Embed Size (px)
Citation preview
INSTITUTO TECNOLÓGICO DE COSTA RICA
ESCUELA DE INGENIERÍA EN PRODUCCIÓN INDUSTRIAL
LICENCIATURA EN INGENIERÍA EN PRODUCCIÓN INDUSTRIAL
PI-3403 SISTEMAS DE INFORMACIÓN
TRABAJO DE INVESTIGACIÓN
INFRAESTRUCTURA Y SEGURIDAD DE TECNOLOGÍAS DE INFORMACIÓN
ESTUDIANTES:
GOMEZ ROLDÁN KATHERINE 200640377
HERNÁNDEZ QUIRÓS ANDREA 9917724
LEIVA CORTÉS JUAN JOSÉ 200840631
PROFESOR:
MAG. CARLOS ARIAS RODRÍGUEZ
2 DE JUNIO DE 2009
2
TABLA DE CONTENIDOS
RESUMEN ............................................................................................................................. 1
I. INTRODUCCIÓN .......................................................................................................... 2
A. Tema de la investigación .......................................................................................... 2
B. Objetivos de la investigación ................................................................................... 2
C. Justificación .............................................................................................................. 2
D. Alcances y limitaciones ............................................................................................ 3
1. Alcances ................................................................................................................ 3
2. Limitaciones ......................................................................................................... 3
II. MARCO TEÓRICO ....................................................................................................... 4
A. Amenazas a la seguridad empresarial ...................................................................... 4
1. Piratería informática ............................................................................................ 4
2. Robo cibernético ................................................................................................... 4
3. Uso no autorizado en el trabajo ........................................................................... 5
4. Piratería de software ............................................................................................ 5
5. Piratería de la propiedad intelectual ................................................................... 6
6. Virus y gusanos informáticos ............................................................................... 6
B. Herramientas para la seguridad ................................................................................ 7
1. Encriptación ......................................................................................................... 7
2. Firewalls ............................................................................................................... 8
3. Defensas contra la negación de servicio .............................................................. 8
4. Monitoreo del correo electrónico ......................................................................... 9
5. Defensas contra virus ........................................................................................... 9
C. Otras medidas de seguridad ................................................................................... 10
1. Códigos de seguridad ......................................................................................... 10
3
2. Archivos de respaldo .......................................................................................... 10
3. Monitores de seguridad ...................................................................................... 11
4. Seguridad biométrica ......................................................................................... 11
5. Controles de fallas informáticas ........................................................................ 12
6. Sistemas tolerantes a fallas ................................................................................ 12
7. Recuperación de desastres ................................................................................. 12
D. Auditorías de Sistemas de Información y de seguridad ......................................... 12
III. CONCLUSIONES ..................................................................................................... 13
IV. BIBLIOGRAFÍA ....................................................................................................... 14
V. APÉNDICES ............................................................................................................. 16
A. Entrevista ................................................................................................................ 16
VI. ANEXOS ................................................................................................................... 18
A. Anexo 1 .................................................................................................................. 18
B. Anexo 2 .................................................................................................................. 20
C. Anexo 3 .................................................................................................................. 21
D. Anexo 4 .................................................................................................................. 22
E. Anexo 5 .................................................................................................................. 23
1
RESUMEN
En la nueva era de la información y la tecnología es necesario que las empresas que
utilizan internet como recurso principal para realizar sus operaciones cuenten con un
sistema de seguridad de alta calidad. Esto se debe tomar para evitar ataques de delincuentes
cibernéticos, que quieran usurpar archivos confidenciales o bien detener por completo los
sistemas de la organización dañando el software o el hardware de la misma. Estas y otras
muchas amenazas forman parte de los peligros a los que se ven expuestas las empresas, no
solo por parte de personas ajenas a la institución, sino que hasta los mismos trabajadores de
la empresa podrían infringir las políticas de la compañía y hacerle daño.
Bajo estas circunstancias, estas entidades deben recurrir a herramientas tecnológicas
que impidan estos ataques. Estas herramientas tienen la función de cifrar los archivos,
mantener una barrera de acceso, defensas contra virus, monitoreo de las actividades de los
trabajadores, restringir el acceso al sistema mediante contraseñas, respaldar archivos,
sistemas controladores de fallas, entre otras muchas medidas que combaten estas amenazas.
La presente investigación expone aún más a fondo estos temas de vital importancia
para la seguridad de las empresas y de sus datos, cifras y archivos privados.
2
I. INTRODUCCIÓN
A. Tema de la investigación
Infraestructura y seguridad en Tecnologías de Información
B. Objetivos de la investigación
• Examinar las amenazas a la seguridad empresarial.
• Conocer las herramientas tecnológicas básicas para la seguridad informática.
• Investigar sobre medidas alternativas de seguridad.
• Indagar sobre las auditorías de sistemas de información y de seguridad.
C. Justificación
La necesidad de las empresas de protegerse contra las amenazas de la seguridad
informática, hace cada vez más necesario la implementación de técnicas y la utilización de
herramientas destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial. En
este sentido, es la información el elemento principal a proteger, resguardar y recuperar
dentro de las redes empresariales.
Este estudio se enfoca en la infraestructura y seguridad de las Tecnologías de
Información con el fin de mostrar la vulnerabilidad que tienen las empresas de amenazas
informáticas debido a la existencia de personas ajenas a la información, también conocidas
como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para
modificar, sustraer o borrar datos. Además de mostrar algunas herramientas tecnológicas
que podría adquirir una empresa para la protección de sus datos e información confidencial.
3
D. Alcances y limitaciones
1. Alcances
El estudio sobre la infraestructura y seguridad en las Tecnologías de Información es
de gran extensión y de vital importancia para una empresa, por lo que la investigación se
enfoca en las siguientes temáticas:
• Amenazas para las empresas: piratería informática, robo cibernético, uso no
autorizado en el trabajo, piratería de software, piratería de la propiedad intelectual,
virus y gusanos informáticos.
• Herramientas para la seguridad: encriptación, firewall, defensas contra la negación
de servicio, monitoreo del correo electrónico y defensas contra virus.
• Otras medidas de seguridad: códigos de seguridad, archivos de respaldo, monitores
de seguridad, seguridad biométrica, controles de fallas informáticas, sistemas
tolerantes a fallas y recuperación de desastres.
• Auditorías de Sistemas de Información.
En la actualidad este estudio se vuelve de gran utilidad debido a que las
organizaciones deben mantener seguras sus cifras, datos y archivos; por lo que este estudio
sería de gran importancia para cualquier empresa, para que conozca las amenazas a las que
se encuentran expuestos y las formas para combatirlas. Aunque sería sólo un punto de
referencia, ya que el estudio empieza en la mención de cada amenaza y herramienta y
termina en la descripción del funcionamiento de cada uno de ellos.
2. Limitaciones
La investigación consta básicamente de cuatro etapas: las amenazas a las empresas,
herramientas para la seguridad, otras medidas de seguridad y auditoría de sistemas de
información. Para todas las etapas del estudio se presentó el limitante de la gran cantidad de
amenazas y herramientas existentes en la actualidad, por lo que el estudio estuvo limitado a
las amenazas y herramientas más utilizadas y más importantes en el ámbito empresarial.
Además el análisis de estos contenidos llega hasta una explicación general de cada uno, sin
adentrarse en los usos específicos de cada herramienta o los tipos en los que se divide cada
una.
4
II. MARCO TEÓRICO
A. Amenazas a la seguridad empresarial
1. Piratería informática
El término de piratería informática se refiere al uso obsesivo de computadoras o el
acceso y uso no autorizado de sistemas informáticos interconectados. Los piratas
informáticos pueden ser personas externas a la empresa o empleados de ésta que usan
Internet y otras redes para robar o dañar datos y programas.
Los piratas cibernéticos pueden monitorear el correo electrónico, el acceso a
servidores Web o a las transferencias de archivos para extraer contraseñas, robar archivos
de redes o plantar datos para que un sistema acepte intrusos. Un pirata informático también
puede hacer uso de servidores remotos que permitan a una computadora de una red ejecutar
programas en otra computadora para lograr un acceso privilegiado dentro de una red.
En el anexo 1, se presentan algunos ejemplos de tácticas utilizadas por los piratas
para asaltar para asaltar a las empresas a través de Internet y otras redes.
2. Robo cibernético
El robo cibernético es un tipo de delito informático que consiste en reproducir
copias idénticas de los sitios oficiales de bancos o instituciones financieras ocasionando que
los usuarios proporcionen contraseñas, números de cuenta y otra información confidencial.
El término phishing se refiere a una estafa por Internet en donde los estafadores
“pescan” la información personal a través de correos electrónicos que supuestamente
enlazan con las páginas de empresas de prestigio, con los mensajes alertan sobre anomalías
en la tarjeta de crédito o problemas con el manejo de cuenta, logrando captar la atención de
los visitantes quienes de inmediato ingresan al portal.
Una vez seleccionada la opción, el link redirecciona hacia un sitio falso que es una
copia idéntica de los sitios oficiales de bancos o instituciones financieras. De esta forma,
los usuarios confían en la veracidad del mensaje y proporcionan datos como nombre,
contraseña, PIN o número de cuenta y otra información confidencial que se almacenan en
un formulario falso. Es aquí cuando los estafadores utilizan la información con el fin de
efectuar un robo de dinero o venta de información confidencial. En el anexo 1, se presenta
5
una noticia de un empleado bancario el cual evitó un robo cibernético en una sucursal del
banco Swedbank (Suecia) en agosto del 2007.
3. Uso no autorizado en el trabajo
Las organizaciones de cualquier tamaño y campo se enfrentan con un desafío
complejo a la hora de proteger el entorno informático en el que confían para realizar
operaciones. Ya no es solo la preocupación de que los empleados accedan a sitios Web
inadecuados, sino que el creciente incremento de aplicaciones nocivas en la Web y el uso
abusivo de mensajería instantánea ha aumentado drásticamente los riesgos que enfrentan
las organizaciones: riesgos de seguridad, responsabilidad legal, pérdida de productividad y
recursos cruciales de TI1. (NOVA Devices, 2009).
El uso no autorizado de sistemas informáticos y redes de cómputo puede
denominarse robo de tiempo y recursos, como por ejemplo el que efectúan los empleados
de las redes de cómputo empresariales, esto se manifiesta al realizar consultas privadas
atender las finanzas personales o jugar videojuegos. (O’Brien & Marakas, 2006, p.443).
El software de control de redes, conocido como husmeador, se utiliza
frecuentemente en la vigilancia el tráfico de redes a fin de evaluar evidencias de usos
inadecuados. Algunos de estos son: los abusos del correo electrónico, el uso y acceso no
autorizado a redes empresariales, la violación y plagio de derechos de autor, los anuncios
en grupos de discusión, la transmisión de datos confidenciales, la visualización o descarga
de pornografía, la piratería informática, entre otros. (O’Brien & Marakas, 2006).
4. Piratería de software
Muchas empresas, tanto grandes como pequeñas, afrontan serios riesgos de
intervención judicial debido a la piratería de software. Según la ley, a una compañía se le
puede considerar responsable por los actos de sus empleados. Si un empleado instala copias
de software ilegalmente sin autorización en computadoras de la empresa o adquiere
software ilegal vía Internet, la compañía puede ser demandada por violación de los
derechos de autor. Esto es así, aun si la gerencia de la compañía no tuviera conocimiento
alguno de los actos del empleado. (Business Software Alliance, 2009).
1 Tecnologías de Información
6
Las copias sin permisos son ilegales porque son propiedad intelectual protegida por
la Ley de Derechos de Autor. Para obtener el uso autorizado de estos programas es
necesaria una licencia de sitio, el uso de programas compartidos o shareware o el software
de dominio público. (O’Brien & Marakas, 2006).
5. Piratería de la propiedad intelectual
La piratería de la propiedad intelectual hace alusión a la copia de obras literarias,
musicales, audiovisuales, de software o invenciones, efectuada sin el consentimiento del
titular de los derechos de autor o, en su defecto, sin autorización legal. Los derechos de
autor surgen al plasmar la creación de una obra en un determinado soporte físico o lógico
protegiendo dicha obra a nivel internacional. Es por ello que en la actualidad la propiedad
intelectual es víctima de la piratería, pues es frecuente ver la descarga ilegal de música,
videos, imágenes artículos, libros y otros trabajos escritos; tal situación se agrava con la
tecnología, pues cada vez es más sencillo capturar las versiones digitalizadas de estos
archivos de tal manera que el público tiene un acceso ilimitado a estos, de modo que
puedan ser descargarlos de Internet o se diseminen sin dificultad por medio de correos
electrónicos como archivos adjuntos. En el anexo 4, se presentan el caso de Costa Rica con
respecto a los derechos de propiedad intelectual y el anexo 5 muestra el organismo
costarricense que regula los derechos de autor y propiedad.
6. Virus y gusanos informáticos
6.1. Virus
Un virus es un programa informático desarrollado en un determinado lenguaje,
capaz de infectar un sistema informático mediante distintos mecanismos de propagación,
que contiene una determinada carga dañina para el sistema infectado y que además puede
incorporar algunas medidas de autoprotección para “sobrevivir”. Los virus pueden dañar el
software, el hardware y los archivos. La inserción del virus en un programa se llama
infección, y el código infectado del archivo (o ejecutable que no es parte de un archivo) se
llama hospedador (host). Un virus se adjunta a sí mismo a un programa host y, a
continuación, intenta propagarse de un equipo a otro.
7
Dentro de las contaminaciones más frecuentes por interacción del usuario están las
siguientes: los mensajes que ejecutan automáticamente programas (como el programa de
correo que abre directamente un archivo adjunto), la Ingeniería social (mensajes como
ejecute este programa y gane un premio), la entrada de información en discos de otros
usuarios infectados y la instalación de software pirata o de baja calidad.
4.2. Gusanos
Un gusano, al igual que un virus, está diseñado para copiarse de un equipo a otro,
pero lo hace automáticamente. Los gusanos son programas dañinos que se pueden propagar
por sí mismos y con gran rapidez atreves de las redes de ordenadores. Los gusanos utilizan
las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.
A diferencia de un virus, un gusano no precisa alterar los archivos de programas,
sino que reside en la memoria y se duplica a sí mismo. Los gusanos casi siempre causan
problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que
los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su
incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las
tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
B. Herramientas para la seguridad
1. Encriptación
La encriptación tiene el fin de proteger información en Internet, intranets y
extranets. Ejemplos de información relevante podría ser: información de tarjetas de crédito,
números de la seguridad social, correspondencia privada, datos personales, información
sensitiva de una compañía o empresa o información de datos bancarios. (Ordenadores y
Portátiles, 2009).
Esta técnica implica el uso de algoritmos matemáticos especiales con el fin de
transmitir de manera codificada datos como: contraseñas, mensajes y archivos. La
información sólo puede ser accesada por personas con autorización, de esta manera se
8
transforman los datos digitales en un código cifrado antes de ser transmitidos y se
decodifican cuando son recibidos. (O’Brien & Marakas, 2006).
2. Firewalls
Un firewall sirve como un sistema de “portero” que protege las intranets de una
empresa y otras redes informáticas de la intrusión al proporcionar un filtro y un punto de
transferencia seguro para el acceso a Internet y otras redes. Filtra todo el tráfico de red en
busca de las contraseñas apropiadas y otros códigos de seguridad y sólo permite
transmisiones autorizadas de entrada y salida en la red. (O’Brien & Marakas, 2006).
Un firewall es simplemente un filtro que controla todas las comunicaciones que
pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para
permitir o denegar una comunicación el firewall examina el tipo de servicio al que
corresponde, como pueden ser el web o el correo. Dependiendo del servicio el firewall
decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o
saliente y dependiendo de su dirección puede permitirla o no. (Álvarez, M., 2001).
3. Defensas contra la negación de servicio
En la actualidad la negación de servicio es una importante fuente de pérdidas
financieras originadas por el robo cibernético.
El objetivo de un ataque de negación de servicio distribuido (DDOS) es interrumpir
sus actividades de negocios, dejando fuera de operación su sitio Web, su e-mail o sus
aplicaciones Web. Esto se consigue atacando los servidores o la red que aloja estos
servicios y sobrecargando intencionalmente algunos recursos clave como el ancho de
banda, el CPU o la memoria. Las motivaciones típicas que están detrás de este tipo de
ataques son la extorsión, la demostración de habilidades para violar medidas de seguridad,
acciones políticas y competencia desleal, entre otros.
Virtualmente cualquier organización que se conecta a Internet es vulnerable a este
tipo de ataques. El impacto que puede producir en una empresa el hecho de ser víctima de
un ataque DDOS sostenido y prolongado es devastador, ya que lleva a la pérdida de
beneficios, insatisfacción de los clientes y pérdidas de productividad, originados en la no
disponibilidad o el deterioro del servicio.
9
Algunos pasos que las organizaciones pueden tomar para protegerse de los ataques
DDOS son los siguientes:
• En las máquinas zombies: Establecer y hacer cumplir las políticas de seguridad.
Escanear de manera habitual el sistema. Recordar a los usuarios que no abran archivos
ejecutables (.exe) adjuntos de correo.
• En el ISP: Vigilar y bloquear picos de tráfico. Filtrar direcciones IP falsas. Coordinar la
seguridad con proveedores de red.
• En el sitio Web de la víctima: Crear conexiones de red de respaldo. Limitar las
conexiones a cada servidor. Instalar sistemas de detección de intrusos con el fin de
reducir puntos vulnerables.
4. Monitoreo del correo electrónico
Actualmente las empresas tienden hacia la vigilancia sistemática del tráfico del
correo electrónico corporativo mediante el uso de software que realiza escaneo en busca de
información que pueda comprometer la seguridad de la empresa. Todo lo anterior debido a
las múltiples amenazas en seguridad que han evolucionado en Internet.
Muchos de los virus y gusanos actuales son diseñados por piratas informáticos con
el propósito de infectar rápidamente millones de ordenadores en el mundo a través de la
Internet y usando como medio el “correo electrónico y ambientes colaborativos”.
Debido a que los servidores de correo electrónico son agregados de datos, pasan a
ser un punto crítico de las operaciones diarias de la mayoría de los negocios, así pues los
programadores de software malicioso, los piratas informáticos y los remitentes de spam se
han enfocado en ellos como un método primario de entrada a la red corporativa. El Correo
electrónico ha llegado a ser el vehículo más común para infecciones de virus, y fue el
medio de entrada en un 88% de los incidentes corporativos de virus reportados en 2004.
5. Defensas contra virus
Antivirus es un programa creado para prevenir o evitar la activación de los virus, así
como su propagación y contagio. El objetivo primordial de cualquier antivirus actual es
10
detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y
bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la
infección. Así como también se basa en contar con una lista de virus conocidos y su formas
de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos
almacenados o transmitidos desde y hacia un ordenador.
C. Otras medidas de seguridad
1. Códigos de seguridad
Es el uso de contraseñas de multinivel para la administración de la seguridad, estas
son utilizadas para obtener acceso a un sistema. Las contraseñas deben consistir en
combinaciones de letras mayúsculas y minúsculas, así como de números; estas se deben
cifrar o encriptar con el fin de evitar su robo o uso inadecuado.
Se deben seguir estos pasos para crear una contraseña segura: pensar en una frase
que pueda recordar, comprobar si el equipo o el sistema en línea admite directamente la
frase codificada, si el equipo o el sistema en línea no admite frases codificadas, convertirlas
en contraseñas, aumentar la complejidad, realizar sustituciones con algunos caracteres
especiales y probar la contraseña con el comprobador de contraseñas. (Microsoft
Corporation, 2009).
2. Archivos de respaldo
Son archivos duplicados de datos o programas, no son otra medida de seguridad
importante. Los archivos también pueden ser protegidos a través del uso de medidas de
retención de archivos que implican el almacenamiento de copias de archivos de periodos
previos, denominados archivos maestros y tiene un fin de respaldar todas las transacciones
que se realizan. Si los archivos actuales se destruyen, éstos se utilizan para reconstruir los
archivos actuales. Es de vital relevancia que los archivos se almacenen fuera de la empresa
en lugares remotos, con el fin de evitar la violación de estos archivos. (O’Brien & Marakas,
2006).
11
3. Monitores de seguridad
Los monitores de seguridad son programas que monitorean el uso de sistemas y
redes informáticos y los protegen del uso no autorizado, fraude y destrucción.
Algunas de sus funciones son las siguientes:
• Proporcionar medidas de seguridad para permitir el acceso a las redes de la empresa
sólo a los usuarios autorizados.
• Controlar el uso de recursos de hardware, software y datos de los sistemas.
• Vigilar el uso de redes informáticas y recabar estadísticas sobre cualquier intento de uso
inadecuado.
• Elaborar reportes para ayudar a mantener la seguridad de la red.
4. Seguridad biométrica
Los peligros a los que están expuestos hoy en día los sistemas de información, así
como aquellos espacios que tienen el acceso restringido, están llevando a los responsables
de la seguridad en las empresas a buscar nuevas fórmulas que solucionen esta problemática.
La biometría es una tecnología de seguridad basada en el reconocimiento de una
característica física e intransferible de las personas, que puede ser el reconocimiento de la
voz, reconocimiento de huellas digitales, geometría manual, reconocimiento dinámico de
firmas, análisis de pulsaciones, escaneo de retina, reconocimiento facial y análisis de
patrones genéticos.
En la actualidad el sistema de seguridad biométrica no sólo se aplica para permitir o
denegar el acceso a una PC sino que también tiene múltiples aplicaciones como:
• A nivel comercial es muy común en áreas como la banca y los servicios financieros; de
hecho, en algunas oficinas y cajeros se instalan lectores biométricos de huella para que
sólo el titular de la cuenta pueda hacer operaciones.
• A nivel de seguridad informática en laptops, teclados, ratones, memorias USB y
computadoras de mano incluyen lectores de huella para que el usuario pueda proteger
su información y llevar a cabo movimientos por Internet.
12
5. Controles de fallas informáticas
Estos controles pueden evitar fallas informáticas en los procesos de operación de
cualquier negocio, o bien minimizar sus efectos. Los controles de fallas informáticas tratan
problemas tales como: fallas eléctricas, mal funcionamiento de circuitos eléctricos,
problemas de redes de telecomunicaciones, errores de programación ocultos, virus, etc.
6. Sistemas tolerantes a fallas
Se encarga de respaldar los componentes en caso de que falle un sistema de
información. Tales sistemas utilizan procesadores, periféricos y software redundante que
proporcionan una gran capacidad de recuperación de información.
7. Recuperación de desastres
Son planes desarrollados por algunas empresas para estar preparados ante cualquier
eventualidad. Esta específica qué empleados participaran en la recuperación de desastres y
cuáles serán sus obligaciones, que hardware, software e instalaciones se usaran, así como
también la prioridad de las aplicaciones que se procesaran.
D. Auditorías de Sistemas de Información y de seguridad
La auditoría en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente
y segura de la información que servirá para una adecuada toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información
13
III. CONCLUSIONES
• En un mundo globalizado no se puede trabajar sin seguridad Informática, por lo que
se debe contar con alta tecnología de seguridad, que ayude a minimizar los riesgos.
• Las empresas que realizan sus operaciones por medio de internet y redes de
telecomunicaciones en la actualidad se encuentran en gran peligro debido a los
piratas informáticos o hackers que buscan capturar información confidencial de las
empresas y comunicarlas a terceros o hacer daños en ellas.
• Hay gran cantidad de amenazas informáticas para las empresas, riesgos que no
solamente abarcan el robo de información, sino que también puedan paralizar los
sistemas por causas de virus, accidentes o daños repentinos a nivel de hardware sin
que se cuente con respaldos, entre otros.
• Existen herramientas tecnológicas básicas para la protección de los equipos de una
empresa, desde la encriptación de datos hasta los antivirus, todas con el fin de que la
información no sea accesada por personas ajenas a la organización y causen
estragos con la misma.
• También existen otras medidas de seguridad para restringir el acceso de
desconocidos a los sistemas empresariales, los cuales están siendo revolucionados
por la tecnología Oriental, específicamente en el campo de la seguridad biométrica
ya que se aprovecha las características únicas que diferencian a cada ser humano.
• La auditoría en informática es de vital importancia para el buen desempeño de los
Sistemas de Información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad.
14
IV. BIBLIOGRAFÍA
ACE Project (2009). Códigos de Seguridad. Consultado en mayo 30 de 2009 en
http://aceproject.org/main/espanol/et/ete01c.htm.
Álvarez, M. (2001). Qué es un firewall. Consultado en mayo 30 de 2009 en
http://www.desarrolloweb.com/articulos/513.php.
Borghello, C. (2009). Firewall / Cortafuegos. Consultado en mayo 30 de 2009 en
http://www.segu-info.com.ar/firewall/firewall.htm.
Business Software Alliance (2009). La piratería de software y la ley. Consultado en mayo
30 de 2009 en http://w3.bsa.org/puertorico-esp//antipiracy/Piracy-and-the-Law.cfm.
Gómez, A. (2007). Enciclopedia de la seguridad informática. Madrid, España: Editorial
RA-MA.
InfoChannel (2009). Seguridad biométrica, un negocio bien identificado. Consultado en
mayo 30 de 2009 en
http://www.infochannel.com.mx/infovar/noticiasvars.asp?id_nota=13621&ids=1.
Microsoft Corporation (2009). Ayude a proteger su información personal con contraseñas
seguras. Consultado en mayo 30 de 2009 en
http://www.microsoft.com/latam/athome/security/privacy/password.mspx.
Microsoft Corporation (2009). Seguridad en el correo electrónico y colaboración de su
empresa. Consultado en mayo 30 de 2009 en
http://download.microsoft.com/download/3/c/2/3c267842-2863-47e5-b74f-
9ca7b538d95f/Seguridad_correo_electronico.pdf.
15
NOVA Devices (2009). Control de acceso al Internet Corporativo. Consultado en mayo 30
de 2009 en www.novadevices.com/images1/filtrado.pdf.
O'Brien, J. & Marakas, G. (2006). Sistemas de Información Gerencial. Capítulo 13: Retos
de seguridad y éticos (Séptima edición). México: McGraw-Hill Interamericana.
Ordenadores y Portátiles (2009). Cómo funciona la encriptación. Consultado en mayo 30
de 2009 en http://www.ordenadores-y-portatiles.com/encriptacion.html.
Osmosis Latina (2005). ¿Qué es Encriptación?. Consultado en mayo 30 de 2009 en
http://www.osmosislatina.com/aplicaciones/seguridad.htm.
Sage SP España (2009). Piratería del software. Consultado en mayo 30 de 2009 en
http://www.sagesp.com/software-legal/pirateria-de-software.asp.
Seguridad Informática (2009). Empleado bancario evitó millonario asalto cibernético.
Consultado en mayo 30 de 2009 en http://www.forospyware.com/archive/t-
146507.html.
Smith, J. (2008). Archivos y Carpetas: Respaldo o Backup. Consultado en mayo 30 de 2009
en http://www.jegsworks.com/Lessons-sp/win/filesandfolders/step-backup.htm.
Symantec Corporation (2009). Realice copias de respaldo de sus archivos valiosos.
Consultado en mayo 30 de 2009 en
http://www.symantec.com/es/mx/norton/library/article.jsp?aid=backup_valuable_fil
es.
Zaragoza Dinámica (2009). Uso y abuso de internet en el trabajo. Consultado en mayo 30
de 2009 en
http://www.zaragozadinamica.es/index.php?Itemid=191&id=1016&option=com_co
ntent&task=view.
16
V. APÉNDICES
A. Entrevista
Entrevista realizada el jueves 28 de mayo de 2009 al Ingeniero Emmanuel Hidalgo
Cordero, colaborador en el Departamento de Tecnología e Información de BANCREDITO
1. ¿Qué herramientas de seguridad en Tecnología de Información utilizan en su
empresa y qué se busca proteger con esas herramientas?
• Firewall: para limitar el acceso a entes extraños y que involucren algún riesgo en los
sistemas del banco y para que no consuman los recursos.
• Antivirus: en Bancrédito se utiliza el antivirus Symantec ya que el proveedor del
banco es Microsoft el cual, nos brinda el servicio de soporte y capacitación del
personal.
• Active Directory: que es el medio de autenticación del personal, regula políticas de
seguridad del banco, los accesos a recursos de red como: Internet, recursos
compartidos, aplicaciones.
• Tarjeta de marcaje: para limitar el ingreso del personal.
• Cámaras de seguridad: monitorear el comportamiento de las personas y algún
acceso indebido.
• Sistemas propios del banco: cada sistema tiene su esquema de seguridad donde los
usuarios se autentican y tiene acceso limitado dependiendo del roll.
• Multiclave
2. ¿Qué es lo más crítico para la empresa a nivel de seguridad?
La información sensible de tipo bancario como: cuentas de bancos (cuentas de
ahorros, corrientes, certificados, etc.), información financiera (disponibilidad de dinero,
ganancias, tendencias, índices –información clave para el negocio-).
17
3. ¿Cumple las herramientas utilizadas el objetivo de proteger lo más crítico para la
empresa a nivel de seguridad?
La seguridad no es a un 100% pero las políticas y herramientas han servido de una
manera satisfactoria, tal es el caso que en nuestros sitios transaccionales nos hemos sufrido
fraudes electrónicos por el momento.
4. ¿Utilizan en su empresa medidas para evitar el abuso de Internet por parte del
personal en el lugar de trabajo?
Sí, el Active Directory se encarga de regular que los empleados no acceden a ciertos
sitios según su roll.
5. ¿Cómo distribuyen los recursos para evitar delitos informáticos?
El presupuesto anual de TI es de $300.000 tomando en cuenta Active Directory,
firewall y Antivirus Symantec. Además de la seguridad propia de cada servidor de
aplicaciones por medio de perfiles.
18
VI. ANEXOS
A. Anexo 1
Tácticas comunes empleadas en piratería informática para asaltar a las empresas a través de
Internet y otras redes
TACTICAS COMUNES DE PIRATERÍA INFORMÁTICA
Negación de servicio.
Táctica que se está
convirtiendo en una fechoría
común a través de la red. Al
bombardear al equipo de un
sitio Web con demasiadas
solicitudes de información,
un atacante puede bloquear el
sistema, frenar el rendimiento
o incluso dañar el sitio. Este
método para sobrecargar las
computadoras se utiliza en
ocasiones para encubrir un
ataque.
Caballo de Troya. Un
programa que, sin saberlo el
usuario, contiene
instrucciones que exploran
una vulnerabilidad conocida
de cierto software.
Bombas lógicas. Una
instrucción en un programa
de cómputo que desencadena
una acción maliciosa.
Escaneos. Sondeos
diseminados de Internet para
determinar los tipos de
computadoras, servicios y
conexiones. De esa manera,
los delincuentes aprovechas
las debilidades de una marca
particular de computadora o
programa de software.
Puertas traseras. En caso de
que hubieran detectado el
punto de acceso original,
tener algunas entradas
traseras ocultas facilita el
reingreso y hace que éste sea
difícil de detectar.
Desbordamiento de memoria
buffer. Una técnica para
dañar o controlar una
computadora mediante el
envío de demasiados datos a
la memoria buffer de la
memoria de ésta.
19
Husmeador. Programas que
buscan de manera secreta de
datos que navegan por
Internet para capturar
contraseñas o todos los
contenidos de éstos.
Applets maliciosos.
Programas pequeños, escritos
en ocasiones en el popular
lenguaje de cómputo Java,
que abusan de los recursos de
una computadora, modifican
los archivos del disco duro,
envían correos electrónicos
falsos o roban contraseñas.
Decodificaciones de
contraseñas. Software que
puede adivinar contraseñas.
Falsificación. Imitar una
dirección de correo
electrónico o página Web
para engañar a los usuarios
con el fin de que compartan
información importante,
como contraseñas o números
de tarjetas de crédito.
Ataque de marcado
repetitivo. Programas que
marcan de forma automática
miles de números telefónicos
para buscar la manera de
conectarse a un módem.
Ingeniería social. Una táctica
utilizadas para obtener acceso
a sistemas de cómputo a
través del convenciendo de
empleados confiables de una
empresa de que compartan
información valiosa, como
contraseñas.
Búsqueda en basureros.
Separar la basura de una
empresa para encontrar
información que ayude a
allanar sus computadoras. En
ocasiones, la información se
utiliza para intentar hacer
más creíble la ingeniería
social.
FUENTE: O’Brien & Marakas, 2006.
20
B. Anexo 2
Noticia sobre robo cibernético: Empleado bancario evitó millonario asalto cibernético
Empleado bancario habría evitado un robo multimillonario sencillamente
desenchufando su ordenador.
Diversos medios suecos escriben que una sucursal del banco Swedbank habría
evitado un robo cibernético multimillonario en agosto de 2007.
Según se indica, un funcionario bancario observó que el puntero del ratón se movía
inexplicablemente y de forma independiente en la pantalla de su computadora.
El empleado detectó una unidad electrónica desconocida oculta bajo su escritorio,
comprobando que desde el dispositivo salía un cable hacia la computadora del banco. El
empleado optó por desenchufar el cable justo antes que los ladrones cibernéticos lograran
transferir una cantidad multimillonaria desde una cuenta del banco hacia otra cuenta
externa.
La policía sueca prefiere no informar el importe de la transacción, pero confirma
que se trata de “una suma importante, de varios millones".
La investigación determinó que el dispositivo desconocido estaba programado de
forma que pudiera intervenir las computadoras del banco mediante un enlace inalámbrico.
El dispositivo, y con ellos las computadoras del banco, podían ser controladas desde el
exterior por los delincuentes. La noticia fue dada a conocer la víspera, luego que la policía
detuviera a seis sujetos sospechosos del intento de robo. Expertos de seguridad de
Symantec y F-Secure comentaron a la publicación sueca TT que hasta ahora no se sabía de
otros casos de instalación subrepticia física de dispositivos ocultos en los locales de
víctimas de intento de fraude informático.
FUENTE: Seguridad Informática, 2009.
21
C. Anexo 3
Estadísticas sobre tecnología biométrica2
El director de Operaciones en Sonda de México, Alberto Merino Pohl refiere que
los métodos biométricos más utilizados guardan la siguiente proporción:
Otros datos importantes son los siguientes:
• Un informe realizado en el 2001 por el Massachussets Institute of Technology
(MIT) resaltó que la biometría se encuentra entre las diez tecnologías emergentes
que cambiarán el mundo.
• El Biometric Market Report, organización que agrupa a las empresas relacionadas
con el mercado de la biometría a nivel mundial, asegura que mientras en el 2005 los
ingresos globales de la industria biométrica alcanzaron los 1,540 millones de
dólares (mdd), para el 2006 se estimó un incremento del 41% para llegar a los 2,170
mdd.
• Se prevé que en 2008 la facturación del mercado mundial de biometría ascienda a
3,836.2 mdd, según revela la firma International Biometric Group (IBG); por su
parte, otras consultoras del sector exponen que en un plazo aproximado de tres años
las soluciones biométricas en el campo empresarial e institucional serán una
realidad cotidiana.
2 InfoChannel, 2009.
22
D. Anexo 4
Propiedad Intelectual: El caso de Costa Rica
En 1982 el Congreso de Costa Rica aprobó la Ley de Derechos de Autor y Derechos
Conexos No. 6683 la cual establece sanciones civiles y criminales para los casos de
violación de los derechos de autor. Esta ley fue modificada en 1994 para proteger
expresamente a los programas de cómputo y bases de datos. De acuerdo con la ley, es ilegal
hacer o distribuir copias de software sin la debida autorización del titular de los derechos de
autor y sólo se puede hacer una copia del original con fines de archivo o de seguridad
De acuerdo a estudios realizados, se considera que Costa Rica se encuentra en el
puesto 22 de una lista de 25 países del mundo con un índice mayor de piratería. Esos países
son señalados como los campeones piratas de equipos de software. Costa Rica aparece en la
Lista de Vigilancia por las infracciones cometidas a la Propiedad Intelectual, por las copias
de materiales musicales y de software especialmente. Tal situación pone en peligro el
régimen de incentivos de la Iniciativa de la Cuenca del Caribe; y es por ello que nuestro
país ha reforzado las normativas legales en esta área y trata de adaptarse a los estándares
internacionales en cuanto a dicha protección.
Dentro de las sanciones aprobadas en Costa Rica se mencionan las siguientes: Si
usted o su empresa poseen copias ilegales de software, podrán ser demandados civil o
penalmente. Las sanciones civiles incluyen la obligación de resarcir los daños y perjuicios
ocasionados y el pago de los costos del proceso, así como abstenerse de infracciones
futuras. La ley castiga con prisión de 1 a 3 años a toda persona que con intención y sin
derecho reproduzca, distribuya, venda o alquile copias ilícitas.
La principal obligación como usuario de software es adquirir programas originales
sólo para su uso. Si se adquiere un software para ser usado en un negocio, cada
computadora debe contar con una licencia de uso. Es ilegal adquirir un juego de software
original y usarlo en más de una computadora, prestarlo, copiarlo o distribuirlo, por
cualquier razón, sin la autorización previa del fabricante del programa.
23
E. Anexo 5
Registro de derechos de autor y derechos conexos
Es el organismo encargado de proteger los derechos de los autores y compositores
forma parte del Registro Nacional, organismo que depende del Ministerio de Justicia y
Gracia de Costa Rica. Está ubicado en las instalaciones del Registro Nacional en Zapote,
San José. Tal entidad tiene como fin primordial Velar principalmente por el cumplimiento
de la Ley de Derechos de Autor y Derechos Conexos y los Tratados Internacionales que
Costa Rica ha ratificado en esta materia.
