Acceso no autorizado a equipos de cómputo y de telecomunicaciones
Es habitual observar en los entornos corporativos cómo los usuarios se levantan de su puesto de trabajo por cualquier circunstancia, dejando la sesión abierta. Esta manera de actuar puede representar un grave riesgo de seguridad, tanto para las empresas como para los propios usuarios.
De acuerdo a la consultora, un número significativo de accesos no autorizados ocurren cuando alguien se sienta ante la sesión abierta del ordenador de otro usuario.
Los PCS desatendidos facilitan -entre otras acciones- el acceso a datos sensibles y el envío de correos falsos.
Riesgos para las empresas:
Ø Acceso no autorizado a datos personales (por ejemplo, información salarial).
Ø Acceso no autorizado a información corporativa, en la que pueden introducirse cambios (para encubrir fraudes, incrementar comisiones, etc.).
Ø Evitar o saltar determinados procesos de aprobación (como permitir órdenes de compra)
Riesgos para los usuarios:
Ø Lectura no autorizada del correo personal.
Ø Envío de correos bajo el nombre de otro usuario, lo que puede causar graves daños profesionales.
Ø Uso del ordenador de forma no autorizada para la realización de daños o ataques a otros sistemas de la red.
El usuario suministrará la documentación requerida por el personal de Informática y Telecomunicaciones en caso de llevarse a cabo una auditoria o verificación de licencias.
Telecomunicaciones dirigirá y actualizará todas las licencias multiusuario a nivel de recinto. Estas licencias se distribuirán de acuerdo a las necesidades de las oficinas, dependencias y laboratorios. Los directores de departamentos y oficinas serán notificados por escrito de las licencias instaladas para el uso de sus oficinas y laboratorios de computadoras.
De acuerdo a lo anterior se mencionan los siguientes puntos:
a) Que el fraude afecta a los estados, los operadores y potencialmente a cualquier usuario de los sistemas de telecomunicaciones, impactando negativamente en la imagen del sector.
b) Que en el nuevo entorno de convergencia de redes se espera la aparición de nuevas modalidades de fraudes en telecomunicaciones
que es necesario estudiarlas y emitir políticas para minimizar sus
efectos..
c) Que los defraudadores día a día son más creativos en la forma de obtener beneficios de las redes de telecomunicaciones para realizar otros tipos de fraudes.
d) Que la temática de Control de fraude requiere estudiar y recomendar las mejores prácticas.
e) Que los operadores en el área de telecomunicaciones para ser más competitivos, deben proyectar su infraestructura hacia redes de convergencia y al mismo tiempo, mejorar sus sistemas de Control de Fraude, dando a este tema la debida importancia y tratándolo con las herramientas tecnológicas, administrativas y judiciales que cada país requiera en la transición hacia redes de nueva generación.
f) Que el robo de terminales móviles es un aspecto que afecta a los diferentes estados miembros, ya sea a través de pérdidas de vidas humanas, o de pérdidas de negocio o facilitación para comisión de otros tipos de delitos.
g) Que la seguridad de las redes es muy importante para evitar eventuales prestaciones ilegales, no autorizadas o que permiten disfrazar otras actividades que van en contra de la legalidad y por ende causan perjuicios a nuestros estados.
Robo de equipo
El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye la información, los equipos, el software, los medios de almacenamiento y los productos.
Los activos de información y los equipos informáticos son recursos importantes y vitales de nuestra Compañía. Por tal razón tienen el deber de preservarlos, utilizarlos y mejorarlos.
Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos.
A continuación se mencionan algunos artículos de política de seguridad física:
Artículo 5. Robo de Equipo
5.1 La IES deberá definir procedimientos para inventario físico, firmas de resguardo para préstamos y usos dedicados de equipos de tecnología de información.
5.2 El resguardo de los equipos de comunicaciones deberá quedar bajo el área o persona que los usa, permitiendo conocer siempre la ubicación física de los equipos.
5.3 El centro de operaciones, así como las áreas que cuenten con equipos de misión crítica deberán contar con vigilancia y/o algún tipo de sistema que ayude a recabar evidencia de accesos físicos a las instalaciones.
Artículo 6. Protección Física
6.1 Las puertas de acceso a las salas de cómputo deben ser preferentemente de vidrio transparente, para favorecer el control del uso de los recursos de cómputo.
6.2 El centro de telecomunicaciones de la IES debe:
· Recibir limpieza al menos una vez por semana, que permita mantenerse libre de polvo.
· Ser un área restringida.
· Estar libre de contactos e instalaciones eléctricas en mal estado
· Contar por lo menos con un extinguidor de incendio adecuado y cercano al centro de telecomunicaciones.
6.3 El centro de telecomunicaciones deberá seguir los estándares vigentes para una protección adecuada de los equipos de telecomunicaciones y servidores (Anexo 2).
6.4 Los sistemas de tierra física, sistemas de protección e instalaciones eléctricas del centro de telecomunicaciones deberán recibir mantenimiento anual con el fin de determinar la efectividad del sistema.
6.5 Cada vez que se requiera conectar equipo de cómputo, se deberá comprobar la carga de las tomas de corriente.
6.6 Contar con algún esquema que asegure la continuidad del servicio.
6.7 Se deberá tener fácil acceso a los procedimientos de contingencias.
6.8 Se deberá contar con un botiquín de primeros auxilios.
6.9 Se deberán contar con rutas de evacuación y sus señalamientos correspondientes.
6.10 Se programarán simulacros de evacuación en casos de contingencia
Debilidades o insuficiencia de la normatividad
El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales. Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos.
En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fáciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.
El estudio de los distintos métodos de destrucción y/o violación del hardware y el software es necesario en orden a determinar cuál será la dirección que deberá seguir la protección jurídica de los sistemas informáticos, ya que sólo conociendo el mecanismo de estos métodos es posible encontrar las similitudes y diferencias que existen entre ellos. De este modo se pueden conocer los problemas que es necesario soslayar para conseguir una protección jurídica eficaz sin caer en el casuismo.
En consecuencia, la legislación cae en una debilidad en la protección de los sistemas informáticos, ha de perseguir acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación sólo en aquellos aspectos en los que, en base a las peculiaridades del objeto de protección, sea imprescindible.
Ley Federal de Telecomunicaciones
Esta tiene por objeto regular el uso, aprovechamiento y explotación del espectro radioeléctrico, de las redes de telecomunicaciones, y de la comunicación vía satélite.
¿Cómo lo hacen?
Hackers
"Son individuos, jóvenes, que aprovechando los defectos de seguridad y la vulnerabilidad de las redes informáticas, fundamentalmente de Internet, acceden sin autorización y de forma ilícita a un sistema informático desde un ordenador remoto, bien con el solo objetivo de conseguir tal acceso. Los hackers se sirven de una amplia gama de artimañas para conseguir entrar en un sistema. Pueden acudir:
"Ingeniería social", que consiste en ganarse la confianza de alguna persona que, por trabajar en el entorno del sistema, posee la información necesaria para abrir la puerta de entrada al mismo. La "ingeniería social" es todo un arte y el "ingeniero" ha de ser cuidadoso para no caer o, de lo contrario podría convertirse en un "sospechoso habitual", ante cualquier anomalía o incursión que fuera detectada en adelante en ese sistema.
Los Caballos de Troya, programas que se introducen en el ordenador y, engañando al usuario (que puede ser incluso el administrador del sistema) consiguen determinados datos de gran utilidad para el hacker. Un Caballo de Troya típico, es aquel que emula el proceso de entrada a un sistema. Consiste en un programa que presenta la típica pantalla de login (usuario) y password (contraseña) para entrar en el sistema. El usuario no nota diferencia alguna y, escribe, uno detrás de otro, pero estos irán a parar a un fichero del que serán "recolectados" más tarde por el hacker. Como realmente no se ha entrado en el sistema, el Caballo de Troya simulará un mensaje de "password incorrecto" excusa bajo la cual, esta vez si invocará la verdadera rutina de entrada al sistema. El usuario (víctima) pensará que no escribió correctamente.
En Internet, se puede encontrar una amplia variedad de herramientas para monitorear y analizar redes, las que actúan revisando los paquetes de información electrónica que transitan por una determinada red. Como generalmente dichos paquetes de una red no están encriptados, bastará que el Hacker revise dicha información, especialmente entre las 8 y 9 A.M., (hora en que son encendidos las computadoras por los usuarios), para conocer sus nombres y contraseñas
No hay comentarios:
Publicar un comentario