Embed Size (px)
Citation preview
98
CAPITULO IV
DISEÑO DE UN MOOELO DE SEGURIDAD EB-SECURITY PARA INTERNET APLICADO A LOS E-BUSINESS QUE REALIZAN LAS PEQUEÑAS Y MEDIANAS
EMPRESAS UBICADAS CIBERNÉTICAMENTE EN EL DOMINIO DE EL SALVADOR (.SV)
A. GENERALIDADES DE LA PROPUESTA
La propuesta de solución al problema de inseguridad que enfrentan las Pequeñas y
Medianas Empresas Salvadoreñas al realizar E-Business, está constituida por el
diseño o creación de un Modelo de Seguridad denominado "EB-Security" .
El Modelo de Seguridad EB-Security para Internet aplicado a los E-Business que
realizan las Pequeñas y Medianas Empresas ubicadas cibernéticamente en el
dominio de la Red Salvadoreña SVNET, constituye una herramienta que expone de
manera clara : las causas de la vulnerabilidad en Internet, las formas de acecho a la
información, los métodos de ataque utilizados por los piratas informáticos (hackers),
los tipos de virus, sus formas y sus evoluciones. Presenta también las técnicas para
resolver conflictos generados por la inseguridad en Internet y para reducir el tiempo
involucrado en la búsqueda de soluciones (que se traduce en perdidas económicas)\
cuando ya se ha sido afectado. Destaca, además, la importancia de contar con
medidas de seguridad al realizar E-Business y expone directrices que guiarán
especialmente a los involucrados en la sociedad de) la informática como también a
los usuarios de Internet en general , a disminuir la fragilidad en la Web.
99
B. JUSTIFICACiÓN DE LA PROPUESTA
Dada la internacionalización de la red de redes (Internet), la propuesta del diseño del
Modelo de Seguridad "EB-Security", puede fácilmente tener aplicabilidad para los
distintos actores de los diferentes sectores del país, como también para sus distintas
ramas de actividad económica.
Para fines académicos, los estudiantes encontrarán un prontuario o compendio de
información para sus investigaciones que podrá ser tomado como base para futuros
estudios o investigaciones, facilitando así a los estudiantes el acceso a la información
vertida por instituciones y organizaciones relacionadas con el sector de la Pequeña y
Mediana Empresa en El Salvador. A la vez, contarán con información técnica y de
aplicación para tomar en cuenta en el momento de navegar por la Internet y
asegurarse de que la vulnerabilidad está siendo disminuida.
El hecho de que las Pequeñas y Medianas empresas ubicadas cibernéticamente en
el dominio de la SVNET tengan a su disposición el Modelo de Seguridad EB-Security
para Internet al momento de realizar E-Business, contribuirá a que las operaciones
virtuales sean más confiables y sus sistemas se vuelvan menos vulnerables,
permitiendo que se potencial ice y se aprovechen mejor las ventajas del uso de la
tecnología y los negocios electrónicos.
100
C. IMPORTANCIA DE LA PROPUESTA
Al conducir un vehículo automotor por una carretera existen muchos elementos
alrededor del conductor: otros vehículos, peatones, piedras, baches, y demás que en
un momento determinado y en circunstancias no adecuadas se convierten en
generadores de graves problemas a pesar de que las carreteras estén señalizadas y
existan reglas y limites establecidos de velocidad. Popularmente, a Internet se le ha
denominado la "supercarretera" de la información ; de esta manera, navegar en
Internet se compara a conducir en una autopista; sin embargo: INTERNET no tiene
reglas! Sus controles son escasos y muy fáciles de vulnerar por personas que se
dedican a ello por diversión muchas veces. Los virus, las molestas bromas, los sitios
y las ofertas falsas son algunas de las tantas situaciones a las que se está expuesto
al conectarse a Internet.
Partiendo de lo anterior, la presente propuesta, en primer lugar, da a conocer esos
riesgos y las amenazas, acechos y vulnerabilidades a los que todos los internautas
se ven expuestos al conectarse a Internet. En segundo lugar, se complementa al no
sólo dotar del conocimiento acerca de los riesgos sino también presentar las
soluciones y las medidas de protección a considerar al utilizar Internet y realizar E
Business.
Internet les permite a las empresas ampliar su alcance, así como también incursionar
en nuevos mercados, mejorar la calidad de su oferta por medio de la competencia a
escala global y generar prácticas a favor de una mayor eficiencia dentro de la cultura
empresarial. Por lo tanto, la adecuada implementación de este Modelo de Seguridad
en Internet por parte de las PYMEs les ayudará a éstas a incrementar sus E
Business, ya que generará confianza al incursionar en este tipo de mercados del
mundo globalizado de hoy.
101
D. ALCANCE DE LA PROPUESTA
El alcance de la propuesta puede dividirse de la forma siguiente:
1. Pequeñas y Medianas Empresas
a) Personal Informático
El Modelo de Seguridad EB-Security contiene un apartado especialmente dirigido al
personal del área de informática de las PYMEs, en el cual se cubren temas con un
enfoque mayormente técnico tales como métodos de protección en la Internet,
técnicas para detectar ataques cibeméticos, políticas de seguridad en Internet tales
como neutralización de virus, paredes de fuego (firewalls), encriptación.
b) Personal que Realiza E-Business
En esta sección se cubren temas dirigidos al personal de los sectores de la pequeña
y mediana empresa que llevan a cabo E-Business. Se utiliza un lenguaje no
estrictamente técnico y tópicos de fácil comprensión. Algunos de los temas
expuestos en esta sección son: los virus informáticos, cómo hacer mejores y más
seguros negocios electrónicos, cómo protegerse en Internet.
2. Maestros y Estudiantes
a) Maestros
Los profesores fácilmente pueden encontrar información para ampliar temas
relacionados con Internet, E-Business, Virus, Técnicas de Seguridad, Métodos y
Tipos de Ataques y Políticas de Seguridad.
102
b) Estudiantes
Los estudiantes podrán encontrar en este módulo información que les permita
preparar temas de estudio, de investigación, discusión y demás temas relacionados
con la Seguridad en Internet y los E-Business.
Como consecuencia de la propagación del uso de Internet y la inmensa y variada
información que contiene, ambos grupos maestros y estudiantes se vuelven usuarios
activos de esta herramienta del conocimiento y la investigación, por lo cual ellos
también pueden sacar provecho de las recomendaciones y formas de protección que
se presentan.
103
E. DEFINICiÓN DEL MODELO
Este modelo ha sido denominado "Modelo EB-Security".
El término "EB-Security" es un término compuesto, que de acuerdo con su origen se
compone de tres palabras del idioma inglés: E, del inglés "Electronic" que significa
"Electrónico"; B, del inglés "Business", que significa "Negocios"; y "Secutiiy", que
significa 11Seguridad".
Consecuentemente, el modelo de seguridad EB-Security se define como:
El compendio de directrices, políticas, técnicas y métodos que proporcionan a la
Pequeña y Mediana empresa salvadoreña la orientación y capacidad para protegerse
con medidas de segundad al realizar E-Business.
104
F. OBJETIVOS DEL MODELO
1. General
Dotar a las Pequeñas y Medianas Empresas (PYMEs) que realizan E-Business de un
Instrumento que les capacite en el conocimiento adecuado respecto a la Seguridad
en Internet y les proporcione la oportunidad de hacer negocios electrónicos más
confiables.
2. Específicos
1.1 Poner a disposición de las Pequeñas y Medianas Empresas (PYMEs) un
compendio de directrices de seguridad para aplicar al momento de realizar E
Business.
1.2 Dotar a las Pequeñas y Medianas Empresas (PYMEs) de conocimiento útil
respecto a los ataques y riesgos a los que se está expuesto al hacer uso de
Internet.
1.3 Facilitarle al público interesado en el tema de E-Busíness y Seguridad en Internet
una herramienta para su estudio.
- - ---- - - - - - --- - ------
lOS
G. ESQUEMA DEL MODELO
.,",
FASE I [.
-- -............................•...- ' - ,
l_>l_A_G_J_O.STICO DE LA SEG URIDAD _N LOS E-BUS I NES~
VIRUS
VULNERABILIDAD
ACECHOS
AAlENAZIIS
E V A L U A e I o N
FASE 11 ,- _ ..--- _._
MEDIDAS DE SEGU lOAD PARA PE SO N
In
-- , -- -----
- - --;===========:::::::;- _. _ ...-
L INFORMA T1 C(
FASE=-I~V_ _ --I- -J
FASE 11I
¡- - - _ .--;======.::....:======:;--.._- _ ...- .
S E E B G U U S R I I N D E A S o s
CONFIABILlDAD EN LOS E-BUSINE SS ]
ECONOMIASOCIEDAD NACIONAL
- ,
R E T R o A L I M E N T A e I o N
106
H. CONTENIDO DEL MODELO
1. Diagnóstico del Estado Actual de la Seguridad en los E-Business realizados por las PYMEs
Los resultados de la investigación de campo realizada a las PYMEs durante el mes
de noviembre del año dos mil dos, respecto a los E-Business y la seguridad en
Internet, evidenciaron los aspectos siguientes:
1.1 Factores de Vulnerabilidad en Internet
De acuerdo con la investigación de campo realizada al sector de las Pequeñas y
Medianas Empresas que tienen registrado su sitio web en la SVNET, los aspectos
descuidados son principalmente los aspectos "del conocimiento y del saber" : un alto
porcentaje de las empresas investigadas manifestó que nunca han promovido ningún
tipo de enseñanza y muchos menos capacitación formal respecto a Internet: sus
usos, cuidados, riesgos y seguridad propiamente, por lo cual el factor más
determinante de vulnerabilidad en la utilización de Internet por parte de las Pequeñas
y Medianas Empresas Salvadoreñas es el "desconocimiento" acerca de todas las
amenazas, acechos, fraudes y riesgos a los que se está expuesto.
Igualmente importante se vuelve la auditoria informática, otro factor desatendido
dentro del sector de la Pequeña y Mediana Empresa salvadoreña. Muchas
empresas en este sector simplemente desconocen el significado de este término y
otras creen saber qué es, basándose en la auditoria tradicional que conocen. El bajo
porcentaje de empresas que realizan auditoria informática coincide con el tipo de
servicios que ofrecen; es decir, las empresas que respondieron que llevan a cabo
auditoría informática son empresas dedicadas mayormente a la venta de sistemas
(software) y soluciones informáticas, empresas propias del quehacer informático; e
incluso a pesar de esto, el porcentaje de incidencia fue muy bajo , totalizando un
27%.
107
El 80% de los encuestados manifestaron que no rechazan la propaganda no
solicitada y llega a su computadora; es decir, activan y se enlazan a las ventanas que
aparecen súbitamente (pop-up) en la pantalla de la computadora Éstas, en su
mayoría, brindan propuestas ambiciosas y muy atractivas, pero en realidad al
enlazarse al sitio web de donde han sido enviadas le mencionan al usuario todas las
demás implicaciones que incluyen, muchas de ellas generalmente económicas y muy
por encima de la atractiva oferta que contenía el pop-up; esto en el mejor de los
casos; en otros, los enlaces llevan a sitios de engaño o diversión de los hackers.
1.1.1 Métodos de Ataque
Los métodos de ataque que se describen a continuación están divididos en
categorías generales que pueden estar relacionadas entre sí, ya que el uso de un
método en una categoría permite el uso de otros métodos en otras. Por ejemplo:
después de descubrir o averiguar (craquear) una clave (password), un intruso realiza
un login como usuario legítimo para navegar entre los archivos y explotar
vulnerabilidades del sistema. Eventualmente también, el atacante puede adquirir
derechos a lugares que le permitan dejar un virus u otras bombas lógicas, introducir
un programa que en una fecha determinada destruirá, modificará la información o
provocará que el sistema se caiga para paralizar todo un sistema antes de huir .
a) Eavesdropping y Packet Sniffing (Intercepción Pasiva y Detectores de Paquetes de Red)
Muchas redes son vulnerables al eavesdropping, o la pasiva intercepción (sin
modificación) del tráfico de red. En Internet esto es realizado por packet sniffers,
que son programas que monitorean los paquetes de red que están direccionados a la
computadora donde están instalados. El sniffer puede ser colocado tanto en una
estación de trabajo conectada a red, como a un equipo router (enrutador) o a un
108
gateway de Internet, y esto puede ser realizado por un usuario con legítimo acceso, o
por un intruso que ha ingresado por otras vías.
Este método es muy utilizado para capturar las identificaciones de usuarios y sus
correspondientes claves de acceso a la red, que generalmente viajan claros (sin
encriptar) al ingresar a Sistemas de Acceso Remoto (RAS) . También son utilízados
para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y
salientes. El análisis de tráfico puede ser utilizado también para determinar
relaciones entre organizaciones e individuos.
b) Snooping y Downloading (Intromisión y Descarga)
Los ataques de esta categoría tienen el mismo objetivo que el sniffing, obtener la
información sin modificarla. Sin embargo los métodos son diferentes. Además de
interceptar el tráfico de red, el atacante ingresa a los documentos, mensajes de e
mail y otra información guardada, realizando en la mayoría de los casos una
descarga (downloading) de esa información a su propia computadora.
El Snooping puede ser realizado por simple curiosidad, pero también es realizado
con fines de espionaje y robo de información o software.
e) Tampering o Data Diddling (Manipulación o Alteración de Datos)
Esta categoría se refiere a la modificación desautorizada de los datos, o al software
instalado en un sistema, incluyendo la eliminación de archivos. Este tipo de ataques
son particularmente serios cuando el que lo realiza ha obtenido derechos de
administrador o supervisor, con la capacidad de ejecutar cualquier comando y por
ende alterar o borrar cualquier información que puede incluso terminar en la baja
total del sistema en forma deliberada. O aún si no hubo intenciones de ello, el
administrador posiblemente necesite dar de baja por horas o días hasta haber
109
efectuado una revisión completa y tratar de recuperar aquella información que ha
sido alterada o borrada .
La utilización de programas troyanos está dentro de esta categoría, y refiere a falsas
versiones de un software con el objetivo de averiguar información, borrar archivos y
hasta tomar control remoto de una computadora a través de Internet como el caso de
Back Orifice y NetBus , conocidas como herramientas del orificio trasero. El Back
Orifice (Orificio Trasero) es una herramienta que consiste en dos partes principales,
la del cliente y la del uso del servidor, puede ser utilizada por un usuario sin
escrúpulos (atacante) para comprometer la seguridad de Windows, por ejemplo,
robar documentos secretos o destruir datos. El Troyano Netbus es uno de los
programas troyanos más famosos. Fue creado por Carl-Frederik Neikter y funciona
de manera muy similar al Back Orifice .
d) Spoofing (Usurpación de Identidad)
Esta técnica es utilizada para actuar en nombre de otros usuarios, usualmente para
realizar tareas de spoofing o tampering. Una forma común de usurpación de
identídad (spoofing) , es conseguir el nombre y password de un usuario legítímo para,
una vez ingresado al sistema, tomar acciones en nombre de él, como puede ser el
envío de falsos e-maíls.
Los protocolos de red también son vulnerables al spoofing. Con el IP spoofing, el
atacante genera paquetes de Internet con una dirección de red falsa en el campo
From (De), pero que es aceptada por el destinatario del paquete. El envío de falsos
e-mails es otra forma de spoofing permitida por las redes. Aquí el atacante envía a
nombre de otra persona e-mails con otros objetivos. Tal fue el caso de una
universidad en EEUU que en 1998 debió reprogramar una fecha completa de
exámenes ya que alguien en nombre de la secretaría había cancelado la fecha
verdadera y enviado el mensaje a toda la nómina (163 estudiantes).
110
e) Jamming o Flooding (Atascamiento o Desbordamiento)
Este tipo de ataques desactivan o saturan los recursos del sistema. Por ejemplo, un
atacante puede consumir toda la memoria o espacio en disco disponible, también
pueden enviar tanto tráfico a la red que nadie más puede utilizarla.
Muchos ISPs (proveedores de Internet) han sufrido bajas temporales del servicio por
ataques que explotan el protocolo TCP. Aquí el atacante satura el sistema con
mensajes que requieren establecer conexión. Sin embargo, en vez de proveer la
dirección IP del emisor, el mensaje contiene falsas direcciones IP (o sea que este
ataque involucra también spoofing). El sistema responde al mensaje, pero como no
recibe respuesta, acumula espacios (buffers) con información de las conexiones
abiertas, no dejando lugar a las conexiones legítimas.
Otra acción común es la de enviar millares de e-mails sin sentido a todos los
usuarios posibles en forma continua, saturando los distintos servidores destino.
f) Caballos de Troya
Consiste en introducir dentro de un programa una rutina o conjunto de instrucciones,
por supuesto no autorizadas y que la persona que lo ejecuta no conoce , para que
dicho programa actúe de una forma diferente a como estaba previsto, por ejemplo
formatear el disco duro, modificar un fichero, sacar un mensaje.
g) Bombas Lógicas
Este suele ser el procedimiento de sabotaje mas comúnmente utilizado por
empleados descontentos. Consiste en introducir un programa o rutina que en una
fecha determinada destruirá, modificará la información o provocará que el sistema se
caiga.
111
h) Ingeniería Social
Básicamente consiste en convencer a la gente de que haga lo que en realidad no
debería. Por ejemplo llamar a un usuario haciéndose pasar por administrador del
sistema y requerirle la clave de acceso con alguna excusa convincente. Esto es
común cuando en el Centro de Cómputo los administradores son amigos o conocidos
de los usuarios.
i) Obtención de Claves
Este método (usualmente denominado cracking), comprende la obtencion "por fuerza
bruta" de aquellas claves que permiten ingresar a servidores, aplicaciones, y
cuentas. Muchas claves de acceso son obtenidas fácilmente porque involucran el
nombre u otro dato familiar del usuario, que además nunca la cambia . En este caso
el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se
realizan ataques sistemáticos (incluso con varias computadoras a la vez) con la
ayuda de programas especiales y "diccionarios" que prueban millones de posibles
claves hasta encontrar el password correcto.
1.2 Virus Informáticos
Entrevistas realizadas a distintos empresarios y empleados (noviembre de 2002)
involucrados con el desarrollo de E-Business en las PYMEs, dejaron notar los
problemas, preocupaciones, atrasos e inconvenientes que los virus informáticos
obtenidos vía algún correo electrónico les han ocasionado, para nombrar algunos de
los virus que los empresarios han identificado se mencionan los siguientes: Ethan , 1
Love You, W32 .Klez.E, W97M, W32 y demás de la familia de los virus que afectan
directamente a los archivos de Microsoft Office.
En las empresas en las que se cuenta con un sistema de redes (computadoras
interconectadas entre sí a través de un cable) las crisis se reproducen de
112
computador a computador, por lo que la dimensión del problema ocasionado por
virus se multiplica.
También se destacan los correos electrónicos (e-mail) recibidos en forma de cadena:
los empresarios coinciden en que muchos de los correos electrónicos recibidos de
esta forma contenían virus . Similar a este engaño es el de enviar correos
electrónicos recomendando alguna forma de mejorar el funcionamiento de la
computadora "sugiriendo al lector del e-mail que borre algún archivo que se
encuentran en la computadora", Aquí, la verdadera motivación de este mensaje es
dañar el funcionamiento de la computadora borrando un archivo básico de
funcionamiento del sistema operativo.
La diversidad de los virus informáticos y su fácil propagación son situaciones reales
experimentadas por los empresarios y empleados de las PYMEs.
Algunos de los tipos de engaño que navegan de un lugar del mundo a otro son:
a) Advertencia de Virus: Se alerta sobre la aparición de un peligroso virus que nadie
puede detener. Para evitar una desgracia hay que reenviar el mensaje al mayor
número de personas posible.
b) Estafa: Con pretextos bien elaborados, el remitente solicita datos personales de la
víctima, como claves secretas y números de tarjetas de crédito.
e) Triste situación: La terrible historia que le sucedió al conocido de un amigo. Esa
persona necesita de la ayuda del destinatario del mensaje para superar el problema.
d) Leyenda Urbana: el relato de algo extraordinario -y falso- que sucedió en algún
lugar del mundo.
113
e) Cadena : Si el destinatario no reenvía la carta virtual en el menor tiempo posible, la
mala suerte le acompañará durante años.
1.3 Medidas de Seguridad
Más de un tercio (36%) de la población encuestada manifestó que no saben o no
tienen conocimiento de que en la empresa se apliquen medidas de seguridad al
realizar E-Business. Este aspecto es también importante debido a que los individuos
que proporcionaron la información para el instrumento de investigación
(cuestionario) fueron personas con conocimientos de informática en su mayoría y/o
personas directamente involucradas con los E-Business, por lo que deberían estar al
tanto de todos los aspectos relacionados con esta forma de hacer negocios.
El porcentaje más alto (34%) en cuanto a las medidas de seguridad que las PYMEs
toman en cuenta al realizar E-Business fue: Su correo electrónico tiene clave de II
seguridad', una medida de protección contra los curiosos compañeros de trabajo
que están dentro de las empresas. Lo único que una clave de seguridad de un
correo electrónico logra es eso: impide que una persona que no conozca la palabra
clave (password) pueda abrir un correo electrónico y por ende leer su contenido.
Evidentemente, el resguardo de la información y la confidencialidad cobran
importancia conforme lo dispongan las políticas de la empresa y de acuerdo con el
grado de trascendencia que esa información (la recibida y enviada por correo
electrónico) tenga dentro de la empresa .
Las Pequeñas y Medianas Empresas, como entes dispuestos a procurar nuevos
negocios no pueden, ni deben abiertamente rechazar correos electrónicos de
remitentes desconocidos puesto que es posible que, por temor a recibir un virus
contenido en un correo electrónico, rechacen a un cliente potencial y hagan a la
114
empresa perder un negocio. A pesar de esto, 17% de las repuestas obtenidas en
este aspecto dieron a conocer que por temor se rechazan correos electrónicos de
remitentes desconocidos.
Un reducido porcentaje (29%) no ingresa a sitios de dudoso origen o procedencia, el
cual es un dato alarmante desde el punto de vista en que esta práctica abiertamente
aumenta el grado de vulnerabilidad dentro de la empresa. Sería comparable a
conducir un vehículo de la empresa en horas laborales y dirigirse a un lugar
desconocido, apagar el motor, bajarse y quedarse inspeccionando, deambulando sin
propósito alguno más que el de la curiosidad y la atracción a lo desconocido. Esto
expone al incauto empleado a que cualquier persona del lugar dañe el vehículo que
es posesión de la empresa, lo robe o le haga daño incluso al curioso e ingenuo
empleado. En la medida en que se comprendan las implicaciones negativas y lo
peligroso que se puede volver andar navegando por Internet sin dejar por ello de
aprovechar adecuadamente el potencial de este increíble medio para hacer
negocios, los riesgos innecesarios se verán considerablemente reducidos.
Sumado a todo lo anterior, los fraudes informáticos y las estafas ocupan un lugar
muy destacado en la tipología de los delitos telemáticos (los relacionados con la
información y la comunicación a distancia). El engaño ofrece tal variedad de matices
entre quien lo provoca y quien lo sufre , que dentro del medio informático y/o
telemático y todas sus posibilidades se genera una combinación tipológica muy fuera
del alcance de los encargados de resolver conflictos de este tipo . Si a ello se
añaden las variables temporales y la escasez de contexto legal de El Salvador, junto
a los de cualquier otro país con los que se realizan transacciones que involucran
conflictos de jurisdicción, es sumamente difícil que una PYME inicie alguna batalla
legal en contra del perpetrador, para ser resarcido de un engaño del que haya sido
objeto.
115
2. Medidas de Seguridad dirigidas al Personal de Informática de las PYMEs
Para una mejor comprensión, las medidas de seguridad han sido divididas en:
Métodos de Protección, Técnicas para Detectar Ataques y Políticas de Seguridad.
2.1 Métodos de Protección en Internet
Toda organización debe estar a la vanguardia de los procesos de cambio en donde
disponer de información continua, confiable y a tiempo, esto constituye una ventaja
fundamental ante las demás empresas. Donde tener información es tener poder,
ésta se reconoce como:
• Crítica, indispensable para garantizar la continuidad operativa de la
organización.
• Valiosa, es un activo corporativo que tiene valor en sí mismo.
• Sensitiva, debe ser conocida por las personas que necesitan los datos .
Donde identificar los riesgos de la información es de vital importancia, la seguridad
informática debe garantizar:
• La Disponibilidad de los sistemas de información.
• La Integridad y Autenticidad de la información.
• La Confidencialidad de la información.
• La Recuperación rápida y completa de los sistemas de información
La Propuesta que se presenta es la siguiente.
2.1.1 Utilización del Modelo de Seguridad EB-Security
La Implementación de este Modelo se describe en el numeral 4 de este documento
en la sección "Plan de Implementación del Modelo", por 10 que en este apartado
116
solamente se expondrá como adecuar el modelo a la organización y a la
particularidad de cada empresa.
El Encargado, Jefe o Gerente de Informática necesitará estudiar el Modelo y seguir
los pasos mencionados en el Plan de Implementación del Modelo de Seguridad EB
Security, en el cuarto apartado de este Capítulo.
2.1.2 Cultura de la Seguridad en los E-Business
Más que un problema de tecnología, la falta de seguridad en el uso de Internet y la
transmisión de la información por la Red se debe a la falta de cultura de las
organizaciones y de las personas que la integran.
El eslabón más débil de esta cadena en la seguridad lo constituye el ser humano y
no tanto lo tecnológico, destacándose así la importancia de tener una cultura de
seguridad, ya que en la mayoría de empresas no existe una persona que sea
responsable de la seguridad y probablemente transcurra algún tiempo para que las
organizaciones se den cuenta de que necesitan contar con ella .
A todos los usuarios se les deben comunicar las políticas de seguridad , además de
hacer constantes auditorías para controlar que las políticas sean las adecuadas para
el momento que vive la empresa.
Lo que se necesita no es solamente prevenir un ataque en la seguridad, sino ser
capaces de detectar y responder a esta agresión mientras ocurre y reaccionar ante la
misma protegiendo la información como un todo vital para la empresa. En la medida
en que los empleados desarrollen ética y lealtad para salvaguardar los intereses de
la empresa se contará con empleados que acatarán las normas y poi ítlcas de
seguridad, haciendo así menos vulnerable a la empresa ante las amenazas en el uso
del Internet.
117
2.1.3 La Legislación en el Uso de Internet
El contexto legislativo en el uso de Internet es de suma importancia ya que las leyes
son las que regulan y norman jurídicamente el accionar de las empresas y sus
relaciones, y las relaciones a través de Internet no deben ser la excepción. Como se
ha venido exponiendo, El Salvador ha registrado intromisiones a reconocidos sitios
web salvadoreños; estos delincuentes, piratas, realizan actos como sabotaje
informático, estafas, pornografía infantil , chantajes y demás actos similares.
Lamentablemente, este tipo de delitos cibernéticos no están contemplados en el
Código Penal; es decir, el Estado Salvadoreño no tiene formas expeditas para
sancionar a los delincuentes modernos.
No obstante, muchos legisladores coinciden en que es necesario estudiar a fondo el
tema de la vigilancia cibernética, de los negocios que venden servicios de Internet y
las formas de comercializar a través de esta Red Internacional.
Las PYMEs deben mantenerse vigilantes respecto al surgimiento de estas nuevas
leyes.
2.2 Técnicas para Detectar y Evitar Ataques Cibernéticos
Antes de exponer las técnicas para detectar ataques en Internet, se ha considerado
importante explicar las razones por las cuales ocurren los ataques; en otras
palabras, las razones que motivan a los piratas informáticos.
• Ideales. Un grupo de hackers chinos atacaron los web sites de Estados Unidos
de América debido a un incidente entre ambos países . Por esta misma razón
también se produjeron contraataques. A veces , esta razón no es más que una
excusa, pues suena mejor "lo hice por el honor de mi país" que "lo hice porque
uno de sus hackers me quitó un servidor".
118
• Codicia, competencia, robo, venganza. El clásico material de película. Una
compañía que quiere robar los proyectos de una rival, un inescrupuloso
programador que quiere hacerse millonario por medio de chantaje a un banco, un
travieso hacker que se apodera de los datos de las tarjetas de crédito para luego
hacer compras, un terrorista que roba los datos del personal de una institución
pública, un empleado disgustado con su jefe introduce un gusano en el sistema,
que es un programa diseñado para infiltrarse en sistemas de datos para alterarlos
o destruirlos.
• Negligencia. Un ejemplo muy irónico lo ofreció Microsoft hace dos años cuando
un hacker anunció públicamente que había penetrado en la red de la compañía,
aprovechando un punto vulnerable de sus servidores. Lo irónico es que esta
vulnerabilidad ya había sido identificada y corregida por la compañía, sólo que los
administradores del sistema no aplicaron el correspondiente parche, programa
que corrige errores en los programas ya creados.
Un ataque no es más que la realización de una amenaza, Las cuatro categorías
generales de amenazas o ataques son las siguientes:
a) Interrupción: Cuando un recurso del sistema es destruido o se vuelve no
disponible. Este es un ataque contra la disponibilidad. Ejemplos de este ataque son
la destrucción de un elemento hardware, como un disco duro. cortar una línea de
comunicación o deshabilitar el sistema de gestión de ficheros.
b) Intercepción: Cuando una entidad no autorizada consigue acceso a un recurso.
Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser
una persona, un proqrarna o un ordenador. Ejemplos de ~ste ataque son la copla
ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las
cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios
implicados en la comunicación observada ilegalmente (intercepción de identidad).
119
c) Modificación: Cuando una entidad no autorizada no sólo consigue acceder a un
recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad.
Ejemplos de este ataque Son el cambio de valores en un archivó de datos, alterar un
programa para que funcione de forma diferente y modificar el contenido de mensajes
que están siendo transferidos por la red.
d) Fabricación: Cuando una entidad no autorizada inserta objetos falsificados en el
sistema. Este es un ataque contra la autenticidad, que es la certeza de que un
mensaje o un usuario es legitimo. Ejemplos de este ataque son la inserción de
mensajes ilegítimos en una red o añadir registros a un archivo .
Asimismo, estos ataques se pueden clasificar de forma útil en términos de ataques
pasivos y ataques activos.
En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la
escucha o monitoriza, para obtener información que está siendo transmitida. Sus
objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil
para obtener información de la comun icación, que puede consistir en obtención del
origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes
monitorizados, control del volumen de tráfico intercambiado entre las entidades
monitorizadas, obteniendo así información acerca de actividad o inactividad
inusuales, control de las horas habituales de intercambio de datos entre las
entidades de la comunicación, para extraer información acerca de los períodos de
actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna
alteración de los datos. Existen varias categorías de ataques activos: Suplantación
de identidad, Reactuación (mensajes legítimos que son capturados y repetidos para
producir un efecto no deseado), Modificación de mensajes y Degradación fraudulenta
del servicio. En esta última se encuentran la denegación de servicio, consistente en
paralizar temporalmente el servicio de un servidor de correo, Web, FTP, entre otros .
120
Para evitar posibles ataques informáticos contra un servidor existen diversos
sistemas técnicos. Entre ellos destacan los firewalls (paredes de fuego) que serán
explicados posteriormente; éstos intentan proteger a una máquina de posibles
accesos por parte de personas no autorizadas, aunque en determinados casos este
sistema de seguridad se rompe o quiebra ya que hay personas (hackers) que saben
esquivarlos. En la tabla IV.1 se presentan algunos nombres de programas utilizados
para piratear.
NOMBRE DEL ¡- DESCRIPCiÓN lSiSTEMA r PROGRAMA I IOPERATIVO ¡cracke'rJack 1.4- - - -IDecodificad-orde-clave'Sde unix·:- - -----·- -- --· -----·-----·-[o-os- -···----ISrute F~rece 1.1- --- -[OecodTricador de clave-SUñi~------------------rDos----
rSohñt h-e Ripper 1--:-'¡--!Decocjitiéador de clave Uni~~ " '---1008--'ru n i ~~ · IBu~;a pe~~~n;;;mporta~~:-~~~n fic~ero cl~'ve ~e u~:---·l pássword--·---~ · -¡I~~s analzer
oI[CraCk ~~X_ [Decodiflca ficheros cnx del software de infovía para Win3.x.,_ [Dos ---=--._~' -IPopcrack v1 .0 fCracker del Popmail Clave. ¡Dos IPhonetag v1~3-----TEscarieado r de-telefon(js·~----------- .. ..-..- _·-- -··------ ¡windows·- -
K 1 ~-~_;~~~- .- -[c apturador de teclado. En 'el-archivo"ffgurantod-as las te-clas-l~~-~~/N~--ey 09 v - pulsadas. In
!lOphlCrack 2JJ1- - --rRObarclaves M·-wiñdüWs·Ni -.- _....-. - - .--.-..- ----- ··----rW951NT - ·--Winsock s vO .91 [SUbstit~ye .el fichero wsock32.dll para espiar las IW9s
py [cornunlcaclones 1\ [satañv1'.1.1 fHe'rramienta para detectar posibie·sf~illas-desegurTdad-- ---¡üNiX. -INetcat v1.1.0 [Herramienta que escribe y lee datos de conexIones TCP/IP. !W9S/UNIX r~:Ú1Cker;slJti liiy"_. .-.[MuchaSütiikiadeSidecüdifiCadcire·5'""decls"v·es------ --- ----·---·--·-fwi ñ9s/ÑT···-
g~~:t~~cÜonary--IGenerador de listas, o diccionarios para crackeadores de claves fOs ¡DiccionariO- ¡DiCCionariO muy-gr:anc¡equeutiíiZ'an¡'os crackeadores de claves. [008---
Tabla fV .1 Listado de Programas Comunes utilizados para piratear
2.1.1 Criptogratra
La palabra Criptografía proviene del griego kryptos, que significa oculto , y gráphein,
que significa escritura, siendo así su definición: "Arte de escribir con clave secreta o
de un modo enigmático".
121
Obviamente la Criptografía hace años que dejó de ser un arte para convertirse en
una técnica, o más bien un conglomerado de técnicas, que tratan sobre la protección
-ocultamiento frente a observadores no autorizados- de la ínformaci6n . Entre las
disciplinas que engloba cabe destacar la Teoría de la Información , la Teoría de
Números -o Matemática Discreta, que estudia las propiedades de los números
enteros-, y la Complejidad Algorítmica.
a) Criptografía de clave simétrica o cifrado simétrico .
Esta técnica consiste en el cifrado de unos datos con una clave y el posterior
descifrado de los mismos que se llevará a cabo por esa misma clave . Este conlleva
una serie de ventajas e inconvenientes. Entre las ventajas destaca la velocidad que
hace que los algoritmos que se utilizan son los más apropiados para el cifrado de
grandes cantidades de datos. En cambio, el inconveniente principal reside en la
necesidad de distribuir esta clave, por lo que si alguien la consiguiera tendría la
posibilidad de descifrar el mensaje.
b) Criptografía de clave asimétrica o cifrado asimétrico.
Aquí van a existir un par de claves : una pública, que pueden conocer todos los
usuarios y una privada, que sólo la conocerá un usuario . Esta técnica lo que hace es
cifrar un mensaje con la clave pública de un usuario y ese mismo mensaje s610 podrá
ser descifrado con la clave privada de ese usuario. Con esto se ve que lo que se cifra
con una clave sólo se puede descifrar con la otra. La ventaja que existe es que si se
conoce la clave pública no significa que se pueda descifrar el mensaje, y la
desventaja es que la operación de cifrado y descifrado es más lenta que en la
criptografía simétrica .
Además, en la criptografía de clave asimétrica hay un elemento que cobra especial
trascendencia, como es el llamado certificado digital que, básicamente, va a
garantizar que una clave pública pertenece a una persona en concreto.
122
El cifrado de clave asimétrica va a garantizar: 1) que el autor de un mensaje no haya
sido suplantado al enviarlo a través de redes abiertas de comunicaciones (Internet);
2) que el mensaje no sea alterado durante esta transmisión; 3) que el receptor del
mensaje asegure haberlo recibido y 4) que el contenido del mensaje sea leído por
una persona autorizada.
2.1.2 Sistemas de Detección de Intrusos (105, "Intruder Detection Systems")
Estos sistemas permiten detectar ataques que pasan inadvertidos a un cortafuegos y
avisar antes o justo después de que se produzcan .
Las similitudes entre el sistema de seguridad para un inmueble físico (muros, verjas
electrificadas, blindajes, alarmas, cámaras de circuito cerrado de TV y demás) y una
red de ordenadores son lo suficientemente numerosas y profundas como para
tenerlo presente. De la comparación de ambas se pueden inferír conclusiones muy
aleccionadoras para la protección de una red informática dentro de una empresa.
Actualmente, la estrategia de control de intrusos más utilizada es la perimetral,
basada en la utilización de cortafuegos. Estos sirven para mantener fuera a los
intrusos ; es decir, sirven al propósito de prevenir ataques o intrusiones en la red
interna protegida por ellos. Pero una puerta blindada no impide que un ladrón se
cuele por otro lado (una ventana, un conducto de ventilación) o que la propia puerta
se use de forma negligente (las llaves debajo de una maceta, la puerta entreabierta
para no tener que andar abriendo y cerrando a todo el que llega, un agujero debajo
de la manilla, etc.). Lo peor de todo es que se cuenta con protección y el propietario
se siente seguro; sin embargo sin una alarma y guardias de seguridad o vecinos
comprometidos, esa seguridad puede ser falsa y la puerta le servirá de bien poco
ante el ladrón profesional.
Pese a que, innegablemente, los cortafuegos proporcionan una primera línea de
defensa eficaz frente a amenazas externas, igualmente pueden dar una falsa
123
sensación de seguridad. Una mala configuración del mismo, errores en su software o
hardware o una pobre política de seguridad que permita otros puntos de acceso a la
red, pueden volver completamente inútil el mejor de los cortafuegos . Es por ello que
se vuelve necesaria la utilización de sistemas de detección de intrusión (lOS), que
vigilen la red en busca de comportamientos sospechosos.
Los lOS funcionan como las alarmas de las casas: alertan sobre la realización de
ataques con éxito e incluso de ataques en progreso. Para poder ser utilizados con
eficacia deben ser exactos, en el sentido de que no ofrezcan ni falsos positivos
(calificar de ataque una actividad que no es tal) ni falsos negativos (no considerar
como ataque una acción que en realidad sí lo sea). Su efectividad será mayor
cuanto más corto sea su tiempo de respuesta, permitiendo así actuar de forma
consecuente y poder detener el ataque en curso. Estas características deben estar
presentes en todo lOS para que sea considerado de verdadera utilidad en la
detección de intrusiones. Aunque haya sido detectado, un ataque que ha superado
con éxito todas las barreras de seguridad tradicionales siempre afecta, si la política
de seguridad no es capaz de reaccionar a tiempo o de emprender acciones
oportunas contra el atacante, ya sea durante o después de la intrusión. Para este fin,
los lOS deben realizar un diagnóstico significativo, informando en qué consiste el
ataque y de dónde procede, así como sugerir algún tipo de actuación para
enfrentarlo.
Normalmente un intruso intenta acceder a una determinada información, manipular
cierta información y hacer que el sistema no funcione de forma segura o inutilizarlo.
Una intrusión es cualquier conjunto de acciones que puede comprometer la
integridad, confidencialidad o disponibilidad de una información o un recurso
informático. Los intrusos pueden utilizar debilidades y brechas en la arquitectura de
los sistemas y el conocimiento interno del sistema operativo para superar el proceso
normal de autenticación.
124
La detección de intrusos se puede detectar a partir de la caracterización anómala del
comportamiento y del uso que hacen de los recursos del sistema. Este tipo de
detección pretende cuantificar el comportamiento normal de un usuario. Para una
correcta distinción hay que tener en cuenta las tres distintas posibilidades que
existen en un ataque, atendiendo a quién es el que lo lleva a cabo:
• Penetración externa. Que se define como la intrusión que se lleva a cabo a partir
un usuario o un sistema de computadores no autorizado desde otra red.
• Penetraciones internas. Son aquellas que llevan a cabo por usuarios internos que
no están autorizados al acceso.
• Abuso de recursos. Se define como el abuso que un usuario lleva a cabo sobre
unos datos o recursos de un sistema al que está autorizado su acceso .
La idea central de este tipo de detección es el hecho de que la actividad del intruso
es un subconjunto de las actividades anómalas. Esto puede parecer razonable por el
hecho de que si alguien consigue entrar de forma ilegal en el sistema, no actuará
como un usuario norma\. Sín embargo en la mayoría de las ocasiones una actividad
intrusiva resulta del agregado de otras actividades individuales que por sí solas no
constituyen un comportamiento intrusivo de ningún tipo . Idealmente el conjunto de
actividades anómalas es el mismo del conjunto de actividades intrusivas, de todas
formas esto no siempre es así:
• Intrusivas pero no anómalas. Se les denomina falsos negativos y en este caso la
actividad es intrusiva pero como no es anómala y no se consigue detectarla. Se
denominan falsos negativos porque el sistema erróneamente indica ausencia de
intrusión.
• No intrusivas pero anómalas. Se denominan falsos positivos y en este caso la
actividad es no intrusiva, pero como es anómala el sistema decide que es
intrusiva. Se denominan falsos positivos, porque el sistema erróneamente indica
la existencia de intrusión.
125
• Ní íntrusíva ni anómala. Son negativos verdaderos, la actividad es no intrusiva y
se indica como tal.
• tnttusive y anómala. Se denominan positivos verdaderos, la actívidad es intrusiva
y es detectada.
Los primeros no son deseables, porque dan una falsa sensación de seguridad del
sistema y el intruso en este caso puede operar libremente en el sistema. Los falsos
positivos se deben de minimizar, en caso contrario lo que puede pasar es que se
ignoren los avisos del sistema de seguridad, incluso cuando sean acertados. Los
detectores de intrusiones anómalas requieren mucho gasto computacional, porque
se siguen normalmente varias métricas para determinar cuánto se aleja el usuario de
lo que se considera comportamiento normal.
Los sistemas lOS basan su funcionamiento en la recolección y análisis de
información de diferentes fuentes, que luego utilizan para determinar la posible
existencia de un ataque o penetración de intrusos .
En caso de que exista la suficiente certeza de la detección de un incidente, el lOS
tiene como función principal alertar al administrador o personal de seguridad, para
que tome acciones al respecto. Otras implementaciones más complejas son
capaces de ir más allá de la notificación de un posible ataque, es decir pueden
ejecutar accíones automáticas que impidan el desarrollo de éste.
los IDS pueden clasificarse en base a varios aspectos: método de detección, tipo de
monitoreo y forma de recolección y análisis de la información.
Según el método de detección, los hay de detección de mal uso y detección de
anomalias. El modelo de detección de mal uso consiste en observar cualquier
proceso que intente explotar los puntos débiles de un sistema en específico. Las
diferentes acciones , que integran el mencionado proceso, comúnmente se
denominan patrones o firmas del ataque.
126
Estas firmas pueden ser simples, como cadenas de caracteres, estructuras de
memoria o bits, pero también pueden ser más complejas como vectores ó
expresiones matemáticas. Una ventaja de este método es que permite centralizar
las labores de detección en el conjunto de firmas que posee el IDS, minimizando así,
la carga de procesamiento del sistema. Muchos productos comerciales utilizan este
enfoque e inclusive periódicamente proporcionan actualizaciones de éstas firmas .
En cambio , el modelo de detección de anomalías se basa en constantemente
monitorear el sistema para así detectar cualquier cambio en los patrones de
utilización o el comportamiento del mismo. Si algunos de los parámetros
monitoreados sale de su regularidad, el sistema generará una alarma que avisará al
administrador de la red sobre la detección de una anomalía. Este tipo de detección
es bastante compleja, debido a que la cuantificación de los parámetros a observar no
es sencilla y a raíz de esto, se pueden presentar los siguientes inconveniente:
• Pueden generarse falsas alarmas si el ambiente cambia repentinamente, por
ejemplo, cambio en el horario de trabajo.
• Un atacante puede ir cambiando lentamente su comportamiento para así engañar
al sistema.
Los inconvenientes antes mencionados pueden ser controlados mediante una
implementación robusta y minuciosa.
Según el tipo de monitoreo, hay IDS con detección orientada al host o detección
orientada a la red.
El modelo orientado al host se basa en el monítoreo y análisis de información, que
refleja el estado del host donde éste reside. La mayoría de la información que este
tipo de sistema recopila es obtenida a través del sistema operativo del host.
127
Esto último causa complicaciones debido a que la información que se procesa no
contiene registros del comportamiento, de bajo nivel, de la red.
Los lOS que utilizan el modelo orientado a red, fundamentan su monitoreo en
información recolectada de la red. Generalmente, ésta información es capturada
mediante mecanismos de "sniffing", que consiste en habilitar la interfaz de red en
modo promiscuo para que así capture todos los paquetes que reciba, incluso
aquellos que no le han sido destinados. En base al mecanismo antes expuesto, se
pueden definir patrones o firmas de ataques, según la estructura, información y
ocurrencia de los paquetes.
Características deseables de un lOS:
• Debe ejecutarse continuamente sin intervención o supervisión de un operador
humano.
• Debe ser conñable, IQ suficiente C;:QITlQ para ejecutarse tras bambalmas, pero !19
debe ser una caja neQra, es decir, que su funcionamiento interno pueda ser
examinado.
• Debe ser capaz de tolerar fallas, en' el sentido de que pueda sobrevivir a una
caída del sistema, sin tener que reconstruir su base de datos de conocimientos al
reiniciarse.
• El sistema debe estar en capacidad de automonitorearse para asegurar su
correcto funcionamiento.
• Debe ser ligero, es decir su ejecución no debe cargar al sistema de una manera
tal que le impida ejecutar otras tareas con relativa normalidad
• Debe observar desviaciones del comportamiento estándar.
• Debe poder adaptarse al comportamiento cambiante del sistema , es decir, sí la
configuración del sistema cambia , el SOl se adaptará.
• Debe ser dificil de engañar.
128
En El Salvador se encuentra disponible en el mercado y puede consultarse en el sitio
(curiosamente de una PYME) www.tonercity.com.sv un IDS llamado Monitor de
Eventos Lan Guard Security (S.E.L.M.) . Éste monitorea los eventos de seguridad de
todos los servidores y estaciones de trabajo de Windows NT/2000/XP y le alerta
sobre posibles ataques e intrusos en tiempo real. También proporciona reportes
diarios/semanales/mensuales sobre eventos de seguridad relevantes que estén
sucediendo la red. A Lan Guard Security S.E.L.M. no lo afectan los switches, la
encriptación del tráfico IP o la transferencia de datos de alta velocidad , como se ven
afectados los productos tradicionales de detección de intrusos.
Los Beneficios que ofrece son permitir monitorear:
• Usuarios que tratan de acceder a documentos compartidos asegurados
• Usuarios que tratan de acceder a archivos confidenciales
• Usuarios de red que traten de entrar con un usuario (login) de una cuenta distinta
• Conexión (Logins) de administrados que sean hechos fuera de horas de oficina
• Configuración correcta deñrewalls: ceteccíon deusuaríos fraudulentos en la re.d
• Ataques que usen cuentas de usuarios locales
2.3 Políticas de Seguridad en Internet
A GQnt'nLJ~l.C~¡Qn se mencionan LJnª $~rie Q.~ PQ!!tiC:;:ª.$ 9~ $~gl,!r¡9ª.9 en ~¡ uso Q.e
Internet que pueden ser aplicadas de acuerdo a la particularidad de cada empresa.
2.3.1 Neutralización de Virus
'=ª neutralización de virus informáticos debe entenderse como la acción de debilitar el.. - _. - - - - .- _ . - - - - '
efecto causado por un virus; es decir, invertir su efecto (daño).
129
La inmensa mayoría de las infecciones por Virus en la actualidad son debidas a
infecciones por gusanos (programas que se transmiten a través de la Red) y
troyanos (programas que ejecutan acciones ocultas e indeseables) realizadas en su
mayoría de veces a través del correo electrónico. Estos virus se activan mediante la
ejecución de archivos adjuntos en el correo electrónico o simplemente mediante la
lectura de correos recibidos con código malicioso dentro de HTML , Multi lenguaje de
Hyper texto, utilizado para crear páginas en la web.
Una de las medidas más sencillas y más efectivas de neutralizar virus es la de
nunca ejecutar un fichero adjunto de un correo electrónico
mediante el procedimiento de doble-click directamente sobre el
archivo, ni aunque provenga de gente conocida. Al pulsar sobre lo que nos parece
que es una imagen, un video clip, o un documento de texto, en lugar de abrir el
programa que lee el archivo, ejecuta el código del Virus con lo que la infección y sus
consecuencias ya son una realidad en la computadora que lo está ejecutando. Una
medida mucho más saludable es guardar el archivo adjunto, ejecutar el programa
que debe de abrirlo y desde ese programa abrir el archivo adjunto que se ha
guardado en la computadora. Si es un Virus, el programa no podrá abrirlo, con lo
que la computadora no resultará infectada.
Es imprescindible tener un Antivirus actualizado (aunque esto no es sinónimo de
protección absoluta, ya que un Virus de muy reciente aparición puede introducirse en
el sistema antes de que la vacuna este lista o se haya descargado la actualización).
Un programa de muy buen desempeño para esto, es el mundialmente conocido
Norton Antivirus, que se encuentra disponible en la mayoría de tiendas de programas
de computadora, acá en el país o en la mayoría de lugares del mundo.
Otro grave problema, fuente de transmisión de virus o problemas de seguridad, es el
envío y recepción de correo con HTML.
130
Lamentablemente, los programas lectores de correo electrónico generalmente más
utilizados no disponen de la opción de recepción de correo en modo "solo texto
plano" si no en formato HTML. Por esta situación es de suma importancia también
estar atento a las actualizaciones del Software que se utiliza y mantenerlo siempre
actualizado, ya que por norma general, las actualizaciones solucionarán los posibles
bugs (errores) de seguridad que se conozcan hasta esa fecha.
2.3.2 Firewalls (Cortafuegos 6 Paredes de Fuego)
Un sistema básico de seguridad que se debe utilizar para la conexión a Internet, es la
instalación de un Firewall o cortafuegos. Un firewall es un sistema de defensa que
se basa en la instalación de una barrera entre la PC y la Red, entre quienes circulan
todos los datos. Este tráfico entre la Red y la PC es autorizado o denegado por el
firewall (la barrera), siguiendo las instrucciones que se le hayan configurado.
Un cortafuegos consiste en un dispositivo informático (un router o un computador)
que sepa diferenciar físicamente un dominio de red de otro.
Un cortafuegos (firewall) es un mecanismo de filtrado que aísla un 'área segura',
tratando de identificar los puntos de acceso vulnerables en el 'perímetro' y de
concentrar en ellos la política de seguridad en tránsito que se desee. En el caso más
típico, el cortafuegos aísla una red privada del entorno constituido por la red pública
externa; pero el modelo sirve también para aislar dos redes privadas entre sí cuando
las características de seguridad de ambas difieren notablemente.
El cortafuegos impone una política de acceso desde/hacia la red exterior, lo que
parece poder relajar la política interna de seguridad de la red protegida (se deja ,
circular dentro con más libertad) . Pero el cortafuegos no influye en la política de
seguridad de la compañía y no reduce los riegos de ataques originados internamente
y dirigidos a los equipos dentro de la empresa.
131
El uso de un cortafuegos es la única opción de seguridad posible en los siguientes
casos:
• En entornos donde la implantación de controles de acceso estrictos no es viable
en todos y cada uno de los equipos; o donde la información transita 'en claro' (sin
cifrar) por segmentos comunes.
• En redes complejas cuya cantidad de equipos exceda la capacidad de administrar
la seguridad por su responsable. Esta persona sólo podrá imponer, mantener y
monitorizar una política de seguridad de manera efectiva al centralizar su
materialización en un sólo punto y en forma de cortafuegos.
El cortafuegos se materializa con un equipo único que proporciona toda la
funcionalidad, o con equipos separados (software, router, servidor e incluso red) cuya
combinación ofrece el efecto deseado.
Un cortafuegos proporciona diversos tipos posibles de protección:
• Registra el tráfico que sale o llega a la red privada.
• Bloquea el tráfico no deseado.
• Dirige el tráfico entrante a sistemas internos preparados para tal fin, más
confiables.
• Oculta identificadores (topología y dispositivos de red, sistemas y usuarios
internos de Internet).
• Oculta sistemas de Internet vulnerabtes que no pueden hacerse fácilmente
seguros.
• Proporcíona una autentificación más robusta que la de las aplicaciones estándar.
No obstante, conviene también aclarar otras protecciones que NO proporcionan los
cortafuegos:
132
• No protegen contra amenazas 'inteligentes' intencionales internas (en el dominio
de la intranet).
• No protegen contra amenazas derivadas de conexiones con el exterior que no
pasan por él.
• No protegen contra virus ni amenazas no catalogadas.
Aunque un firewall se compone de equipos y programas, a continuación se explicará
el funcionamiento de un programa tipo (entre los muchos que hay) que realiza las
funciones inherentes de un cortafuegos, gráficamente se puede ver como funciona
observando la figura IV.1.
HA.CKER
Flr•••11 El full"'i111 udojil como bUlrl!l<1 do !" ct6·Ccien en1m n ue siro ai sin ma
'? IrlIalne1.,
) -: O " pe;COn¡¡rogramal. ~ Flrew.I
.\
.
Red Protegida
Figura IV.1 Esquema de un Programa Firewall
El funcionamiento de éste tipo de programas se basa en el "filtrado de paquetes":
todo dato o información que clrcule entre la PC y la Réd es analizado por él
programa (firewall) con la misión de permitir o denegar su paso en ambas
direcciones (Internet-->PC ó PC--->Internet).
133
Es muy importante comprender esto último, ya que si se autoriza un determinado
servicio o programa, el firewal1 no va a decir que es correcto o incorrecto, o incluso,
que siendo correctos los paquetes que están entrando o saliendo, éstos contienen
datos perniciosos para el sistema o la Red, por lo que se debe tener cuidado en las
autorizaciones que se otorguen.
Un ejemplo de esto último es el Correo Electrónico. Si se autoriza en el firewall a que
determinado programa de correo acceda a Internet, y al recibir correo, en un mensaje
recibido viene un archivo adjunto con un virus (por ejemplo tipo gusano), el firewall
no va a defender de ello ya que se le ha autorizado a que ese programa acceda a la
Red. Lo que sí va a hacer es que si al ejecutar el archivo adjunto, el gusano intenta
acceder a la Red por algún puerto que no esté previamente aceptado en la
configuración, no lo dejará propagarse. Ahora bien , si hace uso por ejemplo del
mismo cliente de correo, sí se va a propagar. La misión del firewall es la de aceptar
o denegar el trafico, pero no el contenido del mismo. En éste caso , la misión de
protección le correspondería a un antivirus que esté configurado para examinar los
correos electrónicos entrantes e implica (además del sentido común) no ejecutar sin
más un archivo adjunto.
Un firewall funciona, en principio, DENEGANDO cualquier tráfico que se produzca
cerrando todos los puertos de nuestro PC. En el momento que un determinado
servicio o programa intente acceder a Internet o a una pe, el cortafuego lo hará
saber . En ese momento se puede aceptar o denegar dicho tráfico, pudiendo
asimismo hacer (para no tener que repetir la operación cada vez) "permanente" la
respuesta hasta que no cambie la política de aceptación de la empresa.
Una buena política debería ser, ante la duda , no aceptar nunca cualquier acceso
hasta comprobar que es necesario para un correcto funcionamiento del servicio que
se pretenda usar y no sea potencialmente peligroso para el sistema.
134
Con la instalación de un firewall se logra hacer el sistema mucho menos vulnerable a
intrusiones. Un firewall que esta disponible en la web y el cual puede ser probado es
Zone Alarm, es gratuito y puede ser bajado del sitio
http://download.zonelabs.com/bin/free/znalm26gen/zonalm2601 .exe.
También GFI MailSecurity actúa como un firewall, y está disponible en El Salvador;
se puede consultar el sitio www.tonercity.com.sv. en versión para Microsoft
Exchange y en versión para SMPT. La versión SMPT debe ser ubicada en el
perímetro de la red como un servidor de correo relevo que escanee correo de
entrada y de salida. La versión para Exchange se integra fluidamente con el
Exchange Server 2000 y escanea la información que el Exchange 2000 almacena.
Ambas versiones pueden ser ubicadas simultáneamente para lograr una protección
óptima .
2.3.3 Encriptación
La encriptación o cifrado es un mecanismo de seguridad que permite modificar un
mensaje de modo que su contenido sea ilegible, salvo para su destinatario. De modo
inverso, la desencriptación o descifrado permitirá hacer legible un mensaje que
estaba cifrado.
Usando criptografía de clave pública, el emisor del mensaje cifrará el mensaje
aplicando la clave pública del destinatario. Será por tanto el destinatario, el único
que podrá descifrar el mensaje aplicando su clave privada.
El Sistema PGP (Pretty Good Privacy) de Philip R. Zimmermann es uno de los
sistemas para encriptación de comunicaciones por Internet más utilizado en el
mundo.
El PGP es un programa popular que se utiliza para encriptar y descifrar correo
electrónico en Internet. También se puede utilizar para enviar una firma digital
135
cifrada que deja que el receptor verifique la identidad del remitente y saber si el
mensaje ha sido adulterado en la ruta. Se consigue tanto en forma gratuita y a bajo
costo, en versión comercial. PGP es el programa más utilizado por personas para
asegurar la prívacidad, y también se utiliza en muchas empresas. Fue desarrollado
por Zimmermann en 1991 y se ha convertido en el estándar factible para la seguridad
en los correos electrónicos. También se puede utilizar para cifrar archivos que se
han almacenado para que no puedan ser leídos por otros usuarios. El sistema PGP
garantiza:
• La identidad del emisor y receptor
• La confidencialidad del mensaje
• La integridad del mensaje
• La certeza de haber realizado la operación (envío de e-mail)
• Resultados rápidos y cómodos
3. Medidas de Seguridad dirigidas al Personal de las PYMEs que Realiza EBusiness
A continuación se presentan medidas de seguridad dirigidas al personal que realiza
E-Business dentro de las Pequeñas y Medianas Empresas.
3.1 ¿Qué son Jos Virus Informáticos?
No todos los programas destructivos son un virus necesariamente. Un virus real de
computadoras es un programa que puede "infectar" a otros programas
modificándolos para incluir una copia o algunas veces una copia "evolucionada" de sí
mismo. En otras palabras, un virus tiene la habilidad de reproducirse, ya sea
"ligando" la copia de sí mismo a un programa legitimo o infectando la parte del disco
(diskette o disco duro) que contiene las instrucciones para cargar el sistema
operativo de la computadora (pe).
136
Debido a que un virus es un programa, que como cualquier otro programa, debe ser
ejecutado para que actúe se puede tener archivos infectados o virus en la
computadora, que no la afectarán hasta que sean ejecutados o se abran . Si no se
desea que la computadora se infecte, se debe revisar regularmente con dos o tres
antivirus actualizados. Pero nunca se debe tener más de un antivirus monitoreando,
puesto que al hacerlo, ocurrirá un conflicto entre ellos , porque estarán accediendo a
los mismos recursos. Debe usarse uno siempre activo, y otros para revisar.
Jamás debe ejecutarse ningún programa (software) sin revisarlo antes (incluidos
disquetes, CDs, archivos adjuntos a e-mails, bajados por Internet, recibidos vía los
populares ICO, (1 seek you) y Messenger). Hasta el software original distribuido
legítimamente por sus fabricantes, puede contener virus. Debería exigirse que
quienes usan la PC asignada a un determinado usuario, sigan las reglas o normas al
pie de la letra, aunque estos sean ajenos a situaciones de trabajo dentro la empresa
(amigos, hijos , colegas, o • • ).
Existen programas altamente destructivos como los del tipo caballos de Troya,
Gusanos (Worms) y Bombas Lógicas. Las distinciones entre caballos de Troya,
gusanos y bombas algunas veces se confunden, pero lo que sucede es que
diferentes tipos de virus son combinados para crear resultados especiales.
Un caballo de Troya es un programa destructivo que está "enmascarado" como un
programa inocuo, tal como un juego o una gráfica. El nombre viene del mítico
caballo de Troya de la antigua Grecia, el cual llevaba dentro de sí mismo algo
diferente de lo que se esperaba. En el mundo de las computadoras, así como en el
mito, el resultado es destructivo.
Los gusanos están diseñados para infiltrarse en sistemas de datos para alterarlos o
destruirlos. El nombre viene del hecho de que los gusanos "escarban" su camino
hacia su objetivo sin ser detectados.
~ .'-' .
137
Las Bombas Lógicas son partes de programas legítimos que están programadas
para "detonar" después de una cierta fecha o cierta secuencia de eventos . Esto
significa que el virus contiene alguna "carga" que se activa en un fecha posterior,
puesto que para lograr el mayor daño, es mejor darle tiempo al virus para que se
pueda reproducir en grandes cantidades. Estos tipos de virus pueden ser enviados
automáticamente vía correo electrónico (e-mail) , adjuntos a un mensaje amistoso,
haciendo creer que él mismo es de alguien conocido, y que por lo tanto, el archivo
adjunto lo envía esa persona. La regla más segura es JAMAS abrir archivo adjunto
alguno. Archivos ejecutables o que puedan causar una modificación con sólo
abrirlos son por ejemplo aquellos con terminación .EXE, .COM, .BAT,...RE~ -; DLL,
.vBS, .DOC, .RTF y .XLS, estos no deberían ser aceptados vía e-mail y abiertos o
ejecutados , sino deben guardarse en la PC y luego abrirlos asegurándose de que el
antivirus está activo y cumplirá con su función de revisión. Sólo archivos adjuntos
en formato ASCII (.TXT) de texto, pueden ser abiertos sin peligro si van adjuntos a
un mensaje.
Existe una larga lista de mensajes que en realidad se tratan de bromas o engaños,
conocidos en la red como "hoaxes", y que circulan a través del e-mail, advirtiendo
sobre "virus" inexistentes. Algunos de estos "hoaxes" son muy conocidos: Good
Times, Pen Pals, Join the Crew, WIN A HOLlDAY, Bud Frogs, Wobbler, Perrin.Exe,
Pikachus Ball, Tarjeta virtual y muchos otros.
Todos ellos y muchos que aparecen o reaparecen cada cierto tiempo (generalmente
basados en alguno de los anteriores) , tienen en común la súplica para que el lector
remita esos mensajes a la mayor cantidad de conocidos. Estos hoaxes típicamente
advierten de algún desastre a la PC, incluso por sólo leer el mensaje. Y es muy típico
el indicar que no tienen cura, o que es una versión muy reciente aún no identificada.
No hay virus que no tenga cura. El tiempo de aparición de un nuevo virus y la
incorporación del mismo a la base de datos de los antivirus, a veces es cuestión de
minutos, horas como máximo, en la mayoría de los casos.
138
Debe mantenerse el antivirus al día. Una actualización diaria es lo aconsejable.
Para reducir la cantidad de mensajes de este tipo que se propagan a través de la
red, y para evitar molestar a otras personas, no deben reenviarse jamás estos
mensajes , y no se deben propagar estas advertencias, a menos que se haya
verificado su exactitud con alguna fuente seria y responsable.
Se puede tener el control sobre los virus, si se mantiene una estricta conducta con
los programas ejecutables que corren en la pe.
3.2 E-Business Seguros
A continuación se presentan algunos aspectos importantes para minimizar la
vulnerabilidad a la que se está expuesto al realizar E-Business.
3.2.1 Correo Electrónico
• No enviar nunca información confidencial de la empresa a terceros. Podría dar
lugar una violación de la buena fe contractual y por tanto a una sanción o al
despido, exactamente igual que ocurría con la información en papel o en
cualquier otro soporte.
• Si la empresa ha puesto a disposición del empleado dos cuentas de correo, una
para uso personal y otra para asuntos de trabajo, debe utilizarse exclusivamente
la primera en las comunicaciones privadas.
• Se debe desconfiar en general de los archivos adjuntos y antes de ejecutarlos
asegurarse de quién los envía y de si lo ha hecho voluntariamente (muchos virus
se auto reenvían sin conocimiento del usuario). Las posibilidades de que se
extienda la infección por la red interna de la empresa deben considerarse .
139
• Aunque el término abuso es algo ambiguo, es importante que, para no caer en él,
se consideren algunas cuestiones de sentido común a la hora de utilizar el correo:
No deben enviarse archivos de gran 9ue saturen la red o causen problemas al
servidor, nQ se debe utilizar el correo con fines ofensivos relacionados con la
sexualid~~, nI muchos menos pornografía.
3.2.2 Navegación por Internet o Intranets Empresariales
Aquí se hace mención de algunas normas o consideraciones a tomar en cuenta al
navegar por Internet dentro de la empresa o a través de los recursos de la empresa.
? • La navegación por entretenimiento no debe interferir en el desarrollo de las
funciones profesionales dentro de la empresa, además se puede estar
exponiendo a toda la empresa a algún ataque.
• Se debe acceder a aquellos sitios en los que se tratan temas relacionados con el
empleo, o el desarrollo de las funciones dentro de la empresa.
• Se puede acceder a sitios web de proveedores o colegas en busca de
información o asesoramiento.
• No se debe acceder deliberadamente a sitios web con contenido pornográfico o
que promuevan la violencia, el terrorismo o la intolerancia.
En general la conciencia de aplicar y mantener las medidas de seguridad pertinentes
para permanecer el mayor tiempo posible invulnerable a los acechos y ataques en
Internet es responsabilidad de todos y cada uno de los actores dentro de la empresa.
140
3.3 Aplicación de Técnicas de Protección en Internet
Para los usuarios en general la aplicación de técnicas de protección en el uso de
Internet , se vuelven transparentes; es decir basta con seguir las normas, conocer la
Políticas de Seguridad en el uso de Internet de la Empresa y acudir al soporte
informático especializado, cuando así se requiera.
Todo lo demás concierne directamente al personal de informática; es decir, SI se
dispone instalar un sistema de segurídad, antivirus y demás. La tarea de el usuario
común es nada más ejecutar las protecciones que ya están instaladas y seguir y
acatar las normas de seguridad establecidas y por supuesto reportar cualquier tipo
de anormalidad o fallo en el sistema de seguridad.
3.4 El Soporte Informático
El soporte informático es un aspecto de suma importancia para el uso adecuado de
computadoras en general e Internet.
Lamentablemente, muchos usuarios y personal de informática no han reconocido la
importancia del soporte informático como herramienta preventiva, y no solamente
correctiva y para utilizar en casos de extrema emergencia. Generalmente, las
empresas que cuentan con un equipo de personal informático dentro de su
organización lo utilizan para reparar equipos, emitir reportes, instalar software y otras
tareas , pero no para orientar y sobre todo capacitar al personal que se ocupa de los
negocios electrón icos de la empresa.
El equipo informático debería asistir al resto del personal de la empresa no
solamente en cuanto al uso de una computadora personal y sus programas, sino
también explicando cómo funciona Internet, cuáles son sus potenciales, las
oportunidades que ofrece, y cuáles son sus implicaciones tanto positivas como
negativas (inseguridad).
141
Por supuesto, de suma importancia es, además, concienciar al personal involucrado
con el quehacer de los E-Business; los usuarios deben saber que estar con una pe conectado a Internet implica riesgos directos para la empresa.
Sin pensar en dañar a la empresa, en horas del almuerzo por ejemplo, algunos
empleados se entretienen "inofensivamente" entrando a sitios web pornográficos, de
curiosidades, chistes y otros; no se han detenido a considerar que pueden afectar a
la compañfa, sin recordar que se abren muchas puertas al permanecer en sitios
como éstos.
Básicamente, el usuario de Internet debe utilizar el soporte informático como una
medida preventiva ante los ataques y vulnerabilidades en Internet, y no solamente
como una medida correctora. Si el soporte informático preventivo no llega, entonces
debe buscarse.
4. Implementación del Modelo de Seguridad EB-Security para Internet aplicado a los E-Business que realizan las Pequeñas y Medianas Empresas ubicadas Cibernéticamente en el Dominio de El Salvador (.SV).
A continuación se presentan los pasos para implementar exitosamente el Modelo de
Seguridad EB-Security para Internet.
4.1 Plan de Implementación del Modelo
El Plan de Implementación del Modelo se ha desarrollado por etapas, las que se
exponen a continuación para implementar exitosamente el Modelo de Seguridad EB
Security para Internet.
4.1.1 Presentación del Modelo
La idea básica en este aspecto es dar a conocer el modelo, que debe ser presentado
a la organización por personal idóneo y que lo conozca y lo haya estudiado.
142
a) Personal de Dirección (Propietarios, Gerentes, Directores)
Esta es la presentación del modelo para las personas encargadas de manejar la
empresa; es decir, el personal de más alto rango dentro de la organización, razón por
la cual la exposición debe ser más bien una conversación amena que presente el
modelo según sus partes, sin caer en tecnicismos complicados, aunque manteniendo
la seriedad e importancia del tema principal del modelo: La Seguridad en los E
Business.
El exponente debe preocuparse de generar conciencia en este aspecto, teniendo en
mente que de este grupo de personas es que emanan las directrices generales de la
empresa, por lo que lograr sembrar esta idea en ellos facilitará la completa
implementación del modelo.
b) Personal de Informática (Interno - Externo)
En ocasiones, las empresas tienen una gama de personas que se involucran en el
área de informática. Ya sean éstos externos o internos, deben conocer las políticas
de seguridad de la empresa al utilizar Internet y los demás aspectos que expone el
modelo.
e) Personal en General que utiliza Internet
En esta sección se busca hacer del conocimiento del personal en general de la
empresa que hace uso de Internet el Modelo de Seguridad EB-Security para Internet
y su implementación. Para este tipo de empleados deberá hacerse uso de lenguaje
apropiado y hacer un pequeño sondeo entre la concurrencia para poder conocer el
grado de conocimiento y determinar la forma en que utilizan Internet y se realizan E
Business, no descuidando el hecho de que, aunque no sean precisamente
profesionales de la informática, perfectamente pueden haber desarrollado
habilidades al realizar E-Business.
143
4.1.2 Formas de Aplicación del Modelo
PASO 1: Realizar un diagnóstico de la situación respecto a la seguridad de la
empresa y el uso del Internet, ya sea utilizando como técnica para el diagnóstico la
entrevista dirigida a los involucrados, la observación directa o cuestionarios escritos.
(Ver Modelo en Anexo IV.1). Esto le permitirá tener una visión real de la situación
actual de la empresa respecto a la seguridad al realizar E-Business.
PASO 2: Capacitar al personal involucrado con E-Business y a los técnicos de
informática, si los hubiese. La capacitación debe impartirse de una manera
adecuada al nivel de conocimiento de los receptores, básicamente este punto se
basa en dar a conocer la problemática y cerciorarse de la comprensión de los
términos por parte de los involucrados para mostrar y dar a conocer las formas de
solución.
PASO 3: Diseñar, crear, dar a conocer e implementar Políticas de Seguridad al
realizar E-Business.
a) Creación de Políticas
El Modelo de Seguridad EB-Security para Internet presenta y explica una serie de
políticas, las cuales deben ser analizadas y aplicadas a los E-Business, según las
características particulares de cada empresa . Sí aplicaren todas las políticas que
describe el Modelo, entonces deben implementarse y darse a conocer a todo el
personal involucrado y monitorear la adecuada aplicacíón de las mismas.
b) Creación de Normas
La información que el Modelo de Seguridad EB-Security para Internet presenta
puede ser tomada como base para que la empresa genere sus propias normas y/o
políticas, esto dependiendo de las formas en que se use Internet y cómo se lleven a
cabo los E-Business.
144
En el caso de que todas las normas presentadas en este modelo sean aplícables,
entonces, deberán darse a conocer al personal involucrado para su correspondiente
aplicación.
4.1.3 Divulgación del Modelo
El Modelo de Seguridad EB-Securlty para Internet puede ser divuigado dentro de
cada empresa, pudiendo seccionar al personal o reuniendo al g(uPO dé todas las
personas de la empresa que tienen que ver con los E-Business e Internet.
Dada la universalidad de Internet, el Modelo de Seguridad EB-Security para Internet
también puede ser divulgado en reuniones o foros generales que planifiquen las
gremiales que aglutinan a las Pequeñas y Medianas Empresas salvadoreñas.
4.2 Cronograma de Implementación del Modelo
r SEMANASDESCRIPCION DE l:AACTlVIDAU-------------.. F:-:-=r--==-~-r=-r----:-r=-r-:::-r=i
1234567
Análisis y estudio del Modelo
Diagnóstico de la seguridad en los E-Business de las empresas
Exposición del Diagnóstico
Diseñar y Crear la Política de Seguridad en los E_Business Comunicar la Política de Seguridad de los E-Business
Segumiento del Modelo EB-Security (evaluación de resultados), deber realizarse 6 meses después de su implementación
Tabla IV.2 Cronograma de Implementación del Modelo
El cronograma presentado es un cronograma tipo, que puede variar dependiendo de
la complejidad de cada empresa y sus requerimientos de seguridad en el uso de
Internet y la aplicación de los E-Business.
145
4.3 Evaluación del Modelo
Transcurridos seis meses a partir de la implementación del Módeló de Seguridad EB
Security para Internet, deben evaluarse los resultados obtenidos por medio de su
utilización y aplicación. Esto puede llevarse a cabo utilizando formularios de
evaluación, o simplemente a través de entrevistas libres; el propósito buscado en
esta parte es verificar las adecuada utilización del ModeIo, revisar jos resuitados de
su aplicación y realizar los ajustes que en ése punto Sé consíderen oportunos y
necesarios.
4.4 Recursos
Tres tipos de recursos son requerídos para la implementación del Modelo: Recursos
Humanos, Tecnológicos y Financieros.
4.4.1 Humanos
Se requiere por lo menos de un profesional en la informática que , dependiendo de la
estructura organizacional de la empresa, puede ser externo o interno.
Es recomendable que las pequeñas y medianas empresas cuenten con personal
idóneo en el área de informática, puesto que son los indicados para llevar a cabo la
implementación del Modelo.
Es factible formar un Comité de Seguridad en los E-8usiness, que puede estar
conformado por un representante de la alta gerencia, un representante de informática
y uno del área de E-Business.
í46
4.4.2 Tecnológicos
Los recursos tecnológicos para la implementación del Modelo de Seguridad EB
Security para Internet variarán según la situación particular de cada empresa y de el
grado de involucramiento que las pequeñas y medianas empresas tengan en los E
Business. Además debe tomarse en cuenta la forma de conexión a Internet, el
proveedor, ia red corporativa o Íocal, entre otros.
En general, como mínimo la empresa debe contar con un antivirus que sea
actualizado periódicamente, aunque se recomienda que se haga diariamente y que
esté debidamente configurado . Partiendo de esto , pueden complementarse los
recursos con software de protección (firewalls, encriptación y otros) o hardware.
4.4.3 Financieros
Los recursos financieros necesarios para la implementación del Modelo de Seguridad
en Internet son los sIguientes:
INVERSION
DESCRIPCiÓN DEL PRODUCTO YIO SERVICIOS EN US$
Profesional de Informática 1,371 .00
Adquisición de programa Antivirus 70.00
Adquisición de programa Firewalls (incluye 4 licencias, en caso de 158.19
que se requieran)
Adquisición de software lOS (este precio incluye licencias para 2 455 .39
servidores y 10 estaciones, en caso de que así se requiera)
Adquisición de Software de Encriptación (incluye servicies de 470.00
alojamiento de sitios web y hosting, en caso de que así se requiera)
Gastos de reuniones para la presentación del Modelo EB-Security 115.00
Seguimiento y monitoreo 114.28
Tabla IV.3 Recursos Ftnancieros para la Implementación del Modelo
147
Este requerimiento de recursos financiero es un ejemplo tipo estimado que puede
cambiar de acuerdo a cada empresa y sus necesidades, numero de pe y tipo de
conexión á Internet y tipo de red local, se presenta con el propósito de demostrar
que hay formas de adquirir este tipo de programas en El país , el costo exacto de la
implementación del Modelo dependerá exclusivamente de la situación particular de
cada PYME este escenario planteado esta orientado para Sistemas Operativos de la
familia de Microsoft como Windows NT 4 - service pack 6, Windows zoo ó.
Con la debida implementación del Modelo de Seguridad EB-Security para Internet se
generará confianza para que las PYMEs fortalezcan e incrementen sus E-Bussines y
de esa manera se producirá un efecto positivo que llevará beneficio a la sociedad y
a la economía salvadoreña.
