seguridad informática cni

SEGURIDAD INFORMÁTICA

INTRODUCCIÓN

La Informática se encarga del estudio y aplicación práctica de métodos, técnicas y herramientas

relacionados con las computadoras y el manejo de la información digitalizada. La informática facilita el uso

de la información a través de recursos computacionales, siempre orientada al buen uso y aprovechamiento

de los mismos asegurando que la información circule por todos los niveles de la organización de la mejor

manera posible tanto a nivel interno como externo del negocio.

En la actualidad la Informática brinda un gran soporte a las actividades diarias que desarrolla una empresa

en los temas más diversos, desde el nivel técnico-operativo hasta el nivel táctico-gerencial ofreciendo un

Sistema de Información y realizando la Planeación Informática de toda la empresa. Es por eso que

podemos decir que la Seguridad Informática es de vital importancia en todos los procesos de las

Organizaciones adjudicándole la importancia que se merece, en especial en los procesos computacionales.

La seguridad en la informática abarca los conceptos, tanto de seguridad Física (protección del Hardware) y

seguridad Lógica (seguridad a través del Software).

Las agresiones a diversas instalaciones informáticas han originado acciones para mejorar la Seguridad

Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones,

han acelerado el desarrollo de productos de Seguridad Lógica y la utilización de sofisticados medios

criptográficos.

Las medidas de seguridad están basadas en la definición de controles físicos, funciones, procedimientos y

programas que conlleven no sólo a la protección de la integridad de los datos, sino también a la seguridad

física de los equipos y de los ambientes en que éstos se encuentren.

1 Edwin Méndez


La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en

el estudio cuidadoso de los riesgos potenciales a los que está sometida.

Actualmente la tecnología informática es fundamental para la superación y desarrollo de un país. La

información que en ella se maneja es considerada un activo cada vez más valioso, la cual puede hacer que

una organización triunfe o quiebre; es por eso que debemos mantenerla segura.

La mayoría de las empresas desconocen la magnitud del problema con el que se enfrentan, considerando

la seguridad informática como algo secundario y prestando poca atención a los riesgos que en la

actualidad existen, como lo son: las amenazas internas, una de ellas los errores humanos y las amenazas

externas dentro de las cuales podemos nombrar a los virus. Esta falta de inversión tanto en capital

humano como económico muy necesario para prevenir principalmente el daño o pérdida de la información

produce que la información no sea confiable ni integra y mucho menos disponible para la empresa

originando así en muchos de los casos la paralización de sus actividades dejando como resultado una

pérdida cuantiosa de tiempo de producción y dinero factores importantes para el desarrollo de una

organización.

Para contrarrestar estos efectos de la falta de seguridad informática se presenta este trabajo que consiste

en diseñar un plan estratégico de seguridad de información, que deberá seguir la organización en un corto,

mediano y largo plazo.

2 Edwin Méndez


IMPORTANCIA DE LA SEGURIDAD DE INFORMACIÓNLa información es la sangre de todas las organizaciones y sin ella la

empresa dejaría de funcionar, principalmente si hablamos de

empresas altamente automatizadas por lo que su seguridad sigue

siendo un punto pendiente y por tanto el factor más determinante

por el cual fracasan.

Es muy importante ser conscientes de que por más que nuestra

empresa a nuestro criterio sea la más segura, con el incremento del

uso de nueva tecnología para manejar la información nos hemos

abierto a un mayor número y tipos de amenazas. Es por eso que en el

ambiente competitivo de hoy, es necesario que las entidades aseguren la confidencialidad, integridad y

disponibilidad de la información vital corporativa.

Por lo tanto la seguridad informática debe ser dada por una colaboración entre los encargados de la

seguridad de la información, que deben disponer de las medidas al alcance de su mano, y los usuarios, que

deben ser conscientes de los riesgos que implican determinados usos de los sistemas y de los recursos que

consumen cada vez que les pasa algún problema ya que esto les hace que pierdan tiempo de producción y

el consumo de recursos en horas de la recuperación de la actividad normal es en muchos casos

irrecuperable.1

Sin embargo, gran parte de esa concientización está en manos de los responsables de seguridad de la

información apoyados en todo momento por la Gerencia de forma explícita y activa, por ello es importante

indicarles no sólo cuales son las principales amenazas en cada momento, sino qué deben hacer para

evitarlas, impartiendo así procedimientos de actuación que permitan que las medidas técnicas que se

disponen desde informática sean efectivas.

Por consiguiente en este nuevo entorno, es imprescindible que las empresas se preparen no sólo para

prevenir el peligro de comprometer sus operaciones de negocio por una falla de seguridad, sino también

que se preparen en establecer medidas que permitan reducir los problemas de seguridad que pueden

surgir.

1 M. Hernández, “Diseño de un plan estratégico de seguridad de información en una empresa del

sector comercial” Pag. 2

3 Edwin Méndez


TÉRMINOS

Es necesario conocer ciertos términos que serán usados en este trabajo, así tenemos:

Factores de riesgos.- Manifestaciones o características medibles u observables de un proceso que indican

la presencia de riesgo o tienden a aumentar la exposición, pueden ser interna o externa a la entidad.

Impacto.- Es la medición y valoración del daño que podría producir a la empresa un incidente de

seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la

estimación, siempre subjetiva, de los daños intangibles.

Riesgo.- Proximidad o posibilidad de un daño, peligro, etc. Cada uno de los imprevistos, hechos

desafortunados, etc., que puede cubrir un seguro.

Seguridad.- Cualidad o estado de seguro. Garantía o conjunto de garantías que se da a alguien sobre el

cumplimiento de algo. Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que

contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de

seguridad.

Seguridad física.- Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas

de prevención ante amenazas a los recursos e información confidencial que puedan interrumpir

procesamiento de información.

Seguridad lógica.- Consiste en la aplicación de barreras y procedimientos para mantener la seguridad en el

uso de software, la protección de los datos, procesos y programas, así como la del acceso ordenado y

autorizado de los usuarios a la información.

Seguridad de las redes.- Es la capacidad de las redes para resistir, con un determinado nivel de confianza,

todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad,

4 Edwin Méndez


integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios

que dichas redes ofrecen o hacen accesibles y que son tan costosos como los ataques intencionados.

Seguridad en los recursos humanos.- Consiste en los controles que se deben tener con respecto a la

selección, contratación, capacitación y despido del empleado.

Seguridad Informática.- Son técnicas desarrolladas para proteger los equipos informáticos individuales y

conectados en una red frente a daños accidentales o intencionados.

Vulnerabilidad.- Cualquier debilidad en los Sistemas de Información que pueda permitir a las amenazas

causarles daños y producir pérdidas.

5 Edwin Méndez


PASOS PARA LA ELABORACIÓN DE UN PLAN DE SEGURIDAD INFORMÁTICA

Un plan estratégico de seguridad informática está basado en un conjunto de políticas de seguridad

elaboradas previo a una evaluación de los riesgos que indicará el nivel de seguridad en el que se encuentre

la empresa. Estas políticas deben ser elaboradas considerando las características del negocio, la

organización, su ubicación, sus activos y tecnología que posee la empresa.

1. Evaluación de los riesgos. Con la evaluación de los riesgos podremos identificar las causas de los riesgos

potenciales a los que está expuesta la organización y cuantificarlos para que la gerencia pueda tener

información suficiente al respecto y optar por el diseño e implantación de los controles correspondientes a

fin de minimizar los efectos de las causas de los riesgos, en los diferentes puntos de análisis.

Los pasos para realizar una valoración de riesgos se detallan a continuación:

1. Identificar los riesgos

2. Determinación de los controles existentes

3. Análisis de los riesgos

1.1 Identificar los riesgos. En este paso se identifican los factores que introducen una amenaza para la

organización. Existen muchas formas para identificar los riesgos pero para este análisis utilizaremos los

cuestionarios elaborados para cada fin como son evaluar la seguridad física, lógica, redes y recursos

humanos; los mismos serán respondidos por los miembros del área de sistemas y recursos humanos.

Una vez identificados los factores de riesgo, con la ayuda de los integrantes de las área antes mencionadas

se procede a la ponderación de los mismos dando a cada uno de ellos su valor de importancia y

determinando así los de mayor relevancia.

6 Edwin Méndez


1.2 Determinación de los controles existentes. Después de identificar las causas de los riesgos que afectan

a la organización, se determinará que riesgos el área de sistemas tiene bajo control y cuales no, para así

determinar las medidas a tomar sobre estos.

1.3 Análisis de riesgos. Una vez que se hayan identificado los riesgos, el paso siguiente es analizarlos

para determinar su impacto, tomando así las posibles alternativas de solución.

• Valoración del riesgos. Estando ya identificados los riesgos, debemos proceder a valorarlos

mediante una escala como la que se presenta a continuación.

• Riesgo alto: Son todas las exposiciones a pérdida en las cuales la magnitud alcanza la

bancarrota.

• Riesgo medio: Serán exposiciones a pérdidas que no alcanzan la bancarrota, pero

requieren una acción de la organización para continuar las operaciones.

• Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto financiero.

• Crear la matriz de riesgos. Una vez que le hemos dado un criterio de importancia a cada factor de

riesgo procedemos a confrontarlos con los activos informáticos mediante la elaboración de una

matriz, en la cual valoramos cada activo de acuerdo a cada factor de riesgo siguiendo la escala de

riesgo Alto, Medio y Bajo; para finalizar y obtener un peso o riesgo evaluado de un recurso

procedemos a realizar la siguiente operación: por cada activo realizamos una sumatoria de cada

uno de los resultados obtenidos de multiplicar la valoración del activo con respecto a cada factor

de riesgo por la ponderación de cada factor de riesgo. Y así determinaremos según el mayor valor

cuál es el más vulnerable y a raíz de estos resultados podremos determinar que frecuencia de

revisión deberá tener.

2. Políticas de seguridad. Las políticas de seguridad informática serán fijadas mediante mecanismos y

procedimientos que deberá adoptar la empresa para salvaguardar sus sistemas y la información que estos

contienen.

Deberán ser elaboradas a medida para así recoger las características propias de la organización.

Las políticas en su contenido incluirán:

• Justificación.

7 Edwin Méndez


• Generalidades, dentro de este punto se incluirá: objetivo, alcance, responsabilidad, medidas a

tomar en caso de incumplimiento de la política.

• Estructura de la política.- Seguridad física, seguridad lógica, seguridad en redes y seguridad en los

recursos humanos.

Para diseñar la política nos basamos en las normas y estándares de seguridad informática como son COBIT

e ISO 17799.

3. Plan de seguridad informática. Este plan será elaborado por la organización basándose en las políticas

que se crearon a raíz del análisis de riesgo que han sido fundamentadas en las normas y/o estándares de

seguridad ya mencionados.

Este plan debe ser realizado tomando en cuenta las actividades que podrá llevar a cabo la organización en

un corto, mediano y largo plazo para concientizar a los recursos humanos e implantar medidas en cuanto a

seguridad. 2

2 Echenique García José Antonio, Auditoria en Informática (2da Edición, Mc. Graw Hill, 2001), pp.

194-241. Pag. 5

8 Edwin Méndez


MITOS REFERIDOS A LA SEGURIDAD INFORMÁTICA

“Mi antivirus está al día, así que no puede entrar ningún virus.”, Actualizar el antivirus es una de las

condiciones para mantener la PC saludable, pero está lejos de ser suficiente. Aun al día, el antivirus

puede no detectar ciertos invasores que todavía están en “estado salvaje”. Es decir, su código no

ha llegado todavía a los laboratorios de las compañías antivirus. Por añadidura, los antivirus ni son

infalibles ni sirven para detectar otras amenazas, como el phishing (estafas por email) y el spyware

(software espía).

“Tengo un firewall, así que no corro peligro.” Falso. Aunque los cortafuegos son esenciales, no son

perfectos. ¿Qué hace un firewall? Fiscaliza lo que entra y sale de la PC desde y hacia Internet. Así

que es tan sólo un programa de computadora que, como tal, puede (y suele) contener errores.

Estos errores pueden ser explotados por los piratas para burlar esta defensa. Ataques de esta clase

son raros contra una PC individual, pero consignan que el cortafuegos puede ser desactivado por

un virus. Para nuestra modesta computadora personal, el firewall es sólo un buen arquero, pero

hay penales que nunca podrá atajar.

“Uso dos antivirus a la vez, ¿qué puede salir mal?”. Si un solo antivirus no es una receta mágica,

tampoco lo serán dos. Y, además, pueden interferirse mutuamente.

“Mi PC no le interesa a nadie, no hay peligro.” Esto era relativamente cierto hasta hace cinco o

diez años. Pero ahora nuestra humilde PC hogareña vale oro. ¿Por qué? Porque hay muchas. Si el

pirata consigue, por medio de un virus, arrear unos cuantos miles de PC para que intenten

conectarse simultáneamente con un sitio Web, éste caerá bajo el peso de la demanda. Además,

nuestra PC puede usarse para enviar spam, phishing y otros virus.

9 Edwin Méndez


“Mi backup está al día, así que si pasa algo, puedo restaurar el sistema.” Uno de los mitos más

difundidos; no contempla que también los virus pueden guardarse en un backup. Como otras

medidas que se tienen por mágicas, el backup sin una política racional detrás no nos sacará de una

emergencia.

“Nunca dejo mi mail en ningún sitio ni estoy registrado en páginas Web, así que es imposible que

me roben la dirección.” Falso. Este dato está inscripto en varias partes de la computadora, y en las

computadoras de las personas con las que intercambia mensajes. Los virus y sitios maliciosos están

diseñados para extraer nuestra dirección de allí. Sin oportunidades

“Después de que entró un virus, reinstalé Windows y listo.” Si se reinstala Windows sin dar

formato al disco, el virus seguirá ahí. El problema de dar formato es que luego habrá que volver a

instalar todas las aplicaciones y, previamente, hacer un backup de nuestros documentos, y esta

medida no debe darle al virus la oportunidad de escapar al formato.

“Tengo todos los parches de Windows instalados, no puede pasar nada.” Sin duda, mantener el

sistema actualizado es una gran medida de seguridad, como el firewall y el antivirus, pero no

alcanza. No todos los ataques se producen por medio de errores del sistema.

“No uso Outlook Express ni Internet Explorer, así que estoy a salvo.” Es cierto que estos programas

son atacados con mayor frecuencia que otros y que han exhibido docenas de vulnerabilidades.

Pero la inmensa mayoría de los virus infectará la PC independientemente del software que usemos

para recibir mail o bajar archivos de la Web.

“No abro ningún adjunto, los virus no pueden entrar.” Falso. Hay virus, como el Blaster, que

ingresan a la PC sólo por estar conectadas con Internet, si Windows no está debidamente

actualizado.

Yo siempre encuentro algún troyano o virus chimbo en mi pc, así le pase el antivirus todos los días, solo

por estar conectado ya se infecta uno, no basta con el nod, ni con el firewall ni siquiera del router... eso lo

mejor es estar pendiente de en que se mete uno y de procesos extraños en el pc..... 3

3 Laudon Kenneth C. y Laudon Jane P, Administración de los Sistemas de Información,

Organización y Tecnología (3ra Edición, México, Prentice Hall Hispanoamericana S.A., 1994), pp.

702-706.

10 Edwin Méndez


DECÁLOGO DE SEGURIDAD INFORMÁTICA

Todos somos conscientes que las pérdidas de datos importantes, robo de contraseñas o desvío de

información personal y privada, son sólo algunas de las consecuencias que pueden darse si una

empresa no tiene al día sus sistemas de seguridad. BCN Binary, consultora de sistemas de la

información, ha lanzado un decálogo para mantener sus datos seguros. Seguro que les va a

servir...si lo aplican...

1. Hacer copias de seguridad, disponer de un buen backup: es uno de los puntos esenciales, ya que

una empresa que no dispone de un buen backup, es una empresa que está expuesta a perder toda

su información. Las pérdidas de datos pueden darse o por robo, por fallos en el sistema o

simplemente, por un error. Si esto ocurre la empresa debe estar preparada y, de ese modo, no

tener por qué parar su actividad, o rehacer el trabajo de mucho tiempo.

2. Firewall: al igual que no dejamos que entre todo el mundo por nuestra casa, y, por ese motivo,

disponemos de una puerta para impedir el paso, es primordial en la empresa contar con un

firewall que evite que personas ajenas entre a la red de la empresa, al mismo tiempo que bloquee

aquellos accesos no deseados.

3. Antivirus: todavía se subestima el gran peligro que corren las empresas con la entrada de virus. Un

virus puede tener unas consecuencias desastrosas para la actividad normal de una empresa. Todos

sus sistemas informáticos pueden "enfermar" debido a los virus con lo que ello conlleva. Por eso,

disponer de un antivirus en constante actualización evitará problemas no deseados.

11 Edwin Méndez


4. Antispam y Filtro web: Lo mismo que ocurre con los virus, ocurre con el spam. Las empresas no

están del todo concienciadas de los problemas que acarrea el spam. Se trata de problemas que

tienen que ver con la pérdida de productividad de la empresa. Existen numerosos estudios que

confirman que los empleados de una empresa sin un antispam instalado, puede llegar a perder 28

horas al año eliminando spam, con la pérdida de dinero que esto supone, debido a una reducción

de la productividad. Por este motivo, un buen filtro antispam y un flitro web que impida el acceso

a páginas webs no deseadas es primordial.

5. Uso racional de Internet: Son también numerosos los estudios que confirman que los empleados

navegan en horas de trabajo por páginas que no tienen nada que ver con el cometido de su

trabajo. Por eso, es importante que la empresa cuente con unas pautas sobre el uso racional de

Internet por parte de los empleados con el fin de evitar el que éstos, además de perder horas de

trabajo, puedan acceder a páginas que puedan contener archivos maliciosos.

6. Actualización del sistema operativo y de las aplicaciones: Para un correcto funcionamiento del

software que se utiliza en la empresa, es muy conveniente que el sistema operativo de actualice

de forma periódica, así como las aplicaciones.

7. Buena política de contraseñas: Parece algo obvio, pero, sin embargo, parece que muchas empresas

no lo tienen en cuenta. Utilizar contraseñas demasiado evidentes, o fácilmente averiguables,

puede tener como consecuencia que la información de una empresa esté en riesgo. Por eso,

disponer de contraseñas con un alto grado de seguridad y realizar una actualización de las mismas

es muy recomendable.

8. Soluciones de continuidad: En caso de que algo vaya mal...que no se pare la actividad. Esta sería la

máxima de contar con una solución de continuidad. Se trata de una solución que evita que, pase lo

que pase en la empresa, un incendio, inundación, etc., la empresa no pierda su información. En la

actualidad hay soluciones de continuidad de todos los tipos, ya que ya no están reservadas sólo a

las grandes empresas.

9. Cuidado con los enlaces sospechosos y las descargas de programas maliciosos: En la tónica de lo

que se comentaba anteriormente, es importante tener cuidado con los enlaces que pueden ser

sospechosos o poco fiables. Muchas veces, los mismos correos no deseados contienen links a

páginas que están infectadas o que inmediatamente descargan un software malicioso.

12 Edwin Méndez


10. El Cloud computing privado es más seguro para las empresas: A pesar del desconocimiento actual

de las empresas en lo que se refiere al cloud computing en entornos privados, este ofrece enormes

ventajas para crear entornos redundantes. 4

4 Lucena López Manuel José, Criptografía y Seguridad en Computadoras (2da Edición, Universidad

de Jaen, 1999), pp. 30-138.

13 Edwin Méndez


HACKERS MÁS FAMOSOS

Kimble–Condenado a dos años por colarse en servidores

de empresas y redes telefónicas. John Draper – a.k.a. Captain Crunch, el

phreaker mas famosos de todos los tiempos,

inventor de las blue boxes para llamar gratis

(también encarcelado). Eric Gordon Corley –a.k.a. Emmanuel Goldstein,

activista, divulgador y editor de 2600.

DVD Jon– Jon Lech Johansen, llevó a cabo la ingeniería inversa de la protección de los DVDs, entre otros

sistemas.

Adrian Lamo –Famoso por entrar en AOL,

Yahoo, Microsoft y el The New York Times pero

avisando de los fallos de seguridad a sus

responsables.

Solo –Gary McKinnon, se supone que se metía en

los ordenadores del ejército, pidieron su extradición

desde Reino Unido a EE.UU. pero todavía no se sabe

bien qué será de él.

Kevin Mitnick – El hacker mas famoso de todos los tiempos, también pasó un buen

14 Edwin Méndez


tiempo en la sombra.

CONCLUSIONES

1. Las herramientas de tecnología son inseguras en la medida que su utilización no sea la más

adecuada en la organización, convirtiéndose así en objeto de amenazas.

2. Hoy en día en toda empresa existe una necesidad más frecuente de utilizar esquemas de seguridad

fuertes, que permitan una mayor confiabilidad de la información utilizada para la toma de

decisiones.

3. La incomprensión de la Gerencia que conlleva a la falta de apoyo económico a la gestión de

informática para implantar medidas de seguridad, provoca que la entidad tenga una mayor

exposición a los riesgos.

4. La seguridad de la información es una responsabilidad compartida de todos los niveles de la

organización, que requiere del apoyo de todos ellos pero debe estar dirigida por un plan y debe

contar con una adecuada coordinación.

5. El avance de la tecnología y del conocimiento de los seres humanos ya sean usadas con buena o

mala intención, vuelven más vulnerable a la información exponiéndola a diversas amenazas tanto

internas como externas y volviéndola poco confiable.

6. Con este trabajo se desea fomentar una cultura de seguridad en todos aquellos que lo consulten y

deseen ponerlo en práctica.

15 Edwin Méndez


REFERENCIAS

1. M. Hernández, “Diseño de un plan estratégico de seguridad de información en una empresa del

sector comercial” (Tesis, Instituto de Ciencias Matemáticas, Escuela Superior Politécnica del Litoral,

2006).

2. Echenique García José Antonio, Auditoria en Informática (2da Edición, Mc. Graw Hill, 2001), pp.

194-241.

3. Laudon Kenneth C. y Laudon Jane P, Administración de los Sistemas de Información,

Organización y Tecnología (3ra Edición, México, Prentice Hall Hispanoamericana S.A., 1994), pp.

702-706.

4. Lucena López Manuel José, Criptografía y Seguridad en Computadoras (2da Edición, Universidad

de Jaen, 1999), pp. 30-138.

5. Norton Peter, Introducción a la Computación (1ra Edición, México, Mc Graw Hill), pp. 50-53.

6. Simson Garfinkel y Spafford Gene, Seguridad y Comercio en el Web (México, Mc. Graw Hill, 1999),

pp. 8-13.

7. Simson Gar Finkel, y Spafford Gene, Seguridad Práctica en UNIX e Internet (2da Edición, Mc. Graw

Hill, 1999), pp.360-366.

16 Edwin Méndez


ÍndiceINTRODUCCIÓN................................................................................................................................................................2

IMPORTANCIA DE LA SEGURIDAD DE INFORMACIÓN..........................................................................................4

TÉRMINOS..........................................................................................................................................................................5

PASOS PARA LA ELABORACIÓN DE UN PLAN DE SEGURIDAD INFORMÁTICA..............................................7

MITOS REFERIDOS A LA SEGURIDAD INFORMÁTICA..........................................................................................10

DECÁLOGO DE SEGURIDAD INFORMÁTICA...........................................................................................................12

HACKERS MÁS FAMOSOS............................................................................................................................................14

CONCLUSIONES..............................................................................................................................................................15

REFERENCIAS.................................................................................................................................................................16

17 Edwin Méndez

seguridad informática cni

Education