Unidad IV

L.I.A Beatriz Hernández Nicolás

Felipe Vilchis Marcial

29-4-2013

............................................................................................................................................................................................................7 Controles para prevenir crímenes y fraudes informáticos ........................8 Plan de contingencia............................................... 10 CONCLUSIÓN ..2 Seguridad lógica y confidencial.....................1 Generalidades de la seguridad del área física .............. 5 4........... 12 ......9 Técnicas y herramientas relacionadas con la seguridad física y del personal ..4 Clasificación de los controles de seguridad ...................................... 2 4............................................................................ procedimiento de recuperación de desastres ................. 12 BIBLIOGRAFÍA ......................................... 1 4...................................................................................... 0 UNIDAD III................................................................................................ 3 4..........................CONTENIDO INTRODUCCIÓN ..... EVALUACIÓN DE LA SEGURIDAD ....6 Controles para evaluar software de aplicación....5 Seguridad de los datos y software de aplicación ...... 6 4.................................... 7 4......... seguros.........................10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación ............ 9 4....................... 2 4........................3 Seguridad personal...................................................................... 1 4.................... 3 4.....

Así también el alumno conocerá como están formados los planes de contingencia y sus técnicas y herramientas de la seguridad en datos.INTRODUCCIÓN Hoy en día la tecnología ha evolucionado y no siempre para bien. hasta se verifica la evaluación de la seguridad física de la misma organización. Por lo que en esta investigación se da a conocer la forma en que se tiene que evaluar la seguridad. pues en grandes empresas se empieza a ver como se han intentado colapsar su seguridad e incluso extraer información de estas organizaciones. desde cómo se está llevando la seguridad lógica y si está bien aplicada. procedimientos necesarios para la seguridad física en un centro de cómputo y que pueda llevar a cabo la aplicación de estos conocimientos en la realidad. . conceptualice las políticas. Se pretende que el alumno conozca la importancia de salvaguardar la integridad de la información.

contar con los planes y políticas de contingencias para lograr una pronta recuperación  Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre Los motivos de los delitos por computadora normalmente son por:           Beneficio personal Beneficios para la organización Síndrome de Robín Hood (por beneficiar a otra persona) Jugando a jugar Fácil de desfalcar El individuo tiene problemas financieros La computadora no tiene sentimientos El departamento es deshonesto odio a la organización Equivocación de ego Mentalidad turbada Se consideran que hay cinco factores que han permitido el incremento de los crímenes por computadora     El aumento del número de personas que se encuentran estudiando computación El aumento del número de empleados que tienen acceso a los equipos La facilidad en los equipos de cómputo El incremento en la concentración del número de aplicaciones y. exactitud y confidencialidad de la información  Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles  Proteger la organización contra situaciones externas como desastres naturales y sabotajes  En caso de desastre. Página 1 de 15 .1 Generalidades de la seguridad del área física Durante mucho tiempo se consideró que los procedimientos de auditoría y seguridad era responsabilidad de la persona que elabora los sistemas. sin considerar que es responsabilidad del área de informática en cuanto a la utilización que se le da a la información y a la forma de accesarla.UNIDAD IV. de la información En la actualidad las compañías cuentan con grandes dispositivos para seguridad física de las computadoras. consecuentemente. y del departamento de auditoría interna en cuanto a la supervisión y diseño de los controles necesarios. y se tiene la idea que los sistemas no puedan ser violados si no se entra en el centro de cómputo. olvidando que se pueden usar terminales y sistemas de teleproceso. La seguridad del área de informática tiene como objetivos:  Proteger la integridad. EVALUACIÓN DE LA SEGURIDAD 4.

de uso específico. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas.4. Estos controles reducen el riesgo de caer en situaciones adversas. pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. o bien que se posea una minicomputadora. Un método eficaz para proteger los sistemas de computación el software de control de acceso. El sistema integral de seguridad debe comprender:  Elementos administrativos  Definición de una política de seguridad  Organización y división de responsabilidades 4. pero se debe evaluar que cuanto más complicados sean los dispositivos de seguridad más costosos resultan.2 Seguridad lógica y confidencial Se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora. o un sistema de red. e las redes y terminales. identifica individualmente a cada usuario y sus actividades en el sistema. Los sistemas de seguridad normalmente no se consideran la posibilidad de fraude cometida por los empleados en el desarrollo de sus funciones. Estos paquetes de control de acceso protegen contra el acceso no autorizado. por el software de desarrollo y por los programas en aplicación.3 Seguridad personal Uno de los punto más importantes a considerar para poder definir la seguridad de un sistema es el grado de actuación que puede tener un usuario dentro de un sistema. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:     Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o información Código oculto en un programa Entrada de virus El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseñas) hasta los sistemas más complicados. así como controlar el mal uso de su información. Para esto podemos definir los siguientes tipos de usuarios: Página 2 de 15 . y restringe el acceso a datos. ya que la información se encuentra en un archivo normal o en una base de datos. a los programas de uso general.

y puede realizar cualquier función  Administrador.Solo puede leer la información  Usuario de explotación. Es un punto que debe complementarse necesariamente con la implementación de controles para la seguridad lógica de los sistemas y computadoras. pero no da autorización para que otros usuarios entren  Usuario de consulta....  Controles para el software.Controles que aseguran la seguridad física y el correcto funcionamiento del hardware de cómputo...5 Seguridad de los datos y software de aplicación Ruta de acceso Página 3 de 15 . o de una simple PC a Internet la que nos da la pauta de que aún si usamos tarjetas electrónicas para acceder a nuestra oficina..  Controles para el hardware.Esta autorizado por el propietario para hacer modificaciones. Propietario.Identificación es el proceso de distinguir una persona de otra. Es esa tendencia de interconexión de redes con otras redes..Puede leer la información y usarla para explotación de la misma  Usuario de auditoría. hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas están virtualmente a la espera de que alguien intente utilizarlos.Programas diseñados para administrar los permisos de acceso a los recursos del sistema de información.Es el dueño de la información y responsable de ésta. lecturas y utilización de los datos.Solo puede actualizar o modificar el software con la debida autorización  Usuario principal. 4.  Los controles biométricos: o Huellas dactilares o Patrones de la retina o Geometría de la mano o Dinámica de la firma o Patrones de la voz  Programas de control de acceso. ha demostrado que la seguridad física no lo es todo. incluido el uso de Internet de forma casi corriente.4 Clasificación de los controles de seguridad El gran crecimiento de las redes. interconexiones y telecomunicaciones en general. 4. cambios..Puede usar la información y rastrearla dentro del sistema para fines de auditoría Se recomienda que solo exista un usuario propietario y que el administrador sea una persona designada por la gerencia de informática.Sirven para asegurar la seguridad y confiabilidad del software.. y autenticación es validar por algún medio que esa persona es quien dice ser. Los controles: Identificación y autenticación de usuarios..

La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de acceso no autorizados. otros pueden limitar el uso de terminales o restringir el acceso a base de datos. borrar. ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. actualizar. El software de control de acceso tiene las siguientes funciones:  Definición de usuarios  Definición de las funciones del usuario después de accesar el sistema El software de seguridad protege los recursos mediante la identificación de los usuarios autorizados con llaves de acceso. Software de control de acceso Este puede ser definido como el software diseñado para emitir el manejo de control y acceso a los siguientes recursos. librerías y archivo de datos. Algunos paquetes de seguridad pueden ser usados para restringir el acceso a programas.  Programas de librerías  Archivos de datos  Jobs  Programas de aplicación  Módulos de funciones  Utilerías  Diccionario de datos  Archivos  Programas  Comunicación Controla el acceso a la información.El acceso a la computadora no significa tener una entrada sin restricciones. Como se ha señalado. grabando e investigando los eventos realizados y el acceso a los recursos. Los tipos de restricciones de acceso son:  Sólo de lectura  Sólo de escritura  Lectura y consulta  Lectura y escritura. para crear. incluyendo los siguientes:  Proceso en espera de modificación por un programa de aplicación Página 4 de 15 . que son archivadas y guardadas por este software. un usuario puede pasar por uno o múltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Limitar el acceso sólo a los niveles apropiados puede proporcionar una mayor seguridad. por medio de identificación del usuario. Cada uno de los sistemas de información tiene una ruta de acceso. la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema.

Controles que incluye: o Los password e identificadores deberán ser confidenciales o El acceso al software de sistema operativo deberá ser restringido o Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema Software manejador de base de datos.    Acceso por los editores en línea Acceso por utilerías de software Acceso a archivos de las base de datos Acceso a terminales o estaciones no autorizadas Existen otros tipos de software de control de acceso como son los siguientes:  Sistemas operativos  Manejadores de base de datos  Software de consolas o terminales maestras  Software de librerías software de utilerías  Telecomunicaciones 4. mismas que deberán ser encriptados Deberán restringirse las modificaciones o cambios al software de control de acceso.6 Controles para evaluar software de aplicación Controles del software de seguridad general Aplican para todos los tipos de software y recursos relacionados y sirven para:     El control de acceso a programas y a la instalación Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados o Diseño y código de modificaciones o Coordinación de otros cambios o Asignación de responsabilidades o Revisión de estándares y aprobación o Requerimientos mínimos de prueba o Procedimientos del respaldo en el evento de interrupción Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software específico:  El acceso al sistema debe de ser restringido para individuos no autorizados  Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso  Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo específico de acceso de datos  Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas de seguridad. Controles que incluye: Página 5 de 15  . y éstos deberán ser realizados de acuerdo y a procedimientos no autorizados:  Software de sistemas operativos.

Controles que incluye: o Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados Software de librerías.  Números telefónicos de emergencia  Definir el tipo de pólizas de seguros  Definir elementos técnicos de procedimientos  Definir las necesidades de sistemas de seguridad para:  Hardware y software  Flujo de energía  Cableados locales y externos  Aplicación de los sistemas de seguridad incluyendo datos y archivos Página 6 de 15 . inundaciones. Controles que incluye: o Deberán restringirse el acceso a archivos de utilerías o Asegurar que únicamente personal autorizado tenga acceso a correr aplicaciones Software de telecomunicaciones. Sistema Integral de Seguridad  Definir elementos administrativos  Definir políticas de seguridad  A nivel departamental  A nivel institucional  Organizar y dividir las responsabilidades  Contemplar la seguridad física contra catástrofes (incendios. terremotos. Controles que incluye: o Controles de acceso a datos sensibles y recursos de la red o El acceso diario al sistema debe ser monitoreado y protegido o 4. Desarrollar un sistema de seguridad significa: "planear.)  Definir prácticas de seguridad para el personal:  Plan de emergencia ( plan de evacuación.7 Controles para prevenir crímenes y fraudes informáticos Como hablamos de realizar la evaluación de la seguridad es importante también conocer cómo desarrollar y ejecutar el implantar un sistema de seguridad. organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática. así como el resguardo de los activos de la empresa. uso de recursos de emergencia como extinguidores." Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. etc. Controles que incluye: o Tiene la facilidad de comparar dos versiones de programas en código fuente y reportar las diferencias o Deben limitarse el acceso a programas o datos almacenados por el software de librerías o Las versiones correctas de los programas de producción deben corresponder a los programas objetos Software de utilerías.    El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica o Deberá controlar el acceso al diccionario de datos o La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS Software de consolas o terminales maestras.

hardware. El plan de contingencia es definido como: la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución. protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre • • • Entre los objetivos del plan de contingencia se encuentran: Minimizar el impacto del desastre en la organización. procedimiento de recuperación de desastres Plan de contingencias El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organización de requerimientos para su recuperación ante desastres. y ambientales. con el apoyo y autorización respectivos a través de una buena metodología. Evaluar los procesos de la organización. Elaborar un plan para un programa de seguridad. Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:    Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.     Planificación de los papeles de los auditores internos y externos Planificación de programas de desastre y sus pruebas (simulación) Planificación de equipos de contingencia con carácter periódico Control de desechos de los nodos importantes del sistema: Política de destrucción de basura copias. Página 7 de 15 . recursos humanos. Establecer tareas para evaluar los procesos indispensables de la organización.8 Plan de contingencia. Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software. fotocopias. etc. La metodología tiene como finalidad conducir de la manera más efectiva un plan de recuperación ante una contingencia sufrida por la organización. seguros. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar:        El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la información que es confidencial Debe contemplar áreas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organización para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administración contra acusaciones por imprudencia 4.

retina. En este sistema se usa una combinación de números para permitir el acceso. sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas sísmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas. El riesgo que proviene de alguien de la organización es tan grande como el de cualquier otro visitante. por lo tanto. en especial durante los descansos y cambios de turno. la cual debe ser difícil de duplicar.  Registros de entrada. Debe considerarse el riesgo que representa el drenaje cuando el centro de cómputo se localiza en un sótano. Otro de los cuidados que se deben tener para evitar daños por agua es poseer aspersores contra incendio especiales que no sean de agua. detectores de agua o inundación. Se debe evaluar la mejor opción. si es el caso. Requiere de la tradicional llave de metal.  Puertas sensoriales. así como bombas de emergencia para resolver inundaciones inesperadas. Seguridad contara desastres provocada por agua Los centros de cómputo no deben colocarse en sótanos o en áreas de planta baja. Solamente el personal autorizado por medio de una llave de acceso o por la gerencia debe ingresar a dichas instalaciones. la persona a la que visita. la ubicación de las cañerías en un centro de cómputo es una decisión importante. En los centros de cómputo se pueden utilizar los siguientes recursos:  Puerta con cerradura. y que éstos incluyan a todo el personal de la organización. geometría de la mano o bien por la firma. Algunas causas de esto pueden ser la ruptura de cañerías o el bloqueo del drenaje. Son activadas por los propios individuos con alguna parte de su cuerpo. como puede ser la huella dactilar. así como cualquier otro ajeno a la instalación. su compañía. la razón para la visita. se debe identificar antes de entrar a ésta. Todos los visitantes deben firmar el registro de visitantes indicando su nombre. El sistema más común es el que usa una tarjeta de plástico magnética como llave de entrada. En caso de ser zona de inundaciones o con problemas de drenaje la mejor opción es colocar el centro de cómputo en áreas donde el riesgo de inundación no sea evidente. voz. Deben instalarse.  Puerta electrónica. Seguridad de autorización de acceso Es importante asegurarse que los controles de acceso sean estrictos durante todo el día. El personal de informática. dependiendo de la seguridad de acceso al centro de cómputo. así como considerar el nivel del manto freático.  Puerta de combinación. incluyendo la capacitación y la organización para restablecer los procesos críticos de la organización cuando ocurra una interrupción de las operaciones. Página 8 de 15 . cuando en la zona existen problemas de inundaciones o son sísmicas.• Determinar el costo del plan de recuperación.

Todos los visitantes deben ser acompañados por un empleado responsable Puertas dobles. Página 9 de 15 . cada una con las especificaciones necesarias. aptitudes. • Primas. Como ejemplo y en forma genérica. como unidades de disco duro). donde la segunda sólo se pueda abrir cuando la primera está cerrada. etc. Se tiene poco conocimiento de los riesgos que entraña la computación. El seguro debe cubrir todo el equipo y su instalación. • Riesgos excluidos • Exclusiones • Suma asegurada. o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente. psicológico. Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas. Éstas deben ser colocadas en puntos estratégicos para que se pueda monitorear el centro Escolta controladora para el acceso de visitantes. de manera que no se atraiga la atención hacia este dispositivo de alta seguridad Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo término. 4. Alarmas. debido a lo nuevo de la herramienta.    Videocámaras. Como ejemplo de lo anterior tenemos las pólizas de seguros contra desastres. aunque son de gran importancia. lo cual hace que se duplique el seguro. ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento. Las alarmas contra robo deben ser usadas hasta donde sea posible en forma discreta. • Indemnización en caso de siniestro. y otras que no se pueden mover. por lo común un seguro de equipo de cómputo considera lo siguiente: • Bienes que se pueden amparar. Todas las áreas deben estar protegidas contra robo o accesos físicos no autorizados. como computadoras personales. Sólo se permitirá la entrada al personal autorizado y competente Seleccionar al personal mediante la aplicación de exámenes integrales: médico. • Riesgos cubiertos.9 Técnicas y herramientas relacionadas con la seguridad física y del personal Protección a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores:    Sólo se debe permitir al personal autorizado que maneje los equipos de procesamiento. por lo que tal vez convenga tener dos o más pólizas por separado. cuotas y deducibles. ya que en ocasiones el riesgo no es claro para las compañías de seguros. a la poca experiencia existente sobre desastres y al rápido avance de la tecnología. por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características (existe equipo que puede ser transportado.

directas e individuales con el personal. de acuerdo con las normas de seguridad. o Control de secuencia. Objetivos de la auditoría del software de aplicación o Verificar la presencia de procedimientos y controles. Elaborar estadísticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repetición. Practicar con periodicidad exámenes médicos al personal Sostener pláticas informales. 4.10 Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación   Protección de los registros y de los archivos Formas en que se pueden perder los archivos: o Su presencia en un ambiente destructivo. o Dígito de control. o Archivo de discos: Una característica del archivo de discos es que el registro anterior es destruido. Acondicionar los locales. no produce una copia automáticamente una copia en duplicado. o Vaciado a otros medios: Esto puede ser vaciado a otros discos. o a papel de impresión.         Contratar personal que viva en zonas cercanas a la empresa. o Mal funcionamiento de la máquina. o Pruebas de consistencia y verosimilitud. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. o Control de distribución Página 10 de 15    . Para satisfacer:  La instalación del software  La operación y seguridad del software  La administración del software Detectar el grado de confiabilidad. Enterar al personal sobre dichas estadísticas y las medidas adoptadas. o Manejo indebido por parte del operador. o Totales de control. o Validación de datos. satisfacción y desempeño o Investigar si existen políticas con relación al software o Detectar si existen controles de seguridad o Verificar que sea software legalizado o Actualización del software de aplicación Tipos de controles.  Plan de preservación o Documentos fuente: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. o Control de distribución. Instalar carteles y propaganda mural referentes a la seguridad. Proponer otras actividades que se consideren necesarias. o Grado de confianza.

Página 11 de 15 .

gestiopolis. BIBLIOGRAFÍA  www. y los generales.com/Main/TacnicasYHerramientasRelacionadasConSegurid adDeDatosYSoftwareDeAplicacion. McGraw-Hill. Página 12 de 15 . que controles se realizan al evaluar la seguridad del software de aplicación.htm.  http://www. México.mitecnologico. así como la seguridad contra desastres y los seguros de los equipos en caso de un desastre natural. Se profundizo sobre cuál es la información que el auditor requiere para realizar este trabajo y con qué técnicas y herramientas la organización protege su información.com/administracion-estrategia/estrategia/seguridad-ycontroles-en-la-interconexion-de-redes. así también como lo que es auditor deben hacer en cada caso. José Antonio.  Echenique García. Auditoría en Informática.CONCLUSIÓN Al concluir esta investigación se comprendió cómo funciona la evaluación de la seguridad y los puntos que abarca este tema. Al igual se menciona como se realiza la seguridad del personal y que usuarios tiene más permisos que otros para manipular la información. 2003.