Universidad de Yacambú
Trabajo 2
Sistemas de Información Gerencial
Brígida Contreras
Seguridad de los sistemas de
información
Introducción ¿Que es
Seguridad? ¿Qué debe comprender un
sistema de seguridad?
Políticas de
Seguridad
Planes de Seguridad Auditoria de Sistemas Etapas para Implantar un S. S. Beneficios de un S. S.
Resumen
Para este mundo moderno el recurso
más preciado de una empresa sin importar su tamaño es la información, es esta
la que dota de facilidad para mover a las empresas y hacerlas más productivas y
para contar con una información veraz, precisa y en el momento oportuno, lo
anterior hace imposible prescindir de los avances tecnológicos. Actualmente el tema de la seguridad es factor importante para el desarrollo y
despliegue de aplicaciones, redes y plataformas tecnológicas.
El auge de la automatización de procesos organizacionales, empresariales y de
gestión pública en conjunto con el uso de la Internet como medio para la
realización expedita de transacciones de distintos tipos tales como de compra/venta,
hospitalarias/medicas, bancarias, financieras, gubernamentales, personales,
entre otras; hace imprescindible la incorporación de elementos de seguridad
eficientes para la correcta operación y ejecución de los procesos
automatizados.
Se puede entender como seguridad
cualquier sistema (informático o no) que indica que ese sistema está libre de
peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda
afectar su funcionamiento directo o los resultados que se obtienen del mismo.
Para que un sistema se pueda definir como seguro debemos de distinguir cuatro
características:
Dependiendo de las fuentes de
amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.
En estos momentos la seguridad
informática es un tema de dominio obligado por cualquier usuario de la
Internet, para no permitir que su información sea robada.
Aunque a simple vista se puede
entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto,
una definición más informal denota la diferencia entre riesgo y vulnerabilidad,
de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a
un Impacto.
La
información, como recurso valioso de una organización, esta expuesta a actos
tantos intencionales como accidentales de violación de su confidencialidad,
alteración, borrado y copia, por lo que se hace necesario que el usuario,
propietario de esa información, adopte medidas de protección contra accesos no
autorizados.
Las empresas y negocios deben dejar de ver a la seguridad como una herramienta o producto más de la tecnología e integrarla a los procesos del negocio, tratarla como un habilitador de sus funciones y servicios. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.
Un sistema integral de seguridad debe comprender:
1- Elementos administrativos
2- Definición de una política de seguridad
3- Organización y definición de responsabilidades
4- Seguridad física y contra catástrofes (incendio, terremoto, etc.)
5- Practicas de seguridad del personal
6- Pólizas de seguros
7- Elementos técnicos y procedimientos
8- Sistemas de seguridad de equipos y de sistemas, incluyendo redes y
terminales
9- Aplicación de los sistemas de seguridad incluyendo datos y archivos
10- El papel de los Auditores tanto interno como externo
11- Planeación de programas de desastre y su prueba. Los accidentes pueden
surgir por mal manejo de la Admón., por negligencia o por ataques intencionales
hechos por ladrones, fraudes, sabotajes o por situaciones propias de la empresa
Ej. huelgas
El poder trabajar con la posibilidad de un desastre debe ser algo común, debe
planearse como evitarlo y que hacer cuando ocurra.
Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en
las aplicaciones, con gran impacto en la Compañía/o en la comunidad si el
servicio se interrumpe por cierto período; otras pueden fácilmente continuar
sin afectar fuertemente la empresa. Ej. Por medio de métodos manuales.

Definición de Políticas
de Seguridad Informática
Una política de
seguridad informática es una forma de comunicarse con los usuarios, ya que las
mismas establecen un canal formal de
actuación del personal, en relación con los recursos y servicios informáticos
de la organización.
No se puede
considerar que una política de seguridad informática es una descripción técnica
de mecanismos, ni una expresión legal que involucre sanciones a conductas de
los empleados, es más bien una descripción de los que deseamos proteger y él
por qué de ello, pues cada política de seguridad es una invitación a cada uno
de sus miembros a reconocer la información como uno de sus principales activos
así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.
Por tal razón, las políticas de seguridad deben concluir en una posición
consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informáticos.
c. Elementos de una Política de Seguridad Informática
Como una política
de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para
lograr una visión conjunta de lo que se considera importante.
Las Políticas de
Seguridad Informática deben considerar principalmente los siguientes elementos:
Los planes de seguridad deben asegurar:
1- La integridad y exactitud de los datos
2- Identificar la información confidencial, de uso exclusivo y la delicada
3- Proteger y asegurar los activos de desastres provocados por la mano del
hombre y de actos abiertamente hostiles
4- Asegurar la capacidad de la organización para sobrevivir accidentes
5- Proteger a los empleados contra tentaciones o sospechas innecesarias
6- Proteger a la Administración contra cargos de imprudencia
La seguridad debe ser el principal punto a tratar cuando una
organización desea conectar su red privada al Internet. Sin tomar en cuenta el
tipo de negocios, se ha incrementado el numero de usuarios de redes privadas
por la demanda del acceso a los servicios de Internet tal es el caso del World
Wide Web (WWW), Internet Mail (e-mail), Telnet, y
File Transfer Protocol
(FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las
paginas en el WWW y los servidores FTP de acceso publico en el Internet.
La
política de seguridad crea un perímetro de defensa, esto es importante, para proteger las fuentes de información.
Esta política de seguridad podrá incluir publicaciones con las guías de ayuda
donde se informe a los usuarios de sus responsabilidades, normas de acceso a la
red, política de servicios en la red, política de autenticidad en acceso remoto
o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de
encriptación de datos y discos, normas de protección de virus, y entrenamiento.
Todos los puntos potenciales de ataque en la red podrán ser protegidos con el
mismo nivel de seguridad.
Los administradores de red tienen
que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a
que se expone la organización privada de sus datos así como la infraestructura
de sus redes a los Expertos de Internet (Internet Crakers).
Para superar estos temores y proveer el nivel de protección requerida, la
organización necesita seguir una política de seguridad para prevenir el acceso
no-autorizado de usuarios a los recursos propios de la red privada, y
protegerse contra la exportación privada de información.
Sí la organización es grande, es muy probable
que los sitios tengan diferente administración de red, con metas y objetivos
diferentes. Si esos sitios no están conectados a través de una red interna,
cada uno de ellos puede tener sus propias políticas de seguridad de red. Sin
embargo, si los sitios están conectados mediante una red interna, la política
de red debe abarcar todos los objetivos de los sitios interconectados.
La política de seguridad del sitio debe tomar en cuenta la protección
de estos recursos. Debido a que el sitio está conectado a otras redes, la
política de seguridad del sitio debe considerar las necesidades y
requerimientos de seguridad de todas las redes interconectadas.
En general, un sitio es cualquier
parte de una organización que posee computadoras y recursos relacionados con
redes. Algunos, no todos, de esos recursos son los siguientes:
·
Estaciones
de trabajo.
·
Computadoras
host y servidores.
·
Dispositivos
de interconexión gateway, routers,
bridges, repetidores.
·
Servidores
de terminal.
·
Software
para conexión de red y de aplicaciones.
·
Cables
de red
·
La
información de archivos y bases de datos.
Establecer una política de seguridad
eficaz requiere considerable esfuerzo. Se necesita cierto esfuerzo para
considerar todos los aspectos y cierta disposición para establecer las
políticas en papel y hacer lo necesario para que los usuarios de la red la
entiendan adecuadamente.
Además de realizar el análisis de
riesgo de los recursos de la red, se debe identificar otros puntos vulnerables.
Los siguientes puntos son algunas de las tareas más problemáticas. Esta lista
lo puede orientar en la dirección correcta, pero de ningún modo esta completa,
ya que es probable que su sitio tenga algunos puntos vulnerables particulares.
·
Puntos
de acceso
·
Sistemas
configurados inadecuadamente
·
Problemas
de software
·
Amenazas
internas
·
Seguridad
física
La Internet es una de las vías más
importantes de las organizaciones para la publicación de la información.
Desafortunadamente, si no se tiene cuidado
al configurar y operar el sitio Web, se dejara a la organización vulnerable a
una variedad de problemas de seguridad. Los intrusos pueden cambiar el
contenido de la página Web. El Web site público tiene
también el punto de entrada para violaciones en la red interna de la
organización para propósitos de acceso confidencial de la información. Las
prácticas recomendadas son diseñadas para ayudar a prevenir estos y otros daños
con respecto a la seguridad.
Estas prácticas son aplicables a
cualquier organización si intenta usted mismo, operar el Web site para hacer la información de la organización pública
estos son los requerimientos para el Web
Site;
·
Mantener
la integridad de la información que piensas publicar
·
Prevenir
el uso del Web Host, como área de instrucciones en la
red de trabajo de la organización, que daría como resultado la violación de la
confidencialidad, integridad, o disponibilidad de los recursos de información.
·
Prevenir
el uso del Web Host como área de instrucciones de
sitios externos, que resultaría perjudicial para la organización.
Estas prácticas no cubren todos los
aspectos del uso del Web en la organización. En lo particular no cubren:
·
Las
consideraciones relacionadas a la seguridad del software del cliente
·
Transacciones
comerciales vía Web
·
Consideraciones
especiales para Web site muy largos con múltiples host.
·
Contratación
u ofrecimiento de servicios Web-hosting
·
Otros
servicios de información pública, tales como los basados en ftp.
Auditoria de Sistemas informáticos
En materia de auditoria, los
desarrollos tecnológicos relevantes siempre han girado alrededor del
conocimiento contable o financiero únicamente. Sin embargo, los avances
modernos de las áreas económicas, administrativas y contables han puesto en
evidencia que no solo la contabilidad es objeto de auditoría.
También son susceptibles de ser auditados los impuestos, los procesos
operativos, la informática, la acción social de las organizaciones, el
tratamiento del medio ambiente y los proyectos académicos, económicos y
sociales, entre otros.
El Auditor de Sistemas actúa sobre el área de sistemas de información,
normalmente representada por los siguientes componentes:
-Desarrollo de sistemas de información
-Asesoría técnica a usuarios
-Servicio de procesamiento
electrónico de datos
-Apoyo técnico
-Conocimientos de Hardware y
Software
-desarrollo de Sistemas de
Información
-Base de datos
-Redes
-Manejo de personal
La auditoria de sistemas desarrollados para la web
Auditoria Informática
para Aplicaciones en Internet.
En este tipo de revisiones, se enfoca
principalmente en verificar los siguientes aspectos, los cuales no puede pasar
por alto el auditor informático:
o
Evaluación de los
riesgos de Internet (operativos, tecnológicos y financieros) y así como su
probabilidad de ocurrencia.
o
Evaluación de
vulnerabilidades y la arquitectura de seguridad implementada.
o
Verificar la
confidencialidad de las aplicaciones y la publicidad negativa como consecuencia
de ataques exitosos por parte de hackers.
Consideraciones
para la Auditoria de la Seguridad
A continuación se citarán las
consideraciones inmediatas que se deben tener para elaborar la evaluación de la
seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.
Uso de la Computadora
Se debe observar el uso adecuado de
la computadora y su software que puede ser susceptible a:
Sistema de Acceso
Para evitar los fraudes
computarizados se debe contemplar de forma clara los accesos a las computadoras
de acuerdo a:
Cantidad y Tipo de Información
El tipo y la cantidad de información
que se introduce en las computadoras debe considerarse como un factor de alto
riesgo ya que podrían producir que:
Control de Programación
Se debe tener conocer que el delito
más común está presente en el momento de la programación, ya que puede ser
cometido intencionalmente o no, para lo cual se debe controlar que:
Personal
Se debe observar este punto con
mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de
información de forma directa y se deberá contemplar principalmente:
Medios de Control
Se debe contemplar la existencia de
medios de control para conocer cuando se produce un cambio o un fraude en el
sistema.
También se debe observar con detalle
el sistema ya que podría generar indicadores que pueden actuar como elementos
de auditoría inmediata, aunque esta no sea una
especificación del sistema.
Rasgos del Personal
Se debe ver muy cuidadosamente el
carácter del personal relacionado con el sistema, ya que pueden surgir:
Instalaciones
Es muy importante no olvidar las
instalaciones físicas y de servicios, que significan un alto grado de riesgo.
Para lo cual se debe verificar:
Fuentes de
Vulnerabilidades en el Software
1. Cambios en el
ambiente de ejecución
Los parches,
los cambios en la configuración y variables de entorno alrededor de las
aplicaciones son elementos críticos para mantener una ejecución adecuada y
controlada de las rutinas y acciones previstas en el software. Al descuidar
este aspecto, es probable involucrar efectos de borde o condiciones de
excepción no previstas que comprometan no solamente un módulo de la aplicación
sino el sistema de información mismo.
2. Desbordamientos y
chequeos de sintaxis
Dos elementos
importantes en la revisión y evaluación de software. Por un lado la evaluación
de los desbordamientos bien sea de memoria o de variables específicas dentro de
un programa y por otro lado, la verificación de buen uso de los comandos o
palabras reservadas en el lenguaje de programación, que permitan al programador
un uso adecuado y eficiente de las estructuras. Si este aspecto no se considera
con el rigor necesario, se estará comprometiendo la integridad del ambiente de
ejecución de la aplicación.
3. Convenientes pero
peligrosas características del diseño del software
Esta
fuente de vulnerabilidad nos presenta funcionalidades que son deseables en el
software para aumentar la versatilidad de uso de las aplicaciones. Entre estas
tenemos herramientas de depuración o debugging,
conexiones remotas en puertos especiales, entre otras, las cuales ofrecen
importante elementos a los programadores y usuarios, pero que generalmente
abren posibilidades de ingresos no autorizados que comprometen la integridad de
sistemas y socavan la confianza del usuario frente a la aplicación
4. Invocaciones no
controladas
En este
aparte hacemos referencia a un inadecuado manejo de errores o excepciones en
las aplicaciones o exceso de privilegios de ejecución, los cuales se manifiestan
en comportamientos inesperados del software que generalmente ofrecen mayores
privilegios o accesos adicionales a la información del sistema. En este
sentido, el control adecuado de interrupciones, mensajes de error y entorno de
ejecución de los programas se vuelve crítico al ser éstos elementos los que
definen la interacción del software con el usuario final y su relación con el
entorno de ejecución.
5. Bypass
a bajo nivel
Las
implicaciones de esta fuente de vulnerabilidades hace
referencia al aseguramiento que la aplicación debe tener al ser invocada o
ejecutada en un ambiente computacional seguro. El programador debe fortalecer y
asegurar una manera autorizada de ingreso a la aplicación por parte del
usuario, estableciendo mecanismos de monitoreo y control que velen porque esto
se cumpla. El sobrepasar un control de acceso a un objeto, bien sea a través de
permisos deficientemente otorgados, artificios que interrumpan la normal
ejecución (contraseñas de BIOS) o por la manipulación de la memoria de
ejecución de la aplicación constituye un atentado directo contra la
confiabilidad e integridad del software.
6. Fallas en la
implementación de protocolos
Los
elementos de seguridad mencionados en este apartado, hacen referencia a las
medidas de seguridad en redes. Si bien, los protocolos utilizados para
transmisión y control de datos, presentan múltiples fallas, éstas con
frecuencia no son consideradas dentro del proceso de implementación de una
aplicación. En este sentido, sabemos que las aplicaciones que se ejecutan sobre
TCP/IP tienen inherentes las fallas de éste conjunto de protocolos, por tanto
es menester del programador establecer junto con el encargado de la seguridad
informática, analizar los posibles requerimientos de seguridad necesarios para
que la aplicación funcione sobre un ambiente de red que brinde mayores niveles
de seguridad y control de tráfico.
7. Fallas en software de
base
Todas
las aplicaciones finalmente se ejecutan bajo la supervisión de un software de
base o sistema operacional. Generalmente cuando se desarrollan aplicaciones,
las condiciones o aseguramiento del software de base, no es condición para la
adecuada ejecución de aplicaciones. Nada ganamos con aplicar y efectuar un
amplio espectro de pruebas y controles, cuando el ambiente de ejecución o el
software base no ha pasado por una valoración y afinamiento necesario para
asegurar un ambiente de ejecución estable y seguro. En este punto, se llama la
atención tanto a proveedores como a programadores, donde el trabajo conjunto
debe ser una constante para incrementar los niveles de seguridad y disminuir
las vulnerabilidades frecuentes inherentes al arte y la ciencia de programar.

Etapas para Implantar un
Sistema de Seguridad
Para que su plan de seguridad entre en vigor
y los elementos empiecen a funcionar y se observen y acepten las nuevas
instituciones, leyes y costumbres del nuevo sistema de seguridad se deben
seguir los siguientes 8 pasos:
1.
Introducir el
tema de seguridad en la visión de la empresa.
2.
Definir los
procesos de flujo de información y sus riesgos en cuanto a todos los recursos
participantes.
3.
Capacitar a los gerentes
y directivos, contemplando el enfoque global.
4.
Designar y
capacitar supervisores de área.
5.
Definir y
trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente
rápidas.
6.
Mejorar las
comunicaciones internas.
7.
Identificar
claramente las áreas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel.
8.
Capacitar a todos
los trabajadores en los elementos básicos de seguridad y riesgo para el manejo
del software, hardware y con respecto a la seguridad física.
Beneficios de un
Sistema de Seguridad
Los beneficios de un sistema de seguridad
bien elaborados son inmediatos, ya que la organización trabajará sobre una
plataforma confiable, que se refleja en los siguientes puntos:
Infografía
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html
http://www.virusprot.com/Art42.html
http://www.monografias.com/trabajos/maudisist/maudisist.shtml
http://www.acis.org.co/fileadmin/Revista_96/cara_y_sello.pdf
http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node9.html
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
http://www.monografias.com/trabajos12/fichagr/fichagr.shtml