Proceso de Elaboración de las Políticas de Seguridad

El post de hoy va a tratar de abarcar ciertos puntos y criterios que deben ser considerados a la hora de elaborar las políticas de seguridad.

Al ser un tema muy amplio traté de poner algunos puntos específicos y desarrollarlos de una manera que sean entendibles y comprensibles.

El post anterior hacía referencia a La necesidad de definir políticas de seguridad una vez que entendimos la importancia de las políticas de seguridad llegó la hora de elaborarlas.

Pero para poder llevarlo a cabo debemos determinar cuan segura o insegura, que funcionalidades va a ofrecer y cuan fácil va a ser de utilizar la red. No podremos tomar buenas decisiones sobre seguridad sin primero determinar los cuales son los objetivos de nuestra política, tampoco podremos hacer uso de herramientas específicas porque no sabremos que chequear y que restricciones imponer.

Éstos puntos pueden ser muy útiles a la hora de la elaboración de las políticas:

• Servicios Ofrecidos vs Servicios Proveídos:

• Cada servicio ofrecido al usuario trae consigo un riesgo de seguridad.

• Para algunos servicios el riesgo supera el beneficio del servicio y el administrador puede elegir eliminar el servicio en lugar de tratar de asegurarlo.

Fácil de usar vs Seguridad:

El sistema más fácil de usar sería aquel que permita el acceso a cualquier usuario sin requerir password, eso quiere decir que no habría seguridad.

Requerir password hace que el sistema sea menos práctico, pero más seguro. Requerir de un dispositivo generador de contraseñas únicos hace el sistema un poco más difícil de usar, pero mucho más seguro.

Costo de Seguridad vs Riesgo de Pérdidas:

Hay diferentes costos de seguridad: monetarios (ej: el costo de comprar hardware de seguridad y software como firewall y generadores de passwords), performance (ej: la encriptación y desencriptación lleva tiempo), y fáciles de usar como se mencionó anteriormente. También hay algunos niveles de riesgo: pérdida de la privacidad (ej: la lectura de información por individuos no autorizados), pérdida de datos (ej: la corrupción o eliminación de la información), y la pérdida del servicio (ej: llenar de datos los dispositivos de almacenamiento, denegar los accesos a la red de trabajo).

Cada tipo de costo debe ser ponderado contra cada tipo de pérdida.
No está de más recordar que los objetivos o metas deben ser comunicados a todos los usuarios, miembros de staffs, y administradores a través de un set de reglas de seguridad, llamado “política de seguridad”.

Quienes deben estar involucrados a la hora de elaborar las políticas de seguridad?:

Para que una política de seguridad sea apropiada y efectiva, necesita tener la aceptación y el apoyo de todos los niveles de trabajadores en conjunción con la empresa.

La siguiente es una lista de las personas que deberían de participar en la elaboración de dicho documento:

• Administrador de Sistema del lugar.

• Staff del Data Center.

• Administradores de Áreas en General.

• Equipo responsable de Incidentes de Sistemas.

• Representantes de Grupos de Usuarios afectados por las Políticas de Seguridad.

• Administrador Responsable.

• Consejeros Legales.

Es necesario hacer énfasis en que el apoyo por parte de la gente con el poder de decisión, tales como cuerpo directivo, gerentes, dueños de empresas, ya que sin su apoyo sería imposible contar con un esquema de seguridad verdaderamente exitoso.

Esta lista solo trata de brindar la información necesaria del personal a tener en cuenta en este proceso. Se la puede adaptar teniendo en cuenta la estructura de nuestra organización, los distintos departamentos que la conforman y los responsables de las mismas.

Una vez definido y decidida la política de seguridad a seguir, deberemos encontrar la manera de conseguir un equilibrio entre “seguridad, conveniencia y disponibilidad”. Contestar una serie de preguntas nos ayudará a encontrar éste equilibrio tan necesario e importante:

• Quién debe tener acceso?

• Quién debe tener acceso físico? Los sistemas se encuentran cerrados o de libre acceso?

• Cuándo se debe tener acceso? Se los permite tener acceso en cualquier horario tanto dentro del comercial como fuera del mismo? Todos los días laborales y no laborales?

• De qué clase de acceso se debe disponer? Es necesario que todos tengan acceso a internet o sólo a ciertos dispositivos que conforman la red, tales como impresora?

• Qué servicios se deben usar? Debe alguno acceder a ftp? Qué ocurre con servicios como telnet, finger, etc?

• Qué clase de programas se deben ejecutar?

• Con que otras computadoras de la red se van a conectar? Cuántos servidores deben ver? El servidor web? Qué sucede con la contabilidad y las nóminas?

• De cuánto espacio van a disponer los usuarios dentro del sistema de archivos?

• De cuánto espacio del kernel disponen los usuarios?

• Qué tipo de restricciones se deben implantar al uso de contraseñas? Una longitud mínima? Cambio de contraseñas semanales? Mensuales tal vez?

• Qué tipo de ataques son posibles? Es necesario que los usuarios accedan desde el exterior a través del firewall?

• Qué tipo de ataques son más probables? Se ha despedido de forma reciente personal con conocimiento del sistema? Se han producido recientemente intentos que hayan tenido éxito?

• De cuánto tiempo se dispone para recuperarse después de un ataque? Es posible tomarse una semana de baja? Un día? Una hora?

• Cuál será el costo? Considerar la base hora/trabajador, para volver al correcto funcionamiento.

• Qué valor deben tener los datos protegidos para alguien de afuera? Son secretos corporativos? Información financiera? Lista de clientes?

• Qué daño pueden causar a la reputación de la empresa la publicación de la intrusión? Qué ocurre si se trata de una institución financiera y se ven comprometidos los datos personales o expedientes de los clientes?

Qué hace a una buena política de seguridad?:

Algunas características de de una buena política de seguridad son las siguientes:

• Debe ser implementado a través de procesos de sistemas de administración, posters, folletos o algún otro medio apropiado.

• Deben ser ejecutadas con herramientas de seguridad.

• Debe definir claramente las áreas de responsabilidad de los usuarios, administradores y gerente.

A la hora de elaborar estas políticas, es factible que dividir el trabajo en varias políticas diferentes y específicas a un campo, tales como: cuentas, email, passwords, entre otros. Ésto nos dará la posibilidad de tratar distintas áreas con mayor detenimiento, tratando así de eliminar puntos o vulnerabilidades sin cubrir.

Algo muy importante a tener en cuenta cuando estamos en la realización de las políticas es que debemos pensar en ella será aplicada constantemente por todos los integrantes de la organización y es por eso mismo que hay que dotarla de cierta flexibilidad.

Manteniendo nuestra Política Flexible:

Para que nuestra política de seguridad sea viable y perdure por mucho tiempo, es necesario que posea de mucha flexibilidad basada en el concepto de arquitectura de seguridad. La política de seguridad debe ser independiente de un hardware específico y de un conjunto determinado de software. Los mecanismos para la actualización y/o modificación de las políticas deben estar claramente establecidos. Ésto incluye procesos, personas involucradas, y las personas que deben firmar los cambios. También es importante reconocer que hay excepciones a cada regla. Cuando sea necesario se debe dar a conocer cuales son esas excepciones. Por ejemplo, en que casos o condiciones un administrador de sistemas tiene permiso para acceder a los archivos de los usuarios. Es éste tema muy importante a tener en cuenta.

Considero que con toda esta información es bastante por hoy.
Hasta la próxima…

Fuentes:

1. Information Resource Guide (Computer, Internet and Network Systems Security)
2. Políticas de Seguridad Computacional (Donado, Agredo Méndez y Carrascal Reyes)

La necesidad de definir políticas de seguridad

El post de hoy va a tratar de explicar porqué es necesario que toda empresa por más grande o pequeña que sea tiene la necesidad y porqué no, obligación de definir políticas de seguridad.

La necesidad surge porqué existe un fallo o deficiencia en la seguridad de información, la cual pone en riesgo nuestra información y seguridad a la hora de proteger nuestros datos, que implican significantes sumas de dinero y tiempo invertido.

Con buenas políticas informamos con mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.

Es importante que las personas que toman este tipo de decisiones sepan que algunos de los ítems que abarca este tipo de políticas son los siguientes:

• Una política de privacidad.
• Una política de acceso.
• Una política de autenticación.
• Una política de contabilidad.
• Una política de mantenimiento para la red.
• Una política de divulgación de información.

Elementos que ayudan a la colaboración de las políticas de seguridad:

• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual se aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicados a todos los niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
• Definición de violaciones y sanciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismo y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.

Es muy importante que las políticas de seguridad deben estar en un proceso de actualización y/o revisión constante.

Estructura de un Modelo de Política de Seguridad:

• Organización de la Seguridad:

Objetivo:

Administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para iniciar y controlar su implementación, así como para la distribución de funciones y responsabilidades.

Fomentar la consulta y cooperación con Organismos especializados para la obtención de asesoría en materia de seguridad de la información.

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de terceros a la información del Organismo.

• Clasificación y Control de Activos:

Objetivos:

Garantizar que los activos de información reciban un apropiado nivel de protección.

Designar a los propietarios de la información existente en el Organismo.

Clasificar la información para señalar su sensibilidad y criticidad.

Definir niveles de protección y medidas de tratamiento especial acordes a su clasificación.

• Seguridad del Personal:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

• Seguridad Física y Ambiental:

Objetivo:

Reducir los riesgos de error humano, comisión de ilícitos, uso inadecuado de instalaciones y manejo no autorizado de la información.

Explicitar las responsabilidades en materia de seguridad en la etapa de reclutamiento de personal, incluirlas en los acuerdos a firmarse y verificar su cumplimiento durante el desempeño del individuo como empleado.

Garantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de la información, y se encuentren capacitados para respaldar la Política de Seguridad del Organismo en el transcurso de sus tareas normales.

Establecer Acuerdos de Confidencialidad con todo el personal y usuarios externos de las instalaciones de procesamiento de información.

Establecer las herramientas necesarias para promover la comunicación de debilidades existentes en materia de seguridad, así como de los incidentes ocurridos, con el objeto de minimizar sus efectos y prevenir su reincidencia.

• Gestión de Operaciones y Comunicaciones:

Objetivos:

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y comunicaciones.

Establecer responsabilidades y procedimientos para su gestión y operación, incluyendo instrucciones operativas, procedimientos para la respuesta a incidentes y separación de funciones.

• Control de Accesos:

Objetivos:

Impedir el acceso no autorizado a los sistemas de información, bases de datos y servicios de información.

Implementar seguridad en los accesos de usuarios por medio de técnicas de identificación y autenticación.

Controlar la seguridad en la conexión entre la red del Organismo y otras redes públicas o privadas.

Registrar y revisar eventos y actividades críticas llevadas a cabo por los usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la utilización de contraseñas y equpos.

Garantizar la seguridad de la información cuando se utiliza computación móvil e instalaciones de trabajo remoto.

• Desarrollo y Mantenimiento de Sistemas:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

• Administración de la Continuidad de las Actividades del Organismo:

Objetivos:

Asegurar la inclusión de controles de seguridad y validación de datos en el desarrollo de los sistemas de información.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo de vida de los aplicativos y en la infraestructura de base en los cuales éstos se apoyan.

Definir los métodos de protección de información crítica.

- Notificación / Activación : Consistente en la detección y determinación del daño y la activación del plan.

- Reanudación : Consistente en la restauración temporal de las operaciones y recuperación del daño producido al sistema original.

- Recuperación : Consistente en la restauración de las capacidades de proceso del sistema a las condiciones de operación normales.

Asegurar la coordinación con el personal del Organismo y los contactos externos que participarán en las estrategias de planificación de contingencias. Asignar responsabilidades para cada actividad definida.

• Cumplimiento:

Objetivos:

Cumplir con las disposiciones legales, normativas y contractuales a fin de evitar sanciones administrativas y legales al Organismo y/o al empleado.

Garantizar que los sistemas cumplan con las Políticas y estándares de seguridad del Organismo.

Revisar la seguridad de los sistemas de información periódicamente a efectos de garantizar la adecuada aplicación de las Políticas y estándares de seguridad, sobre las plataformas tecnológicas y los sistemas de información.

Optimizar la eficacia del proceso de auditoría de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Garantizar la existencia de controles que protejan los sistemas en producción y las herramientas de auditoría en el transcurso de las auditorías de sistemas.

Determinar los plazos para el mantenimiento de información y para la recolección de evidencia del Organismo.

Cómo mencioné en algún post anterior, la tendencia en estos últimos años es escuchar la frase “hay que educar al consumidor”, pero en este caso sería, “hay que educar a los usuarios” y me parece que en esta frase “usuario” va más allá de la persona que se sienta frente a su computadora y se limita a hacer su trabajo diario, sino que abarca a todos los que trabajan en la organización desde la cabeza hasta el último.

Las políticas bien elaboradas y aplicadas, si bien implican tal vez mucho dinero hay que entender que ese dinero es bien invertido y en el futuro a la hora de actualizar o implementar nuevos cambios en las políticas ya establecidas puede ahorrarnos mucho dinero.

También sería bueno y útil que a las políticas acompañen capacitaciones continuas del personal, si se cree necesario crear un calendario donde se fijen horarios, días y/o períodos de capacitación y una vez que éstos se ponen en práctica realizar un control o seguimiento para que una vez llegado, por ejemplo al año realizar una evaluación y ver cuales fueron los resultados arrojados de dicha implementación.

Por último me gustaría recomendar esta lectura que me parece útil, no se si pertinente pero si muy interesante y es para tenerla en cuenta: Los 10 peores errores que comete la alta dirección en seguridad de la información.

Creo que por hoy esto es más que suficiente.

Hasta el próximo post…

Fuentes:

Arcert
Auditoria Sistemas

Segu-Info

Introducción a las Políticas de Seguridad

Este post lo quiero hacer sobre políticas de seguridad. ¿Porqué? Por el hecho de que es un tema que siempre me pareció interesante y porque tanto ustedes como yo no sabemos muy bien en que consiste y que abarca.

Generalmente, cuando hay algo que no entiendo o no me queda del todo claro, trato de analizar, entender o comprender el significado de la/s palabra/s, en este caso “políticas de seguridad”.

Esto quiere decir que mi siguiente paso es poner las siguientes definiciones:
1) Políticas: (del griego πολιτικος (politikós), «ciudadano, civil, relativo al ordenamiento de la ciudad») es el proceso y actividad orientada, ideológicamente, a la toma de decisiones de un grupo para la consecución de unos objetivos. También se define como política a la comunicación dotada de un poder, relación de fuerzas.
2) Seguridad: (esta definición me costó bastante conseguirla, pero esta que voy a dar a continuación me pareció la más adecuada) Se aplica a ciertos mecanismos que aseguran algún buen funcionamiento, precaviendo que éste falle, se frustre o se violente.

Lo que yo saco como conclusión teniendo en cuenta estos conceptos, es que las políticas de seguridad son decisiones que toman las personas con altos puestos gerenciales que teniendo en cuenta los objetivos de la empresa, tratan de optar por las mejores opciones para el logro de las metas establecidas. Pero la/s persona/s que deciden ésto deben estar asesorados con personas del rubro o área de la informática o bien, porqué no contar con un informático dentro de la gerencia, ya que así supongo que se podrían evitar muchas veces falencias, que pueden terminar en verdaderos desastres y no se si en tragedias económicas, pero que podrían causar un gran daño económico a la entidad.

Es precisamente por esto, por los daños que puede sufrir una empresa ya sea como económico, de información o de lo que sea es que los responsables de tomar estas medidas, deben ser capaces de darse cuenta de que capacitar al personal responsable del área informática debe estar actualizado y capacitado, y que el dinero destinado a esto no es un “gasto, sino una inversión en seguridad”.

Ahora una buena definición de lo que es seguridad informática:

Seguridad Informática:
La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema computacional.

Áreas que cubre la seguridad informática:

• Políticas de seguridad.

• Seguridad Física.

• Autentificación.

• Integridad.

• Confidencialidad.

• Control de Acceso.

• Auditoría.

Porqué es tan importante la Seguridad Informática:
Es importante porque las empresas poseen información relevante para ellos ya que les es útil para la toma de decisiones, establecer políticas, normas para el logro de los objetivos.

También es importante porque poseen base de datos con datos personales de los clientes, los cuales en manos incorrectas o maliciosas podrían ser utilizados de malas maneras como perjudicar a los clientes o a las empresas causando grande pérdidas de dinero, entre otras cosas.

La falta de seguridad también puede provocar la pérdida de información, que puede ser utilizada por otras empresas y éstas las pueden utilizar esa información ya sea para lanzar el mismo producto y/o servicio o anticipar distintas estrategias entre otras cosas.

Los intrusos pueden, incluso, formar parte del personal administrativo o de sistemas, de cualquier compañía; de acuerdo con expertos en el área, más de 70 por ciento de las Violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar un daño con valor de miles o millones de dólares.
Me parece que una buena manera de concluir este post que sin duda va a ser el principio de más post referidos a seguridad, es un breve documento titulado: Política Oficial de Seguridad Informática del CICESE, elaborado el 28 de mayo del 2001. Por lo que se ve es de principios del 2000 pero creo que como base y/o guía puede ser un material muy útil para saber que tipo de información debemos tener en cuenta a la hora de elaborar nuestras políticas de seguridad.

Espero el post haya sido del agrado de muchos.

Hasta la próxima…

El trabajo conjunto de los integrantes de una empresa y el/los operador/es

Buenas voy a tratar de que el post del día de hoy sea interesante, al menos para mi lo es.

Hoy leyendo un artículo intitulado: La mejor defensa: Coordinación entre el operador y la Empresa, perteneciente a la revista a + )), cuyo autor es Javier Gonzalez, Director de Marketing Colt, habla de como el personal a cargo de la seguridad de nuestra empresa y las personas que toman decisiones con respecto a la empresa deben trabajar de manera conjunta para prevenir posibles ataques a la entidad.

Como dije antes es un texto interesante de leer, pero me gustaría hacer algunas aclaraciones antes como por ejemplo hace uso de la terminología hacker, relacionandolo con aspectos maliciosos de las tecnologías hasta llegar a ciber criminales. Personalmente desde mi punto de vista no lo veo de esa manera, si bien no niego la existencia de los llamados ciber criminales, creo que es muy común en estos casos el uso indebido de ciertas denominaciones en contextos específicos y muchas veces se las usa sin conocer la definición.

Por eso mismo me gustaría que se aclaren algunos conceptos:

Hacker

Los diferentes tipos de hackers:

• Hackers de sombrero blanco: hackers en el sentido noble del término. Su objetivo es ayudar a mejorar los sistemas y las tecnologías informáticas. Son los responsables de la creación de los principales protocolos de informática y de las herramientas informáticas que utilizamos en la actualidad. El correo electrónico es uno de los mejores ejemplo.
• Hackers de sombrero negro: más comúnmente llamados hackers (o crackeadores por extensión). Se introducen en los sistemas informáticos con el propósito de perjudicar.

- Script kiddies: (también llamados en ocasiones niños del script,crashers, lamers y packet

monkeys). Son jóvenes usuarios de la red que utilizan programas que encontraron en internet,

generalmente con torpeza, para dañar sistemas informáticos por diversión.

- Piratas telefónicos: (phreakers) aquéllos que usan la red telefónica conmutada (STN, por sus

siglas en inglés) para realizar llamadas telefónicas gratuitas usando circuitos telefónicos (llamados

cajas, como la caja azul, la caja violeta, etc.) conectados a la línea telefónica para manipular su

funcionamiento. La palabra “piratería telefónica o phreaking”, por tanto, hace referencia a la

piratería de las líneas telefónicas.

- Los piratas de tarjetas (carders): atacan principalmente los sistemas de tarjetas con chip

(en particular, las tarjetas bancarias) para entender cómo funcionan y explotar sus falencias.

El término piratería de tarjetas o carding hace referencia a la piratería de tarjetas con chip.

- Los crackers o crackeadores no son piratas inexpertos, sino personas cuyo objetivo es

crear herramientas de software que permitan atacar los sistemas informáticos o desactivar la

protección de copias de los programas comerciales. Un “crack” es, entonces, un programa

ejecutable creado para modificar (instalar un parche en) el software original y así eliminar la

protección de éste.

• Los hacktivistas son los hackers que actúan con motivos ideológicos. El término se ha utilizado ampliamente en la prensa para transmitir la idea de una comunidad paralela llamada submundo (underground), en alusión a las poblaciones subterráneas de las películas de ciencia ficción.

Entre otros términos que utiliza se encuentran los siguientes:

• Seguridad por capas
• Token
• Ipsec
• Mac
• Gateways
• Backdoor
• IP Spoofing
• Flooding Dos

Bueno supongo que con estos conceptos claros el artículo va a ser más que claro para entenderlo y pensarlo.

Me comprometo a seguir buscando material que proporcione informaciónde como integrar las tecnologías de la información con el resto de las otras áreas en una empresa, ya que la buena integracion de todos estos factores más la concientización de los miembros que hacen que funcione una empresa es muy importante para evitar y/o disminuir los riesgos en la organización.

Hasta la próxima…

Delitos y fraudes informáticos: He sido víctima?

Que tal, supongo que el post de hoy es una consecuencia de un artículo que leí ayer titulado de la siguiente manera:
Argentina: Ley de Delitos Informáticos obliga a concientizarse y capacitarse, y navegando un poco me topé con un sitio donde detalla una serie de pasos que un usuario debe realizar en caso de haber sido estafado, procedo a colocar las indicaciones:

HE SIDO VICTIMA DE UN FRAUDE A TRAVÉS DE INTERNET:
Es habitual que en esta situación los afectados crean que no hay nada que hacer porque el delito se ha cometido a través de la red. Sin embargo esto no es así ya que el procedimiento seguido para denunciar y enjuiciar los hechos es el mismo que el utilizado cuando el delito se comete fuera de la Red.

Por lo tanto, el afectado puede:
1º Presentar una denuncia, que puede ser escrita o verbal y realizarse personalmente o por mandatario con poder especial, en:

• La comisaría de policía u oficina de la guardia civil mas cercana a su domicilio.
• El juzgado de guardia correspondiente a su domicilio.

A la hora de elegir donde plantear la denuncia, es preciso analizar la utilidad de presentarla en uno u en otro lugar.

La denuncia en el juzgado es mas útil cuando no ha de haber una actuación policial inmediata, de manera que se agiliza la tramitación del procedimiento, o cuando se soliciten medidas de protección al perjudicado y que no puedan ser adoptadas por la policía judicial.

La denuncia ante la policía se hace mas aconsejable cuando se requiere una investigación por parte de este cuerpo, que actúan en todo caso, como intermediario en el proceso.

En la denuncia, no es necesario determinar al responsable de los hechos, aunque si se sospecha de alguien es aconsejable hacerlo constar para dirigir la investigación también hacia ese sentido.

Los delitos objeto de denuncia pueden ser públicos, perseguibles de oficio por las autoridades, o privados, señalando que éstos sólo podrán ser perseguidos si la denuncia es presentada por los sujetos determinados por la ley.

El denunciante no es parte en el proceso, de manera que no tienen derecho a intervenir en el curso de la causa si no se persona mediante abogado y procurador, ejercitando la acción.

2º Interponer una querella.
Se interpone siempre ante los juzgados, nunca ante la policía y se trata de un medio de iniciación del procedimiento penal mas formal, es decir, que requiere de unos concretos requisitos para su validez, como por ejemplo los datos identificativos del querellante y del querellado, relación detallada de los hechos, etc, e idóneo para aquellos casos en los que la investigación criminal presenta mas dificultad.

La querella sirve para la personación del querellante como parte acusadora en el proceso penal, y requiere ser presentada con procurador y abogado.

Ha de otorgarse poder especial a favor de procurador, bien ante Notario, o bien ante el secretario del Juzgado que va a conocer del caso. Si el poder otorgado es general, la querella ha de ir firmada por el querellante.

En la querella se ha de narrar los hechos de manera que tengan la apariencia de delictivos, se ha de poner de manifiesto la concurrencia de los elementos objetivos y subjetivos del tipo penal, esto es, del delito de que se trate.

La querella es obligatoria para los delitos privados de calumnias en injurias cometidas entre particulares. Mediante la querella el querellante se constituye en parte del proceso, de manera que tiene, en la fase de instrucción, una amplia iniciativa procesal.

Presentada la denuncia o querella, remitida al juzgado y admitida a trámite, se iniciará el correspondiente proceso penal.

Es aquí donde el perjudicado por el delito podrá solicitar las diligencias de prueba que considere oportunas para esclarecer los hecho e identificar al autor de los mismos.

En el supuesto planteado, podría solicitarse que se averiguara datos tales como la IP desde la cual se realizó una conexión a Internet, el titular de una cuenta de correo electrónico, el titular de un número de teléfono, etc, de manera que disponiendo de todos esta información pudiera identificarse al autor del delito.

Lo postee tal cual estaba en el sitio para evitar confusiones, la fuente de la cual obtuve esta información es del siguiente sitio:
Delitos Informáticos
La sección de la cual extraje este fragmento es la siguiente:
El Ciudadano Denuncia
En caso de que alguno crea que haya sido víctima deja un enlace para contactarse con ellos:
Portal Ley
La autora de los pasos detallados anteriormente es: Noelia García Noguera, Abogada especialista
Directora despacho de abogados Portaley.com

Me pareció correcto este tema ya que no es muy común toparse con este tipo de información, salvo que se entre a sitios especializados en el tema y es algo que todo usuario tiene derecho a conocer, saber como actuar y que hacer frente a estos temas.

Es una buena manera de empezar a interiorizarnos cada vez más con las cosas que suceden y prevenirnos de posibles fraudes y sobre todo a educarnos nosotros mismos, porque si no lo hacemos nosotros dificilmente lo hagan los demás.

Hasta el próximo post…

Fraude informático y campaña de concientización

Hubo cambio de planes, mi post del día de hoy iba a ser dedicado a la calidad y servicios relacionado con las tics, pero chequeando mi mails como todas las mañanas me topé con uno que atrajo mi atención titulado: España: Comienza la campaña “Agosto 2008: Mes de la prevención del fraude”, lo leí con detenimiento y me pareció lo suficientemente interesante como para cambiar mi opinión acerca de que post publicar.

Ese título me hace pensar, porqué acá en Argentina nadie toma una iniciativa semejante? Acaso acá no existen fraudes? Son tan buenos, confiables y robustos nuestros sistemas?

Leí en algún lugar que “prevenir es curar” y a esto sumo otra frase que en estos últimos años parece estar muy de moda o las cosas obvias están saliendo a la luz, me refiero a la frase “educar al cliente y/o consumidor”.

Dicha campaña es una iniciativa del Instituto Nacional del Consumo (INC), ignoro si acá poseemos de alguna entidad igual o similar, se me ocurre Instituto del Derecho del Consumidor, pero no estoy muy segura.

Creo que si por ejemplo el Instituto Nacional de Tecnología Industrial y el Instituto del Derecho del Consumidor juntan sus fuerzas podríamos llegar a tener una campaña muy similar a la de ellos.

De llevarse acabo dicho evento pienso que se podría reducir o disminuir el número de estafas, además pondría en contacto directo empresas del medio con los consumidores, lo que resulta muy importante así los dos sectores se informan acerca de las amenazas y peligros a lo que están expuestos.

Las empresas a partir de esto pueden tomar mayores precauciones y recaudos e implementar mayor seguridad en sus sistemas y los consumidores pueden aprender como “defenderse” o actuar en caso de tener alguna duda o saber donde recurrir y sobre todo conocer sus derechos en caso de ser afectados o estafados de alguna manera.

Creo que es hora de que dejen de leer lo que escribo y lean lo que realmente es lo importante.

España: Comienza la campaña “Agosto 2008: Mes de la prevención del fraude”

Espero el post del día de hoy sea del agrado.

Hasta la próxima…

La importancia del almacenamiento y protección de datos

Antes que nada quiero disculparme por la/s persona/s que leen este blog…, bueno si es que alguien lo lee, no? Por no haber escrito nada en estos últimos días. La verdad anduve ocupada y recién ahora tengo un tiempo libre para sentarme y ver dentro de documentos que poseo algún artículo interesante para poder compartirlos con uds.

Hurgando un poco encontré un artículo de dos páginas que se llama: El almacenamiento, un proceso estratégico. (Garantía imprescindible para la sostenibilidad de la empresa.); artículo cuya autora es Ana Puente; Responsable de Ventas de ALLNET de España. Dicho artículo puede descargarse desde este enlace: Almacenamiento, el cual fue extraído de la Revista a + )).

Elegí este artículo porque el tema del almacenamiento de datos es algo muy importante o por lo menos veo que en estos ultimos años es algo que está tomando mucha importancia. Se le presta más atención o se le está dando la importancia que realmente merece.

La autora nombra dos modelos de almacenamiento de datos, ellos son:

1. SAN (Storage Area Network)
2. NAS (Netwok Attached Storage)

También nos dice que es lo que debemos tener en cuenta a la hora de seleccionar la mejor manera para administrar y proteger nuestros datos.

Es bueno que le esté poniendo énfasis a la protección de datos de las empresas, ya que son su mayor fuente o una de sus mayores fuente de información acerca de nuestros clientes, ya que nos deja saber acerca de sus usos, costumbres, gustos, tendencia y necesidades.

Espero que descarguen el artículo, lo lean y lo piensen, sin duda es un tema que da para hablar y sacar muchas cosas jugosas.

Hasta la próxima…

Acer Aspire 4520-5275 con Ubuntu Hardy 8.04

Hola, hoy les voy a contar como después de varios intentos logré tener mi notebook funcionando en un 100%.

Como siempre digo soy Debianera de alma pero decidí instalar ubuntu en la notebook por el simple y único hecho de que es una distro basada en Debian, y porque una vez instalada funciona todo o la mayoría de las cosas.

Instalé ubuntu creo que 3 o 4 veces y siempre traté de configurar el dichoso wifi sin éxito, solo lograba ver las redes pero no podía conectarme.

Seguí al pie de la letra más de un tutorial, probé con ndiswrapper y nada y luego probé con madwifi, con ese obtuve mejores resultados, entonces preferí seguir intentando con madwifi.

Decidida, hace dos días dije lo voy a reinstalar a ver que pasa. Hice todo, según yo había hecho todos los pasos para reinstalar ubuntu desde cero, pero cuando reinicio y entra a la interfaz gráfica para mi sorpresa estaba todo como antes, a nivel apariencia hablando. Es decir estaba mi mismo wallpaper y demás configuraciones salvo algunas cosas que faltaban pero lo básico estaba.

Me pareció raro pero, dejé esto de lado y seguí con lo que era mi propósito, hacer funcionar el wifi.

Lo primero, abrir la consola y ver bien que placa wifi tenemos, para eso el siguiente comando:

lspci | grep Wireless

Y el resultado que nos debe dar es el siguiente:

Ethernet controller: Atheros Communications Inc. AR242x 802.11abg Wireless PCI Express Adapter (rev 01)

Esa es la placa que trae mi notebook.

Una vez que veo cual es procedo a desactivar el driver que el ubuntu detecta, para eso hago lo siguiente:

1. Voy a Sistema
2. Administración
3. Controladores de hardware

Cuando se abre la ventana con los drivers desactivo el casillero que dice:

Support for Atheros 802.11 wireless LAN cards

Una vez desactivado esto seguimos con la instalación.

Lo primero y principal es verificar si tenemos instalado build-essential, para eso usamos el siguiente comando en la terminal:

sudo apt-cache search build-essential

Si aparece en el repositorio procedemos a la instalación del mismo de la siguente forma:

sudo apt-get install build-essential

Finalizada la instalación, seguimos con lo que falta, que es descargar madwifi. Para descargarlo lo hacemos desde el siguiente enlace:

madwifi

Descargado, nos vamos al lugar donde lo guardamos y procedemos a descomprimirlo:

tar -xzvf madwifi-nr-r3366+ar5007.tar.gz

En caso de que no puedan descomprimirlo por algún problema o lo que sea prueben ejecutar el mismo comando pero anteponiendo “sudo”, quedando así:

sudo tar -xzvf madwifi-nr-r3366+ar5007.tar.gz

Realizado esto vemos que aparece una carpeta con el mismo nombre, nos ubicamos dentro de esta carpeta con:

cd madwifi-nr-r3366+ar5007

Una vez ahí dentro hacemos lo siguiente:

sudo make

Si finaliza con éxito sin tirar algún mensaje de error, procedemos con el siguiente comando:

sudo rm -rf /lib/modules/$(uname -r)/madwifi

El comando que se encuentra entre (), paréntesis, nos dice la versión de nuestro kernel, en mi caso es el siguiente:

uname -r

2.6.24-16-generic

Entonces el comando anterior completo queda de así:

sudo rm -rf /lib/modules/$2.6.24-16-generic/madwifi

Procedemos al siguiente paso:

sudo make install

Con esto finalizamos todo lo que necesitamos para que nuestro wifi pueda funcionar correctamente, sólo resta volver a habilitar el driver propietario que desactivamos al principio.

Una vez habilitado reiniciamos nuestra notebook y deberíamos de poder ver la/s red/es disponibles y conectarnos sin problema alguno.

Para hacer esto me basé en dos fuentes, aquí dejo los enlaces:

Kainita’s weblog
Wifi Atheros AR5007

Ubuntu-es
Wifi Atheros con madwifi

Bueno espero que les sea útil y espero comentarios al respecto.

Saludos y hasta la próxima…

Código abierto: es seguro?

Hoy vamos a dejar un poco de lado el tema de las redes wifi y vamos a hablar del código abierto.

Cómo usuaria de gnu/linux, me inclino más hacia el código abierto, por el simple hecho de que puedo hacer lo que quiera con el código fuente. no tengo porque pagar licencias.

Obviamente que depende de cada uno de nosotros el uso que le vayamos a dar al software.

Acá un pequeño listado de las ventajas y desventajas del open source:

• No tenemos que pagar
• Queda bajo nuestro buen criterio el uso que le demos
• La gran comunidad existente
• El desarrollo de código abierto produce programas con menos errores
• Programas más eficientes en el uso de recursos que el software propietario
• Capacidad para modificar el software de modo que se adapte a las necesidades específicas del usuario

También tengamos en cuenta los puntos débiles, no solo tiene sus puntos a favor:

• Sigue siendo una opción minoritaria entre los consumidores particulares
• No está respaldado por grandes campañas publicitarias en televisión
• No se ven hileras de paquetes de atractivos colores en los estantes de las tiendas de computación
• La inexistencia de cursos de capacitación de los mismos

Más allá de las ventajas y desventajas lo bueno del código abierto es la facilidad con que podemos conseguirlos, probarlos y sacar nuestras propias conclusiones de si son lo que queremos y necesitamos y sobre todo si se adaptan a nuestras tareas diarias y comparar el resultado de nuestros trabajaos realizados con ambos tipos de software.

Acá les dejo el enlace de un artículo muy interesante que lo leí de la revista a+)), es un artículo que se llama ¿Es el código abierto seguro?, redactado por Ángel Luis López, Gois Manager, Unisys España

Acá dejo el enlace para aquellos que quieran descargarlo y leerlo, es solo una hoja en pdf.

Descargar el artículo

Espero lo disfruten, hasta la próxima…

Siguiendo con seguridad en redes

Chusmeando un poco me encontré con una pequeña distribución gnu/linux, llamada IPCop.

Esta distro viene de las siguientes maneras:

– ipcop-1.4.18-install-cd.alpha.iso
- ipcop-1.4.18-install-cd.i386.iso
- ipcop-1.4.18-install-pxe.i386.tgz
- ipcop-1.4.18-install-usb-fdd.i386.img.gz
- ipcop-1.4.18-install-usb-hdd.i386.img.gz
- ipcop-1.4.18-install-usb-zip.i386.img.gz
- ipcop-1.4.18-othersrc.tar.bz2
- ipcop-1.4.18-sources.tgz

Además de las formas variadas en las que viene otra ventaja o punto a favor es que no es muy pesada, se la puede descargar desde el sitio oficial en inglés, consiste de una imagen ISO de menos de 100Mb la cual puede ser grabada en un CD e instalada en cualquier PC que tenga al menos dos interfaces de red.

Ipcop proporciona una simple interfaz web de administración basándose en una pc.

Su principal función es la de ser firewall, otra cosa muy buena es que tiene poco requerimiento a nivel hardware y que está pensado para uso casero o una pequeña empresa y/o pyme.

Hay que reconocer que no es muy común encontrar esta especie de aplicación orientada a usuarios pequeños y/o domésticos. Es por eso que me gustó para el post del día de la fecha, ya que vengo haciendo posts sobre seguridad casera o no.

Más adelante voy a ir expandiendome sobre redes cada vez más grandes y pymes más grandes.

Volviendo a Ipcop, nos permite configurar con funcionalidades avanzadas y básicas, mediante su interfaz web desde el simple filtrado de paquetes hasta la asignación de ancho de banda fijo a cada puesto de trabajo o la configuración de redes virtuales VPN. IPCop se actualiza desde el Interfaz Web de manera muy sencilla, incluyendo actualizaciones del Kernel.

Además de esto podemos agregar extensiones que nos permiten tener un mayor y mejor rendimiento como ser limitando el daño que podría hacer un intruso que comprometiera el sistema. Si se desea ampliar la funcionalidad existen extensiones, comunes con SmoothWall, que permiten instalar todo tipo de utilidades como por ejemplo instalar Nmap para escanear IPs.

Topologías de red soportadas: Permite la implementación de diferentes topologías de red, ya sea desde la simple LAN que sale a internet, hasta la creación de una zona desmilitarizada (DMZ), soportando también la inclusion de una red inalámbrica.

Las diferentes zonas las divide en colores, siendo:

– Roja (o Red) = zona de Internet
- Verde (green) = Red de Área Local (LAN) cableada
- Naranja (Orange) = zona desmilitarizada (DMZ, para la granja de servidores)
- Azul (Blue) = zona inalámbrica (Wireless)

Para descargar Ipcop:

Ipcop

Imágenes:

Screenshots

Documentos:

Documentation
FAQ
IpcopSupport

Acá creo que dejo los enlaces suficientes como para ir probando esta pequeña gran distro.

Hasta la próxima.