Materia: Sistemas de Información Gerencial Fase III

Alumnos :  Durby Pereira     V- 4.730.850

 Ruben Arellano     V- 6.194.011

Trabajo 3

Índice
Objetivo del trabajo
Introducción
Puntos importantes a tomar en cuenta a la hora de desarrollar aplicaciones Web
Conclusión
Infografia


Objetivo del trabajo: Determinar los puntos que se deben tomar en cuenta a la hora de realizar auditoria de sistemas en aplicaciones desarrolladas vía Web.

Arriba

Introducción: En la actualidad las organizaciones deben mantener y manejar dentro de sus sistemas de información e infraestructura tecnológica protocolos, políticas y medidas de seguridad que permitan garantizar la disponibilidad de las aplicaciones, para estos casos se considera muy importante contar con personal calificado en las áreas de seguridad informática que implementen y gestionen de manera eficaz los sistemas de información de las organizaciones.

La auditoria informática es un proceso metodológico cuyo propósito primordial es evaluar todos los recursos (humanos, materiales, financieros, tecnológicos, entre otros) relacionados con la función de informática que permita garantizar a la organización que dicho equipo opera con un criterio de integración y desempeño de niveles altamente satisfactorios, para que apoyen la productividad y rentabilidad de las organizaciones.

La auditoria de sistemas debe comprender aspectos relacionados con las características y habilidades de los ejecutores de la tarea, es por esto que se pueden considerar casi imprescindible que una persona que ocupe este cargo dentro de la organizaciones tenga conocimientos relacionados con informática, área técnica en informática, experiencia en operación y análisis de sistemas, entre otros, esto permitirá a las organización manejar con objetividad los puntos que deben manejarse a la hora de realizar las auditorias.

Uno de los objetivos principales en la administración de la auditoria de sistemas, es el aseguramiento de una mayor y mejor integridad de los datos y sus sistemas, confidencialidad y confiabilidad de la información mediante la recomendación e implantación de medidas de seguridad y controles.

Los aspectos y medidas de seguridad que pueden manejarse deben estar claramente relacionados con el objetivo de los sistemas, es por ello que, deben tomarse en cuenta los aspectos de seguridad de la información, Seguridad de los procesos, Seguridad en las tecnologías de Internet (que es donde enfocaremos este trabajo), Seguridad en las comunicaciones, Seguridad inalámbrica y Seguridad física.

De todo lo anteriormente expuesto podemos indicar que el uso de un proceso metodológico y estándar en la función de la auditoria permitirá que:

Arriba

Puntos importantes a tomar en cuenta a la hora de desarrollar aplicaciones Web

La seguridad en las aplicaciones Web puede ser administrada de diferentes formas y con un sin numero de protocolos, a continuación nombraremos algunos de los mas utilizados.

El SSH

Es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas.

SSH está diseñado para reemplazar los métodos más viejos y menos seguros para registrarse remotamente en otro sistema a través de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseñados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de métodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.

Características del protocolo SSH

El protocolo SSH proporciona los siguientes tipos de protección:
  • Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor al que se conectó anteriormente.
  • El cliente transmite su información de autenticación al servidor usando una encriptación robusta de 128 bits.
  • Todos los datos enviados y recibidos durante la sesión se transfieren por medio de encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer.
  • El cliente tiene la posibilidad de reenviar aplicaciones X11 desde el servidor. Esta técnica, llamada reenvío por X11, proporciona un medio seguro para usar aplicaciones gráficas sobre una red.

Ya que el protocolo SSH encripta todo lo que envía y recibe, se puede usar para asegurar protocolos inseguros. El servidor SSH puede convertirse en un conducto para convertir en seguros los protocolos inseguros mediante el uso de una técnica llamada reenvío por puerto, como por ejemplo POP, incrementando la seguridad del sistema en general y de los datos.

Red Hat Enterprise Linux contiene el paquete general de OpenSSH (openssh) así como también los paquetes del servidor OpenSSH (openssh-server) y del cliente (openssh-clients). Consulte el capítulo titulado OpenSSH en el Manual de administración del sistema de Red Hat Enterprise Linux para obtener instrucciones sobre la instalación y el desarrollo de OpenSSH. Observe que los paquetes OpenSSH requieren el paquete OpenSSL (openssl). OpenSSL instala varias bibliotecas criptográficas importantes, permitiendo que OpenSSH pueda proporcionar comunicaciones encriptadas.

Arriba

SSL (Secure Socket Layer)

El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL es una capa por debajo de HTTP y tal como lo indica su nombre esta a nivel de socket por lo que permite ser usado no tan solo para proteger documentos de hipertexto sino también servicios como FTP, SMTP, TELNET, entre otros.

Básicamente el SSL tiene como fundamento la encriptación e la comunicación establecida entre el servidor y el cliente utilizando algoritmos de encriptación.

TSL (Transport Layer Secure)

Este protocolo de seguridad esta basado en SSL, se ejecuta sobre una capa de transporte definida, esto infiere que puede ser utilizado para cualquier tipo de comunicaciones.

El TSL tiene la característica de manejar funciones criptográficas fortalecidas y muy utilizado en el mundo del comercio electrónico. EL TSL es un derivado del SSL así como también el protocolo WTLS que funciona igual al TSL pero en ambientes inalámbricos, de allí su nombre Wireless Transport Layer Secure.

Arriba

HTTPS: (HiperText Transfer Procolo Secure)

El HTTPS es una protocolo de comunicación que utiliza un cifrado basado en SSL y crea un canal seguro apropiado para la transferencia de información, este protocolo es utilizado por la mayoría de los navegadores (Internet Explorer, Mozilla, Firefox, Opera, entre otros).

Es utilizado principalmente por entidades bancarias, tiendas en línea, y cualquier tipo de servicio que requiera el envío de datos personales o contraseñas.

Unos de los ejemplos locales de utilización de este protocolo lo podemos observar en Bancos como Banesco, Banco Mercantil, Banco provincial, anexo se colocan imágenes relacionadas con la seguridad utilizada en sus paginas Web, estas imágenes fueron tomadas desde sus sitios Web.

 

TELNET o RSH

Es un protocolo utilizado para acceder mediante el uso de una red a otra maquina, para manejarla como si estuviéramos trabajando directamente en ella, para que este protocolo funcione, la maquina cliente debe tener instalado un programa especial que permita gestionar las conexiones, este protocolo solo se utiliza para acceder en modo terminal , es decir, sin gráficos. Es una de las herramientas utilizadas para solucionar fallas en otros equipos de forma remota.

Este protocolo como podemos observar puede ser susceptible a ataques externos si las personas conocen los parámetros para acceder al mismo y en consecuencia se pueden ver expuestas las informaciones contenidas en los equipos del cliente.

Arriba

Conclusión:

Como conclusión podemos indicar que los procesos de auditoria de sistemas y los aplicativos relacionados con la inclusión de datos de los clientes están íntimamente relacionados dado que todo procedimiento utilizado en esta área informática esta orientada a preservar la identidad y confidencialidad de los datos, es por esto que, es necesario mantener la seguridad a todos los niveles, es decir, no confiar el sistema a un único mecanismo de seguridad, ya que la información fluye a través de diferentes componentes o capas del sistema y son muchas las instancias en las que puede irrumpirse la seguridad.

La encriptación es un tema complejo pero cuya implementación resulta cada vez más sencilla conforme aparecen más productos. En general, los canales de comunicación más vulnerables o de mayor cercanía al público requieren una encriptación "más fuerte", es decir, más difícil de descifrar por los curiosos o atacantes. Cierta información conlleva más riesgo que otra, y por tanto requerirá un nivel de encriptación diferenciado.

Ciertas aplicaciones estándar han recibido soluciones de encriptación también estándar. El caso del Web encriptado bajo SSL (HTTPS) junto con la industria de certificados digitales es el caso más conspicuo. De igual modo los estándares para correo electrónico PGP (o derivados) y S/MIME son integrados cada vez con mayor frecuencia en las aplicaciones de los usuarios finales.

Las redes locales, y por extensión, el Internet, NO fueron diseñados en principio para ser seguros, razón por la cual las organizaciones relacionadas con el tema de seguridad iniciaron sus investigaciones para manejar un proceso que permitiera a los usuarios finales de los aplicativos confiar en los mismos.

Como punto final pero no menos importante podemos indicar que según Según cálculos realizados en los años 1999/2000 por Computer Secutity Institute (EEUU) y el FBI, más del 90% de las compañías encuestadas detectaron agujeros de seguridad, y el 52 % de las empresas con conexión a Internet experimentaron en un año de 31 a 40 ataques de hackers, produciendo pérdidas de hasta 200 millones de dólares.

Entre los problemas de seguridad más frecuentes, según estos y otros estudios realizados, estaban la apropiación indebida de información confidencial propiedad intelectual, datos financieros o registros médicos, abuso de privilegios de Internet, virus informáticos, etc.
 

Arriba


Infografía:

http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
Pagina Web con información relacionada a evaluación de seguridad en un sistema de información.

http://es.tldp.org/Tutoriales/doc-tutorial-recomendaciones-seguridad/doc-tutorial-recomendaciones-seguridad.html
Pagina web con información relacionada a recomendaciones de seguridad en sistemas distribuidos de computo

http://www.infopeople.com/aaii/seguridad/index.html
Pagina Web con información relacionada a seguridad en sistemas informáticos

http://www.espina.info/papers/seguridadenlaweb.pdf
Pagina Web con información relacionada a seguridad de sistemas Web

http://formacion.trabajos.com/formacion/808/curso-de-postgrado-en-implantacion-de-seguridad-en-sistemas-informaticos/
Pagina Web con información relacionada a postgrado en Implantación de seguridad en sistemas informáticos

http://www.monografias.com/trabajos16/auditoria-de-informacion/auditoria-de-informacion.shtml
Pagina Web con información relacionada a audioria en sistemas de información

http://www.ausejo.net/seguridad/osstmm.htm
Pagina Web con información relacionada al Manual de la Metodología Abierta de Comprobación de la Seguridad.

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-ssh.html
Pagina Web con información relacionada al protocolo SSH

http://es.wikipedia.org/wiki/Telnet
Pagina Web con información relacionada al protocolo TELNET

http://es.wikipedia.org/wiki/HTTPS
Pagina Web con información relacionada al protocolo HTTPS

Arriba

Hosted by www.Geocities.ws

Contador 1