AUDITORIA DE LOS SISTEMAS OPERATIVOS
TRABAJO FINAL “Programas dedicados a la seguridad de sistemas operativo” “Consecuencias de el uso ilegal de hardware y software en las empresas”
PRESENTADO POR:
ENRIQUE R. ENNIS
INTRODUCCIÓN
1. Programas dedicados a la seguridad de sistemas operativo.
Se debe tener en cuenta que la seguridad no es un producto sino un proceso, por lo tanto se puede definir a la seguridad informática como: un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. 2. Consecuencias de el uso ilegal de hardware y software en las empresas.
Al practicar una auditoría de sistemas operativos, los auditores de la empresa llevarán a cabo procedimientos de revisión que les permitirán identificar los riesgos y llegaran a una conclusión respecto a si la empresa debe realizar un reconocimiento o una revelación en las aplicaciones y hardware.
CONTENIDO
¿Qué Es Un Sistema Operativo? Un Sistema Operativo es un conjunto de programas de proceso con las rutinas de control necesarias para mantener continuamente operativos dichos programas. Principales Funciones Del Sistema Operativo: Abstracción del hardware. Compartir los recursos justamente. Proteger a todos los procesos de los demás procesos. Proteger a los datos de todos los usuarios de los demás usuarios. Asegurar la integridad de la información.
¿Qué Es Seguridad? Seguridad es una palabra con una definición demasiado amplia, y aún entre expertos es difícil llegar a un acuerdo acerca de qué significa. En el ámbito informático, la seguridad equivale principalmente a garantizar al usuario: Consistencia: Comportarse como se espera que se comporte y mantener su comportamiento sin cambios inesperados. Servicio: El sistema debe prestar todos los servicios que ofrece de manera confiable, constante y consistente. Protección: Si un programa tiene errores y sufre una caída, no debe afectar a la ejecución de otros procesos. Un programa diseñado expresamente para hacer daño debe tener un impacto mínimo en el sistema. Los segmentos de memoria de un proceso deben ser invisibles e inmodificables para cualquier otro proceso. Control de Acceso: Los datos generados por un usuario no deben ser accesibles a otro usuario a menos que así sea específicamente solicitado
por su dueño. Soportar diferentes modos de acceso a un archivo, de modo que el sistema pueda exigir que un archivo pueda ser leído pero no ejecutado o abierto para escritura. Los mecanismos de control de acceso deben ser tan granulares como sea posible. Autenticación: El sistema debe poseer los mecanismos necesarios para asegurarse que un usuario es quien dice ser y tiene suficientes privilegios para llevar a cabo todas las operaciones que desee realizar. Debe ser capaz de notificar al administrador acerca de cualquier anomalía.
¿Qué Es Una Herramienta De Seguridad? Una herramienta de seguridad es un programa que corre en espacio de usuario diseñado para ayudar al administrador, sea alertándolo o realizando por sí mismo las acciones necesarias a mantener un sistema seguro. Pueden ser: Orientadas a host: Trabajan exclusivamente con la información disponible dentro del host (configuración, bitácoras, etc.).
Orientadas a red: Trabajan exclusivamente con la información proveniente de la red (barridos de puertos, conexiones no autorizadas, etc.). Muy importante: Toda herramienta de seguridad útil para el administrador es también útil para un atacante, y toda herramienta de seguridad disponible para un administrador se debe asumir que está también disponible para un atacante.
Niveles De Seguridad Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Como no es posible la certeza absoluta, el elemento de riesgo siempre esta
Niveles de Seguridad
presente, independiente de las medidas que se tomen, por lo que se debe hablar de niveles de seguridad. Se entiende como seguridad informática a un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos, lo que requiere también un nivel organizativo, podemos decir que:
Sistema de Seguridad = TECNOLOGIA + ORGANIZACION
Cómo Evitar El Software Ilegal En Las Empresas Usar software copiado ilegalmente es un delito y puede acarrear consecuencias serias para una empresa, sus representantes legales, revisores fiscales y sus empleados. Los programas de computadora están protegidos por las leyes de derechos de autor y los tratados internacionales; No obstante, muchas empresas no son conscientes de que sus equipos están usando software ilegal. Según la Business Software Alliance (BSA), organismo internacional que protege a la industria del software, la piratería de los programas informáticos tiene muchas formas y puede entrar a su empresa de diversos modos. Por eso, para ayudar a los usuarios a mantenerse dentro de la ley, la BSA considera importante crear una política de administración legal del software, lo cual es una práctica costosa a implementar y debe basarse en los siguientes principios: Eduque a sus empleados sobre el software legal e ilegal y pídales que firmen un contrato con la empresa expresando su conocimiento sobre las normas que protegen el software y
comprometiéndose a no instalar programas sin licencia en sus equipos. Recuerde que el principio básico para la legalidad es una licencia por cada programa instalado. Adquiera las suficientes licencias para el número de usuarios de la compañía. Establezca una política empresarial de prohibir a los empleados la carga o descarga de software protegido por Derechos de Autor en Internet o en sistemas de boletines electrónicos. Por ejemplo, establezca una medida disciplinaria en el caso de cualquier descarga ilegal de software de Internet o de un vendedor a través de un boletín electrónico. Asegúrese de que haya un solo punto de entrada de software y hardware en su empresa. El departamento o persona responsable de los sistemas de información debe trabajar con vendedores honestos y confiables, y por experiencia estar al tanto del costo típico del software (debe ser capaz de reconocer un precio demasiado bueno para ser verdad).
¿Qué Es Lo Que Pueden Hacer Las Empresas Que Desean Mitigar Dichos Riesgos Y Regularizar Su Situación En Cuanto Al Posible Uso De Software Pirata? Es de suma importancia que implementen un programa adecuado de gestión de activos de software, e incluso apoyarse de especialistas en el tema que les permita entre otras actividades: 1. Elaborar las políticas informáticas sobre la administración, uso, licenciamiento, revisiones periódicas del software con apego al respeto de la propiedad intelectual. Incluso, solicitar la firma de una carta de independencia de los empleados encargados del departamento de informática. 2. Llevar un adecuado control en la adquisición del software atendiendo a todas las autorizaciones de los distintos niveles jerárquicos de la empresa. 3. Hacer un levantamiento periódico del inventario de todos los programas de cómputo y aplicaciones utilizadas por cada uno de los empleados de la empresa, identificando las características y
definiciones de licenciamiento, y para detectar cualquier tipo de software ilegal o de vigencia vencida. 4. Verificar la vigencia del software y llevar a cabo un plan periódico de renovación de licencias. 5. Desinstalar el software ilegal y adquirir las licencias que estén haciendo falta. Renovar las licencias tiene como ventaja el acceso a nuevas versiones y el soporte continuo para resolución de problemas. En lo subsecuente, llevar a cabo revisiones periódicas para asegurarse de que los empleados no estén usando programas ilegales en los equipos que son propiedad de la empresa. 6. Limitar el acceso a Internet a los empleados mediante un firewall. Es una forma de prevenir la descarga de programas sin licencia y sin el conocimiento de los responsables de la empresa. 7. Establecer una normativa clara que prohíba a los empleados utilizar software sin licencia (exponer las consecuencias y en su caso aplicar sanciones) y obtener de ellos una carta confirmación de no uso de software ilegal.
Procedimientos Para Verificar Las Licencias De Software
¿Cuenta la empresa con un inventario de software? ¿Existe software instalado que no aparece en los inventarios? ¿Existen áreas de la empresa que adquieren su propio software? ¿Qué tipo de software se utiliza en la empresa? (Identificar por fabricante y nombres de los programas). ¿Cómo realizan las actualizaciones de software? ¿Cómo se controla el licenciamiento? ¿Se cuenta con cartas responsivas firmadas por los usuarios de tecnologías sobre el contenido de software de sus equipos y sistemas de cómputo?
Procedimientos O Pruebas Que Deben Ejecutarse Para Identificar El Adecuado Uso De Las Licencias De Software
Cotejar el inventario de software contra el licenciamiento. Se deberá verificar que todo el software que se menciona en el inventario cuente con licencias. El número de licencias adquiridas debe ser igual a las instalaciones de software en los equipos. Verificar de igual manera que la versión que ampara cada licencia corresponda con la instalación. Revisión selectiva del software instala-do en las máquinas de los usuarios. Se debe verificar que el software instalado en las máquinas sea el autorizado por la compañía y que además cuente con licenciamiento. En caso de que la compra de software no esté centralizada por el área de sistemas, investigar qué áreas del negocio
Licenciamiento De Programas De Software Y Sistemas Operativos
Tengo un software preinstalado en un computador 驴C贸mo puedo saber si es legal este programa? Los fabricantes de hardware que preinstalan software en sus equipos (ya sean estos de marca o "clones") deben adjuntar los correspondientes contratos certificados de licencia de cada uno de los software preinstalados. Es importante que al adquirir el equipo revise cuidadosamente dichos documentos. En caso de no encontrar las licencias respectivas, debe exigir a su proveedor la documentaci贸n respectiva. Si no encuentra ninguna respuesta positiva puede denunciar estas irregularidades a las autoridades nacionales competentes, a los fabricantes del software o reingresar dichos antecedentes al sitio de denuncias que BSA tiene a su disposici贸n en www.bsa.org