Seguridad de los sistemas.

1º ALCANCE DEL TÉRMINO.

La seguridad de los sistemas se refiere de manera principal a la seguridad del equipo de

cómputo, e incluye:

 EQUIPO
 Los programas de uso general, es decir, se excluyen los programas de aplicación
específica.
 Las redes, o sea, las líneas y sistemas de comunicación de datos.
 Las terminales y los programas generales directamente asociados.

Cada uno de estos aspectos se presentan ahora por separado. El área clave que se
debe considerar en cada caso es la existencia de debilidades o “puertas falsas” las
cuales exponen al sistema a la amenaza o al abuso por parte del especialista en
sistemas.

2º EQUIPO.

En general las “puertas falsas” en el equipo solo son relevantes en las instalaciones de alta
seguridad; ahí, hay que identificarlas y determinar la manera de asegurarlas. En muchos casos,
esto se logra por medio de barreras físicas.

Además que las necesidades especiales por parte de las instalaciones de alta seguridad,
existen otros riesgos generales en todas las plantas.

Por ejemplo, el interruptor que existe en ciertas unidades de cinta magnética, el cual permite
evadir la verificación de paridad. Estos interruptores se deben quitar o asegurar de manera
apropiada. Según el tipo de proveedor del equipo, pueden existir otras “puertas falsas”
similares que se deben cerrar.

Por último, existen ciertos malos manejos en la operación del equipo que crean el riesgo de
negligencia o accidente. Estos se deben definir e incluir en un manual práctico de operaciones
para el personal.

Donde sea posible, estas prácticas se deben vigilar en todo el equipo por medio de pruebas,
sorpresa u observación.

3ºLOS PROGRAMAS

El numero de “puertas falsas” en los programas es considerable, por no decir infinito. No se ha

diseñado todavía un sistema operativo completamente seguro. Un grupo de expertos de
estados unidos, en los laboratorios Lawrence Livermore, fue contratado por el departamento
de defensa para verificar e identificar las debilidades en los sistemas operativos. Este equipo
todavía un ha encontrado un sistema completamente seguro; sin embargo, un logro
importante de sus investigaciones es determinar que muy pocos, si acaso, de los sistemas
operativos, se diseñaron dentro del criterio d seguridad como un objeto primordial. Por lo
general, la seguridad se considera posteriormente y en consecuencia, las medidas que se
toman se tienen que imponer sobre una estructura ya existente. Esto reduce de manera
natural el nivel de efectividad de la seguridad.

“las puertas falsas” en los programas representan una amenaza sustancial y fundamental para
la seguridad del sistema. En la actuali8dad, gran parte de la programación es muy complicada y
solo muy pocas personas conocen todas las minucias de su diseño. En consecuencia, el
conocimiento que se requiere para someter abusos solo se encuentran en pocos empleados.
De manera simultánea con esta situación, se han desarrollado ciertas ayudas de programación
las cuales constituyen en si una amenaza para la seguridad. Un buen ejemplo de esto lo
encontramos en los programas de recuperación o interrogación, que puede proporcionar
información no autorizada sobre las estructuras de los programas o archivos o bien acceso a la
información privada de los archivos.

La seguridad de la programación pretende:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin la supervisión minuciosa y no
modificar los programas ni los archivos.
3. Asegurar que se estén utilizando los datos, archivos y programas correctos en el
procesamiento.

En términos generales, ha habido grandes avances en el mejoramiento de estas tres áreas.

Pero aun existen muchas “puertas falsas” y es importante identificar y definir a cada una de
ellas. Esta labor es larga, extensa, y solo se puede realizar por medio del personal que cuente
con el conocimiento de los sistemas de referencia. El método que se debe seguir consiste en:

1. Elaborar un inventario de las “puertas falsas” identificadas.

2. Elaborar un inventario de las “puertas falsas” que no se han identificado todavía,
pero que si se han mencionado.
3. Probar las “puertas falsas” existentes y potenciales para verificar su existencia.
4. Definir alguna forma de seguimiento o control para cada área de debilidad.
5. Elabora un plan de acción para realizar tales controles.

Es muy importante comprometer al personal clave de los proveedores correspondientes en

esta actividad, a fin de hacerla independiente.

El nivel general de conocimiento acerca de “puertas falsas” entre las instituciones proveedoras
es bajo y puede ser necesario contar con la asesoría independiente para esta evaluación. Por
razones obvias, la cantidad de publicaciones, tanto de proveedores como de otros, es
prácticamente nula en esta área.

4º REDES

Este término pretende describir los sistemas de comunicación y los programas de manejo
asociados a estos. Así como en la programación esta constituye un área muy complicada
donde solo un pequeño grupo de especialistas manejan los conocimientos correspondientes.
El mayor riesgo reside en el acceso no autorizado a las redes, con el propósito de obtener
información confidencial al hacer uso indebido de las instalaciones de procesamiento. Se han
dado casos de ambos tipos de abuso en esta área. El más conocido fue el de la empresa Pacific
telephone, donde un especialista de computo logro tener acceso a un manual de operación de
redes y, mediante el empleo de este y su propia terminal, uso los recursos de computo de la
compañía para cometer fraude contra esta para obtener parte de su inventario y así manejar
su propio negocio.

El aspecto del acceso a información confidencial merece especial atención en las instalaciones
de alta seguridad. Como en el caso de la línea de teléfono no es muy difícil rastrear una línea
de transmisión.

La única medida de seguridad realista consiste en usar un código o la criptografía, a fin de

preservar la confidencialidad de la información a un en el caso de que exista una brecha en la
seguridad. Hay buenos equipos para transcripciones criptográficas disponibles.

5º TERMINALES.

En la actualidad, muchas terminales equivalen por si solas a poderosas computadoras y utilizan

programas muy complicados. Por ello; al revisar la seguridad de las terminales, estas se deben
tratar como pequeñas computadoras. Así, los principios descritos anteriormente para la
verificación del equipo y de los programas se deben aplicar ahora.

El tema clave de la seguridad de la terminal es el uso indebido.

Aquí, se deben revisar los siguientes aspectos.

1. La ubicación de las terminales, el conocimiento general de ello y el acceso físico a

la terminal misma.
2. El control sobre la operación no autorizada de la terminal por medio de claves
físicas, códigos u otros métodos de identificación.
3. El equipo los programas y otras verificaciones que permitan garantizar que los
controles mencionados anteriormente se reforzaran.

Aunque recientemente los programas para la red y el computador principal para el control de
terminales han mejorado en forma notable, todavía no se conoce un sistema de seguridad de
terminales completamente eficaz. Así, resulta muy importante garantizar el máximo control en
las siguientes áreas:

 Verificaciones físicas e informes acerca del uso de la terminal.,

 Vigilancia e informes sobre los intentos de acceso no autorizados.
 Cambios sorpresa de los códigos del usuario.
 Pruebas sorpresa y secretas de auditoría, llevadas a cabo como parte del
procesamiento de datos.
 Pruebas sorpresa para las practicas de operación
 6º SEGUIMINETO DEL DESEMPEÑO.

Una parte esencial del sistema de seguridad es el análisis detallado del desempeño de los
sistemas. Existe el peligro de considerar los abusos más oscuros y complejos e ignorar
otros que son obvios, como trabajos o uso de tiempo no autorizados.

Un gran usuario de computadoras comenzó a experimentar fallas regulares e

intermitentes en el medidor de tiempo de su equipo. Por una razón u otra, no se pudo
rectificar. Después de cierto tiempo, la falla se acepto como inherente al equipo y no se
hizo ningún otro esfuerzo para arreglarla. Posteriormente, se descubrió que el gerente de
operaciones en complicidad con un empleado proveedor estaban confabulados con otra
persona y utilizaban el tiempo extra para mantener un negocio ilegal.

Algunos proveedores de equipos ofrecen programas completos de seguimiento, otros no.

También existen bastantes monitores de equipo y programación independiente, muchos a
bajo costo. Todos ellos facilitan los análisis de uso y la medición de efectividad y destaca
los procesamientos no planeados o autorizados.

Los controles que se deben incorporar como parte del sistema de control interno, son:

a) Comparaciones especificas sobre las labores planificadas y las realizadas en especial

sobre los archivos y los programas usados.
b) Programas para el seguimiento de los rechazos que realiza el sistema operativo de las
terminales y de los usuarios, sobre archivos o programas específicos.

7º RESUMEN

La seguridad de los sistemas constituye una parte muy técnica y compleja de la seguridad
en computación. Se requiere un enfoque metódico para identificar las “puertas falsas”,
definir controles discretos y garantizar que estos se llevan a cabo y se vigilan. Esta revisión
debe incluir el equipo y los programas del computador principal, de redes y de terminales.

El seguimiento del desempeño del computador central, las redes y las terminales es una
función administrativa y de seguridad importante. Se deben considerar cuidadosamente
los recursos disponibles de los programas existentes o sus modificaciones. Además se
requiere seguimiento e informes de todo intento de acceso indebido a los programas o
archivos