Embed Size (px)
Citation preview
333
INSTITUTO TECNOLÓGICO DE MATEHUALA
LICENCIATURA EN INFORMATICA
VIII SEMESTRE
MATERIA: AUDITORIA DE LA FUNCION
INFORMATICA
PROFESOR: HECTOR ELOY TORRES CORDOVA
TEMAS:
UNIDAD 4: EVALUACIÓN DE LA SEGURIDAD
UNIDAD 5: AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMÁTICA
ELABORADO POR:
MIRIAM PAOLA VILLANUEVA QUIROZ
1
MATEHUALA S. L. P A 26 DE MARZO DE
2010TEMA PAGINA
4.1 GENERALIDADES DE SEGURIDAD AREA FISICA3
4.2 SEGURIDAD LOGICA Y CONFIDENCIAL
7
4.3 SEGURIDAD PERSONAL 12
4.4 CLASIFICACION CONTROLES DE SEGURIDAD
12
4.5 SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
13
4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACION
18
4.7 CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES IN-
FORMATICOS
20
4.8 PLAN DE CONTINGENCIA SEGUROS PROCEDIMIENTOS DE RECUPERACION DE DESASTRES
22
4.9 TECNICAS HERRAMIENTAS RELACIONADAS CON SEGURIDAD FISICA Y DEL PERSONAL
23
4.10 TECNICAS Y HERRAMIENTAS RELACIONADAS CON SE-
GURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
25
UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMÁTICA27
5.1 GENERALIDADES SEGURIDAD ÁREA TELEINFORMÁTICA 27
5.2 OBJETIVOS CRITERIOS DE AUDITORIA AREA TELEINFORMÁTICA
28
5.3 SÍNTOMAS DE RIESGO TELEINFORMÁTICA29
5.4 TECNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS CON SEGURIDAD TELEINFORMÁTICA
30
BIBLIOGRAFIA 31
2
INDICE
UNIDAD 4 EVALUACIÓN DE LA SEGURIDAD
4.1 GENERALIDADES DE SEGURIDAD AREA FISICA
Es muy importante ser consciente que por más que nuestra empresa sea la más
segura desde el punto de vista de ataques externos, Hackers, virus, etc.
(conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto
como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de
un sistema informático. Si bien algunos de los aspectos tratados a continuación se
prevén, otros, como la detección de un atacante interno a la empresa que intenta a
acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar
una cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedi-
mientos de control, como medidas de prevención y contramedidas ante amenazas
a los recursos e información confidencial”(1). Se refiere a los controles y mecanis-
mos de seguridad dentro y alrededor del Centro de Cómputo así como los medios
de acceso remoto al y desde el mismo; implementados para proteger el hardware
y medios de almacenamiento de datos.
TIPOS DE DESASTRES
No será la primera vez que se mencione en este trabajo, que cada sistema es úni-
co y por lo tanto la política de seguridad a implementar no será única. Este con-
cepto vale, también, para el edificio en el que nos encontramos. Es por ello que
siempre se recomendarán pautas de aplicación general y no procedimientos espe-
cíficos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos,
3
técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los An-
geles, EE.UU.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por
el hombre como por la naturaleza del medio físico en que se encuentra ubicado el
centro.
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener
la máxima seguridad en un sistema informático, además de que la solución sería
extremadamente cara.
A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta
con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en
cualquier entorno.
A continuación se analizan los peligros más importantes que se corren en un cen-
tro de procesamiento; con el objetivo de mantener una serie de acciones a seguir
en forma eficaz y oportuna para la prevención, reducción, recuperación y correc-
ción de los diferentes tipos de riesgos.
Incendios
Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por
acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una inunda-
ción provocada por la necesidad de apagar un incendio en un piso superior.
4
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo
impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas
para contener el agua que bajase por las escaleras.
Condiciones Climatológicas
Señales de Radar
La influencia de las señales o rayos de radar sobre el funcionamiento de una com-
putadora ha sido exhaustivamente estudiado desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuer-
tes de radar pueden inferir en el procesamiento electrónico de la información, pero
únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del
centro de procesamiento respectivo y, en algún momento, estuviera apuntando di-
rectamente hacia dicha ventana.
Instalaciones Eléctricas
Ergometría
Acciones Hostiles
Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas,
de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para reali-
zar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo
de máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas
empresas invierten millones de dólares en programas y archivos de información, a
los que dan menor protección que la que otorgan a una máquina de escribir o una
calculadora.
5
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son
fácilmente copiados sin dejar ningún rastro
FRAUDE
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasio-
nes, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compañía, emplea-
dos, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden
en imagen, no se da ninguna publicidad a este tipo de situaciones.
SABOTAJE
El peligro más temido en los centros de procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar programas de seguridad de alto nivel,
han encontrado que la protección contra el saboteador es uno de los retos más
duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con
una ligera pasada la información desaparece, aunque las cintas estén almacena-
das en el interior de su funda de protección. Una habitación llena de cintas puede
ser destruida en pocos minutos y los centros de procesamiento de datos pueden
ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los
conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pue-
den ser cortadas, etc.
CONTROL DE ACCESOS
El control de acceso no sólo requiere la capacidad de identificación, sino también
asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado
en restricciones de tiempo, área o sector dentro de una empresa o institución.
Utilización de Guardias
Utilización de Detectores de Metales
6
El detector de metales es un elemento sumamente práctico para la revisión de
personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer
un volumen metálico mínimo, a partir del cual se activará la alarma.
La utilización de este tipo de detectores debe hacerse conocer a todo el personal.
De este modo, actuará como elemento disuasivo. Utilización de Sistemas Biomé-
tricos
Verificación Automática de Firmas (VAF)
En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque
también podría encuadrarse dentro de las verificaciones biométricas.
Mientras es posible para un falsificador producir una buena copia visual o facsímil,
es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la
firma genuina con exactitud.
La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o
de escribir.
La secuencia sonora de emisión acústica generada por el proceso de escribir
constituye un patrón que es único en cada individuo. El patrón contiene informa-
ción extensa sobre la manera en que la escritura es ejecutada.
El equipamiento de colección de firmas es inherentemente de bajo costo y robus-
to.
Esencialmente, consta de un bloque de metal (o algún otro material con propieda-
des acústicas similares) y una computadora barata.
4.2 SEGURIDAD LOGICA Y CONFIDENCIAL
7
SEGURIDAD LÓGICA Y CONFIDENCIAL
La seguridad lógica se encarga de los controles de acceso que están diseñados
para salvaguardar la integridad de la información almacenada de una computado-
ra, así como de controlar el mal uso de la información.
La seguridad lógica se encarga de controlar y salvaguardar la información genera-
da por los sistemas, por el software de desarrollo y por los programas en aplica-
ción.
Identifica individualmente a cada usuario y sus actividades en el sistema, y restrin-
ge el acceso a datos, a los programas de uso general, de uso especifico, de las re-
des y terminales.
La falta de seguridad lógica o su violación puede traer las siguientes conse-
cuencias a la organización:
Cambio de los datos antes o cuando se le da entrada a la computadora.
Copias de programas y /o información.
Código oculto en un programa
Entrada de virus
La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a
conocer el momento en que se produce un cambio o fraude en los sistemas.
Un método eficaz para proteger sistemas de computación es el software de control
de acceso. Los paquetes de control de acceso protegen contra el acceso no auto-
rizado, pues piden al usuario una contraseña antes de permitirle el acceso a infor-
mación confidencial. Sin embargo, los paquetes de control de acceso basados en
componentes pueden ser eludidos por delincuentes sofisticados en computación,
por lo que no es conveniente depender de esos paquetes por si solos para tener
una seguridad adecuada.
El sistema integral de seguridad debe comprender:
8
Elementos administrativos.
Definición de una política de seguridad.
Organización y división de responsabilidades.
Seguridad lógica
Tipos de usuarios:
Propietario. Es el dueño de la información, el responsable de ésta, y puede reali-
zar cualquier función. Es responsable de la seguridad lógica, en cuanto puede rea-
lizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel
que desee darles.
Administrador: Sólo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos.
Usuario principal: Está autorizado por el propietario para hacer modificaciones,
cambios, lectura y utilización de los datos, pero no puede dar autorización para
que otros usuarios entren.
Usuario de explotación: Puede leer la información y utilizarla para explotación de
la misma, principalmente para hacer reportes de diferente índole.
Usuario de auditoría: Puede utilizar la información y rastrearla dentro del sistema
para fines de auditoría
Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de
los antes señalados. Se recomienda que exista sólo un usuario propietario, y que
el administrador sea una persona designada por la gerencia de informática.
Para conservar la integridad, confidencialidad y disponibilidad de los siste-
mas de información se debe tomar en cuenta lo siguiente:
La integridad es: La responsabilidad de los individuos autorizados para modificar
datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones
de sistema o funciones fuera de sus responsabilidades normales de trabajo.
9
La confidencialidad: Es responsabilidad de los individuos autorizados para con-
sultar o para bajar archivos importantes para microcomputadoras.
La responsabilidad: Es responsabilidad de individuos autorizados para alterar los
parámetros de control de acceso al sistema operativo, al sistema operativo, al sis-
tema manejador de base de datos, al monitoreo de teleproceso o al software de
telecomunicaciones.
La seguridad lógica abarca las siguientes áreas:
Rutas de acceso.
Claves de acceso.
Software de control de acceso.
Encriptamiento.
Rutas de acceso
Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema.
Los tipos de restricciones de acceso son:
Sólo lectura
Sólo consulta
Lectura y consulta
Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
El esquema de las rutas de acceso sirve para identificar todos los puntos de con-trol que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluación de los puntos de control apropia-dos.
Claves de acceso
10
Un área importante en la seguridad lógica de las claves de acceso de los usuarios.
Existen diferentes métodos de identificación para el usuario:
Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas
para controlar al acceso a la computadora, a sus recursos, así como definir nivel
de acceso o funciones específicas.
Las llaves de acceso deben tener las siguientes características:
El sistema debe verificar primero que el usuario tenga una llave de acceso válida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
La llave de acceso no debe ser desplegada cuando es tecleada.
Las llaves de acceso deben ser encintadas.
Las llaves de acceso deben de prohibir el uso de nombres, palabras o ca-racteres difíciles de retener, además el password no debe ser cambiado por un valor pasado. Se recomienda la combinación de caracteres alfabéticos y numéricos.
Una credencial con banda magnética. La banda magnética de las credenciales es
frecuentemente usada para la entrada del sistema. Esta credencial es como una
bancaria, pero se recomienda que tenga fotografía y firma.
Algo especifico del usuario. Es un método para identificación del usuario, que es
implantado con tecnología biométrica (características propias).
Algunos de los dispositivos biométricos son:
Las huellas dactilares.
La retina
La geometría de la mano.
La firma.
La voz.
11
4.3 SEGURIDAD PERSONAL
El hecho de poseer o poder manejar un ordenador hace que, aunque sea míni-mamente, dentro de él almacenemos datos.
Por muy insignificantes que a veces nos parezcan, estos datos hablan de no-sotros o bien de otras personas.
La seguridad personal sería el método por el que nos protegeríamos de mira-das indiscretas, o accesos no permitidos a nuestro ordenador o a los datos que en ellos almacenamos.
Lo que a nosotros puede no parecernos importante, a otros sí puede parecér-selo.
Si queremos conscientemente estar seguros de tener nuestra información a salvo, deberemos ser conscientes de lo que hacemos con ella, de dónde la de-jamos, cómo la guardamos y a quién y de qué manera se la ofrecemos.
Hay empresas que están llegando a pagar 500.000 Pts. por cada perfil de usuario de Internet de un determinado tipo que le suministren.
4.4 CLASIFICACION CONTROLES DE SEGURIDAD
Los controles generales son aquellos que controlan el diseño, seguridad y uso de los programas de cómputo. Esto incluye la seguridad de los archivos de datos de toda la institución.
12
Los controles generales son para todas las aplicaciones computarizadas y consisten en una combinación de software de sistemas y procedimientos manuales. Estos controles aseguran la operación eficaz de los procedimientos programados. Se usan en todas las áreas de aplicación.
Estos controles incluyen lo siguiente:
Controles de Implementación: auditan el proceso de desarrollo de sistemas en diversos puntos para asegurarse que esté adecuadamente controlado y administrado.
Controles para el software: sirven para asegurar la seguridad y confiabilidad del software.
Controles para el hardware: controles que aseguran la seguridad física y el correcto funcionamiento del hardware de cómputo.
Controles de operaciones de cómputo: se aplican al trabajo del departamento de cómputo para asegurar que los procedimientos programados sean consistentes y correctamente aplicados al almacenamiento y procesamiento de los datos.
Controles de seguridad de los datos: aseguran que los archivos de datos en disco o medios secundarios no se expongan a accesos, cambios o destrucción no autorizados.
Controles administrativos: son normas, reglas, procedimientos y disciplinas formales para asegurar que los controles de la institución se ejecuten y se respeten de manera adecuada.
4.5 SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN
Controles internos sobre el análisis, desarrollo e implementación de siste-
mas
13
Las actividades que se realizan para el análisis, diseño, desarrollo e imple-
mentación de sistemas de cualquier empresa son únicas y por lo tanto, no
tienen parecido alguno con otras actividades.
Por esta razón merecen un tratamiento más especializado.
Puntos básicos
Las consecuencias de un error (generalmente deben ser consideradas
para cada campo en la información de entrada).
Los puntos en el procesamiento de información en los cuales se puede
introducir un error en ésta.
Puntos básicos
Lo adecuado de los controles introducidos para prevención, detección y corrección
de errores de entrada
Tipos de controles.
Control de distribución.
Validación de datos.
Totales de control.
Control de secuencia.
Pruebas de consistencia y verosimilitud.
Dígito de control.
CONSIDERACIONES DE AUDITORÍA:
El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que
haya en los procedimientos para protección de registros y archivos y para su resti-
tución en caso de pérdida.
Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos.
14
PLAN DE PRESERVACIÓN
DE LA INFORMACIÓN
DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo
de entrada deben ser retenidos intactos hasta el momento en que el archivo sea
comprobado.
ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro
anterior es destruido, no produce una copia automáticamente una copia en dupli-
cado.
VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel
de impresión.
OBJETIVOS DE LA AUDITORÍA DEL
SOFTWARE DE APLICACIÓN
VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.
Para satisfacer:
La instalación del software
La operación y seguridad del software.
La administración del software
DETECTAR EL GRADO DE CONFIABILIDAD.
Grado de confianza, satisfacción y desempeño
Investigar si existen políticas con relación al software.
Detectar si existen controles de seguridad.
Verificar que sea software legalizado.
15
Actualización del software de aplicación.
EVALUACIÓN DEL SOFTWARE
El auditor debe evaluar qué software se encuentra instalado en la organización.
Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de da-
tos, etc.
También debe investigar las versiones de cada uno
ORGANIZACIÓN
El auditor debe de verificar que existan políticas para:
La evaluación del software.
Adquisición o instalación.
Soporte a usuarios.
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
Procedimientos para la instalación del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna ins-
talación del software.
Actividades durante la instalación.
Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de
máquina, responsable de instalación, etc.
Justificación
16
En algunas ocasiones se adquiere software pero su compra no estaba planeada,
entonces se debe formular una justificación del porqué de esta adquisición.
Software legal
El auditor debe de investigar las políticas cuando se encuentra software instalado
en máquinas sin licencias de uso.
ENTRADA Y SALIDA
DEL SOFTWARE
Que el software que salga de la empresa sea:
Revisado (contenido, cantidad, destino).
Esté registrado formalmente en la empresa.
Justificada plenamente su salida.
Aprobado por el responsable del área de informática.
Que el software que salga de la empresa sea:
Registrado en bitácora (quién y a qué hora lo sacó)
Devuelto en las mismas condiciones.
El personal está comprometido a no hacer mal uso del mismo.
Que el software que ingrese a la empresa sea:
Revisado (contenido, cantidad, procedencia).
17
Aprobado por el responsable de informática.
Registrado (quién y a qué hora lo introdujo)
Que el software que ingrese a la empresa sea:
Devuelto en tiempo (comparar con fecha estipulada de devolución).
Devuelto en las mismas condiciones.
El personal está comprometido a no hacer mal uso del mismo.
4.6 CONTROLES PARA EVALUAR SOFTWARE DE APLICACION
Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la au-ditoría es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empre-sa. Para ello, habrán de revisarse sucesivamente y en este orden:
Las Normas Generales de la Instalación Informática. Se realizará una revisión ini-cial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no está en contradicción con alguna Norma General no infor-mática de la empresa.
Los Procedimientos Generales Informáticos. Se verificará su existencia, al me-nos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación.
18
Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existen-cia en las áreas fundamentales. Así, Explotación no debería explotar una Aplica-ción sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Pro-cedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Genera-les de la propia empresa, a los que la Informática debe estar sometida.
OBJETIVOS DE LA AUDITORÍA DELSOFTWARE DE APLICACIÓN
VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.
Para satisfacer:
La instalación del software
La operación y seguridad del software.
La administración del software
DETECTAR EL GRADO DE CONFIABILIDAD.
Grado de confianza, satisfacción y desempeño
Investigar si existen políticas con relación al software.
Detectar si existen controles de seguridad.
Verificar que sea software legalizado.
Actualización del software de aplicación.
EVALUACIÓN DEL SOFTWARE
19
El auditor debe evaluar qué software se encuentra instalado en la organización.
Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de da-tos, etc.
También debe investigar las versiones de cada uno.
ORGANIZACIÓN
El auditor debe de verificar que existan políticas para:
La evaluación del software.
Adquisición o instalación.
Soporte a usuarios.
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
Procedimientos para la instalación del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna ins-talación del software.
Actividades durante la instalación.
Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc.
Justificación
En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificación del porqué de esta adquisición.
Software legal
El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin licencias de uso.
20
4.7 CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMATICOS
FRAUDE: Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja.
El delito es un acto humano, es una acción (acción u omisión)
Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligen-cia), y una acción es imputable cuando puede ponerse a cargo de una de-terminada persona
La ejecución u omisión del acto debe estar sancionada por una pena.
FRAUDE A TRAVÉS DE COMPUTADORAS
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.
DETECCIÓN DE DELITOS
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
21
Determinar si se considera la situación un delito realmente;Establecer pruebas claras y precisas;Determinar los vacíos de la seguridad existentes y que permitieron el delito;Informar a la autoridad correspondiente dentro de la organización;Informar a autoridades regulatorias cuando es un requerimiento legal.
4.8 PLAN DE CONTINGENCIA SEGUROS PROCEDIMIENTOS DE RECUPERACION DE
DESASTRES
¿Qué es un plan de contingencia?
Se puede definir un plan de contingencia como un conjunto de procedimientos que permitan recuperar el estado normal de funcionamiento de los centros informáticos. El Plan de Contingencias implica un análisis de los posibles riesgos a los cuales pueden estar expuestos el equipo informático y la información contenida en los diversos medios de almacenamiento.Pese a todas las medidas de seguridad a implementar, puede ocurrir un desastre, por tanto es necesario que el Plan de Contingencias incluya un Plan de Recuperación de Desastres, el cual tendrá como objetivo, restaurar el Servicio en forma rápida, eficiente y con el menor costo y pérdidas posibles.
Haciendo un esquema, el Plan de Contingencias abarcará los siguientes aspectos:
Plan de Reducción de Riesgos (Plan de Seguridad). Plan de Recuperación de Desastres. Actividades Previas al Desastre. Establecimiento del Plan de Acción. Actividades durante el Desastre. Plan de Emergencias. Actividades después del Desastre. Evaluación de Daños. Ejecución de Actividades Evaluación de Resultados. Retroalimentación del Plan de Acción.
Tipos de fallas a considerar en el Plan de Contingencia:
22
Red eléctrica. Red de datos. Problemas con el servidor. Estaciones y periféricos. Servicio de Internet.
PLAN DE RECUPERACIÓN
Es importante definir los procedimientos y planes de acción para el caso de una posible falla, siniestro o desastre en el Aula InformáticaCuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido.Los procedimientos deberán ser de ejecución obligatoria y bajo la responsabilidad de los encargados de la realización de los mismos, debiendo haber procesos de verificación de su cumplimiento. En estos procedimientos estará involucrado específicamente el encargado del centro de cómputo.
Las actividades a realizar en un Plan de Recuperación se pueden clasificar en tres etapas:
Actividades Previas a la falla o desastre.Actividades Durante la falla o Desastre.Actividades Después de la falla o Desastre.
Actividades Previas al Desastre
Son todas las actividades de planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de los activos del centro de computo, que nos aseguren un proceso de Recuperación con el menor costo posible.
Establecimiento de Plan de Acción
Se debe de establecer los procedimientos relativos a:a) Equipos de Cómputo.b) Obtención y almacenamiento de los Respaldos de Información (BACKUPS).c) Políticas (Normas y Procedimientos de Backups).
23
4.9 TECNICAS HERRAMIENTAS RELACIONADAS CON SEGURIDAD FISICA Y DEL PERSONAL
SEGURIDAD FÍSICA
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, periféricos, y equipos asociados, las instalaciones eléctricas, las instalaciones de comunicación y de datos.
Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, así como la protección a los accesos al centro de sistematización.En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos de la empresa.
Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, así como la protección a los accesos al centro de sistematización.En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos físicos informáticos de la empresa.
Verificar que existan los planes políticas y procedimientos relativos a la seguridad dentro de la organización.
Confirmar que exista un análisis costo-beneficio de los controles y procedimientos antes de ser implantados.
SEGURIDAD EN EL PERSONAL
El objetivo prinicipal de la auditoría de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo.
Controles necesarios para la seguridad física del área
Controles administrativos del personal de informática.Seguros y fianzas para el personal de sistemas.Planes y programas de capacitación.Planes de contingencia definidos para el personal que labora en el área.
24
Planes de contingencia
Es el control de las contingencias y riesgos que se pueden presentar en el área de sistemas.Estas contingencias se pueden evitar a través de planes y programas preventivos específicos, en los que se detallan las actividades antes, durante y después de alguna contingencia.
En estos planes se incluyen los simulacros de contingencias, los reportes de actuaciones y las bitácoras de seguimiento de las actividades y eventos que se presenten en el área de sistemas.
4.10 TACNICAS Y HERRAMIENTAS RELACIONADAS CON SEGURIDAD DE DATOS Y SOFTWARE DE APLICACION
1.- Controles internos sobre el análisis, desarrollo e implementación de sistemas
Las actividades que se realizan para el análisis, diseño, desarrollo e implementación de sistemas de cualquier empresa son únicas y por lo tanto, no tienen parecido alguno con otras actividades, por esta razón merecen un tratamiento más especializado. El auditor debe investigar puntos tales como:
1.- ¿Qué ocurre a la información de entrada en que se encuentran los errores? 2.- ¿Qué sucede con una operación no correspondida? 3.- ¿Qué sucede si los totales de control no coinciden? 6.-Tipos de controles.
Tipos de controles.
Control de distribución: La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla. Validación de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. Estas pruebas actúan como filtros de la información.
Totales de control: Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de
25
los artículos de un archivo.
Control de secuencia: En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros.
Pruebas de consistencia y verosimilitud: Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica.
Dígito de control: Dado que la clave de identificación de los artículos de un registro, permite individualizar cada uno de los artículos. Es necesario asegurarse de que el contenido de la clave esté correcto.
26
Unidad 5 Auditoria de la seguridad en la teleinformática
5.1 Generalidades Seguridad Área Teleinformática
En la actualidad tiene una gran trascendencia tanto técnica como social, lo que se
denomina teleinformática: la unión de la informática y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformática.
Se comienza por introducir la historia y evolución de la teleinformática y de la ma-
nera en que fue desarrollándose, y a su vez, proporcionando un panorama general
del tema. Luego se menciona de forma genérica los elementos que integran un
sistema teleinformática, desde un simple terminal hasta una red.
Las técnicas de comunicación se estructuran en niveles: físico, enlace de datos,
red, transporte, sesión, presentación y aplicación.
También, mencionamos las redes de área local ya que son muy importantes en lo
que a la teleinformática respecta. Se hizo hincapié en la red Internet y su protocolo
TCP/IP, y en los conceptos básicos sobre Programas de Comunicación y Gestión
de Red.
Analizamos los servicios de valor añadido como el Videotex, Ibercom o La Telefo-
nía Móvil. Además, establecimos los últimos desarrollos y las tendencias de la te-
27
leinformática, desde las redes digitales hasta el proceso distribuido.
Por último, manifestamos la importancia de la relación que existe entre la teleinfor-
mática y la sociedad, en lo que respecta a la educación, la sanidad y la empresa.
En una comunicación se transmite información desde una persona a otra e inter-
vienen tres elementos: el emisor, que da origen a la información, el medio, que
permite la transmisión, y el receptor, que recibe la información.
La primera comunicación que existió entre los hombres fue a base de signos o
gestos que expresaban intuitivamente determinadas manifestaciones con sentido
propio. Estos gestos iban acompañados de sonidos.
Más tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como
por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con vi-
sibilidad entre ambas, o bien entre un barco y la costa. Es aquí donde aparecen
las señales de humo, destellos con espejos entre innumerables métodos de comu-
nicación.
Con el paso del tiempo y la evolución tecnológica, la comunicación a distancia co-
menzó a ser cada vez más importante.
La primera técnica utilizada surgió con la aparición del telégrafo y el código morse
que permitieron comunicaciones a través de cables a unas distancias considera-
bles. Posteriormente se desarrolló la técnica que dio origen al teléfono para la co-
municación directa de la voz a larga distancia. Más tarde la radio y la transmisión
de imágenes a través de la televisión habilitaron un gran número de técnicas y mé-
todos que luego fueron muy importantes a lo que respecta a la comunicación.
5.2 OBJETIVOS CRITERIOS DE AUDITORIA AREA TELEINFORMÁTICA
La auditoría interna se ve compelida a velar entre otras cosas por la aplicación y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditoría debía velar no sólo por los activos de la empresa
28
sino además por su capacidad competitiva. Cuidar de esto último significa difundir, apoyar y controlar las nuevas y buenas prácticas. Así, haciendo uso del benchmarking puede verificar y promover las mejores prácticas para el mantenimiento de la más alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa.
5.3 SÍNTOMAS DE RIESGO TELEINFORMÁTICA
Para muchos la seguridad sigue siendo el área principal a auditar, hasta el punto
de que en algunas entidades se creó inicialmente la función de auditoría informáti-
ca para revisar la seguridad, aunque después se hayan ido ampliando los objeti-
vos.
En la auditoría de otras áreas pueden también surgir revisiones solapadas con la
seguridad; así a la hora de revisar el desarrollo se verá si se realiza en un entorno
seguro, etc.
• Los controles directivos. Son los fundamentos de la seguridad: políticas, planes,
funciones, objetivos de control, presupuesto, así como si existen sistemas y méto-
dos de evaluación periódica de riesgos.
• El desarrollo de las políticas. Procedimientos, posibles estándares, normas y
guías.
• Amenazas físicas externas. Inundaciones, incendios, explosiones, corte de líneas
o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicación del
centro de procesos, de los servidores, PCs, computadoras portátiles (incluso fuera
de las oficinas); estructura, diseño, construcción y distribución de edificios; amena-
zas de fuego, riesgos por agua, por accidentes atmosféricos; contenido en paque-
tes }, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes,
proveedores, contratados; protección de los soportes magnéticos en cuanto a ac-
ceso, almacenamiento y transporte.
• Control de accesos adecuado. Tanto físicos como lógicos, que se realicen sólo
las operaciones permitidas al usuario: lectura, variación, ejecución, borrado y co-
pia, y quedando las pistas necesarias para el control y la auditoría. Uso de contra-
señas, cifrado de las mismas, situaciones de bloqueo.
• Protección de datos. Origen del dato, proceso, salida de los datos.
29
• Comunicaciones y redes. Topología y tipo de comunicaciones, posible uso de ci-
frado, protecciones ante virus. Tipos de transacciones. Protección de conversacio-
nes de voz en caso necesario, protección de transmisiones por fax para conteni-
dos clasificados. Internet e Intranet, correo electrónico, control sobre páginas web,
así como el comercio electrónico.
• El entorno de producción. Cumplimiento de contratos, outsourcing.
• El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles
en los productos desarrollados y que éstos resulten auditables. Con el uso de li-
cencias (de los programas utilizados).
• La continuidad de las operaciones. Planes de contingencia o de Continuidad.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace
comunes: comunicaciones con control de accesos, cifrado con comunicaciones,
etc.
Evaluación de riesgos
Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar me-
didas que los eliminen o que disminuyan la probabilidad de que ocurran los he-
chos o mitiguen el impacto. Para evaluarlos hay que considerar el tipo de informa-
ción almacenada, procesada y transmitida, la criticidad de las operaciones, la tec-
nología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y
el momento. Los riesgos pueden disminuirse (generalmente no pueden eliminar-
se), transferirse o asumirse.
5.4 TECNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS CON SEGURIDAD
TELEINFORMÁTICA
Introducción General a la Seguridad en Redes
• Definiciones
30
• Generalidades• Intrusos• Amenazas• Ataques
Planeacion de la Seguridad
• Análisis del sistema actual• Análisis de riesgos• Definición de políticas de seguridad• Implantación de la seguridad
Servicios de Seguridad o Modelo OSI para arquitecturas de SeguridadModelo TCP/IP
BIBLIOGRAFIA
http://www.mailxmail.com/curso-administracion-centro-computo/metodos-tipos-control
http://www.google.com.mx/search?q=Seguridad+de+Datos+y+Software+de+Aplicacion+&hl=es&source=hp&aq=f&aqi=&aql=&oq=
http://www.buenastareas.com/temas/controles-para-evaluar-software-de-aplicaci%C3%B3n/40
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
31
