UNIVERSIDAD YACAMBÚ

UNIVERSIDAD YACAMBÚ

VICERRECTORADO DE ESTUDIOS A DISTANCIA

ESPECIALIZACIÓN EN GERENCIA

Mención Organización

ASIGNATURA: SISTEMAS DE INFORMACIÓN GERENCIAL
TRABAJO 3: SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN WEB
Autor: Ing. Melanis Domínguez

Introducción.

En este mundo moderno el recurso más preciado de una empresa sin importar su tamaño es la información. La información es esta la que dota de facilidad para mover a las empresas y hacerlas más productivas y para contar con una información veraz, precisa y en el momento oportuno, lo anterior hace imposible prescindir de los avances tecnológicos.

Actualmente el tema de la seguridad es factor importante para el desarrollo y despliegue de aplicaciones, redes y plataformas tecnológicas. El auge de la automatización de procesos organizacionales, empresariales y de gestión pública en conjunto con el uso de la Internet como medio para la realización expedita de transacciones de distintos tipos tales como de compra/venta, hospitalarias/medicas, bancarias, financieras, gubernamentales, personales, entre otras; hace imprescindible la incorporación de elementos de seguridad eficientes para la correcta operación y ejecución de los procesos automatizados.

¿Qué es la Seguridad?

La seguridad cualquier sistema (informático o no) es aquello que indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo.

Para que un sistema se pueda definir como seguro debemos de distinguir cuatro características: (a) Integridad, la información no puede ser modificada por quien no está autorizado; (b) Confidencialidad, la información solo debe ser legible para los autorizados; (c) Disponibilidad, debe estar disponible cuando se necesita (d) Irrefutabilidad, (No-Rechazo o No Repudio), que no se pueda negar la autoría.

Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.

En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea robada.

Términos relacionados con la seguridad informática:

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: consecuencia de la materialización de una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.

La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.

Las empresas y negocios deben dejar de ver a la seguridad como una herramienta o producto más de la tecnología e integrarla a los procesos del negocio, tratarla como un habilitador de sus funciones y servicios. Vale la pena implementar una política de seguridad si los recursos y la información que la organización tiene en sus redes merecen protegerse.

La mayoría de las organizaciones tienen en sus redes información delicada y secretos importantes; esto debe protegerse del acceso indebido del mismo modo que otros bienes valiosos como la propiedad corporativa y los edificios de oficinas.

Definición de Políticas de Seguridad Informática.

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Elementos de una Política de Seguridad Informática

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Los planes de seguridad deben asegurar:

1.- La integridad y exactitud de los datos.

2.- Identificar la información confidencial, de uso exclusivo y la delicada.

3.- Proteger y asegurar los activos de desastres provocados por la mano del hombre y de actos abiertamente hostiles.

4.- Asegurar la capacidad de la organización para sobrevivir accidentes.

5- Proteger a los empleados contra tentaciones o sospechas innecesarias.

6- Proteger a la Administración contra cargos de imprudencia

La seguridad debe ser el principal punto a tratar cuando una organización desea conectar su red privada al Internet. Sin tomar en cuenta el tipo de negocios, se ha incrementado el numero de usuarios de redes privadas por la demanda del acceso a los servicios de Internet tal es el caso del World Wide Web (WWW), Internet Mail (e-mail), Telnet, y File Transfer Protocol (FTP). Adicionalmente los corporativos buscan las ventajas que ofrecen las paginas en la WWW y los servidores FTP de acceso público en el Internet.

La política de seguridad crea un perímetro de defensa, esto es importante, para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de encriptación de datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad.

Los administradores de red tienen que incrementar todo lo concerniente a la seguridad de sus sistemas, debido a que se expone la organización privada de sus datos así como la infraestructura de sus redes a los Expertos de Internet (Internet Crakers). Para superar estos temores y proveer el nivel de protección requerida, la organización necesita seguir una política de seguridad para prevenir el acceso no-autorizado de usuarios a los recursos propios de la red privada, y protegerse contra la exportación privada de información. Sí la organización es grande, es muy probable que los sitios tengan diferente administración de red, con metas y objetivos diferentes. Si esos sitios no están conectados a través de una red interna, cada uno de ellos puede tener sus propias políticas de seguridad de red. Sin embargo, si los sitios están conectados mediante una red interna, la política de red debe abarcar todos los objetivos de los sitios interconectados. La política de seguridad del sitio debe tomar en cuenta la protección de estos recursos. Debido a que el sitio está conectado a otras redes, la política de seguridad del sitio debe considerar las necesidades y requerimientos de seguridad de todas las redes interconectadas.

Establecer una política de seguridad eficaz requiere considerable esfuerzo. Se necesita cierto esfuerzo para considerar todos los aspectos y cierta disposición para establecer las políticas en papel y hacer lo necesario para que los usuarios de la red la entiendan adecuadamente. Además de realizar el análisis de riesgo de los recursos de la red, se debe identificar otros puntos vulnerables. Los siguientes puntos son algunas de las tareas más problemáticas. Esta lista lo puede orientar en la dirección correcta, pero de ningún modo esta completa, ya que es cada sitio tiene algunos puntos vulnerables particulares: (a) Puntos de acceso, (b) Sistemas configurados inadecuadamente, (c) Problemas de software, (d) Amenazas internas y (e) Seguridad física.

Auditoria de Sistemas informáticos

En materia de auditoria, los desarrollos tecnológicos relevantes siempre han girado alrededor del conocimiento contable o financiero únicamente. Sin embargo, los avances modernos de las áreas económicas, administrativas y contables han puesto en evidencia que no solo la contabilidad es objeto de auditoría. También son susceptibles de ser auditados los impuestos, los procesos operativos, la informática, la acción social de las organizaciones, el tratamiento del medio ambiente y los proyectos académicos, económicos y sociales, entre otros.

El Auditor de Sistemas actúa sobre el área de sistemas de información, normalmente representada por los siguientes componentes: (a) Desarrollo de sistemas de información (b)Asesoría técnica a usuarios (c) Servicio de procesamiento electrónico de datos (d) Apoyo técnico (e) Conocimientos de Hardware y Software (f) Desarrollo de Sistemas de Información (g) Base de datos (h) Redes (i) Manejo de personal.

La auditoria de sistemas desarrollados para la web

En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, los cuales no puede pasar por alto el auditor informático:

Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.
Evaluación de vulnerabilidades y la arquitectura de seguridad implementada.
Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.

Consideraciones para la Auditoria de la Seguridad

A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor detalle.

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:

tiempo de máquina para uso ajeno
copia de programas de la organización para fines de comercialización (copia pirata)
acceso directo o telefónico a bases de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

nivel de seguridad de acceso
empleo de las claves de acceso
evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

la información este en manos de algunas personas
la alta dependencia en caso de perdida de datos

Control de Programación

Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

los programas no contengan bombas lógicas
los programas deben contar con fuentes y sus ultimas actualizaciones
los programas deben contar con documentación técnica, operativa y de emergencia

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

la dependencia del sistema a nivel operativo y técnico
evaluación del grado de capacitación operativa y técnica
contemplar la cantidad de personas con acceso operativo y administrativo
conocer la capacitación del personal en situaciones de emergencia

Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.

También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:

malos manejos de administración
malos manejos por negligencia
malos manejos por ataques deliberados

Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

la continuidad del flujo eléctrico
efectos del flujo eléctrico sobre el software y hardware
evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones

Fuentes de Vulnerabilidades en el Software

1. Cambios en el ambiente de ejecución

Los parches, los cambios en la configuración y variables de entorno alrededor de las aplicaciones son elementos críticos para mantener una ejecución adecuada y controlada de las rutinas y acciones previstas en el software. Al descuidar este aspecto, es probable involucrar efectos de borde o condiciones de excepción no previstas que comprometan no solamente un módulo de la aplicación sino el sistema de información mismo.

2. Desbordamientos y chequeos de sintaxis

Dos elementos importantes en la revisión y evaluación de software. Por un lado la evaluación de los desbordamientos bien sea de memoria o de variables específicas dentro de un programa y por otro lado, la verificación de buen uso de los comandos o palabras reservadas en el lenguaje de programación, que permitan al programador un uso adecuado y eficiente de las estructuras. Si este aspecto no se considera con el rigor necesario, se estará comprometiendo la integridad del ambiente de ejecución de la aplicación.

3. Convenientes pero peligrosas características del diseño del software

Esta fuente de vulnerabilidad nos presenta funcionalidades que son deseables en el software para aumentar la versatilidad de uso de las aplicaciones. Entre estas tenemos herramientas de depuración o debugging, conexiones remotas en puertos especiales, entre otras, las cuales ofrecen importante elementos a los programadores y usuarios, pero que generalmente abren posibilidades de ingresos no autorizados que comprometen la integridad de sistemas y socavan la confianza del usuario frente a la aplicación

4. Invocaciones no controladas

En este aparte hacemos referencia a un inadecuado manejo de errores o excepciones en las aplicaciones o exceso de privilegios de ejecución, los cuales se manifiestan en comportamientos inesperados del software que generalmente ofrecen mayores privilegios o accesos adicionales a la información del sistema. En este sentido, el control adecuado de interrupciones, mensajes de error y entorno de ejecución de los programas se vuelve crítico al ser éstos elementos los que definen la interacción del software con el usuario final y su relación con el entorno de ejecución.

5. Bypass a bajo nivel

Las implicaciones de esta fuente de vulnerabilidades hace referencia al aseguramiento que la aplicación debe tener al ser invocada o ejecutada en un ambiente computacional seguro. El programador debe fortalecer y asegurar una manera autorizada de ingreso a la aplicación por parte del usuario, estableciendo mecanismos de monitoreo y control que velen porque esto se cumpla. El sobrepasar un control de acceso a un objeto, bien sea a través de permisos deficientemente otorgados, artificios que interrumpan la normal ejecución (contraseñas de BIOS) o por la manipulación de la memoria de ejecución de la aplicación constituye un atentado directo contra la confiabilidad e integridad del software.

6. Fallas en la implementación de protocolos

Los elementos de seguridad mencionados en este apartado, hacen referencia a las medidas de seguridad en redes. Si bien, los protocolos utilizados para transmisión y control de datos, presentan múltiples fallas, éstas con frecuencia no son consideradas dentro del proceso de implementación de una aplicación. En este sentido, sabemos que las aplicaciones que se ejecutan sobre TCP/IP tienen inherentes las fallas de éste conjunto de protocolos, por tanto es menester del programador establecer junto con el encargado de la seguridad informática, analizar los posibles requerimientos de seguridad necesarios para que la aplicación funcione sobre un ambiente de red que brinde mayores niveles de seguridad y control de tráfico.

7. Fallas en software de base

Todas las aplicaciones finalmente se ejecutan bajo la supervisión de un software de base o sistema operacional. Generalmente cuando se desarrollan aplicaciones, las condiciones o aseguramiento del software de base, no es condición para la adecuada ejecución de aplicaciones. Nada ganamos con aplicar y efectuar un amplio espectro de pruebas y controles, cuando el ambiente de ejecución o el software base no ha pasado por una valoración y afinamiento necesario para asegurar un ambiente de ejecución estable y seguro. En este punto, se llama la atención tanto a proveedores como a programadores, donde el trabajo conjunto debe ser una constante para incrementar los niveles de seguridad y disminuir las vulnerabilidades frecuentes inherentes al arte y la ciencia de programar.

Etapas para Implantar un Sistema de Seguridad

Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguientes 8 pasos:

Introducir el tema de seguridad en la visión de la empresa.
Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
Capacitar a los gerentes y directivos, contemplando el enfoque global.
Designar y capacitar supervisores de área.
Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
Mejorar las comunicaciones internas.
Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:

Aumento de la productividad.
Aumento de la motivación del personal.
Compromiso con la misión de la compañía.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.

¿Que son los Certificados SSL?

El protocolo de seguridad SSL (Secure Sockets Layer) es la tecnología de seguridad estándar para encriptar los datos entre el computador del usuario y los servidores web. SSL garantiza una transmisión de datos confidenciales y segura entre el navegador y el servidor web, manteniendo cualquier dato a salvo de ser interceptado por terceras personas.

El protocolo SSL permite la autenticación de servidores, la codificación de datos y la integridad de los mensajes.

Con SSL tanto en el cliente como en el servidor, sus comunicaciones en Internet serán transmitidas en formato codificado. De esta manera, puede confiar en que la información que envíe llegará de manera privada y no adulterada al servidor que usted especifique.

Los servidores seguros suministran la autenticación del servidor empleando certificados digitales firmados emitidos por organizaciones llamadas "Autoridades del certificado".

Un certificado digital verifica la conexión entre la clave de un servidor público y la identificación del servidor. Las verificaciones criptográficas, mediante firmas digitales, garantizan que la información dentro del certificado sea de confianza.

Un certificado digital es un archivo electrónico que identifica de modo único a individuos y servidores. Los certificados digitales funcionan como una especie de pasaporte o credencial digital que autentica al servidor antes de establecer la sesión SSL. Por lo general, los certificados digitales están firmados por un tercero independiente y fiable para garantizar su validez. El “firmante” de un certificado se denomina autoridad de certificación (CA), como thawte o verisign.

¿Que es encriptar o encriptación?

Para que nuestros cliente se sientan seguros, debemos dar un concepto común y de manara clara, muy especialmente para el caso de usuarios de poco o ningún conocimiento sobre el tema de seguridad en Internet.

La encriptación es sencillamente el camuflaje de los datos que solo va a ser entendida por el emisor y el receptor de la información.

La información se encripta enviando los datos camuflajeándola con una formula matemática que solo el receptor conoce y decodifica la información para serla entendible y procesable.

Claves publicas y claves privadas.

Al solicitar un certificado, el cliente genera un par de claves en su servidor: una pública y una privada.

Cuando se genera un par de claves para su negocio, su clave privada se instala en su servidor y es de crucial importancia que nadie más tenga acceso a la misma. Su clave privada crea firmas digitales que, de hecho, funcionan como el sello de su empresa en línea. Es esencial mantener esta clave lo más segura posible. Si usted pierde su clave privada, ya no podrá seguir usando su certificado. Por esta razón, es esencial que guarde una copia de seguridad de toda la clave privada.

La clave pública concordante se instala en el servidor de la Web como parte del certificado digital.

Ambas claves, pública y privada, se relacionan matemáticamente, pero no son idénticas. Los clientes que deseen comunicarse con usted en privado (mediante SSL) usan la clave pública de su certificado para codificar la información antes de enviársela. Este proceso es instantáneo y perfecto para el usuario. Sólo la clave privada del servidor web puede decodificar esta información. El cliente sentirá la seguridad de que nada de lo que envíen podrá ser visto por un tercero y ahí está nuestro norte.

Seguridad en el pago con Tarjetas de Crédito.

Al comprar en Internet con tarjeta de crédito, tanto la validación como la realización efectiva del pago se realizan mediante el mismo sistema que en un comercio convencional.

Una vez que el número de tarjeta llega al vendedor, éste lo envía fuera de Internet de la misma forma que al pagar en cualquier tienda 'física'. Por tanto, el punto crítico se produce al remitir el número de tarjeta a través de una red pública y potencialmente insegura como es Internet. Es importante no sólo utilizar tecnología de cifrado, sino también probar la propia identidad y desarrollar relaciones de confianza con socios y clientes. Para poder establecer estas relaciones en línea, es necesaria la autenticación de una tercera parte de confianza, así como recibir un certificado por esa tercera parte. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la base para la integridad de datos y la privacidad imprescindibles para el comercio electrónico. Sin embargo, sin la autenticación, la tecnología de cifrado no es suficiente para proteger a los usuarios de estos servicios electrónicos.

Es necesario utilizar la autenticación junto con el cifrado para proporcionar:

Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.
Confirmación de que la empresa nombrada en el certificado es una entidad legal.
Confirmación de que la persona que solicitó el certificado en nombre de la organización había sido autorizada a hacerlo.

Algunas autoridades de certificación (Certificate Authorities, CA) creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero de hecho, hay una diferencia entre certificados autenticados (“alta seguridad”), que nos dan confianza y seguridad, y los certificados no autenticados (“baja seguridad”), que quebranta la confianza del cliente y vulneran la seguridad en la red.

Referencias consultadas.

1) Pardo Díaz, Jose L., “Información y Gerencia". Publicación Digital, E-Libros.

2) http://www.verisign.com

3) http://www.thawte.com

4) https://secureheaven.com/ssl/secureheaven.com/que-es-ssl.htm

5) http://www.axarnet.es/ssl/ssl.asp

6) http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

7) http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

8) http://html.rincondelvago.com/auditoria-de-sistemas-informaticos.html

9) http://www.virusprot.com/Art42.html

10) http://www.monografias.com/trabajos/maudisist/maudisist.shtml

11) http://www.acis.org.co/fileadmin/Revista_96/cara_y_sello.pdf

12) http://jorgearestrepog.comunidadcoomeva.com/blog/index.php?/archives/4-GUIA-PARA-LA-CLASE-DE-AUDITORIA-DE-SISTEMAS.html

13) http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node9.html

14) http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml

15) http://www.criptored.upm.es/guiateoria/gt_m001a.htm

16) http://www.monografias.com/trabajos12/fichagr/fichagr.shtml