Definición de NTC 1486

Definición de NTC 1486

La Norma Técnica Colombiana 1486, también conocida como NTC 1486 es una directriz técnica que aplica para la presentación de tesis, trabajos de grado y otros documentos y trabajos de investigación en el territorio colombiano, independientemente de su nivel de profundización, incluyendo, entre otros: ensayos, mono grafías, informes, trabajos introductorios a la investigación, etc. La misma indica directrices no sólo a nivel estético, como tipo de papel y tintas a utilizar, sino también a nivel de lo que podríamos denominar “maquinación”, así como la disposición de los diversos elementos del contenido, las citas de referencia, etc.Resultado de imagen para ntc1487

Tipo de papel: 

blanco opaco en tamaño carta, oficio u otro que designe la entidad solicitante del trabajo. Se permite la impresión a doble cara a partir de la página de contenido.

Márgenes:

Superior: 3 cm. (4 cm. título)

Izquierdo: 4 cm.

Derecho: 2 cm.

Inferior: 3 cm.

Número de página a 2 cm. y centrado

En caso que se opte por imprimir a doble cara los márgenes laterales serán simétricos a 3 cm.

Títulos y subtítulos:

Numerados, en negrilla, mayúscula sostenida, iniciando página. No deben haber subtítulos al finalizar una página, por lo que se recomienda saltarlos a la siguiente.

Tipo y tamaño de letra: El tipo y el tamaño de letra sugerido es la fuenta Arial a 12 puntos, con espacio sencillo.

Paginación: 

La numeración de páginas debe hacerse a partir de la introducción (la introducción o lo que haga sus veces, o en su ausencia el contenido propiamente dicho, irá numerada) en números arábigos. Las páginas y los items anteriores -preliminares- podrán numerarse en números romanos, excepto la cubierta y la portada y portadilla.

Cuerpo del trabajo escrito:

El documento se divide estructuralmente en tres partes: 

• Los preliminares
• el cuerpo del documento
• los complementarios.

Para ampliar esta información véase:

NORMA TÉCNICA NTC COLOMBIANA 1486 (Sexta actualización) DOCUMENTACIÓN. PRESENTACIÓN DE TESIS, TRABAJOS DE GRADO Y OTROS TRABAJOS DE INVESTIGACIÓN

Etimología de NTC 1486

Origen, historia o formacion

Vocablo técnico español. NTC es la sigla para Norma Técnica Colombia, y el 1486 es el número por el cual se identifica y se recupera la misma.

Usos y aplicaciones de NTC 1486

¿Para que sirve?

Proporciona directrices para la presentación de trabajos escritos.

En la actualidad es prácticamente un requisito indispensable para la presentación de cualquier tipo de documento manuscrito o impreso.

navarro

Adjetivo. 

La definición de Navarro como natural, nativo, perteneciente, concerniente y alusivo al antiguo reino de Navarra, en la actualidad a la comunidad foral del

nominado Adjetivo. Este termino es de uso anticuado, se dice especialmente a una persona o individuo popular, afamado, renombrado, querido, insigne, conocido, renombrado, famoso, eximio, glorioso nadadera 

Sustantivo femenino. Este vocablo se define a un especie de recipiente, calabaza que se emplea por lo general para aprender a nadar, como una guía,

En algunos casos se hace necesario referenciar mas de dos veces las ideas de un autor en el mismo documento, estas ideas pueden estar continuas o alternadas dentro del texto. Es por esto que las normas ICONTEC hacen uso de IBID y OB.CIT. En esta entrada se describe en detalle el uso de estas dos abreviaciones.

Cuando un mismo trabajo u obra se cite mas de una vez consecutiva, es decir, cuando esta referencia no se intercala con otra referencia diferente se debe usar la abrevietura “Ibíd”. Posterior a esta abreviatura es necesario agregar una coma seguida del número de página correspondiente. Por ejemplo:

 Resultado de imagen para Clasificación de las citas Uso de IBID y OP.CIT

1 KANT, Emmanuel. 

¿ Qué es la Ilustración?. 

En: Filosofía de la historia. México, 1978. p. 212.

2    Ibid., p. 213

3    Ibid., p. 215

OB. CIT. (OP. CIT.)

¿Qué es OP. CIT.?

Esta abreviación proviene del latín opere citato que significa “en el lugar citado”.

¿Cuando usar OP. CIT.?

Esta abreviación se usa en caso de que sea necesario citar el trabajo de un autor que haya sido citado anteriormente de forma completa pero no en la referencia anterior. La abreviación “Op. Cit.” se debe escribir a continuación del apellido del autor y debe ser separada de el apellido por una coma, posteriormente se deben agregar los números de las páginas correspondientes. 

Por ejemplo:

1    KANT, Emmanuel.

2     NIETZSCHE, Friedrich. On the genealogy of morals and ecce homo.  En: Vintage. Nueva York, 2010. p 201.

3   KANT. Op. cit., p. 215.

comics

VIDEO: https://www.youtube.com/watch?v=vbqukbbAB60

DIRECCIÓN CÓMIC



PREZI NTC 1487

FUNCIÓN DEL INTERNET Y EL INTRANET

FUNCIÓN DEL INTERNET Y EL INTRANET

¿Cómo fue el desarrollo de la Internet?

La historia de Internet se remonta al temprano desarrollo de las redes de comunicación. La idea de una red de ordenadores creada para permitir la comunicación general entre usuarios de varias computadoras sea tanto desarrollos tecnológicos como la fusión de la infraestructura de la red ya existente y los sistemas de telecomunicaciones. La primera descripción documentada acerca de las interacciones sociales que podrían ser propiciadas a través del  (trabajo en red) está contenida en una serie de memorandos escritos por J. C. R. Licklider, del Massachusetts Instituye of Tecnología, en agosto de 1962, en los cuales Licklider discute sobre su concepto de Galactic Network (Red Galáctica).

Las más antiguas versiones de estas ideas aparecieron a finales de los años cincuenta. Implementaciones prácticas de estos conceptos empezaron a finales de los ochenta y a lo largo de los noventa. En la década de 1980, tecnologías que reconoceríamos como las bases de la moderna Internet, empezaron a expandirse por todo el mundo. En los noventa se introdujo la World Wide Web (WWW), que se hizo común.

La infraestructura de Internet se esparció por el mundo, para crear la moderna red mundial de computadoras que hoy conocemos como Internet. Atravesó los países occidentales e intentó una penetración en los países en desarrollo, creando un acceso mundial a información y comunicación sin precedentes, pero también una brecha digital en el acceso a esta nueva infraestructura. Internet también alteró la economía del mundo entero, incluyendo las implicaciones económicas de la burbuja de las .com.

Un método de conectar computadoras, prevalen te sobre los demás, se basaba en el método de la computadora central o unidad principal, que simplemente consistía en permitir a sus terminales conectarse a través de largas líneas alquiladas. Este método se usaba en los años cincuenta por el Proyecto RAND para apoyar a investigadores como Herbera Simón, en Pittsburgh (Pensilvania), cuando colaboraba a través de todo el continente con otros investigadores de Santa Mónica (California) trabajando en demostración automática de teoremas e inteligencia artificial.

En 1991, Ti Hibernes-Lee fue el primero en desarrollar un complementación basada en red de concepto de hipertexto. Esto fue después de que Hibernes-Lee hubiera propuesto repetidamente su idea a las comunidades de hipertexto e Internet en varias conferencias sin acogerse—nadie lo implementaría por él. Trabajando en el CERNA, Hibernes-Lee quería una manera de compartir información sobre su investigación. Liberando su complementación para el uso público, se aseguró que la tecnología se extendería.​ Posteriormente, Gorrero se convirtió en la primera interfaz de hipertexto comúnmente utilizada en Internet. Aunque las opciones del menú Gorrero eran ejemplos de hipertexto, éstas no fueron comúnmente percibidas de esta manera. Unos de los primeros populares navegadores web, modelado después de Percatar, fue Violado.

Los expertos generalmente están de acuerdo, sin embargo, que el punto decisivo para la World Wide Web comenzó con la introducción​ de Mosaica​ en 1993, un navegador web con interfaz gráfica desarrollado por un equipo en el Nacional Centre fo Compungiereis Aplicativos en la Universidad de Illinois en Urbana-Champan (NASA-DIUCA), liderado por Mar Alandreasen. Los fondos para Mosaica vinieron desde la High-Permanecer Compungió and Comunicativos Initiative, el programa de ayudas High Performance Computing ad Comunicativo Act of 1991 iniciado por el entonces senador Al Gore.​ De hecho, la interfaz gráfica de Mosaic pronto se hizo más popular que Gopher, que en ese momento estaba principalmente basado en texto, y la WWW se convirtió en la interfaz preferida para acceder a Internet.

Mosaic fue finalmente suplantado en 1994 por Netscape Navigator de Andreessen, que reemplazó a Mosaic como el navegador web más popular en el mundo. La competencia de Internet Explorer y una variedad de otros navegadores casi lo ha sustituido completamente. Otro acontecimiento importante celebrado el 11 de enero de 1994, fue The Superhighway Summit en la Sala Royce de la UCLA. Esta fue la «primera conferencia pública que agrupó a todos los principales líderes de la industria, el gobierno y académicos en el campo [y] también comenzó el diálogo nacional sobre la Autopista de la información y sus implicaciones

Los inicio de Internet nos remontan a los años 60. En plena guerra fría, Estados Unidos crea una red exclusivamente militar, con el objetivo de que, en el hipotético caso de un ataque ruso, se pudiera tener acceso a la información militar desde cualquier punto del país. 
Este red se creó en 1969 y se llamó ARPANET.En principio, la red contaba con 4 ordenadores distribuidos entre distintas universidades del país. Dos años después, ya contaba con unos 40 ordenadores conectados. Tanto fue el crecimiento de la red que su sistema de comunicación se quedó obsoleto. Entonces dos investigadores crearon el Protocolo TCP/IP, que se convirtió en el estándar de comunicaciones dentro de las redes informáticas (actualmente seguimos utilizando dicho protocolo).

ARPANET siguió creciendo y abriéndose al mundo, y cualquier persona con fines académicos o de investigación podía tener acceso a la red. 
Las funciones militares se desligaron de ARPANET y fueron a parar a MILNET, una nueva red creada por los Estados Unidos. 
La NSF (National Science Fundation) crea su propia red informática llamada NSFNET, que más tarde absorbe aARPANET, creando así una gran red con propósitos científicos y académicos. 
El desarrollo de las redes fue abismal, y se crean nuevas redes de libre acceso que más tarde se unen a NSFNET, formando el embrión de lo que hoy conocemos como INTERNET.

En 1985 la Internet ya era una tecnología establecida, aunque conocida por unos pocos. 
El autor William Gibson hizo una revelación: el término "ciberespacio".
En ese tiempo la red era basicamente textual, así que el autor se baso en los videojuegos. Con el tiempo la palabra "ciberespacio" terminó por ser sinonimo de Internet.
El desarrollo de NSFNET fue tal que hacia el año 1990 ya contaba con alrededor de 100.000 servidores.

En la historia se ha documentado y dicho que el origen de Internet se da gracias a  ARPANET (Advanced Research Projects Agency Network) red de computadoras del ministerio de defensa de EEUU que propicio el surgimiento de Internet en un proyecto militar estadounidense el cual buscaba crear una red de computadoras que uniera los centros de investigación  de defensa en caso de ataques, que pudieran mantener el contacto de manera remota  y que siguieran funcionando a pesar de que alguno de sus nodos fuera destruido.  Sin embargo su objetivo era el de investigar mejores maneras de usar los computadores, yendo más allá de su uso inicial como grandes máquinas calculadoras, y luego de su creación fue utilizado por el gobierno, universidades y otros centros académicos dando un soporte social.

La idea de una red interconectada de computadores surgió en centros de investigación académicos y del gobierno dispersos a lo largo del territorio este país en Massachussets Institute of Technology cerca de Boston, Stanford Research Inst. U. de California los Angeles (UCLA), EL Rand corp.  e Inst. For defense Análisis y se puso en marcha en las manos de Bob Taylor, Licklider (con su concepto de Galactic Network) , Ivan Sutherland, Lawrence G. Roberts.

En 1969 empezó el primer trafico de paquetes de información entre el MIT y la UCLA, los primeros años de los 80's los usuarios eran científicos y curiosos, el los 90's desaparece ARPANET y propicia el paso a las redes interconectadas el Internet el cual dispone actualmente de servicios que proporciona la red como el correo electrónico, acceso remoto a maquinas, transferencia de archivos mediante FTP. La Web (World Wide Web), conversaciones en línea como chats, grupos de noticias, etc.

INTRANET

Una intranet corporativa es una red privada de computadoras que permite el acceso sólo a usuarios autorizados dentro de una organización. Frecuentemente salvaguardada con IDs de usuario y contraseña, las intranets son utilizadas por las empresas para guardar documentos generales y otros recursos de uso interno. Por lo general la infraestructura de hardware y software para una intranet corporativa se encuentra dentro de la empresa. Hay muchas ventajas de utilizar este tipo de sistema.

Uno de los beneficios más importantes de una intranet en una computadora orientada al lugar de trabajo de principios del siglo XXI es la colaboración. Los grupos de trabajo pueden compartir información a través de departamentos, estados e incluso países en algunos casos. Los empleados pueden subir información o informes en un lugar que sea accesible para los colegas que trabajan en los mismos proyectos en otra ubicación. Esto es por lo general mucho más seguro que el envío de correos electrónicos, y mucho más eficiente que las reuniones cara a cara, de tele-conferencia o por teléfono Con intranet, las grandes empresas pueden hacer disponibles, de manera eficiente, aplicaciones y recursos para todos los empleados o para aquellos de una determinada área de trabajo. Esto permite una mayor eficiencia y ahorro de costos para las empresas. En lugar de que el personal de TI tenga que instalar manualmente todos los nuevos programas de software en cada computadora, los empleados pueden hacer esto por sí mismos. Nuevas actualizaciones de antivirus, programas de documentos, y programas de carácter más técnico, son algunos de los recursos que las empresas pueden ofrecer a través de intranets. Esto también permite a los empleados auto-seleccionar las herramientas que son útiles para ellos.

Comunicación

No todos los beneficios de las intranet están relacionados específicamente a la producción de los empleados. Una de las principales ventajas de una intranet es la mejora en la comunicación, la generación de ideas y comunicaciones internas. 

Las empresas pueden ofrecer foros donde los empleados pueden compartir ideas sobre diversos temas relacionados con la propia empresa, determinados proyectos u otros temas. Estos foros pueden proporcionar una ayuda a los empleados para presentar ideas de nuevos productos o sugerencias que no son cómodas cara a cara. También permite a los empleados que trabajan en diferentes lugares tener una comunicación significativas en seguridad y privacidad en Internet y otras formas de comunicación electrónica. Las empresas pueden utilizar diferentes tipos de servidores de seguridad y tecnología de cifrado para proteger datos y comunicación interna de hackers. La fiabilidad de las intranets es normalmente fuerte, ya que las empresas tienen personal de TI para administrar los sistemas. A diferencia de las páginas de la World Wide Web, los empleados no suelen tener que preocuparse acerca de las limitaciones del ancho de banda y accesibilidad para abrir documentos y herramientas de intranet.}


internet e intranet


PREZI INTERNET E INTRANET

IMPORTANCIA DEL MANEJO DE LA INFORMACIÓN

IMPORTANCIA DEL MANEJO DE LA INFORMACIÓN 

es la recolección y el manejo de la información de uno o más fuentes y la distribución de esa información a uno o más audiencias. Esto en algunos casos involucra a ellos quienes tienen un papel en la producción o un derecho sobre la información. Gerencia significa la organización de y el control sobre la estructura, el procesamiento y el envío de la información.

Durante los años 70, este proceso fue enfocado principalmente a archivos físicos, el mantenimiento de estos archivos, y la Gerencia del Ciclo de Vida de la Información de archivos físicos, otros medios y registros. Con la difusión de la tecnología de la información empezando en los años 70, el trabajo del manejo de la información tomó un nuevo rumbo, empezando con el área de mantenimiento de datos. Ya no fue un trabajo sencillo que cualquier podría llevar a cabo. Un entender de la tecnología fue necesario, además de la teoría atrás. El almacenimiento de la información se reenfocó a medios electrónicos, volviendo el trabajo más técnico.

A finales de los años 90, cuando la información ya empezó a mover por redes de computadores, los gerentes de redes volvieron manejadores de la información. Estos individuos ya empezó ser encargados de tareas de mayor complejidad, incluyendo manejos de equipos y software. Con las últimas herramientas disponibles, el manejo de la información ha vuelto un recurso poderoso y un gasto grande para muchas organizaciones.

En resumen, el manejo de la información involucra a la organización, recogida, adquisición y mantenimiento de la información. Está cercana a y cruce con la práctica de Manejo de Datos. 

Basado en la ciencia de comportamientos en la gerencia, liderado por Carnegie Mellon University, entre otras instituciones, la mayoría de las actividades en organizaciones de servicio está enfocada en la toma de decisiones y procesos de información. El factor crítico en el análisis de procesos de toma de decisiones y información es la capacidad limitada de los individuos a procesar la información y tomar decisiones debajo de estas limitaciones.

Según March y Simon, las organizaciones deben ser considerados como sistemas cooperativos con un alto nivel de procesamiento de información y una necesidad grande para tomar decisiones en varios niveles. Además aseguran que existen factores que previenen a los individuos de actuar de manera estrictamente racional, opuesto a lo que se ha insistido teoristas clásicos. En su lugar, proponen que cualquier decisión es sub-óptimo dado que hay limitaciones de racionalidad por parte del tomador de decisiones.

En lugar del modelo del hombre económico, utilizado en la teoría clásica, propusieron el hombre administrativo como una alternativa basado en su argumentación sobre limitación cognitiva.

También existen dos aspectos importantes por considerar a raíz de las dinámicas ambientales y organizacionales. Primero, no es posible acceder, recoger y evaluar a toda información relevante para tomar una decisión específica a un precio razonable, ver . Adicionalmente, según el marco económico, el costo de transacción asociado con el proceso de la información es demasiado alto. Segundo, las reglas establecidas organizacionalmente y sus procedimientos deben prevenir tomar la decisión más apropiada, es decir que la solución sub-óptima está escogida de acuerdo a la estructura de la organización y sus reglas, guías y procedimientos, ver , an issue that also has been brought forward as a major critique against the principles of bureaucratic organizations.

El manejo de información, por ende, es decir la capacidad de una organización de procesar la información, está al centro de las competencias organizacionales y gerenciales. Consecuentemente, las estrategias organizacionales y su diseño se debe enfocar en mejorar la capacidad de procesamiento de información. Galbraith  ha identificado cinco estrategias de diseño organizativo entre dos categorías - un aumento en la capacidad de procesamiento y una necesidad reducida para el procesamiento de la información.

1. Reducción de las necesidades de procesamiento de la información
   1. Gerencia ambiental
   2. La creación de recursos excedentes
   3. La creación de tareas autocontenidas
2. Aumento de la capacidad de procesamiento de información de la organización
1. Creación de relaciones laterales
2. Sistemas de información vertical

Gerencia ambiental:

En lugar de adaptarse a las circunstancias cambiantes del ambiente, la organización puede buscar cambiar a su ambiente. La colaboración vertical y horizaontal, i.e., la

cooperación o integración con otras organizaciones en el sistema de valores de la industria son medios típicos de reducir la incertidumbre. Un ejemplo de incertidumbre reducido existe en relación al sistema de industria en su etapa de exigencias, el concepto de la colaboracíon mayorista-detallista, o respuesta eficiente al cliente.

Creación de recursos excedentes. Para así poder reducir a las excepciones, los niveles de disempeño pueden ser reducidos, de esta manera reduciendo el peso de la información sobre la jerarquía. Estos recursos excedentes adicionales, requeridos para reducir el procesamiento de la información en la jerarquía, representan un costo adicional a la organizacíon. Escoger este método claramente depende en los costos alternativos de los demás estrategias.

Creación de tareas autocontenidas. Lograr un cierre conceptual de las tareas es otra manera de reducir el procesamiento de la información. En este caso, la unidad de tareas tiene todos los recursos necesarios para llevar a cabo la tarea. Esta estrategia está enfocada en la descomposición de la tarea y su interacción entre las diferentes unidades organizacionales, ie., intefaces organizacionales y de la información.

Creación de relacionales laterales. En este caso, los procesos de toma de decisiones laterales están establecidos transversalmente entre unidades. Su objetivo es aplicar un sistema de subsidiaridad de toma de decisiones, ie., mover el poder de toma de decisiones al proceso mismo, en lugar de mover la información desde el proceso hacía la jerarquía para tomar las decisiones.

Inversión en sistemas de información vertial. En lugar de procesamiento de la información a través de los canales jerarquicas existentes, la organización puede establecer sistemas de información verticales. En este caso, el flujo de la información para una tarea específica (o conjunto de tareas) está direccionado de acuerdo a la logica aplicada del negocio, en lugar de la organización jerarquica.

De acuerdo al concepto de relaciones laterales, también vuelve posible emplear una forma organización diferente de la información jerárquica sencilla. La organización de matriz se enfoque en conyugal las bases funcionales y de producción y así lograr un balance en el procesamiento de la información y la toma de decisiones entre la estructura vertical (jerárquica) y horizontal (productiva). La creación de una organización de matriz también puede ser considerada como la respuesta de la reverencia a una demanda persistente o permanente para una adaptación a dinámicas ambientales, en lugar de una respuesta a demandas episodios

PAPEL DEL MANEJO DE INFORMACIÓN

Muchos confunden fácilmente el papel del manejo de información frente a las evaluaciones de necesidades. Una manera común de explicar los papeles respectivos es que los profesionales en el manejo de información están preocupados con el "cómo" mientras que expertos senior están encargados con "qué", "quien" y "dónde". En otras palabras, IM se relaciona con el proceso (diseño técnico, almacenamiento de datos, potestad sobre datos, adaptación de herramientas, etc.), mientras que expertos senior se enfoquen en las preguntas que hacer, la estructuración de una evaluación, el enfoque sobre temas, anticipar los resultados de la evaluación, etc. - en resumen el contenido de la evaluación en sí. Por ejemplo, en el cluster de Albergue en Emergencias, los expertos de este reclute serían los responsables para el desarrollo de los datos/información ser recogido, identificando las personas ser evaluados y dónde. El IN se enfoque en desarrollar los mecanismos para la recogida, el proceso, el análisis y la inseminación de la información de manera rápida.

etapas de manejo de la Información 

Recolección

La información se recolecta en el nivel local (lugar del impacto) y debe ser válida, clara, oportuna y expresada en forma sencilla y actualizada periódicamente. Las principales fuentes e instrumentos utilizados en la recolección de datos son:

• Fuentes Primarias: Formularios de vigilancia paremiológica sanitaria; Formularios DAN; Misiones de campo.
• Fuentes Secundarias: Informes de otras entidades; Estudios previos de campo e investigaciones, mapas temáticos; informes o monitorio de prensa; base de datos.

Análisis

Es el resultado de la interpretación de la información disponible luego de su organización, consideración de todas las variables disponibles, cruce de las mismas y síntesis estructurada.

Es importante considerar:

• El tipo de evento, la zonificación y la magnitud.
• La población afectada, morbilidad/mortalidad, y la respuesta social e institucional.
• La afectación, necesidades, provisión, cantidad y calidad de los servicios/suministros (salud, agua, energía, vivienda, disposición de excretas, alimentos, suministros, equipos, medicamentos, asesoría, etc.).
• El uso efectivo, oferta y demanda de la ayuda humanitaria.
• Los recursos usados, movilizados, distribuidos y la efectividad de su uso

MANEJO DE LA INFORMACIÓN


PREZI INFORMACION

AMENAZA INFORMATICA

 Cuales son las amenazas informáticas y como se pueden prevenir

• El ambiente de los sistemas de información que predominó hasta principios de la década de los noventa, –previo a la globalizan de las telecomunicaciones, las redes mundiales de tele proceso, la Internet, etcétera– tuvo como una de sus características más relevantes la de poseer entornos informáticos en los que se operaba de manera aislada o en redes privadas en las cuales, la seguridad impuesta por el acceso físico y algunas simples barreras informáticas bastaban para que la seguridad de la información en ellos contenida estuviese garantizada. Por lo mismo, no había mucha preocupación al respecto ni estrategias al efecto. En 1977, el senador Abrochara A. Rubifico, de Conectivo, ECUA, propuso una iniciativa de "Acta de Protección de los Sistemas de Cómputo Federales", la cual buscaba por primera vez definir crímenes y recomendar sanciones por dichos delitos.

CONCEPTOS FUNDAMENTALES DE LA SEGURIDAD INFORMÁTICA:

Para poder comprender el concepto integral de la seguridad informática, es indispensable entender los diversos conceptos básicos que la rigen, ya que de otra forma no es posible establecer una base de estudio. Los enunciaré a continuación y los desarrollaré con más detalle más adelante.

• Recursos Informáticos: el equipo de cómputo y telecomunicaciones; los sistemas, programas y aplicaciones, así como los datos e información de una organización. También se les conoce como "activos informáticos"

• Amenaza: fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en daño a los recursos informáticos de la organización.

• Impacto: la medida del efecto nocivo de un evento.

• Vulnerabilidad: característica o circunstancia de debilidad de un recurso informático la cual es susceptible de ser explotada por una amenaza.

• Riesgo: la probabilidad de que un evento nocivo ocurra combinado con su impacto en la organización.

• Principio básico de la seguridad informática: la seguridad informática no es un producto, es un proceso.

El objetivo primario de la seguridad informática es el de mantener al mínimo los riesgos sobre los recursos informáticos, –todos los recursos– y garantizar así la continuidad de las operaciones de la organización al tiempo que se administra ese riesgo informático a un cierto costo aceptable. Para ello utilizaremos estructuras organizarles técnicas, administrativas, gerencia les o legales.

El objetivo secundario de la seguridad informática –y subrayo que es de nuestro especial interés desde el punto de vista de la preservación documental– consiste en garantizar que los documentos, registros y archivos informáticos de la organización mantengan siempre su confiabilidad total. Este concepto varía de acuerdo a distintos autores, a los contextos documentales y al tipo de organización a la que la información esté asociada. En un contexto archivista y en donde tratamos de interromper un enfoque de seguridad informática con uno de preservación digital, podemos establecer esa confiabilidad como la unión de seis características esenciales:

• permanencia

• accesibilidad

• disponibilidad

• confidencialidad (privacidad)

• autenticidad (integridad)

• aceptabilidad (no repudio)

AMENAZAS INFORMÁTICAS

Las amenazas, como ya hemos mencionado, consisten en la fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en daño a los insumos informáticos de la organización y ulteriormente a ella misma. Entre ellas, identificamos como las principales:

•El advenimiento y proliferación de "malware" o "malicious software", programas cuyo objetivo es el de infiltrase en los sistemas sin conocimiento de su dueño, con objeto de causar daño o perjuicio al comportamiento del sistema y por tanto de la organización.

• La pérdida, destrucción, alteración, o sustracción de información por parte de personal de la organización debido a negligencia, dolo, mala capacitación, falta de responsabilidad laboral, mal uso, ignorancia, apagado o elusión de dispositivos de seguridad y/o buenas prácticas.

• La pérdida, destrucción, alteración, sustracción, consulta y divulgación de información por parte de personas o grupos externos malintencionados.

• El acceso no autorizado a conjuntos de información.

• La pérdida, destrucción o sustracción de información debida a vandalismo.

• Los ataques de negación de servicio o de intrusión a los sistemas de la organización por parte de ciber–criminales: personas o grupos malintencionados quienes apoyan o realizan actividades criminales y que usan estos ataques o amenazan con usarlos, como medios de presión o extorsión.

• Los "phishers", especializados en robo de identidades personales y otros ataques del tipo de "ingeniería social".⁶

• Los "spammers" y otros mercadotecnistas irresponsables y egoístas quienes saturan y desperdician el ancho de banda de las organizaciones.

• La pérdida o destrucción de información debida a accidentes y fallas del equipo: fallas de energía, fallas debidas a calentamiento, aterrizamiento, desmagnetización, rayadura o descompostura de dispositivos de almacenamiento, etcétera.

• La pérdida o destrucción de información debida a catástrofes naturales: inundaciones, tormentas, incendios, sismos, etcétera.

• El advenimiento de tecnologías avanzadas tales como el cómputo mantuano, mismas que pueden ser utilizadas para desencalabrinar documentos, llaves, etcétera al combinar complejos principios físicos, matemáticos y constitucionales.

 VULNERABILIDADES INFORMÁTICAS

Una vulnerabilidad es alguna característica o circunstancia de debilidad de un recurso informático la cual es susceptible de ser explotada por una amenaza, intencional o accidentalmente. Las vulnerabilidades pueden provenir de muchas fuentes, desde el diseño o implementación de los sistemas, los procedimientos de seguridad, los controles internos, etcétera; se trata en general de protecciones inadecuadas o insuficientes, tanto físicas como lógicas, procedimentales o legales de alguno de los recursos informáticos. Las vulnerabilidades al ser explotadas resultan en fisuras en la seguridad con potenciales impactos nocivos para la organización. Más detalladamente, provienen de:

• Fallas en el diseño o construcción de programas, sobre todo en aquellos que provienen de un mercado masivo; por ejemplo sistemas operativos, programas de aplicación, el protocolo de comunicaciones TCP/IP, etcétera.

• Uso de computadoras, programas y equipos de red de tipo genérico en aplicaciones críticas.

• Atención insuficiente al potencial error humano durante el diseño, implementación o explotación de sistemas, particularmente debidas a desviaciones u omisiones de buenas prácticas en estas etapas.

• Confianza excesiva en algún único dispositivo u oficina de seguridad.

• Relajamiento de las políticas y procedimientos de seguridad, debidos a falta de seguimiento de los mismos, producidas por un desempeño de seguridad adecuado durante cierto lapso.

• Fallas de seguimiento en el monitoreo o indicadores de seguridad.

• Pobre o nula gobernanza de los activos informáticos, debida principalmente a un mal seguimiento de esos activos y sus contextos de seguridad asociados de forma integral.

• Cambio frecuente de elementos de la plataforma informática.

• Falla en la adjudicación o seguimiento de responsabilidades.

• Planes de contingencia nulos o pobres, tanto para situaciones cotidianas como extremas.

• Ignorancia, negligencia o curiosidad por parte de usuarios en general de los sistemas.

• Equipos, programas y redes "heredados" de generaciones tecnológicas anteriores.

• Errores inherentes al diseño de microprocesadores y microcódigos que se encuentran en rutinas básicas o "núcleo" de los sistemas, o en el encriptado o virtualización.

• Falta de concentración del personal en general acerca de la importancia de la seguridad y responsabilidades compartidas e integrales.

RIESGOS INFORMÁTICOS

Como se mencionó también, riesgo se define como la probabilidad de que un evento nocivo ocurra combinado con su impacto o efecto nocivo en la organización. Se materializa cuando una amenaza actúa sobre una vulnerabilidad y causa un impacto. Los principales riesgos se agrupan como:

• Sustracción de datos personales para usos malintencionados.

• Fugas de información, extracción o pérdida de información valiosa y/o privada.

• Introducción de programas maliciosos a los sistemas de la organización, que pueden ser utilizados para destruirlos u obstaculizarlos, usurpar recursos informáticos, extraer o alterar información sin autorización, ejecutar acciones ocultas, borrar actividades, robo y detentación de identidades, etcétera.

• Acciones de "ingeniería social" malintencionada: "phishing", "spam", espionaje, etcétera.

• Uso indebido de materiales sujetos a derechos de propiedad intelectual.

• Daño físico a instalaciones, equipos, programas, etcétera.

IMPACTOS

Los impactos son los efectos nocivos contra la información de la organización al materializarse una amenaza informática. Al suceder incidentes contra la seguridad informática pueden devenir en:

• Disrupción en las rutinas y procesos de la organización con posibles consecuencias a su capacidad operativa.

• Pérdida de la credibilidad y reputación de la organización por parte del consejo directivo de la organización, público en general, medios de información, etcétera.

• Costo político y social derivado de la divulgación de incidentes en la seguridad informática.

• Violación por parte de la organización a la normatividad acerca de confidencialidad y privacidad de datos de las personas.

• Multas, sanciones o fincado de responsabilidades por violaciones a normatividad de confidencialidad.

• Pérdida de la privacidad en registros y documentos de personas.

• Pérdida de confianza en las tecnologías de información por parte del personal de la organización y del público en general.

• Incremento sensible y no programado en gastos emergentes de seguridad.

• Costos de reemplazo de equipos, programas, y otros activos informáticos dañados, robados, perdidos o corrompidos en incidentes de seguridad.

• Políticas de seguridad. Es indispensable en toda organización que posea activos informáticos contar con políticas de seguridad documentadas y procedimientos internos de la organización acerca de las estrategias y disposiciones que guíen los principales rubros y áreas relacionados con la seguridad del los bienes informáticos y que permitan su actualización y revisión por parte de un comité de seguridad interno.

Algunos de los principales objetivos de control y acciones dentro de este dominio son:

• Políticas y procedimientos internos generales de seguridad informática.

• Políticas de acceso a instalaciones sensibles.

• Políticas y procedimientos de inventarios de bienes informáticos

• Políticas y procedimientos de respaldo de datos.

• Políticas y procedimientos de resguardo de información.

• Políticas y procedimientos para asignación de usuarios y lineamientos normativos de acceso.

• Políticas y procedimientos para la creación y mantenimiento de software.

• Aspectos formales para la seguridad organizational. La existencia de un marco formal de seguridad que debe integrar la organización, formados por una oficina o comité de administración de la seguridad de la información, un oficial de seguridad —Information System Security Officer— ISSO, un equipo de recuperación contra desastres, auditorías y revisiones externas a la infraestructura de seguridad así como controles a los servicios de tercerización –outsourcing–, entre otros aspectos. Algunos de los principales objetivos de control y acciones dentro de este dominio son:

• Elaboración de diagnósticos de seguridad.

• Establecimiento de personas, áreas o comités específicamente creados para la seguridad informática.

• Clasificación y control de activos. El análisis de riesgos utiliza un inventario de activos de información —instalaciones, equipos, programas, datos, personas—, que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado respecto de la información; es decir, los activos deben ser etiquetados de acuerdo con su nivel de confidencialidad y sensibilidad.

Algunos de los principales objetivos de control y acciones dentro de este dominio son:

• Definición de políticas y procedimientos claramente establecidos y distribuidos para la realización de inventarios de equipos, programas y procesos, así como para cambios, modificaciones y baja de los mismos.

• Realización de inventarios y clasificación de activos informáticos en cuanto a infraestructura de equipo de cómputo de alto rendimiento, equipo de comunicaciones, equipo donde se procesa o genera información sensible, equipo cotidiano.

• Realización de un inventario completo de bases de datos y sistemas y aplicaciones informáticos.

• Establecer y dar seguimiento a la periodicidad de estos inventarios

Es necesario recordar siempre que en el medio informático, en realidad no existe la "seguridad informática" total ya que el riesgo o probabilidad de que un evento nocivo ocurra nunca es cero. Hoy en día no existe en el planeta ninguna organización cien por ciento segura y por ello los expertos en el tema prefieren manejar en la actualidad el principio de "administración calculada del riesgo". Esto significa que el proceso de lograr la seguridad informática nunca está concluido, y nunca es total y absoluto. Por más que la organización se esfuerce, cada día surgen nuevas amenazas, riesgos y vulnerabilidades dentro de los activos informáticos y por lo mismo el proceso debe ser permanente y evolutivo: siempre será perfeccionable. El riesgo crecerá en proporción al tiempo en el que las medidas de seguridad funcionen adecuadamente y no haya incidentes mayores. La confianza lleva a bajar la guardia y nuevas vulnerabilidades aparecen. Por ello debe continuarse en este esfuerzo permanentemente para mantener al día la metodología, las políticas de seguridad, los procedimientos, los controles y las medidas de seguridad de los activos informáticos manteniendo siempre así un nivel de seguridad adecuado y una administración del riesgo razonable; todo ello a un costo proporcional y razonable al valor de los bienes informáticos guardados.

Algunas de las recomendaciones puntuales a este propósito:

• Revisar periódicamente mediante un plan al efecto las normas, políticas, procedimientos y controles de la seguridad informática para perfeccionarlos y mantenerlos actualizados.

• Consolidar un grupo o comité oficial de seguridad informática con personas, funciones y responsabilidades perfectamente establecidas.

• Migrar periódicamente hacia las nuevas versiones de los estándares metodológicos; siguiendo con nuestro ejemplo esto significaría migrar del ISO / 17799 hacia al ISO / IEC 27002 y sus derivados: 27001, 27003, etcétera. Pero ello debe hacerse en cualquier estándar que se hubiese adoptado en la organización. Esto debe hacerse cuando aparezcan y se estabilicen las nuevas ediciones del mismo.

• De los inventarios, auditorías, bitácoras, etcétera se obtienen siempre mediciones acerca de algunas estrategias y controles que siempre faltan de implementar en toda organización o que deben perfeccionarse; debe hacerse una revisión equivalente para evaluar los riesgos y actuar al efecto.

• Establecer los dominios de acción y objetivos que no satisfagan del todo a lo estipulado por la organización e incidir con mayor rigor en ellos.

• Deben implantarse métricas estandarizadas para evaluar a futuro el estado y los avances de la seguridad informática. En este sentido serán útiles metodologías tales como el ISO 27004 o semejantes.


AMENAZAS INFORMATICAS


PREZI AMENAZAS INFORMATICAS