Seguridad en los Centros de Cómputo

Saturday, March 25, 2006

Hola!!! para descargar el trabajo en formato word por favor, haga clic sobre el siguiente enlace. Gracias.....
INTRODUCCIÓN
La presente investigación sobre la seguridad en los centros de computo, está orientada a brindar información actualizada sobre este importante campo de la actividad empresarial, y a proporcionar ideas acerca de cómo evitar: robos de hardware, fraude y sabotaje de software así como orientar en relación a las medidas preventivas que se deben llevar a cabo para garantizar la seguridad en las instalaciones de los centros de computo.
Se enfocará el tema conceptualizando la seguridad en los centros de computo, enfatizando en:
·SEGURIDAD DE CENTROS DE COMPUTO CON RESPECTO AL HARDWARE:
- El Robo: - Cómo evitar el robo.
- Cómo prevenir los robos.
- Evitar.
·SEGURIDAD DE CENTROS DE INFORMACIÓN CON RESPECTO AL SOFTWARE:
- Intrusiones y ataques:- Esquema del comportamiento
- Formas de controlar
- Formas de protección
- El Fraude:- Las tres principales áreas donde se produce.
- El Sabotaje:- La protección contra el sabotaje.
· SEGURIDAD DE CENTROS DE INFORMACIÓN CON RESPECTO A LAS INSTALACIONES


SEGURIDAD EN CENTROS DE COMPUTO
El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aún así, yo no apostaría mi vida por él.
La seguridad de un sistema de cómputo se da cuando:
– Hay confianza en él
– El comportamiento del software es el esperado
– La información almacenada
• Inalterada
• accesible
Si se cumplen los siguientes puntos, diremos en general que los datos están protegidos y seguros:
– Confidencialidad
– Integridad y autenticidad
– Disponibilidad
– No Repudio

SEGURIDAD DE CENTROS DE COMPUTO CON RESPECTO AL HARDWARE
El Robo
Los equipos de cómputo son posesiones muy valiosas de las empresas y están expuestas al "robo", de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen el computador de la empresa en realizar trabajos privados para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraída, cintas y discos son fácilmente copiados sin dejar ningún rastro.
Cómo evitar el robo:
· Colocar plataformas de anclaje en los diferentes elementos del computador (monitor, la caja del ordenador e impresora, modem, etc.)
· Diseñar muebles para ordenadores de forma que se pueda asegurar fácilmente la máquina y los periféricos (Tapas con llave, puertas, etc.).
· Evitar que quiten la tapa del ordenador y se lleven la unidad y tarjetas adaptadoras.
Cómo prevenir los robos:
· Creación de un equipo con misión especial que establezca y compruebe técnicas de seguridad para la computadora. Este equipo deberá incluir representantes de los departamentos de procesamiento de datos, seguridad, auditoría y usuario .
· Ejecución de un análisis de riesgos en los sistemas que abarquen pérdidas potenciales por accidentes, así como por delitos intencionados.
· Compilación de una lista con las aplicaciones de la computadora identificando posibles oportunidades para delinquir y estableciendo un sistema de defensas.
· Establecer inspecciones y entrevistas que abarquen:
- Estado físico del local de la computadora y departamentos de usuarios.
- Control de acceso.
- Documentación.
- Segregación de deberes. Separar (Planeamiento/Desarrollo, de Ejecución y de Verificación/Control).
- Trabajo excesivo o innecesario del personal.
- Entorno general personal.
- Prestar atención especial a la información contable.
Evitar
· Depender de una sola persona para las funciones vitales.
· Trabajo no supervisado, especialmente durante el turno de noche. Malas técnicas de contratación, evaluación y de despido de personal.

SEGURIDAD DE CENTROS DE INFORMACIÓN CON RESPECTO AL SOFTWARE
Intrusiones y ataques:
Esquema del comportamiento:
– Entrar al sistema
– Explotar un fallo para obtener privilegios y controlar el sistema
Formas de controlar:
– Copia del archivo de password para desencriptarlos.
– Instalación de sniffers y/o caballos de troya.
Formas de protección:
- Firewalls
- VPN’s
- Conexiones seguras (SSL)
- Wrappers
- Software de análisis de vulnerabilidad
- Fingerprints para archivos

El Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, los computadores han sido utilizados en dicho propósito
En realidad, el potencial de pérdida a través de fraudes, y los problemas de prevención y detección del fraude, están en aumento en sistemas computarizados.
Las tres principales áreas donde se produce el fraude son:
1. Manipulación de información de entrada, fácil de realizar y muy difícil de detectar, al ser los métodos de validación de entrada simples y, en general, conocidos por un gran número de personas de la empresa.
2. Alteración o creación de archivos de información. Se alteran los datos directamente del fichero o se modifica algún programa para que realice la operación deseada.
3. Transmisión ilegal. Interceptar o transferir información de teleproceso.
Cómo evitar y prevenir el fraude:
Programas de Control. Deben existir programas protegidos que mantengan y controlen a los usuarios y sus derechos de acceso, ya sea por grupos o individualmente.
El uso de tal programa puede conferir al usuario algunos de los privilegios que corresponden al controlador de dichos programas. La transferencia de privilegios es adecuada si el programa actúa como filtro de la información.
Palabra de Acceso (Password). Es una palabra especial o código que debe teclearse al sistema de computadora antes que se realice un proceso. Constituye un procedimiento de seguridad que protege los programas y datos contra los usuarios no autorizados.
Niveles de Acceso. Los programas de control de acceso deberán identificar a los usuarios autorizados a usar determinados sistemas, con su correspondiente nivel de acceso. Las distinciones que existen en los niveles de acceso están referidos a la lectura o modificación en sus diferentes formas.
De acuerdo a ello se tienen los siguientes niveles de acceso a la información:
· Nivel de consulta de la información no restringida o reservada.
· Nivel de mantenimiento de la información no restringida o reservada.
· Nivel de consulta de la información incluyendo la restringida o reservada.
· Nivel de mantenimiento de la información incluyendo la restringida.

El Sabotaje
El peligro más temido por los centros de Procesamiento de Datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Los imanes son herramientas muy recurridas, aunque las cintas estén almacenadas en el interior de su funda de protección, una ligera pasada y la información desaparecerá. Una habitación llena de cintas puede ser destruida en pocos minutos. Los Centros de Procesamiento de Datos pueden ser destruidos sin entrar en ellos. Suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.
La protección contra el sabotaje requiere:
· Una selección rigurosa del personal.
· Buena administración de los recursos humanos.
· Buenos controles administrativos.
· Buena seguridad física en los ambientes donde están los principales componentes del equipo.
· Asignar a una sola persona la responsabilidad de la protección de los equipos en cada área.

SEGURIDAD DE CENTROS DE INFORMACIÓN CON RESPECTO A LAS INSTALACIONES

· Es recomendable que el Centro de Cómputo no esté ubicado en las áreas de alto tráfico de personas o con un alto número de invitados.
· Hasta hace algunos años la exposición de los Equipos de Cómputo a través de grandes ventanales, constituían el orgullo de la organización, considerándose necesario que estuviesen a la vista del público, siendo constantemente visitados. Esto ha cambiado de modo radical, principalmente por el riesgo de terrorismo y sabotaje.
· Se deben evitar, en lo posible, los grandes ventanales, los cuales además de que permiten la entrada del sol y calor (inconvenientes para el equipo de cómputo), puede ser un riesgo para la seguridad del Centro de Cómputo.
· Otra precaución que se debe tener en la construcción del Centro de Cómputo, es que no existan materiales que sean altamente inflamables, que despiden humos sumamente tóxicos o bien paredes que no quedan perfectamente selladas y despidan polvo.
· El acceso al Centro de Cómputo debe estar restringido al personal autorizado. El personal de la Institución deberá tener su carné de identificación siempre en un lugar visible.
· Se debe establecer un medio de control de entrada y salida de visitas al centro de cómputo. Si fuera posible, acondicionar un ambiente o área de visitas.
· Las cámaras fotográficas no se permitirán en ninguna sala de cómputo, sin permiso por escrito de la Dirección.


CONCLUSIÓN
Hemos llega a la conclusión de que la seguridad en los centros de cómputo es de suma importancia, ya que a través de está se tiene confianza en que los datos son fidedignos y estarán disponibles en el momento que se requieran aún y cuando no existe un plan idóneo o una recomendación simple para resolver el problema de la seguridad; realmente no es una situación estática o un problema "puntual", sino que requiere un constante y continuo esfuerzo y dedicación, será de gran ayuda seguir los parámetros de seguridad expuestos en el desarrollo de este trabajo de investigación.

BIBLIOGRAFIA
Instituto nacional de estadísticas e informática (INEI) (1997). Amenazas más comunes contra la seguridad. [Documento en línea]. Disponible: http://www.inei.gob.pe/web/metodologias/attach/lib611/733.HTM [Consulta: 2006, marzo 25]

Farias, Mario (2001). Seguridad en los centros de computo. [Documento en línea]. Disponible: http://seguridad.internet2.ulsa.mx/congresos/2001/pronad/seg_pronad.pdf [Consulta: 2006, marzo 25]