Embed Size (px)
Citation preview
CARRERALIC. EN INFORMÁTICA
ASIGNATURASEGURIDAD PERIMETRAL
SEMESTRE9°
GRUPO“A”
TRABAJOPARADIGMAS DE LA SEGURIDAD INFORMATICA
ALUMNOSPATRICIA ALHELI GOMEZ MEJIAWILBERTH STALYN EK CHIMALJOSE RAMON ROSADO EUANMARISSA GPE. MAY CETZAL
OSCAR FERNANDO CANCHE CAAMALJOSE MATUSALEM CHIMAL COCOM
DOCENTELIC. ERICK ALBERTO CUPUL BURGOS
VALLADOLID YUCATÁN A 20 DE JUNIO DE 2012
PARADIGMAS EN LA SEGURIDAD INFORMATICA
PLANTEAMIENTO DEL TEMA
En la actualidad la gran mayoría de las empresas están optando por utilizar
sistemas informáticos para resguardar su activo más importante que es la
información, pero la gran desventaja es que a medida que va avanzando la
tecnología, al mismo tiempo aumentan los riesgos de ser vulnerables a los
diversos tipos de ataques informáticos que circulan en la red.
Es por ello que es importante enfocarse al tema de seguridad ya que de ello
depende que la información se encuentre integra y segura, de manera que todas
las decisiones que toma la empresa depende de la exactitud y veracidad de dicha
información.
INVESTIGACION Y ARGUMENTACION
Según (Edinson Martinez & Giraldo) dice que la función inicial de una auditoria
informática es estrictamente económico-financiera y busca optimizar los recursos
de todo el componente informático de la organización, pero con los nuevos
desarrollos tecnológicos se ha ido especializando y profundizando.
La auditoría contiene elementos de análisis, de verificación y de exposición de
debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de
acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias
plasmadas en el Informe final reciben el nombre de recomendaciones.
1
Es muy importante aclarar el concepto de Auditoria de seguridad informática
puesto que se puede llegar a confundir con la clásica auditoria de sistemas y
aunque son dos conceptos similares en primera instancia, los objetivos y enfoque
de cada uno son diferentes.
La auditoría de seguridad informática analiza los procesos relacionados
únicamente con la seguridad, ésta puede ser física, lógica y locativa pero siempre
orientada a la protección de la información. Para un proceso de auditoría de
seguridad informática es muy importante ser ordenado y meticuloso y para esto es
necesario adoptar una metodología.
La auditoría de seguridad informática consiste en la evaluación, análisis y
generación de soluciones para el recurso computacional de la organización.
Los procesos cubren cuatro frentes específicos:
Auditoría desde Internet
Auditoría desde la red interna
Trabajo sobre los equipos
Ejecución de entrevistas sobre el manejo de las políticas de seguridad
física, lógica y locativa de los miembros de la organización
Según (Cano, 2010) menciona Una auditoría es un proceso formal utilizado para
medir aspectos de alto nivel de la infraestructura de seguridad desde la
perspectiva organizacional.
El proceso de auditoría generalmente se lleva a cabo por auditores EDP
(Electronic Data Processing) certificados bajo las directrices de un comité, quién
reporta a las directivas de la organización o a un ente externo mandado por la ley.
2
Según (Vargas Aviles, 2009) afirma que los objetivos de la auditoria informática
son verificar el control interno de la función informática, asegurar a la alta dirección
y al resto de las áreas de la empresa que la información que les llega es la
necesaria en el momento oportuno, y es fiable, ya que les sirve de base para
tomar decisiones importantes, eliminar o reducir al máximo la posibilidad de
pérdida de la información por fallos en los equipos, en los procesos o por una
gestión inadecuada de los archivos de datos y detectar y prevenir fraudes por
manipulación de la información o por acceso de personas no autorizadas a
transacciones que exigen trasvases de fondos.
Según (Alvarez Pineda, 2009) menciona que la evaluación de la seguridad
informática es uno de los rubros que están incrementando su popularidad dentro
del ambiente informático, es el relacionado con la seguridad del área de sistemas;
con ello se incrementa cada día más la necesidad de evaluar la seguridad y
protección de los sistemas, ya sea en los accesos a los centros de cómputo, en el
ingreso y utilización de los propios sistemas y en la consulta y manipulación de la
información contenida en sus archivos, la seguridad de las instalaciones, del
personal y los usuarios de sistemas, así como de todo lo relacionado con el
resguardo de los sistemas computacionales.
En esta evaluación también se incluyen el acceso al área de sistemas, el acceso
al sistema, la protección y salvaguarda de los activos de esta área, las medidas de
prevención y combate de siniestros, y muchos otros aspectos que se pueden
valorar mediante una auditoría de sistemas.
3
Según (Cano, 2010) La evaluación de seguridad está orientada a establecer
mayores detalles técnicos de la seguridad del infraestructura de una organización.
Son menos formales y tienden a ofrecer mayor detalle y alcance que las
auditorías. La evaluación es considerada un arte, en comparación con el enfoque
estructurado que desarrollan los auditores.
La evaluación usualmente se encuentra enfocada a identificar los detalles técnicos
de las debilidades de seguridad, que luego conforman las bases para las
recomendaciones y correcciones en la infraestructura de la compañía.
Según la organización (Guru, 2009) dice que El servicio de pruebas de
penetración ofrecido por blueMammut permite identificar los riesgos asociados a
las vulnerabilidades de los activos informáticos de las organizaciones. El servicio
provee una detallada identificación de las vulnerabilidades presentes en el
entorno, su nivel de riesgo real y detalladas recomendaciones para remediarlas.
La metodología está basada en proceso de pruebas manuales y automatizadas
que identifican todos los tipos de vulnerabilidades, incluyendo fallas lógicas, las
cuales no son típicamente detectadas durante un análisis de vulnerabilidades.
Las pruebas de penetración incluyen en el análisis de todas las medidas de
seguridad, incluyendo firewalls, appliances, IPS e IDS; y políticas de complejidad
de contraseñas, actualizaciones de software y desarrollo de aplicaciones.
4
Según (Cano, 2010) menciona que las pruebas de penetración es un ejercicio en
cual se encuentran involucrados expertos en tecnología o profesionales
certificados en seguridad informática, quienes reportan a un comité ad-hoc
seleccionado por la organización, que pretende demostrar que una infraestructura
es vulnerable, penetrando en ella a través de ataques controlados desde dentro o
fuera de la organización.
Generalmente el reporte de una prueba de penetración explica paso a paso cómo
se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de
comunicaciones. Así mismo, documenta cómo se aprovecharon las debilidades de
los programas o deficiencias en las configuraciones del hardware para ingresar de
manera no autorizada al perímetro de comunicaciones de la empresa.
Según (Villegas, 2012) dice que La prueba de penetración es una técnica que nos
permite evaluar los puntos críticos de seguridad de un sistema mediante la
simulación de ataques al mismo. Estos ataques pueden estar simulados desde la
perspectiva de un atacante ajeno al sistema (no tienen acceso) o un uno interno
(tienen algún nivel de acceso) y nos permiten poner en evidencia falencias en la
seguridad del sistema y comprobar cuál es el impacto real de las mismas en un
ambiente controlado.
La prueba de penetración está dentro del campo de acción Seguridad Informática
y es ejecutada por los Pentesters, quienes tienen los skills necesarios en el
manejo de herramientas, en la gestión del proyecto, metodologías y etapas del
test, así como un sólido conocimiento en sistemas y arquitecturas de redes.
5
EMISION DE JUICIOS
La postura de la autora Jeimy Cano habla acerca de los tres paradigmas de la
seguridad informática, estos paradigmas son la auditoria de seguridad informática,
la evaluación de la seguridad informática y las pruebas de penetración.
Esta misma autora afirma que una auditoria es un proceso formal utilizado para
medir aspectos de alto nivel de la infraestructura de seguridad, la cual nos quiere
decir que este proceso solo verificara aquellas áreas donde el grado de seguridad
se supone que es elevado, con la finalidad de buscar vulnerabilidades o fallos.
Desde nuestro punto de vista la auditoria informática debe ser realizada en todas
las áreas de la organización sin importar el grado de seguridad que tenga dicho
departamento, ya que todas las diversas áreas que conforman una organización
requieren de una evaluación a su seguridad para poder catalogar que tan seguro
es la metodología utilizada para proteger los recursos más importantes de la
institución.
Es por ello que consideramos que la opinión más acertada o más completa es la
de los autores Edison Martínez y Giraldo, ya que ellos exponen que la auditoria
busca optimizar los recursos de todo componente informático de la organización,
esto se lograra según ellos con los nuevos desarrollos tecnológicos que han sido
desarrollados en materia de seguridad, por lo que coincidimos con esa definición,
por su parte decimos que es la argumentación más completa porque estos autores
comparan y dicen que no es lo mismo una auditoria de seguridad informática que
6
una auditoria de sistemas, ya que cada tipo de auditoria tiene sus propios
objetivos a cumplir y por si fuera poco cada una tiene su propio enfoque.
Estos dos autores dicen que para que una auditoria de seguridad informática sea
bien realizada se deben de seguir cuatro procesos fundamentales, los cuales son
la auditoria del internet, de la red interna, hacia los equipos de trabajo y por ultimo
las políticas de seguridad. En lo personal estamos de acuerdo que si se verifican
estos 4 aspectos al momento de realizar una auditoría, podemos saber son
delicadeza que grado de seguridad se está manejando dentro de la organización,
y así también poder reforzar en todos los aspectos que se encuentren bajos en
cuanto a seguridad, ya que solo reforzando esos aspectos se lograra una mejor
seguridad y protección hacia los recursos más valiosos de la institución.
Otro de los paradigmas que menciona la autora Jeimy Cano es acerca de la
evaluación de seguridad informática, donde dice que este proceso aporta más
detalles acerca de los rasgos de seguridad que una auditoria, ya que es realizada
por expertos en el área y con un grado de experiencia elevado. Desde nuestro
punto de vista consideramos que tanto la auditoria y la evaluación de seguridad
informática aportan los resultados necesarios y complejos para poder determinar
el grado de seguridad que contiene una determinada organización, ya que ambos
procesos se llevan a cabo por personas especializadas en el área y no es que una
sea mejor que la otra, es claro que son procesos completamente diferentes que se
siguen en cada uno de ellos pero ambos tiene el mismo objetivo que es la
seguridad informática.
7
Por otro lado el autor Álvarez pineda menciona que la evaluación de la seguridad
informática está incrementando su popularidad dentro del ambiente informático, ya
que cada día más organizaciones cuenta con áreas de sistemas donde se
requiere de esta evaluación, con la finalidad de poder brindar la mayor seguridad a
las áreas de se maneja información de gran importancia y de alto valor
organizacional. Es por ello que este proceso engloba una evaluación general tanto
del personal que labora dentro de las áreas de sistemas como los métodos o
técnicas utilizadas para proteger su información.
En nuestra opinión personal ambos coincidimos de que este autor tiene razón ya
que día a día aumenta la demanda por parte de las organización por querer
evaluar y saber que tan segura es su información dentro de la empresa, así como
para saber qué tan fácil o difícil puede ser el acceso hacia los sistemas por parte
de terceras personas, esto con la finalidad de poder obtener una lista detallada en
lo que se es vulnerable para poder implementar nuevas técnicas de seguridad
para poder reforzar la integridad tanto de los sistemas como de la información.
Y por si fuera poco Jeimy Cano habla acerca del ultimo paradigma que es las
pruebas de penetración, la cual dice que es un ejercicio práctico donde expertos
en seguridad informática, se reúnen para poder hacer pruebas e intentar acceder
a la infraestructura de la organización que se encuentre protegida, con el fin de
detectar vulnerabilidades. Desde nuestro punto de vista esta práctica es bastante
buena siempre y cuando sea realizada por expertos que se encuentren
certificados en seguridad ya así se tendrá la seguridad de que solo intentaran
burlar la seguridad y no provocarán algún robo o delito hacia nuestra información,
8
ya que existen muchas personas que hacen estas pruebas con la finalidad de
obtener o robar información confidencial para a la organización, lo cual sería
catastrófico para la institución ya que en vez de recibir una ayuda provocara serios
problemas en cuanto a la eficacia y eficiencia de la organización.
En base a lo anterior estamos de acuerdo con lo que dice el autor Villegas ya que
consideramos que es el que aporta una definición más clara y concisa acerca de
las pruebas de penetración, ya que el afirma que es una técnica que permite
evaluar los puntos críticos de seguridad de un sistema mediante la simulación de
ataques al mismo, es por ello que nos queda claro que este proceso es tan
efectivo, pera a la vez hay que tener cuidado al momento aplicarlo dentro de
nuestra organización ya que sino elegimos a las personas adecuadas o aptas para
realizar esta técnica estaríamos exponiendo nuestros sistemas a intrusos que solo
buscan dañar los sistemas que componen nuestra organización.
CONCLUSION
En conclusión podemos observar que estos tres paradigmas en la seguridad
informática son importantes ya que en base a ellos podemos catalogar y saber el
grado de seguridad que se está manejando dentro de una organización para poder
proteger tanto los sistemas como la información de las misma, por otro lado es
importante que las organizaciones se den cuenta de la gran importancia que tiene
la seguridad en sus sistemas ya que solo así estarán aislados de los miles de
delitos informáticos que hoy en día existen.
9
BIBLIOGRAFÍA
Alvarez Pineda, J. E. (14 de 05 de 2009). Recuperado el 20 de 06 de 2012, de
http://www.slideshare.net/vidalcruz/evaluacion-de-la-seguridad-de-los-
sistemas-informaticos
Cano, J. (21 de 07 de 2010). Recuperado el 19 de 06 de 2012, de
http://www.derechotecnologico.com/estrado/estrado003.html
Edinson Martinez, J., & Giraldo, C. A. (s.f.). Recuperado el 19 de 06 de 2012, de
http://artemisa.unicauca.edu.co/~ecaldon/docs/audit/ponencia_PASSWOR
D_siti2004.pdf
Guru, s. (2009). SGuia. Recuperado el 20 de 06 de 2012, de
http://sg.com.mx/guia/node/1587
Vargas Aviles, J. R. (21 de 03 de 2009). Recuperado el 20 de 06 de 2012, de
http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-
informatica.pdf
Villegas, A. (18 de 04 de 2012). Recuperado el 20 de 06 de 2012, de
http://alejandrovillegasqa.blogspot.mx/2012/04/prueba-de-penetracion.html
10
![Ciencia Ficción Comentario [LT1]: Selección 07 Comentario](https://img.dokumen.tips/doc/110x75/6183785702a76744a11769d3/ciencia-ficcin-comentario-lt1-seleccin-07-comentario-.jpg)
![Comentario [SC629]: Comentario [SC631]: Comentario [SC632]](https://img.dokumen.tips/doc/110x75/62dfba69688b9427d8623b40/comentario-sc629-comentario-sc631-comentario-sc632.jpg)
![Comentario [L685]: Comentario [L686]](https://img.dokumen.tips/doc/110x75/6297851c439ef31f280c984f/comentario-l685-comentario-l686.jpg)
