26
UNIDAD 4 EVALUACIÓN DE LA SEGURIDAD

Unidad 4.pptx

Embed Size (px)

Citation preview

Page 1: Unidad 4.pptx

UNIDAD 4 EVALUACIÓN DE LA SEGURIDAD

Page 2: Unidad 4.pptx

ÍNDICE4.1   Generalidades de la seguridad del área física.

4.2 Seguridad lógica y confidencial.

4.3 Seguridad personal. 4.4   Clasificación de los controles de seguridad.

4.5   Seguridad en los datos y software de aplicación.

4.6 Controles para   evaluar software de aplicación.

4.7   Controles para prevenir crímenes y fraudes

informáticos. 4.8   Plan de contingencia, seguros, procedimientos de recuperación de desastres.

4.9   Técnicas y herramientas relacionadas con la seguridad

física y del personal. 4.10 Técnicas y herramientas relacionadas con la seguridad

de los datos y software de aplicación.

Page 3: Unidad 4.pptx

4.1GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA

Durante mucho tiempo se considero que los procedimientos de auditoría y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del área de informática en cuanto a la utilización que se le da a la información y a la forma de accesarla   y del departamento de auditoría interna en cuanto a la supervisión y diseño de los controles necesarios. La seguridad del área de informática

tiene como objetivos:• Proteger la integridad, exactitud y confidencialidad de la información•Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles•Proteger la organización contra situaciones externas como desastres naturales y sabotajes•En caso de desastre, contar con los planes y políticas de contingencias para lograr una pronta recuperación•Contar con los seguros necesarios que cubran las pérdidas económicas encaso de desastre.

Page 4: Unidad 4.pptx

Los motivos de los delitos por computadora normalmente son por:•Beneficio personal•Beneficios para la organización•Síndrome de Robín Hood (por beneficiar a otra persona)•Jugando a jugar Auditoria Informática •Fácil de desfalcar •El individuo tiene problemas financieros•La computadora no tiene sentimientos•El departamento es deshonesto odio a la organización•Equivocación de ego•Mentalidad turbada Se consideran que hay cinco factores que han permitido el incremento de los crímenes por computadora•El aumento del número de personas que se encuentran estudiando computación•El aumento del número de empleados que tienen acceso a los equipos•La facilidad en los equipos de cómputo•El incremento en la concentración del número de aplicaciones y, consecuentemente, de la información.En la actualidad las compañías cuentan con grandes dispositivos para seguridad física de las computadoras, y se tiene la idea que los sistemas no puedan ser violados si no se entra en el centro de cómputo, olvidando que se pueden usar terminales y sistemas de teleproceso.

Page 5: Unidad 4.pptx

4.2.- SEGURIDAD LÓGICAY CONFIDENCIAL Se encarga de los controles de acceso que están diseñados

para salvaguardar la integridad de la información almacenada de una computadora, así como controlar el mal uso de su información. Estos controles reducen el riesgo de caer en situaciones adversas. seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, e la redes y terminales. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización:• Cambio de los datos antes o cuando se le da entrada a la computadora• Copias de programas y/o información• Código oculto en un programa• Entrada de virus

Page 6: Unidad 4.pptx

El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseñas) hasta los sistemas más complicados, pero se debe evaluar que cuanto más complicados sean los dispositivos de seguridad más costosos resultan. Los sistemas de seguridad normalmente no se consideran la posibilidad defraude cometida por los empleados en el desarrollo de sus funciones. Un método eficaz para proteger los sistemas de computación el software de control de acceso. Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. El sistema integral de seguridad debe comprender:

•Elementos administrativos•Definición de una política de seguridad Auditoria •Organización y división de responsabilidades

Page 7: Unidad 4.pptx

4.3.-   SEGURIDAD PERSONAL Uno de los punto más importantes a considerar

para poder definir la seguridad de un sistema es el grado de actuación que puede tener un usuario dentro de un sistema, ya que la información se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios:•Propietario.- Es el dueño de la información y responsable de ésta, y puede realizar cualquier función:•Administrador.- Solo puede actualizar o modificar el software con la debida autorización

Page 8: Unidad 4.pptx

•Usuario principal.- Esta autorizado por el propietario para hacer modificaciones, cambios, lecturas y utilización de los datos, pero no da autorización para que otros usuarios entren•Usuario de consulta.- Solo puede leer la información•Usuario de explotación.- Puede leer la información y usarla para explotación de la misma•Usuario de auditoría.- Puede usar la información y rastrearla dentro del sistema para fines de auditoría Se recomienda que solo exista un usuario propietario y que el administrador sea una persona designada por la gerencia de informática.

Page 9: Unidad 4.pptx

4.4.- CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD El gran crecimiento de las redes, interconexiones y

telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad física no lo es todo. Es un punto que debe complementarse necesariamente con la implementación de controles para

la seguridad lógica delos sistemas y computadoras. Es esa tendencia de interconexión de redes con otras redes, o de una simple PC a Internet la que nos da la pauta de que aún si usamos tarjetas electrónicas para acceder a nuestra oficina, hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas están virtualmente a la espera de que alguien intente utilizarlos

Page 10: Unidad 4.pptx

. Los controles:•Identificación y autenticación de usuarios.- Identificación es el proceso de distinguir una persona de otra; y autenticación es validar por algún medio que esa persona es quien dice ser.•Los controles biométricos:○Huellas dactilares○Patrones de la retina○Geometría de la mano○Dinámica de la firma○Patrones de la voz

•Programas de control de acceso.- Programas diseñados para administrar los permisos de acceso a los recursos del sistema de información.•Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del software.•Controles para el hardware.- Controles que aseguran la seguridad física y el correcto funcionamiento del hardware de cómputo.

Page 11: Unidad 4.pptx

4.5.- SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN Ruta de acceso

El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso sólo a los niveles apropiados puede proporcionar una mayor seguridad.Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Como se ha señalado, un usuario puede pasar por uno o múltiples niveles de seguridad antes de obtener el acceso a los programas y datos.

Los tipos de restricciones de acceso son:• Sólo de lectura• Sólo de escritura•Lectura y consulta

Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema.

Page 12: Unidad 4.pptx

Software de control de accesoEste puede ser definido como el software diseñado para emitir el manejo de control y acceso a los siguientes recursos.

•Programas de librerías•Archivos de datos•Jobs•Programas de aplicación•Módulos de funciones•Utilerías•Diccionario de datos•Archivos•Programas•Comunicación

Controla el acceso a la información, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificación del usuario.

El software de control de acceso tiene las siguientes funciones:•Definición de usuarios•Definición de las funciones del usuario después de accesar el sistema

Page 13: Unidad 4.pptx

El software de seguridad protege los recursos mediante la identificación de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software.

Algunos paquetes de seguridad pueden ser usados para restringir el acceso a programas, librerías y archivo de datos; otros pueden limitar el uso de terminales o restringir el acceso a base de datos.

La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de acceso no autorizados, incluyendo los siguientes:

•Proceso en espera de modificación por un programa de aplicación•Acceso por los editores en línea•Acceso por utilerías de software•Acceso a archivos de las base de datos•Acceso a terminales o estaciones no autorizadasExisten otros tipos de software de control de acceso como son los siguientes:•Sistemas operativos•Manejadores de base de datos•Software de consolas o terminales maestras•Software de librerías software de utilerías•Telecomunicaciones

Page 14: Unidad 4.pptx

4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN

Controles del software de seguridad generalAplican para todos los tipos de software y recursos relacionados y sirven para:•El control de acceso a programas y a la instalación•Vigilar los cambios realizados•Controles de acceso a programas y datos•Cambios realizados○Diseño y código de modificaciones○Coordinación de otros cambios○Asignación de responsabilidades○Revisión de estándares y aprobación○Requerimientos mínimos de prueba○Procedimientos del respaldo en el evento de interrupciónControles de software especificoSe presentan algunos de los controles usados por los diferentes tipos de software específico:•El acceso al sistema debe de ser restringido para individuos no autorizados•Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso.Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especifico de acceso de datos.

Page 15: Unidad 4.pptx

•Para asegurar las rutas de acceso deberá restringirse el acceso a secciones o tablas de seguridad, mismas que deberán ser encriptados.

Deberán restringirse las modificaciones o cambios al software de control de acceso, y éstos deberán ser realizados de acuerdo y a procedimientos no autorizados:Software de sistemas operativos.Controles que incluye:○Los password e identificadores deberán ser confidenciales○El acceso al software de sistema operativo deberá ser restringido○Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema•Software manejador de base de datos.Controles que incluye:○El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica○Deberá controlar el acceso al diccionario de datos○La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS•Software de consolas o terminales maestras.Controles que incluye:○Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados

Page 16: Unidad 4.pptx

•Software de librerías.Controles que incluye:○Tiene la facilidad de compara dos versiones de programas en código fuente y reportar las diferencias○Deben limitarse el acceso a programas o datos almacenados por el software de librerías○Las versiones correctas de los programas de producción deben corresponder a los programas objetos•Software de utilerías.

Controles que incluye:○Deberán restringirse el acceso a archivos de utileríasSoftware de sistemas operativos.Controles que incluye:○Los password e identificadores deberán ser confidenciales○El acceso al software de sistema operativo deberá ser restringido○Los administradores de seguridad deberán ser los únicos con autoridad para modificar funciones del sistema•Software manejador de base de datos.Controles que incluye:○El acceso a los archivos de datos deberá ser restringido en una vista de datos lógica○ Deberá controlar el acceso al diccionario de datos○La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS• Software de consolas o terminales maestras.Controles que incluye:○Los cambios realizados al software de consolas o terminales maestras deberán ser protegidas y controlados

Page 17: Unidad 4.pptx

4.7.-CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS Como hablamos de realizar la evaluación de la seguridad es

importante también conocer cómo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa:

"planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa."Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.Sistema Integral de Seguridad• Definir elementos administrativos• Definir políticas de seguridad• A nivel departamental• A nivel institucional• Organizar y dividir las responsabilidades•Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)

Page 18: Unidad 4.pptx

Definir prácticas de seguridad para el personal:•Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.•Números telefónicos de emergencia•Definir el tipo de pólizas de seguros

Definir elementos técnicos de procedimientos•Definir las necesidades de sistemas de seguridad para:•Hardware y software•Flujo de energía•Cableados locales y externos•Aplicación de los sistemas de seguridad incluyendo datos y archivos• Planificación de los papeles de los auditores internos y externos•Planificación de programas de desastre y sus pruebas(simulación)•Planificación de equipos de contingencia con carácter periódico•Control de desechos de los nodos importantes del sistema:•Política de destrucción de basura copias, fotocopias, etc.

Page 19: Unidad 4.pptx

Etapas para Implementar un Sistema de SeguridadPara dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:

•Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.

• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos, y ambientales.

•Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo)Un plan de seguridad para un sistema de seguridad integral debe contemplar:•El plan de seguridad debe asegurar la integridad y exactitud de los datos•Debe permitir identificar la información que es confidencial•Debe contemplar áreas de uso exclusivo .

Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles•Debe asegurar la capacidad de la organización para sobrevivir accidentes•Debe proteger a los empleados contra tentaciones o sospechas innecesarias•Debe contemplar la administración contra acusaciones por imprudencia

Page 20: Unidad 4.pptx

4.8.- PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTO DE RECUPERACIÓN DE DESASTRES

PLAN DE CONTINGENCIASEl plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organización de requerimientos para su recuperación ante desastres. La metodología tiene como finalidad conducir de la manera más efectiva un plan de recuperación ante una contingencia sufrida por la organización. El plan de contingencia es definido como: la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización encaso de desastre.

Entre los objetivos del plan de contingencia se encuentran:

•Minimizar el impacto del desastre en la organización.•Establecer tareas para evaluar los procesos indispensables de la organización.•Evaluar los procesos de la organización, con el apoyo y autorización respectivos a través de una buena metodología.

Determinar el costo del plan de recuperación, incluyendo la capacitación y la organización para restablecer los procesos críticos de la organización cuando ocurra una interrupción de las operaciones.

Page 21: Unidad 4.pptx

Seguridad contara desastres provocada por agua

Los centros de cómputo no deben colocarse en sótanos o en áreas de planta baja, sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas sísmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas. Se debe evaluar la mejor opción, dependiendo de la seguridad de acceso al centro de cómputo, cuando en la zona existen problemas de inundaciones o son sísmicas.

En caso de ser zona de inundaciones o con problemas de drenaje la mejor opción es colocar el centro de cómputo en áreas donde el riesgo de inundación no sea evidente. Algunas causas de esto pueden ser la ruptura de cañerías o el bloqueo del drenaje, por lo tanto, la ubicación de las cañerías en un centro de cómputo es una decisión importante, así como considerar el nivel del manto freático. Debe considerarse el riesgo que representa el drenaje cuando el centro de cómputo se localiza en un sótano. Deben instalarse, si es el caso, detectores de agua o inundación, así como bombas de emergencia para resolver inundaciones inesperadas. Otro de los cuidados que se deben tener para evitar daños por agua es poseer aspersores contra incendio especiales que no sean de agua.

Page 22: Unidad 4.pptx

Seguridad de autorización de accesoEs importante asegurarse que los controles de acceso sean estrictos durante todo el día, y que éstos incluyan a todo el personal de la organización, en especial durante los descansos y cambios de turno. El personal de informática, así como cualquier otro ajeno a la instalación, se debe identificar antes de entrar a ésta. El riesgo que proviene de alguien de la organización es tan grande como el de cualquier otro visitante.

Solamente el personal autorizado por medio de una llave de acceso o por la gerencia debe ingresar a dichas instalaciones.

En los centros de cómputo se pueden utilizar los siguientes recursos: •Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser difícil de

duplicar.• Puerta de combinación. En este sistema se usa una combinación de números para permitir el acceso.•Puerta electrónica. El sistema más común es el que usa una tarjeta de plástico magnética como llave de entrada.• Puertas sensoriales. Son activadas por los propios individuos con alguna parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geometría de la mano o bien por la firma.•Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compañía, la razón para la visita, la persona a la que visita.•Videocámaras. Éstas deben ser colocadas en puntos estratégicos para que se pueda monitorear el centro•Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompañados por un empleado responsable.•Puertas dobles.

Este equipo es recomendable para lugares de alta seguridad: se trata de dos puertas, donde la segunda sólo se pueda abrir cuando la primera está cerrada.• Alarmas. Todas las áreas deben estar protegidas contra robo o accesos físicos no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea posible en forma discreta, de manera que no se atraiga la atención hacia este dispositivo de alta seguridad

Page 23: Unidad 4.pptx

SegurosLos seguros de los equipos en algunas ocasiones se dejan en segundo término, aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraña la computación, ya que en ocasiones el riesgo no es claro para las compañías de seguros, debido a lo nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rápido avance de la tecnología. Como ejemplo de lo anterior tenemos las pólizas de seguros contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace que se duplique el seguro, o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo y su instalación, por lo que es probable que una sola póliza no pueda cubrir todo el equipo con las diferentes características (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o más pólizas por separado, cada una con las especificaciones necesarias. Como ejemplo y en forma genérica, por lo común un seguro de equipo de cómputo considera lo siguiente:

•Bienes que se pueden amparar.•Riesgos cubiertos.•Riesgos excluidos•Exclusiones•Suma asegurada.•Primas, cuotas y deducibles.•Indemnización en caso de siniestro

Page 24: Unidad 4.pptx

4.9.-TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA Y DEL PERSONAL

Protección a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores:

•Sólo se debe permitir al personal autorizado que maneje los equipos de procesamiento.•Sólo se permitirá la entrada al personal autorizado y competente•Seleccionar al personal mediante la aplicación de exámenes integrales: médico, psicológico, aptitudes, etc.•Contratar personal que viva en zonas cercanas a la empresa.•Acondicionar los locales, de acuerdo con las normas de seguridad.•Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos.•Practicar con periodicidad exámenes médicos al personal•Sostener pláticas informales, directas e individuales con el personal.•Instalar carteles y propaganda mural referentes a la seguridad.•Elaborar estadísticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repetición.•Enterar al personal sobre dichas estadísticas y las medidas adoptadas.•Proponer otras actividades que se consideren necesarias.

Page 25: Unidad 4.pptx

4.10.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN   * Protección de los registros y de los archivos.

  * Formas en que se puede perder   los archivos:  * Su presencia en ambiente distribuido.  * Manejo indebido por parte del operador.  * Mal funcionamiento por parte de la maquina.  * Plan de preservación:  *   documentos fuente: los documentos fuentes en los   que se basa un archivo de entrada deben ser retenidos intactos hasta el momento de que el archivo sea comprobado.  * Archivos de disco: una característica sea del archivo   de disco es que el   registro anterior   es destruido, no produce una copia automáticamente una   copia en duplicado.  * Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de impresión.

Page 26: Unidad 4.pptx

  Objetivo de la auditoria de software de aplicación: Verificar la presencia de procedimientos y controles Para satisfacer : 

* La instalación del software.  * La operación   y seguridad del software.  * La administración   del software.  * Detectar el grado   de confiabilidad:  * Grado   de confianza, satisfacción y desempeño.  * Investigar si existen políticas con relación al software.  * Detectar si existen controles de seguridad.

Actualización del   software de aplicación 

* Tipos de controles:  * Control de distribución.  * Validación de datos.  * Totales de control.  * Control   de secuencia.  * Pruebas de consistencia y verosimilitud.  * Digito d control.  * Control   de distribución.