You are on page 1of 28

Auditoria Informtica

Unidad IV. Evaluacin de la Seguridad

Ihr Logo

Contenido

4.1 Generalidades de la seguridad del rea fsica. 4.2 Seguridad lgica y confidencial. 4.3 Seguridad personal. 4.4 Clasificacin de los controles de seguridad. 4.5 Seguridad en los datos y software de aplicacin. 4.6 Controles para evaluar software de aplicacin. 4.7 Controles para prevenir crmenes y fraudes informticos. 4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres. 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. 4.10 Tcnicas y herramientas relacionadas con la seguridad de

Here comes your footer Page 2

Your Logo

Introduccin
Hoy en da la tecnologa ha evolucionado y no necesariamente para bien, podemos decir que las grandes empresas tienden a ser vulnerables a perder informacin de gran importancia, para beneficiar a terceros. Por lo que en esta investigacin se da a conocer la forma en que se tiene que evaluar la seguridad, desde la seguridad lgica, como tambin determinar la seguridad fsica de la misma organizacin. Se pretende conocer la importancia de guardar la integridad de la informacin, que se apliquen las polticas, procedimientos necesarios para la seguridad fsica en un centro de cmputo y que pueda llevar a cabo la aplicacin de estos conocimientos en la actualidad.

Here comes your footer Page 3

Your Logo

1.4 Generalidades de la seguridad del rea fsica


Durante mucho tiempo se considero que los procedimientos de auditora y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del rea de informtica en cuanto a la utilizacin que se le da a la informacin y a la forma de accesarla, y del departamento de auditora interna en cuanto a la supervisin y diseo de los controles necesarios.

Here comes your footer Page 4

Your Logo

1.4 Generalidades de la seguridad del area fisica


La seguridad del rea de informtica tiene como objetivos
Proteger la integridad, exactitud y confidencialidad de

la informacin
Proteger los activos ante desastres provocados por la

mano del hombre y de actos hostiles


Proteger la organizacin contra situaciones externas

como desastres naturales y sabotajes


En caso de desastre, contar con los planes y polticas

de contingencias para lograr una pronta recuperacin


Contar con los seguros necesarios que cubran las

prdidas econmicas en caso de desastre


Your Logo

Here comes your footer Page 5

1.4 Generalidades de la seguridad del area fisica


Los motivos de los delitos por computadora normalmente son por:

Beneficio personal Beneficios para la organizacin


Sndrome de Robin Hood (por beneficiar a otra persona) Jugando a jugar

Fcil de desfalcar
La computadora no tiene sentimientos El individuo tiene problemas financieros Mentalidad turbada

Here comes your footer Page 6

Your Logo

1.4 Generalidades de la seguridad del rea fsica


Factores que han permitido el incremento de los crmenes por computadora
El aumento del nmero de personas que

se encuentran estudiando computacin


El aumento del nmero de empleados

que tienen acceso a los equipos


La facilidad en los equipos de cmputo
El incremento en la concentracin del

nmero de aplicaciones y, consecuentemente, de la informacin

Here comes your footer Page 7

Your Logo

4.2 Seguridad lgica y confidencial


De que se encarga la seguridad lgica? De controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin; identifca individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especfico, en las redes y terminales.

La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin Cdigo oculto en un programa o entrada de virus

Here comes your footer Page 8

Your Logo

4.2 Seguridad lgica y confidencial


El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseas) hasta los sistemas ms complicados, pero se debe evaluar que cuanto ms complicados sean los dispositivos de seguridad ms costosos resultan. El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades

Here comes your footer Page 9

Your Logo

4.3 Seguridad personal


Uno de los punto ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario dentro de un sistema, ya que la informacin se encuentra en un archivo normal o en una base de datos, o bien que se posea una propietario Esta autorizado por el minicomputadora, o un sistema de para hacer Esred. Para esto podemos definir los siguientes pero no usuarios: el dueo de la informacin y modificaciones, tipos de da autorizacin para que Puede leer la informacin y usarla otros responsable de sta, y puede usuarios entren para explotacin de la misma realizar cualquier funcin Propietario Administrador Usuario principal Usuario de consulta Usuario de explotacin Usuario de auditora

Puede usar Solo puede actualizar Solo puede el la informacin la informacin y rastrearla o modificar leer dentro del sistema para fines de auditora software con la debida autorizacin

Your Logo

4.4 Clasificacin de los controles de seguridad


El gran crecimiento de las redes, interconexiones y telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad fsica no lo es todo. Es un punto que debe complementarse necesariamente con la implementacin de controles para la seguridad lgica de los sistemas y computadoras. Controles Identificacin y autenticacin de usuarios

Programas de control de acceso

Controles para el software

Controles para el hardware

Your Logo

4.5 Seguridad de los datos y software de aplicacin


Software de control de acceso Este puede ser definido como el software diseado para emitir el manejo de control y acceso a los siguientes recursos Programas de aplicacin Mdulos de funciones Utileras Diccionario de datos Archivos Programas Comunicacin

Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificacin del usuario.

Here comes your footer Page 12

Your Logo

4.6 Controles para evaluar software de aplicacin


1. Controles del software de seguridad general

Aplican para todos los tipos de software y recursos relacionados y sirven para:
El control de acceso a programas y a la instalacin Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados: Diseo y cdigo de modificaciones Revisin de estndares y aprobacin

Requerimientos mnimos de prueba


Your Logo

Here comes your footer Page 13

4.6 Controles para evaluar software de aplicacin


2. Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software especfico:
El acceso al sistema debe de ser restringido para individuos no autorizados Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo

a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso
Se limitara tanto a usuarios como a programadores de aplicaciones a un

tipo especifico de acceso de datos

Here comes your footer Page 14

Your Logo

4.7 Controles para prevenir crmenes y fraudes informticos


Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad. Qu se necesita para desarrollar un sistema de seguridad?

Planear, organizar, coordinar, dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."

Here comes your footer Page 15

Your Logo

4.7 Controles para prevenir crmenes y fraudes informticos


Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de

seguridad.
Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la

informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales.

Here comes your footer Page 16

Your Logo

4.7 Controles para prevenir crmenes y fraudes informticos


Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar:
Debe permitir identificar la informacin que es confidencial

Debe contemplar reas de uso exclusivo


Debe proteger y conservar los activos de desastres provocados por la

mano del hombre y los actos abiertamente hostiles


Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas

innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
Your Logo

4.8 Plan de contingencia, seguros, procedimiento de recuperacin de desastres


Plan de contingencias

El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres Objetivos Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travs de una buena metodologa. Determinar el costo del plan de recuperacin.

Here comes your footer Page 18

Your Logo

4.8 Plan de contingencia, seguros, procedimiento de recuperacin de desastres


Seguridad

contra desastres provocadas por

agua Los centros de cmputo no deben colocarse en stanos o en reas de planta baja, sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas ssmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas.
Seguridad de autorizacin de acceso

Es importante asegurarse que los controles de acceso sean estrictos durante todo el da, y que stos incluyan a todo el personal de la organizacin, en especial durante los descansos y cambios de turno.
Here comes your footer Page 19

Your Logo

4.8 Plan de contingencia, seguros y procedimiento de recuperacin de desastres


En los centros de cmputo se pueden utilizar los siguientes recursos:
Puerta de combinacin. En este sistema se usa una

combinacin de nmeros para permitir el acceso.


Registros de entrada. Todos los visitantes deben

firmar el registro de visitantes indicando su nombre, su compaa, la razn para la visita, la persona a la que visita.
Escolta controladora para el acceso de visitantes.

Todos los visitantes deben ser acompaados por un empleado responsable.

Your Logo

Here comes your footer Page 20

4.8 Plan de contingencia, seguros y procedimiento de recuperacin de desastres


Seguros

El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias.

Here comes your footer Page 21

Your Logo

4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal


Proteccin a los procedimientos de procesamiento y los equipos contra las inte rvenciones exteriores:
Slo se debe permitir al personal autorizado que maneje los equipos de

procesamiento.
Slo se permitir la entrada al personal autorizado y competente Seleccionar al personal mediante la aplicacin de exmenes integrales:

mdico, psicolgico, aptitudes, etc.


Contratar personal que viva en zonas cercanas a la empresa. Enterar al personal sobre dichas estadsticas y las medidas adoptadas.

Proponer otras actividades que se consideren necesarias.

Here comes your footer Page 22

Your Logo

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin

Proteccin de los registros y de los archivos

Formas en que se pueden perder los archivos: Su presencia en un ambiente destructivo.

Manejo indebido por parte del operador.

Plan de preservacin Documentos fuente: Se basa un archivo de entrada deben ser

retenidos intactos hasta el momento en que el archivo sea comprobado.


Archivo de discos: El registro anterior es destruido, no produce una

copia automticamente una copia en duplicado.

Here comes your footer Page 23

Your Logo

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin
Objetivos de la auditora del software de aplicacin

Verificar la presencia de procedimientos y controles.

Detectar el grado de confiabilidad. Grado de confianza, satisfaccin y desempeo Investigar si existen polticas con relacin al software Detectar si existen controles de seguridad Verificar que sea software legalizado Actualizacin del software de aplicacin

Here comes your footer Page 24

Your Logo

4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin
Tipos de controles. Control de distribucin. Validacin de datos. Totales de control. Control de secuencia. Dgito de control. Control de distribucin

Here comes your footer Page 25

Your Logo

Conclusin
Se dio conocer como funciona la evaluacin de la seguridad, as como

tambin lo que debe hacer auditor en cada situacin que se encuentre la empresa o institucin.
Tambin se menciono sobre lo que necesita el auditor para realizar este

trabajo y con qu tcnicas y herramientas la organizacin protege su informacin, que controles se realizan al evaluar la seguridad del software de aplicacin, y todo el procedimiento que se lleva a cabo.
La seguridad del personal y los diferentes tipos de usuarios que tiene ms

permisos que otros para manipular la informacin, as como la seguridad contra desastres y los seguros de los equipos en caso de un desastre natural.

Here comes your footer Page 26

Your Logo

Bibliografa
Echenique Garca, Jos Antonio, Auditora en Informtica. Mcgraw-Hill,

Mxico, 2003

Here comes your footer Page 27

Your Logo

San Juan Bautista Tuxtepec, Oaxaca. A 08 De Noviembre de 2011

Integrantes: Jos Angulo Pacheco Benita Carpio Calixto Dulce Mara Jos Gonzalez Sayra Viridiana Jos Infante Mara Isabel Osorio Merino Catedrtico: Dr. Omar Flores Snchez Anselmo Martnez Roque Carrera: Licenciatura en Informatica Materia: Auditoria Informtica Unidad: IV. Evaluacin de la Seguridad Semestre: VII Grupo: B

Instituto Tecnolgico de Tuxtepec


Your Logo

You might also like