Seguridad


1) Concepto

Las tecnologías relativas a la seguridad de los sistemas de información son el hardware, el software y los procedimientos para proteger los sistemas de información de una organización de ataques internos y externos.

Los medios de comunicación informan periódicamente de casos más o menos espectaculares de sabotajes, desastres, etc... aunque la mayoría permanecen ocultos.

La empresa se enfrenta a riesgos y amenazas como:

  • Errores humanos
  • Fallos equipos
  • Robo
  • Virus
  • Sabotaje
  • Fraude
  • Desastres naturales

Y para hacer frente, disponemos de numerosas tecnologías, como sistemas de cifrado de información, antivirus, cortafuegos... vamos a aprender a utilizar algunos de estos programas.

gLos buenos y los malos son los usuarios no el software


Imagine un software para detectar contraseñas. Normalmente el informático de la empresa puede utilizarlo para detectar contraseñas de sus propios usuarios y avisar a aquellos que han puesto contraseñas fáciles de detectar. Pero también pueden utilizarlo un hacker para acceder a los documentos.

 

¿Los "malos"?

¿Los "buenos"?

 Virus que infectan las aplicaciones  Antivirus
 Sniffers que capturan los datos y contraseñas que circulan por una red  Cortafuegos, que ejercen un control sobre los accesos al sistema
 Programas que que revientan los passwords  Herramientas para cifrar ficheros o mandar correo electrónico seguro
 Caballos de Troya que se instalan en nuestro ordenador y toman el control  Programas que verifican la integridad de un sistema avisando cuando pasa "algo raro"
 Espías que se ocultan en el ordenador e informan a terceros  Programas que analizan los ficheros .log de acceso a un sistema
 Gusanos que saltan de ordenador en ordenador  Detectores de vulnerabilidades que identifican puntos débiles de un sistema

 

2) Contraseñas más seguras

Contraseñas poco seguras


fLa empresa Pentasafe Security Technologies Ltd, realizó una entrevista a unos 15.000 empleados de más de 600 organizaciones en Estados Unidos y Europa. El estudio descubrió que el 25 por ciento de los empleados eligió como contraseña una palabra tan simple como "Banana", a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa.

Otro estudio, de Zonealarm (http://www.zonealarm.com) encontró que el 4% de los usuarios utilizan con contraseña la palabra "password" o una variante suya, el 25% usan un nombre de pila y el 16% usan una variante de su propio nombre .

 

 

jUn password que se me ha olvidado...


En esta práctica vamos a aprender a desproteger (crackear) un documento cuyo password hemos olvidado. Imagine que tiene un importante documento en Word, por ejemplo, la previsión del Balance de su empresa, que desea proteger.

 

j

Para protegerlo puede utilizar las opciones del Word [GUARDAR COMO] [HERRAMIENTAS] [OPCIONES DE SEGURIDAD].

j

Pero, tras un accidente de tráfico, ha perdido parte de la memoria y ha olvidado el password que protegía el documento.

Una simple búsqueda en Google (http://www.google.com) nos permite identificar numerosos programas gratuitos o comerciales que pueden ayudarnos a solucionar este problema.j

 


jEJERCICIO: Utilice alguno de los programas anteriores para averiguar el password del siguiente documento en Word [BalanceSituacionSecreto.doc] y poder leerlo. ¿Cual es la cifra de Activo correspondiente a septiembre?

Spoiler: Highlight to view

 

3) Herramientas para prevenir el fraude interno

En una empresa la mayor fuente de fraude proviene casi siempre de los propios empleados.

  • Trabajadores que realizan miles de horas extras
  • Proveedores a los que les compramos mucho más de lo normal
  • Proveedores ficticios
  • Duplicidad de pagos
  • Conflicto de intereses con familiares o amigos con los que se hacen negocios
  • Ventas no registradas...

Es necesario disponer de procedimientos adecuados de control interno o recurrir a la auditoría para prevenir y detectar el fraude.

El siguiente pantallazo muestra un ejemplo real: un estudiante que por un error en un impreso (copiar y pegar) cobra dos veces una beca. Aquí están los impresos.

g

Al no haber un mínimo sistema de control ni mucho menos de auditoría nadie se da cuenta, como podemos apreciar en el siguiente enail.

 g

En el caso de la auditoría se utilizan programas de auditoría asistida por ordenador, como ACL (http://www.acl.com), Idea(http://www.caseware.com/products/idea) o Picalo (http://www.picalo.org) que es software libre. Estos programas:

  • Buscan facturas duplicadas
  • Tranferencias bancarias electrónicas a empleados
  • Tranferencias con el mismo número de banco y diferente nombre de receptor
  • Tranferencias con diferente número de banco y misma empresa
  • Se cruzan nombres de proveedores contra archivos maestros de personal
  • Empleados duplicados, etc.

Veamos un pantallazo de uno de estos programas de auditoría para detectar fraudes, cruzando las bases de datos de proveedores y de empleados, a ver si coincide el teléfono, cuenta bancaria, domicilio o algún dato sospechoso.

j

gDetenido un empleado de Caprabo por estafar a su empresa 14 millones de euros en tres años El Mundo (http://www.elmundo.es).



Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material plástico han sido detenidos acusados de estafar más de 14 millones de euros a esta firma comercial.

Según ha informado la Jefatura Superior de Policía de Cataluña, durante los últimos tres años, el detenido, J.H.V., aprovechó su acceso al sistema informático de Caprabo desde su puesto de trabajo como administrativo de la sección de charcutería para realizar pedidos de material plástico que nunca llegaron a los almacenes.

J.H.V. actuó en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De Serveis, que facturó el material de embalaje que Caprabo nunca llegó a adquirir. Los pedidos de material de plástico en los últimos tres años tenían un valor de 14 millones de euros, cuando las necesidades de la empresa precisan un gasto anual de unos 180.000 euros.

 

El Gobierno francés constata fallos en el control interno de Société Générale El Periodico(http://www.elperiodico.com[4-Feb-2008]


La ministra francesa de Economía y Finanzas, Christine Lagarde, ha dado cuenta de fallos en el sistema de control interno de Société Générale que no detectaron el presunto fraude sufrido por el banco, y que le ha costado 4.900 millones de euros. Société Générale, aunque ha dicho que no quería comentar el informe, ha destacado que este "no pone en cuestión" el sistema de gestión de los riesgos de mercado, y ha reiterado que ya se han puesto en aplicación o lo serán próximamente las medidas que habrían podido detectar y prevenir el fraude.

 

sunFraude interno. La experiencia de Sun (http://www.sun.com)


En primer lugar, necesita documentar todos sus procesos financieros. En Sun, por ejemplo, un proceso financiero podría ser el proceso de nómina, las compras por pagar, el pago de incentivos o cosas similares. Es necesario que documente todo el proceso e identifique cuáles son los controles esenciales. Un ejemplo de un control esencial en el proceso de compras por pagar podría ser la aprobación de la orden de compras, por parte de todas las personas requeridas, antes de que se distribuya al proveedor.

 

En segundo lugar, tiene que evaluar la estructura, apartándose y mirando el proceso y los controles y viendo si está cubierto. Luego, la parte que realmente consume tiempo es la prueba del proceso. Por ejemplo, tendrá que evaluar el número adecuado de firmas en su orden de compras. Para hacer esto, deberá obtener una muestra de un determinado número de órdenes de compra, asegurándose de que cada una de ellas cuente con el número correcto de firmas; básicamente, que evalúe las transacciones.

Y si no pasa la prueba, entonces necesita corregir su control y volver a probarlo. Además, no olvide que sus auditores independientes se presentarán y también realizarán sus propias pruebas.
El proceso es como sigue:

1. Documentar
2. Evaluar la estructura
3. Probar
4. Corregir
5. Volver a probar
6. Obtener el visto bueno del auditor interno

 

fUn portátil es robado cada 53 segundos en Estados Unidos. Cinco Dias [noticia robo datos contables en un portátil)



La liturgia que rodea la presentación de resultados de una compañía cotizada se ha visto alterada este mes de agosto en las oficinas del operador de telecomunicaciones Belgacom. La empresa tenía previsto desvelar sus cuentas del primer semestre el pasado día 25 para que analistas e inversores tomaran buena nota de la evolución de sus negocios. Sin embargo, uno de sus directivos sufrió días antes el robo de su portátil con la información económica en el disco duro. Eso trastocó los planes. La operadora tuvo que adelantar la presentación al día 21 para que nadie pudiera beneficiarse -por ejemplo, comprando acciones- de una información confidencial. Y es que un PC extraviado es como un libro abierto en plena calle, lo puede leer casi cualquiera.

El de Belgacom no es un caso aislado. En junio salió a la luz la pérdida de un portátil, propiedad de la auditora Ernst & Young, en el que se encontraba buena parte de la base de clientes del portal Hotels.com. Uno de los auditores dejó la máquina en el coche y no la ha vuelto a ver desde entonces, junto a miles de datos -incluidos números de tarjetas de crédito- de 240.000 usuarios del portal de reserva de hoteles. Time Warner, Fidelity Investments o el propio gobierno estadounidense también tienen sus experiencias relacionadas con ordenadores en paradero desconocido.

 

hCifrar un documento que queremos proteger, por ejemplo, el Balance de la empresa


En este ejercicio vamos a aprender a proteger el documento Balance.xls de nuestra empresa, de tal forma que cada vez que queramos abrirlo nos pida un password que sólo nosotros conozcamos.

h<>

Previamente vamos a instalar un programa para cifrar nuestros ficheros.

1) Instalar el programa Cryptext

hAunque hay muchos programas que sirven para encriptar los documentos el Cryptext de Nick Payne es muy sencillo de usar y además gratis.

  • Cryptext es un programa que permite cifrar ficheros.
  • Su instalación es muy sencilla, funciona en Windows.
  • Hay una versión en Español
  • Utiliza una combinacion de los algoritmos SHA-1 y RC4 para encriptar los ficheros, con 160-bit
  • Con 160-bit mera combinatoria, si el password es suficientemente complejo, se necesitarían todos los ordenadores del mundo durante miles de años para descifrarla, aunque si uno pone como password una palabra tomada de un diccionario, con un par de horas sobraría.

 

Si no tiene instalado el programa Cryptext puede descargarlo de nuestro servidor: [Pinche aquí para bajar el Cryptestp 3.40].

h

Aceptamos y ya está listo para cifra y descrifrar.

h

 

2) Cifrar

Vamos a cifrar uno de los ficheros de la figura inferior, concretamente el balance.xls

h

1) Para cifrar simplemente situamos el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de encriptar el fichero.

h

 2) Introducimos la contraseña.

h

 3) El fichero cambia su icono por uno con una llave amarilla.

h

 


3) Descifrar

1) Para descifrar simplemente situamos el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de desencriptar el fichero.

<>

h

 2) Introducimos la contraseña.

h

 3) El fichero cambia el icono de la llave amarilla por su icono normal.

h

 

4) Recuperación tras el desastre

Recuperación tras el desastre o DRP (Disaster Recovery Planning). Podemos decir con ironía que todas las empresas están perfectamente preparadas para afrontar con éxito un desastre en los sistemas de información… la segunda vez que lo sufren . Disponer de un buen plan para continuar el negocio si se pierden los datos por desastres naturales, inundaciones, virus, etc. La realización de copias de seguridad es fundamental. Tenemos dos tipos de medidas de seguridad.

 

Como en los coches


Medidas de seguridad activa son aquellas cuyo objetivo es anular o reducir los riesgos existentes o sus consecuencias para el sistema. Las medidas de seguridad pasiva están destinadas a estar preparado si llega a producirse el desastre.

 

En un símil automovilístico, que el coche disponga de unos buenos frenos, -por ejemplo, con ABS- es una medida de seguridad activa. Pero si ocurre un accidente, llevar puesto el cinturón de seguridad o airbag es una medida de seguridad pasiva. Disponer de un buen plan de recuperación de desastre ante posibles eventualidades, hace un negocio más seguro.

 

 

El 66,8% de las empresas que tienen acceso a Internet realizan copias de seguridad... ¿y el resto? Fuente: INE.

 

Tres conceptos clave:

  • "Back-up": hacer copias de los archivos periódicamente.
  • "Archiving": copiar los archivos para almacenar por un largo período de tiempo, sea por cuestiones legales como la contabilidad o por motivo de espacio.
  • "Disaster recovery": recuperar desde una situación en la que el sistema está fuera de servicio. Se requiere entonces el back-up guardado a partir del cual puede recuperarse el sistema.

 

El problema de seguir un sistema simple para hacer las copias

Hay muchas empresas que siguen un esquema sencillo para sus copias. Por ejemplo hace una copia de seguridad periódicamente en un pen drive o en un Cd Rom. Pero si surge un virus que machaca los datos o un fichero se corrompe, los datos en buen estado podrían ser sobreescritos con datos dañados antes de haberse manifestado el problema. Es decir, tanto los datos originales como los de la copia de seguridad pueden estar mal. Por eso es necesario seguir sistemas de rotación. Por ejemplo se disponen de varios dispositivos (pueden ser 6 cintas si es una empresa o 6 pendrives o servidores remotos) y se realiza una copia incremental cada día, y una copia completa en la cinta adecuada de cada viernes. Est sistema debe estar automatizado, porque "el mayor enemigo de las copias de seguridad es la pereza".

 

jCopias de seguridad


En este ejercicio vamos a aprender a hacer copias de seguridad. Crearemos una carpeta con varios ficheros de texto en el escritorio y haremos una planificación de forma que realicen automáticamente las copias de seguridad vía FTP. Concretamente vamos a programar una copia completa una vez por semana y una copia incremental todos los días.

Previamente tendremos que instalar un programa que permita hacer dichas copias de seguridad. Aunque hay muchos programas que sirven para este menester, hemos elegido Cobian BackUp.

jCaracterísticas de Cobian BackUp

  • Puede respaldar los archivos en el momento, diaria, semanal, mensual o anualmente, o en un tiempo especificado
  • Puede elegirse entre comprimir los archivos o no.
  • Soporta la copia incremental y diferencial.
  • Se puede guardar y abrir listas con diferentes configuraciones de backups.
  • Es gratuito

1) Instalar el programa

Si no tiene instalado el programa Cobian puede descargarlo de nuestro servidor: [Pinche aquí para bajar el Cobian versión 8] o de la página web del programa, que es (http://www.cobian.se).

Cuando se instala pide elegir como aplicación o como servicio. Un servicio es una utilidad de Windows que se ejecuta incluso aunque ningún usuario haya entrado al sistema.

  • En esta práctica vamos a instalarlo como Aplicación.
  • Hacemos click en Listo

2) Una copia completa

A continuación vamos a hacer una copia de seguridad de una carpeta que crearemos en nuestro escritorio.

  • Creamos una carpeta en el escritorio, llamada Misapellidos.
  • Guardamos dentro un fichero de texto, que podemos hacer con el block de notas. Escribimos en el fichero un línea y le llamamos Balance.txt
  • A continuación en el menú [Tarea] -> [Adicionar Tarea].

Aparece la siguiente pantalla, en la que se ofrecen varias posibilidades.

j
  • Optaremos por el Tipo de respaldo -> Completo.
  • Como nombre de la tarea podemos poner: Copia en Ciberconta

En el menú de la izquierda tenemos varias posibilidades: Genérico, Ficheros, Horario, Archivo, Especial, Eventos, Avanzado. Vamos a repasarlas.

  • En Ficheros tenemos que decir cual es la carpeta que queremos que copie y el destino.
  • Para ello en Fuente hacemos click en Adicionar. Allí seleccionamos la opción Directorio. Buscamos en el escritorio la carpeta MisApellidos.
  • Y en Destino hacemos click en Adicionar. Allí seleccionamos la opción Lugar FTP, siendo:
    • Dirección: ciberconta.unizar.es
    • Nombre de usuario: sic
    • Contraseña [pedir al profesor]

j
  • Podemos ejecutar ya la tarea y que haga la copia de seguridad. Para ello en la parte de la izquierda seleccionamos Copia en Ciberconta y pulsamos en la flecha azul.

j
  • Nos pregunta si respaldamos las tareas. Decimos que sí y si todo ha ido bien aparecerá la siguiente pantalla:

j

j
  • Otra opción interesante del menú de la izquierda es Horario. Allí se puede planificar que las copias se hagan diariamente, semanalmente o en una fecha determinada. Por ejemplo, en la pantalla vemos que podemos decrile que haga dicha copia completa los domingos.

j
  • Otras opciones son Archivo, donde podemos solicitar que se compriman los ficheros, por ejemplo en formato zip. En Especial podemos solicitar que se copien solo unos determinados ficheros o que se excluyan otros. En Eventos se pueden ejecutar diversas tareas antes o después de realizar la copia. El programa tiene muchas más opciones y posibilidades, como enviar un correo electrónico cada vez que se hace la copia.

3) Plantear una copia incremental o diferencial.<>

En este apartado vamos a abordar la posibilidad de realizar copias de seguridad incrementales o diferenciales, lo que es necesario para establecer una "política de copias de seguridad".

En nuestro caso vamos a plantear una copia incremental. Este tipo de respaldo solo copia los ficheros que se han modificado desde la última copia. Es decir, en vez de hacer una copia completa de todos los ficheros, que es lento y consume recursos de red, solo copiará los ficheros nuevos o los ficheros que se han modificado. Cabe señalar que el respaldo diferencial cuenta a partir del ultimo respaldo completo, mientras que el respaldo incremental cuenta a partir del ultimo respaldo realizado, sea completo, diferencial o incremental.

  • Guardamos dentro de la carpeta llamada Misapellidos un nuevo fichero de texto, que podemos hacer con el block de notas. Escribimos en el fichero un línea y le llamamosDocumento_Nuevo.txt
  • A continuación en el menú [Tarea] -> [Adicionar Tarea].

Aparece la siguiente pantalla, en la que se ofrecen varias posibilidades.

j
  • Como nombre de la tarea podemos poner: Incremental diaria
  • Seleccionamos Tipo de respaldo -> Incremental. Procedemos igual que en la copia anterior. Es decir:
  • En Ficheros tenemos que decir cual es la carpeta que queremos que copie y el destino.
  • Para ello en Fuente hacemos click en Adicionar. Allí seleccionamos la opción Directorio. Buscamos en el escritorio la carpeta MisApellidos.
  • Y en Destino hacemos click en Adicionar. Allí seleccionamos la opción Lugar FTP, siendo:
    • Dirección: ciberconta.unizar.es
    • Nombre de usuario: sic
  • Contraseña [pedir al profesor]
  • Podemos ejecutar ya la tarea y que haga la copia de seguridad. Para ello en la parte de la izquierda seleccionamos Incremental diaria y pulsamos en la flecha azul.

j
  • Nos pregunta si respaldamos las tareas. Decimos que sí.
  • Accederemos vía FTP a Ciberconta y comprobaremos si se ha hecho la copia de seguridad incremental: (ftp://ciberconta.unizar.es). En la figura vemos que ha hecho la copia de seguridad.

j
  • Y al pulsar en dicha carpeta, comprobamos que solo está el fichero que ha cambiado, es decir el Documento_nuevo.txt

j
  • Vamos a hacer ahora dos cosas: a) modificar el fichero Contabilidad.txt, en el que vamos a escribir cualquier cosa; y b) crear otro fichero nuevo llamado El_ultimo.txt. Si seleccionamos la incremental diaria y pulsamos en la flecha azul ¿Qué ficheros copiará? Los que se hayan modificado desde la última copia.

j
j
  • Una vez que hemos comprobado el funcionamiento de la copia incremental, en la opción Horario, procederemos a indicar que queremos que realice dichas copias de lunes a sábado, a las 20h. Por tanto hacemos click en Tipo de Horario semanal y seleccionamos dichos días y hora.

j


 

Otra opción muy interesante es usar Dropbox (http://www.dropbox.com), un disco duro virtual que permite sincronizar tus ficheros en la la nube, con lo que además sirve de sistema para copias de seguridad, o de forma específica para realizar copias de seguridad Mozy (http://mozy.ie).

 

Una empleada borra archivos por valor de 2,5 millones… El Economista (http://www.eleconomista.es)


Una mujer de Florida ha borrado intencionadamente archivos por valor de 2,5 millones de dólares de su compañía. La historia comenzó cuando Marie Cooley, que trabajaba para Steven E. Hutchins Architecs, vio un anunció en un periódico en el que se buscaba un trabajador para un puesto muy similar al suyo, según publica First Coast News y recoge The Wall Street Journal. Cabreada por lo que suponía que iba a ser su inminente reemplazo, decidió vengarse. Se coló el domingo por la noche y borró siete años de planos del servidor de la compañía. Sin embargo, la policía no tardó en encontrarla: usó su propia contraseña para borrar los archivos. La empresa logró finalmente recuperar algunos de los archivos, pero para ello necesitó contratar a una consultora tecnológica muy cara. La verdad es que la empresa podría haber hecho copias de seguridad y se habría ahorrado bastante. Además, el anuncio no era para el puesto que ocupaba la señora Cooley…

Software para recuperar ficheros borrados, TestDisk (http://www.cgsecurity.org/wiki/TestDisk_ES)

 


5) Privacidad

Hoy en día más y más información personal esta siendo recogida y convertida en formato digital. Pero esta información debe protegerse de los abusos que son bien conocidos, desde el spam a las cookies.

¿Qué huellas dejamos?

 

Navegar sin dejar rastro


Gracias a sitios como Anonymouse(http://anonymouse.org/anonwww.html) podemos navegar sin dejar rastro. Así mantenemos la privacidad de nuestra dirección IP y de otras amenazas de las páginas que visitamos. Simplemente se accede a dicha página y se introduce la dirección que queremos visitar sin dejar rastro.

 

Ejercicio: Acceda a la página de Ciberconta.unizar.es de forma anónima. Es equivalente a escribir el siguiente URL: (http://anonymouse.org/cgi-bin/anon-www.cgi/http://ciberconta.unizar.es). N del A: Efectivamente he comprobado en el registro de visitas que el acceso se ha contabilizado en un IP diferente a aquel desde donde he navegado.

 



6) Autentificacion

Verificar tanto la identidad del usuario como le integridad el mensaje transmitido. ¿Eres quien dices ser? Incluso en un programa de correo electrónico es sencillo suplantar la personalidad de otra persona simplemente cambiando la configuración.

Muchas tecnologías pretender resolver esta cuestión: desde el uso de passwords, reconocimiento de voz, dispositivos biométricos o entidades de certificación, que permiten la verificación de identidad de una persona o entidad que quiere utilizar la firma electrónica, o la autentificación de servidores de comercio electrónico. En España se ha puesto en marcha el proyecto de DNI Digital que es pionero.

 

Puede realizar una práctica de suplantar la personalidad de un famoso, y enviar un correo en su nombre, con el programa Mailit

 

Ficha Técnica
Título: Seguridad
Autor:
Idioma: es
Publicado:
Modificado: 7 Enero 2012
Resumen: Algunos aspectos de seguridad informática
Palabras clave: copias de seguridad, password, recuperación tras el desastre,
Licencia: Creative Commons (Reconocimiento 3.0 Genérica)

Formatos: [Versión para imprimir] [Versión en PDF]
Foto de Carlos Serrano-Cinca
es Profesor en la Universidad de Zaragoza. Su web personal:
Citar como: Carlos Serrano-Cinca (2012) :"Curso Online sobre Gestión Electrónica de Empresas" http://ciberconta.unizar.es/ecofin/drupal1/seguridad [Fecha de consulta: 7 Enero 2012]

La clase continua en Facebook: