Seguridad en Ti

“Año de la Unión Nacional frente a la crisis externa”

Ingeniería de Sistemas e Informática

SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN

Integrantes: FRANCO SAUÑE, Fiorella Lorena GÓMEZ HUAMANÍ, Mery Estela PÉREZ MÁRQUEZ, Verónica Sabrina

Ciclo: VIII

Aula: 206

Turno: Noche

Curso: Ingeniería de Software 2

Profesora: ARBOLEDA, Julio

Lima, 2009

4

Universidad Peruana de Ciencias e Informática Ingeniería de Software 2

ESQUEMA

ESQUEMA

INTRODUCCIÓN

1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN?

1.1 TECNOLOGÍAS DE INFORMACIÓN1.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN

2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LA SEGURIDAD DE LA INFORMACIÓN?

2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD2.1.1 TIPOS DE PROBLEMAS DE SEGURIDAD

2.1.1.1 AGRESORES O FUENTES DE AMENAZAS2.1.1.2 AMENAZAS DE SOFTWARE2.1.1.3 LOS 10 PRINCIPALES ERRORES DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN

3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN LAS TECNOLOGÍA DE INFORMACIÓN?

3.1 POLÍTICAS DE SEGURIDAD3.1.1 Análisis de riesgo3.1.2 Identificar los objetivos clave3.1.3 Identificar las amenazas3.1.4 Herramientas para la seguridad3.1.5 Otras medidas de seguridad

3.2 AUDITORÍAS DE SISTEMAS DE INFORMACIÓN Y DE SEGURIDAD3.2.1 Plan de Seguridad Informática: P.S.I.3.2.2 Otros Estándares de Seguridad

4 CONCLUSIONES Y RECOMENDACIONES

4.1 CONCLUSIONES4.2 RECOMENDACIONES

5 GLOSARIO

6 FUENTES DE INFORMACIÓN

6.1 TRABAJOS DE INVESTIGACIÓN6.2 INTERNET

SUMARIO

4


1

INTRODUCCIÓN

Las “Tecnologías de información” (TI) han venido reformando los procesos administrativos en las empresas de hoy día permitiendo que los procesos se integren más fácilmente y a la vez sean más eficientes, además posibilita agilizar el tener información necesaria para la toma de decisiones, todo esto es posible en la mayoría de los casos gracias a la penetración que ha logrado la tecnología del Internet.

Es por ello que para proteger la información empresarial a través del tiempo se han desarrollado tecnologías de software y hardware tales como antivirus, firewalls, entre otras.

En este trabajo presentamos 5 capítulos importantes:1. ¿Qué es la seguridad en Tecnologías de Información?, en donde definiremos los conceptos básicos para seguir con el tema.2. ¿Por qué debemos preocuparnos por la seguridad de la información?, donde veremos las causas y consecuencias de no usar un buen sistema de seguridad.3. ¿Cómo implementar la seguridad en las Tecnologías de Información?, en dónde veremos las mejores prácticas recomendadas y políticas de seguridad.4. Nuestras conclusiones y recomendaciones.5. Un pequeño glosario con definiciones útiles.6. Las fuentes de información usadas.

Esperando que el trabajo cumpla con las expectativas del curso y sin otro particular.

FRANCO SAUÑE, Fiorella LorenaGÓMEZ HUAMANÍ, Mery Estela

PÉREZ MÁRQUEZ, Verónica Sabrina

4


1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN?

1.1 TECNOLOGÍAS DE INFORMACIÓN

“Es el estudio, diseño, desarrollo, implementación, soporte o dirección de los sistemas de información computarizados, en particular de software de aplicación y hardware de computadoras.”

"Aquellas herramientas y métodos empleados para recabar, retener, manipular o distribuir información. La tecnología de la información se encuentra generalmente asociada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones (Bologna y Walsh, 1997: 1).

1.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN

Las medidas de seguridad, tienen como objetivo principal preservar la integridad de las personas y después los bienes, para lograr estos objetivos, está la:

Seguridad preventiva que reduce la probabilidad de ocurrencia de eventos no deseados y reduce las consecuencias en caso de llegar a ocurrir dicho evento, que puede ocurrir a pesar de las medidas preventivas.

Seguridad reactiva, que se activa una vez ocurrido el evento no deseado, tiene como objetivo estructurar la organización para minimizar las consecuencias de lo ocurrido y permitir enfrentar el presente y futuro de la mejor forma posible, a pesar de lo ocurrido.

La seguridad no es un proyecto, es un proceso continuo, es necesario: Evaluar (cuál es la situación actual), Diseñar (dónde necesitamos estar), Implementar (cómo llegamos desde donde estamos hacia adonde necesitamos estar) Administrar y soportar (cómo nos mantenemos y mejoramos).

La seguridad puede ser en base a equipos propios o no, o en base a un servicio local o remoto, es decir, se puede administrar mediante web, en la actualidad existe el http y el https, las organizaciones dedicadas a seguridad, ofrecen los servicios de seguridad como un ASP, hacen hasta respaldos en forma remota y los resguardan.

4


2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LA SEGURIDAD DE LA INFORMACIÓN?

Garantiza el correcto funcionamiento de la actividad empresarial Es una obligación legal (normativas LOPD y LSSI – actualmente en España) Puede actuar de factor diferenciador (certificación ISO/IEC 17799:2000) Protege ante posibles fallos humanos Evita que usuarios internos puedan atacar sistemas externos (con la responsabilidad

legal que ello conlleva) Previene la entrada de intrusos en los sistemas Impide que usuarios descontentos

puedan causar daños importantes que lleguen a alterar o incluso a detener las actividades de la empresa

Además de esto, gracias a la seguridad podemos tener nuevas oportunidades de negocio, pues nuestra información estará protegida y seremos competitivos.

Si no implementamos la seguridad, las consecuencias son las siguientes: Pérdida económica Pérdida de confianza de los clientes Pérdida del valor fundamental (cierre de la empresa)

2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD

Hoy en día, la mayoría de las empresas usan tecnologías de información. Sin embargo, existen amenazas de agentes, tanto internos como externos, que crean la necesidad de tener seguridad en ellas. Mediante estas técnicas podemos resguardar lo que es importante para una organización, es decir, la información.

Sin embargo, la mayoría de los daños no son intencionados, sino que son ocasionados por la desinformación de los usuarios y administradores. A veces también se causan daños por el descontento de los trabajadores en la empresa. Es por eso que se debe contar con una política para el uso de las herramientas informáticas. En el gráfico siguiente1, vemos la proporción de daños causados por los empleados de la empresa.

1 Data Processing Management Association, 1992

4


2.1.1 TIPOS DE PROBLEMAS DE SEGURIDAD2

Existen varios tipos de ataques y agresores en un sistema informático:

Ataques pasivos: No modifican la información contenida en los sistemas. Ni el estado del sistema ni su operación son alterados.

Ataques activos: Estos implican la modificación de la información contenida en un sistema. Esto puede alterar el estado del sistema o su operación.

2.1.1.1 AGRESORES O FUENTES DE AMENAZAS

1. Hacker: Es una persona con grandes conocimientos de Internet, programación, firewalls y sistemas operativos robustos. Usualmente alteran las operaciones de las empresas o roban la información de estas sin su consentimiento, aunque en algunos casos son contratados por algunas empresas para dar mayor seguridad. En realidad no tienen un objetivo en particular.

2. Cracker: Esta persona también tiene grandes conocimientos en los temas de programación y seguridad informática pero se le paga para robar la información o destruirla.

3. Competencia: Sea directa o indirectamente a través de terceros (por ejemplo, crackers).

4. Clientes descontentos: Sea directa o indirectamente a través de terceros (por ejemplo, crackers).

2 Tomado de LLORENTE, Ignacio Martín. “Seguridad en las Tecnologías de Información”. Universidad Complutense de Madrid. XX SEMINARIO “DUQUE DE AHUMADA” “SEGURIDAD Y NUEVAS TECNOLOGÍAS”. España. 07/05/2008.

4


5. Empleados: Usualmente por negligencia, pero también de forma malintencionada.

6. Desastres naturales o energéticos: tormenta eléctrica, corte de energía eléctrica, inundaciones, fallo de refrigeración, etc. Muchas veces es difícil predecir a la Naturaleza.

2.1.1.2 AMENAZAS DE SOFTWARE

1. Piratería informática: Esta se da cuando un usuario, interno o externo a la empresa, ingresa de forma no autorizada a un sistema de información interconectado. Los piratas cibernéticos pueden monitorear el correo electrónico, el acceso a servidores Web o a las transferencias de archivos para extraer contraseñas, robar archivos de redes o plantar datos para que un sistema acepte intrusos. Un pirata informático también puede hacer uso de servidores remotos que permitan a una computadora de una red ejecutar programas en otra computadora para lograr un acceso privilegiado dentro de una red.

4


2. Robo cibernético: Este es conocido comúnmente como phishing, y se trata de una práctica con la cual un usuario recibe un correo electrónico de un sitio ‘de confianza’ (ej. : bancos, sitios oficiales) en los cuales se le pide al usuario que acceda a la página ‘oficial’ mediante un link o un botón, siendo esta una página falsa donde se le pide al usuario que ingrese sus contraseñas. Así, el delincuente obtiene todos los datos necesarios para poder robarle al usuario.

3. Uso no autorizado en el trabajo: Se refiere a cuando un empleado utiliza la red de la empresa para revisar su correo electrónico, ver asuntos personales y jugar videojuegos. Esto trae consigo que la red pueda ser infectada con algún virus, además de la pérdida de tiempo y dinero para la empresa. Es por esta razón que en estos casos se usan programas husmeadores, que permiten ver qué es lo que hace el usuario en su máquina.

4. Piratería de software: Muchas veces, y sobretodo en nuestro país, usamos software pirata. Esto amenaza la seguridad de la organización al ser descubierta por la ley y recibir una intervención judicial. Incluso si el gerente de la empresa no sabe que uno de sus empleados ha instalado algún programa pirata, la sanción recae sobre toda la empresa.

4


5. Piratería de la propiedad intelectual: Gracias al acceso a Internet, hoy en día podemos conseguir libros, música, videos, software, etc., solo descargándolo de la web sin pedir permiso a los autores. Esto viola la Ley de Derechos de Autor. Además, muchos de estos archivos al ser descargados dentro de la empresa, pueden traer virus e infectar la red.

6. Virus: Son programas informáticos capaces de infectar el sistema informático mediante distintos mecanismos de propagación, que contiene una determinada carga dañina para el sistema infectado y que además puede incorporar algunas medidas de autoprotección para “sobrevivir”. Los virus pueden dañar el software, el hardware y los archivos. La inserción del virus en un programa se llama infección, y el código infectado del archivo (o ejecutable que no es parte de un archivo) se llama hospedador (host). Un virus se adjunta a sí mismo a un programa host y, a continuación, intenta propagarse de un equipo a otro. El que existan virus, además de violar la integridad de la información, hace que la máquina sea más lenta.

2.1.1.3 LOS 10 PRINCIPALES ERRORES DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN3

Ø Conectar sistemas TI a Internet antes de protegerlos. Este es un error clásico. Los ordenadores no están diseñados para conectarse a Internet nada más salir de la caja de embalaje. Antes de adquirir una línea de teléfono, un cable Ethernet o una tarjeta inalámbrica para un puesto de trabajo, es recomendable instalar al menos una solución de protección contra virus y detección de spyware, así como un programa para prevenir la instalación de software malicioso.

Ø Conectar a Internet sistemas de prueba con cuentas y contraseñas por defecto. Es el sueño de un hacker, ya que dejar las claves y cuentas por defecto facilita enormemente su acceso a la red informática de la empresa. La solución a este error, ciertamente habitual, es cambiar las contraseñas y borrar o renombrar las cuentas por defecto inmediatamente.

Ø No actualizar los sistemas operativos de los equipos corporativos. Existen múltiples agujeros de seguridad en los sistemas operativos. Ningún software es perfecto y, una vez que se encuentra una vulnerabilidad, ésta se explota en muy poco tiempo, por lo que es conveniente instalar los parches de seguridad disponibles lo antes posible.

Ø Falta de una adecuada autentificación de los usuarios que solicitan servicios técnicos por teléfono. Facilitar a los usuarios contraseñas por teléfono o cambiárselas en respuesta a una solicitud telefónica o personal cuando el usuario no se ha identificado debidamente puede ser la mejor manera de reducir las solicitudes de soporte al área TI, pero facilita enormemente la labor de los hackers involucrados en tareas de ingeniería social. Lo mejor es aplicar las normas de autenticación adecuadas, incluso cuando la voz del interlocutor resulta familiar.

Ø No mantener ni probar las copias de seguridad. La pereza es una de las mayores amenazas de seguridad; sin embargo, la creación de copias de seguridad adecuadas es mucho más fácil 3 Obtenido de LaFlecha.net

4


que recopilar los datos desde cero. Por ello, es conveniente realizar a menudo copias de seguridad y mantenerlas incluso fuera de las instalaciones de la compañía (no en la caja fuerte del jefe).

Ø No confirmar que el plan de recuperación ante desastres realmente funciona. Una vez que se tienen las copias de seguridad, hay que verificar si funcionan, si son buenas y si se tiene un plan de recuperación ante desastres. Si las tres respuestas son negativas, nos encontramos ante un problema.

Ø No implantar o actualizar programas de detección de virus. ¿Qué sentido tiene tener soluciones anti-virus y anti-spyware si no se actualizan? Las soluciones actualizadas aseguran que las últimas modalidades de software malicioso serán detectadas inmediatamente.

Ø No formar a los usuarios en materia de seguridad. Los usuarios necesitan conocer las amenazas a las que deben enfrentarse. Los empleados no formados en temas de seguridad, son aquellos que suelen ser víctimas de virus, spyware y ataques de phising, diseñados para corromper sistemas o filtrar información personal a terceros sin el consentimiento del usuario. No hay que dar por sentados los conocimientos de los usuarios, ni confiar demasiado en ellos.

Ø Hacerlo todo uno mismo. Las grandes compañías cuentan con departamentos informáticos específicos, pero los administradores TI de las PYMEs muchas veces se encuentran solos ante el peligro. Estos últimos deben pedir consejo y ayuda en caso de necesidad y si se topan con cualquier problema, ya que la ayuda externa, aunque a veces costosa, asegura un trabajo bien hecho a la primera.

Ø Fallos a la hora de reconocer las amenazas internas. Demasiada confianza puede aniquilar la seguridad informática de la empresa. Los empleados descontentos pueden causar grandes problemas si no se les monitoriza adecuadamente. Los responsables TI deberían monitorizar la actividad de la red, especialmente el uso de dispositivos portátiles como iPods, memorias USB, etc. Seguramente ninguna empresa querrá que sus datos se vendan a la competencia por un empleado airado.

4


3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN LAS TECNOLOGÍA DE INFORMACIÓN?

3.1 POLÍTICAS DE SEGURIDAD

Definición

Las decisiones en cuanto a medidas de seguridad para un sitio determinan, obviamente, que tan segura será la red y, además, qué nivel de funcionalidad ofrecerá y qué tan fácil será de usar.

“Una política de seguridad es un enunciado formal de las reglas que los usuarios que acceden a los recursos de la red de una organización deben cumplir” [RFC-2196].

El objetivo principal del uso de una política de seguridad es: Informar a los usuarios de la red sus obligaciones para proteger a los recursos de la

red. Especificar los mecanismos a través de los cuales estos requerimientos pueden ser

logrados. Proveer una guía que permitirá implementar, configurar y controlar los sistemas

de la red para determinar su conformidad con la política.

Una política de seguridad debe asegurar cuatro aspectos fundamentales en una solución de seguridad: autenticación, control de acceso, integridad y confidencialidad. A partir de estos, surgen los principales componentes de una política de seguridad:

Una política de privacidad: define expectativas de privacidad con respecto a funciones como monitoreo, registro de actividades y acceso a recursos de la red.

Una política de acceso: que permite definir derechos de acceso y privilegios para proteger los objetivos clave de una perdida o exposición mediante la especificación de guías de uso aceptables para los usuarios con respecto a conexiones externas, comunicación de datos, conexión de dispositivos a la red, incorporación de nuevo software a la red, etc.

Una política de autenticación: que establece un servicio de confiabilidad mediante alguna política de contraseñas o mecanismos de firmas digitales, estableciendo guías para la autenticación remota y el uso de dispositivos de autenticación.

Un sistema de IT (tecnología de la información) y una política de administración de la red: describe como pueden manipular las tecnologías los encargados de la administración interna y externa. De aquí surge la consideración de si la administración externa será soportada y, en tal caso, como será controlada.

4


Al diseñar la política de seguridad de una red se deben responder algunas cuestiones claves para poder llevar a cabo una sólida definición. Las preguntas básicas sobre la cual desarrollar la política de seguridad son las siguientes:

¿Que recursos se tratan de proteger? (objetivos clave) ¿De quién se trata de proteger los recursos? ¿Cuáles y cómo son las amenazas que afectan a tales recursos? ¿Qué tan importante es el recurso? ¿Qué medidas pueden ser implementadas para proteger el recurso? ¿Cuál es el costo de tal medida y en qué tiempo puede ser implementada? ¿Quién autoriza a los usuarios?

Las empresas y organizaciones raramente mantienen sus servicios constantes, sino que continuamente introducen nuevas tecnologías para mejorarlos. Es por esto que tales cuestiones (y por tanto, la política de seguridad) deben ser revisadas periódicamente para adaptarse a las necesidades de seguridad reales, ya que la introducción o modificación de algún recurso puede generar fallas en la arquitectura de seguridad actual.

3.1.1 Análisis de riesgoEn cuanto a la tarea de determinar dónde se requiere enfocar las decisiones (1 y 2) se puede lograr mediante un Análisis de Riesgo que permite determinar qué se necesita proteger, de qué protegerlo, y cómo protegerlo. Es decir, se examinan todos los riesgos posibles y se clasifican por nivel de severidad. Dos de los elementos importantes del análisis de riesgo son: la identificación de los objetivos clave e identificación de las amenazas.

3.1.2 Identificar los objetivos claveSe debe identificar todo aquello que será protegido, es decir, que puedan ser afectadas por un problema de seguridad. Entre algunas de las más importantes encontramos:

Hardware: Unidades de procesamiento, terminales, impresoras, unidades de almacenamiento, servidores, routers, etc.

Software: Programas fuentes, utilidades, sistemas operativos, etc. Datos: archivos en línea, bases de datos, datos siendo trasmitidos por algún medio,

etc.

3.1.3 Identificar las amenazasConsiste en determinar aquellas amenazas que afecten los objetivos clave a ser protegidos. Pueden ser examinadas considerando el potencial de pérdida existente. Las amenazas a considerar dependerán de las características del sitio y servicios a ofrecer, sin embargo existen algunas amenazas comunes que deben ser consideradas:

1. Acceso no autorizado a recursos y/o información 2. Exposición no autorizada de información 3. Ataques de Rechazo del servicio (DoS – Denial of Service)

El objetivo de las políticas de seguridad es definir qué están haciendo los usuarios con la información de la empresa, se deberá hacer un buen uso de los recursos de hardware y software y por supuesto hacer eficiente los costos.

4


Cada uno de los procesos administrativos o técnicos que se manejen en los sistemas de información deberán contar con su propia política de seguridad, los atributos descritos con anterioridad deberán ser aplicados al definir estas políticas.El departamento de informática deberá tener amplios conocimientos en el uso y aplicación de las herramientas de seguridad.

3.1.4 Herramientas para la seguridad

Encriptación

La encriptación tiene el fin de proteger información en Internet, intranets y extranets. Ejemplos de información relevante podría ser: información de tarjetas de crédito, números de la seguridad social, correspondencia privada, datos personales, información sensitiva de una compañía o empresa o información de datos bancarios. (Ordenadores y Portátiles, 2009).Esta técnica implica el uso de algoritmos matemáticos especiales con el fin de transmitir de manera codificada datos como: contraseñas, mensajes y archivos. La información sólo puede ser accesada por personas con autorización, de esta manera se transforman los datos digitales en un código cifrado antes de ser transmitidos y se decodifican cuando son recibidos. (O’Brien & Marakas, 2006).

Firewalls

Un firewall sirve como un sistema de “portero” que protege las intranets de una empresa y otras redes informáticas de la intrusión al proporcionar un filtro y un punto de transferencia seguro para el acceso a Internet y otras redes. Filtra todo el tráfico de red en busca de las contraseñas apropiadas y otros códigos de seguridad y sólo permite transmisiones autorizadas de entrada y salida en la red. (O’Brien & Marakas, 2006).

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web o el correo. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no. (Álvarez, M., 2001).

Defensas contra la negación de servicio

En la actualidad la negación de servicio es una importante fuente de pérdidas financieras originadas por el robo cibernético.

El objetivo de un ataque de negación de servicio distribuido (DDOS) es interrumpir sus actividades de negocios, dejando fuera de operación su sitio Web, su e-mail o sus aplicaciones Web. Esto se consigue atacando los servidores o la red que aloja estos servicios y sobrecargando intencionalmente algunos recursos clave como el ancho de banda, el CPU o la memoria. Las motivaciones típicas que están detrás de este tipo de ataques son la extorsión, la demostración de habilidades para violar medidas de seguridad, acciones políticas y competencia desleal, entre otros.

4


Virtualmente cualquier organización que se conecta a Internet es vulnerable a este tipo de ataques. El impacto que puede producir en una empresa el hecho de ser víctima de un ataque DDOS sostenido y prolongado es devastador, ya que lleva a la pérdida de beneficios, insatisfacción de los clientes y pérdidas de productividad, originados en la no disponibilidad o el deterioro del servicio.Algunos pasos que las organizaciones pueden tomar para protegerse de los ataques DDOS son los siguientes:

En las máquinas zombies: Establecer y hacer cumplir las políticas de seguridad. Escanear de manera habitual el sistema. Recordar a los usuarios que no abran archivos ejecutables (.exe) adjuntos de correo.

En el ISP: Vigilar y bloquear picos de tráfico. Filtrar direcciones IP falsas. Coordinar la seguridad con proveedores de red.

En el sitio Web de la víctima: Crear conexiones de red de respaldo. Limitar las conexiones a cada servidor. Instalar sistemas de detección de intrusos con el fin de reducir puntos vulnerables.

Monitoreo del correo electrónico

Actualmente las empresas tienden hacia la vigilancia sistemática del tráfico del correo electrónico corporativo mediante el uso de software que realiza escaneo en busca de información que pueda comprometer la seguridad de la empresa. Todo lo anterior debido a las múltiples amenazas en seguridad que han evolucionado en Internet.

Muchos de los virus y gusanos actuales son diseñados por piratas informáticos con el propósito de infectar rápidamente millones de ordenadores en el mundo a través de la Internet y usando como medio el “correo electrónico y ambientes colaborativos”.

Debido a que los servidores de correo electrónico son agregados de datos, pasan a ser un punto crítico de las operaciones diarias de la mayoría de los negocios, así pues los programadores de software malicioso, los piratas informáticos y los remitentes de spam se han enfocado en ellos como un método primario de entrada a la red corporativa. El Correo electrónico ha llegado a ser el vehículo más común para infecciones de virus, y fue el medio de entrada en un 88% de los incidentes corporativos de virus reportados en 2004.

Defensas contra virusAntivirus es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. Así como también se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador.

3.1.5 Otras medidas de seguridad

Códigos de seguridad

4


Es el uso de contraseñas de multinivel para la administración de la seguridad, estas son utilizadas para obtener acceso a un sistema. Las contraseñas deben consistir en combinaciones de letras mayúsculas y minúsculas, así como de números; estas se deben cifrar o encriptar con el fin de evitar su robo o uso inadecuado.

Se deben seguir estos pasos para crear una contraseña segura: pensar en una frase que pueda recordar, comprobar si el equipo o el sistema en línea admite directamente la frase codificada, si el equipo o el sistema en línea no admite frases codificadas, convertirlas en contraseñas, aumentar la complejidad, realizar sustituciones con algunos caracteres especiales y probar la contraseña con el comprobador de contraseñas. (Microsoft Corporation, 2009).

Archivos de respaldo

Son archivos duplicados de datos o programas, no son otra medida de seguridad importante. Los archivos también pueden ser protegidos a través del uso de medidas de retención de archivos que implican el almacenamiento de copias de archivos de periodos previos, denominados archivos maestros y tiene un fin de respaldar todas las transacciones que se realizan. Si los archivos actuales se destruyen, éstos se utilizan para reconstruir los archivos actuales. Es de vital relevancia que los archivos se almacenen fuera de la empresa en lugares remotos, con el fin de evitar la violación de estos archivos. (O’Brien & Marakas, 2006).

Monitores de seguridadLos monitores de seguridad son programas que monitorean el uso de sistemas y redes informáticos y los protegen del uso no autorizado, fraude y destrucción.

Algunas de sus funciones son las siguientes: Proporcionar medidas de seguridad para permitir el acceso a las redes de la empresa

sólo a los usuarios autorizados. Controlar el uso de recursos de hardware, software y datos de los sistemas. Vigilar el uso de redes informáticas y recabar estadísticas sobre cualquier intento de

uso inadecuado. Elaborar reportes para ayudar a mantener la seguridad de la red.

Seguridad biométrica

Los peligros a los que están expuestos hoy en día los sistemas de información, así como aquellos espacios que tienen el acceso restringido, están llevando a los responsables de la seguridad en las empresas a buscar nuevas fórmulas que solucionen esta problemática.

La biometría es una tecnología de seguridad basada en el reconocimiento de una característica física e intransferible de las personas, que puede ser el reconocimiento de la voz, reconocimiento de huellas digitales, geometría manual, reconocimiento dinámico de firmas, análisis de pulsaciones, escaneo de retina, reconocimiento facial y análisis de patrones genéticos.

En la actualidad el sistema de seguridad biométrica no sólo se aplica para permitir o denegar el acceso a una PC sino que también tiene múltiples aplicaciones como:

4


A nivel comercial es muy común en áreas como la banca y los servicios financieros; de hecho, en algunas oficinas y cajeros se instalan lectores biométricos de huella para que sólo el titular de la cuenta pueda hacer operaciones.

A nivel de seguridad informática en laptops, teclados, ratones, memorias USB y computadoras de mano incluyen lectores de huella para que el usuario pueda proteger su información y llevar a cabo movimientos por Internet.

Controles de fallas informáticas

Estos controles pueden evitar fallas informáticas en los procesos de operación de cualquier negocio, o bien minimizar sus efectos. Los controles de fallas informáticas tratan problemas tales como: fallas eléctricas, mal funcionamiento de circuitos eléctricos, problemas de redes de telecomunicaciones, errores de programación ocultos, virus, etc.

Sistemas tolerantes a fallas

Se encarga de respaldar los componentes en caso de que falle un sistema de información. Tales sistemas utilizan procesadores, periféricos y software redundante que proporcionan una gran capacidad de recuperación de información.

Recuperación de desastres

Son planes desarrollados por algunas empresas para estar preparados ante cualquier eventualidad. Esta específica qué empleados participaran en la recuperación de desastres y cuáles serán sus obligaciones, que hardware, software e instalaciones se usaran, así como también la prioridad de las aplicaciones que se procesaran.

3.2 Auditorías de Sistemas de Información y de seguridad

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

3.2.1 Plan de Seguridad Informática: P.S.I.

¿Por qué la necesidad de un plan de seguridad informática (P.S.I.)?

4


Uno de los mayores retos en el dinámico mundo empresarial de nuestros días, es el aseguramiento de la información transferida y difundida a través de redes internas e Internet. ¿Se ha preguntado cuanto vale la información de su empresa?

Cuantificar el valor de la información e imagen de nuestra empresa nos puede dar una idea de la importancia estratégica que debe tener la implantación de las mejores soluciones de aseguramiento informático.

Hasta hace muy pocas fechas tan solo las grandes empresas y la banca, sentían la necesidad de proteger sus comunicaciones y los datos contenidos en sus sistemas de información.Esta protección de datos se realizaba a dos niveles:

Nivel externo. Nivel interno.

Esta situación se daba solo con empresas de estas características, ya que, los costos de comunicaciones se hacia prohibitivo para las PYMES.

Con el nacimiento de Internet, se ha producido una autentica revolución en el mundo de las comunicaciones, unido a la posibilidad de utilizar líneas de banda ancha como son las RDSI y las ADSL. Esta última permite tener conectada la empresa 24 horas al mundo exterior con un nivel de costo bajo.

Esta circunstancia, unida al abaratamiento de las comunicaciones, ha hecho posible que las PYMES, se hayan incorporado al mundo de las telecomunicaciones, siendo cada vez mayor el número de estas que tienen conectados sus sistemas informáticos corporativos, a la red Internet.

Como todo sistema vivo, como es el sistema de una empresa, está sujeto a ventajas y amenazas.

Las primeras, es decir las ventajas, vienen de la mano de una mejora instantánea de las comunicaciones y de un aumento del grado de conocimiento, tanto externo como interno, de las empresas.

Pero también conlleva amenazas. Estas son las que hacen a las empresas modernas, vulnerables tanto ataques externos (Hackers), como ataques internos en sus sistemas de información (empleados

desleales deseosos de dañar los sistemas de información de su empresa).

Todo lo anteriormente expuesto, nos hace llegar a la conclusión lógica, de que si existe un sistema conectado al exterior, la empresa es vulnerable a ataques externos, que pueden llegar a conocer información privada acerca de:

Clientes. Precios y condiciones. Claves de banca electrónica. Contabilidad. Etc.

Pero también podemos deducir, que el control hacia los empleados debe ser cada vez mayor, en cuanto a la información que manejan de ficheros que contengan datos personales, como se refleja en la nueva LOPD, Ley Orgánica de Protección de Datos (Ley orgánica, 15/1999 del 13

4


de Diciembre), que “obliga a tener un sistema que permita la autentificación e identificación de los usuario, al mismo tiempo que controle y registre los accesos al sistema y los ficheros”.

Todo ello ve abocadas a las PYMES a adoptar medidas extremas de seguridad, tanto externa como interna.

FASES DE ADOPCIÓN DEL P.S.I.:FASE 1ª: Auditoria del sistema informático con sus peculiaridades, elaborándose un informe detallando las vulnerabilidades existentes.FASE 2ª: Diseño del Plan de Seguridad Informático (P.S.I.).FASE 3ª: Formación para el personal de la empresa.FASE 4ª: Implantación del P.S.I.

Instalación de FIREWALLS. Monitorización y plan de seguridad de redes internas. Protección antivirus.

FASE 5ª: Seguimiento y Mantenimiento del sistema.

ISO 27000 es un estándar desarrollado con la finalidad de proporcionar un modelo para establecer, implementar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (ISMS por sus siglas en Inglés: Information Security Management System).

ISO 27000 establece que la adopción de un ISMS debe ser una decisión tomada a nivel estratégico. Así mismo, enfatiza en que el diseño y la implementación del sistema dependerán de sus necesidades, objetivos estratégicos, requerimientos de seguridad, procesos sustantivos, tamaño y estructura orgánica.

El estándar adopta el modelo "Planear-Hacer-Verificar-Actuar (Plan, Do, Check, Act)", el cual es aplicado en todos los procesos del sistema.

El esquema adjunto muestra como el Sistema de Gestión de Seguridad de la Información toma como insumos los requerimientos en materia de seguridad, así como las expectativas de las partes interesadas para a través de las acciones necesarias, producir como salida los elementos de Seguridad de la Información necesarios para satisfacer los requerimientos y expectativas de la empresa en materia de seguridad.

MODELO DE PROCESOS DE ISO 27000

4


COBIT (Control Objetives for Information and Related Technology) es un compendio de objetivos de control para la Tecnología de Información que incluye herramientas de soporte que permiten a la administración de TI cubrir la brecha entre los requerimientos de control, los aspectos tecnológicos y los riesgos de negocio.

COBIT resulta de utilidad para el establecimiento de los controles necesarios para satisfacer los requisitos definidos por el estándar ISO 27000, ayudando con ello a la implementación y la mejora del Sistema de Gestión de Seguridad de la Información.

3.2.2 Otros Estándares de Seguridad

Existen varios estándares internacionales relacionados con seguridad informática que se consideran importantes en la actualidad o que deben ser referenciados por su importancia histórica. En este sentido, están clasificados en seis (6) clases de estándares como son: para la administración de seguridad de la información, para evaluación de seguridad en sistemas, para desarrollo de aplicaciones, para servicios financieros, para riesgos y para autenticación.

Para la administración de seguridad de la información:

La Internet Engineering Task Force (IETF) elaboró el RFC2196 Site Security Handbook, que ofrece una guía práctica para quienes intentan asegurar servicios e información.

El estándar británico BS 7799 es un estándar aceptado ampliamente que ha sido utilizado como base para elaborar otros estándares de seguridad de la información, incluyendo el ISO 17799 y el ISO 27001. Fue desarrollado por el British Standards Institute.

La Agencia Federal Para Seguridad en Información en Alemania ha generado el IT Baseline Protection Manual. Este documento presenta un conjunto de métricas de seguridad recomendadas o safeguards, como se denominan en el manual, para sistemas IT típicos.

La Organización para la cooperación y el desarrollo económicos en ingles (OECD) creo las Guidelines for the Security of Information Systems. Directrices de la OCDE para la seguridad de sistemas y redes de información.

Estándares para evaluación de seguridad en sistemas:

La International Organization for Standardization (ISO) ha elaborado el estándar IS 15408. Este estándar, The Common Criteria for Information Technology Security Evaluation v2.1 (ISO IS 15408) es una mezcla mejorada de ITSEC, el Canadian criteria, y el US Federal Criteria.

La Serie Arco Iris – Rainbow Series- (Orange Book) (EE.UU.) Una importante serie de documentos es la Rainbow Series, que delinea varios estándares de seguridad desarrollados en los Estados Unidos.

El Reino Unido elaboró el Information Technology Security Evaluation Criteria (ITSEC) a comienzos de los años 90, y es otro estándar históricamente importante. Fue elaborado, en algunos aspectos, basándose en el Orange Book.

4


Estándares para desarrollo de aplicaciones:

El Software Engineering Institute lideró el desarrollo del Capability Maturity Model (CMM), que es un método para garantizar madurez en procesos.

Un derivado del CMM es el System Security Engineering Capability Maturity Model (SSE-CMM). El SSE-CMM describe las características esenciales del proceso de la ingeniería de la seguridad de una organización que deben existir para asegurar la buena ingeniería de la seguridad.

Estándares para servicios financieros:

ISO 11131:1992 Banking and Related Financial Services; Sign-on Authentication

ISO 13569:1997 Banking and Related Financial Services — Information Security Guidelines

Estándares para riesgo:

Acquisition Risk Management (EE.UU.) El Software Engineering Institute tiene algunos documentos sobre Acquisition Risk Management.

Estándares para autenticación:

ISO 11131:1992 Banking and Related Financial Services; Sign-on Authentication

4


4 CONCLUSIONES Y RECOMENDACIONES

4.1 CONCLUSIONES

Hoy en día, las empresas y organizaciones manejan mucha información importante en red y a través de Internet. Al ser así, son más vulnerables a los robos, virus o chantajes, pues la información es lo más importante. Sin embargo, existen muchas políticas de seguridad que podemos usar para evitar que estas amenazas atenten contra nuestra infraestructura, y debemos escoger la mejor para nuestras necesidades.

4.2 RECOMENDACIONES

Los estudiantes de Ingeniería de Sistemas e Informática, así como también los de Programación o algún tema relacionado a las tecnologías de información, debemos tener en claro cuáles son las mejores prácticas para la seguridad de la información, pues de lo contrario podríamos incluso ser y hacer de una empresa vulnerable a esos ataques. Se pediría a la Universidad que nos dé la oportunidad de asistir a seminarios sobre seguridad para tener en cuenta estos puntos.

4


5 GLOSARIO

ISO/IEC 17799: estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000 y con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en Archivo: La norma británica British Standard BS 7799-1 que fue publicada por primera vez en 1995. En Perú la ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones públicas desde agosto del 2004.

LOPD: La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) define el concepto de "dato de carácter personal" como cualquier información concerniente a una persona física identificada o identificable. La LOPD es aplicable a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

LSSI: Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.

4


6 FUENTES DE INFORMACIÓN

6.1 TRABAJOS DE INVESTIGACIÓN

ANEI (Asociación Nacional de Empresas de Internet). “Tecnología, Seguridad y Empresa”. Madrid. 21/04/2006.

GÓMEZ ROLDÁN, Katherine; HERNÁNDEZ QUIROZ, Andrea; LEIVA CORTÉS, Juan José. “Infraestructura y seguridad de Tecnologías de Información”. Instituto Tecnológico de Costa Rica. Escuela de Ingeniería de Producción Industrial. Costa Rica. 02/06/2009.

LLORENTE, Ignacio Martín. “Seguridad en las Tecnologías de Información”. Universidad Complutense de Madrid. XX SEMINARIO “DUQUE DE AHUMADA” “SEGURIDAD Y NUEVAS TECNOLOGÍAS”. España. 07/05/2008.

6.2 INTERNET

LaFlecha.net. “Los 10 principales errores de seguridad TI que cometen los departamentos informáticos en las Pymes”. 08/05/2008.

CÁRDENAS ALANIS, Claudia del Carmen. “Índice de seguridad en Tecnologías de Información”. Universidad Iberoamericana. www.monografias.com. Mayo 2004.

http://www.monografias.com/

4


SUMARIO

ESQUEMA........................................................................................................................................... 2

INTRODUCCIÓN.................................................................................................................................. 3

1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN?....................................................4

1.1 TECNOLOGÍAS DE INFORMACIÓN..............................................................................................41.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN.....................................................................4

2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LA SEGURIDAD DE LA INFORMACIÓN?......................5

2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD....................................................................................52.1.1 TIPOS DE PROBLEMAS DE SEGURIDAD..................................................................................6

2.1.1.1 AGRESORES O FUENTES DE AMENAZAS.......................................................................................62.1.1.2 AMENAZAS DE SOFTWARE...........................................................................................................72.1.1.3 LOS 10 PRINCIPALES ERRORES DE SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN.................9

3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN LAS TECNOLOGÍA DE INFORMACIÓN?......................11

3.1 POLÍTICAS DE SEGURIDAD.......................................................................................................113.1.1 Análisis de riesgo.................................................................................................................123.1.2 Identificar los objetivos clave...............................................................................................123.1.3 Identificar las amenazas......................................................................................................123.1.4 Herramientas para la seguridad..........................................................................................133.1.5 Otras medidas de seguridad................................................................................................14

3.2 AUDITORÍAS DE SISTEMAS DE INFORMACIÓN Y DE SEGURIDAD...............................................................163.2.1 Plan de Seguridad Informática: P.S.I....................................................................................163.2.2 Otros Estándares de Seguridad............................................................................................19

4 CONCLUSIONES Y RECOMENDACIONES.....................................................................................21

4.1 CONCLUSIONES........................................................................................................................214.2 RECOMENDACIONES................................................................................................................21

5 GLOSARIO................................................................................................................................. 22

6 FUENTES DE INFORMACIÓN...................................................................................................... 23

6.1 TRABAJOS DE INVESTIGACIÓN.................................................................................................236.2 INTERNET.................................................................................................................................23

SUMARIO..................................................................................................................................................24

Seguridad en Ti

Documents

Transcript of Seguridad en Ti