Professional Documents
Culture Documents
www.FreeLibros.me
:
:
:
:
www.FreeLibros.me
Presentacin
El Instituto Nacional de Estadstica e Informtica (INEI), como ente
rector del Sistema Nacional de Informtica, continuando con la publicacin
de la Coleccin Informtica Fcil, presenta su cuadrigsimo nmero titulado:
Auditora para la Seguridad Informtica .
www.FreeLibros.me
www.FreeLibros.me
Indice
LOS VIRUS Y LA AUDITORIA PARA LA SEGURIDAD INFORMATICA
Introduccin.............................................................................................................................7
Historia....................................................................................................................................7
Amenazas................................................................................................................................9
Prdidas...................................................................................................................................9
Nuevos Riesgos.......................................................................................................................9
ANEXOS
Panda Software International
Firewalls- Seguridad Concentrada.....................................................................................37
Backups: Copias de Seguridad esenciales.........................................................................38
Passwords, el primer punto a proteger...............................................................................40
Seguridad Unix para usuarios Windows.............................................................................42
Informe sobre la seguridad informtica en las empresas...................................................44
7,600 millones de dlares en prdidas causadas por los virus .......................................45
BIBLIOGRAFIA
www.FreeLibros.me
www.FreeLibros.me
D ELIT O S E IN C ID EN C IA S IN FO R M A T IC A S
Delitos e Incid
100
85
80
60
45
40
20
0
1950
10
13
1960
1970
1980
1990
Aos
D atos proporcionadospor Stanford Research Institute
Espionaje
Delitos
Grupos Organizados
Intrusos Individuales
10
11
12
Investigacin Preliminar
Esta etapa persigue :
13
Verificacin de la Seguridad
Informtica Aplicada
Esta etapa consiste, en la revisin y comprobacin
del cumplimiento de las normas y procedimientos
de seguridad informtica de la entidad.
Se utilizarn los cuestionarios como Herramienta de Auditora a la
Seguridad Informtica, con el fin de obtener una orientacin general
sobre este tema.
14
15
Cronograma de Aplicacin de la
Auditora a la Seguridad Informtica
Se anexa el cronograma que se desarroll en la Auditora a la Seguridad Informtica.
Desarrollo de la Auditora
a la Seguridad Informtica
Se detalla la forma en que se aplic la Auditora, cada paso, control, verificacin,
entrevista, prueba o dinmica aplicada, as como los que intervinieron en el proceso
de control y los resultados que se obtuvieron.
Valoracin Resumen
El objetivo de este aspecto es mencionar las medidas a adoptar
con el fin de cubrir los riesgos potenciales. Es fundamental que
el costo de estas medidas sea menor que el costo de la prdida,
ya que el objetivo final de un anlisis de riesgos ha de ser la
implantacin de un sistema de seguridad, que persiga la
reduccin de la probabilidad de prdida a un nivel
aceptablemente bajo, dentro de un costo razonable.
Se debe exponer de forma clara, concisa y objetiva las deficiencias e incumplimientos
que se comprueben, expresando siempre que sea posible la regulacin, norma o
procedimiento que se incumpli o viol.
Siempre que se realice un diagnstico, deben incluirse las proposiciones necesarias
para subsanar y erradicar las deficiencias o incumplimientos que se sealan.
Una vez que se ha terminado el informe, ste debe
discutirse en la entidad auditada con la Direccin
del Centro, la cual debe elaborar un plan de
medidas para dar respuesta a las recomendaciones
planteadas y fijar fecha para el anlisis del mismo.
16
I ESTRUCTURA DE GESTION
POLITICAS DE SEGURIDAD
CATEGORIZACION DE LA INFORMACION
17
I PERSONAL
RESPONSABILIDADES
18
MEDIDAS FISICAS
19
20
21
22
23
AUDITORIA
24
SISTEMA DE BACKUPS
25
PRUEBA DE INSPECCION
AUDITORIA
26
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
123456789012345678901234567890121234567890123456789012
27
I POLITICAS DE SEGURIDAD
1. Se realiz algn anlisis de riesgo y de
vulnerabilidad para la elaboracin del Plan de
Seguridad Informtica?. Mostrar los resultados en
caso afirmativo
2. Cul es la estructura de gestin adoptada?
3. Cules son las polticas definidas en funcin de
la Seguridad Informtica?
MEDIDAS FISICAS
28
MEDIDAS DE SEGURIDAD
TECNICA O LOGICA
29
30
Estreglamentadalaprotecciny eltipodeacceso
que se debe otorgar a cada tipo de usuario?.
Dnde se guardan las claves de los usuarios?
Se emplean mecanismos de encriptamiento para
lasalvaguardadelasmismas?.
7. Con qu periodicidad se cambian las claves?
8. Quin controla el cambio de los passwords?
9. Cmo estn implementados los mecanismos
o herramientas que permitan suspender la
sesin de trabajo de un usuario, cuando ste
demore un tiempo dentro de la aplicacin sin
realizar accin alguna?
10. Cmo se realiza tcnicamente la actualizacin
de los niveles de acceso de los usuarios dentro
de la aplicacin?
11. Qu criterios utilizan para otorgar el acceso?
31
32
1.
2.
3.
4.
AUDITORIA
33
34
SISTEMA DE BACKUPS
35
www.FreeLibros.me
FIREWALLS
SEGURIDAD CONCENTRADA
Los sistemas informticos de las empresas suelen estar formados por redes
interconectadas entre s, que permiten la comparticin de los recursos entre todos
los usuarios. Este conjunto de hardware, software y datos debe estar fuertemente
protegido ante las amenazas externas.
Los Firewalls o cortafuegos, son barreras que concentran la seguridad de parte de
una red en un punto. Se sitan entre los encaminadores y pasarelas que unen unas
redes con otras. Esto permite que, enfocando en ese punto polticas fuertes de
seguridad, la red que queda tras esa barrera est protegida ante el ataque de usuarios
externos.
La funcin de los firewalls consiste en vigilar el trfico de
informacin, tanto entrante como saliente, a travs del filtrado
de los datos que viajan entre las redes. Tambin se ocupan de
identificar convenientemente a los usuarios externos que
quieran conectare a la red. Podemos pensar que su funcin es
como la de un guardia de seguridad en un gran edificio: situado en la puerta,
controlar todo el trfico de personas, evitar que entren individuos sospechosos,
y pedir identificacin a aquellos usuarios que quieran entrar a los departamentos
privados.
Esta necesidad se hace an ms patente cuando la red est
conectada a Internet, donde las posibilidades de un ataque
se multiplican, ya que estamos hablando de millones de ordenadores que pueden,
cuando menos, presentarse delante de nuestra supuesta puerta principal. Por norma
general, los firewalls estn formados por sistemas hardware o software, y en la
mayora de las ocasiones se trata de un compendio de ambos.
Esta solucin se presenta como todo un estndar en cuanto a la seguridad de las
redes, y su implantacin queda complementada con un sistema antivirus que soporte
distribucin, monitorizacin, configuracin, programacin y actualizacin, de forma
centralizada.
37
BACKUPS: COPIAS DE
SEGURIDAD ESENCIALES
Firewalls, herramientas de cifrado, antivirus, o parches a los sistema operativos,
son algunas de las medidas y utilidades que a diario, y en mayor o menor medida,
utilizamos para garantizar la seguridad de nuestros sistemas. Sin embargo, no
debemos olvidar uno de los pilares bsicos en los que debe basarse toda poltica de
seguridad que se precie: las backups o copias de seguridad.
Ante desastres naturales, robo fsico, o vandalismo informtico, las copias de
seguridad se presentan como una de las medidas ms tiles para poder recuperar,
mediante su restauracin, la informacin vital de los sistemas y evitar la prdida
total de nuestros datos.
Cintas magnticas, discos pticos, discos duros, o el
tan socorrido, pero cada vez menos til, disquete, son
algunos de los dispositivos empleados para realizar
las copias de seguridad. El ms utilizado
tradicionalmente, la cinta magntica, ha sido
desbancado por otros que permiten un acceso directo
a la informacin y conllevan otras ventajas. No obstante, el acceso secuencial de las
cintas magnticas no impide que cumplan perfectamente con su misin, caracterstica
que se suma a la ventaja que supone el que se trate de uno de los soportes ms
baratos.
Cuando el usuario va a planificar la poltica de copias de seguridad de su equipo
informtico, debe tener en cuenta los siguientes consejos:
- Configurar el sistema para que realice las copias de seguridad de
forma automtica.
- Llevarlas a cabo en las horas en las que la actividad sea mnima.
Esto nos permitir asegurarnos de que hay pocos ficheros abiertos y que, por lo
tanto, salvaguardamos la mayor parte de la informacin.
- Hacer una primera copia de seguridad de todo el sistema y repetirla cuando
existan cambios importantes (actualizaciones, parches, o instalacin de nuevo
software).
38
39
PASSWORDS, EL PRIMER
PUNTO A PROTEGER
En muchas ocasiones se efectan grandes inversiones tratando de proteger los
sistemas informticos de la empresa: se instalan firewalls, servidores seguros,
etc. Pero todo ello puede quedar al descubierto si se descuida un punto primordial: los passwords.
El primer punto en el que se basa la seguridad de un sistema son los passwords.
Para entrar en un ordenador o servicio hay que introducir, por regla general, un
nombre de usuario y una palabra clave. Si descuidamos este aspecto, toda
proteccin adicional que se instale en el sistema no tendr sentido.
Puede resultar chocante comprobar cmo una compaa puede invertir miles de
dlares en instalar un eficaz firewall, para despus ver que las contraseas de
acceso al sistema son tan simples como repetir el nombre de usuario o, incluso,
que se mantienen los passwords que se crean por defecto en el sistema. El atacante
no tendr que saltarse ninguna medida de proteccin, bastar con que sea lo
suficientemente astuto como para probar diversas combinaciones de login/
password y conseguir entrar en el sistema con pleno derecho.
Por ello, es fundamental que ningn password sea obviado, que no contenga
nombres de personas, lugares, fechas, etc. En definitiva, el password debe ser
una combinacin de nmeros, letras y signos de puntuacin, sin ningn sentido
evidente.
40
41
42
Cecilia, Fernando
Silvana, Gonzalo - Patty, Alex - Margarita, Jimmy
Ana, Francisco - Jossio, Carol - Sandra, Eduardo- Jaqui, Too
Sergio, - Miller - Dvila - Agustn, Sara- Antonieta, Frank- Paola,
Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, Jos Pierito - Cecy, Nando.
43
INFORME SOBRE LA
SEGURIDAD INFORMATICA EN
LAS EMPRESAS
Un 77 % de las empresas tienen, a lo largo del ao, algn tipo de incidencia o
problema relacionado con virus informticos. Este es uno de los datos
proporcionados en el ltimo estudio sobre seguridad informtica, publicado en el
nmero de Julio de la prestigiosa revista Information Security. El estudio, realizado
entre los meses de Abril y Mayo del presente ao, es el resultado de una encuesta
en la que han participado 745 lectores de la revista Information Security, una muestra
que incluye administradores de sistemas, responsables y ejecutivos en tecnologas
de la informacin, redes informticas y administracin de datos. El informe ha sido
esponsorizado por la Asociacin Internacional de Seguridad Informtica (ICSA) y
SAIC, empresa dedicada a soluciones de seguridad.
El objetivo de la encuesta es evaluar el estado de la seguridad
informtica desde el punto de vista de sus responsables, calibrar la
vulnerabilidad y eficacia de los productos comerciales relacionados
con dicha rea, y profundizar en los crecientes problemas asociados
a los agujeros de seguridad.
Los ataques por virus siguen siendo el principal problema de las empresas en lo
que a seguridad se refiere, y el nmero de incidencias debidas a cdigo maligno
sigue aumentando. Un 77 % de las empresas encuestadas ha sufrido a lo largo del
pasado ao algn tipo de incidencia o problema relacionado con virus informticos.
Las soluciones antivirus, que se pueden encontrar en ms de un 90% de las empresas,
son los ms empleados en el rea de seguridad, aunque este ao ha cobrado especial importancia la inversin en firewalls y software de control de acceso, debido
sobre todo a la potenciacin de la seguridad en Internet.
Estudios anteriores reflejaban que el mayor riesgo a la seguridad provena de los
abusos de los propios empleados o de empleados descontentos. Este tipo de accesos
desde dentro se llegaba a cifrar hasta en un 80%. Segn este nuevo informe, se
vuelve a demostrar, por un amplio margen, que este tipo de accesos no autorizados
sigue afectando a la mayor parte de las compaas por encima de cualquier otro
tipo de riesgo. Tambin se produce un aumento en el nmero de casos de accesos
externos no autorizados. El porcentaje de empresas que haban sufrido alguna
intrusin de hackers durante el ao 1998 se situaba en un 12%, mientras que en el
presente estudio el porcentaje se eleva al 23% de las empresas, es decir, casi el
doble.
44
Estos 7,600 millones de dlares representan los gastos por prdidas en productividad
y costos de reparacin declarados por las 185 compaas que han sido objeto del
estudio de Computer Economics y que representan cerca de 900.000 usuarios
internacionales.
Esta cifra contrasta con la ofrecida el ao pasado por la misma consultora y que
situaba las prdidas de todo el ao por encima de los 1,500 millones de dlares. En
el estudio de 1998 no slo se incluyeron las prdidas por virus, sino tambin las
debidas a intrusiones en los sistemas informticos por hackers y usuarios maliciosos.
Computer Economics hace hincapi en que las cifras de prdidas en este primer
semestre del ao son ya cinco veces superiores a los totales del pasado ao y slo
en cuanto a virus se refiere. Incluso, se estima que estos nmeros son conservadores
e inferiores a los reales, ya que la mayor parte de las compaas tienden a minimizar
los gastos y las incidencias producidas, a fin de no provocar una mala imagen entre
sus clientes.
En cuanto a la prevencin contra los ataques por virus y gusanos, Michael Erbschloe,
vicepresidente de investigacin de Computer Economics, recomienda una mayor
atencin a las polticas de seguridad informtica de las empresas: La prevencin
contra estos ataques slo se puede llevar a cabo destinando fondos y personal
adecuado a los programas de seguridad informtica de la empresa. De estos
programas, son muy pocos los que cumplen con los recursos necesarios y la
mayora de las empresas tendrn que doblar el presupuesto destinado al rea de
seguridad informtica para hacer frente a este tipo de ataques.
Instituto Nacional de Estadstica e Informtica
www.FreeLibros.me
45
www.FreeLibros.me
http://www.computereconomics.com
http://www.pandasoftware.es/
47