Professional Documents
Culture Documents
AUDITORA DE LA
SEGURIDAD LGICA
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Direccin ejecutiva
Tiene la responsabilidad global de la seguridad de la
informacin.
Comit de seguridad
Debe estar constituido por gerentes de diferentes niveles
Su tarea es la de discutir temas de seguridad y establecer las
prcticas de seguridad.
Propietarios de datos
Determinan los niveles de clasificacin de los datos en
cuanto a su criticidad y niveles de acceso
Son los responsables de dar el tipo de acceso a los datos
bajo su responsabilidad.
Propietarios de procesos
Son los responsables de la seguridad de los procesos bajo su
responsabilidad en lnea con la poltica de la organizacin
Desarrolladores de TI
Implementan la seguridad de la informacin
Especialistas de seguridad
Promueven y ayudan en el diseo, implementacin, gestin
y revisin de la poltica y procedimientos de seguridad
Usuarios
Seguir los procedimientos establecidos en la poltica de
seguridad
leer la poltica de seguridad
mantener en secreto la identificacin de usuario y la contrasea
informar de las sospechas de violacin de la seguridad
mantener una buena seguridad fsica
cerrar las puertas, llaves de acceso en lugar seguro, no revelar la clave de
acceso de cerraduras electrnicas, preguntar a personas desconocidas.
Auditores de SI
Dar un aseguramiento independiente a la gerencia de la
adecuacin y eficacia de los objetivos de seguridad de la
informacin.
entorno de prueba
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Crmenes informticos
utilizacin sistemas informticos para :
robo dinero/ bienes/software/informacin
manipulacin aplicaciones/datos
robo ordenador.
robo ideas/informacin confidencial.
Perjudiciales para:
reputacin
moral
existencia
de una organizacin.
Crmenes informticos
Amenazas
Prdidas financieras
directas -prdida fondos electrnicos indirectas -costos corregir exposicin al riesgo Repercusiones legales
Prdida credibilidad/competitividad
Chantaje/espionaje industrial
Divulgacin informacin confidencial/sensible/embarazosa
Sabotaje
Crmenes informticos
Causantes violaciones acceso lgico
Piratas informticos (Hackers)
Personal de SI
Usuarios finales
Ex-empleados
Crmenes informticos
Causantes violaciones acceso lgico
Terceros interesados o capacitados
Competencia
Potencias extranjeras
Crimen organizado
Piratas informticos contratados terceros (Crackers)
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
Terminales en lnea
Cdigo usuario y contrasea acceso
Software control acceso.
Redes de telecomunicaciones
Igual que terminales en lnea
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
10
Cambio peridico
Reglas sintaxis (formato)
+ cuatro caracteres
Combinacin caracteres alfabticos y numricos
No asociable con algo especial del usuario
No reutilizable
Desactivacin cdigos usuario sin actividad
Desconexin automtica
11
Software aplicaciones
prueba
produccin
Lneas telecomunicaciones
Bibliotecas
Biblioteca contraseas
Archivos temporales
Software base
12
Bibliotecas procedimientos
Directorio/diccionario datos.
13
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Tcnicas de auditora
14
Escneres
buscan secuencias bits
examinan memoria/sectores arranque/ficheros
Monitores activos
interceptan llamadas SO y BIOS buscando acciones virus
molestos (no pueden distinguir petic. usuario/programa/virus)
Chequeadores integridad
se calcula nmero binario (CRC) sobre programa libre virus
se almacena CRC en BD
se recalcula y compara cada vez que se invoca al programa
15
Tema 6. Contenido
Objetivos del tema
Elementos clave de la gestin de la seguridad
Crmenes informticos
Exposiciones de acceso lgico
Mtodos de acceso lgico
Controles de acceso lgico
Controles sobre virus
Auditora de la seguridad lgica
Auditora de la Gestin la
seguridad
Consiste en la revisin del marco de la gestin de la seguridad en
la organizacin
Auditora de la Gestin la
seguridad
Percepcin seguridad y entrenamiento
formales
La eficacia de la seguridad siempre depende del personal
Los empleados deben saber:
qu se espera de ellos
cuales son sus responsabilidades
razones medidas de seguridad
puertas cerradas
utilizacin cdigos de usuario
repercusiones violacin seguridad.
16
Auditora de la Gestin la
seguridad
Percepcin seguridad y entrenamiento
formales
El entrenamiento debe comenzar con un proceso de orientacin
de la seguridad
Incrementar la percepcin:
revistas internas
cumplimiento ostensible y coherente normas de seguridad
pequeos recordatorios en reuniones con el personal.
Programa a cargo administrador Seguridad.
Determinacin eficacia programa
entrevistar muestra empleados
Auditora de la Gestin la
seguridad
Propiedad de los datos
Responsabilidad seguridad datos debe estar distribuida
Posibilita establecer un sistema de asignacin de
responsabilidades.
TAs
Determinar asignacin correcta propiedad datos
Determinar percepcin responsabilidad
Auditora de la Gestin la
seguridad
Propiedad de los datos
Propietarios de datos
autorizar acceso
asegurarse actualizacin reglas acceso cuando cambios personal
inventario peridico reglas de acceso de sus datos
Custodios de datos
Responsables almacenar/salvaguardar los datos
Administrador de Seguridad
Usuarios de datos
Acceso: - autorizado por Propietarios datos
- controlado por Admon. Seguridad
Cumplir polticas / cuidado con personas no autorizadas en
reas de trabajo
17
Auditora de la Gestin la
seguridad
Autorizaciones documentadas
El acceso a los datos debe estar autorizados por escrito.
TA
Determinar correcto nivel autorizacin por escrito.
-solo propietarios datos pueden autorizar el acceso a los datos de su
propiedad-
18
19
20
21
Cambio peridico
Entrevistar muestra usuarios
22
TA
Quin puede tener acceso recursos
Qu puede hacerse con ese acceso.
Acceso por necesidad de saber.
23
24
25