Universidad Austral de Chile

Facultad de Cs. Econmicas y Administrativas

Escuela de Auditora

Seguridad Informtica en los

Sistemas de Informacin
Valdivia, 10 de Diciembre 2009

Profesor :

Cristian Salazar

Integrantes: Rosa Galindo

Herminda Pea
Nemorino Mayorga
Jorge Skorey
Asignatura:
Carrera
:

Sistemas de Informacin Adm.

Contador Auditor

Introduccin
Temas a Tratar:
Seguridad Fsica, Delitos Informticos
Seguridad Lgica y Amenazas lgicas
amenazas humanas y comunicaciones
Proteccin y Poltica de seguridad

I. Seguridad Fsica y Delitos

Informticos
" Un experto es aquel que sabe cada vez ms sobre menos cosas,
hasta que sabe absolutamente todo sobre nada.. es la persona que
evita los errores pequeos mientras sigue su avance inexorable
hacia la gran falacia
Leyes de Murphy

Seguridad Fsica

Seguridad Fsica consiste en la "aplicacin de

barreras fsicas y procedimientos de control, como
medidas de prevencin y contramedidas ante
amenazas a los recursos e informacin confidencial

Pero este es uno de los aspectos ms

olvidados a la hora de realizar el diseo de
un sistemas informtico.

Seguridad Fsica
Las principales amenazas que se prevn en la seguridad
fsica son:
Desastres naturales, incendios accidentales
tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

Seguridad Fsica
Tipos de Desastres

Peligros ms importantes en un centro de

Procesamiento de Informacin:

Incendios
Inundaciones
Condiciones Climatolgicas
Seales de Radar
Instalaciones Elctricas
Ergonometra

Seguridad Fsica
Acciones Hostiles
Robo
Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la
misma forma que lo estn las piezas de stock e incluso el dinero.
El software, es una propiedad muy fcilmente sustrable y las cintas y discos son
fcilmente copiados sin dejar ningn rastro.
Fraude

Cada ao, millones de dlares son sustrados de empresas y, donde las

computadoras han sido utilizadas como instrumento para dichos fines.
Sabotaje

El peligro ms temido en los centros de procesamiento de datos, es el sabotaje.

Empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la proteccin contra el saboteador es uno de los retos ms
duros.
Una de las herramientas ms utilizadas son los Imanes, ya que con una ligera
pasada la informacin desaparece.

Control de Accesos

Seguridad Fsica

Utilizacin de Guardias
Servicio de vigilancia, encargado del control de acceso a todas las personas de la
empresa.
Una de las desventajas de su aplicacin es el Soborno por u tercero para tener
acceso a sectores donde no est habilitado o autorizado.

Utilizacin de Detectores de Metales

Es un elemento sumamente prctico para la revisin de personas.

Utilizacin de Sistemas Biomtricos

Tecnologa que realiza mediciones en forma electrnica, guarda y compara
caractersticas nicas para la identificacin de personas.
Como son las: manos, ojos, huellas digitales y voz.

Control de Accesos
Verificacin

Seguridad Fsica

Automtica de Firmas
Mientras es posible para un falsificador producir una buena copia visual o
facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por
ejemplo la firma genuina con exactitud.
Seguridad con Animales
Son utilizadas en grandes extensiones de terrero, el costo de cuidado y
mantenimiento se disminuye considerablemente con este tipo de sistema. Su
desventaja es que los animales pueden ser engaados para lograr el acceso
deseado.
Proteccin Electrnica
Se llama as a la deteccin de robo, intrusin, asalto e incendios mediante la
utilizacin de censores conectados a centrales de alarmas.
Ejemplos: Barreras Infrarrojas y de Micro-Ondas Detector UltrasnicoDetectores Pasivos de alimentacin- Sonorizacin y dispositivo luminoso
Circuito cerrado de televisin Edificios Inteligentes.

Delitos Informticos
" (...) ladrn, trabajaba para otros: ladrones ms adinerados,
patrones que provean el extico software requerido para
atravesar los muros brillantes de los sistemas empresariales,
abriendo ventanas hacia los ricos campos de la informacin.
Ladrn, Cometi el clsico error, el que haba jurado no cometer
nunca. Robo a sus jefes."
Neuromante

Delitos Informticos
El uso de las tcnicas informticas han creado nuevas
posibilidades del uso indebido de las computadoras lo que ha
creado la necesidad de regulacin por parte del derecho.
La Organizacin de Naciones Unidas (ONU) reconocen los
siguientes tipos de delitos informticos:

Fraudes cometidos mediante manipulacin de computadoras

Manipulacin de los datos de entrada
Daos o modificaciones de programas o datos computarizados

Delitos Informticos
Legislacin y Delitos Informticos en Chile.
Chile fue el primer pas latinoamericano en sancionar una Ley contra Delitos
Informticos. La ley 19.223 publicada en el Diario Oficial 7 de junio de 1993.

Seala que la destruccin o inutilizacin de un sistema de tratamiento de informacin

puede ser castigado con prisin de 1,5 a 5 aos.

Si esa accin afectara los datos contenidos en el sistema, la prisin se establecera

entre los 3 a 5 aos.

El hacking, definido como el ingreso en un sistema o su interferencia con el nimo de

apoderarse, usar o conocer de manera indebida la informacin contenida en ste,
tambin es pasible de condenas de hasta 5 aos de crcel.

Dar a conocer la informacin almacenada en un sistema puede ser castigado con

prisin de hasta 3 aos, pero si el que lo hace es el responsable de dicho sistema
puede aumentar a 5 aos.

II. Seguridad Lgica y Amenazas

lgicas

COBIT
Marco de gobierno de Ti que se estableci en 1996 ya esta en su edicin 4,1
Para uso cotidiano de auditores y gerentes
Objetivos de control de tres niveles:
Dominios, procesos, y actividades

Usuarios son tambin auditores que usan para soportar sus opiniones sobre
el control de las empresas y determinar el mnimo control requerido

Son 34 procesos que forman 4 dominios

COBIT
Son 34 procesos que forman 4 dominios

Planificacin y Organizacin
Adquisicin e Implementacin
Reparto Y Soporte
Monitoreo (Supervisin) y Evaluacin

COBIT
El monitoreo siendo el de
M1 Monitorear los Procesos.
M2 Evaluar lo adecuado del Control Interno.
M3 Obtener Aseguramiento Independiente.
M4 Proporcionar Auditora Independiente

Seguridad Lgica
Controles de Acceso
Internos

1. Algo que el usuario conoce

PIN
Contrasea
clave criptogrfica

PRINCIPIO: Integridad

Ejemplo de verificacin de PIN

Seguridad Lgica
Controles de Acceso
Internos

2. Algo que el usuario posee

Tarjeta magntica
llave

PRINCIPIO: Integridad

Ejemplo de Tarjeta

Seguridad Lgica
Controles de Acceso
Internos

3. Algo que el usuario es

Reconocimiento de voz
Huella digital

PRINCIPIO: Integridad

Ejemplo huella digital

Seguridad Lgica
Controles de Acceso
Internos

PRINCIPIO: Integridad

4. Algo que el usuario es capaz de hacer

Patrn de escritura

Ejemplo Patrn de Escritura

Seguridad Lgica
Controles de Acceso
Externos

PRINCIPIO:
Confidencialidad
1. Dispositivos de control de puertos
Estos dispositivos autorizan el acceso a un puerto
determinado y pueden estar fsicamente
separados o incluidos en otro dispositivo de
comunicaciones, como por ejemplo un mdem.

Seguridad Lgica
Controles de Acceso Externos

PRINCIPIO:
Confidencialidad

2. Firewalls/ Puertas de Seguridad

Filtran el flujo de acceso entre dos redes uno privado y
otro externo. Pueden permitir acceso del privado
(interno) al externo, mientras bloqueando acceso del
externo al privado.

Seguridad Lgica
Controles de Acceso
Externos

PRINCIPIO: Integridad

3. Control de Acceso a Consultores

Administracin debe tener en cuenta la

composicin especial de sus perfiles para personal
externo contratados

Seguridad Lgica
Controles de Acceso
Externos

PRINCIPIO:
Confidencialidad

4. Accesos Pblicos

Deben existir medidas de seguridad especiales

para prevenir amenazas proveniente de sistemas
consultados por el publico

Controles de Acceso

PRINCIPIO: Integridad

Tal como se hacen las preguntas COBIT al TI se pueden preguntar de Seguridad Lgica
Estn alineadas las estrategias de SL y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los objetivos de SL?

Se entienden y administran los riesgos de TI con la poltica de SL?

Es apropiada la calidad de los sistemas de SL para las necesidades del negocio?

Seguridad Lgica
Niveles de Seguridad Lgica

Principio:

Nivel D
Este nivel contiene slo una divisin
est reservada para sistemas que han sido evaluados
no cumplen con ninguna especificacin de
seguridad.

Seguridad Lgica
Niveles de Seguridad Logica

Nivel C1 PROTECCION DISCRECIONAL

Principio:

Seguridad Lgica
Niveles de Seguridad Logica

Nivel C2 PROT. DE ACCESO CONTROLADO

Principio:

Seguridad Lgica
Niveles de Seguridad Logica

Nivel B1 SEGURIDAD ETIQUETEADA

Principio:

Seguridad Lgica
Niveles de Seguridad Logica

Nivel B2 PROTECCION ESTRUCTURADA

Principio:

Seguridad Lgica
Niveles de Seguridad Logica

Nivel B3 DOMINIOS DE SEGURIDAD

Principio:

Seguridad Lgica
Niveles de Seguridad Lgica

Principio:

Niveles de Seguridad
Lgica
Nivel A Nivel A: Proteccin Verificada
el nivel ms elevado
un proceso de diseo, control y verificacin
mediante mtodos formales (matemticos) para asegurar
todos los procesos que realiza un usuario sobre el sistema.
diseo verificado de forma matemtica
anlisis de canales encubiertos y de distribucin

Amenazas Lgicas
Actores incluyen
Hackers
Espas
Terroristas
Espionaje Industrial
Criminales Profesionales
Vndalos (crackers)

Amenazas Lgicas
Herramientas que usan
Herramientas Integradas/ Distribuidas
Programas o Script
Linea de comando
Agente Autonomo
Intervencion de communicacion

Amenazas Lgicas

AMENAZAS HUMANAS
1. Patas de Palo y Parches

De esta historia podemos obtener el perfil principal:

Un hacker es a todas luces, alguien con profundos
conocimientos sobre la tecnologa.
Tiene ansias de saberlo todo, de obtener conocimiento.
Le gusta (apasiona) la investigacin.
Disfruta del reto intelectual y de rodear las limitaciones
en forma creativa.
Busca la forma de comprender las caractersticas del
sistema estudiado, aprovechar sus posibilidades y por
ltimo modificarlo y observar los resultados.
Dicen NO a la sociedad de la informacin y SI a la
sociedad informada.

2. La actitud del Hacker

Escriben programas que los otros
hackers opinen que son divertidos y/o
tiles y donar la fuente del programa
para que sean utizados
2. Ayudar a probar y depurar sofware libre.
3. Recolectar y filtrar informacin til e
interesante y construir pginas Web o
documentos como FAQs y ponerlos a
disposicin de los dems.
1.

DEFINICIONES

Definicin de Hacker: Un Hacker es una

persona que est siempre en una continua
bsqueda de informacin, vive para aprender y
todo para l es un reto; no existen barreras, y
lucha por la difusin libre de informacin (Free
Information), distribucin de software sin costo
y la globalizacin de la comunicacin.
Crackers: Son hackers cuyas intenciones van
ms all de la investigacin. Es una persona
que tiene fines maliciosos o de venganza,
quiere demostrar sus habilidades pero de la
manera equivocada o simplemente personas
que hacen dao solo por diversin.

DEFINICIONES

Phreakers: actividad por medio de la cual algunas

personas con ciertos conocimientos y herramientas de
hardware y software, pueden engaar a las compaas
telefnicas para que stas no cobren las llamadas que se
hacen.
Carding Trashing: el carding, es el uso ilegitimo de
las tarjetas de crdito pertenecientes a otras personas
con el fin de obtener los bienes realizando fraude con
ellas. Se relaciona mucho con el hacking y el cracking,
mediante los cuales se consiguen los nmeros de las
tarjetas. Y el Trashing, consiste en rastrear en las
papeleras en busca de informacin contraseas o
directorios.
Personal: un 70% de los robos, sabotajes o accidentes
con los sistemas informtico son causados por el propio
personal de la organizacin.

Tcnicas para asegurar el sistema

Codificar la informacin: Criptologa,
Criptografa y Criptociencia, contraseas
difciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red. Zona desmilitarizada
Tecnologas repelentes o protectoras:
cortafuegos, sistema de deteccin de
intrusos - antispyware, antivirus, llaves
para proteccin de software, etc.
Mantener los sistemas de informacin con
las actualizaciones que ms impacten en
la seguridad.

Consideraciones de software

Tener instalado en la mquina nicamente el

software necesario reduce riesgos. As mismo tener
controlado el software asegura la calidad de la
procedencia del mismo (el software obtenido de
forma ilegal o sin garantas aumenta los riesgos). En
todo caso un inventario de software proporciona un
mtodo correcto de asegurar la reinstalacin en caso
de desastre. El software con mtodos de instalacin
rpidos facilita tambin la reinstalacin en caso de
contingencia.
Existe un software que es conocido por la cantidad de
agujeros de seguridad que introduce. Se pueden
buscar alternativas que proporcionen iguales
funcionalidades pero permitiendo una seguridad
extra.

COMUNICACION

Consideraciones de una red

Los puntos de entrada en la red son
generalmente el correo, las pginas web y la
entrada de ficheros desde discos, o de
ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de
red slo en modo lectura, impide que
ordenadores infectados propaguen virus. En el
mismo sentido se pueden reducir los permisos de
los usuarios al mnimo.
Se pueden centralizar los datos de forma que
detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las
mquinas.

III. Amenazas humanas y

Comunicaciones
"Nadie ser objeto de injerencias arbitrarias en su vida privada, su familia,
su domicilio o su correspondencia, ni de ataques a su honra o a su
reputacin. Toda persona tiene derecho a la proteccin de la ley contra
tales injerencias o ataques."
Art. 12 Declaracin Universal de Derechos Humanos, 1948

IV. Polticas de Seguridad

Cuando no ocurre nada, nos quejamos de lo mucho que
gastamos en seguridad. Cuando algo sucede, nos
lamentamos de no haber invertido ms... Ms vale dedicar
recursos a la seguridad que convertirse en una estadstica.
2001, A.S.S. B Orghello , C Ri Stian F Abian

Polticas de Seguridad Informtica

DECISIN
RIESGO

PLAN

CONTROL

ESTRATEGIA

PSI
PRONOSTICO

META

PROYECCIN

PROCEDIMIENTO

PROGRAMA

NORMA

una Poltica de Seguridad es un conjunto de requisitos

definidos por los responsables de un sistema, que indica en
trminos generales que est y que no est permitido en el rea
de seguridad durante la operacin general del sistema.

PSI

Evaluacin de Riesgo
Eval. Econmica
Probabilidad
+
+

Recurso a Proteger

Qu puede ir mal?
Con qu frecuencia puede ocurrir?
Cules seran sus consecuencias?
Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
Se est preparado para abrir las puertas del negocio sin sistemas, por un da, una
semana, cuanto tiempo?
Cul es el costo de una hora sin procesar, un da, una semana...?
Cunto, tiempo se puede estar offline sin que los clientes se vayan a la
competencia?
Se tiene forma de detectar a un empleado deshonesto en el sistema?
Se tiene control sobre las operaciones de los distintos sistemas?
Cuantas personas dentro de la empresa, (sin considerar su honestidad), estn en
condiciones de inhibir el procesamiento de datos?
A que se llama informacin confidencial y/o sensitiva?
La informacin confidencial y sensitiva permanece as en los sistemas?
La seguridad actual cubre los tipos de ataques existentes y est preparada para
adecuarse a los avances tecnolgicos esperados?
A quien se le permite usar que recurso?
Quin es el propietario del recurso? y quin es el usuario con mayores
privilegios sobre ese recurso?
Cules sern los privilegios y responsabilidades del Administrador vs. la del
usuario? y Cmo se actuar si la seguridad es violada?

Ejemplo
Una vez obtenida la lista de cada uno de los riesgos se efectuar un
resumen del tipo:

Amenazas
Una vez conocidos los riesgos, los recursos que se deben proteger y como su dao
o falta pueden influir en la organizacin es necesario identificar cada una de las
amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como
ya se mencion existe una relacin directa entre amenaza y vulnerabilidad a tal
punto que si una no exstela otra tampoco.

Desastre del entorno (Seguridad Fsica).

Amenazas del sistema (Seguridad Lgica).

Amenazas en la red (Comunicaciones).

Amenazas de personas (InsidersOutsiders).

Evaluacin de Costo
CR > CP

maximizar

CP > CS
Luego

CR > CP > CS

minimizar

Pto. equilibrio

Estrategia de Seguridad
Proactiva o Reactiva?
Implantacin
Auditoria y Control
Plan de Contingencia
Equipos de Repuestos e Incidentes
Backups

Conclusiones

Unos de los temas abordados fue la seguridad fsica, donde la adecuada

evaluacin y control es la base para comenzar a integrar la seguridad como una
funcin primordial dentro de cualquier organismo.

El desarrollo de la tecnologa informtica ha abierto las puertas a nuevas

posibilidades de delincuencia antes impensables, los delitos Informticos. La
cuanta de los perjuicios as ocasionados es a menudo muy superior a la usual en
la delincuencia tradicional y tambin son mucho ms elevadas las posibilidades
de que no lleguen a descubrirse o castigarse.

Otro punto tratado fue la seguridad lgica tiene como tarea asegurar las metas
globales de la seguridad informtica: disponibilidad, integridad, y
confidencialidad. Esto es alcanzado por el exitoso uso y administracin de
controles de acceso internos y externos, cumplimiento de estndares, y
deteccin de amenazas lgicas.

Conclusiones

Rosita.

Segn estudios de seguridad, muchas de las vulnerabilidades estudiadas son

el resultado de implementacin incorrecta de tecnologas, otras son
consecuencias de la falta de planeamiento de las mismas pero, donde la
mayora de los agujeros de seguridad son ocasionados por los usuarios de
dichos sistemas y es responsabilidad del administrador detectarlos y
encontrar una solucin.

Gracias
por su
Atencin

Sistema de Informacin Administrativa.

2 Semestre 2009
Profesor Cristian Salazar
Alumnos:

Carla Poblete
Mara Jos Snchez
Lidia Henrquez
Herminda Pea
Rosita Galindo
Vctor Quezada
Jorge Skorey
Fernando Quiroz
Nemorino Mayorga

Cristian Salazar

Nemorino Mayorga

Rosita Galindo

Carla Poblete

Mara Jos Snchez

Herminda Pea

Lidia Henrquez

Jorge Skorey

Vctor Quezada

Fernando Quiroz
Se busca..

El Prof. Cristian y Jorge en el Museo de la

Moneda

Luego del Cctel..preparndose para el Bunker..

Tomando un descanzo..

Jornadas de Acceso

Sin comentarios..

Perversillas

Frente a la Moneda