miércoles, 22 de abril de 2015

* La Seguridad Informática en Internet *


Publicadas por a la/s No hay comentarios.:

Auditoria Informatica






Propósito de Auditoría Informática (AI)


La función de AI es garantizar que los sistemas de ordenador:

  •     Salvaguardan los “bienes” de la organización
  •     Mantienen la integridad de los datos.
  •     Alcanzan los objetivos de la empresa de un modo eficaz y efectivo.


Visión General.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la  necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas.

Debido a esto tenemos que considerar:

  •    Implicación: Estamos en manos de la Informática. Por ejemplo, ningún banco, sin importar su tamaño, sería capaz de realizar su trabajo sin ayuda de la informática.
  •    Cuestión: ¿Quién garantiza que los procesos informáticos son correctos? ¿Quién garantiza a un usuario que la liquidación periódica de su cuenta corriente es correcta, por ejemplo:


Necesidad de Control y AI.

Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.


Coste de la pérdida de datos en las organizaciones.

En la actualidad, los datos son recursos críticos para la continuidad de las funciones de cualquier empresa, y su importancia dependerá de lo vital que sea para la organización.

 Para poder proteger estos recursos será necesario establecer una política a nivel organización, de copias de seguridad y recuperación. Por su importancia, se estudiarán estos temas con más profundidad más adelante.


Toma de decisiones incorrecta.

Los datos nos van a permitir entre otras cosas realizar tomas de decisión. Pero para que las decisiones tomadas a partir de los datos sean correctas, tendremos que garantizar que los datos que nos son suministrados son asimismo correctos.


Abuso Informático o Abuso del Ordenador.

Se podría pensar que el abuso informático constituye la causa principal de la necesidad de AI. Errores y omisiones que originan pérdidas frecuentemente, son el motivo de toma de decisiones erróneas. Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático.

No podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso “manual”, o a los derivados de las dos causas anteriormente citadas.

Privacidad de los datos.

Desde la llegada de los ordenadores la difusión incontrolada de estos datos se ha convertido en un serio problema, principalmente debido a que crear, actualizar y difundir una base de datos con datos personales de posibles clientes es mucho más fácil ahora que cuando los sistemas eran manuales.

La privacidad de los datos es un derecho la Ley de Protección de Datos de Carácter Personal asegura la confidencialidad de los datos y protege a los propietarios de los mismos del uso ilegítimo de ellos por terceras personas.



Evolución controlada del uso del ordenador.

La tecnología en general es neutral: es decir, no es buena ni es mala. Lo que realmente puede ocasionar problemas es su uso incorrecto. Para garantizar que esto no ocurra, hay que tomar decisiones importantes sobre cómo se deben usar los ordenadores en la sociedad. 

La función del gobierno, de las sociedades profesionales y de los distintos grupos de presión el evaluar el uso “racional” de la tecnología.


Definición de AI: Estudio pormenorizado

El proceso de recoger evidencias para determinar si un sistema informático salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la empresa de un modo efectivo y consume recursos con eficacia.

Existen 2 tipos de auditorías las cuales son:

Auditoria Externa: Se encarga de centrar en los objetivos de seguridad (Salvaguarda bienes e integridad de datos)

Auditoria Interna: Se centra en los objetivos de gestión, garantizar que las tareas se realicen en grados adecuadas de efectividad y eficacia.


Objetivos de salvaguarda de bienes.

Se consideran como “bienes” al hardware, software, personas, datos (ficheros, bases de datos, etc.), documentación, suministros, etc. Además de estos bienes se concentran todos en un mismo sitio, ámbito físico del CPD, por lo que deben de ser especialmente protegidos por un sistema de control interno, y su producción debe ser un objetivo importante.

Objetivos de integridad de datos.

Uno de los aspectos que debemos cuidar especialmente es la integridad de los datos, pero realizar esta tarea nos va a suponer un coste frente a los beneficios esperados al implantar unas medias de seguridad.

Para determinar los costes y beneficios existen 2 factores que afectan al valor de un de un dato para la empresa:


  •     Valor de la información que proporciona el dato: depende de la capacidad que ésta tenga para reducir la ambigüedad en una toma de decisiones.
  •    Las veces en que el dato es usado por personas que toman decisiones: Si el dato es compartido, su falta de integridad afectará a todos los usuarios, por lo que en un entorno compartido es vital mantener esta integridad.




Objetivos de efectividad del sistema.

Para ver si un SPD (Sistema de Proceso de Datos) es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar.

Para saber si el sistema está trabajando correctamente, y para poder medir su efectividad, es necesario esperar a que el sistema lleve funcionando un cierto tiempo, tras el cual, normalmente la gerencia solicita una auditoría para saber si el sistema alcanza los objetivos que se había planteado.

Objetivos de eficiencia del sistema

Un SPD eficiente es el que utiliza el mínimo de recursos para alcanzar sus objetivos. En cualquier sistema los recursos son escasos y hay que compartirlos, por lo que saber si se están utilizando los recursos de forma eficiente no siempre es fácil.


La eficiencia se vuelve crítica cuando el ordenador comienza a estar escaso de recursos por lo que, si además los recursos son caros, hay que saber si se agotaron porque las aplicaciones son ineficientes, porque existen cuellos de botella, o simplemente porque el crecimiento natural de las aplicaciones ha reducido dichos recursos.
Publicadas por a la/s No hay comentarios.:

Políticas de Seguridad

¿Cómo podemos proteger el sistema informático?


Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.
A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.
Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad”
La política de seguridad se implementa mediante una serie de mecanismos de seguridad que constituyen las herramientas para la protección del sistema. Estos mecanismos normalmente se apoyan en normativas que cubren áreas mas específicas.
Esquemáticamente:

Los mecanismos de seguridad se dividen en tres grupos:
  1. Prevención:
Evitan desviaciones respecto a la política de seguridad.
Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.
  1. Detección:
Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
  1. Recuperación:
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.
Ejemplo: las copias de seguridad.

Dentro del grupo de mecanismos de prevención tenemos:
  • Mecanismos de identificación e autenticación
Permiten identificar de forma única 'entidades' del sistema. El proceso siguiente es la autenticación, es decir, comprobar que la entidad es quien dice ser.
Pasados estos dos filtros, la entidad puede acceder a un objeto del sistema.
En concreto los sistemas de identificación y autenticación de los usuarios son los mecanismos mas utilizados.
  • Mecanismos de control de acceso
Los objetos del sistema deben estar protegidos mediante mecanismos de control de acceso que establecen los tipos de acceso al objeto por parte de cualquier entidad del sistema.
  • Mecanismos de separación
Si el sistema dispone de diferentes niveles de seguridad se deben implementar mecanismos que permitan separar los objetos dentro de cada nivel.
Los mecanismos de separación, en función de como separan los objetos, se dividen en los grupos siguientes: separación física, temporal, lógica, criptográfica y fragmentación.
  • Mecanismos de seguridad en las comunicaciones
La protección de la información (integridad y privacidad) cuando viaja por la red es especialmente importante. Clásicamente se utilizan protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.


Políticas de seguridad


El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
  • definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
  • mostrar el compromiso de sus altos cargos con la misma
  • definir la filosofía respecto al acceso a los datos
  • establecer responsabilidades inherentes al tema
  • establecer la base para poder diseñar normas y procedimientos referidos a:
    • Organización de la seguridad
    • Clasificación y control de los datos
    • Seguridad de las personas
    • Seguridad física y ambiental
    • Plan de contingencia
    • Prevención y detección de virus
    • Administración de los computadores

A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
  • Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
  • Un procedimiento para administrar las actualizaciones
  • Una estrategia de realización de copias de seguridad planificada adecuadamente
  • Un plan de recuperación luego de un incidente
  • Un sistema documentado actualizado

Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.

Publicadas por a la/s No hay comentarios.:

Técnica y reglas de seguridad actuales

Seguridad de la información / Seguridad informática


Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema esta libre de todo peligro, daño o riesgo." 
Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es mas fácil transportar la información también hay mas posibilidades de que desaparezca 'por el camino'. Si es mas fácil acceder a ella también es mas fácil modificar su contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.
“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
Como vemos el término seguridad de la información es mas amplio ya que engloba otros aspectos relacionados con la seguridad mas allá de los puramente tecnológicos.

Seguridad de la información: modelo PDCA.


Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles .
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.

Métodos Actuales.



 Firma Digital

La Firma Electrónica es única, es un archivo seguro y cifrado que incluye tu firma caligráfica. 


La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operación anterior, generando la firma electrónica o digital. 
    Por sus características, es segura y garantiza tu identidad.

    Verisign

    Es una empresa estadounidense con sede en Reston (Virginia), Estados Unidos.

    VeriSign fue fundada en 1995 como una división de la empresa RSA, dedicada a la provisión de servicios de certificación de seguridad.

    La compañía opera una gran variedad de infraestructuras de red que incluye dos de los trece servidores de nombre raíz de Internet, además del registro autoritativo para los dominios de nivel superior genéricos .com, .net y .name.


    Es conocida principalmente por emitir certificados de seguridad para su uso en Internet o en aplicaciones informáticas seguras, utilizando protocolos como SSL (Secure Sockets Layer, o Capa de Conexión Segura) y TLS o Seguridad de Capa de Transporte, que codifican la información que se envía a través de redes de todo tipo.


    Análisis de Riesgos

    Un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos.

    Probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

    Los medios para conseguirlo son:
    • Restringir el acceso a los programas y archivos.
    • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan.
    • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
    • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
    • Que existan y pasos de emergencia alternativos de transmisión entre diferentes puntos.
    • Organizar a los empleados por jerarquía informática (con claves distintas y permisos bien establecidos).
    • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.


    DRP


    Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos.

    Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.

     Existen diferentes riesgos que pueden impactar negativamente en las operaciones normales de una organización las cueles son:
    • Catástrofes.
    • Fuego.
    • Fallas de energía.
    • Interrupciones organizadas o deliberadas.
    • Sistema y/o fallas de equipo.
    • Error humano.                                     
    • Virus informáticos.
    • Cuestiones legales.
    • Huelgas de empleados.
    • Despidos de empleados.
    • Deterioro, extravío o rotura de cintas de backup.
    • Cortes de comunicación.

    Monitorización.


    Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y conocer el aprovechamiento de los recursos TIC disponibles.

    Implementar un buen sistema de monitorización no es una tarea tan difícil como exigente en su ejecución.

    Los sistemas clásicos controlan únicamente el hardware principal. Por ello, fallos en los sistemas secundarios pueden pasar inadvertidos o no ser detectados hasta que sea demasiado tarde.

    Los métodos de monitorización habituales suelen limitarse a controlar que se tiene conectividad (ping) con la maquina monitorizada, o que el servicio principal (ej: servidor web) está funcionando. 

    Publicadas por a la/s No hay comentarios.:
    Suscribirse a: Entradas (Atom)