RJAL
Universidad Nacional de Ingeniería.
Recinto Augusto C. Sandino
Auditoria de Sistemas
Evaluación de la Seguridad.
RJAL
Delitos por Computadora
Que es un Ordenador?
Los ordenadores son un instrumento que estructura gran
cantidad de información, la cual puede ser confidencial, para
individuos, empresas o instituciones que puede ser mal
utilizada o divulgada.
RJAL
Delitos por Computadora
*Los Procedimientos de auditoria y seguridad no solo
corresponden a la persona que elabora el Sistema…
Proteger la integridad, la exactitud y confidencialidad
de la información.
Proteger los activos ante desastres provocados por la
mano del hombre y de actos hostiles.
Proteger a la organización contra situaciones externas
como desastres y sabotajes.
En caso de desastres, contar con los planes y políticas
de contingencias para lograr una pronta recuperación.
Contar con los seguros necesarios que cubran las
pérdidas económicas en caso de desastre.
RJAL
Delitos por Computadora
Los Motivos Por los cuales se comete un delitos Son:
Beneficio Personal.
Beneficios para la organización.
Síndrome de Robín Hood.
Jugando a jugar
El individuo posee problemas financieros.
La computadora no tiene sentimientos.
El departamento es deshonesto.
Odio a la Organización.
Equivocación de ego.
Mentalidad turbada.
RJAL
Virus
Un Factor Mas…
Caso USPA & IRA de Forth Worth
RJAL
Virus
5 Factores que han permitido el Incremento de crímenes por
computadora:
El aumento del número de personas que se
encuentran estudiando computación.
El aumento del numero de colaboradores que tienen
acceso a los equipos.
La facilidad en el uso de equipos de computo.
El incremento en la concentración del número de
aplicaciones y, consecuentemente, de la información.
El incremento de redes y de facilidades para utilizar
las computadoras en cualquier lugar y tiempo.
RJAL
AntiVirus
RJAL
Recordemos
No es necesario realizar fraude estando directamente en el centro de
computo de la empresa.
A medida que la tecnología avanza, avanza también la seguridad física y
lógica, por lo que..
Física
Lógica
Eficiente
RJAL
Seguridad Lógica y Confidencialidad
La seguridad Lógica se encarga de los controles de acceso que están
diseñados para salvaguardar la información.
Que es?
Objetivo?
RJAL
Seguridad Lógica y Confidencialidad
La falta de seguridad lógica o su violación trae las siguientes
consecuencias:
 Cambio de los datos antes o cuando se le da entrada a la
computadora.
 Copias de programas y/o información.
 Código oculto en un programa.
 Entrada de Virus.
RJAL
Seguridad Lógica
Tipos de Usuario:






Propietario.
Administrador.
Usuario Principal.
Usuario de Consulta.
Usuario de Exploración.
Usuario de Auditoria.
RJAL
Seguridad Lógica
La seguridad Lógica abarca las siguientes áreas:




Rutas de Acceso.
Claves de Acceso.
Software de Control de Acceso.
Encriptamiento.
RJAL
Software manejador de B.D.
El acceso a
la vista de
datos deberá
ser
restringido en
una vista de
datos lógica.
Se debe de
controlar el
acceso al
diccionario
de Datos.
La bitácora
de auditoria
debe reportar
los accesos
al diccionario
de Datos
RJAL
Software de Librerías
Mantiene
una bitácora
de auditoria
de todas las
actividades
realizadas.
Tiene la
facilidad de
comparar
dos
versiones de
programas.
Deberán de
impedir el
acceso a
password a
individuos no
autorizados.
Los cambios
realizados al
software de
librerías
tendrán que
ser protegidos
y controlados.
RJAL
Software de Telecomunicaciones
Verificación
de login de
aplicaciones.
Asegurar que
los datos no
sean
modificados por
un usurario no
autorizado
Restricción
al uso de
aplicaciones
de la red.
Protección
de datos
sensibles
durante la
transmisión.
RJAL
Consideraciones para Auditar.
Control de acceso a
programas y a la información.
Control de cambios.
Bitácoras de Auditorias.
RJAL
Consideraciones para Auditar.
La auditoria puede enfocarse en áreas de seguridad que
son aplicables a todo tipo de software y pueden cubrir la
instalación, el mantenimiento y la utilización del software.
Es necesario tomar en cuenta las características de
seguridad del software, incluyendo el control de acceso, la
identificación del usuario y el proceso de autentificación del
usuario, ejecutado por el software.
Software de control de Acceso
Software de Base de Datos
Software de
Telecomunicaciones
Software de Utilerías
Software Manejador de
Librerías
Software de Sistema
Operativo
RJAL
Consideraciones para Auditar.
Instalación y Mantenimiento
Procedimiento
s para nuevas
pruebas o
modificaciones
al software.
Procedimientos
de iniciación,
documentación,
pruebas y
aprobación de
modificaciones
del software
Procedimientos
de emergencia
para dar
solución a los
problemas.
Acceso a
librerías del
programa
RJAL
Consideraciones para Auditar.
Operación
Controles de
acceso para
los
programas,
librerías,
etc…
Horas
durante el
software
esta
disponible.
Bitácoras de
auditoria
sobre las
actividades
del software.
Dependencia
de otro
software
para
continuar la
operación.
RJAL
¿Qué auditamos?
Software
Proceso
Soft de control
de Acceso.
Sistemas
Operativos
Soft de
Telecomunicaciones.
Soft de
Utilerias
RJAL
Software de Control de Acceso.
Usualmente provee utilerías que
pueden ser usadas en la ejecución de
una auditoria. Los eventos pueden ser
registrados en un archivo de auditoria
(cambios en el sistema, así como la
ocurrencia de otras actividades)
Diseño y Administración.
P. de identificación de usuarios.
P. de autentificación de usuario
Recursos para controlar el
acceso.
Reportes y vigilancia del soft de
C.
RJAL
Sistemas Operativos.
• Controles de acceso sobre tablas que definen
privilegios de usuarios, programas y funciones.
• Controles de acceso sobre consolas o terminales
maestras.
• Bitácoras de Auditoria.
• Comandos de software o funciones que son
consideradas importantes.
• Control de acceso sobre el ID de usuarios.
RJAL
Software de Utilerías
• Funciones o comandos de Utilerías.
• Controles de Acceso sobre los
comandos.
• Sí el S. ejecuta las funciones de
identificación de usuario.
• Capacidades de uso de utilerías para
cada grupo de usuarios.
RJAL
Software de Telecomunicaciones
Restricciones basadas en el acceso a la
red.
Apagado automático de las unidades
inactivas
Controles de acceso sobre los recursos de
la red.
Si se ejecuta la identificación del usuario.
Seguridad física sobre líneas telefónicas y
telec.
Posibilidad y uso de encriptación de datos
o mensajes.
RJAL
Seguridad de autorización de accesos
Es importante asegurarse de que los controles de
acceso sean estrictos durante todo el tiempo, y que
estos incluyan a todo el personal de la
organización, todo el personal ajeno a la
instalación se debe de identificar antes de entrar a
esta.
RJAL
Acceso
 Para garantizar la seguridad en el centro de computo de
una empresa se pueden utilizar los siguientes recursos:
Puerta con cerradura
Puerta de Combinación
Puerta Electrónica
Puertas Sensoriales
Registros de Entrada
Videocámaras
Detección de humo, incendio y
Extintores
RJAL
Los detectores de humo se deben colocar
lejos de los aires acondicionados ya que estos
dispositivos pueden difundir el calor y el humo
y no permitir que se active el detector.
Detección de incendios.
RJAL
Las alarmas contraincendios deben estar conectadas
con la alarma principal del lugar también los controles
de seguridad del lugar deben satisfacer los
estándares mínimos del departamento de bomberos,
los documentos importantes, las operaciones y la
programación deben tener un respaldo.
RJAL
Seguridad de Autorización de accesos
Con Respecto a los
extintores se deben revisar
el numero de estos su
capacidad su fácil acceso,
peso, capacidad y el tipo
de materiales que utilizan
"es muy común encontrar
extintores que no estén
cargados o bien que sean
muy pesados o de difícil
acceso”
RJAL
Temperatura y Humedad
 Algunos equipos grandes, o bien las computadoras
personales que son utilizados en zonas muy deserticas
necesitan un sistema de aire acondicionado diseñado
para estar en operación constante, con base en
parámetros como:
 Disipación térmica(BTU)
 Movimiento de aire(CFM)
 Perdida por transferencia de calor
RJAL
Seguridad en contra de virus
Los daños mas comunes son los siguientes:
Suplantación de datos.
Destrucción de la producción.
Modificación en los códigos de
producción.
Saturación, reducción de
disponibilidad o cambio de
parámetros.
Bloqueo
de redes.
RJAL
Entre los problemas en el uso de analizadores están:
Son efectivos solamente contra virus conocidos.
Algunos nos muestran resultados positivos falsos.
Se deben actualizar constantemente.
Los usuario no se sientes totalmente seguros.
RJAL
Protecciones contra virus y elementos a auditar.
Se debe verificar que todas las computadoras tengan
desinfectadores de virus instalados y actualizados.
Debe de existir políticas y procedimientos de actuación en contra
de virus.
Prohibir el uso de dispositivos de almacenamiento externos
solamente que sean probados y desinfectados.
Capacitar a los usuarios para actuar en las posibles situaciones
que se presenten.
Evaluar y auditar que todos los paquetes que se utilicen sean
oiginales.
RJAL
Internet
Para que tengamos una alta seguridad y no ser vulnerable al momento de
navegar por la red se puede hacer lo siguiente:
No permitir que comerciantes en línea almacenen información de la
empresa o de personas.
Actualizar el sistema operativo y las aplicaciones que usamos para acceder
a internet
No abrir cualquier documento que nos envíen por correo.
Se debe de cambiar con frecuencia las contraseñas de los sitios de red y
aplicaciones .
RJAL
Seguros
Por lo común un seguro de equipo de computo considera o
siguiente:
Bienes que puede amparar.
Riesgos cubiertos.
Riesgos excluidos.
Indemnización en caso de siniestro.
RJAL
Condiciones generales.
RJAL
EXCLUCIONES ESPECIALES
Los aseguradores no serán responsables, a menos que
se estipule lo contrario en las pólizas de:
*Perdida o daños causados directa e indirectamente
por resultantes de desastres naturales.
*Perdidas o daños causados directa e indirectamente
por hurto robo con o sin violencia y/o asaltos
DAÑOS MATERIALES
RJAL
Los aseguradores, en caso de que esté pegada la póliza, se
encuentra vigente y que la pérdida o dañado no se encuentren
específicamente excluido, indemnizarán al asegurado por tales
pérdidas o daños en efectivo, o reparando o reemplazándolo.
DISPOCIONES APLICADAS
RJAL
Es requisito indispensable del seguro que la suma
asegurada sea igual al valor de reposición del bien
asegurado por otro bien nuevo de la misma clase y
capacidad.
Si la suma asegurada es inferior al monto que debió
asegurarse, los aseguradores indemnizaran solamente
aquella proporción que la suma asegurada guarde con
el monto que debió asegurarse.
RJAL
BASES DE LA INDEMNIZACION
En aquellos casos en que pudiera repararse los
daños ocurrido a los bienes asegurados, los
aseguradores indemnizaran aquellos gastos que
sean necesarios erogar para dejar la unidad
dañada en las condiciones existentes.
En caso de que el objeto asegurado fura totalmente
dañado, robado o destruido, los aseguradores
indemnizaran hasta el monto del valor actual que
tuviere el objeto antes de ocurrir el siniestro
SEGURIDAD EN LA
RJAL
UTILIZACION DEL EQUIPO
*Se
debe restringir el acceso a los programas y a
los archivos.
*No debe permitirse la entrada a al red a
personas no autorizadas, ni usar las terminales
RJAL
*Se debe monitorear periódicamente el uso de las terminales.
Para controlar este tipo de información se debe:
Cuidar que no se obtenga fotocopias de información
confidencial sin la debida autorización.
Solo el personal autorizado debe tener acceso a la información
confidencial.
Controlar el número de copias.
El factor más importante para la eliminación de riesgo en la
programación es que todos los programas y archivos estén
debidamente documentados.
SEGURIDAD AL RESTAURARRJAL
EL EQUIPO
Cuando ocurre una contingencia, es esencial
que se conozca al detalle el motivo que la
origino y el daño causado.
RJAL
Con frecuencia un problema, un error en los datos
un error de operación o una fallas del equipo
hacen que una corrida en la maquina aborte antes
de terminar el proceso.
Cuando esto sucede, generalmente no se puede
iniciar el trabajo donde se produjo la interrupción.
Plan de contingencia y procedimientosRJAL
de respaldo en caso de desastre.
Las
organizaciones
deben
tener todos los controles, las
funciones y los dispositivos
para evitar un desastre.
RJAL
Plan de contingencia
Destrucción completa o parcial del centro
de cómputos.
Destrucción o mal funcionamiento de los
equipos auxiliares del centro de cómputos.
Destrucción total o parcial de los equipos
descentralizados.
Perdida total o parcial de la información.
Perdida de personal clave.
Huelga o problemas laborales.
RJAL
Objetivos del Plan de Contingencia
El plan de contingencia debe
contemplar
Naturaleza, extensión y complejidad de las actividades de la
organización.
Grado de Riesgo al que la organización esta expuesto
Tamaño de las instalaciones de la organización.
Evaluación de los procesos considerados como críticos.
El numero de procesos críticos.
La formulación de las medidas de seguridad necesarias dependiendo del
nivel de seguridad requerido.
Justificación del costo de implantar las medidas de seguridad.
RJAL
RJAL
Etapas del plan de contingencia
• Análisis del
impacto de
la
organización
• Prueba.
• Selección de
la estrategia.
• Preparación
del plan.
• Mantenimiento.
RJAL
Etapas del plan de contingencia
1. Que implicación tiene que no se
recupere el sistema y cuanto tiempo
podríamos estar sin utilizarlo?
2. Existe un procedimiento alterno y que
problema nos ocasionaría?
3. Que se ha hecho en un caso de
emergencia?
Cuestionarios para análisis del
impacto en la organización
RJAL
Estos cuestionarios no deben plantear
preguntas especificas sino de las aéreas en
general, también tendrán que ser incluidas otras
aéreas no automatizadas que pueden tener
información
critica
y
recursos
físicos(maquinaria) para la continuidad del
funcionamiento de organización.
Cuestionarios de funciones
criticas
RJAL
Son diseñados para recolectar información que
refleje la importancia de cada proceso en la
organización, y poder evaluar que tan critica
puede ser una función o si es posible que esta
se detenga durante un periodo determinado, un
cuestionario para cada proceso.
RJAL
Para determinar lo que es “critico” se debe de
utilizar la medida de “tolerancia” que es definida
como la capacidad de continuar con los
procesos durante la interrupción de las
actividades normales de la organización. Si la
tolerancia de un proceso es pequeña el proceso
es probablemente critico, la tolerancia puede ser
cuantificada en términos monetarios, de impacto
a la organización y de impacto a la imagen de la
misma.
Selección de la estrategia.
RJAL
Una ves que hemos definido el grado de riesgo
hay que elaborar una lista de los sistemas con
las medidas preventivas que se deben tomar así
como las correctivas en caso de desastre,
señalándole a cada función su prioridad.
El siguiente paso es identificar y comentar
procesos
alternativos
para
procesos
identificados como críticos en la organización.
RJAL
En caso de desastre se procurara trabajar los
sistemas de acuerdo con sus prioridades ya que
no se podrá hacer en otra instalación en la
misma forma como se venían trabajando en la
instalación original.
Las medidas de prevención de desastre deben
estar respaldadas el un lugar seguro.
RJAL
Es importante contar con la documentación
completa del plan de contingencia para ser
usada en caso de desastre. Esta debe de ser
evaluada y aprobada y periódicamente revisada
para actualizarla.
Los departamentos deben tener implantada su
propia estrategia de respaldo. Se debe asegurar
que el personal asignado a la tarea de
recolección de datos este correctamente
instruido.
RJAL
Respecto a la configuPor otro lado se
debe establecer una relación estrecha con
el personal de seguridad a fin de proteger
la información.
ración del equipo hay que tener toda la
información correspondiente al hardware y
software del equipo propio y de respaldo.
RJAL
Es conveniente incluir en el acuerdo de
soporte reciproco los siguientes puntos:
Configuración de equipos.
Configuración de equipos de captación de
datos.
Sistemas operativos.
Configuración de equipos periféricos.
RJAL
Finalmente se deberá tener una lista de
los requerimientos mínimos para un
efectivo plan de recuperación en caso de
desastre.
RJAL
Tarjetas
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
Gracias por su atención!!!
Descargar

PowerPoint Template