Professional Documents
Culture Documents
TEMAS:
ELABORADO POR:
1
MATEHUALA S. L. P A 26 DE MARZO DE
2010
TEMA PAGINA
3
4.1 GENERALIDADES DE SEGURIDAD AREA FISICA
7
4.2 SEGURIDAD LOGICA Y CONFIDENCIAL
12
4.3 SEGURIDAD PERSONAL
12
4.4 CLASIFICACION CONTROLES DE SEGURIDAD
13
4.5 SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
18
4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACION
20
4.7 CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES
INFORMATICOS
22
4.8 PLAN DE CONTINGENCIA SEGUROS PROCEDIMIENTOS DE
RECUPERACION DE DESASTRES
23
4.9 TECNICAS HERRAMIENTAS RELACIONADAS CON
SEGURIDAD FISICA Y DEL PERSONAL
25
4.10 TECNICAS Y HERRAMIENTAS RELACIONADAS CON
SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
27
UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA
TELEINFORMÁTICA
27
5.1 GENERALIDADES SEGURIDAD ÁREA TELEINFORMÁTICA
28
5.2 OBJETIVOS CRITERIOS DE AUDITORIA AREA
TELEINFORMÁTICA
29
5.3 SÍNTOMAS DE RIESGO TELEINFORMÁTICA
5.4 TECNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS 30
CON SEGURIDAD TELEINFORMÁTICA
BIBLIOGRAFIA 31
2
INDICE
UNIDAD 4 EVALUACIÓN DE LA
SEGURIDAD
Es muy importante ser consciente que por más que nuestra empresa sea la más
segura desde el punto de vista de ataques externos, Hackers, virus, etc.
(conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto
como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar
una cinta de la sala, que intentar acceder vía lógica a la misma.
TIPOS DE DESASTRES
No será la primera vez que se mencione en este trabajo, que cada sistema es
único y por lo tanto la política de seguridad a implementar no será única. Este
concepto vale, también, para el edificio en el que nos encontramos. Es por ello
que siempre se recomendarán pautas de aplicación general y no procedimientos
específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre
3
Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en
Los Angeles, EE.UU.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico en que se encuentra ubicado el
centro.
No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener
la máxima seguridad en un sistema informático, además de que la solución sería
extremadamente cara.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta
con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en
cualquier entorno.
Incendios
Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por
acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
4
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas
para contener el agua que bajase por las escaleras.
Condiciones Climatológicas
Señales de Radar
Los resultados de las investigaciones más recientes son que las señales muy
fuertes de radar pueden inferir en el procesamiento electrónico de la información,
pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algún momento, estuviera apuntando
directamente hacia dicha ventana.
Instalaciones Eléctricas
Ergometría
Acciones Hostiles
Robo
5
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son
fácilmente copiados sin dejar ningún rastro
FRAUDE
SABOTAJE
Físicamente, los imanes son las herramientas a las que se recurre, ya que con
una ligera pasada la información desaparece, aunque las cintas estén
almacenadas en el interior de su funda de protección. Una habitación llena de
cintas puede ser destruida en pocos minutos y los centros de procesamiento de
datos pueden ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas
pueden ser cortadas, etc.
CONTROL DE ACCESOS
Utilización de Guardias
6
El detector de metales es un elemento sumamente práctico para la revisión de
personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
Mientras es posible para un falsificador producir una buena copia visual o facsímil,
es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la
firma genuina con exactitud.
La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o
de escribir.
7
SEGURIDAD LÓGICA Y CONFIDENCIAL
Entrada de virus
8
Elementos administrativos.
Seguridad lógica
Tipos de usuarios:
9
La confidencialidad: Es responsabilidad de los individuos autorizados para
consultar o para bajar archivos importantes para microcomputadoras.
Rutas de acceso.
Claves de acceso.
Encriptamiento.
Rutas de acceso
Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema.
Sólo lectura
Sólo consulta
Lectura y consulta
El esquema de las rutas de acceso sirve para identificar todos los puntos de
control que pueden ser usados para proteger los datos en el sistema. El autor
debe conocer las rutas de acceso para el evaluación de los puntos de control
apropiados.
Claves de acceso
10
Un área importante en la seguridad lógica de las claves de acceso de los usuarios.
Existen diferentes métodos de identificación para el usuario:
Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas
para controlar al acceso a la computadora, a sus recursos, así como definir nivel
de acceso o funciones específicas.
El sistema debe verificar primero que el usuario tenga una llave de acceso
válida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
Algo especifico del usuario. Es un método para identificación del usuario, que es
implantado con tecnología biométrica (características propias).
La retina
La geometría de la mano.
La firma.
La voz.
11
4.3 SEGURIDAD PERSONAL
Por muy insignificantes que a veces nos parezcan, estos datos hablan de
nosotros o bien de otras personas.
Hay empresas que están llegando a pagar 500.000 Pts. por cada perfil de
usuario de Internet de un determinado tipo que le suministren.
Los controles generales son aquellos que controlan el diseño, seguridad y uso
de los programas de cómputo. Esto incluye la seguridad de los archivos de datos
de toda la institución.
12
Los controles generales son para todas las aplicaciones computarizadas y
consisten en una combinación de software de sistemas y procedimientos
manuales. Estos controles aseguran la operación eficaz de los procedimientos
programados. Se usan en todas las áreas de aplicación.
13
Las actividades que se realizan para el análisis, diseño, desarrollo e
implementación de sistemas de cualquier empresa son únicas y por lo
tanto, no tienen parecido alguno con otras actividades.
Puntos básicos
Puntos básicos
Tipos de controles.
Control de distribución.
Validación de datos.
Totales de control.
Control de secuencia.
Dígito de control.
CONSIDERACIONES DE AUDITORÍA:
Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos.
14
PLAN DE PRESERVACIÓN
DE LA INFORMACIÓN
VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel
de impresión.
Para satisfacer:
15
Actualización del software de aplicación.
ORGANIZACIÓN
Adquisición o instalación.
Soporte a usuarios.
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
Justificación
16
En algunas ocasiones se adquiere software pero su compra no estaba planeada,
entonces se debe formular una justificación del porqué de esta adquisición.
Software legal
ENTRADA Y SALIDA
DEL SOFTWARE
17
Aprobado por el responsable de informática.
18
Los Procedimientos Específicos Informáticos. Igualmente, se revisara su
existencia en las áreas fundamentales. Así, Explotación no debería explotar una
Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo
modo, deberá comprobarse que los Procedimientos Específicos no se opongan a
los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá
verificarse que no existe contradicción alguna con la Normativa y los
Procedimientos Generales de la propia empresa, a los que la Informática debe
estar sometida.
Para satisfacer:
19
EVALUACIÓN DEL SOFTWARE
ORGANIZACIÓN
Adquisición o instalación.
Soporte a usuarios.
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
Justificación
Software legal
FRAUDE: Fraude puede ser definido como engaño, acción contraria a la verdad o
a la rectitud. La definición de Delito puede ser más compleja.
La ejecución u omisión del acto debe estar sancionada por una pena.
DETECCIÓN DE DELITOS
21
Determinar si se considera la situación un delito realmente;
Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y que permitieron el delito;
Informar a la autoridad correspondiente dentro de la organización;
Informar a autoridades regulatorias cuando es un requerimiento legal.
22
Red eléctrica.
Red de datos.
Problemas con el servidor.
Estaciones y periféricos.
Servicio de Internet.
PLAN DE RECUPERACIÓN
23
4.9 TECNICAS HERRAMIENTAS RELACIONADAS
CON SEGURIDAD FISICA Y DEL PERSONAL
SEGURIDAD FÍSICA
SEGURIDAD EN EL PERSONAL
24
Planes de contingencia
Tipos de controles.
25
Totales de control: Un sistema de validación consiste en sumar por medio
de la computadora el contenido de un determinado campo de cada uno de
los artículos de un archivo.
26
Unidad 5 Auditoria de la seguridad en
la teleinformá tica
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.
También, mencionamos las redes de área local ya que son muy importantes en lo
que a la teleinformática respecta. Se hizo hincapié en la red Internet y su protocolo
TCP/IP, y en los conceptos básicos sobre Programas de Comunicación y Gestión
de Red.
27
Analizamos los servicios de valor añadido como el Videotex, Ibercom o La
Telefonía Móvil. Además, establecimos los últimos desarrollos y las tendencias de
la teleinformática, desde las redes digitales hasta el proceso distribuido.
La primera comunicación que existió entre los hombres fue a base de signos o
gestos que expresaban intuitivamente determinadas manifestaciones con sentido
propio. Estos gestos iban acompañados de sonidos.
La primera técnica utilizada surgió con la aparición del telégrafo y el código morse
que permitieron comunicaciones a través de cables a unas distancias
considerables. Posteriormente se desarrolló la técnica que dio origen al teléfono
para la comunicación directa de la voz a larga distancia. Más tarde la radio y la
transmisión de imágenes a través de la televisión habilitaron un gran número de
técnicas y métodos que luego fueron muy importantes a lo que respecta a la
comunicación.
28
La auditoría interna se ve compelida a velar entre otras cosas por la aplicación y
buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso.
Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa
sino además por su capacidad competitiva. Cuidar de esto último significa difundir,
apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso del
benchmarking puede verificar y promover las mejores prácticas para el
mantenimiento de la más alta competitividad. Ser competitivo es continuar en la
lucha por la subsistencia o continuidad de la empresa.
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto
de que en algunas entidades se creó inicialmente la función de auditoría
informática para revisar la seguridad, aunque después se hayan ido ampliando los
objetivos.
29
las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y
copia, y quedando las pistas necesarias para el control y la auditoría. Uso de
contraseñas, cifrado de las mismas, situaciones de bloqueo.
• Protección de datos. Origen del dato, proceso, salida de los datos.
• Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de
cifrado, protecciones ante virus. Tipos de transacciones. Protección de
conversaciones de voz en caso necesario, protección de transmisiones por fax
para contenidos clasificados. Internet e Intranet, correo electrónico, control sobre
páginas web, así como el comercio electrónico.
• El entorno de producción. Cumplimiento de contratos, outsourcing.
• El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles
en los productos desarrollados y que éstos resulten auditables. Con el uso de
licencias (de los programas utilizados).
• La continuidad de las operaciones. Planes de contingencia o de Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace
comunes: comunicaciones con control de accesos, cifrado con comunicaciones,
etc.
Evaluación de riesgos
30
Introducción General a la Seguridad en Redes
• Definiciones
• Generalidades
• Intrusos
• Amenazas
• Ataques
Planeacion de la Seguridad
BIBLIOGRAFIA
http://www.mailxmail.com/curso-administracion-centro-computo/metodos-tipos-control
http://www.google.com.mx/search?
q=Seguridad+de+Datos+y+Software+de+Aplicacion+&hl=es&source=hp&aq=f&aqi=&aq
l=&oq=
http://www.buenastareas.com/temas/controles-para-evaluar-software-de-aplicaci
%C3%B3n/40
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
31