viernes, 25 de marzo de 2011

Seguridad en las redes Nuevas amenazas y nuevas defensas

Incluso para observadores poco atentos de la realidad resulta evidente la importancia que la seguridad de la informacion ha adquirido en pocos —menos de diez— años. Ello es asi por la trascendencia, cada dia mayor, de la informacion digitalizada en nuestras sociedades y la creciente dependencia de estas de sus sistemas de informacion. Sin embargo, estos mismos observadores apreciaran que la seguridad, lejos de estar garantizada, aparece cada vez mas comprometida o al menos amenazada.
Y es que la seguridad se encuentra obstaculizada por multiples vulnerabilidades, intrinsecas y extrinsecas, ademas de por numerosas amenazas, todas las cuales sera preciso analizar antes de exponer por donde se plantean en el presente y futuro inmediato las medidas de seguridad.
De este modo, y comenzando por las vulnerabilidades intrinsecas, hallamos que los sistemas a que nos referimos son cada vez mas complejos, cada uno de ellos con decenas de miles (en ocasiones millones) de lineas de codigo (por ejemplo, se estima en mas de cuarenta millones de lineas las que tiene el Windows 2000). Pero, por si no fuera poco, estos sistemas interactuan con otros igual o mas complejos para conformar, en el caso de Internet, lo que segun algunos constituye la obra mas compleja de las construidas por la humanidad. Todo ello supone un enorme reto para la seguridad, ya que la complejidad es siempre enemiga de esta, y los sistemas cuanto mas complejos —como el mismo sentido comun indica— son mas
dificil de proteger.
Empero, tampoco es solo esto, pues los sistemas estan cada vez mas interconectados y son mas interdependientes, lo que es otro obvio problema a efectos de la seguridad. Asi, por ejemplo, redes torpemente administradas en nuestras antipodas pueden ser usadas como plataformas de lanzamiento de ataques demoledores (como los ataques distribuidos de denegacion de servicio), merced a esta interconexion e interdependencia.
Y finalmente, pero no menos grave para el inmediato futuro, la imparable tendencia al uso de redes inalambricas, con la obvia utilizacion de canales hercianos, no deja de ser una fuente de preocupacion, que se ira agravando segun su despliegue vaya alcanzando a todas empresas. Por los tres motivos expuestos, hablar de sistemas cada vez mas vulnerables no es una exageracion, sino antes bien una realidad muy a tener en cuenta.
Pero ademas de las anteriores vulnerabilidades de los sistemas de informacion, que hemos denominado intrinsecas, nos encontramos con otras que podriamos definir de extrinsecas. Asi, el software es —en lo que atañe a la seguridad— muy deficiente, pues esta diseñado sin consideraciones de seguridad, que tan solo es añadida al final de su desarrollo —como un parche—, cuando alguien se percata de su ausencia.
Por otro lado, estos sistemas estan administrados por profesionales ocupados en exceso, y en ocasiones negligentes, que, por ejemplo, mantienen aplicaciones no operativas (o incluso que nunca lo han sido) instaladas, sin percatarse de que las mismas, al margen de los recursos que puedan despilfarrar, conllevan el riesgo de que se pueda atacar el sistema entero a traves de vulnerabilidades de las mismas. Mas grave aun, mantienen permanentemente el software sin actualizar, o sea sin incluir los parches que cada vez que se descubre una vulnerabilidad publican (junto con la correspondiente vulnerabilidad) los fabricantes de dicho software. De este modo, se explica que antiguas vulnerabilidades conocidas desde meses sean explotadas
por atacantes (que si se mantiene al dia de los avisos de alerta y correcciones que difunden los fabricantes) que encuentran de lo mas facil penetrar en los equipos ante la desidia de sus administradores.
Finalmente, la carencia de formacion y experiencia en el uso de esta tecnologia no es una menor vulnerabilidad. Asi, los usuarios escogen contraseñas triviales —rayanas en la candidez—, dejan los equipos conectados cuando abandonan sus puestos de trabajo — aunque sea durante largos periodos de tiempo—, abren adjuntos a correos electronicos — aunque exhiban extensiones mas que sospechosas y procedan de desconocidos—, no instalan o actualizan antivirus en sus equipos, etc. O dicho de otro modo, los computadores son aun unos recien llegados, y la revolucion de las tecnologias de la informacion todavia no ha calado en la sociedad —siempre impermeable a lo nuevo—, y necesitada de muchos años para familiariarizarse con una nueva tecnologia, y aun mas para comprender y manejar los riesgos que acarrea.
Por lo que atañe a los ataques (o amenazas), estos son cada vez mas sofisticados: de denegacion distribuida de servicios (DD o S), de secuestro de sesion (IP hijacking), de suplantacion de direcciones IP (IP spoofing), hibridos (programas malignos que se comportan como virus, gusanos, puertas traseras, caballos de Troya, etc.), de analisis de red (sniffers), etc.
Pero quizas las herramientas de agresion mas preocupantes sean las automatizadas (por ejemplo de generacion de virus, de explotacion de diversas vulnerabilidades, etc). estas conllevan que con asiduidad creciente individuos con escasa, o casi nula, formacion informatica sean capaces de lanzar formidables ataques. Ello supone incrementar notablemente la cifra de potenciales atacantes y por ende de los riesgos correspondientes.
Por ultimo, caben destacar los ataques que se vienen conociendo como de ingenieria social. Estan basados en engaños a usuarios y responsables de equipos para conseguir contraseñas, acciones de aquellos sobre los sistemas (por ejemplo, borrar ficheros del sistema operativo), difusion de noticias falsas, etc. Estas añagazas suponen tambien una peligrosa amenaza, por cuanto suponen igualmente que individuos sin conocimientos tecnicos pueden sumarse en sus fechorias a atacantes expertos, con el añadido de la impunidad que usualmente acompaña este tipo de ataques.
Para hacer frente a estas nuevas amenazas y vulnerabilidades nos hemos ido dotando de numerosos instrumentos, que sin sustituir a los antiguos les han ido complementando. Estos nuevos instrumentos son de naturaleza legal unos (Ley Organica 15/1999 de Proteccion de Datos de Personales, Ley 14/1999 sobre Firma Electronica, Ley 34/2001 de Servicios de la Sociedad de la Informacion y de Comercio Electronico, etc.), otras de caracter administrativo y organizativo (formacion de usuarios, desarrollo de politicas de seguridad, establecimiento de la funcion de seguridad, etc.) y de indole tecnica las ultimas (Infraestructuras de clave publica, sistemas de deteccion de intrusiones, etc).
Dejando al margen los de naturaleza legal, y comenzando por las medidas de indole administrativa y organizativa, es constatable una tendencia a la gestion centralizada de la seguridad. Ello, a la par de facilitar esta gestion, permite un control de las amenazas y subsanacion de las vulnerabilidades desde un unico punto de la organizacion. Es facil suponer los innumerables problemas que conlleva la actualizacion de un software si se requieren efectuarla equipo por equipo, y la inmediatez con que podria realizarse desde un unico
punto. Igualmente, aunque esto es mas usual hoy en dia, supongase las ventajas de actualizar versiones del antivirus corporativo actuando desde un unico equipo frente a lo que supondria hacerlo maquina por maquina de todas las de la corporacion.
Por lo que respecta a la formacion, pilar de la seguridad, las empresas estan empezando a realizar notables esfuerzos de mentalizacion, que se materializan casi siempre en la inclusion de la seguridad en el cursillo de formacion que la empresa da a sus nuevos empleados sobre sus objetivos, sus valores, su organizacion interna y sus practicas operativas. Es suficiente para esto un seminario de un par de horas (dentro del cursillo aludido) para que sus nuevos empleados se conciencien en estos aspectos y tomen conocimiento de sus responsabilidades.
A continuacion, se suele exigir a estos recien incorporados que firmen un documento en el que manifiestan conocer las practicas de seguridad y aceptar las consecuencias de su incumplimiento por dolo o negligencia. Como complemento de lo anterior se va imponiendo la idea de elaborar un manual de seguridad, guia breve que, en forma de sucintas sentencias, incide en los aspectos tratados en el seminario acerca de la practicas basicas de la seguridad. Este manual se puede colocar en un enlace en la pagina web de entrada a la intranet corporativa.
Por ultimo, entre estos nuevos aspectos organizativos y administrativos que tratamos, no puede olvidarse la mencion a la propia subcontratacion de los servicios de seguridad (concepto a menudo conocido como seguridad gestionada). De esta manera, cada vez mas empresas traspasan a expertos ajenos la responsabilidad de la administracion de los sistemas y dispositivos de seguridad: cortafuegos, redes privadas virtuales, sistemas de deteccion de intrusiones, etc. E incluso de facetas menos vinculadas a sistemas y dispositivos, como la gestion de incidentes.
Finalmente, por lo que respecta a los de naturaleza tecnica se comprueba una tendencia a la llamada defensa en profundidad, que va desplazando a la defensa perimetral. Asi, las herramientas que pretendian defender las fronteras (el perimetro) de nuestros sistemas (por ejemplo, la intranet) se ven sustituidas por aquellas otras que sin desatender a dicho perimetro, tratan de defender tambien los elementos criticos de los sistemas. Por ejemplo, ahora nos encontramos con cortafuegos en diversos puntos de la intranet (y no solo en la interfaz de esta con la internet), antivirus en el servidor de correo y tambien en cada puesto
de trabajo de la empresa.
Otra tendencia es la proteccion integral, abandonando viejos habitos de considerar en exclusiva herramientas de prevencion. Asi vemos extenderse, al tiempo que estas herramientas mas tradicionales, las de deteccion (sistemas de deteccion de intrusiones, conocidas por sus siglas en ingles, IDS), de reaccion (sistemas de proteccion contra intrusiones, conocidas por sus siglas en ingles, IPS). Ademas, otro hecho distintivo actual es que estas herramientas tienden a integrarse en sistemas unicos, que garantizan asi la coherente interaccion entre sus componentes, evitando los problemas aun hoy presentes de incompatibilidad entre dispositivos
de distintos —o incluso el mismo— fabricantes, ademas de facilitar la administracion como un todo de dichos sistemas.
Otro rasgo actual es la instalacion de grandes redes corporativas apoyadas en internet, que por su flexibilidad de configuracion, economia de costes y universalidad de su protocolos esta sustituyendo a las ancestrales redes dedicadas. No obstante, internet es una red insegura en grado sumo —al menos hasta la generalizacion de la version IP v.4— por lo que el despliegue de estas redes de area extensa corporativas se basa en las llamadas redes privadas virtuales, RPV, tambien conocidas como VPN de Virtual Private Network.
Pero no se puede concluir este rapido repaso a los aspectos actuales de la seguridad sin detenerse siquiera someramente en las infraestructuras de clave publica, tambien PKI, de Public Key Infraestructure. Soporte de la firma digital (electronica avanzada, en termino acuñado por la Ley 14/1999) dicha firma y estas infraestructuras estan empezando a jugar un papel vital en la seguridad corporativa, como base de la autenticacion de usuarios y recursos (junto con directorios LDAP), de la confidencialidad de la informacion corporativa, etc.
En resumen, aunque son muchas las nuevas amenazas y vulnerabilidades son tambien numerosas las novedosas medidas de defensa que se estan poniendo en practica, tanto de indole administrativa y organizativa como tecnica, que en esta carrera perpetua entre atacantes y defensores permiten seguir confiando en los sistemas de informacion, imprescindibles en esta emergente sociedad de la informacion.

jueves, 24 de marzo de 2011

Normas y estándares aplicables en seguridad informática

Las principales recomendaciones que se utilizan en seguridad de SI son las siguientes:
Se está trabajando en la modernización del Libro Naranja, ampliando su alcance, ahora reducido a sistemas operativos, hacia las aplicaciones, bases de datos y comunicaciones.

  • Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el Departamento de Defensa de EEUU (comúnmente conocido como el Libro Naranja). Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas gestores de bases de datos (en proceso de revisión). 
  • El ITSEC (Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que aquél. Se conoce comúnmente como Libro Blanco. 
  • El ITSEM (Information Technology Security Evaluation Manual).  
  • Las definidas por el subcomité 27 del JTC-1 de la ISO/IEC
  • Las definidas por la ECMA (European Computer Manufacturing Association). 
  • El estándar ISO 7498-2 (OSI, Security Architecture).
A continuación se describen cada una de estas recomendaciones de seguridad:


  • TCSEC
Los TCSEC tiene por objetivo aplicar la política de seguridad del Departamento de Defensa estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de la confidencialidad de la información clasificada a nivel nacional.

Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

A continuación se enumeran las siete clases:


    • D Protección mínima. Sin seguridad.
    • C1 Limitaciones de accesos a datos.
    • C2 Acceso controlado al SI. Archivos de log y de auditoría del sistema.
    • B1 Equivalente al nivel C2 pero con una mayor protección individual para cada fichero.
    • B2 Los sistemas deben estar diseñados para ser resistentes al acceso de personas no autorizadas.
    • B3 Dominios de seguridad. Los sistemas deben estar diseñados para ser altamente resistentes a la entrada de personas no autorizadas.
    • A1 Protección verificada. En la práctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de análisis del sistema.
El Libro Naranja fue desarrollado por el NCSC (National Computer Security Center) de la NSA (National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un organismo civil, el NIST (National Institute of Standards and Technology).
  • ITSEC
Ha surgido de la armonización de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque más amplio que TCSEC.

Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones).

Se definen siete niveles de evaluación, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza útil, y E6 el nivel de confianza más elevado. Por ello, los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos más amplia que los del TCSEC.

El objetivo del proceso de evaluación es permitir al evaluador la preparación de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluación indicado.

En general, a funcionalidad idéntica y a nivel de confianza equivalente, un sistema goza de más libertad arquitectónica para satisfacer los criterios de ITSEC que los de TCSEC. La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente:





Criterios ITSECClaves TCSEC
E0D
F-C1, E1C1
F-C2, E2C2
F-B1, E3B1
F-B2, E4B2
F-B3, E5B3
F-B3, E6A1


F-C1, F-C2, etc., son claves de funcionalidad definidas en el Anexo A de ITSEC.

  • ITSEM
Manual de evaluación de la seguridad de TI que forma parte del ITSEC versión 1.2 y cuya misión es describir cómo aplicar los criterios de evaluación del ITSEC.

El objetivo específico del ITSEM es asegurar que existe un conjunto completo de métodos de evaluación de sistemas de seguridad que complemente al ITSEC. Contiene métodos y procedimientos de evaluación suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el público.
  • Definidos por el subcomité 27 del JTC-1 de la ISO
ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comité Técnico Conjunto (JTC-1) para abordar un amplio rango de estándares en tecnologías de la información, incluida la seguridad. Se han establecido varios subcomités para el desarrollo de estándares, de los cuales el SC27 (subcomité 27) tiene el protagonismo en técnicas de seguridad, si bien en al menos otros seis subcomités tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomités se detalla a continuación:
    • SC6 Núcleo de seguridad. Capas OSI 3 y 4.
    • SC14 Representación de elementos de datos. EDI.
    • SC17 Tarjetas inteligentes y de identificación.
    • SC18 Sistemas ofimáticos. Manejo de mensajes, oficina distribuida, arquitectura de seguridad de documento compartido.
    • SC21 Seguridad de las capas altas de OSI. Bases de datos, gestión de directorios y archivos, seguridad de FTAM y TP.
    • SC22 Lenguajes.
    • SC27 Técnicas de seguridad. Criptografía, etc. Incluye autentificación, integridad, no repudiación, modos de operación, control de acceso y registro de algoritmos.
  • Definidas por la ECMA
    • TC22 Bases de datos.
    • TC29 Seguridad de la arquitectura de documento compartido.
    • TC32 Protocolos y capas bajas de OSI.
  • Estándar ISO 7498-2
  • Define el concepto de Arquitectura de Seguridad

    Panorama Actual de la Seguridad de la Informacion: Retos y Oportunidades

    Asociacion Innovalia
    Pilares

    • Innovacion
      • Desarrollo Tecnologico al ritmo de la empresa.
    • Difusion
      • Organizacion de Congresos.
    • Transferencia.
      • Creacion y Participacion en grupos de expertos.
    • Formacion
      • Preparar profesionalmente a los profesionales TIC's en areas con potencial de negocio (Programas de Excelencia).
    Seguridad de la Informacion
    • Los riesgos my las vulnerabilidades son cada vez mas diversos y menos visibles.
    • Preocupaciones:
      • 40% Compartir Datos.
      • 30% Robo de Identidades.
      • 15% Gestion de Riesgos.
      • 15% Otros.
    • La seguridad en los sistemas falla en muchos casos no por falta de soluciones tecnicas.
    • En muchos casos las empresas que no proporcionan seguridad no sufren de manera "directa" el coste del fallo.
    • Las consideraciones economicas de la seguridad son mas importantes que las tecnicas.
    • ¿Gastamos suficiente o demasiado en mantener a los hackers fuera de nuestros sistemas?
    • ¿Gastamos nuestros presupuestos de seguridad en los aspectos correctos?
    • El nivel gasto en Seguridad Informatica es en muchos casos el adecuado.
    • La seguridad de la informacion es un riesgo del negocio.
    • Las tecnologias de red son las mismas para todos los negocios, pero los riesgos son individuales para cada negocio.
    • La capacitacion de los recursos humanos es un  problema grave.
    • Outsourcing si pero ¿como?
    • La seguridad de la informacion necesita de soluciones cada vez mas seguras.
    • Enfoque proactivo al desarrollo de software seguro - La opcion "patch" es cada dia menos viable.
    • La Bolsa de Rusia suspende operaciones por 2 horas (2 Febrero 2006) por un error en la seguridad.
    • El Hotel Marriot pierde cintas de back-up con informacionm sobre mas de 200 000 clientes de Marriot Vacation Club International.
    • La Comision Europea termina un draft de la "Data-Redention Directive" que obliga a operadores de telecomunicacion a guardar registro de las comunicaciones de voz e Internet en los estados miembro.
    • Atlantis Resort "pierde" 55000 datos sobre clientes de su negocio.
    Proteccion Nivel de Datos
    • La globalizacion esta multiplicando y fortaleciendo los vinculos europeos con el resto del mundo.
    • A traves de Internet y otros medios de difusion es posible difundir de manera rapida y efectiva el "know-how".
    • Las infraestructuras de transporte, energia , informacion estan cada vez mas interconectadas, lo que aumenta su vulnerabilidad.
    • La tecnologia no puede garantizar la seguridad pero la seguridad sin tecnologia es imposible.
    • La seguridad es un prerrequisito para multiples politicas y servicios.
    • En temas de seguridad de la informacion:
      • Inicialmente el mercado se enfoco hacia la seguridad perimetral, firewall, antivirus...
      • Seguidamente pasamos a considerar nuestras redes para proteger las aplicaciones
      • Los sistemas de informacion existen por una unica razon ......... los datos.
      • La seguridad es por tanto la proteccion y el acceso a los datos.
      • Sin embargo VAMOS AL REVES!!! la proteccion no esta cerca de los datos.
      • En los ultimos 5 años:
        • Gasto en SW de antivirus, firewall/VPN: mas de 19 billones de €.
        • Gasto en SW de encriptacion: menos de la decima parte.
    • Enfoque hacia la seguridad de los datos:
      • Nuevos modelos, analisis.
      • Examinar con detenimiento las aplicaciones que acceden, almacenan y gestionan los datos.
    • Situacion Europea
      • Gasto 2000-2004 en tecnologias de la seguridad: 50 Billones de €.
      • Crecimiento en gasto: 18-20% anual.
      • CERT: el numero de ataques se doblan anualmente.
    • El perfil del hacker y su intencion han cambiado.
      •  De la fama a la fortuna.
        • 40 millones de tarjetas de credito CardSystems.
        • £220 Sumitomo Bank.
    • Sin informacion sobre el contexto del usuario o su role el robo de identidades y el fraude son riesgos latentes.
    • Los riesgos llecvana la desconfianza y en ultimo termino a daños economicos. Ejm: phishing.
    • La percepcion dela seguridad varia desde una oportunidad de generacion de negocio hacia un mecanismo para evitar gastos adicionales.
    • Soluciones tecnologicas centradas en los datos:
    • Integridad de Datos: AAA y Gestion de Derechos.
    • Seguridad End-Point: Seguridad Embebida.
    • Integridad Infraestructuras: Antispyware, firewalls basadas en XML y arquitecturas Web Services.  
    • La integridad del usuario final es crucial para asegurar la confianza en el medio.
    • Supuestos de base
      • Usuario Final (End Point): Dispositivo con capacidad de establecer una transaccion.
      • La seguridad empieza con el establecimiento de una politica.
      • Identificar las protecciones de seguridad relacionadas con una determinada funcionalidad.
      • Definir el proposito de un nodo y sus relaciones.
      • El contexto del dispositivo demanda diferentes politicas de seguridad.

    • Las tecnologias que aplicamos son un prerrequisito para asegurar el cumplimiento de las politicas de seguridad.







    • Asegurar el "end-point" no es el final del problema.
    • Como fuente de datos, el "end-point" debe asegurarse:
      • No se trata de incorporar "otro" nuevo equipo.
      • Debemos identificar los riesgos criticos.
      • Proponer un sistema de gestion de esos riesgos.
      • Los principales activos de la informacion- organizacion.
    • Los desarrolladores de SW han de adoptar nuevas practicas de desarrollo
      • Pensar como los "chicos malos"
      • Uso de tecnicas de modelado de "amenazas"
    • Check-Lists vs entendimiento en el desarrollo
      • Poner en el enfasis en el que hacer mas que en el porque hacerlo
      • Se pierde la perspectiva del sistema
      • Un componente se asegura pero el sistema queda desguarnecido.
    • Todos los usuarios han de estar protegidos
      • El sistema como objetivo en el desarrollo frente al usuario.
    • Lo que el software NO debe hacer mas alla de lo que el software debe hacer.
    • Los ingenieros QA centrar sus esfuerzos en diseñar programas de testeo que verifican la funcionalidad.
    • El software funciona, no es suficiente.
    • El software seguro se centra en entender que ocurre para que el software cumpla su funcionalidad.
    • Debemos revisar el uso que hacemos de nuestros presupuestos de seguridad.
    • El enfoque ha de estar en la seguridad de los datos.
    • La proteccion de la identidad aumenta la confiabilidad de nuestros sistemas y mantiene nuestro negocio en linea.
    • La seguridad no debe entenderse necesariamente como un aumento del negocio sino como herramienta para mantener nuestra porcion del mercado.
    • Analizar los riesgos, definir nuestro capital de informacion y desarrollar un sistema - equipos, software y politicas que respondan a las necesiades "unicas" de nuestro negocio.
    • Debemos contextualizar al usuario final (servidor o dispositivo) para gestionar la identidad.
    • Los desarrollos y los desarrolladores deben formarse en un entorno de seguridad. Lo que el software no debe hacer.
    • La formacion es primordial.
    • Algunas lineas de desarrollo
      • El contexto como mecanismo de generacion de autoconfianza.
      • Integridad de Red y Datos.
      • Seguridad Embebida.
      • Inspeccion y Testeo de codigo - perspectiva de seguridad
    Extraido del Dr Oscar Lazaro. Innovalia Association. Junio 2006. Malaga.

    Seguridad vs Obscurantismo: Las dos caras de la moneda

    Antecedentes

    • En cualquier sociedad, un pequeño porcentaje de la gente es maliciosa. Se estima que Internet tiene 50 millones de usuarios. Aún si el porcentaje de usuarios maliciosos es menor al 1% de esta sociedad, el número de usuarios maliciosos es tan grande que debería ser preocupante.
    • Cualquier computadora conectada es suceptible de ser explotada
      • Password, cuentas bancarias, cardex de calificaciones, etc.
    • McNealy: “Para que lo sepan, la Internet no es segura”.
    • Entramos a una etapa llamada “Sociedad de la Información”.
    Definición
    • Hacker
      • Individuo que disfruta explorando los sistemas y programas, y que sabe como sacar el máximo provecho. 
      • Experto o que es especialmente hábil en el manejo de un sistema.
    • Cracker
      • Individuo que rompe la seguridad de un sistema, se adentra en el tereno de lo ilegal 
      • Individio que se aprovecha de los conocimientos para hacer daño 
      • Hacker que responde al llamado del lado obscuro de la fuerza
    Problemática
    • Creencia de que con una herramienta (ej: firewall) se tiene seguridad
    • Falta de una cultura informática
      • Desarrollo, Administración, Uso
      • Revisión de bitácoras
      • Programación segura
    • El 50% de los ataques son internos
      • Organización, Sistema de cómputo
    • Seguridad = Burocracia
      • Poner piedras al trabajo, dificultar las operaciones
    • Ataques “invisibles” o “virtuales”
      • No se le dá la importancia que se debe
        • Cerraduras en casa, candado para automóvil
    • Falta de apoyo de las autoridades
      • En las organizaciones, Estatales y Federales
    • Mito de dar a conocer las especificaciones de las TI's.
      • Es abrise y mostrar las debilidades
      • Imagen organizacional – mercadotecnia negativa
    • Ignorancia de documentos oficiales que regulen las Tecnologías de Información (TI)
      • Inexistencia, no son accesibles
      • No hay reglamentos
    • Miedo a lo desconocido
      • Actividades de los hackers
      • Nuevas tecnologías
    • Falta de entendimiento y trato a los talentos
      • Nerd, Cerebrito, Matado
      • Hacker manifiesto
    Estadística de incidentes

    Obscurantismo
    • Desconocimiento
      • Reglamentos, políticas de seguridad
      • Parches, actualizaciones
      • Recomendaciones
      • Estándares
    • Capricho de alguien
      • Privilegios especiales
      • El obstaculizar el trabajo de alguien
    • Misión y visión de la organización
    • Análisis de riesgo
      • Fotografía del estado actual
      • Los puntos débiles
      • Elementos sensibles / críticos
    • Conocer las capacidades de la tecnología
      • Internet-2 (ataque a los DNS root-server)
    • Modelo de seguridad
      • ¿Qué queremos proteger?
      • ¿Contra qué lo queremos proteger?
      • ¿Durante cuanto tiempo queremos protegerlo?
      • ¿Cuanto estámos dispuestos a invertir (monetario, humano, tecnológico)?
    • Desarrollo de las políticas de seguridad
      • Seguridad física
      • Seguridad lógica
      • Planes de contingencia
      • Área de seguridad
        • A quien reportar incidentes
        • Donde obtener mayor información
      • Publicación de las políticas
    • Selección de herramientas adecuadas
      • Software propietario
      • Software libre
      • Software “casero”
    • Revisiones periódicas
      • Auditorias de seguridad
    • Ciclo de vida de la seguridad
    • Grado de robustez
      • Todo lo que no está explicitamente permitido está prohibido
      • Todo lo que no está explicitamente prohibido está permitido
    Conclusiones
    • La seguridad no debe ser tomado como un capricho de alguien
    • La seguridad es un problema de todos
      • Usuarios, Administradores, Desarrolladores, Legisladores, Abogados
    • Todos debemos ser parte de la solución
    • Estar al día
      • Parches / vulnerabilidades
      • Desarrollos tecnológicos
    • Puntos que debe tener alguien dedicado a la seguridad
      • Conocimientos de Legislación Informática
      • Conocimientos generales profundos de cómputo
      • Habilidad de Hacker
      • Mentalidad de Cracker

    miércoles, 23 de marzo de 2011

    Implicaciones legales del spam

    Todos conocemos ya los efectos nocivos del spam y los sufrimos en mayor o menor medida.

    Independientemente de lo recursos técnicos para combatirlo, se considera que deben diseñarse recursos legales, no sólo para prevenirlo sino para sancionarlo.

    Pero lo primero que tenemos que hacer para poder regularlo, es precisamente definirlo.

    Es difícil establecer una definición de spam, por los diversos elementos que pueden o no entrar en juego:
    mensajes(correo electrónico, móviles, etc.)
    masivos¿qué se entiende por masivo?
    no solicitados¿?
    no deseados¿?
    comerciales¿?

    El daño o perjuicio causado puede ser resultado o no de un delito, pero, 
    ¿el spam en sí es delito?


    El contenido de los mensajes quizá debiera ser un factor determinante en la definición de spam y en su clasificación como posible delito... a pesar de las complicaciones de subjetividad que esto implica...

    Diferentes países le han dado tratamientos diferentes al combate al spam, regulándolo ya sea en nueva leyes, incorporándolo a su legislación en materia de comercio o a los códigos penales.

    Pero vale la pena analizar si nos bastan con las leyes existentes, o en realidad se requieren nuevas.

    Actualmente, en México, la Ley Federal de Protección al Consumidor es la única que directamente se refiere al spam:

    arts. 16 y 17: obligación de especificar datos de quien envía publicidad y de poner a disposición de quien lo solicite, la información que de él se tenga para fines publicitarios; el consumidor puede solicitar no ser molestado en su dirección electrónica y que ésta no sea transmitida a terceros.

    art. 18: la Procuraduría llevará un registro de consumidores que no deseen que su información se utilice con fines publicitarios o de mercadotecnia.

    También hay una iniciativa de Ley contra el spam, que está en revisión en el Congreso.

    Otra iniciativa que pudiera tener incidencia es la de la Ley de Protección de datos personales, que no ha prosperado.

    A nivel internacional, un instrumento importante es el de los lineamientos de la OCDE.

    Consideramos que independientemente de los recursos legales que se puedan instrumentar de manera eficaz, resulta trascendente el brindar información oportuna y educar al usuario.

    Material informático y contaminación medioambiental

    El ciclo de vida de un PC
    El proceso de producción
    • Para producir un chip de memoria (32 Mbytes DRAM) de 2 gramos se utilizan 1600 gramos de combustible fósil, 72 gramos de químicos y 32 litros de agua.
    • Para producir un PC de escritorio con su correspondiente monitor CRT se utilizan 290 kg de combustible fósil, 22 kg de químicos y 1500 litros de agua.
    • De toda la electricidad que consume un ordenador a lo largo de su vida (considerando tres años de uso), el 83% se utilizó en el proceso de producción, y el 17% restante es la electricidad que consume en su uso diario.
    • El consumo de electricidad de una planta fabricante de chips representa alrededor del 40% de los costos de producción.
    • Una planta fabricante de chips consume 7 millones de litros de agua cada día.
    Problemas:
    • el uso de muchas substancias tóxicas en el proceso de producción, 
    • un consumo muy elevado de agua y energía, 
    • y el gran volumen de residuos (también tóxicos) que generan.
    • Materiales más abundantes en un ordenador son plásticos, acero, silicio, aluminio y cobre. 
    • Centenares de substancias químicas en chips y las placas → muy contaminantes y conocidos cancerígenos. 
    • Retardantes de llama halogenados que recubren los circuitos impresos, los cables y las carcasas → durante la fabricación, el vertido o la incineración de los ordenadores se liberen dioxinas y otros contaminantes en el medio → desorden en el sistema hormonal (glándula tiroidea), cáncer y desordenes en el desarrollo neuronal. Se acumulan en los tejidos grasos. 
    • Metales pesados, sobretodo plomo, cadmio y mercurio. El plomo se utiliza para soldar los chips a las placas, y en las pantallas de rayos catódicos (las que no son planas) para absorber una parte de las radiaciones electromagnéticas que generan las pantallas. El cadmio y el mercurio también se utilizan en dichas pantallas → Pasan a los seres vivos a través de la cadena alimentaria y, como no los podemos metabolizar, se acumulan en los tejidos y son una causa de cáncer. 
    • Durante la fabricación de los chips se emiten al aire Perfluorocarbonos (PFCs), que son gases que permanecen durante mucho tiempo en la atmósfera y contribuyen al efecto invernadero.
    • Otras substancias tóxicas que utilizan los ordenadores son arsénico, benceno, tolueno y cromo hexavalente. Las carcasas se suelen proteger con pinturas que contienen disolventes orgánicos → durante la aplicación se liberan compuestos orgánicos volátiles, que provocan que se acumule ozono en las capas bajas de la atmósfera → Problemas respiratorios y dificulta el crecimiento normal de los vegetales. 
    • Montaje de placas y ordenadores: suelen trabajar mujeres jóvenes cobrando salarios bajos, con jornadas muy largas, presión por producir deprisa, y sin sindicatos. 
    • Salas blancas: cáncer de cerebro, y tasa de abortos y malformaciones en bebés más alta de lo normal entre las mujeres que trabajan en salas blancas (los trajes especiales que usan evitan la exposición de las obleas de chips a las impurezas que puedan portar los trabajadores, pero no evitan la exposición de los trabajadores a los tóxicos). 
    • Plantas de montaje de placas: plomo que se utiliza para soldar es veneno en la sangre. 
    El consumo en el uso diario
    • El año 2000, en EEUU los equipos de oficina y telecomunicaciones ya consumían el 3% de la electricidad nacional. Los ordenadores representan el 43% de dicho consumo. 
    • Un PC de escritorio típico (pentium IV) con su monitor (17 pulgadas) usa aproximadamente unos 118 vatios de potencia en modo activo. 
    • Se calcula que tan solo el 25% de los ordenadores tiene correctamente configurado el modo de bajo consumo. 
    • Una pantalla de cristal líquido consume entre un 60% y un 70% menos que una pantalla de tubo de rayos catódicos. Los portátiles también son mucho más eficientes energéticamente que los PC de escritorio convencionales.

     
    La basura informática
    • Se venden 130.000.000 de ordenadores al año en el mundo. Mil millones de PCs, desde que IBM puso en el mercado el primer PC el 1981. 
    • El tiempo de vida de los ordenadores personales se está encogiendo: en 1992 era 4'5 años, pero en 2005 será de 2 a 3 años. 
    • La producción de los residuos electrónicos crece tres veces más rápido que la media de los residuos urbanos. Concretamente, el volumen de chatarra informática crece entre un 16% y un 28% cada cinco años. 
    • El 90% de los equipos informáticos viejos acaban en los vertederos, después de haber sido lanzados a un contenedor o abandonados en la calle, o se depositan en chatarrerías. 
    • Se calcula que el 2005 se lanzarán en EEUU 140.000.000 ordenadores. Actualmente, los PCs obsoletos en EEUU ocupan 5'7 millones de m3 (el equivalente de un campo de fútbol de 1'5 km de altura). 
    • Gran parte de los residuos informáticos (más de la mitad en el caso de EEUU) se envían a países del Tercer Mundo, donde los materiales contaminantes acaban en campos y costas, ensuciando aguas y suelos, cultivos, animales y agua potable. El 2002 se trasladaron a Asia entre 6 y 10 millones de PCs obsoletos.
    • En 1998 en los EEUU sólo se reciclaron un 11% de los ordenadores personales y un 26% de los periféricos de los ordenadores obsoletos.
    • Trece países, la mayoría europeos, ya aprobaron normas que prevén la obligación de reciclar los ordenadores. Hace responsables a las empresas de electrónica de deshacerse de sus productos una vez los usuarios ya no los quieran. Incremento de precio de 90 euros. 
    • Se calcula que, con un tratamiento adecuado, se podría reaprovechar entre el 70% y el 90% de lo que se lanza, reusándolos cuando fuera posible o reciclándolos.

     
    Casos en Asia

     
    Trabajador calentando agua regia (5% ácido nítrico, 75% ácido clorhídrico) para disolver oro todo el día, sin protección respiratoria. Los residuos del proceso se lanzan al río.

     
    Trabajadora rompiendo un monitor para extraer el cobre del extremo del tubo de rayos catódicos. El vidrio está repleto de plomo, pero el peligro más grande es inhalar el polvo de fósforo que recubre el interior.
    Los restos se lanzan al río o a canales, donde el plomo del monitor se filtrará al agua subterránea.

     
    Trabajador sacando el tóner del cartucho de impresión, inhalando el contenido todo el día sin protección. El polvo de carbón es un probable cancerígeno. Los cartuchos después se lanzan al río.

     
    Trabajadoras sacando cables de ordenador, para después quemarlos y obtener el cobre.
    Las familias viven cerca de las hogueras. El humo de quemar los circuitos y los plásticos que cubren el cobre causa cáncer.

     
    Consejos

    Reducir:
    • Como usuarios deberíamos preguntarnos si realmente necesitamos comprar un ordenador nuevo. Quizás con una ampliación del que ya tenemos o con la compra de un ordenador de segunda mano ya podemos realizar nuestras tareas informáticas. 
    • Configurar al ordenador y dispositivos para que pasen a un modo de bajo consumo cuando lleven un cierto periodo de tiempo sin utilizarse. 
    • Substituye tus sistemas de archivo en papel por sistemas de archivo en unidades de almacenamiento informático: disquetes, CD-ROMs, discos duros, ... 
    • Realiza tus copias de seguridad sobre CDs regrabables en lugar de los CDs de un sólo uso. 
    • Para imprimir documentos que no requieren una presentación perfecta, se puede reutilizar papel con sólo una cara impresa. 
    • Las pantallas planas gastan la mitad de electricidad y emiten menos radiación. (Por cierto, para evitar la exposición a campos electromagnéticos conviene ponerse a 30 cm. de distancia de la pantalla).
    Reusar:

    • Intentar revender el ordenador en el mercado de productos usados. 
    • Entregar el ordenador a alguna asociación local o a alguna ONG que envía ordenadores a asociaciones de países del tercer mundo para paliar el problema de la brecha tecnológica.
    Reciclar:
    • Dejar el ordenador en una chatarrería especializada en material electrónico. Actualmente los ayuntamientos están creando puntos de reciclaje gratuitos en nuestras ciudades. 
    • Diseñar y fabricar aparatos con una vida útil lo más larga posible y restringir la utilización de determinadas sustancias peligrosas.

    Curso Interactivo de Internet y Redes: Desde Principiante hasta Avanzado

    Este es un curso completo que consta de 5 cursos individuales muy completos y bastante didacticos, además de ser teoricos, son practicos y muy utiles, el ultimo curso referente a redes inalambricas está en portugues pero viene muy entendible. En los cursos 1 y 3 quite algo del software incluido (no tan necesario o que talvez ya tienes) y las versiones en pdf (Información redundante) para aligerar el CD. Este curso completo consa de lo siguiente:

    Curso 01 - El internet (introducción a las redes).

    >Conceptos básicos:

    repaso histórico y se introduce el concepto de Internet como red de redes apoyada en una estructura cliente / servidor basada en el protocolo IP.
    >Conexión a Internet:

    Se muestran los procedimientos necesarios para configurar una conexión de acceso a Internet, tanto en GNU/Linux como en Windows. En ambos casos se refieren las técnicas para hacerlo mediante red telefónica básica o ADSL.
    >Correo Electrónico:

    Tras una descripción de los conceptos básicos del correo electrónico se pasa a describir y proponer prácticas sobre todas las situaciones habituales del correo electrónico.
    >Navegación

    >Búsquedas:

    se desmenuzan todas las técnicas necesarias para localizar información en la Web de forma rápida y precisa mediante motores de búsqueda, con especial incidencia en Google.
    >Grupos de noticias

    se trabaja sobre los conceptos esenciales y las técnicas necesarias para manejar PAN (GNU/Linux), Mozilla (GNU/Linux y Windows) y Outlook Express (Windows). También se hace referencia a los foros en web.
    >FTP:

    Por una parte se aborda el servicio de FTP como forma de obtener recursos, aprendiendo a acceder a los repositorios de programas para su descarga. En este sentido se presentan los aceleradores de descarga como un recurso para optimizar las conexiones más lentas.

    Por otra se contempla este servicio como una forma de publicar contenidos propios o almacenar los en servidores en la red. Se trabaja con el explorador de archivos y los sitios de red (Windows) y con gestores de descarga: Filezilla (Windows) y GFTP (GNU/Linux)
    >Mensajería

    >Seguridad

    Uno de los problemas esenciales de cualquier internauta. Desde la perspectiva de colaborar a una actitud prudente basada en la información se plantean pruebas de seguridad y se ofrecen soluciones para mantener actualizado el sistema, instalar y configurar un cortafuegos y defenderse de los programas espía.
    >Presencia:

    Aunque en una primera aproximación es algo que se suele posponer se hace una breve referencia a la forma de obtener espacios gratuitos, así como algunos recursos muy sencillos para confeccionar páginas web básicas y publicarlas en la web.

    >Aplicaciones

    Curso 02 - Las redes en la educación.

    El presente curso consta de dos módulos, uno dedicado al conocimiento teórico de todos los aspectos relacionados con las redes de ordenadores y otro destinado a la descripciónexhaustiva de procedimientos:
    Módulo 1 . Teoría sobre redes.

    1. Introducción a las redes.

    2. Redes LAN.

    3. Redes WAN.

    4. Internet.

    5. Sistemas operativos.

    6. Administración y gestión de redes.

    Módulo 2. Redes paso a paso.

    1. Mecánica de red.

    2. Comunicación entre dos ordenadores.

    3. Redes en estrella.

    4. Configuración de conexiones.

    5. Utilidades.

    Curso 03 - Redes de area local - Aplicaciones y servicios.

    Se describe el funcionamiento tanto en el sistema operativo windows asi como en linux:[/color]

    LINUX

    1/ Introducción

    2/ Usuarios del sistema Unix

    3/ Servidor DCHP

    4/ Servidor DNS

    5/ Entidad Certificadora

    6/ Servidor web Apache

    7/ NFS

    8/ Samba

    9/ Otros servicios

    10/ Copias de seguridad (Backup)

    11/ Servidores de Impresión

    12/ Servidor de terminales

    13/ VNC

    14/ OpenLDAP

    15/ Enrutamiento

    16/ Varios

    WINDOWS

    1/ Introducción

    2/ Instalación de W2003 Server

    3/ Active Directory

    4/ Servidor DNS

    5/ Servidor DHCP

    6/ Servidor RIS

    7/ Escritorio remoto

    8/ VNC

    9/ Usuarios

    10/ Directivas o Políticas de Grupo

    11/ Servidores de Impresión

    12/ Paquetes MSI

    13/ Entidad Certificadora de Microsoft

    14/ Servidor web IIS

    15/ OpenSSL

    16/ Servidor web Apache

    17/ Copias de Seguridad (Backup)

    18/ Enrutamiento

    Curso 04 - Curso multimedia de redes.

    creado con mas ilustraciones, presentaciones y resumenes de los temas tratados

    Curso 05 - Redes Wi-Fi.

    Este es un curso multimedia tratando los temas referentes a redes inalambricas, el idioma es portugues pero se entiende muy bien. Los temas que tratan son:
    * Los componentes de la red

    * Cuidados de las redes inalambricas

    * Configuración del ruteador

    * Carpetas compartidas

    * Impresora para todos

    * Servidor de archivos

    * Placa PCI

    * Placa WiFi USB

    * Notebook

    * Palm y Pocket PC
    Descarga (5 X 95.78 Mb + 1 X 61.07 Mb)

    (Pueden alternarse las descargas de ambos servidores)


    http://www.megaupload.com/?d=IUBP2FJQ
    http://www.megaupload.com/?d=HG8AMLVV
    http://www.megaupload.com/?d=89DE0SDL
    http://www.megaupload.com/?d=SNOFZ3F7
    http://www.megaupload.com/?d=5U1Z81ZJ
    http://www.megaupload.com/?d=DL79DIKI

    martes, 22 de marzo de 2011

    Adquisición, desarrollo y mantención de soluciones de TI

    Definición de requerimientos

    El área de TI asesora a todos los gerentes y grupos de usuarios en la definición de requerimientos, con la

    finalidad de prevenir que se gasten recursos en un sistema que no satisface los requerimientos del negocio.
    Adoptando los siguientes pasos genéricos:
    • Definir el problema o la necesidad que requiere solución. 
    • Definir los requerimientos generales o importantes del sistema para la solución, por ejemplo:
      • Controles de acceso 
      • Requisitos legales 
      • Necesidades de información para la Gerencia 
      • Otras consideraciones operativas 
    Si se decide comprar un paquete de software, entonces el usuario debe participar activamente en la evaluación del sistema y en el proceso de selección.

    Estudio de Factibilidad
    La decisión de compra o desarrollo debe estar precedida de un estudio de factibilidad para determinar los beneficios estratégicos de implementar el sistema en base en los beneficios en la productividad o bien evitando costos en el futuro. Considera entre otros elementos, los siguientes:
    • Definir un período de tiempo para el que se requiere la solución; 
    • Determinar si se requiere una solución automatizada; 
    • Determinar si un sistema existente puede corregir la situación (con o sin modificaciones); 
    • Determinar si la solución encaja en la estrategia del negocio; 
    • Determinar si el producto se comprará o desarrollará, considerando además fecha en que se requiere la solución y el costo involucrado.
    Adquisición

    La adquisición no es considerada una fase estándar en el ciclo de vida de desarrollo de una aplicación, sin embargo es una alternativa válida que tiene la empresa y considera:
    • El estudio de factibilidad debe contener la documentación que respalde la decisión de adquirir el software;  
    • Constituir un equipo de proyecto de adquisición, con personal técnico y usuarios para redactar una solicitud de propuesta la que es enviada a los vendedores para determinar la mejor solución de acuerdo a la relación precio/calidad; 
    • Analizar las propuestas (se considerar visitas a terreno) a clientes que usan la solución; 
    • Negociar y firmar el contrato.
    Respeto a la etapa de adquisición, el área de TI ofrece apoyo a la administración de la empresa y usuarios efectuando:


    1. Identificación de los posibles proveedores.
    2. Establecer contacto con los proveedores identificados
    3. Evaluar alternativas.
    4. Evaluación de Inversión
    5. Asesorar en la implementación de las soluciones.
      • Considera el poblamiento de las BD, capacitación y soporte de usuarios.
    6. Evaluación posterior a la compra del Software seleccionado
     Desarrollo

    La fase de desarrollo de soluciones de TI es aplicable en aquellas organizaciones que disponen de un área informática con un equipo de analistas, programadores, verificadores de calidad, políticas, procedimientos y recursos correspondientes.

    Pruebas

    La creación del nuevo sistema o la versión modificada del existente es extraída del ambiente de custodia y trasladada al ambiente de pruebas, lo compila y deja disponible el programa ejecutable junto con un set de datos de pruebas con la finalidad de que usuarios apoyados por un responsable de control de calidad de sistemas “jueguen” con los sistemas para detectar posibles falencias y solucionables, si esto ocurre el usuario no da su conformidad al sistema y se notifica a los desarrolladores para efectuar las modificaciones pertinentes repitiendo las sub-etapas anteriores y su ciclo relacionado. Este proceso se repite hasta que el usuario otorgue su conformidad al sistema de acuerdo a sus necesidades.

    Implementación
    El sistema se traspasa al ambiente de producción para que preste los servicios a los que fue destinado. Una copia de esta versión final es enviada al responsable de custodia el cual además de resguardarla llevará un control de las versiones.

    Mantenimiento

    Los sistemas se ven afectados por la obsolescencia, esto es, las funcionalidades no cumplen a cabalidad o satisfacer los requerimientos del usuario por lo cual es necesario que permanentemente se estén actualizando, ya sea sistemas desarrollados internamente o adquiridos a un proveedor externo. En este caso se considera una modificación y se siguen los pasos descritos en modificación.

    Administración de contratos con terceros
    • Durante los últimos años para las empresas se les ha convertido en un problema llevar por sí mismas el servicio de soporte de su infraestructura de TI debido a los constantes cambios tecnológicos, cada día salen al mercado nuevos productos y el personal del área de sistemas requiere ser capacitado constantemente para adaptarse a estos cambios. 
    • Por esta razón la tendencia de las organizaciones es dejar que el servicio de tecnología de la información lo preste un tercero, es decir, una compañía proveedora de tecnología que para ello cuenta con personal técnico certificado en las distintas marcas que garantiza a sus clientes un servicio de calidad a menor costo de lo que podría representar a la empresa mantenerlo por sí misma.
    • No hay duda que hoy el factor de servicio especializado en TI se ha convertido en un diferenciador entre un producto de TI y otro, al momento que una empresa decide comprar una plataforma tecnológica, pues según los expertos las empresas desarrolladoras de tecnología ofrecen prácticamente las mismas herramientas y es precisamente el servicio en TI lo que ahora tiene un mayor valor, pues anteriormente se enfocaban más en buscar el mejor precio.  
    • El área de TI representa a la organización frente al proveedor o prestador externo de los servicios actuando como administrador de contratos.
    Evaluación de Proveedores

    Nuevas Tendencias: Cumplimiento Sección 404 ley SOX

    El uso de una Organización de Servicios (OS), no reduce la responsabilidad de la administración para mantener un efectivo control interno.


    PCAOB – Organizaciones de Servicio

    Cuando los servicios de la OS forman parte del Control Interno de la OU sobre la información financiera que se reporta, la OU debe considerar las actividades realizadas por la OS. La OU y su auditor deben ejecutar los siguientes procedimientos sobre los procesos de la OS:
    • Obtener un entendimiento detallado de los controles: 
    • en la OU sobre las actividades de la OS, 
    • en la OS, que son relevantes para su control interno.
    • Obtener evidencia que los controles se encuentran operando efectivamente:
    • en la OU, sobre las actividades de la OS,
    • en la OS, a través de la realización de pruebas.
    Una forma de cubrir los requerimientos que caen sobre la OS, es la obtención del SAS 70, un Reporte del Auditor de la OS sobre los controles puestos en operación y pruebas de su efectividad operacional (B18-B24 del PCAOB confirma que el SAS70 es un formato aceptable.

    ¿Qué es un Reporte SAS 70?

     Statement on Auditing Standards (SAS) No.70, Services Organizations

    • Desarrollado por la American Institute of Certified Public Accountants (AICPA).  
    • Provee información a las OU y a sus auditores, para asistirlos en la evaluación del sistema de control interno relacionados con los servicios de la OS.  
    • Se pronuncia sobre los 5 componentes del control interno asociados a los procesos de servicios a terceros (excluye los estados financieros de la Organización de Servicios):
      • Entorno de Control 
      • Proceso de Evaluación de Riesgo 
      • Información y Comunicación 
      • Actividades de Control 
      • Monitoreo 
    • Existen dos tipos de reporte, llamados Tipo I y Tipo II.
    Contenido de Reportes SAS 70

    Tipo I:
    • Descripción de los procesos y servicios que ofrece la Organización de Servicios. 
    • Descripción del ambiente de control interno, control en las aplicaciones, controles generales de tecnología y del entorno. 
    • Descripción detallada de los controles específicos, políticas y procedimientos existentes a la fecha. 
    • Una opinión del auditor externo a una fecha específica sobre la efectividad y aplicación del diseño del Control Interno (no de su operación). 
    • Información adicional provista por la Organización de Servicios (opcional: temas que no son de control pero relevantes, como Planes de Contingencia, inversiones tecnológicas, otros).
    Tipo II, contiene adicionalmente:
    • Descripción de las pruebas, revisiones o actividades de inspección a aplicar a estos controles específicos, políticas y procedimientos, para constatar su efectiva operación. 
    • Resultados de estas pruebas, revisiones o inspección y eventualmente los planes de acción de la Organización para enmendar desviaciones detectadas o recomendaciones de mejora. 
    • Una opinión del auditor sobre la efectividad, cumplimiento y aplicación del Control Interno diseñado a lo largo de un período de tiempo (mínimo seis meses).

    Ejemplo de Procesos a cubrir en el SAS 70 de Cliente

    Controles Generales de TI
    • Organización y administración 
    • Desarrollo, mantención y documentación de aplicaciones 
    • Control de cambios 
    • Acceso físico y controles ambientales 
    • Acceso Lógico 
    • Explotación y respaldos 
    • Telecomunicaciones
    Sistemas de Procesamiento de Tarjetas Bancarias
    • Recepción y autorización de transacciones 
    • Captura de transacciones 
    • Procesamiento de transacciones de tarjetas de débito 
    • Procesamiento de transacciones de tarjetas de crédito 
    • Abono y liquidación e Establecimientos Comerciales 
    • Liquidación de comisiones de Establecimientos Comerciales a Emisores 
    • Facturación a Emisores
    Diferencias de Escenarios de Auditorías

    Evita que la OS reciba múltiples requerimientos de auditoría por parte de los distintos clientes en forma paralela. Genera sinergias, reduciendo significativamente los esfuerzos y recursos por parte de la OS.
    Etapas del proceso del SAS 70

     SAS 70 Año 2005
    1. Definición y aprobación del alcance de servicios a cubrir por parte de las OU y los objetivos de control correspondientes. 
    2. Preparación y documentación de declaraciones: objetivos de control y descripción de controles específicos. 
    3. Período de pruebas de los controles y obtención de evidencia, bajo la revisión del Reporte SAS 70. 
    4. Desarrollo del Reporte SAS 70. 
    5. Entrega del Reporte Final SAS 70 con la opinión de los auditores independientes:
    “Reporte sobre los controles puestos en operación y pruebas de efectividad operacional de los Sistemas de Procesamiento de Tarjetas Bancarias”

    Para el período del 1 de Abril 2005 al 30 de Septiembre de 2005.

    Cada OU (con su auditor) debe evaluar cómo el SAS 70 a emitir por el cliente y se ajusta y adecua con su estrategia de cumplimiento de la 404, y si el reporte provee suficiente evidencia para soportar su Evaluación del Control Interno:
    • Alcance del Reporte: procesos / servicios, aplicaciones a cubrir.  
    • Lista de objetivos de control para cada proceso, servicio y/o aplicación. 
    • Período de tiempo cubierto en las pruebas de controles.
    Asegurar Continuidad de los Servicios

    Corresponde a uno de los principales servicios del área de TI y también a uno de los principales objetivos de control interno informático. Consiste en asegurar la disponibilidad, confidencialidad e integridad de la información. Entre las actividades comprendidas en este servicio se encuentran:
    • Requisitos de seguridad para los activos: Definir todos los componentes de la infraestructura de la organización que requieran algún grado de protección,  
    • Análisis de amenazas: elaborar una lista con las más comunes en el entorno. 
    • Identificación de exposiciones: La identificación y definición del valor de pérdida potencial de cada exposición  
    • Evaluación de vulnerabilidad: Elaborar una lista completa de todas las vulnerabilidades existentes.
    • Desarrollo de contramedidas: rentable para proteger los activos de la organización.  
    • Pruebas de penetración: Utilizar las pruebas para identificar las diferentes maneras en que un individuo no autorizado puede tener acceso a la organización. 
    • Respuesta a incidencias: Un buen plan de respuesta a incidencias detalla los procedimientos específicos que se deben seguir. 
    • Alcance de las tareas para asegurar los activos: Definir la cantidad total de trabajo, incluso el tiempo, el esfuerzo y el dinero necesarios para ofrecer la seguridad suficiente y para mantener la infraestructura desde el punto de vista del soporte y usuario final.
    Administrar el desempeño y capacidad
    • La administración de servicios de TI se preocupa por la entrega y soporte de servicios cuidando las necesidades de la organización. Una de la preocupaciones es poder dar una seguridad a la organización de que pueda seguir su continuidad sin verse alterada en su desarrollo diario.
    • La medición de la calidad del área de TI no es un evento sino un proceso continuo y un estado mental. Se recomienda la utilización de los principios del círculo de calidad para efectuar este proceso en forma efectiva.
    • Cuando se define el proyecto, el grupo de trabajo debe entender los términos de calidad de la información impuesto por el cliente y estar consignados en un plan de trabajo que tenga como objetivo proveer un servicio de calidad dentro de las áreas de TI.
      • Por ejemplo, en la entrega de software, se sabe que es difícil que esté completamente libre de fallas, por lo que se puede definir que se da por aceptado con fallas de forma, más no de fondo.

    Capacitación de usuarios
    • En una gran medida en las empresas quienes deciden cuando de debe capacitar al usuario de TI es la Gerencia de TI ahora si en algún caso la organización ve que nuestra capacitación esta sobrepasando los costos estimados que tenían en dicha inversión es el Gerente General o Subgerente General es quien toma las decisiones ligadas a TI. En la adquisición, desarrollo y/o manutención de los sistemas, los usuarios deben ser capacitados en las funcionalidades incluidas en estas soluciones de TI con la finalidad de maximizar los beneficios de la inversión realizada
    Administración del hardware e instalaciones
    • El área informática es responsable de controlar, resguardar y mantener el hardware, las redes y las instalaciones relacionadas con la gestión de TI. Por lo tanto debe apoyar a la empresa en los procesos de adquisición mantenimiento cambio en custodia de estos recursos, específicamente controlando las condiciones ambientales de acceso físico y acceso lógico
    Control de licenciamiento
    • El área de TI esta encargada de materializar el cumplimiento de las normativas que protegen la propiedad intelectual de los proveedores de soluciones de TI. Para ello es responsable de establecer un proceso continuo de control sobre las licencias instaladas en sus plata formas.  
    • Este proceso incluye actividades tales como:
      • Redacción, publicación y manutención de políticas y procedimientos relacionados a la instalación de software  
      • Control permanente de las versiones adquiridas, instaladas y obsoletas de software 
      • Establecer controles preventivos, defectivos y correctivo en caso de vulnerar los derechos de autor 
      • Fomentar la acreditación de entes externos relacionados a control de licenciamiento.

    Orientaciones para auditor informático

    Asegurar que el auditor de TI pueda evaluar la metodología y los procesos por medio de los cuales se abordan el desarrollo, la adquisición, la implementación y el mantenimiento de los sistemas de aplicaciones del negocio para asegurar que los mismos satisfagan los objetivos de negocios de la organización
    Diseño y Programación
    • Revisar diagramas de flujo del sistema para verificar si se ajusta al diseño general, si se han modificado deben tener las autorizaciones respectivas 
    • Revisar los controles de ingreso, procesamiento y salida de datos 
    • Entrevistar a usuarios claves para determinar la comprensión y participación en el proyecto 
    • Revisar los resultado de control de calidad del programa 
    • Verificar que se hayan efectuado las correcciones de los errores detectados
    Etapa de Pruebas
    • Revisar el plan de pruebas para verificar si está completo y con evidencias de participación de usuarios 
    • Revisar los reportes erróneos 
    • Verificar que los controles y seguridad del sistema esté funcionando
    Implementación
    • Verificar que se hayan obtenido las firmas (autorizaciones) de aprobación apropiadas antes de la implementación; 
    • Revisar los procedimientos programados para poner en funcionamiento el sistema; 
    • Revisar la completitud de la documentación del sistema; 
    • Verificar que la conversión de datos es correcta. 
    • Analizar la documentación a partir del estudio de factibilidad para determinar que la decisión de adquirir una solución fue apropiadamente documentada y si consideró la conveniencia para la empresa; 
    • esté visado por los abogados de la empresa.
    • Revisar las propuestas de los proveedores analizados
    • Determinar si el vendedor seleccionado cumple con los requisitos estipulados en la propuesta; 
    • Revisar el contrato del vendedor antes de su firma para asegurarse que incluye puntos de control en beneficio de la empresa; 
    • Asegurarse que el contrato esté visado por los abogados de la empresa.

    Evaluar los procesos de mantenimiento a los sistemas de información
    • Evaluar si los procedimientos de la organización para autorizar, priorizar y rastrear cambios al sistema son los adecuados; 
    • Identificar los cambios al sistema y verificar que se haya dado la autorización debida conforme a las normas de la organización; 
    • Revisar la documentación del programa, para asegurarse que se mantienen instaladas las pistas de auditoria; 
    • Determinar si se ha actualizado la documentación del sistema (técnica y la de usuario); 
    • Evaluar los procedimientos de control de cambios a programas; 
    • Evaluar si las restricciones de acceso de seguridad de los módulos fuentes y los ejecutables en producción son los adecuadas;  
    • Evaluar si los procedimientos para atender los cambios de emergencias a los programas son los adecuados.
    • Evaluar si los procedimientos para probar los cambios a los sistemas son los adecuados;  
    • Revisar los procedimientos establecidos para asegurar la integridad del código ejecutable y fuente; 
    • Revisar los módulos ejecutables en producción y verificar que haya una sola versión del fuente del programa.