D) IDENTIFICA Y ANALIZA NIVELES DE

RIESGOS EN LA ORGANIZACIÓN

ANALIZA CONFIGURACIONES DE SEGURIDAD EN GRUPOS Y

CUENTAS DE USUARIOS EN EL SISTEMA OPERATIVO.
La confidencialidad se entiende en el ámbito de la seguridad informática, como la protección de
datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros.
Esto debe hacerse independientemente de la seguridad del sistema de comunicación utilizado: de
hecho, un asunto de gran interés es el problema de garantizar la confidencialidad de la
comunicación utilizada cuando el sistema es inherentemente insegura (como Internet).
En un sistema que garantice la confidencialidad, un tercero que entra en posesión de la
información intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier
contenido inteligible.

Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la comunicación.

Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves
asimétricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario
para descifrar el mensaje. Por esta razón, es necesario determinar durante cuánto tiempo el
mensaje debe seguir siendo confidencial. No existe ningún mecanismo de seguridad
absolutamente seguro.

Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de ordenadores) puede
ser víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste
en analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador
conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de
seguridad para explotarlo y tener acceso a los datos de la máquina.
 
Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada
a internet:
 
• Es probable que la máquina elegida esté conectada pero no controlada.

• Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.

• La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.

Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con
conexiones por cable o ADSL se protejan contra intrucciones en la red instalando un dispositivo de
protección.
 
¿Qué es un Firewall?

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra

intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de
firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de
una pasarela de filtrado que comprende al menos las siguientes interfaces de red: 

• una interfaz para la red protegida (red interna).

• una interfaz para la red externa.

El sistema firewall es un sistema de software, a menudo sustentado por un hardware de red

dedicada, que actúa como intermediario entre la red local (u ordenador local) y una o más redes
externas. Un sistema de firewall puede instalarse en ordenadores que utilicen cualquier sistema
siempre y cuando: 

• La máquina tenga capacidad suficiente como para procesar el tráfico.

• El sistema sea seguro.

• No se ejecute ningún otro servicio más que el servicio de filtrado de paquetes en el servidor.

En caso de que el sistema de firewall venga en una caja negra (llave en mano), se aplica el término
"aparato".

Antispyware:

Una Antipyware es un programa que evita o elimina infecciones por código malicioso, cómo los
Spyware, Adware o Troyanos.

Los antipyware son una herramienta o utilidad esencial para tu seguridad, si no tienes uno
instalado puedes ser víctima de robos de identidad entre otras cosas muy peligrosas. La utilidad
más importante es eliminar todo potente objetivo de tu seguridad.

Los antivirus más recientes son capaces de eliminar programas espía. También hay programas
especializados en eliminar o bloquear programas espía. Se recomienda no usar un solo programa
antiespía sino una combinación de varios, dado que en muchas ocasiones uno de ellos detecta
algunas cosas que no encuentran los otros, y viceversa, por lo que el uso combinado, de varios de
ellos, ofrece una protección mucho más completa.

Anti espías gratuitos (para uso personal):

* Spybot - Search & Destroy

* Ad-Aware

* SpywareBlaster

RESTRICCIONES A USUARIOS
Una forma de reducir las brechas de seguridad es asegurar que solo las personas autorizadas
pueden acceder a una determinada máquina. Las organizaciones utilizan una gran variedad de
herramientas y técnica para identificar a su personal autorizado. Las computadoras pueden llevar a
cabo ciertas comprobaciones de seguridad; los guardias de seguridad otras. En función del sistema
de seguridad implementado, podrá acceder a un sistema en función a:
1) Algo que usted tenga: una llave, una tarjeta de identificación con una fotografía o una tarjeta
inteligente que contenga una identificación digital codificada almacenada en un chip de memoria.

2) Algo que usted conozca: una contraseña, un número de identificación, una combinación de
bloqueo o algo de su historia personal como el mote por el que le llamaban en el colegio.

3) Algo que usted haga: su firma o su velocidad de escritura y los patrones de error.

4) Algo suyo: una impresión de su voz, su huella dactilar, un escáner de retina o facial o cualquier
otra característica de su cuerpo, características que recibe en conjunto el nombre de biométrica. 

Ya que casi todos estos controles de seguridad pueden verse comprometidos (las llaves pueden
robarse, las contraseñas pueden olvidarse) muchos sistemas utilizan una combinación de
controles. Por ejemplo, un empleado podría tener que mostrar un distintivo, abrir una puerta con
una llave y teclear una contraseña para poder utilizar una computadora asegurada.

En la época en que las computadoras se encontraban aislados en sótanos, las restricciones físicas
eran más que suficiente para mantener alejados a los intrusos. Pero las oficinas modernas, las
máquinas y los datos están al alcance de cualquiera, y las redes permiten conectar una
computadora con cualquier parte del mundo. En un entorno de red distribuido, la seguridad es
mucho más problemática. No es suficiente con restringir el acceso físico a las mainframes cuando
el personal o las conexiones de red no lo están. En este caso, se hacen necesarios técnicas de
seguridad adicionales (como contraseñas más potentes) para restringir el acceso a las
computadoras remotas.

Contraseñas.
Las contraseñas son las herramientas más utilizadas para restringir el acceso a los sistemas
informáticos. Sin embargo, solo son efectivas si se escogen con cuidado. La mayor parte de los
usuarios de computadora escogen contraseñas que son fáciles de adivinar; el nombre de la pareja,
el de un hijo o el de una mascota, palabras relacionadas con trabajo o aficiones o caracteres
consecutivos del teclado. Un estudio descubrió que las contraseñas favoritas en el Reino Unido
eran y , mientras que en América eran y . Los hackers conocen y explotan estos clichés, por lo que
un usuario precavido no debe utilizarlos. Muchos sistemas de seguridad no permiten que sus
usuarios utilicen palabras reales o nombres como contraseña, evitando así que los hackers puedan
usar diccionario para intentar adivinarlas. Incluso la mejor contraseña debe cambiarse
periódicamente. 

El software de control de acceso no tiene que tratar a todos los usuarios del mismo modo. Muchos
sistemas utilizan contraseña para hacer que los usuarios solo puedan acceder a los ficheros
relacionados con su trabajo. En muchos casos, dichos ficheros son de solo-lectura, de modo que
puedan leerse pero no modificarse. Para prevenir el uso de contraseñas robadas, muchas
empresas utilizan sistemas de call-back. Cuando un usuario accede y teclea una contraseña, el
sistema cuelga, busca el número de teléfono del usuario y la devuelve la llamada antes de facilitar
el acceso. 

Cuestionarios
La encuesta se realiza siempre en función de un cuestionario, siendo éste por tanto,
el documento básico para obtener la información en la gran mayoría de las investigaciones y
estudios de mercado. El cuestionario es un documento formado por un conjunto de preguntas que
deben estar redactadas de forma coherente, y organizadas, secuenciadas y estructuradas de
acuerdo con una determinada planificación, con el fin de que sus respuestas nos puedan ofrecer
toda la información que se precisa.

Entrevistas.
Las entrevistas se utilizan para recabar información en forma verbal, a través de preguntas que
propone el analista. Quienes responden pueden ser gerentes o empleados, los cuales son usuarios
actuales del sistema existente, usuarios potenciales del sistema propuesto o aquellos que
proporcionarán datos o serán afectados por la aplicación propuesta. El analista puede entrevistar
al personal en forma individual o en grupos algunos analistas prefieren este método a las otras
técnicas que se estudiarán más adelante. Sin embargo, las entrevistas no siempre son la mejor
fuente de datos de aplicación.

Dentro de una organización, la entrevista es la técnica más significativa y productiva de que

dispone el analista para recabar datos. En otras palabras, la entrevista es un intercambio de
información que se efectúa cara a cara. Es un canal de comunicación entre el analista y la
organización; sirve para obtener información acerca de las necesidades y la manera de
satisfacerlas, así como concejo y comprensión por parte del usuario para toda idea o método
nuevos. Por otra parte, la entrevista ofrece al analista una excelente oportunidad para establecer
una corriente de simpatía con el personal usuario, lo cual es fundamental en transcurso del estudio.

Ficha técnica.
Una ficha técnica es un documento en forma de sumario que contiene la descripción de las
características de un objeto, material, proceso o programa de manera detallada. Los contenidos
varían dependiendo del producto, servicio o entidad descrita, pero en general suele contener
datos como el nombre, características físicas, el modo de uso o elaboración, propiedades
distintivas y especificaciones técnicas.

La correcta redacción de la ficha técnica es importante para garantizar la satisfacción del

consumidor, especialmente en los casos donde la incorrecta utilización de un producto puede
resultar en daños personales o materiales o responsabilidades civiles o penales.
Una ficha técnica puede también ser una serie de preguntas acerca de un tema específico
facilitando así su reconocimiento a nivel general.

POLITICAS APLICADAS
Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las
mismas establecen un canal formal de actuación del personal, en relación con los recursos y
servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de
mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es
más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de
seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de
sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de
 sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y
vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Elementos de una Política de Seguridad Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la
seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión
conjunta de lo que se considera importante.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:
 Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
 Objetivos de la política y descripción clara de los elementos involucrados en su definición.
 Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los
niveles de la organización.
 Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance
de la política.
 Definición de violaciones y sanciones por no cumplir con las políticas.
 Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre
por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente,
deberán establecer las expectativas de la organización en relación con la seguridad y especificar
la autoridad responsable de aplicar los correctivos o sanciones.
Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y
entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las
mismas, claro está sin sacrificar su precisión.
Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de
personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de
nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.

Parámetros para Establecer Políticas de Seguridad

Es importante que al momento de formular las políticas de seguridad informática, se consideren por
lo menos los siguientes aspectos:
 Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la
realidad de la empresa.
 Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son
la principal fuente para establecer el alcance y definir las violaciones a las políticas.
 Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los
beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
 Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los
interesados en salvaguardar los activos críticos su área.
 Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante
cambios las políticas puedan actualizarse oportunamente.
 Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones
de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas
trazadas.

e. Razones que Impiden la Aplicación de las Políticas de Seguridad Informática

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices
de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas
alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de
la necesidad y beneficios de buenas políticas de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de
una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en
seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del
Departamento de Sistemas".
Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren
expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos
comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los
encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes
de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación
con esos asuntos.
Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del
negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su
importancia e incidencias en las proyecciones y utilidades de la compañía.
Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la
seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales
basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar
sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la
formalización y materialización de los compromisos adquiridos con la organización.

DE CUENTA

1. El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La

cuenta es para uso personal e intransferible.
2. La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la
cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas
Seguras descrito más abajo.
3. Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas,
es decir que estas deben ser tecleadas como están.
4. No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos,
familiares, etc.
5. Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas
políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña
asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema.
6. Si se detecta o sospecha que las actividades de una cuenta de usuario puede
comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será
suspendido temporalmente y será reactivada sólo después de haber tomado las medidas
necesarias a consideración del Administrador del Sistema.
7. Tipos de Cuentas de Usuario

Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:

1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean

utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas
cuentas permiten el acceso para consulta, modificación, actualización o eliminación de
información, y se encuentran reguladas por los roles de usuario del Sistema.

2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de

usuario que permite al administrador del Sistema realizar tareas específicas de usuario a
nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del
sistema.

8. Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán
ser cambiadas al menos cada 6 meses.
 9. Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser
cambiadas al menos cada 12 meses.
10. Todas las contraseñas deberán ser tratadas con carácter confidencial.
11. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de
mensajería electrónica instantánea ni vía telefónica.
12. Si es necesario el uso de mensajes de correo electrónico para la divulgación de
contraseñas, estas deberán transmitirse de forma cifrada.
13. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros.
14. Se evitará el revelar contraseñas en cuestionarios, reportes o formas.
15. Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las
bases de datos u otras aplicaciones.
16. Se evitará el activar o hacer uso de la utilidad de ?¿Recordar Contraseña? o ?Recordar
Password? de las aplicaciones.
17. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se
requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá
ser único y bajo resguardo.
18. No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales
(asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas
electrónicas, etc).
19. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso
al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.

DE AUDITORIA

La Auditoría Informática es el proceso de recolección y evaluación de evidencia para determinar sí un sistema

automatizado:

Daños
Destrucción
Salvaguarda activos {
Uso no autorizado
Robo
Oportuna
Mantiene la Integridad Precisa
{
de los datos Confiable
Completa

Alcanza Metas Contribución de la función

{
Organizacionales Informática

Consume recursos Utiliza los recursos adecuadamente

{
eficientemente en el procesamiento de la información

Alcance de la Auditoría Informática.

El alcance de la Auditoría Informática no es nada más que la precisión con que se define el entorno
y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos
para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en
el Informe Final, detallando no solamente los temas que fueron examinados, sino también
indicando cuales se omitieron.
Importancia de la Auditoría Informática

A pesar de ser una disciplina cuya práctica ha aumentado en nuestro país durante los últimos
años, la Auditoría Informática, es importante en las organizaciones por las siguientes razones:

 Se pueden difundir y utilizar resultados o información errónea si la calidad de datos de

entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se
provoque un efecto dominó y afecte seriamente las operaciones, toma de decisiones
e imagen de la empresa.
 Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido
en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informático.
 La continuidad de las operaciones, la administración y organización de la empresa no
deben descansar en sistemas mal diseñados, ya que los mismos pueden convertirse en un
serio peligro para la empresa.
 Las bases de datos pueden ser propensas a atentados y accesos de usuarios no
autorizados o intrusos.
 La vigencia de la Ley de Derecho de Autor, la piratería de softwares y el uso no autorizado
de programas, con las implicaciones legales y respectivas sanciones que esto puede tener
para la empresa.
 El robo de secretos comerciales, información financiera, administrativa, la transferencia
ilícita de tecnología y demás delitos informáticos.
 Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico
adecuado o no se reparan los daños de hardware ni se resuelven los problemas en plazos
razonables, es decir, el usuario percibe que está abandonado y desatendido
permanentemente.
 En el Departamento de Sistemas se observa un incremento desmesurado
de costos, inversiones injustificadas o desviaciones presupuestarias significativas.
 Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y
confidencialidad.
 Mantener la continuidad del servicio y la elaboración y actualización de los planes de
contingencia para lograr este objetivo.
 Los recursos tecnológicos de la empresa incluyendo instalaciones físicas, personal
subalterno, horas de trabajo pagadas, programas, aplicaciones, servicios de
correo, internet, o comunicaciones; son utilizados por el personal sin importar su nivel
jerárquico, para asuntos personales, alejados totalmente de las operaciones de la empresa
o de las labores para las cuales fue contratado.
 El uso inadecuado de la computadora para usos ajenos de la organización, la copia de
programas para fines de comercialización sin reportar los derechos de autor y el acceso
por vía telefónica a bases de datos a fin de modificar la información con propósitos
fraudulentos.

Tipos de Auditoría Informática

El Departamento de Informática o Sistemas desarrolla diversas actividades y sobre la base de

estas se han establecido las principales divisiones de la Auditoría Informática, las cuales son: de
Explotación u Operación, Desarrollo de Proyectos, de Sistemas, de Comunicaciones y Redes y de
Seguridad. A continuación repasaremos brevemente cada una.
Auditoría Informática de Producción o Explotación

En algunos casos también conocida como de Explotación o Operación, se ocupa de revisar todo lo
que se refiere con producir resultados informáticos, listados impresos, ficheros soportados
magnéticamente, ordenes automatizadas para lanzar o modificar procesos, etc.
La producción, operación o explotación informática dispone de una materia prima, los datos, que es
necesario transformar, y que se someten previamente a controles de integridad y calidad. La
transformación se realiza por medio del proceso informático, el cual está gobernado por programas
y obtenido el producto final, los resultados son sometidos a varios controles de calidad y,
finalmente, son distribuidos al cliente, al usuario.
Auditar la producción, operación o explotación consiste en revisar las secciones que la componen y
sus interrelaciones, las cuales generalmente son: planificación, producción y soporte técnico.

Auditoría Informática de Desarrollo de Proyectos

La función de desarrollo es una evolución del llamado análisis y programación de sistemas, y

abarca muchas áreas, como lo son: prerequisitos del usuario y del entorno, análisis
funcional, diseño, análisis orgánico (preprogramación y programación), pruebas entrega a
explotación o producción y alta para el proceso.
Estas fases deben estar sometidas a un exigente control interno, ya que en caso contrario, los
costos pueden excederse, puede producirse la insatisfacción del usuario.
La auditoría en este caso deberá principalmente comprobar la seguridad de los programas en el
sentido de garantizar que lo ejecutado por la máquina sea exactamente lo previsto o lo solicitado
inicialmente.

Auditoría Informática de Sistemas.

Se ocupa de analizar y revisar los controles y efectividad de la actividad que se conoce

como técnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general
de sistemas, el cual incluye sistemas operativos, softwares básicos,
aplicaciones, administración de base de datos, etc.

Auditoría Informática de Comunicaciones y Redes.

Este tipo de revisión se enfoca en las redes, líneas, concentradores, multiplexores, etc. Así pues, la
Auditoría Informática ha de analizar situaciones y hechos algunas veces alejados entre sí, y está
condicionada a la participación de la empresa telefónica que presta el soporte. Para este tipo de
auditoría se requiere un equipo de especialistas y expertos en comunicaciones y redes.
El auditor informático deberá inquirir sobre los índices de utilización de las líneas contratadas,
solicitar información sobre tiempos de desuso; deberá proveerse de la topología de la red de
comunicaciones actualizada, ya que la desactualización de esta documentación significaría una
grave debilidad. Por otro lado, será necesario que obtenga información sobre la cantidad de líneas
existentes, cómo son y donde están instaladas, sin embargo, las debilidades más frecuentes o
importantes se encuentran en las disfunciones organizativas, pues la contratación e instalación de
líneas va asociada a la instalación de los puestos de trabajo correspondientes (pantallas,
servidores de redes locales, computadoras, impresoras, etc.).

d.5. Auditoría de la Seguridad Informática.

La Auditoría de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La

seguridad física se refiere a la protección del hardware y los soportes de datos, así como la
seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar
situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.
Por su parte, la seguridad lógica se refiere a la seguridad en el uso de softwares, la protección de
los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a
la información.
El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan
copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad
de transmisión de virus.

Auditoría Informática para Aplicaciones en Internet.

En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, los cuales
no puede pasar por alto el auditor informático:

 Evaluación de los riesgos de internet (operativo, tecnológico y financiero) y así como

su probabilidad de ocurrencia.
 Evaluación de vulnerabilidades y la arquitectura de seguridad implementada.
 Verificar la confidencialidad de las aplicaciones y la publicidad negativa como
consecuencia de ataques exitosos por parte de hackers.

 Metodología de Trabajo de Auditoría Informática

El método de trabajo del auditor pasa por las siguientes etapas:

 Alcance y Objetivos de la Auditoría Informática.

 Estudio inicial del entorno auditable.
 Determinación de los recursos necesarios para realizar la auditoría.
 Elaboración del plan y de los Programas de Trabajo.
 Actividades propiamente dichas de la auditoría.
 Confección y redacción del Informe Final.

RESTRICCIONES DE SOFTWARE

Windows Server 2003 y Windows XP permiten restringir el uso de software a través de políticas,
gracias a esto se puede evitar que se ejecute software no deseado. Estas políticas se pueden
aplicar tanto a nivel de usuario como de equipo con lo que será posible adaptarlo a las
necesidades del entorno, así que podemos encontrar esta directiva dentro de Configuración de
Windows -> Configuración de seguridad tanto el nodo de configuración del equipo como el de
configuración de usuario. Para comenzar a crear una política solo tenemos que hacer click con el
botón derecho o bien ir a acciones y en ambos casos hacer click sobre Nuevas directivas de
restricción de software.

Si echamos un vistazo a la política podemos ver distintos objetos de configuración, Niveles de

seguridad (security levels) se refiere a los dos métodos base que existen de restricción del
software.
 Ilimitado(unrestricted), se trata del método utilizado por defecto también conocido como
blacklisting que consiste en permitir que se ejecute todo el software excepto el que se
especifique como no permitido.
El otro método disponible es:

 No permitido (disallowed), que hará whitelisting es decir que solo permitirá ejecutar los
programas que nosotros especifiquemos, este método es mucho más seguro. Tras
seleccionar este método los ficheros que vamos a permitir ejecutar o no según si
usamos ilimitado o no permitido se filtraran mediante las Reglas adicionales (additional
rules).

 Editores de confianza (trusted publishers) nos permite seleccionar quien puede

configurar una confianza con un determinado editor, esto es especialmente relevante a la
 hora de aceptar la instalación de controles ActiveX y aceptación de certificados por lo que
es recomendable que solo se lo permitamos a los administradores.

 Obligatoriedad (enforcement), aquí nos permite también aplicar las reglas de restricción de

software también a bibliotecas DLL de forma que si estamos en modo no permitir habría
que agregar esas bibliotecas. Igualmente nos permite seleccionar si se deben aplicar o no
las políticas a los administradores locales.

 Tipos de archivos designados (designated file types), en esta opción podemos elegir a que
tipos de ficheros se aplicaran las restricciones, por defecto todos los tipos habitualmente
ejecutables como .exe, .bat, .msi, .vbs… están incluidos, podemos tanto eliminar algún
tipo como incluir uno nuevo simplemente escribiendo la extensión.

Existen cuatro tipos de Reglas adicionales según el método en el que basa para asignar
restricciones o excepciones, por defecto están incluidos todos los ficheros del sistema mediante
varias reglas de ruta de acceso con nivel de permiso ilimitado.

 Regla de certificado (certificate rule), se puede añadir un certificado firmado por el

fabricante del software de forma que todo el software de ese fabricante se pueda ejecutar.

 Regla de hash, se nos solicitara que apuntemos al fichero para generar un hash único que
identificara al fichero, esto permitirá que se restrinja su uso independientemente de su
nombre o localización, esto nos puede servir para restringir el uso de una versión concreta
de un programa. Esta técnica es similar a la que usan los antivirus para localización de
ficheros infectados.

 Regla de zona de Internet (internet zone), este tipo de regla solo se aplica a paquetes .MSI
bajados a través de Internet Explorer y restringe su uso dependiendo del tipo de zona de
Internet de donde se haya descargado el fichero.

 Regla de ruta (path), esta regla nos permite tanto fijar restricciones directamente para un
directorio o fichero concreto como hacerlo indirectamente apuntando a una entrada del
registro que a su vez referencia a una ruta de fichero o directorio como por ejemplo se
puede ver en las rutas que vienen definidas por defecto.

FIREWALL

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando
las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet,
como dispositivo de seguridad para evitar que los intrusos puedan acceder a información
confidencial.

Un firewal es simplemente un filtro que controla todas las comunicaciones que pasan de una red a
la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una
comunicación el firewal examina el tipo de servicio al que corresponde, como pueden ser el web, el
correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall
examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o
no.

De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo
y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar
los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir
algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que
accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir
algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la
red local.

ANTIVIRUS

 Utilice el antivirus usado por la Universidad Latina, el antivirus soportado estará disponible
dentro un sitio de la Universidad Latina. Baje e instale la última versión del antivirus,
actualice al último patrón y motor disponible.
 Nunca habrá archivos o macros adjuntas a un correo de procedencia desconocida,
sospechosa o fuente no confiable. Borre los archivos adjuntos inmediatamente, luego haga
un doble borrado, vaciando su papelera de reciclaje.
 Borre el spam, cadenas y cualquier correo chatarra. No realice reenvío de los mismos.
Leer Las Políticas de Uso Aceptable.
 Nunca descargue archivos de sitios desconocidos o fuentes sospechosas
 Evite compartir directamente los discos del ordenador con permisos de lectura / escritura, a
menos que sea extremadamente necesario por la existencia de un requerimiento del
negocio.
 Siempre revise con el antivirus sus unidades de disco flexible, discos removibles o
memorias flash ante de usarlas
 Respalde información crítica y configuración de sistemas en forma regular y almacene la
información en un lugar seguro.

ANTISPYWARE
La marca certificada Cyberoam Gateway anti-virus y anti-spyware escanea el correo electrónico y
el tráfico de Internet en el gateway para bloquear amenazas maliciosas de entrar en la red. Ofrece
protección en tiempo real contra todo el spyware/malware, incluyendo virus, gusanos, software
espía, puertas traseras, troyanos, keyloggers y más. Cyberoam firewall VPN escanea las entradas
y salidas de HTTP, FTP, SMTP, POP3 e IMAP de tráfico, ofreciendo una solución de seguridad
altamente fiable. 

Cyberoam Gateway Security ofrece anti-virus y anti-spyware en una sola cuota de suscripción y no
en una base de licenciamiento por usuario. En asociación con IPS - Intrusion Prevention System -
suscripciones y filtrado de contenidos, ofrece una protección proactiva a los servicios centrales y
oficinas remotas de las empresas. Cyberoam gateway antivirus ofrece actualizaciones cada media
hora y protección basado en listas blancas y listas negras además de la dinámica de la identidad
basada en la protección. 

 Analiza HTTP, FTP, SMTP, POP3, IMAP

 Automonitoreo zona de cuarentena
 Identidad basada en políticas de acceso.
 Identidad basada en reporte de virus de HTTP

Seguridad basada en identidad

 

Cyberoam Gateway Anti-virus y firewall integrado VPN ofrecen visibilidad instantánea de usuarios
que sean víctimas o agresores. Las empresas pueden identificar al usuario en caso de virus de
HTTP, lo que permite la acción proactiva, además de proporcionar una mayor seguridad para la
navegación usando el antivirus. Cyberoam Anti-virus y anti-spyware permite a las empresas
establecer políticas de exploración que pueden ofrecerle la exploración personal sobre la base de
un usuario individual.

Seguridad de Correo Electrónico 

Las empresas pueden definir los archivos adjuntos ejecutables, archivos multimedia y mucho más
para ser bloqueados en función de los usuarios. Además Cyberoam bloquea los archivos adjuntos
protegidos con contraseña, dando una fuerte seguridad de correo electrónico a las empresas.

Auto-Servicio de Cuarentena de Virus

La seguridad de Cyberoam gateway ofrece un auto-Área de Servicio de Cuarentena a los usuarios,

que les permite comprobar su correo en cuarentena. Esto, además de la función Cyberoam Copy
To que crea copias de los correos donde están marcados previamente los individuos, junto con el
destinatario, evita la pérdida de los principales mensajes al mismo tiempo reduciendo la carga del
administrador de la red en la búsqueda de los correos desaparecidos. Además, la instalación de
cuarentena apoya el cumplimiento de las normas y requisitos de la empresa.  

Seguridad centralizada

Con la Consola Central de Cyberoam, las empresas pueden disfrutar siempre de protección en las
oficinas contra ataques de red emergentes a pesar de la falta de recursos técnicos en las redes
remotas. Permite a las PC´s de los usuarios actualizaciones automáticas que puedan ser aplicadas
en toda la empresa desde la ubicación central, el fortalecimiento de oficinas remotas y sucursales
de seguridad al mismo tiempo que reduce la complejidad operativa.

PERMISOS EN CARPETAS Y DOCUMENTOS COMPARTIDOS

Compartir archivos y carpetas se puede administrar de dos formas. Si eliges el uso compartido
sencillo de archivos, podrás compartir tus carpetas con cualquier persona de tu red o grupo de
trabajo, o puedes privatizar tus carpetas. (Así es como se comparten las carpetas en Windows
2000). Sin embargo, en Windows XP Profesional, también puedes establecer permisos de carpeta
para usuarios o grupos específicos. Para ello, en primer lugar, debes cambiar la configuración
predeterminada que es uso compartido sencillo de archivos. Para cambiar esta configuración,
sigue estos pasos: 

 Abre Panel de control, haz clic en Herramientas y, a continuación, haz clic en Opciones de
carpeta. 

Haz clic en la ficha Vista, y desplázate hasta la parte inferior de la lista de Configuración
 avanzada. Desactiva la casilla de verificación Utilizar uso compartido simple de archivos
(recomendado). 

Para administrar permisos de carpeta, localiza la carpeta en el Explorador de Windows,

haz clic con el ratón derecho en la carpeta y, a continuación, haz clic en Propiedades. Haz
clic en la ficha Seguridad y asígnale permisos, de control total, modificación, lectura o
lectura y escritura, a cada uno de los usuarios. Puedes establecer permisos de archivos y
carpetas sólo en las unidades formateadas para utilizar el sistema de archivos NTFS, y tú
debes ser el propietario o tener permiso del propietario.

ACTUALIZACIONES DE SISTEMAS OPERATIVOS Y

APLICACIONES
U n a   d e   l a s   r a z o n e s   p o r   l a   c u a l   l o s   a t a c a n t e s   o d elincuentes (común y
e r r ó n e a m e n t e   l l a m a d o s “hackers”) suelen tener éxito en sus ataques a los usuarios
y sus sistemas son los errores que estos últimos tienen. Cada sistema operativo, aplicación
o software es desarrollado por personas y por lo tanto e s c o m ú n y e s p e r a b l e q u e l o s
m i s m o s c o n t e n g a n errores de diseño y programación que pueden ser objeto de
ataque. A estos errores se los conoce como Vulnerabilidades.

Y las mismas son aprovechadas para robar o eliminar información del usuario, dañar

el sistema o también pueden ser utilizadas como fuentes de ataques, generalmente desde
Internet. Para evitar esos ataques es que cada cierto tiempo, los desarrolladores del software
crean y publican actualizaciones para sus aplicaciones de forma talque las mismas funcionan a
modo de “parche” y que, en muchos casos pueden ser críticas, lo que significa
que si no son instaladas por los usuarios, los atacantes tendrán una ventaja importante para atacar
dicho sistema, cada vez que el mismo se conecte a una red.

En Ubuntu, la instalación de actualizaciones se puede realizar desde Sistema » Administración »

Gestor de actualizaciones y se puede seleccionar qué aplicación se desea actualizar y cual no,
siendo recomendable mantener siempre actualizados tanto el software utilizado así como el
sistema operativo. Desde esta interfaz también se puede configurar que las actualizaciones se
realicen automáticamente cada cierto tiempo o cada vez que sea publicada una actualización por
parte del fabricante. El gestor también se puede utilizar para descarga e instalar
nuevas aplicaciones (“paquetes”) y el mismo procedimiento puede llevarse a cabo desde la
consola con el comando apt-get ( y sus modificadores update ,upgrade ,install , remove , etc .) o
con la herramienta aptitude o Sistema » Administración » Gestor de paquetes Synaptic que
permiten realizar las mismas tareas desde una interfaz gráfica, amigable y con menús
desplegables.

Nota:

Al ser un procedimiento administrativo, se requiere suministrar la contraseña antes de comenzar la

instalación, actualización o eliminación de aplicaciones.
 
 
RESPALDOS DE INFORMACION Y/ O COPIAS DE SEGURIDAD
(BACKUP)
Las copias de seguridad son un elemento fundamental porque es lo único a lo que se puede
recurrir cuando se pierde o daña información. Se debe considerar que es necesario realizar dichas
copias periódicamente y guardarlas en un lugar distinto de la fuente de información: si se realizó
una copia del disco rígido, las mismas no deben estar almacenadas en el mismo disco y, de ser
información crítica, las copias deberían ser guardadas en un lugar distintodel hogar o el trabajo
para evitar casos de robos, incendios, etc. En Ubuntu se puede realizar una copia de seguridad
con la aplicación Simple Backup Suite (“sbackup”) que se encuentra en Aplicaciones » Accesorios
» Configuración de Simple Backup. En caso de no estar instalada, dicha aplicación puede
instalarse desde “synaptic” o desde la línea de comandos apt-get. Inicialmente, y por única vez se
debe configurar la herramienta para que realice las copias, principalmente se define la periodicidad
y el origen y el destino de datos (disco externo, USB, CD, DVD, etc.). Una vez finalizada la
configuración, se puede comenzar a realizar los backup para luego, en caso de ser necesario,
recuperarlo con la herramienta de restauración disponible en Aplicaciones » Accesorios
» Restauración de copia de seguridad.
.