Seguridad

Temas enfocados a la seguridad informática

Tecnología

Tomando desde puntos de vista lo más interesante.

Mundo Moderno

Teniendo las herramientas necesarias para desarrollarse en el mundo.

Politicas y normas

Teniendo en cuenta una mayor seguridad en una empresa.

Comenta

Opina en el blog, da ideas, comparte información.

martes, 14 de abril de 2015

Auditoría Informática

22:12    No hay comentarios


Auditoría Informática

Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.

Uno de los problemas que han surgido con el uso generalizado de los ordenadores es la necesidad de mantener la integridad de los datos. A medida que los ordenadores toman mayor control de los datos, la carencia de un control directo sobre los mismos se vuelve cada vez mayor y esto proporciona una inquietud creciente en las empresas. Esto es debido a que en un sistema manual las operaciones están completamente delimitadas y se sabe cómo funcionan, pero cuando pasamos a un sistema informático, el control que tenemos sobre los datos y cómo se procesan disminuye.


Los ordenadores juegan un papel muy importante al ayudarnos en el proceso de datos, por lo que hay que controlar su uso, ya que en el procesamiento de datos es uno de los puntos donde se puede producir el fraude con mayor facilidad.Estando en un medio informático en el que el ordenador realiza de forma automática las tareas tendremos que controlar si lo que hace es lo que realmente queremos que haga.

Los sistemas siempre deben de llevar el mejor control para evitar enviar datos a otros lugares y evitar los fraudes, para llevar un mejor control de la empresa se es necesario establecer mecanismos de control y auditoria de ordenadores en las organizaciones. El costo que se daría en una empresa por perdida de datos y no exista algún respaldo, dependería de qué tipo de datos guardaría cada empresa, por ello es necesario siempre establecer una política a nivel organización, de copias de seguridad y recuperación. En planes estratégicos a largo plazo: Los datos que facilitan la toma de decisiones pueden ser algo imprecisos, puesto que el resultado es global, genérico. Se pueden utilizar grandes números, es decir, cantidades brutas aproximadas, sin importar el detalle. Mientras que el control de operaciones y en control de gestión si se necesitan datos muy precisos. La falta de prevención seria otro factor que influya en la mala gestión del control, la mala contabilización de los productos podría igual causar pérdidas porque el producto es perecedero, otro aspecto seria la perdida de datos ocasionados por los desastres naturales (agua, fuego y fallos de energía) por ende siempre debemos tener respaldos para prevenir de todo tipo de desastre.

Esto nos obliga a plantear soluciones para estas dos causas en primer lugar, antes incluso que al abuso informático. De todos modos, no podemos dejar de establecer controles para evitar el abuso informático, dado que los costes derivados de éste suelen ser muy superiores a los producidos por el abuso manual. En general, los fraudes que se pueden realizar con los ordenadores producen más pérdidas que los que se realizan con sistemas manuales. El uso de los ordenadores no es bueno ni malo siempre cuando se dé un uso adecuado y no para ocasionar problemas, que sería un uso incorrecto, para todo esto siempre se debe garantizar que no ocurran estas decisiones malas, siempre informar a la sociedad sobre el buen uso de los ordenadores. No obstante estas organizaciones también necesitan utilizar ordenadores, por lo que su actuación se puede ver condicionada por este hecho.


Existen dos tipos de auditorías:


Las auditorías externas y las internas, las autorías externas son las que salvaguarda de bienes e integridad de datos, principalmente, y las auditorías internas se centra en objetivos de gestión, es decir garantizar que las tareas se realicen en unos grados adecuados de efectividad y eficacia.



Para ver si un sistema de proceso de datos es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar. Considerando que existen diferentes tipos de empresas desde las macroempresas hasta las microempresas y no se debe de evaluar de la misma manera. Como resultado de la auditoria se sabrá si hay que descartar el sistema de proceso, modificarlo, o si se debe de dejar como está. Se considera que un sistema de proceso de datos es eficiente es el que utiliza el mínimo de recursos, para poder alcanzar sus objetivos

Ejemplo de Introduccion a la Auditoria informática:



Leer Más..

viernes, 10 de abril de 2015

Políticas de seguridad

13:56    No hay comentarios

Políticas de seguridad informática


Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía. Elementos de una política de seguridad informática Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:
  •  Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.
  •  Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
  • Definición de violaciones y de las consecuencias del no cumplimiento de la política.
  •  Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
  • Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa.
  • Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco, computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado de la red, servidores de terminales, bridges.
  • Software: sistemas operativos, programas fuente, programas objeto, programas de diagnóstico, utilerías, programas de comunicaciones.
  • Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back- up, bases de datos, en tránsito sobre medios de comunicación.
  • Personas: usuarios, personas para operar los sistemas.
  • Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales.
  • Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran.
Estas amenazas son externas o internas:
  • Evalué los riesgos: Éste puede ser uno de los componentes más desafiantes del desarrollo de una política de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puede ser más que monetario - se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, atención pública indeseada, la pérdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad.
  • Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Sería ideal la participación de un representante por cada departamento de la compañía. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de Recursos Humanos y Relaciones Públicas.
  • Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas, las plataformas tecnológicas, las responsabilidades del usuario y la estructura organizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma.
  • Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI.
  • Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
  • Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización.
  • Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas. Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto los alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos entendidos en el momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.
  • Administre el programa de seguridad: Establezca los procedimientos internos para implementar estos requerimientos y hacer obligatorio su cumplimiento.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organización en relación con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compañía.

Deben mantener un lenguaje común, libre de tecnicismos y términos legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión y formalidad dentro de la empresa. Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer.

No debe especificar con exactitud qué pasara o cuándo algo sucederá; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios entre otros.

Desarrollo de políticas:
Amenazas externas: Se originan fuera de la organización y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial.

Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber dónde reside la información sensible e importante. Las amenazas internas también incluyen el uso indebido del acceso a Internet por parte de los empleados, así como los problemas que podrían ocasionar los empleados al enviar y revisar el material ofensivo a través de Internet.

Implemente una política en toda la organización:

La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. También puede requerir que todos los empleados firmen la declaración; si la firman, debe comunicarse claramente. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:

Cumplimiento: Indique un procedimiento para garantizar el cumplimiento y las consecuencias potenciales por incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.
Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.

Ejemplo de Políticas de Seguridad:

Leer Más..

miércoles, 8 de abril de 2015

Técnica y reglas de seguridad actuales

14:51    No hay comentarios

Hacking ético

Hacker – término utilizado para referirse a un experto (gurú) en varias o alguna rama técnica, relacionada con las tecnologías de la información y las telecomunicaciones: programación, redes, sistemas operativos.
Cracker – (criminal hacker, 1985). Un cracker es alguien que viola la seguridad de un sistema informático de forma similar a como lo haría un hacker, sólo que a diferencia de este último, el cracker realiza la intrusión con fines de beneficio personal o para hacer daño a su objetivo.
Hacker ético – Se refiere a profesionales de la seguridad, que aplican sus conocimientos de hacking con fines defensivos y legales.
Diremos hacker siempre, pero hay que fijarse en el contexto que se este refiriendo a ellos.

Elementos esenciales de la Seguridad

      Confidencialidad – Tiene que ver con la ocultación de información o recursos.
      Integridad - Se refiere a cambios no autorizados en los datos.
      Disponibilidad – Posibilidad de hacer uso de la información y recursos deseados.

Tipos de Hackers

      Black hats
Son los chicos malos, los que comúnmente se les refiere como Crackers.  El término se usa mucho específicamente para los Hackers que rompen la seguridad de una computadora, una red o crean Virus de computadora.
Los Black Hat Hackers continuamente buscan la forma de entrar o romper la seguridad de lo que quieren, haciéndole la vida más difícil a los White Hat Hackers.  Los Black Hat Hackers a menudo buscan el camino de menor resistencia, ya sea por alguna vulnerabilidad, error humano, vagancia o algún nuevo método de ataque. La motivación número uno de un Black Hat Hackers es el dinero.
La clasificación de Sombrero Negro proviene de la identificación de los villanos en las películas antiguas del viejo oeste que típicamente usaban Sombreros Negros.

      White hats

Son los chicos buenos, los éticos.  Regularmente son los que penetran la seguridad de sistemas para encontrar vulnerabilidades.  Algunos son consultores de seguridad, trabajan para alguna compañía en el área de seguridad informática protegiendo los sistemas de los Black Hat Hackers.
Los White Hat Hackers algunos fueron Black Hats y brincaron al bando de los buenos o tienen los conocimientos de ellos y los utilizan para hacer el bien.
La clasificación de Sombrero Blanco proviene de la identificación de los héroes en las películas antiguas del viejo oeste que típicamente usaban Sombreros Blancos.

      Gray hats

Los Gray Hat Hackers o Hackers de Sombrero Gris son los que juegan a ser los buenos y los malos, en otras palabras, tienen ética ambigua. 
Tienen los conocimientos de un Black Hat Hacker y los utilizan para penetrar en sistemas y buscar vulnerabilidades para luego ofrecer sus servicios para repararlos bajo contrato.

Hacktivismo

Se refiere a ‘hacking por una causa’.
Es el compromiso político o social del hacking
Por ejemplo, atacar y alterar sitios web por razones políticas, tales como ataques a sitios web del gobierno o de grupos que se oponen a su ideología.
Pero hay acciones que son delito (tengan o no una justificación ideológica).

Perfil de habilidades de un Hacker Ético

      Experto en algún campo de la informática.
      Conocimientos profundos de diversas plataformas (Windows, Unix, Linux).
      Amplios conocimientos de redes
      Conocimientos de hardware y software
      Capacidad para investigar


Leer Más..

viernes, 27 de marzo de 2015

Estándar BS 7799 e ISO 17799

16:07    No hay comentarios


BS 7799 es una especificación de un sistema de gestión de la seguridad de la información (SGSI). En breve, será promovido a la condición plena de Estándar Internacional y será publicada como ISO/IEC 27001.

La nueva norma define los requerimientos para el establecimiento de un Sistema de Administración de la Seguridad de la Información (ISMS por sus siglas en inglés) en las organizaciones que les permita contener y prevenir amenazas a la seguridad de la información que manejan. Especifica los procesos para hacer posible que una organización establezca, implemente, revise y monitoree, administre y mantenga un ISMS efectivo.
Con la publicación de la norma ISO/IEC 27001:2005 se espera que muchas organizaciones empiecen a trabajar en la implementación del ISMS, que integra el modelo Plan-Do-Check-Act, que basado en procesos mantienen los estándares ISO para los sistemas de administración.

Las organizaciones pequeñas, medianas o grandes, de cualquier sector del mercado industrial, comercial o servicios, que deseen mantener un estándar de seguridad para la protección de sus activos informáticos, incluyendo la información, pueden utilizar la nueva norma ISO/IEC 27001:2005 para preparar e implementar el ISMS. Si desean obtener la certificación de que el ISMS cumple el nuevo estándar ISO/IEC 27001:2005, también pueden hacerlo a través del órgano certificador autorizado aunque la certificación no es un requerimiento del estándar.

Hasta antes de la publicación del ISO/IEC 27001:2005, las organizaciones tomaban como base el estándar británico BS 7799 Parte 2 para preparar e implementar el ISMS, y certificarlo. Ahora podrán hacerlo con la nueva norma ISO/IEC 27001:2005, que es un estándar internacional.

La implementación del ISMS permite a las organizaciones mostrar al mercado, que toma en serio la seguridad de la información que maneja.
Para implementar el ISMS deben considerarse los procesos, el personal y los recursos de IT de la organización para definir, monitorear y mantener los objetivos de control y los controles que sean necesarios para manejar la información sensitiva y asegurar que permanezca segura.

El nuevo estándar ISO/IEC 27001:2005 se complementa con el estándar ISO/IEC 17799:2005 Code of Practice, actualizado en junio de este año, que define los objetivos de control y controles para administrar la seguridad de la información.

Para las organizaciones que quieran empezar a trabajar en la preparación e implementación del ISMS está disponible elISO27000 ToolKit que además de contener los estándares ISO/IEC 17799:2005 y ISO/IEC 27001:2005, incluye herramientas para la evaluación de riesgos, planeación para la recuperación en caso de desastres y análisis de impacto, guía para la certificación, así como muestras de políticas de seguridad.


ISO 17799     


Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:
  • Política de seguridad: escribir y comunicar la política de seguridad de la compañía
  • Organización de seguridad: definir los roles y las responsabilidades. Monitorear a los socios y a las empresas tercerizadas
  • Clasificación y control de activos: llevar un inventario de los bienes de la compañía y definir cuán críticos son así como sus riesgos asociados
  •  Seguridad del personal: contratación, capacitación y aumento de concientización relacionadas a la seguridad
  • Seguridad física y del entorno: área de seguridad, inventarios del equipamiento de seguridad
  • Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
  • Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
  • Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento
  • Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
  • Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía
a     Video Mostrando algunos aspectos del ISO 17799:


Leer Más..

miércoles, 25 de marzo de 2015

Historia de los Antecedentes de los Estándares Internacionales

13:26    1 comentario

¿Que son los estándares?

Los estándares son acuerdos(normas) documentados que contienen especificaciones técnicas u otros criterios precisos para ser usados consistentemente como reglas, guía, o definiciones de características. Para asegurar que los materiales productos, procesos y servicios se ajusten a su propósito.


¿Para qué sirve?
Estándar puede ser conceptualizado como la definición clara de un modelo, criterio, regla de medida o de los requisitos mínimos aceptables para la operación de procesos específicos, con el fin asegurar la calidad en la prestación de los servicios de salud. 
Los estándares señalan claramente el comportamiento esperado y deseado en los empleados y son utilizados como guías para evaluar su funcionamiento y lograr el mejoramiento continuo de los servicios. 
Los estándares requieren ser establecidos con el fin de contar con una referencia que permita identificar oportunamente las variaciones presentadas y aplicar las medidas correctivas necesarias.


¿Cómo se elabora?



1. Establecer un grupo técnico integrado por representantes de los empleados y servicios involucrados en el cumplimiento de los procesos. 


2. Realizar investigación bibliográfica con el fin de identificar la disponibilidad de estándares a nivel internacionales o locales al respecto. 


3. Identificar los aspectos que deberán de ser estandarizados en los procesos con el fin de evitar errores en su operación. 
4. Definir los estándares. El diseño de los estándares contempla: 
  • El enunciado que señala el modelo, criterio, requerimiento necesario para alcanzar el nivel de calidad deseado.
  • La justificación que expresa la utilidad y el beneficio que el estándar tiene para los usuarios. 
  • Las condiciones necesarias que estipulan los requerimientos que hacen posible el cumplimiento del estándar.
5. Realizar la difusión del estándar entre el personal y de ser necesario capacitarlo para su pleno cumplimiento. 


6. Realizar el seguimiento y control de los estándares.



Leer Más..
Suscribirse a: Entradas (Atom)