Riesgos y seguridad
I Posibles riesgos

Robo de la información o equipos

1) Consecuencias

Si se roba información pero no se destruye, las consecuencias son económicas o sobre la intimidad de las personas.

Como objetivo de Auditoría se plantea: revisar los procedimientos apropiados de seguridad y los dispositivos de cierre para evitar el acceso no autorizado, determinar si las puertas y ventanas están construidas de modo adecuado e identificar la cantidad mínima necesaria de puertas y ventanas.

Ejemplo de cuestionario de Auditoría


1. El centro de computación es un objetivo poco probable para delincuentes?
2. Hay guardias de vigilancia en todas las entradas al centro de computación?
3. Se exige una constancia de identificación para entrar al centro de computación (ejemplo: un sistema de carnet con fotografía)?
4. El acceso al centro de computación está restringido solamente a las personas autorizadas por ser su lugar de trabajo?
5. La limitación de acceso al centro de computación es suficiente durante las 24 horas cada día?

6. Se usan llaves, cerraduras de código, lectores de carnet, u otros dispositivos de seguridad para controlar el acceso?

7. El personal está adiestrado para retar a los visitantes que no estén debidamente identificados?
8. Hay suficientes controles para los visitantes del centro de computación?
9. Se desestimula la divulgación de la ubicación del centro de computación?

10. Es necesaria cada una de las entradas al centro de computación?


11. Las puertas del centro de computación que son necesarias para ventilación e iluminación, están protegidas por alguna reja o malla cuando están abiertas?

12. Las puertas de las salidas de emergencia están protegidas con alarmas de salida?

13. Las puertas las cerraduras, los pasadores de cierre, las bisagras, los marcos y otros mecanismos del edificio, están construidos de tal modo que se disminuya la probabilidad de ingresos no autorizados?

14. Si el acceso al centro de computación se controla eléctrica o electrónicamente, hay baterías cerca y disponibles para casos de interrupciones del sistema de energía primario?
15. Hay adecuados controles sobre la remoción de materiales del área de procesamiento de datos? Los reportes sensitivos se desmenuzan (Hacen trizas)?
16. El sistema hace uso de:

  • ¿Guardias?
  • ¿Tarjetas?
  • ¿Circuito cerrado de televisión?
  • ¿Puntos de entrada limitados?
  • ¿Monitoreo central?
  • ¿Dispositivos de detección?
  • ¿Alarmas?
  • ¿Sistema de intercomunicación?
  • ¿Puertas tramman (entrada de doble puerta)?
  • ¿Puertas de salida únicamente en emergencia de incendio?

17. Las terminales están localizadas en áreas seguras para prevenir el acceso a las mismas por usuarios no autorizados?
18. Las terminales incluyen dispositivos de cierre (locking) para prevenir uso no autorizado?
19. Todas las conexiones de modems y líneas de comunicación están aseguradas para prevenir que sean interceptadas?
20. Se utilizan líneas arrendadas para la comunicación de datos sensitivos?
21. Se utilizan dispositivos automáticos de descripción (criptoboxes) para proteger la transmisión de datos sensitivos?
22. Las claves del dispositivo de encripción se cambian con frecuencia?
23. La alta dirección apoya el sistema de seguridad?
24. Se utilizan auditores internos y oficiales de seguridad?
25. La identificación de las personas se efectúa por:

  • ¿Alguna cosa que el usuario tiene?
  • ¿Alguna cosa que el usuario conoce?
  • ¿Características de los usuarios?
  • ¿Identificación de la terminal?
  • ¿Por localización de las terminales?
  • ¿Mediante nombre y función de programas individuales?
  • ¿De los archivos hacia abajo, hasta el nivel de campo?

26. Los accesos a los archivos de datos y programas de aplicación están restringidos por uno o todos los siguientes métodos:

  • ¿Clasificación de archivos (e.g.Top Secret, confidencial, etc.)?
  • ¿Leer únicamente, escribir únicamente, adicionar, copiar, etc.?
  • ¿Categoría o usuario?

27. A todos los empleados o visitantes al centro de computador o a otras áreas sensitivas se les exige identificación positiva en forma de escarapelas (badges) o carnets con la foto del individuo, nombre, posición y departamento?
28. Están previstos procedimientos para controlar la emisión y recuperación de escarapelas y carnets?
29. Las existencias de escarapelas o carnets sin utilizar se verifican periódicamente?
30. Está establecido un límite para permitir repetición de intentos no válidos para accesar el sistema desde las terminales (generalmente de uno a tres)?
31. El sistema de seguridad incluye características de autenticación de personas y terminales tales como call-back (e.g. una terminal es desconectada y discada para ver si la terminal apropiada responde)?
32. Los passwords se cambian frecuentemente?
33. Los passwords son cuidadosamente manejados por sus propietarios y el archivo de estos está adecuadamente protegido contra acceso no autorizado?
34. Los terminales están equipados con generadores de identificación automáticos?
35. Las llaves de las cerraduras de las terminales se conservan adecuadamente protegidas?
36. Se mantiene un log de todos los intentos infructuosos para entrar al sistema de computador (e. g. vía terminales)?
37. Todos los intentos de violaciones de acceso son inmediatamente reportados y seguidos de una acción correctiva?
38. Todas las intervenciones de operación del computador son registradas en el log y aclaradas?


2) Medidas de seguridad activa

Como medidas de seguridad activa podemos destacar la autentificación de usuarios, mediante uso de claves u otras más sofisticadas como huella dactilar. Es importante la elección correcta de las palabras clave. Que cada usuario pueda acceder solo a la información que utiliza. Que el sistema operativo avise al administrador cuando se produzcan determinadas anomalías. Utilizar programas que bloquean el acceso al terminal cuando el usuario está ausente. Utilizar canales de transmisión de información seguros o cifrado de datos.

Para evitar el robo a los equipos, se puede restringir el acceso físico a los equipos o utilizar cadenas.

La seguridad informática y el robo de la información en Internet es un aspecto fundamental cuando una empresa opta por abrir sus ordenadores al exterior. Lógicamente a la empresa le interesa que el público acceda solo a unos equipos o a unos datos, pero no al resto.

Los intrusos -empleados, antiguos empleados, clientes, competidores, hackers- disponen de muchas herramientas para violar los sistemas de seguridad, como, por ejemplo, Crack -para averiguar contraseñas- SATAN siglas de Security Administrator's Tool for Analyzing Networks -diseñada en origen para ayudar a los administradores a detectar los puntos débiles, pero al final usada más por los hackers.

La empresa puede instalar cortafuegos, que dividen a la red en zonas a las que se puede acceder y a las que no.

Firewall: los cortafuegos de los sistemas de información


Sabemos que un cortafuegos es un sendero que se deja en los montes para que no se propaguen los incendios. En seguridad informática la misión de los cortafuegos, que son tanto hardware como software es proteger la red interna de visitantes indeseados actuando como una barricada.

¿Cómo funciona? Pensemos en una montaña en la que entran y salen coches por distintos túneles. Podríamos poner controles que limitaran el tráfico, por ejemplo todos los camiones por un tunel determinado u otras. De forma parecida un ordenador sería como una caja por la que entra y sale información por determinados "puertos", información que puede ser un correo electrónico, una página web, etc.

El cortafuegos funciona con reglas o filtros que establece el administrador de seguridad de la empresa o incluso un usuario con su ordenador personal. Por poner un ejemplo sencillo, una regla podría ser que no dejara entrar correo electrónico con documentos atacheados o que todos los documentos atacheados pasaran por un antivirus o que por un determinado puerto no puedan entrar datos, sólo salir.

Más información en Canalsw (http://www.canalsw.com/especiales/firewall/1.asp?ic=4)

Un ejemplo de cortafuegos con versión gratuita es ZoneAlarm (http://www.zonealarm.com), Outpost (http://www.agnitum.com/products/outpost) y Tiny Personal Firewall (http://www.tinysoftware.com).

ZoneAlarm: un firewall gratuito


ZoneAlarm (http://www.zonelabs.com) tiene una versión simplificada de su firewall que es gratuita para usuarios particulares. Proporciona defensa contra gusanos, caballos de Troya y software espía.

Recomendamos el documento: Aprenda a instalar ZoneAlarm, por David Raikow (http://zdnet.terra.com.hn/sp/helptips/stories/guides/1,,8015834-1,00.html).


2) Medidas de seguridad pasiva

Como medida de seguridad pasiva para actuar tras el robo de la información, podemos cifrar los documentos.

También se recomienda consultar los registros de auditoría, que permite establecer un control sobre quién está en el sistema, qué hace cada usuario o quien utiliza cada recurso. Es una medida persuasoria.

En cuanto al robo de los equipos, al menos disponer de copias de seguridad para restablecer los datos en un nuevo equipo. También se puede tener equipos de reserva que pueda estar operativo en pocas horas, marcar los equipos para su posterior identificación o persuadir al ladrón, asegurarlos, anotar modelos y números de serie y controlar la presencia mediante cámaras de vigilancia o control de accesos.

Sicario: "Antirrobo" de ordenadores basado en internet

Sicario, (http://www.sicure.com/sicario), 5 de febrero de 2002


SiCARIO es un sistema antirrobo de ordenadores. En caso de robo, hurto o pérdida de su ordenador, le permitirá localizarlo en el futuro. SiCARIO es un producto totalmente gratuito.

Cuando usted (o el "ladrón") se conecte a internet, y durante una fracción de segundo, se enviará a uno de nuestros servidores un código identificando su ordenador. En nuestros servidores quedará constancia de su dirección IP de internet (como por ejemplo 212.20.10.44) y la fecha y hora de la comunicación. Con estos datos, junto al código que identifica al ordenador, es posible formular una denuncia por robo en una comisaría de policía.

Ir a CiberContaCitar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]este  Inicio leccion
[Índice