Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Seguridad 1) Concepto Published on ciberconta.unizar.es (

Anuncio 
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Seguridad
1) Concepto
Las tecnologías relativas a la seguridad de los sistemas de información son el hardware, el software y los procedimientos para proteger los sistemas de información de una organización
de ataques internos y externos.
Los medios de comunicación informan periódicamente de casos más o menos espectaculares de sabotajes, desastres, etc... aunque la mayoría permanecen ocultos.
La empresa se enfrenta a riesgos y amenazas como:
Errores humanos
Fallos equipos
Robo
Virus
Sabotaje
Fraude
Desastres naturales
Y para hacer frente, disponemos de numerosas tecnologías, como sistemas de cifrado de información, antivirus, cortafuegos... vamos a aprender a utilizar algunos de estos programas.
Los buenos y los malos son los usuarios no el software
Imagine un software para detectar contraseñas. Normalmente el informático de la empresa puede utilizarlo para
detectar contraseñas de sus propios usuarios y avisar a aquellos que han puesto contraseñas fáciles de detectar.
Pero también pueden utilizarlo un hacker para acceder a los documentos.
¿Los "malos"?
¿Los "buenos"?
Page 1 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Virus que infectan las aplicaciones
Antivirus
Sniffers que capturan los datos y contraseñas que
circulan por una red
Cortafuegos, que ejercen un control sobre los accesos
al sistema
Programas que que revientan los passwords
Herramientas para cifrar ficheros o mandar correo
electrónico seguro
Caballos de Troya que se instalan en nuestro
ordenador y toman el control
Programas que verifican la integridad de un sistema
avisando cuando pasa "algo raro"
Espías que se ocultan en el ordenador e informan a
terceros
Programas que analizan los ficheros .log de acceso a
un sistema
Gusanos que saltan de ordenador en ordenador
Detectores de vulnerabilidades que identifican puntos
débiles de un sistema
2) Contraseñas más seguras
Contraseñas poco seguras
La empresa
Pentasafe Security Technologies Ltd, realizó una entrevista a unos 15.000 empleados de más de 600
Page 2 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
organizaciones en Estados Unidos y Europa. El estudio descubrió que el 25 por ciento de los empleados eligió
como contraseña una palabra tan simple como "Banana", a pesar de que un pirata informático apenas tardaría
segundos en descifrarla y entrar en las bases de datos de una empresa.
Otro estudio, de Zonealarm (http://www.zonealarm.com [1]) encontró que el 4% de los usuarios utilizan con
contraseña la palabra "password" o una variante suya, el 25% usan un nombre de pila y el 16% usan una variante
de su propio nombre .
Un password que se me ha olvidado...
En esta práctica vamos a aprender a desproteger (crackear) un documento cuyo password hemos olvidado.
Imagine que tiene un importante documento en Word, por ejemplo, la previsión del Balance de su empresa, que
desea proteger.
Para protegerlo puede utilizar las opciones del Word [GUARDAR COMO] [HERRAMIENTAS] [OPCIONES DE
SEGURIDAD].
Pero, tras un accidente de tráfico, ha perdido parte de la memoria y ha olvidado el password que protegía el
documento.
Una simple búsqueda en Google (http://www.google.com [2]) nos permite identificar numerosos programas
gratuitos o comerciales que pueden ayudarnos a solucionar este problema.
Page 3 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
[3]
EJERCICIO: Utilice alguno de los programas anteriores para averiguar el password del siguiente documento
en Word [BalanceSituacionSecreto.doc [4]] y poder leerlo. ¿Cual es la cifra de Activo correspondiente
a septiembre?
Spoiler: Highlight to view
Utilice este software http://ciberconta.unizar.es/LECCION/SEGURO/aoxppr_s.zip [3]
3) Herramientas para prevenir el fraude interno
En una empresa la mayor fuente de fraude proviene casi siempre de los propios empleados.
Trabajadores que realizan miles de horas extras
Proveedores a los que les compramos mucho más de lo normal
Proveedores ficticios
Duplicidad de pagos
Conflicto de intereses con familiares o amigos con los que se hacen negocios
Ventas no registradas...
Es necesario disponer de procedimientos adecuados de control interno o recurrir a la auditoría para prevenir y
detectar el fraude.
El siguiente pantallazo muestra un ejemplo real: un estudiante que por un error en un impreso (copiar y pegar)
cobra dos veces una beca. Aquí están los impresos [5].
Page 4 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Al no haber un mínimo sistema de control ni mucho menos de auditoría nadie se da cuenta, como podemos
apreciar en el siguiente enail.
En el caso de la auditoría se utilizan programas de auditoría asistida por ordenador,
como ACL (http://www.acl.com [6]), Idea(http://www.caseware.com/products/idea [7])
o Picalo (http://www.picalo.org [8]) que es software libre. Estos programas:
Buscan facturas duplicadas
Tranferencias bancarias electrónicas a empleados
Tranferencias con el mismo número de banco y diferente nombre de receptor
Tranferencias con diferente número de banco y misma empresa
Se cruzan nombres de proveedores contra archivos maestros de personal
Empleados duplicados, etc.
Veamos un pantallazo de uno de estos programas de auditoría para detectar fraudes, cruzando las bases de datos
Page 5 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
de proveedores y de empleados, a ver si coincide el teléfono, cuenta bancaria, domicilio o algún dato sospechoso.
Detenido un empleado de Caprabo por estafar a su empresa 14 millones de euros en tres años El
Mundo
(http://www.elmundo.es [9]).
Un trabajador de los supermercados Caprabo, su mujer y los propietarios de una empresa proveedora de material
plástico han sido detenidos acusados de estafar más de 14 millones de euros a esta firma comercial.
Según ha informado la Jefatura Superior de Policía de Cataluña, durante los últimos tres años, el detenido,
J.H.V., aprovechó su acceso al sistema informático de Caprabo desde su puesto de trabajo como administrativo
de la sección de charcutería para realizar pedidos de material plástico que nunca llegaron a los almacenes.
J.H.V. actuó en connivencia con su esposa y los dos representantes legales de la empresa proveedora M. De
Serveis, que facturó el material de embalaje que Caprabo nunca llegó a adquirir. Los pedidos de material de
plástico en los últimos tres años tenían un valor de 14 millones de euros, cuando las necesidades de la empresa
precisan un gasto anual de unos 180.000 euros.
El Gobierno francés constata fallos en el control interno de Société Générale
Periodico(http://www.elperiodico.com [10])
El
[4-Feb-2008]
La ministra francesa de Economía y Finanzas, Christine Lagarde, ha dado cuenta de fallos en el sistema de
control interno de Société Générale que no detectaron el presunto fraude sufrido por el banco, y que le ha
Page 6 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
costado 4.900 millones de euros. Société Générale, aunque ha dicho que no quería comentar el informe, ha
destacado que este "no pone en cuestión" el sistema de gestión de los riesgos de mercado, y ha reiterado que ya
se han puesto en aplicación o lo serán próximamente las medidas que habrían podido detectar y prevenir el
fraude.
Fraude interno. La experiencia de Sun
(http://www.sun.com [11])
En primer lugar, necesita documentar todos sus procesos financieros. En Sun, por ejemplo, un proceso financiero
podría ser el proceso de nómina, las compras por pagar, el pago de incentivos o cosas similares. Es necesario
que documente todo el proceso e identifique cuáles son los controles esenciales. Un ejemplo de un control
esencial en el proceso de compras por pagar podría ser la aprobación de la orden de compras, por parte de todas
las personas requeridas, antes de que se distribuya al proveedor.
En segundo lugar, tiene que evaluar la estructura, apartándose y mirando el proceso y los controles y viendo si
está cubierto. Luego, la parte que realmente consume tiempo es la prueba del proceso. Por ejemplo, tendrá que
evaluar el número adecuado de firmas en su orden de compras. Para hacer esto, deberá obtener una muestra de
un determinado número de órdenes de compra, asegurándose de que cada una de ellas cuente con el número
correcto de firmas; básicamente, que evalúe las transacciones.
Y si no pasa la prueba, entonces necesita corregir su control y volver a probarlo. Además, no olvide que sus
auditores independientes se presentarán y también realizarán sus propias pruebas.
El proceso es como sigue:
1. Documentar
2. Evaluar la estructura
3. Probar
4. Corregir
5. Volver a probar
6. Obtener el visto bueno del auditor interno
Page 7 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Page 8 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Un portátil es robado cada 53 segundos en Estados Unidos.
Cinco Dias [noticia robo datos contables en un
portátil [12])
La liturgia que rodea la presentación de resultados de una compañía cotizada se ha visto alterada este mes de
agosto en las oficinas del operador de telecomunicaciones Belgacom. La empresa tenía previsto desvelar sus
cuentas del primer semestre el pasado día 25 para que analistas e inversores tomaran buena nota de la evolución
de sus negocios. Sin embargo, uno de sus directivos sufrió días antes el robo de su portátil con la información
económica en el disco duro. Eso trastocó los planes. La operadora tuvo que adelantar la presentación al día 21
para que nadie pudiera beneficiarse -por ejemplo, comprando acciones- de una información confidencial. Y es
que un PC extraviado es como un libro abierto en plena calle, lo puede leer casi cualquiera.
El de Belgacom no es un caso aislado. En junio salió a la luz la pérdida de un portátil, propiedad de la auditora
Ernst & Young, en el que se encontraba buena parte de la base de clientes del portal Hotels.com. Uno de los
auditores dejó la máquina en el coche y no la ha vuelto a ver desde entonces, junto a miles de datos -incluidos
números de tarjetas de crédito- de 240.000 usuarios del portal de reserva de hoteles. Time Warner, Fidelity
Investments o el propio gobierno estadounidense también tienen sus experiencias relacionadas con ordenadores
en paradero desconocido.
Cifrar un documento que queremos proteger, por ejemplo, el Balance de la empresa
En este ejercicio vamos a aprender a proteger el documento Balance.xls [13] de nuestra empresa, de tal forma
que cada vez que queramos abrirlo nos pida un password que sólo nosotros conozcamos.
<>
Previamente vamos a instalar un programa para cifrar nuestros ficheros.
1) Instalar el programa Cryptext
Page 9 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Aunque hay muchos
programas que sirven para encriptar los documentos el Cryptext de Nick Payne es muy sencillo de usar y
además gratis.
Cryptext es un programa que permite cifrar ficheros.
Su instalación es muy sencilla, funciona en Windows.
Hay una versión en Español
Utiliza una combinacion de los algoritmos SHA-1 y RC4 para encriptar los ficheros, con 160-bit
Con 160-bit mera combinatoria, si el password es suficientemente complejo, se necesitarían todos los
ordenadores del mundo durante miles de años para descifrarla, aunque si uno pone como password
una palabra tomada de un diccionario, con un par de horas sobraría.
Si no tiene instalado el programa Cryptext puede descargarlo de nuestro servidor: [Pinche aquí para bajar el
Cryptestp 3.40 [14]].
Aceptamos y ya está listo para cifra y descrifrar.
2) Cifrar
Vamos a cifrar uno de los ficheros de la figura inferior, concretamente el balance.xls
Page 10 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
1) Para cifrar simplemente situamos 2) Introducimos la contraseña.
el cursor sobre el fichero y con
el botón derecho del ratón aparece
un menú en el que seleccionamos la
opción de encriptar el fichero.
3) Descifrar
1) Para descifrar simplemente
situamos el cursor sobre el fichero y
con el botón derecho del ratón
aparece un menú en el que
seleccionamos la opción
de desencriptar el fichero.
2) Introducimos la contraseña.
3) El fichero cambia su icono por
uno con una llave amarilla.
3) El fichero cambia el icono de la
llave amarilla por su icono normal.
<>
4) Recuperación tras el desastre
Recuperación tras el desastre o DRP (Disaster Recovery Planning). Podemos decir con ironía que todas las empresas están perfectamente preparadas para afrontar con éxito un desastre en los sistemas de información… la segunda vez que lo sufren
. Disponer
de un buen plan para continuar el negocio si se pierden los datos por desastres naturales, inundaciones, virus, etc. La realización de copias de seguridad es fundamental. Tenemos dos tipos de medidas de seguridad.
Page 11 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Tres conceptos clave:
"Back-up": hacer copias de los archivos periódicamente.
"Archiving": copiar los archivos para almacenar por un largo período de tiempo, sea por cuestiones legales como la contabilidad o por motivo de espacio.
"Disaster recovery": recuperar desde una situación en la que el sistema está fuera de servicio. Se requiere entonces el back-up guardado a partir del cual puede recuperarse el sistema.
Otra opción muy interesante es usar Dropbox (http://www.dropbox.com [18]), un disco duro virtual que permite sincronizar tus ficheros en la la nube, con lo que además sirve de sistema para copias de seguridad, o de forma específica para realizar copias de
seguridad Mozy (http://mozy.ie [19]).
Software para recuperar ficheros borrados, TestDisk (http://www.cgsecurity.org/wiki/TestDisk_ES [21])
5) Privacidad
Hoy en día más y más información personal esta siendo recogida y convertida en formato digital. Pero esta información debe protegerse de los abusos que son bien conocidos, desde el spam a las cookies.
6) Autentificacion
Verificar tanto la identidad del usuario como le integridad el mensaje transmitido. ¿Eres quien dices
personalidad de otra persona simplemente cambiando la configuración.
ser? Incluso en un programa de correo electrónico es sencillo suplantar la
Muchas tecnologías pretender resolver esta cuestión: desde el uso de passwords, reconocimiento de voz, dispositivos biométricos o entidades de certificación, que permiten la verificación de identidad de una persona o entidad que quiere utilizar la firma electrónica, o la
autentificación de servidores de comercio electrónico. En España se ha puesto en marcha el proyecto de DNI Digital que es pionero.
Page 12 of 13
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Source URL: http://ciberconta.unizar.es/ecofin/drupal1/seguridad
Links:
[1] http://www.zonealarm.com/
[2] http://www.google.com/
[3] http://ciberconta.unizar.es/LECCION/SEGURO/aoxppr_s.zip
[4] http://ciberconta.unizar.es/sic/practicas/Balance_situacion_secreto.doc
[5] http://www.unizar.es/otri/vadm/impresos/imp_rrhh.php
[6] http://www.acl.com/
[7] http://www.caseware.com/products/idea
[8] http://www.picalo.org/
[9] http://www.elmundo.es/
[10] http://www.elperiodico.com/
[11] http://www.sun.com/
[12] http://www.cincodias.com/articulo/Sentidos/proteger/portatil/empresa/frente/posibles/robos/cdsc
di/20060829cdscdicst_1/Tes/
[13] http://ciberconta.unizar.es/sic/practicas/Balance.xls
[14] http://ciberconta.unizar.es/ftp/pub/programas/cryptesp.exe
[15] http://ciberconta.unizar.es/sic/practicas/cbSetup.exe
[16] http://www.cobian.se/
[17] ftp://ciberconta.unizar.es/
[18] http://www.dropbox.com/
[19] http://mozy.ie/
[20] http://www.eleconomista.es/
[21] http://www.cgsecurity.org/wiki/TestDisk_ES
[22] http://panopticlick.eff.org/
[23] http://www.detectarip.com/
[24] http://www.maxmind.com/app/locate_demo_ip
[25] http://anonymouse.org/anonwww.html
[26] http://anonymouse.org/cgi-bin/anon-www.cgi/http://ciberconta.unizar.es
[27] http://ciberconta.unizar.es/LECCION/EDI/mailit.exe
Page 13 of 13
Powered by TCPDF (www.tcpdf.org)
Documentos relacionados
Automatizar la fuerza de ventas 1) Concepto Published on ciberconta.unizar.es (
Automatizar la fuerza de ventas 1) Concepto Published on ciberconta.unizar.es (
Agregadores de compras 1) Concepto Published on ciberconta.unizar.es (
Agregadores de compras 1) Concepto Published on ciberconta.unizar.es (
Cambios organizativos 1) Redistribución geográfica Published on ciberconta.unizar.es (
Cambios organizativos 1) Redistribución geográfica Published on ciberconta.unizar.es (
Trueque 1) Intercambios de productos o servicios (sin dinero) Published on ciberconta.unizar.es (
Trueque 1) Intercambios de productos o servicios (sin dinero) Published on ciberconta.unizar.es (
Formación online 1) Concepto Published on ciberconta.unizar.es (
Formación online 1) Concepto Published on ciberconta.unizar.es (
El marketing viral 1) Definición Published on ciberconta.unizar.es (
El marketing viral 1) Definición Published on ciberconta.unizar.es (
Administración eficiente 1) Nóminas online Published on ciberconta.unizar.es (
Administración eficiente 1) Nóminas online Published on ciberconta.unizar.es (
Reconocimiento optico de caracteres (OCR) 1) 2) Ejemplo
Reconocimiento optico de caracteres (OCR) 1) 2) Ejemplo
Servicio a clientes 1) Web call-center Published on ciberconta.unizar.es (
Servicio a clientes 1) Web call-center Published on ciberconta.unizar.es (
Comercio móvil 1) Evolución de la telefonía móvil Published on ciberconta.unizar.es (
Comercio móvil 1) Evolución de la telefonía móvil Published on ciberconta.unizar.es (
Descargar
Anuncio
Anuncio