AUDITORIA DE LOS SISTEMAS OPERATIVOS
TEMAS “Programas Dedicados A La Seguridad De Sistemas Operativo” “Consecuencias De El Uso Ilegal De Hardware Y Software En Las Empresas”
PRESENTADO POR: ENRIQUE R. ENNIS 8-788-2319
ISAE UNIVERSIDAD PANAMA FACULTAD DE CIENCIAS TECNOLOGICAS MATERIA AUDITORIA DE LOS SISTEMAS OPERATIVOS
TRABAJO FINAL “Programas Dedicados A La Seguridad De Sistemas Operativo” “Consecuencias De El Uso Ilegal De Hardware Y Software En Las Empresas”
ESTUDIANTE ENRIQUE R. ENNIS 8-788-2319
PROFESOR ERNESTO SANCHEZ FECHA 3 DE FEBRERO DE 2015
INDICE
INTRODUCCIÓN 1. Programas dedicados a la seguridad de sistemas operativo
Se debe tener en cuenta que la seguridad no es un producto sino un proceso, por lo tanto se puede definir a la seguridad informática como: un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el cual participan además personas. 2.
Consecuencias de el uso ilegal de hardware y software en las empresas.
Al practicar una auditoría de sistemas operativos, los auditores de la empresa llevarán a cabo procedimientos de revisión que les permitirán identificar los riesgos y llegaran a una conclusión respecto a si la empresa debe realizar un reconocimiento o una revelación en las aplicaciones y hardware.
CONTENIDO ¿Qué Es Un Sistema Operativo? Un Sistema Operativo es un conjunto de programas de proceso con las rutinas de control necesarias para mantener continuamente operativos dichos programas. Principales Funciones Del Sistema Operativo:
Abstracción del hardware.
Compartir los recursos justamente.
Proteger a todos los procesos de los demás procesos.
Proteger a los datos de todos los usuarios de los demás usuarios.
Asegurar la integridad de la información.
¿Qué Es Seguridad? Seguridad es una palabra con una definición demasiado amplia, y aún entre expertos es difícil llegar a un acuerdo acerca de qué significa. En el ámbito informático, la seguridad equivale principalmente a garantizar al usuario: Consistencia: Comportarse como se espera que se comporte y mantener su comportamiento sin cambios inesperados.
Servicio: El sistema debe prestar todos los servicios que ofrece de manera confiable, constante y consistente. Protección: Si un programa tiene errores y sufre una caída, no debe afectar a la ejecución de otros procesos. Un programa diseñado expresamente para hacer daño debe tener un impacto mínimo en el sistema. Los segmentos de memoria de un proceso deben ser invisibles e inmodificables para cualquier otro proceso. Control de Acceso: Los datos generados por un usuario no deben ser accesibles a otro usuario a menos que así sea específicamente solicitado por su dueño. Soportar diferentes modos de acceso a un archivo, de modo que el sistema pueda exigir que un archivo pueda ser leído pero no ejecutado o abierto para escritura. Los mecanismos de control de acceso deben ser tan granulares como sea posible. Autenticación: El sistema debe poseer los mecanismos necesarios para asegurarse que un usuario es quien dice ser y tiene suficientes privilegios para llevar a cabo todas las operaciones que desee realizar. Debe ser capaz de notificar al administrador acerca de cualquier anomalía.
¿Qué Es Una Herramienta De Seguridad? Una herramienta de seguridad es un programa que corre en espacio de usuario diseñado para ayudar al administrador, sea alertándolo o realizando por sí mismo las acciones necesarias a mantener un sistema seguro. Pueden ser:
Orientadas a host: Trabajan exclusivamente con la información disponible dentro del host (configuración, bitácoras, etc.). Orientadas a red: Trabajan exclusivamente con la información proveniente de la red (barridos de puertos, conexiones no autorizadas, etc.). Muy importante: Toda herramienta de seguridad útil para el administrador es también útil para un atacante, y toda herramienta de seguridad disponible para un administrador se debe asumir que está también disponible para un atacante.
Niveles De Seguridad Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Como no es posible la certeza absoluta, el elemento de riesgo siempre esta
Niveles de Seguridad presente, independiente de las medidas que se tomen, por lo que se debe hablar de niveles de
seguridad. Se entiende como seguridad informática a un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos, lo que requiere también un nivel organizativo, podemos decir que: Sistema de Seguridad = TECNOLOGIA + ORGANIZACION
Cómo Evitar El Software Ilegal En Las Empresas Usar software copiado ilegalmente es un delito y puede acarrear consecuencias serias para una empresa, sus representantes legales, revisores fiscales y sus empleados. Los programas de computadora están protegidos por las leyes de derechos de autor y los tratados internacionales; No obstante, muchas empresas no son conscientes de que sus equipos están usando software ilegal. Según la Business Software Alliance (BSA), organismo internacional que protege a la industria del software, la piratería de los programas informáticos tiene muchas formas y puede entrar a su empresa de diversos modos. Por eso, para ayudar a los usuarios a mantenerse dentro de la ley, la BSA considera importante crear una política de administración legal del software, lo cual es una práctica costosa a implementar y debe basarse en los siguientes principios: 1. Eduque a sus empleados sobre el software legal e ilegal y pídales que firmen un contrato
con la empresa expresando su conocimiento sobre las normas que protegen el software y comprometiéndose a no instalar programas sin licencia en sus equipos.
2.
Recuerde que el principio básico para la legalidad es una licencia por cada programa instalado. Adquiera las suficientes licencias para el número de usuarios de la compañía.
Otra alternativa es comprar software que mida el uso en red y restrinja el número de usuarios de acuerdo al término de licencias. 3. Establezca una política empresarial de prohibir a los empleados la carga o descarga de
software protegido por Derechos de Autor en Internet o en sistemas de boletines electrónicos. Por ejemplo, establezca una medida disciplinaria en el caso de cualquier descarga ilegal de software de Internet o de un vendedor a través de un boletín electrónico.
4. Asegúrese de que haya un solo punto de entrada de software y hardware en su empresa.
El departamento o persona responsable de los sistemas de información debe trabajar con vendedores honestos y confiables, y por experiencia estar al tanto del costo típico del software (debe ser capaz de reconocer un precio demasiado bueno para ser verdad). 5. Pida presupuestos detallados y recibos, y asegúrese que le den una licencia, la misma que
debe conservar en el medio original: cedés o certificados de autenticidad. Cuando pida presupuestos incluya una declaración de que su organización no aceptará software ilegal. 6. Realice revisiones periódicas a los equipos (auditoría sorpresa), al menos una vez al año,
lideradas por el responsable de sistemas y el responsable de los temas legales de la compañía, comparando en esas revisiones si cada uno de los programas instalados cuenta con la respectiva licencia que posee la organización.
¿Qué es lo que pueden hacer las empresas que desean mitigar dichos riesgos y regularizar su situación en cuanto al posible uso de software pirata? Es de suma importancia que implementen un programa adecuado de gestión de activos de software, e incluso apoyarse de especialistas en el tema que les permita entre otras actividades: 1. Elaborar las políticas informáticas sobre la administración, uso, licenciamiento,
revisiones periódicas del software con apego al respeto de la propiedad intelectual. Incluso, solicitar la firma de una carta de independencia de los empleados encargados del departamento de informática. 2. Llevar un adecuado control en la adquisición del software atendiendo a todas las
autorizaciones de los distintos niveles jerárquicos de la empresa. 3. Hacer un levantamiento periódico del inventario de todos los programas de cómputo y
aplicaciones utilizadas por cada uno de los empleados de la empresa, identificando las características y definiciones de licenciamiento, y para detectar cualquier tipo de software ilegal o de vigencia vencida. 4. Verificar la vigencia del software y llevar a cabo un plan periódico de renovación de
licencias. 5. Desinstalar el software ilegal y adquirir las licencias que estén haciendo falta. Renovar
las licencias tiene como ventaja el acceso a nuevas versiones y el soporte continuo para resolución de problemas. En lo subsecuente, llevar a cabo revisiones periódicas para asegurarse de que los empleados no estén usando programas ilegales en los equipos que son propiedad de la empresa.
6. Limitar el acceso a Internet a los empleados mediante un firewall. Es una forma de
prevenir la descarga de programas sin licencia y sin el conocimiento de los responsables de la empresa. 7. Establecer una normativa clara que prohíba a los empleados utilizar software sin licencia
(exponer las consecuencias y en su caso aplicar sanciones) y obtener de ellos una carta confirmación de no uso de software ilegal.
Preguntas Que Deben Hacerse A La Dirección De Sistemas De Información De La Empresa 1. ¿Cuenta la empresa con un inventario de software? 2. ¿Existe software instalado que no aparece en los inventarios? 3. ¿Existen áreas de la empresa que adquieren su propio software? 4. ¿Qué tipo de software se utiliza en la empresa? (Identificar por fabricante y nombres de
los programas). 5. ¿Cómo realizan las actualizaciones de software? 6. ¿Cómo se controla el licenciamiento? 7. ¿Se cuenta con cartas responsivas firmadas por los usuarios de tecnologías sobre el
contenido de software de sus equipos y sistemas de cómputo? Documentos que deben solicitarse para la revisión de software:
1. Inventario de software por usuario. 2. Facturas originales de la adquisición de licencias. 3. En su caso, licencias de software físicas o dadas de alta por medios electrónicos (vía
Internet). Procedimientos o pruebas que deben ejecutarse para identificar el adecuado uso de las licencias de software:
Cotejar el inventario de software contra el licenciamiento. Se deberá verificar
que todo el software que se menciona en el inventario cuente con licencias. El número de licencias adquiridas debe ser igual a las instalaciones de software en los equipos. Verificar de igual manera que la versión que ampara cada licencia corresponda con la instalación.
Revisión selectiva del software instalado en las máquinas de los usuarios. Se
debe verificar que el software instalado en las máquinas sea el autorizado por la compañía y que además cuente con licenciamiento. En caso de que la compra de software no esté centralizada por el área de sistemas, investigar qué áreas del negocio
¿Qué Ventajas Tiene Para Mi Empresa Contar Con Un Software Legal? El software es uno de los activos claves de su negocio y la adecuada administración de éste es importante. Al ser considerado como activo, el software incrementa el valor de la compañía. Adicionalmente, existen una serie de beneficios gratuitos a los cuales sólo pueden acceder las empresas que cuentan con software legal y representan un importante ahorro de costos; actualizaciones, capacitaciones, entrenamientos, programas de seguridad que evitan virus, etc. El respeto a la propiedad intelectual permite también que las empresas puedan participar en procesos de certificación, obteniendo las acreditaciones necesarias para poder aprovechar importantes oportunidades de negocio a través de la participación en tratados internacionales y convenios comerciales. Licenciamiento De Programas De Software Y Sistemas Operativos Tengo un software preinstalado en un computador ¿Cómo puedo saber si es legal este programa? Los fabricantes de hardware que preinstalan software en sus equipos (ya sean estos de marca o "clones") deben adjuntar los correspondientes contratos certificados de licencia de cada uno de los software preinstalados. Es importante que al adquirir el equipo revise cuidadosamente dichos documentos. En caso de no encontrar las licencias respectivas, debe exigir a su proveedor la documentación respectiva. Si no encuentra ninguna respuesta positiva puede denunciar estas irregularidades a las autoridades nacionales competentes, a los fabricantes del software o reingresar dichos antecedentes al sitio de denuncias que BSA tiene a su disposición en
www.bsa.org