BOLETIN ASI-Noticias #27

Octubre 2004

ESTRATEGIAS DE SEGURIDAD INFORMATICA

La seguridad informática en las organizaciones actualmente es un factor sumamente importante, que no debe descuidarse. Las estrategias que se sigan deben estar alineadas a los procesos de negocio para asegurar la continuidad del negocio. La seguridad informática debe verse más como un proceso que como una alternativa tecnológica dentro de las organizaciones. 

¿Tiene su organización un proceso de seguridad informática? ¿Cuenta con políticas y procedimientos definidos expresamente para la salvaguarda de los sistemas de información? ¿Cómo calificaría el estado actual de la seguridad informática en su organización? Contar con un proceso de seguridad informática permitirá trabajar de forma ordenada y consistente en la protección de los activos informáticos de la organización, identificar con oportunidad los riesgos o errores, y actuar oportunamente para mitigarlos o tenerlos bajo control.

Por lo general, se traslada al usuario la responsabilidad de la seguridad de los sistemas que utiliza, llámense la computadora asignada, las aplicaciones e información que contiene ésta, el gafete de identificación, las aplicaciones e información centrales a las que accesa, entre otros. Pero ¿qué tanto sabe el usuario acerca de cuestiones de seguridad informática? ¿qué tanto puede operar las tecnologías de seguridad en uso? Si el usuario desconoce cómo opera un antivirus, ¿podrá ejecutar otros mecanismos de seguridad?  

Actualmente se dice que mínimo hay que mantener actualizados el sistema operativo y el antivirus, y usar un firewall personal para proteger a la PC. ¿Conoce el usuario esto? ¿Sabe cómo hacerlo? ¿Sabe cómo actuar en caso de emergencia informática?

Si bien no suficientes dichas recomendaciones, creemos que lo más importante es mantener un proceso de seguridad informática basado en la concientización y educación informática del usuario, y en el uso de las técnicas y tecnologías disponibles para la protección de los activos informáticos. No hay que descuidar que aunque se están protegiendo de forma directa los sistemas de información, indirectamente se protege a la gente que trabaja en las organizaciones y a la productividad de éstas.

Para definir el proceso de seguridad debe considerarse:


1. Definir objetivos. Qué se quiere proteger. Con base en el objetivo, misión y visión empresarial de la organización pueden identificarse sistemas de aplicación crítica 
2. Administrar riesgos. Identificar riesgos, evaluarlos y administrarlos. Qué puede pasar si ... el riesgo identificado se materializa.
3. Definir la política de seguridad. Establecer las reglas de actuación ante los riesgos de seguridad y deben incluir los controles preventivos, detectivos y correctivos necesarios para el control de los riesgos informáticos.
4. Monitorear el proceso. Evaluar la efectividad del proceso, haciendo auditorías internas y externas que permitan identificar con oportunidad posibles problemas o riesgos, y corregir lo que sea necesario.

IMPORTANCIA DE LA AUDITORIA INFORMATICA

El pasado mes de agosto, el avance tecnológico nos enseñó una vez más cómo su uso no controlado puede representar un riesgo legal para una organización y la importancia de la auditoría informática en las organizaciones.

Cierta institución bancaria detectó que uno de sus empleados había abusado de los recursos informáticos que le fueron asignados para su trabajo. El empleado usó el acceso a Internet para bajar grandes cantidades de música pirata y que después "quemaba" en CDs usando la computadora del trabajo. El empleado también tenía software para el envío masivo de correo-e o SPAM (correo electrónico no solicitado).

El Banco denunció ante la PGR al empleado, al que acusó del delito de “acceso indebido a sistemas informáticos de instituciones financieras”. Sin embargo, la PGR resolvió no ejercer acción penal porque no había evidencia de que el empleado cometió el delito imputado.

En el fondo de dicha resolución se asoma la importancia de la auditoría informática:

1. Para detectar con oportunidad riesgos y problemas que puedan afectar legal o económicamente a la organización,
2. Para obtener la evidencia suficiente del hallazgo detectado
3. Para actuar en consecuencia

Realizar auditorías informáticas de forma periódica es importante para toda organización que aprecie el gasto que puede ocasionar el uso indebido de los recursos; pero aún lo es más importante para aquellas que cuidan el riesgo legal que puede motivar una conducta inapropiada de sus empleados en el uso de los sistemas informáticos.

ATAQUE PHISHING

A través de esta técnica, hoy de moda por los defraudadores cibernéticos, se intenta engañar al usuario para que ingrese a páginas web supuestamente de sitios financieros, simulando ser legítimas pero que son falsas, y proporcione información altamente sensitiva, como nombres de usuario, passwords, número de cuenta bancaria, número de identificación personal (NIP).

El defraudador envía de forma masiva e indiscriminada, correos-e a sus víctimas, con mensajes alusivos a posibles movimientos que pueden afectar o han afectado al usuario víctima de este tipo de ataque, como la posible cancelación de la cuenta, alertar de posibles estafas, entre otros.

El mensaje simula provenir de una organización confiable -por ejemplo de un Banco-, e incluye un link supuestamente al sitio web de esta organización. En el mensaje se solicita al usuario víctima que actualice su información, haciendo click en el link. Al hacer click, el usuario cree estar en la página web del Banco pero en realidad está en una página web maliciosa hecha por el atacante para obtener la información de la víctima. En realidad lo que el atacante está haciendo es aprovechar una vulnerabilidad de Internet Explorer que permite que el usuario vea una URL concreta en la barra de direcciones, cuando en realidad está visitando un sitio web diferente. Aunque Microsoft ya corrigió esta vulnerabilidad, muchos usuarios aún la siguen teniendo porque no han actualizado Internet Explorer.

Lo recomendable es siempre evitar hacer click en links no solicitados. Si aún no ha actualizado IE, hágalo lo más pronto posible. Para verificar que la dirección del sitio web es legítima y que navega a través de una co
nexión segura, donde los datos viajan cifrados y no pueden ser capturados por terceros, vea si la direccion URL comienza con https://,  y no con http://; y aparece el símbolo de un candado cerrado o una llave completa en la parte inferior del navegador. Si hace doble click en el candado o la llave, puede ver
información detallada del certificado de seguridad de la organización web.

SEGURIDAD
WINDOWS
vs.
LINUX

The Register, una publicación de Inglaterra, ha publicado el reporte "Security Report: Windows vs Linux", donde analiza el modelo de seguridad de ambos sistemas operativos.  Los analistas de The Register compararon las métricas disponibles de los últimos 40 parches de seguridad para Microsoft Windows Server 2003 y Red Hat Enterprise Linux AS v.3. El informe aborda los mitos más utilizados al comparar la seguridad de Windows y Linux; analiza las implicaciones en seguridad de los diseños de tales sistemas operativos; y compara las métricas conocidas de su nivel de seguridad. Más información aquí.

SpySweeper
La solución contra los programas spyware.
Haga click aquí para más informes . . .


Encripte correo-e, archivos y carpetas. Con PGP, la información estará protegida aunque un atacante la encuentre.
Para más informes
Haga click aquí

VIRUS PELIGROSOS EN EL MES

Durante el mes sólo se reportó la propagación masiva de dos variantes de la familia de virus BAGLE. El pico de propagación se dio el día 29.

A las 2 de la mañana de ese día, la alerta de seguridad la ocasionó BAGLE.AT, debido a su alto nivel de propagación en Japón, Suecia, China y Alemania.

A las 9 de la mañana, del mismo día,  la alerta de seguridad la motivó BAGLE.AU por su propagación masiva y rápida en EEUU, Japón, Suecia, Alemania, México, Francia, Argentina, Chile, Brasil y Canadá.

Ambos gusanos se propagaron a través del correo-e, usando su propio motor SMTP.



 

Boletín Anterior

Boletín Siguiente