Bienvenido a nuestro Blog!

Seguridad en Computación e Informática

Auditoria de Sistemas

Ing. Oscar Mujica Ruiz

Colaboradores:

Alumnos B 5-5

UNFV-FIIS-2011

viernes, 24 de junio de 2011

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (X)

MANTENER PROCEDIMIENTOS PLANEADOS PARA RECIBIR Y ALMACENAR ABASTECIMIENTO DE PAPEL
La  plataforma de recepción  a menudo  provee  un  fácil  acceso  a todos  los  servidores  de oportunidades para hacer entrega  de materiales  incendiarios  que pueden  destruir  los servicios. Debe preverse mucho  cuidado  para limitarse  el  uso plataforma de recepción  como  un  medio  de  acceso  al  edificio.
Por  consiguiente,  el  abastecimiento de papel  en demasía  de aquel  que se necesita  para satisfacer   los requerimientos  inmediatos  del Centro  de Procesamiento de Datos debe  ser  almacenado  en  un  lugar  apropiado  para proveer detención  de fuego  y  servicios  de  extinción.


Medidas a tomarse:
Se debe de recibir los materiales en un lugar cuya temperatura aproximada sea de 21°C (70°F) y humedad relativa del 40%.
En el lugar de recepción del material debe de haber extinguidores o sistemas de agua.
Se debe tener conexiones eléctricas correctas para evitar el riesgo de incendio por corto circuito.
Almacenar los materiales en muebles incombustibles.
Tener cestos metálicos para papeles en las áreas donde se soliciten.
No debe estar permitido fumar en el área de recepción y abastecimiento del papel.
En el lugar de recepción como en lugares de la organización que la soliciten, las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo al techo.

MEDIDAS DE SEGURIDAD FÍSICA EN UNA RED

Probar  medidas de seguridad  física y operar  procedimientos ver si ellos son  efectivos.

CORTAFUEGOS
Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados a tu ordenador.
Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las redes privadas conectadas con Internet, especialmente intranets.
Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad especificados.
Es importante recordar que un cortafuegos no elimina problemas de virus del ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección adicionales para tu ordenador o red.
Cortafuegos de hardware

Los cortafuegos de hardware proporcionan una fuerte protección contra la mayoría de las formas de ataque que vienen del mundo exterior y se pueden comprar como producto independiente o en routers de banda ancha.
Desafortunadamente, luchando contra virus, gusanos y Troyanos, un cortafuegos de hardware puede ser menos eficaz que un cortafuegos de software, pues podría no detectar gusanos en emails.

Cortafuegos de software

Para usuarios particulares, el cortafuegos más utilizado es un cortafuego de software. Un buen cortafuegos de software protegerá tu ordenador contra intentos de controlar o acceder a tu ordenador desde el exterior, y generalmente proporciona protección adicional contra los troyanos o gusanos de E-mail más comunes…
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (IX)

Recomendaciones:
•El área de Logística, en coordinación con el área de TI , deben establecer un plan de seguridad en el almacenamiento de información, tanto física (Documentos, Libros, Cartas, Facturas, etc.) como lógica (información almacenada en una base de datos)
•La centralización del almacenamiento de la información podría implicar una mejora sustancial con respecto a eficiencia y seguridad del almacenamiento e inventariado de datos, pero a su vez implica un costo mayor.
•Si no es posible realizar una centralización de almacenamiento, se puede optimizar el proceso de clasificación de información, según su tipo, tamaño, fecha, importancia, y acondicionar el medio adecuado para su seguridad e inventario.
•Se sugiere a su vez, luego de una clasificación de datos, realizar una auditoria de niveles de acceso, y a su vez restricciones con respecto a copia y modificación de información de la empresa, lo que implica un cambio en las políticas de seguridad
•La ejecución de un backup programado, permitiría una constante actualización del inventario de datos, sea el almacenamiento centralizado o no.
•Se recomienda realizar una estimación de costos, tanto de almacenamiento como del riesgo que implicaría la perdida de la información.
TOMAR  RAPIDAMENTE  MEDIDAS DECISIVAS  DE ACCIONES  CUANDO   LA SEGURIDAD  ES ARRIESGADA O PERDIDA  Es necesario que la institución defina políticas de seguridad, en las cuales se deben tener en cuenta que:
1.-La Seguridad debe ser considerada desde la fase de diseño de un Sistema, como parte integral del mismo.
2.-Las políticas de seguridad deben ser definidas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol importante....
.
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (VIII)

CREAR  PROCEDIMIENTOS   DE SEGURIDAD   EN EMERGENCIA
Los procedimientos de seguridad en emergencia, es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural, social y tecnológico. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, aunque esto no sea cubierto en este artículo, el propósito es la protección de datos.
PROPOSITO DE PROTECCION DE DATOS
Negocio:
Con el crecimiento de la tecnología de información y la confianza sobre datos cruciales, el panorama ha cambiado en años recientes a favor de la protección de datos irreemplazables. Esto es evidente sobre todo en la tecnología de información; con los sistemas de ordenadores más grandes que sostienen información digital para limitar pérdida de datos y ayudar recuperación de datos.

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes. De las empresas que tenían una pérdida principal de registros automatizados el 43 % nunca vuelve a abrir, el 51 % cierra en menos de dos años, y sólo el 6 % sobrevivirá el largo plazo.
El mercado de protección de datos existente es caracterizado por varios factores:
•             El permanente cambio de las necesidades de los clientes determinado por el crecimiento de datos, asuntos regulatorios y la creciente importancia de tener rápido acceso a los datos conservándolos en línea.
•             Respaldar los datos de vez en cuando teniendo tecnologías de cintas convencionales de reservas.
Como el mercado de recuperación de desastre sigue sufriendo cambios estructurales significativos, este cambio presenta oportunidades para las empresas de la nueva generación a que se especialicen en la planificación de continuidad de negocio y la protección de datos fuera de sitio.
Razones para recurrir a un procedimiento de seguridad en emergencia
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa específica, incluyendo:
•             Catástrofes.
•             Fuego.
•             Fallas de energía.
•             Ataques terroristas.
•             Interrupciones organizadas o deliberadas.
•             Sistema y/o fallas de equipo.
•             Error humano.
•             Virus informáticos.
•             Cuestiones legales.
Prevención ante los desastres
  • Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda más que los datos de una semana.
  • Incluir el software así como toda la información de datos, para facilitar la recuperación.
  • Si es posible, usar una instalación remota de reserva para reducir al mínimo la pérdida de datos.
  • Redes de Área de Almacenamiento (SANs) en múltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos.
  • Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo electrónico.
  • El suministro de energía ininterrumpido (SAI).
  • La prevención de incendios - más alarmas, extintores accesibles.
  • El software del antivirus.
  • El seguro en el hardware.El plan
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los más importantes son:
  • El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperación.
  • Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la posición remota de reserva (o Internet)...
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (VII)

DETERMINAR PROCEDIMIENTOS PARA CONTROLAR SUS  PROGRAMAS  DE APLICACIÓN.

Adicionalmente a proteger sus programas de Aplicación como activos, es a menudo necesario establecer controles rígidos sobre las modificaciones a los programas, para estar seguros de que los cambios no causan daños accidentales o intencionados a los datos o a su uso no autorizado.
Deben ser considerados como medidas de seguridad para proteger los datos en el sistema, las limitaciones en el ámbito de los programas de aplicación, auditorías y pruebas, revisiones de modificaciones, exclusión cuando sea necesario de los programas de aplicación de las áreas de sistemas (pase al "Area de Producción" o a "Biblioteca de Programas") y restricciones efectivas en los programas de aplicación de las áreas de sistemas (necesidad de documento de autorización para tener acceso a los programas de aplicación).
Particular atención debe ser dada al daño potencial que pueda efectuar un programador a través de una modificación no autorizada.
Nuestra mejor protección contra la pérdida de datos consiste en hacer copias de seguridad, almacenando copias actualizadas de todos los archivos valiosos en un lugar seguro.

Los usuarios deben ser concientizados de la variedad de formas en que los datos pueden perderse o deteriorarse. Una campaña educativa de este tipo puede iniciarse con una reunión especial de los empleados, profundizarse con una serie de seminarios y reforzarse con carteles y circulares relacionados al tema.
Para la realización de las copias de seguridad se tiene que tomar algunas decisiones previas como por ejemplo ¿Qué soporte de copias de seguridad se va usar? ,¿Se van a usar dispositivos especializados para copia de seguridad?, ¿ Con qué frecuencia se deben realizar copias de seguridad?, ¿ Cuáles son los archivos a los que se le sacará copia de seguridad y donde se almacenará?, etc. Las empresas podrían desear establecer directrices claras en estas materias, para que los usuarios tengan claras cuáles son sus responsabilidades. Tales reglas y normativas pueden incorporase en una campaña educativa.

Las empresas deben tener muy en cuenta los siguientes puntos para la protección de sus datos de una posible contingencia.
1. Hacer de la copia de seguridad una política, no una opción.
2. Hacer que la copia de seguridad resulte deseable.
3. Facilitar la ejecución de la copia de seguridad (equipos adecuados, disponibilidad, suministros).
4. Hacer la copia de seguridad obligatoria.
5. Asegurarse de que los usuarios cumplen la política de copias de seguridad (Política de Auditoría a las Copias de Seguridad

PREPARAR  PROCEDIMIENTOS DE CONTROL   PARA EL USO DE LOS  REPORTES

Todo Gobierno debe implementar la Norma Internacional ISO 17799 de manera obligatoria.
En el Sector Bancario (SBS) se ha sacado una Circular G-140 del S.G.S.I. que es de uso obligatorio en todos los Bancos.

OBJETIVO:
Establecer el procedimiento y los lineamientos necesarios para la elaboración, aprobación, distribución, actualización y control de los documentos y registros del Sistema de Gestión de la Calidad de conformidad con los requisitos 4.2.3 y 4.2.4 de la Norma ISO 9001:2008....
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (VI)

Control de Acceso al Área de Sistemas y Centro de Procesamiento de Información

Objetivo: Evitar el acceso físico no autorizado, daño e interferencia en las áreas o centros que contienen información y medios de Procesamiento de Información.

Los recursos con los que cuenta una organización para el tratamiento de la información sensible y el área de Sistemas (área clave en las organizaciones actuales), deben de ubicarse por un perímetro de seguridad definidos (barreras y controles). Se debería dar protección física contra accesos no autorizados, ya que esto acarrearía múltiples consecuencias negativas ( daño, robo de los equipo, robo de información, alteración de la data, etc.)
Perímetro de Seguridad Física:

Control: Perímetro de Seguridad para proteger las áreas o centros que contienen información y medios de Procesamiento de Información.


Implementados de acuerdo a los requerimientos de seguridad de los activos (Análisis y evaluación de riesgo).
Instalar Sistema de detección de Intrusos (Cámaras Ip, sensores de movimiento, etc.)
Perímetro de un edificio, puertas externas protegidas contra acceso no autorizado, mediante mecanismos de control (vallas, alarmas, etc.)
Área de recepción, para controlar el acceso físico al local o edificio.
Separación de los equipos de procesamiento de la información propios con lo de terceros.

Controles de Ingreso Físico:
Las áreas seguras deben de ser accesadas por el personal autorizado.
Registro de acceso de Visitantes Autorizados.
El acceso Área de Sistemas, a través de controles de autentificación.
Todo personal y visitantes tienen que usar alguna forma de identificación.
El personal de apoyo (terceros), debe ser autorizado y monitoreado.
Los derechos de acceso a áreas seguras deben  ser revisadas y actualizadas  periódicamente.

Definir  Responsabilidades  Para Seguridad De Datos, Sistemas Y Programas

Responsables de la Seguridad
Definición de responsabilidades para la Seguridad de Datos, Sistemas y Programas. Definición de responsabilidades para la Seguridad de Datos, Sistemas y Programas.
Deben identificarse los propietarios para todos los activos importantes (datos, sistemas y programas), y a la vez se  debería asignar la responsabilidad de mantenimiento apropiado para que así cada uno de  estos cumpla con los estándares mínimos de seguridad. La responsabilidad de controles debería delegarse, pero la responsabilidad debería mantenerse en el propietario designado del activo para así mantener una protección adecuada sobre los activos de la organización y  poder prevenir riesgos innecesarios que pueda dar un impacto negativo en caso ocurrieran por el simple hecho de que no hubo una persona que se encargase de hacer cumplir las normas, protocolos o control que se aplican al activo….
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (V)

MANTENER ADECUADOS ARCHIVOS DE RESERVA (BACKUPS)
• REVISIÓN DE BACKUP :
Los archivos de reserva tienen que ser evaluados para garantizar que  estén escritos e implementados. Con ello reducir al mínimo la probabilidad de que estos archivos, no tengan uso al momento de ser necesitados.

CASO PRÁCTICO:  COMPROBAR EL ESTADO DE LAS COPIAS DE SEGURIDAD DE TIMEMACHINE
 
TimeMachine herramienta del Mac OS X Leopard. Esta herramienta crea copias de seguridad completas o parciales de nuestro sistema Permite recuperar todos los programas, datos y configuraciones en caso de desastre. También permite restaurar un ordenador nuevo con una copia de seguridad de otro.
Gracias a TimeMachine  las copias de seguridad de los datos ya no se hacen de forma manual eso ahorrado muchos minutos perdidos.
Una de las opciones mas resaltantes de TimeMachine es que cuenta con una opción que nos permite revisar el estado de las copias de seguridad. Para ello sólo debemos pulsar la tecla opción (Alt), antes de hacer click sobre el icono de TimeMachine en la barra de menús. Al desplegarse el menú veremos una opción llamada “Verificar copias de seguridad“. Esta opción revisará nuestras copias de seguridad y nos indicará si todo está funcionando correctamente y podremos restaurar nuestra copia en caso de desastre sin mayores problemas.


PLANEAR  PARA / Y PROBAR  LOS RESPALDOS (BACKUP) DE LOS SERVICIOS  DE PROCESAMIENTO  DE DATOS

CONCEPTO ACTUALIZADO:

Deben existir Planes contingentes al uso de las facilidades del procesamiento de datos.
Si el Sistema es dañado o destruido, deben existir otros procedimientos o Sistemas que brinden la misma funcionalidad o un equivalente disminuido, incompleto o de área geográfica restringida.
CASO PRÁCTICO: CENTRO DE CÓMPUTO DE CONTINGENCIA DE   IBM
El Centro de Cómputo ubicado en La Molina. Su infraestructura cuenta con lo último en tecnología para operar las aplicaciones y alojar la información de los 65 clientes, permitiéndoles obtener acceso a mayores beneficios en infraestructura, conocimiento, tecnología y metodología, a un menor costo total de propiedad. Desde el Centro de Cómputo se ofrecen los servicios de Hosting y Housing de Aplicaciones Criticas y Centro de Cómputo de Contingencia.
El Centro de Cómputo presenta en sus diferentes componentes un funcionamiento bajo un esquema de alta disponibilidad que opera con personal 100% dedicado al soporte de los sistemas las 24 horas del día, los 365 días del año sobre la base de metodologías y procedimientos de clase mundial. Cuenta además con esquemas de seguridad física y lógica para cada cliente dependiendo de sus necesidades de negocio…
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (IV)

Acceso Limitado a los terminales
Imaginemos que siendo personas naturales tenemos en nuestra computadora de casa fotos que no queremos que absolutamente nadie pudiera verlas ni mucho menos modificarlas ni peor aún publicarlas, porque se nos acabaría el mundo, o porque los amigos se burlarían de nosotros o porque subirá la estadística de divorcios en el país, bien pues las empresas tienen ese mismo problema pero lógicamente a mayor escala, a una escala de pérdidas de dinero o clientes o prestigio, las empresas se cuidan o deberían cuidarse mucho de acceso a terminales no autorizado con información valiosa acerca de sus propias políticas o valiosa en general. No se puede pues poner una luz brillante que cada vez que alguien mire o intente descargar una información que no debe lo enceguezca y así poder estar tranquilos en lo que al acceso no autorizado se refiere lo que sí se puede es tomar las medidas de seguridad necesaria para que esto no ocurra.

 Acceso no Autorizado: Sin adecuadas medidas de seguridad se puede producir accesos no autorizados a:
Área de Sistemas.
Computadoras personales y/o terminales de la red o Información confidencial.
Control de acceso al Área de Sistemas: El acceso al área de Informática estará restringido:
Sólo ingresan al área el personal que trabaja en el área.
El ingreso de personas extrañas solo podrá ser bajo una autorización.
 Acceso Limitado a los Terminales:
 Cualquier terminal que puede ser utilizado como acceso a los datos de un Sistema, las siguientes restricciones pueden ser aplicadas:
-Determinación de los períodos de tiempo para los usuarios o las terminales.
-Designación del usuario por terminal.
-Limitación del uso de programas para usuario o terminales.
-Límite de tentativas para la verificación del usuario, tiempo de validez de las señas, uso de contraseñas, cuando un terminal no sea usado pasado un tiempo predeterminado (5 - 10 minutos).
-Niveles de Acceso: Los programas de control de acceso deberán identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso están referidos a la lectura modificación en sus diferentes formas.
-Nivel de consulta de la información.- privilegio de lectura.
-Nivel de mantenimiento de la información.- El concepto de mantenimiento de la información consiste en:
Ingreso, Actualización, Borrado.....

Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (III)

Debido a que un centro o área de cómputo, básicamente es el lugar donde se van a concentrar los equipos tecnológicos de una organización; como por ejemplo (El o Los servidores, el sistema y las conexiones de red, entre otros) se le puede considerar como una de las áreas más importantes de la empresa. Por lo tanto, se debe tener los cuidados necesarios para que su funcionamiento no se vea afectado y se mantenga la continuidad de las operaciones.


Los fabricantes de los equipos de cómputo presentan en sus manuales los requerimientos ambientales para la operación de los mismos, aunque estos soportan variación de temperatura, los efectos recaen en sus componentes electrónicos cuando empiezan a degradarse y ocasionan fallas frecuentes que reduce la vida útil de los equipos.

Se requiere que el equipo de aire acondicionado para el centro de cómputo sea independiente por las características especiales como el ciclo de enfriamiento que deberá trabajar día y noche aún en invierno y
las condiciones especiales de filtrado. La alimentación eléctrica para este equipo debe ser independiente por los arranques de sus compresores que no afecten como ruido eléctrico en los equipos de cómputo.

La determinación de la capacidad del equipo necesario debe estar a cargo de personal competente o técnicos de alguna empresa especializada en aire acondicionado, los que efectuarán el balance térmico correspondiente como es:

Para Calor Sensible.- Se determinan ganancias por vidrio, paredes, particiones, techo, plafón falso, piso, personas, iluminación, ventilación, puertas abiertas, calor disipado por las máquinas, etc.

Para Calor Latente.- Se determina el número de personas y la ventilación. La inyección de aire acondicionado debe pasar íntegramente a través de las máquinas y una vez que haya pasado, será necesario que se obtenga en el ambiente del salón una temperatura de 21ºC +/ 2ºC y una humedad relativa de 45% +/- 5%, así como también en la cintoteca. Es necesario que el equipo tenga controles automáticos que respondan rápidamente a variaciones de +/- 1ºC y +/- 5% de humedad relativa.

Estas características de diseño también han demostrado ser de un nivel de confort bueno y aceptado par la mayoría de las personas.


El ambiente de trabajo, en lo que se refiere a la iluminación, ruido, temperatura, etc., es clave para el confort del trabajador, la reducción de sensación de fatiga e, incluso, para evitar trastornos de salud.
 Debe ser lo suficientemente silencioso como para no molestar y distraer al usuario. El ruido de fondo no debe sobrepasar los 55 dBA. En el uso de un programa de reconocimiento del habla, un ambiente excesivamente ruidoso hace aumentar la tasa de errores del reconocedor.

La iluminación debe permitir leer tanto los documentos como los caracteres impresos del teclado, siendo recomendable que esté filtrada a través de un difusor. Cuando se trata de una oficina con un recinto común para varios empleados, si es necesario aumentar la iluminación, para satisfacer las 9 necesidades de uno de ellos, se utilizará una luz auxiliar, mediante un flexo o un punto de luz selectivo, de forma que no afecte al resto de los usuarios. La lectura de documentos requiere una iluminación de unos 500 lux y el trabajo con pantalla unos 300 lux. Por encima de 1000 lux, es una iluminación demasiado intensa...

Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (II)

PROTEGA SU SISTEMA CONTRA CAUSADOS  POR AGUA

Invertir en dispositivos de detección de agua tiene mucho sentido para los centros de computo, debido a los daños que pueden ocasionar el agua
Cuando un administrador TI piensa o escucha acerca del agua, se debe prestar atención a los riesgos. Especialmente porque este elemento dentro de los centros de computo no se puede ver , oler o escuchar. Si tú te percatas del agua, tus equipos y el ambiente están probablemente destruidos
 Por otro lado, se debe proteger los locales informáticos contra fugas de agua importantes para disminuir los riesgos de inundación; por ello es conveniente pasar por debajo del agua los conductos y tuberías que llevanel agua y tomar toda clase de medida
de seguridad contra este riesgo que puede llegar a inutilizar el centro de computo...
MANTENER  BUENAS RELACIONES DE TRABAJO CON EL DEPARTAMENTO LOCAL  DE BOMBEROS

Suministrar información, del centro de computo, al departamento local de bomberos, antes de que ellos sean llamados en una emergencia. Hacer que este departamento esté consciente de las particularidades y vulnerabilidades del sistema, por excesivas cantidades de agua y la conveniencia de una salida para el humo, es importante. Además, ellos pueden ofrecer excelentes consejos como precauciones para prevenir incendios. 
Haga verificar las instalaciones por el personal de bomberos de la localización
Las alarmas contra incendios deben estar conectadas con la alarma central del lugar , o bien dirtectamente al departamento de bomberos. Es importante que estos requerimientos no sólo se apliquen en la construcción de la sala de cómputo, sino también en las áreas adyacentes...
Deseas saber más?
DESCARGAR
       

Sugerencias para mejorar la Seguridad en las operaciones de centro de cómputo o área de Sistemas (I)

PROTECCIÓN CONTRA LA REDUCCIÓN DEL VOLTAJE  O  PÉRDIDA DEL PODER
INSTALACIONES ELÉCTRICAS Y TEMPERATURA AMBIENTAL.

Todas las computadoras dependen vitalmente del suministro de energía eléctrica. Si este suministro falla, el sistema queda totalmente fuera de juego inmediatamente y durante el tiempo que el fallo dure, pudiendo también verse afectados los sistemas de aire acondicionado y de protección de incendios. Los paros en el acondicionamiento del aire pueden originar pérdidas de información, que pueden llegar a ser parciales o totales, temporales o definitivas, en discos y cintas.
Por supuesto que la pérdida total de suministro no es la única fuente de problemas: variaciones de voltaje o frecuencia, por encima de los valores especificados por los Fabricantes de la computadora, incluso si es sólo por breves intervalos de tiempo, pueden provocar un mal funcionamiento en los equipos.
Normalmente, las instalaciones reciben su alimentación de los suministros públicos de electricidad,
y debe considerarse la posibilidad de fallos de ese suministro debido a daños accidentales en las subestaciones, cables subterráneos, daños por tormentas en líneas aéreas, excesos de carga en casos de fuerte demanda o, incluso, acciones terroristas contra el sistema de alimentación.
Algunas perturbaciones pueden ser de tan corta duración que son muy difíciles de detectar y de relacionar con fallos en el funcionamiento de los equipos.

TENER UNA COMPRENSIÓN REALISTA DE  COMO  LOS MAGNETOS PUEDEN DAÑAR EL ALMACENAMIENTO MAGNÉTICO

Actualmente se siguen usando medios de almacenamiento magnéticos, y la razón principal es su bajo costo a comparación de otras tecnologías que han surgido para reemplazarla.
Por lo tanto los cuidados que se tenían para estos dispositivos siguen siendo los mismos pero ya se está pensando en medidas de seguridad para los futuros medios de almacenamiento.
Los dispositivos de almacenamiento por medio magnético son los más antiguos y más utilizados actualmente, por permitir administrar una gran densidad de información, o sea, almacenar una gran cantidad de datos en un pequeño espacio físico.
La lectura y grabación de la información en un dispositivo de almacenamiento por medio magnético se da por la manipulación de partículas magnéticas presentes en la superficie del medio magnético. Para la grabación, el cabezal de lectura y grabación del dispositivo genera un campo magnético que magnetiza las partículas magnéticas, representando así dígitos binarios (bits) de acuerdo a la polaridad utilizada. Para la lectura, el cabezal de lectura y grabación genera un campo magnético, que cuando entra en contacto con las partículas magnéticas del medio verifica si esta atrae o repele al campo magnético, sabiendo así si el polo encontrado en la molécula es positivo o negativo.
Se trata de aquellos dispositivos que son capaces de guardar datos por medio de bobinas electromagnéticas (cabezas), en su superficie (cintas ó discos), ya que cuentan con una gran cantidad de partículas magnéticas recubiertas de una película de pintura especial que las protege. Estos dispositivos tienen mecanismos que producen fricción y calor, por lo que con el tiempo sufren desgaste, además si son expuestos a campos electromagnéticos intensos, humedad ó movimiento brusco pueden sufrir la pérdida de datos....

Deseas saber más?
DESCARGAR
       

viernes, 17 de junio de 2011

Técnicas para detectar las Vulnerabilidades de los Activos (II)

¿Qué es una vulnerabilidad?
Una vulnerabilidad es aquella debilidad, deficiencia que poseen en nuestro caso los sistemas, aplicaciones, servidores, etc. Es decir, todos nuestros activos de información y que nos pueden llevar a efectos negativos al enfrentarse a determinadas amenazas que tiene como fin violar las reglas de privacidad, consistencia y confidencialidad.

¿Qué son los activos informáticos?
Así como tenemos activos como dinero en bancos, cobros, maquinarias, trasportes, etc. Tenemos también activos informáticos como servidores, aplicaciones, sistemas operativos, etc. Que engloba a toda la DATA de la empresa y que constituye el activo más importante de toda organización de TI ya que contiene los planes estratégicos, marketing, etc. Que marcan la diferencia con otras organizaciones de tecnología de la información.

¿Qué son las Técnicas para detectar las vulnerabilidades  de activos?
Son aquellas técnicas que nos permiten detectar y prevenir futuras situaciones que atenten contra la seguridad e integridad de nuestros activos de información, existen muchas técnicas, entre ellas aplicativos para la detección de vulnerabilidades en servidores web o de correos así como en nuestros aplicativos que usamos en las actividades diarias de la organización.

¿Cuáles son las vulnerabilidades más comunes?
Para facilitar la identificación de las vulnerabilidades, se encuentran reunidas en diversos grupos:
Vulnerabilidades que pueden afectar a todos los sistemas.
Vulnerabilidades específicas de los sistemas operativos de la familia Windows.
Vulnerabilidades específicas de Unix y derivados.

Entre las que afectan a los sistemas tenemos:
Cuentas de usuario sin contraseña o con contraseña fácilmente identificable Muchas sistemas disponen de una única línea de defensa: la contraseña del usuario. Es importante que todas las cuentas existentes dispongan de una contraseña y que esta sea robusta y no fácilmente identificable, por personas o programas. Igualmente algunos sistemas y aplicaciones crean cuentas de usuario en los que se asignan contraseñas por omisión que son conocidas.

No realizar correctamente el filtrado de las direcciones entrantes y salientes La suplantación de direcciones IP es un método frecuente utilizado por los atacantes como medida de ocultación. Por tanto, deben aplicarse las medidas necesarias para impedir la entrada y/o salida en nuestra red de direcciones IP incorrectas, inesperadas o no válidas.

Instalación por defecto de sistemas operativos y aplicaciones Muchos programas, incluyendo los sistemas operativos y aplicaciones, pueden realizar una instalación en la que la seguridad no es un factor determinante. Es importante revisar todas las configuraciones antes de poner la máquina accesible en la red.

Entre las que afectan a los sistemas operativos de la familia Windows:
·         Desbordamiento de memoria intermedia en ISAPI, cuando se instala IIS, se instalan automáticamente diversas extensiones ISAPI. Existen diversos problemas de desbordamiento de memoria intermedia en estas extensiones que pueden ser utilizadas por un atacante para obtener el control completo del sistema…

Deseas saber más?
DESCARGAR
       

Análisis de Riesgo (II)

Proceso por el cual se identifican las amenazas y vulnerabilidades de una organización, con el fin de conseguir herramientas necesarias para disminuir o evitar la ocurrencia del riesgo, es decir; generar controles que minimicen los efectos de los riesgos
Metodologia Risk IT
Mientras que el Cobit se concentra en la gestión de procesos de TI  y Val IT se concentra en la gestión del portafolio de iniciativas de TI para generar valor a la organización, Risk IT  es una  metodología de análisis de riesgo que tiene como fin gestionar los riesgos relacionados con la no obtención de ese valor / beneficios. Es decir, el riesgo de no tomar ventaja de TI. Contiene 3 dominios:                    

                 
Gestión de Riesgos                                                                                                                                                       Evaluación de Riesgos
Respuesta al Riesgo

MetliFe:
Es un proveedor líder de seguros y otros servicios financieros a millones de clientes individuales e institucionales en los Estados Unidos. Fuera de los EE.UU., las compañías MetLife tienen operaciones directas de seguros en Asia, América Latina y Europa.
Como líder en su sector MetLife considera que; evitar riesgos a sus clientes, partes interesadas y la reputación debe ser primordial.

El establecimiento de procesos de gestión de riesgos de IT  ha permitido; a MetLife;  reducir las pérdidas operativas, porque brinda:
·         Prioridad a las inversiones
·         Confianza para reaccionar a los cambios del negocio
·         Concentrar los recursos en atender las zonas de alto riesgo.

Deseas saber más?
DESCARGAR
       

Riesgos + Vulnerabilidades +Impacto & Probabilidad de Ocurrencia (II)

EJEMPLO DE RIESGO INFORMATICO:
Según un estudio de Electronic Data Systems, sobre la capacidad de respuesta de las empresas de Manhattan, en Nueva York, frente al corte de energía eléctrica ocurrido en los años 90', se obtuvo:

  Afecto a más de 1000 compañías, con 320 Centros de Cómputos, de los cuales 100 quedaron totalmente paralizados.
Ø  Solo el 25% de estas compañías estaban preparadas frente al corte de corriente, con capacidad de recuperación del servicio informático inferior a 24 horas.
Ø  El 75% restante tuvo un promedio de recuperación del servicio de 3 días.

Observamos el siguiente cuadro estadístico con la distribución de contingencias ocurridas en Centros de Cómputo en el mundo:

Contingencia
Porcentaje
Incendios
17%
Terrorismo
17%
Huracanes y terremotos
25%
Cortes de corriente
9%
Errores de software
9%
Inundaciones
7%
Perforación de tuberías
5%
Errores de Hardware
4%
Cortes de comunicación
4%
Otros factores
3%
Total:
100%

EJEMPLO DE VULNERABILIDAD
Una red crítica de la NASA, abierta a ataques Internet
Seis servidores de la NASA expuestos a Internet han mantenido vulnerabilidades críticas que podrían haber puesto en peligro las misiones del Transbordador Espacial, la Estación Espacial Internacional y el telescopio Hubble al abrir la puerta a ataques Internet.
Según el inspector general de la NASA, las vulnerabilidades que dejaron expuestos los servidores a ataques Internet podrían haber sido descubiertas por un programa de supervisión de seguridad aprobado por la agencia el año pasado, pero aún sin implementar.
Todas ellas estaban relacionadas con proyectos de TI para el control de naves espaciales o que contenían información crítica de la
NASA, según Linda Cureton, CIO de la agencia. Pese a ello, su inspector general, Paul Martin, comprobó que todavía no se había desplegado el sistema aprobado para detectar y corregir problemas similares en el momento mismo en que se producen y se ha dado a sí mismo hasta finales de septiembre para empezar a hacerlo.

La auditoría llevada a cabo para investigar el incidente ha revelado también que algunos servidores expuestos contenían claves de encriptación, contraseñas encriptadas e información sobre cuenta de usuarios, datos que podrían haber sido utilizados por los atacantes para acceder a la red de la agencia sin autorización.
Además del programa de supervisión de seguridad de la información que afecta a los servidores conectados a Internet, la CIO de la NASA se ha comprometido a iniciar el 21 de agosto otro programa piloto para descubrir los riesgos del resto de redes de la agencia, aunque no estén conectadas a Internet.


Deseas saber más?
DESCARGAR
       

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes