Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Objetivo: El estudiante identificar los riesgos y peligros potenciales en la seguridad fsica, lgica, de confidencialidad y del personal que le permitan sugerir formas para eliminarlos.
Uno de los puntos ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario de un sistema, ya sea que la informacin se encuentre en un archivo o en una base de datos, o bien que se posea una minicomputadora, o un ststed en red (interna o externa). Para esto podemos definir los siguientes tipos usuarios: * Propietario: Es, como su nombre lo indica, el dueo de la informacin, responsable de sta, y puede realizar cualquier funcin (consultar, actualizar, dar autorizacin de entrada a otro usuario). Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. * Administrador: Slo puede actualizar o modificar el software con la deba! autorizacin, pero no puede modificar la informacin. Es responsable del seguridad lgica y de la integridad de los datos. L.S.C.A. Ral Monforte Chuln 1 MORCH Systems
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Usuario principal: Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. * Usuario de consulta: Slo puede leer la informacin pero no puede modificarla. Para conservar la integridad, la confidencialidad y la disponibilidad de los sistemas se deben tomar en cuenta lo siguiente: * La integridad: Es responsabilidad de los individuos autorizados para modificar datos o programas (usuario administrador) o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo (usuario responsable y principal). * La confidencialidad: Es responsabilidad de los individuos autorizados para consultar (usuario de consulta) o para bajar archivos importantes para microcomputadoras (usuario de explotacin). * La disponibilidad: Es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones (usuario administrador). El control implantado para minimizar estos riesgos debe considerar los siguientes factores: * El valor de los datos siendo procesados. * La probabilidad de que ocurra un acceso no autorizado. * Las consecuencias para la organizacin si ocurre un acceso no autorizado.. * La seguridad lgica abarca las siguientes reas: * Rutas de acceso. * Claves de acceso. * Software de control de acceso. * Encriptamiento.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Validacin de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. * Totales de control: Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. * Control de secuencia: En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. * Pruebas de consistencia y verosimilidad: Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. * Digito de control: Es necesario asegurarse de que el contenido de la clave est correcto.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Controles para el hardware: Controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo. * Controles de operaciones de cmputo: Se aplican al trabajo del departamento de cmputo para asegurar que los procedimientos programados sean consistentes y correctamente aplicados al almacenamiento y procesamiento de los datos. * Controles de seguridad de los datos: Aseguran que los archivos de datos en disco o medios secundarios no se expongan a accesos, cambios o destruccin no autorizados. * Controles administrativos: Son normas, reglas, procedimientos y disciplinas formales para asegurar que los controles de la institucin se ejecuten y se respeten de manera adecuada. * Polticas y procedimientos por escrito : Establecen estndares formales para controlar las operaciones de los sistemas de informacin. Los procedimientos deben formalizarse por escrito y ser autorizados por el nivel administrativo adecuado. Los deberes y responsabilidades deben quedar claramente especificados.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Seguridad y Comercio electrnico La seguridad de comunicaciones electrnicas en una compaa es de suma importancia, ya que esta debe garantizar la confidencialidad de los datos tanto de los compradores como de los vendedores en la red. Unos de los mecanismos que utilizan numerosas instituciones para proteger los datos e informacin confidencial es el cifrado.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
flujos, el sistema de control y evaluacin, formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. Ejecucin. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas. En la elaboracin del plan de contingencias deben de intervenir los niveles ejecutivos de la organizacin, personal tcnico de los procesos y usuarios, para as garantizar su xito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo tcnico, econmico y organizacional. Pruebas. Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realizacin. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecucin, con lo cual la prueba volver a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversin; en este ltimo caso pasar nuevamente a la fase de conversin para la solucin de los problemas detectados. El plan de contingencia y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. * El grado de riesgo al que la organizacin est expuesta. * El tamao de las instalaciones de la organizacin. * La evaluacin de los procesos considerados como crticos * La formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Problemas a los que nos enfrentamos. * Acceso fsico * Desastres naturales * Alteraciones del entorno Controles necesarios para la seguridad del personal. * Controles administrativos del personal de informtica. * Seguros y fianzas para el personal de sistemas. * Planes y programas de capacitacin. * Planes de contingencia definidos para el personal que labora en el rea.
4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin.
Las tcnicas de proteccin de datos deben englobar las tres fases del proceso de produccin de datos estadsticos: la recogida, el procesamiento o anlisis y la difusin. Sin embargo, las ms extendidas y desarrolladas se aplican en la ltima fase del proceso por lo que se denominan Tcnicas de Control de la Divulgacin Estadstica. stas se clasifican de una manera casi natural, segn el formato en el que los datos son publicados o difundidos. Comnmente, existen tres principales formas de difundir los datos estadsticos: * Mediante Ficheros de registros individuales. * Mediante Tablas de magnitud o frecuencias. * Mediante consultas secuenciales en Bases de Datos. Tcnicas para la proteccin en Ficheros de Datos Con ficheros de datos estadsticos nos referimos a ficheros de registros individuales que contienen informacin identificativa sobre cada individuo encuestado o registrado de una poblacin o muestra. El riesgo de divulgacin de informacin confidencial en un fichero de datos vendr dado principalmente por el riesgo de identificacin. Atributos tan claramente identificativos como nombres o direcciones, no son normalmente incluidos en ficheros de uso pblico y externo, por considerarse de carcter confidencial. Sin embargo caractersticas tales como sexo, edad, estado civil, poblacin etc., s son dadas a conocer junto con otras variables de inters. De esta forma, es posible identificar a individuos o unidades de la muestra o de la poblacin que son nicos con respecto a una determinada combinacin de valores de dichas variables. Como consecuencia de dicha identificacin, ser posible conocer toda aquella informacin registrada sobre el individuo en el propio fichero o en otros ficheros externos disponibles, de la misma poblacin o muestra. Las tcnicas de proteccin en ficheros de datos estarn encaminadas en su mayora a proteger contra la identificacin de unidades o individuos nicos o "raros" en la poblacin y evitar la difusin de valores inusuales de variables que favorezcan dicha identificacin. Muchas veces no disponemos de los datos de toda la poblacin, sino de una muestra representativa de la misma, de forma que individuos o unidades que son raros nicos en la muestra no tienen por qu serlo en la poblacin. La estimacin de la proporcin de unidades o individuos nicos en la poblacin a partir de los que s lo son en la L.S.C.A. Ral Monforte Chuln MORCH Systems 7
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
muestra o en el fichero de datos, puede convertirse en una medida de la efectividad de los mtodos aplicados, es decir, en una medida cuantitativa del riesgo de divulgacin. Podemos clasificar estos mtodos en dos grandes grupos: * Mtodos de Restriccin. Se basan en limitar la cantidad de informacin publicada mediante diferentes tcnicas: Recodificacin: Consiste en unificar categoras en variables cualitativas o agrupar magnitudes con valores extremos en variables cuantitativas (top-bottom coding) Supresiones Locales: Simplemente se suprimen para su publicacin, determinados valores sensitivos de variables que pueden dar lugar a identificaciones (profesiones poco comunes, salarios inusualmente altos,...). * Mtodos de Perturbacin. Tienen en comn que modifican los valores de determinadas variables, permitiendo su publicacin pero de forma que no se puedan conocer los valores exactos. Entre stos destacan: Redondeo Aleatorio: Los valores de determinadas variables son sustituidos por cantidades redondeadas. Aportacin de ruido: Consiste en la introduccin de error (pequeas cantidades seleccionadas aleatoriamente) en los valores de las variables. Sustitucin: Consiste en intercambiar valores dentro de una variable de forma que la informacin puede ser tratada estadsticamente (se mantiene la estructura de correlacin), sin riesgo de identificar a un individuo con un determinado registro dentro del fichero de datos. Microagregacin: Se agrupan los valores de la variable de acuerdo a determinados criterios de ordenacin y en cada registro el valor de dicha variable es sustituido por la media del grupo al que pertenezca. Detalles sobre el mtodo y su aplicacin van a ser desarrollados con posterioridad en este cuaderno. Cifrado de Datos Su objetivo es el de hacer ininteligibles los datos a usuarios no autorizados que sean capaces de acceder a ellos. Existen numerosos mtodos de cifrado de datos o mtodos criptogrficos. Los sistemas de cifrado ms antiguos y ms conocidos son los que hacen uso de una clave privada (normalmente un nmero) para, mediante un conjunto de transformaciones matemticas, mantener oculto el significado de determinados datos. Los mtodos de cifrado de datos pueden ser: * Simtricos: cuando la clave de cifrado es la misma que la de descifrado. * Asimtricos: cuando ambas claves son distintas. Los mejores mtodos de cifrado actuales resultan prcticamente invulnerables. Algunos de los ms utilizados son los siguientes: * Cifrado endeble. Vlidos para unos niveles de seguridad medios, pero vulnerables ante potentes sistemas de descifrado. Las claves utilizadas permiten un nmero de combinaciones de 240. * Sistemas correctos de gestin de claves. Requieren que el usuario divida en varias partes la clave de descifrado y haga entrega de esas claves a personas de su confianza. La clave slo puede reconstruirse en caso de que los depositarios de todas las partes se pongan de acuerdo. * Criptografa de clave pblica. Son criptosistemas con claves asimtricas. Estos criptosistemas se basan en que cada uno de los operadores tiene dos claves, una privada que slo l conoce y una pblica, que conocen o pueden conocer todos los intervinientes en el trfico. Cuando el operador A quiere emitir un mensaje aplica al mismo la clave pblica de B y el mensaje as cifrado se emite a B, que al recibir el mensaje le aplica su clave privada para obtener el mensaje descifrado. Por ello se denomina criptosistema asimtrico, ya que para cifrar y descifrar los mensajes se utilizan dos claves distintas.
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Adems, y esto es lo esencial, el sistema es calificado de unidireccional, en el sentido de que, a travs de la clave pblica de B utilizada por A para cifrar el mensaje dirigido a B y descifrado con la clave privada de B, no es posible con el actual estado de la tecnologa informtica que A acceda a la clave privada de B. De esta forma, y debido a la complejidad computacional de los algoritmos utilizados, se garantiza el secreto de la clave privada de ste. Descifrado. Es el proceso que, a partir de una informacin que aparece como "texto cifrado" y aplicando un algoritmo adecuado, permite obtener de nuevo el "texto claro" original. Firma digital y certificacin .La firma digital permite la autenticacin de los mensajes recibidos. Para conseguir la autenticacin se utiliza una funcin "hash" del mensaje para obtener un resumen del mensaje original. Posteriormente se cifra ese resumen con la clave privada propia del remitente. Cuando la firma digital la realiza una autoridad en la que se confa, el mensaje se considera certificado y a la autoridad se la denomina autoridad de certificacin. Control de Accesos. Los equipos lgicos deben imponer procedimientos de control sobre personas u otros SI que intenten acceder a los mismos, ya sea directamente o mediante redes de comunicaciones. Medidas de seguridad * Fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc * Personal: Acceso slo del personal autorizado. Evitar sobornos, etc. * SO: Seguridad a nivel de SO * SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc. Un SMBD cuenta con un subsistema de seguridad y autorizacin que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado. * Identificar y autorizar a los usuarios: uso de cdigos de acceso y palabras claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc. * Autorizacin: usar derechos de acceso dados por el terminal, por la operacin que puede realizar o por la hora del da. * Uso de tcnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet. * Diferentes tipos de cuentas: en especial del ABD con permisos para: creacin de cuentas, concesin y revocacin de privilegios y asignacin de los niveles de seguridad. Herramientas de seguridad de Software Administracin de las actualizaciones de seguridad Microsoft Update Microsoft Update rene las actualizaciones proporcionadas por Windows Update y Office Update en un mismo sitio y permite configurar su equipo para que reciba automticamente actualizaciones crticas y de seguridad. Windows Server Update Services (WSUS) Windows Server Update Services (WSUS) simplifica el proceso de mantener actualizados los sistemas basados en Windows con las ltimas actualizaciones disponibles, con una mnima intervencin administrativa. System Center Configuration Manager
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
System Center Configuration Manager 2007 permite gestionar la implantacin y configuracin de sistemas operativos y aplicaciones, mejorando la seguridad y ofreciendo una evaluacin completa de servidores, equipos y dispositivos mviles. Herramienta de inventariado Systems Management Server 2003 para Microsoft Updates Los administradores de Systems Management Server pueden utilizar esta herramienta de inventariado para Microsoft Updates (ITMU) para ver si se est cumpliendo la actualizacin de los sistemas que gestionan. Deteccin de actualizaciones de seguridad: Microsoft Baseline Security Analyzer (MBSA) MBSA busca actualizaciones de seguridad no instaladas y los errores ms comunes de configuracin de seguridad. Ofrece una mejor experiencia de usuario, ampla el soporte a producto y puede utilizarse junto con Microsoft Update y Windows Server Update Services. Microsoft Office Visio 2007 Connector para Microsoft Baseline Security Analyzer Este conector permite ver los resultados del anlisis de Microsoft Baseline Security Analyzer de manera clara y comprensible en un diagrama de Microsoft Office Visio 2007. Extended Security Update Inventory Tool La herramienta Extended Security Update Inventory Tool sirve para detectar boletines de seguridad no cubiertos por MBSA incluidos los boletines de seguridad MS04-028, de febrero 2005 y futuros que son excepciones a MBSA. Evaluacin de seguridad Microsoft Security Assessment Tool (MSAT) MSAT ofrece informacin y recomendaciones para ayudarle a mejorar la seguridad de su infraestructura tecnolgica. Bloqueo, auditora y deteccin de intrusos Herramientas de administracin y bloqueo de cuentas Estas herramientas le pueden ayudar a administrar cuentas y a solucionar problemas relacionados con bloqueos de cuenta. BitLocker Active Directory Recovery Password Viewer Esta herramienta ayuda a localizar contraseas de recuperacin de Cifrado de unidad BitLocker para equipos basados en Windows Vista, o Windows Server 2008, en Servicios de dominio de Active Directory. Herramienta de preparacin de la unidad BitLocker Esta herramienta configura las unidades de disco duro del equipo de forma que sean compatibles con la habilitacin de BitLocker. Herramienta de reparacin de BitLocker Esta herramienta puede ayudarle a recuperar datos de discos corruptos o daados cifrados con BitLocker. EventCombMT L.S.C.A. Ral Monforte Chuln MORCH Systems 10
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Disponible como parte de la descarga de scripts de la gua de seguridad, es una herramienta multiproceso que analiza registros de sucesos en varios servidores al mismo tiempo. File Checksum Integrity Verifier Esta herramienta de lnea de comandos calcula y comprueba los valores hash criptogrficos MD5 o SHA-1 de los archivos. Estos valores pueden mostrarse en pantalla o almacenarse en una base de datos de archivos XML para su posterior uso y comprobacin. Herramienta de bloqueo de IIS Esta herramienta reduce las reas de ataque de anteriores versiones de Internet Information Services (IIS) e incluye URLScan para ofrecer mltiples capas de proteccin contra atacantes. Todas las configuraciones de seguridad por defecto de IIS 6.0 y 7.0 cumplen o sobrepasan las configuraciones de seguridad realizadas por la herramienta de bloqueo de IIS. Port Reporter Esta herramienta se ejecuta como un servicio en equipos con Windows Server 2003, Windows XP o Windows 2000 y registra la actividad de los puertos TCP y UDP. Port Reporter Parser (PR-Parser) Esta herramienta analiza los registros que genera Port Reporter. La herramienta PR-Parser tiene muchas caractersticas avanzadas que permiten analizar los archivos de registro de Port Reporter. Puede usar PR-Parser con la herramienta Port Reporter en diversos escenarios, por ejemplo en la solucin de problemas y en casos relacionados con la seguridad. PortQry Esta utilidad de la lnea de comandos sirve como ayuda para solucionar problemas de conectividad TCP/IP en Windows Server 2003, Windows XP o Windows 2000. PromQry Las herramientas Promqry y PromqryUI permiten detectar rastreadores de red en equipos que ejecutan Windows Server 2003, Windows XP y Windows 2000. SubInACL Esta herramienta de lnea de comandos le permite obtener informacin de seguridad sobre archivos, claves del Registro y servicios. Tambin le permite transferir esta informacin entre usuarios, grupos locales o globales y dominios. UrlScan Security Tool 3.0 Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dainas puedan alcanzar servidores web IIS. UrlScan 3.0 incluye nuevas caractersticas que ayudan a proteger frente a ataques de inyeccin SQL y puede utilizarse con IIS 5.1 o posterior. UrlScan Security Tool 2.5 Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dainas puedan alcanzar servidores web IIS. UrlScan 2.5 puede puede utilizarse con IIS 4.0 o posterior. Los usuarios que ejecuten IIS 6.0 o posterior deberan usar UrlScan 3.0. L.S.C.A. Ral Monforte Chuln MORCH Systems 11
Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Windows SteadyState Ya administre los equipos de un laboratorio informtico equipos escolar o un cibercaf, una biblioteca o incluso en casa, Windows SteadyState facilita el mantenimiento de los equipos en ejecucin de la manera que desea. Proteccin y eliminacin de virus y malware Malicious Software Removal Tool Esta herramienta busca en los equipos infecciones por software malintencionado especfico y predominante, y ayuda a eliminarlas. Microsoft publica una versin actualizada de esta herramienta el segundo martes de cada mes, o segn se requiera para responder a incidentes de seguridad. Windows Defender Es un programa gratuito que ayuda a proteger su equipo de las amenazas a la seguridad causadas por spyware u otro software no deseado.
Versculo, Frases & Lemas: Dios tom al hombre y lo puso en el jardn del Edn (La naturaleza) para que lo cultivara y lo cuidara. (Genesis 2:15). Cuidemos nuestra casa natural: El medio ambiente, Tirando la basura en su lugar por favor!. Taqueras: Moyito, Suemi Cecilia, La Moto. Le doy gracias a Dios por hacer el cielo con todas sus estrellas, porque una estrella eres t y el cielo es tu amistad..Gracias a Dios eres mi amigo con todo y tu amistad. MORCH Systems. Dios te Bendiga hoy, maana y siempre; a ti, a toda tu familia y a todos tu amigos. MORCH Systems. La vida es bella, nica e irrepetible vvela hoy, como si fuera el ltimo da de tu vida. MORCH Systems. Gracias a Dios: Ser profesional es parte de una mejor calidad de vida para ti y para toda tu familia, lograrlo es una gran satisfaccin de manera espiritual, emocional, social y laboral; bscalo, esfurzate y disfrtalo; y veras que ser profesionista es excelentemente profesional. MORCH Systems.
12