Universidad Laica Eloy Alfaro De Manab

Proyecto Integrador de Saberes

Tema del PIS:

Investigacin de los diferentes tipos de seguridades informticos y sus aplicaciones en las empresas financieras. Autores:

de

Software

Kevin Muiz Jonathan Martnez Byron Samaniego Gerson Flores Carlos Alvarado Tutor: Ernesto Pazmio rea - Carrera: Ciencias e Ingeniera Ingeniera en Sistemas Aula: M-03 Auditoria

I Semestre SNNA ULEAM 2013

Manta Ecuador

ndice
Portada......................................................................................................1 ndice.........................................................................................................2 1. CAPITULO I 1.1. 1.2. 1.3. 1.4. Planteamiento del problema................................................................4 Justificacin.........................................................................................5 Formulacin del problema....................................................................5 Objetivos...............................................................................................6 1.4.1. Objetivos Generales.....................................................................6 1.4.2. Objetivos Especficos..................................................................6 1.5. Relacin del Proyecto con el perfil......................................................7 Perspectivo del nivel de formacin 2. CAPITULO II 2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. Marco Terico...................................................................................8 Seguridad de Software............................................................................8 Amenazas..............................................................................................9 Tipos de amenazas...............................................................................10 Tcnicas para asegurar el sistema........................................................14 Respaldo de Informacion.......................................................................16 Redes Cableadas..................................................................................18 La tecnologa bancaria...........................................................................20 Los Cajeros Automaticos...................................................................21

2.10. Tecnologa y ms seguridad...........................................23 2.11. Seguridad Otros Participantes...............................................................24 2.12. Conjetura..26 3. CAPITULO III 3.1. 3.2. Mtodos27 Tcnicas...28 3.2.1. Entrevistas

3.2.2. Encuestas 3.3. 3.4. 3.5. 3.6. 3.7. Poblacin y Muestra35 Anlisis de resultado35 Conclusiones...38 Bibliografa.39 Anexos..40 3.7.1. Diagrama Causa Efecto41 3.7.2. Base Legal..42 3.7.3. Grficos caractersticas y variables....43 3.7.4. Fotos44 3.7.5. Cronograma...51

Planteamiento En todo momento lugar, hora, muchas personas y por ende una gran cantidad de instituciones son vctimas del desasosiego producido por la amenaza bajo diferentes manifestaciones: terrorismo, subversin, extorsin, atraco, secuestro, asesinato. El problema radica en que sociedad se ha convertido casi en simple espectadora, testiga impvida de los insucesos diarios a todo nivel. El ciudadano se cree protegido por la buena suerte y considera que el delito podr golpear al resto pero nunca a l. Los hechos demuestran que todos estamos en la mira de la delincuencia y para ella no importa la condicin econmica, social, el tipo de trabajo o el lugar de actividad ya que bajo cualquier circunstancia, todos podemos ser vctimas de la situacin de inseguridad y amenaza imperantes. Los hechos tambin dejan en claro que entra ms protegida est una persona o institucin, ms difcil ser para la delincuencia llegar atentar contra ella, o convertirla en su vctima. EN el pas, la grave crisis que aqueja al sistema bancario, el cmo responder a las enormes presiones el dlar y que salida darle a las tasas de inters una vez que el banco central haba abandonado el sistema de bandas cambiarias y haba decidido ir a la flotacin total, originaron la toma de medidas por parte del gobierno, decretndose un feriado bancario el dia Lunes 8 de marzo de 1999, es decir la banca tena la orden de no trabajar, no negociar, no atender al pblico. Una semana despus cuando concluy el feriado que se extendi hasta el siguiente Lunes 15 a causa de un paro sindical el presidente anunci algo an ms duro; todo el dinero ahorrado o invertido bajo cualquier figura en el sistema financiero nacional se quedara congelado por un ao. En el medio internacional tambin nos encontramos a lo largo del tiempo muchos fraudes en contra del usuario, debido a la falta de uso de los diferentes tipos de seguridad en su software.

Justificacin El propsito de esta investigacin primero es conocer los tipos de software que presentan las diferentes entidades bancarias, y luego evaluarlas para encontrar el punto bajo que estos brindan al usuario. Tomando en cuenta los datos que poseemos y de acuerdo a la problemtica en este proyecto otro objetivo importante es que a ms de conocer los inconvenientes que se han venido dando a lo largo del desarrollo tecnolgico es conocer cmo mejorar estos dficit y cuando tengamos los conocimientos necesarios realizar software que faciliten a los usuarios su utilizacin y con toda la medidas de seguridad necesaria para que ellos se sientan seguros y confen en los software ya que este ha sido un inconveniente latente en la desconfianza de la digitalizacin y se ha querido retornar al pasado guardando y acumulando grandes volmenes de archivos.

Formulacin del problema Cules son los tipos de seguridades de software?

Objetivos

Objetivos Generales Conocer los tipos de seguridad de software informticos para aplicarlos en cualquier mbito que sea requerido.

Objetivos Especficos Conocer los niveles de seguridad de software que existen y cules son los ms aplicados en el mercado nacional. Conocer los requerimientos por parte de las entidades bancarias. Conocer los requerimientos por parte de los usuarios de cuentas.

Relacin con el perfil prospectivo del nivel de formacin Este proyecto se relaciona totalmente con nuestra carrera ya que trata de los tipos de seguridades de software informticos. En este proyecto se analiza profundamente un tema que es de alta relevancia para los programas que se estructuran a menudo que es bsicamente la SEGURIDAD de los mismo. Al hablar de seguridad de software nos metemos a la parte ms delicada de la responsabilidad que cumple el programador cuando garantiza su trabajo en cuanto a las seguridades que pueden prestar la sistematizacin de informacin confidencial y esto es de gran utilidad para el perfil de conocimientos que requiere nuestra carrera para desempearnos profesionalmente ya que al garantizar un producto debemos de estar 100% seguros que nada ni nadie podr evadir las seguridades que hemos puestos como cdigo, pero este es un tema de alta cuestin ya que es demasiado compleja su estructuracin e investigacin, he aqu la importancia y relacin existente con el perfil prospectivo de nuestro nivel de formacin.

Capitulo II Marco Terico Seguridad informtica La seguridad informtica o seguridad de tecnologas de la informacin es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la informacin contenida o circulante. Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organizacin valore (activo) y signifique un riesgo si esta informacin confidencial llega a manos de otras personas, convirtindose, por ejemplo, en informacin privilegiada. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo solo se encarga de la seguridad en el medio informtico, pero la informacin puede encontrarse en diferentes medios o formas, y no solo en medios informticos. La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable. Objetivos La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los trabajadores y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores. La seguridad informtica est concebida para proteger los activos informticos, entre los que se encuentran:

La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica.

Los usuarios: Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la informacin y tampoco que la informacin que manejan o almacenan sea vulnerable. La informacin: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.

Amenazas No solo las amenazas que surgen de la programacin y el funcionamiento de un dispositivo de almacenamiento, transmisin o proceso deben ser consideradas, tambin hay otras circunstancias que deben ser tenidas en cuenta, incluso no informticas. Muchas son a menudo imprevisibles o inevitables, de modo que las nicas protecciones posibles son las redundancias y la descentralizacin, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clster para la disponibilidad. Las amenazas pueden ser causadas por:

Usuarios: causa del mayor problema ligado a la seguridad de un sistema informtico. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayora de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc. Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano informtico, un troyano, una bomba lgica, un programa espa o spyware, en general conocidos como malware. Errores de programacin: La mayora de los errores de programacin que se pueden considerar como una amenaza informtica es por su condicin de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en s mismo, una amenaza. La actualizacin de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas. Intrusos: persona que consiguen acceder a los datos o programas a los cuales no estn autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.). Un siniestro (robo, incendio, inundacin): una mala manipulacin o una mala intencin derivan a la prdida del material o de los archivos. Personal tcnico interno: tcnicos de sistemas, administradores de bases de datos, tcnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.

Fallos electrnicos o lgicos de los sistemas informticos en general. Catstrofes naturales: rayos, terremotos, inundaciones, rayos csmicos, etc.

Tipos de amenaza Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir ms de una clasificacin. Por ejemplo, un caso de phishing puede llegar a robar la contrasea de un usuario de una red social y con ella realizar una suplantacin de la identidad para un posterior acoso, o el robo de la contrasea puede usarse simplemente para cambiar la foto del perfil y dejarlo todo en una broma (sin que deje de ser delito en ambos casos, al menos en pases con legislacin para el caso, como lo es Espaa). Amenazas por el origen El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no est conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de San Francisco aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las externas por varias razones como son:

Si es por usuarios o personal tcnico, conocen la red y saben cmo es su funcionamiento, ubicacin de la informacin, datos de inters, etc. Adems tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo, lo que les permite unos mnimos de movimientos. Los sistemas de prevencin de intrusos o IPS, y firewalls son mecanismos no efectivos en amenazas internas por, habitualmente, no estar orientados al trfico interno. Que el ataque sea interno no tiene que ser exclusivamente por personas ajenas a la red, podra ser por vulnerabilidades que permiten acceder a la red directamente: rosetas accesibles, redes inalmbricas desprotegidas, equipos sin vigilancia, etc.

Amenazas externas: Son aquellas amenazas que se originan fuera de la red. Al no tener informacin certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qu es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el

10

administrador de la red puede prevenir una buena parte de los ataques externos. Amenazas por el efecto El tipo de amenazas por el efecto que causan a quien recibe los ataques podra clasificarse en:

Robo de informacin. Destruccin de informacin. Anulacin del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantacin de la identidad, publicidad de datos personales o confidenciales, cambio de informacin, venta de datos personales, etc. Robo de dinero, estafas,...

Amenazas por el medio utilizado Se pueden clasificar por el modus operandi del atacante, si bien el efecto puede ser distinto para un mismo tipo de ataque:

Virus informtico: malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un computadora, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Phishing. Ingeniera social. Denegacin de servicio. Spoofing: de DNS, de IP, de DHCP, etc.

Amenaza informtica del futuro Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnolgicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los certificados que contienen la informacin digital. El rea semntica, era reservada para los humanos, se convirti ahora en el ncleo de los ataques debido a la evolucin de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generacin 3.0.

Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales -por medio de tcnicas de inteligencia artificial- son capaces de emular y mejorar la obtencin de conocimiento, hasta el momento reservada a las personas.

11

Es decir, se trata de dotar de significado a las pginas Web, y de ah el nombre de Web semntica o Sociedad del Conocimiento, como evolucin de la ya pasada Sociedad de la Informacin

En este sentido, las amenazas informticas que viene en el futuro ya no son con la inclusin de troyanos en los sistemas o softwares espas, sino con el hecho de que los ataques se han profesionalizado y manipulan el significado del contenido virtual.

La Web 3.0, basada en conceptos como elaborar, compartir y significar, est representando un desafo para los hackers que ya no utilizan las plataformas convencionales de ataque, sino que optan por modificar los significados del contenido digital, provocando as la confusin lgica del usuario y permitiendo de este modo la intrusin en los sistemas, La amenaza ya no solicita la clave de homebanking del desprevenido usuario, sino que directamente modifica el balance de la cuenta, asustando al internauta y, a partir de all, s efectuar el robo del capital. Obtencin de perfiles de los usuarios por medios, en un principio, lcitos: seguimiento de las bsquedas realizadas, histricos de navegacin, seguimiento con geoposicionamiento de los mviles, anlisis de las imgenes digitales subidas a Internet, etc.

Para no ser presa de esta nueva ola de ataques ms sutiles, se recomienda:

Mantener las soluciones activadas y actualizadas. Evitar realizar operaciones comerciales en computadoras de uso pblico. Verificar los archivos adjuntos de mensajes sospechosos y evitar su descarga en caso de duda.

Anlisis de riesgos Artculo principal: Anlisis de riesgo informtico. El anlisis de riesgos informticos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. Teniendo en cuenta que la explotacin de un riesgo causara daos o prdidas financieras o administrativas a una empresa u organizacin, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicacin de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.

12

Elementos de un anlisis de riesgo El proceso de anlisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los clculos realizados. Este anlisis de riesgo es indispensable para lograr una correcta administracin del riesgo. La administracin del riesgo hace referencia a la gestin de los recursos de la organizacin. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total as como tambin el tratamiento del riesgo, evaluacin del riesgo y gestin del riesgo entre otras. La frmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta frmula determinaremos su tratamiento y despus de aplicar los controles podremos obtener el riesgo residual. Anlisis de impacto al negocio Vase tambin: Economa de seguridad informtica. El reto es asignar estratgicamente los recursos para cada equipo de seguridad y bienes que intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la informacin sobre ella. Dentro de los valores para el sistema se pueden distinguir: confidencialidad de la informacin, la integridad (aplicaciones e informacin) y finalmente la disponibilidad del sistema. Cada uno de estos valores es un sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor web pblico pueden poseer la caracterstica de confidencialidad baja (ya que toda la informacin es pblica) pero necesita alta disponibilidad e integridad, para poder ser confiable. En contraste, un sistema de planificacin de recursos empresariales (ERP) es, habitualmente, un sistema que posee alto puntaje en las tres variables. Los incidentes individuales pueden variar ampliamente en trminos de alcance e importancia. Puesta en marcha de una poltica de seguridad Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones pblicas a implantar una poltica de seguridad. Por ejemplo, en Espaa, la Ley Orgnica de Proteccin de Datos de carcter personal o tambin

13

llamada LOPD y su normativa de desarrollo, protege ese tipo de datos estipulando medidas bsicas y necesidades que impidan la prdida de calidad de la informacin o su robo. Tambin en ese pas, el Esquema Nacional de Seguridad establece medidas tecnolgicas para permitir que los sistemas informticos que prestan servicios a los ciudadanos cumplan con una requerimientos de seguridad acordes al tipo de disponibilidad de los servicios que se prestan. Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dio. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene:

Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad informtica. Tcnicas para asegurar el sistema

Dos firewalls permiten crear una DMZ donde alojar los principales servidores que dan servicio a la empresa y la relacionan con Internet. Por ejemplo, los servidores

14

web, los servidores de correo electrnico,... El router es el elemento expuesto directamente a Internet y, por tanto, el ms vulnerable. El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo. Cada tipo de ataque y cada sistema requiere de un medio de proteccin o ms (en la mayora de los casos es una combinacin de varios de ellos) A continuacin se enumeran una serie de medidas que se consideran bsicas para asegurar un sistema tipo, si bien para necesidades especficas se requieren medidas extraordinarias y de mayor profundidad:

Utilizar tcnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estndares y de personal suficientemente formado y concienciado con la seguridad. Implantar medidas de seguridad fsicas: sistemas antiincendios, vigilancia de los centros de proceso de datos, sistemas de proteccin contra inundaciones, protecciones elctricas contra apagones y sobretensiones, sistemas de control de accesos, etc. Codificar la informacin: criptologa, criptografa y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la informacin que se quiere proteger, no solo en aquellos ms vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegidocon dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados pero se deja sin cifrar las impresiones enviada a la fotocopiadora de red, tendramos un punto de vulnerabilidad. Contraseas difciles de averiguar, por ejemplo a partir de los datos personales del individuo o por comparacin con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseas, adems, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseas. Vigilancia de red. Las redes transportan toda la informacin, por lo que adems de ser el medio habitual de acceso de los atacantes, tambin son un buen lugar para obtener la informacin sin tener que acceder a las fuentes de la misma. Por la red no solo circula la informacin de ficheros informticos como tal, tambin se transportan por ella: correo electrnico, conversaciones telefnica (ToIP), mensajera instantnea, navegacin Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger

15

la red es una de las principales tareas para evitar robo de informacin. Existen medidas que abarcan desde la seguridad fsica de los puntos de entrada hasta el controld e equipos conectados, por ejemplo 802.1x. En el caso de redes inalmbricas la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas adicionales. Redes perimetrales de seguridad. Tecnologas repelentes o protectoras: cortafuegos, sistema de deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la informacin en dos ubicaciones de forma asncrona. Controlar el acceso a la informacin por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo son:

Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseas de accesos a los sistemas de cmputo, como se ha indicado ms arriba, e incluso utilizando programa que ayuden a los usuarios a la gestin de la gran cantidad de contraseas que tienen gestionar en los entornos actuales, conocidos habitaulmente como gestores de identidad.

Redundancia y descentralizacin.

Respaldo de informacin Artculo principal: Copia de seguridad. La informacin constituye el activo ms importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas ms

16

importantes que debe resolver es la proteccin permanente de su informacin crtica. La medida ms eficiente para la proteccin de los datos es determinar una buena poltica de copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo se copian los ficheros creados o modificados desde el ltimo backup). Es vital para las empresas elaborar un plan de backup en funcin del volumen de informacin generada y la cantidad de equipos crticos. Un buen sistema de respaldo debe contar con ciertas caractersticas indispensables:

Continuo El respaldo de datos debe ser completamente automtico y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.

Seguro Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envo de la informacin.

Remoto Los datos deben quedar alojados en dependencias alejadas de la empresa.

Mantenimiento de versiones anteriores de los datos Se debe contar con un sistema que permita la recuperacin de, por ejemplo, versiones diarias, semanales y mensuales de los datos.

Hoy en da los sistemas de respaldo de informacin online, servicio de backup remoto, estn ganando terreno en las empresas y organismos gubernamentales. La mayora de los sistemas modernos de respaldo de informacin online cuentan con las mximas medidas de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de informacin derivando la necesidad del crecimiento de la copia de respaldo a proveedor del servicio. Proteccin contra virus Los virus son uno de los medios ms tradiccionales de ataque a los sistemas y a la informacin que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.

17

Control del software instalado Tener instalado en la mquina nicamente el software necesario reduce riesgos. As mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantas aumenta los riesgos). En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia. Control de la red Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. Mantener al mximo el nmero de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo. Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas. Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus. Proteccin de acceso a las redes Independientemente de las medidas que se adopten para proteger a los equipos de una red de rea local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio fsico a proteger. A continuacin se enumeran algunos de los mtodos, sin entrar al tema de la proteccin de la red frente a ataques o intentos de intrusin desde redes externas, tales como Internet. Redes cableadas Las rosetas de conexin de los edificios deben estar protegidas y vigiladas. Una medida bsica es evitar tener puntos de red conectados a los switches. An as siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por asignacin reservada, etc.

18

Redes inalmbricas En este caso el control fsico se hace ms difcil, si bien se pueden tomar medidas de contencin de la emisin electromgntica para circunscribirla a aquellos lugares que consideremos apropiados y seguros. Adems se consideran medidas de calidad el uso del cifrado (WEP, WPA, WPA v.2, uso de certificados digitales, etc.), contraseas compartidas y, tambin en este caso, los filtros de direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente al uso de un nico mtodo. Algunas afirmaciones errneas comunes acerca de la seguridad

Mi sistema no es importante para un hacker

Esta afirmacin se basa en la idea de que no introducir contraseas seguras en una empresa no entraa riesgos pues quin va a querer obtener informacin ma?. Sin embargo, dado que los mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.

Estoy protegido pues no abro archivos que no conozco

Esto es falso, pues existen mltiples formas de contagio, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas.

Como tengo antivirus estoy protegido

En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicacin, adems los antivirus son vulnerables a desbordamientos de bfer que hacen que la seguridad del sistema operativo se vea ms afectada an.

Como dispongo de un firewall no me contagio

Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entraar riesgos, adems los firewalls de aplicacin (los ms usados) no brindan proteccin suficiente contra el spoofing.

Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la fecha

19

Puede que este protegido contra ataques directamente hacia el ncleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) est desactualizada, un ataque sobre algn script de dicha aplicacin puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix. Organismos oficiales de seguridad informtica Existen organismos oficiales encargados de asegurar servicios de prevencin de riesgos y asistencia a los tratamientos de incidencias, tales como el Computer Emergency Response Team Coordination Center1 del Software Engineering Institute2 de la Carnegie Mellon University el cual es un centro de alerta y reaccin frente a los ataques informticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo. Espaa El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) es un organismo dependiente de Red.es y del Ministerio de Industria, Energa y Turismo de Espaa.

La tecnologa en la industria bancaria En el presente, los bancos estn experimentando en general una gran presin competitiva que los est obligando a revisar sus mtodos y herramientas utilizadas para proporcionar sus servicios bancarios. La globalizacin, que ha introducido a los mercados nuevos competidores, junto con la desregulacin y liberalizacin de la actividad bancaria, es uno de los factores que ejerce presin para bajar los costos y brindar, a la vez, mejores servicios. Afortunadamente, la industria bancaria cuenta hoy en da con diversos recursos y soluciones disponibles; y esto gracias al desarrollo reciente de la tecnologa y las comunicaciones. Es por ende que se han visto en la obligacion de usar software que manejen grandes bases de datos, de clientes, cuentas, cotizaciones, transferencias, fondos y otros est ligado estrechamente con la informacin, lo que le hace propicio liderar innovaciones constantes en cuanto al manejo de las seguridades de software; pero tambin es cierto que los bancos son una de las organizaciones ms conservadoras, por lo que ellos deben ofrecer, a la vez que productos novedosos, seguridad a toda prueba en un negocio en el que la confianza lo es todo.

20

Evolucin reciente de las entidades bancarias Los cajeros automticos

En los ltimos aos, aunque no nos hayamos detenido a pensarlo, todos hemos sido protagonistas de la automatizacin de las actividades bancarias. Amplias redes de cajeros automticos que se distribuyen en todos los pases nos facilitan operaciones que antes podan parecernos tediosas o muy consumidoras de tiempo. Y eso ha sido slo el principio, porque con la llegada del internet banking, la administracin y el manejo de las cuentas bancarias se ha hecho tarea sencilla. El primer cajero automtico data de hace apenas 30 aos en 1994 haba 6000 mquinas de este tipo y para el 2000 su nmero ya superaba los 15 000. Vista esa tendencia, se espera que el nmero de stos siga incrementndose. La comodidad que de encontrarlas casi en todas partes y la facilidad de acceder a ellas con el slo uso de una tarjeta, que conteniendo un chip o una banda magntica otorgan un buen nivel de seguridad en las operaciones. Los fabricantes que abastecen el mercado nacional de cajeros automticos, (Diebold, NCR, Fujitsu y Olivetti) en la disputa por el mercado, han desatado una fuerte competencia en la que muestran lo mejor de sus desarrollos tecnolgicos . Diebold despues hizo el lanzamiento de sus kioscos de autoservicios en los que se podrn realizar pagos de recibo telefnico, cambio de billetes por moneda fraccionaria, venta de vales de despensa y gasolina, timbres y boletos a espectculos. Los servicios bancarios por Internet

La seguridad otorgada y la confianza de los clientes, nuevamente, son los factores claves a tomar en cuanta en el desarrollo de esta nueva forma de hacer banca. Considera que, en relacin con la banca en lnea, sta viene evolucionando a travs de tres diferentes etapas: a) En la primera etapa, se ofrece funcionalidad, similar a la que ya est disponible a travs de los sistemas de banca por telfono tales como acceso a saldos de cuentas e informacin sobre transacciones. Este acceso se provee a travs de un dial-up o un servicio basado en browser. b) En la segunda etapa, se enfatizan las tecnologas interactivas, tales como pagos de cuentas en lnea y otros servicios personalizados. c) La tercera etapa, involucra el marketing directo de crditos y servicios de prstamo, asuntos de administracin financiera personalizada y servicios tales

21

como comercio de ttulos y ofertas de seguros. IDC-Select estima, tambin, que en los Estados Unidos el nmero de bancos que ofrece servicios de banca en lnea se incrementar de 1 150 en 1998 a 15 845 en el 2003. Estas cifras representan el 6 por ciento y el 86 por ciento, respectivamente, de todos los bancos comerciales y las uniones de crdito del pas norteamericano. No obstante, los cosas no estn claras en cuanto a esa nueva forma de hacer banca; pues, por ejemplo, los bancos de slo por internet actualmente estn considerando abrir sucursales y agregar cuentas de ahorro, cuentas corrientes e hipotecas ya que no pueden competir por los principales clientes de los bancos llamados tradicionales [4]. Comparado con Mxico, en el pas la banca electrnica no tiene mucho tiempo de desarrollo y se observa poca participacin de las instituciones, fundamentalmente Banamex y Bancomer [5]. Los bancos mexicanos lanzaron sus portales desde 1995 y aunque al principio slo brindaban informacin, hoy brindan servicios diversos tales como pagos a terceros, opciones de inversin, compra-venta de seguros, pagos a empresas, pagos de nminas, asesora, etc. 4. Tecnologa, pero tambin factor humano Muchas cosas estn cambiando en el negocio bancario, por ejemplo una campaa para vender un nuevo producto como los fondos de pensiones. Antes los jefes de sucursales deban ir a la oficina principal del banco, recibir una charla y luego traer el material a sus oficinas para distribuirlo. Hoy, gracias a la Internet eso no es necesario, la oficina principal puede iniciar la campaa de marketing sin convocar a nadie ni hacer que el personal se mueva de sus escritorios. Adems la tecnologa permite evaluar el resultado de la campaa en el instante, no solamente en las ventas por sucursales, sino tambin por ejecutivo. En ese mismo sentido, anteriormente, un ejecutivo de cuentas conoca todo sobre su cliente y tena una relacin muy personal con l. Hoy en da el trato se ha vuelto ms impersonal y el oficial de crdito no sabe ms de sus clientes "en lnea" que cuando, ocasionalmente, se entiende con ellos para solucionar algn problema o cuando ellos requieren requisitos adicionales para la aprobacin de crditos u operaciones especficas. Pero, de qu serviran todas las tecnologas implementadas si no se venden los nuevos productos diseados o se colocan nuevos crditos?. El factor humano an es decisivo en este tipo de negocios. Es pertinente entonces considerar que la facilidad, rapidez y comodidad impulsada por la Internet puede daar las importantes relaciones con los clientes al punto que se llegue a tener un muy bajo nivel de relacin, lo que debe cuidarse pues muchos servicios bancarios an son asuntos de gente para la gente[6]. De otro lado, las operaciones por va electrnica tambin incrementan de manera

22

significativa los riesgos de seguridad, reiterado factor clave del negocio, y las amenazas se encuentran tanto del lado de los clientes, como dentro de los propios bancos (de los dos lados del firewall); por lo que sigue siendo importante tambin una adecuada seleccin de los recursos humanos. 5. Tecnologa y mayor seguridad Un nmero cada vez mayor de bancos est desarrollando sistemas e implementando dispositivos que brinden mayor seguridad tanto a los clientes como al propio negocio bancario, y aunque en el rubro de la identificacin personal los Personal Identification Number (PIN) son el estndar, nuevas tecnologas como la biomtrica, estn siendo utilizadas. La "biomtrica" [7] constituye un mtodo automtico de reconocimiento de una persona basado en sus caractersticas fsicas y/o de comportamiento. Los mtodos ms conocidos son el reconocimiento de las huellas digitales y el reconocimiento de la firma; aunque tambin estn ya en el mercado el reconocimiento del iris de los ojos, de los rasgos faciales y de la voz. En el Reino Unido, Barclays Bank [7] usa la tecnologa biomtrica basada en el reconocimiento de la huella dactilar desde hace algn tiempo, pero no de forma accesible a todos sus clientes. Tampoco en el Reino Unido existen bancos que la utilicen de forma masiva. En ese pas se cree que tomar algn tiempo hasta que los bancos usen la utilicen ampliamente. Por ahora, parece que el mercado de la biomtrica no se enfoca a ofrecer gran seguridad para clientes masivos de las instituciones bancarias (tal vez en el futuro inmediato), sino ms bien en mejorar la seguridad al interior de los propios bancos. Veridicom de Lucent Technologies por ejemplo ha vendido a muchos bancos en los EE.UU., Japn, Australia y Alemania su solucin biomtrica prototipo, que tambin utiliza huellas dactilares, fabricada a fines de 1997. Esta viene siendo usada al interior de los bancos para identificacin de los empleados con accesos remotos. Esa misma compaa, que actualmente est en conversaciones con el fabricante de cajeros automticos Diebold, cree que los cajeros automticos prximamente utilizarn algn tipo de biomtrica; la pregunta es cul?. Ellos opinan que para este tipo de mquinas tal vez lo ms conveniente sea utilizar el reconocimiento del iris. Bank United [8] fue el primer banco estadounidense en probar cajeros Diebold con tecnologa biomtrica de reconocimiento del iris en 3 de sus sucursales en la primavera de 1999. Encuestas realizadas a los clientes revelaron que a stos (98%) les gustara ver instalados mas cajeros con esas caractersticas, en los que no se tiene mas que poner uno enfrente y no teclear ningn nmero ni poner un

23

solo dedo. Citibank por su parte, considera la adopcin de la biomtrica nunca debera reemplazar a la utilizacin de PINs, ms bien la biomtrica debera ser parte de un mtodo de identificacin de dos factores, que involucre tanto algo que el usuario "tenga" (un atributo fsico), como algo que el usuario conozca (un password) [9];. Una percepcin distinta, pero basada en dos tecnologas que tienen como fin otorgar mayor seguridad. 6. Seguridad, tambin otros participantes Pero los sistemas y tecnologas par dotar de mayor seguridad y eficiencia a las operaciones de los bancos no slo se han aplicado del lado de estas instituciones, tambin las autoridades reguladoras y otras empresas han efectuado importantes innovaciones desarrollando sistemas para los mercados de dinero y de capitales. As podemos ver en bancos centrales sistemas electrnicos de compensacin de cheques, de pagos interbancarios y de operaciones en divisas y cmaras de compensacin en el mbito privado. En los Estados Unidos estn, por ejemplo, los sistemas computarizados de transferencia electrnica de dinero CHIPS (Clearing House Interbank Payments System) y FED-WIRE, que permiten a los bancos ubicados hacer transferencias a travs de un mecanismo central de compensacin vinculando a los bancos del sistema de la Reserva Federal con las sucursales de stos y los bancos miembros. Para la liquidacin de operaciones en divisas est por ejemplo el SWIFT (Society for Worldwire Interbank Financial Communications), que a travs de una interfase segura permite enviar mensajes con transacciones financieras dando soporte mundial las 24 horas del da para ms de 6000 instituciones financieras en 177 pases [10]. En cuanto a Mxico se refiere, para las operaciones del mercado cambiario se cuenta por ejemplo con los sistemas del banco central DOLAR BAN (subasta de dlares), FIXBAN (para establecer el tipo de cambio fix) y OPCIBAN (para la subasta de opciones). Para la compensacin de fondos existen sistemas tales como los de CECOBAN (Centro de Compensacin Bancaria) y SPEUA ( Sistema de Pagos Electrnico de Uso Ampliado) por el que se atienden rdenes de pago de un cliente de un banco a otro cliente de otro banco. Y no slo estn los bancos centrales y dems organizaciones privadas para hacer ms seguras y eficientes las operaciones financieras. En EE.UU. el National Infraestrucure Protection Center (NIPC), institucin gubernamental, ha desarrollado un programa conjunto entre el gobierno y el sector privado, denominado InfraGuard [11], por el que se intercambia informacin con la intencin de proteger loa sistemas de informacin considerados crticos para el

24

pas (contra cyberataques de hackers y otras amenzas del crimen organizado, el espionaje industrial y el terrorismo). En el programa participan adems de varias agencias gubernamentales, el FBI y la Academia. A travs de Infraguard, los bancos y otros negocios privados pueden obtener importante informacin del gobierno sobre amenazas emergentes y seales tempranas de alerta. 7. Tecnologa, seguridad, pagos electrnicos y nuevas oportunidades para los bancos Los bancos juegan un rol fundamental para que el usuario sienta confiable cualquier transaccin en lnea y cuentan con la capacidad para combatir la falta de conocimiento y cambiar la ideologa y el temor de la gente a efectuar transacciones por Internet. Si se aprovechara esa capacidad, los bancos obtendran una oportunidad adicional para hacer nuevos negocios al convertirse en la empresa que intermedie todo ese tipo de transacciones. En el caso de la intermediacin en las compras on-line por ejemplo, los bancos no se alejara de su negocio principal, ms bien haran ms eficiente su papel de regulador financiero [12] y obtendran utilidades al lograr que las compras y pagos se realizaran a travs de sus sistemas. Esa es una oportunidad a aprovechar. Recurdese el reciente problema del ntrax en el servicio postal norteamericano despus de los ataques del 11 de septiembre del 2001, luego de cual muchas personas no queran abrir sus correspondencias ni en sus hogares ni en las empresas [13]. Estas personas enfrentaron el problema de cubrir a tiempo sus obligaciones (por tarjetas de crdito, hipotecas, prstamos personales, pago de facturas, etc). Realmente esa fue una oportunidad para los bancos de promocionar los pagos en lnea y para los clientes de familiarizarse con esta nueva forma de efectuar pagos que se encuentra disponible gracias a la tecnologa.

25

Conjeturas Byron: yo pienso que los sistemas de seguridad financieros tiene que irse actualizando ya que pueden ser vulnerados y por ende hay que crear nuevas formas de protegerlos de posibles ataques informticos.

Joshue: Lo que yo pienso acerca de los tipos de seguridad de softwares en el ambiente financiero es que estos son un recurso importante para dar confianza a los usuarios, pero que deben ser constantemente reforzados para evitar atracos cibernticos.

Kevin: Mi opinin acerca del tema de tipos de seguridad de software financiera, est basada en un proceso de mejoramiento de dichos sistemas y aumento de una forma considerable la seguridad de la informacin de cada usuario. Jonathan: Mi opinin acerca de los tipos de seguridades de software de que son de relevante importancia para mantener segura la informacin de los usuarios y asi poder dar la confianza requerida por los mismos.

Gerson: Acerca del tema a tratar tengo como idea critica que los sistemas de seguridad de software financieros deberan mejorar los protocolos de seguridad de la informacin de los usuarios y estas instituciones a la vez mejorar los diseos graficos para acercarse mas a la sociedad en la que se encuentra.

26

Capitulo III Metodologa

Al realizar el presente proyecto integrador de saberes acerca de: Los tipos de Seguridades de Software y su Aplicacin a las Empresas Financieras , nos hemos servido de los siguientes mtodos: Analticos Este mtodo se utiliz para obtener conclusiones de los problemas que han venido surgiendo desde hace poco tiempo atrs, ya que se analiz cada parte del problema que vena acarreando y perjudicando tanto a las entidades bancarias como a sus respectivos usuarios y por medio de

informes, documentales y reportes partes para obtener los resultados que se buscaban. Sintticos Es un proceso de razonamiento que tiende a reconstruir un todo, a partir de los elementos distinguidos por el anlisis, fue requerido para organizar cada idea del marco terico.

27

Tcnicas Encuestas Universidad Laica Eloy Alfaro de Manab Sistema Nacional de Nivelacin y Admisin- SNNA

Nota: Esta Encuesta en annima, lo que significa que usted tiene toda la libertad para responder con confianza las interrogantes. El fin de la encuesta es de verificar que tan grave es la problemtica a investigar.

1.- Sabe usted que cuando va a una empresa la persona que lo atiende con una computadora manejan un programa (Software) que le administren la informacin. S 2.- Sabe usted o conoce de los softwares Bancarios. S No No

3.- Sabe usted o conoce que los softwares de cualquier empresa son diferentes a los que usan en la entidades financieras en cuanto a su seguridad. S No

4.- Sabe usted el significado a lo que se refiere hacker y Cracker S No

5.- Ha escuchado de Fraudes Cibernticos perjudicando a las entidades financieras como a los usuarios. S No

6.- Ha escuchado hablar de delitos de grandes sumas de dinero sin autorizacin de los titulares de cuenta a causas de los fraudes informticos. S No

28

7.- Considera que las entidades financieras del pas tienen un alto nivel de seguridad en cuanto a su software. S Entrevista Consultora Financiera Contable CFC Lourdes Rivas Flores Gerente No

Entrevista a las entidades bancarias 1.- La empresa que usted representa usa un Sistema que administra la informacin de los usuarios de cuentas hblenos de Es un sistema exclusivo para la empresa o lo usan varias entidades bancarias? - La empresa cuenta con un software que satisface las necesidades del servicio que brindamos y es exclusivo de la empresa. 2.- Cuales son las caractersticas que presentan? -Es un software dinmico con la facilidad de que los que estn a cargo puedan usarlo. 3.- Les brindaron capacitacin para el manejo del software, de ser as cuanto duro esta capacitacin y que parte fue la ms compleja de aprender a manejar. - A cada uno de los que vayan usar se le da su debido tiempo de capacitacin para que no muestren error a la hora de realizar su trabajo. 4.- Han recibido quejas de clientes por fraudes informticos en sus cuentas bancarias? - No, hasta el momento no se ha presentado ese tipo de situaciones. 5.- Que son para ustedes o que representan para las entidades Bancarias los famoso HACKERS? - Estos son un peligro constante que afectan a los propsitos de la empresa. 6.- Como se encuentran ustedes preparados para recibir a los hacker? - Ese tipo de situaciones las controlan los encargados del rea de seguridad informtica.

29

7.- Que seguridades dan a sus Clientes en cuanto a fraudes informticos? Por lo general lo que es el manejo de software pero de manera interna en las cuales solo tenemos acceso personas autorizadas. 8.- Cuales son las medidas de seguridad que ustedes han adoptado para evitar los fraudes informticos. - Se contrat un personal capacitado que se encarga de que este sistema sea invulnerable por terceros. 9.- del 1 al 10 califique la seguridad del software el cual resguardada la informacin de sus clientes. 810.- Cules seran sus hiptesis que manejaran como empresas si uno de sus clientes reportara un fraude informtico? Si fuera El sistema Informtico. Si No 100% seguro. Porque: El sistema no es

Si fueran por funcionarios.Si No porque: puede haber fuga de informacin. Otros..Si No Porque: en este caso los clientes no manejan el software ya que este es interno. 11.- Cuales son los defectos que usted considera en sistematizacin que deberan ser remediados La rapidez de la informacin porque es un poco lento al actualizarse.

30

Banco Sudamericano Gerente Nombre Omitidos Entrevista a las entidades bancarias 1.- La empresa que usted representa usa un Sistema que administra la informacin de los usuarios de cuentas hblenos de Es un sistema exclusivo para la empresa o lo usan varias entidades bancarias? -En efecto, es un sistema totalmente exclusivo de la empresa. 2.- Cuales son las caractersticas que presentan? - Es un software estructuralmente complejo, pero de fcil manejo. 3.- Les brindaron capacitacin para el manejo del software, de ser as cuanto duro esta capacitacin y que parte fue la ms compleja de aprender a manejar. -S, se les brind capacitacin a todo el personal que estara encargado de manejar el sistema. 4.- Han recibido quejas de clientes por fraudes informticos en sus cuentas bancarias? - Hasta el momento no hemos recibido ningn tipo de quejas de parte de los usuarios. 5.- Que son para ustedes o que representan para las entidades Bancarias los famoso HACKERS? -Los hackers representan una amenaza para cualquier tipo de entidad financiera, bancaria o que maneje alguna clase de documentos de gran importancia. 6.- Como se encuentran ustedes preparados para recibir a los hacker? - Contamos con un equipo en el rea de informtica que estn especializados en problemas de este tipo. 7.- Que seguridades dan a sus Clientes en cuanto a fraudes informticos?

31

Nuestro sistema de seguridad no cuenta con la manipulacin directa de los usuarios con este. 8.- Cuales son las medidas de seguridad que ustedes han adoptado para evitar los fraudes informticos. - Hemos puesto a cargo de ese tipo de problemas a un equipo de expertos informticos. 9.- del 1 al 10 califique la seguridad del software el cual resguardada la informacin de sus clientes. - 9 10.- Cules seran sus hiptesis que manejaran como empresas si uno de sus clientes reportara un fraude informtico? Si fuera El sistema Informtico. Si No Porque: El sistema puede presentar partes quebrantables ya que no contamos con un 100% de seguridad de este y porque el avance de la tecnologa nos pide estar en constante renovacin y por lo tanto refuerzo del sistema. Si fueran por funcionarios.Si No porque: En ocasiones suele darse el caso en que existe algn tipo de fuga de informacin, ya sea voluntaria o involuntaria. Otros..Si No Porque: Ya que el usuario no posee contacto directo con el sistema, se descartan este tipo de descuidos. 11.- Cules son los defectos que usted considera en sistematizacin que deberan ser remediados? Existen varios puntos vulnerables que por razones de seguridad no pueden ser revelados, pero que deben de ser puestos a prueba para reforzar el sistema.

32

Banco Machala Gerente - Identificacin omitida Entrevista a las entidades bancarias 1.- La empresa que usted representa usa un Sistema que administra la informacin de los usuarios de cuentas hblenos de Es un sistema exclusivo para la empresa o lo usan varias enfilades bancarias?

- Usamos un sistema en la cual nos permite que el usuario pueda ingresar a su cuenta y ver su estado de cuenta 2.- Cuales son las caractersticas que presentan? - Es un software estructuralmente muy dinmico en la cual se ajusta a la necesidad. 3.- Les brindaron capacitacin para el manejo del software, de ser as cuanto duro esta capacitacin y que parte fue la ms compleja de aprender a manejar. Tuvimos un periodo de preparacin todo el personal y asi mismo se le da asesora a los clientes. 4.- Han recibido quejas de clientes por fraudes informticos en sus cuentas bancarias? -hemos recibido algunas pero no han pasado en montos de altos valores. 5.- Que son para ustedes o que representan para las entidades Bancarias los famoso HACKERS? -Son una ameza ya que estamos propensos a que estas vulneren nuestro sistema. 6.- Como se encuentran ustedes preparados para recibir a los hacker?

33

- Tenemos un equipo capacitado que est supervisando constantemente el sistema. 7.- Que seguridades dan a sus Clientes en cuanto a fraudes informticos? La confianza es lo que brindamos a nuestro usuario pero detrs de nosotros hay tenemos tecnologas de punta que dan un rendimiento al 99% porque recordemos que no todos los mtodos son 100% eficaz. 8.- Cuales son las medidas de seguridad que ustedes han adoptado para evitar los fraudes informticos. - Hemos puesto a cargo de ese tipo de problemas a un equipo de expertos informticos. 9.- del 1 al 10 califique la seguridad del software el cual resguardada la informacin de sus clientes. - 9

10.- Cules seran sus hiptesis que manejaran como empresas si uno de sus clientes reportara un fraude informtico? Si fuera El sistema Informtico. Si No Porque: Como me pronunciaba antes no todos los mtodos sean 100% eficaz y este puede ser vulnerable por terceros. Si fueran por funcionarios.Si No porque: Muchas veces estos pueden ser tentados para cometer estos tipos de fraudes. Otros..Si No Porque: Los usuarios muchas veces no tienen cuidado al momento de entrar a sus cuentas. 11.- Cuales son los defectos que usted considera en sistematizacin que deberan ser remediados? Existen varios puntos vulnerables que por razones de seguridad no pueden ser revelados, pero que deben de ser puestos a prueba para reforzar el sistema.

34

Muestra y Poblacin Poblacin La poblacin fue un grupo heterogneo entre Universitarios y Usuarios de las entidades financiera. Muestra. Nuestra muestra tomada fue de 30 personas. Anlisis de resultados

PREGUNTA 1
SABE USTED QUE CUANDO VA A UNA EMPRESZA LA PERSONA QUE LO ATIENDE CON LA COMPUTADORA MANEJA UN PROGRAMA (SOFTWARE) 0%

100%

El 100 % es decir todas las personas estn al tanto de que su informacin es administrada por sistemas informticos.

35

PREGUNTA 2
SABE USTED O CONOCE DE LOS SOFTWARES BANCARIO. 20% SI NO

80%

El 80 %de la poblacin esta consiente que las seguridades de los software bancarios son ms complejas y el 20% no lo considera.

PREGUNTA 3
SABE USTED O CONOCE QUE LOS SOTFWARE'S DE CUALQUIER EMPRESA SONJ DIFERENTES A LOS QUE USAN EN LAS ENTIDADES FINANCUIERAS EN CUANTO A SU SEGURIDAD 33% 67%

El 67% si comcuerda y el 33% no concuerda.

36

PREGUNTA 4
SABE USTED EL SIGNIFICADO A LO QUE SE REFIERE HACKER Y CRACKER SI NO 40% 60%

El 60% de la poblacin esta consiente de quienes son las personas que le pueden robar y por ende conocen que su dinero no est del todo resguardado y el 40% no concuerda.

PREGUNTA 5
HA ESCUCHADO DE FRAUDES CIBERNETICOS PERJUDICANDO A LAS ENTIDADES FINANCIERAS COMO LOS USUARIOS 20%

80%

El 80 % conoce de los fraudes que ha habido en el pais y el 20% lo desconoce

37

PREGUNTA 6
HA ESCUCHADO HABLAR DE DELITOS DE GRANDES SUMAS DE DINERO SIN AUTORIZACION DE LOS TITULARES DE CUENTA A CAUSAS DE LOS FRAUDES INFORMATICOS 13% 87%

El 87% de la poblacion sabe que le pueden robar dinero y su dinero no esta seguro t el 13% no concuerdan.

PREGUNTA 7
CONSIDERA QUE LAS ENTIDADES FINANCIERAS DEL PAIS TIENEN UN ALTOP NIVEL DE SEGURIDAD EN CUANTO A SU SOFTWARE 33% 67%

El 67% considera que la seguridad bancaria en el pas es deficiente el 33% no concuerda. Conclusiones La globalizacin, la desregulacin y la liberalizacin de los mercados, vienen presionando a la banca para reducir costos, brindar mejores servicios y hacer ms eficiente la actividad bancaria. Las tecnologas estn ayudando eficientemente a implementar los cambios pertinentes en esta actividad considerada tradicionalmente conservadora. An quedan tareas por resolver, como determinar hasta qu medida aplicar las nuevas tecnologas a actividades que siempre han requerido de interaccin personal (como la concertacin de crditos u otro tipo de operaciones) o sustituirlas por la impersonalidad de las operaciones de slo por internet en las que se debe decidir frente a la pantalla de un computador. Sin embargo, problemas como la seguridad vienen siendo exitosamente enfrentados. Seguramente, gracias a la introduccin masiva de la biomtrica, en el futuro inmediato los clientes estaremos ms seguros para identificarnos al efectuar operaciones que involucren dinero, lo que nos proteger de posibles fraudes.

38

Asimismo, los bancos podrn protegerse mejor, internamente, al aplicar este nuevo mtodo en la identificacin de los empleados que manejan dinero y autorizan transacciones cuantiosas. Los gobiernos y otras empresas tambin vienen comprometindose con la seguridad. Superados esos problemas y entrada la era del comercio y los pagos electrnicos, son muchas las oportunidades de negocios que le esperan a los bancos.

Bibliografa http://www.buenastareas.com/ensayos/Uso-De-Software-Libre-EnEcuador/2617451.html http://www.monografias.com/trabajos71/gestion-seguridad-informacion-sectorbancario/gestion-seguridad-informacion-sector-bancario.shtml http://www.abogadosdecuador.com/constitucion-tituloVII.htm http://www.youtube.com/watch?v=KiuTyXehW-8

39

Diagrama Causa - Efecto

40

Base Legal Seccin octava de la Constitucin Poltica del Ecuador Basado en el BUEN VIVIR - Ciencia, tecnologa, innovacin y saberes ancestrales

Art. 385.-- El sistema nacional de ciencia, tecnologa, innovacin y saberes ancestrales, en el marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberana, tendr como finalidad: 1. Generar, adaptar y difundir conocimientos cientficos y tecnolgicos. 2. Recuperar, fortalecer y potenciar los saberes ancestrales. 3. Desarrollar tecnologas e innovaciones que impulsen la produccin nacional, eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan a la realizacin del buen vivir.

41

Grfico de Caracterstica

y Variable

FUNCIONARIOS

SEGURIDAD INFORMATICA

CLIENTES

Variable dependiente: EMPRESAS FINANCIERAS.

42

Fotos

43

44

45

46

47

Plantilla Encuesta/Entrevista

Universidad Laica Eloy Alfaro de Manab Sistema Nacional de Nivelacin y Admisin- SNNA

Nota: Esta Encuesta en annima, lo que significa que usted tiene toda la libertad para responder con confianza las interrogantes. El fin de la encuesta es de verificar que tan grave es la problemtica a investigar.

1.- Sabe usted que cuando va a una empresa la persona que lo atiende con una computadora manejan un programa (Software) que le administren la informacin. S 2.- Sabe usted o conoce de los softwares Bancarios. S No No

3.- Sabe usted o conoce que los softwares de cualquier empresa son dife rentes a los que usan en la entidades financieras en cuanto a su seguridad. S No

4.- Sabe usted el significado a lo que se refiere hacker y Cracker S No

5.- Ha escuchado de Fraudes Cibernticos perjudicando a las entidades financieras como a los usuarios. S No

6.- Ha escuchado hablar de delitos de grandes sumas de dinero sin autorizacin de los titulares de cuenta a causas de los fraudes informticos. S No

7.- Considera que las entidades financieras del pas tienen un alto nivel de seguridad en cuanto a su software. S N

48

Entrevista a las entidades bancarias 1.- La empresa que usted representa usa un Sistema que administra la informacin de los usuarios de cuentas hblenos de Cmo se llama este sistema? Dnde lo adquirieron como empresa? Es un sistema exclusivo para la empresa o lo usan varias entidades bancarias?

2.- Cuando adquirieron el Software cuales fueron las caractersticas esenciales y principales que les dieron a conocer.

3.- cuando ofrecieron el producto y al nombrar sus caractersticas el proveedor en que se enfatiz ms en hablar de la interfaz-facilidad-agilidad del software o de las seguridades que presta el mismo.

4.- les brindaron capacitacin para el manejo del software, de ser as cuanto duro esta capacitacin y que parte fue la ms compleja de aprender a manejar.

5.- Han recibido quejas de clientes por fraudes informticos en sus cuentas bancarias.

6.- Que son para ustedes o que representan para las entidades Bancarias los famoso HACKERS?

8.- Como se encuentran ustedes preparados para recibir a los hacker

9.- que seguridades dan a sus Clientes en cuanto a fraudes informticos

49

10.- Cuales son las medidas de seguridad que ustedes han adoptado para evitar los fraudes informticos

11.- del 1 al 10 califique la seguridad del software el cual resguardada la informacin de sus clientes. 12.- Cules seran sus hiptesis que manejaran como empresas si uno de sus clientes reportara un fraude informtico? Si fuera El sistema Informtico. Si No Si fueran por funcionarios.Si No porque Otros..Si No Porque 13.- Cuales son los Default que usted considera en sistematizacin que deberan ser remediados Porque

50

Cronograma

51