UNIVERSIDAD PRIVADA SAN JUAN BAUTISTA

Facultad de Ingenier a Escuela Profesional de Ingenier a de Computaci n y Sistemas

CURSO: ALUMNO: PROFESOR: CICLO:

Auditoria y Seguridad de Sistemas Chata Yauri, Carlos Rubn Mg. Ing. David Llendo Arevalo 1 mo

Lima Per 2014-I

TEMA

CONTROL DE RIESGOS Y POLTICA DE

SEGURIDAD

Contenido

Control de riesgos.
15. Investiga el termino war driving, que tambin puede expresarse como wardriving o
war xing. Crees que el war driving constituye un riesgo contra la confidencialidad? Rpta: Wardriving es la forma de buscar redes inal mbricas Wi-!i empleando un ve"#culo en movimiento $ utili%ando una computadora& una P'( o algn otro dispositivo port til para buscar redes inal mbricas Wi-!i) *uando se "abla de Wardriving& no se "ace referencia a la cone+i,n no autori%ada al punto de acceso inal mbrico& es decir& el Wardriving no es el m-todo de entrar a una red Wi-!i sin autori%aci,n& sino es buscar redes inal mbricas desde un ve"#culo en movimiento& usando e.uipo con Wi-!i) /ltiples dispositivos m,viles funcionan o tienen como funci,n la locali%aci,n de Redes inal mbricas mientras se est en movimiento) La acci,n de entrar a una red Wi-!i sin autori%aci,n se le denomina Piggybacki g. Para .ue e+ista riesgo contra un activo& antes debe e+istir una amena%a contra un activo o una vulnerabilidad en un activo del sistema de informaci,n) 0n este caso el Wardriving no es considerado una amena%a por.ue no reali%a ningn tipo de ata.ue a una red Wi-!i& solo detecta redes Wi-!i usando un e.uipo est ndose en movimiento& $ es todo) *oncluimos .ue si no e+iste amena%a& entonces no e+iste vulnerabilidad para Wardriving& por lo tanto podemos decir .ue no se presenta riesgo contra los activos de informaci,n ante el Wardriving) 1ambi-n podemos concluir .ue si el Wardriving es usado como un intermediario para cometer algn acto criminal .ue atente contra los principios de un sistema de informaci,n seguro& sumado .ue las redes inal mbricas presentan ma$or vulnerabilidad en comparaci,n con una red de cableado& el riesgo de .ue se viole el principio de confidencialidad de la informaci,n aparecer#a)

1!. Qu relaci n !ay entre servicio de seguridad y mecanismos de seguridad?

Rpta: 2n mecanismo de seguridad consiste en dotar e implementar al sistema de informaci,n& de uno o m s servicios de seguridad) La implementaci,n de un servicio de seguridad particular depender si su mecanismo de seguridad va dirigido a una capa espec#fica de un protocolo de seguridad o no se especifica a ninguna capa de protocolo) 3e conclu$e .ue e+iste una relaci,n de dependencia funcional de los servicios ante los mecanismos de seguridad)

17. Qu es el ""I# de una red $i%&i?

Rpta: 0l 33I' normalmente se le conoce como el nombre de la red) 0s un nombre .ue va incluido en todos los pa.uetes de una red inal mbrica para identificarlos como parte de esa red) 0n realidad ese nombre es un c,digo .ue consiste en un m +imo de 42 caracteres .ue la ma$or#a de las veces son alfanum-ricos) Podemos encontrar algunas variantes principales del 33I'& como por e5emplo: las redes ad-"oc& .ue define ma.uinas clientes si un punto de acceso& emplean 633I' 76asic 3ervice 3et I'entifier89 mientras .ue las redes en infraestructura .ue incorporan un punto de acceso& emplean el 033I' 70+tended 3ervice 3et I'entifier8) :os podemos referir a cada uno de estos tipos de 33I' como una definici,n general .ue engloba a los dos tipos de redes)

1". 'odr(as explicar que significa encriptar un mensa)e? Inventa un sencillo sistema
de encriptaci n *codificaci n+. Imagina que env(as a otra persona unas palabras codificadas seg,n tu sistema inventado. Qu necesita tener o saber la persona que recibe tu mensa)e para poder descifrarlo? Rpta: 0s el proceso mediante el cual cierta informaci,n o un mensa5e sin formato es encriptado& es decir& el mensa5e es ocultado o cifrado de forma .ue el resultado .ue se tenga& sea un mensa5e ilegible para los usuario no autori%ado& a menos .ue se cono%ca los datos necesarios para su interpretaci,n) La encriptaci,n constitu$e una medida de seguridad "acia la confidencialidad de los sistemas de informaci,n) La encriptaci,n& como proceso de ocultaci,n de un mensa5e& forma parte de la cristolog#a& .ue es una ciencia .ue estudia la transformaci,n de un determinado mensa5e en un c,digo de forma tal .ue a partir de dic"o c,digo solo algunas personas sean capaces de recuperar el mensa5e original)

0l siguiente e5emplo de encriptaci,n o cifrado de un mensa5e& emplea el m-todo por sustituci,n& el cual consiste en el reempla%o de una letra del abecedario por otra letra as# enviar un mensa5e secreto a la otra persona) 0l descifrar el mensa5e es simple& solo "abr .ue restar 4 al nmero de orden de las letras del abecedario o criptograma) *onsiste en sumar 4 al nmero de orden de cada letra) 'e esta forma a la letra ;(< le corresponde la ;'< a la ;6< la ;0< $ as# sucesivamente)

'e esta manera si por e5emplo .uisi-ramos encriptar el mensa5e = Auditoria y Seguridad>& el mensa5e resultante .uedar#a de la siguiente manera:

La otra persona .ue va recibir el mensa5e encriptado& para descifrarlo necesita saber .ue debe restar 4 al nmero de orden de las letras del abecedario) 'e esta forma usando este simple algoritmo de encriptaci,n& tanto el emisor $ el receptor son conocedores de la clave& .ue "ace el cifrado $ descifrado& 5unto con una clave& fortalecen la confidencialidad de los datos)

1#. #e los siguientes dispositivos indica cuales son preventivos, detectores o

correctores-

a% Cortafuegos *firewall+. b% .ntivirus. c% /xtintor de fuegos. &% #etector de !umos. '% &irma digital.
Rpta:

a% *ortafuegos 7fire?all8: Preventivo) b% (ntivirus: c% 0+tintor de fuegos: &% 'etector de "umos: '% !irma digital:
Preventivo& 'etector& *orrector) 'etector) 'etector) Preventivo)

2(. Imagina esta situaci n- Quieres presentar a tu )efe una brillante idea que puede
interesar a la competencia, pero te encuentras de fin de semana en un pueblecito donde los telfonos m viles no funcionan, por suerte te !as llevado tu port0til y el !otel rural donde te encuentras alo)ado dispone de servicio de internet. .s( que decides enviarle un correo pero sin encriptar. /xplica los peligros de este procedimiento. Rpta: La encriptaci,n o cifrado es importante $a .ue nos asegura .ue solo la persona a .ue va destinado el correo pueda leerlo) 'e esta forma la encriptaci,n garanti%a la privacidad de un correo electr,nico& es decir la confidencialidad del correo) 0l correo electr,nico es un medio e+tremadamente pr ctico para intercambiar informaci,n& es tambi-n una "erramienta mu$ vulnerable a estas estas amena%as: intercepci,n& usurpaci,n de identidad& vigilancia de los bu%ones de correo& etc) 2no de los aspectos m s importantes de la seguridad en -l envi, de correos electr,nicos es el modo de cone+i,n .ue se utili%a para acceder a su servicio de mensa5er#a) 2no de los medios .ue e+isten para aumentar la confidencialidad de los correos electr,nicos consiste en la encriptaci,n $ la firma digital de los mensa5es) La encriptaci,n es la principal t-cnica utili%ada para garanti%ar de forma efica% la confidencialidad de sus comunicaciones electr,nicas) Los peligros a los .ue se puede estar e+puesto si enviamos un correo electr,nico son& por el modo de cone+i,n .ue se est- utili%ando en esos momentos para

"

acceder al servicio de mensa5er#a& usuarios desconocidos podr#an interceptar el correo electr,nico $ acceder a dic"a informaci,n& "abiendo la posibilidad de .ue puedan destruirlo& modificar el contenido real& desviar u otro destinatario& usar dic"a informaci,n como medio de sobornos& lo .ue implicar#a traer da@os cuantitativos& perdidas econ,micas& sobornos & $ cualitativos& da@os a la imagen de la empresa& p-rdida de confian%a& tanto para el emisor $ el receptor) La valori%aci,n del impacto de este ata.ue depender muc"o de la importancia .ue represente la confidencialidad del correo electr,nico)

21. Investiga que es la esteganograf(a.

Rpta: 0s el estudio $ aplicaci,n de t-cnicas .ue permiten ocultar mensa5es u ob5etos& dentro de otros& llamados portadores& de est n manera no se percibir su e+istencia) 0s decir& se trata de ocultar mensa5es dentro de otros ob5etos $ de esta forma establecer un canal encubierto de comunicaci,n& de modo .ue el propio acto de comunicaci,n pase inadvertido para observadores .ue tienen acceso a ese canal) Para .ue pueda "ablarse de estenograf#a debe "aber voluntad de comunicaci,n encubierta entre el emisor $ el receptor) Posiblemente e+ista una confusi,n entre la estenograf#a $ la criptograf#a& la aclaraci,n viene enseguida: La estenograf#a estudia $ aplica t-cnicas para la ocultaci,n de informaci,n& mensa5es& ob5etos& dentro de otros llamados portadores& de esta forma no es f cil percibir su e+istencia) Por e5emplo: la primera l#nea de defensa de la informaci,n es el desconocimiento de su e+istencia $ para ello est la estenograf#a) La criptograf#a tiene por ob5etivo mantener en secreto datos& informaci,n& mensa5es& etc) durante su almacenamiento o su transmisi,n) Por e5emplo: la segunda l#nea de defensa de la informaci,n& frente al conocimiento o descubrimiento de la informaci,n& ser#a la encriptaci,n de la informaci,n)

22. C mo escoger(as una clave segura de acceso al ordenador de una empresa

donde se guarda datos confidenciales de clientes? Rpta: 0n tiempo de internet& los perfiles de los usuario en internet& las transacciones .ue se mane5an en dispositivos modernos& la aparici,n de intrusos $ la mala gesti,n de las contrase@as por la ma$or#a de los usuarios de internet& nos obliga a dise@ar pol#ticas de contrase@as para una correcta gesti,n $ creaci,n de las contrase@as .ue se "a de utili%ar en la ma$or#a de los procesos $ operaciones .ue re.uieren de su autenticaci,n) Para mantener la confidencialidad de los datos de forma segura& seguir#a las siguientes pol#ticas $ acciones para construir clave segura:

2tili%ar#a al menos A caracteres para crear la clave) 2tili%ar#a d#gitos& letras $ caracteres especiales para crear la clave)

 (lternar#a aleatoriamente ma$sculas $ minsculas las letras elegidas para

crear una clave)

0legir#a una clave .ue pueda recordar f cilmente $ escribir r pidamente&

sin .ue sea necesario mirar el teclado)

*ambiar#a la clave con una cierta regularidad) 2tili%ar#a signos de puntuaci,n si el sistema lo permite) 0vitar utili%ar la misma clave de uno $ otro servicio o sistema) :o utili%ar informaci,n personal en una clave) 0vitar utili%ar secuencias b sicas de teclado) :o repetir los mismos caracteres en la misma clave) 0vitar utili%ar solo nmeros& letras ma$sculas o minsculas en la clave) :o escribir ni refle5ar la clave en un papel o documento donde se de5e
constancia de la misma)

:o enviar nunca la contrase@a por correo electr,nico)

23. 1raba)as como tcnico de inform0tica y te llega una llamada de una oficina. 2n
empleado !acia cada semana una copia de seguridad de la carpeta #ocumentos Importantes. 3a copia la guardaba en otra partici n del mismo disco duro. 2na tormenta elctrica !a da4ado el disco y un experto en inform0tica no !a !allado modo de restablecer su funcionamiento. 1e piden que te acerques a la oficina para ver si existe la posibilidad de recuperar al menos los datos.

a% BPodr s recuperar los datos originalesC

Rpta: :o& debido a .ue el disco f#sico de5o de funcionar $ mi nivel de conocimiento t-cnico de inform tica me impide "allar una soluci,n para recuperar los datos l,gicos)

b% 0n su defecto& Bpodr n recuperarse los .ue "a$ en la copia de seguridadC

Rpta: 1odo dato e informaci,n .ue se "alla contenida en el disco duro f#sico& $a sea .ue se tenga creado distintas particiones l,gicas& el impacto del ata.ue afecto a la plataforma de las particiones l,gicas .ue la contiene& dentro de esto est la copia de seguridad& esto implica .ue no se podr recuperar)

c% ( tu 5uicio& B0l empleado "a cometido alguna imprudencia con la copia de

seguridadC

1(

Rpta: 3i& el empleado debi, de guardar la copia de seguridad en otro medio f#sico diferente $ alo5ado en instalaciones .ue presten un ma$or nivel de seguridad ante posibles amena%as& $a sea ambiental o provocado& para los documentos .ue se consideren activos de informaci,n valiosos para empresa)

Poltica de seguridad.
24. Investiga que es un test de intrusi n.
Rpta: 2n test de intrusi,n es una evaluaci,n de las medidas de protecci,n de una organi%aci,n $ de los servicios e+puestos a Internet) 0l ob5etivo es vulnerar la seguridad de los mecanismos implantados para conseguir por e5emplo un acceso no autori%ado a la organi%aci,n& obtener informaci,n sensible& interrumpir un servicio& etc) todo depende del alcance del test) 2n test de intrusi,n es diferente de una revisi,n de seguridad e+"austiva)

25. 1u )efe te dice que !a detectado que el rendimiento de los traba)adores !a ba)ado
considerablemente desde que la empresa tiene acceso a internet. 1e pide que le propongas una soluci n. Rpta: Reali%ar una auditoria en los sistemas de informaci,n& esto no permitir obtener una imagen real $ actual del estado de seguridad del sistema de informaci,n $ as# poder descubrir& identificar $ corregir vulnerabilidades en los activos de informaci,n $ los procesos .ue reali%an esos activos) Recordando .ue los activos de informaci,n facilitan el buen funcionamiento de las actividades de la empresa& cual.uier sospec"a o un informe sobre la disminuci,n del nivel de rendimiento de los traba5adores& apunta a .ue algn suceso insospec"ado dentro de la empresa& est provocando una esta disminuci,n de la productividad de cada traba5ador) *on la e5ecuci,n de una auditoria& el e.uipo de auditoria emitir un informe del estado de los activos $ de los procesos .ue ello reali%an& adem s de verificar las relaciones $ la dependencia entre un activo $ otro activo) (dem s de verificar el cumplimiento .ue se viene cumpliendo de la normativa de la empresa en el mbito de seguridad)

2!. /n tu empresa acaban de crear unas claves de seguridad para los empleados.
#ic!as claves se env(an por correo electr nico. /sto es desconocimiento de las practicas se seguridad?

11

Rpta: 0l eslab,n m s d-bil de una cadena de seguridad en sistemas de informaci,n es el usuario final) La falta de concienti%aci,n a los empleados& de la importancia de la seguridad de los sistemas de informaci,n& es el principal ob5etivo de la pol#tica de seguridad) ( pesar de .ue la empresa disponga de una pol#tica de seguridad para sus sistemas de informaci,n& "ar falta algo m s .ue la simple redacci,n de la pol#tica de seguridad $ la comunicaci,n de dic"a pol#tica a sus empleados) Do creo .ue& el empleado .ue "a$a tomado la decisi,n de enviar las claves por el medio de un correo electr,nico& de5a claro su no comprensi,n de la importancia de seguir las buenas practicas dictadas en la redacci,n de la pol#tica de seguridad) (un mas& la ma$or#a de los fallos de seguridad es provocado por el factor "umano& $ considerando la presencia de relaciones $ dependencias entre uno $ otro activo& el impacto provocado por el fallo "umano se aseme5ar#a a un efecto tipo domino& con consecuencia insospec"ables sobre los activos del sistema de informaci,n& provocando posiblemente cuantificables 7perdidas econ,micas8 $ cualificables 7da@os a la imagen de la empresa& per5uicios a las personas8)

12