on 22-Aug-2017 (Tue)

La planificación no es más que un conjunto de decisiones que toma la organización, representada por su alta dirección, y que responden a las siguientes cuestiones:
- Cuál es la posición futura deseable.
- Cuál es la situación Actual.
- Cuáles son los escalones que necesitamos establecer para pasar de donde estamos a donde queremos llegar.

BANCO DE DATOS. Básicamente podemos contar con tres acepciones:

1. Estructura de datos donde todos los ficheros están fácilmente disponibles para su uso en un cálculo específico.
2. Archivo de datos sobre un tema recopilado por varias fuentes. Hay: Públicos y privados. Factuales y documentales.
3. Sinónimo de Base de datos, no presenta diferencias con ésta

DIFERENCIAS ENTRE BASE Y BANCO DE DATOS.
Las diferencias con bancos de datos según las definiciones del apartado segundo:

1. El banco de datos puede tener cualquier estructura de información. Por el contrario la base de datos sólo puede tener alguna de alguna de red, jerárquica y relacional.
2. Base de datos hace referencia a la forma de estructurar la información y no a la fuente de ésta.

SERVICIOS Y FUNCIONES.
Los servicios de seguridad para los que resulta más necesaria la actuación de las TTPs son:
- Autenticación (validez de firmas).
- Control de accesos (emisión de credenciales con privilegios de accesos).
- No repudio. (emisión de evidencias).

La función de las TTPs puede considerarse, según los casos concretos donde actúan, como:
- Entidades que certifican la validez de una pieza de información.
- Monitorización de los sucesos que se producen.
- Certificación electrónica.
- Jueces que dictaminan (sólo a efectos internos del Dominio de Seguridad).

TTP al margen de la comunicación activa.
- No interviene directamente en el proceso envío-recepción del mensaje.
- Presta servicio a un usuario cuando es requerido para ello.
- Es imprescindible que en la comunicación usuario-TTP existan garantías de la autenticidad de la TTP.

Casos típicos de utilización pueden ser:
- Autoridades de Certificación CA. Emiten información acerca de las claves públicas de los usuarios en un determinado Dominio de Seguridad.
- Directorio, DS seguro. Pueden usarse para depositar en él información de seguridad sensible, cuya validez viene garantizada por la seguridad del DS (autenticación, control de acceso e integridad).
- Verificación de firmas. Actúa como juez cuando aparece un conflicto entre partes.

TTP directamente involucrada en la comunicación:
- En servicios de no repudio de entrega, es imprescindible la existencia de TTPs presentes en todas las transacciones que se realicen.
- Monitorización de todas las actividades que serán guardadas para ser utilizadas posteriormente, caso necesario, para la resolución de disputas y litigios.
- En cuanto a la validez jurídica, estará ligada a la fortaleza de la prueba que se presente ante un Tribunal

el Data Warehouse se caracteriza por ser:
- Integrado: los datos almacenados en el Data Warehouse deben integrarse en una estructura consistente, por lo que las inconsistencias existentes entre los diversos sistemas operacionales deben ser eliminadas. La información suele estructurarse también en distintos niveles de detalle para adecuarse a las distintas necesidades de los usuarios.
- Temático: sólo los datos necesarios para el proceso de generación del conocimiento del negocio se integran desde el entorno operacional. Los datos se organizan por temas para facilitar su acceso y entendimiento por parte de los usuarios finales. Por ejemplo, todos los datos sobre clientes pueden ser consolidados en una única tabla del Data Warehouse. De esta forma, las peticiones de información sobre clientes serán más fáciles de responder dado que toda la información reside en el mismo lugar.
- Histórico: el tiempo es parte implícita de la información contenida en un Data Warehouse. En los sistemas operacionales, los datos siempre reflejan el estado de la actividad del negocio en el momento presente. Por el contrario, la información almacenada en el Data Warehouse sirve, entre otras cosas, para realizar análisis de tendencias. Por lo tanto, el Data Warehouse se carga con los distintos valores que toma una variable en el tiempo para permitir comparaciones.
- No volátil el almacén de información de un Data Warehouse existe para ser leído, y no modificado. La información es por tanto permanente, significando la actualización del Data Warehouse la incorporación de los últimos valores que tomaron las distintas variables contenidas en él sin ningún tipo de acción sobre lo que ya existía.

Para comprender el concepto de Data Warehouse, es importante considerar los procesos que lo conforman. A continuación se describen dichos procesos clave en la gestión de un Data Warehouse:
- Extracción: Obtención de información de las distintas fuentes tanto internas como externas.
- Elaboración: filtrado, limpieza, depuración, homogeneización y agrupación de la información.
- Carga: Organización y actualización de los datos y los metadatos en la base de datos.
- Explotación: Extracción y análisis de la información en los distintos niveles de agrupación

Es básica por tanto la función de planificación y no está limitada al más alto nivel de la organización sino a los diferentes segmentos, ni debe de estar limitada tampoco a la formulación de objetivos, sino al establecimiento de pasos para conseguirlos, y estos pasos son muchos y todos ellos decisivos para disponer de los medios necesarios para el logro de los resultados deseados. Algunos de los más significativos son:

1) Diagnóstico y previsión de las magnitudes del entorno y del entorno.
2) Formulación de estrategias.
3) Programación de acciones.
4) Establecimiento de presupuestos.
5) Remodelación de la estructura de la organización.
6) Definición de políticas.
7) Establecimiento de procedimientos.
8) Fijación de estándares.

La planificación es la que determina que hay que hacer, cuándo y por quien, para alcanzar los objetivos de la organización. Para que los planes puedan ser asumidos por la organización, además de ser de interés para la empresa es necesario hacerlos compartir con la organización.

A. Comité de dirección.

Debe asegurarse de la traslación de la política estratégica de la organización al plan estratégico de Sistema de Información y las Comunicaciones. Este comité tiene como misión principal la de tomar decisiones a lo largo de las distintas etapas y fases en la que se descompone el plan. El comité de dirección aprueba la propuesta de nombramiento del Director del Estudio, así como las personas integrantes del equipo de proyecto, y en su caso, del consultor. Decide la finalización de cada una de las fases en que se descompone la realización del estudio informático, estableciendo la forma de difusión del estudio una vez terminado. Además, designa al responsable de la implantación y del seguimiento del estudio, quien informará periódicamente de los resultados que se vayan obteniendo. El comité director es, pues, la instancia que establece las orientaciones del desarrollo con los controles de realización, la validación de los trabajos efectuados, y la toma de decisiones al final de cada fase del estudio.

B. Equipo de proyecto. El grupo de proyecto desempeña la función ejecutiva dentro de los órganos de realización del estudio, dado que su papel fundamental es el de ejecutar el mismo. En el equipo de proyecto se integra el director de proyecto, que es la persona de máxima cualificación para la realización del estudio y personal especializado en la realización de las distintas tareas o funciones en que se descompone aquél. También se integrará el personal del consultor que colabore en la realización del estudio, aportando la metodología o los recursos de los que no dispone el organismo en cuestión. , El grupo de proyecto realiza la programación del estudio, define la administración, procedimiento y organización del trabajo. Asimismo realiza todas las actividades necesarias para completar el estudio, formaliza los análisis realizados en documentos constitutivos del proyecto y participa finalmente en la difusión e implantación del estudio.

C. Grupo de usuarios. Los grupos de usuarios definen las funcionalidades que necesitan y, además, representan la función consultiva y de reflexión del estudio a realizar, siendo su papel el de realizar la definición funcional y colabora en la solución funcional de los problemas planteados. Los grupos de usuarios constituyen las instancias consultivas y participan de esta forma en las diferentes tareas y actividades llevadas a cabo por el grupo de proyecto. Toman parte en la definición de las estructuras de los procedimientos para obtener los requerimientos del estudio y en difundir e implantar el estudio una vez terminado

Todo Criptosistema cumple la condición D K (E K (m)) = m es decir, que si se tiene un mensaje m, se cifra empleando la clave K y luego se descifra empleando la misma clave, se obtiene el mensaje original m

Existen dos tipos fundamentales de Criptosistemas utilizados para cifrar datos e información digital y ser enviados posteriormente después por medios de transmisión libre.

a) Simétricos o de clave privada: se emplea la misma clave K para cifrar y descifrar, por lo tanto el emisor y el receptor deben poseer la clave. El mayor inconveniente que presentan es que se debe contar con un canal seguro para la transmisión de dicha clave.

b) Asimétricos o de llave pública: se emplea una doble clave conocidas como Kp (clave privada) y KP (clave Pública). Una de ellas es utilizada para la transformación E de cifrado y la otra para el descifrado D. En muchos de los sistemas existentes estas clave son intercambiables, es decir que si empleamos una para cifrar se utiliza la otra para descifrar y viceversa.

IDEA. El International Data Encription Algorithm fue desarrollado en Alemania a principios de los noventa por James L. Massey y Xuejia Lai. Trabaja con bloques de 64 bits de longitud empleando una clave de 128 bits y, como en el caso de DES, se utiliza el mismo algoritmo tanto para cifrar como para descifrar. El proceso de encriptación consiste ocho rondas de cifrado idéntico, excepto por las subclaves utilizadas (segmentos de 16 bits de los 128 de la clave), en donde se combinan diferentes operaciones matemáticas (XORs y Sumas Módulo 16) y una transformación final. Es el mejor y más seguro algoritmo de bloques disponible actualmente al público.

BLOWFISH. Este algoritmo fue desarrollado por Bruce Schneier en 1993. Para la encriptación emplea bloques de 64 bits y permite claves de encriptación de diversas longitudes (hasta 448 bits). Generalmente, utiliza valores decimales de π (aunque puede cambiarse a voluntad) para obtener las funciones de encriptación y desencriptación. Estas funciones emplean operaciones lógicas simples y presentes en cualquier procesador. Esto se traduce en un algoritmo “liviano”, que permite su implementación, vía hardware, en cualquier controlador (como teléfonos celulares por ejemplo).

RIJNDAEL (EL NUEVO ESTÁNDAR AES). Este nuevo algoritmo belga mezcla de Vincent Rijmen y Joan Daemen (sus autores) sorprende tanto por su innovador diseño como por su simplicidad práctica; aunque tras él se esconda un complejo trasfondo matemático. Su algoritmo no se basa en redes de Feistel, y en su lugar se ha definido una estructura de “capas” formadas por funciones polinómicas reversibles (tienen inversa) y no lineales. Es fácil imaginar que el proceso de descifrado consiste en aplicar las funciones inversas a las aplicadas para cifrar, en el orden contrario. Las implementaciones actuales pueden utilizar bloques de 128, 192 y 256 bits de longitud combinadas con claves de 128, 192 y 256 bits para su cifrado; aunque tanto los bloques como las claves pueden extenderse en múltiplo de 32 bits. Si bien su joven edad no permite asegurar nada, según sus autores, es altamente improbable que existan claves débiles en el nuevo AES. También se ha probado la resistencia al criptoanálisis tanto lineal como diferencial, asegurando así la desaparición de DES.

RSA. Este algoritmo fue ideado en 1977 por Ron Rivest, Adi Shamir y Leonard Adleman (RSA). Es el más empleado en la actualidad, sencillo de comprender e implementar, aunque la longitud de sus claves es bastante considerable (ha pasado desde sus 200 bits originales a 2048 actualmente). RSA es la suma de dos de los algoritmos mas importantes de la historia: el Máximo Común Divisor de Euclides (Grecia 450–377 A.C.) y el último teorema de Fermat (Francia 1601–1665). Se emplean las ventajas proporcionadas por las propiedades de los números primos cuando se aplican sobre ellos operaciones matemáticas basadas en la función módulo. En concreto, emplea la función exponencial discreta para cifrar y descifrar, y cuya inversa, el logaritmo discreto, el muy difícil de calcular.

Los cálculos matemáticos de este algoritmo emplean un número denominado Módulo Público, N, que forma parte de la clave pública y que se obtiene a partir de la multiplicación de dos números primos, p y q, diferentes y grandes (del orden de 512 bits) y que forman parte de la clave privada. La gran propiedad de RSA es que, mientras que N es público, los valores de p y q se pueden mantener en secreto debido a la dificultad que entraña la factorización de un número grande. La robustez del algoritmo se basa en la facilidad para encontrar dos números primos grandes frente a la enorme dificultad que presenta la factorización de su producto. Aunque el avance tecnológico hace que cada vez sea más rápido un posible ataque por fuerza bruta, el simple hecho de aumentar la longitud de las claves empleadas supone un incremento en la carga computacional lo suficientemente grande para que este tipo de ataque sea inviable.

Sin embargo, se ha de notar que, aunque el hecho de aumentar la longitud de las claves RSA no supone ninguna dificultad tecnológica, las leyes de exportación de criptografía de EE.UU. imponían, hasta el 20 de septiembre de 2000, un límite a dicha longitud por lo que el su uso comercial de RSA no estaba permitido, ya que la patente pertenecía a los laboratorios RSA. Desde esta fecha su uso es libre.

CURVAS ELÍPTICAS (CEE). Las curvas elípticas fueron propuestas por primera vez para ser usadas en aplicaciones criptográficas en 1985 de forma independiente por Miller y Koblitz. Las curvas elípticas en sí llevan estudiándose durante muchos siglos y están entre los objetos más ricamente estructurados y estudiados de la teoría de números. La eficiencia de este algoritmo radica en la longitud reducida de las claves, lo cual permite su implementación en sistemas de bajos recursos como teléfonos celulares y Smart Cards. Puede hacerse la siguiente comparación con RSA, obteniendo el mismo nivel de seguridad: - CCE de 163 bits = RSA de 1024 bits - CCE de 224 bits = RSA de 2048 bits Otros algoritmos asimétricos conocidos son ElGamal (basado en el Problema de los Logaritmos Discretos de Diffie–Hellman DH), Rabin (basado en el problema del cálculo de raíces cuadradas módulo un número compuesto), DSS y LUC.

MD5. El Message Diggest 5 (resultado mejorado sobre el MD4 original de Ron Rivest) procesa los mensajes de entrada en bloques de 512, y que produce una salida de 128 bits. Siendo m un mensaje de b bits de longitud, se alarga m hasta que su longitud sea 64 bits inferior a un múltiplo de 512. Esto se realiza agregando un 1 y tantos ceros como sea necesario. A continuación se agregan 64 bits con el valor de b comenzando por el byte menos significativo. A continuación se realizan 64 operaciones divididas en 4 rondas sobre estos bloque de 512 bits. Finalmente, se suman y concatenan los bloques obteniendo la firma deseada de m.

SHA–1. El Secure Hash Algorithm fue desarrollado por la NSA, y genera firmas de 160 bits a partir de bloques de 512 bits del mensaje original. Su funcionamiento es similar al MD5, solo variando la longitud de los bloques y la cantidad de operaciones realizadas en las 5 rondas en las que se divide el proceso. Otros algoritmos utilizados para obtener firmas digitales son: DSA (Digital Signature Logarithm) y el RIPE–MD160.

ESTEGANOGRAFÍA. Consiste en ocultar en el interior de información aparentemente inocua, otro tipo de información (cifrada o no). El texto se envía como texto plano, pero entremezclado con mucha cantidad de “basura” que sirve de camuflaje al mensaje enviado. El método de recuperación y lectura sólo es conocido por el destinatario del mensaje y se conoce como “separar el grano de la paja”. Los mensajes suelen ir ocultos entre archivos de sonido o imágenes y ser enormemente grandes por la cantidad extra de información enviada (a comparación del mensaje original)

Se entiende por seguridad (o sistema de seguridad), cómo ya vimos, de los sistemas de información al conjunto de funciones, servicios y mecanismos que permitan garantizar los objetivos principales de la seguridad, que son: − Confidencialidad. Se define como la "condición que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados". Sólo las personas autorizadas deben poder ver la información. − Integridad. Se define como la "condición de seguridad que garantiza que la información es modificada, incluyendo su creación y destrucción, sólo por el personal autorizado. Todos los usuarios autorizados deben estar seguros de que los datos que obtienen son precisos y de que no fueron modificados de forma inadecuada. − Disponibilidad. Se define como el "grado en el que un dato está en el lugar, momento y forma en que es requerido por el usuario autorizado. Situación que se produce cuando se puede acceder a un Sistema de Información en un periodo de tiempo considerado aceptable". Se asocia a menudo a la fiabilidad técnica (tasa de fallos) de los componentes del sistema de información. Los usuarios autorizados deben poder tener acceso a la información que necesiten, en cualquier momento.

La seguridad se puede dividir en seis requisitos o principios. Todos estos principios son igualmente importantes para garantizar la confidencialidad, integridad y disponibilidad de los datos. Alguno nos ha aparecido ya como objetivo principal.

Los principios son los siguientes:
− Identificación. La identificación está relacionada con los nombres de los usuarios y con la forma en que éstos se identifican en un sistema informático.
− Autenticación. Se define como la característica de dar y reconocer la autenticidad de ciertas informaciones del Dominio y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de esas cuestiones. La autenticación es todo aquello que tiene que ver con contraseñas, tarjetas inteligentes, biometría, etcétera. Es el método que utilizan los usuarios para demostrar al sistema que realmente son quienes pretenden.
− Control de acceso (también llamado autorización). El control de acceso se ocupa del acceso y los privilegios concedidos a los usuarios para que puedan realizar determinadas funciones en un sistema informático.
− Confidencialidad. La confidencialidad está relacionada con el cifrado. Los mecanismos de confidencialidad garantizan que sólo las personas autorizadas puedan ver los datos almacenados o que recorren la red.
− Integridad. La integridad tiene que ver con las sumas de comprobación y las firmas digitales. Los mecanismos de integridad garantizan que los datos no se pierden, dañan o cambian mientras se transmiten a través de la red.
− Imposibilidad de rechazo. El principio de imposibilidad de rechazo o repudio está relacionado con las firmas digitales. Se trata de un método que permite demostrar

Las funciones, servicios y mecanismos de seguridad requieren, en general, el concurso de una serie de medidas que podríamos clasificar como: − Medidas de administrativas/organizativas de los sistemas. Publicación de normas de uso adecuado, u otros métodos apropiados. Deben definirse claramente las áreas de responsabilidad de usuarios, administradores y directivos. − Medidas legislativas: deben preverse sanciones en aquellos en que la prevención no sea técnicamente posible o conveniente. Puede además darse el caso de que algunos aspectos de la política de seguridad tengan implicaciones legales (por ejemplo, el seguimiento de líneas). − Medidas técnicas: son, esencialmente, la criptografía y los productos certificados.

El objeto o propósito de la seguridad de los sistemas de información consiste sobre todo en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. Asimismo intenta minimizar tanto el coste global de la ejecución de dichos procesos como las pérdidas de los recursos asignados a su funcionamiento. El sujeto global de la seguridad se determina como un Dominio del conjunto de la Organización, que suele considerarse compuesto por activos (como sujetos elementales de la seguridad), estructurados metódicamente de forma jerarquizada.

Aunque una estrategia de seguridad puede ahorrar mucho tiempo a la organización y proporcionar importantes recomendaciones de lo que se debe hacer, la seguridad no es una actividad puntual.

Un criterio clasificador en la Decisión Multicriterio corresponde al número, que puede ser finito o infinito, de las alternativas a tener en cuenta en la decisión. Dependiendo de esta situación existen diferentes métodos. Cuando las funciones objetivo, toman un número infinito de valores distintos, que conducen a un número infinito de alternativas posibles del problema se llama Decisión Multiobjetivo. Aquellos problemas en los que las alternativas de decisión son finitas se denominan problemas de Decisión Multicriterio Discreta. Estos problemas son los más comunes en la realidad y son los que se consideran en este documento.

PONDERACIÓN LINEAL (SCORING). “Es un método que permite abordar situaciones de incertidumbre o con pocos niveles de información. En dicho método se construye una función de valor para cada una de las alternativas. El método de Ponderación Lineal supone la transitividad de preferencias o la comparabilidad. Es un método completamente compensatorio, y puede resultar dependiente, y manipulable, de la asignación de pesos a los criterios o de la escala de medida de las evaluaciones. Es un método fácil y utilizado ampliamente en el mundo.

ANÁLISIS JERÁRQUICO (AHP- THE ANALYTIC HIERARCHY PROCESS- PROCESO ANALÍTICO JERÁRQUICO). Este método fue desarrollado por el matemático Thomas Saaty y consiste en formalizar la comprensión intuitiva de problemas complejos mediante la construcción de un Modelo Jerárquico. El propósito del método es permitir que el agente decisor pueda estructurar un problema multicriterio en forma visual, mediante la construcción de un Modelo Jerárquico que básicamente contiene tres niveles: meta u objetivo, criterios y alternativas. Una vez construido el Modelo Jerárquico, se realizan comparaciones de a pares entre dichos elementos (criterios-subcriterios y alternativas) y se atribuyen valores numéricos a las preferencias señaladas por las personas, entregando una síntesis de las mismas mediante la agregación de esos juicios parciales. El fundamento del proceso de Saaty descansa en el hecho que permite dar valores numéricos a los juicios dados por las personas, logrando medir cómo contribuye cada elemento de la jerarquía al nivel inmediatamente superior del cual se desprende