Вы находитесь на странице: 1из 26

“Año de la Unión Nacional frente a la crisis externa”

Ingeniería de Sistemas e Informática

SEGURIDAD EN TECNOLOGÍAS
DE INFORMACIÓN

Integrantes:
• FRANCO SAUÑE, Fiorella Lorena

• GÓMEZ HUAMANÍ, Mery Estela

• PÉREZ MÁRQUEZ, Verónica Sabrina

Ciclo: VIII

Aula: 206

Turno: Noche

Curso: Ingeniería de Software 2

Profesora: ARBOLEDA, Julio

Lima, 2009
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

ESQUEMA

ESQUEMA
INTRODUCCIÓN
1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN?
1.1 TECNOLOGÍAS DE INFORMACIÓN
1.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN
2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LA SEGURIDAD DE LA
INFORMACIÓN?
2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD
2.1.1 TIPOS DE PROBLEMAS DE SEGURIDAD
2.1.1.1 AGRESORES O FUENTES DE AMENAZAS
2.1.1.2 AMENAZAS DE SOFTWARE
2.1.1.3 LOS 10 PRINCIPALES ERRORES DE SEGURIDAD DE TECNOLOGÍAS DE
INFORMACIÓN
3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN LAS TECNOLOGÍA DE
INFORMACIÓN?
3.1 POLÍTICAS DE SEGURIDAD
3.1.1 Análisis de riesgo
3.1.2 Identificar los objetivos clave
3.1.3 Identificar las amenazas
3.1.4 Herramientas para la seguridad
3.1.5 Otras medidas de seguridad
3.2 AUDITORÍAS DE SISTEMAS DE INFORMACIÓN Y DE SEGURIDAD
3.2.1 Plan de Seguridad Informática: P.S.I.
3.2.2 Otros Estándares de Seguridad
4 CONCLUSIONES Y RECOMENDACIONES
4.1 CONCLUSIONES
4.2 RECOMENDACIONES
5 GLOSARIO
6 FUENTES DE INFORMACIÓN
6.1 TRABAJOS DE INVESTIGACIÓN
6.2 INTERNET
SUMARIO

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

INTRODUCCIÓN

Las “Tecnologías de información” (TI) han venido


reformando los procesos administrativos en las empresas
de hoy día permitiendo que los procesos se integren más
fácilmente y a la vez sean más eficientes, además posibilita
agilizar el tener información necesaria para la toma de
decisiones, todo esto es posible en la mayoría de los casos
gracias a la penetración que ha logrado la tecnología del
Internet.

Es por ello que para proteger la información empresarial a


través del tiempo se han desarrollado tecnologías de
software y hardware tales como antivirus, firewalls, entre
otras.

En este trabajo presentamos 5 capítulos importantes:


1. ¿Qué es la seguridad en Tecnologías de Información?, en
donde definiremos los conceptos básicos para seguir con el
tema.
2. ¿Por qué debemos preocuparnos por la seguridad de la
información?, donde veremos las causas y consecuencias
de no usar un buen sistema de seguridad.
3. ¿Cómo implementar la seguridad en las Tecnologías de
Información?, en dónde veremos las mejores prácticas
recomendadas y políticas de seguridad.
4. Nuestras conclusiones y recomendaciones.
5. Un pequeño glosario con definiciones útiles.
6. Las fuentes de información usadas.

Esperando que el trabajo cumpla con las expectativas del


curso y sin otro particular.

FRANCO SAUÑE, Fiorella Lorena


GÓMEZ HUAMANÍ, Mery Estela
PÉREZ MÁRQUEZ, Verónica Sabrina

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS


DE INFORMACIÓN?

1.1 TECNOLOGÍAS DE INFORMACIÓN

“Es el estudio, diseño, desarrollo, implementación, soporte o dirección de los


sistemas de información computarizados, en particular de software de
aplicación y hardware de computadoras.”

"Aquellas herramientas y métodos empleados para recabar, retener,


manipular o distribuir información. La tecnología de la información se
encuentra generalmente asociada con las computadoras y las tecnologías
afines aplicadas a la toma de decisiones (Bologna y Walsh, 1997: 1).

1.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN

Las medidas de seguridad, tienen como objetivo principal preservar la


integridad de las personas y después los bienes, para lograr estos objetivos,
está la:

• Seguridad preventiva que reduce la probabilidad de ocurrencia de


eventos no deseados y reduce las consecuencias en caso de llegar a
ocurrir dicho evento, que puede ocurrir a pesar de las medidas
preventivas.
• Seguridad reactiva, que se activa una vez ocurrido el evento no
deseado, tiene como objetivo estructurar la organización para
minimizar las consecuencias de lo ocurrido y permitir enfrentar el
presente y futuro de la mejor forma posible, a pesar de lo ocurrido.

La seguridad no es un proyecto, es un proceso continuo, es necesario:


• Evaluar (cuál es la situación actual),
• Diseñar (dónde necesitamos estar),
• Implementar (cómo llegamos desde donde estamos hacia adonde
necesitamos estar)
• Administrar y soportar (cómo nos mantenemos y mejoramos).

La seguridad puede ser en base a equipos propios o no, o en base a un


servicio local o remoto, es decir, se puede administrar mediante web, en la
actualidad existe el http y el https, las organizaciones dedicadas a
seguridad, ofrecen los servicios de seguridad como un ASP, hacen hasta
respaldos en forma remota y los resguardan.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR


LA SEGURIDAD DE LA INFORMACIÓN?
• Garantiza el correcto funcionamiento de la actividad empresarial
• Es una obligación legal (normativas LOPD y LSSI – actualmente en
España)
• Puede actuar de factor diferenciador (certificación ISO/IEC
17799:2000)
• Protege ante posibles fallos humanos
• Evita que usuarios internos puedan atacar sistemas externos (con la
responsabilidad legal que ello conlleva)
• Previene la entrada de intrusos en los sistemas Impide que usuarios
descontentos puedan causar daños importantes que lleguen a alterar
o incluso a detener las actividades de la empresa

Además de esto, gracias a la seguridad podemos tener nuevas


oportunidades de negocio, pues nuestra información estará protegida y
seremos competitivos.

Si no implementamos la seguridad, las consecuencias son las siguientes:


• Pérdida económica
• Pérdida de confianza de los clientes
• Pérdida del valor fundamental (cierre de la empresa)

2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD

Hoy en día, la mayoría de las empresas usan tecnologías de información. Sin


embargo, existen amenazas de agentes, tanto internos como externos, que
crean la necesidad de tener
seguridad en ellas. Mediante estas
técnicas podemos resguardar lo que
es importante para una organización,
es decir, la información.

Sin embargo, la mayoría de los


daños no son intencionados, sino
que son ocasionados por la
desinformación de los usuarios y
administradores. A veces también se
causan daños por el descontento de
los trabajadores en la empresa. Es
por eso que se debe contar con una
política para el uso de las
herramientas informáticas. En el
gráfico siguiente1, vemos la
proporción de daños causados por los empleados de la empresa.

1
Data Processing Management Association, 1992

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

2.1.1TIPOS DE PROBLEMAS DE SEGURIDAD2

Existen varios tipos de ataques y agresores en un sistema informático:

 Ataques pasivos: No modifican la información contenida en los


sistemas. Ni el estado del sistema ni su operación son alterados.
 Ataques activos: Estos implican la modificación de la información
contenida en un sistema. Esto puede alterar el estado del sistema o
su operación.

2.1.1.1AGRESORES O FUENTES DE AMENAZAS

1. Hacker: Es una persona con grandes conocimientos de Internet,


programación, firewalls y sistemas operativos robustos. Usualmente alteran
las operaciones de las empresas o roban la información de estas sin su consentimiento,
aunque en algunos casos son contratados por algunas empresas para dar mayor seguridad. En
realidad no tienen un objetivo en particular.

2
Tomado de LLORENTE, Ignacio Martín. “Seguridad en las Tecnologías de
Información”. Universidad Complutense de Madrid. XX SEMINARIO “DUQUE DE
AHUMADA” “SEGURIDAD Y NUEVAS TECNOLOGÍAS”. España. 07/05/2008.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

2. Cracker: Esta persona también tiene grandes conocimientos en los temas de


programación y seguridad informática pero se le paga para robar la información o destruirla.

3. Competencia: Sea directa o indirectamente a través de terceros (por ejemplo, crackers).

4. Clientes descontentos: Sea directa o indirectamente a través de terceros (por ejemplo,


crackers).

5. Empleados: Usualmente por negligencia, pero también de forma malintencionada.

6. Desastres naturales o energéticos: tormenta eléctrica, corte de energía eléctrica,


inundaciones, fallo de refrigeración, etc. Muchas veces es difícil predecir a la Naturaleza.

2.1.1.2AMENAZAS DE SOFTWARE

1. Piratería informática: Esta se da cuando un usuario, interno o externo


a la empresa, ingresa de forma no autorizada a un sistema de información
interconectado. Los piratas cibernéticos pueden monitorear el correo
electrónico, el acceso a servidores Web o a las transferencias de archivos
para extraer contraseñas, robar archivos de redes o plantar datos para que
un sistema acepte intrusos. Un pirata informático también puede hacer uso
de servidores remotos que permitan a una computadora de una red ejecutar
programas en otra computadora para lograr un acceso privilegiado dentro
de una red.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

2. Robo cibernético: Este es conocido comúnmente como phishing, y se


trata de una práctica con la cual un usuario recibe un correo electrónico de
un sitio ‘de confianza’ (ej. : bancos, sitios oficiales) en los cuales se le pide
al usuario que acceda a la página ‘oficial’ mediante un link o un botón,
siendo esta una página falsa donde se le pide al usuario que ingrese sus
contraseñas. Así, el delincuente obtiene todos los datos necesarios para
poder robarle al usuario.

3. Uso no autorizado en el trabajo: Se refiere a cuando un empleado


utiliza la red de la empresa para revisar su correo electrónico, ver asuntos
personales y jugar videojuegos. Esto trae consigo que la red pueda ser
infectada con algún virus, además de la pérdida de tiempo y dinero para la
empresa. Es por esta razón que en estos casos se usan programas
husmeadores, que permiten ver qué es lo que hace el usuario en su
máquina.

4. Piratería de software: Muchas veces, y sobretodo en nuestro país,


usamos software pirata. Esto amenaza la seguridad de la organización al ser

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

descubierta por la ley y recibir una intervención judicial. Incluso si el gerente


de la empresa no sabe que uno de sus empleados ha instalado algún
programa pirata, la sanción recae sobre toda la empresa.
5. Piratería de la propiedad intelectual: Gracias al acceso a Internet,
hoy en día podemos conseguir libros, música, videos, software, etc., solo
descargándolo de la web sin pedir permiso a los autores. Esto viola la Ley de
Derechos de Autor. Además, muchos de estos archivos al ser descargados
dentro de la empresa, pueden traer virus e infectar la red.

6. Virus: Son programas informáticos capaces de infectar el sistema


informático mediante distintos mecanismos de propagación, que contiene
una determinada carga dañina para el sistema infectado y que además
puede incorporar algunas medidas de autoprotección para “sobrevivir”. Los
virus pueden dañar el software, el hardware y los archivos. La inserción del
virus en un programa se llama infección, y el código infectado del archivo (o
ejecutable que no es parte de un archivo) se llama hospedador (host). Un
virus se adjunta a sí mismo a un programa host y, a continuación, intenta
propagarse de un equipo a otro. El que existan virus, además de violar la
integridad de la información, hace que la máquina sea más lenta.

2.1.1.3LOS 10 PRINCIPALES ERRORES DE SEGURIDAD


DE TECNOLOGÍAS DE INFORMACIÓN3

Ø Conectar sistemas TI a Internet antes de protegerlos. Este es un error


clásico. Los ordenadores no están diseñados para conectarse a Internet
nada más salir de la caja de embalaje. Antes de adquirir una línea de
teléfono, un cable Ethernet o una tarjeta inalámbrica para un puesto de
trabajo, es recomendable instalar al menos una solución de protección
contra virus y detección de spyware, así como un programa para prevenir la
instalación de software malicioso.

Ø Conectar a Internet sistemas de prueba con cuentas y contraseñas por


defecto. Es el sueño de un hacker, ya que dejar las claves y cuentas por
defecto facilita enormemente su acceso a la red informática de la empresa.
La solución a este error, ciertamente habitual, es cambiar las contraseñas y
borrar o renombrar las cuentas por defecto inmediatamente.

Ø No actualizar los sistemas operativos de los equipos corporativos. Existen


múltiples agujeros de seguridad en los sistemas operativos. Ningún software
es perfecto y, una vez que se encuentra una vulnerabilidad, ésta se explota
en muy poco tiempo, por lo que es conveniente instalar los parches de
seguridad disponibles lo antes posible.

Ø Falta de una adecuada autentificación de los usuarios que solicitan


servicios técnicos por teléfono. Facilitar a los usuarios contraseñas por
teléfono o cambiárselas en respuesta a una solicitud telefónica o personal
3
Obtenido de LaFlecha.net

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

cuando el usuario no se ha identificado debidamente puede ser la mejor


manera de reducir las solicitudes de soporte al área TI, pero facilita
enormemente la labor de los hackers involucrados en tareas de ingeniería
social. Lo mejor es aplicar las normas de autenticación adecuadas, incluso
cuando la voz del interlocutor resulta familiar.

Ø No mantener ni probar las copias de seguridad. La pereza es una de las


mayores amenazas de seguridad; sin embargo, la creación de copias de
seguridad adecuadas es mucho más fácil que recopilar los datos desde cero.
Por ello, es conveniente realizar a menudo copias de seguridad y
mantenerlas incluso fuera de las instalaciones de la compañía (no en la caja
fuerte del jefe).

Ø No confirmar que el plan de recuperación ante desastres realmente


funciona. Una vez que se tienen las copias de seguridad, hay que verificar si
funcionan, si son buenas y si se tiene un plan de recuperación ante
desastres. Si las tres respuestas son negativas, nos encontramos ante un
problema.

Ø No implantar o actualizar programas de detección de virus. ¿Qué sentido


tiene tener soluciones anti-virus y anti-spyware si no se actualizan? Las
soluciones actualizadas aseguran que las últimas modalidades de software
malicioso serán detectadas inmediatamente.

Ø No formar a los usuarios en materia de seguridad. Los usuarios necesitan


conocer las amenazas a las que deben enfrentarse. Los empleados no
formados en temas de seguridad, son aquellos que suelen ser víctimas de
virus, spyware y ataques de phising, diseñados para corromper sistemas o
filtrar información personal a terceros sin el consentimiento del usuario. No
hay que dar por sentados los conocimientos de los usuarios, ni confiar
demasiado en ellos.

Ø Hacerlo todo uno mismo. Las grandes compañías cuentan con


departamentos informáticos específicos, pero los administradores TI de las
PYMEs muchas veces se encuentran solos ante el peligro. Estos últimos
deben pedir consejo y ayuda en caso de necesidad y si se topan con
cualquier problema, ya que la ayuda externa, aunque a veces costosa,
asegura un trabajo bien hecho a la primera.

Ø Fallos a la hora de reconocer las amenazas internas. Demasiada confianza


puede aniquilar la seguridad informática de la empresa. Los empleados
descontentos pueden causar grandes problemas si no se les monitoriza
adecuadamente. Los responsables TI deberían monitorizar la actividad de la
red, especialmente el uso de dispositivos portátiles como iPods, memorias
USB, etc. Seguramente ninguna empresa querrá que sus datos se vendan a
la competencia por un empleado airado.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN


LAS TECNOLOGÍA DE INFORMACIÓN?

3.1 POLÍTICAS DE SEGURIDAD

Definición

 Las decisiones en cuanto a medidas de seguridad para un sitio


determinan, obviamente, que tan segura será la red y, además, qué
nivel de funcionalidad ofrecerá y qué tan fácil será de usar.

 “Una política de seguridad es un enunciado formal de las reglas que


los usuarios que acceden a los recursos de la red de una organización
deben cumplir” [RFC-2196].

El objetivo principal del uso de una política de seguridad es:


 Informar a los usuarios de la red sus obligaciones para proteger a
los recursos de la red.
 Especificar los mecanismos a través de los cuales estos
requerimientos pueden ser logrados.
 Proveer una guía que permitirá implementar, configurar y
controlar los sistemas de la red para determinar su conformidad
con la política.

Una política de seguridad debe asegurar cuatro aspectos fundamentales


en una solución de seguridad: autenticación, control de acceso,
integridad y confidencialidad. A partir de estos, surgen los principales
componentes de una política de seguridad:

 Una política de privacidad: define expectativas de privacidad con


respecto a funciones como monitoreo, registro de actividades y
acceso a recursos de la red.

 Una política de acceso: que permite definir derechos de acceso y


privilegios para proteger los objetivos clave de una perdida o
exposición mediante la especificación de guías de uso aceptables
para los usuarios con respecto a conexiones externas,
comunicación de datos, conexión de dispositivos a la red,
incorporación de nuevo software a la red, etc.

 Una política de autenticación: que establece un servicio de


confiabilidad mediante alguna política de contraseñas o
mecanismos de firmas digitales, estableciendo guías para la
autenticación remota y el uso de dispositivos de autenticación.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

 Un sistema de IT (tecnología de la información) y una política de


administración de la red: describe como pueden manipular las
tecnologías los encargados de la administración interna y externa.
De aquí surge la consideración de si la administración externa será
soportada y, en tal caso, como será controlada.

Al diseñar la política de seguridad de una red se deben responder algunas


cuestiones claves para poder llevar a cabo una sólida definición. Las
preguntas básicas sobre la cual desarrollar la política de seguridad son las
siguientes:
• ¿Que recursos se tratan de proteger? (objetivos clave)
• ¿De quién se trata de proteger los recursos?
• ¿Cuáles y cómo son las amenazas que afectan a tales recursos?
• ¿Qué tan importante es el recurso?
• ¿Qué medidas pueden ser implementadas para proteger el recurso?
• ¿Cuál es el costo de tal medida y en qué tiempo puede ser
implementada?
• ¿Quién autoriza a los usuarios?

Las empresas y organizaciones raramente mantienen sus servicios


constantes, sino que continuamente introducen nuevas tecnologías para
mejorarlos. Es por esto que tales cuestiones (y por tanto, la política de
seguridad) deben ser revisadas periódicamente para adaptarse a las
necesidades de seguridad reales, ya que la introducción o modificación de
algún recurso puede generar fallas en la arquitectura de seguridad actual.

3.1.1Análisis de riesgo
En cuanto a la tarea de determinar dónde se requiere enfocar las decisiones
(1 y 2) se puede lograr mediante un Análisis de Riesgo que permite
determinar qué se necesita proteger, de qué protegerlo, y cómo protegerlo.
Es decir, se examinan todos los riesgos posibles y se clasifican por nivel de
severidad. Dos de los elementos importantes del análisis de riesgo son: la
identificación de los objetivos clave e identificación de las amenazas.

3.1.2Identificar los objetivos clave


Se debe identificar todo aquello que será protegido, es decir, que puedan
ser afectadas por un problema de seguridad. Entre algunas de las más
importantes encontramos:
• Hardware: Unidades de procesamiento, terminales, impresoras,
unidades de almacenamiento, servidores, routers, etc.
• Software: Programas fuentes, utilidades, sistemas operativos, etc.
• Datos: archivos en línea, bases de datos, datos siendo trasmitidos por
algún medio, etc.

3.1.3Identificar las amenazas


Consiste en determinar aquellas amenazas que afecten los objetivos clave a
ser protegidos. Pueden ser examinadas considerando el potencial de

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

pérdida existente. Las amenazas a considerar dependerán de las


características del sitio y servicios a ofrecer, sin embargo existen algunas
amenazas comunes que deben ser consideradas:
1. Acceso no autorizado a recursos y/o información
2. Exposición no autorizada de información
3. Ataques de Rechazo del servicio (DoS – Denial of Service)

El objetivo de las políticas de seguridad es definir qué están haciendo los


usuarios con la información de la empresa, se deberá hacer un buen uso de
los recursos de hardware y software y por supuesto hacer eficiente los
costos.

Cada uno de los procesos administrativos o técnicos que se manejen en los


sistemas de información deberán contar con su propia política de seguridad,
los atributos descritos con anterioridad deberán ser aplicados al definir
estas políticas.
El departamento de informática deberá tener amplios conocimientos en el
uso y aplicación de las herramientas de seguridad.

3.1.4Herramientas para la seguridad

Encriptación

La encriptación tiene el fin de proteger información en Internet, intranets y


extranets. Ejemplos de información relevante podría ser: información de
tarjetas de crédito, números de la seguridad social, correspondencia
privada, datos personales, información sensitiva de una compañía o
empresa o información de datos bancarios. (Ordenadores y Portátiles,
2009).
Esta técnica implica el uso de algoritmos matemáticos especiales con el fin
de transmitir de manera codificada datos como: contraseñas, mensajes y
archivos. La información sólo puede ser accesada por personas con
autorización, de esta manera se transforman los datos digitales en un
código cifrado antes de ser transmitidos y se decodifican cuando son
recibidos. (O’Brien & Marakas, 2006).

Firewalls

Un firewall sirve como un sistema de “portero” que protege las intranets de


una empresa y otras redes informáticas de la intrusión al proporcionar un
filtro y un punto de transferencia seguro para el acceso a Internet y otras
redes. Filtra todo el tráfico de red en busca de las contraseñas apropiadas y
otros códigos de seguridad y sólo permite transmisiones autorizadas de
entrada y salida en la red. (O’Brien & Marakas, 2006).

Un firewall es simplemente un filtro que controla todas las comunicaciones


que pasan de una red a la otra y en función de lo que sean permite o
deniega su paso. Para permitir o denegar una comunicación el firewall
examina el tipo de servicio al que corresponde, como pueden ser el web o el
correo. Dependiendo del servicio el firewall decide si lo permite o no.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

Además, el firewall examina si la comunicación es entrante o saliente y


dependiendo de su dirección puede permitirla o no. (Álvarez, M., 2001).

Defensas contra la negación de servicio

En la actualidad la negación de servicio es una importante fuente de


pérdidas financieras originadas por el robo cibernético.

El objetivo de un ataque de negación de servicio distribuido (DDOS) es


interrumpir sus actividades de negocios, dejando fuera de operación su sitio
Web, su e-mail o sus aplicaciones Web. Esto se consigue atacando los
servidores o la red que aloja estos servicios y sobrecargando
intencionalmente algunos recursos clave como el ancho de banda, el CPU o
la memoria. Las motivaciones típicas que están detrás de este tipo de
ataques son la extorsión, la demostración de habilidades para violar
medidas de seguridad, acciones políticas y competencia desleal, entre otros.

Virtualmente cualquier organización que se conecta a Internet es vulnerable


a este tipo de ataques. El impacto que puede producir en una empresa el
hecho de ser víctima de un ataque DDOS sostenido y prolongado es
devastador, ya que lleva a la pérdida de beneficios, insatisfacción de los
clientes y pérdidas de productividad, originados en la no disponibilidad o el
deterioro del servicio.
Algunos pasos que las organizaciones pueden tomar para protegerse de los
ataques DDOS son los siguientes:
• En las máquinas zombies: Establecer y hacer cumplir las políticas de
seguridad. Escanear de manera habitual el sistema. Recordar a los
usuarios que no abran archivos ejecutables (.exe) adjuntos de correo.
• En el ISP: Vigilar y bloquear picos de tráfico. Filtrar direcciones IP
falsas. Coordinar la seguridad con proveedores de red.
• En el sitio Web de la víctima: Crear conexiones de red de respaldo.
Limitar las conexiones a cada servidor. Instalar sistemas de detección
de intrusos con el fin de reducir puntos vulnerables.

Monitoreo del correo electrónico

Actualmente las empresas tienden hacia la vigilancia sistemática del tráfico


del correo electrónico corporativo mediante el uso de software que realiza
escaneo en busca de información que pueda comprometer la seguridad de
la empresa. Todo lo anterior debido a las múltiples amenazas en seguridad
que han evolucionado en Internet.

Muchos de los virus y gusanos actuales son diseñados por piratas


informáticos con el propósito de infectar rápidamente millones de
ordenadores en el mundo a través de la Internet y usando como medio el
“correo electrónico y ambientes colaborativos”.

Debido a que los servidores de correo electrónico son agregados de datos,


pasan a ser un punto crítico de las operaciones diarias de la mayoría de los
negocios, así pues los programadores de software malicioso, los piratas
informáticos y los remitentes de spam se han enfocado en ellos como un
método primario de entrada a la red corporativa. El Correo electrónico ha

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

llegado a ser el vehículo más común para infecciones de virus, y fue el


medio de entrada en un 88% de los incidentes corporativos de virus
reportados en 2004.

Defensas contra virus


Antivirus es un programa creado para prevenir o evitar la activación de los
virus, así como su propagación y contagio. El objetivo primordial de
cualquier antivirus actual es detectar la mayor cantidad de amenazas
informáticas que puedan afectar un ordenador y bloquearlas antes de que la
misma pueda infectar un equipo, o poder eliminarla tras la infección. Así
como también se basa en contar con una lista de virus conocidos y su
formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra
esa lista los archivos almacenados o transmitidos desde y hacia un
ordenador.

3.1.5Otras medidas de seguridad

Códigos de seguridad

Es el uso de contraseñas de multinivel para la administración de la


seguridad, estas son utilizadas para obtener acceso a un sistema. Las
contraseñas deben consistir en combinaciones de letras mayúsculas y
minúsculas, así como de números; estas se deben cifrar o encriptar con el
fin de evitar su robo o uso inadecuado.

Se deben seguir estos pasos para crear una contraseña segura: pensar en
una frase que pueda recordar, comprobar si el equipo o el sistema en línea
admite directamente la frase codificada, si el equipo o el sistema en línea no
admite frases codificadas, convertirlas en contraseñas, aumentar la
complejidad, realizar sustituciones con algunos caracteres especiales y
probar la contraseña con el comprobador de contraseñas. (Microsoft
Corporation, 2009).

Archivos de respaldo

Son archivos duplicados de datos o programas, no son otra medida de


seguridad importante. Los archivos también pueden ser protegidos a través
del uso de medidas de retención de archivos que implican el
almacenamiento de copias de archivos de periodos previos, denominados
archivos maestros y tiene un fin de respaldar todas las transacciones que se
realizan. Si los archivos actuales se destruyen, éstos se utilizan para
reconstruir los archivos actuales. Es de vital relevancia que los archivos se
almacenen fuera de la empresa en lugares remotos, con el fin de evitar la
violación de estos archivos. (O’Brien & Marakas, 2006).

Monitores de seguridad
Los monitores de seguridad son programas que monitorean el uso de
sistemas y redes informáticos y los protegen del uso no autorizado, fraude y
destrucción.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

Algunas de sus funciones son las siguientes:


• Proporcionar medidas de seguridad para permitir el acceso a las
redes de la empresa sólo a los usuarios autorizados.
• Controlar el uso de recursos de hardware, software y datos de los
sistemas.
• Vigilar el uso de redes informáticas y recabar estadísticas sobre
cualquier intento de uso inadecuado.
• Elaborar reportes para ayudar a mantener la seguridad de la red.

Seguridad biométrica

Los peligros a los que están expuestos hoy en día los sistemas de
información, así como aquellos espacios que tienen el acceso restringido,
están llevando a los responsables de la seguridad en las empresas a buscar
nuevas fórmulas que solucionen esta problemática.

La biometría es una tecnología de seguridad basada en el reconocimiento


de una característica física e intransferible de las personas, que puede ser el
reconocimiento de la voz, reconocimiento de huellas digitales, geometría
manual, reconocimiento dinámico de firmas, análisis de pulsaciones,
escaneo de retina, reconocimiento facial y análisis de patrones genéticos.

En la actualidad el sistema de seguridad biométrica no sólo se aplica para


permitir o denegar el acceso a una PC sino que también tiene múltiples
aplicaciones como:
• A nivel comercial es muy común en áreas como la banca y los
servicios financieros; de hecho, en algunas oficinas y cajeros se
instalan lectores biométricos de huella para que sólo el titular de la
cuenta pueda hacer operaciones.
• A nivel de seguridad informática en laptops, teclados, ratones,
memorias USB y computadoras de mano incluyen lectores de huella
para que el usuario pueda proteger su información y llevar a cabo
movimientos por Internet.

Controles de fallas informáticas

Estos controles pueden evitar fallas informáticas en los procesos de


operación de cualquier negocio, o bien minimizar sus efectos. Los controles
de fallas informáticas tratan problemas tales como: fallas eléctricas, mal
funcionamiento de circuitos eléctricos, problemas de redes de
telecomunicaciones, errores de programación ocultos, virus, etc.

Sistemas tolerantes a fallas

Se encarga de respaldar los componentes en caso de que falle un sistema


de información. Tales sistemas utilizan procesadores, periféricos y software
redundante que proporcionan una gran capacidad de recuperación de
información.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

Recuperación de desastres

Son planes desarrollados por algunas empresas para estar preparados ante
cualquier eventualidad. Esta específica qué empleados participaran en la
recuperación de desastres y cuáles serán sus obligaciones, que hardware,
software e instalaciones se usaran, así como también la prioridad de las
aplicaciones que se procesaran.

3.2 Auditorías de Sistemas de Información y de


seguridad

La auditoría en informática es la revisión y la evaluación de los controles,


sistemas, procedimientos de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la organización que participan en el
procesamiento de la información, a fin de que por medio del señalamiento
de cursos alternativos se logre una utilización más eficiente y segura de la
información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los


equipos de cómputo, de un sistema o procedimiento específico, sino que
además habrá de evaluar los sistemas de información en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtención de
información.

3.2.1Plan de Seguridad Informática: P.S.I.

¿Por qué la necesidad de un plan de seguridad informática (P.S.I.)?

Uno de los mayores retos en el dinámico mundo empresarial de nuestros


días, es el aseguramiento de la información transferida y difundida a través
de redes internas e Internet.
¿Se ha preguntado cuanto vale la información de su empresa?

Cuantificar el valor de la información e imagen de nuestra empresa nos


puede dar una idea de la importancia estratégica que debe tener la
implantación de las mejores soluciones de aseguramiento informático.

Hasta hace muy pocas fechas tan solo las grandes empresas y la banca,
sentían la necesidad de proteger sus comunicaciones y los datos contenidos
en sus sistemas de información.
Esta protección de datos se realizaba a dos niveles:
• Nivel externo.
• Nivel interno.

Esta situación se daba solo con empresas de estas características, ya que,


los costos de comunicaciones se hacia prohibitivo para las PYMES.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

Con el nacimiento de Internet, se ha producido una autentica revolución en


el mundo de las comunicaciones, unido a la posibilidad de utilizar líneas de
banda ancha como son las RDSI y las ADSL. Esta última permite tener
conectada la empresa 24 horas al mundo exterior con un nivel de costo
bajo.

Esta circunstancia, unida al abaratamiento de las comunicaciones, ha hecho


posible que las PYMES, se hayan incorporado al mundo de las
telecomunicaciones, siendo cada vez mayor el número de estas que tienen
conectados sus sistemas informáticos corporativos, a la red Internet.
Como todo sistema vivo, como es el sistema de una
empresa, está sujeto a ventajas y amenazas.

Las primeras, es decir las ventajas, vienen de la mano de


una mejora instantánea de las comunicaciones y de un
aumento del grado de conocimiento, tanto externo como
interno, de las empresas.

Pero también conlleva amenazas. Estas son las que


hacen a las empresas modernas, vulnerables tanto
ataques externos (Hackers), como ataques internos en sus sistemas de
información (empleados desleales deseosos de dañar los sistemas de
información de su empresa).

Todo lo anteriormente expuesto, nos hace llegar a la conclusión lógica, de


que si existe un sistema conectado al exterior, la empresa es vulnerable a
ataques externos, que pueden llegar a conocer información privada acerca
de:
• Clientes.
• Precios y condiciones.
• Claves de banca electrónica.
• Contabilidad.
• Etc.

Pero también podemos deducir, que el control hacia los empleados debe ser
cada vez mayor, en cuanto a la información que manejan de ficheros que
contengan datos personales, como se refleja en la nueva LOPD, Ley
Orgánica de Protección de Datos (Ley orgánica, 15/1999 del 13 de
Diciembre), que “obliga a tener un sistema que permita la autentificación e
identificación de los usuario, al mismo tiempo que controle y registre los
accesos al sistema y los ficheros”.

Todo ello ve abocadas a las PYMES a adoptar medidas extremas de


seguridad, tanto externa como interna.

FASES DE ADOPCIÓN DEL P.S.I.:


FASE 1ª: Auditoria del sistema informático con sus peculiaridades,
elaborándose un informe detallando las vulnerabilidades existentes.
FASE 2ª: Diseño del Plan de Seguridad Informático (P.S.I.).
FASE 3ª: Formación para el personal de la empresa.
FASE 4ª: Implantación del P.S.I.
• Instalación de FIREWALLS.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

• Monitorización y plan de seguridad de redes internas.


• Protección antivirus.
FASE 5ª: Seguimiento y Mantenimiento del sistema.

ISO 27000 es un estándar desarrollado con la finalidad de proporcionar un


modelo para establecer, implementar, monitorear, revisar, mantener y
mejorar un Sistema de Gestión de Seguridad de la Información (ISMS por
sus siglas en Inglés: Information Security Management System).

ISO 27000 establece que la adopción de un ISMS debe ser una decisión
tomada a nivel estratégico. Así mismo, enfatiza en que el diseño y la
implementación del sistema dependerán de sus necesidades, objetivos
estratégicos, requerimientos de seguridad, procesos sustantivos, tamaño y
estructura orgánica.

El estándar adopta el modelo "Planear-Hacer-Verificar-Actuar (Plan, Do,


Check, Act)", el cual es aplicado en todos los procesos del sistema.

El esquema adjunto muestra como el Sistema de Gestión de Seguridad de la


Información toma como insumos los requerimientos en materia de
seguridad, así como las expectativas de las partes interesadas para a través
de las acciones necesarias, producir como salida los elementos de
Seguridad de la Información necesarios para satisfacer los requerimientos y
expectativas de la empresa en materia de seguridad.

MODELO DE PROCESOS DE ISO 27000

COBIT (Control Objetives for Information and Related Technology) es un


compendio de objetivos de control para la Tecnología de Información que
incluye herramientas de soporte que permiten a la administración de TI
cubrir la brecha entre los requerimientos de control, los aspectos
tecnológicos y los riesgos de negocio.

COBIT resulta de utilidad para el establecimiento de los controles necesarios


para satisfacer los requisitos definidos por el estándar ISO 27000, ayudando
con ello a la implementación y la mejora del Sistema de Gestión de
Seguridad de la Información.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

3.2.2Otros Estándares de Seguridad

Existen varios estándares internacionales relacionados con seguridad


informática que se consideran importantes en la actualidad o que deben ser
referenciados por su importancia histórica. En este sentido, están
clasificados en seis (6) clases de estándares como son: para la
administración de seguridad de la información, para evaluación de
seguridad en sistemas, para desarrollo de aplicaciones, para servicios
financieros, para riesgos y para autenticación.

Para la administración de seguridad de la información:

La Internet Engineering Task Force (IETF) elaboró el RFC2196 Site Security


Handbook, que ofrece una guía práctica para quienes intentan asegurar
servicios e información.

El estándar británico BS 7799 es un estándar aceptado ampliamente que ha


sido utilizado como base para elaborar otros estándares de seguridad de la
información, incluyendo el ISO 17799 y el ISO 27001. Fue desarrollado por el
British Standards Institute.

La Agencia Federal Para Seguridad en Información en Alemania ha generado


el IT Baseline Protection Manual. Este documento presenta un conjunto de
métricas de seguridad recomendadas o safeguards, como se denominan en
el manual, para sistemas IT típicos.

La Organización para la cooperación y el desarrollo económicos en ingles


(OECD) creo las Guidelines for the Security of Information Systems.
Directrices de la OCDE para la seguridad de sistemas y redes de
información.

Estándares para evaluación de seguridad en sistemas:

La International Organization for Standardization (ISO) ha elaborado el


estándar IS 15408. Este estándar, The Common Criteria for Information
Technology Security Evaluation v2.1 (ISO IS 15408) es una mezcla mejorada
de ITSEC, el Canadian criteria, y el US Federal Criteria.

La Serie Arco Iris – Rainbow Series- (Orange Book) (EE.UU.) Una importante
serie de documentos es la Rainbow Series, que delinea varios estándares de
seguridad desarrollados en los Estados Unidos.

El Reino Unido elaboró el Information Technology Security Evaluation Criteria


(ITSEC) a comienzos de los años 90, y es otro estándar históricamente
importante. Fue elaborado, en algunos aspectos, basándose en el Orange
Book.

Estándares para desarrollo de aplicaciones:

El Software Engineering Institute lideró el desarrollo del Capability Maturity


Model (CMM), que es un método para garantizar madurez en procesos.

Un derivado del CMM es el System Security Engineering Capability Maturity


Model (SSE-CMM). El SSE-CMM describe las características esenciales del

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

proceso de la ingeniería de la seguridad de una organización que deben


existir para asegurar la buena ingeniería de la seguridad.

Estándares para servicios financieros:

ISO 11131:1992 Banking and Related Financial Services; Sign-on


Authentication

ISO 13569:1997 Banking and Related Financial Services — Information


Security Guidelines

Estándares para riesgo:

Acquisition Risk Management (EE.UU.) El Software Engineering Institute


tiene algunos documentos sobre Acquisition Risk Management.

Estándares para autenticación:

ISO 11131:1992 Banking and Related Financial Services; Sign-on


Authentication

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

4 CONCLUSIONES Y RECOMENDACIONES

4.1 CONCLUSIONES

Hoy en día, las empresas y organizaciones manejan mucha información


importante en red y a través de Internet. Al ser así, son más vulnerables a
los robos, virus o chantajes, pues la información es lo más importante. Sin
embargo, existen muchas políticas de seguridad que podemos usar para
evitar que estas amenazas atenten contra nuestra infraestructura, y
debemos escoger la mejor para nuestras necesidades.

4.2 RECOMENDACIONES

Los estudiantes de Ingeniería de Sistemas e Informática, así como también


los de Programación o algún tema relacionado a las tecnologías de
información, debemos tener en claro cuáles son las mejores prácticas para
la seguridad de la información, pues de lo contrario podríamos incluso ser y
hacer de una empresa vulnerable a esos ataques. Se pediría a la
Universidad que nos dé la oportunidad de asistir a seminarios sobre
seguridad para tener en cuenta estos puntos.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

5 GLOSARIO

• ISO/IEC 17799: estándar para la seguridad de la información


publicado por primera vez como ISO/IEC 17799:2000 por International
Organization for Standardization y por la Comisión Electrotécnica
Internacional en el año 2000 y con el título de Information technology
- Security techniques - Code of practice for information security
management. Tras un periodo de revisión y actualización de los
contenidos del estándar se publicó en el año 2005 el documento
actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC
17799 tiene su origen en Archivo: La norma británica British Standard
BS 7799-1 que fue publicada por primera vez en 1995. En Perú la
ISO/IEC 17799:2000 es de uso obligatorio en todas las instituciones
públicas desde agosto del 2004.

• LOPD: La Ley Orgánica de Protección de Datos de Carácter Personal


(LOPD) define el concepto de "dato de carácter personal" como
cualquier información concerniente a una persona física identificada o
identificable. La LOPD es aplicable a los datos de carácter personal
registrados en soporte físico, que los haga susceptibles de
tratamiento, y a toda modalidad de uso posterior de estos datos por
los sectores público y privado.

• LSSI: Ley de Servicios de la Sociedad de la Información y de


Comercio Electrónico.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

6 FUENTES DE INFORMACIÓN

6.1 TRABAJOS DE INVESTIGACIÓN

• ANEI (Asociación Nacional de Empresas de Internet). “Tecnología,


Seguridad y Empresa”. Madrid. 21/04/2006.

• GÓMEZ ROLDÁN, Katherine; HERNÁNDEZ QUIROZ, Andrea; LEIVA


CORTÉS, Juan José. “Infraestructura y seguridad de Tecnologías de
Información”. Instituto Tecnológico de Costa Rica. Escuela de
Ingeniería de Producción Industrial. Costa Rica. 02/06/2009.

• LLORENTE, Ignacio Martín. “Seguridad en las Tecnologías de


Información”. Universidad Complutense de Madrid. XX SEMINARIO
“DUQUE DE AHUMADA” “SEGURIDAD Y NUEVAS TECNOLOGÍAS”.
España. 07/05/2008.

6.2 INTERNET

• LaFlecha.net. “Los 10 principales errores de seguridad TI que


cometen los departamentos informáticos en las Pymes”. 08/05/2008.

• CÁRDENAS ALANIS, Claudia del Carmen. “Índice de seguridad en


Tecnologías de Información”. Universidad Iberoamericana.
www.monografias.com. Mayo 2004.

4
Universidad Peruana de Ciencias e Informática
Ingeniería de Software 2

SUMARIO

ESQUEMA..............................................................................................2
INTRODUCCIÓN......................................................................................3
1 ¿QUÉ ES LA SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN?................4
1.1 TECNOLOGÍAS DE INFORMACIÓN............................................................ ..........4
1.2 SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN ................................ ............4
2 ¿POR QUÉ DEBEMOS PREOCUPARNOS POR LA SEGURIDAD DE LA
INFORMACIÓN?.......................................................................................5
2.1 CAUSAS DE LOS FALLOS DE SEGURIDAD................................. .........................5
2.1.1 TIPOS DE PROBLEMAS DE SEGURIDAD......................................................6
2.1.1.1 AGRESORES O FUENTES DE AMENAZAS.............................. .............................6
2.1.1.2 AMENAZAS DE SOFTWARE.................................................................. ..............7
2.1.1.3 LOS 10 PRINCIPALES ERRORES DE SEGURIDAD DE TECNOLOGÍAS DE
INFORMACIÓN .......................................................................................................... ..10
3 ¿CÓMO IMPLEMENTAR LA SEGURIDAD EN LAS TECNOLOGÍA DE
INFORMACIÓN?.....................................................................................12
3.1 POLÍTICAS DE SEGURIDAD................................................................... ...........12
3.1.1 Análisis de riesgo........................................................................ .............13
3.1.2 Identificar los objetivos clave............................................................. ......13
3.1.3 Identificar las amenazas..................................................... .....................13
3.1.4 Herramientas para la seguridad............................................................. ..14
3.1.5 Otras medidas de seguridad.................................................... ................16
3.2 AUDITORÍAS DE SISTEMAS DE INFORMACIÓN Y DE SEGURIDAD..................................................18
3.2.1 Plan de Seguridad Informática: P.S.I...................................................... ...18
3.2.2 Otros Estándares de Seguridad............................................................... .21
4 CONCLUSIONES Y RECOMENDACIONES................................................23
4.1 CONCLUSIONES.................................................................... ..........................23
4.2 RECOMENDACIONES.......................................................................... .............23
5 GLOSARIO..........................................................................................24
6 FUENTES DE INFORMACIÓN................................................................25
6.1 TRABAJOS DE INVESTIGACIÓN.............................................. ..........................25
6.2 INTERNET........................................................................ ...............................25
SUMARIO.............................................................................................26

Вам также может понравиться