Trabajo semana 1 Curso 457443 del SENA-
Redes y Seguridad
Transmisión de información:
La característica principal de los
seres humanos es que son entes comunicativos. En todo momento están interactuando
entre sí, para poder vivir de una manera organizada y eficiente para la mayor
parte de elementos de la sociedad. Esta comunicación permite decirles a otras
personas nuestros deseos, órdenes, emociones, o para comunicarle datos de
utilidad para el otro o para varias personas. Permite también trabajar en
conjunto para alcanzar un bien común, mayor al que se alcanzaría si cada
persona trabajara sola, y esta capacidad de trabajo conjunto no ha pasado desapercibida
para la humanidad. Ha sido la base de la organización social humana durante
siglos, y lo sigue siendo aún en la actualidad. Aun mejor, este esquema de
trabajo colaborativo, basado en la comunicación, está siendo usado en la
tecnología para optimizar el trabajo de las organizaciones, hacerlas más eficientes
(partiendo del trabajo en comunidad) y, sobre todo, hacerlas más productivas en
términos económicos. Pero ¿cómo se puede usar el mismo esquema de trabajo colaborativo
en la tecnología? Antes que nada, debemos entender cómo transmitimos
información nosotros mismos, y así, modelar este mecanismo para usarlo en
nuestros sistemas tecnológicos.
Modelo transmisor-receptor.
Supongamos la situación en la que un
amigo y usted están hablando en un paradero de buses. El amigo le está contando
sobre su nuevo trabajo y usted está dándole opiniones al respecto. Su amigo piensa
aquello que le va a decir, luego se lo dice, y usted lo escucha atentamente
para luego analizar lo que su amigo le dijo y responderle. Esto pasa con relativa
naturalidad y usted no se detiene a pensar en el cómo pueden hablar a pesar de
todo ese tráfico.
Pero detengámonos un momento a analizar
todos los elementos que intervinieron en este acto tan simple como el hablar
con otra persona.
Primero, su amigo “pensó” lo que
debía decirle, es decir, generó la información que iba a ser enviada.
Pero su amigo no es su boca, esta solo es el medio con el que se pronuncia lo
pensado. Es por eso que la mente de su amigo, la que genera la idea o la
información, es la fuente.
La boca pronuncia entonces la
información que la fuente generó. Sin embargo, debe pronunciarla de manera tal que
usted, al escucharla, pueda entenderla. Es por esto que dicha información debe
usar un código, es decir, luego de pensada, debe ser codificada en un
esquema que ambos, emisor y receptor, puedan entender. Este código, en nuestro
caso, es el idioma que ambos hablan. La boca, como pronunciadora de la
información codificada en la fuente, se convierte en el emisor de los
datos a transmitir.
La información pronunciada por la
fuente viaja a través del aire hasta sus oídos. El aire, el medio en que se
transmite la información codificada, es llamada canal. Vemos que ese
canal no es estable ni mucho menos. La gran cantidad de autos que los rodean
generan sonido que no permite escuchar bien la información de su amigo. Este
sonido molesto de los autos es llamado ruido, y nunca ningún canal está
exento del mismo. Sus orejas y oídos, los encargados de recibir la información
y convertirla en impulsos nerviosos para su cerebro, hacen las veces de receptor.
Esta información es decodificada en su cerebro, comunicando la información a
transmitir, al destino, es decir, su conciencia o la parte racional de
usted.
Este es entonces el esquema
tradicional de comunicación de datos entre 2 elementos, un emisor y un
receptor, o un productor y un consumidor.
La fuente codifica información
enviada por el emisor a través del canal. Esta información se combina con ruido
en el canal y llega al receptor, que la decodifica para entregarla al destino.
Es así como, mediante este modelo,
se ha desarrollado toda una serie de protocolos y sistemas de comunicación entre
computadores y entre incluso organizaciones. Y es de acá que parte el concepto
de red.
¿Redes?
Cuando nos dicen “red” es posible
que pensemos en una telaraña, o en una red de pescar. Podemos también imaginar
las neuronas de nuestro cerebro, o incluso el facebook. Pero ¿Qué es en suma
una red?
Imaginemos que mientras hablamos con
nuestro amigo, a él le entra una llamada por el celular. Supongamos también que
usted conoce la persona que llama a su amigo, y al no poder hablar directamente
con ella, le manda saludos.
Su amigo le comunica a la llamada
que tú le mandaste saludos, y esta, a su vez, te devuelve el saludo. Resulta
que la llamada es nada menos que la esposa de tu amigo, y se encuentra en este
momento recogiendo a los niños del colegio (3 niños) en su carro. Cuando los
niños se montan, usted escucha el sonido de ellos hablando por el celular de su
amigo, y también les manda saludes. Su amigo le dice a su esposa que les diga a
sus niños que usted les manda saludes, por lo que ella les dice a todos los
niños. La llamada termina y ustedes siguen hablando en el paradero de buses.
En esta situación intervinieron más
de 2 personas, en realidad, 6. Se podría decir que su amigo y usted están
“conectados” a través de la conversación que tienen, porque el medio (el aire)
se los permite. Cuando la esposa de su amigo llamó, la comunicación se amplió,
y a través de su amigo, usted mandó un mensaje a ella. En ese momento, el
destino se convierte nuevamente en una fuente, y se comunica la información por
la red celular hasta llegar al aparato de la esposa. Como su amigo hizo de
intermediario entre usted y la esposa, su amigo se convierte en un nodo,
es decir, en un punto en el que confluyen varias conexiones. Cuando la esposa
manda saludes a sus hijos, no les dice a cada uno de manera individual, sino
que les dice a todos por igual, con un sonido alto. En ese momento, ella es un
nuevo nodo, y le comunica a varios elementos al mismo tiempo el mensaje. Este
tipo de comunicación se llama broadcasting, y el medio permite que a
todos les llegue entonces el mensaje.
Usted, y los niños, también son
nodos, porque tienen el potencial de poder comunicar lo que reciben a otra
persona en cualquier momento, y así es como se forma una red.
Una red es un conjunto de nodos
interconectados entre sí, que comparten información.
Caso real: Usted ha sido
contratado en una empresa colombiana, llamada “En-core”, que presta servicios
de investigación tecnológica para las empresas del país. Su sede principal se
encuentra en Medellín, el mismo lugar donde, hipotéticamente, usted residirá.
Esta empresa está en un proceso de expansión, por lo que andan construyendo 2
sucursales más en la misma ciudad, y una de ellas en la capital del país,
Bogotá. Usted ha sido contratado para gestionar la seguridad de las redes de
esta empresa, debido a que maneja datos críticos y secretos para la
competencia. Usted tiene técnicos a su cargo, personal de mantenimiento, y un
administrador de red por cada sede (4 en total). De acuerdo a esta situación,
responda las siguientes preguntas:
Preguntas
interpretativas
1.
Antes que nada, un gestor de
seguridad debe entender de manera intuitiva los modelos de transmisión y
recepción de información. Use una situación de la vida cotidiana, diferente a
la expresada en la documentación, para explicarle a sus empleados los elementos
del modelo de transmisión-recepción de información.
R/ Me encuentro en una calle con un amigo que va para el pueblo (Calarcá en
mi caso), va para una vereda donde un amigo está encerrado escribiendo una
novela, lejos de televisión, radio, internet, celular, etc.; es necesario que
le envíe un libro del que habíamos hablado (le argumento así que los pájaros
del pueblo eran autónomos pero dependientes y sumisos hasta donde era posible);
en este caso me toca enviarle una carta, hablándole del asunto y deseándole
éxito, la ideo y escribo en un momento, y para evitar que se enteren antes de
tiempo de qué se trata, encripto la carta, de una manera que solo él puede
descubrir. Se trata de un mensaje importante para muchos, por lo que decide
transmitirlo, le decimos a eso “el correo de los chasquis”, porque va de boca
en boca y siempre se discute, así he recibido mensajes sobre movidas chuecas y jugadas
raras, por el mismo sistema, “el correo de los chasquis”.
Ahora bien, para entender el sistema de comunicación básico toca aclarar
los elementos que intervienen en este proceso:
a)
Ideo y decido enviar la carta por
lo que mi “mente” es la fuente.
b)
El lenguaje encriptado que uso para
transmitir mis ideas es el código.
c)
Mi mano guiada, como escritora del
mensaje codificado en mi mente, o sea en la fuente, es la emisora.
d)
El papel, en el que plasmo la
información codificada, es el canal.
e)
La carta va en un sobre, expuesta a
presiones, accidentes por humedad, calor, rotura, etc., y cualquier cantidad de
acontecimientos que alteren su estado y naturaleza física; ésto es lo que a una
conversación de 2 personas en una calle, en hora pico, se le llamaría el ruido.
f)
Los ojos y la vista de mi amigo,
encargados de recibir la información y transformarla en impulsos nerviosos para
su cerebro, hacen las veces de receptor.
g)
La información es descodificada por
el cerebro que la trasmite a la conciencia o parte racional de mi amigo, que
viene siendo el destino.
h)
Cuando mi amigo comparte la
información, aunque por otros medios diferentes al escrito, se convierte en
fuente; al hacer de intermediario con los amigos del terruño se convierte en nodo, que es un punto de convergencia
de conexiones.
Anexo 1:
Chasqui
Llevaba siempre un pututu para anunciar su llegada, un quipu, donde traía la información, y un qëpi a la espalda, donde llevaba objetos
y encomiendas. En la cabeza llevaba un
penacho de plumas blancas. Además, el chaskiq o chaskij se convirtió en el
receptor del saber tradicional ancestral, recibido de parte de los hamawt'a (sabios ancianos), para ser entregado a un nuevo receptor, y así
transmitir los conocimientos en forma hermética, a fin de preservar los principios
esenciales de la cultura andina ante el avasallamiento de la civilización
occidental.
2.
Es objetivo principal del gestor de
seguridad explicar el efecto de las políticas de seguridad informática.
Explique a los directores de la empresa la siguiente expresión “Las PSI no
generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora de
procesar información, pero son vitales para la organización”
R/ Para una organización
lo más importante son sus activos, un activo es todo aquello que tenga valor
para la organización, tangibles y no tangibles; entre ellos están los datos e
información y la reputación de la organización. Para poder cuidar, proteger y
controlar estos activos es necesario establecer políticas de seguridad de
información, ya que representan el poder establecer criterios de integridad,
disponibilidad y confidencialidad sobre la información sensible y de valor para
la organización, y de esta manera, adquirir una cultura preventiva y no
reactiva ante cualquier incidente de seguridad.
Las Políticas de Seguridad
Informática nos permiten proteger el bien más importante de la empresa, la
información. La información que genera la compañía en sus procesos cotidianos
tiene un valor igual o mayor a los productos que se fabrican y distribuyen. La
información es la sangre de todas las organizaciones y sin ella la empresa
dejaría de funcionar, principalmente si hablamos de empresas altamente
automatizadas, por lo que su seguridad sigue siendo un punto pendiente y por
tanto el factor más determinante por el cual fracasan. Con esa información
es que la compañía puede controlar, administrar y tomar decisiones en pro del
crecimiento y cumplimiento de los objetivos y metas propuestas. Pero esa
información en manos de la competencia constituye un riesgo que ninguna
compañía está dispuesta a correr, ya que se reflejaría en una muerte súbita.
Por eso es necesario realizar controles estrictos en la protección de los
datos, aunque esto implique disminuir la eficiencia y acceso a los sistemas de
información. Recordar que quien tiene la información, tiene el poder.
Preguntas argumentativas
1.
La gestión principal de seguridad de una red se da
en la capa 4 cuando se habla de elementos técnicos, y en la capa 8 cuando se
habla de elementos administrativos. ¿Por qué?
R/ Esto es debido a que la capa 4 es
la capa de transporte. El nivel de transporte define el esquema en el que 2
computadores establecen contacto y comunicación y por lo tanto se definen los
protocolos de seguridad en los dispositivos que servirán para enviar la
información de nuestra red afuera. Esta información, debe viajar por la red,
pasando por gran cantidad de zonas no seguras, y compartiendo el mismo espacio que
documentos, música, imágenes, entre otros datos.
En
la capa 8 es donde ocurren la mayor cantidad de problemas de seguridad de una
compañía. En la capa 8 hablamos del usuario final que es el que tiene que darle
un buen manejo a su información, porque podría verla afectada. La capa 8 se
dice que es la capa “usuario”, donde podrían establecerse las políticas de
seguridad.
2.
¿Por qué debemos tener en cuenta la capa 8 a la
hora de generar una política de seguridad informática?
R/ En el ambiente técnico,
se escucha mucho hablar sobre errores de capa 8, lo que en la jerga significa:
culpa del usuario. Muchas veces nos enfrentamos a virus que entran en la
máquinas y no sabemos por qué, equipos que fueron apagados por quién sabe
quién, cambios de contraseñas sin que sepamos quién, etc. Ese quién, es el
famoso capa 8, el usuario final, la persona a la que tenemos y debemos obligar
a respetar las normas de seguridad propuestas hacia la empresa.
Esa capa 8, es el 80%
de los accidentes tecnológicos a nivel interno, es el mayor desprestigio de una
empresa hacia el exterior; porque cómo explicar que las máquinas se apagan
solas, cuando realmente pasó alguien de un sector de limpieza, por ejemplo, y
movió los cables, barriendo, todo porque el encargado de diseño de la red,
pensó que los cables estaban bien ocultos debajo de la mesa. O un usuario al que
de golpe le han cambiado la contraseña, cuando él mismo no se dió cuenta que
pegó en el monitor un papelito con su pass, por verlo tan
"extremadamente" difícil de recordar, ya que pensó en una password
muy fuerte, pero difícil de recordar, por ende lo anotó en un papelito, sin
darse cuenta que su PC es de fácil acceso público
Preguntas propositivas
1. De acuerdo con los tipos de redes
existentes, y la estructura de la empresa en la que se encuentra, proponga la
forma en la que los elementos deben interconectarse entre sí, tanto en los
edificios, como entre las sedes de una misma ciudad, y a su vez con la sucursal
en la capital. Defina el tipo de red por alcance, por topología, por dirección
de los datos, y todas las características que considere deba tener la
definición de la misma.
2. Proponga un plan de trabajo de
comunicación inicial, teniendo en cuenta los diversos problemas en capa 8, para
explicar las medidas de seguridad que se impondrán. Tenga en cuenta que en este
plan no debe estar incluido lo que se dirá, ni el porqué, sino solo los pasos a
seguir para comunicar las PSI, las personas involucradas y prioritarias, los
tipos de problemas que se cubrirán, etc.
R/ Una política de seguridad
informática es una forma de comunicarse con los usuarios, ya que las mismas
establecen un canal formal de actuación del personal, en relación con los
recursos y servicios informáticos de la organización.
La implementación de medidas de seguridad, es un proceso
Técnico-Administrativo. Como este proceso debe abarcar toda la organización,
sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial,
ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
La implementación de Políticas de Seguridad, trae aparejados varios tipos
de problemas que afectan el funcionamiento de la organización. La
implementación de un sistema de seguridad conlleva a incrementar la complejidad
en la operatoria de la organización, tanto técnica como administrativamente.
Es fundamental no dejar de lado la notificación a todos los involucrados en
las nuevas disposiciones, y darlas a conocer al resto de la organización con el
fin de otorgar visibilidad a los actos de la administración, mediante reuniones con los empleados de la
organización, crear grupos de trabajo
con todas las personas involucradas tales como
empleados, gerentes y administradores.
No se puede considerar que una política de seguridad informática es una
descripción técnica de mecanismos, ni una expresión legal que involucre
sanciones a conductas de los empleados, es más bien una descripción de lo que
deseamos proteger y él por qué de ello, pues cada política de seguridad es una
invitación a cada uno de sus miembros a reconocer la información como uno de
sus principales activos, así como un motor de intercambio y desarrollo en el
ámbito de sus negocios. Por tal razón, las políticas de seguridad deben
concluir en una posición consciente y vigilante del personal por el uso y
limitaciones de los recursos y servicios informáticos.
Algunas organizaciones gubernamentales y no gubernamentales internacionales
han desarrollado documentos, directrices y recomendaciones que orientan en el
uso adecuado de las nuevas tecnologías, para obtener el mayor provecho y evitar
el uso indebido de las mismas, lo cual puede ocasionar serios problemas en los
bienes y servicios de las empresas en el mundo.
En este sentido, las Políticas de Seguridad Informática (PSI), surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organización, sobre la importancia y sensibilidad de la información y servicios
críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector
de negocios.
Después de creadas las PSI se dispone a darlas a conocer a cada empleado
que trabaje en la organización así:
a)
Reunión con los directivos de la empresa para la explicación de lo que se
quiere lograr con la implantación de las PSI.
b)
Reunión con los empleados de la organización y/o redes para la explicación
de las PSI.
c)
Capacitación del talento humano.
d)
Fijar metas de cumplimiento de la “PSI”.
e)
Creación de grupos de trabajo.
f)
Aplicación de las “PSI”.
Anexo 2:
ELEMENTOS DE UNA POLÍTICA DE
SEGURIDAD INFORMÁTICA
Ø
Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre
la cual aplica.
Ø
Objetivos de la política y descripción clara de los elementos involucrados
en su definición.
Ø
Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización.
Ø
Requerimientos mínimos para configuración de la seguridad de los sistemas
que abarca el alcance de la política.
Ø
Definición de violaciones y sanciones por no cumplir con las políticas.
Ø
Responsabilidades de los usuarios con respecto a la información a la que
tiene acceso.
Las políticas
de seguridad informática, también deben ofrecer explicaciones comprensibles
sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los
recursos. Igualmente, deberán establecer las expectativas de la organización en
relación con la seguridad y especificar la autoridad responsable de aplicar los
correctivos o sanciones.
Otro punto
importante, es que las políticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una
comprensión clara de las mismas, claro está sin sacrificar su precisión.
Por último, y
no menos importante, el que las políticas de seguridad, deben seguir un proceso
de actualización periódica sujeto a los cambios organizacionales relevantes,
como son: el aumento de personal, cambios en la infraestructura computacional,
alta rotación de personal, desarrollo de nuevos servicios, regionalización de
la empresa, cambio o diversificación del área de negocios, etc.
No hay comentarios.:
Publicar un comentario