desarrollar soluciones. Todo esto ocurre
desde el rol de empresario o empleado e implica tomar decisiones fundamentales para
alcanzar la satisfacción de ambas partes.
Estas decisiones deben ser libres e imparciales donde los beneficios sean equitativos y
evitar el clientelismo, estos profesionales con su amplio conocimiento en las NTIC tienen
ciertos privilegios de acceso a la información y deben de abstenerse de aceptar tareas o
propuestas que atenten contra la lealtad y la honradez de sus clientes o jefes.
Otra parte fundamental en el desarrollo profesional es la autocrítica para evaluar sus
debilidades en lo que tiene que ver con la conducta y formación. Estos dos aspectos son
requeridos para ofrecer servicios de óptima calidad bajo los estándares y políticas vigentes
para evitar que los proyectos o actividades fracasen.
Cuando se planean proyectos tecnológicos las organizaciones asignan una gran cuantía
de recursos y es responsabilidad del profesional en sistemas estimar una serie de aspectos.
El primer aspecto “dependencia tecnológica”. En toda circunstancia se debe evitar la
dependencia tecnológica entre el profesional de sistemas como individuo y las soluciones
tecnológicas implementadas, esto quiere decir que cualquier profesional del área puede
continuar en la ejecución de las actividades derivadas de la tecnología sin que la
continuidad del negocio se vea afectada.
Segundo aspecto “riesgos”. Es evidente que el uso de estas tecnologías trae consigo una
serie de riesgos y amenazas que se deben de prever antes “de…” para desarrollar el plan
de acción para mitigar el impacto. Tercer aspecto “recursos”, es indispensable no
subvalorar los recursos y aprovecharlos al máximo en beneficio de los procesos de la
organización más no en beneficio propio.
Tercer aspecto “proyectos eficaces”, cada proyecto de tecnología debe de solucionar un
problema y aumentar la productividad de la organización, el informático debe evaluar cada
situación con profesionalismo y objetivamente sin el ánimo de beneficiar a terceros e
informar a los directivos si realmente el proyecto impactara positivamente en los procesos
de la organización o buscar soluciones en caso de que se requiera.
Cuarto y último aspecto “Confidencialidad”, el profesional de sistemas está involucrado en
todos los procesos de la organización y tiene conocimiento de información crítica y por
ningún motivo esta información debe ser trasmitida a ningún tercero buscando el beneficio
individual o de otros.
Con lo anterior podemos concluir que los conocimientos técnicos o gerenciales no son
suficientes para el profesional en TI, pues el reto más grande de las diferentes
organizaciones al hacer procesos de selección y las facultades al formar, es velar por que
el personal egresado o contratado tenga un conjunto de aptitudes que le permitan
desenvolverse en el campo laboral y empresarial con verdadero sentido de
responsabilidad, ética y pertinencia.
La ética en la vida profesional de un ingeniero de sistemas, implica como en todas las
profesiones éticas llevar un comportamiento adecuado, con el objetivo de logra el bienestar
de nosotros como individuos y el del grupo de trabajo en el que nos desempeñemos. Es
así como la ingeniería de sistemas lleva intrínseca la ética laboral y porque no decir moral
de todo individuo que se ha formado profesionalmente. La ética de un Ingeniero de
Sistemas va más allá de la moral y buenas costumbres sociales, pues de estas y acciones,
comportamientos, decisiones se verán reflejada en el trasfondo de un sistema complejo
como es la tecnología y los sistemas de información, el ingeniero de sistemas tiene que ser
consciente que su ética afectará sistemas completos, la sociedad en sí y el daño que puede
ocasionar un mal comportamiento puede ser catastrófico y alcanzar magnitudes nunca
sospechadas cuando se inventó el primer computador.
Todo ingeniero de sistemas en ejercicio de sus funciones debe ser cauteloso y celoso de
su trabajo, debe procurar que su ejercer como profesional, ser correcto, y en todo
momento ser juez implacable de sus actos. Se debe tomar conciencia social, basada en la
ética personal y moral que le permite sentir hasta donde son los límites de lo correcto y
cuando parar para no transgredir los límites de la ética. Hasta los más mínimos detalles
en toda actividad laboral deben ser bien ejecutados, es así que principios básicos de todo
trabajador como el ser puntual, responsable, entregado al trabajo, leal, honesto, también
son parte de los principios que debe procurar todo ingeniero de sistemas
Ahora bien veamos y tomemos como base el código de la ACM para ver los 8 principios
del código que nos ayuda a regir la ética de un Ingeniero de Sistemas:
Principio 1 Sociedad: “Los ingenieros de software actuarán de manera coherente con el
interés general”.
Principio 2 Cliente y Empresario: Los ingenieros del software deberán actuar de tal modo
que se sirvan los mejores intereses para sus clientes y empresarios, y consecuentemente
con el interés general”.
Principio 3 Producto: “Los ingenieros de software deberán garantizar que sus productos y
las modificaciones correspondientes cumplen los estándares más altos posibles”
Principio 4 Juicio: “Los ingenieros de software deberán mantener integridad e
independencia en su valoración profesional”.
Principio 5 Gestión “Los gestores y líderes en ingeniería de software suscribirán y
promoverán un enfoque ético a la gestión del desarrollo y mantenimiento del software.”
Principio 6 Profesión: “Los ingenieros de software deberán progresar en la integridad y
reputación de la profesión, consecuentemente con el interés general.”
Principio 7 Compañeros: “Los ingenieros de software serán justos y serán soporte de sus
compañeros.”
Principio 8: Persona “Los ingenieros de software deberán participar en el aprendizaje
continuo de la práctica de su profesión y promoverán un enfoque ético en la práctica de la
profesión“.
CONCLUSIONES
La seguridad informática no es un tema solo de infraestructura y algoritmos, el factor
humano es el más importante a la hora del éxito o el fracaso.
El profesional de TI está involucrado transversalmente en todos los procesos de las
organizaciones, por ende maneja información relacionada con todos los procesos.
Dicho manejo debe ser confidencial.
La toma de decisiones que realiza el profesional de TI debe ser trasparente y estar
ajustada a las políticas de las organizaciones sin recibir ni ofrecer dadivas.
Los proyectos tecnológicos deben ser en pro de algo, algún beneficio común como
la reducción de costos o la mejora de tiempos de respuesta, es responsabilidad del
Profesional de TI realizar este seguimiento y velar por que las etapas propuestas se
cumplan.
Las facultades de tecnología tiene el reto de proporcionar profesionales con altos
niveles de ética y valores para un desempeño integral de sus funciones.
BIBLIOGRAFIA
González Cruz., A. (s.f.). Administración de centros de cómputo. Recuperado el 19 de Marzo
de 2014, de http://datateca.unad.edu.co/:
http://datateca.unad.edu.co/contenidos/233004/administracion-centros-computo.pdf
Informatica-hoy. (s.f.). Vulnerabilidades de las redes WIFI. Recuperado el 1 de Abri de 2014,
de informatica-hoy.com.ar: http://www.informatica-hoy.com.ar/redes-inalambricas-
wifi/Vulnerabilidades-de-las-redes-WIFI.php
La ética en los sistemas de información . (s.f.). Recuperado el 19 de Marzo de 2014, de UNAD:
http://66.165.175.235/campus18_20141/mod/resource/view.php?id=3673
Solarte Solarte , F. N. (Mayo de 2013). Módulo aspectos éticos y legales de seguridad
informática. (Y. A. Gonzalez Sanabria , Ed.) Recuperado el 19 de Marzo de 2014, de
UNAD: http://66.165.175.235/campus18_20141/mod/resource/view.php?id=3673
ACM. Computing and Public Policy. Recuperado el 7 de abril de 2014, de
http://www.acm.org/serving/