jueves, 14 de agosto de 2008

Seguridad Informática avanzada PROYECTO

Antecedentes.

El grupo Famoso fue fundado hace 40 años en la ciudad de Morelia Michoacán, está dedicado a la venta de automóviles y cuenta con 200 agencias de autos instaladas en todo el país.

Desde hace 10 años el grupo trabaja con un sistema integral que fue desarrollado internamente, cada sistema se tiene que instalar en forma local en cada agencia de autos, en los últimos meses el sistema ha presentado fallas y el nivel de soporte técnico ha dejado mucho que desear, los gerentes de cada agencia han manifestado al director general del grupo su inconformidad en el uso del sistema.

Durante la ultima sesión de Directores y ante la necesidad de resolver esta situación, la mesa directiva le ha solicitando a usted como Director de Sistemas, el desarrollo de un nuevo sistema a la medida que inicialmente cubra los alcances operativos del sistema actualmente utilizado, que se desarrolle en un ambiente centralizado y que sea accesado en forma segura por Internet. Este nuevo sistema deberá contener las bases de datos de todas las agencias, además deberá hacer pagos en línea a bancos y a proveedores.

  • Diseñar un modelo general de análisis de riesgos.
  • Describir que procedimientos de seguridad la empresa necesita desarrollar primero dada la situación.
  • ¿Qué procedimientos específicos de respuesta a incidentes de acuerdo a la situación actual se tendrían que desarrollar primero?

ANALISIS DE RIESGOS.

Dentro de la empresa se cuenta con un sistema integral, el cual presenta varios problemas dada su estructura funcional.

El nuevo sistema debe de cubrir todos los aspectos del anterior sistema, teniendo en cuenta que este otro será totalmente centralizado y será instalado en la matriz de la empresa, en Morelia Michoacán, de ahí se distribuirá a las demás agencias alrededor de todo el país por medio de Internet y redes.

La infraestructura del sistema debe de estar bien definida, primero que nada debemos de conformar las LAN(redes de área local) las cuales abarcaran las agencias dentro de un mismo Estado, después todas las LAN serán monitoreados y asistidas por una WAN (red de área amplia o extendida ).

Todo esto para tener un estricto control tanto de los componentes físicos como de la información, esto quiere decir que por medio del Internet y por la conexión que tenemos de la red, podremos detectar posibles ataques, problemas, virus, etc. Y además de detectar fallas en los componentes físicos conectados a la red, como los equipos de cómputo, faxes, escáneres, etc.

Redes de Área Amplia (WAN)

http://www.textoscientificos.com/imagenes/redes/wan.png

La definición de Procedimientos y Controles es uno de los factores fundamentales a la hora de establecer un Modelo de Gestión IT o un Sistema de Gestión de la Seguridad de la Información (SGSI). Para ello se utilizan distintas metodologías o normas acorde a los requisitos o necesidades del cliente, entre las más extendidas se encuentran CObIT, ITIL, ISO-17799. Una adecuada estructura documental a través de la Política, Procedimientos y Guías, e instrucciones hacen más gobernables los Sistemas de Información de una Organización mediante la adecuación de las TICs y la Seguridad a los objetivos de la Organización.

El Plan de Seguridad determina las acciones, controles y proyectos adecuados para alcanzar a corto y medio plazo la seguridad apropiada para una Organización. Uno de sus principales objetivos es encontrar un equilibrio entre las necesidades, la viabilidad tecnológica y los recursos humanos, y económicos de una Organización. Para la consecución de este objetivo el Plan de Seguridad se realiza fundamentalmente en tres fases. Una de captación de requisitos y análisis, otra de consolidación de los resultados y una final correspondiente a la planificación de acciones y proyectos.

  • El plan de seguridad debe asegurar la integridad y exactitud de los datos
  • Debe permitir identificar la información que es confidencial
  • Debe contemplar áreas de uso exclusivo
  • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
  • Debe asegurar la capacidad de la organización para sobrevivir accidentes
  • Debe proteger a los empleados contra tentaciones o sospechas innecesarias
  • Debe contemplar la administración contra acusaciones por imprudencia.

Consideraciones para la seguridad:

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a:

· Tiempo de máquina para uso ajeno

· Copia de programas de la organización para fines de comercialización (copia pirata)

· acceso directo o telefónico a base de datos con fines fraudulentos

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

  • nivel de seguridad de acceso
  • empleo de las claves de acceso
  • evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

Cantidad y Tipo de Información

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

  • la información este en manos de algunas personas
  • la alta dependencia en caso de perdida de datos

Control de Programación

Se debe tener en cuenta que el delirio más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que:

  • los programas no contengan bombas lógicas
  • los programas deben contar con fuentes y sus ultimas actualizaciones
  • los programas deben contar con documentación técnica, operativa y de emergencia.

Personal

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

  • la dependencia del sistema a nivel operativo y técnico
  • evaluación del grado de capacitación operativa y técnica
  • contemplar la cantidad de personas con acceso operativo y administrativo
  • conocer la capacitación del personal en situaciones de emergencia

Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.

También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

Rasgos del Personal

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:

  • malos manejos de administración
  • malos manejos por negligencia
  • malos manejos por ataques deliberados

Instalaciones

Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

  • la continuidad del flujo eléctrico
  • efectos del flujo eléctrico sobre el software y hardware
  • evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
  • verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones

Control de Residuos

Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja.

Establecer las Áreas y Grados de Riesgo

Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe:

Establecer el costo del Sistema de Seguridad (Análisis costo vs Beneficio)

Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad.

Para realizar este estudio se debe considerar lo siguiente:

  • clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
  • identificar las aplicaciones que tengan alto riesgo
  • cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo
  • formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera
  • la justificación del costo de implantar las medidas de seguridad

Costo x perdida Costo del de información sistema de seguridad

Prioridad de los procedimientos de seguridad:

- Metodología para el desarrollo de políticas y procedimientos en seguridad de información. Ejemplo de políticas de seguridad. La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información frente a peligros externos e internos. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos...mente cuando exista claramente la asignación clara de responsabilidades. Si se ignora este paso importante, se corre el riesgo de posteriores objeciones, críticas y malentendidos, que pueden significar problemas y grandes retrasos.

-El Cuadro de Mando es una metodología o herramienta de gestión y operación de seguridad que refleja la situación actual de la organización, la planificación de acciones y el progreso realizado en la consecución de sus objetivos. Para ello, el Cuadro de Mando refleja diferentes aspectos de seguridad, partiendo de datos automatizados o manuales tratados para su fácil interpretación según la definición de métricas e indicadores. Esta información es almacenada y comparada históricamente permitiendo analizar la evolución de la Seguridad y del propio Sistema de Gestión.

Segunda parte

INTRODUCCIÓN.

En la práctica integradora aplicaremos los conocimientos obtenidos a lo largo del presente curso de seguridad informática avanzada, cabe recalcar que en este trabajo nos enfocaremos a solucionar los problemas existentes en una empresa llamada “Grupo Famoso”, la cual nos pide como director de sistemas desarrollar un nuevo sistema de información, es aquí donde pondremos a prueba nuestros conocimientos como director de sistemas.

Es importante recalcar que esta empresa cuenta con 40 años desde sus inicios y sus instalaciones se encuentran en Morelia Michoacán, su ramo es la venta de automóviles y cuenta ya, con 200 agencias de autos instaladas en todo el país.

Después de dar una breve descripción del trabajo que se realizara y una breve reseña de la empresa que pide el servicio, continuaremos con el trabajo el cual se desarrollara a continuación.

  1. ¿Qué leyes revisadas en el curso aplicarían a la empresa?

Es indispensable en toda empresa legalizar, establecer e implantar normas y leyes, tanto para los servicios que preste a sus clientes, como para todos aquellos procesos que se utilicen en el procesamiento de la información manejada por sus sistemas.

No es por demás mencionar que toda aquella persona que labore en la empresa debe de tener bien definido sus roles y privilegios dentro de la misma, esto aplica para todos, tanto dueños, inversionistas, custodios de la información y de mantenimiento, etc.

La cada vez mayor dependencia tecnológica de las organizaciones e individuos para la realización de sus actividades, traducida en el uso generalizado de Internet y sus servicios, sistemas de información, computadoras portátiles, de escritorio, las agendas electrónicas y las tecnologías inalámbricas, han hecho que el acceso a datos e información sea más fácil que nunca antes. Lo que desde otra perspectiva ha generado nuevas oportunidades para el surgimiento de problemas relacionados con la tecnología tales como el robo de datos, los ataques maliciosos mediante virus, el hackeo a los equipos de cómputo y redes de telecomunicaciones y los ataques de negación de servicios, entre otros, que en particular y en conjunto constituyen los riesgos de esta evolución.

Las fallas de seguridad pueden ser costosas para la organización, las pérdidas pueden ocurrir como resultado de la falla misma o pueden derivarse de la recuperación del incidente, seguidos por más costos para asegurar los sistemas y prevenir fallas. Un conjunto bien definido de políticas y procedimientos de seguridad puede prevenir pérdidas de reputación y financieras, así como ahorrar dinero, al proteger el capital de información contra todos los tipos de riesgos, accidentales o intencionales.

La información es un activo para las organizaciones y bajo esta premisa, la Seguridad de la Información asume que es necesario protegerla, teniendo como objetivos los siguientes:

• Acceso y uso de los sistemas de información cuando se les requiera, capaces de resistir intrusiones y recuperarse de fallas (disponibilidad).

• Utilización y difusión solo entre y por aquellos que tienen derecho de hacerlo (confidencialidad).

• Protección contra modificaciones no autorizadas, errores e inexactitudes (integridad).

• Intercambio de información y transacciones entre organizaciones e individuos confiable (autenticación y no repudio).

Cualquier esfuerzo encaminado a obtener una administración de la Seguridad de la Información comienza con un fuerte compromiso de los titulares o dueños de la empresa “Grupo Famoso”. Una dirección inteligente comprende que las operaciones y transacciones seguras se traducen en mayor productividad, al evitar pérdidas y reforzar ventajas organizacionales. Las políticas y procedimientos de seguridad afectan a toda la Institución y, como tal, deben tener el soporte y la participación de los usuarios finales, la dirección, el personal de informática y del área legal. Por lo tanto, las personas que representan a diferentes niveles de toma de decisión deben reunirse a discutir estos problemas para establecer y aprobar las prácticas de seguridad al interior de sus propias unidades de gobierno.

La Seguridad de la Información no es una materia específicamente tecnológica, es de personas y por tanto es un problema organizacional de amplio espectro, siempre dinámico.

Todo lo anterior, justifica a la Seguridad de la Información como un tema de relevante actualidad e indiscutible trascendencia en el ámbito de “Grupo Famoso”..

Dimensiones de la seguridad

Organigrama

“Lo importante no es tanto la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe qué hacer cuando pasa. Conocer los riesgos para poder afrontarlos y controlarlos.”

Gestión de la seguridad.

• Es necesario que los tres elementos funcionen de forma conjunta y coordinada:

– Tecnología: medidas tecnológicas de protección.

– Procesos: supervisar el correcto funcionamiento de la tecnología y las personas.

– Personas: utilizan la tecnología y ejecutan los procesos.


Tenemos que tomar en cuenta para esta empresa las dimensiones de la seguridad de la información

En el curso observamos algunas normas y leyes, las cuales aplican perfectamente en la situación que presenta “Grupo Famoso” y también para cualquier empresa que tenga activos de información, a continuación se mencionaran:

1.- ISO27001

2.- ISO17799

Estas dos son un conjunto de controles que cubren las mejores prácticas en seguridad para la información.

3.- ITIL (IT infraestructura library).

4.- Análisis forense.

5.- Copyright.

6.- Ley SARBANES-OXLEY (SOX, esta ley evita que la empresa refleje su estado financiero, por causas de seguridad).

Como complemento a la legislación vigente en materia de protección de datos de carácter personal, existe en la actualidad la norma internacional UNE ISO/IEC 17799:2005 “Código de Buenas Prácticas para la gestión de la seguridad de la información”, que se ha configurado como un estándar de facto a la hora de auditar los aspectos relacionados con la seguridad de la información en las organizaciones.

CONCLUSIÓN.

Como pudimos observar la situación de la empresa es algo complicada, ya que al diseñar un nuevo sistema el cual implique el anterior corre un riesgo muy grande de tener problemas, sobre todo con la información, es por esto que se debe de diseñar un plan de migración de datos y “back up” de la información antes de implementar el sistema, así como seguir las políticas de seguridad de la misma.

Y por experiencia (como observadora) al realizar la migración de datos, la luz hizo un bajón creando conflicto con la migración, además de pérdida de parte de los datos, los cuales eran parte de la base de datos de una refaccionaría, lo malo en estos casos es que pueden ser perdidas millonarias o aunque sea de simples datos, perder datos de contabilidad, ventas, bases de datos, existencias, etc., en lo de pago a bancos y proveedores pues la implementación de un buen sistema de sistema de protección dentro de todas las computadora pero especialmente dentro del departamento de contabilidad y altos puestos, como ya se presento en la grafica la red deberá de ser amplia y buscar un lugar donde las condiciones físicas sean adecuadas para implantar un site global para dar soporte a las 200 sucursales.

Los aspectos a analizar son amplios y la inversión a realizar es igualmente importante, sin embargo, es preciso definir una estrategia que planifique las actuaciones a realizar, tanto para comprometer recursos económicos como humanos.

Legislación y Delitos Informáticos - La Información y el Delito

Ver Documentación sobre Legislación en Seguridad

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.


Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún." (1)

En 1983, la Organización e Cooperación y Desarrollo Económico (OCDE) inicio un estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes penales a fin e luchar contra el problema del uso indebido de los programas computacionales.

En 1992 la Asociación Internacional de Derecho Penal, durante el coloquio celebrado en Wurzburgo (Alemania), adoptó diversas recomendaciones respecto a los delitos informáticos, entre ellas que, en la medida que el Derecho Penal no sea suficiente, deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos, si no basta con la adopción de otras medidas como por ejemplo el "principio de subsidiariedad".

Se entiende Delito como: "acción penada por las leyes por realizarse en perjuicio de algo o alguien, o por ser contraria a lo establecido por aquéllas". (2)

Finalmente la OCDE publicó un estudio sobre delitos informáticos y el análisis de la normativa jurídica en donde se reseñan las normas legislativas vigentes y se define Delito Informático como "cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos." (3)

"Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas informáticos, pero tienen como objeto del injusto la información en sí misma". (4)

Adicionalmente, la OCDE elaboró un conjunto de normas para la seguridad de los sistemas de información, con la intención de ofrecer las bases para que los distintos países pudieran erigir un marco de seguridad para los sistemas informáticos.

  1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos, resultando, muchas veces, imposible de deducir como es como se realizó dicho delito. La Informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.
  2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes, pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.

En este punto debe hacerse un punto y notar lo siguiente:

  • No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta, quizás la más poderosa hasta el momento, para delinquir.
  • No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
  • La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
  • Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.
  • La protección de los sistemas informáticos puede abordarse desde distintos perspectivas: civil, comercial o administrativa.

Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.


Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios:

  1. Como instrumento o medio: se tienen a las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito.

Ejemplos:

  • Falsificación de documentos vía computarizada: tarjetas de créditos, cheques, etc.
  • Variación de la situación contable.
  • Planeamiento y simulación de delitos convencionales como robo, homicidio y fraude.
  • Alteración el funcionamiento normal de un sistema mediante la introducción de código extraño al mismo: virus, bombas lógicas, etc.
  • Intervención de líneas de comunicación de datos o teleprocesos.
  1. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la computadora, accesorios o programas como entidad física.

Ejemplos:

  • Instrucciones que producen un bloqueo parcial o total del sistema.
  • Destrucción de programas por cualquier método.
  • Atentado físico contra la computadora, sus accesorios o sus medios de comunicación.
  • Secuestro de soportes magnéticos con información valiosa, para ser utilizada con fines delictivos.

Este mismo autor sostiene que las acciones delictivas informáticas presentan las siguiente características:

  1. Sólo una determinada cantidad de personas (con conocimientos técnicos por encima de lo normal) pueden llegar a cometerlos.
  2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés protegido (como en los delitos convencionales) sino de acuerdo al sujeto que los comete. Generalmente este sujeto tiene cierto status socioeconómico y la comisión del delito no puede explicarse por pobreza, carencia de recursos, baja educación, poca inteligencia, ni por inestabilidad emocional.
  3. Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado se encuentra trabajando.
  4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el atacante.
  5. Provocan pérdidas económicas.
  6. Ofrecen posibilidades de tiempo y espacio.
  7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulación y por miedo al descrédito de la organización atacada.
  8. Presentan grandes dificultades para su comprobación, por su carácter técnico.
  9. Tienden a proliferar, por lo se requiere su urgente regulación legal.

María Luz Lima, por su parte, presenta la siguiente clasificación de "delitos electrónicos" (5):

  1. Como Método: conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito.
  2. Como Medio: conductas criminales en donde para realizar un delito utilizan una computadora como medio o símbolo.
  3. Como Fin: conductas criminales dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla.

Puede ver y descargar la normativa de todos los países desde nuestra sección de Legislación.


(1) TÉLLES VALDEZ, Julio. Derecho Informático. 2° Edición. Mc Graw Hill. México. 1996 Pág. 103-104

(2) MOLINER, María. Diccionario de María Moliner Edición Digital. Copyright© 1996 Novel Inc.; Copyright © 1996 María Moliner.

(3) Definición elaborada por un Grupo de Expertos, invitados por la OCDE a París en Mayo de 1993.

(4) CARRION, Hugo Daniel. Tesis "Presupuestos para la Punibilidad del Hacking". Julio 2001. http://www.delitosinformaticos.com/tesis.htm

(5) LIMA de la LUZ, María. Criminalia N° 1-6 Año L. Delitos Electrónicos. Ediciones Porrua. México. Enero-Julio 1984.