Vulnerabilidades de Software

Caso

La universidad privada Superior del Bajío es una de las de más alto prestigio a nivel estatal por sus excelentes planes de estudio. El nuevo jefe de personal se ha dado a la tarea de analizar los procesos llevados a cabo en el departamento, pues últimamente han existido problemas y detalles que han puesto en riesgo la seguridad de la información que manejan, como la falta de congruencia e integridad en la bases de datos, pérdida de expedientes, repetición de información, infecciones por virus, etc.

Una de las estrategias que van a implementarse para verificar la eficiencia y eficacia de los procesos será la auditoría, para lo cual, se pretende analizar la situación del departamento e identificar sus vulnerabilidades en la seguridad informática. A continuación se da a conocer la información recolectada sobre los procesos y actividades que se llevan a cabo dentro del departamento:

• El departamento cuenta con un sistema de información que tiene varios módulos que apoyan a cada una de las áreas: nómina, contratos, entrevistas, etc.
• Todo el personal del departamento tiene acceso a todos los módulos, es decir, el área de contratos puede manejar, si lo desea, el módulo de nóminas.
• El acceso al sistema se realiza mediante una única cuenta y contraseña que todo el personal conoce.
• Se realizan respaldos de información cada semestre, aun cuando cada mes cambia el personal de la universidad.
• Cada uno de los equipos de cómputo cuenta con un antivirus que es actualizado de forma irregular.
• Cada computadora tiene cuenta de usuario, la cual es igual al nombre del usuario, pero con mayúsculas.
• Las contraseñas para acceder a la computadora están generadas con ciertas características, por ejemplo: si es del doctor la contraseña comienza con DR y si es de la secretaria comienza con SC y luego le sigue un número que corresponde a un consecutivo que se generó con todas las personas del quinto piso, como resultado se tienen contraseñas como DR01, DR02, SC01, etc.
• Las credenciales de acceso son conocidas por todos.
• Todas las computadoras tienen acceso a internet sin ningún tipo de restricción, por lo que el personal puede utilizar el correo para fines personales, descargar archivos, música, películas, etc.
• Varios equipos de cómputo se han dañado muchas veces por goteras en el edificio, interrupciones súbitas de energía o calentamiento de los mismos.

Desarrollo

Vulnerabilidades relacionadas con la seguridad física:

Las goteras, interrupciones de energía eléctrica y el calentamiento de los equipos.

Vulnerabilidades relacionadas con la navegación a internet:

No existe restricción, el personal usa el correo para fines personales, descarga archivos, música, películas, entre otras cosas.

Vulnerabilidades relacionadas con las copias de seguridad y actualización de software:

La información cada semestre se respalda, el antivirus no se actualiza de manera regular

Vulnerabilidades relacionadas con el acceso a los datos, contraseñas, permisos y privilegios:

Los accesos y áreas no están bien delimitados, todos pueden acceder a la información de todos, se accede con un mismo usuario y contraseña al sistema que todos conocen, aunado a que la contraseña es la misma que el usuario y este se muestra al iniciar sesión, las contraseñas de los doctores y personal son fáciles de adivinar y van en orden consecutivo.

Conclusión.

Hoy en día es importante identificar las deficiencias en la seguridad informática de una oficina y darle solución lo antes posible, ya que la información digital vale mucho mas que 15 años atrás, hoy en día casi todo se maneja por medio de internet, envió de correos, consulta de archivos en la nube, banca en línea y no solo las computadoras están presentes, también las tabletas y smartphones corren riesgo si no tomamos medidas para prevenir un robo de información.

En el caso anterior pudimos observar que la universidad tiene severas vulnerabilidades en cuanto a su infraestructura tecnológica. En cuanto a seguridad física se mejorará tapando las goteras, las interrupciones eléctricas se eliminaran conectando adecuadamente los equipos, debemos cuidar de no sobrecargar un enchufe para que a lo largo del día se apague, así también es conveniente revisar la instalación eléctrica, para el sobrecalentamiento de equipos será necesario darles espacio y revisar si sus ventiladores, disipadores y pasta térmica están en buen estado. Para la navegación por internet será necesario implementar un firewall y restringir el acceso a paginas para bajar música e identificar las otras paginas que accede el personal para irlas bloqueando conforme aparezcan. Para las copias de seguridad y actualizaciones de software será necesario realizarlas cada mes, realizando un respaldo local y otro en la nube por si llegase a fallar nuestro disco duro, para el caso del software antivirus y el sistema operativo actualizarlo constantemente, pero también ver la hora propicia para poder hacerlo y no interferir en las actividades de los empleados. Respecto a los datos contraseñas y accesos será necesario implementar un usuario con contraseña diferente, así como delimitar los permisos entre las áreas para que estos no puedan acceder a la información de las otras áreas.

...