AUDITORIA D E SISTEMAS INFORMATICOS

ENSAYO DE PRESTACION DE SERVICIOS Y SOPORTE

JOHANNA PAOLA QUISHPE SONGOR

13

AUDITORIA D E SISTEMAS INFORMATICOS

ENSAYO DE AUDITORIA DE SISTEMAS TEMA: PRESTACIN Y SOPORTE PROCESO DE EDUCACIN Y

ENTRENAMIENTO DE USUARIOS

- AUTENTICACIN

INTRODUCCIN Muchos ecuatorianos somos personas que sufrimos de muchos robos, los cuales son ocasionados por muchos de nuestros descuidos, el dar las claves o no estar atentos a las personas a nuestro alrededor son factores muy influyentes para que se den estos robos cibernticos. Gracias a las innumerables pelculas de Hollywood, esto es algo que se le ha cruzado por la mente a muchos, sin embargo los asaltos a bancos no son tan habituales como los robos cibernticos. De acuerdo a los informes presentados por las autoridades de Estados Unidos, entre julio y setiembre de 2009 se estima que los ciberdelincuentes robaron ms de 25 millones de dlares en la banca online de pequeas y medianas empresas. Esto lo realizan de diversas formas, se debe a la falta de medidas de seguridad por parte de las entidades y, por supuesto, al ataque a usuarios. Por otro lado, los robos tradicionales a bancos durante el mismo periodo en Estados Unidos representaron 9,4 millones en prdidas, es decir, menos de la mitad del robo virtual. Como lo comenta Brian Krebs en su artculo, reportero del Washington Post, no es extrao que esto sea as. Los robos cibernticos son ms ventajosos, mucho menos riesgosos y se pueden realizar desde cualquier parte del mundo. Sin embargo, los informes oficiales sobre los ciberdelitos parecen estar bajo un filtro que limita la informacin, si se los compara con la informacin disponible sobre la otra clase de robos bancarios. Una nota de la Associated Press, ha recorrido las noticias, en esta ocasin para sorprender a muchos, en todas partes. Se trata de que los robos usando los
UNIVERSIDAD CENTRAL DEL ECUADOR Pgina 2

AUDITORIA D E SISTEMAS INFORMATICOS

recursos que brinda el uso de la Ciberntica. Hasta que oblig a crearse algunas instituciones para vigilar y salvaguardar los datos personales y empresariales y tratar de evitar, en este caso sin tantos resultados esperados, que se lograran los objetivos delictivos de estas sustracciones de fondos, que en esta vez una nueva estratagema lo usaran para trasladar dinero como regalos navideos, sin que sus dueos lo autorizaran. Muchos son los afectados de donar fondos sin autorizarlos y tampoco desearlo, en muchos casos y dentro de ellos se pueden sealar a empresarios importantes y figuras pblicas, miembros de las fuerzas de seguridad, periodistas e instituciones como FOX News, una de ellas. Este ataque pirata ciberntico, que en este caso aun siendo escandaloso, no representa un robo lucrativo, al menos hasta el momento, ya que est dirigido a ONG, como La Cruz Roja, una de las beneficiadas, solo abre una puerta para hacer saber que pueden tomar otros destinos, esas donaciones inv oluntarias. La prensa no se atreve a meterse en estos comentarios, pues quizs pudieran interpretarse como que el pas entero es vulnerable a estos hechos, que en un futuro podran se objet de los terroristas que nos rodean en todas partes del globo terrqueo.

UNIVERSIDAD CENTRAL DEL ECUADOR

Pgina 3

AUDITORIA D E SISTEMAS INFORMATICOS

AUTENTICACIN La autenticacin es el proceso de detectar y comprobar la identidad de una entidad de seguridad mediante el examen de las credenciales del usuario y la validacin de las mismas consultando a una autoridad determinada. La informacin obtenida durante la autenticacin puede ser utilizada directamente por el cdigo. Tambin se puede usar la seguridad basada en roles de .NET Framework para autenticar al usuario actual y determinar si esa entidad de seguridad puede obtener acceso al cdigo. Vea las sobrecargas del mtodo WindowsPrincipal.IsInRole si desea obtener ejemplos de cmo autenticar la entidad de seguridad para determinados roles. Por ejemplo, puede usar la sobrecarga WindowsPrincipal.IsInRole(String) para determinar si el usuario actual es un miembro del grupo Administradores. Actualmente se utiliza una gran variedad de mecanismos de autenticacin, pudindose utilizar muchos de ellos con la seguridad basada en roles de .NET Framework. Algunos de los mecanismos de autenticacin que se utilizan ms habitualmente son la autenticacin bsica, implcita, Passport y de sistema operativo (como NTLM o Kerberos), o los mecanismos definidos por la aplicacin.1 Gestin de los usuarios y autenticacin Con frecuencia aparecen noticias sobre organizaciones que han sufrido vulneraciones de su seguridad, prdida de datos o infracciones en el cumplimiento de normativas. Su reputacin, el precio de sus acciones, sus ingresos y sus clientes sufren a consecuencia de ello. El Servicio Gestin de Identidades y de Accesos puede prevenir estas situaciones y proteger a su empresa mediante una reconocida y rentable solucin de seguridad que ayuda a cumplir con las leyes de privacidad y proteccin de la informacin.2

1 2

http://msdn.microsoft.com/es-es/library/syf5yeat.aspx http://www.bt.es/seguridad/gestion-de-identidades-y-accesos

UNIVERSIDAD CENTRAL DEL ECUADOR

Pgina 4

AUDITORIA D E SISTEMAS INFORMATICOS

Gestin de passwords y privilegios Password Manager Pro es una bveda segura para almacenar y administrar informacin confidencial compartida como contraseas, documentos e identidades digitales de empresas. Los beneficios de implementar Password Manager Pro incluyen:

Eliminacin de fatiga de contraseas y lapsus de seguridad al desarrollar una bveda segura y centralizada para el almacenamiento y acceso de contraseas

Multiplicacin en gran medida la productividad de TI mediante los cambios frecuentes automticos de las contraseas como un requisito en los sistemas vitales

Proporcionar controles de seguridad preventivos y de deteccin a travs de la aprobacin de flujos de trabajo y alertas en tiempo real sobre el acceso de contraseas

Cumplir con las auditoras de seguridad y con las normas obligatorias, tales como SOX, HIPAA y PCI3

Autenticacin de conexiones externas Los mtodos de autenticacin que pueden tener son: Sistemas Perimetrales de filtrado de paquetes, IDS/IPS, implementacin de re3des olivadas virtuales, filtrados d direcciones I a nivel de Host o Subredes. Tambin pueden ser tokens USB, entre otros.4 Autenticacin de dispositivos

3 4

http://manageengine.mx/passwordmanagerpro/index.html https://iso27002.wiki.zoho.com/11-4-2-Autenticaci%C3%B3n-de-usuario-para-conexiones-externas.html

UNIVERSIDAD CENTRAL DEL ECUADOR

Pgina 5

AUDITORIA D E SISTEMAS INFORMATICOS

Es el acto de establecimiento o confirmacin de algo (o alguien) como autntico. La autenticacin de un objeto puede significar (pensar) la confirmacin de su procedencia, mientras que la autenticacin de una persona a menudo consiste en verificar su identidad. La autenticacin depende de uno o varios factores. Conclusiones El uso adecuado de las claves pueden ayudar a evitar que seamos vctimas de robos, a estar atentos al momento de realizar cualquier operacin y que mejoremos nuestra seguridad Estar atentos a los cambios tecnolgicos y estar preparados para nuevas formas de robos, es la mejor manera de protejamos nuestra seguridad. Recomendaciones: En las claves es recomendable cambiarlas constantemente, y que nos sean fecha y lugares de fcil identificacin Estar pendiente de las personas a nuestro alrededor cuando usamos nuestras tarjetas o hacemos transacciones a travs de internet. Netgrafa http://msdn.microsoft.com/es-es/library/syf5yeat.aspx http://www.bt.es/seguridad/gestion-de-identidades-y-accesos http://manageengine.mx/passwordmanagerpro/index.html https://iso27002.wiki.zoho.com/11-4-2-Autenticaci%C3%B3n-de-usuario-paraconexiones-externas.html

UNIVERSIDAD CENTRAL DEL ECUADOR

Pgina 6

AUDITORIA D E SISTEMAS INFORMATICOS

UNIVERSIDAD CENTRAL DEL ECUADOR

Pgina 7