Universidad de Yacambú

Trabajo 2

Sistemas de Información Gerencial

Brígida Contreras

 

Seguridad de los sistemas de información

 

 

 

                                                            

 

Introducción             ¿Que es Seguridad?          ¿Qué debe comprender un  sistema de seguridad?           Políticas de Seguridad

 

Planes de Seguridad              Auditoria de Sistemas     Etapas para Implantar un S. S.      Beneficios de un S. S.   Resumen

 

 

 

 

 

 

 

Introducción

 

Para este mundo moderno el recurso más preciado de una empresa sin importar su tamaño es la información, es esta la que dota de facilidad para mover a las empresas y hacerlas más productivas y para contar con una información veraz, precisa y en el momento oportuno, lo anterior hace imposible prescindir de los avances tecnológicos.  Actualmente el tema de la seguridad  es factor importante para el desarrollo y despliegue de aplicaciones, redes y plataformas tecnológicas.


El auge de la automatización de procesos organizacionales, empresariales y de gestión pública en conjunto con el uso de la Internet como medio para la realización expedita de transacciones de distintos tipos tales como de compra/venta, hospitalarias/medicas, bancarias, financieras, gubernamentales, personales, entre otras; hace imprescindible la incorporación de elementos de seguridad eficientes para la correcta operación y ejecución de los procesos automatizados.

 

Regresar

 

¿Que es Seguridad?

 

Se puede entender como seguridad cualquier sistema (informático o no) que indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un sistema se pueda definir como seguro debemos de distinguir cuatro características:

Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea robada.

Términos relacionados con la seguridad informática

·         Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

·         Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

·         Impacto: consecuencia de la materialización de una amenaza.

·         Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.

·         Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

·         Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

·         Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.

 

La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.

 Las empresas y negocios deben dejar de ver a la seguridad como una herramienta o producto más de la tecnología e integrarla a los procesos del negocio, tratarla como un habilitador de sus funciones y servicios. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse. La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.

Regresar

 

Un sistema integral de seguridad debe comprender:

1- Elementos administrativos
2- Definición de una política de seguridad
3- Organización y definición de responsabilidades
4- Seguridad física y contra catástrofes (incendio, terremoto, etc.)
5- Practicas de seguridad del personal
6- Pólizas de seguros
7- Elementos técnicos y procedimientos
8- Sistemas de seguridad de equipos y de sistemas, incluyendo redes y terminales
9- Aplicación de los sistemas de seguridad incluyendo datos y archivos
10- El papel de los Auditores tanto interno como externo
11- Planeación de programas de desastre y su prueba. Los accidentes pueden surgir por mal manejo de la Admón., por negligencia o por ataques intencionales hechos por ladrones, fraudes, sabotajes o por situaciones propias de la empresa Ej. huelgas

El poder trabajar con la posibilidad de un desastre debe ser algo común, debe planearse como evitarlo y que hacer cuando ocurra.

Se debe evaluar el riesgo que pueda tener el daño en las instalaciones y/o en las aplicaciones, con gran impacto en la Compañía/o en la comunidad si el servicio se interrumpe por cierto período; otras pueden fácilmente continuar sin afectar fuertemente la empresa. Ej. Por medio de métodos manuales.

Regresar

 

 

Definición de Políticas de Seguridad Informática

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas  establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

c. Elementos de una Política de Seguridad Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

Regresar

Los planes de seguridad deben asegurar:

1- La integridad y exactitud de los datos
2- Identificar la información confidencial, de uso exclusivo y la delicada
3- Proteger y asegurar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles
4- Asegurar la capacidad de la organización para sobrevivir accidentes
5- Proteger a los empleados contra tentaciones o sospechas innecesarias
6- Proteger a la Administración contra cargos de imprudencia

 

La seguridad debe ser  el principal punto a tratar cuando una organización desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en el WWW y los servidores FTP de acceso publico en el Internet.

La política de seguridad crea un perímetro de defensa,  esto es importante, para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de encriptación de datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad.

Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus redes a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información.

 

 Sí la organización es grande, es muy probable que los sitios tengan diferente administración de red, con metas y objetivos diferentes. Si esos sitios no están conectados a través de una red interna, cada uno de ellos puede tener sus propias políticas de seguridad de red. Sin embargo, si los sitios están conectados mediante una red interna, la política de red debe abarcar todos los objetivos de los sitios interconectados.

La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos. Debido a que el sitio está conectado a otras redes, la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas.

 

En general, un sitio es cualquier parte de una organización que posee computadoras y recursos relacionados con redes. Algunos, no todos, de esos recursos son los siguientes:

·         Estaciones de trabajo.

·         Computadoras host y servidores.

·         Dispositivos de interconexión gateway, routers, bridges, repetidores.

·         Servidores de terminal.

·         Software para conexión de red y de aplicaciones.

·         Cables de red

·         La información de archivos y bases de datos.

 

Establecer una política de seguridad eficaz requiere considerable esfuerzo. Se necesita cierto esfuerzo para considerar todos los aspectos y cierta disposición para establecer las políticas en papel y hacer lo necesario para que los usuarios de la red la entiendan adecuadamente.

Además de realizar el análisis de riesgo de los recursos de la red, se debe identificar otros puntos vulnerables. Los siguientes puntos son algunas de las tareas más problemáticas. Esta lista lo puede orientar en la dirección correcta, pero de ningún modo esta completa, ya que es probable que su sitio tenga algunos puntos vulnerables particulares.

·         Puntos de acceso

·         Sistemas configurados inadecuadamente

·         Problemas de software

·         Amenazas internas

·         Seguridad física

 

La Internet es una de las vías más importantes de las organizaciones para la publicación de la información. Desafortunadamente, si no se  tiene cuidado al configurar y operar el sitio Web, se dejara a la organización vulnerable a una variedad de problemas de seguridad. Los intrusos pueden cambiar el contenido de la página Web. El Web site público tiene también el punto de entrada para violaciones en la red interna de la organización para propósitos de acceso confidencial de la información. Las prácticas recomendadas son diseñadas para ayudar a prevenir estos y otros daños con respecto a la seguridad.

Estas prácticas son aplicables a cualquier organización si intenta usted mismo, operar el Web site para hacer la información de la organización pública estos son los  requerimientos para el Web Site;

·         Mantener la integridad de la información que piensas publicar

·         Prevenir el uso del Web Host, como área de instrucciones en la red de trabajo de la organización, que daría como resultado la violación de la confidencialidad, integridad, o disponibilidad de los recursos de información.

·         Prevenir el uso del Web Host como área de instrucciones de sitios externos, que resultaría perjudicial para la organización.

Estas prácticas no cubren todos los aspectos del uso del Web en la organización. En lo particular no cubren:

·         Las consideraciones relacionadas a la seguridad del software del cliente

·         Transacciones comerciales vía Web

·         Consideraciones especiales para Web site muy largos con múltiples host.

·         Contratación u ofrecimiento de servicios Web-hosting

·         Otros servicios de información pública, tales como los basados en ftp.

Regresar

 

Auditoria de Sistemas informáticos

 

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos operativos, la informática, la acción social de las organizaciones, el tratamiento del medio ambiente y los proyectos académicos, económicos y sociales, entre otros.


El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes:


-Desarrollo de sistemas de información<

-Asesoría técnica a usuarios

-Servicio de procesamiento electrónico de datos

-Apoyo técnico

-Conocimientos de Hardware y Software

-desarrollo de Sistemas de Información

-Base de datos

-Redes
-Manejo de personal

 

La auditoria de sistemas desarrollados para la web 

Auditoria Informática para Aplicaciones en Internet.

En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, los cuales no puede pasar por alto el auditor informático:

o                                            Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.

o                                            Evaluación de vulnerabilidades y la arquitectura de seguridad implementada.

o                                            Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Consideraciones para la Auditoria de la Seguridad

 

A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:

 

 Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.

También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:

Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

 

Fuentes de Vulnerabilidades en el Software

 

1. Cambios en el ambiente de ejecución


Los parches, los cambios en la configuración y variables de entorno alrededor de las aplicaciones son elementos críticos para mantener una ejecución adecuada y controlada de las rutinas y acciones previstas en el software. Al descuidar este aspecto, es probable involucrar efectos de borde o condiciones de excepción no previstas que comprometan no solamente un módulo de la aplicación sino el sistema de información mismo.

 

2. Desbordamientos y chequeos de sintaxis


Dos elementos importantes en la revisión y evaluación de software. Por un lado la evaluación de los desbordamientos bien sea de memoria o de variables específicas dentro de un programa y por otro lado, la verificación de buen uso de los comandos o palabras reservadas en el lenguaje de programación, que permitan al programador un uso adecuado y eficiente de las estructuras. Si este aspecto no se considera con el rigor necesario, se estará comprometiendo la integridad del ambiente de ejecución de la aplicación.

 

3. Convenientes pero peligrosas características del diseño del software


Esta fuente de vulnerabilidad nos presenta funcionalidades que son deseables en el software para aumentar la versatilidad de uso de las aplicaciones. Entre estas tenemos herramientas de depuración o debugging, conexiones remotas en puertos especiales, entre otras, las cuales ofrecen importante elementos a los programadores y usuarios, pero que generalmente abren posibilidades de ingresos no autorizados que comprometen la integridad de sistemas y socavan la confianza del usuario frente a la aplicación

 

4. Invocaciones no controladas


En este aparte hacemos referencia a un inadecuado manejo de errores o excepciones en las aplicaciones o exceso de privilegios de ejecución, los cuales se manifiestan en comportamientos inesperados del software que generalmente ofrecen mayores privilegios o accesos adicionales a la información del sistema. En este sentido, el control adecuado de interrupciones, mensajes de error y entorno de ejecución de los programas se vuelve crítico al ser éstos elementos los que definen la interacción del software con el usuario final y su relación con el entorno de ejecución.

5. Bypass a bajo nivel


Las implicaciones de esta fuente de vulnerabilidades hace referencia al aseguramiento que la aplicación debe tener al ser invocada o ejecutada en un ambiente computacional seguro. El programador debe fortalecer y asegurar una manera autorizada de ingreso a la aplicación por parte del usuario, estableciendo mecanismos de monitoreo y control que velen porque esto se cumpla. El sobrepasar un control de acceso a un objeto, bien sea a través de permisos deficientemente otorgados, artificios que interrumpan la normal ejecución (contraseñas de BIOS) o por la manipulación de la memoria de ejecución de la aplicación constituye un atentado directo contra la confiabilidad e integridad del software.

 

6. Fallas en la implementación de protocolos

 


Los elementos de seguridad mencionados en este apartado, hacen referencia a las medidas de seguridad en redes. Si bien, los protocolos utilizados para transmisión y control de datos, presentan múltiples fallas, éstas con frecuencia no son consideradas dentro del proceso de implementación de una aplicación. En este sentido, sabemos que las aplicaciones que se ejecutan sobre TCP/IP tienen inherentes las fallas de éste conjunto de protocolos, por tanto es menester del programador establecer junto con el encargado de la seguridad informática, analizar los posibles requerimientos de seguridad necesarios para que la aplicación funcione sobre un ambiente de red que brinde mayores niveles de seguridad y control de tráfico.

 

7. Fallas en software de base


Todas las aplicaciones finalmente se ejecutan bajo la supervisión de un software de base o sistema operacional. Generalmente cuando se desarrollan aplicaciones, las condiciones o aseguramiento del software de base, no es condición para la adecuada ejecución de aplicaciones. Nada ganamos con aplicar y efectuar un amplio espectro de pruebas y controles, cuando el ambiente de ejecución o el software base no ha pasado por una valoración y afinamiento necesario para asegurar un ambiente de ejecución estable y seguro. En este punto, se llama la atención tanto a proveedores como a programadores, donde el trabajo conjunto debe ser una constante para incrementar los niveles de seguridad y disminuir las vulnerabilidades frecuentes inherentes al arte y la ciencia de programar.

 

 

 

Etapas para Implantar un Sistema de Seguridad

Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguientes 8 pasos:

1.        Introducir el tema de seguridad en la visión de la empresa.

2.        Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.

3.        Capacitar a los gerentes y directivos, contemplando el enfoque global.

4.        Designar y capacitar supervisores de área.

5.        Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.

6.        Mejorar las comunicaciones internas.

7.        Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.

8.        Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

Regresar

 

Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:

 

Regresar

Infografía

 

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

http://www.virusprot.com/Art42.html

http://www.monografias.com/trabajos/maudisist/maudisist.shtml

http://www.acis.org.co/fileadmin/Revista_96/cara_y_sello.pdf

http://jorgearestrepog.comunidadcoomeva.com/blog/index.php?/archives/4-GUIA-PARA-LA-CLASE-DE-AUDITORIA-DE-SISTEMAS.html

http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node9.html

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

http://www.criptored.upm.es/guiateoria/gt_m001a.htm

http://www.monografias.com/trabajos12/fichagr/fichagr.shtml

 

 

 

Hosted by www.Geocities.ws

1