UNIVERSIDAD YACAMBÚ

VICERRECTORADO DE ESTUDIOS A DISTANCIA

 

 

 

 

 

ASIGNATURA: SISTEMAS DE INFORMACION GERENCIAL

TRABAJO 3

SEGURIDAD DE LA INFORMACIÓN

 

 

 

Realizado por:

 

De Sousa Janeth

Escalante Marisol

Peñaloza R. Juan J.

Zamudio Z. Lennis C.
         

 

 

 

NOVIEMBRE, 2007

INTRODUCCIÓN

La importancia de las tecnologías de la información y de las comunicaciones en los planos económicos, sociales y políticos está ampliamente reconocido. Son esenciales por si mismo. Cuando un Sistema de Información deja de funcionar, se crea normalmente un gran problema, y puede ser tan grave que lleve a la práctica paralización de la organización, por lo que mantener a salvo los datos almacenados en el computador se está convirtiendo poco menos que en un reto para todos los usuarios.

 

La mayoría de las oportunidades para las pérdidas son causadas por la ignorancia u omisión de las políticas y prácticas de seguridad, más que por el genio en programación de unos cuantos intrusos informáticos. Por ello, los equipos de seguridad pueden reducir en gran medida la exposición de la compañía a pérdidas de información, mediante capacitación anual del personal.

 

La administración, tiene una gran dependencia, cada vez mayor de los sistemas informáticos y estos sistemas son vulnerables a agresiones o fallos. Todo ello se ha ido acentuando en la actualidad por la evolución que ha tenido. El auge de Internet, el avance en las telecomunicaciones y en el hardware de los computadores han sido importantes en los últimos años abriendo una gran puerta de comunicación que permite a cualquier usuario realizar todo tipo de transacciones en forma remota sin desplazarse de un sitio a otro.

 

Esto no ha sido positivo del todo debido a que esta gran puerta de comunicación ha quedado abierta también para todo tipo de personajes encargados de buscar fallos en los sistemas de información y aprovechándose de ellos logran averiguar desde sus datos personales hasta los números de las tarjetas de crédito, cuentas bancarias y todo tipo de información que les pueda causar algún tipo de beneficio, además se llevan todas las contraseñas del usuario sin obviamente olvidar dejar en el equipo del incauto una puerta trasera por medio de la cual el atacante va a poder entrar tantas veces como quiera en un futuro.

 

La necesidad de la Seguridad y del control es evidente. Sin embargo el progreso tecnológico y la rápida evolución de los Sistemas de Información no han ido parejos a la evolución de procedimientos de seguridad que deben implantarse para evitar riesgos accidentales o intencionales.

 

La seguridad computacional o informática no se debe limitar únicamente al hardware y software, también le compete al uso adecuado de las instalaciones donde se manejan, es decir implementar políticas de seguridad que regulen el tránsito del personal, maquinaria e insumos de la empresa, contemplar medidas de contingencia en caso de catástrofes donde la prioridad sea salvaguardar la integridad de las personas y le sigue en jerarquía salvaguardar la integridad de la información antes que cualquier maquinaria y equipo. La educación de cada una de las personas que tienen a cargo la responsabilidad de mantener la integridad de los demás empleados y de la información es muy importante para la empresa.

 

Desde el portero o vigilante de la empresa hasta el gerente y presidente de la misma tienen un papel en el manejo seguro de la información. La infraestructura juega un papel importante que conjugado con la educación de cada una de las personas de la empresa permiten subir o bajar el nivel de seguridad informática de la empresa.

 

Un simple descuido del guardia de seguridad permitiría el acceso a un intruso, que puede hacerse pasar por mensajero de una empresa que va a entregar una carta y aprovechar un equipo desatendido sin el usuario habitual y además con acceso a la red y directorios compartidos. Esto puede producir el derrumbe total de la seguridad informática solamente porque el guardia de seguridad se descuidó unos minutos en la seguridad de la puerta.

 

Definición de seguridad de la información

 

Una buena manera de acordarse de la necesidad de seguridad de la información es mediante la sigla inglesa "CIA", formada por las palabras "confidencialidad", "integridad" y "disponibilidad".

 

 

 

 

 

 

 

 

 

Confidencialidad

 

Se refiere al hecho de que sólo tienen acceso a la información de la red o que circulan por ella las personas autorizadas. Nadie puede acceder a la información sin haber sido autorizado.

 

La identificación de los usuarios exige autenticación. Para mantener la información protegida de las personas ajenas a ella, es necesaria la encriptación, que se lleva a cabo con medios técnicos.

 

Integridad

 

Se refiere al hecho de que los métodos que gestionan la información garantizan un tratamiento sin errores de la misma. La información no debe cambiar mientras se está transfiriendo o almacenando, y nadie puede modificar el contenido de la información o los archivos y aún menos eliminarlos.

 

Para garantizar la integridad de la información, el remitente debe estar siempre autenticado. La combinación de autenticación e integridad garantiza que la información enviada llega a su destinatario exactamente en la misma forma en que se envió.

 

Disponibilidad

 

Se refiere al hecho de que los usuarios que necesitan la información y a quienes va dirigida dicha información siempre tienen acceso a ella. Los métodos para garantizar la disponibilidad incluyen un control físico y técnico de las funciones de los sistemas de datos, así como la protección de los archivos, su correcto almacenamiento y la realización de copias de seguridad.

 

La disponibilidad es la parte de la seguridad de la información más difícil de implementar.

 

Certificado de seguridad SSL - Thawte

 

Secure Socket Layer (SSL) es un protocolo desarrollado por Netscape en 1996 que pronto se convirtió en el método elegido para asegurar las transmisiones de datos por Internet. SSL es una parte integral de la mayoría de los exploradores y servidores web y hace uso del sistema de codificación con dos claves: una pública y una privada, desarrollado por RSA. Para establecer una conexión SSL, el protocolo SSL requiere que el servidor tenga instalado un certificado digital.

 

Los certificados digitales están firmados por un tercero independiente y fiable  para garantizar su validez. El “firmante” de un certificado se denomina autoridad de certificación (CA), como thawte.

 

SSL proporciona comunicaciones seguras mediante la combinación de los siguientes dos elementos:

 

• Autenticación: el certificado digital va unido a un dominio específico y una CA realiza una cantidad de verificaciones para confirmar la identidad de la organización que solicita el certificado antes de emitirlo.

 

 

• Codificación: la codificación es el proceso de transformar la información para hacerla incomprensible para todos salvo el receptor al que va dirigida.

 

Certificado de seguridad SSL – VeriSign

 

VeriSign garantiza esta confianza reforzando su servicio de autenticación con tecnologías de cifrado de vanguardia en sus soluciones de certificados digitales. Su empresa de comercio electrónico solo recibirá un certificado SSL de VeriSign autenticado una vez que:

 

• Se compruebe la identidad y se confirme que la organización es una entidad legal.
• Se confirme que tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.
• Se compruebe que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.
• Riesgos de los certificados SSL sin autenticar

 

Los certificados de VeriSign demuestran su identidad en el momento de realizar las transacciones electrónicas, de la misma forma que los permisos de conducir y el pasaporte lo hacen en situaciones de contacto directo.

 

Gracias al certificado SSL de VeriSign podrá asegurar a sus clientes que la información electrónica que reciben de usted es auténtica.

 

El proceso de autenticación de VeriSign es eficaz y seguro, a la vez que ofrecemos el plazo más breve posible de respuesta a las solicitudes de certificado SIN comprometer la fiabilidad del proceso.

 

Antes de emitir un certificado SSL, VeriSign comprueba sus documentos oficiales y completa el proceso de comprobación de veracidad para asegurar que su empresa es quien dice ser y que no está mostrando una identidad falsa. Después, VeriSign emite para su empresa un certificado SSL, que es una prueba electrónica que su negocio puede presentar para demostrar su identidad o su derecho a acceder a la información.

 

Beneficios para su empresa

 

Tras instalar su certificado de VeriSign, su servidor activa automáticamente la tecnología SSL, que sirve para crear un canal de comunicación seguro y autenticado entre su servidor y el navegador del cliente. Su sitio podrá comunicarse de forma segura con cualquier cliente que utilice Netscape Navigator, Microsoft Internet Explorer y los programas de correo electrónico más conocidos. Una vez haya activado su certificado de servidor, el SSL comenzará inmediatamente a proporcionarle los siguientes beneficios de una transacción electrónica segura:

 

Atracción de clientes

Cuando establezca su sitio Web seguro, podrá beneficiarse de una gran variedad de opciones de VeriSign para mejorar aún más sus operaciones de comercio electrónico.

 

Con el sello Secure Seal de VeriSign, que se incluye con todos los servicios de Secure Site, podrá utilizar la marca de seguridad número uno en Internet para dar a sus clientes la confianza necesaria para comunicarse y realizar transacciones comerciales en su sitio. Este sello permite a los visitantes de su sitio Web comprobar la información y el estado de su certificado SSL en tiempo real, y proporciona protección adicional contra el uso indebido de certificados anulados o que han caducado.

 

Algunas preguntas pertinentes al tema de Seguridad en Internet:

 

¿Cómo saber si un sitio WEB es seguro?

 

La primera clave para establecer si un sitio Web está asegurado con un certificado SSL se encuentra en la barra de estado del explorador: busque si tiene un icono con un candado. En los exploradores de Internet, cuando las páginas no están aseguradas, el icono del candado no estará visible. Sin embargo, cuando se establece una sesión SSL, aparecerá el icono del candado. En Netscape, hay iconos con candados “cerrados” y “abiertos”, que indican sitios Web seguros e inseguros, respectivamente.

 

¿Cómo se ve un certificado SSL?

 

Para ver el certificado de un sitio Web, haga doble clic sobre el icono del candado cerrado que aparece en la barra de estado inferior.

 

Certificado digital visto con un explorador Netscape 7.0:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

¿Cómo se establece una conexión SSL?

 

Al conectarse a un servidor Web seguro, como https://www.thawte.com, ese servidor debe autenticarse así mismo ante el explorador Web mediante un certificado digital antes de establecer una conexión segura.

El certificado prueba que un tercero independiente y fiable, como thawte, ha verificado que el dominio pertenece a una empresa real y, por lo tanto, es fiable. Un certificado válido brinda a los clientes la confianza de que están enviando información personal de modo seguro a una empresa autenticada.

 

El siguiente diagrama ilustra los pasos que tienen lugar cuando se establece una sesión SSL:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Clave pública y privada

 

Al solicitar un certificado, usted genera un par de claves en su servidor: una pública y una privada. Cuando se genera un par de claves para su negocio, su clave privada se instala en su servidor y es de crucial importancia que nadie más tenga acceso a la misma.

 

Su clave privada crea firmas digitales que, de hecho, funcionan como el sello de su empresa en línea. Es esencial mantener esta clave lo más segura posible.

 

Si usted pierde su clave privada, ya no podrá seguir usando su certificado. Por esta razón, es esencial que guarde una copia de seguridad de toda la clave privada como una buena práctica de la gestión continuada de las claves.

 

La clave pública concordante se instala en el servidor de la Web como parte del certificado digital. Ambas claves, públicas y privadas, se relacionan matemáticamente, pero no son idénticas. Los clientes que deseen comunicarse con usted en privado (mediante SSL) usan la clave pública de su certificado para codificar la información antes de enviársela. Este proceso es instantáneo y perfecto para el usuario. Sólo la clave privada del servidor Web puede decodificar esta información. Los clientes sentirán la seguridad de que nada de lo que envíen podrá ser visto por un tercero.

 

Cuando es apropiada la utilización de los certificados SSL

 

La decisión de utilizar certificados SSL gira en torno a la importancia asociada con la seguridad de la transferencia de datos en línea. Por ejemplo, si está gestionando transacciones financieras en su sitio Web, no hay duda de que necesita certificados SSL. Si está gestionando datos sensibles de los clientes, como números de seguridad social o números de identidad, merece la pena considerar seriamente la utilización de certificados SSL, en especial si la seguridad de sus clientes/miembros ocupa un lugar destacado en su lista de prioridades.

 

Desde el punto de vista comercial, la utilización de certificados SSL provee a los clientes/usuarios la garantía de que no quedarán expuestos a ningún riesgo asociado  con la transmisión de datos por una red abierta. Esto en sí mismo presenta muchos beneficios para su negocio, la mayoría de los cuales fluyen a partir de una mayor fiabilidad al tratar con su organización en línea.

 

El sello de sitio de Thawte

 

Todos los clientes de certificados de servidor de la Web SSL o SuperCert SGC pueden mostrar el sello de sitio de thawte en sus sitios Web. El sello de sitio es una imagen de seguridad que ofrece una prueba visible de su fiabilidad, de que usted está completamente autenticado y de que los usuarios pueden realizar transacciones seguras con usted.

 

El sello de sitio está disponible en varios idiomas y tamaños, lo que permite una fácil integración con el diseño de su sitio Web. Encontrará más información en:

 

Auditorias de seguridad informática y seguridad de sistemas de información

 

Una auditoria de seguridad informática o auditoria de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

 

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

 

Las auditorias de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

 

Fases de una auditoria

 

Los servicios de auditoria constan de las siguientes fases:

 

• Enumeración de redes, topologías y protocolos
• Identificación de sistemas y dispositivos
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas

 

Tipos de auditoria

 

Los servicios de auditoria pueden ser de distinta índole:

 

Auditoria de seguridad interna. En este tipo de auditoria se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.

 

Auditoria de seguridad perimetal. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.

 

Test de intrusión. El test de intrusión es un método de auditoria mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoria perimetral.

 

Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.

 

Auditoria de páginas Web. Entendida como el análisis externo de la Web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

 

Auditoria de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

 

Realizar auditorias con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los software y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoria.

 

Estándares de Auditoria Informática y de Seguridad

 

Una auditoria se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es CoBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el ISO17799, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO27001.

 

 

CONCLUSIONES

 

Respecto a la Seguridad de la Información se ha podido evidenciar los beneficios para una organización y sus clientes que el manejo y uso de la información este garantizada y ofrezca garantías sólidas de que las transacciones comerciales estén protegidos ante intrusos que quieran utilizarla para otros fines.

 

La necesidad de la Seguridad y del control es evidente. Sin embargo el progreso tecnológico y la rápida evolución de los Sistemas de Información no han ido parejos a la evolución de procedimientos de seguridad que deben implantarse para evitar riesgos accidentales o intencionales.

 

Los certificados Thawte y VeriSign son protocolos seguros para intercambio de información en internet, por lo cual un certificado válido brinda a los clientes la confianza de que están enviando información personal de modo seguro a una empresa autenticada.

 

El constante avance tecnológico y la proliferación de software y hardware, obliga a las empresas a mantenerse en constante evaluación y actualización a fin de proveer a los usuarios de mecanismos seguros y probados de envío de la información, sobre todo en lo referido a transacciones comerciales relacionadas con dinero que puedan ser vulneradas en prejuicio de los usuarios que utilizan la red de internet para sus compras electrónicas.                            

 

 

 

 

Infografia

 

1. http://www.thawte.com/siteseal/index.html

13. Direcciones

2. https://www.thawte.com/ssl-digital-certificates/free-guides-whitepapers/pdf/ssl_es.pdf

 

3. http://cibernarium.tamk.fi/seguridad_2/maaritelma_index_2.htm#

4. http://es.wikipedia.org/wiki/Auditor%C3%ADa_de_seguridad_de_sistemas_de_informaci%C3%B3n

5. Norma Política Seguridad de la Información de CADAFE N° POL – SI – 001