ESCUELA DE CIENCIAS BSICAS TECNOLOGAS E INGENIERA

PROGRAMA: INGENIERIA DE SISTEMAS

CEAD: JOSE ACEVEDO Y GOMEZ
CURSO: AUDITORIA DE SISTEMAS

TRABAJO COLABORATIVO
ADITORIA INFORMTICA

ESTUDIANTE:
LIBARDO BARBOSA VARGAS COD. 91018483

TUTOR: CARMEN EMILIA RUBIO

GRUPO: 90168_29

UNAD; UNIVERSIDAD ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BSICAS TECNOLOGA E INGENIERA
19 DE AGOSTO DEL 2015

AUDITORIA INFORMATICA

Amenazas
Vulnerabilidades

Riesgos

GESTION DE RIESGOS EN INFORMATICA

En los sistemas informticos se presentan:

Vulnerabilida
des

Amenazas

Riesgos

Que Atentan contra

La INTEGRIDAD
La CONFIDENCIALIDAD
La DISPONIBILIDAD

GESTION DE RIESGOS

Debilidades

QUE ES UNA
VULNERABILI
DAD?

Fallas

Presentes en los sistemas informticos

ALGUNAS VULNERABILIDADES EN
INFORMTICA.

MALA UBICACIN DEL CENTRO DE COMPUTO.

SOFTWARE MAL CONFIGURADO.

ALGUNAS VULNERABILIDADES EN
INFORMTICA.

SOFTWARE DESACTUALIZADO.

FALTA DE HARDWARE O HARDWARE OBSOLETO.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

AUSENCIA DE COPIAS DE SEGURIDAD O COPIAS DE SEGURIDAD

INCOMPLETAS.

AUSENCIA DE SEGURIDAD EN ARCHIVOS DIGITALES O ARCHIVOS

FSICOS CONFIDENCIALES.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

CUENTAS DE USUARIO MAL CONFIGURADAS.

DESCONOCIMIENTO Y/O FALTA DE SOCIALIZACIN DE NORMAS O

POLTICAS A LOS USUARIOS POR LOS RESPONSABLES DE
INFORMTICA.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

DEPENDENCIA EXCLUSIVA DE UN PROVEEDOR DE SERVICIO TCNICO

EXTERNO.

AUSENCIA DE DOCUMENTACIN DE LA OPERACIN DE LAS

APLICACIONES.

PANTALLA EN UN SISTEMA DE INFORMACIN SIN BLOQUEO POR EL

USUARIO O SIN PROTECTOR DE PANTALLA.

CENTRO DE COMPUTO SIN UPS

GESTION DE RIESGOS

Acciones
dainas

QUE SON
LAS
AMENAZA
S?

Acciones con
consecuencias
negativas

A los sistemas informticos

ALGUNAS AMENAZAS EN INFORMTICA

SE PUEDE CONTRAER VIRUS.

SE PUEDEN DAAR EQUIPOS DE COMPUTO
SE PUEDE ACCEDER SIN AUTORIZACIN A LOS SISTEMAS DE
INFORMACIN.

SE PUEDEN PRESENTAR INUNDACIONES.

SE PUEDEN PRESENTAR INTERRUPCIONES EN EL SERVICIO.
PUEDEN FALLAR LOS EQUIPOS DE COMPUTO.
SE PUEDEN PRESENTAR DESASTRES NATURALES.
SE PUEDE PARAR LA EMPRESA

RIESGOS

RIESG
O

Probabilidad de que
Una amenaza se
materialice utilizando
una vulnerabilidad,
generando un impacto
con perdidas o daos.

RIESGOS

ALGUNOS EJEMPLOS DE RIESGOS.

PERDIDA DE DATOS
INFORMACIN ERRNEA
DAOS EN HARDWARE
PERDIDAS ECONMICAS
PERDIDA DE CREDIBILIDAD.
CADA DE LA RED.
SERVIDOR FUERA DE SERVICIO

RIESGOS

DESTRUCCIN DE INFORMACIN CONFIDENCIAL.

FUGA DE INFORMACIN.
FALTA DE DISPONIBILIDAD DE APLICACIONES CRITICAS.
INCENDIOS EN EL CENTRO DE COMPUTO.
PERDIDA DE INTEGRIDAD DE LOS DATOS.

PROBABILIDAD
PROBABILIDAD: DE OCURRENCIA DE LA
AMENAZA, PUEDE SER CUALITATIVA O
CUANTITATIVA

IMPACTO
IMPACTO: CONSECUENCIAS DE LA
OCURRENCIA DE LA AMENAZA, PUEDEN SER
ECONMICAS, NO ECONMICAS

VALORACIN DEL RIESGO

PROCESO MEDIANTE EL CUAL SE

ESTABLECE LA PROBABILIDAD DE QUE
OCURRAN DAOS O PRDIDAS
MATERIALES Y LA CUANTIFICACIN DE LOS
MISMOS.
LA VALORACIN DEL RIESGO, ES EL
PRODUCTO DE LA PROBABILIDAD DE
AMENAZA POR EL IMPACTO DEL DAO,
EST AGRUPADO EN TRES RANGOS.
BAJO RIESGO= 1 6 (VERDE)
MEDIO RIESGO= 8 9 (AMARILLO)
ALTO RIESGO= 12 16 (ROJO)

MATRIZ VALORACIN DEL RIESGOS (AMENAZA VS

IMPACTO)

GESTION DE RIESGOS
LOS OBJETIVOS DE LA GESTIN DE RIESGOS
SON:
IDENTIFICAR
CONTROLAR
REDUCIR O ELIMINAR LAS FUENTES DE RIESGO
ANTES DE QUE EMPIECEN A AFECTAR AL
CUMPLIMIENTO DE LOS OBJETIVOS.
(CONTRAMEDIDAS)

ADMINISTRACIN DE RIESGOS

NO EXISTE UNA PRACTICA PARA REDUCIR EL

RIESGO A CERO (0), SOLO LA ADMINISTRACIN
DEBE DETERMINAR MINIMIZAR LA OCURRENCIA
DEL RIESGO, UTILIZANDO PARA ELLO EL
CONTROL INTERNO.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

SON LOS MEDIOS UTILIZADOS PARA ELIMINAR O

REDUCIR UN RIESGO. SE CLASIFICAN EN:
MEDIDAS DE SEGURIDAD ACTIVA.
MEDIDAS DE SEGURIDAD PASIVA
LAS MEDIDAS DE SEGURIDAD ACTIVA SON
UTILIZADAS PARA REDUCIR O MINIMIZAR LA
OCURRENCIA DEL RIESGO Y SE CLASIFICAN EN:
MEDIDAS PREVENTIVAS (ANTES DEL INCIDENTE)
MEDIDAS DETECTIVAS (DURANTE EL INCIDENTE)

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

MEDIDAS PREVENTIVAS:
LA AUTENTICACIN DE USUARIOS
(CONTRASEAS)
EL CONTROL DE ACCESO A LOS DATOS
(PERMISOS O PRIVILEGIOS)
LA ENCRIPTACIN DE DATOS SENSIBLES O
CONFIDENCIALES.
LA INSTALACIN Y CORRECTA
CONFIGURACIN DE UN BUEN ANTIVIRUS.
LA SOCIALIZACIN A LOS USUARIOS DE
NORMAS Y POLITICAS EN INFORMATICA.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

LA ACTUALIZACIN DEL SOFTWARE

(SISTEMAS OPERATIVOS, APLICACIONES,
PROGRAMAS)
LA INSTALACIN DE HARDWARE
REDUNDANTE EN LOS SERVIDORES (DISCOS
ESPEJOS, FUENTES DE ENERGA, TARJETAS DE
RED.
LA INSTALACIN DE UNA UPS.
LA VALIDACIN DE LOS DATOS.
LA IMPLEMENTACIN DE SISTEMAS DE
ACCESO AL CPD.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

MEDIDAS DETECTIVAS:
SISTEMAS DE DETECCIN DE INTRUSOS
PROCEDIMIENTOS PARA ANLISIS DE LOS
LOG
ANTIVIRUS
ANTISPYWARE.
FIREWALLS O CORTAFUEGOS

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

MEDIDAS DE SEGURIDAD PASIVAS.

SON MEDIDAS UTILIZADAS PARA MINIMIZAR
EL IMPACTO CAUSADO CUANDO SE PRESENTA
EL INCIDENTE. TAMBIN SE CONOCEN COMO
MEDIDAS CORRECTIVAS. (SE APLICAN
DESPUS DE OCURRIDO EL INCIDENTE).
LA RECUPERACIN DE DATOS USANDO
UNA COPIA DE SEGURIDAD.
EJECUCIN DE UN PLAN DE
CONTINGENCIAS.

CICLO ADMINISTRACIN DE RIESGOS

LA ADMINISTRACIN DE RIESGOS EMPRESARIALES REQUIERE:

2a
1

2b

RIESGO RESIDUAL

ES UN SUCESO O CIRCUNSTANCIA
INDETERMINADA QUE PERMANECE DESPUS DE
HABER EJECUTADO TODOS LOS CONTROLES A
LOS RIESGOS

ADMINISTRACIN DEL RIESGO

DECISIN DEL RIESGO RESIDUAL

T ERMINAR
R EDUCIR
A CEPTAR
P ASAR

DECISIN DEL RIESGO RESIDUAL

TERMINAR: ABANDONAR LA ACTIVIDAD POR

EXCESIVAMENTE RIESGOSA
REDUCIR: FORTALECER CONTROLES O
IMPLEMENTAR NUEVOS CONTROLES
ACEPTAR: TOMAR EL RIESGO
PASAR: CONTRATAR, POR EJEMPLO, UNA
PLIZA DE SEGURO (EJEMPLO PLIZA DE
SEGUROS PARA AMPARAR ATAQUES
CIBERNTICOS)

SEGURIDAD FISICA
EN INFORMATICA

EN QUE CONSISTE.

LA SEGURIDAD FSICA CONSISTE EN LA

PROTECCIN DEL ENTORNO INFORMTICO
(HARDWARE Y EDIFICIOS DE COMPUTO)
MEDIANTE LA APLICACIN DE BARRERAS
FSICAS Y PROCEDIMIENTOS DE CONTROL,
ANTE POSIBLES AMENAZAS FSICAS

VULNERABILIDADES FISICAS

ES LA SITUACIN CREADA POR CONTROLES MAL

DISEADOS O POR LA FALTA DE UNO O VARIOS

CONTROLES Y QUE PUEDEN CREAR UNA
AMENAZA QUE PUEDEN AFECTAR AL ENTORNO
INFORMTICO. EJEMPLOS: FALTA DE CONTROLES
DE ACCESO LGICO, FALTA DE CONTROLES
ELECTRICOS, INEXISTENCIA DE UN CONTROL DE
SOPORTES MAGNTICOS, FALTA DE CIFRADO EN
LAS COMUNICACIONES, ETC

AMENAZAS PARA LA SEG FISICA

AMENAZA:
PERSONAS O ELEMENTOS VISTOS COMO
POSIBLE FUENTE DE PELIGRO O CATSTROFE.
LOS MECANISMOS DE SEGURIDAD FSICA
DEBEN RESGUARDAR DE AMENAZAS
PRODUCIDAS TANTO POR EL HOMBRE COMO
POR LA NATURALEZA LOS RECURSOS
INFORMTICOS DE LA EMPRESA.

AMENAZAS FSICAS

EJEMPLO DE AMENAZAS FSICAS

INUNDACIONES
INCENDIOS
TERREMOTOS
FUGAS DE AGUA

AMENAZAS POR PERSONAS

SABOTAJE

INTERNOS
O
EXTERNOS
(CONDUCTAS DIRIGIDAS A CAUSAR DAOS AL
HARDWARE O SOFTWARE: ACCESOS NO
AUTORIZADOS, DAO O MODIFICACION SIN
AUTORIZACION AL SOFTWARE, NEGLIGENCIA
EN APLICACIN DE POLTICAS DE SEGURIDAD
ERRORES INVOLUNTARIOS O VOLUNTARIOS EN
EL USO DE LA TECNOLOGA INFORMTICA.
INGENIERA SOCIAL

RIESGO

RIESGO: LA PROBABILIDAD DE QUE UNA

AMENAZA LLEGUE A SUCEDER DEBIDO A UNA

VULNERABILIDAD CON CONSECUENCIAS
NEGATIVAS.

CONTROLES PARA SEG FISICA

INSTALACIN DE ALARMAS.
EXTINTORES MANUALES DE INCENDIOS.
SENSORES DE TEMPERATURA.
DETECTORES DE HUMO.
UBICACIN ESTRATGICA DEL CENTRO DE
CMPUTOS.
PAREDES, PISOS Y CIELORRASOS A PRUEBA DE
INCENDIOS
PROTECTORES DE VOLTAJE
INTERRUPTOR DE ENERGA DE EMERGENCIA
NO COMER, BEBER, FUMAR DENTRO DEL CENTRO DE
CMPUTOS
HUMEDAD Y TEMPERATURAS ADECUADAS
PLANES DOCUMENTADOS Y PROBADOS DE
EVACUACIN DE EMERGENCIA.
ADQUISICIN DE UPS.

CONTROLES DE ACCESO FSICO

CERRADURAS CON COMBINACIN.

CERRADURAS ELECTRNICAS: UTILIZA LLAVE,
FICHA O TARJETA MAGNTICA.
CERRADURAS BIOMTRICAS.
BITCORA O REGISTRO MANUAL: LIBRO DE
VISITANTES QUE INCLUYA NOMBRE, MOTIVO DE
LA VISITA, FECHA, HORA Y FIRMA
CMARA DE VIDEO.
GUARDIAS DE SEGURIDAD
ACCESO CONTROLADO DE VISITANTES: EJ.
ACOMPAADOS SIEMPRE DE UN EMPLEADO
RESPONSABLE.
SISTEMA DE ALARMA.
2 PUERTAS DE ACCESO UBICADAS EN SENTIDOS
CONTRARIOS

SEGURIDAD LGICA

EN QUE CONSISTE

LA SEGURIDAD LGICA, SE REFIERE A LA

PROTECCIN DEL USO DEL SOFTWARE (DATOS,
PROGRAMAS Y APLICACIONES), CON EL FIN DE
MANTENER
LA
INTEGRIDAD,
LA
CONFIDENCIALIDAD Y LA DISPONIBILIDAD DE
LA INFORMACIN.

OBJETIVOS

PRESERVAR LOS ACTIVOS DE INFORMACIN DE

LA EMPRESA PARA QUE SEAN SIEMPRE
UTILIZADOS DE FORMA AUTORIZADA.
EVITAR ACCIONES QUE PUEDAN PROVOCAR SU
ALTERACIN,
DENEGACIN,
BORRADO
O
DIVULGACIN NO AUTORIZADOS, DE FORMA
ACCIDENTAL O INTENCIONADA

SEGURIDAD LGICA

LA SEGURIDAD LGICA ABARCA LAS

SIGUIENTES REAS:
APLICACIONES INFORMTICAS.
CLAVES DE ACCESO.
SOFTWARE DE CONTROL DE ACCESO.
ENCRIPTAMIENTO.

AUTENTICACIN DE USUARIOS

OBJETIVO
ASEGURAR QUE UN USUARIO ES QUIEN DICE
SER, CUANDO ACCEDE AL SISTEMA.
EN GENERAL, EL PROCESO DE AUTENTICACIN
DE UN USUARIO EST BASADO EN:
ALGO QUE SABE (CONTRASEA);
ALGO QUE TIENE (TARJETA, DISPOSITIVO, ETC.);
ALGO QUE ES (CARACTERSTICAS
BIOMTRICAS).
LA UTILIZACIN DE SLO UNO DE LOS
MTODOS ANTERIORES SE DENOMINA
AUTENTICACIN SIMPLE.

CARACTERSTICAS DE LAS CONTRASEAS

PARA LA PROTECCIN DE LOS ACTIVOS DE

INFORMACIN DE LA EMPRESA Y LA
PROTECCIN DEL PROPIO USUARIO, LA
CONTRASEA:
TIENE QUE SER SECRETA Y NO COMPARTIDA
CON NADIE,
NO PUEDE SER VISUALIZADA EN PANTALLA
MIENTRAS SE TECLEA,
NO PUEDE SER ALMACENADA EN CLARO (SIN
CIFRAR).

CARACTERSTICAS DE LAS CONTRASEAS

TENER UNA LONGITUD MNIMA DE 6

CARACTERES; O TENER AL MENOS UN CARCTER

NUMRICO Y UNO ALFABTICO;
NO EMPEZAR NI TERMINAR CON UN NMERO;
NO TENER MAS DE DOS CARACTERES IGUALES
CONSECUTIVOS.
SER CAMBIADA, AL MENOS, CADA 60 DAS PARA
USUARIOS GENERALES Y CADA 30 DAS PARA
USUARIOS QUE TENGAN ALGN TIPO DE
PRIVILEGIO O AUTORIDAD. TIENE QUE HABER
INSTALADO UN CONTROL QUE INFORME A LOS
USUARIOS CUANDO SU CONTRASEA TIENE QUE
SER CAMBIADA;

CARACTERSTICAS DE LAS CONTRASEAS

NO DEBE SER REUTILIZADA HASTA DESPUS

DE, AL MENOS, 12 CAMBIOS;

NO CONTENER EL IDENTIFICADOR DE
USUARIO, COMO PARTE DE LA CONTRASEA.