LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN



Documentos relacionados
POLITICA DE PRIVACIDAD.

POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización

Infraestructura Extendida de Seguridad IES

Para detalles y funcionalidades ver Manual para el Administrador

[VPN] [Políticas de Uso]

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

Test de intrusión (Penetration Test) Introducción

POLÍTICA DE PRIVACIDAD DEL SITIO WEB DE KARDAMILI. Lineamientos generales

Oficina Online. Manual del administrador

SIEWEB. La intranet corporativa de SIE

TPV VIRTUAL O PASARELA DE PAGOS DE CAJASTUR

Introducción a la Firma Electrónica en MIDAS


CAPÍTULO VI. RESULTADOS, PRUEBAS Y CONCLUSIONES DE LA APLICACIÓN.

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

6. RESPONSABILIDADES DE LOS PRESTADORES DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN

CIF-KM. GUÍA DE LOS PRIMEROS PASOS

MANUAL COPIAS DE SEGURIDAD

CAPÍTULO 3 Servidor de Modelo de Usuario

Capítulo 5. Cliente-Servidor.

Gestión de la Configuración

Proceso de Servicio de Informática y Comunicaciones

Soporte Técnico de Software HP

ANSolutions México. Su confianza es nuestro capital

Políticas: Servicio de Computo de Alto Rendimiento

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Qué son y cómo combatirlas

CAPÍTULO 2 DEFINICIÓN DEL PROBLEMA

MANUAL DE USUARIO DE LA APLICACIÓN DE ACREDITACION DE ACTIVIDADES DE FORMACION CONTINUADA. Perfil Entidad Proveedora

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Mejores prácticas de Seguridad en Línea

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

Guías _SGO. Gestione administradores, usuarios y grupos de su empresa. Sistema de Gestión Online

Para qué XP_CRYPT y SQL Shield?

Host. En este texto, entenderemos por host toda máquina - léase computadora. Cuenta. Una cuenta, en general, es un espacio de memoria y de disco que

La seguridad en Internet es un tema crucial que ha tomado un creciente interés y que hay que tener en cuenta a la hora de conectarse a Internet.

MANUAL DE USUARIO AVMsorguar

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

Información sobre seguridad

GESTIÓN DE CLÍNICAS COLEGIO OFICIAL DE VETERINARIOS DE BIZKAIA

Modelo de Política de Privacidad

Cómo hacer backups en ambientes virtualizados?

ANSolutions México. Su confianza es nuestro capital

Gemelo Backup Online P E R S O N A L I N D I C E. Qué es Gemelo Backup Online Personal. Gemelo Backup Online WEB

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Enkarga.com LLC. Política de privacidad

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

PROCEDIMIENTO ESPECÍFICO. Código G Edición 0

UNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA

Manual para la utilización de PrestaShop

Guía de uso del Cloud Datacenter de acens

LiLa Portal Guía para profesores

INFORME TECNICO ESTANDARIZACION DEL SERVICIO DE SOPORTE DE LA PLATAFORMA TRANSACCIONAL TRANSLINK TRANSACTION SERVICES OCTUBRE

Introducción a las redes de computadores

LINEAMIENTOS PARA LA CANCELACIÓN TOTAL DE SISTEMAS DE DATOS PERSONALES DEL INSTITUTO ELECTORAL DEL ESTADO DE MÉXICO CAPÍTULO I DISPOSICIONES GENERALES

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

SISTEMA DE ESPECIICACION DE REQUERIMIENTOS

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Tienda Virtual Synergy (Parte 2)

Políticas para la seguridad de los sistemas de datos personales en el Instituto Nacional de Medicina Genómica

QUE ES COMLINE MENSAJES? QUE TIPO DE MENSAJES PROCESA COMLINE MENSAJES?

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

RECETA ELECTRÓNICA Informe de Seguridad

Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing

Módulo 7: Los activos de Seguridad de la Información

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

Política de Privacidad LEVEL UP! GAMES

Capítulo 1. Introducción

Q-expeditive Publicación vía Internet

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Guía Indico del Usuario Administrador CERN

RETO FORENSE EPISODIO III Resumen Ejecutivo

MINISTERIO DE COMERCIO EXTERIOR Y TURISMO LEY LEY QUE NORMA LA ADQUISION Y ADECUACION DEL SOFTWARE EN LA ADMINISTRACION PUBLICA

Gestión de Oportunidades

Soluciones a problemas de negocios con TI

Servicio de Marketing

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

Configuración del Panel de Control

MANUAL DE PRACTICUM12 PARA CENTROS EDUCATIVOS ÁMBITO MÁSTER

Elementos requeridos para crearlos (ejemplo: el compilador)

SISTEMA DE RASTREO Y MARCADO ANTIRROBO

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Modelo de Conectividad para Redes Humanas

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

REGLAMENTO EN EL ÁREA DE REDES

Hacemos que tu negocio se mueva. Plataforma de ventas movilidapp

Autor: Microsoft Licencia: Cita Fuente: Ayuda de Windows

CRONO SISTEMA DE CONTROL DE PRESENCIA. Software abierto. Distintas opciones para realizar las picadas. Web personal para cada usuario

Un Sistema Distribuido para el Manejo de Correo Electrónico

I. Antecedentes. 1. La que se realiza en tiempo real, sin grabaciones de por medio, y 2. La que guarda las imágenes en dispositivos.

Acronis License Server. Guía del usuario

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT:

DE VIDA PARA EL DESARROLLO DE SISTEMAS

ACREDITACIÓN DE CARRERAS DE INGENIERÍA AGRONÓMICA PRIMERA FASE

MANUAL DE USUARIO SISTEMA DE ALMACEN DIF SONORA

CONTROL DE DOCUMENTOS

Manual de Procedimientos

Plus500 Ltd. Política de privacidad

Transcripción:

LA SEGURIDAD INFORMÁTICA Y LA LEY FEDERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACIÓN Autores: M. en I.A. Miguel Alejandro Orozco Malo M. en A.C. Alejandro Rubio Pérez Problemática Uno de los aspectos más complejos que recientemente ha cobrado un interés central para los responsables de los sistemas computacionales en general, es garantizar la seguridad de las redes; la cual tiene como premisa básica permitir el acceso de los usuarios válidos de la red, y al mismo tiempo mantener a los intrusos (hackers, crackers, etc.) fuera de las mismas. Esta tarea se vuelve sumamente difícil cuando los intrusos disponen de información clave de las redes. Recientemente las instituciones públicas se han enfrentado con nuevo escenario que es la aprobación y entrada en vigor de La Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Esta ley tiene propósito facilitar al ciudadano el conocer información acerca de las instituciones que lo conforman. Sin embargo, por la falta de lineamientos en materia de seguridad informática, se puede comprometer además de la seguridad de la red, la información que contienen las computadoras del Gobierno Federal. Desde hace tiempo existe información útil a los posibles intrusos. Tradicionalmente, el Instituto Nacional de Estadistica Geografia e Informatica (INEGI) se encarga de recabar anualmente la información de los equipos de computo que integran las diferentes redes de cómputo de las instituciones que conforman el Gobierno Federal Mexicano. Esta información incluye la cantidad y tipo de equipos, los sistemas operativos y las marcas de bases de datos empleados, así como los equipos de comunicaciones. Igualmente, se incluye información sobre los programas administrativos que se utilizan en las Dependencias. Esta información está disponible al público en general y es útil para los intrusos, aunque no es suficiente, ya que esta en un formato muy general tal y 1

como lo indica él articulo 35 de los Lineamientos Generales para la Clasificación y Desclasificación de Documentos del IFAI. 1 Sin embargo, al obtener información adicional, se vuelve muy útil para los intrusos. Los resultados de las licitaciones públicas dan información disponible al público en general acerca de todo lo comprado por el Gobierno Federal, incluyendo sus características. Este otro elemento genera información útil a los intrusos. Adicionalmente, el hecho de que la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental permita que cualquier información (por ejemplo, datos de la configuración red) sea abierta al público, permite solicitar información clave que si no ha sido bien identificada, dará acceso a intrusos en la red de las Dependencias Gubernamentales. Uno de los elementos que pueden guiar la clasificación de elementos de información cibernética en relación con las redes, es el hecho que en los equipos usados por los empleados del Gobierno Federal contienen información de carácter personal, como direcciones (físicas o electrónicas), documentación acerca de su patrimonio tal como: Números y claves de tarjetas de crédito, declaraciones patrimoniales para la Secretaría de la Función Pública (antes SECODAM), palabras clave (passwords) para acceder a información personal de e-gobierno, cuentas del ISSSTE, cuentas de INFONAVIT, etc. Cabe mencionar que muchos de estos programas (y otros de e-méxico) almacenan archivos de configuración en los discos duros de las computadoras de los funcionarios para facilitar su uso y/o envían a la cuenta de correo del funcionario sus datos, que también se almacena en el disco duro. La confidencialidad de todas las configuraciones e información anterior es garantizada por los artículos 32 y 36 de los lineamientos de 1 INSTITUTO FEDERAL DE ACCESO A LA INFORMACION PUBLICA. Lineamientos para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Pública Federal. Diario Oficial de la Federación. 18 de agosto de 2003. Distrito Federal, México. 2

clasificación del IFAI 2. Además debe ser protegida la información relacionada a sus actividades (nóminas, estudios, manejo de personal, etc.) tal como lo observan los artículos 28 y 37 de los lineamientos antes citados. Propuesta de solución Por lo anterior, es necesario mantener en carácter de Reserva la información de los siguientes tópicos durante un tiempo de cuatro años, usándose como base la fecha de entrega al INEGI de la recopilación que guardan los equipos de computo, o antes, si los componentes o su arquitectura cambian de manera que no sea afectada la seguridad. 1. Direcciones IP y su asignación Primero, disponer de esta información facilita un ataque en que sea factible hacer que funcionen de manera errónea o, en el peor de los casos, dejen de trabajar equipos como monitores de antivirus, firewalls, switches, e IDS conectadas con direcciones IP. Segundo, los servidores típicamente cuentan con varias direcciones IP, entonces, si alguien conoce las direcciones IP de esta computadora tiene la oportunidad de lanzar un ataque de negación de servicios (DOS/DDOS - Denial Of Service/Distributed Denial Of Service), lo cual produce que la computadora deja de funcionar en red, impidiéndole responder a las peticiones realizadas a través de Internet. Además, por razones de facilidad, se tiende a asignar direcciones IP consecutivas a las computadoras que pertenecen al mismo grupo de trabajo. Cuando un hacker logra tener acceso a una de estas 2 IBIDEM. 3

computadoras, fácilmente puede obtener información de otras computadoras para seguir con su ataque. 2. Configuración de servidores y computadoras Si se conoce el sistema operativo de un servidor es posible generar ataques específicos apoyándose en los conocimientos de huecos de seguridad (bugs) de ese sistema operativo. La información relacionada con los problemas de seguridad es dada a conocer regularmente en INTERNET y es de acceso libre al público. Existen ataques en los que se explotan las debilidades de dominio público que se producen cuando dos o más sistemas interactúan entre sí. Existe una tendencia en dejar configuraciones genéricas o definidas por un tercero (generalmente el fabricante del software) las cuales permiten trabajar con programas mas allá de los estrictamente necesarios para la correcta operación del sistema operativo. Generalmente estas configuraciones contienen debilidades, lo cual posibilita el poder agregar programas invisibles de escucha (sniffers), o peor, habilitar el control a distancia del servidor por un tercero (hacking by trojans). 3. Equipo de red Los equipos de red, como switches, dial-up RAS (Remote Access Service), equipos Wireless (802.11, Bluetooth, entre otros) y en general todo servicio que tenga la opción de acceso remoto comúnmente almacena información crítica, como logins (nombres de usuario) y passwords (claves de acceso), todo ello con el fin de hacerle fácil el acceso al usuario. Aunque estos equipos tienen encripatada esta información, la fortaleza del algoritmo de 4

encriptación es mínima. En cuestión de horas, es posible obtener la información crítica. 4. Versiones de Programas de Software La gran mayoría de los programas tienen huecos de seguridad y de operación, que son ampliamente difundidos en Internet por organizaciones de seguridad (SANS, CERT, etc.) y son obviamente conocidos por los hackers. Estos huecos no siempre pueden ser corregidos: porque el software no puede ser modificado por el usuario ( es el caso del software propietario o licenciado ) o bien el fabricante ya no le da soporte (i.e. versiones desactualizadas tecnológicamente o por marketing). Cuando se da a conocer un hueco (bug) de seguridad en un software, se inicia el desarrollo de su corrección. Desde ese momento, existe un período de vulnerabilidad el cual típicamente es de una semana hasta 6 meses. Cuando se da a conocer su corrección (difusión e instalación de parches), termina el periódo de vulnerabilidad, pero es mas que suficiente para que los hackers actuen. Además, existe la agravante de que a veces se desconoce la importancia de realizar las correcciones o bien no se puede instalar esos parches porque se perdería alguna funcionalidad básica del programa cuando de esta a su vez dependen de él otros programas. 5. Firewalls Estos programas son críticos para la seguridad de la red. Un hacker que tenga acceso a la información referente a la versión o configuración del firewall, tiene muchas ventajas. Además, existe una circunstancia agravante ocasional: si el administrador del firewall no cambia el login y password del sistema se crea una brecha 5

de seguridad. Esto se debe a que algunos sistemas de firewall incluyen por definición, una clave se acceso y una contraseña, los cuales son estándar para esa versión de Firewall. Así que un hacker, puede obtener la documentación correcta y acceder al firewall. Si al instalar o reinstalar el firewall no se realiza de forma inmediata este cambio, no hay garantía que pasados unos minutos, un hacker afortunado tome control del mismo. Esto es equivalente a que un banco publique cuales son las cajas fuertes de cada una de sus sucursales e incluya un plano con las instalaciones de seguridad de estas, así como el número de guardias, sus armas, sus posiciones y horarios. Por definición, les facilita a los asaltantes su trabajo. 6. Arquitectura de la Red Conocer de que elementos consta y cual es la organización de una red, simplifica a los hackers realizar sus ataques. El hacker sabe que existen equipos clave y pueden concentrar sus esfuerzos en ellos. Es decir, en lugar de atacar muchas computadoras, el hacker concentra sus esfuerzos en pocas computadoras. Esto hace que el hacker sea menos detectado, y eso incrementa sus posibilidades de éxito. Los proveedores que dan soporte a la red deberían tener un acuerdo firmado de confidencialidad en que se comprometan a no divulgar información. Todo lo anterior es con el fin de facilitar la labor de dar seguridad a los responsables de las redes. Es importante hacer notar que existen responsabilidades tanto penales como las de servidores públicos, que difícilmente pueden se cumplir si no hay apoyo. 6

Conclusiones La alternativa propuesta a la problemática de seguridad expuesta es una solución viable a la necesidad de seguridad informática en el gobierno Federal de México. Referencias Bibliográficas INSTITUTO FEDERAL DE ACCESO A LA INFORMACION PUBLICA. Lineamientos para la clasificación y desclasificación de la información de las dependencias y entidades de la Administración Pública Federal. [ Documento PDF]. Diario Oficial de la Federación. Distrito Federal, México. 18 de agosto de 2003. [fecha de consulta: 10 de agosto de 2003] Disponible en: http://www.ifai.org.mx/nivel2/acceso.html H. Congreso de la Unión. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental [ en línea]. Diario Oficial de la Federación. Distrito Federal, México. 11 de junio de 2002. [fecha de consulta: 10 de agosto de 2003] Disponible en: < http://www.elaw.org/resources/text.asp?id=1544 > Robert D. Austin, Christopher A.R. Darby. The Myth of Secure Computing [ Documento PDF]. Harvard Business Online. Cambridge, Massachusetts E.U.A. 1 de junio de 2003. [fecha de consulta: 25 de junio de 2003] http://harvardbusinessonline.hbsp.harvard.edu/b02/en/common/item_detail.jhtml?i d=r0306j 7

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback