Embed Size (px)
Citation preview
RJAL
Auditoria de Sistemas
Universidad Nacional de Ingeniería.Recinto Augusto C. Sandino
Evaluación de la Seguridad.
RJAL
Delitos por Computadora
Que es un Ordenador?
Los ordenadores son un instrumento que estructura gran cantidad de información, la cual puede ser confidencial, para individuos, empresas o instituciones que puede ser mal utilizada o divulgada.
RJAL
Delitos por Computadora
*Los Procedimientos de auditoria y seguridad no solo corresponden a la persona que elabora el Sistema…
Proteger la integridad, la exactitud y confidencialidad de la información.
Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles.
Proteger a la organización contra situaciones externas como desastres y sabotajes.
En caso de desastres, contar con los planes y políticas de contingencias para lograr una pronta recuperación.
Contar con los seguros necesarios que cubran las pérdidas económicas en caso de desastre.
RJAL
Delitos por Computadora
Los Motivos Por los cuales se comete un delitos Son:
Beneficio Personal.Beneficios para la organización.Síndrome de Robín Hood.Jugando a jugarEl individuo posee problemas financieros.La computadora no tiene sentimientos.El departamento es deshonesto.Odio a la Organización.Equivocación de ego.Mentalidad turbada.
RJAL
Virus
Un Factor Mas…
Caso USPA & IRA de Forth Worth
RJAL
Virus
5 Factores que han permitido el Incremento de crímenes por computadora:
El aumento del número de personas que se encuentran estudiando computación.
El aumento del numero de colaboradores que tienen acceso a los equipos.
La facilidad en el uso de equipos de computo.
El incremento en la concentración del número de aplicaciones y, consecuentemente, de la información.
El incremento de redes y de facilidades para utilizar las computadoras en cualquier lugar y tiempo.
RJAL
AntiVirus
RJAL
Recordemos
No es necesario realizar fraude estando directamente en el centro de computo de la empresa.
A medida que la tecnología avanza, avanza también la seguridad física y lógica, por lo que..
Física Lógica Eficiente
RJAL
Seguridad Lógica y Confidencialidad
La seguridad Lógica se encarga de los controles de acceso que están diseñados para salvaguardar la información.
Que es?
Objetivo?
RJAL
Seguridad Lógica y Confidencialidad
La falta de seguridad lógica o su violación trae las siguientes consecuencias:
Cambio de los datos antes o cuando se le da entrada a la computadora.
Copias de programas y/o información. Código oculto en un programa. Entrada de Virus.
RJAL
Seguridad Lógica
Tipos de Usuario:
Propietario. Administrador. Usuario Principal. Usuario de Consulta. Usuario de Exploración. Usuario de Auditoria.
RJAL
Seguridad Lógica
La seguridad Lógica abarca las siguientes áreas:
Rutas de Acceso. Claves de Acceso. Software de Control de Acceso. Encriptamiento.
RJAL
Software manejador de B.D.
El acceso a la vista de
datos deberá ser
restringido en una vista
de datos lógica.
Se debe de controlar el acceso al diccionario de Datos.
La bitácora de auditoria
debe reportar los accesos
al diccionario de Datos
RJAL
Software de Librerías
Mantiene una bitácora de auditoria de todas las actividades realizadas.
Tiene la facilidad de comparar
dos versiones de programas.
Deberán de impedir el acceso a
password a individuos no autorizados.
Los cambios realizados al software de
librerías tendrán que
ser protegidos y controlados.
RJAL
Software de Telecomunicaciones
Verificación de login de
aplicaciones.
Asegurar que los datos no
sean modificados por un usurario no
autorizado
Restricción al uso de
aplicaciones de la red.
Protección de datos sensibles durante la
transmisión.
RJAL
Consideraciones para Auditar.
Control de acceso a programas y a la información.
Control de cambios.
Bitácoras de Auditorias.
RJAL
La auditoria puede enfocarse en áreas de seguridad que son aplicables a todo tipo de software y pueden cubrir la instalación, el mantenimiento y la utilización del software.
Es necesario tomar en cuenta las características de seguridad del software, incluyendo el control de acceso, la identificación del usuario y el proceso de autentificación del usuario, ejecutado por el software.
Consideraciones para Auditar.
Software de control de Acceso
Software de Telecomunicaciones
Software Manejador de Librerías
Software de Base de Datos
Software de Utilerías
Software de Sistema Operativo
RJAL
Instalación y Mantenimiento
Consideraciones para Auditar.
Procedimientos para nuevas
pruebas o modificaciones
al software.
Procedimientos de iniciación,
documentación, pruebas y
aprobación de modificaciones
del software
Procedimientos de emergencia
para dar solución a los
problemas.
Acceso a librerías del programa
RJAL
Operación
Consideraciones para Auditar.
Controles de acceso para
los programas,
librerías, etc…
Horas durante el software
esta disponible.
Bitácoras de auditoria sobre las
actividades del software.
Dependencia de otro
software para
continuar la operación.
RJAL
¿Qué auditamos?
SoftwareSoftware
Proceso
Soft de Utilerias
Soft de Telecomunicaciones.
Sistemas Operativos
Soft de control de Acceso.
RJAL
Software de Control de Acceso.
Usualmente provee utilerías que pueden ser usadas en la ejecución de una auditoria. Los eventos pueden ser registrados en un archivo de auditoria (cambios en el sistema, así como la ocurrencia de otras actividades)
Diseño y Administración.
P. de identificación de usuarios.
P. de autentificación de usuario
Recursos para controlar el acceso.
Reportes y vigilancia del soft de C.
RJAL
Sistemas Operativos.
• Controles de acceso sobre tablas que definen
privilegios de usuarios, programas y funciones.
• Controles de acceso sobre consolas o terminales maestras.
• Bitácoras de Auditoria.
• Comandos de software o funciones que son
consideradas importantes.
• Control de acceso sobre el ID de usuarios.
RJAL
Software de Utilerías
• Funciones o comandos de Utilerías.
• Controles de Acceso sobre los comandos.
• Sí el S. ejecuta las funciones de identificación de usuario.
• Capacidades de uso de utilerías para cada grupo de usuarios.
RJAL
Software de Telecomunicaciones
Restricciones basadas en el acceso a la red.
Apagado automático de las unidades inactivas
Controles de acceso sobre los recursos de la red.
Si se ejecuta la identificación del usuario.
Seguridad física sobre líneas telefónicas y telec.
Posibilidad y uso de encriptación de datos o mensajes.
RJAL
Seguridad de autorización de accesos
Es importante asegurarse de que los controles de acceso sean estrictos durante todo el tiempo, y que estos incluyan a todo el personal de la organización, todo el personal ajeno a la instalación se debe de identificar antes de entrar a esta.
RJAL
Acceso Para garantizar la seguridad en el centro de computo de
una empresa se pueden utilizar los siguientes recursos:
Puerta con cerradura
Puerta de Combinación
Puerta Electrónica
Puertas Sensoriales
Registros de Entrada
Videocámaras
RJALDetección de humo, incendio y
Extintores
Los detectores de humo se deben colocar lejos de los aires acondicionados ya que estos dispositivos pueden difundir el calor y el humo y no permitir que se active el detector.
RJALDetección de incendios.
Las alarmas contraincendios deben estar conectadas con la alarma principal del lugar también los controles de seguridad del lugar deben satisfacer los estándares mínimos del departamento de bomberos, los documentos importantes, las operaciones y la programación deben tener un respaldo.
RJAL
Seguridad de Autorización de accesos
Con Respecto a los extintores se deben revisar el numero de estos su capacidad su fácil acceso, peso, capacidad y el tipo de materiales que utilizan "es muy común encontrar extintores que no estén cargados o bien que sean muy pesados o de difícil acceso”
RJAL
Temperatura y Humedad
Algunos equipos grandes, o bien las computadoras personales que son utilizados en zonas muy deserticas necesitan un sistema de aire acondicionado diseñado para estar en operación constante, con base en parámetros como:
Disipación térmica(BTU) Movimiento de aire(CFM) Perdida por transferencia de calor
RJAL
Seguridad en contra de virus
Suplantación de datos.
Destrucción de la producción.
Modificación en los códigos de producción.
Saturación, reducción de disponibilidad o cambio de
parámetros.
Bloqueo de redes.
Los daños mas comunes son los siguientes:
RJAL
Entre los problemas en el uso de analizadores están:
Son efectivos solamente contra virus conocidos.
Algunos nos muestran resultados positivos falsos.
Se deben actualizar constantemente.
Los usuario no se sientes totalmente seguros.
RJAL
Protecciones contra virus y elementos a auditar.
Se debe verificar que todas las computadoras tengan desinfectadores de virus instalados y actualizados.
Debe de existir políticas y procedimientos de actuación en contra de virus.
Prohibir el uso de dispositivos de almacenamiento externos solamente que sean probados y desinfectados.
Capacitar a los usuarios para actuar en las posibles situaciones que se presenten.
Evaluar y auditar que todos los paquetes que se utilicen sean oiginales.
RJAL
Internet
No permitir que comerciantes en línea almacenen información de la empresa o de personas.
Actualizar el sistema operativo y las aplicaciones que usamos para acceder a internet
No abrir cualquier documento que nos envíen por correo.
Se debe de cambiar con frecuencia las contraseñas de los sitios de red y aplicaciones .
Para que tengamos una alta seguridad y no ser vulnerable al momento de navegar por la red se puede hacer lo siguiente:
RJAL
Seguros
Bienes que puede amparar.
Riesgos cubiertos.
Riesgos excluidos.
Indemnización en caso de siniestro.
Por lo común un seguro de equipo de computo considera o siguiente:
RJAL
Condiciones generales.
La responsabilidad de los aseguradores solo procederá si cumplen los términos estipulados.
Los aseguradores no se hacen responsables por perdidas o daños, de las cuales no hayan recibido notificación dentro de un determinado tiempo.
El asegurado no hará ninguna acción que pueda aumentar el riesgo, a menos que los aseguradores se lo confirmen.
El asegurado deberá conservar las partes dañadas y ponerlas a disposición para una inspección.
RJALEXCLUCIONES ESPECIALES
Los aseguradores no serán responsables, a menos que se estipule lo contrario en las pólizas de:
*Perdida o daños causados directa e indirectamente por resultantes de desastres naturales.
*Perdidas o daños causados directa e indirectamente por hurto robo con o sin violencia y/o asaltos
RJALDAÑOS MATERIALES
Los aseguradores, en caso de que esté pegada la póliza, se encuentra vigente y que la pérdida o dañado no se encuentren específicamente excluido, indemnizarán al asegurado por tales pérdidas o daños en efectivo, o reparando o reemplazándolo.
RJALDISPOCIONES APLICADAS
Es requisito indispensable del seguro que la suma asegurada sea igual al valor de reposición del bien asegurado por otro bien nuevo de la misma clase y capacidad.
Si la suma asegurada es inferior al monto que debió asegurarse, los aseguradores indemnizaran solamente aquella proporción que la suma asegurada guarde con el monto que debió asegurarse.
RJAL
BASES DE LA INDEMNIZACION
En aquellos casos en que pudiera repararse los daños ocurrido a los bienes asegurados, los aseguradores indemnizaran aquellos gastos que sean necesarios erogar para dejar la unidad dañada en las condiciones existentes.
En caso de que el objeto asegurado fura totalmente dañado, robado o destruido, los aseguradores indemnizaran hasta el monto del valor actual que tuviere el objeto antes de ocurrir el siniestro
RJALSEGURIDAD EN LA UTILIZACION DEL EQUIPO
*Se debe restringir el acceso a los programas y a los archivos.
*No debe permitirse la entrada a al red a personas no autorizadas, ni usar las terminales
RJAL
*Se debe monitorear periódicamente el uso de las terminales.
Para controlar este tipo de información se debe:
Cuidar que no se obtenga fotocopias de información confidencial sin la debida autorización.
Solo el personal autorizado debe tener acceso a la información confidencial.
Controlar el número de copias.
El factor más importante para la eliminación de riesgo en la programación es que todos los programas y archivos estén debidamente documentados.
RJALSEGURIDAD AL RESTAURAR EL EQUIPO
Cuando ocurre una contingencia, es esencial que se conozca al detalle el motivo que la origino y el daño causado.
RJAL
Con frecuencia un problema, un error en los datos un error de operación o una fallas del equipo hacen que una corrida en la maquina aborte antes de terminar el proceso.
Cuando esto sucede, generalmente no se puede iniciar el trabajo donde se produjo la interrupción.
RJALPlan de contingencia y procedimientos de respaldo en caso de desastre.
Las organizaciones deben tener todos los controles, las funciones y los dispositivos para evitar un desastre.
RJAL
Plan de contingencia
Destrucción completa o parcial del centro de cómputos.
Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputos.
Destrucción total o parcial de los equipos descentralizados.
Perdida total o parcial de la información.
Perdida de personal clave.
Huelga o problemas laborales.
RJAL
Objetivos del Plan de Contingencia
Minimizar al impacto del desastre en
la organización.
Establecer tareas para evaluar los
procesos en la
organización.
Determinar el costo del plan
de recuperación.
RJALEl plan de contingencia debe contemplar
Naturaleza, extensión y complejidad de las actividades de la organización.
Grado de Riesgo al que la organización esta expuesto
Tamaño de las instalaciones de la organización.
Evaluación de los procesos considerados como críticos.
El numero de procesos críticos.
La formulación de las medidas de seguridad necesarias dependiendo del nivel de seguridad requerido.
Justificación del costo de implantar las medidas de seguridad.
RJAL
Etapas del plan de contingencia
• Análisis del impacto de la organización
• Selección de la estrategia.
• Preparación del plan.
• Prueba. • Mantenimiento.
RJAL
Etapas del plan de contingencia
1. Que implicación tiene que no se recupere el sistema y cuanto tiempo podríamos estar sin utilizarlo?
2. Existe un procedimiento alterno y que problema nos ocasionaría?
3. Que se ha hecho en un caso de emergencia?
RJALCuestionarios para análisis del impacto en la organización
Estos cuestionarios no deben plantear preguntas especificas sino de las aéreas en general, también tendrán que ser incluidas otras aéreas no automatizadas que pueden tener información critica y recursos físicos(maquinaria) para la continuidad del funcionamiento de organización.
RJALCuestionarios de funciones criticas
Son diseñados para recolectar información que refleje la importancia de cada proceso en la organización, y poder evaluar que tan critica puede ser una función o si es posible que esta se detenga durante un periodo determinado, un cuestionario para cada proceso.
RJAL
Para determinar lo que es “critico” se debe de utilizar la medida de “tolerancia” que es definida como la capacidad de continuar con los procesos durante la interrupción de las actividades normales de la organización. Si la tolerancia de un proceso es pequeña el proceso es probablemente critico, la tolerancia puede ser cuantificada en términos monetarios, de impacto a la organización y de impacto a la imagen de la misma.
RJALSelección de la estrategia.
Una ves que hemos definido el grado de riesgo hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar así como las correctivas en caso de desastre, señalándole a cada función su prioridad.
El siguiente paso es identificar y comentar procesos alternativos para procesos identificados como críticos en la organización.
RJAL
En caso de desastre se procurara trabajar los sistemas de acuerdo con sus prioridades ya que no se podrá hacer en otra instalación en la misma forma como se venían trabajando en la instalación original.
Las medidas de prevención de desastre deben estar respaldadas el un lugar seguro.
RJAL
Es importante contar con la documentación completa del plan de contingencia para ser usada en caso de desastre. Esta debe de ser evaluada y aprobada y periódicamente revisada para actualizarla.
Los departamentos deben tener implantada su propia estrategia de respaldo. Se debe asegurar que el personal asignado a la tarea de recolección de datos este correctamente instruido.
RJAL
Respecto a la configuPor otro lado se debe establecer una relación estrecha con el personal de seguridad a fin de proteger la información.
ración del equipo hay que tener toda la información correspondiente al hardware y software del equipo propio y de respaldo.
RJAL
Es conveniente incluir en el acuerdo de soporte reciproco los siguientes puntos:
Configuración de equipos.Configuración de equipos de captación de
datos.Sistemas operativos.Configuración de equipos periféricos.
RJAL
Finalmente se deberá tener una lista de los requerimientos mínimos para un efectivo plan de recuperación en caso de desastre.
RJAL
Tarjetas
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
RJAL
Gracias por su atención!!!
