SEGURIDAD INFORMATICA TEMAS DEL PROGRAMA

Transcripción

1 SEGURIDAD INFORMATICA Algunos datos de Ricardo Riso Revista Consultor Empresarial y Notas de la Cátedra A medida que aumenta la comunicación internacional crece la necesidad de proteger la integridad de la información en especial la de los datos y mensajes confidenciales. Así es importante saber hasta qué punto ha evolucionado el concepto de seguridad en el desarrollo comercial y urbano. Desde épocas pasadas se observa cómo el objetivo principal de la seguridad siempre ha sido proteger a las personas y los bienes que éstas poseen. Hoy la seguridad es fundamental para proteger la información y los sistemas computacionales por donde ésta se transmite. La Seguridad informática se podría definir como las técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware la pérdida física de datos y el acceso a bases de datos por personas no autorizadas. TEMAS DEL PROGRAMA 1. Seguridad, Privacidad e Integralidad 2. Virus 3. Control Interno en Tecnología Informática y Plan de Contingencias 1. Seguridad, Privacidad e Integralidad EN SEGURIDAD LOS FACTORES DE RIESGO SON: Integridad Operatividad Confidencialidad 5 1. Catástrofe Climática 2. Incendio 3. Hurto 4. Sabotaje 5. Intrusión 6. Virus PROGRAMAS DE SEGURIDAD: UN COSTO O UNA NECESIDAD La seguridad de los sistemas de cómputos constituyen un problema en la mayoría de las empresas. De ahí que la protección de los datos sea de vital importancia. La pregunta común es qué debo hacer para aplicar un sistema integral de seguridad?. Trataré de explicar una estrategia a seguir: Página 1 de 10

2 DISEÑO DE UN PROGRAMA DE SEGURIDAD Los componentes son: Seguridad del medio. Seguridad en el desarrollo, mantenimiento computacionales. Seguridad de datos y programas Seguridad en las telecomunicaciones Protección contra el Personal y operación de los sistemas SEGURIDAD DEL MEDIO El objetivo principal es proteger los recursos contra la destrucción accidental o intencional, corrupción, interrupción, robo fraudulento de datos. Los principales recursos a tener en cuenta: Personal. Página 2 de 10

3 Inmueble: Su edificio está protegido contra incendios?. Computadoras: Proteja con materiales aislantes en los muros, pisos y techos. Soporte de datos y programas (Discos magnéticos, disquetes, cartuchos, cdrom, etcétera). Documentación. Suministros: Almacene la menor cantidad de suministros en las salas de cómputos. Los suministros que no estén en uso deben guardarse en un depósito. Instale en forma independiente el circuito electrice del edificio y el sistema de aire acondicionado. Equipe en forma adecuada la sala de interruptores a fin de cortar la alimentación eléctrica con rapidez en caso de siniestro. EIabore una guía de cómo debe actuar en casos de emergencia para el personal. Verifique en forma periódica las distintas medidas de seguridad. Limite el uso de material inflamable o volátil (detergentes, solventes y otros productos de limpieza). Realice en forma periódica tareas de verificación y mantenimiento de los dispositivos para detectar algún problema eléctrico. SEGURIDAD EN EL DESARROLLO, MANTENIMIENTO Y OPERACIÓN DE LOS SISTEMAS COMPUTACIONALES Los numerosos problemas que surgen al momento de procesar los datos, con frecuencia se atribuyen a la técnica utilizada en el diseño del sistema durante el desarrollo, y a la forma de controlarlo durante la operación. Un sistema cuyo desarrollo presenta muchas deficiencias siempre tendrá problemas durante su operación. De ahí que un sistema esté sometido a ciertas normas, reglamentos y controles. Objetivos Propuestos: Los propósitos que debe cumplir el subsistema de seguridad en el desarrollo, mantenimiento y operación de los sistemas computacionales son: Garantizar el desarrollo de sistemas y programas eficaces. Verificar que exista documentación acerca de todos los sistemas, programas e instrumentos de computación y los usuarios. Prevenir o detectar la manipulación fraudulenta de los datos durante el procesamiento e impedir el mal uso de datos confidenciales. Proteger los registros contra la destrucción accidental (o intencional) y asegurar una operación continua. SEGURIDAD DE DATOS Y PROGRAMAS La seguridad de la información representa uno de los elementos más importantes en un programa de seguridad. Los medios de acceso y manipulación ilegal de datos y programas a tener en cuenta son: Mediante el robo soporte de hardware ( Discos magnéticos, cartuchos, disquetes) donde están almacenados los datos. Por medio del acceso o manipulación del sistema computacional y del software operativo. Mediante el acceso ilegal a los sistemas de entrada de datos y a los mecanismos que permiten efectuar modificaciones de datos. Página 3 de 10

4 Por medio del uso ilegal de una estación de trabajo. Cuando un criminal desea apoderarse de los datos estratégicos de una empresa, lo primero que realiza es robar los discos magnéticos, disquetes, etc. Sin embargo, para obtener los datos el intruso debe ingresar a las instalaciones de la empresa o pedir ayuda a algún empleado autorizado. En mi experiencia he podido observar a personal de empresas que dan soporte de Software de Gestión, llevarse información de las empresas para recuperar Índices de alguna base de datos, o recuperar alguna información, quedándose ellos con la información. Quién puede asegurar que esa información no será vendida a algún competidor? Los sistemas en tiempo real son una excelente oportunidad de acceso: tan sólo utilizando una terminal interceptan el vinculo entre una estación de trabajo autorizada y la computadora principal para lograr su propósito. Por lo tanto, es muy importante desarrollar e implementar técnicas de control para validar el acceso a personal no autorizado. Desde el punto de vista del procesamiento de datos la diferencia entre datos e información también es significativa. Sin embargo, en el caso de la administración y la seguridad de los datos se requiere un enfoque mas especifico: Los datos con un valor intrínseco se clasifican en forma de: Estrategia personal o confidencial: Está relacionado de manera directa con los objetivos y propósitos de la empresa, los planes de acción y otros datos confidencia Táctica (para la toma de decisión): Por lo general utilizada por los supervisores y comprenden los datos relativos a la logística, administración de existencias, pedidos, entregas etc. Funcional (para las Actividades de control): Estos datos son los más dinámicos y voluminosos, pues se actualizan cada vez que se realiza una transacción. Técnica: Los datos técnicos se relacionan con los datos organizados y la información concerniente a las normas, reglamentos, procedimientos, técnicas y métodos de administración de las actividades cotidianas de la empresa. SEGURIDAD EN LAS TELECOMUNICACIONES Para la administración de la empresa, la información constituye un recurso muy importante. Sin embargo, para que dicha información pueda ser muy útil debe estar disponible en cualquier momento. Los avances en el campo de las telecomunicaciones han podido satisfacer esta necesidad y evitar el aislamiento. Así gracias a la tecnología computacional y las telecomunicaciones, las empresas públicas y privadas tienen a su disposición cada vez más bancos de datos, tanto locales como remotos. A pesar de las ventajas del uso de estos bancos de datos y sus múltiples posibilidades de acceso, ha surgido una nueva forma de amenaza como es el acceso ilícito a los datos almacenados en las bases de datos, mediante las técnicas de la telecomunicación. Un fraude en las telecomunicaciones de datos representa la alteración, modificación o intercepción de mensajes con fines de lucro, mediante el uso de un sistema de comunicación en línea. Para entender la importancia y vulnerabilidad de la seguridad de los datos transmitidos por la red, conviene saber que estos datos están compartidos por millones de usuarios a través de la red. Identificación de los peligros y técnicas criminales Las técnicas más comunes son: La usurpación de puestos de trabajo: Los impostores tratan de obtener de cualquier forma posible el código de identificación de los usuarios. Si el criminal obtiene la Página 4 de 10

5 contraseña, suplantará al usuario para tener acceso a la información de la computadora. La intercepción de líneas telefónicas: El impostor trata de interceptar la línea telefónica para escuchar la información transmitida sin modificarla. La suplantación de personalidad: El impostor introduce una terminal ficticia entre la computadora y el usuario para interceptar los datos de entrada enviados por el Usuario, modificarlos o reemplazarlos y luego retransmitirlos a la computadora. La usurpación de las líneas telefónicas: El impostor introduce una terminal ilegal para interceptar la transmisión de los datos cuando el usuario autorizado indica a la terminal las instrucciones de la salida dé la comunicación. En este momento, el impostor intercepta las instrucciones y envía un mensaje de error para hacer creer al usuario que la línea no está disponible. Medidas y controles Aconsejables: Proteger el hardware. Codificar los datos. Verificar la autenticidad. Numerar las transacciones y medir el tiempo. Interrumpir en forma automática las estaciones de trabajo. Vigilar las líneas telefónicas y detectar anomalías en las líneas de telecomunicaciones. Identificar y certificar la identificación del usuario. PROTECCIÓN CONTRA EL PERSONAL Elaboración de un método de control: Implementar una técnica de selección y determinar la capacitación para el personal que utilizará los equipos de cómputos. Reglamentos estrictos de autorización: Resulta de vital importancia reforzar las operaciones básicas que intentan reducir la manipulación de datos. Sesiones de Información para el Personal: dada la importancia que tiene estar conciente de la necesidad de proteger los recursos computacionales, es recomendable: Exponer y explicar los reglamentos Informar a los empleados sobre la utilidad de las medidas de seguridad. Fomentar la participación del personal en la detección de cualquier anomalía. MEDIDAS DE SEGURIDAD INFORMÁTICA Se clasifican según la naturaleza de la tecnología aplicada: Página 5 de 10 Protección física: Ubicación, disposición, a resguardo de desastres Copias de Seguridad: Completa, selectiva a intervalos Sistema tolerante a fallos: Trabajos sin líneas de comunicación o energía Programas antivirus Cifrado de datos: criptografía Control de accesos, permisos y derechos: claves, vencimientos, límites horarios, límites físicos

6 Registros de auditoría: Identificación de usuarios, programas, procesos, claves, directorios y archivos. Pautas claras de Control Interno 2. Virus Virus (Informático) Programa de computación que se reproduce a sí mismo e interfiere con el hardware de una computadora o con su sistema operativo (el software básico que controla la computadora) Los virus están diseñados para reproducirse y evitar su detección. Como cualquier otro programa informático fin virus debe ser ejecutado para que funcione es decir el ordenador debe cargar el virus desde la memoria del ordenador y seguir sus instrucciones. Estas instrucciones se conocen como carga activa del virus. La carga activa puede trastornar o modificar archivos de datos, presentar un determinado mensaje o provocar fallas en el sistema operativo. Existen otros programas informáticos nocivos similares a los virus pero que no cumplen ambos requisitos de reproducirse y eludir su detección. CATEGORIAS DE VlRUS Los virus se dividen en tres categorías: Virus Latente: Espera una fecha determinada o algún otro evento para activarse. Virus Activo: Se activa desde el momento de introducirse en una computadora. Virus Mutante: activarse a sí mismo y sufrir una transformación para adaptarse a las condiciones del ambiente donde se propaga. COMO SE PRODUCEN LAS INFECCIONES Los virus informáticos se difunden cuando las instrucciones o código ejecutable que hacen funcionar los programas pasan de una computadora a otra. Una vez que un virus está activado, puede reproducirse copiándose en discos flexibles, en el disco duro, en programas informáticos legítimos o a través de redes informáticas. Estas infecciones son mucho más frecuentes en PC que en sistemas profesionales de grandes computadoras, porque los programas de las PC se intercambien fundamentalmente a través de discos flexibles o de redes informáticas no reguladas. Los virus funcionan, se reproducen y liberan sus cargas activas sólo cuando se ejecutan. Por eso, si una computadora está simplemente conectada a una red informática infectada o se limita a cargar un programa infectado, no se infectará necesariamente. Normalmente, un usuario no ejecuta conscientemente un código informático potencialmente nocivo; sin embargo, los virus engañan frecuentemente al sistema operativo de la computadora o al usuario informático para que ejecute el programa viral. Algunos tienen la capacidad de adherirse a programas legítimos. Esta adhesión puede producirse cuando se crea, abre o modifica el programa legitimo. Cuando se ejecuta dicho programa, lo mismo ocurre con el virus. Los virus también pueden residir en las partes del disco duro o flexible qué cargan y ejecutan el sistema operativo cuando se arranca la computadora, por lo que dichos virus se ejecutan automáticamente. En las redes informáticas, algunos se ocultan en el software que permite al usuario conectarse al sistema. Página 6 de 10

7 ESPECIES DE VIRUS Existen seis categorías de virus: parásitos, del sector de arranque inicial, multipartitos, acompañantes, de vinculo y de archivos de datos. Los virus parásitos infectan archivos ejecutables o programas de la computadora. No modifican el contenido del programa huésped, pero se adhieren al huésped de tal forma que el código del virus se ejecuta en primer lugar. Estos pueden ser de acción directa o residentes. Un virus de acción directa selecciona uno o más programas para infectar cada vez que se ejecuta. Un virus residente se oculta en la memoria de la computadora e infecta un programa determinado cuando se ejecuta dicho programa. Los virus del sector de arranque inicial residen en la primera parte del disco duro o flexible, conocida como sector de arranque inicial, y sustituyen los programas que almacenan información sobre el contenido del disco o los programas que arrancan la computadora. Estos virus suelen difundirse mediante el intercambio físico de discos flexibles. Los virus multipartitos combinan las capacidades de los virus parásitos y de sector de arranque inicial, y pueden infectar tanto archivos como sectores de arranque inicial. Los virus acompañantes no modifican los archivos, sino que crean un nuevo programa con el mismo nombre que un programa legitimo y engañan al sistema operativo para que lo ejecute. Los virus de vinculo modifican la forma en que el sistema operativo encuentra los programas, y lo engañan para que ejecute primero el virus y luego el programa deseado. Un virus de vinculo puede infectar todo un directorio (sección) de una computadora, y cualquier programa ejecutable al que se acceda en dicho directorio desencadena el virus. Otros infectan programas que contienen lenguajes de macros potentes (lenguajes de programación que permiten al usuario crear nuevas características y herramientas) que pueden abrir, manipular y cerrar archivos de datos. Estos llamados virus de archivos de datos, están escritos en lenguajes de macros y se ejecutan automáticamente cuando se abre el programa legitimo. Son independientes de la máquina y del sistema operativo. TACTICAS ANTIVIRICAS Preparación y prevención Los usuarios pueden prepararse frente a una infección viral creando regularmente copias de seguridad del software original legitimo y de los archivos de datos, para poder recuperar el sistema informático en caso necesario. Puede copiarse en un disco flexible el software del sistema operativo y proteger el disco contra escritura, para que ningún virus pueda sobrescribir el disco. Las infecciones virales pueden prevenirse obteniendo los programas de fuentes legitimas, empleando una computadora en cuarentena para probar los nuevos programas y protegiendo contra escritura los discos flexibles siempre que sea posible. DETECCION DE VIRUS Para detectar la presencia de un virus pueden emplearse varios tipos de programas antiviricos. Los programas de rastreo pueden reconocer las características del código informático de un virus y buscar estas características en los archivos de la computadora. Como los nuevos virus tienen que ser analizados cuando aparecen, los programas de rastreo deben ser actualizados periódicamente para resultar eficaces. Algunos programas de rastreo buscan características habituales de los programas virales; suelen ser menos fiables. Los únicos programas que detectan todos los virus son los de comprobación de suma, que emplean cálculos matemáticos para comparar el estado de los programas ejecutables antes y después de ejecutarse. Si la suma de comprobación no cambia, el sistema no está infectado. Los programas de comprobación de suma, sin embargo, sólo pueden detectar una infección después de que se produzca. Los programas de vigilancia detectan actividades potencialmente nocivas, como la sobrescritura de archivos informáticos o el formateo del disco duro de la computadora. Los Página 7 de 10

8 programas caparazones de integridad establecen capas por las que debe pasar cualquier orden de ejecución de un programa. Dentro del caparazón de integridad se efectúa automáticamente una comprobación de suma, y si se detectan programas infectados no se permite que se ejecuten. CONTENCIÓN Y RECUPERACIÓN Una vez detectada una infección virol, ésta puede contenerse aislando inmediatamente las computadoras de la red, deteniendo el intercambio de archivos y empleando sólo discos protegidos contra escritura. Para que un sistema informático se recupere de una infección virol, primero hay que eliminar el virus. Algunos programas antivirus intentan eliminar los virus detectados, pero a voces los resultados no son satisfactorios. Se obtienen resultados más fiables desconectando la computadora infectada, arrancándola de nuevo desde un disco flexible protegido contra escritura, borrando los archivos infectados y sustituyéndolos por copias de seguridad de archivos legítimos y borrando los virus que Pueda haber en el sector de arranque inicial. Cómo detecta el Antivirus los virus Los Antivirus previenen las infecciones víricas mediante la verificación del sector de arranque, la memoria y los archivos de las máquinas en busca de virus. El motor de verificación del Antivirus utiliza las definiciones incluidas en un archivo de definiciones de virus para realizar una búsqueda exhaustiva de virus conocidos en los archivos ejecutables. El Antivirus comprueba las partes ejecutables de los archivos de documentos en busca de virus de macro. Puede ejecutar verificaciones y aguardar a su finalización, o bien ejecutarlas en momentos en los que se ausente de la mesa de trabajo. Cómo previene el Antivirus las infecciones Las infecciones por virus se pueden evitar con facilidad. Los virus que se detecten y eliminen de forma precoz de la máquina no podrán propagarse a otros archivos y causar daños. El Antivirus utiliza una amplia gama de métodos para detectar virus de archivo, de arranque y de macro con prontitud: Verificación mediante firmas: el Antivirus basa el sistema de detección de en la verificación mediante modelos o firmas, que consiste en buscar firmas de virus residuales en los archivos infectados. Este tipo de búsqueda se conoce como verificación. Si se detecta una firma de virus, el Antivirus informa de que uno o varios archivos están infectados. Según la configuración del Antivirus, el archivo infectado se puede limpiar, eliminar, poner en cuarentena o desestimar. Por defecto, el programa intentará limpiar el virus del archivo infectado. Protección en tiempo real: se supervisa constantemente la actividad de la máquina buscando modelos de virus cuando se abran o ejecuten los archivos, así como cuando se realicen modificaciones en ellos (tales como renombrarlas, guardarlos o copiarlos entre distintos directorios). Suma de control de archivos: El Antivirus emplea un algoritmo propio para calcular un valor de suma de control de cada archivo. Este valor se almacena para ser comparado con posteriores sumas de control. Como los virus modifican el código de los archivos ejecutables, las sumas de control que no coincidan con las originales almacenadas por el Antivirus indican la posible existencia de una infección. Cuando los valores de suma de control no coincidan, el Antivirus registrará el evento y notificará al usuario que el archivo puede estar infectado. Página 8 de 10

9 Cómo pueden los Antivirus reparar los daños Si se detecta una infección poco después de producirse, es posible que el archivo infectado no haya sufrido daños. Sin embargo, en algunas ocasiones, los Antivirus puede limpiar un archivo infectado cuando ya ha sido dañado. Por ejemplo, si el Antivirus encuentra el virus de macro Word. Wazzu en un archivo de documento infectado, lo elimina, pero no la palabra «wazzu» que el virus inserta en el documento. En este caso, el Antivirus no puede reparar el daño causado al archivo infectado. Qué Tipos de virus existen Virus de arranque: insertan instrucciones en los sectores de arranque de los disquetes o en los sectores de arranque o de partición de los discos duros. Virus de programa: infectan archivos ejecutables como los que presentan las extensiones.com,.exe y.dll. Virus de macro: infectan archivos de documentos, como los archivos.doc de Microsoft Word, cambiando la forma de actuación de las macros. 3. CONTROL INTERNO EN AMBIENTES INFORMÁTICOS y PLAN DE CONTINGENCIAS El Control Interno en un ambiente informático comprende los Procedimientos para salvaguardar los Activos, garantizar la exactitud y confiabilidad de Información Gerencial y registros financieros. Busca la eficiencia administrativa y adhesión a los estándares de la gerencia. Comprende: Adecuada Segregación de Funciones: Entre Análisis, Operación y Programación Procesamiento de datos autorizados: Solo los autorizados Control al acceso a los datos: Calidad y Confiabilidad Control sobre cambios a programas: Tiene una consecuencia directa sobre la vulnerabilidad de los sistemas, se evita con registros de cambios Acceso general al sistema: Desde claves lógicas como hasta restricciones de accesos físicos y de horarios. Res Gral 317 del CPCE de Salta Manual de auditoría cap. 21. Leer este capítulo del Manual de Auditoría. PLAN DE CONTINGENCIAS El Plan de Contingencias en un ambiente informático comprende los pasos a seguir cuando un sistema entra en una situación de contingencia para recuperar ( al menos en parte) su capacidad funcional. Es el ultimo recurso cuando se producen fallas en la Seguridad Física, Técnica o Administrativa. La existencia de un Plan de Contingencias y Seguridad permite: Apoyarse en medios técnicos y administrativos para la prevención de los siniestros, aumentando la confiabilidad y continuidad de los procesos computadorizados La recuperación total o parcial del servicio en el menor tiempo posible, mediante una detallada definición documentada de las acciones a tomar y los recursos necesarios durante y después de un siniestro Página 9 de 10

10 El proceso de elaboración de un plan de contingencias implica un análisis de la explotación de los recursos y su grado de vulnerabilidad. Este análisis permite detectar con facilidad aquello aspectos a modificar que con carácter preventivo den a la organización oportunidades frente a las contingencias. El Plan de Contingencias debe abarcar: La identificación de responsables de la implementación y seguimiento del Plan de Contingencias La identificación de los responsables en caso de producirse un siniestro o un desperfecto Las actividades y procedimientos a seguir ante cada contingencia probable hasta restablecer el servicio del normal procesamiento de la información Las etapas para desarrollar, implementar y mantener un Plan de Contingencias son: Relevamiento del: equipamiento, sistemas que se procesan, recursos que se utilizan, normas de seguridad existentes, siniestros probables, grado de criticidad de los procesos y períodos máximos con que se cuentan para el restablecimiento. Definición de: las alternativas ante cada siniestro, acciones a seguir y sus responsables Desarrollo del Plan definido. Implementación que comprende: el entrenamiento del personal responsable y usuario y pruebas del correcto funcionamiento del Plan desarrollado Seguimiento y mantenimiento del plan con las revisiones y simulacros previstos Página 10 de 10