Vous êtes sur la page 1sur 14

Ensayo RAP 3

Auditoria en
Sistemas

Nombre: Edwin Alexis Crdenas Mendoza


Clase: Controles y Seguridad Informtica (SENA)
Instructora Virtual: Nidyan Slendy Mantilla Daza
Fecha: Diciembre 4 de 2014

Introduccin
El propsito de este taller es el de conocer controles administrativos y
cada uno de sus componentes, definiendo las acciones que se aplican
usando control de lmites, entrada, proceso, salida, base de datos y
comunicaciones.

Actividades de
Transferencia del
Conocimiento
Descripcin de la actividad

Al hacer la auditoria de un sistema de informacin es necesario factorizar para


dividir el sistema en subsistemas y una forma de hacerlo es dividiendo el anlisis
en: Controles de entrada, controles de salida, controles de procesamiento,
controles de comunicaciones y controles de bases de datos. En el siguiente caso
se hace nfasis en los controles de salida, as que antes de leer el caso debers
hacer la consulta del material didctico y entrar a las ligas sugeridas:

1. Leer el caso
2. Contestar las preguntas

Nosotros le Prestamos:

La asociacin Nosotros le prestamos cuenta con un sistema de informacin


administrativo para dar soporte a las oficinas de prstamos. Cuando un cliente
llena una aplicacin para pedir un prstamo, el ejecutivo encargado puede utilizar
su computadora para determinar cul es la situacin financiera del cliente en base
a la

informacin que proporciona

la base de datos de la asociacin. La

informacin se muestra en una tabla o grfica en donde se puede ver en


diferentes colores los nmeros ms importantes. El Balance de crdito se muestra
en color rojo y el balance de dbito est desplegado en color verde, adems se
pueden

ver

las

estadsticas

de

los

balances

de

los

aos

anteriores.

A partir de la instalacin de dicho sistema se han detectado errores en la


asignacin de crditos por lo que se sospecha de posibles errores en los datos
desplegados por el sistema. El procesamiento del sistema ha sido revisado y no
se ha encontrado errores en la lgica del programa por lo que se puede decir que
los clculos son correctos. El CIO se encuentra en problemas por esta situacin.

Para contestar:
1. Definicin del problema.
2. Hacer algunas sugerencias sobre las causas del problema y como corregirlas.

TCNICAS PARA ASEGURAR EL SISTEMA

El activo ms importante que se posee es la informacin y por lo tanto, deben


existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca
sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la
seguridad lgica que consiste en la aplicacin de barreras y procedimientos que
resguardan el acceso a los datos y solo permiten acceder a ellos a las personas
autorizadas para hacerlo. Cada tipo de ataque y cada sistema requiere de un
medio de proteccin o ms (en la mayora de los casos es una combinacin de
varios de ellos).

Las siguientes son una serie de medidas que se consideran bsicas para la
seguridad del sistema, que para necesidades especficas, se necesitan medidas
extraordinarias y de mayor profundidad:

Utilizar tcnicas de desarrollo que cumplan con los criterios de seguridad al uso
para todo el software que se implante en los sistemas, partiendo de estndares y
de personal suficientemente formado y concienciado con la seguridad.

Implantar medidas de seguridad fsicas: sistemas anti incendios, vigilancia de


los centros de proceso de datos, sistemas de proteccin contra inundaciones,
protecciones elctricas contra apagones y sobretensiones, sistemas de control de
accesos, etc.
4

Codificar la informacin: criptologa, criptografa y criptociencia. Esto se debe


realizar en todos aquellos trayectos por los que circule la informacin que se
quiere proteger, no solo en aquellos ms vulnerables. Por ejemplo, si los datos de
una base muy confidencial se han protegido con dos niveles de firewall, se ha
cifrado todo el trayecto entre los clientes y los servidores y entre los propios
servidores, se utilizan certificados y sin embargo se dejan sin cifrar las
impresiones

enviadas

la

impresora

de

red,

tendramos

un

punto

de

vulnerabilidad.

Contraseas difciles de averiguar que, por ejemplo, no puedan ser deducidas a


partir de los datos personales del individuo o por comparacin con un diccionario,
y que se cambien con la suficiente periodicidad. Las contraseas, adems, deben
tener la suficiente complejidad como para que un atacante no pueda deducirla por
medio de programas informticos. El uso de certificados digitales mejora la
seguridad frente al simple uso de contraseas.

Vigilancia de red. Las redes transportan toda la informacin, por lo que adems
de ser el medio habitual de acceso de los atacantes, tambin son un buen lugar
para obtener la informacin sin tener que acceder a las fuentes de la misma. Por
la red no solo circula la informacin de ficheros informticos como tal, tambin se
transportan por ella: correo electrnico, conversaciones telefnicas (VoIP),
mensajera instantnea, navegacin Internet, lecturas y escrituras a bases de
datos, etc. Por todo ello, proteger la red es una de las principales tareas para
evitar robo de informacin. Existen medidas que abarcan desde la seguridad fsica
de los puntos de entrada hasta el control de equipos conectados, por
ejemplo 802.1x. En el caso de redes inalmbricas la posibilidad de vulnerar la
seguridad es mayor y deben adoptarse medidas adicionales.

Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso


fuertes entre los usuarios y servidores no pblicos y los equipos publicados. De
esta forma, las reglas ms dbiles solo permiten el acceso a ciertos equipos y
nunca a los datos, que quedarn tras dos niveles de seguridad.

Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de


intrusos - antispyware, antivirus, llaves para proteccin de software, etc.

Mantener los sistemas de informacin con las actualizaciones que ms impacten


en la seguridad.

Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten


mantener la informacin en dos ubicaciones de forma asncrona.

Controlar el acceso a la informacin por medio de permisos centralizados y


mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los
medios para conseguirlo son:

Restringir el acceso (de personas de la organizacin y de las que no lo son) a los


programas y archivos.

Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisin minuciosa).

Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el


procedimiento elegido.

Asegurar que la informacin transmitida sea la misma que reciba el destinatario


al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de
emergencia alternativos de transmisin entre diferentes puntos.

Organizar a cada uno de los empleados por jerarqua informtica, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.

Actualizar constantemente las contraseas de accesos a los sistemas de


cmputo, como se ha indicado ms arriba, e incluso utilizando programa que
ayuden a los usuarios a la gestin de la gran cantidad de contraseas que tienen
gestionar en los entornos actuales, conocidos habitualmente como gestores de
identidad.

Redundancia y descentralizacin.

RESPALDO DE INFORMACIN:

La informacin constituye el activo ms importante de las empresas, pudiendo


verse afectada por muchos factores tales como robos, incendios, fallas de disco,
virus u otros. Desde el punto de vista de la empresa, uno de los problemas ms
importantes que debe resolver es la proteccin permanente de su informacin
crtica.

La medida ms eficiente para la proteccin de los datos es determinar una buena


poltica de copias de seguridad o backups. Este debe incluir copias de seguridad
completa (los datos son almacenados en su totalidad la primera vez) y copias de

seguridad incrementales (solo se copian los ficheros creados o modificados desde


el ltimo backup). Es vital para las empresas elaborar un plan de backup en
funcin del volumen de informacin generada y la cantidad de equipos crticos.

Un

buen

sistema

de

respaldo

debe

contar

con

ciertas

caractersticas

indispensables:

CONTINUO
El respaldo de datos debe ser completamente automtico y contino. Debe
funcionar de forma transparente, sin intervenir en las tareas que se encuentra
realizando el usuario.

SEGURO
Mucho software de respaldo incluyen cifrado de datos, lo cual debe ser hecho
localmente en el equipo antes del envo de la informacin.

REMOTO
Los datos deben quedar alojados en dependencias alejadas de la empresa.

MANTENIMIENTO DE VERSIONES ANTERIORES DE LOS DATOS


Se debe contar con un sistema que permita la recuperacin de, por ejemplo,
versiones
Hoy

en

diarias,
da

los

semanales
sistemas

de

y
respaldo

mensuales
de

de

los

informacin online,

datos.
servicio

de backup remoto, estn ganando terreno en las empresas y organismos


gubernamentales. La mayora de los sistemas modernos de respaldo de
informacin online cuentan

con

las

mximas

medidas

de

seguridad

disponibilidad de datos. Estos sistemas permiten a las empresas crecer en

volumen de informacin derivando la necesidad del crecimiento de la copia de


respaldo a proveedor del servicio.

PROTECCIN CONTRA VIRUS

Los virus son uno de los medios ms tradicionales de ataque a los sistemas y a la
informacin que sostienen. Para poder evitar su contagio se deben vigilar los
equipos

los

medios

de

acceso

ellos,

principalmente

la

red.

CONTROL DEL SOFTWARE INSTALADO

Tener instalado en la mquina nicamente el software necesario reduce riesgos.


As mismo tener controlado el software asegura la calidad de la procedencia del
mismo (el software obtenido de forma ilegal o sin garantas aumenta los riesgos).
En todo caso un inventario de software proporciona un mtodo correcto de
asegurar la reinstalacin en caso de desastre. El software con mtodos de
instalacin rpidos facilita tambin la reinstalacin en caso de contingencia.

CONTROL DE LA RED

Los puntos de entrada en la red son generalmente el correo, las pginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red solo en modo lectura, impide
que ordenadores infectados propaguen virus. En el mismo sentido se pueden
reducir los permisos de los usuarios al mnimo. Se pueden centralizar los datos de
forma que detectores de virus en modo batch puedan trabajar durante el tiempo
inactivo de las mquinas. Controlar y monitorizar el acceso a Internet puede
detectar, en fases de recuperacin, cmo se ha introducido el virus.

PROTECCIN FSICA DE ACCESO A LAS REDES

Independientemente de las medidas que se adopten para proteger a los equipos


de una red de rea local y el software que reside en ellos, se deben tomar
medidas que impidan que usuarios no autorizados puedan acceder. Las medidas
habituales dependen del medio fsico a proteger. A continuacin se enumeran
algunos de los mtodos, sin entrar al tema de la proteccin de la red frente a
ataques o intentos de intrusin desde redes externas, tales como Internet.

REDES CABLEADAS

Las rosetas de conexin de los edificios deben estar protegidas y vigiladas. Una
medida bsica es evitar tener puntos de red conectados a los switch. Aun as
siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen
falta medidas adicionales: norma de acceso 802.1x, listas de control de acceso
por MAC addresses, servidores de DHCP por asignacin reservada, etc.

REDES INALMBRICAS

En este caso el control fsico se hace ms difcil, si bien se pueden tomar medidas
de contencin de la emisin electromagntica para circunscribirla a aquellos
lugares que consideremos apropiados y seguros. Adems se consideran medidas
de calidad el uso del cifrado ( WPA, WPA v.2, uso de certificados digitales, etc.),
contraseas compartidas y, tambin en este caso, los filtros de direcciones MAC,
son varias de las medidas habituales que cuando se aplican conjuntamente
aumentan la seguridad de forma considerable frente al uso de un nico mtodo.

10

SANITIZACIN

Proceso lgico y/o fsico mediante el cual se remueve informacin considerada


sensible o confidencial de un medio ya sea fsico o magntico, ya sea con el
objeto de des clarificarlo, reutilizar el medio o destruir el medio en el cual se
encuentra.

Estas son algunas afirmaciones errneas comunes acerca de la seguridad:

Mi sistema no es importante para un hacker

Esta afirmacin se basa en la idea de que no introducir contraseas seguras en


una empresa no entraa riesgos pues quin va a querer obtener informacin
ma?. Sin embargo, dado que los mtodos de contagio se realizan por medio de
programas automticos, desde unas mquinas a otras, estos no distinguen
buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y
dejarlos sin claves es facilitar la vida a los virus y de posibles atacantes. Otra
consideracin respecto a esta afirmacin que la llevan a ser falsa es que muchos
ataques no tienen otro fin que el destruir por destruir sin evaluar la importancia.

Estoy protegido pues no abro archivos que no conozco

Esto es falso, pues existen mltiples formas de contagio, adems los programas
realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas, si
bien la medida es en s acertada y recomendable.

11

Como tengo antivirus estoy protegido

En general los programas antivirus no son capaces de detectar todas las posibles
formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los
ordenadores aumenten las capacidades de comunicacin, adems los antivirus
son vulnerables a desbordamientos de bfer que hacen que la seguridad
del sistema operativo se vea ms afectada an, aunque se considera como una
de las medidas preventivas indispensable.

Como dispongo de un firewall no me contagio

Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de


infectarse en una red son mltiples. Unas provienen directamente de accesos al
sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de
las que no me protege). Emplear usuarios con altos privilegios para realizar
conexiones puede entraar riesgos, adems los firewalls de aplicacin (los ms
usados) no brindan proteccin suficiente contra el spoofing. En todo caso, el uso
de cortafuegos del equipo y de la red se considera altamente recomendable.

Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la


fecha y por tanto seguro

Puede que est protegido contra ataques directamente hacia el ncleo, pero si
alguna de las aplicaciones web (PHP, Perl, C panel, etc.) est desactualizada, un
ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra
una Shell y por ende ejecutar comandos en el Unix. Tambin hay que recordar
que un sistema actualizado no est libre de vulnerabilidades sino que no se tiene
ninguna de las descubiertas hasta el momento.
12

Actividades de Contextualizacin e Identificacin de


Conocimientos Necesarios para el Aprendizaje

Descripcin de la actividad
La seguridad en la transferencia de informacin cada da se vuelve ms crtica por
lo que las tcnicas de encriptacin son cada vez ms sofisticadas. Despus de
haber hecho la lectura del material de apoyo y la visita a las ligas sugeridas
podrs realizar el siguiente ejercicio:

Utilizando la llave Murcilagos realiza la encriptacin de tu nombre y


apellidos. La clave Murcilago se utiliza cambiando en el mensaje que
escribas cada una de las letras M U R C I E L A G O por un nmero de
acuerdo al nmero que utilices, son 10 nmeros, esto depende del nmero
que le asignes a la letra M. Las letras que no figuren en la palabra
murcilago, se dejaran con la misma letra.

M
0
1
2
3
4
5
6
7
8
9

U
1
2
3
4
5
6
7
8
9
0

R
2
3
4
5
6
7
8
9
0
1

C
3
4
5
6
7
8
9
0
1
2

I
4
5
6
7
8
9
0
1
2
3
13

E
5
6
7
8
9
0
1
2
3
4

L
6
7
8
9
0
1
2
3
4
5

A G O
7 8 9
8 9 0
9 0 1
0 1 2
1 2 3
2 3 4
3 4 5
4 5 6
5 6 7
6 7 8

Debers crear un documento en donde incluyas los siguientes puntos


a. Nombre completo: EDWIN ALEXIS CARDENAS MENDOZA
b. Nombre encriptado: 0DW9N 210X9S 827D0N2S 50ND4Z2

Este tipo de encriptacin tiene diversas variantes con las que se puede ensayar ya
sea con nmeros o letras y es muy fcil de usar, practica como para escribir
mensajes en clave.

Conclusion
En cuanto al error en la asignacin de Crditos y al determinar su falla en el
control de salida se puede concluir que problema puede estar en la elaboracin
de las reglas y procedimientos de los servicios de la organizacin en donde se
tendran que definir acciones a emprender y contactar el personal clave en caso
de deteccin de una posible intrusin, como tambin sensibilizar a los
operadores con problemas relacionados con la seguridad en los sistemas.

Bibliografa
Material de lectura Unidad 3
http://sena.blackboard.com

14