52
Administración del recurso Información Carlos González Lavado Universidad de Aconcagua

Sia i cap10

Embed Size (px)

DESCRIPTION

Sia i cap10

Citation preview

Administración del recurso InformaciónCarlos González Lavado

Universidad de Aconcagua

Controles

Los Controles pueden ser:

Preventivos

Detectivos

Correctivos

Proactivos

Control Interno Informático

Controles Generales o de Integridad

Son procedimientos diseñados para asegurar que los programas computacionales funcionan adecuadamente.

Que las modificaciones a programas y datos son debidamente autorizados, y que su administración contribuye a lograr los objetivos y la misión de la empresa.

Objetivos de los Controles Generales o de Integridad

Preservar los atributos de la información

Brindar apoyo competitivo

Mantener la continuidad y consistencia

Apoyar la eficiencia operativa

Mantener una cultura informática adecuada

Apoyar la protección del Patrimonio

Emplear los recursos TI adecuadamente

CPD: centro de procesamiento de datos Objetivo:

Apoyar a todas las demás funciones de la empresa u organización, para que logren los objetivos fijados por la Gerencia, usando la Tecnología Informática.

Organización:

Formal Informal

Funciones o Actividades del C.P.D.

Desarrollo Mantención Control de Calidad Operaciones Explotación Ingreso de Datos

Desarrollo

Función de desarrollo: (estructura).

Mantención

Función Mantención

Calidad

Operaciones

Explotación

Ingreso

Organización del CPD

Organización

Los Controles de Organización se refieren a la segregación de funciones y a la responsabilidad por el control.

Están diseñados para asegurar que la organización del C.P.D., su Hardware, su Software y sus Recursos Humanos están al servicio de la empresa y tienen la debida protección.

Organización

Segregación: Se debe mantener la separación de los usuarios que autorizan una transacción, de aquellos que la ejecutan y/o la registran; de los que crean programas computaciones (aplicaciones) de aquellos que operan dichos sistemas, como de los que ejecutan los mismos.

Segregación

Se trata entonces de evitar la concentración de funciones en una sola persona, disminuyendo el riesgo que ello significa.

En los sistemas manuales, el control por segregación consiste en separar las cuatros funciones primarias a saber:

Autorización

Ejecución

Registro

Mantenimiento

Segregación

Los Sistemas Computacionales ejecutan las funciones de autorización, ejecución y registro simultaneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregación de funciones.

Responsabilidad del Control

Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que ésto conlleva.

Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa.

No olvidarse que la responsabilidad no se delega.

Hardware

Se debe tener control sobre los siguientes aspectos del Hardware:

Acceso Físico:

Debe existir protección al acceso a la sala donde funciona el equipo computacional y sus periféricos. Esto es válido para el hardware en poder de los usuarios.

Hardware

Registro de Mantenimiento:

El Hardware cada vez es más confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitácora de mantenimiento, donde se registre cada reparación o acción preventiva, pudiendo con ello determinar frecuencia de errores y corrección de la prevención.

Hardware

Medio Ambiente:

A pesar que el hardware está más protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental.

Protección de Energía:

La fuente de energía debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS.

Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive dañar la CPU, la Memoria y/o los circuitos integrados.

Implementación

Están diseñados para asegurar que los procedimientos programados son:

Una respuesta a una idea o una solución a un problema, de acuerdo a procedimientos preestablecidos.

Adecuados a los requerimientos de la empresa y de los usuarios.

Se construyen con una metodología adecuada y son debidamente documentados.

Adecuadamente implementados.Autorizadas las modificaciones a programas en

operaciones, cumpliéndose los objetivos precitados.

Implementación

Se clasifican en: Necesidad del sistema.

Desarrollo del sistema.

Mantención del sistema.

Necesidad del sistema

Procedimiento de inicio de un sistema

Estudio de Factibilidad

Informe Comité de Informática

Desarrollo del sistema

Análisis y Diseño

Construcción (prueba de programas)

Implementación (Catalogación y prueba paralela).

Mantención del sistema

Procedimiento de Modificación de un Sistema

Procedimiento de Emergencia (fuera de horario)

Seguridad del sistema

Están diseñados para asegurar que: Cambios no autorizados puedan ser hechos a programas en explotación ni a sus datos.

Exista un procedimiento para autorizar las modificaciones a los programas.

Programas y datos en línea, deben estar pro- tegidos contra modificaciones no autorizadas.

Programas y datos fuera de línea, deben además estar custodiados físicamente.

Operación del computador Están diseñados para asegurar que:

Los sistemas funcionan continuamente en forma consistente.

Las operaciones se realizan de acuerdo a lo planeado.

Los datos utilizados son los apropiados.

La continuidad de las operaciones está asegurada. (Recuperación y Respaldos)

Custodia física de programas y datos

Planificación y Preparación de los trabajos

Los programas y datos a utilizar, deben estar definidos por los usuarios (Planificación)

Operaciones debe poner a disposición de los usuarios los programas y los datos de acuerdo a lo planificado.

Deben existir procedimientos para evitar el uso de archivos y tablas no adecuadas.

Programas de Operación y Operación del computador

Uso del los lenguajes de control de tareas para automatizar la operación del computador y disminuir los errores en los procesos.

Procedimientos de Recuperación y Respaldos

Facilidades para recomenzar un proceso en el punto de interrupción.

Sistemas de Respaldos (Backup) de acuerdo a la dependencia de la T.I.

Plan de Contingencias y Recuperación de Desastres.

Procedimientos de Recuperación y Respaldos

SEGURIDAD DE COMUNICACIONES

Están diseñados para asegurar que: El acceso a los sistemas se hace por personas autorizadas. Confidencialidad

Autenticidad

Integridad

Garantía de No repudio o rechazo (negar que cierta transacción tuvo lugar)

Cualquier acceso no autorizado es detectado, como las modificaciones no autorizadas.

Comunicaciones

Criptología

Criptología

Elementos del sistema criptográfico

Funcionamiento

Canal

Funcionamiento

Encriptación simétrica

Funcionamiento

Consideraciones a tener presente:

Alicia y Beto debe convenir en un algoritmo a usar en sus comunicaciones.

Alicia y Beto deben compartir en forma segura la llave:

Usando un medio de transporte físico privado

Usando algun otro medio seguro Ventajas de este método:

Es relativamente simple

Desde el punto de vista técnico es eficiente.

Ejemplos de Algoritmos

Ejemplo de Algoritmos:

DES (Data Encryption Standard)

Tamaño de llave: 40 y 56 bits

Triple DES

Tamaño de llave: 112 a 168 bitsMayor seguridad que DES

Blowfish

Tamaño de llaves de 32 a 448 bits Requiere pocos recursosMuy rápido

Ejemplos de Algoritmos

IDEA (International Data Encription Algorithm)

Tamaño de llaves: 128 bitsRequiere mucho procesamiento

RC5

Tamaño de llave: hasta 255 caracteresRequiere pocos recursos, pero es lento.Configuración flexible por parámetros

CAST-128

Tamaño llave: entre 5 y 15 caracteresAlgoritmo extensamente revisado por criptoanalistas

RC2

Tamaño llave de 8 a 1024 bitsUsado en microprocesadores de 16 bits

Funcionamiento

Criptografía asimétrica

Son algoritmos que utilizan llaves diferentes (relacionadas entre si), para realizar la encriptación y desencriptación. Esta metodología se usa normalmente para la firma digital, como también para el intercambio de llave simétrica. Estas llaves se les conoce como: Llave Pública

Llave Privada

Criptografía asimétrica

Características del Sistema Mensaje encriptado con la llave pública, la llave privada lo desencripta y viceversa.

La seguridad se basa en la imposibilidad de calcular una llave, a partir de la otra.

También se basa la seguridad, en mantener la llave privada como “secreta” (personal), y de mantener la relación con la llave pública en forma confiable.

Criptografía asimétrica

Propiedad de las llaves: Los pares de llaves son identificados o asociados con personas o con entidades.

La propiedad de las llaves públicas, es publicada y conocida por todos aquellos que les incumbe el mensaje.

La llave privada es “secreta” y debe quedar bajo la responsabilidad del dueño o responsable del mensaje.

Criptografía asimétrica

Criptografía asimétrica

Criptografía asimétrica

Ejemplos algoritmos

Ejemplos de Algoritmos Asimétricos: RSA Es uno de los algoritmos más usados, transformándose en el estándar de facto para la firma digital.

DSS (Digital Signature Standard) Se usa sólo para firma digital

Ejemplos algoritmos

ECC (Elliptic Curve Cryptosystem) Matemáticamente más complicado que RSA

Similar nivel de seguridad

Necesita menos procesamiento a igual tamaño de claves que RSA.

Algunas Consideraciones: Las llaves son típicamente números primos de 1024 bits o superiores.

A mayor tamaño de llaves, sistema más seguro.

Los procesos de Encriptado y Desencriptado, involucran cálculos exponenciales con las llaves, limitando la funcionalidad del sistema por su lentitud.

Ataques de fuerza bruta

Firma digital

Permite verificar el origen y la integridad del mensaje recibido. Permite asegurar que el mensaje recibido, proviene del emisor, quién no podrá negar su autoría => “NO REPUDIO” El NO REPUDIO pasa a ser un objetivo de la combinación de criptografía y firma digital

Sistema operativo

Control de Administración de la Seguridad

Establecer Objetivos de Seguridad Evaluar los riesgos de Seguridad Oficial de Seguridad

Perfil de Usuario

Control de Identificación Control de Autenticidad Control de Acceso de Terminales y/o Externo

Monitoreo Sistema Seguridad

Registro de las Operaciones (LOG) Programas Ad-Hoc de Seguridad Activa