Cuestionario de software en seguridad informtica 1.

que sitios web me brindan informacin sobre la seguridad (nivel de seguridad) de las pginas web. Explique y ejemplifique con pginas del estado y otras conocidas por Ud. 2. Que software de auditoria de sistemas e informtica existen explique y ejemplifique su uso. 3. Realizar una auditora al centro de cmputo entregando el informe final y conclusiones.

Divisin de las reas de administracin de la seguridad Para simplificar, es posible dividir las tareas de administracin de seguridad en tres grandes rublos. Estos son: Autenticacin: se refiere a establecer las entidades que puedan tener

acceso al universo de recursos de computo que cierto ambiente puede ofrecer. Autorizacin: es el hecho de que las entidades autorizadas a tener acceso

a los recursos de cmputo, tengan efectivamente acceso nicamente a las reas de trabajo sobre las cuales ellas deben tener dominio. Auditoria: se refiere a la continua vigilancia de los servicios en produccin.

Entra dentro de este rublo el mantener estadsticas de acceso, estadsticas de uso y polticas de acceso fsico a los recursos.

Seguridad total en computacin Se requiere un enfoque amplio que abarque cierto nmero de aspectos relacionados entre s de manera metdica. Hay dos grandes reas que se deben incorporar a tal enfoque: Aspectos administrativos Aspectos tcnicos

ASPECTOS ADMINISTRATIVOS Polticas de seguridad en un centro de computo Seguridad fsica y contra incendios Organizacin y divisin de las responsabilidades Seguros.

Polticas de seguridad en un centro de cmputo Es necesario que la institucin defina polticas de seguridad, en las cuales se deben tener en cuenta que: La Seguridad debe ser considerada desde la fase de diseo de un Sistema, como parte integral del mismo. Las polticas de seguridad deben ser definidas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol importante. Los encargados de soporte, aquellos que son responsables de gestionar la seguridad informtica en la organizacin, han de considerar las siguientes medidas: Distribuir las reglas de seguridad. Escribir en una lista las reglas bsicas de seguridad que los usuarios han de seguir, para mantener la seguridad y ponerlas en un lugar pblico destacado. Hacer circular regularmente avisos sobre la seguridad. Utilice ejemplos de daos y problemas procedentes de peridicos, revistas, para ilustrar la necesidad de la vigilancia por mantener la seguridad. Establecer incentivos para la seguridad. Establezca premios para las ideas que supongan trucos de seguridad y que apoyen las medidas de seguridad oficiales. Haga que los responsables ofrezcan recompensas sustanciosas a los ganadores. Establezca una lnea de comunicacin sobre seguridad. El personal debe conocer dnde puede obtener consejos sobre los temas de seguridad.

Seguridad fsica y contra incendios de los equipos La seguridad fsica y contra incendios es un aspecto de suma importancia es de suma importancia en un centro de computo. Las siguientes recomendaciones, prolongarn la vida de los equipos: Ubique el equipo en un rea donde no exista mucho movimiento de personal. No traslade la computadora sin la autorizacin y asesora del Centro de Cmputo. Instale la computadora sobre escritorios o muebles estables o especialmente diseados para ello. Ubique el equipo lejos de la luz del sol y de ventanas abiertas.

La energa elctrica debe ser regulada a 110 voltios y con polo a tierra. Asesrese debidamente para garantizar una buena toma elctrica No conecte otros aparatos (Radios, maquinas de escribir, calculadoras, etc. ) en la misma toma de la computadora. Cada usuario, al momento de terminar las labores diarias, deber apagar los equipos (Computadora, Impresoras, Escanners). Evite colocar encima o cerca de la computadora ganchos, clips, bebidas y comidas que se pueden caer accidentalmente dentro del equipo. No fume cerca del equipo, el alquitrn se adhiere a las piezas y circuitos internos del equipo. Mantenga libre de polvo las partes externas de la computadora y de las impresoras. Utilice un pao suave y seco. Jamas use agua y jabn. Mantenga la pantalla y el teclado cubiertos con fundas cuando no haga uso de ellos por un tiempo considerable o si planea el aseo o reparaciones de las reas aledaas a la computadora. Utilice en la impresora el ancho del papel adecuado. El contacto directo de la cabeza de impresin sobre el rodillo puede estropear ambas partes. (Usuarios con impresoras de matriz de punto) Esta prohibido destapar y tratar de arreglar los equipos por su cuenta. En todos los casos asesrese del Centro de Computo o del encargado de esta operacin. No preste los equipos o asegrese que la persona que lo utilizara conoce su correcta operacin

Organizacin y divisin de las responsabilidades La divisin de responsabilidades permite lograr la revisin y los balances sobre la calidad del trabajo. Cada persona que labora en la institucin debe de tener diferentes actividades dentro de ella, de manera que se puedan organizan para que puedan dividirse las responsabilidades. Por ejemplo, el personal que prepara los datos y los programadores no deben de tener acceso a las actividades de operacin. Es por eso que un centro de cmputo debe de contar con funciones clave, a continuacin mencionaremos las mas comunes que existen en l: Programacin Preparacin de datos Redes y comunicaciones Control Preservacin de archivos, etc.

El grado de divisin entre las diferentes funciones depende del nivel de seguridad que la instalacin necesite. En un centro de cmputo tambin es de suma importancia que se lleve un control interno de las operaciones que se efectan. Todas estas operaciones efectuadas en el centro de computo son verificadas por auditores tanto internos como externos, los cuales deben de revisar las divisin de responsabilidades y los procedimientos para verificar que todo este correcto . Seguros En un centro de cmputo existen reas de mayor riesgo que otras las cuales debe de ser aseguras, estas son: Lugar de la instalacin Equipos Software Personal que labora

ASPECTOS TECNICOS Los aspectos tcnicos a los cuales nos enfocaremos son: Seguridad de los sistemas Auditoria interna y externa

Seguridad en los sistemas La seguridad de los sistemas esta enfocada principalmente a la seguridad en los equipos de cmputo como: Software. La seguridad de la programacin pretende: Restringir el acceso a los programas y archivos.

Asegurar que los operadores puedan trabajar sin la supervisin minuciosa y no modificar los programas ni los archivos. Asegurar que se estn utilizando los datos, archivos y programas correctos en el procesamiento. Redes y comunicaciones. El mayor riesgo reside en el acceso no autorizado a las redes, con el propsito de obtener informacin confidencial o hacer uso indebido de las instalaciones de procesamiento. La nica medida de seguridad realista consiste en usar un cdigo o la criptografa, a fin de preservar la confidencialidad de la informacin aun en caso de que exista una brecha en la seguridad.

Terminales. al revisar la seguridad de las terminales, estas se deben de tratar como pequeas computadoras. Aqu se deben de revisar los siguientes aspectos:

La ubicacin de las terminales, el conocimiento general de ello y l acceso fsico a la terminal misma. El control sobre la operacin no autorizada de la terminal por medio de claves fsicas, cdigos u otros mtodos de identificacin. El equipo, los programas y otras verificaciones que permitan garantizar que los controles mencionados anteriormente se reforzaran.

 Seguimiento del desempeo. Algunos proveedores de equipo ofrecen programas completos de seguimiento de desempeo, otros no. Tambin existen bastantes monitores de equipos y programacin independiente muchos a bajo costo. Todos ellos facilitan los anlisis de uso y la medicin de efectividad y destacan los procesamientos no planeados o autorizados.

Funcin de los auditores tanto internos como externos.

Con frecuencia se experimenta sorpresa al descubrir que la funcin de auditoria es una parte del concepto de seguridad total. Hasta ahora se ha tratado de demostrar que cada elemento del concepto es importante tanto de manera aislada como al formar parte integral del mismo.

Funciones generales de la auditoria. Funciones y seguridad de la auditoria en computacin.

Funciones generales de la auditoria.

Auditores externos.

La responsabilidad del auditor externo se refiere de manera fundamental a estatus legales. El auditor no es responsable de la deteccin de fraudes.

Auditores internos.

El auditor interno no tiene responsabilidades legales. El alcance de sus actividades varia de una institucin a otra. Algunas veces, desempea

funciones de alto nivel que consiste en informar sobre la efectividad general de la institucin; en otras, su funcin principal es verificar los sistemas y procedimientos y encargarse de que se refuercen. De acuerdo con esta lnea la relacin informativa del auditor interno se ha elevado y en muchos casos, el ahora informa a un miembro de la mesa directiva o a un alto ejecutivo. De este modo, se ve como el auditor interno maneja un alcance muy amplio de responsabilidades diferentes al del auditor externo.

Funciones y seguridad de la auditoria en computacin.

A continuacin se muestra que tanto los auditores internos como externos constituyen una forma independiente e importante de verificacin de la eficiencia y, por lo tanto la seguridad de las actividades computacionales. La seguridad se puede mejorar mediante la consideracin de los procedimientos vigentes para la prevencin de las fallas en seguridad, su deteccin y los procedimientos de recuperacin en caso de desastres.

Se puede decir entonces que las funciones y seguridad de la auditoria en computacin son:

El alcance de la auditoria interna en la seguridad computacional. Una relacin clara entre los auditores internos y externos. El papel de la auditoria interna en la sociedad. El papel de la auditoria interna en los sistemas de operacin. La instruccin y capacitacin para la auditoria interna efectiva.

ESTNDARES Y PROCEDIMIENTOS

Los estndares establecen qu debera ser realizado, y los procedimientos establecen cmo debera ser realizados. Los estndares y procedimientos inculcan disciplina. Los beneficios que se presentan en la aplicacin de estndares y procedimientos en el centro de cmputo: Control de actividades de procesamiento. Control de calidad de procesamiento. Control de tiempo, costos y recursos. Mejoras de la moral del personal. Tipos de estndares y procedimientos Los estndares y procedimientos han sido definidos como dos tipos de estndares los cuales son: Estndares de mtodos. Se utilizan como guas, los estndares son utilizados para establecer practicas uniformes y tcnicas comunes.

Estndares de desempeo. Son utilizadas como normas, los estndares son utilizados para medir el desempeo de la funcin del procesamiento de datos.

OTRA CLASIFICACIN Estndares de compra: Se establecern todas las reglas para la realizacin de toas las compras dentro de un centro de cmputo.

Estndares de productividad: Se establecern procedimientos para medir y obtener la mayor productividad posible.

Estndares de comunicacin: Se establecern formas para que los directivos puedan visualizar el potencial real del centro de cmputo y no pidan imposibles.

Estndares de trabajo: Se establecern las reglas para el trabajo dentro del centro de cmputo.

Estndares de programacin: Menciona los estndares a seguir en la programacin y la operacin de sistemas, para aumentar la seguridad de estos. Como en el caso de la documentacin de sistemas y programacin las instrucciones de operacin de la aplicacin se deben copiar y ubicar en algn lugar distante.

PLANES Y SIMULACROS PARA LA RECUPERACIN EN CASO DE DESASTRE Tipos de desastres Destruccin total o parcial de los recursos de procesamiento de datos.

Destruccin o mal funcionamiento de los recursos ambientales destinados al procesamiento de datos. Destruccin total o parcial de los recursos no destinados al procesamiento de datos Destruccin total o parcial de los procedimientos manuales del usuario. Prdida del personal clave Huelgas.

Alcance de la planeacin contra los desastres La planeacin contra desastres debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Para las operativas existen ciertas reas que necesitan proteccin en caso de desastre o algunos recursos que deben estar disponibles para la recuperacin: v v v v v Documentacin de los sistemas, programacin y operaciones. Recursos de procesamiento que incluyen: Todo tipo de equipo. Ambiente para el equipo. Datos y archivos. Programas. Papelera.

Simulacin de los desastres Es necesario llevar a cabo simulaciones de desastres ya que, aunque existen compaas que tienen planes de prevencin contra desastres, estos no son puestos en marcha hasta el momento en que ocurre el desastre. Algunas de las siguientes razones son importantes por las cuales realizar un simulacro: Se prueba la preparacin del personal para enfrentar el desastre. Se identifican las omisiones en los planes contra desastres

El factor sorpresa del simulacro es una buena forma de verificar que existan buenas prcticas de seguridad.

Los simulacros de desastres necesitan de la experiencia y se deben realizar en momentos convenientes. Posteriormente cuando existe mayor experiencia en simulacros dentro del centro de cmputo, estos se deben realizar en un momento no conveniente con el fin de probar la eficiencia de los procedimientos de recuperacin.

Cuando se lleva a cabo un simulacro lo que debe pasar es:

El trabajo cesar en forma temporal, para tomar nota de el avance del procedimiento Se completa un inventario de cualquier informacin que fue destruida por el desastre.

CONCLUSIN

e puede afirmar que el centro de cmputo reclama que los mecanismos administrativos de la organizacin estn claramente establecidos, a fin de S tener seguridad para sus datos y equipo dedicado al procesamiento de estos datos, y poder seguir estndares y procedimientos, y cuando se de el caso poder salir avante recuperando todo lo posible en caso de un desastre. An as, si estos mecanismos no estuvieran claramente definidos, el centro de cmputo debe estar preparado para colaborar a fin de establecerlos. En otras palabras, el centro de cmputo debe predicar la buena administracin.
4.