jueves, 28 de abril de 2011

EVALUACION

Esta carrera de Observación es una actividad didáctica donde retomé conceptos tratados en la clase de Auditoria de Sistemas; claves para el ejercicio de nuestra profesión. Adicionalmente proporcionan la ganancia de destreza  para crear Blogs. Es muy buena herramienta metodológica para el aprendizaje superior en esta área.
Publicado por en No hay comentarios:

SITIOS WEB SUGERIDOS

http://www.iso27000.es/download/Preparing_for_the_Security_Audit.pdf
http://www.segu-info.com.ar/logica/seguridadlogica.htm
http://portal.uc3m.es/portal/page/portal/informatica/NosDedicamos/Seguridad
http://es.kioskea.net/contents/secu/securite-mise-en-oeuvre.php3
http://www.tecnova.es/ti/seguridad09.htm
Publicado por en No hay comentarios:

GARANTIA DE SEGURIDAD INFORMATICA RAZONABLE

Aunque la Seguridad Informática no es absoluta sino relativa a las medidas necesarias adoptadas. Se menciona a continuación, algunos criterios concluyentes generales para considerar si se optará por criterios preventivos que garanticen seguridad razonable:

ü  Mantener las máquinas actualizadas y seguras físicamente.
ü  Mantener personal especializado en cuestiones de seguridad.
ü  Los administradores de red, los cuales deben configurar adecuadamente sus Reuters.
ü  Mantenerse informado constantemente sobre cada unas de las vulnerabilidades encontradas y parches lanzados.
ü  Utilizar protocolos seguros como http, ssh.
ü  Encriptación de mails mediante GPG.
ü  Migrar a otros sistemas operativos como GNU/Linux, Solaris, BSD.
Publicado por en No hay comentarios:

AUDITORIA DE LA SEGURIDAD DE TI: Importancia de su Implementacion



Las organizaciones hacen suposiciones diferentes sobre los niveles de seguridad necesarios para proteger sus sistemas y activos de información. Aunque las empresas puedan diferir en sus ideas acerca de la seguridad de las TI [Tecnologías de la Información], es importante considerar el papel de los auditores internos: revisar el entorno de seguridad existente e identificar la efectividad de los controles internos. Desafortunadamente, los auditores de TI noveles se encontrarán con no pocas dificultades. Muchas empresas tienen cortafuegos y sistemas de detección de intrusiones (IDS) mal configurados, carencia de sistemas para detectar no-conformidades con las políticas y procedimientos de TI, usan sistemas antivirus desactualizados y esperan demasiado tiempo para parchear los sistemas cuando se detectan vulnerabilidades.

Para llevar a cabo con éxito revisiones de controles de seguridad, los auditores de TI se debe comprender los mecanismos adecuados para identificar riesgos y vulnerabilidades de seguridad, evaluar la efectividad de las medidas de seguridad perimetral y trabajar con la alta dirección de forma eficaz.

Es  fundamental considerar la seguridad pues es determinante ante los riesgos y vulnerabilidades existentes, así como el nivel de buen gobierno y conformidad de las TI de la organización. Una vez que se le ha encomendado a un auditor la tarea de revisar el entorno de seguridad de las TI de una empresa, deberá evaluar los diferentes niveles de seguridad de todos los activos de TI y cómo se protege cada uno de ellos. Se requiere también del auditor dar recomendaciones de cómo mejorar la seguridad de las TI de la organización y certificar si existen controles internos adecuados para asegurar todos los activos de TI. Una forma de identificar riesgos y vulnerabilidades de seguridad antes de la auditoría es recomendando a la organización la realización de una evaluación de riesgos. Aparte de ayudar a los auditores a determinar qué controles serían más efectivos basándose en las necesidades de seguridad de la organización, una evaluación de riesgos puede ayudar a disipar la resistencia a los resultados de la auditoría, permitiendo a la dirección tener una imagen exacta del estado actual de la seguridad antes de tener lugar la auditoría.

El buen gobierno de las TI se basa en procesos de alta calidad, bien definidos y repetibles, que tienen que estar adecuadamente documentados y comunicados, y requiere la participación y compromiso de la gerencia y de los profesionales de TI y seguridad.

Una forma de examinar si una empresa tiene un programa eficaz de buen gobierno de las TI es comprobando que la gerencia ha establecido objetivos, políticas y procedimientos claros y que la gestión de las TI está basada en el uso de marcos de actuación, herramientas o buenas prácticas eficaces. Existen muchos marcos de actuación y buenas prácticas que pueden ayudar a las empresas en su gestión de las TI.


Publicado por en No hay comentarios:

EN MI EMPRESA: Medidas de Seguridad Informatica

¿Qué hace mi empresa para proteger la seguridad de los recursos de Datos?

La empresa donde laboro, tiene un dominio operado y monitoreado por un departamento de sistemas; cada equipo que está en el dominio tiene conexión remota además de las restricciones para accesar a la información de la empresa limitada a las facultades y necesidades de cada cargo. He experimentado que no puedo descargar ni programas, ni actualizaciones ni ningún tipo de aplicativo esto solamente lo hace el Administrador del sistema; al igual que el uso de memorias USB es restringido; Bloquea páginas de música y videos; el acceso a redes sociales, chats etc.… cuenta con antivirus y antispam. Entre otros mecanismos de seguridad informática.

¿Son adecuadas estas medidas?
Considero que aunque son adecuadas y suficientes; la empresa ha tenido que sobrellevar algún tipo de virus informático que causo algún daño significativo (que tenga yo conocimiento). Como en todo la seguridad es razonable más no absoluta.     
Publicado por en No hay comentarios:

MEDIDAS DE SEGURIDAD INFORMATICA

Es fundamental saber qué recursos de una compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet.

Veamos las definiciones de algunos mecanismos de seguridad informática:

1- Antispyware: Es un tipo de aplicación que se encarga de buscar, detectar y eliminar spyware o espías en el sistema. El spyware, también conocido como Software espía, es una aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. Una buena opción es el ad-aware se personal.

2- Antispam: Es una aplicación o herramienta informática que se encarga de detectar y eliminar el spam y los correos no deseados. Spam es todo correo electrónico que contiene publicidad, y que no ha sido solicitado por el receptor del mismo. Por lo general, es un tipo de correo electrónico no deseado. Puedes probar el Vade Retro Antispam.
 
3-Antivirus: Un antivirus es una aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y borrado de programas malignos en sistemas informáticos. Tales amenazas suelen denominarse malware y entre ellos se incluyen virus, troyanos, gusanos, spyware, etc.
Un antivirus debe cumplir con ciertos requisitos para ser considerado efectivo y eficiente: constante actualización, protección permanente, buena base de datos de programas malignos y una buena capacidad para la detección de cualquier código extraño o malicioso que pretenda ingresar al sistema informático.
En informática, se define como virus a un pequeño software que, al igual que un virus biológico, infecta a una computadora y se propaga en ella con diversos propósitos como daño, robo de información, molestia, etc. y por lo general intenta pasar desapercibido por el usuario el mayor tiempo posible. Han demostrados ser muy buenos, el kaspersky, avast y nod32.

4- Firewall: Un Firewall o Cortafuego, es una aplicación o herramienta que funciona como sistema de defensa, que evita cualquier tipo de acceso a un determinado sistema.

Estos programas suelen usarse para la protección de una computadora que está conectada a una red, especialmente Internet, controlando todo el tráfico de entrada y de salida, informando o evitando actividades sospechosas.
Publicado por en No hay comentarios:

SOFTWARE MALICIOSO


El software malicioso que normalmente le llamamos VIRUS, los tipos que existen y como nos afectan:
MALWARE: Es el acrónimo de Malicious Software y son todos aquellos programitas que se ejecutan en nuestra computadora con la finalidad de obtener un fin, dichos fines pueden ser:
  • Robo de Información de los usuarios
  • Engañar a los usuarios
  • Dañar al equipo residente
  • Consumo de Recursos
  • Instalación y Actualización de Malware
Como Entran estos Malware´s a nuestra computadora???
Muchos de estos entran después de haber engañado al usuario, que es una técnica conocida como Ingeniería Social, por ejemplo, cuando nos aparecen los benditos pop-ups, o ventanitas con mensajes como “Eres el Usuario 999,999″, cuando descargamos archivos e incluso cuando respondemos nuestros correos SPAM o correos Basura.
Tipos de Malware:
Adware: Adversting Software, que es la publicidad no solicitada, por lo regular se presenta en forma de pop-ups que presentan algun tipo de publicidad. Su finalidad no es infectar a nuestra máquina, sin embargo hay creadores de virus que la utilizan para que en el momento que demos clic nos descargue malware.
Spyware: Spy Software o en buen español Software Espía, que lo que hace es recorrer nuestro equipo en busca de claves, contraseñas, información valiosa; y muchos de éstos son capaces de actualizarse como si se tratara de un software normal y pueden enviar la información recabada al creador de dicho spyware.
Troyanos: Estos son programas o herramientas que parecen inofensivos, que nos dan alguna funcionalidad, pero detrás de ellos puede ir software malicioso. Un ejemplo claro de estos son los benditos Emoticones del Messenger, nos los descargamos, los usamos y pareciera ir todo bien…. pero algunos de éstos nos instalan software malicioso como virus, spyware, entre otros.
Gusanos: La finalidad de éstos es agotar los recursos del sistema residente, es decir, se reproducen en nuestra máquina, en la LAN, en fin hasta donde puedan llegar y pueden agotar los recursos del sistema residente. Un ejemplo claro de ésta es cuando conectamos nuestra USB en alguna maquina, muchas veces automáticamente se nos copian o se copian a la computadora archivos que nosotros ni en cuenta.
Keyloggers: se trata de programas que recogen todas las pulsaciones del teclado, las guardan de alguna forma y cada cierto tiempo mandan este reporte al creador. Te imaginas si un keylogger recoge tu clave bancaria…….?. E incluso hay keyloggers que pueden capturar imagenes de pantalla y tomar videos.
Rogge: Estos son muy comunes en la red, ya que simulan ser herramientas de seguridad como antivirus y en realidad lo que nos instalan son spyware, keyloggers, troyanos o gusanos.
RootKits: Estas son aplicaciones que ocultan procesos y limitan o deniegan el acceso a recursos del sistema. Hay Spywares que utilizan los rootkits para ocultarse, por eso cuando intentamos ver en el administrador de tareas no los vemos, sin embargo están corriendo escondidos.
Backdoors: Son programas diseñados para permitir el acceso al sistema de manera no convencional, ignorando los procesos de autenticación.
Hoax: Estos son mensajes en cadena que se distribuyen con la finalidad de obtener correos, y engañan a las personas haciéndoles creer alguna cosa. En mas de alguna ocasión hemos recibido algún correo diciendo algo y al final diciendo “Reenvíalo a tus contactos” o te caerá una maldición, no se te cumplirá algo, etc. Es una forma bien fácil de obtener miles de correos electrónicos para enviar publicidad no deseada o SPAM. Alguna vez has recibido algún correo en el cual te ofrecen algo?….. si es así ya has contestado estas cadenas de mensajes.
SPAM: Esto es simplemente correo electrónico no deseado que nos llega a nuestro buzón.
Phishing: Es una técnica de engaño utilizada para obtener información confidencial de un usuario y se trata de duplicar algo haciendo creer al usuario que está usando el producto original. Por ejemplo duplican una página web de un banco, es casi exactamente lo mismo y el usuario creyendo que está en la página Original ingresa todos sus datos facilitando robo o fraude.
Botnets: Son redes robots, hay spyware que se distribuye en miles y miles de maquinas y que en un momento dado el creador puede ordenarles realizar algo.
Publicado por en No hay comentarios:

PERSONAS: "Politica de Seguridad Informatica del Sector Financiero Colombiano"


Los funcionarios y la seguridad de la información.
La responsabilidad por la seguridad de la información no es únicamente de las áreas de seguridad informática, es una obligación de cada funcionario.

1.    Códigos de identificación y palabras claves

1.1         Las palabras claves o los mecanismos de acceso que les sean otorgados a los funcionarios son responsabilidad exclusiva de cada uno de ellos y no deben ser divulgados a ninguna persona, a menos que exista un requerimiento legal o medie un procedimiento de custodia de claves. De acuerdo con lo anterior, los usuarios no deben obtener palabras claves u otros mecanismos de acceso de otros usuarios que pueda permitirles un acceso indebido.
1.2         Los usuarios son responsables de todas las actividades llevadas a cabo con su código de identificación de usuario y sus claves personales.

2.    Control de la Información

2.1         Los usuarios deben informar inmediatamente al área que corresponda dentro de la entidad toda vulnerabilidad encontrada en los sistemas, aparición de virus o programas sospechosos e intentos de intromisión y no deben distribuir este tipo de información interna o externamente.
2.2         Los usuarios no deben instalar software en sus computadores o en servidores sin las debidas autorizaciones.
2.3         Los usuarios no deben intentar sobrepasar los controles de los sistemas, examinar los computadores y redes de la entidad en busca de archivos de otros sin su autorización o introducir intencionalmente software diseñado para causar daño o impedir el normal funcionamiento de los sistemas.
2.4         Los funcionarios no deben suministrar cualquier información de la entidad a ningún ente externo sin las autorizaciones respectivas esto incluye los controles del sistema de información y su respectiva implementación.
2.5         Los funcionarios no deben destruir, copiar o distribuir los archivos de la entidad sin los permisos respectivos.
2.6         Las personas o clientes tienen derecho a bloquear su información para que no sea distribuida a terceros o incluida en listados del correo y hacer que la información de ellos sea borrada de las listas de mercadeo directo por lo cual los funcionarios deben actuar de conformidad con lo anterior, guardando en todo momento la privacidad de la información del cliente.
2.7         Todo funcionario que utilice los recursos de los Sistemas, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica.

3.    Otros usos

3.1         Los computadores, sistemas y otros equipos deben usarse solamente para las actividades propias de la entidad, por lo tanto los usuarios no deben usar sus equipos para asuntos personales a menos que exista una autorización respectiva que evalúe el riesgo informático de tal labor.
3.2               La Entidad debe tener definido un código de ética para la seguridad informática, el cual debe incluir tópicos relacionados con la seguridad informática y de datos.

Nota: Esta politica fué seleccionada porque es de considerar que el recurso humano es el más complejo y a criterio personal el más importante en cuanto a la seguridad de información y el adecuado uso de los equipos dependen también de los funcionarios de un ente. Nunca están de más por insignificantes que parezcan los mecanismos y técnicas adoptadas por el ente focalizados al recurso humano.
http://www.asobancaria.com/upload/docs/docPub2822_1.pdf
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)