CUESTIONARIO UNIDAD 2

***SOFTWARE DEL SERVIDOR***

1.- ¿EN QUE SE DIFERENCIAN WINDOWS VS LINUX?

Sobre todo en que  Windows no se puede configurar y Linux si. 

2.- ¿UNA RAZÓN CONVENIENTE PARA CAMBIAR DE WINDOWS A LINUX?

Es un software libre, lo que quiere decir que no hay que pagar nada por el sistema en sí.

3.- ¿SISTEMA OPERATIVO QUE NO FUE DESARROLLADO SIGUIENDO EL DISEÑO DE UN MICRO NÚCLEO?

Linux

4.- ¿MENCIONA TRES DE LAS  CARACTERÍSTICAS DE LA VISIÓN DE LA  ARQUITECTURA DE WINDOWS?

*Que corra sobre múltiples arquitecturas de hardware y plataformas.

*Sea un Sistema Operativo de memoria virtual

*Reúna los requisitos de la industria y del gobierno para la seguridad del Sistema Operativo.

5.- ¿SISTEMA OPERATIVO QUE POSEE UNA GRAN CANTIDAD DE SOFTWARE?

Windows

***S E G U R I D A D***

6.- ¿CON QUE FINALIDAD SE CREARON LAS 10 LEYES INMUTABLES?

Con la finalidad de proteger la seguridad de nuestro sistema

7.- BREVEMENTE MENCIONA LO QUE NOS DICE LA LEY INMUTABLE NUMERO 5

Las contraseñas débiles destruyen la seguridad más fuerte.

Si para identificarnos utilizamos contraseñas fáciles de averiguar, los sistemas de seguridad que hayamos instalado no servirán de nada.

8.- LA SEGURIDAD, ADEMAS DE NECESITAR UN SISTEMA DE PROTECCION APROPIADO. ¿TAMBIEN REQUIERE?

Considerar el entorno externo en el que el sistema opera.

9.- ¿EN QUE CONSISTE UN ATACANTE INFORMATICO? Y ¿CON QUE BENEFICIO?

En aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico.

10.- MENCIONA LA FINALIDAD DEL PLAN DE ACCION

El plan de acción tendrá como finalidad el desarrollo de estrategias globales destinadas a proporcionar a los usuarios y a los productores de información almacenada, procesada o transmitida electrónicamente la protección adecuada de los sistemas de información contra amenazas accidentales.

***E N C R I P T A C I Ò N***

11- ¿QUÉ ES ENCRIPTACIÓN?

Es básicamente la manera de asegurar información importante.

12. ¿CÓMO FUNCIONA LA ENCRIPTACIÓN?

Normalmente con algoritmos los cuales pueden transformar una pequeña información en una muy extensa y difícil de descifrar a simple vista.

13.- MENCIONA LOS TIPOS DE ENCRIPTACIÓN.

Algoritmo HASH: Simetrical, Asimétrica, Firma Digital, mediante códigos de integridad.

14.- ES LA TRANSFORMACIÓN DE UN MENSAJE UTILIZANDO UN SISTEMA DE CIFRADO ASIMÉTRICO DE MANERA QUE LA PERSONA QUE POSEE EL MENSAJE ORIGINAL.

Firma digital.

15.- POCESO QUE CONSISTE EN TOMAR UN MENSAJE Y UNA CLAVE DE USUARIO, DESPUÉS SIGUE LA COMBINACIÓN DE ESTOS Y SE PRODUCE UNA CADENA MODIFICADA.

EncryptionString.

Encriptación

***Encriptación***

La encriptación es básicamente la manera de asegurar información importante, esta normalmente funciona con algoritmos los cuales pueden transformar una pequeña información en una muy extensa y difícil de descifrar a simple vista. Estos algoritmos de encriptación toman una parte importante ya q se han reconocido. El usuario “no autorizado” al tratar de defifrar se encontrara con una llave la cual tiene dos clases una llamada (Key`S) o la más usada en internet llamada (Public Key) esta se da a conocer a cualquier persona q lo desee y ante cualquier internet, sin embargo existe otra llamada (única) q solo será conocida por un único usuario.

En la encriptación existen varios niveles pero las encriptaciones más comunes son las de:

* 40-512 bits (llave secreta y llave pública)

*128 -1024 bits (llave secreta y llave publica) esta ultima es la mas fuerte que existe en el mercado actualmente los EE UU. La encriptación de 40-512 bits es usada en sitios internet más corriente y los 128-1024 bits son usados en transacciones de alto riesgo como las bancarias. Por ultimo hacemos mención de la encriptación actual de que tan segura puede ser, la llave privada q por lo general trata de 40 bits en ocasiones puede llegar a ser interceptada y la de 128 la cual es 3 veces más poderosa o segura. En conclusión la encriptación tiene como fin evitar los llamados (hackers) dotándose cada vez de más tecnología y usando diversos algoritmos, llaves o programas creados para la seguridad de la información de los usuarios.

*Que función tiene la llave ("key") ?

 Existen dos tipos de llaves ("key's") , pero la de mayor uso en Internet es denominada "public key" o algoritmo asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave pública que es dada a conocer a cualquier persona que así lo desee (todo Internet), esta llave pública es utilizada por los emisores de mensajes para encriptar información , sin embargo, existe otra llave ( su pareja por llamarla de alguna manera) única que es conocida exclusivamente por el destinatario del mensaje, y es mediante esta llave única | secreta que el destinatario descifra ("decripta") los mensajes encriptados por el emisor. 

 Tipos de Encriptación:

*Algoritmo HASH:
Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.

*ENCRIPTACION Simetrical a encriptación simétrica nos sirve para almacenar la información crítica que uno mismo es el encargado de descifrarlo. Nadie tendrá acceso ala llave con que se encriptara y desencriptara la información.

Algunos algoritmos de la encriptación simétrica son más seguros que otros como son los 3 DES y AES. Ya que los algoritmos con mas debilidades son los IDEA. La principal información para encriptar y desencriptar en los algoritmos simétricos es la llave KEY, toda la seguridad del sistema depende de donde este esta llave, cómo esta compuesta y quien tiene acceso.

*ENCRIPTACION Asimétrica esta nos permite que dos personas puedan enviar información encriptada, sin tener que entregar la llave de seguridad. Se utiliza dos llaves una pública para encriptar el texto y la otra llave de seguridad para desencriptarlo, nadie puede desencriptar algo con la misma llave pública. El algoritmo mas utilizado en la encriptación asimétrica es el RSA, debido a que su funcionamiento es diferente al algoritmo ECC. En conclusión es que exista una clase que entregue una llave publica para que encripte la información y luego enviarla esta a la misma clase para que con la llave de privada la desencripte.

*Firma Digital
Es la transformación de un mensaje utilizando un sistema de cifrado asimétrico de manera que la persona que posee el mensaje original y la clave pública del firmante, pueda establecer de forma segura, que dicha transformación se efectuó utilizando la clave privada correspondiente a la pública del firmante, y si el mensaje es el original o fue alterado desde su concepción.                                                                                                                  Se intenta hacer coincidir el modelo de firma digital con los requerimientos y virtudes que debe tener una firma y así darle validez a esta mecánica. El fin es el mismo de la firma ológrafa: dar asentimiento y compromiso con el documento firmado. El papel es el medio de almacenamiento, y el mecanismo es alguno de los tipos de impresión posibles (tinta, láser, manuscrito, etc.). Esta cualidad física le da entidad al documento, contiene sus términos, conceptos y sentidos de una manera perdurable, y al ser un elemento físico cualquier alteración dejará “señales” identificables.                  Pero estas mismas cualidades traen aparejados inconvenientes que el uso de sistemas de computación podría evitar. Ciertamente los papeles ocupan lugar y pesan demasiado, resulta complejo y molesto buscar información en ellos (requiriendo de la acción humana ya sea al archivarlos y/o al rescatarlos), y el compartir los documentos también resulta inconveniente.


Ventajas Ofrecidas por la Firma Digital
El uso de la firma digital satisface los siguientes aspectos de seguridad:
<Integridad de la información: la integridad del documento es una protección contra la modificación de los datos en forma intencional o accidental. El emisor protege el documento, incorporándole a ese un valor de control de integridad, que corresponde a un valor único, calculado a partir del contenido del mensaje al momento de su creación. El receptor deberá efectuar el mismo cálculo sobre el documento recibido y comparar el valor calculado con el enviado por el emisor. De coincidir, se concluye que el documento no ha sido modificado durante la transferencia.
<Autenticidad del origen del mensaje: este aspecto de seguridad protege al receptor del documento, garantizándole que dicho mensaje ha sido generado por la parte identificada
en el documento como emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del sistema. Esto se logra mediante la inclusión en el documento transmitido de un valor de autenticación (MAC, Message autentication code). El valor depende tanto del contenido del documento como de la clave secreta en poder del emisor.
<No repudio del origen: el no repudio de origen protege al receptor del documento de la negación del emisor de haberlo enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje, transformándose en un medio de prueba inequívoco respecto de la responsabilidad del usuario del sistema.

*Encriptación mediante códigos de integridad: Se utilizan funciones matemáticas que derivan de una huella digital a partir de un cierto volumen de datos (una huella tiene de 128 a 160 bits). Es teóricamente posible encontrar dos mensajes con idéntica huella digital; pero la probabilidad es ínfima. Si se manipulan los datos la huella cambia; y modificar los datos de forma tan sabia para obtener la misma huella es algo computacionalmente inabordable en un plazo razonable.

*Procesos de Encriptación

EncryptionString

•       Consiste en tomar un mensaje y una clave de usuario, después sigue la combinación de estos y se produce una cadena modificada.

•       Texto a codificar:         ENCRYPTION

•       Caracteres del Texto:      E   N   C   R   Y   P   T   I   O   NCódigos ASCII:             69  78  67  82  89  80  84  73  79  78

•       Contraseña KEY:            K   E   Y   K   E   Y   K   E   Y   K

•       Caracteres de KEY:         75  69  89  75  69  89  75  69  89  75

•       Suma de Códigos ASCII:     144 147 156 157 158 169 159 142 168 153

•       En caracteres:             �   “   œ   �   ?   ©   Ÿ   ?   ¨   ™

•       Texto codificado:          �“œ�?©Ÿ?¨™

*Modelo ChrTran
Como su abreviación lo dice ChrTran transpone caracteres, usa dos claves de 255 caracteres (la carta ASCII) y produce un texto codificado de origen aleatorio. Toma cada carácter del texto, encuentra su posición en la primera clave, e intercambia este carácter por el carácter en la misma posición de la segunda clave. Es complicado de asimilar.
Lo más difícil de ChrTran es el manejo de las claves. La primera clave (la sarta de búsqueda) podría ser publica (mejor debiera decir debe ser publica). Mientras que la segunda clave es una sarta aleatoria de la carta ASCII.
El modo de manejar ChrTran es el siguiente:

Clave aleatoria = RandomChart()

'// Se podría usar la sarta de búsqueda, ClaveDeBúsqueda, como

'// otra cadena aleatoria con Clave De Búsqueda = RandomChart()

'// aquí se mantiene un nivel de Encriptación flexible, más no

'// inseguro, al hacer ClaveDeBúsqueda como la secuencia 0 a 255

'// de la carta ASCII:

For i = 0 To 255

    ClaveDeBúsqueda = Clave De Búsqueda + Chr$(i)

Next

'//Codifica

TextoCodificado = ChrTran(TextoOriginal, ClaveDeBúsqueda, ClaveAleatoria)

'//Decodifica

TextoOriginal= ChrTran(TextoCodificado, ClaveAleatoria, ClaveDeBúsqueda)

Seguridad

La seguridad de las conexiones en red merecen en la actualidad una atención especial, incluso por medios de comunicación no especializados, por el impacto que representan los fallos ante la opinión pública.

El propio desarrollo tanto de Linux, como de la mayoría del software que lo acompaña, es de fuentes abiertas. Podemos ver y estudiar el código. Esto tiene la ventaja de que la seguridad en Linux no sea una mera apariencia, sino que el código está siendo escrutado por muchas personas distintas que rápidamente detectan los fallos y los corrigen con una velocidad asombrosa.

Si además comprendemos los mecanismos que se siguen en las conexiones en red, y mantenemos actualizados nuestros programas, podemos tener un nivel de seguridad y una funcionalidad aceptables.

Tampoco tienen las mismas necesidades de seguridad un equipo doméstico, con conexiones esporádicas a Internet, que un servidor conectado permanentemente y que actúe como pasarela entre una intranet e Internet.

Para describir las pautas de actuación seguras iremos examinando cómo actúan las conexiones y cómo podemos protegerlas.

10 leyes inmutables de seguridad

Hace ya tiempo que Microsoft reunió en un decálogo las diez directrices o leyes más importantes a observar para proteger la seguridad de nuestro sistema, y con el nombre de Las 10 leyes inmutables de la seguridad colgó el documento de Technet. Vamos a repasar este decálogo que aunque en clave de humor proporciona unos consejos que tenemos que tomar muy en serio.

1. Si un tipo malvado nos convence de ejecutar SU programa en NUESTRO ordenador, ya no es NUESTRO ordenador

Es otra ley inmutable de la informática: cuando un programa se ejecuta en el ordenador hace lo que el programador le ha dicho que haga, no lo que creemos que tiene que hacer. Por lo tanto, si permitimos que un programa se ejecute en nuestro ordenador tendrá las mismas capacidades de realizar cambios, incluidos los dañinos, que nosotros tenemos como usuarios y los hará según las instrucciones de su programador.

La analogía del sandwitch nos puede ayudar a entender la situación: si nos encontráramos a alguien desconocido por la calle y nos ofreciera un sandwitch ¿nos lo comeríamos sin más? Pues del mismo modo  descargar y ejecutar sin más un programa no es lo mejor para la salud de nuestro ordenador.

2. Si un tipo malvado puede cambiar el sistema operativo de NUESTRO ordenador, ya no es NUESTRO ordenador

El sistema operativo no deja de ser un programa más acompañado por un conjunto de ficheros de configuración, que están protegidos pero que a la larga puede ser modificados. Si permitimos cambios en el sistema nuestro ordenador ya no estará bajo nuestro control. 

Las nuevas versiones de Windows advierten en numerosas ocasiones cuando un programa intenta hacer cambios en el sistema o si nos disponemos a dar autorización a un programa para realizar cambios, pero una vez que un programa tiene vía libre no hay nada que hacer. Por eso es importante que nunca ejecutemos programas y les otorguemos permisos si no conocemos su procedencia. Si alguien toma el control del sistema operativo puede hacer cualquier cosa.

Es como si alguien consiguiera las llaves de nuestra casa. Una vez con ellas podría hacer cualquier cosa incluso sin que necesariamente nos diéramos cuenta. Por eso es tan importante proteger el sistema operativo y por eso los programas de seguridad controlan constantemente que no se hayan producido cambios en los ficheros del sistema.

3. Si un tipo malvado tiene acceso físico sin restricciones a NUESTRO ordenador, ya no es NUESTRO ordenador

Tomar las mejores precauciones para protegernos de los intrusos que pueden acceder a nuestro ordenador a través de Internet no vale nada si el intruso puede acceder tranquilamente a nuestro ordenador y sentarse a teclear. Es algo que en ocasiones descuidamos, pero un elemento básico de la seguridad. En el artículo de TechNet dan una lista de lo que un “tipo malvado” puede hacer si tiene acceso al ordenador, desde la edad de la piedra a la edad espacial.

Algunos de los peligros son que puede destruir nuestro ordenador con un martillo pilón, robar el ordenador y pedir un rescate, reformatear el disco, robar el disco duro, duplicarlo, grabar las pulsaciones de nuestro teclado… Las precauciones que hay que tomar aumentan con la portabilidad del PC que utilicemos. No hay que desdeñar los candados o los sistemas de acceso biométricos. No hay que olvidar que un ordenador es un dispositivo valioso, pero lo más valioso son siempre nuestros datos.

4. Si un tipo malvado puede agregar programas a NUESTRA página web, ya no es NUESTRA página web

El tipo malvado es el que entra en el servidor e intenta cambiar nuestra página web. Conseguirá así extender el contagio de un virus o malware. La responsabilidad de un usuario que mantenga un sitio web incluye controlar que los usuarios de la web no puedan agregar programas y mantener actualizado el software con los parches de seguridad adecuados.

En este caso no sólo nos hacemos daño a nosotros, sino que contribuimos al contagio de muchas personas a través de nuestra web.

5. Las contraseñas débiles destruyen la seguridad más fuerte

Es uno de los eslabones más débiles de la cadena de seguridad. Si para identificarnos utilizamos contraseñas fáciles de averiguar, los sistemas de seguridad que hayamos instalado no servirán de nada. Hay que tener la precaución de que siempre en nuestro sistema el administrador requiera contraseña. Podemos ver cómo crear contraseñas perfectas en nuestro artículo práctico al respecto.

6. Un ordenador es tan seguro como la confianza que nos merece su administrador

Todo ordenador tiene su administrador, aunque en muchos casos el administrador seamos nosotros. El edministrador es el que instala el software, modifica el sistema operativo y establece las políticas de seguridad. En el decálogo de Technet se advierte que un administrador chapucero puede frustrar cualquier medida de seguridad que tomemos nosotros.

Si necesitamos un administrador para nuestra empresa tomemos eso en cuenta. Ahorrar y contratar un mal administrador, uno descuidado o no fiable puede salirnos muy caro a la larga.

7. Los datos encriptados son tan seguros como su clave de desencriptación

Una versión distinta del problema de las passwords. La encriptación es una excelente herramienta para proteger nuestros datos y se utiliza en las transacciones que se realizan en Internet, pero en el caso de los programas de encriptación, hay que tener cuidado dónde se almacenan. Lo mejor es utilizar claves que memorizaremos o almacenarlas en un dispositivo externo a nuestro ordenador para que sean difíciles de localizar.

8. Un antivirus no actualizado sólo es ligeramente más seguro que ningún antivirus

En Internet van apareciendo y mutando nuevos virus y malware a un ritmo muy alto. Por eso hoy más que nunca, cuando pasamos más tiempo conectados a Internet, es muy importante disponer de un antivirus actualizado. Uno que no esté puesto al día nos protegerá solamente de amenazas obsoletas pero no será una herramienta de protección fiable.

Además, actualizar los antivirus y programas de seguridar periódicamente contribuye a que la expansión de los virus sea menos rápida y que por lo tanto el daño que puedan hacer sea limitado.

9. El anonimato absoluto no es práctico, tanto en la vida real como en Internet

Las herramientas que permiten conseguir un grado de anonimato importante en Internet son muchas, como los proxies o conversores de direcciones IP que hacen que no podamos ser localizados o los navegadores web que no dejan rastros de nuestra actividad. Hay que tener cuidado con qué servicios utilizamos para conseguir el anonimato, porque puede que estemos consiguiendo precisamente lo contrario.

En algunos casos estos servicios ofrecen anonimato frente a otras páginas web, pero no somos anónimos frente a ellos. Es más, en algunos casos tendremos que rellenar un formulario. Pero en muchos casos en Internet será útil dejar nuestros datos, para que nos informen de ciertas promociones, para recibir noticias, para contactar con antiguos compañeros, para participar en redes sociales…

En estos casos el sentido común es lo más importante. Nunca compartir datos personales sensibles de forma pública o con personas que no conocemos y proteger en lo posible nuestra navegación. Los modernos navegadores permiten ejecutar un modo privado que podemos activar solamente cuando lo necesitemos. Ser selectivos es importante también.

10. La tecnología no es la panacea

Una lección que es necesario aprender a pesar de los grandes adelantos tecnológicos que estamos viviendo y en el campo de la seguridad en particular. Como adelantábamos al principio, a pesar de toda esta tecnología tan sofisticada y los avances en el software de seguridad, no podemos encomendar nuestra seguridad totalmente a la tecnología.

Nuestro sentido común, la prudencia y la inteligencia tienen que ser los ingredientes más importantes. Sin ellos la tecnología más avanzada no servirá de nada. Es tentador dar la culpa a los fabricantes de software o a los proveedores de acceso de nuestros problemas de seguridad, pero no perdamos de vista que los responsabes somos nosotros.

Conceptos sobre seguridad.

La información almacenada en el sistema, así como los recursos físicos del sistema de computación, tienen que protegerse contra acceso no autorizado, destrucción o alteración mal intencionada, y la introducción accidental de inconsistencia.

La seguridad está definida en el diccionario como el conjunto de medidas tomadas para protegerse contra robos, ataques, crímenes y espionajes o sabotajes. La seguridad implica la cualidad o estado de estar seguro, es decir, la evitación de exposiciones a situaciones de peligro y la actuación para quedar a cubierto frente a contingencias adversas.

El uso creciente y la confianza en los computadores en todo el mundo ha hecho surgir una preocupación legítima con respecto a la seguridad informática. El uso de los computadores ha extendido en ambientes comerciales, gubernamentales, militares e incluso en los hogares. Grandes cantidades de datos vitales sensibles se están confiando y almacenado cada vez más en computadores. Entre ellos se incluyen registros sobre individuos, negocios y diferentes registros públicos y secretos gubernamentales y militares. Grandes transacciones monetarias tienen lugar diariamente en forma de transferencia electrónicas de fondos. Más recientemente, informaciones tales como notificaciones de propiedad intelectual y datos comerciales estratégicos son también almacenados, procesados y diseminados mediante computadores. Entre ellos se incluyen diseños de ventas, contratos legales y muchos otros.

La seguridad, no solo requiere un sistema de protección apropiado, sino también considerar el entorno externo en el que el sistema opera. La protección interna no es útil si la consola del operador está al alcance de personal no autorizado, o si los archivos se pueden sacar simplemente del sistema de computación y llevarse a un sistema sin protección. Estos problemas de seguridad son esencialmente de administración, no problemas del sistema operativo.

Información de un atacante

Un ataque informático consiste en aprovechar alguna debilidad o falla (vulnerabilidad) en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; a fin de obtener un beneficio, por lo general de índole económico, causando un efecto negativo en la seguridad del sistema, que luego repercute directamente en los activos de la organización. 

Para minimizar el impacto negativo provocado por ataques, existen procedimientos y mejores prácticas que facilitan la lucha contra las actividades delictivas y reducen notablemente el campo de acción de los ataques. 

Uno de los pasos más importantes en seguridad, es la educación. Comprender cuáles son las debilidades más comunes que pueden ser aprovechadas y cuáles son sus riesgos 

asociados, permitirá conocer de qué manera se ataca un sistema informático ayudando a identificar las debilidades y riesgos para luego desplegar de manera inteligente estrategias de seguridad efectivas.

La mayoría de las organizaciones son hemorragias de datos; las empresas dan libremente demasiada información que puede ser utilizada en su contra a través de diversos tipos de ataques lógicos y físicos. Aquí sólo se encuentran algunos de los ejemplos más comunes de la información que un atacante puede obtener sobre su organización, por lo general, en cuestión de minutos:Fallos de los productos, problemas con el personal, publicaciones internas, políticas de la empresa y muchos más desde blogs, comentarios, críticas de la empresa y servicios de inteligencia competitiva.

• Los nombres de sus altos ejecutivos y de cualquier empleado llamativo pueden ser obtenidos examinando sus comunicados de prensa.
• La dirección de la empresa, números telefónicos y números de fax desde el registro de nombres de dominio.
• El proveedor de servicio a Internet.
• La dirección de la casa de los empleados, sus números telefónicos, currículo vita que de los empleados, los miembros de su familia,antecedentes penales y mucho más buscando sus nombres en varios sitios de investigación gratuitos y pagos.

• Los sistemas operativos, los principales programas utilizados, los lenguajes de programación, plataformas especiales, fabricantes de los dispositivos de red utilizados y mucho más desde los anuncios en sitios de empleos.
• Debilidades físicas, puntos de ventaja, señales activas, formas de entrada, coberturas para los caminos de acceso y más a través de imágenes satelitales de su empresa y las direcciones de los empleados.
• Nombres de usuario, direcciones de correo electrónico, números de teléfono, estructura de archivos, nombres de archivos, tipos de sistemas operativos, la plataforma del servidor web, lenguajes de script, entornos de aplicaciones web y más con escaners de sitios web.
• Documentos confidenciales accidentalmente enviados a un sitio web como archivo.org o Google Hacking.

Seguridad de los sistemas de información.

La complejidad de la seguridad de los sistemas de información precisa la preparación de estrategias que permitan que la información circule libremente, garantizando al mismo tiempo la seguridad del uso de los sistemas de información en toda la Comunidad. A este respecto, la presente Decisión establece un plan de acción en el ámbito de la seguridad de los sistemas de información y crea un comité encargado de asesorar a la Comisión sobre actuaciones en este ámbito. 

SÍNTESIS

Mediante la presente decisión se adopta una acción en el ámbito de la seguridad de los sistemas de información. Dicha acción incluye los dos elementos siguientes:

• la aplicación de un plan de acción durante un período inicial de 24 meses. El importe de los recursos financieros comunitarios considerado necesario para la aplicación de este plan de acción durante el período previsto asciende a doce millones de ecus;
• la creación de un comité de altos funcionarios que tendrá la misión a largo plazo de asesorar a la Comisión sobre acciones en materia de seguridad de los sistemas de información.

Plan de acción

El plan de acción tendrá como finalidad el desarrollo de estrategias globales destinadas a proporcionar a los usuarios y a los productores de información almacenada, procesada o transmitida electrónicamente la protección adecuada de los sistemas de información contra amenazas accidentales o deliberadas.

El plan de acción se ejecutará en estrecha colaboración con los protagonistas del sector. Tendrá en cuenta y complementará las actividades en curso a nivel mundial para la normalización en este ámbito.

El plan incluye las siguientes líneas de actuación:

• desarrollo de un marco estratégico para la seguridad de los sistemas de información;
• definición de las necesidades de los usuarios y de los prestadores de servicios en materia de seguridad de los sistemas de información;
• elaboración de soluciones para determinadas necesidades a corto y medio plazo de los usuarios, proveedores y prestadores de servicios;
• elaboración de especificaciones, normas y pruebas de certificación respecto a la seguridad de los sistemas de información;
• innovaciones técnicas y de funcionamiento en materia de seguridad de los sistemas de información en un marco estratégico general;
• puesta en práctica de la seguridad de los sistemas de información.

El anexo adjunto a la decisión presenta en detalle las líneas de actuación del plan de acción.

Comité

El comité será consultado sistemáticamente por la Comisión sobre los asuntos relacionados con la seguridad de los sistemas de información de las distintas actividades de la Comisión, en particular la definición de las estrategias y los programas de trabajo.