Auditoría Para La Seguridad Informática - InEI

Instituto Nacional de Estadística e InformáticaSub - Jefatura de Informática

Colección Informática FácilColección Informática FácilColección Informática FácilColección Informática FácilColección Informática Fácil

www.FreeLibros.me

INSTITUTO NACIONAL DE ESTADISTICA E INFORMATICAÒÒÒÒÒ

Elaborado por: SUB-JEFATURA DE INFORMATICADirección Técnica de Desarrollo Informático.

Teléfono : 433-4223 - Anexos 181 - 315TeleFax : 433-5568Web : WWW.INEI.GOB.PEMail : [email protected]

Impreso en los Talleres de la Oficina de Impresiones de la Oficina Técnica de Difusión Estadísticay Tecnología Informática del Instituto Nacional de Estadística e Informática (INEI)

Edición : 350 EjemplaresDomicilio, Redacción y Talleres : Av. Gral. Garzón Nº 658 - Jesús MaríaOrden : Nº 912 - 99 - OI -OTDETI - INEI

www.FreeLibros.me

PresentaciónPresentaciónPresentaciónPresentaciónPresentación

Econ. Félix Murillo AlfaroJefe

INSTITUTO NACIONAL DEESTADISTICA E INFORMATICA

El Instituto Nacional de Estadística e Informática (INEI), como enterector del Sistema Nacional de Informática, continuando con la publicaciónde la Colección «Informática Fácil», presenta su cuadrigésimo número titulado:« Auditoría para la Seguridad Informática ».

Los diferentes lectores, que buscan conocer conceptos sobre LosVirus y la Auditoría para la Seguridad Informática, tendrán a su alcance enesta publicación, la posibilidad de descubrir los conceptos fundamentales,además de poder ayudar a organizar el trabajo de los especialistas que sedediquen a la seguridad de la información.

El Instituto Nacional de Estadística e Informática INEI, pone adisposición de toda la Administración Pública y la sociedad en su conjunto,la presente colección de “Informática Fácil”.

www.FreeLibros.me

www.FreeLibros.me

IndiceIndiceIndiceIndiceIndice • LOS VIRUS Y LA AUDITORIA PARA LA SEGURIDAD INFORMATICA

Introducción.............................................................................................................................7Historia....................................................................................................................................7Amenazas................................................................................................................................9Pérdidas...................................................................................................................................9Nuevos Riesgos.......................................................................................................................9

• AUDITORIA A LA SEGURIDAD INFORMATICA

Concepto .............................................................................................................................11Objetivo................................................................................................................................11Funciones..............................................................................................................................11¿A quiénes se realiza la Auditoría?.................................................................................... 12Etapas....................................................................................................................................12Informe Conlusivo de los Resultados de la Auditoría.........................................................15

• CUESTIONARIO PARA LA AUDITORIA A LA SEGURIDAD INFORMATICA

Cuestionario Nro.1.............................................................................................................17Cuestionario Nro. 2............................................................................................................28

• ANEXOS

Panda Software International

Firewalls- Seguridad Concentrada.....................................................................................37Backups: Copias de Seguridad esenciales.........................................................................38Passwords, el primer punto a proteger...............................................................................40Seguridad Unix para usuarios Windows.............................................................................42Informe sobre la seguridad informática en las empresas...................................................447,600 millones de dólares en pérdidas causadas por los virus .......................................45

• BIBLIOGRAFIA

www.FreeLibros.me

www.FreeLibros.me

Instituto Nacional de Estadística e Informática

Auditoría para la Seguridad Informática

7

Colección « Informática Fácil »»»»»

Actualmente vemos cómo el avance de las tecnologías de la informaciónhan incrementado las pérdidas relacionadas con la Seguridad Informática,por las acciones de los virus.

Con la masificación de INTERNET y lasnuevas generaciones de virus, se puedepronosticar que en el año 2000 existanaproximadamente 27,000 virus,incluyendo mutaciones y los virus decorreo electrónico, que en estos últimosmeses se han incrementado notablemente,como por ejemplo los virus CIH, Papa,Melissa, Explorer.zip, entre otros.

El aumento de la tasa de natalidad de los virus se convierte en un graveproblema para todos los usuarios de computadoras y desarrolladores delos productos de software antivirus.

Los Incidentes y Delitos Informáticos muestran un incremento vertiginoso.El Stanford Research Institute ( SRI ) fue el primero en comenzar a compilardatos sobre Delitos e Incidentes Informáticos en el año 1958.

Durante las 3 primeras décadas, las cantidadeseran insignificantes: Año 1958 (10), 1968 (13),1977 (45) hasta 1987, donde el total de incidentesascendió a 85. A partir de ese año el SRI dejó decompilar estos datos, ya que no era capaz dereflejar los incidentes y delitos informáticos queocurrían.

www.FreeLibros.me

Instituto Nacional de Estadística e Informática Instituto Nacional de Estadística e Informática Instituto Nacional de Estadística e Informática Instituto Nacional de Estadística e Informática Instituto Nacional de Estadística e Informática

Colección « Informática Fácil »

8


Las incidencias y delitos informáticos se deben principalmente a:

· La evolución de las tecnologías de información desde elprocesamiento en lotes de trabajo (BATCH ) en la década del 60,pasando por el entorno distribuido de los 70’s , las redes demicrocomputadoras en los 80’s, hasta el ambiente cliente-servidor de los 90’s.

· El uso generalizado del trabajo en redes de computadoras eINTERNET y el ambiente cliente-servidor. Las estadísticasmuestran que en esta década el crecimiento de HOST conectadasa esta red se hace realmente notable, estimándose que a finalesdel año 1999 sobrepasarán los 80 millones.

En 1995 el motivo fundamental de conectarse a INTERNET erala necesidad de los usuarios por tener acceso a diferentes tiposde información.

En 1996 por el desarrollo de aplicaciones de negocios, teniendoen cuenta que la implementación de INTRANETS estimuló eldesarrollo de sitios WEB.

A partir de 1998 el Comercio Electrónico es el principal motivodel crecimiento de INTERNET.

· Las nuevas tecnologías de la información introducen gran cantidadde amenazas y vulnerabilidades. El desarrollo de la SeguridadInformática resulta imprescindible.

D ELITO S E IN C ID EN C IAS IN FO RM ATIC AS

10 13

45

85

0

20

40

60

80

100

1950 1960 1970 1980 1990

Años

Delitos e Incid

Datos proporcionados por Stanford Research Institute

www.FreeLibros.me

Instituto Nacional de Estadística e InformáticaInstituto Nacional de Estadística e InformáticaInstituto Nacional de Estadística e InformáticaInstituto Nacional de Estadística e InformáticaInstituto Nacional de Estadística e Informática 9

Colección « Informática Fácil »»»»» Auditoría para la Seguridad Informática

El comportamiento de las Amenazas a la Seguridad de la Informaciónarroja que la mayoría de los hechos son realizados por intrusosindividuales. Un porcentaje corresponde a incidentes realizados porgrupos organizados, otro porcentaje menor son delitos y la puntade la pirámide corresponde a casos de espionaje.

En la mayoría de las empresas hay pérdidas de información por lossiguientes motivos:

· Errores de los usuarios.· Desastres naturales.· Hardware.· Virus informáticos.

Cabe resaltar que los virus son loscausantes de la mayor parte de lapérdida de Información.

Intrusos Individuales

Grupos Organizados

Delitos

Espionaje

Aparecen de 5 a 7 virus diariamente y el pronósticopara finales del año 2000 es que sobrepasen los25,000 virus.

www.FreeLibros.me



10


El acceso de tantos usuarios a INTERNET ha incrementadonotablemente el riesgo de que una computadora sea infectada porun virus, debido a que se recibe o comparte información con mayorfrecuencia.

Con el incremento de microcomputadoras conectadas a INTERNET,destacan dos grandes tendencias que tendrán un fuerte impacto en lapropagación de virus en los próximos años:

Es el desarrollo y potencia de los sistemasintegrados de mensajería como Lotus Notesy MS-Outlook, con los cuales cada vez es másfácil enviar archivos a otras personas.Además, permiten interfases de

programación de aplicaciones ( MAPI y Notes API ), las cuales puedenutilizarse por otros programas, para enviar y procesar mensajesautomáticamente.

Es el desarrollo de los llamados SistemasMovile- program como Java y Active X, quepermiten mover un programa desde unservidor WEB y ejecutarlo en un cliente. Con

la integración de Java en Lotus Notes y Active X en los Sistemas demensajería de Microsoft, la amenaza aumenta.

El virus macro Share Fun demostró a principios de 1997, cómo eraposible con macros de Word Basic, estando el MS-Mail activo, escogerdel libro de direcciones, nombres a cuyas direcciones el virus envíaun anexo infectado por él.

Existen diversos riesgos que de forma creciente se incorporan enlos procesos automatizados, debido, entre otros factores, a laproliferación de usuarios y equipos informáticos, aumento en el nivelde autonomía de quienes tienen a su cargo el manejo técnico deéstos, el grado de vulnerabilidad ante insuficientes mecanismos deprotección, seguridad física y lógica y conductas irresponsables odelictivas.

www.FreeLibros.me



La Auditoría a la Seguridad Informática es el proceso de verificación ycontrol mediante la investigación, análisis, comprobación y dictamen delconjunto de medidas administrativas, organizativas, físicas, técnicas, legalesy educativas, dirigidas a prevenir, detectar y responder a acciones quepongan en riesgo la confidencialidad, integridad y disponibilidad de lainformación que se procese, intercambie, reproduzca y conserve a travésde las tecnologías de información.

El objetivo de la Auditoría a la SeguridadInformática es detectar fisuras o puntosvulnerables en el sistema informático quepongan en riesgo la seguridad de lainformación y de las tecnologías empleadaspara su procesamiento, como base para laelaboración de un diagnóstico.

· Analizar las políticas de Seguridad Informática adoptadas en laentidad para garantizar la confidencialidad, integridad y disponibilidadde la información que en ella se procesa.

· Analizar y comprobar el funcionamiento y eficacia del Sistema deMedidas de Seguridad Informática implantado en la entidad.

· Detectar fisuras o puntos vulnerables en el funcionamiento delSistema Informático y el Sistema de Medidas de Seguridad que puedanpropiciar causas y condiciones para la comisión de delitos.

www.FreeLibros.me



12


· Valorar la factibilidad del Sistema de Medidas de Seguridad,en correspondencia con la caracterización del SistemaInformático.

La Auditoría a la Seguridad Informática sepuede realizar a todos los Organos yOrganismos de la Administración Central delEstado y sus dependencias, otras entidades

estatales, empresasmixtas, sociedades y asociacioneseconómicas que se constituyen conforme ala Ley, que utilicen Tecnologías de laInformación, abarcando el control de aquelloque actúa sobre una causa para reducir losriesgos o minimizar las causas de riesgo.

Etapas para la realización de la Auditoría:

En esta etapa se planificará el trabajo a desarrollar,elaborando un cronograma con todos los pasos arealizar y los objetivos a lograr.

La Auditoría a la Seguridad Informática se divide a su vez en tresetapas :

· Investigación preliminar.· Verificación de la seguridad informática aplicada.· Comprobación con el empleo de herramientas informáticas.

www.FreeLibros.me



Esta etapa persigue :

1. Conocer los objetivos y alcances del sistema de informaciónestablecido en la entidad objeto de auditoría.

2. Obtener la información necesariasobre la caracterización (organización,recursos, personal, documentaciónexistente sobre el objeto social, lasdependencias y otros aspectos deinterés a auditar ).

3. Realizar una pormenorizada revisiónde los resultados de auditoríasinformáticas y de seguridadanteriores o controles específicos deseguridad u otras actas o documentos,con el fin de obtener la mayorinformación en el menor tiempo posible sobre los principalesproblemas que han afectado esta entidad y que evidenciendebilidades en el control interno.

4. Emplear el uso de cuestionarios para larecopilación de información, con elpropósito de obtener una orientacióngeneral sobre la seguridad informáticade la entidad.

5. Determinar los bienes informáticos más importantes parala entidad, de acuerdo a su costo beneficio.

6. Clasificación de los activos en función de su importancia ylos problemas que trae a la entidad su revelación,modificación o destrucción.

Investigación PreliminarInvestigación PreliminarInvestigación PreliminarInvestigación PreliminarInvestigación Preliminar

www.FreeLibros.me



14


7. Confeccionar tablas que permitan determinar dentro de losactivos informáticos los riesgos existentes, ya sean decarácter administrativos, organizativos, técnicos, legales oespecíficamente informáticos, que determinen lavulnerabilidad de los activos.

8. Obtener los manuales de explotación y de usuario de lossistemas de las áreas o dependencias y efectuar un examenpormenorizado de éstos, para conocer el sistema y laauditabilidad para la seguridad del mismo.

Esta etapa consiste, en la revisión y comprobacióndel cumplimiento de las normas y procedimientosde seguridad informática de la entidad.

Se utilizarán los cuestionarios como Herramienta de Auditoría a laSeguridad Informática, con el fin de obtener una orientación generalsobre este tema.

Muchos de los problemas y retos de la Auditoríaa la Seguridad Informática parecen estar aún sinresolver. Según avanza la tecnología informáticatambién tienen que cambiar y desarrollarse lastécnicas de auditoría apropiadas para undeterminado sistema, resultando inefectivas en otro más sofisticado.

Verificación de la SeguridadVerificación de la SeguridadVerificación de la SeguridadVerificación de la SeguridadVerificación de la SeguridadInformática AplicadaInformática AplicadaInformática AplicadaInformática AplicadaInformática Aplicada

Comprobación con el Empleo deComprobación con el Empleo deComprobación con el Empleo deComprobación con el Empleo deComprobación con el Empleo deHerramientas InformáticasHerramientas InformáticasHerramientas InformáticasHerramientas InformáticasHerramientas Informáticas

www.FreeLibros.me



Para el desarrollo de este enfoque, el Auditor a la SeguridadInformática necesita comprender suficientemente el sistemacompleto, para que le permita identificar y evaluar sus característicasesenciales de control.

Existe una amplia variedad de paquetesgeneralizados de auditoría a la seguridad queayudan a la realización de las mismas, ademásde los programas generalizados disponibles.Muchos auditores diseñan sus propiosprocedimientos que se adaptan a las peculiaridades del sistemaauditado.

Los diversos paquetes de programas de auditoría, entre los trabajosque llevan a cabo con más frecuencia, se encuentran, las muestrasestadísticas o no, verificaciones matemáticas, examen de los riesgos,funciones de comparación, revisión analítica, chequeo de integridadde Base de Datos, etc.

Se elabora un Informe Conclusivo donde se resume todo eldesarrollo de la Auditoría a la Seguridad Informática, el cual debecontener los siguientes aspectos:

Se explica en forma resumida la razón que persigue la aplicación dela Auditoría a la Seguridad Informática.

Se reflejan los objetivos controlados durante el proceso de laAuditoría a la Seguridad Informática.

Objetivos Específicos de la AuditoríaObjetivos Específicos de la AuditoríaObjetivos Específicos de la AuditoríaObjetivos Específicos de la AuditoríaObjetivos Específicos de la Auditoríaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informática

Objetivos a Controlar por la AuditoríaObjetivos a Controlar por la AuditoríaObjetivos a Controlar por la AuditoríaObjetivos a Controlar por la AuditoríaObjetivos a Controlar por la Auditoríaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informática

www.FreeLibros.me



16


Se anexa el cronograma que se desarrolló en la Auditoría a la Seguridad Informática.

Se detalla la forma en que se aplicó la Auditoría, cada paso, control, verificación,entrevista, prueba o dinámica aplicada, así como los que intervinieron en el procesode control y los resultados que se obtuvieron.

El objetivo de este aspecto es mencionar las medidas a adoptarcon el fin de cubrir los riesgos potenciales. Es fundamental queel costo de estas medidas sea menor que el costo de la pérdida,ya que el objetivo final de un análisis de riesgos ha de ser laimplantación de un sistema de seguridad, que persiga lareducción de la probabilidad de pérdida a un nivelaceptablemente bajo, dentro de un costo razonable.

Se debe exponer de forma clara, concisa y objetiva las deficiencias e incumplimientosque se comprueben, expresando siempre que sea posible la regulación, norma oprocedimiento que se incumplió o violó.

Siempre que se realice un diagnóstico, deben incluirse las proposiciones necesariaspara subsanar y erradicar las deficiencias o incumplimientos que se señalan.

Una vez que se ha terminado el informe, éste debediscutirse en la entidad auditada con la Direccióndel Centro, la cual debe elaborar un plan demedidas para dar respuesta a las recomendacionesplanteadas y fijar fecha para el análisis del mismo.

Cronograma de Aplicación de laCronograma de Aplicación de laCronograma de Aplicación de laCronograma de Aplicación de laCronograma de Aplicación de laAuditoría a la Seguridad InformáticaAuditoría a la Seguridad InformáticaAuditoría a la Seguridad InformáticaAuditoría a la Seguridad InformáticaAuditoría a la Seguridad Informática

Desarrollo de la AuditoríaDesarrollo de la AuditoríaDesarrollo de la AuditoríaDesarrollo de la AuditoríaDesarrollo de la Auditoríaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informáticaa la Seguridad Informática

Valoración ResumenValoración ResumenValoración ResumenValoración ResumenValoración Resumen

www.FreeLibros.me



IIIIIESTRUCTURA DE GESTIONESTRUCTURA DE GESTIONESTRUCTURA DE GESTIONESTRUCTURA DE GESTIONESTRUCTURA DE GESTION

POLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDAD

CATEGORIZACION DE LA INFORMACIONCATEGORIZACION DE LA INFORMACIONCATEGORIZACION DE LA INFORMACIONCATEGORIZACION DE LA INFORMACIONCATEGORIZACION DE LA INFORMACION

www.FreeLibros.me



18


IIIIIPERSONALPERSONALPERSONALPERSONALPERSONAL

RESPONSABILIDADESRESPONSABILIDADESRESPONSABILIDADESRESPONSABILIDADESRESPONSABILIDADES

www.FreeLibros.me



En la Auditoría se tiene que verificar si la ubicación delas computadoras y las condiciones ambientales son lasadecuadas.

MEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICAS

www.FreeLibros.me



20


PROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIAS

www.FreeLibros.me



MEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICA

Protección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de información

Protección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema Operativo

www.FreeLibros.me



22


MEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICAMEDIDAS DE SEGURIDAD TECNICA O LOGICA

Protección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicaciones

www.FreeLibros.me



CONTROL DEL USO DE LOS RECURSOS Y DE LA INFORMACIONCONTROL DEL USO DE LOS RECURSOS Y DE LA INFORMACIONCONTROL DEL USO DE LOS RECURSOS Y DE LA INFORMACIONCONTROL DEL USO DE LOS RECURSOS Y DE LA INFORMACIONCONTROL DEL USO DE LOS RECURSOS Y DE LA INFORMACION

CONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONES

www.FreeLibros.me



24


AUDITORIAAUDITORIAAUDITORIAAUDITORIAAUDITORIA

CORTA FUEGO PARA CONEXION A INTERNETCORTA FUEGO PARA CONEXION A INTERNETCORTA FUEGO PARA CONEXION A INTERNETCORTA FUEGO PARA CONEXION A INTERNETCORTA FUEGO PARA CONEXION A INTERNET

www.FreeLibros.me



SISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPS

MANTENIMIENTO Y REPARACION DE LA TECNOLOGIA DEMANTENIMIENTO Y REPARACION DE LA TECNOLOGIA DEMANTENIMIENTO Y REPARACION DE LA TECNOLOGIA DEMANTENIMIENTO Y REPARACION DE LA TECNOLOGIA DEMANTENIMIENTO Y REPARACION DE LA TECNOLOGIA DEINFORMACIONINFORMACIONINFORMACIONINFORMACIONINFORMACION

CONTROL DEL USO, TRASLADO Y ENTRADA DE LASCONTROL DEL USO, TRASLADO Y ENTRADA DE LASCONTROL DEL USO, TRASLADO Y ENTRADA DE LASCONTROL DEL USO, TRASLADO Y ENTRADA DE LASCONTROL DEL USO, TRASLADO Y ENTRADA DE LASTECNOLOGIAS DE INFORMACIONTECNOLOGIAS DE INFORMACIONTECNOLOGIAS DE INFORMACIONTECNOLOGIAS DE INFORMACIONTECNOLOGIAS DE INFORMACION

www.FreeLibros.me



26


PRUEBA DE INSPECCIONPRUEBA DE INSPECCIONPRUEBA DE INSPECCIONPRUEBA DE INSPECCIONPRUEBA DE INSPECCION


www.FreeLibros.me



MEDIDAS EDUCATIVAS Y DE CONCIENTIZACIONMEDIDAS EDUCATIVAS Y DE CONCIENTIZACIONMEDIDAS EDUCATIVAS Y DE CONCIENTIZACIONMEDIDAS EDUCATIVAS Y DE CONCIENTIZACIONMEDIDAS EDUCATIVAS Y DE CONCIENTIZACION

MEDIDAS PARA LA APLICACION DE SANCIONESMEDIDAS PARA LA APLICACION DE SANCIONESMEDIDAS PARA LA APLICACION DE SANCIONESMEDIDAS PARA LA APLICACION DE SANCIONESMEDIDAS PARA LA APLICACION DE SANCIONES

123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012123456789012345678901234567890121234567890123456789012

www.FreeLibros.me



28


IIIIIPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDADPOLITICAS DE SEGURIDAD

1. ¿Se realizó algún análisis de riesgo y devulnerabilidad para la elaboración del Plan deSeguridad Informática?. Mostrar los resultados encaso afirmativo

2. ¿Cuál es la estructura de gestión adoptada?3. ¿Cuáles son las políticas definidas en función de

la Seguridad Informática?

MEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICASMEDIDAS FISICAS

1. ¿Están definidas las áreas vitales y reservadas?2. ¿Cuáles son las áreas vitales definidas y dónde

se encuentran?3. Cuál es el estado constructivo de los locales en cuanto a:

4. ¿Cómo se puede identificar el personal conacceso, según el tipo de autorización?

5. ¿Quién autoriza el acceso?6. ¿Cómo se controla en las vías de acceso

perimetral la documentación de autorización?

·Comprobar vías de acceso.·Comunicación con el exterior.·Condiciones de privacidad, para la comparti- ción del trabajo y la información.·Condiciones de la red eléctrica y aterramiento.·Estado de los cierres de puertas y ventanas.·Dispositivos de sellaje o control técnico de acceso a los locales.

www.FreeLibros.me



7. ¿Cuál es el régimen de autorización para eltraslado o entrada de tecnologías deinformación hacia un local específico?

1. En caso de usar tecnologías de formacompartida, ¿qué controles existen sobre lautilización de las mismas?.

2. ¿Cuáles son los procedimientos establecidos parala conservación de los soportes magnéticos?

3. ¿Quién controla la aplicación de estosprocedimientos?

MEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADMEDIDAS DE SEGURIDADTECNICA O LOGICATECNICA O LOGICATECNICA O LOGICATECNICA O LOGICATECNICA O LOGICA

Protección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de informaciónProtección de entrada a las tecnologías de información

1. Tienen asignado password.2. Cuál es la política implementada para la gestión

de las claves de acceso:·Utilizan los mecanismos de asignación, confección y control de claves.·Las claves de acceso son escogidas por el usuario o asignada por el administrador.

PROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIASPROTECCION FISICA A LAS TECNOLOGIAS

www.FreeLibros.me



30


·¿Qué longitud tienen las claves y cómo están conformadas?·¿Quién actualiza las claves, con qué

periodicidad y quién controla este aspecto?

1. En caso de tecnologías de uso compartido,¿están definidos todos los usuarios de formaindependiente?.

2. ¿Quién tiene asignado cuenta de supervisor yquién autoriza la asignación de estas cuentas?

3. ¿Quién conoce las claves de supervisor?

Protección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema OperativoProtección a nivel de Sistema Operativo

Protección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicacionesProtección a nivel de aplicaciones

1. ¿Cómo se realiza el control de las modificacionesa las aplicaciones?

2. Mencione las aplicaciones que han sufridomodificaciones.

3. ¿Dónde se conserva la documentaciónactualizada?

4. ¿Quién instala, brinda mantenimiento y actualizalos programas o aplicaciones?

5. Relacione por cada aplicación los códigos deprogramas que permanecen en el disco.

6. Relacione para cada aplicación los mecanismosde seguridad implementados, tales como:·Autenticación e identificación de usuarios.·Asignación única de passwords a los usuarios.

www.FreeLibros.me



·Asignación de tiempo de máquina.·Cantidad de intentos permisibles en el login.·Asignación de máquinas a determinadas cuentas.·Protección a nivel de directorios y archivos.

7. ¿Con qué periodicidad se cambian las claves?8. ¿Quién controla el cambio de los passwords?9. ¿Cómo están implementados los mecanismos

o herramientas que permitan suspender lasesión de trabajo de un usuario, cuando éstedemore un tiempo dentro de la aplicación sinrealizar acción alguna?

10. ¿Cómo se realiza técnicamente la actualizaciónde los niveles de acceso de los usuarios dentrode la aplicación?

11. ¿Qué criterios utilizan para otorgar el acceso?

·¿Está reglamentada la protección y el tipo de acceso que se debe otorgar a cada tipo de usuario?.·¿Dónde se guardan las claves de los usuarios?·¿Se emplean mecanismos de encriptamiento para

la salvaguarda de las mismas?.

CONTROL DEL USO DE LOS RECURSOSCONTROL DEL USO DE LOS RECURSOSCONTROL DEL USO DE LOS RECURSOSCONTROL DEL USO DE LOS RECURSOSCONTROL DEL USO DE LOS RECURSOSY DE LA INFORMACIONY DE LA INFORMACIONY DE LA INFORMACIONY DE LA INFORMACIONY DE LA INFORMACION

1. ¿Cuáles son los mecanismos empleados a nivelde Sistema Operativo para la protección de lainformación?

2. ¿Qué política se sigue para establecer los nivelesde acceso?

3. Mencione otros mecanismos de seguridadempleados, tales como:

www.FreeLibros.me



32


4. En el caso de chequeo interactivo:·¿Qué chequeos de integridad se realizan a los datos?·¿Qué acciones se realizancuando es violado el chequeo devalidación de los datos?·¿Se registran en la Base de Datoslos artículos que no cumplen losrequisitos de validación?.

5. En caso de chequeo batch:·¿Cómo se realiza el mismo?·¿Se tiene en cuenta la información existente o se adi- cionan los artículos sin chequeo de correspondencia previa?.

6. ¿En qué consiste el chequeo de integridad? 7. ¿Quién realiza el control sobre el crecimiento de las BD?

·En qué consiste este control.·Con qué periodicidad se realiza el mismo

8. Mencione los mecanismos de identificación de los ficheros. 9. Qué mecanismos de monitoreo tienen establecidos a

nivel de Sistema Operativo tales para chequear:·Las actividades de los usuarios.·Los recursos empleados por los usuarios.·El acceso a la información.·Los procesos activos.·Usuarios conectados, etc.

10. ¿Quién se encarga de realizar el monitoreo y con quéfrecuencia se realiza?

www.FreeLibros.me



CONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONESCONTABILIDAD DE LAS ACCIONES

14. ¿Cuáles son las anomalías que pueden presentarse conmayor probabilidad?

15. ¿Cuáles son los procedimientos de enfrentamiento ante la detección de anomalías?

1. ¿Qué datos se guardan en el registro del sistema?2. ¿Con qué periodicidad se vacían estos registros?3. ¿Se realizan salvas de los mismos?.4. ¿Quién analiza la información que se obtiene con

la contabilidad de las acciones de los usuarios?5. ¿Cada qué tiempo se realiza este análisis?.


1. ¿Qué información de la actividad de los usuarios sealmacena en las aplicaciones?

2. ¿Qué protección tienen estos archivos?3. ¿Se realiza backups de estos archivos?.4. ¿Se tiene periodicidad e historia de los backups?.

La Auditoría de la Información, es importante para revisarqué tipo de seguridad tiene la empresa o institución paragarantizar su información.

www.FreeLibros.me



34


1. ¿Qué mecanismos de filtrado emplean para elacceso a los servicios?

2. ¿Qué análisis de riesgos se realizó paraprotegerse de intrusos a través de INTERNET?

3. ¿Qué servicios tiene habilitados?4. ¿Qué medidas de seguridad tienen establecidas

en los servicios habilitados?5. Si tiene habilitado el servicio de Correo

Electrónico:

6. Cuando se detectan anomalías en los serviciosde INTERNET, ¿a quién se informa?, ¿qué pro-cedimientos se siguen?, ¿están establecidos?

· ¿Quiénes están autorizados para emplear elmismo?

· ¿Quién autoriza?· ¿Cómo es el procedimiento para solicitar el

servicio?· ¿Qué medidas tienen establecidas para el uso

del Correo Electrónico?· ¿Se registran los usuarios con acceso al mismo?,

¿qué información se registra?· Se realiza análisis del uso del Correo

Electrónico, teniendo en cuenta la informacióndel proveedor del servicio.

CORTA FUEGO PARA CONEXION DECORTA FUEGO PARA CONEXION DECORTA FUEGO PARA CONEXION DECORTA FUEGO PARA CONEXION DECORTA FUEGO PARA CONEXION DEINTERNETINTERNETINTERNETINTERNETINTERNET

www.FreeLibros.me



SISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPSSISTEMA DE BACKUPS

1. ¿Qué mecanismos de backups se hanimplementado?

2. ¿Con qué periodicidad serealizan los mismos?

3. ¿En qué soportes se realiza?4. ¿Cuántos backups se

realizan?5. ¿Dónde se guardan los

backups?6. ¿Quién controla el funcionamiento de los mismos?7. ¿Quién se responsabiliza con la información

guardada?

1. ¿Dónde se realiza el mantenimiento de losequipos y quién lo realiza?

MANTENIMIENTO Y REPARACION DE LAMANTENIMIENTO Y REPARACION DE LAMANTENIMIENTO Y REPARACION DE LAMANTENIMIENTO Y REPARACION DE LAMANTENIMIENTO Y REPARACION DE LATECNOLOGIA DE INFORMACIONTECNOLOGIA DE INFORMACIONTECNOLOGIA DE INFORMACIONTECNOLOGIA DE INFORMACIONTECNOLOGIA DE INFORMACION

www.FreeLibros.me

www.FreeLibros.me



37


FIREWALLSFIREWALLSFIREWALLSFIREWALLSFIREWALLSSEGURIDAD CONCENTRADASEGURIDAD CONCENTRADASEGURIDAD CONCENTRADASEGURIDAD CONCENTRADASEGURIDAD CONCENTRADA

Panda Software InternationalPanda Software InternationalPanda Software InternationalPanda Software InternationalPanda Software International

Los sistemas informáticos de las empresas suelen estar formados por redesinterconectadas entre sí, que permiten la compartición de los recursos entre todoslos usuarios. Este conjunto de hardware, software y datos debe estar fuertementeprotegido ante las amenazas externas.

Los Firewalls o cortafuegos, son barreras que concentran la seguridad de parte deuna red en un punto. Se sitúan entre los encaminadores y pasarelas que unen unasredes con otras. Esto permite que, enfocando en ese punto políticas fuertes deseguridad, la red que queda tras esa barrera esté protegida ante el ataque de usuariosexternos.

La función de los firewalls consiste en vigilar el tráfico deinformación, tanto entrante como saliente, a través del filtradode los datos que viajan entre las redes. También se ocupan deidentificar convenientemente a los usuarios externos quequieran conectare a la red. Podemos pensar que su función es

como la de un guardia de seguridad en un gran edificio: situado en la puerta,controlará todo el tráfico de personas, evitará que entren individuos sospechosos,y pedirá identificación a aquellos usuarios que quieran entrar a los departamentosprivados.

Esta necesidad se hace aún más patente cuando la red estáconectada a Internet, donde las posibilidades de un ataquese multiplican, ya que estamos hablando de millones de ordenadores que pueden,cuando menos, presentarse delante de nuestra supuesta puerta principal. Por normageneral, los firewalls están formados por sistemas hardware o software, y en lamayoría de las ocasiones se trata de un compendio de ambos.

Esta solución se presenta como todo un estándar en cuanto a la seguridad de lasredes, y su implantación queda complementada con un sistema antivirus que soportedistribución, monitorización, configuración, programación y actualización, de formacentralizada.

www.FreeLibros.me



38


Firewalls, herramientas de cifrado, antivirus, o parches a los sistema operativos,son algunas de las medidas y utilidades que a diario, y en mayor o menor medida,utilizamos para garantizar la seguridad de nuestros sistemas. Sin embargo, nodebemos olvidar uno de los pilares básicos en los que debe basarse toda política deseguridad que se precie: las backups o copias de seguridad.

Ante desastres naturales, robo físico, o vandalismo informático, las copias deseguridad se presentan como una de las medidas más útiles para poder recuperar,mediante su restauración, la información vital de los sistemas y evitar la pérdidatotal de nuestros datos.

Cintas magnéticas, discos ópticos, discos duros, o eltan socorrido, pero cada vez menos útil, disquete, sonalgunos de los dispositivos empleados para realizarlas copias de seguridad. El más utilizadotradicionalmente, la cinta magnética, ha sidodesbancado por otros que permiten un acceso directoa la información y conllevan otras ventajas. No obstante, el acceso secuencial de lascintas magnéticas no impide que cumplan perfectamente con su misión, característicaque se suma a la ventaja que supone el que se trate de uno de los soportes másbaratos.

Cuando el usuario va a planificar la política de copias de seguridad de su equipoinformático, debe tener en cuenta los siguientes consejos:

- Configurar el sistema para que realice las copias de seguridad de forma automática.

- Llevarlas a cabo en las horas en las que la actividad sea mínima. Esto nos permitirá asegurarnos de que hay pocos ficheros abiertos y que, por lo tanto, salvaguardamos la mayor parte de la información.

- Hacer una primera copia de seguridad de todo el sistema y repetirla cuando existan cambios importantes (actualizaciones, parches, o instalación de nuevo software).

BACKUPS: COPIAS DEBACKUPS: COPIAS DEBACKUPS: COPIAS DEBACKUPS: COPIAS DEBACKUPS: COPIAS DESEGURIDAD ESENCIALESSEGURIDAD ESENCIALESSEGURIDAD ESENCIALESSEGURIDAD ESENCIALESSEGURIDAD ESENCIALES


www.FreeLibros.me



- Realizar, periódicamente, copias de seguridad incrementales, de forma que sólo se vayan guardando los cambios introducidos desde la última copia. Al evitar tener que realizar copias globales se agi- liza el proceso.

- Escoger un sistema de rotación de cintas, que vendrá marcado por el número de copias que queremos guardar.

- Guardar las copias de seguridad en lugares seguros, como las cajas herméticas creadas con tal fin, y, si es posible, en ubicaciones diferentes donde se encuentran los sistemas salvaguardados. Aunque no siempre es posible, lo mejor sería que se hallaran en localizaciones muy distantes para evitar que ambas, copias de seguridad y sistemas, resulten afectadas si se produce un desastre natural.

- Probar el sistema de forma completa, lo que también incluye restaurar las copias de seguridad. En cualquier caso, el usuario no podrá asegurarse de que la metodología elegida funciona adecuadamente hasta que simule una pérdida de datos que, además de servirle como práctica, le ayudará a descubrir los problemas que pueden presentarse en un caso real.

www.FreeLibros.me



40


En muchas ocasiones se efectúan grandes inversiones tratando de proteger lossistemas informáticos de la empresa: se instalan firewalls, servidores seguros,etc. Pero todo ello puede quedar al descubierto si se descuida un punto primor-dial: los passwords.

El primer punto en el que se basa la seguridad de un sistema son los passwords.Para entrar en un ordenador o servicio hay que introducir, por regla general, unnombre de usuario y una palabra clave. Si descuidamos este aspecto, todaprotección adicional que se instale en el sistema no tendrá sentido.

Puede resultar chocante comprobar cómo una compañía puede invertir miles dedólares en instalar un eficaz firewall, para después ver que las contraseñas deacceso al sistema son tan simples como repetir el nombre de usuario o, incluso,que se mantienen los passwords que se crean por defecto en el sistema. El atacanteno tendrá que saltarse ninguna medida de protección, bastará con que sea losuficientemente “astuto” como para probar diversas combinaciones de login/password y conseguirá entrar en el sistema con pleno derecho.

Por ello, es fundamental que ningún password sea obviado, que no contenganombres de personas, lugares, fechas, etc. En definitiva, el password debe seruna combinación de números, letras y signos de puntuación, sin ningún sentidoevidente.

PASSWORDS, EL PRIMERPASSWORDS, EL PRIMERPASSWORDS, EL PRIMERPASSWORDS, EL PRIMERPASSWORDS, EL PRIMERPUNTO A PROTEGERPUNTO A PROTEGERPUNTO A PROTEGERPUNTO A PROTEGERPUNTO A PROTEGER


www.FreeLibros.me



La mayor parte de los sistemas operativos incluyen opciones (o existenpaquetes adicionales) que posibilitan controlar este tipo de acciones, asícomo obligar a que el password sea de una determinada longitud. Otra medidaque se puede tomar pasa por efectuar un cambio periódico de la clave, cada15 días o una vez al mes, en consecuencia con la sensibilidad de los datosafectados.

Sin duda obligar a los usuarios a recordar cadenas de letras, números ysignos puede ser algo caótico y hasta imposible de conseguir. Por ello, seles debe dotar de un medio para generar passwords complicados y de formasencilla, incluso para los más inexpertos.

Un buen truco consiste enutilizar las iniciales de unacanción, pasaje de un libro,refrán, etc. Por ejemplo,partiendo de un típico refráncomo “Quien a buen árbol se arrima, buena sombra le cobija”, podríamosconseguir un password como “qabasabslc”“qabasabslc”“qabasabslc”“qabasabslc”“qabasabslc”, con una longitud adecuada ysin duda, imposible de encontrar en ningún diccionario. Si a esta passwordle cambiamos alguna letra de minúscula a mayúscula y algún carácter por unnúmero o código similar y que nos recuerde al original (sustituir la l por un1, la o por un 0, la b por un 6, etc.) podemos conseguir una clave con un altogrado de seguridad. Nuestro ejemplo podría quedar en algo como“qabasA6s1c”“qabasA6s1c”“qabasA6s1c”“qabasA6s1c”“qabasA6s1c”, una clave que, sin duda, no es difícil de recordar pero quees ciertamente difícil de descifrar por alguien que no sea el propio usuarioque la ha creado.

www.FreeLibros.me



42


Virus, agujeros en los navegadores o agujeros en el sistema operativo, sonalgunos de los problemas de seguridad con los que tenemos que enfrentar adiario los usuarios de Windows, el sistema operativo más extendido. Sinembargo, el usuario doméstico debe ser consciente de las características dela seguridad de otros sistemas, como Unix, ya que, aunque en principiopueda parecer que no nos afecta, forman en realidad parte importante denuestro entorno.

Con la entrada de Internet los usuarios domésticoshemos pasado a interactuar con un conjunto desistemas muy heterogéneos, aunque no seamosconscientes, donde los sistemas Unix pasan a serun punto en el que se suele concentrar parte denuestra seguridad. Una de las razones, es que lamayoría de los proveedores de Internet utilizanesta plataforma para los servidores que nosidentifican y dan acceso a la Red.

Cada vez que accedemos a Internet debemos proporcionar los datos de nuestracuenta al proveedor. El nombre de usuario y contraseña permiten al servidoridentificarnos como usuarios registrados y darnos acceso a Internet, así comoa nuestro buzón de correo electrónico. Estos datos son muy importantespara nuestra seguridad y si llegara a manos de un tercero, éste podría hacersepasar por nosotros, acceder a Internet con nuestra cuenta y utilizar a su antojonuestro correo.

Los sistemas Unix son conscientes de la importancia deestas cuentas, por lo que utiliza un sistema de cifradopara salvaguardar estos datos. Las contraseñas de losusuarios son almacenadas en un fichero llamado etc/passwd. Debido a su contenido, este fichero es uno de

los más codiciados por los crackers y hackers. Unix, como primera medida deseguridad, almacena las contraseñas cifradas, de manera que si un cracker ohacker consigue el archivo, no tenga, en principio, acceso a estas claves.

SEGURIDAD UNIX PARASEGURIDAD UNIX PARASEGURIDAD UNIX PARASEGURIDAD UNIX PARASEGURIDAD UNIX PARAUSUARIOS WINDOWSUSUARIOS WINDOWSUSUARIOS WINDOWSUSUARIOS WINDOWSUSUARIOS WINDOWS


www.FreeLibros.me



Sin embargo, los crackers suelen utilizar una técnica,denominada ‘ataque por fuerza bruta’ o ‘diccionario’, queconsiste en cifrar todas las palabras de un diccionario y versi coinciden con la contraseña cifrada de algún usuario.

Lo hacen de esta forma ya que no es posible obtenerla deotro modo, debido a que el algoritmo que utiliza Unix paracifrar no permite la operación inversa.

Consciente del modo en que se producen este tipo de ataques, el usuariodoméstico debe tener un cuidado especial al elegir la contraseña. La eleccióndebe realizarse pensando que debe ser una combinación de números, signos yletras, de manera que no se encuentren en un hipotético diccionario que un crackerpueda utilizar para averiguar nuestra clave. Deberemos evitar el utilizar palabrascomunes, nombres propios, marcas, combinaciones del nombre de usuario, alias,etc.

Una buena contraseña debe mezclar letras mayúsculas y minúsculas, dígitos ycaracteres de puntuación. Su longitud debe superar los seis caracteres, y al mismotiempo, debemos tratar que sean fáciles de recordar. Una buena elección nospermite que, aunque un atacante consiga el fichero de passwords de nuestroproveedor de Internet, nuestra seguridad sea realmente difícil de vulnerar.

Cecilia, FernandoCecilia, FernandoCecilia, FernandoCecilia, FernandoCecilia, FernandoSilvana, Gonzalo - Patty, Alex - Margarita, JimmySilvana, Gonzalo - Patty, Alex - Margarita, JimmySilvana, Gonzalo - Patty, Alex - Margarita, JimmySilvana, Gonzalo - Patty, Alex - Margarita, JimmySilvana, Gonzalo - Patty, Alex - Margarita, Jimmy

Ana, Francisco - Josésiño, Carol - Sandra, Eduardo- Jaqui, ToñoAna, Francisco - Josésiño, Carol - Sandra, Eduardo- Jaqui, ToñoAna, Francisco - Josésiño, Carol - Sandra, Eduardo- Jaqui, ToñoAna, Francisco - Josésiño, Carol - Sandra, Eduardo- Jaqui, ToñoAna, Francisco - Josésiño, Carol - Sandra, Eduardo- Jaqui, ToñoSergio, - Miller - Dávila - Agustín, Sara- Antonieta, Frank- Paola,Sergio, - Miller - Dávila - Agustín, Sara- Antonieta, Frank- Paola,Sergio, - Miller - Dávila - Agustín, Sara- Antonieta, Frank- Paola,Sergio, - Miller - Dávila - Agustín, Sara- Antonieta, Frank- Paola,Sergio, - Miller - Dávila - Agustín, Sara- Antonieta, Frank- Paola,

Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, José -Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, José -Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, José -Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, José -Shawn - Antonina, Frank - Patty, Jorge - Oscar - Betsy, José -Pierito - Cecy, Nando.Pierito - Cecy, Nando.Pierito - Cecy, Nando.Pierito - Cecy, Nando.Pierito - Cecy, Nando.

www.FreeLibros.me



44


INFORME SOBRE LAINFORME SOBRE LAINFORME SOBRE LAINFORME SOBRE LAINFORME SOBRE LASEGURIDAD INFORMATICA ENSEGURIDAD INFORMATICA ENSEGURIDAD INFORMATICA ENSEGURIDAD INFORMATICA ENSEGURIDAD INFORMATICA EN

LAS EMPRESASLAS EMPRESASLAS EMPRESASLAS EMPRESASLAS EMPRESAS


Un 77 % de las empresas tienen, a lo largo del año, algún tipo de incidencia oproblema relacionado con virus informáticos. Este es uno de los datosproporcionados en el último estudio sobre seguridad informática, publicado en elnúmero de Julio de la prestigiosa revista Information Security. El estudio, realizadoentre los meses de Abril y Mayo del presente año, es el resultado de una encuestaen la que han participado 745 lectores de la revista Information Security, una muestraque incluye administradores de sistemas, responsables y ejecutivos en tecnologíasde la información, redes informáticas y administración de datos. El informe ha sidoesponsorizado por la Asociación Internacional de Seguridad Informática (ICSA) ySAIC, empresa dedicada a soluciones de seguridad.

El objetivo de la encuesta es evaluar el estado de la seguridadinformática desde el punto de vista de sus responsables, calibrar lavulnerabilidad y eficacia de los productos comerciales relacionadoscon dicha área, y profundizar en los crecientes problemas asociadosa los agujeros de seguridad.

Los ataques por virus siguen siendo el principal problema de las empresas en loque a seguridad se refiere, y el número de incidencias debidas a código malignosigue aumentando. Un 77 % de las empresas encuestadas ha sufrido a lo largo delpasado año algún tipo de incidencia o problema relacionado con virus informáticos.Las soluciones antivirus, que se pueden encontrar en más de un 90% de las empresas,son los más empleados en el área de seguridad, aunque este año ha cobrado espe-cial importancia la inversión en firewalls y software de control de acceso, debidosobre todo a la potenciación de la seguridad en Internet.

Estudios anteriores reflejaban que el mayor riesgo a la seguridad provenía de losabusos de los propios empleados o de empleados descontentos. Este tipo de accesos“desde dentro” se llegaba a cifrar hasta en un 80%. Según este nuevo informe, sevuelve a demostrar, por un amplio margen, que este tipo de accesos no autorizadossigue afectando a la mayor parte de las compañías por encima de cualquier otrotipo de riesgo. También se produce un aumento en el número de casos de accesosexternos no autorizados. El porcentaje de empresas que habían sufrido algunaintrusión de hackers durante el año 1998 se situaba en un 12%, mientras que en elpresente estudio el porcentaje se eleva al 23% de las empresas, es decir, casi eldoble.

www.FreeLibros.me



7,600 MILLONES DE DOLARES7,600 MILLONES DE DOLARES7,600 MILLONES DE DOLARES7,600 MILLONES DE DOLARES7,600 MILLONES DE DOLARESEN PERDIDAS CAUSADAS POREN PERDIDAS CAUSADAS POREN PERDIDAS CAUSADAS POREN PERDIDAS CAUSADAS POREN PERDIDAS CAUSADAS POR

LOS VIRUSLOS VIRUSLOS VIRUSLOS VIRUSLOS VIRUS


Según la consultora Computer Economics, en el primer semestre del año los virushan causado a las empresas unas pérdidas por valor de 7,600 millones de dólaresen todo el mundo. Según la consultora norteamericana, los principales enemigosde este año tienen nombres de gusanos, I-Worm.ExploreZip y Melissa, ya queéstos han protagonizado los mayores índices de ataques y de pérdidas para lasempresas.

Estos 7,600 millones de dólares representan los gastos por pérdidas en productividady costos de reparación declarados por las 185 compañías que han sido objeto delestudio de Computer Economics y que representan cerca de 900.000 usuariosinternacionales.

Esta cifra contrasta con la ofrecida el año pasado por la misma consultora y quesituaba las pérdidas de todo el año por encima de los 1,500 millones de dólares. Enel estudio de 1998 no sólo se incluyeron las pérdidas por virus, sino también lasdebidas a intrusiones en los sistemas informáticos por hackers y usuarios maliciosos.Computer Economics hace hincapié en que las cifras de pérdidas en este primersemestre del año son ya cinco veces superiores a los totales del pasado año y sóloen cuanto a virus se refiere. Incluso, se estima que estos números son conservadorese inferiores a los reales, ya que la mayor parte de las compañías tienden a minimizarlos gastos y las incidencias producidas, a fin de no provocar una mala imagen entresus clientes.

En cuanto a la prevención contra los ataques por virus y gusanos, Michael Erbschloe,vicepresidente de investigación de Computer Economics, recomienda una mayoratención a las políticas de seguridad informática de las empresas: “La prevencióncontra estos ataques sólo se puede llevar a cabo destinando fondos y personaladecuado a los programas de seguridad informática de la empresa. De estosprogramas, son muy pocos los que cumplen con los recursos necesarios y lamayoría de las empresas tendrán que doblar el presupuesto destinado al área deseguridad informática para hacer frente a este tipo de ataques”.

www.FreeLibros.me

www.FreeLibros.me



47


Modelo de la Metodología para la realización de Auditorías aModelo de la Metodología para la realización de Auditorías aModelo de la Metodología para la realización de Auditorías aModelo de la Metodología para la realización de Auditorías aModelo de la Metodología para la realización de Auditorías ala Seguridad Informática.la Seguridad Informática.la Seguridad Informática.la Seguridad Informática.la Seguridad Informática.Agradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:

Ing. Jesús Zaldivar VázquezIng. Jesús Zaldivar VázquezIng. Jesús Zaldivar VázquezIng. Jesús Zaldivar VázquezIng. Jesús Zaldivar VázquezIng. Lucila Vázquez NoaIng. Lucila Vázquez NoaIng. Lucila Vázquez NoaIng. Lucila Vázquez NoaIng. Lucila Vázquez NoaMinisterio del InteriorMinisterio del InteriorMinisterio del InteriorMinisterio del InteriorMinisterio del InteriorCUBACUBACUBACUBACUBA

Incidencia de los Virus en la Seguridad InformáticaIncidencia de los Virus en la Seguridad InformáticaIncidencia de los Virus en la Seguridad InformáticaIncidencia de los Virus en la Seguridad InformáticaIncidencia de los Virus en la Seguridad InformáticaAgradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:Agradecimiento Especial a:

Lic. José Bidot PelaézLic. José Bidot PelaézLic. José Bidot PelaézLic. José Bidot PelaézLic. José Bidot PelaézDirector del Laboratorio Latinoamericano de ProtecciónDirector del Laboratorio Latinoamericano de ProtecciónDirector del Laboratorio Latinoamericano de ProtecciónDirector del Laboratorio Latinoamericano de ProtecciónDirector del Laboratorio Latinoamericano de Proteccióncontra Virus Informáticos UNESCOcontra Virus Informáticos UNESCOcontra Virus Informáticos UNESCOcontra Virus Informáticos UNESCOcontra Virus Informáticos UNESCOCUBACUBACUBACUBACUBA

Proceedings of the Seventh International Virus Bulletin Conference 1997

Proceedings SECURMATICA’ 97 .( ANSEI, España )

Proceedings Segunda Conferencia de Seguridad Informática.( ALAPSI, México )

http://www.computereconomics.com

http://www.pandasoftware.es/

www.FreeLibros.me

Documents

Auditoría Para La Seguridad Informática - InEI