Auditoria Informatica Clases 7 Unidad II Seguridad

7/28/2019 Auditoria Informatica Clases 7 Unidad II Seguridad

1/19

Auditoria Informtica Unidad II

Seguridad de la Informacin

1. Seguridad Fsica2. Seguridad Lgica


2/19



1. La seguridad fsica se refiere a la proteccin del Hardware y delos soportes de datos, as como a la de los edificios einstalaciones que los albergan. Contempla las situaciones deincendios, sabotajes, robos, catstrofes naturales, etc.

2. La seguridad lgica se refiere a la seguridad de uso delsoftware, a la proteccin de los datos, procesos y programas,as como la del ordenado y autorizado acceso de los usuarios a

la informacin.


3/19

Auditora Informtica Unidad II


1. El propsito de la Seguridad Fsica es prevenir el acceso fsicono autorizado, daos a las instalaciones e interrupciones alprocesamiento de informacin.


4/19



Permetro de Seguridad Fsica Las instalaciones de procesamientode informacin deben estar

protegidas contra interrupciones o daos producto del acceso noautorizado al rea. Por lo tanto, es necesario mantener un permetro deseguridad en torno a las instalaciones fsicas que cumpla con talobjetivo.

El nivel de seguridad de la informacin debe estar asociado al nivel deimpacto que provocara una interrupcin en los procesos de la

empresa, el dao a la integridad y la divulgacin de la informacinreservada o confidencial.


5/19



Controles Fsicos Las reas de procesamiento deben contar con controles de

acceso que aseguren el ingreso solo a personal autorizado. Lossiguientes controles deben ser considerados:

Exigencia de portar la identificacin al momento del ingreso y duranteel periodo en que se encuentra en la instalacin.

Supervisin para los visitantes y personal que no cumple laboresfrecuentes.

Registro con fecha y hora de entrada y salida de personal.

Los derechos de acceso deben ser peridicamente revisados yactualizados.


6/19



Controles Fsicos (continuacin) Seguridad en las oficinas: Todos los lugares en que se declare trabajar con informacin

sensible, deben contar con medidas que eviten el acceso delpblico y personal no autorizado.

Las reas comerciales deben contar con mecanismos de seguridad

que impidan el acceso no autorizado a informacin sensible quemanejen, sobre todo en horario de atencin de pblico.

Las mquinas de fax, fotocopiadoras y equipamiento que manejaninformacin sensible, deben estar ubicado dentro del reaprotegida.


7/19



Controles Fsicos (continuacin) reas de recepcin y despacho: Las reas de recepcin y despacho deben ser controlada y en la medida

de lo posible, aisladas de reas que manejen informacin sensible, paraevitar el acceso no autorizado.

Los requerimientos de seguridad de tales reas deben estardeterminados por una evaluacin de riesgos.


8/19



Seguridad Lgica

Control de Acceso: su propsito es evitar el acceso no autorizado a lainformacin digital e instalaciones de procesamiento de datos.

Administracin de usuarios;

El nivel de acceso asignado debe ser consistente con el propsito del negocio.

Todo usuario que acceda a los sistemas de informacin de la empresa, debe

tener asignado un identificador nico (user ID), que permita establecerresponsabilidades individuales en el uso de los sistemas de informacin.

Los permisos asignados a los usuarios deben estar adecuadamenteregistrados y protegidos.


9/19



Seguridad Lgica

Administracin de usuarios (continuacin) Cualquier cambio de posicin o funcin de un rol, amerita evaluacin de

los permisos asignados, con el fin de realizar las modificaciones quecorrespondan en forma oportuna .

Los sistemas de informacin de la organizacin, deben contar con

mecanismos robustos de autenticacin de usuarios, sobre todo deaquellos usuarios conectados desde redes externas.

La creacin, modificacin y eliminacin de claves debe ser controlada atravs de un procedimiento formal.


10/19



Seguridad Lgica

Control de red La empresa debe contar con controles que protejan la informacin

dispuesta en las redes de informacin y los servicios interconectados,evitando as accesos no autorizados (ejemplo; firewalls).

Debe existir un adecuado nivel de segregacin funcional que regule las

actividades ejecutadas por los administradores de redes, operaciones yseguridad.

Deben existir Loas de eventos que permita el monitoreo de incidentesde seguridad en redes.


11/19



Seguridad Lgica

Control de datos La empresa debe contar con controles que protejan la informacin dispuesta en

las bases de datos de las aplicaciones, evitando as accesos no autorizados.

Debe existir un adecuado nivel de segregacin de funciones que regule lasactividades ejecutadas por los administradores de datos.

Se debe mantener un Log de actividades que registre las actividades de los

administradores de los administradores d datos. Los usuarios deben acceder a la informacin contenida en las bases de datos,

nicamente a travs de aplicaciones que cuentan con mecanismos de control queaseguren el acceso a la informacin autorizada (clave de acceso a la aplicacin)


12/19



Seguridad Lgica

Encriptacin El nivel de proteccin de informacin debe estar basado en un anlisis de

riesgo.

Este anlisis debe permitir identificar cuando es necesario encriptar lainformacin, el tipo, calidad del algoritmo de encriptacin y el largo de las

claves criptogrficas a ser usadas. Toda informacin clasificada como restringida y confidencial debe ser

almacenada, procesada y transmitida en forma encriptada.

Todas las claves criptogrficas deben estar protegidas contramodificacin, perdida y destruccin.


13/19



Seguridad Lgica

Administracin de claves Las claves deben estar protegidas contra accesos y modificacin no

autorizada, perdida y destruccin.

El equipamiento utilizado para generar y almacenar las claves debeestar fsicamente protegido.

La proteccin de las claves debe impedir su visualizacin, aun si sevulnera el acceso al medio que la contiene.


14/19



Seguridad Lgica

Uso de Passwords; Las passwords o claves de usuario son un elementoimportante de seguridad, por lo tanto, todo empleado o tercera parte, debeutilizar una clave segura para el acceso a los sistemas de la organizacin. Estaclave segura tiene la condicin de personal e intransferible.

Se considera una clave dbil o no segura cuando: La clave contiene menos de ocho caracteres.

La clave es encontrada en un diccionario. La clave es una palabra de uso comn tal como: nombre de un familiar,

mascota, amigo, colega, etc.

La clave es fecha de cumpleaos u otra informacin personal como direccionesy nmeros telefnicos.


15/19



Seguridad Lgica

Se considera una clave segura cuando; La clave contiene may de ocho caracteres.

La clave contiene caracteres en minscula y mayscula.

La clave tiene dgitos de puntuacin, letras y nmeros intercalados.

La clave no obedece a una palabra o lenguaje, dialecto o jerga Fcil de recordar.


16/19



Seguridad Lgica

Intercambio de Informacin; prevenir la perdida,modificacin o acceso no autorizado y el mal uso de lainformacin que la empresa intercambia como parte de susprocesos de negocio.

Acuerdos de intercambio; en todos los casos de intercambio deinformacin sensible, se deben tomar todos los resguardos queeviten su revelacin no autorizada.

Todo intercambio de informacin debe estar autorizadaexpresamente por el dueo de esta.


17/19



Seguridad Lgica

Intercambio de Informacin (continuacin). Seguridad de los medios removibles;

El dueo de la informacin es quien autoriza a travs de algn medioremovible desde la organizacin.

Los dispositivos que permiten a los computadores manejar mediosremovibles, deben ser habilitados cuando haya una razn de negociopara hacerlo y previa autorizacin del dueo de la informacin.


18/19



Seguridad Lgica

Seguridad en el comercio electrnico. La informacin involucrada en comercio electrnico y que pasa por

redes publicas, debe estar protegida de actividades fraudulentas,disputas contractuales y revelaciones o modificaciones no autorizadas.


19/19



Seguridad Lgica

Seguridad en el correo electrnico. El correo electrnico es provisto por la empresa a los empleados y

terceras partes, para facilitar el desempeo de sus funciones.

La asignacin de esta herramienta de trabajo debe hacerse

considerando una evaluacin de riesgo. El correo es personalizado, es decir no es aceptable la utilizacin

del correo de otra persona, por tanto se asume responsable delenvo al remitente (DE:) y no quien lo firma.

Documents

Auditoria Informatica Clases 7 Unidad II Seguridad