Seguridad en

los Sistemas de
Información

Magister Susan Oliva

 INTRODUCCIÓN
La seguridad de la información es el conjunto
de medidas preventivas y reactivas de
las organizaciones y de los sistemas
tecnológicos que permiten resguardar y
proteger la información buscando mantener la
confidencialidad, la disponibilidad e integridad
de la misma.
 Importancia de
Controlar los S.I.
Dado el alto grado de penetración de la informática en
la vida cotidiana doméstica y organizacional, cualquier tipo de fallo
en los sistemas de información pueden producir catástrofes
importantes.
A los efectos de minimizar el impacto de las amenazas,
las empresas necesitan implementar un sistema de control del
sistema de información.

Conceptos importantes:
 Amenazas  Riesgo latente, acción que genera temor.
 Controles  Intervenciones realizadas con el objeto de
prevenir cualquier
posible desvío respecto a lo que se
pretendía.
 Seguridad  Políticas, procedimientos y medidas técnicas
que se aplican para evitar cualquier tipo de fallo,
robo, alteración a los S.I.
Amenazas
Password cracking
Escalamiento de privilegios
Fraudes informáticos

Man in the middle

Puertos vulnerables abiertos Exploits
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Ultimo parches no instalados

Instalaciones default
Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

4
Amenazas a los Sistemas de
Información
Amenaza Descripción de las mismas
• Alto Intercambio de información que aumenta los canales de acceso a los datos desde
Problemas de diferentes fuentes.
Telecomunicaciones • Fallos en establecer y/ó mantener una comunicación. Cortes de comunicación
inesperado.
• Falta de señal en redes inalámbricas.

• Acceso no autorizado a una red de computadoras. Este acceso puede o no contar con
Intrusión robo ú alteración al sistema y/ó sus datos.
_Cuando una persona realiza la intrusión: Se las llama genéricamente “Hackers”. Sin
embargo, existe una denominación específica de acuerdo al tipo de vandalismo
informático, a saber:
 Cracker  Phreaker  Hacker  Pirata informático  Carding  Trashing
_Cuando se trata de una intrusión mediante un programa, esto se conoce como
“Virus”. Existen varios tipos de virus:
 Virus mutantes o polimórficos  Virus de Booteo  Virus de macros
 Virus de archivo  Caballo de Troya  Gusanos o Worms.
 Virus de sobreescritura  Virus residentes  Etc.
Amenazas a los Sistemas de
Información (Cont)
Amenaza Descripción de las mismas
Robo • Puede ser de información, datos y/ó de equipos o soportes físicos

• Rotura de equipos
Fallos de Hardware
• Catástrofes del entorno
• Virus

• Errores en la codificación del Software (Bugs)

Fallos de Software
• Errores producidos en el ingreso de los datos.
• Virus
• Errores producidos por el volumen (ya sea de usuarios concurrentes, de procesos
activos, etc)
Los errores llevan a una mala calidad de la información y pueden impactar negativamente en la
toma de decisiones.

Catástrofes • Incendios
• Fallos en el suministro eléctrico
• Inundaciones
• Sismos
Amenazas a los Sistemas de
Información (Cont.)
Origen de las amenazas:
• Factores técnicos
• Factores de organización
• Factores del entorno.

Combinados con malas decisiones gerenciales o la falta de decisión.

Virus informático: software que puede

• Destruir datos
• Perturbar el normal funcionamiento del procesador
• Vulnerar la privacidad y confidencialidad de la información
• Bloquear y/o congestionar el tráfico en las redes e Internet
• Etc.
Más Amenazas!!
Falsificación de información
Agujeros de seguridad de redes conectadas
para terceros

Spamming Intercepción y modificación y violación de e-mails

Violación de contraseñas
Captura de PC desde el
Virus exterior
Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería
Mails anónimos con agresiones
social
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
wireless
8
Entorno de Control de los Sistemas
Información
La implementación de controles minimiza los riesgos a los que están expuestos los S.I.

Los controles son una combinación de medidas manuales y automatizadas que cuidan de la seguridad de
los activos, la exactitud y fiabilidad de los registros contables y el cumplimiento operativo de las normas
gerenciales.

Tipos de controles:

Controles Generales  Controles amplios que monitorean el funcionamiento

eficaz de los procedimientos programados en todas las
Areas de aplicación.

Controles de Aplicación  Controles específicos y exclusivos de cada una de las

aplicaciones computarizadas.
Entorno de Control de los Sistemas
Información
Controles Generales Descripción de los mismos
Control de Implementación • Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de
calidad para el desarrollo, conversiones y pruebas.

Control de Software • Monitorea el uso del software de sistemas y evita el acceso no autorizado a
los programas de aplicación y al software de sistemas.
• Cuida que el equipo esté protegido físicamente contra incendios y extremos de
Control de Hardware
temperatura y humedad. Debe garantizar la continuidad operativa ante desastres,
implementando respaldos tanto de hardware como de datos.

Control de Operaciones • Ejercido sobre la labor del centro de cómputos. Garantiza que los procedimientos
de Computación programados se apliquen de forma congruente y correcta al almacenamiento y
procesamiento de datos.

Control de Seguridad de • Garantiza que los archivos de datos de negocios no sufran accesos no
los datos autorizados, alteraciones o destrucción.
• Normas, reglas, procedimientos y disciplinas de control formalizados.
Control Administrativo
Asegura que los controles generales y de aplicación de la organización se
apliquen y cumplan debidamente.
Entorno de Control de los Sistemas
Información
Controles de Aplicación Descripción de los mismos
Control de Entrada • Verifica la exactitud e integridad de los datos cuando entran en el sistema. Son
controles para evitar errores en las entradas, conversiones y/ó ediciones de
datos. Es posible establecer totales de control.

Control de • Determina si los datos están completos y son exactos durante la actualización.
Procesamiento Se pueden establecer totales de control de serie, el cotejo por computadora y
verificaciones de edición.

Control de Salida • Monitorea que los resultados del procesamiento sean correctos, estén
completos y se distribuyan debidamente
 Entorno de Control de los Sistemas
Información
¿Qué medidas se pueden implementar para las amenazas existentes? (Algunos ejemplos)

 Virus  Antivirus, no permitir el uso de disquettes para el traslado de información.

 Personas intrusas  Firewalls, Sistemas de detección de intrusiones.

 Desastres  Resguardos completos y/ó incrementales, Espejado de discos, Planes de Recuperación en caso de
desastres.

 Fallos de Software  Controles de entrada, Implementar metodología estandarizada para el desarrollo/mantenimiento

de sistemas y efectuar auditorías sobre el uso de la misma, Controles de salida.

 Problemas de telecomunicación  Cifrado, Firma Digital, Certificado Digital, Integridad del mensaje.

 Seguridad en Transacc. Electrónicas Transmisión Electrónica Inviolable (SET- Tarj. Crédito), E-cash
Auditoria de Sistemas
La Auditoria de Sistemas se ejerce sobre los procesos de control implementados.
Las tareas de la Auditoria son:
• Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los sistemas de información

• Enumerar las deficiencias de control detectadas.

• Estimar la probabilidad de ocurrencia de las deficiencias mencionadas

• Evaluar el impacto en las finanzas y en la organización de dichas deficiencias

• Proponer posibles mejoras en los controles que se efectúan.

Las técnicas posibles de utilizar en la auditoria son:

• Entrevistas y revisión de documentación.

• Control del flujo completo de transacciones.

• Utilización de herramientas de auditoria automatizadas.

Aseguramiento de la Calidad del Software
Definiciones Importantes:
 Calidad, Calidad del Software

 Aseguramiento de la Calidad

Soluciones a los principales problemas de calidad del Software:

 Uso de metodologías apropiadas

 Asignación de los recursos necesarios durante el desarrollo

 Implementación de métricas de software

 Desarrollo de pruebas exhaustivas

 Utilización de herramientas de calidad.

Actualmente existen estándares internacionales que detallan los elementos necesarios y los pasos a seguir para
asegurar la calidad del proceso de desarrollo/implementación de Sistemas.
• ISO 9000-3

• CMM