HISTORIA DE GOOGLE PARTE 2

miércoles, 26 de octubre de 2011 | | | 0 comentarios |

HISTORIA DE GOOGLE PARTE 1

martes, 18 de octubre de 2011 | | | 0 comentarios |

AUMENTAR WIFI CON UN SERNIDOR

jueves, 6 de octubre de 2011 | | | 0 comentarios |

INFORME DE AUDITORÍA

miércoles, 30 de marzo de 2011 | | | 0 comentarios |
EL INFORME DE AUDITORÍA

• Las Normas.

• La Evidencia.

• Las Irregularidades.

• La Documentación.

• El Informe

El Informe de Auditoría (Introducción)

• El Informe de Auditoría suministra a la administración de la empresa, información sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados.

• El Informe de Auditoría Informática, es el objetivo de la Auditoría Informática.

• Podemos afirmar que nunca antes hemos sido tan dependientes de los SI. y nunca antes hemos necesitado tanto a expertos eficientes en Auditoría Informática.

• La Informática es muy joven; por tanto, la Auditoría Informática lo es más. No está todo sin hacer; pero sí quedan muchos cabos por atar y en ésto el tiempo no es neutral.

El Informe de Auditoría (Las Normas)

• ISACF – Information Systems And Control Foundation.

• LORTAD - Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.

• ISO - International Standard Organization.

• Comité Europeo de Normalización.

• Asociación Española de Normalización y Certificación.

• ITSEC - Information Technologic Security Evaluation Criteria.

• ITSEM - Information Technologic Security Evaluation Method.

• TCSEC – Trusted Computer System Evaluation Criteria.

• ISO 17799.

El Informe de Auditoría (La Evidencia)

• La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.

• La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.

• La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.

• La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.

El Informe de Auditoría (Las Irregularidades)

• Recordemos que en los organismos y las empresas, la Dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.

• Por prudencia y rectitud, convendrá aclarar al máximo de ser posible si el Informe de Auditoría es propiamente de auditoría y no de consultoría o asesoría informática, o de otra materia afín o próxima.

• Aunque siempre debe prevalecer el secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditoría procede actuar delicadamente, sobre todo si afecta a los administradores de la organización objeto de auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesional, al asesor jurídico, y leer detenidamente las normas profesionales, el Código Penal y otras disposiciones.

El Informe de Auditoría (La Documentación)

• En el argot de auditoría se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.

• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.


• Se considera además en know how del auditor.

• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.

El Informe de Auditoría (El Informe)

• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:

– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.

El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)


• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.

• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.

• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.

El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)

• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.

• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.

• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.

• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.

El Marco Jurídico de la Auditoría Informática (La Base de Datos)

• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.

• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.

• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.

SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

martes, 1 de febrero de 2011 | | | 0 comentarios |
SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

ANILLOS DE SEGURIDAD

Son los espacios físicos segmentados dentro de las instalaciones del establecimiento, dependencia o institución, a efecto de realizar un análisis cualitativo de la estructura física detectando zonas y puntos sensibles, vitales y vulnerables en las mismas.

SEGURIDAD EN UN CENTRO DE TECNOLOGÍA DE INFORMACIÓN

Implementación de la seguridad física, lógica y condiciones de usuarios en un centro de tecnología de Información.

Condiciones iniciales.

Se realizan en base a la implementación de un sistema multiusuario con tecnología de base de datos relacionales que soporten transacciones en línea, servidores remotos, así como robustez

Sólida en las bases de datos

Seguridad Física.

Para considerar la seguridad física se pueden implementar diversos mecanismos tales como:

A nivel preventivo.

Acceso controlado al equipo en base a diversas políticas tales como:

Uso del equipo por personal autorizado (regla).

Solo podrá tener acceso al equipo aquel personal que cuente con conocimientos mínimos sobre computación (política).

El personal que carezca de todo conocimiento podrá solicitar la ayuda del centro de información o de los analistas de sistemas para hacer uso del equipo del sistema.

A nivel correctivo.

El aseguramiento del equipo en alguna agencia de seguros para que en caso de posible siniestro no exista una pérdida total por parte de los elementos físicos que controlan y dan soporte al sistema.

Seguridad Lógica

La seguridad lógica al referirse a controles lógicos dentro del software se implementa mediante la construcción de contraseñas en diversos niveles del sistemas donde permita solo el acceso en base a niveles de seguridad de usuarios con permiso, en base al sistema operativo que use como plataforma el sistema a implantarse puedo considerar además a nivel código, algoritmos que generen claves para poder encriptar los archivos de contraseñas dentro del sistema lo cual me permita mayor seguridad en un entorno de red.

Conducta del Usuario

Para asegurar el éxito del sistema es necesario establecer campañas constantes sobre la funcionalidad y logros que se alcanzaran con el sistema los cuales creen una conciencia en el usuario y logren forman en él un interés en el uso del sistema. Mediante boletines, videos, conferencias que no entran en el adiestramiento sino que sirven para reforzar el uso y " amor " hacia el sistema por parte de los usuarios.

También es importante el análisis del uso y trayecto del sistema por parte de los usuarios para poder detectar fugas de información y posibles problemas con los datos accesados del sistema.

Otros Aspectos:

LAS REDES PRIVADAS VIRTUALES (VPN).

Las redes privadas virtuales (VPN) deben su creciente popularidad al hecho que las grandes y pequeñas empresas han buscado la forma de utilizar el Internet público para aumentar la movilidad, mejorar la productividad de los empleados y contribuir al desarrollo. Y las VPN han demostrado que lo han logrado de muchas maneras cuando le permiten a los trabajadores remotos que trabajan en la calle, en el hogar o en otras oficinas tener acceso a la red privada, LAN de la compañía desde cualquier parte del mundo utilizando su computadora portátil o computadora del hogar y el Internet público.

Costos de la tecnología.

Aunque una solución VPN es menos costosa que las redes WAN y otras soluciones de acceso remoto, se debe invertir una suma significativa para implementar una VPN patentada.

Problema de la seguridad:

El aspecto importante en las VPN o cualquier tecnología que comprometa la naturaleza típicamente restrictiva de una red privada es la seguridad. Los primeros detractores de las VPN fueron ágiles en demostrar la vulnerabilidad de la tecnología y muchos críticos señalaron a los protocolos mismos, particularmente el PPTP como el responsable del problema de la seguridad.

Seguridad de Activos de Información de las Empresas:

Las grandes pérdidas económicas sufridas por las empresas debido a los incidentes de seguridad de la información durante los últimos años a nivel mundial, ha traído consigo, una mayor concientización de la importancia de la Seguridad de Activos de Información, y en general, para la administración integral del riesgo.

Un análisis significativo constituye un importante esfuerzo en la obtención de estadísticas que intentan medir las tendencias locales en materia de Seguridad de Activos de Información respecto a las tendencias mundiales, y trata además, de identificar las prácticas de seguridad que hoy en día se están aplicando de manera consistente y masiva en las empresas.


ESCANEOS DE PUERTOS:

Una de las primeras actividades que un potencial (o no tan potencial) atacante realizará contra su objetivo será sin duda un escaneo de puertos, un portscan; esto le permitirá obtener en primer lugar información básica acerca de qué servicios estamos ofreciendo en nuestras máquinas y, adicionalmente, otros detalles de nuestro entorno como qué sistema operativo tenemos instalados en cada host o ciertas características de la arquitectura de nuestra red. Analizando qué puertos están abiertos en un sistema, el atacante puede buscar agujeros en cada uno de los servicios ofrecidos: cada puerto abierto en una máquina es una potencial puerta de entrada a la misma.

SPOOFING

Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; la idea de este ataque - al menos la idea - es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes, el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización.

NEGACIONES DE SERVICIO:

Las negaciones de servicio (conocidas como DoS, Denial of Service) son ataques dirigidos contra un recurso informático (generalmente una máquina o una red, pero también podría tratarse de una simple impresora o una terminal) con el objetivo de degradar total o parcialmente los servicios prestados por ese recurso a sus usuarios legítimos; constituyen en muchos casos uno de los ataques más sencillos y contundentes contra todo tipo de servicios, y en entornos donde la disponibilidad es valorada por encima de otros parámetros de la seguridad global puede convertirse en un serio problema, ya que un pirata puede interrumpir constantemente un servicio sin necesidad de grandes conocimientos o recursos, utilizando simplemente sencillos programas y un módem y un PC caseros.

INTERCEPTACIÓN.

Ya comentamos algunos aspectos relacionados con la interceptación de datos en tránsito o en proceso por parte de usuarios no autorizados; allí hablamos de los ataques y defensas desde un punto de vista casi exclusivamente físico, por lo que vamos a entrar ahora en algunos puntos más relacionados con la interceptación lógica. Y sin duda, la interceptación lógica de datos más conocida y extendida es el sniffing: en esa misma sección ya introdujimos este término y hablamos de dispositivos hardware como los sniffers de alta impedancia; sin embargo, en entornos de trabajo de seguridad media es mucho más común que el sniffing se produzca utilizando programas (sniffers) y no elementos hardware.

ATAQUES A APLICACIONES

CORREO ELECTRÓNICO.

Desde hace muchos años los sistemas de correo electrónico de una organización han sido para los piratas una fuente inagotable de puntos de entrada a la misma; lo más probable es que si le preguntamos a cualquier administrador de máquinas Unix con algo de experiencia cuál ha sido el software que más problemas de seguridad le ha causado nos responda sin dudarlo: sendmail, por supuesto. Y ya no sólo sendmail y el protocolo SMTP, sino que también, con la popularización de POP3, los servidores de este protocolo son un peligro potencial a tener en cuenta en cualquier entorno informático donde se utilice el correo electrónico: es decir, en todos.

ATAQUES VÍA WEB:

Durante los últimos años los servidores web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie, desde las más pequeñas a las grandes multinacionales, tiene una página web en las que al menos trata de vender su imagen corporativa. Si hace unos años un pirata que quisiera atacar a una empresa (y no a todas, ya que muy pocas tenían representación en la red) tenía que agenciarselas para obtener primero información de la misma y después buscar errores de configuración más o menos comunes de sus sistemas (o esperar al próximo bug de sendmail), hoy en día le basta con teclear el nombre de su objetivo en un navegador y añadir la coletilla `.com' detrás del mismo para contactar con al menos una de sus máquinas: su servidor web.

PRINCIPALES CONCLUSIONES

1. Evaluaciones recurrentes de Seguridad de Activos de Información: El panorama general del mercado peruano ante el reto de la Seguridad de Activos de Información, indica que entre las actividades consideradas por la mayoría de las grandes y medianas empresas, se incluye la realización de evaluaciones de seguridad, al menos una vez al año.

2. Presupuesto asignado a la Función de Seguridad de Activos de Información: En cuanto al presupuesto asignado a la Función de Seguridad de Activos de Información, es resaltante hacer mención cómo este aspecto ha presentado un mayor nivel de importancia en las empresas.

Ataques:


Robert Thomas Morris

El 3 de noviembre de 1988, equipos como VAX y SUN q p conectados a Internet se vieron afectados en su rendimiento y posteriormente se paralizaron. Se vieron afectados Bancos, Universidades e instituciones de gobierno, la causa fue un GUSANO, desarrollado por Morris recién graduado en Computer Science en la Universidad de Cornell.

Se estimó que en 90 minutos, el gusano logró infectar 6 000 equipos alrededor del mundo originando perdidas 6.000 entre 100.000 a 10.000.000.

Phreacker

Personas que intentan usar la tecnología para explorar y/o controlar los sistemas telefónicos.

Originalmente, este término se refería a los usuarios de las conocidas "blue boxes" (dispositivos electrónicos que permitían realizar llamadas gratuitamente).

Ahora bien, como en la actualidad las compañías telefónicas utilizan sistemas digitales en lugar de electromecánicos, los phreakers han pasado a utilizar muchas de las técnicas de los hackers.

Phreacker

Kevin Poulse paso a la fama al ganarse un Porsche, claro, de manera ilícita.

La estación de Radio KII-FM en los Angeles, celebró un aniversario organizando un concurso, el cual consistía en que la llamada número 102 que entrara a la Radio, sería la ganadora del Porsche 944 S2, Kevin había phackeado la central telefónica de “Pacific Bell” de tal forma que aseguro que su llamada fuese la 102.

Cracker

Kevin David Mitnick, es quizás el más famoso hackers de los últimos tiempos. Descubrió y reveló información de alta seguridad perteneciente al FBI, incluyendo cintas del Israel Ángeles consulado de Israel, en Los Ángeles.

Fue capturado en 1995 y liberado en el 2000, después de permanecer casi 5 años en un prisión federal

Le costó al estado norteamericano y a empresas privadas, millones de dólares al ser objeto de hurto de su software, información y alteración de los datos de las mismas víctimas Motorola Novell mismas. (Unas de sus Motorola, Novell, Nokia y Sun Microsystems, el FBI, el Pentágono y la Universidad de Southern California).

Cracker

• Vladimir Levin graduado en matemáticas de la Universidad Tecnológica de San Petesburgo, Rusia, fue acusado y preso por la Interpol después de meses de investigación por ser la mente maestra de una serie de fraudes tecnológicos que le permitieron a él y la banda que conformaba, substraer más de 10 millones de dólares, de cuentas corporativas del Citibank. fue sentenciado a 3 años de prisión y a pagar la suma de US $ 240,015.

Los técnicos tuvieron que mejorar sus sistemas de seguridad contra "crackers" y Vladimir Levin ahora se encuentra en libertad