Escolar Documentos
Profissional Documentos
Cultura Documentos
Ingeniera de Sistemas
1
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
LAS AMENAZAS
Tipos de amenaza
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algn atacante
pueda entrar en ella, con esto, se puede hacer robo de informacin o alterar el funcionamiento
de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos
garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute (CSI) de
San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son
causados desde adentro de la misma. Basado en esto podemos decir que existen 2 tipos de
amenazas:
Amenazas internas: Generalmente estas amenazas pueden ser ms serias que las
externas por varias razones como son:
-Tienen algn nivel de acceso a la red por las mismas necesidades de su trabajo.
2
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
Esta situacin se presenta gracias a los esquemas ineficientes de seguridad con los que
cuentan la mayora de las compaas a nivel mundial, y porque no existe conocimiento
relacionado con la planeacin de un esquema de seguridad eficiente que proteja los recursos
informticos de las actuales amenazas combinadas.
Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnolgicas ahora las
tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la
informacin digital. El rea semntica, era reservada para los humanos, se convirti ahora en el
ncleo de los ataques debido a la evolucin de la Web 2.0 y las redes sociales, factores que
llevaron al nacimiento de la generacin 3.0.
Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que
pueden ser comprendidos por las computadoras, las cuales -por medio de tcnicas de
inteligencia artificial- son capaces de emular y mejorar la obtencin de conocimiento,
hasta el momento reservada a las personas.
Es decir, se trata de dotar de significado a las pginas Web, y de ah el nombre de Web
semntica o Sociedad del Conocimiento, como evolucin de la ya pasada Sociedad de
la Informacin
En este sentido, las amenazas informticas que viene en el futuro ya no son con la inclusin de
troyanos en los sistemas o software espas, sino con el hecho de que los ataques se han
profesionalizado y manipulan el significado del contenido virtual.
ANLISIS DE RIESGOS
El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas
que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los
cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin
3
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a
ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar
prohibido" y sta debe ser la meta perseguida.
Cuando se pretende disear una tcnica para implementar un anlisis de riesgo informtico se
pueden tomar los siguientes puntos como referencia a seguir:
El reto es asignar estratgicamente los recursos para equipo de seguridad y bienes que
intervengan, basndose en el impacto potencial para el negocio, respecto a los diversos
incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema
de gestin de incidentes necesita saber el valor de los sistemas de informacin que pueden ser
potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro
de la organizacin asigne un valor monetario a cada equipo y un archivo en la red o asignar un
valor relativo a cada sistema y la informacin sobre ella. Dentro de los Valores para el sistema
se pueden distinguir: Confidencialidad de la informacin, la Integridad (aplicaciones e
informacin) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un
sistema independiente del negocio, supongamos el siguiente ejemplo, un servidor Web pblico
pueden poseer los requisitos de confidencialidad de baja (ya que toda la informacin es
pblica),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de
planificacin de recursos empresariales (ERP),sistema puede poseer alta puntaje en los tres
variables. Los incidentes individuales pueden variar ampliamente en trminos de alcance e
importancia.
Actualmente las legislaciones nacionales de los Estados, obligan a las empresas, instituciones
pblicas a implantar una poltica de seguridad.
4
Auditoria de Sistemas IS-547
Ingeniera de Sistemas
La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores
en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por
eso en lo referente a elaborar una poltica de seguridad, conviene:
Los derechos de acceso de los operadores deben ser definidos por los responsables
jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los
recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems,
como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que
derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de
la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de
seguridad informtica.
ORGWARE
El "orgware"; o componente estructural de un sistema tecnolgico, tiene la misin de asegurar
el funcionamiento del hardware y el software, garantizar la interaccin con otros elementos y
con otros sistemas de naturaleza diferente. Todo sistema tecnolgico requiere una forma
especfica de organizacin estructural, de manera que sin ella el diseo y el componente
tecnolgico, pueden resultar o intil o perjudicial. Para su planteamiento Dobrov parte de los
siguientes argumentos:
No es suficiente disponer de los medios tcnicos necesarios.
Tampoco es suficiente con disponer de los secretos tecnolgicos, es decir, del conjunto
de los conocimientos y competencias profesionales necesarios para dirigir los procesos
correspondientes.
Y es indispensable tener una organizacin especialmente puesta a punto,
correspondiente al nivel y a la especificidad del sistema tecnolgico y a las condiciones
de aplicacin de sus principios y funciones (equipamiento organizativo especfico).
5
Auditoria de Sistemas IS-547
Ingeniera de Sistemas