UNIVERSIDAD NACIONAL EXPERIMENTAL DE GUAYANA

VICERRECTORADO ACADÉMICO
COORDINACIÓN GENERAL DE PREGRADO
INGENIERÍA EN INFORMÁTICA

Evaluación de la Seguridad

Frantyelis Coronado
Jhoanny Osuna
Karen Malavé
Paul López

Ciudad Guayana, 06/06/2018.

 Es necesario tener una buena seguridad en cuanto a todos los componentes de una
organización, considerando que la información es el aspecto más importante a resguardar,
por lo que se debe evaluar o apreciar que tan confiables son los sistemas de seguridad. Por lo
tanto, es trascendental explicar la evaluación de seguridad de los sistemas informáticos.
Las empresas u organizaciones se encuentran expuestas a diferentes amenazas que
busca interferir en las vulnerabilidades de un activo o grupo de estos que se ven
reflejados en la modificación y perdida de información, accesos no autorizados o
perdida de la administración de la infraestructura tecnológica, entre otros, que
pueden causar pérdida parcial o general de la operación. (B-SECURE, 2017).

Evaluación de seguridad de los sistemas informáticos

Al hablar de seguridad de la información, se debe referir a la preservación de tres

propiedades fundamentales (Trentalance, 2012), afirma que son:

a) Confidencialidad: propiedad por la cual la información se mantiene disponible y es

divulgada sólo a individuos, organismos o procesos autorizados.
b) Integridad: propiedad de proteger la precisión y la totalidad de la información.
c) Disponibilidad: propiedad de que la información se mantenga accesible y sea
utilizable a demanda por parte de un organismo autorizado en tiempo y forma.

A su vez, se debe referir a estas tres propiedades en función de sus principales amenazas, de
acuerdo a (Trentalance, 2012), son:

a) Divulgación: cuando se produce una pérdida o falta de confidencialidad en la

información. Por ejemplo, cuando se hacen públicos los planos del prototipo de un
producto nuevo que está por salir al mercado.
b) Alteración: cuando se produce una pérdida o falta de integridad en la información.
Por ejemplo, los datos de un balance comercial deben ser apropiadamente protegidos
de alteraciones para presentar a los accionistas el estado financiero de la empresa en
forma confiable (recordemos el escándalo Enron).
c) Destrucción (o Denegación de Servicio): cuando se produce una pérdida o falta de
disponibilidad en la información. Una denegación de servicio puede impedir que se
acceda a determinada información, a pesar de que su confidencialidad o integridad
dentro del sistema no se hayan afectado.
 Para preservar la información es necesario que se cumplan con diferentes reglas
como, por ejemplo, la Autenticidad (que la fuente de la información sea identificada en forma
confiable), el No Repudio (que existan mecanismos que impidan a la fuente decir
posteriormente que no generó esa información), y el Registro de la Responsabilidad (que se
puedan consultar las personas o entidades que modificaron, o accedieron a la información…),
entre otras. En general, no son propiedades de la información en sí, sino de las entidades que
la generan, transmiten o manipulan, y que indirectamente preservan las tres propiedades
fundamentales. (Trentalance, 2012).

Dada la importancia del resguardo de información de la empresa es necesario

contemplar la evaluación y protección de hardware y software, así como de los equipos
adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta también se
incluyen el acceso al área de sistemas, el acceso al sistema, la protección y salvaguarda de
los activos de esta área, las medidas de prevención y combate de siniestros, y muchos otros
aspectos que se pueden valorar mediante una auditoría de sistemas.

Debido a lo antes expuesto, es de vital importancia mencionar y explicar las

principales áreas de seguridad que se pueden evaluar en una auditoría de sistemas, los cuales
Alvarez et al. ( 2009), los enumera de la siguiente manera:

1. Evaluación de la seguridad física de los sistemas.

La Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos

de control, como medidas de prevención y contramedidas ante amenazas a los recursos e
información confidencial" (Quintero y Briceño, 2015). Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de
acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de
almacenamiento de datos.

El equipamiento de las organizaciones debe estar debidamente protegido de factores

físicos que los puedan dañar o mermar su capacidad de trabajo. Los equipos deben estar
protegidos de daños causados por incendios, exceso de humedad, robos, sabotajes. Los
equipos, físicamente no se limitan a solo los computadores y sus periféricos, también lo son
calculadoras, sistemas de almacenaje externos de datos como disquetes, CDs, etc., sistemas
de cableado, ruteadores.

Auditoria de la seguridad física

Se evaluarán las protecciones físicas de datos, programas instalaciones, equipos

redes y soportes, y por supuesto habrá que considerar a las personas, que estén protegidas y
existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén expuestas
a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.

Amenazas

Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto

tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, así como
otros que afectan a las personas y pueden impactar el funcionamiento de los centros, tales
como errores, negligencias, huelgas, epidemias o intoxicaciones.

Protecciones físicas algunos aspectos a considerar:

Ubicación del centro de procesos, de los servidores locales, y en general de

cualquier elemento a proteger. Estructura, diseño, construcción y distribución de los edificios
y de sus platas. Riesgos a los accesos físicos no controlados. Amenaza de fuego, problemas
en el suministro eléctrico.

2. Evaluación de la seguridad lógica del sistema.

La seguridad lógica, se refiere a la seguridad de uso del software, a la protección de

los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios
a la información.

Auditoria de la seguridad lógica

Es necesario verificar que cada usuario solo pude acceder a los recursos que se le
autorice el propietario, aunque sea de forma genérica, según su función, y con las
posibilidades que el propietario haya fijado: lectura, modificación, borrado, ejecución,
traslado a los sistemas lo que representaríamos en una matriz de accesos. En cuanto a
autenticación, hasta tanto no se generalicen los sistemas basados en la biométrica, el método
más usado es la contraseña. Aspectos a evaluar respecto a las contraseñas pueden ser:

 Quien asigna la contraseña inicial y sucesivas.

 Longitud mínima y composición de caracteres.
 Vigencia, incluso puede haberlas de un solo uso o dependientes de una función
tiempo.
 Control para no asignar las “x” ultimas.
 Numero de intentos que se permiten al usuario.
 Controles existentes para evitar y detectar caballos de Troya.

3. Evaluación de la seguridad del personal del área de sistemas.

La seguridad del personal puede ser enfocada desde dos puntos de vista, la seguridad
del personal al momento de trabajar con los sistemas informáticos, estos deben estar en
óptimas condiciones para que no causen daño a las personas, y la seguridad de los sistemas
informáticos con respecto al mal uso de los mismos por parte de los empleados, se deberá
contemplar principalmente: la dependencia del sistema a nivel operativo y técnico,
evaluación del grado de capacitación operativa y técnica, contemplar la cantidad de personas
con acceso operativo y administrativo y conocer la capacitación del personal en situaciones
de emergencia.

Consideraciones para con el personal.

Se debe llevar a una conciencia para obtener una autoevaluación de su

comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos, cumplir
promesas e innovar. Para apoyar estos objetivos se debe cumplir los siguientes pasos:
motivación, capacitación general y capacitación de técnicos.

4. Evaluación de la seguridad de la información y las bases de datos.

Auditoria de la seguridad de los datos

La protección de los datos puede tener varios enfoques respecto a las características
citadas: la confidencialidad, disponibilidad e integridad. Los datos son el corazón de los
sistemas informáticos por tanto estos deben ser celosamente cuidados y manejados. La
protección de la integridad, disponibilidad y confidencialidad de los mismos debe ser el
objetivo principal de todo sistema de seguridad informático.

 Confidencialidad: La confidencialidad de los sistemas informáticos se refiere

básicamente a la accesibilidad de la información, se deben establecer niveles de
accesibilidad que guarden relaciones coherentes entre el usuario, su rol en la
organización y el grado de profundidad al que puede llegar al momento de desplegar
la información.
 Integridad: El concepto de integridad hace referencia a la protección de los datos de
modificaciones y/o alteraciones de los mismos. Solo aquellas personas autorizadas
podrán hacer modificaciones a los datos almacenados.
 Disponibilidad: Esta se puede definir como la disposición de información que las
personas autorizadas tienen al momento de necesitarlas.
 Validez: Un dato es válido cuando este refleja con exactitud, precisión y de forma
completa la información que transmite. Este concepto se encuentra estrechamente
ligado con el de integridad, si la integridad de un dato es violada entonces así lo será
también su validez.
 Autenticidad: Este concepto hace referencia a la modificación fraudulenta de la
información, por ejemplo, una transacción puede ser ingresada dentro de un sistema
contable computarizado por una persona no autorizada a hacer, el dato ingresado
puede cumplir con el requisito de validez, pero no con el de autenticidad ya que no
fue ingresado por la persona autorizada.
 Privacidad: Normalmente los conceptos de privacidad, confidencialidad y seguridad
se confunden. Privacidad hace referencia al concepto particular y personal del uso de
la información.
 Exactitud: Este concepto hace referencia al mantenimiento de una relación legítima
entre lo que un dato es y lo que representa.

Evaluación de la seguridad en el acceso y uso del software.

Cuando evalúa la seguridad en la operación del software, debemos identificar las

principales vulnerabilidades del software de la entidad, entre los cuales, se mencionan los
siguientes aspectos: Errores de aplicaciones, errores de sistemas operativos, rutinas de acceso
no autorizados, servicios no autorizados.

5. Evaluación de la seguridad en la operación del hardware.

Se deben identificar las principales vulnerabilidades de hardware, tales como:

Inapropiada operación, fallas en mantenimiento, inadecuada seguridad física, falta de
protección contra desastres naturales.

Evaluación de la seguridad en las telecomunicaciones. Auditoria de la seguridad en

comunicaciones y redes

En las políticas de entidad debe reconocerse que los sistemas, redes y mensajes
transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no
autorizados, por seguridad y por productividad, talvez salvo emergencias concretas si allí se
ha especificado y más bien para comunicaciones con voz.

Los usuarios tendrán restricción de accesos según dominios, únicamente podrán

cargar los programas autorizados, y solamente podrán variar las configuraciones y
componentes los técnicos autorizados. Se revisarán especialmente las redes cuando existan
repercusiones económicas por que se trate de transferencia de fondos o comercio electrónico.
Puntos a revisar: Tipos de redes y conexiones, tipos de transacciones, tipos de terminales y
protecciones: físicas, lógicas, llamadas de retorno…

 Internet e Intranet: separación de dominios e implantación de medidas especiales,

como normas y cortafuegos (firewall), y no solo en relación con la seguridad, sino
por accesos no justificados por la función desempeñada, como a páginas de ocio o
eróticas, por lo que pueden suponer para la productividad.
 Correo Electrónico: tanto por privacidad y para evitar virus como para que el uso del
correo sea adecuado y referido a la propia función, y no utilizado para fines
particulares.
 Protección de Programas: y tanto la prevención del uso no autorizado de programas
propiedad de la entidad o de los que tengan licencia de uso.
 Control sobre las Páginas Web: quien puede modificarlo y desde donde, finalmente
preocupan también los riesgos que pueden existir en el comercio electrónico.
 Referencias

Evaluación de la Seguridad. (2017). Recuperado el 04 de 06 de 2018, de B-SECURE:

https://www.b-secure.co/soc/analisis-vulnerabilidades-pentest
Trentalance, J. (2012). Manual de supervivencia de Seguridad de la información.
Recuperado el 03 de 06 de 2018, de portoyasociados:
http://www.portoyasociados.com.ar/manual_seginf_episodio1.pdf
Briceño, D., & Quintero, Y. (2015). Seguridad física en el área de informática. Recuperado
el 04 de 06 de 2018, de Auditoria de Sistemas:
http://seguridadfi.blogspot.com/2015/10/seguridad-fisica-en-el-area-de.html