CENTRO INTERNACIONAL DE EDUCACIÓN CONTINUA...Desviando o estableciendo una conexión no autorizada...
Transcript of CENTRO INTERNACIONAL DE EDUCACIÓN CONTINUA...Desviando o estableciendo una conexión no autorizada...
CENTRO INTERNACIONAL DE EDUCACIÓN CONTINUA
“CIDEC”
CARIBBEAN INTERNACIONAL UNIVERSITY
TECNOLOGÍA INFORMÁTICA Y TELECOMUNICACIONES
Grupo 04:
Camargo Martín
Castro Carlos
Regalado Luzmar Gabriela
Santana Santina María
Facilitador:
Ing. Hector Castiblanco
Sección: 224
JUNIO, 2009
INTRODUCCIÓN
La informática como base para el desarrollo de una empresa significa: ahorro de tiempo,
rapidez en los procesos, información inmediata al sonido de un clik; pero si bien es cierto que
regularizar todos los procesos implica comodidades, también es cierto que el capital humano
debe ejercer responsablemente sus acciones, salvaguardar la información y estar preparados
para afrontar acciones con determinación y efectividad. La información aquí contenida nos
prepara y amplia los conocimientos en este sentido.
La utilización de nuevos sistemas de prevención, seguridad y protección nos hace estar
más competentes en el momento en que ocurra alguna eventualidad, cuando los empleados de
una corporación tienen la información más actualizada y al alcance de sus manos, en cuanto a
los diferentes sistemas de seguridad, planes de contingencias y continuidad de la empresa
hace que el impacto de cualquier incidente tenga una medida de riesgo controlado.
En el paseo por este ensayo encontraremos distintas explicaciones de lo que rodea a la
tecnología y sus grandes avances desde como identificar mediante la biometría a una persona,
hasta como llegar a saber qué medidas preventivas se deben tomar en caso de desastres
informáticos e incluso ambientales dentro de una organización.
SEGURIDAD ELÉCTRICA Y FÍSICA
El trabajo con computadoras implica trabajar con electricidad y es por esto que una de
las principales áreas a considerar en la seguridad física. Hoy día es una problemática que va
desde el usuario hogareño hasta la gran empresa.
A medida que la empresa se desarrolla y los sistemas se vuelven más complicados se
hace necesaria la presencia de especialistas para evaluar riesgos particulares y aplicar
soluciones que estén de acuerdo con las normas de seguridad industrial. Desde las subidas o
caídas de tensión (que no son el único problema eléctrico al que se han de enfrentar los
usuarios), hasta el ruido que interfiere en el funcionamiento de los componentes electrónicos. El
ruido interfiere en los datos, además de favorecer la escucha electrónica.
Los cables que se suelen utilizar para construir las redes locales van del cable telefónico
normal al cable coaxial o la fibra óptica. Algunos edificios de oficinas ya se construyen con los
cables instalados para evitar el tiempo y el gasto posterior, y de forma que se minimice el riesgo
de un corte, rozadura u otro daño accidental. Pero entre los riesgos más comunes para el
cableado se pueden resumir en los siguientes:
Interferencia: estas modificaciones pueden estar generadas por cables de alimentación
de maquinaria pesada o por equipos de radio o microondas. Los cables de fibra óptica
no sufren el problema de alteración (de los datos que viajan a través de él) por acción de
campos eléctricos, que si sufren los cables metálicos.
Corte del cable: la conexión establecida se rompe, lo que impide que el flujo de datos
circule por el cable.
Daños en el cable: los daños normales con el uso pueden dañar el apantallamiento que
preserva la integridad de los datos transmitidos o dañar al propio cable, lo que hace que
las comunicaciones dejen de ser fiables.
En la mayor parte de las organizaciones, estos problemas entran dentro de la categoría
de daños naturales. Sin embargo también se pueden ver como un medio para atacar la red si el
objetivo es únicamente interferir en su funcionamiento.
El cable de red ofrece también un nuevo frente de ataque para un determinado intruso
que intentase acceder a los datos. Esto se puede hacer:
Desviando o estableciendo una conexión no autorizada en la red: un sistema de
administración y procedimiento de identificación de accesos adecuados hará difícil que
se puedan obtener privilegios de usuarios en la red, pero los datos que fluyen a través
del cable pueden estar en peligro.
Haciendo una escucha sin establecer conexión, los datos se pueden seguir y pueden
verse comprometidos.
Luego, no hace falta penetrar en los cables físicamente para obtener los datos que
transportan.
También existen cableados de alto nivel de seguridad estos son; cableados de redes
que se recomiendan para instalaciones con grado de seguridad militar. El objetivo es impedir la
posibilidad de infiltraciones y monitoreos de la información que circula por el cable. Consta de un
sistema de tubos (herméticamente cerrados) por cuyo interior circula aire a presión y el cable. A
lo largo de la tubería hay sensores conectados a una computadora. Si se detecta algún tipo de
variación de presión se dispara un sistema de alarma.
Los cables de alimentación, comunicaciones, interconexión de equipos, receptáculos
asociados con computadoras y equipos de procesamiento de datos pueden ser, en caso
necesario, alojados en el espacio que, para tal fin se dispone en los pisos de placas extraíbles,
debajo del mismo.
Se debe proveer un sistema de calefacción, ventilación y aire acondicionado separado,
que se dedique al cuarto de computadoras y equipos de proceso de datos en forma exclusiva.
Teniendo en cuenta que los aparatos de aire acondicionado son causa potencial de incendios e
inundaciones, se recomienda instalar redes de protección en todo el sistema de cañería al
interior y al exterior, detectores y extinguidores de incendio, monitores y alarmas efectivas.
Las Emisiones Electromagnéticas son otro tema preocupante de la seguridad eléctrica y
física de una empresa ya que desde hace tiempo se sospecha que las emisiones, de muy baja
frecuencia que generan algunos periféricos, son dañinas para el ser humano. Según
recomendaciones científicas estas emisiones podrían reducirse mediante filtros adecuados al
rango de las radiofrecuencias, siendo estas totalmente seguras para las personas. Para
conseguir que las radiaciones sean mínimas hay que revisar los equipos constantemente y
controlar su envejecimiento.
CLAVES DE ACCESO
Una clave de acceso es una combinación de letras, números y signos que debe
teclearse para obtener acceso a un programa o partes de un programa determinado, un terminal
u ordenador personal, un punto en la red, etc. Se utiliza también la terminología inglesa
(password) para referirse a la clave de acceso.
Entre las recomendaciones más habituales a la hora de elegir una clave de acceso, está
el no utilizar nombres pertenecientes a familiares o amigos, fechas concretas (nacimiento,
aniversario), nombres de mascotas, o palabras con significado (clave, acceso, etc.). Los expertos
aconsejan utilizar una combinación de letras, números y signos que debe cambiarse con relativa
frecuencia.
Pero cuando entramos con una clave de acceso en muchas oportunidades tenemos
niveles de acceso que diferencia usuarios estándares de administradores de sistemas, es decir,
Los niveles de acceso permiten controlar como se accede a los elementos de la aplicación
usando los modificadores de acceso, los cuales, son palabras reservadas como: Public, Private,
y Friend que preceden a una variable o en la declaración de un tipo. Cuando una modificador de
acceso precede a una declaración de un miembro, este afecta el alcance que el miembro puede
obtener. Cuando un modificador precede a una declaración de un tipo, afecta tanto a sus
miembros, como la forma en que este es instanciado.
Modificadores de acceso:
Modificador Efecto en sus miembros
Public Se puede acceder desde cualquier lugar
Private Se puede acceder a los miembros, solo por el tipo que lo define
Friend Se puede acceder de todos los tipos que están dentro del
assembly, pero no desde fuera.
Protected Se puede acceder a los miembros solo por el tipo que los define o
por el tipo del cual hereda
Protected
Friend
Se puede acceder de todos los tipos que están dentro del assembly
o del tipo del cual hereda. Esto es una unión de protected y friend
Cualquier miembro con el modificador Public, es visible dentro y fuera de la clase, por lo
tanto, otros objetos pueden acceder y modificar sus campos y llamar a sus métodos. Mientras
que con el modificador Private, los métodos son visibles solo dentro del tipo que los declaró.
Algunas consideraciones al utilizar claves de acceso:
Las claves de accesos son personales e intransferibles, trabajar con ellas implica la
responsabilidad personal de quien la posee, tienen caducidad en lapsos variables, pueden ser
dadas de baja por distintas causas, se puede solicitar mayor acceso del uso de los módulos de
un sistema informático siempre y cuando sea autorizado y supervisado por los administradores
del sistema.
Los Virus y Antivirus:
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento
de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente,
reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden
destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también
existen otros más "benignos", que solo se caracterizan por ser molestos.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un
software, no se replican a sí mismos por que no tienen esa facultad como el gusano informático,
son muy nocivos y algunos contienen además una carga dañina (payload) con distintos
objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear
las redes informáticas generando tráfico inútil.
Dado que una particularidad de los virus es el consumo de recursos, los virus ocasionan
problemas tales como: pérdida de productividad, cortes en los sistemas de información o daños
a nivel de datos. Una de las características es la posibilidad que tienen de diseminarse por medio
de replicas y copias. Las redes en la actualidad ayudan a dicha propagación cuando éstas no
tienen la seguridad adecuada. Otros daños que los virus producen a los sistemas informáticos
son la pérdida de información, horas de parada productiva, tiempo de reinstalación, etc. Hay que
tener en cuenta que cada virus plantea una situación diferente.
Algunas de las estrategias de infección usadas por los virus son:
Añadidura o empalme: el código del virus se agrega al final del archivo a infectar,
modificando las estructuras de arranque del archivo de manera que el control del programa pase
por el virus antes de ejecutar el archivo. Esto permite que el virus ejecute sus tareas específicas
y luego entregue el control al programa. Esto genera un incremento en el tamaño del archivo lo
que permite su fácil detección.
Inserción: el código del virus se aloja en zonas de código no utilizadas o en segmentos
de datos para que el tamaño del archivo no varíe. Para esto se requieren técnicas muy
avanzadas de programación, por lo que no es muy utilizado este método.
Reorientación: es una variante del anterior. Se introduce el código principal del virus en
zonas físicas del disco rígido que se marcan como defectuosas y en los archivos se implantan
pequeños trozos de código que llaman al código principal al ejecutarse el archivo. La principal
ventaja es que al no importar el tamaño del archivo el cuerpo del virus puede ser bastante
importante y poseer mucha funcionalidad. Su eliminación es bastante sencilla, ya que basta con
reescribir los sectores marcados como defectuosos.
Polimorfismo: este es el método más avanzado de contagio. La técnica consiste en
insertar el código del virus en un archivo ejecutable, pero para evitar el aumento de tamaño del
archivo infectado, el virus compacta parte de su código y del código del archivo anfitrión, de
manera que la suma de ambos sea igual al tamaño original del archivo. Al ejecutarse el
programa infectado, actúa primero el código del virus descompactando en memoria las porciones
necesarias. Una variante de esta técnica permite usar métodos de encriptación dinámicos para
evitar ser detectados por los antivirus.
Sustitución: es el método más tosco. Consiste en sustituir el código original del archivo
por el del virus. Al ejecutar el archivo deseado, lo único que se ejecuta es el virus, para disimular
este proceder reporta algún tipo de error con el archivo de forma que creamos que el problema
es del archivo.
Especies de Virus:
La clasificación correcta de los virus siempre resulta variada según a quien se le
pregunte. Podemos agruparlos por la entidad que parasitan (sectores de arranque o archivos
ejecutables), por su grado de dispersión a escala mundial, por su comportamiento, por su
agresividad, por sus técnicas de ataque o por cómo se oculta, etc. la presente clasificación
muestra cómo actúa cada uno de los diferentes tipos según su comportamiento. En algunos
casos un virus puede incluirse en más de un tipo (un multipartito resulta ser sigiloso).
Caballos de Troya: Los caballos de troya no llegan a ser realmente virus porque no tienen la
capacidad de autoreproducirse. Se esconden dentro del código de archivos ejecutables y no
ejecutables pasando inadvertidos por los controles de muchos antivirus. Posee subrutinas
que permitirán que se ejecute en el momento oportuno. Existen diferentes caballos de troya
que se centrarán en distintos puntos de ataque. Su objetivo será el de robar las contraseñas
que el usuario tenga en sus archivos o las contraseñas para el acceso a redes, incluyendo a
Internet. Después de que el virus obtenga la contraseña que deseaba, la enviará por correo
electrónico a la dirección que tenga registrada como la de la persona que lo envió a realizar
esa tarea. Hoy en día se usan estos métodos para el robo de contraseñas para el acceso a
Internet de usuarios hogareños. Un caballo de troya que infecta la red de una empresa
representa un gran riesgo para la seguridad, ya que está facilitando enormemente el acceso
de los intrusos. Muchos caballos de troya utilizados para espionaje industrial están
programados para autodestruirse una vez que cumplan el objetivo para el que fueron
programados, destruyendo toda la evidencia.
Camaleones: Son una variedad de similar a los Caballos de Troya, pero actúan como otros
programas comerciales, en los que el usuario confía, mientras que en realidad están
haciendo algún tipo de daño. Cuando están correctamente programados, los camaleones
pueden realizar todas las funciones de los programas legítimos a los que sustituyen (actúan
como programas de demostración de productos, los cuales son simulaciones de programas
reales). Un software camaleón podría, por ejemplo, emular un programa de acceso a
sistemas remotos (rlogin, telnet) realizando todas las acciones que ellos realizan, pero como
tarea adicional (y oculta a los usuarios) va almacenando en algún archivo los diferentes
logins y passwords para que posteriormente puedan ser recuperados y utilizados ilegalmente
por el creador del virus camaleón.
Virus polimorfos o mutantes: Los virus polimorfos poseen la capacidad de encriptar el
cuerpo del virus para que no pueda ser detectado fácilmente por un antivirus. Solo deja
disponibles unas cuantas rutinas que se encargaran de desencriptar el virus para poder
propagarse. Una vez desencriptado el virus intentará alojarse en algún archivo de la
computadora.
En este punto tenemos un virus que presenta otra forma distinta a la primera, su modo
desencriptado, en el que puede infectar y hacer de las suyas libremente. Pero para que el
virus presente su característica de cambio de formas debe poseer algunas rutinas especiales.
Si mantuviera siempre su estructura, esté encriptado o no, cualquier antivirus podría
reconocer ese patrón.
Para eso incluye un generador de códigos al que se conoce como engine o motor de
mutación. Este engine utiliza un generador numérico aleatorio que, combinado con un
algoritmo matemático, modifica la firma del virus. Gracias a este engine de mutación el virus
podrá crear una rutina de desencripción que será diferente cada vez que se ejecute.
Los métodos básicos de detección no pueden dar con este tipo de virus. Muchas veces
para virus polimorfos particulares existen programas que se dedican especialmente a
localizarlos y eliminarlos. Algunos softwares que se pueden bajar gratuitamente de Internet se
dedican solamente a erradicar los últimos virus que han aparecido y que también son los más
peligrosos. No los fabrican empresas comerciales sino grupos de hackers que quieren
protegerse de otros grupos opuestos. En este ambiente el presentar este tipo de soluciones
es muchas veces una forma de demostrar quién es superior o quien domina mejor las
técnicas de programación. Las últimas versiones de los programas antivirus ya cuentan con
detectores de este tipo de virus.
Virus sigiloso o stealth: El virus sigiloso posee un módulo de defensa bastante sofisticado.
Este intentará permanecer oculto tapando todas las modificaciones que haga y observando
cómo el sistema operativo trabaja con los archivos y con el sector de booteo. Subvirtiendo
algunas líneas de código el virus logra apuntar el flujo de ejecución hacia donde se encuentra
la zona que infectada.
Es difícil que un antivirus se dé cuenta de estas modificaciones por lo que será
imperativo que el virus se encuentre ejecutándose en memoria en el momento justo en que el
antivirus corre. Los antivirus de hoy en día cuentan con la técnica de verificación de integridad
para detectar los cambios realizados en las entidades ejecutables.
El virus Brain de MS-DOS es un ejemplo de este tipo de virus. Se aloja en el sector de
arranque de los disquetes e intercepta cualquier operación de entrada / salida que se intente
hacer a esa zona. Una vez hecho esto redirigía la operación a otra zona del disquete donde
había copiado previamente el verdadero sector de booteo.
Este tipo de virus también tiene la capacidad de engañar al sistema operativo. Un virus
se adiciona a un archivo y en consecuencia, el tamaño de este aumenta. Está es una clara
señal de que un virus lo infectó. La técnica stealth de ocultamiento de tamaño captura las
interrupciones del sistema operativo que solicitan ver los atributos del archivo y, el virus le
devuelve la información que poseía el archivo antes de ser infectado y no las reales. Algo
similar pasa con la técnica stealth de lectura. Cuando el SO solicita leer una posición del
archivo, el virus devuelve los valores que debería tener ahí y no los que tiene actualmente.
Este tipo de virus es muy fácil de vencer. La mayoría de los programas antivirus estándar los
detectan y eliminan.
Virus lentos: Los virus de tipo lento hacen honor a su nombre infectando solamente los
archivos que el usuario hace ejecutar por el SO, simplemente siguen la corriente y
aprovechan cada una de las cosas que se ejecutan. Por ejemplo, un virus lento únicamente
podrá infectar el sector de arranque de un disquete cuando se use el comando FORMAT o
SYS para escribir algo en dicho sector. De los archivos que pretende infectar realiza una
copia que infecta, dejando al original intacto.
Su eliminación resulta bastante complicada. Cuando el verificador de integridad
encuentra nuevos archivos avisa al usuario, que por lo general no presta demasiada atención
y decide agregarlo al registro del verificador. Así, esa técnica resultaría inútil. La mayoría de
las herramientas creadas para luchar contra este tipo de virus son programas residentes en
memoria que vigilan constantemente la creación de cualquier archivo y validan cada uno de
los pasos que se dan en dicho proceso. Otro método es el que se conoce como Decoy
launching. Se crean varios archivos .EXE y .COM cuyo contenido conoce el antivirus. Los
ejecuta y revisa para ver si se han modificado sin su conocimiento.
Retro-virus o Virus antivirus: Un retro-virus intenta como método de defensa atacar
directamente al programa antivirus incluido en la computadora. Para los programadores de
virus esta no es una información difícil de obtener ya que pueden conseguir cualquier copia
de antivirus que hay en el mercado. Con un poco de tiempo pueden descubrir cuáles son los
puntos débiles del programa y buscar una buena forma de aprovecharse de ello.
Generalmente los retro-virus buscan el archivo de definición de virus y lo eliminan,
imposibilitando al antivirus la identificación de sus enemigos. Suelen hacer lo mismo con el
registro del comprobador de integridad.
Otros retro-virus detectan al programa antivirus en memoria y tratan de ocultarse o
inician una rutina destructiva antes de que el antivirus logre encontrarlos. Algunos incluso
modifican el entorno de tal manera que termina por afectar el funcionamiento del antivirus.
Virus multipartitos: Los virus multipartitos atacan a los sectores de arranque y a los ficheros
ejecutables. Su nombre está dado porque infectan las computadoras de varias formas. No se
limitan a infectar un tipo de archivo ni una zona de la unidad de disco rígido. Cuando se
ejecuta una aplicación infectada con uno de estos virus, éste infecta el sector de arranque. La
próxima vez que arranque la computadora, el virus atacará a cualquier programa que se
ejecute.
Virus voraces: Estos virus alteran el contenido de los archivos de forma indiscriminada.
Generalmente uno de estos virus sustituirá el programa ejecutable por su propio código. Son
muy peligrosos porque se dedican a destruir completamente los datos que puedan encontrar.
Bombas de tiempo: Son virus convencionales y pueden tener una o más de las
características de los demás tipos de virus pero la diferencia está dada por el trigger de su
módulo de ataque que se disparará en una fecha determinada. No siempre pretenden crear
un daño específico. Por lo general muestran mensajes en la pantalla en alguna fecha que
representa un evento importante para el programador. El virus Michel Angelo sí causa un
daño grande eliminando toda la información de la tabla de particiones el día 6 de marzo.
Conejo: Cuando los ordenadores de tipo medio estaban extendidos especialmente en
ambientes universitarios, funcionaban como multiusuario, múltiples usuarios se conectaban
simultáneamente a ellos mediante terminales con un nivel de prioridad. El ordenador
ejecutaba los programas de cada usuario dependiendo de su prioridad y tiempo de espera. Si
se estaba ejecutando un programa y llegaba otro de prioridad superior, atendía al recién
llegado y al acabar continuaba con lo que hacía con anterioridad. Como por regla general, los
estudiantes tenían prioridad mínima, a alguno de ellos se le ocurrió la idea de crear este
virus. El programa se colocaba en la cola de espera y cuando llegaba su turno se ejecutaba
haciendo una copia de sí mismo, agregándola también en la cola de espera. Los procesos a
ser ejecutados iban multiplicándose hasta consumir toda la memoria de la computadora
central interrumpiendo todos los procesamientos.
Macro-virus: Los macro-virus representan una de las amenazas más importantes para una
red. Actualmente son los virus que más se están extendiendo a través de Internet.
Representan una amenaza tanto para las redes informáticas como para los ordenadores
independientes. Su máximo peligro está en que son completamente independientes del
sistema operativo o de la plataforma. Es más, ni siquiera son programas ejecutables.
Los macro-virus son pequeños programas escritos en el lenguaje propio (conocido como
lenguaje script o macro-lenguaje) propio de un programa. Así nos podemos encontrar con
macro-virus para editores de texto, hojas de cálculo y utilidades especializadas en la
manipulación de imágenes.
Antivirus:
Un antivirus es un programa informático específicamente diseñado para detectar y
eliminar virus. Los reconoce, sabe cómo actúan y también sabe cómo eliminarlos. Si el antivirus
no se actualiza no sería capaz de reconocer los nuevos virus que aparecen diariamente y
perdería casi toda su eficacia, ya que cada día aparecen más de 20 virus nuevos, por lo que
debes de asegurar que tu antivirus este siempre activo y muy especialmente cuando se está
conectado en la internet.
El funcionamiento de un antivirus:
Los programas antivirus se encargan de encontrar y en lo posible eliminar o dejar sin
efecto la acción de los virus informáticos y otro tipo de programas malignos.
A partir de una base de datos que contiene parte de los códigos de cada virus, el
programa antivitus compara el código binario de cada archivo ejecutable con las definiciones
(también llamadas firmas o vacunas) almacenadas en la misma. Es decir que si poseemos un
archivo .exe en Windows y un programa antivirus está activado para controlar la ejecución de
cada ejecutable, cuando corramos el mismo revisará su código binario comparándolo con los
códigos que existan en la base de datos, y en caso de dar positivo sabrá de qué virus se trata y
cómo eliminarlo o detener su accionar: en ciertas oportunidades la única solución es poner el
archivo ejecutable en cuarentena, dado que no se puede quitar la parte vírica del mismo.
Desde hace varios años los programas antivirus utilizan formas un tanto más complejas
que no dependen solamente de la comparación con una base de datos, sino que monitorean las
acciones de los programas para observar si se comportan como virus, a estas técnicas se las
engloba dentro de la heurística.
Entre las empresas y antivirus más conocidos, podemos mencionar NOD32 de Esset,
Norton Antivirus de Symantec, y Panda.
Los programas antivirus actualizan constantemente sus ficheros de definición de virus
con el fin de ser capaces de proteger los sistemas de las últimas amenazas de vírus
identificados. Lo recomendable es activar la opción de actualización automática que poseen los
antivirus, de tal forma que cada vez que se conecte a internet si existe una actualización el
antivirus la descargara y quedara registrada en la definición de virus por lo que se tendrá que
preocupar por algún virus que se interne en tu computadora. Si se desea saber si la
actualización que se descargo en la computadora es el último fichero de definición de virus es
aconsejable visitar la página oficial del antivirus que se tiene instalado.
Existen en Internet gran variedad de antivirus gratuitos, los antivirus de escritorio, que
son programas que se instalan en la computadora como los antivirus en línea a los que se
accede mediante el navegador web.
Biometría:
La biometría es el estudio de métodos automáticos para el reconocimiento único de
humanos basados en uno o más rasgos conductuales o físicos intrínsecos. El término se deriva
de las palabras griegas "bios" de vida y "metron" de medida.
La "biometría informática" es la aplicación de técnicas matemáticas y estadísticas sobre
los rasgos físicos o de conducta de un individuo, para “verificar” identidades o para “identificar”
individuos.
En las tecnologías de la información (TI), la autentificación biométrica se refiere a las
tecnologías para medir y analizar las características físicas y del comportamiento humanas con
propósito de autentificación.
En Disney World, se toman medidas biométricas de los visitantes con pase de varios
días para asegurarse de que el pase es usado por la misma persona todos los días.
Las huellas dactilares, las retinas, el iris, los patrones faciales, de venas de la mano o la
geometría de la palma de la mano, representan ejemplos de características físicas (estáticas),
mientras que entre los ejemplos de características del comportamiento se incluye la firma, el
paso y el tecleo (dinámicas). La voz se considera una mezcla de características físicas y del
comportamiento, pero todos los rasgos biométricos comparten aspectos físicos y del
comportamiento.
La biometría no se puso en práctica en las culturas occidentales hasta finales del siglo
XIX, pero era utilizada en China desde al menos el siglo XIV. Un explorador y escritor que
respondía al nombre de Joao de Barros escribió que los comerciantes chinos estampaban las
impresiones y las huellas de la palma de las manos de los niños en papel con tinta. Los
comerciantes hacían esto como método para distinguir entre los niños jóvenes.
En Occidente, la identificación confiaba simplemente en la "memoria fotográfica"
hasta que Alphonse Bertillon, jefe del departamento fotográfico de la Policía de París, desarrolló
el sistema antropométrico (también conocido más tarde como Bertillonage) en 1883. Éste era el
primer sistema preciso, ampliamente utilizado científicamente para identificar a criminales y
convirtió a la biométrica en un campo de estudio. Funcionaba midiendo de forma precisa ciertas
longitudes y anchuras de la cabeza y del cuerpo, así como registrando marcas individuales como
tatuajes y cicatrices. El sistema de Bertillon fue adoptado extensamente en occidente hasta que
aparecieron defectos en el sistema - principalmente problemas con métodos distintos de
medidas y cambios de medida. Después de esto, las fuerzas policiales occidentales comenzaron
a usar la huella dactilar - esencialmente el mismo sistema visto en China cientos de años antes.
En estos últimos años la biométrica ha crecido desde usar simplemente la huella dactilar,
a emplear muchos métodos distintos teniendo en cuenta varias medidas físicas y de
comportamiento. Las aplicaciones de la biometría también han aumentado - desde sólo
identificación hasta sistemas de seguridad y más. La idea para usar patrones de iris como
método de identificación fue propuesto en 1936 por el oftalmólogo Frank Burch. Para los 1980’s
la idea ya había aparecido en películas de James Bond, pero permanecía siendo ciencia ficción.
En 1985 los Doctores Leonard Flom y Aran Safir retomaron la idea. Su investigación y
documentación les concedió una patente en 1987. En 1989 Flom y Safir recurrieron a John
Daugman para crear algoritmos para el reconocimiento de iris. Estos algoritmos, patentados por
Daugman en 1994 y que son propiedad de Iridian Technologies, son la base para todos los
productos de reconocimiento de iris.
En 1993 la Agencia Nuclear de Defensa empezó a trabajar con IriScan, Inc. para
desarrollar y probar un prototipo. 18 meses después el primer prototipo se completó y está
disponible comercialmente.
Funcionamiento y rendimiento:
En un sistema de Biometría típico, la persona se registra con el sistema cuando una o
más de sus características físicas y de conducta es obtenida, procesada por un algoritmo
numérico, e introducida en una base de datos. Idealmente, cuando entra, casi todas sus
características concuerdan; entonces cuando alguna otra persona intenta identificarse, no
empareja completamente, por lo que el sistema no le permite el acceso. Las tecnologías actuales
tienen tasas de error que varían ampliamente (desde valores bajos como el 60%, hasta altos
como el 99,9%).
El rendimiento de una medida biométrica se define generalmente en términos de tasa de
falso positivo (False Acceptance Rate o FAR), la tasa de falso negativo (False NonMatch Rate o
FNMR, también False Rejection Rate o FRR), y el fallo de tasa de alistamiento (Failure-to-enroll
Rate, FTR o FER).
En los sistemas biométricos reales el FAR y el FRR pueden transformarse en los demás
cambiando cierto parámetro. Una de las medidas más comunes de los sistemas biométricos
reales es la tasa en la que el ajuste en el cual acepta y rechaza los errores es igual: la tasa de
error igual (Equal Error Rate o EER), también conocida como la tasa de error de cruce (Cross-
over Error Rate o CER). Cuanto más bajo es el EER o el CER, se considera que el sistema es
más exacto.
Las tasas de error anunciadas implican a veces elementos idiosincrásicos o subjetivos.
Por ejemplo, un fabricante de sistemas biométricos fijó el umbral de aceptación alto, para reducir
al mínimo las falsas aceptaciones; en la práctica, se permitían tres intentos, por lo que un falso
rechazo se contaba sólo si los tres intentos resultaban fallidos (por ejemplo escritura, habla, etc.),
las opiniones pueden variar sobre qué constituye un falso rechazo. Si entro a un sistema de
verificación de firmas usando mi inicial y apellido, ¿puedo decir legítimamente que se trata de un
falso rechazo cuando rechace mi nombre y apellido? A pesar de estas dudas, los sistemas
biométricos tienen un potencial para identificar a individuos con un grado de certeza muy alto. La
prueba forense del ADN goza de un grado particularmente alto de confianza pública actualmente
(ca. 2004) y la tecnología está orientándose al reconocimiento del iris, que tiene la capacidad de
diferenciar entre dos individuos con un ADN idéntico.
Tabla comparativa de sistemas biométricos:
Lo que sigue a continuación es una tabla en la que recogen las diferentes características
de los sistemas biométricos:
Ojo
(Iris)
Ojo
(Retina)
Huellas
dactilares
Geometría
de la mano
Escritura
y firma Voz Cara
Fiabilidad Muy
alta Muy alta Alta Alta Media Alta Alta
Facilidad de
uso Media Baja Alta Alta Alta Alta Alta
Prevención
de ataques
Muy
alta Muy alta Alta Alta Media Media Media
Aceptación Media Baja Alta Alta Muy alta Alta Muy
alta
Estabilidad Alta Alta Alta Media Baja Media Media
Estándares asociados a tecnologías biométricas
En los últimos años se ha notado una preocupación creciente por las organizaciones
regulatorias respecto a elaborar estándares relativos al uso de técnicas biométricas en el
ambiente informático. Esta preocupación es reflejo del creciente interés industrial por este ámbito
tecnológico, y a los múltiples beneficios que su uso aporta. No obstante ello, aún la
estandarización continua siendo deficiente y como resultado de ello, los proveedores de
soluciones biométricas continúan suministrando interfaces de software propietarios para sus
productos, lo que dificulta a las empresas el cambio de producto o vendedor.
A nivel mundial el principal organismo que coordina las actividades de estandarización
biométrica es el Sub-Comité 17 (SC17) del Joint Technical Committee on Information Technology
(ISO/IEC JTC1), del International Organization for Standardization (ISO) y el International
Electrotechnical Commission (IEC).
En Estados Unidos desempeñan un papel similar el Comité Técnico M1 del INCITS
(InterNational Committee for Information Technology Standards), el National Institute of
Standards and Technology (NIST) y el American National Standards Institute (ANSI).
Existen además otros organismos no gubernamentales impulsando iniciativas en
materias biométricas tales como: Biometrics Consortium, International Biometrics Groups y
BioAPI. Este último se estableció en Estados Unidos en 1998 compuesto por las empresas
Bioscrypt, Compaq, Iridiam, Infineon, NIST, Saflink y Unisis. El Consorcio BioAPI desarrolló
conjuntamente con otros consorcios y asociaciones, un estándar que promoviera la conexión
entre los dispositivos biométricos y los diferentes tipos de programas de aplicación, además de
promover el crecimiento de los mercados biométricos.
Los estándares más importantes son: Estándar ANSI X.9.84 Estándar creado en 2001,
por la ANSI (American National Standards Institute) y actualizado en 2003, define las
condiciones de los sistemas biométricos para la industria de servicios financieros haciendo
referencia a la transmisión y almacenamiento seguro de información biométrica, y a la seguridad
del hardware asociado.
Estándar ANSI / INCITS 358 Estándar creado en 2002 por ANSI y BioApi Consortium,
que presenta una interfaz de programación de aplicación que garantiza que los productos y
sistemas que cumplen este estándar son interoperables entre sí.
Estándar NISTIR 6529 También conocido como CBEFF (Common Biometric Exchange
File Format) es un estándar creado en 1999 por NIST y Biometrics Consortium que propone un
formato estandarizado (estructura lógica de archivos de datos) para el intercambio de
información biométrica.
Procesos de Autentificación e Identificación biométrica:
En el proceso de autentificación (o verificación) los rasgos biométricos se comparan
solamente con los de un patrón ya guardado, este proceso se conoce también como uno-para-
uno ( 1:1 ). Este proceso implica conocer presuntamente la identidad del individuo a autentificar,
por lo tanto, dicho individuo ha presentado algún tipo de credencial, que después del proceso de
autentificación biométrica será validada o no.
En el proceso de identificación los rasgos biométricos se comparan con los de un
conjunto de patrones ya guardados, este proceso se conoce también como uno-para-muchos (
1:N ). Este proceso implica no conocer la identidad presunta del individuo, la nueva muestra de
datos biométricos es tomada del usuario y comparada una a una con los patrones ya existentes
en el banco de datos registrados. El resultado de este proceso es la identidad del individuo,
mientras que en el proceso de autentificación es un valor verdadero o falso.
El proceso de autentificación o verificación biométrica es más rápido que el de
identificación biométrica, sobre todo cuando el número de usuarios (N) es elevado. Esto es
debido a que la necesidad de procesamiento y comparaciones es más reducido en el proceso de
autentificación. Por esta razón, es habitual usar autentificación cuando se quiere validar la
identidad de un individuo desde un sistema con capacidad de procesamiento limitada o se quiere
un proceso muy rápido.
Cuestiones y preocupaciones:
Como con muchos otros progresos tecnológicos interesantes y de gran alcance, las
excesivas dudas en lo referente a la biometría pueden eclipsar una crítica más general. La
biometría puede llegar a asociarse con fallos severos de la justicia en aquellos casos en los que
la tecnología ha desviado la atención del verdadero foco, así, un individuo podría:
Introducir deliberadamente ADN en la escena de un crimen
Relacionar sus propios parámetros biométricos con la identidad de otra persona
Reconocimiento de iris: El iris es una membrana pigmentada suspendida en el interior
del ojo, entre la córnea y el cristalino. Regula el tamaño de la pupila para controlar la cantidad de
luz que ingresa al ojo. Adquiere su pigmentación de la melatonina.
Antes de que ocurra el reconocimiento de iris, se localiza el iris usando características
del punto de referencia. Estas características del punto de referencia y la forma distinta del iris
permiten digitalización de la imagen, el aislamiento de la característica, y la extracción. La
localización del iris es un paso importante en el reconocimiento del iris porque, si está hecho
incorrectamente, el ruido resultante (e.g., pestañas, reflexiones, pupilas, y párpados) en la
imagen puede conducir al bajo rendimiento.
Debido a que el infrarrojo tiene energía insuficiente para causar efectos fotoquímicos, la
modalidad potencial principal de daños es termal. Cuando se produce NIR usando los diodos
electroluminosos, la luz que resulta es incoherente. Cualquier riesgo para la seguridad del ojo es
remoto con una sola fuente de LED usando tecnología de LED de hoy. Los iluminadores
múltiples de LED pueden, sin embargo, producir daño en el ojo si no es diseñado y usado
cuidadosamente.
Robo de identidad: Las preocupaciones acerca del robo de identidad por el uso de la
Biometria aún no han sido resueltas. Si el número de tarjeta de crédito de una persona es
robado, por ejemplo, puede causarle a esa persona grandes dificultades. Si sus patrones de
escaneado de iris son robados, sin embargo, y eso permite a otra persona acceder a información
personal o a cuentas financieras, el daño podría ser irreversible. Frecuentemente, las
tecnologías biométricas han sido puestas en uso sin medidas adecuadas de seguridad para la
información personal que es resguardada a través de las mismas.
Privacidad: aunque la biometría es frecuentemente utilizada como un medio para
combatir la criminalidad, existe la preocupación de que la biometría pueda ser utilizada para
disminuir las libertades personales de los ciudadanos.
Los desarrollos en tecnología video digital, infrarrojos, rayos X, inalámbricas, sistemas
de posicionamiento global, biometría, escaneado de imágenes, reconocimiento de voz, ADN, e
identificación de ondas cerebrales le proveen al gobierno con nuevos métodos para "buscar e
investigar" vastas bases de datos individuales y colectivas de información sobre la población en
general.
Hacker y Cracker:
Hacker: es el neologismo utilizado para referirse a un experto en varias o alguna rama
técnica relacionada con la informática: programación, redes de computadoras, sistemas
operativos, hardware de red/voz, etc. Se suele llamar hacker y hackear a las obras propias de un
hacker. El término "hackers" trasciende a los expertos relacionados con la informática, para
también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión,
ya que en la descripción más pura, un hacker es aquella persona que le apasiona el
conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas.
Los hackers no necesitan caros equipos informáticos y una estantería rellena de
manuales técnicos; hackear puede ser sorprendentemente fácil, mejor todavía, si se sabe cómo
explorar el World Wide Web, se puede encontrar casi cualquier información relacionada
totalmente gratis. De hecho, hackear es tan fácil que si se tiene un servicio on-line y se sabe
cómo enviar y leer un e-mail, se puede comenzar a hackear inmediatamente. Pero para ser
hacker se deben cumplir ciertos mandamientos como los que se describen:
I. Nunca destrozar nada intencionalmente en la Computadora que se este crackeando.
II. Modificar solo los archivos que hagan falta para evitar la detección y asegurar su acceso
futuro al sistema.
III. Nunca dejar la dirección real, nombre o teléfono en ningún sistema.
IV. Ser cuidadoso con respecto a quien se le pasa la información. A ser posible no pase nada a
nadie que no conozca su voz, número de teléfono y nombre real.
V. Nunca dejar los datos reales en un BBS, si no conoce al sysop dejar un mensaje con una lista
de gente que pueda responder al hackeador.
VI. Nunca hackear en computadoras del gobierno. El gobierno puede permitirse gastar fondos en
buscar mientras que las universidades y las empresas particulares no.
VII. No usar BlueBox a menos que no se tenga un servicio local o un 0610 al que conectarte. Si
se abusa de la bluebox, se puede ser descubierto.
VIII. No hay que dejar en ningún BBS mucha información del sistema crackeado. Hay que decir
por ejemplo "estoy trabajando en un UNIX o en un COSMOS...."
IX. No preguntar, nadie contestara, hay que pensar que por responder a una pregunta, pueden
cazar al hacker, al que contesta o a ambos.
X. Punto final. Se puede pasear por la WEB, y mil cosas más, pero hasta no estar realmente
hackeando no se sabrá lo que es.
Terminologías:
White hat: Un hacker de sombrero blanco (del inglés, White hats), en jerga informática,
se refiere a una ética hacker que se centra en asegurar y proteger los sistemas de TI. Estas
personas suelen trabajar para empresas de seguridad informática las cuales los denominan, en
ocasiones, «zapatillas o equipos tigre».
En los últimos años, los términos sombrero blanco y un sombrero negro han sido
aplicados a la industria del posicionamiento en buscadores (Search Engine Optimization, SEO).
Las tácticas de posicionamiento en buscadores de los hackers de sombrero negro, también
llamada spamdexing, intento de redireccionar los resultados de la búsqueda a páginas de
destino particular, son una moda que está en contra de los términos de servicio de los motores
de búsqueda, mientras que los hackers de sombrero blanco, utilizan métodos que son
generalmente aprobados por los motores de búsqueda.
Luser: Es un término utilizado para referirse a los usuarios comunes, de que
generalmente se encuentra en desventaja frente a los usuarios expertos (hackers), quienes
pueden controlar todos los aspectos de un sistema.
Phreaker: De phone freak ("monstruo telefónico"). Son personas con conocimientos
tanto en teléfonos modulares (TM) como en teléfonos móviles, se encuentran sumergidos en
entendimientos de telecomunicaciones bastante amplios.
Wannabe: Generalmente son aquellos a los que les interesa el tema de hacking y/o
phreaking pero que por estar empezando no son reconocidos por la elite. Son aquellos que si
perseveran aprendiendo y estudiando, pueden llegar a convertirse perfectamente en hackers. No
por ser novato es repudiado, al igual que tampoco hay que confundirlo con un lammer.
Newbie: Newbie es una probable derivación del término new boy, arquetipo del "niño
nuevo", que debido a la falta de interacciones socioculturales, queda vulnerable a varios tipos de
abusos por parte de los otros.
Son los hacker novatos, se introducen en sistemas de fácil acceso y fracasan en muchos
intentos, sólo con el objetivo de aprender las técnicas que puedan hacer de él.
Son más precavidos y cautelosos que los lamers, aprenden de los métodos de hacking,
no se mofan con lo que hacen sino sacan provecho de todo lo que pueden aprender, por lo
general llegan tanto a apasionarse por la informática, la electrónica y las telecomunicaciones que
aspiran a llegar a ser hackers.
Lammer o script-kiddies: Es un término coloquial inglés aplicado a una persona falta
de madurez, sociabilidad y habilidades técnicas o inteligencia, un incompetente, que por lo
general pretenden hacer hacking sin tener conocimientos de informática. Solo se dedican a
buscar y descargar programas de hacking para luego ejecutarlos, como resultado de la ejecución
de los programas descargados estos pueden terminar colapsando sus sistemas por lo que en
general acaban destrozando la plataforma en la que trabajan.
Son aprendices que presumen ser lo que no son, aprovechando los conocimientos del
hacker y poniéndolos en práctica, sin saber. En pocas palabras, no saben nada de hacking o
roban programas de otros, frecuentemente recién hechos, y dicen que lo crearon ellos.
Samurai: Normalmente es alguien contratado para investigar fallos de seguridad, que
investiga casos de derechos de privacidad, esté amparado por la primera enmienda
estadounidense o cualquier otra razón de peso que legitime acciones semejantes. Los samurais
desdeñan a los crackers y a todo tipo de vándalos electrónicos.
Black hat: Un hacker de sombrero negro (del inglés, Black Hat) es el villano o chico
malo, especialmente en una película de western, de ahí que en tal carácter se use un sombrero
negro, en contraste con el héroe, el de sombrero blanco.
También conocidos como "CRACKERS" muestran sus habilidades en informática
rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas
restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas utilizando sus
destrezas en métodos hacking. Este tipo de experto entra en los sistemas con malas intenciones
y también suelen contar con tecnologías avanzadas para cometer sus acciones y como se
mencionó es capaz de deteriorar complejos sistemas.
Planes de Contingencia:
Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Presenta
una estructura estratégica y operativa que ayudara a controlar una situación de emergencia y a
minimizar sus consecuencias negativas.
Un plan de contingencia propone una serie de procedimientos alternativos al
funcionamiento normal de una organización cuando alguna de sus funciones usuales se ve
perjudicada por una contingencia interna o externa.
Este tipo de plan, por lo tanto, intenta garantizar la continuidad del funcionamiento de la
organización frente a cualquier eventualidad, ya sean materiales o personales. Los especialistas
recomiendan planificar aun cuando no es necesario, por otra parte un plan de contingencia debe
ser dinámico y tiene que permitir la inclusión de alternativas frente a nuevas incidencias que se
pudieran producir con el tiempo, pero esto debe ser actualizado y revisado de forma periódica.
En la informática un plan de contingencia es un programa alternativo para que una
empresa pueda recuperarse de un desastre informático y restablecer sus operaciones con
rapidez.
Algunos pasos para la ejecución de un plan de contingencia:
Primer paso: Integre el 'Equipo de Recuperación de Desastres' y defina los roles y
responsabilidades: Se debe integrar el 'Equipo de Recuperación de Desastres'. En el momento
de la crisis y dependiendo del alcance del desastre no se sabrá con que personas se puede
contar. Por ello es vital definir los roles y las responsabilidades que han de asumir cada uno de
estos. Se describe la línea de mando o línea de reporte. Durante los simulacros se debe indicar
quienes
pueden o deben asumir todos y cada uno de los roles.
Segundo paso: Identificación de Riesgos. Es imperativo elaborar una lista prolija de los
Riesgos. Entre aquellos más comunes se pueden identificar: no disponibilidad de líneas
telefónicas; falta de comunicación de líneas privadas; servicios de cómputo no disponibles o
limitados; acceso restringido a las instalaciones físicas; destrucción total o parcial de
instalaciones; documentación con acceso limitado; pérdida de elementos de función crítica para
el funcionamiento de la empresa... La tarea anterior puede representarse en un Mapa de
Riesgos. Su divulgación será benéfica y muchos empleados podrán brindar su apoyo para
adicionarlo.
Tercer paso: Plan de Recuperación. Para cada uno de los riesgos identificados se debe
establecer cuáles son las actividades a desarrollar, qué rol se encarga, en qué momento y cuál
debe ser la duración esperada. Además se debe establecer un cronograma y en él se consigna
la precedencia de las actividades y tareas. Debe disponer de recursos financieros no previstos.
Por ello el presupuesto de operaciones incluye una partida para esta eventualidad. La operación
puede restablecerse con un mínimo de facilidades: estas deben estar claramente identificadas.
Cuarto paso: Preparación y divulgación del Plan. La elaboración del documento con el
Plan de Contingencia y Continuidad de Negocio obedece a las normas que se encuentren
vigentes dentro de la empresa. Es importante recordar que se puede buscar apoyo de terceros:
en tal caso ellos han de conocer el plan y deben suscribir los contratos necesarios. La
divulgación del documento es fundamental: se planean charlas de divulgación para explicar a
todos los miembros de la organización sobre el alcance de este Plan, junto con la importancia de
su observación oportuna. Es imperativo recordar que su inicio estará sujeto por completo a
sucesos externos que no se pueden controlar.
Quinto paso: Mejores prácticas. Aprender de la experiencia ajena: esta es un máxima
que conviene observar. Es imposible prever todas las eventualidades que puedan suceder en el
momento de una tragedia. Por ello resulta importante interesarse por investigar cómo se han
elaborado planes similares en empresas que tengan un objetivo empresarial semejante.
Consultar con varias de ellas y trabajar para crear un grupo de consulta puede ser interesante.
Recomendación final Como en todo plan, el éxito se logra con una buena planeación.
En este caso particular entra en vigencia un nuevo elemento: la confianza en el conocimiento
del plan. Los grandes proyectos tienen algo en común: un entrenamiento vigoroso y un deseo
básico de lograr el premio ansiado: la buena ejecución dentro de los parámetros de Calidad,
cumplimiento del cronograma previsto y uso óptimo del presupuesto disponible.
Continuidad del negocio:
Un Plan de Continuidad del Negocio integra a todas las áreas de la compañía para
asegurar la operación, a pesar de las contingencias. Pero en la mayoría de los casos,
desafortunadamente nos encontramos que los planes de contingencia en las empresas están
fundamentalmente enfocados a proteger la información (datos) y la infraestructura central de
Tecnologías de Información (TI).
A este concepto se le denomina Disaster Recovery Plan (DRP). En base a estudios
realizados por KPMG, sólo el 23% de las empresas tiene un Plan Integral de Continuidad de
Negocios.
Un Plan de Continuidad del Negocio o BCP debe considerar todas las áreas de la
empresa de manera integral incluso desde la estrategia, incorporando el DRP en conjunto con
los elementos mínimos requeridos para continuar con la operación del negocio.
El BCP es un plan de procedimientos alternativos a la forma tradicional de operar de la
empresa y es una herramienta que ayuda a que los procesos que se consideran críticos para la
organización continúen funcionando en una situación extraordinaria, a pesar de una situación
incontrolable en el entorno.
El contar con un plan de esta naturaleza significa que la organización está preparada
adecuadamente para cualquier eventualidad, continuando con su operación e impactando lo
menos posible la salud financiera de la empresa.
Las primeras 72 horas después de la interrupción, son vitales para saber si el negocio
soportará o morirá debido a la contingencia que se presenta. Morir, no será un acto inmediato,
sino que puede ser un proceso irreversible y lento porque no se tuvieron las respuestas
inmediatas para adaptarse al entorno que se presenta.
Un BCP contempla la continuidad de los procesos y servicios críticos del negocio y se
integra bajo las dimensiones de organización (recursos humanos, materiales y líneas de mando),
operaciones (políticas y procedimientos), Tecnologías de Información e instalaciones, analizados
bajo el marco de referencia de la continuidad.
Las características que debe tener un BCP son:
* Claridad
* Ser de fácil entendimiento
* Concreto
El BCP es para toda la organización, y no debe descansar sólo en el nivel directivo, ya
que quien opera es el grupo que debe estar más inmerso en el entendimiento y aplicación del
mismo. Bajo esta premisa, el capital humano tiene un peso importantísimo, ya que es el
responsable de su aplicación y operación, por lo que debe existir un adecuado proceso de
capacitación.
¿Qué hacer ante una situación?
En caso, de que la empresa no cuente con un Plan de Continuidad de Negocios, se
recomienda reflexionar sobre los 4 aspectos mínimos que apoyen la implantación de un plan
contingente hasta que pase la crisis:
1.- Crear un Comité de Crisis
Este Comité deberá estar integrado por los principales ejecutivos de la empresa que
representen el 100% de la operación. Este órgano será el único que tomará decisiones mientras
dure la crisis y será el responsable de construir un plan para atacar la contingencia.
2.- Crear un vínculo de comunicación permanente con la organización
El Comité de Crisis deberá de contar con un vínculo de comunicación entre éste y todos
los miembros de la organización. Se deberá crear un Plan de Comunicación bien estructurado,
permanente y continuo para mantener a la organización y sus colaboradores bien informados.
3.- Desde el punto de vista de operaciones:
Identificar los procesos/actividades del negocio vitales en la operación y su interrelación
con los procesos totales del negocio.
Definición de prioridades y marcos de referencia en el tiempo; Definición de alternativas
para la continuidad de servicios críticos; Descripción de plan de recuperación para los escenarios
de interrupción más comunes; Minimizar la toma de decisiones durante la crisis.
4.- Desde el punto de vista de requerimientos:
Seleccionar y definir equipos de trabajo con personal comprometido y experiencia
funcional.
Definir recursos mínimos requeridos para mantener la operación y comunicación de toda
la organización, como pueden ser: laptops, enlace a Internet, VPN, teléfonos celulares,
concentración de grupos críticos, etc. Definir requerimientos de recuperación de los procesos
considerados no críticos, para estabilizar la operación. Definir esquemas de reporte y
seguimiento diario a la operación mediante los grupos focales, definidos en etapas anteriores.
Los beneficios de actuar bajo un plan son:
Análisis claro y preciso, y conocimiento consistente y continuo sobre la situación del
negocio y la efectividad de la estrategia de continuidad definida.
Evaluación técnica de riesgos asociados a la continuidad y evaluación de alternativas y
estrategias de minimización de riesgos.
Mapeo crítico de los recursos mínimos requeridos en la continuidad de los procesos del
negocio.
Control del impacto financiero y operacional, causado por la interrupción de la operación
natural del negocio
Análisis y reducción del nivel de riesgo al cual se encuentra expuesta la entidad.
Decisiones rápidas y acertadas para subsanar posibles riesgos inherentes a la situación
y esquema de operación en el que se encuentra el negocio
Desarrollo de cultura y personal mejor capacitado y sensibilizado en la importancia de la
continuidad en la entidad.
Un BCP es un concepto aplicable a todo tipo de industria y tamaño de empresa y debe
considerarse como un plan vivo y dinámico. El beneficio más importante es el conocimiento de la
operación y de todos y cada uno de quienes participan en cada proceso crítico. Es muy
importante enfatizar que no sólo es para los directivos, sino para todos los elementos que forman
parte de la corporación, aunque la decisión de elaborar un plan de contingencia debe partir del
equipo directivo ya que involucra la supervivencia de la organización.
CONCLUSIONES
Algunos años atrás la preocupación por estar protegidos en el ámbito informático solo se
limitaba a reguardar datos o información; pero hoy día esta preocupación va mas allá de tener
claves protegidas o antivirus actualizados.
Tal vez en algunos los casos quizás una empresa no necesite utilizar determinados
sistemas preventivos de los aquí nombrados, pero mantener actualizados estos sistemas es
necesario ya que conservan en el hilo dinámico del cambiante entorno tecnológico al que
estamos enfrentados.
En cuanto a costos es más efectivo prevenir que recuperarse de una perdida ya sea
parcial o total, independientemente del detonante de esta.
Integrar de manera progresiva el capital humano y las tecnologías de información es el
primer paso para el fortalecimiento de una organización ya que enfrentar cambios y retos en
conjunto significa mejorar procedimientos operativos y disponer de manera inmediata de
soluciones positivas para las partes.