Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica Unidad 4: Evaluacin de la seguridad.

Objetivo: El estudiante identificar los riesgos y peligros potenciales en la seguridad fsica, lgica, de confidencialidad y del personal que le permitan sugerir formas para eliminarlos.

4.1 Generalidades de la seguridad del rea fsica.

Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

4.2 Seguridad lgica y confidencial.

La seguridad lgica puede evitar una afectacin de prdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o password)
hasta los sistemas ms complicados, pero se debe evaluar que cuanto ms complicados sean los dispositivos de seguridad ms costosos resultan. Por lo tanto, se debe mantener una adecuada relacin de seguridad-costo en los sistemas de informacin. Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La introduccin de informacin confidencial a la computadora puede provocar que sta est concentrada en manos de unas cuantas personas, por lo que existe una alta dependencia en caso de prdida de los registros. El ms comn de estos delitos se presenta en el momento de la programacin, en el cual por medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al momento de programar un sistema de nmina se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador.

Uno de los puntos ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario de un sistema, ya sea que la informacin se encuentre en un archivo o en una base de datos, o bien que se posea una minicomputadora, o un ststed en red (interna o externa). Para esto podemos definir los siguientes tipos usuarios: * Propietario: Es, como su nombre lo indica, el dueo de la informacin, responsable de sta, y puede realizar cualquier funcin (consultar, actualizar, dar autorizacin de entrada a otro usuario). Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. * Administrador: Slo puede actualizar o modificar el software con la deba! autorizacin, pero no puede modificar la informacin. Es responsable del seguridad lgica y de la integridad de los datos. L.S.C.A. Ral Monforte Chuln 1 MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Usuario principal: Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. * Usuario de consulta: Slo puede leer la informacin pero no puede modificarla. Para conservar la integridad, la confidencialidad y la disponibilidad de los sistemas se deben tomar en cuenta lo siguiente: * La integridad: Es responsabilidad de los individuos autorizados para modificar datos o programas (usuario administrador) o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo (usuario responsable y principal). * La confidencialidad: Es responsabilidad de los individuos autorizados para consultar (usuario de consulta) o para bajar archivos importantes para microcomputadoras (usuario de explotacin). * La disponibilidad: Es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones (usuario administrador). El control implantado para minimizar estos riesgos debe considerar los siguientes factores: * El valor de los datos siendo procesados. * La probabilidad de que ocurra un acceso no autorizado. * Las consecuencias para la organizacin si ocurre un acceso no autorizado.. * La seguridad lgica abarca las siguientes reas: * Rutas de acceso. * Claves de acceso. * Software de control de acceso. * Encriptamiento.

4.3 Seguridad personal.

Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes psicolgicos y mdicos, y tener muy en cuenta sus antecedentes de trabajo. Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importa mucho su actitud y comportamiento. El personal de informtica debe tener desarrollado un alto sistema tico y de lealtad, pero la profesin en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo que el auditor tiene que examinar no solamente el trabajo del personal de informtica, sino la veracidad y confiabilidad de los programas de procesamiento. Se deber evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, con lo que disminuir la posibilidad de ataques intencionados a la organizacin. Una de las formas de lograr la motivacin es darle al personal la capacitacin y actualizacin que requiere, as como proporcionarle las retribuciones e incentivos justos.

4.4 Clasificacin de los controles de seguridad.

Tipos de controles de seguridad: * Control de distribucin: La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. L.S.C.A. Ral Monforte Chuln MORCH Systems 2

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Validacin de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. * Totales de control: Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. * Control de secuencia: En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. * Pruebas de consistencia y verosimilidad: Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. * Digito de control: Es necesario asegurarse de que el contenido de la clave est correcto.

4.5 Seguridad en los datos y software de aplicacin.

Seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin no autorizada. La Seguridad se refiere a la Confidencialidad, Integridad y Disponibilidad de la informacin y datos, independientemente de la forma los datos pueden tener: electrnicos, impresos, audio u otras formas. La seguridad de la informacin involucra la implementacin de estrategias que cubran los procesos en donde la informacin es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de polticas, controles de seguridad, tecnologas y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto informacin como los sistemas que la almacenan y administran.

4.6 Controles para evaluar software de aplicacin.

Objetivos de la auditoria de software de aplicacin: Verificar la presencia de procedimientos de controles para satisfacer: * La instalacin del software * La operacin y seguridad del software. * La administracin del software Evaluacin del software. * El auditor debe evaluar qu software se encuentra instalado en la organizacin. * Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. * Tambin debe investigar las versiones de cada uno. * Organizacin. El auditor debe de verificar que existan polticas para: * La evaluacin del software. * Adquisicin o instalacin. * Soporte a usuarios. * Seguridad. Adems de los siguientes controles: * Controles de Implementacin: Auditan el proceso de desarrollo de sistemas en diversos puntos para asegurarse que est adecuadamente controlado y administrado. * Controles para el software: Sirven para asegurar la seguridad y confiabilidad del software. L.S.C.A. Ral Monforte Chuln MORCH Systems 3

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
* Controles para el hardware: Controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo. * Controles de operaciones de cmputo: Se aplican al trabajo del departamento de cmputo para asegurar que los procedimientos programados sean consistentes y correctamente aplicados al almacenamiento y procesamiento de los datos. * Controles de seguridad de los datos: Aseguran que los archivos de datos en disco o medios secundarios no se expongan a accesos, cambios o destruccin no autorizados. * Controles administrativos: Son normas, reglas, procedimientos y disciplinas formales para asegurar que los controles de la institucin se ejecuten y se respeten de manera adecuada. * Polticas y procedimientos por escrito : Establecen estndares formales para controlar las operaciones de los sistemas de informacin. Los procedimientos deben formalizarse por escrito y ser autorizados por el nivel administrativo adecuado. Los deberes y responsabilidades deben quedar claramente especificados.

4.7 Controles para prevenir crmenes y fraudes informticos.

Se define como delito informtico a cualquier actividad o conductas ilcitas, susceptibles de ser sancionadas por el derecho penal, que en su realizacin involucre el uso indebido de medios informticos. Fraudes cometidos mediante manipulacin de computadoras: * Manipulacin de los datos de entrada. * Manipulacin de programas. * Manipulacin de los datos de salida. * Administrar un incidente de seguridad requiere experiencia y habilidades tcnicas para controlar las acciones del atacante, pero al mismo tiempo habilidad y pericia para establecer los rastros y registros de dichas acciones con las cuales relacionar las acciones y efectos ocasionados por el intruso dentro del sistema. Algunos controles para prevenir estos fraudes son: * Identificar riesgos. * Identificar y definir con ms detalle la visin del ambiente. * Controles generales: Los controles generales son los que controlan el diseo, la seguridad y el uso de los programas de computadora, y la seguridad de los archivos de datos en general, en toda la organizacin. * Controles de implementacin: Los controles de implementacin auditan el proceso de desarrollo de sistemas en diversos puntos, para asegurar que se le controle y maneje debidamente. * Controles de software: Los controles de software sirven para monitorear el uso del software de sistema y evitar el acceso no autorizado a los programas de aplicacin y al software de sistema. * Controles de seguridad: Los controles de seguridad de los datos son los controles que cuidan que los archivos de datos grabados en disco o cinta no sufran accesos no autorizados, alteraciones o destruccin. La seguridad se puede cuidar en varios niveles: * Las terminales se pueden restringir fsicamente, a fin de que slo personas autorizadas accedan a ellas. * El software de sistemas puede incluir el uso de contraseas asignadas slo a personas autorizadas. * Pueden crearse series de contraseas adicionales y restrucciones de seguridad para sistemas y aplicaciones especficos. Seguridad e internet. Si una empresa se enlaza con internet, o transmite informacin atreves de Intranet o extranet, es necesario que adopte medidas de seguridad, ya que las redes como el internet estn abiertas a todo pblico y a todo el mundo y cuando ocurren abusos, estos impactan muchos lugares del mundo. L.S.C.A. Ral Monforte Chuln MORCH Systems 4

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Seguridad y Comercio electrnico La seguridad de comunicaciones electrnicas en una compaa es de suma importancia, ya que esta debe garantizar la confidencialidad de los datos tanto de los compradores como de los vendedores en la red. Unos de los mecanismos que utilizan numerosas instituciones para proteger los datos e informacin confidencial es el cifrado.

4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres.

Gua general para elaborar un plan de contingencia Los conceptos bsicos son los siguientes: * Anlisis y valoracin de riesgos. * Jerarquizacin de las aplicaciones. * Establecimientos de requerimientos de recuperacin. * Ejecucin. * Pruebas. * Documentacin. * Difusin y mantenimiento. Anlisis y valoracin de Riesgos. El proyecto comienza con el anlisis del impacto en la organizacin. Durante esta etapa se identifican los procesos crticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripcin del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organizacin el experimentar un desastre que afecte a la actividad empresarial. Se debe evaluar el nivel de riesgo de la informacin para hacer: * Un adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad. * Clasificar la instalacin en trminos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo. * Cuantificar el impacto en el caso de suspensin del servicio. * Determinar la informacin que pueda representar cuantiosas prdidas para la organizacin o bien que pueda ocasionar un gran efecto en la toma de decisiones. Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao producido mediante la evaluacin y anlisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Jerarquizacin de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organizacin. Para la determinacin de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos.. Establecimientos de requerimientos de recuperacin . En esta etapa se procede a determinar lo que se debe hacer para lograr una ptima solucin, especificando las funciones con base en el estado actual de la organizacin. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definicin del problema, analizar reas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus L.S.C.A. Ral Monforte Chuln MORCH Systems 5

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
flujos, el sistema de control y evaluacin, formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. Ejecucin. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecucin cuyas conclusiones pueden servir para mejorar ste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas crticas. En la elaboracin del plan de contingencias deben de intervenir los niveles ejecutivos de la organizacin, personal tcnico de los procesos y usuarios, para as garantizar su xito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo tcnico, econmico y organizacional. Pruebas. Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realizacin. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecucin, con lo cual la prueba volver a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversin; en este ltimo caso pasar nuevamente a la fase de conversin para la solucin de los problemas detectados. El plan de contingencia y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. * El grado de riesgo al que la organizacin est expuesta. * El tamao de las instalaciones de la organizacin. * La evaluacin de los procesos considerados como crticos * La formulacin de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido. Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.

4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal.

Seguridad fsica. El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de informacin, debido a contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, terremotos, huracanes etc., y continuar en un medio de emergencia hasta que sea restaurado el servicio completo. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma. Principales amenazas que se preveen en la seguridad fsica. * Desastres naturales, incendios accidentales tormentas e inundaciones. * Amenazas ocasionadas por el hombre. * Disturbios, sabotajes internos y externos deliberados. L.S.C.A. Ral Monforte Chuln MORCH Systems 6

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Problemas a los que nos enfrentamos. * Acceso fsico * Desastres naturales * Alteraciones del entorno Controles necesarios para la seguridad del personal. * Controles administrativos del personal de informtica. * Seguros y fianzas para el personal de sistemas. * Planes y programas de capacitacin. * Planes de contingencia definidos para el personal que labora en el rea.

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin.
Las tcnicas de proteccin de datos deben englobar las tres fases del proceso de produccin de datos estadsticos: la recogida, el procesamiento o anlisis y la difusin. Sin embargo, las ms extendidas y desarrolladas se aplican en la ltima fase del proceso por lo que se denominan Tcnicas de Control de la Divulgacin Estadstica. stas se clasifican de una manera casi natural, segn el formato en el que los datos son publicados o difundidos. Comnmente, existen tres principales formas de difundir los datos estadsticos: * Mediante Ficheros de registros individuales. * Mediante Tablas de magnitud o frecuencias. * Mediante consultas secuenciales en Bases de Datos. Tcnicas para la proteccin en Ficheros de Datos Con ficheros de datos estadsticos nos referimos a ficheros de registros individuales que contienen informacin identificativa sobre cada individuo encuestado o registrado de una poblacin o muestra. El riesgo de divulgacin de informacin confidencial en un fichero de datos vendr dado principalmente por el riesgo de identificacin. Atributos tan claramente identificativos como nombres o direcciones, no son normalmente incluidos en ficheros de uso pblico y externo, por considerarse de carcter confidencial. Sin embargo caractersticas tales como sexo, edad, estado civil, poblacin etc., s son dadas a conocer junto con otras variables de inters. De esta forma, es posible identificar a individuos o unidades de la muestra o de la poblacin que son nicos con respecto a una determinada combinacin de valores de dichas variables. Como consecuencia de dicha identificacin, ser posible conocer toda aquella informacin registrada sobre el individuo en el propio fichero o en otros ficheros externos disponibles, de la misma poblacin o muestra. Las tcnicas de proteccin en ficheros de datos estarn encaminadas en su mayora a proteger contra la identificacin de unidades o individuos nicos o "raros" en la poblacin y evitar la difusin de valores inusuales de variables que favorezcan dicha identificacin. Muchas veces no disponemos de los datos de toda la poblacin, sino de una muestra representativa de la misma, de forma que individuos o unidades que son raros nicos en la muestra no tienen por qu serlo en la poblacin. La estimacin de la proporcin de unidades o individuos nicos en la poblacin a partir de los que s lo son en la L.S.C.A. Ral Monforte Chuln MORCH Systems 7

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
muestra o en el fichero de datos, puede convertirse en una medida de la efectividad de los mtodos aplicados, es decir, en una medida cuantitativa del riesgo de divulgacin. Podemos clasificar estos mtodos en dos grandes grupos: * Mtodos de Restriccin. Se basan en limitar la cantidad de informacin publicada mediante diferentes tcnicas: Recodificacin: Consiste en unificar categoras en variables cualitativas o agrupar magnitudes con valores extremos en variables cuantitativas (top-bottom coding) Supresiones Locales: Simplemente se suprimen para su publicacin, determinados valores sensitivos de variables que pueden dar lugar a identificaciones (profesiones poco comunes, salarios inusualmente altos,...). * Mtodos de Perturbacin. Tienen en comn que modifican los valores de determinadas variables, permitiendo su publicacin pero de forma que no se puedan conocer los valores exactos. Entre stos destacan: Redondeo Aleatorio: Los valores de determinadas variables son sustituidos por cantidades redondeadas. Aportacin de ruido: Consiste en la introduccin de error (pequeas cantidades seleccionadas aleatoriamente) en los valores de las variables. Sustitucin: Consiste en intercambiar valores dentro de una variable de forma que la informacin puede ser tratada estadsticamente (se mantiene la estructura de correlacin), sin riesgo de identificar a un individuo con un determinado registro dentro del fichero de datos. Microagregacin: Se agrupan los valores de la variable de acuerdo a determinados criterios de ordenacin y en cada registro el valor de dicha variable es sustituido por la media del grupo al que pertenezca. Detalles sobre el mtodo y su aplicacin van a ser desarrollados con posterioridad en este cuaderno. Cifrado de Datos Su objetivo es el de hacer ininteligibles los datos a usuarios no autorizados que sean capaces de acceder a ellos. Existen numerosos mtodos de cifrado de datos o mtodos criptogrficos. Los sistemas de cifrado ms antiguos y ms conocidos son los que hacen uso de una clave privada (normalmente un nmero) para, mediante un conjunto de transformaciones matemticas, mantener oculto el significado de determinados datos. Los mtodos de cifrado de datos pueden ser: * Simtricos: cuando la clave de cifrado es la misma que la de descifrado. * Asimtricos: cuando ambas claves son distintas. Los mejores mtodos de cifrado actuales resultan prcticamente invulnerables. Algunos de los ms utilizados son los siguientes: * Cifrado endeble. Vlidos para unos niveles de seguridad medios, pero vulnerables ante potentes sistemas de descifrado. Las claves utilizadas permiten un nmero de combinaciones de 240. * Sistemas correctos de gestin de claves. Requieren que el usuario divida en varias partes la clave de descifrado y haga entrega de esas claves a personas de su confianza. La clave slo puede reconstruirse en caso de que los depositarios de todas las partes se pongan de acuerdo. * Criptografa de clave pblica. Son criptosistemas con claves asimtricas. Estos criptosistemas se basan en que cada uno de los operadores tiene dos claves, una privada que slo l conoce y una pblica, que conocen o pueden conocer todos los intervinientes en el trfico. Cuando el operador A quiere emitir un mensaje aplica al mismo la clave pblica de B y el mensaje as cifrado se emite a B, que al recibir el mensaje le aplica su clave privada para obtener el mensaje descifrado. Por ello se denomina criptosistema asimtrico, ya que para cifrar y descifrar los mensajes se utilizan dos claves distintas.

L.S.C.A. Ral Monforte Chuln MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Adems, y esto es lo esencial, el sistema es calificado de unidireccional, en el sentido de que, a travs de la clave pblica de B utilizada por A para cifrar el mensaje dirigido a B y descifrado con la clave privada de B, no es posible con el actual estado de la tecnologa informtica que A acceda a la clave privada de B. De esta forma, y debido a la complejidad computacional de los algoritmos utilizados, se garantiza el secreto de la clave privada de ste. Descifrado. Es el proceso que, a partir de una informacin que aparece como "texto cifrado" y aplicando un algoritmo adecuado, permite obtener de nuevo el "texto claro" original. Firma digital y certificacin .La firma digital permite la autenticacin de los mensajes recibidos. Para conseguir la autenticacin se utiliza una funcin "hash" del mensaje para obtener un resumen del mensaje original. Posteriormente se cifra ese resumen con la clave privada propia del remitente. Cuando la firma digital la realiza una autoridad en la que se confa, el mensaje se considera certificado y a la autoridad se la denomina autoridad de certificacin. Control de Accesos. Los equipos lgicos deben imponer procedimientos de control sobre personas u otros SI que intenten acceder a los mismos, ya sea directamente o mediante redes de comunicaciones. Medidas de seguridad * Fsicas: Controlar el acceso al equipo. Tarjetas de acceso, etc * Personal: Acceso slo del personal autorizado. Evitar sobornos, etc. * SO: Seguridad a nivel de SO * SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc. Un SMBD cuenta con un subsistema de seguridad y autorizacin que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado. * Identificar y autorizar a los usuarios: uso de cdigos de acceso y palabras claves, exmenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc. * Autorizacin: usar derechos de acceso dados por el terminal, por la operacin que puede realizar o por la hora del da. * Uso de tcnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet. * Diferentes tipos de cuentas: en especial del ABD con permisos para: creacin de cuentas, concesin y revocacin de privilegios y asignacin de los niveles de seguridad. Herramientas de seguridad de Software Administracin de las actualizaciones de seguridad Microsoft Update Microsoft Update rene las actualizaciones proporcionadas por Windows Update y Office Update en un mismo sitio y permite configurar su equipo para que reciba automticamente actualizaciones crticas y de seguridad. Windows Server Update Services (WSUS) Windows Server Update Services (WSUS) simplifica el proceso de mantener actualizados los sistemas basados en Windows con las ltimas actualizaciones disponibles, con una mnima intervencin administrativa. System Center Configuration Manager

L.S.C.A. Ral Monforte Chuln MORCH Systems

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
System Center Configuration Manager 2007 permite gestionar la implantacin y configuracin de sistemas operativos y aplicaciones, mejorando la seguridad y ofreciendo una evaluacin completa de servidores, equipos y dispositivos mviles. Herramienta de inventariado Systems Management Server 2003 para Microsoft Updates Los administradores de Systems Management Server pueden utilizar esta herramienta de inventariado para Microsoft Updates (ITMU) para ver si se est cumpliendo la actualizacin de los sistemas que gestionan. Deteccin de actualizaciones de seguridad: Microsoft Baseline Security Analyzer (MBSA) MBSA busca actualizaciones de seguridad no instaladas y los errores ms comunes de configuracin de seguridad. Ofrece una mejor experiencia de usuario, ampla el soporte a producto y puede utilizarse junto con Microsoft Update y Windows Server Update Services. Microsoft Office Visio 2007 Connector para Microsoft Baseline Security Analyzer Este conector permite ver los resultados del anlisis de Microsoft Baseline Security Analyzer de manera clara y comprensible en un diagrama de Microsoft Office Visio 2007. Extended Security Update Inventory Tool La herramienta Extended Security Update Inventory Tool sirve para detectar boletines de seguridad no cubiertos por MBSA incluidos los boletines de seguridad MS04-028, de febrero 2005 y futuros que son excepciones a MBSA. Evaluacin de seguridad Microsoft Security Assessment Tool (MSAT) MSAT ofrece informacin y recomendaciones para ayudarle a mejorar la seguridad de su infraestructura tecnolgica. Bloqueo, auditora y deteccin de intrusos Herramientas de administracin y bloqueo de cuentas Estas herramientas le pueden ayudar a administrar cuentas y a solucionar problemas relacionados con bloqueos de cuenta. BitLocker Active Directory Recovery Password Viewer Esta herramienta ayuda a localizar contraseas de recuperacin de Cifrado de unidad BitLocker para equipos basados en Windows Vista, o Windows Server 2008, en Servicios de dominio de Active Directory. Herramienta de preparacin de la unidad BitLocker Esta herramienta configura las unidades de disco duro del equipo de forma que sean compatibles con la habilitacin de BitLocker. Herramienta de reparacin de BitLocker Esta herramienta puede ayudarle a recuperar datos de discos corruptos o daados cifrados con BitLocker. EventCombMT L.S.C.A. Ral Monforte Chuln MORCH Systems 10

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Disponible como parte de la descarga de scripts de la gua de seguridad, es una herramienta multiproceso que analiza registros de sucesos en varios servidores al mismo tiempo. File Checksum Integrity Verifier Esta herramienta de lnea de comandos calcula y comprueba los valores hash criptogrficos MD5 o SHA-1 de los archivos. Estos valores pueden mostrarse en pantalla o almacenarse en una base de datos de archivos XML para su posterior uso y comprobacin. Herramienta de bloqueo de IIS Esta herramienta reduce las reas de ataque de anteriores versiones de Internet Information Services (IIS) e incluye URLScan para ofrecer mltiples capas de proteccin contra atacantes. Todas las configuraciones de seguridad por defecto de IIS 6.0 y 7.0 cumplen o sobrepasan las configuraciones de seguridad realizadas por la herramienta de bloqueo de IIS. Port Reporter Esta herramienta se ejecuta como un servicio en equipos con Windows Server 2003, Windows XP o Windows 2000 y registra la actividad de los puertos TCP y UDP. Port Reporter Parser (PR-Parser) Esta herramienta analiza los registros que genera Port Reporter. La herramienta PR-Parser tiene muchas caractersticas avanzadas que permiten analizar los archivos de registro de Port Reporter. Puede usar PR-Parser con la herramienta Port Reporter en diversos escenarios, por ejemplo en la solucin de problemas y en casos relacionados con la seguridad. PortQry Esta utilidad de la lnea de comandos sirve como ayuda para solucionar problemas de conectividad TCP/IP en Windows Server 2003, Windows XP o Windows 2000. PromQry Las herramientas Promqry y PromqryUI permiten detectar rastreadores de red en equipos que ejecutan Windows Server 2003, Windows XP y Windows 2000. SubInACL Esta herramienta de lnea de comandos le permite obtener informacin de seguridad sobre archivos, claves del Registro y servicios. Tambin le permite transferir esta informacin entre usuarios, grupos locales o globales y dominios. UrlScan Security Tool 3.0 Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dainas puedan alcanzar servidores web IIS. UrlScan 3.0 incluye nuevas caractersticas que ayudan a proteger frente a ataques de inyeccin SQL y puede utilizarse con IIS 5.1 o posterior. UrlScan Security Tool 2.5 Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dainas puedan alcanzar servidores web IIS. UrlScan 2.5 puede puede utilizarse con IIS 4.0 o posterior. Los usuarios que ejecuten IIS 6.0 o posterior deberan usar UrlScan 3.0. L.S.C.A. Ral Monforte Chuln MORCH Systems 11

Instituto Tecnolgico Superior de Coatzacoalcos Auditoria en Informtica - Octavo Semestre - Licenciatura en Informtica
Windows SteadyState Ya administre los equipos de un laboratorio informtico equipos escolar o un cibercaf, una biblioteca o incluso en casa, Windows SteadyState facilita el mantenimiento de los equipos en ejecucin de la manera que desea. Proteccin y eliminacin de virus y malware Malicious Software Removal Tool Esta herramienta busca en los equipos infecciones por software malintencionado especfico y predominante, y ayuda a eliminarlas. Microsoft publica una versin actualizada de esta herramienta el segundo martes de cada mes, o segn se requiera para responder a incidentes de seguridad. Windows Defender Es un programa gratuito que ayuda a proteger su equipo de las amenazas a la seguridad causadas por spyware u otro software no deseado.

Versculo, Frases & Lemas: Dios tom al hombre y lo puso en el jardn del Edn (La naturaleza) para que lo cultivara y lo cuidara. (Genesis 2:15). Cuidemos nuestra casa natural: El medio ambiente, Tirando la basura en su lugar por favor!. Taqueras: Moyito, Suemi Cecilia, La Moto. Le doy gracias a Dios por hacer el cielo con todas sus estrellas, porque una estrella eres t y el cielo es tu amistad..Gracias a Dios eres mi amigo con todo y tu amistad. MORCH Systems. Dios te Bendiga hoy, maana y siempre; a ti, a toda tu familia y a todos tu amigos. MORCH Systems. La vida es bella, nica e irrepetible vvela hoy, como si fuera el ltimo da de tu vida. MORCH Systems. Gracias a Dios: Ser profesional es parte de una mejor calidad de vida para ti y para toda tu familia, lograrlo es una gran satisfaccin de manera espiritual, emocional, social y laboral; bscalo, esfurzate y disfrtalo; y veras que ser profesionista es excelentemente profesional. MORCH Systems.

L.S.C.A. Ral Monforte Chuln MORCH Systems

12