Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Seguridad 1) Concepto Las tecnologías relativas a la seguridad de los sistemas de información son el hardware, el software y los procedimientos para proteger los sistemas de información de una organización de ataques internos y externos. Los medios de comunicación informan periódicamente de casos más o menos espectaculares de sabotajes, desastres, etc... aunque la mayoría permanecen ocultos. La empresa se enfrenta a riesgos y amenazas como: Errores humanos Fallos equipos Robo Virus Sabotaje Fraude Desastres naturales Y para hacer frente, disponemos de numerosas tecnologías, como sistemas de cifrado de información, antivirus, cortafuegos... vamos a aprender a utilizar algunos de estos programas. Los buenos y los malos son los usuarios no el software Imagine un software para detectar contraseñas. Normalmente el informático de la empresa puede utilizarlo para detectar contraseñas de sus propios usuarios y avisar a aquellos que han puesto contraseñas fáciles de detectar. Pero también pueden utilizarlo un hacker para acceder a los documentos. ¿Los "malos"? ¿Los "buenos"? Page 1 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Virus que infectan las aplicaciones Antivirus Sniffers que capturan los datos y contraseñas que circulan por una red Cortafuegos, que ejercen un control sobre los accesos al sistema Programas que que revientan los passwords Herramientas para cifrar ficheros o mandar correo electrónico seguro Caballos de Troya que se instalan en nuestro ordenador y toman el control Programas que verifican la integridad de un sistema avisando cuando pasa "algo raro" Espías que se ocultan en el ordenador e informan a terceros Programas que analizan los ficheros .log de acceso a un sistema Gusanos que saltan de ordenador en ordenador Detectores de vulnerabilidades que identifican puntos débiles de un sistema 2) Contraseñas más seguras Contraseñas poco seguras La empresa Pentasafe Security Technologies Ltd, realizó una entrevista a unos 15.000 empleados de más de 600 Page 2 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) organizaciones en Estados Unidos y Europa. El estudio descubrió que el 25 por ciento de los empleados eligió como contraseña una palabra tan simple como "Banana", a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa. Otro estudio, de Zonealarm (http://www.zonealarm.com [1]) encontró que el 4% de los usuarios utilizan con contraseña la palabra "password" o una variante suya, el 25% usan un nombre de pila y el 16% usan una variante de su propio nombre . Un password que se me ha olvidado... En esta práctica vamos a aprender a desproteger (crackear) un documento cuyo password hemos olvidado. Imagine que tiene un importante documento en Word, por ejemplo, la previsión del Balance de su empresa, que desea proteger. Para protegerlo puede utilizar las opciones del Word [GUARDAR COMO] [HERRAMIENTAS] [OPCIONES DE SEGURIDAD]. Pero, tras un accidente de tráfico, ha perdido parte de la memoria y ha olvidado el password que protegía el documento. Una simple búsqueda en Google (http://www.google.com [2]) nos permite identificar numerosos programas gratuitos o comerciales que pueden ayudarnos a solucionar este problema. Page 3 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) [3] EJERCICIO: Utilice alguno de los programas anteriores para averiguar el password del siguiente documento en Word [BalanceSituacionSecreto.doc [4]] y poder leerlo. ¿Cual es la cifra de Activo correspondiente a septiembre? Spoiler: Highlight to view Utilice este software http://ciberconta.unizar.es/LECCION/SEGURO/aoxppr_s.zip [3] 3) Herramientas para prevenir el fraude interno En una empresa la mayor fuente de fraude proviene casi siempre de los propios empleados. Trabajadores que realizan miles de horas extras Proveedores a los que les compramos mucho más de lo normal Proveedores ficticios Duplicidad de pagos Conflicto de intereses con familiares o amigos con los que se hacen negocios Ventas no registradas... Es necesario disponer de procedimientos adecuados de control interno o recurrir a la auditoría para prevenir y detectar el fraude. El siguiente pantallazo muestra un ejemplo real: un estudiante que por un error en un impreso (copiar y pegar) cobra dos veces una beca. Aquí están los impresos [5]. Page 4 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Al no haber un mínimo sistema de control ni mucho menos de auditoría nadie se da cuenta, como podemos apreciar en el siguiente enail. En el caso de la auditoría se utilizan programas de auditoría asistida por ordenador, como ACL (http://www.acl.com [6]), Idea(http://www.caseware.com/products/idea [7]) o Picalo (http://www.picalo.org [8]) que es software libre. Estos programas: Buscan facturas duplicadas Tranferencias bancarias electrónicas a empleados Tranferencias con el mismo número de banco y diferente nombre de receptor Tranferencias con diferente número de banco y misma empresa Se cruzan nombres de proveedores contra archivos maestros de personal Empleados duplicados, etc. Veamos un pantallazo de uno de estos programas de auditoría para detectar fraudes, cruzando las bases de datos Page 5 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) de proveedores y de empleados, a ver si coincide el teléfono, cuenta bancaria, domicilio o algún dato sospechoso. Detenido un empleado de Caprabo por estafar a su empresa 14 millones de euros en tres años El Mundo (http://www.elmundo.es [9]). Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material plástico han sido detenidos acusados de estafar más de 14 millones de euros a esta firma comercial. Según ha informado la Jefatura Superior de Policía de Cataluña, durante los últimos tres años, el detenido, J.H.V., aprovechó su acceso al sistema informático de Caprabo desde su puesto de trabajo como administrativo de la sección de charcutería para realizar pedidos de material plástico que nunca llegaron a los almacenes. J.H.V. actuó en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De Serveis, que facturó el material de embalaje que Caprabo nunca llegó a adquirir. Los pedidos de material de plástico en los últimos tres años tenían un valor de 14 millones de euros, cuando las necesidades de la empresa precisan un gasto anual de unos 180.000 euros. El Gobierno francés constata fallos en el control interno de Société Générale Periodico(http://www.elperiodico.com [10]) El [4-Feb-2008] La ministra francesa de Economía y Finanzas, Christine Lagarde, ha dado cuenta de fallos en el sistema de control interno de Société Générale que no detectaron el presunto fraude sufrido por el banco, y que le ha Page 6 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) costado 4.900 millones de euros. Société Générale, aunque ha dicho que no quería comentar el informe, ha destacado que este "no pone en cuestión" el sistema de gestión de los riesgos de mercado, y ha reiterado que ya se han puesto en aplicación o lo serán próximamente las medidas que habrían podido detectar y prevenir el fraude. Fraude interno. La experiencia de Sun (http://www.sun.com [11]) En primer lugar, necesita documentar todos sus procesos financieros. En Sun, por ejemplo, un proceso financiero podría ser el proceso de nómina, las compras por pagar, el pago de incentivos o cosas similares. Es necesario que documente todo el proceso e identifique cuáles son los controles esenciales. Un ejemplo de un control esencial en el proceso de compras por pagar podría ser la aprobación de la orden de compras, por parte de todas las personas requeridas, antes de que se distribuya al proveedor. En segundo lugar, tiene que evaluar la estructura, apartándose y mirando el proceso y los controles y viendo si está cubierto. Luego, la parte que realmente consume tiempo es la prueba del proceso. Por ejemplo, tendrá que evaluar el número adecuado de firmas en su orden de compras. Para hacer esto, deberá obtener una muestra de un determinado número de órdenes de compra, asegurándose de que cada una de ellas cuente con el número correcto de firmas; básicamente, que evalúe las transacciones. Y si no pasa la prueba, entonces necesita corregir su control y volver a probarlo. Además, no olvide que sus auditores independientes se presentarán y también realizarán sus propias pruebas. El proceso es como sigue: 1. Documentar 2. Evaluar la estructura 3. Probar 4. Corregir 5. Volver a probar 6. Obtener el visto bueno del auditor interno Page 7 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Page 8 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Un portátil es robado cada 53 segundos en Estados Unidos. Cinco Dias [noticia robo datos contables en un portátil [12]) La liturgia que rodea la presentación de resultados de una compañía cotizada se ha visto alterada este mes de agosto en las oficinas del operador de telecomunicaciones Belgacom. La empresa tenía previsto desvelar sus cuentas del primer semestre el pasado día 25 para que analistas e inversores tomaran buena nota de la evolución de sus negocios. Sin embargo, uno de sus directivos sufrió días antes el robo de su portátil con la información económica en el disco duro. Eso trastocó los planes. La operadora tuvo que adelantar la presentación al día 21 para que nadie pudiera beneficiarse -por ejemplo, comprando acciones- de una información confidencial. Y es que un PC extraviado es como un libro abierto en plena calle, lo puede leer casi cualquiera. El de Belgacom no es un caso aislado. En junio salió a la luz la pérdida de un portátil, propiedad de la auditora Ernst & Young, en el que se encontraba buena parte de la base de clientes del portal Hotels.com. Uno de los auditores dejó la máquina en el coche y no la ha vuelto a ver desde entonces, junto a miles de datos -incluidos números de tarjetas de crédito- de 240.000 usuarios del portal de reserva de hoteles. Time Warner, Fidelity Investments o el propio gobierno estadounidense también tienen sus experiencias relacionadas con ordenadores en paradero desconocido. Cifrar un documento que queremos proteger, por ejemplo, el Balance de la empresa En este ejercicio vamos a aprender a proteger el documento Balance.xls [13] de nuestra empresa, de tal forma que cada vez que queramos abrirlo nos pida un password que sólo nosotros conozcamos. <> Previamente vamos a instalar un programa para cifrar nuestros ficheros. 1) Instalar el programa Cryptext Page 9 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Aunque hay muchos programas que sirven para encriptar los documentos el Cryptext de Nick Payne es muy sencillo de usar y además gratis. Cryptext es un programa que permite cifrar ficheros. Su instalación es muy sencilla, funciona en Windows. Hay una versión en Español Utiliza una combinacion de los algoritmos SHA-1 y RC4 para encriptar los ficheros, con 160-bit Con 160-bit mera combinatoria, si el password es suficientemente complejo, se necesitarían todos los ordenadores del mundo durante miles de años para descifrarla, aunque si uno pone como password una palabra tomada de un diccionario, con un par de horas sobraría. Si no tiene instalado el programa Cryptext puede descargarlo de nuestro servidor: [Pinche aquí para bajar el Cryptestp 3.40 [14]]. Aceptamos y ya está listo para cifra y descrifrar. 2) Cifrar Vamos a cifrar uno de los ficheros de la figura inferior, concretamente el balance.xls Page 10 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) 1) Para cifrar simplemente situamos 2) Introducimos la contraseña. el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de encriptar el fichero. 3) Descifrar 1) Para descifrar simplemente situamos el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de desencriptar el fichero. 2) Introducimos la contraseña. 3) El fichero cambia su icono por uno con una llave amarilla. 3) El fichero cambia el icono de la llave amarilla por su icono normal. <> 4) Recuperación tras el desastre Recuperación tras el desastre o DRP (Disaster Recovery Planning). Podemos decir con ironía que todas las empresas están perfectamente preparadas para afrontar con éxito un desastre en los sistemas de información… la segunda vez que lo sufren . Disponer de un buen plan para continuar el negocio si se pierden los datos por desastres naturales, inundaciones, virus, etc. La realización de copias de seguridad es fundamental. Tenemos dos tipos de medidas de seguridad. Page 11 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Tres conceptos clave: "Back-up": hacer copias de los archivos periódicamente. "Archiving": copiar los archivos para almacenar por un largo período de tiempo, sea por cuestiones legales como la contabilidad o por motivo de espacio. "Disaster recovery": recuperar desde una situación en la que el sistema está fuera de servicio. Se requiere entonces el back-up guardado a partir del cual puede recuperarse el sistema. Otra opción muy interesante es usar Dropbox (http://www.dropbox.com [18]), un disco duro virtual que permite sincronizar tus ficheros en la la nube, con lo que además sirve de sistema para copias de seguridad, o de forma específica para realizar copias de seguridad Mozy (http://mozy.ie [19]). Software para recuperar ficheros borrados, TestDisk (http://www.cgsecurity.org/wiki/TestDisk_ES [21]) 5) Privacidad Hoy en día más y más información personal esta siendo recogida y convertida en formato digital. Pero esta información debe protegerse de los abusos que son bien conocidos, desde el spam a las cookies. 6) Autentificacion Verificar tanto la identidad del usuario como le integridad el mensaje transmitido. ¿Eres quien dices personalidad de otra persona simplemente cambiando la configuración. ser? Incluso en un programa de correo electrónico es sencillo suplantar la Muchas tecnologías pretender resolver esta cuestión: desde el uso de passwords, reconocimiento de voz, dispositivos biométricos o entidades de certificación, que permiten la verificación de identidad de una persona o entidad que quiere utilizar la firma electrónica, o la autentificación de servidores de comercio electrónico. En España se ha puesto en marcha el proyecto de DNI Digital que es pionero. Page 12 of 13 Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1) Source URL: http://ciberconta.unizar.es/ecofin/drupal1/seguridad Links: [1] http://www.zonealarm.com/ [2] http://www.google.com/ [3] http://ciberconta.unizar.es/LECCION/SEGURO/aoxppr_s.zip [4] http://ciberconta.unizar.es/sic/practicas/Balance_situacion_secreto.doc [5] http://www.unizar.es/otri/vadm/impresos/imp_rrhh.php [6] http://www.acl.com/ [7] http://www.caseware.com/products/idea [8] http://www.picalo.org/ [9] http://www.elmundo.es/ [10] http://www.elperiodico.com/ [11] http://www.sun.com/ [12] http://www.cincodias.com/articulo/Sentidos/proteger/portatil/empresa/frente/posibles/robos/cdsc di/20060829cdscdicst_1/Tes/ [13] http://ciberconta.unizar.es/sic/practicas/Balance.xls [14] http://ciberconta.unizar.es/ftp/pub/programas/cryptesp.exe [15] http://ciberconta.unizar.es/sic/practicas/cbSetup.exe [16] http://www.cobian.se/ [17] ftp://ciberconta.unizar.es/ [18] http://www.dropbox.com/ [19] http://mozy.ie/ [20] http://www.eleconomista.es/ [21] http://www.cgsecurity.org/wiki/TestDisk_ES [22] http://panopticlick.eff.org/ [23] http://www.detectarip.com/ [24] http://www.maxmind.com/app/locate_demo_ip [25] http://anonymouse.org/anonwww.html [26] http://anonymouse.org/cgi-bin/anon-www.cgi/http://ciberconta.unizar.es [27] http://ciberconta.unizar.es/LECCION/EDI/mailit.exe Page 13 of 13 Powered by TCPDF (www.tcpdf.org)