Seguridad

Contenidos

1) Concepto
2) Contraseñas más seguras
3) Herramientas para prevenir el fraude interno
4) Recuperación tras el desastre
5) Privacidad
6) Autentificacion

1) Concepto

Las tecnologías relativas a la seguridad de los sistemas de información son el hardware, el software y los procedimientos para proteger los sistemas de información de una organización de ataques internos y externos.

Los medios de comunicación informan periódicamente de casos más o menos espectaculares de sabotajes, desastres, etc... aunque la mayoría permanecen ocultos.

La empresa se enfrenta a riesgos y amenazas como:

Errores humanos
Fallos equipos
Robo
Virus
Sabotaje
Fraude
Desastres naturales

Y para hacer frente, disponemos de numerosas tecnologías, como sistemas de cifrado de información, antivirus, cortafuegos... vamos a aprender a utilizar algunos de estos programas.

Los buenos y los malos son los usuarios no el software

Imagine un software para detectar contraseñas. Normalmente el informático de la empresa puede utilizarlo para detectar contraseñas de sus propios usuarios y avisar a aquellos que han puesto contraseñas fáciles de detectar. Pero también pueden utilizarlo un hacker para acceder a los documentos.

¿Los "malos"?	¿Los "buenos"?
Virus que infectan las aplicaciones	Antivirus
Sniffers que capturan los datos y contraseñas que circulan por una red	Cortafuegos, que ejercen un control sobre los accesos al sistema
Programas que que revientan los passwords	Herramientas para cifrar ficheros o mandar correo electrónico seguro
Caballos de Troya que se instalan en nuestro ordenador y toman el control	Programas que verifican la integridad de un sistema avisando cuando pasa "algo raro"
Espías que se ocultan en el ordenador e informan a terceros	Programas que analizan los ficheros .log de acceso a un sistema
Gusanos que saltan de ordenador en ordenador	Detectores de vulnerabilidades que identifican puntos débiles de un sistema

2) Contraseñas más seguras

Contraseñas poco seguras

La empresa Pentasafe Security Technologies Ltd, realizó una entrevista a unos 15.000 empleados de más de 600 organizaciones en Estados Unidos y Europa. El estudio descubrió que el 25 por ciento de los empleados eligió como contraseña una palabra tan simple como "Banana", a pesar de que un pirata informático apenas tardaría segundos en descifrarla y entrar en las bases de datos de una empresa.

Otro estudio, de Zonealarm (http://www.zonealarm.com) encontró que el 4% de los usuarios utilizan con contraseña la palabra "password" o una variante suya, el 25% usan un nombre de pila y el 16% usan una variante de su propio nombre .

Un password que se me ha olvidado...

En esta práctica vamos a aprender a desproteger (crackear) un documento cuyo password hemos olvidado. Imagine que tiene un importante documento en Word, por ejemplo, la previsión del Balance de su empresa, que desea proteger.

Para protegerlo puede utilizar las opciones del Word [GUARDAR COMO] [HERRAMIENTAS] [OPCIONES DE SEGURIDAD].

Pero, tras un accidente de tráfico, ha perdido parte de la memoria y ha olvidado el password que protegía el documento.

Una simple búsqueda en Google (http://www.google.com) nos permite identificar numerosos programas gratuitos o comerciales que pueden ayudarnos a solucionar este problema.

EJERCICIO: Utilice alguno de los programas anteriores para averiguar el password del siguiente documento en Word [BalanceSituacionSecreto.doc] y poder leerlo. ¿Cual es la cifra de Activo correspondiente a septiembre?

Spoiler: Highlight to view

Utilice este software http://ciberconta.unizar.es/LECCION/SEGURO/aoxppr_s.zip

3) Herramientas para prevenir el fraude interno

En una empresa la mayor fuente de fraude proviene casi siempre de los propios empleados.

Trabajadores que realizan miles de horas extras
Proveedores a los que les compramos mucho más de lo normal
Proveedores ficticios
Duplicidad de pagos
Conflicto de intereses con familiares o amigos con los que se hacen negocios
Ventas no registradas...

Es necesario disponer de procedimientos adecuados de control interno o recurrir a la auditoría para prevenir y detectar el fraude.

El siguiente pantallazo muestra un ejemplo real: un estudiante que por un error en un impreso (copiar y pegar) cobra dos veces una beca. Aquí están los impresos.

Al no haber un mínimo sistema de control ni mucho menos de auditoría nadie se da cuenta, como podemos apreciar en el siguiente enail.

En el caso de la auditoría se utilizan programas de auditoría asistida por ordenador, como ACL (http://www.acl.com), Idea(http://www.caseware.com/products/idea) o Picalo (http://www.picalo.org) que es software libre. Estos programas:

Buscan facturas duplicadas
Tranferencias bancarias electrónicas a empleados
Tranferencias con el mismo número de banco y diferente nombre de receptor
Tranferencias con diferente número de banco y misma empresa
Se cruzan nombres de proveedores contra archivos maestros de personal
Empleados duplicados, etc.

Veamos un pantallazo de uno de estos programas de auditoría para detectar fraudes, cruzando las bases de datos de proveedores y de empleados, a ver si coincide el teléfono, cuenta bancaria, domicilio o algún dato sospechoso.

Detenido un empleado de Caprabo por estafar a su empresa 14 millones de euros en tres años El Mundo (http://www.elmundo.es).

Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material plástico han sido detenidos acusados de estafar más de 14 millones de euros a esta firma comercial.

Según ha informado la Jefatura Superior de Policía de Cataluña, durante los últimos tres años, el detenido, J.H.V., aprovechó su acceso al sistema informático de Caprabo desde su puesto de trabajo como administrativo de la sección de charcutería para realizar pedidos de material plástico que nunca llegaron a los almacenes.

J.H.V. actuó en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De Serveis, que facturó el material de embalaje que Caprabo nunca llegó a adquirir. Los pedidos de material de plástico en los últimos tres años tenían un valor de 14 millones de euros, cuando las necesidades de la empresa precisan un gasto anual de unos 180.000 euros.

El Gobierno francés constata fallos en el control interno de Société Générale El Periodico(http://www.elperiodico.com) [4-Feb-2008]

La ministra francesa de Economía y Finanzas, Christine Lagarde, ha dado cuenta de fallos en el sistema de control interno de Société Générale que no detectaron el presunto fraude sufrido por el banco, y que le ha costado 4.900 millones de euros. Société Générale, aunque ha dicho que no quería comentar el informe, ha destacado que este "no pone en cuestión" el sistema de gestión de los riesgos de mercado, y ha reiterado que ya se han puesto en aplicación o lo serán próximamente las medidas que habrían podido detectar y prevenir el fraude.

sun Fraude interno. La experiencia de Sun (http://www.sun.com)

En primer lugar, necesita documentar todos sus procesos financieros. En Sun, por ejemplo, un proceso financiero podría ser el proceso de nómina, las compras por pagar, el pago de incentivos o cosas similares. Es necesario que documente todo el proceso e identifique cuáles son los controles esenciales. Un ejemplo de un control esencial en el proceso de compras por pagar podría ser la aprobación de la orden de compras, por parte de todas las personas requeridas, antes de que se distribuya al proveedor.

En segundo lugar, tiene que evaluar la estructura, apartándose y mirando el proceso y los controles y viendo si está cubierto. Luego, la parte que realmente consume tiempo es la prueba del proceso. Por ejemplo, tendrá que evaluar el número adecuado de firmas en su orden de compras. Para hacer esto, deberá obtener una muestra de un determinado número de órdenes de compra, asegurándose de que cada una de ellas cuente con el número correcto de firmas; básicamente, que evalúe las transacciones.

Y si no pasa la prueba, entonces necesita corregir su control y volver a probarlo. Además, no olvide que sus auditores independientes se presentarán y también realizarán sus propias pruebas.
El proceso es como sigue:

1. Documentar
2. Evaluar la estructura
3. Probar
4. Corregir
5. Volver a probar
6. Obtener el visto bueno del auditor interno

Un portátil es robado cada 53 segundos en Estados Unidos. Cinco Dias [noticia robo datos contables en un portátil)

La liturgia que rodea la presentación de resultados de una compañía cotizada se ha visto alterada este mes de agosto en las oficinas del operador de telecomunicaciones Belgacom. La empresa tenía previsto desvelar sus cuentas del primer semestre el pasado día 25 para que analistas e inversores tomaran buena nota de la evolución de sus negocios. Sin embargo, uno de sus directivos sufrió días antes el robo de su portátil con la información económica en el disco duro. Eso trastocó los planes. La operadora tuvo que adelantar la presentación al día 21 para que nadie pudiera beneficiarse -por ejemplo, comprando acciones- de una información confidencial. Y es que un PC extraviado es como un libro abierto en plena calle, lo puede leer casi cualquiera.

El de Belgacom no es un caso aislado. En junio salió a la luz la pérdida de un portátil, propiedad de la auditora Ernst & Young, en el que se encontraba buena parte de la base de clientes del portal Hotels.com. Uno de los auditores dejó la máquina en el coche y no la ha vuelto a ver desde entonces, junto a miles de datos -incluidos números de tarjetas de crédito- de 240.000 usuarios del portal de reserva de hoteles. Time Warner, Fidelity Investments o el propio gobierno estadounidense también tienen sus experiencias relacionadas con ordenadores en paradero desconocido.

Cifrar un documento que queremos proteger, por ejemplo, el Balance de la empresa

En este ejercicio vamos a aprender a proteger el documento Balance.xls de nuestra empresa, de tal forma que cada vez que queramos abrirlo nos pida un password que sólo nosotros conozcamos.

Previamente vamos a instalar un programa para cifrar nuestros ficheros.

1) Instalar el programa Cryptext

Aunque hay muchos programas que sirven para encriptar los documentos el Cryptext de Nick Payne es muy sencillo de usar y además gratis.

Cryptext es un programa que permite cifrar ficheros.
Su instalación es muy sencilla, funciona en Windows.
Hay una versión en Español
Utiliza una combinacion de los algoritmos SHA-1 y RC4 para encriptar los ficheros, con 160-bit
Con 160-bit mera combinatoria, si el password es suficientemente complejo, se necesitarían todos los ordenadores del mundo durante miles de años para descifrarla, aunque si uno pone como password una palabra tomada de un diccionario, con un par de horas sobraría.

Si no tiene instalado el programa Cryptext puede descargarlo de nuestro servidor: [Pinche aquí para bajar el Cryptestp 3.40].

Aceptamos y ya está listo para cifra y descrifrar.

2) Cifrar

Vamos a cifrar uno de los ficheros de la figura inferior, concretamente el balance.xls

1) Para cifrar simplemente situamos el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de encriptar el fichero.

2) Introducimos la contraseña.

3) El fichero cambia su icono por uno con una llave amarilla.

3) Descifrar

1) Para descifrar simplemente situamos el cursor sobre el fichero y con el botón derecho del ratón aparece un menú en el que seleccionamos la opción de desencriptar el fichero.

2) Introducimos la contraseña.

3) El fichero cambia el icono de la llave amarilla por su icono normal.

4) Recuperación tras el desastre

Recuperación tras el desastre o DRP (Disaster Recovery Planning). Podemos decir con ironía que todas las empresas están perfectamente preparadas para afrontar con éxito un desastre en los sistemas de información… la segunda vez que lo sufren . Disponer de un buen plan para continuar el negocio si se pierden los datos por desastres naturales, inundaciones, virus, etc. La realización de copias de seguridad es fundamental. Tenemos dos tipos de medidas de seguridad.

Como en los coches

Medidas de seguridad activa son aquellas cuyo objetivo es anular o reducir los riesgos existentes o sus consecuencias para el sistema. Las medidas de seguridad pasiva están destinadas a estar preparado si llega a producirse el desastre.

En un símil automovilístico, que el coche disponga de unos buenos frenos, -por ejemplo, con ABS- es una medida de seguridad activa. Pero si ocurre un accidente, llevar puesto el cinturón de seguridad o airbag es una medida de seguridad pasiva. Disponer de un buen plan de recuperación de desastre ante posibles eventualidades, hace un negocio más seguro.

El 66,8% de las empresas que tienen acceso a Internet realizan copias de seguridad... ¿y el resto? Fuente: INE.

Tres conceptos clave:

"Back-up": hacer copias de los archivos periódicamente.
"Archiving": copiar los archivos para almacenar por un largo período de tiempo, sea por cuestiones legales como la contabilidad o por motivo de espacio.
"Disaster recovery": recuperar desde una situación en la que el sistema está fuera de servicio. Se requiere entonces el back-up guardado a partir del cual puede recuperarse el sistema.

El problema de seguir un sistema simple para hacer las copias

Hay muchas empresas que siguen un esquema sencillo para sus copias. Por ejemplo hace una copia de seguridad periódicamente en un pen drive o en un Cd Rom. Pero si surge un virus que machaca los datos o un fichero se corrompe, los datos en buen estado podrían ser sobreescritos con datos dañados antes de haberse manifestado el problema. Es decir, tanto los datos originales como los de la copia de seguridad pueden estar mal. Por eso es necesario seguir sistemas de rotación. Por ejemplo se disponen de varios dispositivos (pueden ser 6 cintas si es una empresa o 6 pendrives o servidores remotos) y se realiza una copia incremental cada día, y una copia completa en la cinta adecuada de cada viernes. Est sistema debe estar automatizado, porque "el mayor enemigo de las copias de seguridad es la pereza".

Copias de seguridad

En este ejercicio vamos a aprender a hacer copias de seguridad. Crearemos una carpeta con varios ficheros de texto en el escritorio y haremos una planificación de forma que realicen automáticamente las copias de seguridad vía FTP. Concretamente vamos a programar una copia completa una vez por semana y una copia incremental todos los días.

Previamente tendremos que instalar un programa que permita hacer dichas copias de seguridad. Aunque hay muchos programas que sirven para este menester, hemos elegido Cobian BackUp.

Características de Cobian BackUp

Puede respaldar los archivos en el momento, diaria, semanal, mensual o anualmente, o en un tiempo especificado
Puede elegirse entre comprimir los archivos o no.
Soporta la copia incremental y diferencial.
Se puede guardar y abrir listas con diferentes configuraciones de backups.
Es gratuito

1) Instalar el programa

Si no tiene instalado el programa Cobian puede descargarlo de nuestro servidor: [Pinche aquí para bajar el Cobian versión 8] o de la página web del programa, que es (http://www.cobian.se).

Cuando se instala pide elegir como aplicación o como servicio. Un servicio es una utilidad de Windows que se ejecuta incluso aunque ningún usuario haya entrado al sistema.

En esta práctica vamos a instalarlo como Aplicación.
Hacemos click en Listo

2) Una copia completa

A continuación vamos a hacer una copia de seguridad de una carpeta que crearemos en nuestro escritorio.

Creamos una carpeta en el escritorio, llamada Misapellidos.
Guardamos dentro un fichero de texto, que podemos hacer con el block de notas. Escribimos en el fichero un línea y le llamamos Balance.txt
A continuación en el menú [Tarea] -> [Adicionar Tarea].

Aparece la siguiente pantalla, en la que se ofrecen varias posibilidades.

Optaremos por el Tipo de respaldo -> Completo.
Como nombre de la tarea podemos poner: Copia en Ciberconta

En el menú de la izquierda tenemos varias posibilidades: Genérico, Ficheros, Horario, Archivo, Especial, Eventos, Avanzado. Vamos a repasarlas.

En Ficheros tenemos que decir cual es la carpeta que queremos que copie y el destino.
Para ello en Fuente hacemos click en Adicionar. Allí seleccionamos la opción Directorio. Buscamos en el escritorio la carpeta MisApellidos.
Y en Destino hacemos click en Adicionar. Allí seleccionamos la opción Lugar FTP, siendo:
- Dirección: ciberconta.unizar.es
- Nombre de usuario: sic
- Contraseña [pedir al profesor]

Podemos ejecutar ya la tarea y que haga la copia de seguridad. Para ello en la parte de la izquierda seleccionamos Copia en Ciberconta y pulsamos en la flecha azul.

Nos pregunta si respaldamos las tareas. Decimos que sí y si todo ha ido bien aparecerá la siguiente pantalla:

Podemos acceder vía FTP a Ciberconta y comprobar si se ha hecho la copia de seguridad: (ftp://ciberconta.unizar.es)

Otra opción interesante del menú de la izquierda es Horario. Allí se puede planificar que las copias se hagan diariamente, semanalmente o en una fecha determinada. Por ejemplo, en la pantalla vemos que podemos decrile que haga dicha copia completa los domingos.

Otras opciones son Archivo, donde podemos solicitar que se compriman los ficheros, por ejemplo en formato zip. En Especial podemos solicitar que se copien solo unos determinados ficheros o que se excluyan otros. En Eventos se pueden ejecutar diversas tareas antes o después de realizar la copia. El programa tiene muchas más opciones y posibilidades, como enviar un correo electrónico cada vez que se hace la copia.

3) Plantear una copia incremental o diferencial.<>

En este apartado vamos a abordar la posibilidad de realizar copias de seguridad incrementales o diferenciales, lo que es necesario para establecer una "política de copias de seguridad".

En nuestro caso vamos a plantear una copia incremental. Este tipo de respaldo solo copia los ficheros que se han modificado desde la última copia. Es decir, en vez de hacer una copia completa de todos los ficheros, que es lento y consume recursos de red, solo copiará los ficheros nuevos o los ficheros que se han modificado. Cabe señalar que el respaldo diferencial cuenta a partir del ultimo respaldo completo, mientras que el respaldo incremental cuenta a partir del ultimo respaldo realizado, sea completo, diferencial o incremental.

Guardamos dentro de la carpeta llamada Misapellidos un nuevo fichero de texto, que podemos hacer con el block de notas. Escribimos en el fichero un línea y le llamamosDocumento_Nuevo.txt
A continuación en el menú [Tarea] -> [Adicionar Tarea].

Aparece la siguiente pantalla, en la que se ofrecen varias posibilidades.

Como nombre de la tarea podemos poner: Incremental diaria
Seleccionamos Tipo de respaldo -> Incremental. Procedemos igual que en la copia anterior. Es decir:
En Ficheros tenemos que decir cual es la carpeta que queremos que copie y el destino.
Para ello en Fuente hacemos click en Adicionar. Allí seleccionamos la opción Directorio. Buscamos en el escritorio la carpeta MisApellidos.
Y en Destino hacemos click en Adicionar. Allí seleccionamos la opción Lugar FTP, siendo:
- Dirección: ciberconta.unizar.es
- Nombre de usuario: sic
Contraseña [pedir al profesor]
Podemos ejecutar ya la tarea y que haga la copia de seguridad. Para ello en la parte de la izquierda seleccionamos Incremental diaria y pulsamos en la flecha azul.

Nos pregunta si respaldamos las tareas. Decimos que sí.
Accederemos vía FTP a Ciberconta y comprobaremos si se ha hecho la copia de seguridad incremental: (ftp://ciberconta.unizar.es). En la figura vemos que ha hecho la copia de seguridad.

Y al pulsar en dicha carpeta, comprobamos que solo está el fichero que ha cambiado, es decir el Documento_nuevo.txt

Vamos a hacer ahora dos cosas: a) modificar el fichero Contabilidad.txt, en el que vamos a escribir cualquier cosa; y b) crear otro fichero nuevo llamado El_ultimo.txt. Si seleccionamos la incremental diaria y pulsamos en la flecha azul ¿Qué ficheros copiará? Los que se hayan modificado desde la última copia.

Una vez que hemos comprobado el funcionamiento de la copia incremental, en la opción Horario, procederemos a indicar que queremos que realice dichas copias de lunes a sábado, a las 20h. Por tanto hacemos click en Tipo de Horario semanal y seleccionamos dichos días y hora.

Otra opción muy interesante es usar Dropbox (http://www.dropbox.com), un disco duro virtual que permite sincronizar tus ficheros en la la nube, con lo que además sirve de sistema para copias de seguridad, o de forma específica para realizar copias de seguridad Mozy (http://mozy.ie).

Una empleada borra archivos por valor de 2,5 millones… El Economista (http://www.eleconomista.es)

Una mujer de Florida ha borrado intencionadamente archivos por valor de 2,5 millones de dólares de su compañía. La historia comenzó cuando Marie Cooley, que trabajaba para Steven E. Hutchins Architecs, vio un anunció en un periódico en el que se buscaba un trabajador para un puesto muy similar al suyo, según publica First Coast News y recoge The Wall Street Journal. Cabreada por lo que suponía que iba a ser su inminente reemplazo, decidió vengarse. Se coló el domingo por la noche y borró siete años de planos del servidor de la compañía. Sin embargo, la policía no tardó en encontrarla: usó su propia contraseña para borrar los archivos. La empresa logró finalmente recuperar algunos de los archivos, pero para ello necesitó contratar a una consultora tecnológica muy cara. La verdad es que la empresa podría haber hecho copias de seguridad y se habría ahorrado bastante. Además, el anuncio no era para el puesto que ocupaba la señora Cooley…

Software para recuperar ficheros borrados, TestDisk (http://www.cgsecurity.org/wiki/TestDisk_ES)

5) Privacidad

Hoy en día más y más información personal esta siendo recogida y convertida en formato digital. Pero esta información debe protegerse de los abusos que son bien conocidos, desde el spam a las cookies.

¿Qué huellas dejamos?

Información sobre mi navegador en Panopticlick (http://panopticlick.eff.org).
Información sobre mi IP en DetectarIP (http://www.detectarip.com).
Localizar la IP en Maxmind [http://www.maxmind.com/app/locate_demo_ip].

Navegar sin dejar rastro

Gracias a sitios como Anonymouse(http://anonymouse.org/anonwww.html) podemos navegar sin dejar rastro. Así mantenemos la privacidad de nuestra dirección IP y de otras amenazas de las páginas que visitamos. Simplemente se accede a dicha página y se introduce la dirección que queremos visitar sin dejar rastro.

Ejercicio: Acceda a la página de Ciberconta.unizar.es de forma anónima. Es equivalente a escribir el siguiente URL: (http://anonymouse.org/cgi-bin/anon-www.cgi/http://ciberconta.unizar.es). N del A: Efectivamente he comprobado en el registro de visitas que el acceso se ha contabilizado en un IP diferente a aquel desde donde he navegado.

6) Autentificacion

Verificar tanto la identidad del usuario como le integridad el mensaje transmitido. ¿Eres quien dices ser? Incluso en un programa de correo electrónico es sencillo suplantar la personalidad de otra persona simplemente cambiando la configuración.

Muchas tecnologías pretender resolver esta cuestión: desde el uso de passwords, reconocimiento de voz, dispositivos biométricos o entidades de certificación, que permiten la verificación de identidad de una persona o entidad que quiere utilizar la firma electrónica, o la autentificación de servidores de comercio electrónico. En España se ha puesto en marcha el proyecto de DNI Digital que es pionero.

Puede realizar una práctica de suplantar la personalidad de un famoso, y enviar un correo en su nombre, con el programa Mailit

PDF version

01. Introducción

02. Los negocios electrónicos

03. Las Tecnologías de Información y Comunicación en la Empresa

04. La tienda virtual

05. El Departamento de Ventas

06. El Departamento de Compras

07. Gestión de los Recursos Humanos

08. Logística y distribución

09. Departamento de Contabilidad y Administración

10. Aspectos jurídicos. Protección de datos

Seguridad

1) Concepto

2) Contraseñas más seguras

3) Herramientas para prevenir el fraude interno

4) Recuperación tras el desastre

5) Privacidad

6) Autentificacion

La clase continua en Facebook:

Formulario de búsqueda

Seguridad

1) Concepto

2) Contraseñas más seguras

3) Herramientas para prevenir el fraude interno

4) Recuperación tras el desastre

5) Privacidad

6) Autentificacion

La clase continua en Facebook: