Unidad 4, Evaluación de la Seguridad.

Instituto Tecnológico Superior de Coatzacoalcos Auditoria en Informática - Octavo Semestre - Licenciatura en Informática

Unidad 4: Evaluación de la seguridad. Objetivo:El estudiante identificará los riesgos y peligros potenciales en la seguridad física, lógica, de confidencialidad y del personal que le permitan sugerir formas para eliminarlos.

4.1 Generalidades de la seguridad del área física.Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

4.2 Seguridad lógica y confidencial.La seguridad lógica puede evitar una afectación de pérdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas.

El tipo de seguridad puede comenzar desde la simple llave de acceso (contraseña o password) hasta los sistemas más complicados, pero se debe evaluar que cuanto más complicados sean los dispositivos de seguridad más costosos resultan. Por lo tanto, se debe mantener una adecuada relación de seguridad-costo en los sistemas de información.

Los sistemas de seguridad normalmente no consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. La introducción de información confidencial a la computadora puede provocar que ésta esté concentrada en manos de unas cuantas personas, por lo que existe una alta dependencia en caso de pérdida de los registros. El más común de estos delitos se presenta en el momento de la programación, en el cual por medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, al momento de programar un sistema de nómina se puede incluir una rutina que verifique si se tiene dentro del archivo de empleados el registro federal de causantes del programador.

Uno de los puntos más importantes a considerar para poder definir la seguridad de un sistema es el grado de actuación que puede tener un usuario de un sistema, ya sea que la información se encuentre en un archivo o en una base de datos, o bien que se posea una minicomputadora, o un ststed en red (interna o externa). Para esto podemos definir los siguientes tipos usuarios:

* Propietario: Es, como su nombre lo indica, el dueño de la información, responsable de ésta, y puede realizar cualquier función (consultar, actualizar, dar autorización de entrada a otro usuario). Es responsable de la seguridad

L.S.C.A. Raúl Monforte ChulínMORCH Systems

1


lógica, en cuanto puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. * Administrador: Sólo puede actualizar o modificar el software con la debía! autorización, pero no puede modificar la información. Es responsable del seguridad lógica y de la integridad de los datos.* Usuario principal: Está autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren.* Usuario de consulta: Sólo puede leer la información pero no puede modificarla.

Para conservar la integridad, la confidencialidad y la disponibilidad de los sistemas se deben tomar en cuenta lo siguiente:* La integridad: Es responsabilidad de los individuos autorizados para modificar datos o programas (usuario administrador) o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo (usuario responsable y principal).* La confidencialidad: Es responsabilidad de los individuos autorizados para consultar (usuario de consulta) o para bajar archivos importantes para microcomputadoras (usuario de explotación).* La disponibilidad: Es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones (usuario administrador).

El control implantado para minimizar estos riesgos debe considerar los siguientes factores:* El valor de los datos siendo procesados.* La probabilidad de que ocurra un acceso no autorizado.* Las consecuencias para la organización si ocurre un acceso no autorizado..* La seguridad lógica abarca las siguientes áreas:* Rutas de acceso.* Claves de acceso.* Software de control de acceso.* Encriptamiento.

4.3 Seguridad personal.Un buen centro de cómputo depende, en gran medida, de la integridad, estabilidad y lealtad del personal, por lo que al momento de reclutarlo es conveniente hacerle exámenes psicológicos y médicos, y tener muy en cuenta sus antecedentes de trabajo.

Se debe considerar sus valores sociales y, en general, su estabilidad, ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y comportamiento.

El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero la profesión en algunas ocasiones cuenta con personas que subestiman los sistemas de control, por lo que el auditor tiene que examinar no solamente el trabajo del personal de informática, sino la veracidad y confiabilidad de los programas de procesamiento.

Se deberá evaluar la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, con lo que disminuirá la posibilidad de ataques intencionados a la organización. Una de las formas de lograr la motivación es darle al personal la capacitación y actualización que requiere, así como proporcionarle las retribuciones e incentivos justos.


2


4.4 Clasificación de los controles de seguridad.Tipos de controles de seguridad:* Control de distribución: La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla.* Validación de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer.* Totales de control: Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artículos de un archivo.* Control de secuencia: En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros.* Pruebas de consistencia y verosimilidad: Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica.* Digito de control: Es necesario asegurarse de que el contenido de la clave esté correcto.

4.5 Seguridad en los datos y software de aplicación.Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

La Seguridad se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

La seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial.

Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

4.6 Controles para evaluar software de aplicación.Objetivos de la auditoria de software de aplicación:Verificar la presencia de procedimientos de controles para satisfacer:* La instalación del software* La operación y seguridad del software.* La administración del software

Evaluación del software.* El auditor debe evaluar qué software se encuentra instalado en la organización. * Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. * También debe investigar las versiones de cada uno.* Organización.

El auditor debe de verificar que existan políticas para:* La evaluación del software.* Adquisición o instalación.* Soporte a usuarios.* Seguridad.


3


Además de los siguientes controles:* Controles de Implementación: Auditan el proceso de desarrollo de sistemas en diversos puntos para asegurarse que esté adecuadamente controlado y administrado.* Controles para el software: Sirven para asegurar la seguridad y confiabilidad del software. * Controles para el hardware: Controles que aseguran la seguridad física y el correcto funcionamiento del hardware de cómputo. * Controles de operaciones de cómputo: Se aplican al trabajo del departamento de cómputo para asegurar que los procedimientos programados sean consistentes y correctamente aplicados al almacenamiento y procesamiento de los datos.* Controles de seguridad de los datos: Aseguran que los archivos de datos en disco o medios secundarios no se expongan a accesos, cambios o destrucción no autorizados. * Controles administrativos: Son normas, reglas, procedimientos y disciplinas formales para asegurar que los controles de la institución se ejecuten y se respeten de manera adecuada. * Políticas y procedimientos por escrito: Establecen estándares formales para controlar las operaciones de los sistemas de información. Los procedimientos deben formalizarse por escrito y ser autorizados por el nivel administrativo adecuado. Los deberes y responsabilidades deben quedar claramente especificados.

4.7 Controles para prevenir crímenes y fraudes informáticos.Se define como delito informático a cualquier actividad o conductas ilícitas, susceptibles de ser sancionadas por el derecho penal, que en su realización involucre el uso indebido de medios informáticos.

Fraudes cometidos mediante manipulación de computadoras:* Manipulación de los datos de entrada.* Manipulación de programas.* Manipulación de los datos de salida.* Administrar un incidente de seguridad requiere experiencia y habilidades técnicas para controlar las acciones del atacante, pero al mismo tiempo habilidad y pericia para establecer los rastros y registros de dichas acciones con las cuales relacionar las acciones y efectos ocasionados por el intruso dentro del sistema.

Algunos controles para prevenir estos fraudes son:* Identificar riesgos.* Identificar y definir con más detalle la visión del ambiente.* Controles generales: Los controles generales son los que controlan el diseño, la seguridad y el uso de los programas de computadora, y la seguridad de los archivos de datos en general, en toda la organización. * Controles de implementación: Los controles de implementación auditan el proceso de desarrollo de sistemas en diversos puntos, para asegurar que se le controle y maneje debidamente. * Controles de software: Los controles de software sirven para monitorear el uso del software de sistema y evitar el acceso no autorizado a los programas de aplicación y al software de sistema.* Controles de seguridad: Los controles de seguridad de los datos son los controles que cuidan que los archivos de datos grabados en disco o cinta no sufran accesos no autorizados, alteraciones o destrucción.

La seguridad se puede cuidar en varios niveles:* Las terminales se pueden restringir físicamente, a fin de que sólo personas autorizadas accedan a ellas.* El software de sistemas puede incluir el uso de contraseñas asignadas sólo a personas autorizadas.* Pueden crearse series de contraseñas adicionales y restrucciones de seguridad para sistemas y aplicaciones específicos.


4


Seguridad e internet.Si una empresa se enlaza con internet, o transmite información atreves de Intranet o extranet, es necesario que adopte medidas de seguridad, ya que las redes como el internet están abiertas a todo público y a todo el mundo y cuando ocurren abusos, estos impactan muchos lugares del mundo.

Seguridad y Comercio electrónicoLa seguridad de comunicaciones electrónicas en una compañía es de suma importancia, ya que esta debe garantizar la confidencialidad de los datos tanto de los compradores como de los vendedores en la red.

Unos de los mecanismos que utilizan numerosas instituciones para proteger los datos e información confidencial es el cifrado.

4.8 Plan de contingencia, seguros, procedimientos de recuperación de desastres.Guía general para elaborar un plan de contingenciaLos conceptos básicos son los siguientes: * Análisis y valoración de riesgos. * Jerarquización de las aplicaciones. * Establecimientos de requerimientos de recuperación. * Ejecución. * Pruebas. * Documentación. * Difusión y mantenimiento.

Análisis y valoración de Riesgos. El proyecto comienza con el análisis del impacto en la organización. Durante esta etapa se identifican los procesos críticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. El primer componente del plan de contingencia debe ser una descripción del servicio y el riesgo para ese servicio, igualmente se debe determinar el costo que representa para la organización el experimentar un desastre que afecte a la actividad empresarial.

Se debe evaluar el nivel de riesgo de la información para hacer:* Un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad. * Clasificar la instalación en términos de riesgo (alto, mediano, bajo) e identificar las aplicaciones que representen mayor riesgo. * Cuantificar el impacto en el caso de suspensión del servicio. * Determinar la información que pueda representar cuantiosas pérdidas para la organización o bien que pueda ocasionar un gran efecto en la toma de decisiones.

Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido mediante la evaluación y análisis del problema donde se revisen las fortalezas, oportunidades, debilidades y amenazas, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.

Jerarquización de las Aplicaciones. Es perentorio definir anticipadamente cuales son las aplicaciones primordiales para la organización. Para la determinación de las aplicaciones preponderantes, el plan debe estar asesorado y respaldado por las directivas, de tal forma que permita minimizar las desavenencias entre los distintos departamentos..


5


Establecimientos de requerimientos de recuperación. En esta etapa se procede a determinar lo que se debe hacer para lograr una óptima solución, especificando las funciones con base en el estado actual de la organización. De esta forma es necesario adelantar las siguientes actividades: profundizar y ampliar la definición del problema, analizar áreas problema, documentos utilizados, esquema organizacional y funcional, las comunicaciones y sus flujos, el sistema de control y evaluación, formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido.

Ejecución. Una vez finalizado el plan, es conveniente elaborar un informe final con los resultados de su ejecución cuyas conclusiones pueden servir para mejorar éste ante futuras nuevas eventualidades. En esta fase hay que tener muy presente que el plan no busca resolver la causa del problema, sino asegurar la continuidad de las tareas críticas.

En la elaboración del plan de contingencias deben de intervenir los niveles ejecutivos de la organización, personal técnico de los procesos y usuarios, para así garantizar su éxito, ya que los recursos necesarios para la puesta en marcha del plan de contingencia, necesariamente demandan mucho esfuerzo técnico, económico y organizacional.

Pruebas. Es necesario definir las pruebas del plan, el personal y los recursos necesarios para su realización. Luego se realizan las pruebas pertinentes para intentar valorar el impacto real de un posible problema dentro de los escenarios establecidos como posibles. En caso de que los resultados obtenidos difieran de los esperados, se analiza si la falla proviene de un problema en el ambiente de ejecución, con lo cual la prueba volverá a realizarse una vez solucionados los problemas, o si se trata de un error introducido en la fase de conversión; en este último caso pasará nuevamente a la fase de conversión para la solución de los problemas detectados.

El plan de contingencia y el plan de seguridad tienen como finalidad proveer a la organización de requerimientos para su recuperación ante desastres.* El grado de riesgo al que la organización está expuesta.* El tamaño de las instalaciones de la organización.* La evaluación de los procesos considerados como críticos* La formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido.

Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después se van reciclando.

4.9 Técnicas y herramientas relacionadas con la seguridad física y del personal.Seguridad física.El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de información, debido a contingencias como incendio, inundación, huelgas, disturbios, sabotaje, terremotos, huracanes etc., y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma.


6


Principales amenazas que se preveen en la seguridad física.* Desastres naturales, incendios accidentales tormentas e inundaciones.* Amenazas ocasionadas por el hombre.* Disturbios, sabotajes internos y externos deliberados.

Problemas a los que nos enfrentamos.* Acceso físico * Desastres naturales* Alteraciones del entorno

Controles necesarios para la seguridad del personal.* Controles administrativos del personal de informática.* Seguros y fianzas para el personal de sistemas.* Planes y programas de capacitación.* Planes de contingencia definidos para el personal que labora en el área.

4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación.Las técnicas de protección de datos deben englobar las tres fases del proceso de producción de datos estadísticos: la recogida, el procesamiento o análisis y la difusión.

Sin embargo, las más extendidas y desarrolladas se aplican en la última fase del proceso por lo que se denominan Técnicas de Control de la Divulgación Estadística.

Éstas se clasifican de una manera casi natural, según el formato en el que los datos son publicados o difundidos. Comúnmente, existen tres principales formas de difundir los datos estadísticos:* Mediante Ficheros de registros individuales.* Mediante Tablas de magnitud o frecuencias.* Mediante consultas secuenciales en Bases de Datos.

Técnicas para la protección en Ficheros de DatosCon ficheros de datos estadísticos nos referimos a ficheros de registros individuales que contienen información identificativa sobre cada individuo encuestado o registrado de una población o muestra. El riesgo de divulgación de información confidencial en un fichero de datos vendrá dado principalmente por el riesgo de identificación.

Atributos tan claramente identificativos como nombres o direcciones, no son normalmente incluidos en ficheros de uso público y externo, por considerarse de carácter confidencial. Sin embargo características tales como sexo, edad, estado civil, población etc., sí son dadas a conocer junto con otras variables de interés. De esta forma, es posible identificar a individuos o unidades de la muestra o de la población que son únicos con respecto a una determinada combinación de valores de dichas variables.

Como consecuencia de dicha identificación, será posible conocer toda aquella información registrada sobre el individuo en el propio fichero o en otros ficheros externos disponibles, de la misma población o muestra.

Las técnicas de protección en ficheros de datos estarán encaminadas en su mayoría a proteger contra la identificación de unidades o individuos únicos o "raros" en la población y evitar la difusión de valores inusuales de variables que favorezcan dicha identificación.


7


Muchas veces no disponemos de los datos de toda la población, sino de una muestra representativa de la misma, de forma que individuos o unidades que son raros únicos en la muestra no tienen por qué serlo en la población. La estimación de la proporción de unidades o individuos únicos en la población a partir de los que sí lo son en la muestra o en el fichero de datos, puede convertirse en una medida de la efectividad de los métodos aplicados, es decir, en una medida cuantitativa del riesgo de divulgación.

Podemos clasificar estos métodos en dos grandes grupos:* Métodos de Restricción. Se basan en limitar la cantidad de información publicada mediante diferentes técnicas:Recodificación: Consiste en unificar categorías en variables cualitativas o agrupar magnitudes con valores extremos en variables cuantitativas (top-bottom coding)Supresiones Locales: Simplemente se suprimen para su publicación, determinados valores sensitivos de variables que pueden dar lugar a identificaciones (profesiones poco comunes, salarios inusualmente altos,...).

* Métodos de Perturbación. Tienen en común que modifican los valores de determinadas variables, permitiendo su publicación pero de forma que no se puedan conocer los valores exactos. Entre éstos destacan:Redondeo Aleatorio: Los valores de determinadas variables son sustituidos por cantidades redondeadas.Aportación de ruido: Consiste en la introducción de error (pequeñas cantidades seleccionadas aleatoriamente) en los valores de las variables.Sustitución: Consiste en intercambiar valores dentro de una variable de forma que la información puede ser tratada estadísticamente (se mantiene la estructura de correlación), sin riesgo de identificar a un individuo con un determinado registro dentro del fichero de datos.Microagregación: Se agrupan los valores de la variable de acuerdo a determinados criterios de ordenación y en cada registro el valor de dicha variable es sustituido por la media del grupo al que pertenezca. Detalles sobre el método y su aplicación van a ser desarrollados con posterioridad en este cuaderno.

Cifrado de Datos Su objetivo es el de hacer ininteligibles los datos a usuarios no autorizados que sean capaces de acceder a ellos. Existen numerosos métodos de cifrado de datos o métodos criptográficos. Los sistemas de cifrado más antiguos y más conocidos son los que hacen uso de una clave privada (normalmente un número) para, mediante un conjunto de transformaciones matemáticas, mantener oculto el significado de determinados datos.

Los métodos de cifrado de datos pueden ser: * Simétricos: cuando la clave de cifrado es la misma que la de descifrado.* Asimétricos: cuando ambas claves son distintas.

Los mejores métodos de cifrado actuales resultan prácticamente invulnerables. Algunos de los más utilizados son los siguientes: * Cifrado endeble. Válidos para unos niveles de seguridad medios, pero vulnerables ante potentes sistemas de descifrado. Las claves utilizadas permiten un número de combinaciones de 240. * Sistemas correctos de gestión de claves. Requieren que el usuario divida en varias partes la clave de descifrado y haga entrega de esas claves a personas de su confianza. La clave sólo puede reconstruirse en caso de que los depositarios de todas las partes se pongan de acuerdo. * Criptografía de clave pública. Son criptosistemas con claves asimétricas. Estos criptosistemas se basan en que cada uno de los operadores tiene dos claves, una privada que sólo él conoce y una pública, que conocen o pueden conocer todos los intervinientes en el tráfico. Cuando el operador A quiere emitir un mensaje aplica al mismo la clave pública de B y el mensaje así cifrado se emite a B, que al recibir el mensaje le aplica su clave privada para


8


obtener el mensaje descifrado. Por ello se denomina criptosistema asimétrico, ya que para cifrar y descifrar los mensajes se utilizan dos claves distintas.

Además, y esto es lo esencial, el sistema es calificado de unidireccional, en el sentido de que, a través de la clave pública de B utilizada por A para cifrar el mensaje dirigido a B y descifrado con la clave privada de B, no es posible con el actual estado de la tecnología informática que A acceda a la clave privada de B. De esta forma, y debido a la complejidad computacional de los algoritmos utilizados, se garantiza el secreto de la clave privada de éste.

Descifrado. Es el proceso que, a partir de una información que aparece como "texto cifrado" y aplicando un algoritmo adecuado, permite obtener de nuevo el "texto claro" original. Firma digital y certificación .La firma digital permite la autenticación de los mensajes recibidos. Para conseguir la autenticación se utiliza una función "hash" del mensaje para obtener un resumen del mensaje original. Posteriormente se cifra ese resumen con la clave privada propia del remitente. Cuando la firma digital la realiza una autoridad en la que se confía, el mensaje se considera certificado y a la autoridad se la denomina autoridad de certificación. Control de Accesos. Los equipos lógicos deben imponer procedimientos de control sobre personas u otros SI que intenten acceder a los mismos, ya sea directamente o mediante redes de comunicaciones.

Medidas de seguridad* Físicas: Controlar el acceso al equipo. Tarjetas de acceso, etc* Personal: Acceso sólo del personal autorizado. Evitar sobornos, etc.* SO: Seguridad a nivel de SO* SGBD: Uso herramientas de seguridad que proporcione el SGBD. Perfiles de usuario, vistas, restricciones de uso de vistas, etc.

Un SMBD cuenta con un subsistema de seguridad y autorización que se encarga de garantizar la seguridad de porciones de la BD contra el acceso no autorizado.* Identificar y autorizar a los usuarios: uso de códigos de acceso y palabras claves, exámenes, impresiones digitales, reconocimiento de voz, barrido de la retina, etc.* Autorización: usar derechos de acceso dados por el terminal, por la operación que puede realizar o por la hora del día.* Uso de técnicas de cifrado: para proteger datos en Base de Datos distribuidas o con acceso por red o internet.* Diferentes tipos de cuentas: en especial del ABD con permisos para: creación de cuentas, concesión y revocación de privilegios y asignación de los niveles de seguridad.

Herramientas de seguridad de SoftwareAdministración de las actualizaciones de seguridadMicrosoft UpdateMicrosoft Update reúne las actualizaciones proporcionadas por Windows Update y Office Update en un mismo sitio y permite configurar su equipo para que reciba automáticamente actualizaciones críticas y de seguridad.

Windows Server Update Services (WSUS)Windows Server Update Services (WSUS) simplifica el proceso de mantener actualizados los sistemas basados en Windows con las últimas actualizaciones disponibles, con una mínima intervención administrativa.


9


System Center Configuration ManagerSystem Center Configuration Manager 2007 permite gestionar la implantación y configuración de sistemas operativos y aplicaciones, mejorando la seguridad y ofreciendo una evaluación completa de servidores, equipos y dispositivos móviles.

Herramienta de inventariado Systems Management Server 2003 para Microsoft UpdatesLos administradores de Systems Management Server pueden utilizar esta herramienta de inventariado para Microsoft Updates (ITMU) para ver si se está cumpliendo la actualización de los sistemas que gestionan.

Detección de actualizaciones de seguridad:Microsoft Baseline Security Analyzer (MBSA)MBSA busca actualizaciones de seguridad no instaladas y los errores más comunes de configuración de seguridad. Ofrece una mejor experiencia de usuario, amplía el soporte a producto y puede utilizarse junto con Microsoft Update y Windows Server Update Services.

Microsoft Office Visio 2007 Connector para Microsoft Baseline Security AnalyzerEste conector permite ver los resultados del análisis de Microsoft Baseline Security Analyzer de manera clara y comprensible en un diagrama de Microsoft Office Visio 2007.

Extended Security Update Inventory ToolLa herramienta Extended Security Update Inventory Tool sirve para detectar boletines de seguridad no cubiertos por MBSA incluidos los boletines de seguridad MS04-028, de febrero 2005 y futuros que son excepciones a MBSA.

Evaluación de seguridadMicrosoft Security Assessment Tool (MSAT)MSAT ofrece información y recomendaciones para ayudarle a mejorar la seguridad de su infraestructura tecnológica.

Bloqueo, auditoría y detección de intrusosHerramientas de administración y bloqueo de cuentasEstas herramientas le pueden ayudar a administrar cuentas y a solucionar problemas relacionados con bloqueos de cuenta.

BitLocker Active Directory Recovery Password ViewerEsta herramienta ayuda a localizar contraseñas de recuperación de Cifrado de unidad BitLocker para equipos basados en Windows Vista, o Windows Server 2008, en Servicios de dominio de Active Directory.

Herramienta de preparación de la unidad BitLockerEsta herramienta configura las unidades de disco duro del equipo de forma que sean compatibles con la habilitación de BitLocker.

Herramienta de reparación de BitLockerEsta herramienta puede ayudarle a recuperar datos de discos corruptos o dañados cifrados con BitLocker.

EventCombMT


10


Disponible como parte de la descarga de scripts de la guía de seguridad, es una herramienta multiproceso que analiza registros de sucesos en varios servidores al mismo tiempo.

File Checksum Integrity VerifierEsta herramienta de línea de comandos calcula y comprueba los valores hash criptográficos MD5 o SHA-1 de los archivos. Estos valores pueden mostrarse en pantalla o almacenarse en una base de datos de archivos XML para su posterior uso y comprobación.

Herramienta de bloqueo de IISEsta herramienta reduce las áreas de ataque de anteriores versiones de Internet Information Services (IIS) e incluye URLScan para ofrecer múltiples capas de protección contra atacantes. Todas las configuraciones de seguridad por defecto de IIS 6.0 y 7.0 cumplen o sobrepasan las configuraciones de seguridad realizadas por la herramienta de bloqueo de IIS.

Port ReporterEsta herramienta se ejecuta como un servicio en equipos con Windows Server 2003, Windows XP o Windows 2000 y registra la actividad de los puertos TCP y UDP.

Port Reporter Parser (PR-Parser)Esta herramienta analiza los registros que genera Port Reporter. La herramienta PR-Parser tiene muchas características avanzadas que permiten analizar los archivos de registro de Port Reporter. Puede usar PR-Parser con la herramienta Port Reporter en diversos escenarios, por ejemplo en la solución de problemas y en casos relacionados con la seguridad.

PortQryEsta utilidad de la línea de comandos sirve como ayuda para solucionar problemas de conectividad TCP/IP en Windows Server 2003, Windows XP o Windows 2000.

PromQryLas herramientas Promqry y PromqryUI permiten detectar rastreadores de red en equipos que ejecutan Windows Server 2003, Windows XP y Windows 2000.

SubInACLEsta herramienta de línea de comandos le permite obtener información de seguridad sobre archivos, claves del Registro y servicios. También le permite transferir esta información entre usuarios, grupos locales o globales y dominios.

UrlScan Security Tool 3.0Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dañinas puedan alcanzar servidores web IIS. UrlScan 3.0 incluye nuevas características que ayudan a proteger frente a ataques de inyección SQL y puede utilizarse con IIS 5.1 o posterior.

UrlScan Security Tool 2.5Esta herramienta sirve para prevenir la posibilidad de que peticiones HTTP potencialmente dañinas puedan alcanzar servidores web IIS. UrlScan 2.5 puede puede utilizarse con IIS 4.0 o posterior. Los usuarios que ejecuten IIS 6.0 o posterior deberían usar UrlScan 3.0.


11


Windows SteadyStateYa administre los equipos de un laboratorio informático equipos escolar o un cibercafé, una biblioteca o incluso en casa, Windows SteadyState facilita el mantenimiento de los equipos en ejecución de la manera que desea.

Protección y eliminación de virus y malwareMalicious Software Removal ToolEsta herramienta busca en los equipos infecciones por software malintencionado específico y predominante, y ayuda a eliminarlas. Microsoft publica una versión actualizada de esta herramienta el segundo martes de cada mes, o según se requiera para responder a incidentes de seguridad.

Windows DefenderEs un programa gratuito que ayuda a proteger su equipo de las amenazas a la seguridad causadas por spyware u otro software no deseado.

Versículo, Frases & Lemas:Dios tomó al hombre y lo puso en el jardín del Edén (La naturaleza) para que lo cultivara y lo cuidara. (Genesis 2:15). Cuidemos nuestra casa natural: “El medio ambiente”, ¡Tirando la basura en su lugar por favor!. Taquerías: Moyito, Suemi Cecilia, La Moto.Le doy gracias a Dios por hacer el cielo con todas sus estrellas, porque una estrella eres tú y el cielo es tu amistad…..Gracias a Dios eres mi amigo con todo y tu amistad. MORCH Systems.Dios te Bendiga hoy, mañana y siempre; a ti, a toda tu familia y a todos tu amigos. MORCH Systems.“La vida es bella”, única e irrepetible vívela hoy, como si fuera el último día de tu vida. MORCH Systems.Gracias a Dios: Ser profesional es parte de una mejor calidad de vida para ti y para toda tu familia, lograrlo es una gran satisfacción de manera espiritual, emocional, social y laboral; búscalo, esfuérzate y disfrútalo; y veras que ser profesionista es excelentemente profesional. MORCH Systems.


12

Unidad 4, Evaluación de la Seguridad.

Documents

Transcript of Unidad 4, Evaluación de la Seguridad.