EVALUACION DE LA SEGURIDAD

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica: La seguridad fsica, se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.

La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes. Evaluacin Lgica y Confidencialidad La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: a) Cambio de los datos antes o cuando se le da entrada a la computadora. b) Copias de programas y /o informacin. c) Cdigo oculto en un programa d) Entrada de virus La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o

fraude en los sistemas. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: a) Elementos administrativos. b) Definicin de una poltica de seguridad. c) Organizacin y divisin de responsabilidades. d) Seguridad lgica Tipos de usuarios: Propietario Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos. Usuario principal Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. Usuario de explotacin

Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole. Usuario de auditora Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria. Los usuarios pueden ser mltiples, y pueden ser el resultado de la combinacin de los antes sealados. Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de informacin se debe tomar en cuenta lo siguiente: a) Integridad. b) Confidencialidad. c) Responsabilidad. La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones. Claves de acceso Un rea importante en la seguridad lgica de las claves de acceso de los usuarios. Existen diferentes mtodos de identificacin para el usuario: Un password, cdigo o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus

recursos, as como definir nivel de acceso o funciones especficas. Las llaves de acceso deben tener las siguientes caractersticas: a) El sistema debe verificar primero que el usuario tenga una llave de acceso vlida. b) La llave de acceso debe ser de una longitud adecuada para ser un secreto. c) La llave de acceso no debe ser desplegada cuando es tecleada. d) Las llaves de acceso deben ser encintadas. e) Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difciles de retener, adems el password no debe ser cambiado por un valor pasado. Se recomienda la combinacin de caracteres alfabticos y numricos. f) Una credencial con banda magntica. La banda magntica de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografa y firma. Algo especifico del usuario. Es un mtodo para identificacin del usuario, que es implantado con tecnologa biomtrica (caractersticas propias). Algunos de los dispositivos biomtricos son: a) Las huellas dactilares. b) La retina c) La geometra de la mano. d) La firma. e) La voz. Seguridad Fsica Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers,

virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones, de la misma, Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Tipos de Desastres No ser la primera vez que se mencione en este trabajo, que cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro. Las principales amenazas que se prevn en la seguridad fsica son:

a) Desastres inundaciones.

naturales,

incendios

accidentales

tormentas

b) Amenazas ocasionadas por el hombre. c) Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios Inundaciones Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas Seales de Radar La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiado desde hace varios

aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Evaluacin en el personal Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus antecedentes de trabajo. Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importa mucho su actitud y comportamiento. El personal de informtica debe tener desarrollado un alto sistema tico de lealtad, pero la profesin en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo que el auditor tiene que examinar no solamente el trabajo del personal de informtica, sino la veracidad y confiabilidad de los programas de procesamiento. En los equipos de computo es normal que se trabajen horas extra, con la gran presin, y que no haya una adecuada poltica de vacaciones debido a la dependencia que se tiene de algunas personas, lo cual va haciendo que se crean indispensables, que son muy difciles de sustituir y que ponen en gran riesgo a la organizacin. Se debe verificar que existan adecuadas polticas de vacaciones (lo cual nos permite evaluar la dependencia de algunas personas, y evitar esta dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de renuncia de alguna persona permitir que,

en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organizacin. Tambin se debe tener polticas de rotacin de personal que disminuyan la posibilidad de fraude. Si un empleado esta cometiendo un fraude y se le cambia a otra actividad al mes, seria muy arriesgado cometer un fraude porque sabra que la nueva persona que este en su lugar puede detectarlo fcilmente. Aunque implique un alto costo. Este procedimiento de rotacin de personal permite, adems, detectar quienes son indispensables y quienes no. Se deber evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, con lo que disminuir la posibilidad de ataques intencionales a la organizacin. Una de las formas de lograr la motivacin es darle al personal la capacitacin de actualizacin que requiere, as como proporcionarle las retribuciones e incentivos justo. En muchas ocasiones e mayor riesgo de fraude o mal uso de la informacin esta dentro del mismo personal, y la mayor seguridad esta en contar con personal leal, honesto y con tica. Para lograr esto se debe contar con personal capacitado, motivado y con remuneraciones adecuadas. Pero tambin se debe prever la posibilidad de personal mal intencionado, para lo cual se debe tener los controles de seguridad sealados, los cuales deben de ser observados principalmente por el personal del rea informtica. El auditor debe de estar conciente que los primeros que deben implantar y observar los controles son los del personal de informtica. Seguro Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que en ocasiones el riesgo no es claro para las compaas de seguros, debido a o

nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rpido avance de la tecnologa. Como ejemplo de lo anterior tenemos las plizas de seguros contra desastres, ya que en algunos conceptos son cubiertos por el proveedor del servicio de desastres que no son normales en cualquier otro tipo de ambiente. Se deben verificar las fechas de vencimiento de las plizas, pues puede suceder que se tenga la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o mas plizas por separado, cada una con las especificaciones necesarias. Es importante que la direccin de informtica este preparada para evitar en lo posible el dao fsico al personal, oficinas, equipo de cmputo, as como al sistema de operacin. Adems, deber tener cuidado de que existan normas y practicas eficaces. Seguridad en la utilizacin del equipo En la actualidad los programas y los equipos son altamente sofisticados y slo algunas personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas: a) Se debe restringir el acceso a los programas y a los archivos. b) Los operadores deben trabajar con poca supervisin y sin la participacin de los programadores, y no deben modificar los programas ni los archivos.

c) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados, procurando no usar respaldos inadecuados. d) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales. e) Se deben realizar peridica mente una verificacin fsica del uso de terminales y de los reportes obtenidos. f) Se deben monitorear peridica mente el uso que se le est dando a las terminales. g) Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las terminales. h) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados sean procesados completamente. Esto slo se lograr por medio de los controles adecuados, los cuales deben ser definidos desde el momento del diseo general del sistema. i) Deben existir registros que reflejen la transformacin entre las diferentes funciones de un sistema. j) Debe controlarse la distribucin de las salidas (reportes, cintas, etc.). Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cmputo y en las instalaciones de alta seguridad; por ejemplo: los bancos. k) Se debe tener un estricto control sobre el acceso fsico a los archivos. l) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el sistema, subsistema, programa y versin. Tambin evitar que el programador ponga nombres que nos signifiquen nada y que sean difciles de identificar, lo que evitar que el programador utilice la computadora para trabajos personales. Otro de los puntos en los que hay que tener seguridad es en el manejo de informacin. Para controlar este tipo de informacin se debe:

a) Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin. b) Slo el personal autorizado debe tener acceso a la informacin confidencial. c) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminacin incorrecta. d) Controlar el nmero de copias y la destruccin de la informacin y del papel carbn de los reportes muy confidenciales. El factor ms importante de la eliminacin de riesgos en la programacin es que todos los programas y archivos estn debidamente documentados. El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de emergencia. a) Equipo, programas y archivos b) Control de aplicaciones por terminal c) Definir una estrategia de seguridad de la red y de respaldos d) Requerimientos fsicos. e) Estndar de archivos. f) Auditora interna en el momento del diseo del sistema, su implantacin y puntos de verificacin y control. Procedimientos de respaldo en caso de respaldo en caso de desastres Se debe establecer en cada direccin de informtica un plan de emergencia el cual ha de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo. El sistema debe ser probado y utilizado en condiciones anormales, para que en cas de usarse en situaciones de emergencia, se tenga la seguridad que

funcionar. La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia existe y se ha de utilizar respaldos. Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en efecto, aunque el equipo de cmputo sea aparentemente el mismo, puede haber diferencias en la configuracin, el sistema operativo, en disco etc. El plan de emergencia una vez aprobado, se distribuye entre personal responsable de su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica. En virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de acceso restringido. La elaboracin del plan y de los componentes puede hacerse en forma independiente de acuerdo con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su actualizacin. Para la preparacin del plan se seleccionar el personal que realice las actividades claves del plan. El grupo de recuperacin en caso de emergencia debe estar integrado por personal de administracin de la direccin de informtica, debe tener tareas especficas como la operacin del equipo de respaldo, la interfaz administrativa. Los desastres que pueden suceder podemos clasificar as: a) Completa destruccin del centro de cmputo, b) Destruccin parcial del centro de cmputo, c) Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo (electricidad, aire, acondicionado, etc.) d) Destruccin parcial o total de los equipos descentralizados e) Prdida total o parcial de informacin, manuales o documentacin f) Prdida del personal clave g) Huelga o problemas laborales. El plan en caso de desastre debe incluir:

1. La documentacin de programacin y de operacin. 2. Los equipos: 2.1. El equipo completo 2.2. El ambiente de los equipos 2.3. Datos y archivos 2.4. Papelera y equipo accesorio 2.5. Sistemas (sistemas operativos, bases de datos, programas). El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible, ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que el plan de emergencia no pueda ser utilizado. Cuando el plan sea requerido debido a una emergencia, el grupo deber: a) b) c) d) e) f) g) h) Asegurarse de que todos los miembros sean notificados, informar al director de informtica, Cuantificar el dao o prdida del equipo, archivos y documentos Determinar el estado de todos los sistemas en proceso, Notificar a los proveedores del equipo cual fue el dao, Establecer la estrategia para llevar a cabo las operaciones de Elaboracin de una lista con los mtodos disponibles para Sealamiento de la posibilidad de alternar los procedimientos de

para definir que parte del plan debe ser activada.

emergencias tomando en cuenta: realizar la recuperacin operacin (por ejemplo, cambios en los dispositivos, sustituciones de procesos en lnea por procesos en lote). i) Sealamiento de las necesidades para armar y transportar al lugar de respaldo todos los archivos, programas, etc., que se requieren.

j)

Estimacin de las necesidades de tiempo de las computadoras

para un periodo largo. Cuando ocurra la emergencia, se deber reducir la carga de procesos, analizando alternativas como: a) Posponer las aplicaciones de prioridad ms baja, b) Cambiar la frecuencia del proceso de trabajos. c) Suspender las aplicaciones en desarrollo. Por otro lado, se debe establecer una coordinacin estrecha con el personal de seguridad a fin de proteger la informacin. Respecto a la configuracin del equipo hay que tener toda la informacin correspondiente al hardware y software del equipo propio y del respaldo. Debern tenerse todas las especificaciones de los servicios auxiliares tales como energa elctrica, aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mnimo las restricciones de procesos, se debern tomar en cuenta las siguientes consideraciones: a) Mnimo de memoria principal requerida y el equipo perifrico que permita procesar las aplicaciones esenciales. b) Se debe tener documentados los cambios de software. c) En caso de respaldo en otras instituciones, previamente se deber conocer el tiempo de computadora disponible. Es conveniente incluir en el acuerdo de soporte recproco los siguientes puntos: a) Configuracin de equipos. b) Configuracin de equipos de captacin de datos. c) Sistemas operativos. d) Configuracin de equipos perifricos.

BIBLIOGRAFA

Echenique J. (19780) Auditora en informtica Universidad --Nacional Autnoma de Mxico Universidad Autnoma Metropolitana. Disponible en http://thecode23.blogspot.com/2009/09/descarga-libro-auditoria-ensistemas.html Echenique Jos [consulta 2011, octubre 21].

REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA EDUCACIN INSTITUTO UNIVERSITARIO TECNOLGICO INDUSTRIAL RODOLFO LOERO ARISMENDI INFORMTICA 055 N.A.

EVALUACION DE LA SEGURIDAD

Autores: Baderna Jhembell Maicold Villamizar Tutor: Padilla Juan

La Guaira, 04 de octubre de 2011.